Déploiement d'un Site vSocket AWS manuellement

Vue d'ensemble des vSockets AWS

Vous pouvez connecter votre VPC AWS à Cato à l'aide d'un tunnel IPsec ou d'un Socket virtuel (vSocket). Cet article décrit comment déployer un vSocket sur une instance EC2.

Le vSocket offre ces avantages :

  • Gestion de la bande passante et contrôle de QoS
  • Optimise la connectivité vers les PoP dans le Cloud Cato
  • Support pour les configurations de haute disponibilité

Pour plus d'informations sur les sites vSocket et IPsec, consultez Sélection du type de connexion pour un site.

Cet article suppose que vous avez déjà un VPC dans votre environnement AWS.

Remarque

Note : En raison des régulations en Chine, pour déployer un site vSocket AWS en Chine, veuillez contacter votre représentant Cato ou le Support Cato.

Prérequis

  • Vous devez avoir des permissions d'administrateur sur le tableau de bord AWS et l'Application de gestion de Cato. De plus, vous devez avoir les autorisations suivantes dans AWS :

    • AWS Marketplace
    • Création de paire de clés
  • Assurez-vous que l'environnement répond aux exigences énumérées dans Prérequis pour la connexion Cato Socket.

Limitations AWS

AWS ne prend pas en charge ces fonctionnalités réseau :

  • Plages VLAN
  • Plages DHCP

Vue d'ensemble élevée de la création du vSocket AWS

  1. Dans l'Application de gestion de Cato, créez un nouveau site pour le vSocket AWS.
  2. Créer les ressources virtuelles AWS
  3. Dans AWS Marketplace, abonnez-vous à l'offre AMI de Cato Networks pour connecter les ressources virtuelles à votre instance EC2
  4. Lancer l'instance vSocket
  5. Vérifiez que le vSocket est connecté à votre compte.

Création du site vSocket dans l'application de gestion Cato

Créez le site vSocket AWS dans l'Application de gestion de Cato, et le numéro de série pour le vSocket est généré. Ce numéro de série est utilisé lors du lancement de l'instance EC2.

L'IP locale pour le vSocket doit être la même que l'adresse IP pour l'interface LAN sur l'instance EC2. Les trois premières adresses IP du sous-réseau sont réservées par le VPC.

Après avoir créé le site, l'Application de gestion de Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Vous devez entrer ce numéro de série lorsque vous lancez l'instance EC2).

Création d'un site AWS

Pour créer le site pour le vSocket AWS :

  1. Dans l'Application de gestion de Cato, dans le menu de navigation, sélectionnez Réseau > Sites.

  2. Cliquez sur Nouveau. Le panneau Ajouter un site s'ouvre.

    awsSocketsite.png
  3. Configurez les paramètres Généraux pour le site :
    1. Entrez le Nom du site.
    2. Sélectionnez le Type de site. Cette option détermine quelle icône est utilisée pour le site dans la fenêtre Topologie.
    3. Sélectionnez vSocket AWS pour le Type de connexion.
    4. Configurez le Pays, l'État et le fuseau horaire pour définir le cadre temporel de la fenêtre de maintenance. Pays, et État.
  4. Configurez les Paramètres d'interface WAN, y compris la bande passante Descendante et Montante selon la bande passante de votre ISP.
  5. Configurez les paramètres de l'interface LAN, y compris la Plage Native pour le site AWS. Ce paramètre doit être identique à la plage d'IP du sous-réseau LAN dans AWS (voir ci-dessous Création des sous-réseaux MGMT, WAN et LAN).
  6. Cliquez sur Appliquer. Le site est ajouté à la liste des Sites.

Copie du numéro de série du vSocket

L'Application de gestion de Cato génère automatiquement un numéro de série unique pour le nouveau vSocket. Vous devez entrer ce numéro de série (S/N) lorsque vous configurez l'AMI (voir ci-dessous Configuration de l'AMI Cato).

Pour copier le numéro de série :

  1. Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.
  2. Dans le menu de navigation, sélectionnez Configuration du Site > Socket.

  3. Copiez le S/N pour le vSocket.

    Vous devez entrer ce numéro de série lorsque vous lancez l'instance vSocket.

Création des ressources virtuelles AWS

Une fois le vSocket créé, vous pouvez créer les ressources virtuelles AWS et les connecter à votre instance EC2 en utilisant le modèle AMI dans AWS Marketplace.

Création manuelle des ressources virtuelles AWS

Créez ces ressources virtuelles pour l'instance vSocket :

Remarque

Note : Si ces ressources existent déjà, vous pouvez procéder à l'association des ressources avec l'instance EC2, ci-dessous.

  • Passerelle internet
  • Trois sous-réseaux - WAN, LAN et MGMT
  • Groupe(s) de sécurité pour gérer la communication entrante et sortante
  • Trois interfaces (ENIs) - WAN, LAN et MGMT
  • Deux tables de routage - Internet et LAN
  • Deux IP Élastiques (pour les interfaces WAN et MGMT)

Définition de la passerelle Internet pour le VPC

Utilisez le tableau de bord du Virtual Private Cloud (VPC) AWS pour créer une nouvelle passerelle Internet et la rattacher à votre VPC.

01_VPC_Dashboard.png

Pour créer la nouvelle passerelle internet et l'attacher au VPC :

  1. Depuis le tableau de bord VPC, dans le menu de navigation sélectionnez Cloud Privé Virtuel > Passerelles Internet.
  2. Cliquez sur Créer une passerelle Internet.
  3. Dans Étiquette de nom, entrez le nom pour la passerelle Internet.

  4. Cliquez sur Créer passerelle internet. Le tableau de bord VPC montre les détails pour la passerelle Internet.

    01a_Attach_IGW.png
  5. Dans le menu déroulant Actions, sélectionnez Attacher au VPC.
  6. Dans la fenêtre Attacher au VPC, dans la section VPCs disponibles, sélectionnez le VPC.
  7. Cliquez sur Attacher passerelle internet. La passerelle Internet est attachée à votre VPC.

Création des sous-réseaux MGMT, WAN et LAN

Créez ces sous-réseaux dans AWS et ils sont automatiquement attachés au VPC :

  • Sous-réseau MGMT
  • Sous-réseau WAN
  • Sous-réseau LAN - ceci est la même valeur que la Plage Native pour le site.

Assurez-vous que tous les sous-réseaux sont dans la même zone de disponibilité AWS.

02_CreateSubnet.png

Pour créer le sous-réseau pour le vSocket AWS :

  1. Depuis le tableau de bord VPC, dans le menu de navigation sélectionnez Cloud Privé Virtuel > Sous-réseaux.
  2. Cliquez sur Créer sous-réseau.
  3. Depuis la fenêtre Créer sous-réseau, dans la section VPC, sélectionnez l'ID du VPC.
  4. Configurez les paramètres pour le sous-réseau :
    1. Entrez le Nom du sous-réseau.
    2. Sélectionnez la Zone de disponibilité pour le sous-réseau.
    3. Entrez le bloc IPv4 CIDR pour le sous-réseau. Pour le sous-réseau LAN - ceci est la même valeur que la Plage Native pour le site.
  5. Pour ajouter des sous-réseaux supplémentaires, cliquez sur Ajouter un nouveau sous-réseau et répétez l'étape précédente 4.
  6. Cliquez sur Créer sous-réseau. AWS crée les sous-réseaux et les attache au VPC.

Configuration des groupes de sécurité

Configurez les règles du groupe de sécurité pour le trafic WAN et MGMT avec des règles sortantes qui autorisent tout le trafic sortant, afin que le trafic puisse atteindre le Cato Cloud.

Création des interfaces WAN et LAN

Créer les interfaces WAN et LAN pour le vSocket pour l'instance EC2. Utilisez le tableau de bord EC2 pour créer les interfaces.

Réglez l'adresse IP Personnalisée pour l'interface LAN sur la même adresse IP que l'IP locale pour la Plage Native. N'utilisez pas les 3 premières adresses IP car elles sont réservées par AWS.

Vous devez désactiver la vérification source/destination AWS sur l'interface LAN pour permettre à l'instance EC2 d'effectuer le transfert de trafic.

Remarque

Remarque : Pour assurer un bon comportement du vSocket, définissez des options DHCP personnalisées avec un serveur de confiance comme serveur DNS principal

04_LAN_NIC.png

Pour créer l'interface réseau (ENI) :

  1. Depuis le tableau de bord EC2, dans le menu de navigation, sélectionnez Réseau & Sécurité > Interfaces réseau.
  2. Cliquez sur Créer une interface réseau.
  3. Dans la fenêtre Créer une interface réseau, sélectionnez le sous-réseau LAN.
  4. Dans Adresse IPv4 privée, cliquez sur Personnalisé et entrez l'IP locale pour le Native Range.
  5. Dans Groupes de sécurité, sélectionnez le groupe de sécurité approprié pour l'interface.
  6. Cliquez sur Créer une interface réseau. AWS crée l'interface.
  7. Répétez les étapes précédentes pour l'interface WAN.
  8. Pour l'interface LAN, désactivez le suivi source/destination d'AWS :

    1. Dans la fenêtre Interfaces réseau, faites un clic droit sur l'interface LAN et sélectionnez Modifier source/dest. vérification.

      05_LAN_INT_source-dest.png
    2. Dans la fenêtre Modifier la vérification source/destination, désactivez Activer.
    3. Cliquez sur Sauvegarder.

Création des tables de routage

Créer de nouvelles ou utiliser les tables de routage VPC existantes pour le trafic vSocket :

  • Table de routage privée pour les sous-réseaux LAN

    • Attachez le sous-réseau LAN
    • Définissez le Socket LAN ENI comme cible (next hop) pour la route par défaut

  • Une seule table de routage Internet pour les sous-réseaux MGMT et WAN. Cette table de routage est utilisée pour fournir la connectivité entre le vSocket et les ressources du Cato Cloud.

    • Attachez les sous-réseaux WAN et MGMT
    • Définissez la passerelle Internet comme cible (next hop) pour la route par défaut

Pour créer les tables de routage Internet et LAN :

  1. À partir du tableau de bord VPC, dans le menu de navigation, sélectionnez Cloud privé virtuel > Tables de routage.
  2. Cliquez sur Créer une table de routage.
  3. Dans Étiquette de nom, entrez le nom pour la table de routage Internet ou LAN.
  4. Sélectionnez le VPC pour le vSocket.
  5. Cliquez sur Créer. La table de routage est ajoutée au VPC.
  6. Associez les sous-réseaux WAN et MGMT à la table de routage Internet, ou le sous-réseau LAN à la table de routage LAN.

    1. Faites un clic droit sur la table de routage et sélectionnez Modifier les associations de sous-réseau. Ceci est un exemple de table de routage Internet.

      06_Internet_route_table.png

    2. Dans la fenêtre Modifier les associations de sous-réseau :

      • Pour la table de routage Internet, sélectionnez les sous-réseaux MGMT et WAN
      • Pour la table de routage LAN, sélectionnez le sous-réseau LAN
    3. Cliquez sur Sauvegarder. Les sous-réseaux sont associés à la table de routage.
  7. Ajoutez la route par défaut à chaque table de routage (commencez par configurer la table de routage Internet, puis celle du LAN).

    1. Faites un clic droit sur la table de routage, et sélectionnez Modifier les routes. La capture d'écran suivante montre la table de routage Internet :

      06_InternetGW_route.png
    2. Cliquez sur Ajouter une route.
    3. Définissez la Destination pour la nouvelle route sur 0.0.0.0/0.

    4. Dans Cible, sélectionnez le next hop pour la table de routage Internet ou LAN :

      • Pour la table de routage Internet, sélectionnez Passerelle Internet et choisissez la passerelle Internet pour le VPC
      • Pour la table de routage LAN, sélectionnez Interface réseau et choisissez le LAN ENI. La capture d'écran suivante montre la table de routage LAN :
      LAN_RouteTable.png
    5. Cliquez sur Enregistrer les modifications.
    6. La fenêtre indique que la route a été créée avec succès, cliquez sur Fermer.
  8. Répétez les étapes précédentes pour la table de routage LAN.

Association d'adresses IP élastiques à une interface

Créez et associez des adresses IP Elastic avec les interfaces WAN et MGMT. Vous pouvez utiliser une adresse IP publique qui est allouée à partir du pool d'adresses IPv4 d'Amazon.

Remarque

Remarque : L'adresse IP élastique pour l'interface MGMT doit être associée à l'interface MGMT automatiquement créée par l'AMI Cato lors de la création de l'instance, et non à une créée manuellement.

Pour allouer une adresse IP Elastic :

  1. Depuis le tableau de bord EC2, dans le menu de navigation, sélectionnez Réseau & Sécurité > IP Elastic.
  2. Cliquez sur Allouer une adresse IP Elastic.
  3. Pour le pool d'adresses IPv4 publiques, sélectionnez Le pool d'adresses IPv4 d'Amazon.
  4. Cliquez sur Allouer. L'IP Elastic est allouée.

  5. Sélectionnez l'IP Elastic, et choisissez Actions > Associer une adresse IP Elastic.

    07_associate_Elastic.png
  6. Dans la fenêtre Associer une adresse IP Elastic, sous Type de ressource, sélectionnez Interface réseau.
  7. Dans Interface réseau, sélectionnez l'interface WAN.
  8. Cliquez sur Associer. L'IP Elastic est associée à l'interface.
  9. Répétez les étapes précédentes pour l'interface MGMT.

Configuration de l'instance EC2 pour le vSocket

Après avoir créé toutes les ressources virtuelles pour le vSocket, connectez ces ressources à votre instance EC2 en utilisant l'AMI de Cato Networks disponible sur le AWS Marketplace.

Types d'instances EC2 prises en charge

Les types d'instances EC2 suivants sont certifiés pour les vSockets :

  • t3.large
  • t3.xlarge
  • c3.xlarge
  • c4.xlarge
  • c5.xlarge
  • c5d.xlarge
  • c5n.xlarge (Suggéré pour les sites à haute performance avec une bande passante supérieure à 2 Gbps)
  • d2.xlarge 

Voir cet article pour consulter les spécifications des types d'instances afin de vous aider à choisir un type qui correspond aux exigences du site. 

Remarque

Remarque: Si les instances c3.xlarge ou c4.xlarge ne sont pas disponibles dans votre région, contactez le support client AWS.

Configuration de l'AMI Cato

Après avoir préparé l'environnement, vous pouvez maintenant configurer l'AMI de Cato Networks.

Configurez l'AMI :

  1. Depuis la AWS Marketplace, recherchez le Virtual Socket de Cato Networks.
  2. Cliquez sur Continuer pour s'abonner.

  3. Cliquez sur Continuer pour la configuration.

    • Sous Option de fulfillment, sélectionnez Image Machine Amazon.
    • Sous Région, assurez-vous de sélectionner la région où se trouve votre vSocket.
    Cato_AMI.png
  4. Cliquez sur Continuer vers le lancement.

  5. Dans la page Lancer ce logiciel :

    1. Sous Choisir Action, sélectionnez Lancer via EC2.
    2. Sous Type d'instance EC2, sélectionnez l'instance EC2.
    3. Sous Paramètres VPC, sélectionnez le VPC auquel vous vous connectez.
    4. Sous Paramètres de sous-réseau, sélectionnez le réseau MGMT.
    5. Sous Paramètres du groupe de sécurité, sélectionnez le groupe de sécurité que vous avez créé pour cette instance.

    6. Développez Configuration avancée du réseau et sous Interface réseau sélectionnez l'interface MGMT que vous avez créée.

      Remarque: Si vous ne sélectionnez pas une interface existante, une nouvelle interface est créée.

      AWS_vSocket_Cato_AMI_advanced_network_config.png
    7. Sous Paramètres de clé, sélectionnez la paire de clés que vous avez créée.
    8. Dans la section Détails avancés, sous Données utilisateur - optionnel, entrez le numéro de série que vous avez copié depuis le site vSocket que vous avez créé dans l'application de gestion Cato.
  6. Cliquez sur Lancer.

Attacher les interfaces à l'instance vSocket

Après le lancement de l'instance vSocket, l'interface MGMT est attachée à celle-ci. Arrêtez l'instance puis attachez les interfaces WAN et LAN restantes à l'instance.

Remarque

Remarque : Assurez-vous que l'instance EC2 est arrêtée et attachez d'abord l'interface WAN, puis l'interface LAN.

Pour attacher les interfaces à l'instance vSocket:

  1. Depuis le tableau de bord EC2, dans le menu de navigation, sélectionnez Instances > Instances.
  2. Cliquez-droit sur l'instance vSocket et sélectionnez Arrêter l'instance.
  3. Dans la fenêtre de confirmation, cliquez sur Arrêter. Actualisez la fenêtre et confirmez que l'État de l'instance est Arrêté.
  4. Dans le menu de navigation, sélectionnez Réseau & Sécurité > Interfaces réseau.
  5. Attachez les interfaces WAN à l'instance :
    1. Cliquez-droit sur l'interface WAN et sélectionnez Attacher l'interface.
    2. Dans la fenêtre Attacher une interface réseau, sous Instance, sélectionnez l'instance vSocket.
    3. Cliquez sur Attacher.
    4. Répétez les trois étapes précédentes pour l'interface LAN.

Compléter l'installation de vSocket

Après avoir attaché les interfaces au vSocket, démarrez l'instance et confirmez qu'elle se connecte au Cato Cloud. Après la connexion du vSocket au Cato Cloud, il se met automatiquement à jour vers la dernière version de Socket.

Pour compléter l'installation du vSocket:

  1. De le tableau de bord EC2, dans le menu de navigation, sélectionnez Instances > Instances.
  2. Cliquez avec le bouton droit sur l'instance vSocket et sélectionnez Démarrer l'instance.
    Si l'instance est déjà en cours d'exécution, redémarrez-la.
  3. Dans l'application de gestion Cato, sélectionnez Mon réseau > Topologie.
  4. Confirmez que le site AWS est connecté au Cato Cloud.

(Optionnel) Connexion à l'interface Web du Socket

Nous ne recommandons pas de vous connecter à l'interface Web AWS vSocket en utilisant une adresse IP élastique. Si vous devez vous connecter à l'interface Web du Socket, utilisez ces paramètres:

  • Utilisez l'adresse IP élastique MGMT comme adresse IP publique pour le vSocket

    • Créez une règle de sécurité pour autoriser le trafic entrant à partir d'une seule adresse IP (l'adresse IP élastique)
  • Le nom d'utilisateur est admin
  • Le mot de passe par défaut est l'ID d'instance pour l'instance EC2 du vSocket

(Optionnel) Routage du trafic vers les instances EC2

Si vos instances EC2 applicatives sont associées à un sous-réseau autre que celui de la plage Native (un sous-réseau qui n'est pas celui de l'interface LAN vSocket), ajoutez une plage routée dans la section Réseaux pour le site dans l'application de gestion Cato.

Pour router le trafic vers l'instance EC2:

  1. À partir du menu de navigation, sélectionnez Réseau > Sites et sélectionnez le site.
  2. À partir du menu de navigation, sélectionnez Configuration du site > Réseaux.
  3. Dans la section LAN, cliquez sur Nouveau. Le panneau Nouvelle plage IP s'ouvre.
  4. Entrez le Nom de la plage IP.
  5. Définissez le Type de la plage sur Routée.
  6. Saisissez la plage d'IP du Sous-réseau.
  7. Définissez l'IP de la Passerelle sur le routeur VPC, qui est la première adresse IP hôte de la plage Native.
  8. (Optionnel) Configurez le NAT statique pour la plage.
  9. Cliquez sur Appliquer. La plage est ajoutée à l'écran Réseaux.
awsiprange.png

La capture d'écran ci-dessus montre ces paramètres d'exemple pour la plage routée :

  • Plage Native - 10.0.2.0/24
  • Plage routée - 10.0.26.0/24
  • IP de la passerelle - 10.0.2.1

(Optionnel) Configurer IMDSv2 pour les instances EC2

IMDS (Instance Metadata Service) offre un accès sécurisé pour récupérer les métadonnées d'une instance. Cato utilise ce service pour obtenir les informations suivantes :

  • Numéro de série dans les données utilisateur
  • ID d'instance
  • Informations relatives à HA
  • Paramètres de clé et d'hôte pour modifier la table de routage

À partir de la version Socket v20 build 18221, Cato ajoute la prise en charge d'IMDSv2.

Pour configurer votre instance pour utiliser IMDSv2:

  1. Dans AWS, sélectionnez l'instance que vous souhaitez configurer.
  2. Sélectionnez Actions > Paramètres de l'instance.
  3. Dans la section Modifier les options des métadonnées de l'instance, sous IMDSv2 sélectionnez Requis.
  4. Cliquez sur Enregistrer.

Cette modification n'entraîne aucun temps d'arrêt. Cependant, si vous avez un déploiement HA, vous devez configurer à la fois les instances primaires et secondaires pour utiliser la même version IMDS.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 7 sur 7

0 commentaire