このガイドは、クラウド間接続を介してAzureをCato Cloudに接続する方法を説明します。
クラウドインターコネクトサイトの詳細については、クラウドインターコネクトサイトの開始をご覧ください。
Catoは、クラウドインターコネクトサイトの2回線に対してのみアクティブ-パッシブモデルをサポートしています。 BGPは、Cato PoPとAzureエッジルーターの間でルーティング情報を交換し、サイトのアクティブサーキットを決定するために使用されます。
ベストプラクティス: Catoは、耐障害性と冗長性のためにAzureに2つの回線を接続することを推奨します。 単一回線の構成もサポートされています。
Azure クラウド間接続拠点を作成する際には、AzureテナントとCato管理画面の設定を構成する必要があります。
クラウドインターコネクトサイトを展開する前に、プライマリ接続とセカンダリ接続のユースケースが、Cato PoP ロケーション、クラウドプロバイダー、およびファブリックプロバイダーによってサポートされていることを確認することが重要です。 クラウドインターコネクトサイトの準備についての詳細情報は、クラウドインターコネクトサイトの開始を参照してください。
注意
注意: クラウド間接続拠点を展開するために、Catoは一部の基本的な資格情報を使用してファブリックプロバイダー(例:Equinix)との接続を作成するためのシームレスな構成を提供します。 もしもお使いのケースが自動構成でサポートされていない場合、接続を手動で展開するためにアカウント担当者(PS/SE/CSM)に連絡してください。
クラウド間接続拠点を展開した後に発生した問題については、サポートにご連絡ください。
これは、Azure Catoサイト用のクラウド間接続を設定するプロセスの高レベルの概要です:
-
使用ケースがCato PoPロケーション、クラウドプロバイダー、ファブリックプロバイダーによってサポートされていることを確認してください。
-
即時に利用可能なPoPロケーションは、ステップ2に進みます。
-
将来利用可能なPoPロケーションは、クラウド間接続サイトを設定する前にCatoが手動バックエンド設定を完了するのを待ちます。
-
-
Azureで2つのExpressRoute回線を作成します。
-
Catoサポートから要求された場合、プロビジョニングのために作成された回線のサービスキーをCatoに送信します。
-
-
Cato管理画面で、新しいサイトを作成し、サイトの種類をクラウド間接続として選択してください。
-
サイトのプライマリおよびセカンダリ回線に対して/30 IPサブネットを設定します。
-
回線ごとの帯域幅を設定します。
-
-
CatoとAzure間でBGPを設定します:
-
Azure内で - プロビジョニングが完了したら、ExpressRoute回線のピアリングを設定し、Cato管理画面に追加されたのと同じIPサブネットを設定します。
-
Cato管理画面で - プライマリおよびセカンダリ回線のBGPピア設定を構成します。 (Catoは自動的にプライマリピアのメトリックを優先します)
-
-
Azure仮想ネットワークゲートウェイをプライマリおよびセカンダリExpressRoute回線に接続します。
-
新しいサイトと接続性をテストします。
以下は、クラウド間接続を介してCatoに接続されたAzureクラウド環境のローレベルのトポロジ例です。
このセクションでは、Azureデータセンターの設定を構成して、Catoアカウント内のクラウド間接続サイトに接続できるようにする方法を説明します。
クラウド間接続サイトのAzure設定を構成するには:
-
Azureで、ExpressRoute Circuits > Createの下に新しいExpressRoute回線を作成します。
-
基本の下で、リソースグループとインスタンスの地域を選択します。
-
設定タブで、次の設定を構成します:
-
ポートタイプをプロバイダとして選択し、プロバイダドロップダウンリストからクラウド間接続プロバイダを選択します。
注意: 現在サポートされているプロバイダーはEquinixCloud Exchange (ECX)です。将来的に追加のプロバイダーもサポートされます。
-
Peering Locationで、接続しているPoPと同じロケーションを選択します。
注意
注意: Azureインスタンスが米国Eastまたは米国East 2にある場合、ピアリング接続としてワシントンDCを選択します。
-
帯域幅: あなたのCatoライセンスに合わせた帯域幅を選択します。
-
SKU: 標準またはプレミアムを選択します。
プレミアムは多数のVNetを回線に接続することが許可されていますが、標準は10個の仮想ネットワークに制限されています。
-
課金モデル計量: は消費ベースのコスト分析であり、無制限はこの回線の固定月額料金です。
注意: Azureでは課金モデルを無制限から計量へ変更することはサポートされていません。 ただし、いつでも計量から無制限に変更可能です。
-
レビューしてから、ExpressRoute回線を作成します。
-
-
ExpressRoute回線が正常に展開されると、未設定として表示されます。 この段階では、サービスプロバイダーによって完全にプロビジョニングされるまで回線のピアリングを設定することはできません。 (例)。 Equinix)
プロビジョニングプロセスを完了するには、クラウド間接続データセンターのサービスプロバイダーが、Azureが各ExpressRoute回線のために生成した一意のサービスキーを必要とします。 (概要ページで表示される)
-
サービスキーをコピーします。 Cato管理アプリケーションで自動接続ウィザードを使用する際に必要になります。 接続を手動で作成している場合、サービスキーをCato担当者に送信し、サービスプロバイダーのプロビジョニングを行ってください。
-
プロビジョニングが完了するまで、このガイドの次のステップに進むことはできません。
-
-
プロビジョニングが完了すると、回線設定が編集可能になり、Azureポータルでの回線ステータスが未プロビジョニングからプロビジョニング済みに変更されます。
次のステップは、ExpressRoute回線とBGPピアリングを関連付けることです(次のステップで、以下の設定がCato管理画面で完全に複製されます)
-
ピアリングの下で、次のオプションがあります - Azureプライベート、Azureパブリック、Microsoft。
Azureパブリックは新しい回線に対して廃止されており、MicrosoftはAzure PaaSサービスに使用されます。 この回線ではAzureプライベートを選択します(詳細情報はこちらを参照してください)
-
ピアASN – これはAzure設定でCato側を表すために使用されるASNです。 Cato側(「ピア」ASN)には任意のプライベートASNを使用できます。
-
サブネット – IPv4。
-
プライマリサブネットとセカンダリサブネット – ピアリングにはユニークな住所空間が必要で、各サブネットは/30形式で定義する必要があります。 Microsoft Azureの標準では、最初の使用可能なIPが顧客のルーターのピアIPとして機能し、2番目のIPがMicrosoftのルーターIPとして機能します。 (例えば、プライマリサブネット172.16.0.0/30は、172.16.0.1をCatoルーターとして、172.16.0.2をMSルーターとして使用します)
Azureはプライマリとセカンダリの両方のサブネットを設定する必要がありますが、Catoは各ExpressRoute回線に対してプライマリサブネットのみを使用します。 (HA構成の場合)
したがって、Azureの要件を満たすためにダミーの「偽」のセカンダリサブネットが必要ですが、クラウド間接続のピアリング設定では使用されません。
ここで設定されたプライマリサブネットは、Cato管理画面の設定ステップでも使用されます。
-
VLAN ID – 必須フィールド: Cato管理画面で Cato のチームによって設定されたVLAN IDと同じ設定です。 このVLAN IDは接続のためのすべての関係者間で示されています - クラウドプロバイダー、Equinixコロケーション、そしてCato PoP。 このVLAN IDはCatoによって決定され、必要であればクラウドプロバイダーとの接続のために同様に設定されなければなりません。
-
回路がプロビジョニングされた後、残るタスクはリソースをExpressRoute回路に接続し、AzureとCato管理画面の間で接続を確立することです。
このセクションは前者をカバーします。もし最初にカト管理アプリケーションとの接続性を確立したい場合は、クラウドインターコネクト設定の完了にスキップしてください。
Azure VNetをExpressRoute回路にリンクするための制限
-
Azureによると、VNetゲートウェイのデプロイには最大約45分かかることがあります。
-
ゲートウェイサブネットにネットワークセキュリティグループを関連付けることを避けてください。これによりVNetゲートウェイが機能しなくなる可能性があります。
-
ExpressRouteに接続されたVNetはデフォルトで互いに通信できます。 MicrosoftはVNet Peeringの使用を推奨します。
-
ローカルまたはピアされた仮想ネットワークからアドバタイズされるアドレス空間の数は1,000以下である必要があります。
-
標準 ExpressRoute回路SKUを使用すると、最大10の仮想ネットワークをリンクすることができます。 (VNets) すべての仮想ネットワークは同じクラウドリージョンにある必要がありますが、プレミアム ExpressRoute回路は複数のクラウドリージョンで10以上のVNetを許可します。 (回路ごとのSKUは、回路の設定ページで編集可能です)
ExpressRoute回路をリンクする前に、サブネットゲートウェイと仮想ネットワークゲートウェイを作成するか、既存のものを利用可能にしておく必要があります。 これを行う方法についての詳細は、Azureの公式ドキュメントにこちらに記載されています。
In the Cato Management Application, create a new site for the Cloud Interconnect provider.
この記事では、HAアクティブ-パッシブクラウド間接続サイトを作成していることを前提としています。 If you are creating a single circuit Cloud Interconnect site, please create only one primary ExpressRoute Circuit. (テスト目的でのみ推奨)
For an Azure Cloud Interconnect site, we recommend that you create the site at the same time that you send the initial request for provisioning. これにより、このサイトのCato設定を迅速にセットアップできます。
After creating the Express Route, continue with the Cloud Interconnect site configuration you started above.
-
Azure Express Route設定の下に、作成したAzure Express Routeのサービスキーを入力します。
-
接続を検証するの下に、検証をクリックします。 帯域幅およびAzureピアリングロケーションは自動的に設定されます。
-
保存をクリックします。
接続が確立されたら、BGPを設定します。
このセクションでは、既存のプライベートピア接続上でBGPセッションを定義する方法を説明します。
少なくとも1つのBGPピアが到達可能な場合、クロス接続サイトはクラウドプロバイダのプロビジョニングステータスに関係なく、接続済み状態として表示されます。
BGPの確立はサイトの接続性の唯一の指標です。 BGPはルーティング交換とトンネルフェイルオーバーを決定することもできます。
クラウド間接続サイトのBGP設定を構成するには:
-
BGPタブで、クラウド間接続サイト設定と同じ設定を行います。 各サーキットに対して、サイト設定 > BGPに移動し、新規をクリックします。
-
ASN設定の下で、CatoのAS番号を任意の値として設定します(Azure ExpressRoute設定ページで以前に設定したピアASNと一致していることを確認します)
-
ピアASNを12076として設定します。 これはExpressRouteサーキットでAzureによって使用される予約済みのASN表記です。
-
IP設定の下に、ピアIPを設定します。 これはクラウド間接続設定でサイトとして設定された同じIPです。 (このIPはクラウド提供者のピアIPを表します。)
Cato IPはクラウド間接続設定に基づいて自動的に選択されます。
-
BGPルーティングポリシーを定義します - 各ピアのルート広告ポリシーを操作することが可能です。
ルーティングの不一致を避けるために、クラウド間接続サイトにおいて両ピアに同等のポリシーがあることを推奨します。
-
アドバタイズオプションでは、このネイバーに対してサイトがBGPルートをアドバタイズする方法を設定できます。
-
デフォルトルート - サイトはBGPネイバーに対してデフォルトルート (0/0) をアドバタイズします。 このデフォルトルートがルーティングテーブルに存在しない場合でも、ネイバーはすべてのトラフィックを送信できます。 デフォルトルートにBGPコミュニティタグを追加することができます。 BGPコミュニティに関する詳細は、BGPフィルタリングの操作をご覧ください。
-
すべてのルート - サイトはBGPネイバーに対してアカウント全体の内部ルーティングテーブルをアドバタイズします。 これらのルートには、静的およびフローティングレンジ、およびこのサイトとネットワーク全体の他のピアから学習したルートが含まれます。 このオプションは、WANトラフィックをBGPネイバーに送信するためにしばしば有効になります。
注: SDPユーザーの全範囲がBGPピアに対して単一ルートとしてアドバタイズされます。
-
サマリールート - サイトは複数のユニークなルートの代わりにサマリールートをアドバタイズし、BGPピアは転送の決定を簡略化し、ルート検索に必要な計算資源を最小限に抑えることができます。 BGPサマリールートの利用を参照してください。
-
-
承認するセクションで、サイトがこのネイバーによって公開される動的IPアドレスを承認するかドロップするかを選択します。 ドロップオプションを選択すると、このBGPネイバーからの動的伝播を制限します。 BGPルートのリストについて詳しくは、BGPフィルタリングの操作をご覧ください。
例えば、AWS Direct Connectを使用する導入において、BGPは必要ですが、AWSの動的アドレスを承認したくない場合があります。 これらの導入では、すべてを破棄を選択することをお勧めします。
-
NATセクションで、サイトがすべてのIPに対してSNATを実行し、トラフィックをLAN IPアドレスに変換するためにパブリックIPのNATを選択します。
-
-
BGPルートの追加設定を設定します:
-
MD5 – 追加のセキュリティレイヤーです。 このフィールドは必須です。 (Azureではこれは共有キー属性です)
-
メトリック – ピアの優先度を変更することができます。
期待される設定プロファイルは、プライマリピアがセカンダリピアより優れたメトリックを持つことです。
-
ホールドタイムとキープアライブの間隔の値。
-
トラッキング > メール通知 – BGP接続の変更に関するオプションのアラートです。
-
-
保存をクリックします。
The Cloud Interconnect site is configured. Verify that the site is working correctly, see below Monitoring and Testing Connectivity for the Cloud Interconnect Site.
サイトのセットアップが完了したので、接続をテストし、監視する方法を確認しましょう。
Cato provides multiple tools to help you monitor your Cloud Interconnect site and troubleshoot any potential issues, including:
You can test the point-to-point Cloud Interconnect IP reachability of each circuit by using the Test Connectivity tool.
サイト設定 > クラウド間接続 の 接続テスト ツールは、Cato PoP IP からサイトリモートIPへの、プライマリまたはセカンダリ接続に対して ICMP プローブを送信します。
これらは ICMP プローブの結果です:
-
成功 - テストが正常に実行されました
-
エラー - テストが実行されませんでした。 (テストは Cato ポップによってタイムアウトされたか、または実行できませんでした)
-
失敗 - テストは正常に実行されましたが、リモートピア IP から応答がありませんでした
LANモニタリング 機能を使用して次のことを行うことができます:
-
Cato ポップからプライマリ回線のリモート IP に対して継続的な ICMP プロービングを実行します。
注意: LANモニタリングは、 クラウド間接続 サイトのプライマリ回線のみを監視します。
-
ホストの生存状態がクラウドプロバイダネットワーク内のインスタンスに対して変化します。
カスタムしきい値とICMP間隔を設定し、これらのしきい値を満たした際にメールリストにメール通知を定義することができます。
これは LANモニタリング のメール通知例です:
サイト設定 > BGP の BGPステータスを見る は各回線の接続性を確認します。
ステータスは学習したサブネット、広告されたネットワーク、および BGP ピアに関する詳細情報を出力します。
BGPステータス出力のサンプル:
各ピアについて、BGP隣接ステータス変更通知の設定をお勧めします。 BGPピア接続状態の変化時に、電子メール通知が管理者メーリングリストに直接送信されます。
サイト設定 > BGP > BGPピア > 追加設定 > トラッキング でメール通知を設定します。
アラートの 頻度 と メーリングリスト を選択します。
Cato は次の頻度設定を許可します:
-
即時 - すべての発生に対して受信者に通知が送信されます
-
毎時 - 最初の発生に通知を送信します。 1時間以内にさらに発生があっても、追加のメールは送信しません。
-
毎日 - 最初の発生に通知を送信します。 1日の間にさらに発生があっても、追加のものを送信しません。
-
週ごと - 最初の発生に通知を送信します。 週の間にさらに発生があっても、追加のものを送信しません。
BGPメール通知の例:
モニタリング > ルートテーブル画面は、動的ルートを含むアカウントのすべてのルートを表示します。
ルートテーブルは、ネクストホップ、PoP、トンネルメトリックに基づいてどのトンネル、プライマリまたはセカンダリがこれらのルートをアドバタイズするかを決定するために使用できます。
BGPからのルートは動的ルーティングタイプとして表示されます。 パッシブ回線のピアからのルートはグレーアウトして表示されます。 両回線のポイントツーポイントサブネットは、ルートテーブルで静的ルーティングタイプとして表示されます。
例えば、以下の動的ルート172.29.0.0/24はNew York PoPからアドバタイズされ、メトリックが5(最高)で、これはプライマリで現在アクティブなトンネルです。
同じルートは、Ashburn PoPのセカンダリトンネルでもアドバタイズされ、メトリックは10と低いです。
Ashburn PoPのセカンダリトンネルがアクティブトンネルになる場合、このルートに対してルートテーブルは適切に調整されます。
BGPピアは静的であり、ルートテーブルに独自のエントリがあります。 これらのピアは、その背後に広告された動的BGPルートのためのネクストホップとして機能します。 他のルートと同様に、メトリック情報を識別して、どのピアが現在アクティブでより高いメトリックを持っているか、およびどのCato PoPロケーションを通っているかを理解することができます。
サイト監視 > イベント画面では、Catoはサイトに関連するすべてのログされたイベントを集約します。
キーイベントは、次のようなイベントのタイムラインを分析するために使用できます。 次のイベント サブタイプを使用して、関連するイベントをフィルタリングできます:
-
BGP セッション – BGP セッションの確立または切断を通知します。 切断の識別された理由は、拡張イベントログで確認できます。 (「+」アイコンの下)
-
BGP ルーティング – BGP ピアからの新しいルートの追加や削除など、BGP ルートの変更を通知します。
-
LANモニタリング – これらのイベントは、構成した LANモニタリングセットアップの一部として記録されます。 LANモニタリングが設定されていない場合、これらのイベントは記録されません。
サイト分析を使用すると、サイトのトラフィックとスループットをモニタリングでき、次のダッシュボードが含まれます:
-
ネットワークアナリティクス – 接続状態の変化、フローの数、ホスト、スループット を分析します。
クラウド間接続 サイトの接続ステータスは BGP ピアに基づくことを覚えておくことが重要です。 両方の BGP ピアに接続できない場合、サイトは切断済みと見なされます。
-
イベント - サイトイベントのフィード。
-
アプリケーションアナリティクス - このダッシュボードは、ホストのスループットとアプリケーションの使用状況を分析します。 IP/ホスト、アプリケーション、カテゴリなどのフィルターを追加できます…
-
プライオリティアナライザー - このダッシュボードは、時間の経過に伴う QoS 分布の分析を可能にします。 (プライオリティアナライザー について詳しく読む)
-
既知のホスト – サイトの背後にあるホストのリアルタイムダッシュボード。 IP、OS タイプ、およびホストアクティビティは、ホストごとに利用可能なデータポイントです。
-
リアルタイム - このダッシュボードは、アクティブなホスト、スループット、トップアプリケーション、アクティブQoSなどをリアルタイムで監視することを許可します。
The following is a highlight list of limitations to consider before setting up an Azure Cloud Interconnect site:
-
ピアリングIPは事前に決定されています - 最初の使用可能なIPは「オンプレム」ピアを表し、次のIPはMS Azureルーターを表します。
-
各トンネルVLAN IDはCatoによって割り当てられ、Azure設定で設定する必要があります。 Catoによって割り当てられたVLAN IDがないと、セットアップは機能しません。
-
ルートをアドバタイズする際、AzureにはVNetからルートを除外/含むオプションがありません。 全体のVNetがアドバタイズされます。
-
ExpressRoute allows advertising up to 1,000 IPv4 prefixes and 100 IPv6 prefixes.
-
ExpressRoute allows receiving up to 4,000 prefixes from Cato. (Catoはカスタムルート要約のオプションを提供しています。 BGPでルート要約を設定したい場合は、Catoサポートに問い合わせてください)
-
ExpressRoute Premium allows for more than 10 VNets attachments in multiple Azure regions and up to 10,000 received prefixes.
-
プレフィックスの制限が達した場合、AzureはBGP接続を解除し、制限容量が復元されるまで持続します。
-
Azureの公式ExpressRouteドキュメントで詳細を読むことができます。
0件のコメント
サインインしてコメントを残してください。