Interconnexion cloud pour AWS Public Cloud

Ce guide explique comment connecter Amazon Web Services (AWS) au Cato Cloud via Cloud Interconnect.

Pour plus d'informations sur les sites Cloud Interconnect, consultez Getting Started with Cloud Interconnect Sites.

Présentation de Cloud Interconnect pour AWS

Cato ne prend en charge que le modèle actif-passif pour les sites Cloud Interconnect avec 2 circuits. BGP est utilisé pour échanger les informations de routage entre les PoPs Cato et les routeurs de périphérie AWS et également pour déterminer le circuit actif pour le site.

Bonne pratique : Cato recommande de connecter deux circuits dans AWS pour des scénarios de résilience et de redondance. Les configurations à circuit unique sont également prises en charge.

Le diagramme ci-dessous montre la configuration AWS pour un site Cloud Interconnect.

Chaque VPC dispose d'une passerelle privée virtuelle qui se connecte à la passerelle Direct Connect via une association de passerelle privée virtuelle.
La passerelle Direct Connect utilise une interface virtuelle privée pour se connecter à l'emplacement AWS Direct Connect.
Il existe une connexion AWS Direct Connect de l'emplacement au partenaire du centre de données du client. (comme Equinix)

En fonction des exigences du centre de données AWS, il est possible de connecter une passerelle de transit au lieu d'une passerelle privée virtuelle à la passerelle Direct Connect. Pour plus d'informations, consultez la documentation AWS sur les associations de passerelles de transit et les associations de passerelles privées virtuelles.

Préparation à la création d'un site Cloud Interconnect

Lorsque vous créez un site AWS Cloud Interconnect, il est nécessaire de configurer les paramètres pour votre locataire AWS et l'application de gestion Cato (CMA).

Avant de commencer à déployer un site Cloud Interconnect, il est important de vérifier que le cas d'utilisation de la connexion principale et secondaire est pris en charge par les emplacements PoP de Cato, les fournisseurs de cloud et les fournisseurs de tissu. Pour plus d'informations sur la préparation des sites Cloud Interconnect, consultez Getting Started with Cloud Interconnect Sites.

Cet article suppose que vous créez un site Cloud Interconnect HA actif-passif. Si vous créez un site Cloud Interconnect à circuit unique, veuillez créer seulement un circuit Direct Connect principal. (Seulement recommandé à des fins de test)

Remarque

Remarque : Pour déployer le site Cloud Interconnect, Cato fournit une configuration transparente utilisant quelques informations d'identification de base, pour créer la connexion avec le fournisseur de tissu (par exemple, Equinix). Si votre cas d'utilisation n'est pas pris en charge par la configuration automatique, contactez votre représentant de compte (PS/SE/CSM) pour déployer la connexion manuellement.

Pour les problèmes que vous rencontrez après avoir déployé votre site Cloud Interconnect, contactez Support.

Vue d'ensemble à haut niveau de la configuration d'un site Cloud Interconnect

Voici une vue d'ensemble à haut niveau du processus de configuration de Cloud Interconnect pour un site AWS Cato :

Vérifiez que le cas d'utilisation est pris en charge par l'emplacement PoP de Cato, le fournisseur de cloud et le fournisseur de tissu.
1. Pour les emplacements PoP disponibles immédiatement, continuez avec l'étape 2.
2. Pour les emplacements PoP qui seront disponibles à une date future, attendez que Cato complète les paramètres backend manuels avant de configurer le site Cloud Interconnect.
Dans le CMA, créez un nouveau site et choisissez le type de site comme Cloud Interconnect.
1. Configurez des sous-réseaux IP /30 pour les circuits principaux et secondaires pour le site.
2. Configurez la bande passante par circuit.
Configurez BGP entre Cato et AWS :
1. Dans AWS - Une fois provisionné, acceptez le peering du circuit Direct Connect et configurez les mêmes sous-réseaux IP que ceux ajoutés au CMA.
2. Dans le CMA - Configurez les paramètres de peer BGP pour les circuits principaux et secondaires. (Cato préfère automatiquement les métriques du peer principal)
Connectez votre passerelle Direct Connect aux circuits principaux et secondaires Direct Connect.
Testez la connectivité avec votre nouveau site.

Vous trouverez ci-dessous un exemple de topologie de bas niveau d'un environnement cloud Amazon Web Services connecté à Cato via Cloud Interconnect :

Création du site Cloud Interconnect

Dans le CMA, créez un nouveau site pour le fournisseur Cloud Interconnect.

Cet article suppose que vous créez un site HA Actif-passif Cloud Interconnect. Si vous créez un site Cloud Interconnect à circuit unique, veuillez créer seulement un circuit Direct Connect principal. (Seulement recommandé à des fins de test)

Pour un site AWS Cloud Interconnect, nous vous recommandons de créer le site en même temps que vous envoyez la demande initiale pour le provisionnement. Cela vous permet de configurer plus rapidement la configuration Cato pour ce site.

Pour créer le site Cloud Interconnect :

Dans le CMA, sous Réseau > Sites, cliquez sur Nouveau pour créer un nouveau site.
Sélectionnez le Type de connexion comme Cloud Interconnect et définissez les paramètres pour le site.
Cliquez sur Appliquer.
Sélectionnez le nouveau site et allez à Configuration du site > Cloud Interconnect et cliquez sur Nouvelle connexion.
1. Sous Type de connexion, sélectionnez Connexion cloud publique.
2. Sous Fournisseur cloud, sélectionnez AWS Direct Connect et entrez l'ID de compte AWS.
3. Sous Emplacement PoP de Cato, sélectionnez le PoP le plus proche de la région AWS dans laquelle réside votre locataire.
4. Sous Bande passante, entrez la valeur qui s'aligne avec votre licence Cato.
5. Sous Région de destination cloud, sélectionnez la région AWS à partir de laquelle la connexion sera effectuée.
6. Sous Configurer les paramètres réseau, configurez le sous-réseau et les IPs privés de peering.
7. Cliquez sur Appliquer.
  
  Après l'établissement de la connexion, accédez à la console AWS.
8. Sous AWS Direct Connect > Connexion, cliquez sur Voir les détails sur la connexion que vous avez créée, puis cliquez sur Approuver.
  
  Procédez à la configuration de la connexion BGP.

Définition des paramètres BGP pour le site

Cette section explique comment définir la session BGP en plus de la connexion de peering privée existante.

Le site Cloud Interconnect est affiché dans l'état Connecté lorsqu'au moins un peer BGP est accessible, quel que soit l'état de provisionnement avec votre fournisseur de cloud.

L'établissement de BGP est le seul indicateur de connectivité du site. BGP permet également de déterminer l'échange de routage et le basculement de tunnel.

Pour configurer les paramètres BGP pour le site Cloud Interconnect :

Configurez les mÃªmes paramÃ¨tres dans l'onglet BGP que dans la configuration du siteÂ Cloud Interconnect. Pour chaque circuit, allez à Configuration du Site > BGP et cliquez sur Nouveau.
Dans Paramètres ASN, configurez l'ASN de Cato comme la valeur de votre choix (assurez-vous qu'elle corresponde à l'ASN du peer précédemment configuré sur la page de configuration de l'Interface Virtuelle AWS).
Configurez l'ASN du Peer comme votre ASN privé préconfiguré pour AWS Direct Connect Gateway.
Sous les paramètres IP, configurez l'IP du Peer. C'est la même IP que celle configurée dans les paramètres Cloud Interconnect comme Site. (Cette IP représente l'IP du peer du fournisseur cloud.)

L'IP de Cato est automatiquement sélectionnée en fonction des paramètres Cloud Interconnect.
Définissez la politique de routage BGP - Il est possible de manipuler la politique de diffusion des routes pour chaque peer.

Nous recommandons qu'il y ait des politiques Ã©gales pour les deux peers dans un siteÂ Cloud Interconnect pour Ã©viter les divergences de routage.
1. Les options Annoncer vous permettent de configurer comment le site annonce les routes BGP pour ce voisin.
  - Route par défaut - Le site annonce une route par défaut (0/0) aux voisins BGP. Les voisins peuvent envoyer tout le trafic à cette route par défaut, même si elle n'est pas dans la table de routage. Vous pouvez ajouter des étiquettes de communauté BGP à la route par défaut. Pour plus de détails sur les communautés BGP, consultez Travailler avec le filtrage BGP.
  - Toutes les routes - Le site annonce la table de routage interne de tout le compte au voisin BGP. Ces routes incluent des plages flottantes et statiques, en plus des routes apprises de d'autres pairs dans ce site et à travers votre réseau. Cette option est souvent activée pour envoyer le trafic WAN au voisin BGP.
    
    Note : La gamme entière des utilisateurs SDP est annoncée au pair BGP sous forme d'une seule route.
  - Résumé des routes - L'annonce d'un résumé de route au lieu de multiples routes uniques permet aux pairs BGP de simplifier leurs décisions d'acheminement et de minimiser les ressources de calcul nécessaires pour rechercher les routes. Consultez,Travailler avec des itinéraires résumés BGP.
2. Dans la section Accepter, sélectionnez si le site accepte ou rejette les adresses IP dynamiques publiées par ce voisin. Lorsque vous sélectionnez l'option Rejeter, vous limitez la propagation dynamique de ce voisin BGP. Pour plus de détails sur les listes de routes BGP, consultez Travailler avec le filtrage BGP.
  
  Par exemple, dans les déploiements utilisant AWS Direct Connect, BGP est requis mais vous ne souhaitez pas accepter les adresses dynamiques AWS. Dans ces déploiements, nous vous recommandons de sélectionner Rejeter tout.
3. Dans la section NAT, sélectionnez Effectuer le NAT vers les IPs publiques pour le site afin d'effectuer le SNAT pour toutes les IPs et le trafic est traduit vers l'adresse IP LAN.
Configurez les Paramètres Additionnels pour les routes BGP :
1. MD5 – Une couche supplémentaire de sécurité. Ce champ est obligatoire pour AWS Direct Connect.
  
  AWS vous donne l'option de générer votre propre valeur MD5 ou d'utiliser leur valeur MD5 générée automatiquement lors de la création de chaque Interface Virtuelle.
2. Métrique – La priorité du peer peut être modifiée.
  
  Le profil de configuration attendu est d'avoir une meilleure métrique pour le peer principal que pour le peer secondaire.
3. Valeurs de Temps de Maintien et de Intervalle Keepalive.
4. Suivi > Notification par Email - Alertes optionnelles pour les changements de connectivité BGP.
Cliquez sur Appliquer.

Le siteÂ Cloud Interconnect est configurÃ©. Vérifiez que le site fonctionne correctement, voir ci-dessous Surveillance et Tester la Connectivité pour le Site Cloud Interconnect.

Exemple de Politique BGP pour le SiteÂ Cloud Interconnect

Voir l'exemple suivant de deux peers dans la configuration Activé-Inactif pris en charge avec Cato. (La métrique du peer principal est 90, la métrique du peer secondaire est 100)

ParamÃ¨tres du SiteÂ Cloud Interconnect

AprÃ¨s avoir configurÃ© le site, les dÃ©tails de la connexion sont disponibles sur la page Site Configuration >Â Cloud Interconnect.

Colonne	Description
Fournisseur de Nuage	Fournit des informations sur le fournisseur auquel vous êtes connecté, y compris : La région ID de Compte ID de Connexion
Service de Fibre	Fournit des informations sur le Fournisseur de Service auquel vous êtes connecté, y compris : Nom du fournisseur ID de VLAN ID de Connexion Bande Passante de Connexion
Emplacement de PoP	Indique à quel PoP vous êtes connecté.
Paramètres du Réseau	Fournit des informations sur les paramètres de connexion derrière le tunnel.
Statut de la Connexion	Fournit des informations sur chaque étape du processus de connexion. Connectivité - Indique si la connexion est entièrement fonctionnelle. BGP - Indique s'il y a une connexion avec les peers BGP. Cela ne peut se produire qu'après l'établissement d'une connexion avec le Fournisseur de Nuage et le Fournisseur de Service de Fibre. Fournisseur de Nuage - Indique si une connexion avec le Fournisseur de Nuage est établie. Fournisseur de Service de Fibre - Indique si une connexion avec le Fournisseur de Service de Fibre est établie.
Connexion	Cliquez sur Tester la Connexion pour vérifier le Statut actuel de la Connexion.

Configuration des Paramètres dans le Compte AWS

Cette section décrit comment configurer les paramètres pour un centre de données AWS afin qu'il puisse se connecter au site Cloud Interconnect dans votre compte Cato.

Pour configurer AWS Direct Connect pour le site Cloud Interconnect :

Dans AWS, acceptez les circuits commandés sous AWS Direct Connect > Connexions. (Une fois accepté, l'État de la connexion apparaît comme Disponible)
Dans AWS Direct Connect > Passerelles de Direct Connect, créez une nouvelle Passerelle de Direct Connect.
1. Donnez-lui un Nom et une valeur ASN privée.
  
  Cet ASN sera référencé plus tard dans la configuration BGP CMA comme le côté AWS.
  
  Remarque : Cet ASN doit être différent de l'ASN défini pour votre Passerelle Privée Virtuelle ou Passerelle de Transit.
2. Sélectionnez la nouvelle Passerelle de Direct Connect créée et sous Associations de Passerelles, cliquez sur Associer la Passerelle.
  
  Ici, vous pouvez sÃ©lectionner entre Passerelle(s) PrivÃ©e Virtuelle(s) ou Passerelle(s) de Transit. (Des associations multiples sont possibles mais doivent être du même type de passerelle). Préfixes Autorisés – Si vous souhaitez personnaliser les préfixes autorisés à être annoncés à Cato, listez-les ici. Sinon, laissez ce champ vide.
Attachez des Interfaces VLAN à votre passerelle Direct Connect : AWS Direct Connect > Interfaces Virtuelles > Créer une Interface Virtuelle.

Ici, nous attachons les deux circuits provisionnés à la passerelle Direct Connect.
1. Sélectionnez Privée ou Transit, selon votre type de passerelle.
2. Donnez un identifiant de Nom à chaque Interface Virtuelle.
3. En Connexion, sélectionnez chaque circuit provisionné.
4. Passerelle Direct Connect - Sélectionnez le DCG défini à l'étape n°2.
5. VLAN – Définissez un VLAN unique pour chaque interface.
6. ASN BGP – Ceci est le BGP pour le côté Cato. (Un ASN pour les deux circuits)
7. Votre IP de Peer Routeur – Une IP /30 représentant le peer de Cato par circuit
8. IP de correspondant de routeur Amazon – Une IP dans le même sous-réseau /30 que ci-dessus pour chaque circuit.
9. Clé d'authentification BGP – Couche d'authentification MD5 pour chaque interface. AWS vous permet de définir la clé vous-même OU permet à AWS de générer aléatoirement une clé pour vous.
10. MTU Jumbo – Non supporté.
Remarque : Il peut s'écouler plusieurs minutes avant que les interfaces virtuelles ne passent de l'état Bas à Disponible.
Une fois configuré, vous devriez avoir une passerelle Direct Connect dans l'état suivant avec deux interfaces virtuelles.

Surveillance et tests de connectivité pour le site Cloud Interconnect

Maintenant que la configuration du site est terminée, passons en revue comment la connexion peut être testée et surveillée.

Cato fournit plusieurs outils pour vous aider à surveiller votre Cloud Interconnect site et à dépanner tout problème potentiel, notamment :

Outil de test de connectivité

Vous pouvez tester l'accessibilité IP point à point de chaque circuit du Cloud Interconnect en utilisant l'outil Test de connectivité.

L'outil Test de connectivité dans Configuration du site > Cloud Interconnect envoie des sondes ICMP de l'IP de PoP de Cato à l'IP distante du site de la connexion principale ou secondaire.

Voici les résultats des sondes ICMP :

Succès - Test exécuté avec succès
Erreur - Le test n'a pas été exécuté. (Test expiré par le PoP de Cato ou incapable d'être exécuté)
Échec - Test exécuté avec succès sans réponse de l'IP correspondant distant

Surveillance LAN

Vous pouvez utiliser la fonction de Surveillance LAN pour :

Effectuer des sondages ICMP continus du PoP de Cato à l'IP distante du circuit principal.

Remarque : La surveillance LAN ne surveille que le circuit principal pour le Cloud Interconnect site.
Les changements d'état d'activité des hôtes pour les instances dans le réseau du fournisseur de cloud.

Il est possible de définir des seuils personnalisés et des intervalles ICMP et de définir des notifications par email à une liste de diffusion lorsque ces seuils sont atteints.

Ceci est un exemple de notification email pour la surveillance LAN :

Statut BGP

Dans Configurations du site > BGP, l'option Afficher le statut BGP confirme la connectivité de chaque circuit.

Le statut fournit des informations détaillées sur les sous-réseaux appris, annoncés et des données supplémentaires sur les pairs BGP.

Exemple de sortie de statut BGP :

Notifications par email BGP

Pour chaque pair, nous recommandons de configurer des notifications de changement de statut du voisin BGP. Les notifications par email sont envoyées directement à une liste de diffusion admin lors d'un changement d'état de connexion d'un pair BGP.

Configurez les notifications par email dans Configuration du site > BGP > Voisin BGP > Paramètres supplémentaires > Suivi.

Sélectionnez la Fréquence de l'alerte et la Liste de diffusion.

Cato permet la configuration suivante de la fréquence :

Immédiatement - Notification envoyée aux destinataires pour chaque occurrence
Toutes les heures - Envoyer une notification avec la première occurrence. Ne pas envoyer d'emails supplémentaires s'il y a plus d'occurrences dans l'heure.
Quotidien - Envoyer une notification avec la première occurrence. Ne pas envoyer de notifications supplémentaires s'il y a plus d'occurrences dans la journée.
Hebdomadaire - Envoyer une notification avec la première occurrence. Ne pas envoyer de notifications supplémentaires s'il y a plus d'occurrences dans la semaine.

Exemple de notification email BGP :

Table de routage

L'écran Surveillance > Table de routage affiche toutes les routes de votre compte, y compris les routes dynamiques.

La table de routage peut être utilisée pour déterminer quel tunnel, principal ou secondaire, est responsable d'annoncer ces routes en fonction du Saut suivant, du PoP et de la métrique du tunnel.

Les routes provenant de BGP apparaissent comme un type de routage Dynamique. Les routes du pair du circuit passif apparaissent en grisé. Les sous-réseaux point à point des deux circuits apparaissent comme un type de routage Statique dans la table de routage.

Par exemple, la route dynamique suivante 172.29.0.0/24 est annoncée depuis le PoP de New York et a une métrique de 5 (la plus élevée) qui est le tunnel principal et actuellement actif.

La même route est également annoncée par le tunnel secondaire sur le PoP d'Ashburn avec une métrique inférieure de 10.

Dans le cas où le tunnel secondaire sur le PoP d'Ashburn deviendrait le tunnel actif, la table de routage s'ajusterait en conséquence pour cette route.

Les pairs BGP sont Statiques et ont leur propre entrée dans la table de routage. Ces pairs servent de Saut suivant pour les routes BGP Dynamiques annoncées derrière eux. De même que pour d'autres routes, les informations métriques peuvent être discernées pour comprendre quel pair est actuellement actif avec une métrique plus élevée et par quelle localisation PoP de Cato.

Événements

Dans l'écran Surveillance du site > Événements, Cato agrège tous les événements enregistrés liés au site.

Les événements clés peuvent être utilisés pour analyser une chronologie des événements tels que. Vous pouvez filtrer les événements pertinents en utilisant les sous-types d'événements suivants :

Session BGP – Notifie l'établissement ou la déconnexion de la session BGP. Une raison identifiée pour la déconnexion peut être inspectée dans le journal d'événements étendu. (Sous l'icône ‘+’)
Routage BGP – Modifications des routes BGP telles que l'ajout ou la suppression de nouvelles routes du pair BGP.
Surveillance LAN – Ces événements sont enregistrés comme faisant partie de la configuration de la surveillance LAN que vous avez configurée. Si la surveillance LAN n'est pas configurée, ces événements ne seraient pas enregistrés.

Analytique du réseau du site

L'analytique du site vous permet de surveiller le trafic et le débit du site et inclut ces tableaux de bord :

Analytique du réseau – Analyse les changements d'état de connectivité, nombre de Flux, Hôtes et Débit.

Il est important de se rappeler que la connectivité du site Cloud Interconnect est basée sur les pairs BGP. Si les deux pairs BGP sont inaccessibles, le site est considéré comme Déconnecté.
Événements - Flux d'événements du site.
Analytique des applications - Ce tableau de bord analyse le débit des hôtes et l'utilisation des applications. Il est possible d'ajouter des filtres tels que IP/hôte, application, catégorie, etc...
Analyseur de priorité - Ce tableau de bord permet d'analyser la distribution de QoS au fil du temps. (lire plus sur Priority Analyzer)
Hosts Connus – Un tableau de bord en temps réel pour les hôtes derrière le site. IP, type d'OS et activité de l'hôte figurent parmi les points de données disponibles par hôte.
Temps Réel - Ce tableau de bord permet la surveillance en temps réel des hôtes actifs, le débit, les applications principales, le QoS actif et plus.

Limitations de Cloud Interconnect avec AWS

Voici une liste des principales limitations à prendre en compte avant de configurer un site Cloud Interconnect AWS :

AWS assigne automatiquement l'IP du routeur AWS, l'IP du pair Cato et la clé MD5. (Vous pouvez choisir de personnaliser ces valeurs manuellement)
Les interfaces Direct Connect peuvent recevoir jusqu'à 100 annonces de routes via BGP. (Cato dispose d'une option pour la synthèse de route personnalisée. Si vous souhaitez configurer la synthèse de routes avec BGP, veuillez contacter le support Cato.

Vous pouvez en savoir plus sur la documentation officielle d'AWS sur Direct Connect.