Implementación de un sitio de vSocket AWS manualmente

Visión General de los vSockets de AWS

Puede conectar su VPC de AWS a Cato usando un túnel IPsec o un Socket virtual (vSocket). Este artículo describe cómo implementar un (vSocket) en una instancia EC2.

El vSocket proporciona estas ventajas:

  • Control de gestión de ancho de banda y QoS

  • Maximiza la conectividad a PoPs en el Cato Cloud

  • Soporte para configuraciones de alta disponibilidad

Para más información sobre sitios vSocket y IPsec, consulte Seleccionando el Tipo de Conexión para un Sitio.

Este artículo asume que ya tiene un VPC en su entorno de AWS.

Requisitos Previos

  • Debe tener permisos de administrador en el panel de control de AWS y en la Aplicación de Gestión de Cato. Además, debe tener los siguientes permisos en AWS:

    • AWS Marketplace

    • Creación de pares de claves

  • Asegúrate de que el entorno cumpla con los requisitos listados en Requisitos Previos de Conexión del Socket Cato.

Limitaciones de AWS

AWS no soporta estas características de red:

  • Rangos de VLAN

  • Rangos de DHCP

Visión General de Alto Nivel de la Creación del vSocket de AWS

  1. En la Aplicación de Gestión de Cato, cree un nuevo sitio para el vSocket de AWS.

  2. Cree los recursos virtuales de AWS

  3. En el AWS Marketplace, suscríbase a la oferta AMI de Cato Networks para conectar los recursos virtuales a su instancia EC2

  4. Inicie la instancia vSocket

  5. Verifique que el vSocket está conectado a su cuenta.

Creación del Sitio vSocket en la Aplicación de Gestión de Cato

Cree el sitio vSocket AWS en la Aplicación de Gestión de Cato, y se genera el número de serie para el vSocket. Este número de serie se utiliza cuando inicia la instancia EC2.

La IP local para el vSocket debe ser la misma que la dirección IP para la interfaz LAN en la instancia EC2. Las tres primeras direcciones IP del subred están reservadas por el VPC.

Después de crear el sitio, la Aplicación de Gestión de Cato genera automáticamente un número de serie único para el nuevo vSocket. Debe ingresar este número de serie cuando inicie la instancia EC2).

Creación de un Sitio de AWS

Para crear el sitio para el vSocket AWS:

  1. En la Aplicación de Gestión de Cato, en el menú de navegación seleccione Red > Sitios.

  2. Haga clic en Nuevo. El panel Agregar Sitio se abre.

    awsSocketsite.png

  3. Configure los Ajustes Generales para el sitio:

    1. Introduce el Nombre del Sitio.

    2. Seleccione el Tipo de Sitio. Esta opción determina qué icono se usa para el sitio en la ventana Topología.

    3. Seleccione vSocket AWS para el Tipo de Conexión.

    4. Configure the Configure the Country, State, and Time Zone to set the time frame for the Maintenance Window. Country, and State.

  4. Configure los Ajustes de la Interfaz WAN, incluyendo el Ancho de Banda Descendente y el Ancho de Banda Ascendente de acuerdo a su ancho de banda de ISP.

  5. Configure los ajustes de la Interfaz LAN, incluyendo la Rango Nativo para el sitio AWS. Esta configuración debe ser la misma que el rango de direcciones IP de la subred LAN en AWS (ver abajo Creación de las Subredes MGMT, WAN y LAN).

  6. Haga clic en Aplicar. El sitio se agrega a la lista de Sitios.

Copiando el Número de Serie del vSocket

La Aplicación de Gestión de Cato genera automáticamente un número de serie único para el nuevo vSocket. Necesitas ingresar este número de serie (S/N) cuando configures el AMI (ver abajo Configuración del Cato AMI).

Para copiar el número de serie:

  1. Desde el menú de navegación, seleccione Red > Sitios, y seleccione el sitio.

  2. Desde el menú de navegación, seleccione Configuración de Sitio > Socket.

  3. Copie el S/N para el vSocket.

    Debe ingresar este número de serie cuando inicie la instancia vSocket.

Creación de los Recursos Virtuales de AWS

Una vez que cree el vSocket, puede crear los recursos virtuales de AWS y conectarlos a su instancia EC2 usando la plantilla AMI en el AWS Marketplace.

Creación Manual de los Recursos Virtuales de AWS

Cree estos recursos virtuales para la instancia de vSocket:

Nota

Nota: Si estos recursos ya existen, puedes proceder a asociar los recursos con la instancia EC2, abajo.

  • Puerta de enlace a Internet

  • Tres subredes - WAN, LAN, y MGMT

  • Grupo(s) de seguridad para gestionar la comunicación de entrada y salida

  • Tres interfaces (ENIs) - WAN, LAN, y MGMT

  • Dos tablas de enrutamiento - Internet y LAN

  • Dos IPs Elásticas (para interfaces WAN y MGMT)

Definición de la Puerta de Enlace de Internet para la VPC

Use el panel de control de AWS Virtual Private Cloud (VPC) para crear una nueva puerta de enlace a Internet y adjuntarla a su VPC.

01_VPC_Dashboard.png

Para crear una nueva puerta de enlace a Internet y adjuntarla al VPC:

  1. Desde el panel de control VPC, en el menú de navegación seleccione Cloud Privado Virtual > Puertas de Enlace a Internet.

  2. Haga clic en Crear Puerta de Enlace a Internet.

  3. En Etiqueta de Nombre, ingrese el nombre para la puerta de enlace a Internet.

  4. Haga clic en Crear Puerta de Enlace a Internet. El panel de control VPC muestra los detalles de la puerta de enlace a Internet.

    01a_Attach_IGW.png

  5. En el menú desplegable Acciones, seleccione Adjuntar al VPC.

  6. En la ventana Adjuntar al VPC, en la sección VPCs disponibles, seleccione el VPC.

  7. Haga clic en Adjuntar gateway de internet. El gateway de internet está adjunto a su VPC.

Creación de las Subredes MGMT, WAN y LAN

Cree estas subredes en el AWS y luego se adjuntan automáticamente al VPC:

  • Subred MGMT

  • Subred WAN

  • Subred LAN - esto es lo mismo que el Rango Nativo para el sitio.

Asegúrese de que todas las subredes estén en la misma Zona de Disponibilidad de AWS.

02_CrearSubred.png

Para crear la subred para el vSocket de AWS:

  1. Desde el panel de control VPC, en el menú de navegación seleccione Cloud Privado Virtual > Subnets.

  2. Haga clic en Crear subred.

  3. Desde la ventana Crear subred, en la sección VPC, seleccione el ID del VPC.

  4. Configure los ajustes para la subred:

    1. Ingrese el Nombre de la subred.

    2. Seleccione la Zona de Disponibilidad para la subred.

    3. Ingrese el bloque de IPv4 CIDR para la subred. Para la subred LAN, esto es el mismo valor que el Rango Nativo del sitio.

  5. Para añadir subredes adicionales, haga clic en Añadir nueva subred y repita el paso anterior 4.

  6. Haga clic en Crear subred. AWS crea las subredes y las adjunta al VPC.

Configuración de los Grupos de Seguridad

Configure las reglas del grupo de seguridad para el tráfico de WAN y MGMT con reglas de salida que permitan todo el tráfico saliente, para que el tráfico pueda llegar al Cato Cloud.

Creación de las Interfaces WAN y LAN

Crea las interfaces WAN y LAN para el vSocket para la instancia EC2. Use el panel de control EC2 para crear las interfaces.

Configure la dirección IP Personalizada para la interfaz LAN a la misma dirección IP que la IP Local para el Rango Nativo. No use las primeras 3 direcciones IP ya que están reservadas por AWS.

Necesita desactivar la verificación de fuente/destino de AWS en la interfaz LAN para permitir que la instancia EC2 realice el reenvío de tráfico.

Nota

Nota: Para asegurar el comportamiento adecuado del vSocket, defina opciones DHCP personalizadas con un servidor confiable como servidor DNS primario

04_LAN_TARJETA.png

Para crear la interfaz de red (ENI):

  1. Desde el panel de control EC2, en el menú de navegación seleccione Red & Seguridad > Interfaces de red.

  2. Haga clic en Crear interfaz de red.

  3. En la ventana Crear interfaz de red, seleccione la Subred LAN.

  4. En Dirección IPv4 privada, haga clic en Personalizada e ingrese la IP Local para el Rango Nativo.

  5. En Grupos de seguridad, seleccione el grupo de seguridad apropiado para la interfaz.

  6. Haga clic en Crear interfaz de red. AWS crea la interfaz.

  7. Repite los pasos anteriores para la interfaz WAN.

  8. Para la interfaz LAN, desactive el seguimiento de fuente/destino de AWS:

    1. En la ventana Interfaces de red, haga clic derecho en la interfaz LAN y seleccione Cambiar fuente/dest. verificación.

      05_LAN_INT_fuente-destino.png

    2. En la ventana Cambiar verificación de fuente/destino, desmarque Habilitar.

    3. Haga clic en Guardar.

Creación de las Tablas de Enrutamiento

Cree nuevas o use las tablas de rutas de VPC existentes para el tráfico del vSocket:

  • Tabla de rutas privada para las subredes LAN

    • Adjunte la subred LAN

    • Defina el Socket LAN ENI como el objetivo (next hop) para la ruta por defecto

  • Una sola tabla de rutas de Internet para las subredes MGMT y WAN. Esta tabla de rutas se utiliza para proporcionar conectividad entre el vSocket y los recursos del Cato Cloud.

    • Adjunte las subredes WAN y MGMT

    • Defina el Gateway de Internet como el objetivo (next hop) para la ruta por defecto

Para crear las tablas de rutas de Internet y LAN:

  1. Desde el panel de control VPC, en el menú de navegación seleccione Cloud Privado Virtual > Tablas de Rutas.

  2. Haga clic en Crear tabla de rutas.

  3. En Etiqueta de Nombre, ingrese el nombre para la tabla de rutas de Internet o LAN.

  4. Seleccione el VPC para el vSocket.

  5. Haga clic en Crear. La tabla de rutas se añade al VPC.

  6. Asocie las subredes WAN y MGMT a la tabla de rutas del Internet, o la subred LAN a la tabla de rutas LAN.

    1. Haga clic derecho en la tabla de rutas y seleccione Editar asociaciones de subred. Este es un ejemplo de la tabla de rutas del Internet.

      06_tabla_de_rutas_Internet.png

    2. En la ventana Editar asociaciones de subred:

      • Para la tabla de rutas de Internet, seleccione las subredes MGMT y WAN

      • Para la tabla de rutas LAN, seleccione la subred LAN

    3. Haga clic en Guardar. Las subredes están asociadas con la tabla de rutas.

  7. Agregue la ruta por defecto a cada tabla de rutas (primero configure la tabla de rutas de Internet y luego la de LAN).

    1. Haga clic derecho en la tabla de rutas, y seleccione Editar rutas. La siguiente captura de pantalla muestra la tabla de rutas del Internet:

      06_ruta_InternetGW.png

    2. Haga clic en Añadir ruta.

    3. Defina la Destino para la nueva ruta a 0.0.0.0/0.

    4. En Objetivo, seleccione el next hop para la tabla de rutas de Internet o LAN:

      • Para la tabla de rutas de Internet, seleccione Puerta de enlace de Internet y elija la puerta de enlace de Internet para el VPC

      • Para la tabla de rutas LAN, seleccione Interfaz de red y elija el LAN ENI. La siguiente captura de pantalla muestra la tabla de rutas LAN:

      LAN_RouteTable.png

    5. Haga clic en Guardar cambios.

    6. La ventana muestra que la ruta se creó con éxito, haga clic en Cerrar.

  8. Repita los pasos anteriores para la tabla de rutas LAN.

Asociando Direcciones IP Elásticas a una Interfaz

Cree y asocie direcciones IP elásticas con las interfaces WAN y MGMT. Puede utilizar una dirección IP pública que se asigne desde el grupo de direcciones IPv4 de Amazon.

Nota

Nota: La IP elástica para la interfaz MGMT debe asociarse con la interfaz MGMT creada automáticamente por el AMI de Cato durante la creación de la instancia, y no con una creada manualmente.

Para asignar una dirección IP elástica:

  1. Desde el panel de control EC2, en el menú de navegación, seleccione Red & Seguridad > IP Elásticas.

  2. Haga clic en Asignar una dirección IP elástica.

  3. Para el grupo de direcciones IPv4 públicas, seleccione el grupo de direcciones IPv4 de Amazon.

  4. Haga clic en Asignar. La IP elástica está asignada.

  5. Seleccione la IP elástica y seleccione Acciones > Asociar dirección IP elástica.

    07_associate_Elastic.png

  6. En la ventana Asociar dirección IP elástica, en Tipo de recurso, seleccione Interfaz de red.

  7. En Interfaz de Red, selecciona la interfaz WAN.

  8. Haga clic en Asociar. La IP elástica está asociada con la interfaz.

  9. Repita los pasos anteriores para la interfaz MGMT.

Configuración de la instancia EC2 para el vSocket

Después de crear todos los recursos virtuales para el vSocket, conecte estos recursos a su instancia EC2 usando la AMI de Cato Networks disponible en el AWS Marketplace.

Instancias EC2 compatibles

Los siguientes tipos de instancias EC2 están certificados para vSockets:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge (Suggested for higher performance sites with bandwidth above 2Gbps)

  • d2.xlarge 

Vea este artículo para revisar las especificaciones de los tipos de instancias para ayudarle a elegir un tipo que coincida con los requisitos del Sitio. 

Nota

Nota: Si las instancias c3.xlarge o c4.xlarge no están disponibles en su región, contacte al soporte al cliente de AWS.

Configuración de la AMI de Cato

Después de preparar el entorno, ahora puede configurar la AMI de Cato Networks.

Configure la AMI:

  1. Desde la AWS Marketplace, busque el Virtual Socket de Cato Networks.

  2. Haga clic en Continuar para suscribirse.

  3. Haga clic en Continuar para configuración.

    • Bajo Opción de cumplimiento, seleccione Imagen de máquina de Amazon.

    • Bajo Región, asegúrese de seleccionar la región en la que se encuentra su vSocket.

    Cato_AMI.png

  4. Haga clic en Continuar para lanzar.

  5. En la página Lanzar este software:

    1. Bajo Elegir acción, seleccione Lanzar a través de EC2.

    2. Bajo Tipo de instancia EC2, seleccione la instancia EC2.

    3. Bajo Configuración de VPC, seleccione el VPC al que se está conectando.

    4. Bajo Configuración de subred, seleccione la red MGMT.

    5. Bajo Configuración del grupo de seguridad, seleccione el grupo de seguridad que creó para esta instancia.

    6. Expanda Configuración avanzada de red y bajo Interfaz de red seleccione la interfaz MGMT que creó.

      Nota: Si no selecciona una interfaz existente, se creará una nueva interfaz.

      AWS_vSocket_Cato_AMI_advanced_network_config.png

    7. Bajo Configuración de clave, seleccione el par de claves que creó.

    8. En la sección de detalles avanzados, bajo Datos del usuario - opcional, ingrese el número de serie que copió del sitio vSocket que creó en la Aplicación de Gestión de Cato.

  6. Haga clic en Lanzar.

Adjuntando las interfaces a la instancia vSocket

Después de lanzar la instancia vSocket, se le adjunta la interfaz MGMT. Detenga la instancia y luego adjunte las interfaces WAN y LAN restantes a la instancia.

Nota

Nota: Asegúrese de que la instancia EC2 esté detenida y que primero se adjunte la interfaz WAN, y luego la interfaz LAN.

Para adjuntar las interfaces a la instancia vSocket:

  1. Desde el panel de control EC2, en el menú de navegación, seleccione Instancias > Instancias.

  2. Haga clic derecho en la instancia vSocket y seleccione Detener instancia.

  3. En la ventana de confirmación, haga clic en Detener. Actualice la ventana y confirme que el Estado de la instancia es Detenido.

  4. En el menú de navegación, seleccione Red & Seguridad > Interfaces de red.

  5. Adjunte las interfaces WAN a la instancia:

    1. Haga clic derecho en la interfaz WAN y seleccione Adjuntar interfaz.

    2. En la ventana Adjuntar interfaz de red, en Instancia, seleccione la instancia vSocket.

    3. Haga clic en Adjuntar.

    4. Repita los tres pasos anteriores para la interfaz LAN.

Completando la instalación del vSocket

Después de adjuntar las interfaces al vSocket, inicie la instancia y confirme que se conecta a la Nube de Cato. Después de que el vSocket se conecta a la Nube de Cato, se actualiza automáticamente a la versión más nueva del Socket.

Para completar la instalación del vSocket:

  1. Desde el panel de control de EC2, en el menú de navegación selecciona Instancias > Instancias.

  2. Haz clic derecho en la instancia vSocket y selecciona Iniciar instancia.

  3. En la Aplicación de Gestión de Cato, selecciona Mi Red > Topología.

  4. Confirma que el sitio de AWS está conectado al Cato Cloud.

(Opcional) Conectarse a la Socket WebUI

No recomendamos conectarse a la AWS vSocket WebUI usando una dirección IP elástica. Si necesitas iniciar sesión en la Socket WebUI, utiliza estos ajustes:

  • Usa la dirección IP elástica MGMT como la dirección IP pública para el vSocket

    • Crea una regla de seguridad para permitir el tráfico entrante desde una única dirección IP (la dirección IP elástica)

  • El nombre de usuario es admin

  • La contraseña predeterminada es el ID de instancia para la instancia EC2 de vSocket

(Opcional) Enrutar tráfico a las instancias EC2

Si tus instancias EC2 de aplicación están asociadas a una subred de rango no nativo (una subred que no es la subred de la interfaz LAN de vSocket), en la Aplicación de Gestión de Cato añade un rango enrutable en la sección Redes para el sitio.

Para enrutar tráfico a la instancia EC2:

  1. Desde el menú de navegación, selecciona Red > Sitios, y selecciona el sitio.

  2. Desde el menú de navegación, selecciona Configuración del sitio > Redes.

  3. En la sección LAN, haz clic en Nuevo. El panel de Nueva Plaga de IP se abre.

  4. Introduce el Nombre para la plaga de IP.

  5. Define el Tipo de plaga como Enrutada.

  6. Introduce la plaga de IP del Subred.

  7. Define la IP de la Puerta de enlace al router VPC, que es la primera dirección IP del host de la plaga Native.

  8. (Opcional) Configura el NAT Estático para la plaga.

  9. Haz clic en Aplicar. La plaga se añade a la pantalla de Redes.

awsiprange.png

La captura de pantalla de arriba muestra estos ajustes de ejemplo para la plaga enrutada:

  • Plaga Native - 10.0.2.0/24

  • Plaga enrutada - 10.0.26.0/24

  • IP de la puerta de enlace - 10.0.2.1

(Opcional) Configurar IMDSv2 para las instancias EC2

El IMDS (Instance Metadata Service) proporciona acceso seguro para recuperar los metadatos de una instancia. Cato usa este servicio para obtener la siguiente información:

  • Número de serie en los datos del usuario

  • ID de instancia

  • Información relacionada con HA

  • Configuración de clave y nombre de host para modificar la tabla de rutas

A partir de Socket v20 build 18221, Cato está añadiendo soporte para IMDSv2.

Para configurar tu instancia para usar IMDSv2:

  1. En AWS, selecciona la instancia que deseas configurar.

  2. Selecciona Acciones > Configuración de instancia.

  3. En la sección Modificar opciones de metadatos de instancia, bajo IMDSv2 selecciona Requerido.

  4. Haz clic en Guardar.

Este cambio no causa ningún tiempo de inactividad. Sin embargo, si tienes un despliegue HA, debes configurar tanto las instancias primarias como las secundarias para usar la misma versión de IMDS.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 6 de 6

0 comentarios