Interconnexion Cloud pour le Cloud Public GCP

Ce guide explique comment connecter Google Cloud Platform (GCP) au Cato Cloud via Cloud Interconnect.

Pour plus d'informations sur les sites Cloud Interconnect, consultez Getting Started with Cloud Interconnect Sites.

Vue d'ensemble de Cloud Interconnect pour GCP

Cato prend en charge uniquement le modèle Actif-Passif pour le site Cloud Interconnect avec 2 circuits. Le BGP est utilisé pour échanger les informations de routage entre les points de présence de Cato et les routeurs de bord de GCP, et aussi pour déterminer le circuit actuellement actif pour le site.

Bonne pratique : Cato recommande de connecter deux circuits dans GCP pour des scénarios de résilience et de redondance. Les configurations à circuit unique sont également prises en charge.

Préparation pour créer un site Cloud Interconnect

Lorsque vous créez un site Cloud Interconnect dans GCP, il est nécessaire de configurer les paramètres pour votre locataire GCP et l'application de gestion Cato.

Avant de commencer à déployer un site Cloud Interconnect, il est important de vérifier que le cas d'usage pour la connexion Primaire et Secondaire est pris en charge par les emplacements des PoP de Cato, les fournisseurs de cloud, et les fournisseurs de tissu. Pour plus d'informations sur la préparation pour les sites Cloud Interconnect, voir Getting Started with Cloud Interconnect Sites.

Remarque

Remarque : Pour déployer le site Cloud Interconnect, Cato fournit une configuration transparente en utilisant quelques informations d'identifications de base pour créer la connexion avec le fournisseur de tissu (par exemple, Equinix). Si votre cas d'utilisation n'est pas pris en charge par la configuration automatisée, contactez votre représentant de comptes (PS/SE/CSM) pour déployer la connexion manuellement.

Pour des problèmes que vous rencontrez après avoir déployé votre site Cloud Interconnect, contactez Support.

Vue d'ensemble de haut niveau de la configuration d'un site Cloud Interconnect

Voici une vue d'ensemble de haut niveau du processus de configuration de Cloud Interconnect pour un site Cato GCP :

Vérifiez que le cas d'utilisation est pris en charge par l'emplacement du PoP Cato, le fournisseur de cloud, et le fournisseur de tissu.
1. Pour les emplacements PoP disponibles immédiatement, continuez avec l'étape 2.
2. Pour les emplacements PoP disponibles à une date ultérieure, attendez que Cato termine les paramètres manuels en backend avant de configurer le site Cloud Interconnect.
Créez deux circuits de jonction VLAN dans GCP.
Dans l'application de gestion Cato, créez un nouveau site et choisissez le type de site comme Cloud Interconnect.
1. Configurez les sous-réseaux IP /30 pour les circuits primaire et secondaire du site.
2. Configurez la largeur de bande par circuit.
Configurez BGP entre Cato et GCP :
1. Dans GCP - Une fois provisionné, acceptez le jumelage du circuit Direct Connect et configurez les mêmes sous-réseaux IP ajoutés à l'application de gestion Cato.
2. Dans l'application de gestion Cato - Configurez les paramètres de pair BGP pour les circuits primaire et secondaire. (Cato préfère automatiquement les métriques du pair primaire)
Connectez votre routeur cloud GCP aux circuits primaire et secondaire.
Testez la connectivité avec votre nouveau site.

Ci-dessous, un exemple de topologie détaillée d'un environnement cloud Google connecté à Cato via Cloud Interconnect.

Configurer les paramètres dans le compte GCP

Cette section décrit comment configurer les paramètres pour un centre de données GCP afin qu'il puisse se connecter au site Cloud Interconnect dans votre compte Cato.

Le diagramme ci-dessous montre la configuration GCP pour un site Cloud Interconnect.

Pour configurer les paramètres des locataires GCP pour le site Cloud Interconnect :

Dans GCP, créez un nouveau circuit de jonction VLAN sous Réseau > Connectivité hybride > Interconnexion > Ajouter une jonction VLAN.
Sélectionnez Connexion d'interconnexion du partenaire et cliquez sur Continuer.

Cato utilise les fournisseurs pris en charge par GCP pour la connectivité.
Définissez les paramètres de la jonction VLAN :
1. Sélectionnez J'ai déjà un fournisseur de services.
2. Sous Redondance, sélectionnez entre Créer une paire redondante de jonctions VLAN pour Créer un seul VLAN. (Il est fortement recommandé de choisir ce dernier. Nous recommandons de créer une seule jonction VLAN uniquement à des fins de test).
3. Sélectionnez le Réseau et la Région pour Cloud Interconnect. Cela ne peut être changé par la suite et est imposé pour les deux jonctions VLAN.
4. Chaque jonction VLAN nécessite un Nom, une valeur MTU et un Routeur Cloud pour se connecter.
  
  Le routeur cloud est responsable de la connexion de votre VPC GCP au site Cloud Interconnect. Dans un environnement pair redondant, les deux jonctions VLAN utilisent le même routeur cloud. Si vous n'avez pas encore de routeur cloud préexistant pour votre connexion, veuillez lire davantage ici dans la documentation officielle de Google.
5. Cliquez sur Créer.
Une fois que les circuits des jonctions VLAN sont déployés avec succès, une clé de jumelage pour chaque VLAN est automatiquement générée. Envoyez la Clé de Service à votre représentant Cato.

Actuellement, il n'est pas possible de configurer le jumelage des circuits tant qu'ils ne sont pas complètement provisionnés par le Fournisseur de Services. (ex. Megaport).

Pour terminer le processus de provisionnement, le fournisseur de centre de données Cloud Interconnect nécessite la Clé de Jumelage générée par GCP pour chaque circuit.

Remarque : Le processus de provisionnement avec le fournisseur de services peut prendre jusqu'à 24 heures pour être visible dans le portail GCP.
Une fois provisionnée, la configuration du circuit devient éditable et un bouton Activer apparaîtra à côté du circuit. Cliquez pour activer.

Les champs sont décrits ci-dessous.
- Configurez BGP - Configurez l'ASN du pair pour refléter l'ASN qui sera utilisé pour représenter le côté Cato dans la configuration GCP. Vous pouvez utiliser n'importe quel ASN privé pour le côté Cato.
  
  Optionnellement, vous pouvez configurer la méthode d'authentification MD5.
- Largeur de bande – C'est la largeur de bande telle que définie par le Fournisseur de Services. Seul le Fournisseur de Services peut modifier la largeur de bande. Si un changement de largeur de bande est requis, veuillez contacter votre représentant Cato.
- ID de VLAN – L'ID de VLAN est généré par GCP et représente uniquement le trafic Google Cloud. Cet ID de VLAN est découplé de tout trafic sur le Cato Cloud.
- IP du routeur Cloud – Cette IP représente GCP dans le couplage BGP.
- IP du Routeur Local – Cette IP représente Cato dans le couplage BGP.
- Interconnexion – Ce champ représente le fournisseur de service et l'emplacement du centre de données.

Ci-dessous un exemple de deux attachements VLAN activés :

Création du Cloud Interconnect Site

Dans l'application de gestion Cato, créez un nouveau site pour le fournisseur Cloud Interconnect.

Cet article suppose que vous créez un site HA Actif-Passif Cloud Interconnect. Si vous créez un site à circuit unique Cloud Interconnect, veuillez créer uniquement un circuit Direct Connect principal. (Recommandé uniquement à des fins de test)

Pour le site Cloud Interconnect, nous recommandons de créer le site en même temps que vous envoyez la demande initiale de provisionnement. Cela vous permet de configurer la configuration Cato pour ce site plus rapidement.

Pour créer le site Cloud Interconnect :

Dans le CMA, sous Network > Sites, cliquez sur Nouveau pour créer un nouveau site.
Sélectionnez le Type de Connexion comme Cloud Interconnect et définissez les paramètres pour le site.
Cliquez sur Appliquer.
Sélectionnez le nouveau site et allez dans Configuration du site > Cloud Interconnect et cliquez sur Nouvelle Connexion.
1. Sous Type de Connexion, sélectionnez Connexion Cloud Public.
2. Sous Fournisseur de Cloud, et sélectionnez Google Interconnect.
3. Sous Emplacement PoP Cato, sélectionnez le PoP le plus proche de la région GCP où réside votre locataire.
4. Sous Configuration de Google Interconnect, entrez votre clé d'appariement.
5. Cliquez sur Valider. La région de cloud est automatiquement renseignée.
6. Sous Bande passante, entrez la valeur qui correspond à votre licence Cato.
7. Sous Configurer les Paramètres Réseau, configurez le sous-réseau et les IP privées de peering.
8. Cliquez sur Appliquer.
  
  Après l'établissement de la connexion, procédez à la configuration de BGP.

Définir les paramètres BGP pour le site

Cette section explique comment définir la session BGP sur la connexion de peering privé existante.

Le site de raccordement croisé est affiché à l'état Connecté lorsque au moins un pair BGP est accessible, indépendamment du statut de provisionnement avec votre fournisseur de cloud.

L'établissement de BGP est le seul indicateur de connectivité du site. BGP permet également de déterminer l'échange de routage et le basculement de tunnel.

Pour configurer les paramètres BGP pour le site Cloud Interconnect :

Configurez les mêmes paramètres dans l'onglet BGP que dans la configuration du site Cloud Interconnect. Pour chaque circuit, allez à Configuration du site > BGP et cliquez sur Nouveau.
Dans les paramètres ASN, configurez le Cato ASN comme la valeur de votre choix (assurez-vous qu'il correspond à l'ASN de partenaire préalablement configuré sur la page de configuration de l'attachement VLAN GCP)
Configurez le Peer ASN comme 16550. Il s'agit d'une notation ASN réservée utilisée par GCP pour les circuits d'attachement VLAN.
Dans les réglages IP, configurez l'IP du pair. Il s'agit de la même IP qui a été configurée dans les paramètres Cloud Interconnect sous Site. (Cette IP représente l'IP du pair du fournisseur de cloud.)

L'IP de Cato est automatiquement sélectionnée en fonction des paramètres du Cloud Interconnect.
Définissez la politique de routage BGP - Il est possible de manipuler la politique de publicité des routes pour chaque pair.

Nous recommandons que les politiques soient égales pour les deux pairs dans un site Cloud Interconnect pour éviter les divergences de routage.
1. Les options Annoncer vous permettent de configurer comment le site annonce les routes BGP pour ce voisin.
  - Route par défaut - Le site annonce une route par défaut (0/0) aux voisins BGP. Les voisins peuvent envoyer tout le trafic vers cette route par défaut, même si elle n'est pas dans la table de routage. Vous pouvez ajouter des étiquettes de communauté BGP à la route par défaut. Pour plus de détails sur les communautés BGP, consultez Travailler avec le filtrage BGP.
  - Toutes les routes - Le site annonce la table de routage interne pour l'ensemble du compte au voisin BGP. Ces routes incluent des plages statiques et flottantes, en plus des routes apprises d'autres pairs dans ce site et à travers votre réseau. Cette option est souvent activée pour envoyer le trafic WAN au voisin BGP.
    
    Note : La plage complète des utilisateurs SDP est annoncée au pair BGP en tant que route unique.
  - Résumé des routes - Le site annonce un résumé de route plutôt que plusieurs routes uniques, les pairs BGP peuvent simplifier leurs décisions de transfert et minimiser les ressources de calcul nécessaires pour la recherche de route. Voir, Travailler avec des résumés de routes BGP.
2. Dans la section Accepter, sélectionnez si le site accepte ou rejette les adresses IP dynamiques publiées par ce voisin. Lorsque vous sélectionnez une option Supprimer, vous limitez la propagation dynamique de ce voisin BGP. Pour plus d'informations sur les listes de routes BGP, voir Travailler avec le filtrage BGP.
  
  Par exemple, dans les déploiements qui utilisent AWS Direct Connect, BGP est requis mais vous ne voulez pas accepter les adresses dynamiques AWS. Dans ces déploiements, nous recommandons de sélectionner Rejeter tout.
3. Dans la section NAT, sélectionnez Effectuer le NAT vers les IPs publiques pour que le site effectue le SNAT vers toutes les IPs et le trafic est traduit vers l'adresse IP LAN.
Configurez les Paramètres Additionnels pour les routes BGP :
1. MD5 – Une couche de sécurité supplémentaire. Ce champ est obligatoire pour Cloud Interconnect.
2. Métrique – La priorité des pairs peut être modifiée.
  
  Le profil de configuration attendu est de définir une meilleure métrique pour le pair principal que pour le pair secondaire.
3. Temps de conservation et valeurs de Intervalle de conservation.
4. Suivre > Notification par Email – Alertes facultatives pour les changements de connectivité BGP.
Cliquez sur Appliquer.

Le site Cloud Interconnect est configuré. Vérifiez que le site fonctionne correctement, voyez ci-dessous Surveillance et test de connectivité pour le site Cloud Interconnect.

Exemple de politique BGP pour le site Cloud Interconnect

Voir l'exemple suivant de deux pairs dans la configuration active-passive supportée avec Cato. (La métrique du pair principal est 90, la métrique du pair secondaire est 100)

Surveillance et test de connectivité pour le site Cloud Interconnect

Maintenant que la configuration du site est terminée, examinons comment la connexion peut être testée et surveillée.

Cato fournit plusieurs outils pour vous aider à surveiller votre site Cloud Interconnect et à résoudre d'éventuels problèmes, y compris :

Outil de test de connectivité

Vous pouvez tester l'accessibilité IP point à point Cloud Interconnect de chaque circuit en utilisant l'outil Test de Connectivité.

L'outil Test de Connectivité dans Configuration du site > Cloud Interconnect envoie des sondes ICMP de l'IP PoP Cato à l'IP distante du site de la connexion primaire ou secondaire.

Voici les résultats des sondes ICMP :

Succès - Test exécuté avec succès
Erreur - Test non exécuté. (Temps d'attente dépassé par le PoP Cato ou incapable d'être exécuté)
Échec - Test exécuté avec succès sans réponse de l'IP du pair distant

Surveillance LAN

Vous pouvez utiliser la fonctionnalité Surveillance LAN pour :

Effectuer des sondages ICMP continus depuis le PoP Cato vers l'IP distante du circuit principal.

Remarque : La Surveillance LAN ne surveille que le circuit principal pour le Cloud Interconnect site.
Les changements d'état de vivacité des hôtes pour les instances dans le réseau du fournisseur cloud.

Il est possible de définir des seuils personnalisés et des intervalles ICMP et de définir des notifications par email à une liste de diffusion en cas de respect de ces seuils.

Voici un exemple de notification par email pour la Surveillance LAN :

Statut BGP

Dans Configuration du Site > BGP, le Afficher le statut BGP confirme la connectivité de chaque circuit.

Le statut fournit des informations détaillées sur les sous-réseaux appris, annoncés et des données supplémentaires sur les pairs BGP.

Exemple de sortie de statut BGP :

Notifications par email BGP

Pour chaque pair, nous recommandons de configurer des notifications de changement de statut des voisins BGP. Les notifications par email sont envoyées directement à une liste de diffusion administrateur lors d'un changement d'état de connexion d'un pair BGP.

Configurez les notifications par email dans Configuration du Site > BGP > Voisin BGP > Paramètres supplémentaires > Suivi.

Sélectionnez la Fréquence d'alerte et la Liste de diffusion.

Cato permet la configuration suivante des Fréquences :

Immédiatement - Notification envoyée aux destinataires pour chaque occurrence
Toutes les heures - Envoyer notification avec la première occurrence. Ne pas envoyer de courriels supplémentaires s'il y a plus d'occasions dans une heure.
Quotidien - Envoyer notification avec la première occurrence. Ne pas envoyer d'autres si plus d'occasions dans une journée.
Hebdomadaire - Envoyer notification avec la première occurrence. Ne pas envoyer d'autres si plus d'occasions dans une semaine.

Exemple de notification par email BGP :

Table de routage

L'écran Surveillance > Table de routage montre toutes les routes de votre compte, y compris les routes dynamiques.

La table de routage peut être utilisée pour déterminer quel tunnel, primaire ou secondaire, est responsable de l'annonce de ces routes basées sur le Next Hop, PoP et Metric Tunnel.

Les routes provenant de BGP apparaissent comme un type de routage Dynamique. Les routes depuis le pair du circuit passif apparaissent comme estompées. Les sous-réseaux point à point des deux circuits apparaissent comme un type de routage Statique sur la table de routage.

Par exemple, la route dynamique suivante 172.29.0.0/24 est annoncée depuis le PoP de New York et a une métrique de 5 (la plus haute) qui est le tunnel principal et actuellement actif.

La même route est également annoncée par le tunnel secondaire sur le PoP d'Ashburn avec une métrique plus basse de 10.

Dans le cas où le tunnel secondaire sur le PoP d'Ashburn deviendrait le tunnel actif, la table de routage s'ajusterait en conséquence pour cette route.

Les pairs BGP sont Statique et ont leur propre entrée dans la table de routage. Ces pairs servent comme Prochaine étape pour les routes BGP Dynamique annoncées derrière eux. De la même manière que pour les autres routes, les informations sur les métriques peuvent être discernées pour comprendre quel pair est actuellement actif avec une métrique plus élevée et via quel emplacement PoP Cato.

Événements

Dans l'écran Surveillance du Site > Événements, Cato regroupe tous les événements enregistrés liés au site.

Les événements clés peuvent être utilisés pour analyser une chronologie d'événements tels que. Vous pouvez filtrer les Événements pertinents en utilisant les sous-types d'événements suivants :

Session BGP – Notifie de l'établissement ou de la déconnexion de la session BGP. Une raison identifiée pour la déconnexion peut être inspectée dans le journal d'événements étendu. (Sous l'icône ‘+’)
Routage BGP – Changements de route BGP, tels que l'ajout ou la suppression de nouvelles routes du peer BGP.
Surveillance LAN – Ces événements sont enregistrés dans le cadre de la configuration de la Surveillance LAN que vous avez configurée. Si la Surveillance LAN n'est pas configurée, ces événements ne seraient pas enregistrés.

Analyse du réseau du site

L'analyse du site vous permet de surveiller le trafic et le débit du site et comprend ces tableaux de bord :

Analyse du Réseau – Analyser les changements d'état de connectivité, le nombre de Flux, Hôtes et le Débit.

Il est important de se rappeler que la connectivité du Site Cloud Interconnect est basée sur les pairs BGP. Si les deux pairs BGP sont inaccessibles, le site est considéré comme Déconnecté.
Événements - Fil de suivi des événements du site.
Analyse des Applications - Ce tableau de bord dissèque le débit des hôtes et l'utilisation des applications. Il est possible d'ajouter des filtres tels que IP/hôte, Application, Catégorie, etc...
Analyse de la Priorité - Ce tableau de bord permet d'analyser la distribution du QoS au fil du temps. (lire plus sur Analyzeur de Priorité)
Hôtes Connus – Un tableau de bord en temps réel pour les hôtes derrière le site. IP, type d'OS et activité de l'hôte font partie des points de données disponibles par hôte.
Temps Réel - Ce tableau de bord permet le suivi en temps réel des hôtes actifs, du débit, des principales applications, du QoS actif et plus encore.

Limitations de Cloud Interconnect avec GCP

Voici une liste des limitations à considérer avant de configurer un site GCP Cloud Interconnect :

GCP attribue automatiquement les IPs de routage de peering pour le routeur GCP et le pair Cato. Cela ne peut pas être modifié.
La capacité de bande passante est assignée de chez le fournisseur de services (ex. Megaport) et ne peut pas être modifiée dans la console GCP. Si un changement de bande passante est nécessaire, veuillez contacter l'équipe commerciale de Cato pour mettre à jour et refléter la nouvelle valeur de bande passante.
Un réseau VPC est associé à un nouvel Interconnect lors de la création et ne peut pas être modifié. Pour changer de réseau, l'Interconnect doit être recréé.
L'échange de routes IPv6 n'est pas pris en charge par Interconnect.

Vous pouvez lire plus sur la documentation officielle Interconnect de GCP.