Interconexión de Nube para Azure Nube Pública

Este manual explica cómo conectar Azure a Cato Cloud mediante Cloud Interconnect.

Para obtener más información sobre los sitios de Cloud Interconnect, consulta Getting Started with Cloud Interconnect Sites.

Descripción general de Cloud Interconnect para Azure

Cato solo admite el modelo Activo-Pasivo para el sitio de Cloud Interconnect con 2 circuitos. BGP se utiliza para intercambiar la información de enrutamiento entre los PoPs de Cato y los routers de borde de Azure y también para determinar el circuito activo para el sitio.

Mejores prácticas: Cato recomienda conectar dos circuitos en Azure para escenarios de resiliencia y redundancia. También se admiten configuraciones de un solo circuito.

Preparación para Crear un Sitio de Cloud Interconnect

Cuando creas un sitio de Cloud Interconnect de Azure, es necesario configurar las configuraciones para tu inquilino de Azure y la Aplicación de Gestión de Cato.

Antes de desplegar un sitio de Cloud Interconnect, es importante verificar que el caso de uso para la conexión Primaria y Secundaria sea compatible con las ubicaciones de PoP de Cato, los proveedores de la nube y los proveedores de infraestructura. Para obtener más información sobre la preparación para los sitios de Cloud Interconnect, consulta Getting Started with Cloud Interconnect Sites.

Nota

Nota: Para desplegar el sitio de Cloud Interconnect, Cato ofrece una configuración sin inconvenientes utilizando algunas credenciales básicas para crear la conexión con el proveedor de infraestructura (por ejemplo, Equinix). Si tu caso de uso no es compatible con la configuración automatizada, contacta a tu representante de cuenta (PS/SE/CSM) para desplegar la conexión manualmente.

Para cualquier problema que encuentres después de desplegar tu sitio de Cloud Interconnect, contacta a Soporte.

Descripción General de Alto Nivel de la Configuración de un Sitio de Cloud Interconnect

image2.png

Esta es una descripción general del proceso para configurar Cloud Interconnect para un sitio Cato Azure:

  1. Verifica que el caso de uso sea compatible con la ubicación de PoP de Cato, el proveedor de la nube y el proveedor de infraestructura.

    1. Para las ubicaciones de PoP que están inmediatamente disponibles, continúa con el paso 2.

    2. Para las ubicaciones de PoP que están disponibles en una fecha futura, espera a que Cato complete la configuración manual del backend antes de configurar el sitio de Cloud Interconnect.

  2. Crea dos circuitos ExpressRoute en Azure.

    1. Si es requerido por el soporte de Cato, envía las llaves de servicio para los circuitos creados a Cato para la provisión.

  3. En la Aplicación de Gestión de Cato, crea un nuevo sitio y elige el tipo de sitio como Cloud Interconnect.

    1. Configura subredes IP /30 para los circuitos primarios y secundarios para el sitio.

    2. Configura el ancho de banda por circuito.

  4. Configura BGP entre Cato y Azure:

    1. En Azure: una vez provisionado, configura el emparejamiento del circuito ExpressRoute y configura las mismas subredes IP que se añadieron a la Aplicación de Gestión de Cato.

    2. En la Aplicación de Gestión de Cato: configura la configuración de los pares BGP para los circuitos primarios y secundarios. (Cato automáticamente prefiere las métricas del par primario)

  5. Conecta tu Azure Virtual Network Gateway a los circuitos ExpressRoute primario y secundario.

  6. Prueba la conectividad con tu nuevo sitio.

A continuación, se presenta un ejemplo de topología de bajo nivel de un entorno de nube de Azure conectado a Cato a través de Cloud Interconnect.

AzureHighLevel.png

Configuración de los Ajustes en la Cuenta de Azure

Esta sección describe cómo configurar los ajustes para un centro de datos de Azure para que pueda conectarse al sitio de Cloud Interconnect en tu cuenta de Cato.

Para configurar los ajustes de Azure para el sitio de Cloud Interconnect:

  1. En Azure, crea un nuevo circuito ExpressRoute en Circuitos ExpressRoute > Crear.

  2. En Básico, selecciona el Grupo de Recursos y región de la instancia.

    CreateExpressRoute.png

  3. En la pestaña Configuración, configura estos ajustes:

    1. Selecciona el Tipo de Puerto como proveedor y selecciona un Proveedor de Cloud Interconnect de la lista desplegable Proveedor.

      Nota: El proveedor actualmente compatible es EquinixCloud Exchange (ECX). Se admitirán proveedores adicionales en el futuro.

    2. En Ubicación de Emparejamiento, selecciona la misma ubicación que el PoP al que te estás conectando.

      Nota

      Nota: Si tu instancia de Azure está ubicada en US East o US East 2, selecciona Washington DC como tu conexión de emparejamiento.

    3. Ancho de banda: Selecciona el ancho de banda alineado con tu licencia de Cato.

    4. SKU: Selecciona Standard o Premium

      Premium permite conectar un alto número de VNets al circuito mientras que Standard está limitado a 10 Redes Virtuales.

    5. Modelo de Facturación Medido: es un análisis de costo por consumo, mientras que ilimitado es una tarifa fija mensual para este circuito.

      Nota: Cambiar el modelo de facturación de Ilimitado a Medido NO es compatible con Azure. Sin embargo, puedes cambiar de Medido a Ilimitado en cualquier momento.

      CreateExpressRoute_config.png

    6. Revisa y haz clic en Crear el circuito ExpressRoute.

  4. Una vez que el circuito ExpressRoute se despliegue exitosamente, aparecerá como No aprovisionado. En esta etapa, no es posible configurar el emparejamiento de circuitos hasta que no estén completamente provisionados por el Proveedor de Servicios. (Por ejemplo, Equinix)

    unprovisioned.png

    Para completar el proceso de aprovisionamiento, el proveedor de servicios del centro de datos de Cloud Interconnect requiere la clave de servicio única generada por Azure para cada circuito ExpressRoute. (Vista en la página Visión general)

    1. Copia la Clave de Servicio. La necesitarás cuando utilices el asistente de conexión automatizada en la Aplicación de Gestión de Cato. Si estás creando la conexión manualmente, envía la Clave de Servicio a tu representante de Cato para la provisión con el proveedor de servicios.

    2. No puedes continuar con los siguientes pasos de esta guía hasta que el aprovisionamiento esté completo.

  5. Una vez provisionado, la configuración del circuito se vuelve editable y el estado del circuito en el portal de Azure cambiará de No aprovisionado a Aprovisionado.

    El siguiente paso es asociar el circuito ExpressRoute y el emparejamiento BGP (La siguiente configuración se replicará completamente en la Aplicación de Gestión de Cato en los pasos siguientes)

    1. En Emparejamientos, estas son las opciones - Azure privado, Azure público y Microsoft.

      Azure público está obsoleto para nuevos circuitos y Microsoft se utiliza para los servicios PaaS de Azure. Para este circuito seleccionaremos Azure privado (Más información está disponible aquí)

    2. Peer ASN – Este es el ASN que se utilizará para representar el lado de Cato en la configuración de Azure. Puedes usar cualquier ASN privado para el lado de Cato (el ASN del ‘par’).

    3. Subredes – IPv4.

    4. Subredes primarias y secundarias – Se requieren espacios de direcciones únicos para el emparejamiento, cada subred debe definirse con una notación /30. Como estándar de Microsoft Azure, la primera IP utilizable sirve como la IP del par para el router del cliente, mientras que la segunda IP sirve como IP del router de Microsoft. (Por ejemplo, una subred primaria de 172.16.0.0/30 usa 172.16.0.1 como el router Cato y 172.16.0.2 como el router MS)

      Azure requiere tanto una subred primaria como secundaria para ser configuradas, pero Cato usa solamente la subred primaria para cada circuito ExpressRoute. (En caso de configuración HA)

      Por lo tanto, se requiere una subred "ficticia" secundaria simulada para cumplir con los requisitos de Azure, pero NO se utilizará en la configuración de emparejamiento de Cloud Interconnect.

      La subred primaria configurada aquí también se usará en los pasos de configuración de la Aplicación de Gestión de Cato.

    5. ID de VLAN – Campo obligatorio: Las mismas configuraciones que el ID de VLAN configurado en la Aplicación de Gestión de Cato por el equipo de Cato. Este ID de VLAN se denota en todas las partes para la conexión - El proveedor de nube, la colocación de Equinix y el PoP de Cato. Este ID de VLAN será decidido por Cato y debe configurarse igual para el emparejamiento de tus proveedores de nube, si es necesario.

Vinculación de una VNet en Azure al Circuito ExpressRoute

Una vez que el circuito está provisionado, lo que queda es conectar recursos al circuito ExpressRoute y establecer conectividad entre Azure y la Aplicación de Gestión de Cato.

Esta sección cubre lo primero, si deseas establecer la conectividad con la Aplicación de Gestión de Cato primero, por favor, omite a Completing the Cloud Interconnect Configuration.

Limitaciones para Vincular un VNet de Azure con un Circuito ExpressRoute

  • Según Azure, desplegar un VNet Gateway puede tomar hasta ~45 minutos.

  • Asegúrate de evitar asociar grupos de seguridad de red con la subred Gateway, esto puede hacer que el VNet Gateway deje de funcionar.

  • Los VNets conectados a un ExpressRoute pueden comunicarse entre sí por defecto. Microsoft recomienda usar VNet Peering.

  • El número de espacios de direcciones anunciados desde las redes virtuales locales o emparejadas debe ser igual o menor a 1.000.

  • Con un SKU de circuito ExpressRoute Standard, puedes vincular hasta 10 redes virtuales. (VNets) Todas las redes virtuales deben estar en la misma región de la nube, mientras que un circuito ExpressRoute Premium permite más de 10 VNets en múltiples regiones de la nube. (El SKU por circuito se puede editar en la página de Configuración del circuito)

    SKU_standard.png

Antes de que el circuito ExpressRoute pueda ser vinculado, debes crear un Subnet Gateway y un Virtual Network Gateway o tener disponibles unos preexistentes. Más información sobre cómo hacer esto se puede encontrar aquí en la documentación oficial de Azure.

Para vincular un Virtual Network Gateway:

  1. En la página del circuito ExpressRoute, ve a Conexiones > Añadir.

  2. En la página Crear conexión, seleccione Tipo de conexión como ExpressRoute junto con un nombre y región dados y seleccione Siguiente.

    CreateConnection.png

  3. Seleccione el Gateway para enlazar en Virtual Network Gateway y seleccione su circuito aprovisionado en ExpressRoute Circuit.

  4. La conexión ahora aparece bajo la información del circuito.

    Connection_done.png

Creando el Sitio de Cloud Interconnect

En la Aplicación de Gestión de Cato, cree un nuevo sitio para el Cloud Interconnect proveedor.

Este artículo asume que está creando un sitio de Cloud Interconnect HA Activo-Pasivo. Si está creando un sitio de Cloud Interconnect con un solo circuito, por favor cree solo un Circuito ExpressRoute principal. (Solo recomendado para propósitos de prueba)

Para un sitio de Cloud Interconnect de Azure, recomendamos que cree el sitio al mismo tiempo que envía la solicitud inicial de aprovisionamiento. Esto le permite configurar la configuración de Cato para este sitio más rápidamente.

Para crear el Cloud Interconnect sitio:

  1. En la Aplicación de Gestión de Cato, bajo Red > Sitios, haga clic en Nuevo para crear un nuevo sitio.

  2. Seleccione el Tipo de Conexión como Cloud Interconnect y defina la configuración para el sitio.

    image8.png

  3. Haz clic en aplicar y, a continuación, haz clic en Guardar.

  4. Seleccione el nuevo sitio y vaya a Configuración del Sitio > Cloud Interconnect y haga clic en Nueva Conexión.

    Nota

    Nota: Para los despliegues HA, asegúrese de crear primero la conexión Principal.

    azure-cross-connect.png

Completando la Configuración de Cloud Interconnect

Después de crear la ruta expresa, continúe con la configuración del sitio Cloud Interconnect que comenzó anteriormente.

azure-cross-connect.png

  1. Bajo Configuración de Azure Express Route, ingrese su clave del servicio Azure Express Route que creó.

  2. Bajo Validar su Conexión, haga clic en Validar. El Ancho de Banda y la Ubicación de Peering de Azure se completan automáticamente.

  3. Haga clic en aplicar.

    Después de que la conexión esté establecida, proceda a configurar BGP.

Definiendo la Configuración de BGP para el Sitio

Esta sección explica cómo definir la sesión de BGP sobre la conexión de peering privado existente.

El sitio de conexión cruzada se muestra en el estado Conectado cuando al menos un par de BGP es alcanzable, independientemente del estado de aprovisionamiento con su proveedor de nube.

El establecimiento de BGP es el único indicador de la conectividad del sitio. BGP también permite determinar el intercambio de rutas y la conmutación por error del túnel.

Para configurar los Cloud Interconnect ajustes de BGP para el sitio:

  1. Configure los mismos ajustes en la pestaña BGP que en la Cloud Interconnect configuración del sitio. Para cada circuito, vaya a Configuración del Sitio > BGP y haga clic en Nuevo.

  2. Bajo Configuración de ASN, configure el ASN de Cato como el valor de su elección (asegúrese de que coincida con el ASN de par previamente configurado en la página de configuración de Azure ExpressRoute)

  3. Configure el ASN de Par como 12076. Esta es una notación de ASN reservada utilizada por Azure para los circuitos ExpressRoute.

  4. Bajo la configuración de IP, configure la IP del Par. Esta es la misma IP configurada en la configuración de Cloud Interconnect como Sitio. (Esta IP representa la IP del par del proveedor de nube.)

    La IP de Cato se selecciona automáticamente en función de la configuración de Cloud Interconnect.

    image10.png

  5. Defina la política de enrutamiento BGP: es posible manipular la política de anuncios de rutas para cada par.

    Recomendamos que haya políticas iguales para ambos pares en un sitio Cloud Interconnect para evitar discrepancias de enrutamiento.

    1. Las opciones de Anunciar le permiten configurar cómo el sitio anuncia las rutas BGP para este vecino.

      • Ruta predeterminada - El sitio anuncia una ruta predeterminada (0/0) a los vecinos BGP. Los vecinos pueden enviar todo el tráfico a esta ruta predeterminada, incluso si no está en la tabla de enrutamiento. Puede agregar etiquetas de comunidad BGP a la ruta predeterminada. Para más sobre comunidades BGP, consulte Trabajando con Filtrado de BGP.

      • Todas las rutas - El sitio anuncia la tabla de enrutamiento interno para toda la cuenta al vecino BGP. Estas rutas incluyen rangos estáticos y flotantes, además de las rutas aprendidas de otros pares en este sitio y a través de su red. Esta opción a menudo se habilita para enviar el tráfico WAN al vecino BGP.

        Nota: Todo el rango de usuarios SDP se anuncia al par BGP como una sola ruta.

      • Resumen de rutas - Al anunciar una ruta resumida en lugar de múltiples rutas únicas, los pares BGP pueden simplificar sus decisiones de envío y minimizar los recursos computacionales requeridos para la búsqueda de rutas. Consulte, Trabajando con Resumen de Rutas BGP.

    2. En la sección Aceptar, seleccione si el sitio acepta o descarta las direcciones IP dinámicas que publica este vecino. Cuando selecciona una opción de Descartar, está limitando la propagación dinámica de este vecino BGP. Para obtener más información sobre listas de rutas BGP, consulte Trabajando con Filtrado de BGP.

      Por ejemplo, en implementaciones que utilizan AWS Direct Connect, BGP es requerido pero no se desea aceptar las direcciones dinámicas de AWS. En estas implementaciones, recomendamos que seleccione Descartar todo.

    3. En la sección NAT, seleccione Realizar NAT a IPs públicas para que el sitio realice SNAT a todas las IPs y el tráfico se traduzca a la dirección IP LAN.

      BGP_Policy_options.png

  6. Configure los Ajustes Adicionales para las rutas BGP:

    1. MD5 – Una capa adicional de seguridad.  Este campo es obligatorio. (En Azure, este es el atributo de Clave Compartida)

    2. Métrica – La prioridad del par puede ser cambiada.

      El perfil de configuración esperado es tener una mejor métrica para el par principal que para el par secundario.

    3. Valores de Tiempo de retención e intervalo de Keepalive.

    4. Seguimiento > Notificación por Correo Electrónico – Alertas opcionales para cambios en la conectividad BGP.

    image12.png

  7. Haga clic en aplicar.

    El sitio Cloud Interconnect está configurado. Verifique que el sitio esté funcionando correctamente, vea a continuación Monitoreo y Pruebas de Conectividad para el Sitio de Cloud Interconnect.

Ejemplo de Política BGP para el Sitio de Cloud Interconnect

Vea el siguiente ejemplo de dos pares en la configuración Activo-Pasivo compatible con Cato. (La métrica del par principal es 90, la métrica del par secundario es 100)

image13.png

Monitoreo y Pruebas de Conectividad para el Sitio de Cloud Interconnect

Ahora que la configuración del sitio está completa, revisemos cómo se puede probar y monitorear la conexión.

Cato proporciona múltiples herramientas para ayudarle a monitorear su Cloud Interconnect sitio y solucionar cualquier problema potencial, incluyendo:

Herramienta de Prueba de Conectividad

Puede probar la accesibilidad IP de Cloud Interconnect punto a punto de cada circuito usando la herramienta de Prueba de Conectividad.

La herramienta de Prueba de Conectividad en Configuración del Sitio > Cloud Interconnect envía sondeos ICMP desde la IP de PoP de Cato a la IP remota del sitio de la conexión primaria o secundaria.

Estos son los resultados de los sondeos ICMP:

  • Éxito - Prueba ejecutada exitosamente

  • Error - La prueba no fue ejecutada. (Prueba agotada por el PoP de Cato o incapaz de ser ejecutada)

  • Fallido - Prueba realizada exitosamente sin respuesta de la IP remota del par

Monitoreo LAN

Puede usar la función de Monitoreo LAN para:

  • Realizar sondeos ICMP continuos desde el PoP de Cato a la IP remota del circuito primario.

    Nota: El Monitoreo LAN solo monitorea el circuito primario para el sitio de Cloud Interconnect.

  • Los cambios de estado de actividad de los hosts para instancias dentro de la red del Proveedor de Nube.

Es posible establecer umbrales personalizados e intervalos ICMP y definir notificaciones por correo electrónico a una lista de correo al cumplir con estos umbrales.

image16.png

Este es un ejemplo de una notificación por correo electrónico para Monitoreo LAN:

image.png

Estado BGP

En Configuración del Sitio > BGP, el Mostrar Estado BGP confirma la conectividad de cada circuito.

El estado muestra información detallada sobre las subredes aprendidas, anunciadas y datos adicionales sobre los pares BGP.

Ejemplo de salida de estado BGP:

image15.png

Notificaciones por Correo Electrónico BGP

Para cada par, recomendamos configurar notificaciones de cambio de estado del vecino BGP. Las notificaciones por correo electrónico se envían directamente a una lista de correo de administradores al cambiar el estado de conexión del par BGP.

Configure notificaciones por correo electrónico en Configuración del Sitio > BGP > Vecino BGP > Ajustes Adicionales > Seguimiento.

Seleccione la Frecuencia de alerta y la Lista de Correo.

Cato permite la siguiente configuración de Frecuencia:

  • Inmediata - Notificación enviada a los destinatarios por cada ocurrencia.

  • Cada hora - Enviar notificación con la primera ocurrencia. No enviar correos electrónicos adicionales si hay más ocurrencias dentro de una hora.

  • Diario - Enviar notificación con la primera ocurrencia. No enviar más si hay más ocurrencias dentro de un día.

  • Semanal - Enviar notificación con la primera ocurrencia. No enviar más si hay más ocurrencias dentro de una semana.

Ejemplo de notificación por correo BGP:

BGPemail.png

Tabla de Enrutamiento

La pantalla de Monitoreo > Tabla de Enrutamiento muestra todas las rutas de su cuenta incluyendo rutas dinámicas.

La tabla de enrutamiento puede usarse para determinar qué túnel, primario o secundario, es responsable de anunciar estas rutas en función del Próximo Salto, PoP y Métrica del Túnel.

Las rutas que se originan en BGP aparecen como un tipo de enrutamiento Dinámico. Las rutas del par del circuito Pasivo aparecen en gris. Los subredes punto a punto de ambos circuitos aparecen como un tipo de enrutamiento Estático en la tabla de enrutamiento.

Por ejemplo, la siguiente ruta dinámica 172.29.0.0/24 está anunciada desde el PoP de Nueva York y tiene una métrica de 5 (la mayor) que es el túnel primario y actualmente activo.

La misma ruta es anunciada por el túnel secundario en PoP de Ashburn también con una métrica inferior de 10.

En caso de que el túnel secundario en PoP de Ashburn se convierta en el túnel activo, la tabla de enrutamiento se ajustaría en consecuencia para esta ruta.

image18.png

Los pares BGP son Estáticos y tienen su propia entrada en la tabla de enrutamiento. Estos servidores pares como el Próximo Salto para las rutas BGP Dinámicas anunciadas detrás de ellos. De manera similar a otras rutas, se puede discernir la Información de Métrica para entender qué par está actualmente activo con una métrica más alta y a través de qué ubicación Cato PoP.

image.png

Eventos

En la pantalla Monitorización del Sitio > Eventos, Cato agrega todos los eventos registrados relacionados con el sitio.

Los eventos clave se pueden utilizar para analizar una línea de tiempo de eventos tales como. Puede filtrar los Eventos relevantes utilizando los siguientes sub-tipos de eventos:

  • Sesión BGP – Notifica el establecimiento o desconexión de sesiones BGP. Se puede inspeccionar un motivo identificado de desconexión en el registro de eventos ampliado. (Bajo el icono ‘+’)

  • Enrutamiento BGP – Cambios de rutas BGP como la adición o eliminación de nuevas rutas desde el par BGP.

  • Monitorización LAN – Estos eventos se registran como parte de la configuración de Monitorización LAN que configuraste. Si la Monitorización LAN no está configurada, estos eventos no se registrarían.

BGPevent.png

Analítica de la Red del Sitio

La analítica del sitio te permite monitorear el tráfico y rendimiento del sitio e incluye estos tableros:

  • Analítica de Red – Analiza cambios en el estado de conectividad, número de Flujos, Anfitriones y Rendimiento.

    Es importante recordar que la conectividad del sitio Cloud Interconnect se basa en los pares BGP. Si ambos pares BGP no son accesibles, el sitio se considera Desconectado.

    xconn-mbps.png

  • Eventos - Alimentación de eventos del sitio.

  • Analítica de Aplicaciones - Este tablero disecciona el rendimiento de los anfitriones y el uso de aplicaciones. Es posible agregar filtros como IP/anfitrión, Aplicación, Categoría, etc...

    AppAnalytics.png

  • Analizador de Prioridades - Este tablero permite analizar la distribución de QoS a lo largo del tiempo. (leer más sobre Analizador de Prioridades)

  • Anfitriones Conocidos – Un tablero en tiempo real para los anfitriones detrás del sitio. IP, tipo de OS y Actividad de Anfitrión están entre los puntos de datos disponibles por anfitrión.

    knownHosts.png

  • Tiempo Real - Este tablero permite la monitorización en tiempo real de los anfitriones activos, rendimiento, principales aplicaciones, QoS activo y más.

    RealTime.png

Cloud Interconnect Limitaciones con Azure

The following is a highlight list of limitations to consider before setting up an Azure Cloud Interconnect site:

  • Los IPs de emparejamiento están predeterminados – El primer IP usable representa al par “On-Prem” y el IP consecuente representa al router de MS Azure.

  • Cada ID de VLAN del túnel es asignado por Cato y debe configurarse en los ajustes de Azure. Sin el ID de VLAN asignado por Cato la configuración no funcionaría.

  • Al anunciar rutas, Azure no tiene opción para excluir/incluir rutas desde la VNet. Se anuncia la VNet completa.

  • ExpressRoute allows advertising up to 1,000 IPv4 prefixes and 100 IPv6 prefixes.

  • ExpressRoute allows receiving up to 4,000 prefixes from Cato. (Cato tiene una opción para la resumirización de rutas personalizadas. Si desea configurar la resumirización de rutas con BGP, por favor contacte el Soporte Cato)

  • ExpressRoute Premium allows for more than 10 VNets attachments in multiple Azure regions and up to 10,000 received prefixes.

    • Si se alcanza el límite de prefijos, Azure derriba la conexión BGP hasta que se restaure la capacidad del límite.

Puede leer más en la documentación oficial de ExpressRoute de Azure.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios