この記事では、Azure Marketplaceを使用して、Microsoft Azureでホストされているサイトに仮想Cato Socket(vSocket)を自動的にデプロイする方法について説明します。 マーケットプレイスで公開されているAzure vSocketイメージとCatoウィザードは、必要な仮想リソースの追加手順を案内します。
Catoインストールスクリプトを使用してvSocketを手動でデプロイする方法の詳細については、Azure vSocketサイトの手動デプロイ(EA 2 NICサポート)をご覧ください。
既存のデプロイメントを2つのNICに移行する方法についての情報は、Migrating Azure vSockets to a 2-NIC Solutionをご覧ください。
- 環境がCatoソケット接続の前提条件に記載された要件を満たしていることを確認してください。
-
プライベートAzureマーケットプレイスを持つテナントでは、Azure管理者が次の手順を行う必要があります:
-
プライベートプラン画面に移動し、Azureアプリケーションと仮想マシンの2つのCatoオファーがあることを確認してください。 この記事で概説されている手順に対しては、Azureアプリケーションを選択するようにしてください。
- 非公開マーケットプレイス画面に移動し、希望するコレクションに2つのCatoオファーを追加します。 このコレクションが、vSocketをインストールしたい関連するテナントに適用されることを確認してください。
注意:詳しくは、Microsoftのドキュメントをご覧ください。
-
- Azure vSocketは公開DNSサーバーへのアクセスを持っている必要があります。 VNetがプライベートDNSサーバーのみを使用するように設定されていないことを確認してください。
-
各vSocketインスタンスは、これらのリソースへのアウトバウンド接続が必要です:
- 仮想ネットワーク - DNSとHTTPプロトコル
- Azureリソースマネージャー - HTTPS
- 管理インターフェースは公開DNSサーバー(設定されていればUDP/53)およびmanagement.azure.com(TCP/443)へのインターネットアクセスが必要です。
- Standard_D2s_v5 - 2-NICデプロイメント、最大1Gbpsのスループットを含む
- Standard_D8ls_v5 - 3-NICデプロイメント、Azure高速ネットワーキングと最大2Gbpsのスループットを含む
- 中国に基づくAzureサイト用のAzureマーケットプレイスからのvSocketのデプロイはサポートされていません。 中国でvSocketをデプロイするには、Catoインストールスクリプトを使用してvSocketを手動でデプロイしてください。詳細は、Azure vSocketサイトを手動で展開 (EA 2 NICサポート) を参照してください。
- 可用性ゾーンが設定されたリソースをデプロイすると、公開IPセットは機能しません。 これを回避するために、マーケットプレイスデプロイメントウィザードを使用して可用性ゾーンをデプロイし、デプロイメントウィザードが完了した後に手動で公開IPセットを構成します。
- 新しいデプロイメントのデフォルトのVMはStandard_D8ls_v5です。 お使いの環境が現時点でこのVMをサポートしていない場合は、Azure管理者に連絡してください。 既存のデプロイメントの場合、VMのサイズを変更できます。 詳細については、Microsoft AzureサイトのvSocket VMをStandard D8ls v5 VMサイズに変更するをご覧ください。
- vSocket VMにはAzure拡張機能およびバックアップはサポートされていません
マーケットプレイスから Azure vSocket を展開する際、vSocket によって以下の仮想リソースが使用されます:
- vSocketファームウェアがインストールされたVMインスタンス
- Cato Cloudに送信されるトラフィック用のWAN仮想ネットワーク
- 内部LANトラフィック用のLAN仮想ネットワーク
-
MGMT 仮想ネットワーク (3 NIC インスタンス タイプのみ)
- vSocket HAサイト用、vSocketとAzure APIの間で使用されるフェイルオーバーメカニズムの管理コミュニケーション
- 単一vSocketサイトは、管理インターフェースのためのインバウンドまたはアウトバウンドトラフィックを必要としません
- 3-NIC vSocketsは、Azure高速ネットワーキングオプションが有効な場合、最大2Gbのスループットをサポートします。
- vSocketのLANルーティングテーブル
- WANおよびLANのネットワークセキュリティグループ
Cato管理画面で、新しい vSocket Azure サイトを作成します。 Cato管理アプリケーションで作成したすべてのネットワークセグメントは、Azure仮想ネットワークのネットワーク範囲に含まれている必要があります。
仮想Socket (vSocket) のローカルIPは、VM上のLANインタフェースのIPアドレスと同じでなければなりません。 サブネットの最初の3つのIPアドレスはVPCによって予約されています。
サイトを作成した後、Cato管理画面はそれに固有のシリアル番号 (S/N) を割り当てます。 シリアル番号をテキストファイルにコピーして貼り付けることをお勧めします。
Azure vSocketサイトを作成するには:
- Cato管理画面のナビゲーションメニューからネットワーク > サイトを選択します。
-
新規をクリックします。 サイトを追加パネルが開きます。
- サイトの 全般 設定を構成します。
- サイト名を入力します。
- サイトタイプを選択します。 このオプションは、接続構成ウィンドウでサイトに使用されるアイコンを決定します。
- 接続タイプにvSocket Azureを選択します。
- 国、州、タイムゾーンを設定し、メンテナンスウィンドウの時間枠を設定します。
- ISP帯域幅に従って、下りおよび上り帯域幅を含むWANインタフェースの設定を設定します。
- AWSサイトのために ネイティブレンジを含むLANインタフェースの設定を構成します。 この設定はAzureのLANサブネットIP範囲と同じである必要があります。
- 保存をクリックします。 サイトがサイトリストに追加されます。
- Catoウィザード用にAzureマーケットプレイスでvSocketシリアル番号をコピーして保存します。
- サイトリストから、新しいvSocketサイトを選択します。
- ナビゲーションメニューから、サイト設定 > ソケットを選択します。 シリアル番号(S/N)をコピーして保存します。
Azureマーケットプレイスの自動化されたCatoウィザードを使用して、プライマリ(またはシングル)vSocketの仮想リソースを作成し、Azureサイトに展開します。 Azure vSocketイメージはマーケットプレイスで公開されています。
サイトの高可用性(HA)構成を使用している場合、ウィザードを2回実行し、2番目のvSocketの適切なオプションを選択する必要があります(下の高可用性のための追加の二次vSocketを参照)。
注: 2025年3月から、VMインターフェースに割り当てた公開IPアドレスには標準SKUを使用する必要があります。 基本SKUの公開IPアドレスは2025年9月30日に廃止されます このリタイアメントと既存IPアドレスの移行に関する詳細については、次の通知を参照してください: Azure vSocket パブリック IP を Basic から 標準 SKU へ アップグレード.
このセクションでは、Catoウィザードのオプション設定ウィンドウでvSocketに定義できるさまざまなオプション設定を説明します。
必要条件ではありませんが、WANおよびMGMTインターフェースおよび仮想ネットワーク用にAzureから静的パブリックIPアドレスを定義することを選択できます。 パブリックIPアドレスを構成する場合、それはMGMTとWANの両方のインターフェースに対してである必要があります。 MGMTインターフェースは、パブリックインターネットを通じてソケットWebUIにアクセスするために、パブリックIPアドレスを持っている必要があります。
パブリックIPアドレスを構成した後は、Catoはネットワークセキュリティグループを追加することを推奨します。
CatoトンネルまたはCato管理アプリケーション経由でソケットWebUIに接続する場合、パブリックIPアドレスは必要ありません。
ネットワークセキュリティグループはどのトラフィックが許可されるかを定義し、WAN、LAN、またはMGMTインターフェースに基づいて定義された仮想ネットワークのインバウンドトラフィックの管理を支援します。 既存のセキュリティグループを使用するか、vSocket用に新しいグループを作成することができます。
Azureはクラウドリソースの冗長性を実現するために以下の機能を提供します:
- 可用性セット - 個々のデータセンター内の障害からAzureサービスを保護します
- 可用性ゾーン - データセンター全体に影響を与えるインシデントから保護します
vSocketsを単一の可用性設定または可用性ゾーンに割り当てることを選択できます。 HAのvSocket構成では、2つのvSocketが異なるフォールトおよびアップデートドメインに割り当てられることを確認したいときに、可用性セットが主に使用されます。
異なる可用性ゾーンを使用しているVMに可用性セットを割り当てることはできません。
注意
注意: 作成後にAzureでVMを可用性セットに割り当てることはできません。
Azure MarketplaceでCato vSocketウィザードを使用して、仮想リソースの設定を定義し、プライマリvSocketをデプロイします。 その後、vSocketは自動的にCato Cloudに接続され、アカウント内のAzureサイトに割り当てられます。
HA構成用の二次vSocketを展開する詳細については、下記Azureサイトへの二次vSocketの追加をご覧ください。
マーケットプレイスからプライマリAzure vSocketをデプロイするには:
- Azureマーケットプレイスで、Catoを検索し、Cato Networks Virtual Socketを選択します。
-
概要画面で、Azureリソースのためのプランとサブスクリプションを選択し、作成をクリックします。
-
基本画面で、リソースとコストのための以下の設定を定義します:
- サブスクリプション - Azureリソースの請求アカウント
- リソースグループ - vSocketリソースが関連付けられているAzureリソースグループ
- リージョン - vSocketリソースのAzureリージョン
- リソースプレフィックス - 各vSocketリソースに追加するオプションのプレフィックス
-
vSocketデプロイメント画面で、プライマリvSocketをデプロイを選択します。
-
ネットワーク機器画面で、まず2または3のNICと作業するかを決定します。
- 2 NICデプロイメントはStandard_D2s_v5インスタンスタイプを使用します
-
3 NICデプロイメントはStandard_D8ls_v5インスタンスタイプを使用します
注意
注意: デフォルトでは、3 NIC vSocketsはAzure加速ネットワークオプションが有効化されている場合に最大2Gbのスループットをサポートします。
これらは vSocket サブネットです(最小サブネット住所空間は /28):
- MGMTサブネット(3 NICデプロイメントのみ) - vSocketとAzure APIの間の管理コミュニケーション
- WANサブネット - vSocketのための外部WANトラフィック(インターネットとCato Cloud)
-
LANサブネット - vSocketに接続されている内部Azureリソースとトラフィック
注意: LANサブネットのIP範囲がCato管理画面のvSocketサイト用のネイティブ範囲と同じであることを確認してください。
-
Cato vSocket構成画面で、Cato管理アプリケーションで作成したvSocketサイトに基づいてvSocketの設定を定義します(上記Azure vSocketサイトの作成)。
- vSocketシリアル番号(S/N) - S/Nをサイト構成 > ソケットページからコピーしたものを貼り付けます。
- vSocket LAN IP - CMAのサイト構成 > ネットワークページからプライマリvSocketのローカルIPを入力します。
-
vSocket名 - vSocketをホストするVMの名前を入力します。
vSocket名にはスペースまたはAzureの制限文字を含めることはできません。
- WANインタフェースIP割り当て - WANインタフェースの内部IPとして、動的または静的を選択します。 静的IP割り当ての場合、任意のIPアドレスを割り当てることができます。
- MGMTインターフェースIP割り当て(3 NICデプロイメントのみ) - MGMTインターフェースの内部IPとして、動的または静的を選択します。 静的IP割り当ての場合、任意のIPアドレスを割り当てることができます。
-
In the Optional Configuration screen, you can choose to define these settings:
- WANおよび/またはMGMT(3 NICデプロイメントのみ)インターフェースのための公開IPアドレス
- WAN、MGMT(3 NICデプロイメントのみ)、および/またはLANインターフェース用のネットワークセキュリティグループ
-
vSocketの可用性オプション:
-
Azure可用性セット - 新規作成 または既存のものを使用
注意: 可用性セットはvSocketと同じリソースグループにある必要があります
- Azure可用性ゾーン - 1 - 3の範囲内の可用性ゾーンを選択
-
これらの設定の詳細については、上記マーケットプレイスウィザードによる任意の構成をご覧ください。
-
確認 + 作成 画面でvSocket設定を確認し、作成をクリックします。
注意: 配置テンプレートをエクスポートして、将来のvSocketデプロイメントで使用することができます。
デプロイが進行中 画面はvSocketのデプロイメントのリアルタイムステータスを表示します。 すべてのリソースのデプロイを完了するのに数分かかることがあります。
vSocketリソースがデプロイされた後、vSocketは自動的にサイトをCato Cloudに接続し、最新のvSocketバージョンにアップグレードが必要かどうかを確認します。 Cato管理アプリケーションの通知エリアには、vSocket接続状態に関するメッセージが表示されます。
Azureサイト内でvSocketの冗長性を提供するために、同じAzure仮想ネットワーク(VNet)内に2つのvSocketをデプロイし、それらを高可用性(HA)構成で動作させることができます。 vSocketはアクティブ/パッシブモードで動作し、LANリンクはvSocket間でキープアライブメッセージを送信するために使用されます。
Azure HA構成は、アクティブなvSocketのLANインタフェースにバインドされたフローティングIPアドレスを使用します。 パッシブなセカンダリvSocketへのフェイルオーバーが発生した場合、フローティングIPはセカンダリvSocketのLANインタフェースに移動します。 ルートテーブルは、このフローティングIPをCato Cloud経由で送信されるトラフィックのネクストホップとして使用します。
必要に応じて、さまざまな可用性ゾーンにAzure HAサポートvSocketをデプロイすることができます。 または、可用性セットを使用して、Azure内で両方のvSocketが異なるフォールトと更新ドメインにデプロイされていることを確認することができます。
プライマリvSocketをデプロイした後、Cato管理アプリケーションでAzureサイトにセカンダリvSocketを追加します。 その後、マーケットプレイスウィザードを使用してセカンダリvSocketをデプロイします。
Azure HAに関する詳細は、Azure vSocketsの高可用性の構成をご覧ください。
- 仮想リソースのためのAzureリソースグループの所有者である必要があります
- Azure vSocketsは同じVNetを使用する必要があります
- プライマリソケットをデプロイする際にデフォルト仮想ネットワーク名vsNetを使用し、検証エラーが発生する場合は、二次vSocketのためにリソースプレフィックスを定義する必要があります
- システム定義されたアイデンティティのデフォルトポリシーがある場合、プライマリとセカンダリのvSocket間の移行が機能することを確認するためにCato vSocketsを除外する必要があります。 詳細については、関連するAzureドキュメントを参照してください。
ネットワーク > サイト > サイト設定 > ソケット画面でセカンダリソケットの追加オプションを使用して、セカンダリvSocket用にサイトを準備します。 以下の設定を入力するポップアップウィンドウがあります:
- LANインターフェースIP - 二次vSocketのLANインターフェースのためのIPアドレス
- LANフローティングIP - Azure HAの構成に使用されるフローティングIPのためのIPアドレス
Cato管理画面はセカンダリvSocketの管理IPアドレスとしてLANのインタフェースIPアドレスを使用します。 このLANインタフェースはHAキープアライブパケットにも使用されます。
セカンダリvSocketをサイトに追加した後、Cato管理アプリケーションは以下を実行します:
- 新しいvSocketのためのvSocketシリアル番号を生成します(このシリアル番号は、VMにvSocketをインストールするためにCatoスクリプトを実行するときに使用されます)
- そのサイト用の高可用性の構成セクションを有効にします
- ネットワークセクションのネイティブレンジを変更し、ローカルIPがフローティングIPに置き換えられます
HAのためにAzureサイトを構成するには:
- ナビゲーションメニューから ネットワーク > サイト を選択し、Azureサイトを選択します。
- ナビゲーションメニューから、サイト設定 > ソケットを選択します。
- セカンダリソケットの追加をクリックします。 セカンダリvSocketの追加(高可用性)ウィンドウが開きます。
- LAN IP設定を構成します:
- LANインタフェースIPを入力します。 この値はMGMT IPとして使用され、キープアライブパケット用です。
- LANフローティングIPを入力します。
- 保存をクリックします。 フローティングIP設定が構成され、ソケット > 高可用性の構成セクションにコピーされます。
- 保存をクリックしてください。
-
セカンダリ vSocketのシリアル番号(S/N)をコピーして保存します。
Azure MarketplaceからセカンダリvSocketを展開する際にこのS/Nを使用します。
Azure Marketplaceの自動Catoウィザードを使用してセカンダリvSocketの仮想リソースを作成し、Azureサイトに展開します。
MarketplaceウィザードでセカンダリvSocketの設定を構成する際、以下の設定はプライマリとセカンダリvSocketで同じ設定でなければなりません:
- ネットワーキング - プライマリとセカンダリのvSocketsのために、同じ仮想ネットワーク、MGMT、WAN、およびLANサブネットを使用する必要があります。
- オプション構成 > セキュリティグループ - プライマリ用に新しいグループを作成した場合は、セカンダリでも再度使用します。 そうでない場合は、両方に「なし」を選択するか、同じ既存のグループを選択します。
マーケットプレイスからセカンダリアシュアvSocketをデプロイするには:
- Azure Marketplace から、Cato をアクセストークンを検索し、Cato Networks Virtual Socket を選択します。
- 概要画面で、Azure リソースのプランとサブスクリプション IDを選択し、作成をクリックします。
-
基本画面で、プライマリvSocketのために定義したものと同じ設定を定義します:
- サブスクリプション ID - Azure リソースの請求アカウント
- リソースグループ - AzureリソースグループへのvSocketリソースの関連付け
- 地域 - vSocketリソースのAzure地域
-
リソースプレフィックス - 各vSocketリソースに追加するためのオプションのプレフィックス
プライマリソケットをデプロイする際にデフォルトの仮想ネットワーク名vsNetを使用した場合、エラーを回避するためにセカンダリソケットのためのリソースプレフィックスを定義する必要があります。
-
vSocketデプロイメント画面で、セカンダリvSocketをデプロイを選択します。
-
ネットワーク機器画面で、プライマリvSocketが使用している同じVNetを選択します
- WAN、MGMT、およびLANサブネットのために、プライマリvSocketで使用したのと同じサブネットを選択します。
注意
重要: プライマリvSocketと同じリソースを選択しない場合、冗長化のデプロイは失敗します。
-
Cato vSocket設定画面で、Cato管理画面で作成したvSocketサイトに基づいて以下の設定を定義します (上記のAzure vSocketサイトの作成)。
- プライマリvSocketを選択 - 以前に作成したプライマリvSocket
- プライマリvSocket LAN NICを選択 – 以前に作成したプライマリvSocketのLANサブネットのNIC
- セカンダリvSocketシリアル番号 (S/N) - Cato管理画面のサイト設定 > Socket画面からセカンダリvSocketのS/Nをコピーします。
- セカンダリvSocket LAN IP - Cato管理画面のサイト設定 > Socket > 高可用性設定画面からセカンダリvSocketのローカルIPを入力します。
- サイトのフローティングIP - 両方のvSocketsが同じフローティングIPを使用しています。 フローティングIPはCato管理画面のサイト設定 > Socket > 高可用性設定画面で設定されています。
- セカンダリvSocketの名前 - セカンダリvSocketをホストするVMの名前を入力します。
- WANインターフェースIPの割り当て – WANインターフェースの内部IPアドレスを動的または静的に選択します。 静的IPの割り当てでは、任意のIPアドレスを割り当てることができます。
- MGMTインターフェースIPの割り当て (3 NICのデプロイメントのみ) – MGMTインターフェースの内部IPアドレスを動的または静的に選択します。 静的IPの割り当てでは、任意のIPアドレスを割り当てることができます。
-
オプションの設定画面で、セカンダリvSocketのためのこれらの設定を定義します:
- プライマリvSocketと同じセキュリティグループと可用性の設定を行う必要があります。
- LANルートテーブルの更新 - プライマリvSocketと同じLANルートテーブルを選択します。 HAフローティングIPは次のホップとして自動的に使用されます。
-
レビュー + 作成画面でvSocket設定を確認し、次に作成をクリックします。
デプロイメント進行中画面はvSocketデプロイメントのリアルタイム状態を表示します。 すべてのリソースのデプロイを完了するには数分かかる場合があります。
vSocketリソースがデプロイされた後、vSocketは自動的にサイトをCato Cloudに接続し、新しいvSocketバージョンへのアップグレードが必要かどうかを確認します。 Cato管理画面の通知領域には、vSocketの接続状況に関するメッセージが表示されます。
場合によっては、AzureがvSocketのデプロイを完了できないことがあります。例えば、プライベートAzureマーケットプレイスで管理者によってデプロイウィザードが承認されなかった場合などです。
失敗したデプロイに関する詳細情報を得るために、デプロイエラーの概要やAzureアクティビティログを確認してください。
デプロイプロセス中は、デプロイステータスに関係なくAzureリソースが自動的に作成されます。 デプロイが失敗した場合、再度デプロイを試みる前にリソースを削除してください。
Azureデプロイリソースを削除するには:
- Azure内のリソースグループに移動し、このデプロイに使用したリソースグループを選択します。
-
リソース の下で、フィルター画面を使用してデプロイメントのプレフィックスをフィルターリングします。 このプレフィックスを使用して作成された全てのデプロイメント リソースが表示されます。
- すべてのリソースがプレフィックスと一致していることを確認し、チェックボックスを使用して一括選択します。
-
削除をクリックします。 選択した場合、仮想マシンに対する強制削除を適用することができます。
準備完了したら、デプロイメント ウィザードを再度実行します。 デプロイメントを完了できない場合は、Catoサポートに問い合わせてくださいsupport@catonetworks.com。
Azure vSocket への接続 ソケットWebUI
vSocketが展開された後、ソケットWebUIに接続して、VMのパスワードを変更することをお勧めします。 vSocketのデフォルトのパスワードは、vSocket VMのVM IDです。
詳細については、Azure vSocketサイトを手動で展開するを参照してください。
追加リソース
Cato は、Azure vSockets のデプロイ、設定、トラブルシューティングのための複数のオプションを提供します。
- Azure vSocket サイトを手動でデプロイする(EA 2 NIC サポート) - Azure マーケットプレイスを使用せずに、カスタム(ARM テンプレート デプロイメント)や vSocket のリソースを手動で作成することを好む場合
- Azure vSockets の高可用性を設定する - vSockets のための高可用性設定を手動で作成する
- AzureマルチVNet環境でのvSocketの使用方法
- Azure HA vSocketのトラブルシューティング
0件のコメント
サインインしてコメントを残してください。