Intégration de Cato avec Azure vWAN

Cet article fournit des informations sur Azure vWAN et comment intégrer les ressources virtuelles d'Azure et la topologie avec votre compte Cato en utilisant Terraform.

Note

Note : Les problèmes concernant vWAN et l'intégration de l'API sont soumis aux lignes directrices décrites dans la Politique de Support pour l'API Cato.

Qu'est-ce que Azure Virtual WAN

Azure Virtual WAN (vWAN) est un service de réseau unifié qui combine diverses fonctionnalités de réseau, de sécurité et de routage en une seule interface opérationnelle. Il prend en charge la connectivité des succursales via SD-WAN ou VPN, les connexions VPN site à site et utilisateur distant, la connectivité privée via ExpressRoute, et la connectivité intra-cloud pour les réseaux virtuels. En utilisant une architecture hub-and-spoke, il permet des capacités de réseau de transit global avec les régions Azure agissant comme des hubs interconnectés, facilitant une connectivité sans faille tout-à-tout. Ce design simplifie la gestion du réseau et améliore la performance et la scalabilité pour les environnements distribués.

Aperçu de l'architecture

Cato utilise IPsec pour connecter votre environnement Azure vWAN au Cato Cloud, puis Terraform peut intégrer automatiquement Azure vWAN avec votre compte.

vWAN_Diagram.png

Dans la configuration exemple ci-dessus, le Cato Cloud utilise deux connexions IPsec à chacun des hubs Azure. Cela fournit une redondance dans le cas où l'une des connexions est indisponible, vous permettant d'accéder à vos ressources dans Azure.

Voici les composants dans la configuration d'exemple ci-dessus :

  • vWAN : La ressource Virtual WAN (vWAN) est une superposition virtuelle du réseau Azure, comprenant plusieurs ressources. Elle inclut des liens vers tous les hubs au sein du vWAN. Chaque ressource vWAN est isolée et ne peut pas partager un hub commun. De plus, les hubs de différents vWANs ne communiquent pas entre eux.

  • Hub : Un hub virtuel est un réseau virtuel (VNet) géré par Microsoft qui contient divers points d'extrémité de service pour permettre la connectivité de votre réseau sur site (site VPN). Lorsque vous créez un hub WAN virtuel depuis le portail, cela génère un VNet et une passerelle VPN. Chaque région Azure ne peut avoir qu'un seul hub.

  • Connexion hub-à-hub: Dans un Virtual WAN, tous les hubs sont interconnectés. Cela signifie qu'un site, un utilisateur distant, ou des ressources derrière un VNet connecté à un hub local peuvent communiquer avec un autre site ou VNet grâce à l'architecture en maillage complet des hubs connectés.

  • Sites: Un site peut être le siège/le centre de données ou une succursale comme dans le schéma ci-dessus, ou il peut être une entité virtuelle située au sein de l'Azure vWAN. Les sites se connectent au Cato Cloud via divers types de connexions pris en charge par Cato, par exemple, les prises.

  • Connexion IPsec: Elle est utilisée pour connecter l'Azure vWAN à votre compte dans Cato.

Prérequis

  • Les informations de cet article supposent que vous avez déjà créé un Virtual WAN et des hubs virtuels dans le Portail Azure. Pour plus d'informations sur la création des ressources nécessaires dans Azure :

  • Terraform est déjà configuré pour avoir accès à votre environnement Azure. Pour plus d'informations, consultez la documentation Terraform.

Utilisation de Terraform pour créer l'intégration

Cato Networks utilise Terraform pour créer les ressources nécessaires à l'intégration avec Azure vWAN, y compris :

  • Créer la connexion VPN Gateway dans votre compte Azure

  • Création d'un site dans votre compte Cato. Vous devez créer un site distinct pour chaque hub Azure auquel vous souhaitez vous connecter

  • Créer les connexions IPsec principale et secondaire (vers différents Points de présence) entre le nouveau site et le hub Azure

  • Définition et configuration des pairs BGP dans le nouveau site

Récupération du module Terraform

Le module Cato pour l'intégration avec Azure vWAN est disponible dans le registre Terraform de Cato à l'adresse : https://registry.terraform.io/modules/catonetworks/azure-vwan/cato/latest

Téléchargez le module pertinent et assurez-vous d'avoir les fichiers suivants :

  • main.tf inclut les appels API que le Terraform exécute, par exemple, connexion aux fournisseurs, association des adresses IP allouées avec le site, et plus

  • variables.tf tous les paramètres pour les ressources Azure et Cato, par exemple, le token API Cato, ID du compte Cato, le nom du site IPsec, et plus

  • version.tf spécifie les fournisseurs requis pour Azure et Cato, et leurs versions respectives

Modification du fichier variables.tf

Le fichier variables.tf contient tous les paramètres dont vous aurez besoin pour obtenir des informations de vos comptes Azure et Cato, ainsi que les paramètres que vous devez fournir pour créer les ressources dont vous avez besoin dans votre compte.

Pour modifier le fichier variables.tf :

  1. Ouvrez le fichier dans un éditeur de texte.

  2. Fournissez les informations requises comme indiqué dans le tableau ci-dessous.

  3. Enregistrez le fichier.

Paramètre

Description

cato_baseurl

L'emplacement de l'API Cato

La valeur par défaut est : https://api.catonetworks.com/api/v1/graphql2

azure_subscription_id

L'abonnement Azure avec lequel vous effectuez l'intégration. Cette valeur peut être trouvée dans votre compte Azure sous Accueil > Abonnements.

azure_vwan_hub_id

Le hub Azure auquel vous souhaitez que le site IPsec de Cato se connecte. L'ID du hub peut être trouvé dans votre compte Azure sous Accueil > vWANs > <Nom du vWan> > Hubs. Cliquez sur Vue JSON et copiez le contenu du champ id.

cato_token

Le token API Cato

cato_account_id

L'ID associé à votre compte Cato Networks. Cela se trouve dans la CMA sous Administration > Informations générales.

site_name

Le nom du site IPsec que vous créez dans la CMA

cato_site_address_cidrs

Les plages locales des sites dans la CMA avec lesquelles Azure communiquera

Si vous avez plusieurs plages, entrez-les sous forme de liste séparée par des virgules au format CIDR

connection_bandwidth

Définissez combien de bande passante allouer pour la connexion VPN Azure (en Mbps)

vpn_site_primary_link_name

Le nom de la connexion IPsec principale entre le site dans la CMA et Azure, tel qu'il apparaîtra dans Azure

vpn_site_secondary_link_name

Le nom de la connexion IPsec secondaire entre le site dans la CMA et Azure, tel qu'il apparaîtra dans Azure

site_description

Une description du site IPsec dans la CMA

site_location

Entrez les paramètres d'emplacement pour le site IPsec dans la CMA. Cela inclut les informations suivantes :

  • Ville

  • Code du pays

  • Code de l'état

  • Fuseau horaire

cato_primary_public_ip

IP publique primaire de Cato (déjà attribuée à votre compte, disponible dans Réseau > Allocations IP)

cato_secondary_public_ip

IP publique secondaire de Cato (déjà attribuée à votre compte, disponible dans Réseau > Attributions IP)

bgp_enabled

Détermine si le BGP doit être activé pour le site IPsec. Cato recommande d'activer le peering BGP

cato_asn

L'ASN de Cato

cato_primary_peering_address

L'adresse de peering principale Cato

cato_secondary_peering_address

L'adresse de peering secondaire Cato

vpn_gateway_connection_name

Dans Azure, le nom de la connexion VPN Gateway

vpn_gateway_name

Dans Azure, le nom de la passerelle VPN

vpn_site_name

Le nom du site IPsec Cato tel qu'il apparaît dans Azure

Exécution du module Terraform

Une fois que vous avez configuré le fichier variables.tf et apporté les modifications souhaitées à main.tf, vous pouvez exécuter le module Terraform.

Note

Notes :

  • Le module prend environ 30 minutes pour se terminer

  • Si vous devez exécuter le module plus d'une fois pour créer des sites supplémentaires, attendez que la première exécution du module soit terminée avant de commencer une autre

Pour exécuter le module Terraform :

  1. Naviguez vers le dossier où tous les fichiers Terraform sont situés.

  2. Exécutez la commande suivante : terraform apply

  3. Terraform vous présentera une demande de confirmation expliquant que 4 ressources vont être créées. Approuvez la demande pour démarrer le processus.

Les ressources suivantes sont créées :

  • Connexion de la passerelle VPN Azure

  • Site IPsec Cato

  • Connexions IPsec primaires et secondaires entre le nouveau site et le hub Azure

  • Pairs BGP dans le nouveau site

Vérification de l'intégration

Une fois le module Terraform terminé, vous pouvez vérifier que l'intégration a réussi.

Pour vérifier que l'intégration a réussi :

  1. Dans le CMA, allez à Réseau > Sites et recherchez le site IPsec que vous avez défini.

  2. Cliquez sur le site et accédez à Paramètres du site > IPsec.

  3. Sous les sections Principal et Secondaire, vous devriez voir les nouvelles connexions qui ont été créées.

    • Vérifiez les valeurs des Adresses IP privées et de l'Identifiant d'authentification

    Si le Statut des connexions est toujours Déconnecté, attendez quelques minutes et rafraîchissez la page.

  4. Accédez à Paramètres du site > BGP.

  5. Vérifiez que les pairs BGP ont été créés, et cliquez sur Afficher le statut BGP pour vérifier qu'il y a une connexion.

    Si le Statut des connexions est toujours Déconnecté, attendez quelques minutes et rafraîchissez la page.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire