AWS vSocketサイトを手動でデプロイする

AWS vSocketの概要

AWS VPCをCatoに接続するには、IPsecトンネルまたは仮想Socket(vSocket)を使用することができます。 この記事では、EC2インスタンスでのvSocketのデプロイ方法を説明します。

仮想Socket (vSocket) は次の利点を提供します:

  • 帯域幅管理とQoS
  • Cato クラウドのPoPへの接続性を最大化
  • 高可用性構成のサポート

vSocketおよびIPsecサイトの詳細については、サイトの接続タイプを選択を参照してください。

この記事では、AWS環境にVPCが既に存在していることを前提としています。

注意

注: 中国の規制により、中国でAWS vSocketサイトをデプロイするには、Cato担当者またはCato サポートに連絡してください。

前提条件

  • AWSダッシュボードおよびCato Management Applicationへの管理者権限が必要です。 さらに、次のAWSでの権限が必要です:

    • AWS Marketplace
    • キーペアの作成
  • 環境がCatoソケット接続の前提条件に記載された要件を満たしていることを確認してください。

AWSの制限事項

AWSがサポートしないネットワーキング機能:

  • VLAN レンジ
  • DHCP レンジ

AWS vSocketの作成に関する概要

  1. Cato管理画面で、AWS vSocketのために新しいサイトを作成します。
  2. AWS 仮想リソースを作成
  3. AWS Marketplaceで、仮想リソースをEC2インスタンスに接続するためにCato Networks AMIの提供を購読してください
  4. vSocketインスタンスの起動
  5. vSocketがあなたのアカウントに接続されていることを確認します。

Cato管理画面でのvSocketサイトの作成

Cato 管理アプリケーションで AWS vSocket サイトを作成し、vSocket のシリアル番号を生成します。 このシリアル番号はEC2インスタンスを起動する際に使用されます。

仮想Socket (vSocket) のローカルIPは、EC2インスタンス上のLANインターフェースのIPアドレスと同じでなければなりません。 サブネットの最初の3つのIPアドレスはVPCによって予約されています。

サイトを作成すると、Cato管理画面が新しいvSocketのために独自のシリアル番号を自動生成します。 このシリアル番号はEC2インスタンスを起動する際に入力する必要があります)。

AWSサイトの作成

AWS vSocketのためのサイトを作成するには:

  1. Cato管理画面のナビゲーションメニューからネットワーク > サイトを選択します。

  2. 新規をクリックします。 サイトを追加パネルが開きます。

    awsSocketsite.png
  3. サイトの 全般 設定を構成します。
    1. サイト名を入力します。
    2. サイトタイプを選択します。 このオプションは、接続構成ウィンドウでサイトに使用されるアイコンを決定します。
    3. 接続タイプvSocket AWSを選択します。
    4. 設定 国、州、タイムゾーンを設定してメンテナンスウィンドウの時間枠を設定します。 国、および
  4. ISP帯域幅に従って、下りおよび上り帯域幅を含むWANインタフェースの設定を設定します。
  5. AWSサイトのために ネイティブレンジを含むLANインタフェースの設定を構成します。 この設定はAWSのLANサブネットのIP範囲と同じでなければなりません(詳細は下記MGMT、WAN、LANサブネットの作成を参照してください)。
  6. 適用をクリックします。 サイトがサイトリストに追加されます。

仮想Socket vSocketシリアル番号のコピー

Cato管理画面は新しいvSocketのためにユニークなシリアル番号を自動生成します。 このシリアル番号(S/N)は、AMIを設定する際に入力する必要があります(詳細は下記Cato AMIの設定参照)。

シリアル番号をコピーするには:

  1. ナビゲーションメニューから、ネットワーク > サイトを選択し、サイトを選択します。
  2. ナビゲーションメニューから、サイト設定 > ソケットを選択します。

  3. 仮想Socket (vSocket) のS/Nをコピーします。

    このシリアル番号はvSocketインスタンスを起動する際に入力する必要があります。

AWS仮想リソースの作成

仮想Socket (vSocket) を作成した後、AWS MarketplaceのAMIテンプレートを使用してAWS仮想リソースを作成し、それらをEC2インスタンスに接続できます。

AWS仮想リソースを手動で作成

仮想Socket (vSocket) インスタンスのためにこれらの仮想リソースを作成します:

注意

注意: これらのリソースが既に存在する場合は、そのリソースをEC2インスタンスに関連付けるプロセスに進むことができます。

  • インターネットゲートウェイ
  • 3つのサブネット - WAN、LAN、MGMT
  • (インバウンドおよびアウトバウンド通信を管理するためのセキュリティグループ
  • 3つのインタフェース(ENI) - WAN、LAN、MGMT
  • 2つのルートテーブル - インターネットとLAN
  • 2つのElastic IP(WANおよびMGMTインタフェース用)

VPCのためのインターネットゲートウェイの定義

AWS Virtual Private Cloud (VPC) ダッシュボードを使用して新しいインターネットゲートウェイを作成し、それをVPCにアタッチします。

01_VPC_Dashboard.png

新しいインターネットゲートウェイを作成し、それをVPCにアタッチするために:

  1. VPCダッシュボードから、ナビゲーションメニューで Virtual Private Cloud > Internet Gateways を選択します。
  2. インターネットゲートウェイを作成 をクリックします。
  3. Name tag に、インターネットゲートウェイの名前を入力します。

  4. インターネットゲートウェイを作成 をクリックします。 VPCダッシュボードでインターネットゲートウェイの詳細が表示されます。

    01a_Attach_IGW.png
  5. アクション ドロップダウンメニューから、 VPC にアタッチ を選択します。
  6. VPCにアタッチ ウィンドウの 利用可能なVPC セクションで、VPCを選択します。
  7. インターネットゲートウェイをアタッチ をクリックします。 インターネットゲートウェイがVPCにアタッチされます。

MGMT、WAN、およびLAN サブネットの作成

これらのサブネットをAWSに作成すると、それらは自動的にVPCにアタッチされます。

  • MGMTサブネット
  • WANサブネット
  • LANサブネット - これはサイトのネイティブレンジと同じです。

すべてのサブネットが同じAWSアベイラビリティゾーンにあることを確認してください。

02_CreateSubnet.png

AWS vSocketのためのサブネットを作成するには:

  1. VPCダッシュボードから、ナビゲーションメニューで Virtual Private Cloud > サブネット を選択します。
  2. サブネットを作成 をクリックします。
  3. サブネットを作成 ウィンドウの VPC セクションで、 VPC ID を選択します。
  4. サブネットの設定を行います。
    1. サブネット名 を入力します。
    2. サブネットの アベイラビリティゾーン を選択します。
    3. サブネットの IPv4 CIDR ブロック を入力します。 LANサブネットの場合 - これはサイトのネイティブレンジと同じ値です。
  5. 追加のサブネットを追加するには、新規追加 サブネット をクリックし、前のステップ4を繰り返します。
  6. サブネットを作成 をクリックします。 AWSがサブネットを作成し、VPCにアタッチします。

セキュリティグループの構成

Cato クラウドにトラフィックが到達できるように、すべてのアウトバウンドトラフィックを許可する アウトバウンドルール で、WANおよびMGMTトラフィックのセキュリティグループルールを設定します。

MGMT、WAN、およびLANインタフェースの作成

EC2インスタンスのvSocket用にMGMT、WAN、LANのインタフェースを作成します。 インタフェースを作成するには、EC2ダッシュボードを使用します。

LANインタフェースの カスタム IPアドレスをネイティブレンジ用のローカルIPと同じに設定します。 AWSによって予約されているため、最初の3つのIPアドレスは使用しないでください。

EC2インスタンスでトラフィックの転送を可能にするために、LANインタフェースでAWSのソース/宛先チェックを無効化する必要があります。

注意

注意: 適切なvSocket動作を確実にするために、 信頼されたサーバー をプライマリDNSサーバーとしてカスタム DHCP オプションを定義してください

04_LAN_NIC.png

ネットワークインターフェイスを作成するには (ENI):

  1. EC2ダッシュボードから、ナビゲーションメニューで ネットワーク & セキュリティ > ネットワークインタフェース を選択します。
  2. ネットワークインタフェースを作成 をクリックします。
  3. ネットワークインタフェースを作成 ウィンドウで、LAN サブネット を選択します。
  4. プライベート IPv4 アドレス で、カスタム をクリックし、ネイティブレンジ用のローカルIPを入力します。
  5. セキュリティグループ で、インタフェースに適したセキュリティグループを選択します。
  6. ネットワークインタフェースを作成 をクリックします。 AWSがインタフェースを作成します。
  7. MGMTインタフェースについて前のステップを繰り返します。
  8. LANインタフェースについては、AWSのソース/宛先トラッキングを無効にします。

    1. ネットワークインタフェース ウィンドウで、LANインタフェースを右クリックし、ソース/宛先を変更 を選択します。 チェックします。

      05_LAN_INT_source-dest.png
    2. ソース/宛先チェックを変更 ウィンドウで、有効にする をクリアします。
    3. 保存をクリックします。

ルーティングテーブルを作成する

vSocketトラフィック用に新規作成または既存のVPCルートテーブルを使用します。

  • LANサブネット用のプライベートルートテーブル

    • LANサブネットをアタッチします
    • デフォルトルートのターゲット(ネクストホップ)としてSocket LAN ENIを定義します

  • MGMTとWANサブネット用の単一インターネットルートテーブル。 このルートテーブルは、vSocketとCato クラウドリソース間の接続を提供するために使用されます。

    • WANとMGMTサブネットをアタッチします
    • デフォルトルートのターゲット(ネクストホップ)としてインターネットゲートウェイを定義します

インターネットおよびLANルートテーブルを作成するには:

  1. VPCダッシュボードから、ナビゲーションメニューで 仮想プライベートクラウド > ルートテーブル を選択します。
  2. ルートテーブルを作成をクリックします。
  3. Name tagに、インターネットまたはLANルートテーブルの名前を入力します。
  4. vSocketのVPCを選択します。
  5. 作成をクリックします。 ルートテーブルがVPCに追加されました。
  6. WANとMGMTサブネットをインターネットルートテーブルに、またはLANサブネットをLANルートテーブルに関連付けます。

    1. ルートテーブルを右クリックし、サブネットの関連付けを編集を選択します。 これはインターネットルートテーブルの例です。

      06_Internet_route_table.png

    2. サブネットの関連付けを編集ウィンドウ:

      • インターネットルートテーブルには、MGMTとWANサブネットを選択します
      • LANルートテーブルには、LANサブネットを選択します
    3. 保存をクリックします。 サブネットがルートテーブルに関連付けられます。
  7. 各ルートテーブルにデフォルトルートを追加します(最初にインターネットルートテーブルを構成し、その後LANを構成)。

    1. ルートテーブルを右クリックし、ルートを編集を選択します。 以下のスクリーンショットはインターネットルートテーブルを示しています:

      06_InternetGW_route.png
    2. ルートを追加をクリックします。
    3. 新しいルートの宛先を0.0.0.0/0に設定します。

    4. ターゲットで、インターネットまたはLANルートテーブルのネクストホップを選択します:

      • インターネットルートテーブルにはインターネットゲートウェイを選択し、VPCのインターネットゲートウェイを選択します
      • LANルートテーブルにはネットワーク・インタフェースを選択し、LAN ENIを選択します。 以下のスクリーンショットはLANルートテーブルを示しています:
      LAN_RouteTable.png
    5. 変更を保存をクリックします。
    6. ウィンドウにルートが正常に作成されたことが表示されます。閉じるをクリックします。
  8. LANルートテーブルについて前のステップを繰り返します。

Elastic IPアドレスをインターフェースに関連付ける

Elastic IPアドレスを作成し、WANとMGMTインターフェースに関連付けます。 AmazonのIPv4アドレスプールから割り当てられたパブリックIPアドレスを使用できます。

注意

注意: MGMTインタフェースのElastic IPはインスタンス作成中にCato AMIによって自動的に作成されるMGMTインタフェースに関連付けられるべきで、手動で作成されたものではありません。

Elastic IPアドレスを割り当てるには:

  1. EC2ダッシュボードから、ナビゲーションメニューでネットワーク & セキュリティ > Elastic IPsを選択します。
  2. Elastic IPアドレスを割り当てるをクリックします。
  3. パブリックIPv4アドレスプールで、AmazonのIPv4アドレスプールを選択します。
  4. 割り当てるをクリックします。 Elastic IPが割り当てられました。

  5. Elastic IPを選択し、アクション > Elastic IPアドレスを関連付けるを選択します。

    07_associate_Elastic.png
  6. Elastic IPアドレスを関連付けるウィンドウで、リソースタイプネットワーク・インタフェースを選択します。
  7. ネットワーク・インタフェースでWANまたはMGMTインタフェースを選択します。
  8. 関連付けるをクリックします。 Elastic IPがインタフェースに関連付けられました。
  9. MGMTインタフェースについて前のステップを繰り返します。

vSocket用のEC2インスタンスを構成する

vSocketのすべての仮想リソースを作成した後、これらのリソースをAWS Marketplaceで利用可能なCato Networks AMIを使用してEC2インスタンスに接続します。

サポートされているEC2インスタンスタイプ

以下のEC2インスタンスタイプはvSocket用に認定されています:

  • t3.large
  • t3.xlarge
  • c3.xlarge
  • c4.xlarge
  • c5.xlarge
  • c5d.xlarge
  • c5n.xlarge(2Gbps以上の帯域を必要とする高性能サイトに推奨)
  • d2.xlarge 

インスタンスタイプの仕様を確認して、サイトの要件に適したタイプを選択するのに役立てるためにこの記事をご覧ください。 

注意

注意: c3.xlarge または c4.xlarge のインスタンスがリージョン内で利用可能でない場合には、AWSカスタマーサポートに連絡してください。

Cato AMIの設定

環境の準備が終わったら、Cato Networks AMIを設定することができます。

AMIの設定:

  1. AWS Marketplace で Cato Networks Virtual Socket を検索します。
  2. 継続して登録をクリックします。

  3. 継続して設定をクリックします。

    • Fulfillment optionAmazon Machine Image を選択します。
    • リージョンの下で、vSocketがあるリージョンを選択してください。
    Cato_AMI.png
  4. 継続して起動をクリックします。

  5. このソフトウェアを起動ページ:

    1. アクションを選択で、EC2 を介して起動を選択します。
    2. EC2 インスタンスタイプで、EC2 インスタンスを選択します。
    3. VPC 設定で、接続する VPC を選択します。
    4. サブネット設定で、MGMT ネットワークを選択します。
    5. セキュリティグループ設定で、このインスタンスのために作成したセキュリティグループを選択します。

    6. 高度なネットワーク設定を開き、ネットワークインターフェースの項目で作成した MGMT インターフェースを選択してください。

      注意: 既存のインターフェースを選択しない場合、自動で新しいインターフェースが作成されます。

      AWS_vSocket_Cato_AMI_advanced_network_config.png
    7. キーペア設定で、作成したキーペアを選択します。
    8. 高度な詳細セクションでは、ユーザーデータ - オプション欄にて Cato管理画面の vSocket サイトからコピーしたシリアル番号を入力してください。
  6. 起動をクリックします。

vSocketインスタンスへのインターフェースのアタッチ

vSocketインスタンスが起動した後、MGMTインターフェースがアタッチされます。 インスタンスを停止し、残りの WAN および LAN インターフェースをインスタンスにアタッチします。

注意

注意: EC2 インスタンスを停止し、最初に WAN インターフェースをアタッチし、その後で LAN インターフェースを付けてください。

vSocketインスタンスにインターフェースをアタッチするには:

  1. EC2 ダッシュボードから、ナビゲーションメニューで インスタンス > インスタンス を選択します。
  2. vSocketインスタンスを右クリックし、インスタンスを停止を選択します。
  3. 確認ウィンドウ内で、停止をクリックします。 ウィンドウを更新して、インスタンスの状態停止済みであることを確認します。
  4. ナビゲーションメニューで ネットワーク&セキュリティ > ネットワークインターフェース を選択します。
  5. インスタンスに WAN インターフェースをアタッチ:
    1. WAN インターフェースを右クリックし、インターフェースをアタッチを選択します。
    2. ネットワークインターフェースのアタッチのウィンドウで、インスタンスセクションから vSocket インスタンスを選択します。
    3. アタッチをクリックします。
    4. LANインターフェースについて、前のステップを3つ繰り返します。

vSocketのインストールを完了します

インターフェースを vSocket にアタッチした後、インスタンスを起動し、Cato クラウドに接続されていることを確認します。 vSocketがCatoクラウドに接続されると、自動的に最新のSocketバージョンに更新されます。

vSocketのインストールを完了するには:

  1. EC2 ダッシュボードから、ナビゲーションメニューで インスタンス > インスタンス を選択します。
  2. vSocket インスタンスを右クリックして、インスタンスの開始 を選択します。
    インスタンスがすでに実行中の場合は、再起動します。
  3. Cato管理画面で マイネットワーク > 構成 を選択します。
  4. AWS サイトが Cato クラウドに接続されていることを確認します。

(オプション) ソケットWebUIへの接続

Elastic IP アドレスを使って AWS vSocket WebUI に接続することは推奨していません。 ソケットWebUIにログインする必要がある場合は、これらの設定を利用してください:

  • MGMT Elastic IP アドレスを vSocket のパブリック IP アドレスとして使用します。

    • 単一の IP アドレス (Elastic IP アドレス) からの受信トラフィックを許可するためにセキュリティルールを作成します。
  • ユーザ名は adminです。
  • デフォルトのパスワードは、vSocket EC2 インスタンスにおける インスタンスIDです。

(オプション) EC2 インスタンスへのトラフィックルーティング

アプリケーション EC2 インスタンスがネイティブレンジ外のサブネット (vSocket LAN インターフェースサブネット以外のサブネット) に関連付けられている場合、Cato管理画面のサイトのネットワークセクションにてルーテッドレンジを追加します。

EC2 インスタンスへのトラフィックをルーティングするには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから サイト設定 > ネットワーク を選択します。
  3. LAN セクションで、新規作成をクリックします。 新しいIPレンジパネルが開きます。
  4. IP範囲の名称を入力してください。
  5. 範囲のタイプルーテッドに設定します。
  6. サブネットIP範囲を入力します。
  7. ゲートウェイIPアドレスをVPCルーターに設定し、ネイティブレンジサブネットの最初のホストIPアドレスにします。
  8. (オプション) 範囲のための静的NATを設定します。
  9. 適用をクリックします。 範囲はネットワーク画面に追加されます。
awsiprange.png

上のスクリーンショットは、ルーテッド範囲のこれらのサンプル設定を示しています:

  • ネイティブレンジ - 10.0.2.0/24
  • ルーテッド範囲 - 10.0.26.0/24
  • ゲートウェイIP - 10.0.2.1

(オプション)EC2インスタンスのためにIMDSv2を設定します

IMDS(インスタンスメタデータサービス)は、インスタンスのメタデータを安全に取得するためのアクセスを提供します。 Catoはこのサービスを使って以下の情報を取得します:

  • ユーザデータのシリアル番号
  • インスタンスID
  • 冗長化に関連する情報
  • ルーティングテーブルを変更するためのキーとホスト名の設定

ソケットv20ビルド18221から、CatoはIMDSv2のサポートを追加します。

インスタンスをIMDSv2に使用するために設定するには:

  1. AWSで、設定したいインスタンスを選択します。
  2. アクション > インスタンス設定を選択します。
  3. インスタンスメタデータオプションを変更するセクションで、IMDSv2の下で必須を選択します。
  4. 保存をクリックします。

この変更はダウンタイムを引き起こしません。 しかし、冗長化デプロイメントがある場合、プライマリとセカンダリの両方のインスタンスを同じIMDSバージョンで設定する必要があります。

この記事は役に立ちましたか?

7人中7人がこの記事が役に立ったと言っています

0件のコメント