AWSマーケットプレイスからvSocketサイトの展開

AWS vSocketsの概要

AWS VPCをCatoに接続するには、IPsecトンネルまたは仮想Socket(vSocket)を使用することができます。 この記事では、EC2インスタンスでのvSocketのデプロイ方法を説明します。

仮想Socket (vSocket) は次の利点を提供します:

  • 帯域管理とQoS

  • Cato クラウドのPoPへの接続性を最大化

  • 高可用性構成のサポート

vSocketおよびIPsecサイトの詳細については、サイトの接続タイプを選択を参照してください。

この記事では、AWS環境にVPCが既に存在していることを前提としています。

前提条件

  • AWSダッシュボードおよびCato管理画面への管理者権限が必要です。 さらに、次のAWSでの権限が必要です:

    • AWS Marketplace

    • Cloud Formation

    • IAMロールの作成

    • キーペアの作成

  • 環境がCatoソケット接続の前提条件と既知の制限に記載されている要求を満たしていることを確認してください。

EC2対応インスタンス

次のEC2インスタンスタイプはvSockets用に認定されています:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge (2Gbps以上の帯域を必要とする高性能サイトに推奨)

  • d2.xlarge 

インスタンスタイプの仕様については、この記事を参照して、サイトの要件に合ったタイプを選択するのに役立ててください。

注意

注意: c3.xlarge または c4.xlarge のインスタンスがリージョン内で利用可能でない場合には、AWSカスタマーサポートに連絡してください。

AWSの制限事項

AWSがサポートしないネットワーキング機能:

  • VLAN レンジ

  • DHCP レンジ

AWS vSocket作成の概要

  1. Cato管理アプリケーションで、AWS vSocketのために新しいサイトを作成します。

  2. Cato NetworksのAWSオファリングを展開します。

  3. vSocketがあなたのアカウントに接続されていることを確認します。

Cato管理アプリケーションでのvSocketサイトの作成

Cato 管理アプリケーションで AWS vSocket サイトを作成し、vSocket のシリアル番号を生成します。 このシリアル番号はEC2インスタンスを起動する際に使用されます。

仮想Socket (vSocket) のローカルIPは、EC2インスタンス上のLANインターフェースのIPアドレスと同じでなければなりません。 サブネットの最初の3つのIPアドレスはVPCによって予約されています。

サイトを作成すると、Cato管理画面が新しいvSocketのために独自のシリアル番号を自動生成します。 このシリアル番号は、EC2インスタンスをデプロイする際に入力する必要があります(下記AWS vSocketのデプロイを参照)。

新しいAWSサイトの作成

AWS vSocketのためのサイトを作成するには:

  1. Cato管理画面のナビゲーションメニューからネットワーク > サイトを選択します。

  2. 新規作成をクリックします。 サイトを追加パネルが開きます。

    awsSocketsite.png

  3. サイトの 一般設定 の設定を構成します。

    1. サイト名を入力します。

    2. サイトタイプを選択します。 このオプションは、接続構成ウィンドウでサイトに使用されるアイコンを決定します。

    3. 接続タイプの下でvSocket AWSを選択します。

    4. メンテナンスウィンドウの時間枠を設定するために、、およびタイムゾーンを設定します。

  4. ISP帯域幅に従って、下りおよび上り帯域幅を含むWANインタフェースの設定を設定します。

  5. LANインタフェースの設定を構成し、AWSサイトのためにネイティブ範囲を含めます。

    ネイティブ範囲はEC2インスタンスのLANサブネットIP範囲と同一でなければなりません。

  6. 適用をクリックします。 サイトがサイトリストに追加されます。

vSocketシリアル番号のコピー

Cato管理画面は新しいvSocketのためにユニークなシリアル番号を自動生成します。 このシリアル番号(S/N)はEC2インスタンスを起動する際に入力する必要があります。

シリアル番号をコピーするには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > ソケットを選択します。

  3. S/N の vSocket をコピーします。

AWS vSocketのデプロイ

この手順では、事前定義済みテンプレートを使用して、AWS環境のすべての側面を自動的に展開できます。 始める前に、以下を確認してください:

  • AWS Marketplaceからテンプレートをダウンロードおよび実行するために必要な権限

  • 暗号化された通信のためにキーペアを作成済み

  • Cato管理アプリケーションで作成したvSocketからシリアル番号をコピーしました。

Catoオファリングを使用してAWSリソースを展開するには:

  1. AWS Marketplaceで、製品を見つけるの下でCato Networks Virtual Socketを検索し、検索結果をクリックします。

  2. 購入オプションを見るをクリックしてから、購読をクリックします。

  3. ソフトウェアを起動するをクリックします。

  4. セットアップ> サービスの下で、AWS CloudFormationを選択します。

  5. リージョンの下で、vSocketが配置されているリージョンを選択します。

  6. 構成情報を確認した後、CloudFormationで起動をクリックします。

  7. スタックを作成ページで、テンプレートをそのまま使用するにはをクリックするか、環境に関連する変更を加えるにはインフラストラクチャコンポーザーで表示をクリックします。

  8. スタックの詳細を指定ページで、仮想リソースのためのスタック名ネットワーク構成のパラメータを入力します:

    • NewVPC - 接続するVPCのネットワーク範囲を入力します。 これがWANと競合しないことを確認してください。

    • NewMGMTSubnetNewWANSubnet、およびNewLANSubnet - それぞれのサブネットとして使用するためのVPC内の範囲を入力します。

  9. 仮想リソースのためのインスタンス設定パラメータを入力してください:

    • NewMGMTENI - MGMTインターフェースのMGMTサブネット内のIPアドレス。 サブネットの最初の3つのIPアドレスはVPCによって予約されています。

    • NewWANENI - WANインターフェースのWANサブネット内のIPアドレス。 サブネットの最初の3つのIPアドレスはVPCによって予約されています。

    • NewLANENI - LANインターフェースのLANサブネット内のIPアドレス。 サブネットの最初の3つのIPアドレスはVPCに予約されています。

    • MyKeyPair - この接続を暗号化するために作成したキーペアを選択します。

    • SerialNumber - Cato管理アプリケーションでvSocketを作成した際にコピーしたS/N。

    • SecurityGroupIngress - これらの仮想リソースに接続を開始できるIPアドレスまたは範囲を入力します。 良好なセキュリティ姿勢を維持するため、可能な限り小規模なグループに制限することをお勧めします。

    • インスタンスタイプ - 必要な種類のインスタンスを選択します。

  10. 次へをクリックします。

  11. (オプション) 必要に応じて、スタックオプションを設定します。

  12. をクリックします。

  13. レビューおよび作成ページで、設定を確認し、送信をクリックします。

  14. スタックが構築され、EC2インスタンスが稼働しているときに、vSocketデプロイメントを完了するためにVMを再起動します。

    注意

    注: vSocketがCato Cloudと接続を確立するためには、VMの再起動が必要です。

新しい設定が展開され、数分以内にvSocketは接続済みステータスを表示するはずです。

(オプション) ソケットWebUIへの接続

ソケットWebUIにログインする必要がある場合は、これらの設定を利用してください:

  • MGMT Elastic IP アドレスを vSocket の公開IPアドレスとして使用します

  • ユーザ名は adminです

  • デフォルトのパスワードは、vSocket EC2 インスタンスにおける インスタンスIDです

(オプション) EC2 インスタンスへのトラフィックルーティング

アプリケーションEC2インスタンスがネイティブレンジ外のサブネット (vSocket LANインターフェースサブネット以外のサブネット) に関連付けられている場合、Cato管理画面のサイトのネットワークセクションにてルーテッドレンジを追加します。

EC2 インスタンスへのトラフィックをルーティングするには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。

  2. ナビゲーションメニューから サイト設定 > ネットワーク を選択します。

  3. LAN セクションで、新規作成をクリックします。 新しいIPレンジパネルが開きます。

  4. IP範囲の名称を入力してください。

  5. 範囲のタイプルーテッドに設定します。

  6. サブネットIP範囲を入力します。

  7. ゲートウェイIPアドレスをVPCルーターに設定し、ネイティブレンジサブネットの最初のホストIPアドレスにします。

  8. (オプション) 範囲のための静的NATを設定します。

  9. 保存をクリックします。 範囲はネットワーク画面に追加されます。

awsiprange.png

上のスクリーンショットは、ルーテッド範囲のこれらのサンプル設定を示しています:

  • ネイティブレンジ - 10.0.2.0/24

  • ルーテッド範囲 - 10.0.26.0/24

  • ゲートウェイIP - 10.0.2.1

(オプション)EC2インスタンスのためにIMDSv2を設定します

IMDS(インスタンスメタデータサービス)は、インスタンスのメタデータを安全に取得するためのアクセスを提供します。 Catoはこのサービスを使って以下の情報を取得します:

  • ユーザデータのシリアル番号

  • インスタンスID

  • 冗長化に関連する情報

  • ルーティングテーブルを変更するためのキーとホスト名の設定

ソケットv20ビルド18221から、CatoはIMDSv2のサポートを追加します。

インスタンスをIMDSv2に使用するために設定するには:

  1. AWSで、設定したいインスタンスを選択します。

  2. アクション > インスタンス設定を選択します。

  3. インスタンスメタデータオプションを変更するセクションで、IMDSv2の下で必須を選択します。

  4. 保存をクリックしてください。

この変更はダウンタイムを引き起こしません。 しかし、冗長化デプロイメントがある場合、プライマリとセカンダリの両方のインスタンスを同じIMDSバージョンで設定する必要があります。

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント