Azure vWANとCatoの統合

この記事はAzure vWANに関する情報と、Terraformを使用してAzureの仮想リソースとトポロジをCatoアカウントに統合する方法を提供します。

注: vWANおよびAPI統合に関する問題は、Cato APIのサポートポリシーに記載されたガイドラインに従います。

Azure Virtual WANとは

Azure Virtual WAN (vWAN)は、さまざまなネットワーク、セキュリティ、ルーティングの機能を単一の操作インターフェースに統合した統合ネットワークサービスです。 SD-WANやVPNを通じたブランチ接続、サイト間およびリモートユーザーVPN接続、ExpressRouteを介したプライベート接続、および仮想ネットワークのためのクラウド内接続をサポートします。 ハブアンドスポークアーキテクチャを利用して、Azureリージョンが相互接続されたハブとして機能し、任意の場所へのシームレスな接続を容易にするグローバルトランジットネットワーク機能を提供します。 このデザインはネットワーク管理を簡素化し、分散環境のパフォーマンスとスケーラビリティを向上させます。

アーキテクチャの概要

CatoはIPsecを使用してAzure vWAN環境をCato Cloudに接続し、TerraformはAzure vWANをアカウントに自動的に統合できます。

vWAN_Diagram.png

上記のサンプル設定では、Cato Cloudは各Azure Hubに対して2つのIPsec接続を使用します。 これは、接続の一つが利用不可になった場合でも、Azure内のリソースにアクセスできるよう、冗長性を提供します。

上記のサンプル設定のコンポーネントは以下の通りです:

  • vWAN: Virtual WAN (vWAN) リソースはAzureネットワークの仮想オーバーレイで、複数のリソースで構成されています。 これはvWAN内のすべてのハブへのリンクを含みます。 各vWANリソースは隔離されており、共通のハブを共有できません。 さらに、異なるvWAN内のハブは互いに通信しません。

  • ハブ: 仮想ハブはMicrosoftが管理する仮想ネットワーク(VNet)で、オンプレミスネットワーク(VPNサイト)からの接続を可能にする様々なサービスエンドポイントを含んでいます。 ポータルから仮想WANハブを作成すると、VNetとVPNゲートウェイが生成されます。 各Azureリージョンは、1つのハブのみを持つことができます。

  • ハブ間接続: Virtual WAN内のすべてのハブは相互接続されています。 これにより、ローカルハブに接続されたVNetの背後にあるサイト、リモートユーザー、またはリソースは、接続されたハブのフルメッシュアーキテクチャを介して別のサイトやVNetと通信できます。

  • サイト: サイトは、上記の図のようにHQ/DCまたはブランチである場合や、Azure vWAN内にある仮想エンティティである場合があります。 サイトは、たとえばソケットなど、Catoがサポートするさまざまな接続タイプを通じてCato Cloudに接続します。

  • IPsec接続: これは、Azure vWANをCatoアカウントに接続するために使用されます。

前提条件

  • この記事の情報は、すでにAzureポータルでVirtual WANおよび仮想ハブを作成済みであることを前提としています。 Azureで必要なリソースを作成する方法の詳細は以下をご覧ください:

  • TerraformはすでにAzure環境へのアクセス権を持つように設定されています。 詳細については、Terraformのドキュメントを参照してください。

Terraformを使用した統合の作成

Cato Networksは、Azure vWANとの統合に必要なリソースを作成するためにTerraformを使用しています。リソースには以下が含まれます:

  • AzureアカウントでVPNゲートウェイ接続を作成する

  • Catoアカウントでのサイトの作成。 接続したいAzureハブごとに別々のサイトを作成する必要があります

  • 新しいサイトとAzureハブの間にプライマリとセカンダリのIPsec接続(異なるポップへの接続)を作成する

  • 新しいサイトでBGPピアを定義および設定する

Terraformモジュールの取得

Azure vWANと統合するためのCatoモジュールは、次のCatoのTerraformレジストリから利用できます: https://registry.terraform.io/modules/catonetworks/azure-vwan/cato/latest

関連するモジュールをダウンロードし、以下のファイルを必ず持っていることを確認してください:

  • main.tfには、Terraformが実行するAPI呼び出しが含まれています。例えば、プロバイダーへの接続、割り当て済みIPアドレスとサイトの関連付けなど

  • variables.tfには、AzureとCatoリソースのすべてのパラメータが含まれています。例えば、Cato APIトークン、CatoアカウントID、IPsecサイトの名前など

  • version.tfは、AzureとCatoの両方に必要なプロバイダーおよびそのバージョンを指定します

variables.tfファイルの変更

variables.tfファイルには、AzureおよびCatoアカウントから情報を得るために必要なすべてのパラメータと、アカウントに必要なリソースを作成するために提供しなければならないパラメータが含まれています。

Variables.tfファイルを修正するには:

  1. テキストエディタでファイルを開きます。

  2. 以下の表に示されているように必要な情報を提供します。

  3. ファイルを保存します。

パラメーター

説明

cato_baseurl

Cato APIの場所

デフォルト値は:https://api.catonetworks.com/api/v1/graphql2です

azure_subscription_id

統合中のAzureサブスクリプション。 この値は、Azureアカウントのホーム > サブスクリプションの下にあります。

azure_vwan_hub_id

Cato IPsecサイトを接続したいAzure Hub。 Hub IDは、Azureアカウントのホーム > vWANs > <vWanName> > ハブの下にあります。 JSONビューをクリックし、idフィールドの内容をコピーします。

cato_token

Cato APIトークン

cato_account_id

Cato Networksアカウントに関連付けられたID。 これは、CMAの管理 > 一般情報の下にあります。

site_name

CMAで作成中のIPsecサイトの名前

cato_site_address_cidrs

Azureと通信するCMAのサイトのローカル範囲

複数の範囲がある場合、それをCIDR形式のカンマ区切りリストとして入力します

connection_bandwidth

Azure VPN接続のために割り当てる帯域幅を定義する(Mbps単位)

vpn_site_primary_link_name

CMAのサイトとAzureの間のプライマリIPsec接続の名前、Azureに表示される名前

vpn_site_secondary_link_name

CMAのサイトとAzureの間のセカンダリIPsec接続の名前、Azureに表示される名前

site_description

CMA内のIPsecサイトの説明

site_location

CMA内のIPsecサイトの位置パラメータを入力します。 これには次の情報が含まれます:

  • 都市

  • 国コード

  • 州コード

  • タイムゾーン

cato_primary_public_ip

Catoの主要なパブリックIP(すでにアカウントに割り当てられています、ネットワーク>IP割り当てで利用可能)

cato_secondary_public_ip

Catoセカンダリ公開IP(すでにアカウントに割り当て済み、ネットワーク>IP割り当てで利用可能)

bgp_enabled

IPsecサイトでBGPを有効にするかどうかを決定します。 CatoはBGPピアリングを有効にすることを推奨します

cato_asn

CatoのAS番号

cato_primary_peering_address

プライマリCatoピアリングアドレス

cato_secondary_peering_address

セカンダリCatoピアリングアドレス

vpn_gateway_connection_name

AzureでのVPNゲートウェイ接続の名前

vpn_gateway_name

AzureでのVPNゲートウェイの名前

vpn_site_name

Azureに表示されるCato IPsecサイトの名前

Terraformモジュールの実行

variables.tfファイルを設定し、main.tfに任意の変更を加えた後、Terraformモジュールを実行できます。

注意:

  • このモジュールの完了には約30分かかります

  • 追加サイトを作成するためにモジュールを複数回実行する必要がある場合は、最初のモジュールの実行が完了するまで待ってから次を開始してください

Terraformモジュールを実行するには:

  1. すべてのTerraformファイルが配置されているフォルダに移動します。

  2. 次のコマンドを実行します: terraform apply

  3. Terraformは、4つのリソースが作成されることを説明する確認要求を提示します。 プロセスを開始するリクエストを承認する。

次のリソースが作成されます:

  • Azure VPNゲートウェイ接続

  • Cato IPsecサイト

  • 新しいサイトとAzureハブ間のプライマリおよびセカンダリIPsec接続

  • 新しいサイト内のBGPピア

統合の確認

Terraformモジュールが完了したら、統合が成功したことを確認できます。

統合が成功したことを確認するには:

  1. CMAで、ネットワーク > サイトに移動し、定義したIPsecサイトを探します。

  2. サイトをクリックし、サイト設定 > IPsecに移動します。

  3. プライマリおよびセカンダリセクションの下に、新しく作成された接続が表示されるはずです。

    • プライベートIPアドレスおよび認証識別子の値を確認してください

    接続のステータスがまだ未接続の場合、数分待ってページを更新してください。

  4. サイト設定 > BGPに移動します。

  5. BGPピアが作成されたことを確認し、BGPステータスを見るをクリックして接続があることを確認します。

    接続のステータスがまだ未接続の場合、数分待ってページを更新してください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント