Vous pouvez connecter votre VPC AWS à Cato en utilisant un tunnel IPsec ou un Socket virtuel (vSocket). Cet article décrit comment déployer un vSocket sur une instance EC2.
Le vSocket offre ces avantages:
-
Contrôle de la gestion de la bande passante et QoS
-
Maximise la connectivité aux PoPs dans le Cato Cloud
-
Support pour les configurations de haute disponibilité
Pour plus d'informations sur les sites vSocket et IPsec, consultez Sélection du type de connexion pour un site.
Cet article suppose que vous avez déjà un VPC dans votre environnement AWS.
-
Vous devez avoir les permissions d'administrateur pour le tableau de bord AWS et l'Application de Gestion Cato. De plus, vous devez avoir les permissions suivantes dans AWS :
-
AWS Marketplace
-
Formation Cloud
-
Création de rôle IAM
-
Création de paire de clés
-
-
Assurez-vous que l'environnement répond aux exigences listées dans Prérequis de connexion de Socket Cato.
Les types d'instance EC2 suivants sont certifiés pour les vSockets :
-
t3.large
-
t3.xlarge
-
c3.xlarge
-
c4.xlarge
-
c5.xlarge
-
c5d.xlarge
-
c5n.xlarge (Suggested for higher performance sites with bandwidth above 2Gbps)
-
d2.xlarge
Voir cet article pour examiner les spécifications des types d'instance afin de vous aider à choisir un type qui correspond aux exigences du site.
Remarque
Remarque : Si les instances c3.xlarge ou c4.xlarge ne sont pas disponibles dans votre région, contactez le support client AWS.
-
Dans l'Application de Gestion Cato, créez un nouveau site pour le vSocket AWS
-
Déployez l'offre AWS de Cato Networks
-
Vérifiez que le vSocket est connecté à votre compte
Créez le site vSocket AWS dans l'Application de Gestion Cato, et le numéro de série pour le vSocket est généré. Ce numéro de série est utilisé lorsque vous lancez l'instance EC2.
L'IP locale pour le vSocket doit être la même que l'adresse IP pour l'interface LAN sur l'instance EC2. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.
Après avoir créé le site, l'Application de Gestion Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Vous devez entrer ce numéro de série lorsque vous déployez l'instance EC2 (voir ci-dessous Déployer le vSocket AWS).
Pour créer le site pour le vSocket AWS :
-
Dans l'Application de Gestion Cato, depuis le menu de navigation, sélectionnez Network > Sites.
-
Cliquez sur Nouveau. Le panneau Ajouter un site s'ouvre.
-
Configurez les paramètres Généraux pour le site :
-
Entrez le Nom du Site.
-
Sélectionnez le Type de Site. Cette option détermine quel icône est utilisé pour le site dans la fenêtre Topologie.
-
Sélectionnez vSocket AWS pour le Type de Connexion.
-
Configurer le Pays, État/Province et Fuseau Horaire pour définir la période de la fenêtre de maintenance.
-
-
Configurez les Paramètres de l'Interface WAN, y compris la bande passante Descendante et Montante selon la bande passante de votre fournisseur d'accès Internet.
-
Configurer les Paramètres de l'Interface LAN, y compris la Plage native pour le site AWS.
La Plage native doit être identique à la plage de sous-réseau LAN de l'instance EC2.
-
Cliquez sur Appliquer. Le site est ajouté à la liste des Sites.
L'Application de Gestion Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Ce numéro de série (S/N) doit être utilisé lors du lancement de l'instance EC2.
Cette procédure vous permet de déployer automatiquement tous les aspects de l'environnement AWS en utilisant un modèle prédéfini. Avant de commencer, assurez-vous d'avoir :
-
Les permissions nécessaires pour télécharger et exécuter le modèle depuis l'AWS Marketplace
-
Créé une paire de clés pour la communication chiffrée
-
Copié le numéro de série du vSocket que vous avez créé dans l'Application de Gestion Cato.
Pour déployer les ressources AWS en utilisant l'offre Cato :
-
Depuis l'AWS Marketplace, recherchez Cato Networks Virtual Socket.
-
Cliquez sur Continuer pour S'abonner.
-
Cliquez sur Continuer pour Configurer.
-
Sous Option d'exécution, sélectionnez Modèle de CloudFormation.
-
Sous Région, assurez-vous de sélectionner la région dans laquelle votre vSocket est situé.
-
-
Cliquez sur Continuer pour Lancer.
-
Dans le menu déroulant Choisir Action, sélectionnez Lancer CloudFormation.
-
Après avoir examiné les informations de configuration, cliquez sur Lancer.
-
Dans la page Créer pile, cliquez sur Suivant pour utiliser le modèle tel quel, ou cliquez sur Voir dans le Designer pour apporter des modifications à votre environnement.
-
Entrez les paramètres de Configuration du Réseau pour vos ressources virtuelles :
-
VPC - entrez la plage du réseau du VPC auquel vous vous connectez. Assurez-vous qu'il ne entre pas en conflit avec votre WAN.
-
Sous-réseaux MGMT, WAN et LAN - entrez la plage, au sein du VPC, à utiliser comme sous-réseaux respectifs.
-
-
Entrez les paramètres de Configuration de l'Instance pour vos ressources virtuelles :
-
MGMTENI - une adresse IP dans le sous-réseau MGMT pour l'interface MGMT. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.
-
WANENI - une adresse IP dans le sous-réseau WAN pour l'interface WAN. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.
-
LANENI - une adresse IP dans le sous-réseau LAN pour l'interface LAN. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.
-
KeyPair - sélectionnez la paire de clés que vous avez créée pour chiffrer cette connexion.
-
Numéro de série - le S/N que vous avez copié lors de la création du vSocket dans l'Application de Gestion de Cato.
-
Group Security Ingress - entrez l'adresse IP ou la plage qui peut initier une connexion à ces ressources virtuelles. Nous vous recommandons de limiter cela au plus petit groupe possible pour maintenir une bonne posture de sécurité.
-
-
Cliquez sur Suivant.
La nouvelle configuration est déployée et dans quelques minutes, le vSocket devrait afficher un statut Connecté.
Si vous devez vous connecter à la WebUI du Socket, utilisez ces paramètres :
-
Utilisez l'adresse IP élastique MGMT comme adresse IP publique pour le vSocket
-
Le nom d'utilisateur est admin
-
Le mot de passe par défaut est l'ID de l'Instance pour l'instance EC2 du vSocket
Si vos instances d'application EC2 sont associées à un sous-réseau de plage non-native (un sous-réseau qui n'est pas le sous-réseau d'interface LAN du vSocket), dans l'Application de Gestion de Cato ajoutez une plage routée dans la section Réseaux pour le site.
Pour acheminer le trafic vers l'instance EC2 :
-
Depuis le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.
-
Depuis le menu de navigation, sélectionnez Configuration du Site > Réseaux.
-
Dans la section LAN, cliquez sur Nouveau. Le panneau Nouveau Rango de IP s'ouvre.
-
Entrez le Nom pour la plage IP.
-
Définissez le Type de plage sur Routé.
-
Entrez la plage IP de sous-réseau.
-
Définissez l'IP du Gateway sur le routeur VPC, qui est la première adresse IP de l'hôte du sous-réseau Native Range.
-
(Optionnel) Configurez le NAT Statique pour la plage.
-
Cliquez sur Appliquer. La plage est ajoutée à l'écran de Réseaux.
La capture d'écran ci-dessus montre ces paramètres d'exemple pour la plage routée :
-
Plage Native - 10.0.2.0/24
-
Plage Routée - 10.0.26.0/24
-
IP du Gateway - 10.0.2.1
IMDS (Service de Metadata d'Instance) fournit un accès sécurisé pour récupérer les métadonnées d'une instance. Cato utilise ce service pour obtenir les informations suivantes :
-
Numéro de série dans les données utilisateur
-
ID de l'Instance
-
Informations liées à HA
-
Paramètres de clé et de nom d'hôte pour modifier la table de routage
À partir de Socket v20 version 18221, Cato ajoute la prise en charge de IMDSv2.
Pour configurer votre instance pour utiliser IMDSv2 :
-
Dans AWS, sélectionnez l'instance que vous souhaitez configurer.
-
Sélectionnez Actions > Paramètres de l'instance.
-
Dans la section Modifier les options de métadonnées d'instance, sous IMDSv2 sélectionnez Requis.
-
Cliquez sur Sauvegarder.
Ce changement ne provoque aucun temps d'arrêt. Cependant, si vous avez un déploiement HA, vous devez configurer à la fois l'instance principale et secondaire pour utiliser la même version d'IMDS.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.