このガイドは、クラウド間接続を介してAmazon Web Services(AWS)をCatoクラウドに接続する方法を説明します。
クラウド間接続 サイトの始め方についての詳細情報は、こちらをご覧ください。
Catoは、2回線を持つクラウド間接続サイトに対してのみアクティブ/パッシブモデルをサポートします。 BGPは、Cato PoPsとAWSエッジルーター間でのルーティング情報の交換に使用され、サイトのアクティブな回線を決定するためにも利用されます。
ベストプラクティス: Catoは、AWSでの回復力と冗長性のシナリオのために2回線を接続することを推奨します。 単一回線構成もサポートされます。
以下の図は、クラウド間接続サイト用のAWS設定を示しています。
-
各VPCには仮想プライベートゲートウェイがあり、仮想プライベートゲートウェイアソシエーションを使用してDirect Connectゲートウェイに接続します。
-
Direct Connectゲートウェイは、プライベート仮想インターフェイスを使用してAWS Direct Connectロケーションに接続します。
-
ロケーションから顧客データセンターパートナーへのAWS Direct Connect接続があります。 (例えばEquinix)
AWSデータセンターの要件に応じて、Direct Connectゲートウェイに仮想プライベートゲートウェイの代わりにトランジットゲートウェイを接続することが可能です。 詳細については、AWSのトランジットゲートウェイアソシエーションおよび仮想プライベートゲートウェイアソシエーションに関するドキュメントをご覧ください。
AWSクラウド間接続サイトを作成する際は、AWSテナントとCato管理アプリケーションの設定を構成する必要があります。
クラウド間接続サイトの展開を始める前に、プライマリおよびセカンダリ接続のユースケースがCato PoPロケーション、クラウドプロバイダ、ファブリック提供者によってサポートされていることを確認することが重要です。 クラウド間接続 サイトの準備に関するさらなる情報については、クラウド間接続 サイトの使用を開始するをご覧ください。
この記事は、HAアクティブ-パッシブクラウド間接続サイトを作成していることを前提としています。 単一回線のクラウド間接続 サイトを作成する場合は、プライマリのダイレクト接続回線を1つだけ作成してください。 (テスト目的でのみ推奨)
注意
注: クラウド間接続サイトを展開するには、Catoは生地提供者(例: Equinix)の接続を作成するために、いくつかの基本的な認証情報を使用してシームレスな設定を提供します。 自動化された構成で対応できない場合の使用ケースでは、接続を手動で展開するため、アカウント担当者(PS/SE/CSM)に連絡してください。
クラウド間接続サイトを展開した後に発生した問題については、サポートにご連絡ください。
AWS Catoサイトのためのクラウド間接続の設定プロセスのハイレベル概要です:
-
使用ケースがCato PoPロケーション、クラウドプロバイダー、およびファブリックサービスプロバイダーによってサポートされていることを確認します。
-
すぐに利用可能なPoPロケーションに関しては、ステップ2に進む。
-
未来の日付で利用可能なPoPロケーションのために、クラウド間接続サイトを設定する前にCatoが手動でバックエンド設定を完了するのを待ちます。
-
-
CMAで新しいサイトを作成し、サイトの種類をクラウド間接続として選択します。
-
サイトのプライマリおよびセカンダリ回線のために /30 IP サブネットを構成します。
-
各回線の帯域幅を構成します。
-
-
CatoとAWS間のBGPを設定します:
-
AWSで - 一度プロビジョニング済み、ダイレクト接続回線のピアリングを受け入れ、CMAに追加したのと同じIPサブネットを設定します。
-
CMAで - プライマリおよびセカンダリ回線のためのBGPピア設定を構成します。 (Catoは自動的にプライマリピアのメトリクスを優先します)
-
-
Direct ConnectゲートウェイをプライマリおよびセカンダリのDirect Connect回線に接続します。
-
新しいサイトとの接続性をテストします。
以下は、クラウド間接続を介してCatoに接続されたAmazon Web Servicesクラウド環境の低レベルの例示的な接続構成です。:
CMAで、クラウド間接続プロバイダ用の新規サイトを作成します。
この記事では、冗長化アクティブ-パッシブクラウド間接続サイトを作成することを前提としています。 単一回線のクラウド間接続サイトを作成する場合、プライマリ ダイレクト Connect 回線のみ作成してください。 (テスト目的でのみ推奨)
AWSのクラウド間接続サイトの場合、プロビジョニングの最初のリクエストを送信する際に同時にサイトを作成することをお勧めします。 これにより、このサイトのCato設定を迅速に行うことが可能になります。
クラウド間接続サイトを作成するには:
-
CMAのネットワーク > サイトで、新規をクリックして新しいサイトを作成します。
-
接続タイプをクラウド間接続として選択し、サイトの設定を定義します。
-
保存をクリックします。
-
新しいサイトを選択し、サイト設定 > クラウド間接続に移動し、新しい接続をクリックします。
-
接続タイプで、パブリッククラウド接続を選択します。
-
クラウドプロバイダで、AWS Direct Connectを選択し、AWSアカウントIDを入力します。
-
Cato PoPロケーションで、テナントが居住するAWSリージョンに最も近いPoPを選択します。
-
帯域幅で、Catoライセンスと一致する値を入力します。
-
目的地クラウド地域で、接続を行うAWS地域を選択します。
-
ネットワーク設定を構成するの下で、サブネットとピアリングプライベートIPアドレスを構成します。
-
適用をクリックします。
接続が確立されたら、AWSコンソールに移動します。
-
AWS Direct Connect > 接続の下で、作成した接続の詳細を表示をクリックし、承認をクリックします。
BGP接続の設定を進めます。
-
このセクションでは、既存のプライベートピアリング接続に加えてBGPセッションを定義する方法を説明します。
クラウド間接続 サイトは、少なくとも1つのBGP ピア に到達可能であれば、クラウドプロバイダーとのプロビジョニング状態に関係なく、接続済み状態として表示されます。
BGPの確立は、サイトの接続性を示す唯一の指標です。 BGPは、ルーティング交換とトンネルフェイルオーバーを決定するためにも利用できます。
クラウド間接続 サイトのBGP設定を構成するには:
-
BGPタブで クラウド間接続 サイト設定と同じ設定を構成します。 各回線に対して、サイト設定 > BGPに移動し、新規をクリックします。
-
ASN設定の下で、CatoのAS番号を希望する値として構成します(AWS仮想インターフェース設定ページで以前に設定されていたピアASNと一致することを確認してください)。
-
ピア ASNをAWS Direct Connectゲートウェイ用に事前設定されたプライベートASNとして構成します。
-
IP設定の下でピア IPを構成します。 これは、クラウド間接続 設定で サイト として構成されているのと同じIPです。 (このIPはクラウドプロバイダーのピアIPを表します。)
クラウド間接続 設定に基づいて Cato IPが自動的に選択されます。
-
BGPルーティングポリシーを定義します - 各ピアのルート広告ポリシーを操作することが可能です。
ルーティングの不一致を避けるために、クラウドインターコネクト サイトの両方のピアに等しいポリシーを適用することをお勧めします。
-
このアドバタイズオプションを使用すると、この隣接のためにサイトのBGPルートのアドバタイズ方法を設定できます。
-
デフォルトルート - サイトはBGP隣接にデフォルトルート (0/0) をアドバタイズします。 このデフォルトルートがルーティングテーブルに含まれていなくても、隣接はすべてのトラフィックを送信できます。 デフォルトルートにBGPコミュニティタグを追加できます。 BGPコミュニティについては、BGPフィルタリングの操作を参照してください。
-
すべてのルート - サイトはBGP隣接に対してアカウント全体の内部ルーティングテーブルをアドバタイズします。 これらのルートには、他のピアから学習したルートに加えて、静的およびフローティングレンジが含まれます。 このオプションは、WANトラフィックをBGP隣接に送信するためによく有効化されます。
注: SDPユーザーの全範囲が、BGPピアに対して単一のルートとしてアドバタイズされます。
-
サマリールート - サイトは複数のユニークルートの代わりにサマリールートをアドバタイズし、BGPピアは転送決定を簡略化し、ルート検索に必要な計算資源を最小化できます。 参照先: BGPサマリールートの操作。
-
-
承認するセクションでは、サイトがこの隣接によって公開された動的IPアドレスを承認するか、ドロップするかを選択します。 ドロップオプションを選択すると、このBGP隣接からの動的伝播を制限しています。 BGPルートの一覧に関する詳細情報は、BGPフィルタリングの操作を参照してください。
例えば、AWS Direct Connectを使用するデプロイメントでは、BGPが必須ですが、AWSの動的アドレスを承認したくない場合があります。 これらのデプロイメントでは、すべてを破棄を選択することをお勧めします。
-
NATセクションでは、パブリックIPのNATを選択して、サイトがすべてのIPとトラフィックのSNATを実行し、LAN IPアドレスに変換するようにします。
-
-
追加設定をBGPルートのために構成します:
-
MD5 – 追加のセキュリティ層。 このフィールドはAWS Direct Connectに必須です。
AWSは、各仮想インターフェイス作成時に、独自のMD5値を生成するか、AWSが自動生成したMD5値を使用するオプションを提供します。
-
メトリック – ピアの優先順位を変更できます。
期待される構成プロファイルは、プライマリピアに対してセカンダリピアよりも良好なメトリックを持つことです。
-
ホールドタイムとキープアライブの間隔の値。
-
トラック > メール通知 – BGP接続性の変更に関するオプションの警告。
-
-
適用をクリックします。
クラウドインターコネクト サイトが設定されました。 サイトが正しく動作していることを確認してください、以下を参照してください クラウドインターコネクト サイトの接続性のモニタリングとテスト。
サイトを構成した後、接続の詳細はサイト設定 > クラウドインターコネクト ページで確認できます。
|
列 |
説明 |
|---|---|
|
クラウドプロバイダー |
接続しているプロバイダーに関する情報を提供します。含まれる内容:
|
|
ファブリックサービス |
接続しているサービスプロバイダーに関する情報を提供し、以下を含みます:
|
|
PoPロケーション |
どのPoPに接続されているかを示します。 |
|
ネットワーク設定 |
トンネルの後ろにある接続設定に関する情報を提供します。 |
|
接続ステータス |
接続プロセスの各段階に関する情報を提供します。
|
|
接続 |
現在の接続ステータスを確認するには、接続テストをクリックしてください。 |
このセクションでは、AWSデータセンターの設定を構成して、Catoアカウント内のクラウドインターコネクトサイトに接続できるようにする方法について説明します。
クラウドインターコネクトサイトのためにAWS Direct Connectを設定するには:
-
AWSで、AWS Direct Connect > Connectionsの下で注文済みの回線を承認します。 (承認された後、接続の状態は利用可能として表示されます)
-
AWS Direct Connect > Direct Connect Gatewaysで新しいDirect Connectゲートウェイを作成します。
-
名前とプライベートASN値を設定します。
このASNは、後でAWS側としてCMA BGPの設定内で参照されます。
注意: このASNは、Virtual Private GatewayまたはTransit Gatewayのために定義されたASNとは異なる必要があります。
-
新しく作成したDirect Connectゲートウェイを選択し、ゲートウェイアソシエーションの下でゲートウェイを関連付けをクリックします。
ここで、Virtual Private Gateway(プライベートゲートウェイ) または Transit Gateway(トランジットゲートウェイ) のいずれかを選択できます。 (複数の関連付けが可能ですが、同じゲートウェイタイプでなければなりません) 許可されたプレフィックス - Catoに対して広告する許可されたプレフィックスをカスタマイズしたい場合は、ここにリストしてください。 それ以外の場合は、このフィールドを空白のままにしてください。
-
-
VLANインターフェースをDirect Connectゲートウェイに接続します: AWS Direct Connect > Virtual Interfaces > Create Virtual Interface。
ここでプロビジョニング済みの2つの回線をDirect Connectゲートウェイに接続します。
-
ゲートウェイのタイプに応じて、プライベートまたはトランジットを選択してください。
-
各仮想インタフェースに名前識別子を与えてください。
-
接続において、各プロビジョニング済みの回線を選択してください。
-
ダイレクトコネクト ゲートウェイ - ステップ #2で定義済みのDCGを選択してください。
-
VLAN – 各インターフェースに一意のVLANを定義してください。
-
BGP ASN – これはCato側のBGPです。 (両回線のための1つのASN)
-
ルーター ピアIP – 各回線ごとにCatoピアを表す/30 IP
-
Amazonルーター ピアIP – 各回線ごとに上記と同じ/30サブネット内のIP。
-
BGP認証キー – 各インタフェースのMD5認証レイヤー。 AWSは、自分でキーを定義することやAWSがランダムにキーを生成することを許可します。
-
ジャンボMTU – サポートされていません。
注意: 仮想インタフェースがダウン状態から利用可能状態に変わるには数分かかる場合があります。
-
-
設定完了後、2つの仮想インタフェースを備えたDirect Connectゲートウェイが以下の状態で存在するはずです。
サイトの設定が完了したので、接続をどのようにテストおよびモニタリングできるかを確認しましょう。
Catoは、クラウド間接続サイトをモニタリングし、潜在的な問題をトラブルシュートするための複数のツールを提供します。これには以下が含まれます:
接続テストツールを使用して、各回線のポイントツーポイントクラウド間接続IP到達可能性をテストできます。
サイト設定 > クラウド間接続内の接続テストツールは、Cato PoP IPからプライマリまたはセカンダリ接続のリモートIPにICMPプローブを送信します。
これらはICMPプローブの結果です:
-
成功 - テストが正常に実行されました
-
エラー - テストは実行されませんでした。 (テストはCato PoPによってタイムアウトまたは実行されませんでした)
-
失敗 - テストは正常に実行されましたが、リモートピアIPからの応答はありませんでした
LANモニタリング機能を使用して:
-
Cato PoPからプライマリ回線のリモートIPへの継続的なICMPプロービングを実行します。
注意: LANモニタリングはクラウド間接続サイトのプライマリ回線のみをモニタリングします。
-
クラウドプロバイダネットワーク内のインスタンスのホスト活力状態が変化します。
カスタムしきい値およびICMP間隔を設定し、これらのしきい値に達するとメーリングリストに電子メール通知を送信するよう定義できます。
This is an example of an email notification for LAN Monitoring:
サイト設定 > BGP で、BGPステータスを見る は各回線の接続性を確認します。
ステータスは、学習されたサブネット、広告されたサブネット、およびBGPピアに関する追加データの詳細情報を出力します。
Sample of BGP status output:
各ピアに対して、BGPネイバーステータス変更通知の設定をお勧めします。 BGPピア接続状態の変化時に、メール通知が管理者メーリングリストに直接送信されます。
サイト設定 > BGP > BGPネイバー > 追加設定 > トラッキング でメール通知を設定します。
頻度 と メーリングリスト を選択します。
Cato allows for the following Frequency configuration:
-
即時 - 発生するたびに受信者に通知が送信されます
-
毎時 - 最初の発生時に通知を送信します。 1時間以内にさらに発生がある場合は、追加のメールを送信しないでください。
-
毎日 - 最初の発生時に通知を送信します。 1日以内にさらに発生がある場合は、追加のものを送信しないでください。
-
週ごと - 最初の発生時に通知を送信します。 週以内にさらに発生がある場合は、追加のものを送信しないでください。
Sample BGP email notification:
モニタリング > ルーティングテーブル画面には、ダイナミックルートを含むアカウント内のすべてのルートが表示されます。
The routing table can be used to determine which tunnel, primary or secondary, is responsible for adverting these routes based on the Next Hop, PoP and Tunnel Metric.
BGPから発信されるルートは、動的 ルーティングタイプとして表示されます。 パッシブ回線のピアからのルートはグレーアウトされています。 両回線のポイントツーポイントサブネットは、ルートテーブルで 静的 ルーティングタイプとして表示されます。
For example, the following dynamic route 172.29.0.0/24 is advertised from the New York PoP and has a metric of 5 (highest) which is the primary and currently active tunnel.
同じ経路がAshburn PoPのセカンダリトンネルによってもアドバタイズされ、メトリックは10の低値です。
Ashburn PoPのセカンダリトンネルがアクティブトンネルになる場合、その経路に応じてルーティングテーブルが調整されます。
BGPピアは静的であり、独自のルーティングテーブルエントリを持っています。 これらのピアは、背後でアドバタイズされる動的BGPルートのネクストホップとして機能します。 他の経路と同様、メトリック情報を識別することで、どのピアが現在高メトリックでアクティブであり、どのCato PoPロケーションを通じているかを理解できます。
サイト監視 > イベント 画面では、Catoがサイトに関するすべてのログされたイベントを集約します。
キーイベントを使用して、イベントのタイムラインの分析に使用できます。 次のイベントサブタイプを使用して関連するイベントをフィルタリングできます:
-
BGPセッション – BGPセッションの確立または切断を通知します。 切断の理由は、拡張されたイベントログで確認できます。 (‘+’アイコンの下)
-
BGPルーティング – BGPピアからの新しい経路の追加または削除など、BGP経路の変更。
-
LANモニタリング – これらのイベントは、設定したLANモニタリングセットアップの一部としてログに記録されます。 LANモニタリングが設定されていない場合、これらのイベントはログに記録されません。
サイト分析を使用すると、サイトのトラフィックとスループットを監視することができ、次のダッシュボードが含まれます:
-
ネットワークアナリティクス – 接続状態の変更、フロー、ホスト、スループットの数を分析します。
クラウド間接続 サイトの接続性はBGPピアに基づいていることを覚えておくことが重要です。 両方のBGPピアにアクセスできない場合、サイトは切断されていますと見なされます。
-
イベント - サイトイベントフィード。
-
アプリケーション分析 - このダッシュボードは、ホストのスループットとアプリケーションの使用量を分析します。 IP/ホスト、アプリケーション、カテゴリなどのフィルターを追加できます…
-
プライオリティアナライザー - このダッシュボードは、時間の経過に伴うQoSの分布を分析することを可能にします。 (プライオリティアナライザーについて詳しく読む)
-
既知のホスト - サイトの後ろにあるホストのリアルタイムダッシュボード。 IP、OS タイプ、および ホストアクティビティは、各ホストで利用可能なデータポイントの一部です。
-
リアルタイム - このダッシュボードは、アクティブ だけでなく、ホスト、スループット、トップアプリケーション、アクティブQoSなどをリアルタイムで監視することができます。
The following is a highlight list of limitations to consider before setting up an AWS Cloud Interconnect site:
-
AWSはAWSルーターIP、CatoピアIP、およびMD5キーを自動的に割り当てます。 (これらの値を手動でカスタマイズすることもできます)
-
Direct Connect interfaces may receive up to 100 route advertisements over BGP. (Catoにはカスタムルート集約のオプションがあります。 BGPでルート集約を設定したい場合は、Catoサポートに問い合わせてください。
AWSの公式 Direct Connect ドキュメントで詳細を読むことができます。
0件のコメント
サインインしてコメントを残してください。