Configuration de HA pour AWS vSockets

Cet article explique comment configurer un site dans le cloud Amazon Web Services (AWS) avec deux vSockets pour fournir une haute disponibilité (HA).

Vue d'ensemble de la haute disponibilité vSocket dans AWS

Pour fournir une redondance pour les vSockets au sein d'un site AWS, déployez deux vSockets dans un seul VPC et configurez-les pour fonctionner en mode haute disponibilité (HA). Les vSockets fonctionnent en mode actif/passif et les liens LAN sont utilisés pour envoyer des messages de maintien entre les vSockets.

Vous pouvez déployer les vSockets dans une seule Zone de Disponibilité (AZ) ou dans différentes AZs au sein du même VPC. Assurez-vous d'associer les deux sous-réseaux LAN à la même table de routage.

La solution de haute disponibilité exige que les deux vSockets aient les autorisations IAM pour utiliser les appels d'API pour modifier les tables de routage.

Pour plus d'informations sur l'installation d'un vSocket dans AWS, voir Déploiement d'un site vSocket depuis le AWS Marketplace. L'image vSocket est disponible publiquement sur le AWS Marketplace.

Prérequis pour la haute disponibilité AWS

  • La haute disponibilité dans AWS est prise en charge pour les vSockets qui utilisent la version de Socket 9.1 ou supérieure.

  • Tous les ressources virtuelles AWS doivent appartenir au même compte​

  • Les vSockets AWS doivent avoir accès à un serveur DNS public, assurez-vous que le VPC n'est pas configuré pour utiliser uniquement un serveur DNS privé.

    • Le serveur DNS doit être capable de résoudre les domaines internes AWS.

  • Chaque instance EC2 pour un vSocket doit avoir :

    • Des autorisations IAM qui permettent au vSocket de modifier la table de routage

    • Des sous-réseaux distincts pour chaque interface LAN

    • Une interface MGMT active qui effectue les appels d'API pour modifier la table de routage lors d'un basculement

  • Les règles de sécurité AWS doivent autoriser le trafic sur le port UDP 20480 dans les deux directions entre les interfaces LAN pour les vSockets.

Remarque

Remarque :

  • Alt. Les liens WAN ne sont pas pris en charge pour les déploiements HA AWS. Vous devez supprimer tout Alt. existant. Les liens WAN avant de mettre en œuvre la solution HA.

  • Le BGP n'est pas pris en charge pour HA vSocket AWS (uniquement pris en charge pour les vSockets AWS individuels).

  • Si vous rétrogradez un vSocket à une version antérieure à la version 9,1, le HA est désactivé pour le site. Le vSocket secondaire est supprimé du site.

    Nous vous recommandons de supprimer les paramètres HA du site avant de rétrograder un vSocket à une version antérieure non prise en charge.

Flux de travail de basculement vSocket AWS

Ceci est le flux de travail de basculement lorsque le vSocket actif principal passe au vSocket de secours dans un site AWS.

  1. Le vSocket principal (actif) tombe, et l'état du lien HA pour les ENIs LAN est changé en en panne.

  2. Le vSocket de secours (en attente) envoie une annonce qu'il est le nouveau vSocket actif (maître).

  3. Le vSocket secondaire effectue un appel d'API au portail API AWS pour modifier la table de routage LAN et attribuer le vSocket LAN ENI secondaire comme prochain saut pour la route 0.0.0.0/0.

    Remarque : L'interface MGMT doit être activée et active pour effectuer les appels d'API pour modifier la table de routage lors d'un basculement.

  4. L'adresse IP de la passerelle (prochain saut) pour les plages routées (Sites > Réseaux) est automatiquement mise à jour à l'adresse IP de la passerelle pour la Plage Native du Socket Secondaire.

  5. Le vSocket secondaire est maintenant le vSocket actif et transmet le trafic pour le site.

  6. Quand le vSocket principal se rétablit, il reprend le rôle actif, et le vSocket secondaire revient en statut d'attente.

Pour plus d'informations sur le comportement de HA et de basculement, voir Qu'est-ce que la Haute Disponibilité de Socket (HA).

Préparation de l'environnement AWS pour la haute disponibilité

Cette section décrit les étapes à compléter pour préparer l'environnement AWS pour HA vSocket.

Remarque

Remarque : Les captures d'écran et les exemples de cet article sont basés sur la nouvelle Expérience EC2 pour les instances EC2 d'AWS.

Création d'un sous-réseau pour les interfaces LAN du vSocket secondaire

Le vSocket secondaire nécessite un sous-réseau séparé pour son interface LAN (ENI) pour envoyer les paquets de maintien au vSocket principal. Cette exigence est la même pour les déploiements HA avec AZ unique ou double.

Dans le VPC AWS, créez un sous-réseau pour l'interface LAN du vSocket secondaire et associez-la à la table de routage privée du VPC. Assurez-vous que le nouveau sous-réseau est associé à la même table de routage que le sous-réseau pour l'interface LAN du vSocket primaire.

Remarque

Remarques :

  • Vous devez associer tous les sous-réseaux LAN à la même table de routage privée.

  • Si vous créez le sous-réseau LAN pour le vSocket secondaire dans une Zone de Disponibilité différente, vous devez également créer des sous-réseaux WAN et MGMT séparés dans cette Zone de Disponibilité.

Création du rôle IAM pour le vSocket

Le rôle de gestion des identités et des accès (IAM) permet au vSocket d'effectuer des appels API AWS pour modifier les entrées dans la table de routage. Créez un rôle IAM qui donne à l'instance les autorisations correctes. Vous attacherez ce rôle à chaque vSocket plus tard.

Création de la politique pour le rôle IAM

Utilisez un fichier JSON pour créer une nouvelle politique pour le rôle IAM incluant des autorisations de lecture-écriture AWS pour ces actions :

  • "ec2:CreateRoute"

  • "ec2:DescribeRouteTables"

  • "ec2:ReplaceRoute"

Fichier JSON pour la politique HA de vSocket

Ceci est le fichier JSON pour la politique IAM qui attribue les autorisations nécessaires pour que les vSockets opèrent en configuration HA. Vous pouvez copier et coller le fichier dans la fenêtre Créer une politique.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
                "ec2:CreateRoute",
                "ec2:DescribeRouteTables",
                "ec2:ReplaceRoute"
                ],
            "Resource": "*"
        }
}

Pour créer la politique IAM :

  1. Depuis la console de gestion AWS, dans Rechercher des services cherchez IAM.

    AWS_SearchIAM.png

    Le tableau de bord Gestion des identités et des accès (IAM) s'ouvre.

  2. Dans le menu de navigation, sélectionnez Gestion des accès > Politiques.

  3. Cliquez sur Créer une politique.

  4. Dans la fenêtre Créer une politique, cliquez sur l'onglet JSON.

  5. Collez le contenu du fichier JSON pour configurer les permissions pour le rôle IAM.

    JSON_Policy.png

  6. Cliquez sur Vérifier la politique.

  7. Entrez le Nom pour la politique.

  8. Cliquez sur Créer une politique. La politique est créée et ajoutée aux politiques IAM.

Création d'un nouveau rôle IAM

Créez un rôle IAM que vous attacherez aux instances EC2 pour HA vSocket.

Pour créer un nouveau rôle IAM :

  1. Dans le menu de navigation, sélectionnez Gestion des accès > Rôles.

  2. Cliquez sur Créer un rôle.

  3. Dans la fenêtre Créer rôle > Sélectionner le type d'entité de confiance, sélectionnez Service AWS et cliquez sur EC2.

    IAM_Role_resize.png

  4. Cliquez sur Suivant : Permissions. La fenêtre Attacher des politiques de permissions s'ouvre.

  5. Dans la barre de recherche, entrez le nom de la politique IAM que vous avez créée dans la section précédente.

    attach_permissions_720x341.png

  6. Cliquez sur Suivant : Tags. La fenêtre Ajouter des tags s'ouvre.

  7. (Optionnel) Ajoutez des tags au rôle IAM. Cliquez sur Suivant : Revue. La fenêtre Revue s'ouvre.

  8. Entrez le Nom du rôle pour le rôle IAM vSocket HA.

  9. Cliquez sur Créer rôle. Le rôle IAM vSocket HA est créé.

Localisation de l'ID de la table de routage

Localisez et copiez l'ID de la table de routage privée pour le VPC. Vous avez besoin de cet ID lorsque vous ajoutez le vSocket secondaire au site HA AWS dans l'application de gestion Cato. Les vSockets émettent des appels API pour modifier cette table de routage dans le cadre du processus de basculement.

Pour localiser l'ID de la table de routage :

  1. Dans le menu de navigation de la Cloud Privée Virtuelle, sélectionnez Tables de routage.

    RouteTableID.png

  2. Sélectionnez la table de routage utilisée pour le segment LAN, et copiez l'ID de la Table de routage.

Déploiement de la haute disponibilité de vSocket dans AWS

Déployez les vSockets sur les instances EC2 en tant que vSockets primaire et secondaire pour le site.

  1. Pour les nouveaux sites, créez un nouveau site dans l'application de gestion Cato et déployez le vSocket primaire. (Pour les sites existants, passez cette étape.)

  2. Attachez le rôle IAM à l'instance EC2 pour le vSocket primaire.

  3. Ajoutez le vSocket secondaire au site dans l'application de gestion Cato.

  4. Déployez le vSocket secondaire dans le VPC AWS.

  5. Attachez le rôle IAM à l'instance EC2 pour le vSocket secondaire.

Remarque

Remarque : Lorsque vous configurez les paramètres IP pour le site, assurez-vous de ne pas utiliser les adresses IP réservées par AWS. Vous ne pouvez pas utiliser les quatre premières adresses IP et la dernière adresse IP dans un bloc CIDR de sous-réseau.

Pour en savoir plus sur les adresses IP réservées par AWS, voir Documentation AWS.

Déploiement du vSocket primaire dans le VPC AWS

Complétez ces étapes pour déployer le vSocket primaire sur l'instance EC2. Pour un nouveau site AWS, déployez le vSocket primaire et attachez le rôle IAM à l'instance.

Pour les sites AWS existants, mettez à niveau le vSocket primaire vers la version 9.1 ou supérieure. Ensuite, attachez le rôle IAM à l'instance EC2 (le vSocket principal) et continuez ci-dessous avec Attacher le rôle IAM à un vSocket.

Pour déployer le vSocket primaire pour un nouveau site :

  1. Ajoutez un nouveau site AWS à l'application de gestion Cato.

  2. Installez le vSocket primaire sur l'instance EC2.

    Pour plus d'informations sur l'installation d'un vSocket dans AWS, voir Déploiement d'un site vSocket depuis le AWS Marketplace.

  3. Attachez le rôle IAM que vous avez créé ci-dessus au vSocket.

La capture d'écran ci-dessus montre le site AWS après l'installation et la mise à niveau du vSocket primaire vers la version 9.1 ou supérieure.

Remarque

Remarque : Pour les sites AWS existants, le bouton Ajouter un Socket Secondaire n'est affiché qu'après que vous avez mis à niveau le vSocket vers la version 9.1 ou supérieure.

Attacher le rôle IAM à un vSocket

Attachez le rôle IAM que vous avez créé ci-dessus à l'instance vSocket EC2. Le rôle IAM accorde des permissions au vSocket pour effectuer des appels API afin de modifier la table de routage pour la fonctionnalité HA.

Pour attacher le rôle IAM à l'instance :

  1. Dans AWS, dans la fenêtre Instances, sélectionnez l'instance vSocket.

  2. Dans le menu déroulant Actions, sélectionnez Sécurité > Modifier le rôle IAM.

  3. Dans la fenêtre Modifier le rôle IAM, sélectionnez le rôle IAM.

    Modify_IAM_role.png

  4. Cliquez sur Sauvegarder. Le rôle IAM est attaché à l'instance vSocket.

Ajout du vSocket secondaire à un site AWS

Après que l'application de gestion Cato détecte que le vSocket primaire est connecté au Cato Cloud, l'option Ajouter un Socket Secondaire s'affiche dans la page Réseau > Sites > Configuration du Site > Socket.

Lorsque vous ajoutez le vSocket secondaire au site, une fenêtre contextuelle s'ouvre où vous entrez les paramètres suivants :

  • Adresse IP du ENI LAN

  • Sous-réseau du ENI LAN

  • ID de la Table de Routage

L'application de gestion Cato utilise l'Adresse IP du ENI LAN comme adresse IP de gestion pour le vSocket secondaire. Cette ENI LAN est également utilisée pour envoyer des paquets de maintien HA à l'interface LAN du vSocket primaire.

Les paramètres du vSocket secondaire dans l'application de gestion Cato doivent être les mêmes que ceux utilisés dans AWS.

Après avoir ajouté le vSocket secondaire au site, l'application de gestion Cato effectue les actions suivantes :

  • Génère le numéro de série du vSocket pour le nouveau vSocket (ce numéro de série est utilisé lorsque vous installez le vSocket sur l'instance EC2)

  • Active la section Configurations de Haute Disponibilité pour ce site

  • Modifie la page Configuration du Site > Réseaux avec les nouveaux Rangées Natives :

    • L'adresse IP du ENI LAN est affichée comme l'IP Locale de la plage de réseau

    • Le sous-réseau du ENI LAN est affiché comme le sous-réseau de la plage de réseau

Pour plus d'informations sur les segments de réseau dans le site HA, voir ci-dessous Vue d'ensemble des segments de réseau de haute disponibilité AWS dans l'application de gestion Cato.

AWS_HA.png

Pour configurer un site AWS pour la haute disponibilité :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, sélectionnez Configuration du Site > Socket.

  3. Cliquez sur Ajouter un Socket Secondaire. La fenêtre Ajouter vSocket Secondaire (Haute Disponibilité) s'ouvre.

  4. Configurez les paramètres exactement comme le sous-réseau LAN pour l'instance EC2 du vSocket :

    1. Entrez l'IP de l'interface LAN. Cette valeur est utilisée comme l'IP Locale.

    2. Entrez le sous-réseau LAN ENI avec le CIDR. Cette valeur est utilisée comme plage native secondaire Socket.

    3. Entrez l'ID de la table de routage de la table de routage privée utilisée pour les plages LAN.

  5. Cliquez sur OK. Les paramètres des vSockets principal et secondaire sont configurés et copiés dans les sections Configuration du site > Réseaux et Configurations de haute disponibilité.

  6. Copiez et enregistrez le numéro de série vSocket pour le script de configuration du vSocket :

    1. Dans la liste des Sites, sélectionnez le nouveau site vSocket.

    2. Dans le menu de navigation, cliquez sur Configuration du site > Socket. Copiez le numéro de série (S/N) et enregistrez-le.

Utilisez ce numéro de série lorsque vous installez le vSocket secondaire sur l'instance EC2.

Modifications de la fenêtre de configuration Socket

Après avoir ajouté le vSocket secondaire au site, la destination pour le lien LAN1 est automatiquement définie sur LAN & HA.

Déploiement du vSocket secondaire dans le VPC AWS

Créez et déployez le vSocket secondaire dans le VPC AWS avec le rôle IAM que vous avez créé précédemment.

  • Créez les interfaces réseau

  • Attachez le rôle IAM que vous avez créé ci-dessus au vSocket (voir ci-dessus Attacher le rôle IAM à un vSocket)

  • Entrez le numéro de série du site vSocket secondaire qui a été généré dans l'application de gestion Cato

  • Configurez l'instance EC2 pour le vSocket

Création des interfaces WAN et LAN

Créez les interfaces WAN et LAN pour le vSocket pour l'instance EC2. Utilisez le tableau de bord EC2 pour créer les interfaces.

Définissez l'adresse IP personnalisée pour l'interface LAN à la même adresse IP que l'IP locale pour la plage native.

Vous devez désactiver la vérification source/destination AWS sur l'interface LAN pour permettre à l'instance EC2 d'effectuer le transfert de trafic.

Remarque

Remarque : Pour assurer un bon comportement du vSocket, définissez des options DHCP personnalisées avec un serveur de confiance comme serveur DNS principal

04_LAN_NIC.png

Pour créer l'interface réseau (ENI) :

  1. Depuis le tableau de bord EC2, dans le menu de navigation, sélectionnez Réseau & Sécurité > Interfaces réseau.

  2. Cliquez sur Créer une interface réseau.

  3. Dans la fenêtre Créer une interface réseau, sélectionnez le sous-réseau LAN.

  4. (Optionnel pour l'interface LAN) Dans Adresse IPv4 privée, cliquez sur Personnalisée et entrez l'IP locale pour la plage native.

  5. Dans Groupes de sécurité, sélectionnez le groupe de sécurité approprié pour l'interface.

  6. Cliquez sur Créer une interface réseau. AWS crée l'interface.

  7. Répétez les étapes précédentes pour l'interface WAN.

  8. Pour l'interface LAN, désactivez le suivi source/destination AWS :

    1. Dans la fenêtre Interfaces réseau, cliquez avec le bouton droit sur l'interface LAN et sélectionnez Changer source/dest. vérification.

      05_LAN_INT_source-dest.png

    2. Dans la fenêtre Changer vérification source/destination, cochez Effacer.

    3. Cliquez sur Sauvegarder.

Configuration de l'instance EC2 pour le vSocket

Après avoir créé toutes les ressources virtuelles pour le vSocket, connectez ces ressources à votre instance EC2 en utilisant l'AMI de Cato Networks disponible sur le AWS Marketplace.

Types d'instance EC2 supportés

Les types d'instance EC2 suivants sont certifiés pour les vSockets :

  • c5.xlarge

  • d2.xlarge 

  • c3.xlarge

  • t3.large

  • t3.xlarge

  • c4.xlarge

  • c5d.xlarge

  • c5n.xlarge (Suggéré pour des sites à haute performance avec une bande passante supérieure à 2Gbps)

Configuration de l'AMI Cato

Après avoir préparé l'environnement, vous pouvez maintenant configurer l'AMI de Cato Networks.

Configurez l'AMI :

  1. Depuis le AWS Marketplace, recherchez Cato Networks Virtual Socket.

  2. Cliquez sur Continuer pour s'abonner.

  3. Cliquez sur Continuer à la configuration.

    • Sous Option de mise en œuvre, sélectionnez Image Machine Amazon.

    • Sous Région, assurez-vous de sélectionner la région où se trouve votre vSocket.

    Cato_AMI.png

  4. Cliquez sur Continuer pour lancer.

  5. Dans la page Lancer ce logiciel :

    1. Sous Choisir l'action, sélectionnez Lancer à travers EC2.

    2. Sous Type d'instance EC2, sélectionnez l'instance EC2.

    3. Sous Paramètres VPC, sélectionnez le VPC auquel vous vous connectez.

    4. Sous Paramètres du sous-réseau, sélectionnez le réseau MGMT.

    5. Sous Paramètres du groupe de sécurité, sélectionnez le groupe de sécurité que vous avez créé pour cette instance.

    6. Développez Configuration avancée du réseau et sous Interface réseau sélectionnez l'interface MGMT que vous avez créée.

      Remarque : Si vous ne sélectionnez pas une interface existante, une nouvelle interface est créée.

      AWS_vSocket_Cato_AMI_advanced_network_config.png

    7. Sous Paramètres de paire de clés, sélectionnez la paire de clés que vous avez créée.

    8. Dans la section Détails avancés, sous Données utilisateur - optionnelles, entrez le numéro de série que vous avez copié du site vSocket que vous avez créé dans l'application de gestion de Cato.

  6. Cliquez sur Lancer.

Attacher les interfaces à l'instance vSocket

Après le lancement de l'instance vSocket, l'interface MGMT y est attachée. Arrêtez l'instance, puis attachez les interfaces WAN et LAN restantes à l'instance.

Remarque

Remarque : Assurez-vous que l'instance EC2 est arrêtée et que vous attachez d'abord l'interface WAN, puis l'interface LAN.

Pour attacher les interfaces à l'instance vSocket:

  1. Depuis le tableau de bord EC2, dans le menu de navigation, sélectionnez Instances > Instances.

  2. Cliquez avec le bouton droit sur l'instance vSocket et sélectionnez Arrêter l'instance.

  3. Dans la fenêtre de confirmation, cliquez sur Arrêter. Actualisez la fenêtre et confirmez que l'État de l'instance est Arrêté.

  4. Dans le menu de navigation, sélectionnez Réseau & Sécurité > Interfaces réseau.

  5. Attachez les interfaces WAN à l'instance:

    1. Cliquez avec le bouton droit sur l'interface WAN et sélectionnez Attacher l'interface.

    2. Dans la fenêtre Attacher une interface réseau, dans Instance, sélectionnez l'instance vSocket.

    3. Cliquez sur Attacher.

    4. Répétez les trois étapes précédentes pour l'interface LAN.

Confirmer l'état de haute disponibilité pour le site AWS

Cette section décrit comment tester et confirmer que les vSockets sont configurés correctement pour la fonctionnalité HA.

Afficher l'état de haute disponibilité dans l'application de gestion de Cato

La section Haute disponibilité dans l'application de gestion de Cato pour le site montre l'état HA des vSockets. Après avoir déployé le vSocket secondaire, il se connecte automatiquement au site.

Pour plus d'informations, voir ci-dessous Afficher les informations et le statut de la haute disponibilité.

Pour confirmer l'état de haute disponibilité pour le site:

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, cliquez sur Surveillance du site > Analyse du réseau

  3. Dans État de haute disponibilité, vérifiez que l'état est Prêt, et le Maître est le vSocket Principal.

Tester la haute disponibilité depuis l'interface web du Socket

Vous pouvez utiliser les outils réseau dans l'interface Web du Socket pour tester la fonctionnalité HA pour les vSockets. Le vSocket effectue un appel API vers le gateway API AWS pour vérifier la configuration HA pour ces paramètres :

  • Les autorisations IAM pour le vSocket sont configurées correctement

  • L'ID de la table de routage est configurée correctement

Pour compléter le test, assurez-vous que le vSocket peut résoudre le domaine AWS RestAPI pour la région concernée. Pour plus d'informations, voir la documentation AWS.

Si le test n'est pas réussi, nous vous recommandons de comparer les paramètres pour l'ID de la table de routage dans AWS et dans l'application de gestion de Cato.

Pour tester les appels API HA pour un vSocket AWS :

  1. Depuis le menu de navigation, sélectionnez Configuration du site > Socket.

  2. Dans le menu déroulant Actions pour le vSocket Principal, sélectionnez Interface Web du Socket.

    L'interface Web du Socket s'ouvre dans un nouvel onglet.

  3. Cliquez sur l'onglet Outils.

  4. Dans la section Outils réseau, cliquez sur l'onglet Outil de test API.

  5. Cliquez sur Exécuter le test. La fenêtre indique si le test API HA réussit ou échoue.

  6. Répétez les étapes 2-5 pour le vSocket Secondaire.

Pour plus d'informations sur l'utilisation de l'interface Web du Socket, voir Accès à l'interface web du Socket.

Travailler avec les segments de réseau pour les sites de haute disponibilité AWS

Cette section explique comment utiliser la section Réseaux pour gérer les segments de réseau pour le site HA AWS.

Aperçu des segments de réseau de haute disponibilité AWS dans l'application de gestion de Cato

Lorsque vous ajoutez le vSocket secondaire à l'application de gestion de Cato, les segments de réseau dans la section Réseaux sont automatiquement mis à jour avec les paramètres suivants :

  • Plage native du Socket Principal :

    • La plage native pour le vSocket principal est convertie en plage native du Socket Principal

    • L'IP locale de la plage native représente l'adresse IP de l'interface LAN pour le vSocket. Cette adresse IP est également utilisée comme adresse IP de gestion du vSocket.

    • L'adresse IP de la passerelle est automatiquement définie comme étant la première adresse IP du sous-réseau, qui pointe vers le routeur VPC AWS (basé sur les IPs réservées d'AWS)

  • Plage native du Socket Secondaire - Ces paramètres sont basés sur les valeurs LAN ENI que vous avez saisies lorsque vous avez ajouté le vSocket secondaire :

    • La plage native pour le vSocket secondaire est le sous-réseau IP LAN ENI

    • L'IP locale de la plage native secondaire est l'adresse IP LAN ENI. Cette adresse IP est également utilisée comme adresse IP de gestion du vSocket.

    • L'adresse IP de la passerelle est automatiquement définie comme étant la première adresse IP du sous-réseau, qui pointe vers le routeur VPC AWS (basé sur les IPs réservées d'AWS)

Remarque

Remarques :

  • Étant donné que l'adresse IP de la passerelle est automatiquement calculée pour une plage, vous ne pouvez pas la modifier.

  • Si vous devez modifier l'adresse IP locale de la plage, vous devez modifier l'adresse IP de gestion du vSocket (voir ci-dessous, Changer l'adresse IP locale).

Ajouter des plages routées (routes statiques)

Vous pouvez ajouter des plages routées au site AWS HA. Lorsque vous ajoutez une plage routée, la passerelle pour la plage est automatiquement sélectionnée en fonction du vSocket actif. L'adresse IP de la passerelle de la plage native du vSocket actif est automatiquement utilisée comme passerelle pour la plage routée.

Par exemple, lorsque le vSocket secondaire est actif, alors l'adresse IP de la passerelle pour la plage native du Socket Secondaire est utilisée pour toutes les plages routées du site. Dans l'exemple ci-dessous, l'adresse IP de la passerelle 10.0.17.1 sera utilisée comme passerelle (prochain saut) pour la plage routée 10.0.25.0/24.

Lorsque le vSocket principal redevient actif, l'adresse IP de la passerelle pour la plage routée passe automatiquement à 10.0.3.1.

AWS_plage_protégée.png

Pour ajouter une plage routée à un site AWS HA :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, cliquez sur Configuration du site > Réseaux.

  3. Développez l'interface LAN.

  4. Depuis l'interface LAN, cliquez sur Nouveau pour ajouter un nouveau segment de réseau pour la plage IP.

    Le panneau Nouvelle plage d'interface IP s'ouvre.

  5. Entrez le Nom pour la plage IP.

  6. Depuis Type, sélectionnez Routé.

  7. Entrez la Plage IP pour le segment.

  8. Cliquez sur Appliquer.

Changement de l'adresse IP locale

Dans la configuration vSocket HA, l'adresse IP locale de la Plage Native est la même que l'adresse IP de gestion du vSocket. Cette adresse IP est utilisée pour les messages keep-alive HA, ainsi que pour accéder à l'interface web du Socket. Pour changer l'adresse IP locale de la Plage Native, modifiez l'adresse IP de gestion dans la section Haute Disponibilité pour le vSocket concerné.

Par exemple, pour changer l'IP locale pour la Plage Native du vSocket primaire, modifiez l'adresse IP de gestion du vSocket primaire dans la section Haute Disponibilité.

Pour changer l'adresse IP locale :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, sélectionnez Configuration du site > Socket.

  3. Développez la section Configurations de Haute Disponibilité.

  4. Entrez la nouvelle IP de Gestion Principale ou IP de Gestion Secondaire.

  5. Cliquez sur Sauvegarder. Le IP Locale pour la Plage Native Principale ou Secondaire est mise à jour avec la nouvelle adresse IP.

Changer la Plage Native IP pour un vSocket dans une Configuration de Haute Disponibilité

Si vous devez changer la Plage Native IP Principale ou Secondaire, modifiez la plage IP dans la section Réseaux, puis mettez à jour l'adresse IP de gestion dans la section Haute Disponibilité.

Pour changer la plage IP d'un segment :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, cliquez sur Configuration du site > Réseaux.

  3. Pour la Plage Native IP Principale ou Secondaire, configurez la nouvelle plage IP :

    1. Dans la colonne Type, cliquez sur la plage de réseau.

      Le panneau Modifier la Plage IP s'ouvre.

    2. Configurez le Sous-réseau pour la plage IP.

    3. Cliquez sur Appliquer puis sur Sauvegarder.

  4. Dans le menu de navigation, sélectionnez Configuration du site > Socket.

  5. Développez la section Configurations de Haute Disponibilité.

  6. Entrez la nouvelle adresse IP de Gestion pour le vSocket Principal ou Secondaire.

    L'adresse IP de gestion doit être dans le sous-réseau que vous avez configuré à l'étape 2. Vous ne pouvez pas utiliser une adresse IP réservée AWS pour l'adresse IP de gestion.

  7. Cliquez sur Sauvegarder.

Gestion de la Haute Disponibilité AWS

Cette section explique comment gérer la HA pour le site AWS :

  • Afficher le statut HA pour chaque vSocket

  • Changer l'ID de la table de routage pour le site

  • Désactiver la HA pour le site et supprimer le vSocket secondaire

Affichage des informations et du statut de la Haute Disponibilité

La section Haute Disponibilité affiche le statut HA pour le vSocket principal et secondaire.

Article

Description

Statut de Haute Disponibilité

Le statut HA pour le site (Prêt ou Non Prêt) n'affiche "prêt" que lorsque chaque indicateur de statut HA est OK

Connectivité WAN (indicateur de statut)

Le statut Ok indique que les deux vSockets ont une connectivité WAN au Cato Cloud

Keepalive (indicateur de statut)

Le statut Ok indique qu'un vSocket est le maître et un est en veille (Si les deux vSockets sont en statut maître, alors il y a un problème de HA split brain)

Version du Socket (indicateur de statut)

Le statut Ok indique que les deux vSockets exécutent la même version du Socket

Maître

Indique si le vSocket Principal ou Secondaire est le vSocket actif

Connexion à Cato - Principale

Le statut de connexion pour le vSocket principal

Connexion à Cato - Secondaire

Le statut de connexion pour le vSocket secondaire

Changement de l'ID de la Table de Routage

Vous pouvez changer l'ID de la table de routage pour le site AWS HA dans l'Application de Gestion Cato, pour correspondre à la configuration dans AWS.

Pour changer l'ID de la table de routage pour le site :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, sélectionnez Configuration du site > Socket.

  3. Développez la section Configurations de Haute Disponibilité.

  4. Entrez le nouvel ID de la Table de Routage.

  5. Cliquez sur Sauvegarder.

Désactivation de la Haute Disponibilité pour le site AWS

Vous pouvez supprimer le vSocket secondaire d'un site AWS et désactiver la HA pour ce site. Après avoir supprimé le vSocket secondaire de l'Application de Gestion Cato, le vSocket déployé ne peut plus se connecter au Cato Cloud. Les paramètres du site sont restaurés à la configuration pour un seul vSocket :

  • La section Haute Disponibilité est désactivée et n'apparaît plus dans la page

  • La disposition de la section Réseaux change pour la configuration d'un seul vSocket

  • Pour les plages Routées, le prochain saut est défini à la première adresse IP de la Plage Native

Remarque

Remarque : Vous ne pouvez pas annuler l'action Déassigner le Socket. Le numéro de série pour le vSocket secondaire n'est plus valide.

Si vous souhaitez ajouter à nouveau le vSocket secondaire, vous devez installer un nouveau vSocket sur l'instance EC2 avec le nouveau numéro de série.

Pour désactiver la HA pour le site AWS :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites, et sélectionnez le site AWS.

  2. Dans le menu de navigation, sélectionnez Site Configuration > Socket.

  3. Dans le menu Actions du Secondaire vSocket, cliquez sur Unassign.

  4. Dans la fenêtre d'alerte, cliquez sur OK. La HA est désactivée pour le site, et le vSocket secondaire est retiré de celui-ci.

Analyse des événements de haute disponibilité

L'écran Événements affiche tous les événements de connectivité de HA pour votre compte.

Vous pouvez en apprendre plus sur l'utilisation de l'écran des événements ici. Vous pouvez utiliser le préréglage SaaS Security API Data Protection pour filtrer les événements.

Explication des champs d'événements de haute disponibilité

Les champs et événements sont les mêmes pour la HA de Socket et pour la HA de vSocket. Voici les événements de HA :

Champ

Description

Rôle de Socket

Indique si l'événement a été généré par le vSocket primaire ou secondaire

Sous-type d'événement - Basculement de Socket

Le processus de basculement est initié pour le site

Pour plus d'informations sur les événements générés dans le cadre du processus de basculement, consultez Événements de basculement de Socket HA.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 7 sur 7

0 commentaire