Déploiement d'un site vSocket depuis AWS Marketplace

Vue d'ensemble des vSockets AWS

Vous pouvez connecter votre VPC AWS à Cato en utilisant un tunnel IPsec ou un Socket virtuel (vSocket). Cet article décrit comment déployer un vSocket sur une instance EC2.

Le vSocket offre ces avantages:

  • Contrôle de la gestion de la bande passante et QoS

  • Maximise la connectivité aux PoPs dans le Cato Cloud

  • Support pour les configurations de haute disponibilité

Pour plus d'informations sur les sites vSocket et IPsec, consultez Sélection du type de connexion pour un site.

Cet article suppose que vous avez déjà un VPC dans votre environnement AWS.

Prérequis

  • Vous devez avoir les permissions d'administrateur pour le tableau de bord AWS et l'Application de Gestion Cato. De plus, vous devez avoir les permissions suivantes dans AWS :

    • AWS Marketplace

    • Formation Cloud

    • Création de rôle IAM

    • Création de paire de clés

  • Assurez-vous que l'environnement répond aux exigences listées dans Prérequis de connexion de Socket Cato.

Instances EC2 prises en charge

Les types d'instance EC2 suivants sont certifiés pour les vSockets :

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge (Suggested for higher performance sites with bandwidth above 2Gbps)

  • d2.xlarge 

Voir cet article pour examiner les spécifications des types d'instance afin de vous aider à choisir un type qui correspond aux exigences du site. 

Remarque

Remarque : Si les instances c3.xlarge ou c4.xlarge ne sont pas disponibles dans votre région, contactez le support client AWS.

Limitations AWS

AWS ne supporte pas ces fonctionnalités de réseau :

  • Plages VLAN

  • Plages DHCP

Vue d'ensemble de haut niveau de la création du vSocket AWS

  1. Dans l'Application de Gestion Cato, créez un nouveau site pour le vSocket AWS

  2. Déployez l'offre AWS de Cato Networks

  3. Vérifiez que le vSocket est connecté à votre compte

Création du site vSocket dans l'application de gestion Cato

Créez le site vSocket AWS dans l'Application de Gestion Cato, et le numéro de série pour le vSocket est généré. Ce numéro de série est utilisé lorsque vous lancez l'instance EC2.

L'IP locale pour le vSocket doit être la même que l'adresse IP pour l'interface LAN sur l'instance EC2. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.

Après avoir créé le site, l'Application de Gestion Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Vous devez entrer ce numéro de série lorsque vous déployez l'instance EC2 (voir ci-dessous Déployer le vSocket AWS).

Créer un nouveau site AWS

Pour créer le site pour le vSocket AWS :

  1. Dans l'Application de Gestion Cato, depuis le menu de navigation, sélectionnez Network > Sites.

  2. Cliquez sur Nouveau. Le panneau Ajouter un site s'ouvre.

    awsSocketsite.png

  3. Configurez les paramètres Généraux pour le site :

    1. Entrez le Nom du Site.

    2. Sélectionnez le Type de Site. Cette option détermine quel icône est utilisé pour le site dans la fenêtre Topologie.

    3. Sélectionnez vSocket AWS pour le Type de Connexion.

    4. Configurer le Pays, État/Province et Fuseau Horaire pour définir la période de la fenêtre de maintenance.

  4. Configurez les Paramètres de l'Interface WAN, y compris la bande passante Descendante et Montante selon la bande passante de votre fournisseur d'accès Internet.

  5. Configurer les Paramètres de l'Interface LAN, y compris la Plage native pour le site AWS.

    La Plage native doit être identique à la plage de sous-réseau LAN de l'instance EC2.

  6. Cliquez sur Appliquer. Le site est ajouté à la liste des Sites.

Copie du numéro de série du vSocket

L'Application de Gestion Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Ce numéro de série (S/N) doit être utilisé lors du lancement de l'instance EC2.

Pour copier le numéro de série :

  1. Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.

  2. Dans le menu de navigation, sélectionnez Configuration du Site > Socket.

  3. Copiez le S/N pour le vSocket.

Déploiement du vSocket AWS

Cette procédure vous permet de déployer automatiquement tous les aspects de l'environnement AWS en utilisant un modèle prédéfini. Avant de commencer, assurez-vous d'avoir :

  • Les permissions nécessaires pour télécharger et exécuter le modèle depuis l'AWS Marketplace

  • Créé une paire de clés pour la communication chiffrée

  • Copié le numéro de série du vSocket que vous avez créé dans l'Application de Gestion Cato.

Pour déployer les ressources AWS en utilisant l'offre Cato :

  1. Depuis l'AWS Marketplace, recherchez Cato Networks Virtual Socket.

  2. Cliquez sur Continuer pour S'abonner.

  3. Cliquez sur Continuer pour Configurer.

    • Sous Option d'exécution, sélectionnez Modèle de CloudFormation.

    • Sous Région, assurez-vous de sélectionner la région dans laquelle votre vSocket est situé.

  4. Cliquez sur Continuer pour Lancer.

  5. Dans le menu déroulant Choisir Action, sélectionnez Lancer CloudFormation.

  6. Après avoir examiné les informations de configuration, cliquez sur Lancer.

  7. Dans la page Créer pile, cliquez sur Suivant pour utiliser le modèle tel quel, ou cliquez sur Voir dans le Designer pour apporter des modifications à votre environnement.

  8. Entrez les paramètres de Configuration du Réseau pour vos ressources virtuelles :

    • VPC - entrez la plage du réseau du VPC auquel vous vous connectez. Assurez-vous qu'il ne entre pas en conflit avec votre WAN.

    • Sous-réseaux MGMT, WAN et LAN - entrez la plage, au sein du VPC, à utiliser comme sous-réseaux respectifs.

  9. Entrez les paramètres de Configuration de l'Instance pour vos ressources virtuelles :

    • MGMTENI - une adresse IP dans le sous-réseau MGMT pour l'interface MGMT. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.

    • WANENI - une adresse IP dans le sous-réseau WAN pour l'interface WAN. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.

    • LANENI - une adresse IP dans le sous-réseau LAN pour l'interface LAN. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.

    • KeyPair - sélectionnez la paire de clés que vous avez créée pour chiffrer cette connexion.

    • Numéro de série - le S/N que vous avez copié lors de la création du vSocket dans l'Application de Gestion de Cato.

    • Group Security Ingress - entrez l'adresse IP ou la plage qui peut initier une connexion à ces ressources virtuelles. Nous vous recommandons de limiter cela au plus petit groupe possible pour maintenir une bonne posture de sécurité.

  10. Cliquez sur Suivant.

La nouvelle configuration est déployée et dans quelques minutes, le vSocket devrait afficher un statut Connecté.

(Optionnel) Connexion à la WebUI du Socket

Si vous devez vous connecter à la WebUI du Socket, utilisez ces paramètres :

  • Utilisez l'adresse IP élastique MGMT comme adresse IP publique pour le vSocket

  • Le nom d'utilisateur est admin

  • Le mot de passe par défaut est l'ID de l'Instance pour l'instance EC2 du vSocket

(Optionnel) Acheminer le trafic vers les Instances EC2

Si vos instances d'application EC2 sont associées à un sous-réseau de plage non-native (un sous-réseau qui n'est pas le sous-réseau d'interface LAN du vSocket), dans l'Application de Gestion de Cato ajoutez une plage routée dans la section Réseaux pour le site.

Pour acheminer le trafic vers l'instance EC2 :

  1. Depuis le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.

  2. Depuis le menu de navigation, sélectionnez Configuration du Site > Réseaux.

  3. Dans la section LAN, cliquez sur Nouveau. Le panneau Nouveau Rango de IP s'ouvre.

  4. Entrez le Nom pour la plage IP.

  5. Définissez le Type de plage sur Routé.

  6. Entrez la plage IP de sous-réseau.

  7. Définissez l'IP du Gateway sur le routeur VPC, qui est la première adresse IP de l'hôte du sous-réseau Native Range.

  8. (Optionnel) Configurez le NAT Statique pour la plage.

  9. Cliquez sur Appliquer. La plage est ajoutée à l'écran de Réseaux.

awsiprange.png

La capture d'écran ci-dessus montre ces paramètres d'exemple pour la plage routée :

  • Plage Native - 10.0.2.0/24

  • Plage Routée - 10.0.26.0/24

  • IP du Gateway - 10.0.2.1

(Optionnel) Configurez IMDSv2 pour les Instances EC2

IMDS (Service de Metadata d'Instance) fournit un accès sécurisé pour récupérer les métadonnées d'une instance. Cato utilise ce service pour obtenir les informations suivantes :

  • Numéro de série dans les données utilisateur

  • ID de l'Instance

  • Informations liées à HA

  • Paramètres de clé et de nom d'hôte pour modifier la table de routage

À partir de Socket v20 version 18221, Cato ajoute la prise en charge de IMDSv2.

Pour configurer votre instance pour utiliser IMDSv2 :

  1. Dans AWS, sélectionnez l'instance que vous souhaitez configurer.

  2. Sélectionnez Actions > Paramètres de l'instance.

  3. Dans la section Modifier les options de métadonnées d'instance, sous IMDSv2 sélectionnez Requis.

  4. Cliquez sur Sauvegarder.

Ce changement ne provoque aucun temps d'arrêt. Cependant, si vous avez un déploiement HA, vous devez configurer à la fois l'instance principale et secondaire pour utiliser la même version d'IMDS.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire