AWS vSocket 사이트 수동 배포

AWS vSocket 개요

AWS VPC를 Cato에 연결하려면 IPsec 터널 또는 가상 Socket(vSocket)을 사용할 수 있습니다. 이 문서에서는 EC2 인스턴스에서 가상 Socket(vSocket)을 배포하는 방법을 설명합니다.

vSocket은 다음과 같은 이점을 제공합니다:

대역폭 관리 제어 및 QoS
Cato Cloud의 PoP에 대한 연결성을 최대화합니다
고가용성 구성을 지원합니다

vSocket 및 IPsec 사이트에 대한 자세한 내용은 사이트의 연결 유형 선택을 참조하십시오.

이 문서는 AWS 환경에 이미 VPC가 있다고 가정합니다.

전제조건

AWS 대시보드 및 Cato 관리 애플리케이션에 대한 관리자 권한이 있어야 합니다. 또한 AWS에서 다음 권한이 필요합니다:
- AWS Marketplace
- 키 페어 생성
Cato Socket 연결 전제조건에 나열된 요구 사항을 만족하는 환경인지 확인하십시오.

AWS 서비스 제한

AWS는 다음 네트워킹 기능을 지원하지 않습니다:

VLAN 범위
DHCP 범위

AWS vSocket 생성의 높은 수준 개요

Cato 관리 애플리케이션에서 AWS vSocket에 대한 새 사이트를 생성하십시오.
AWS의 가상 리소스를 생성합니다
AWS Marketplace에서, 가상 리소스를 EC2 인스턴스에 연결하기 위해 Cato Networks AMI 제공을 구독하십시오
vSocket 인스턴스를 시작합니다.
vSocket이 계정에 연결되었는지 확인합니다.

Cato 관리 애플리케이션에서 vSocket 사이트 생성

Cato 관리 애플리케이션에서 AWS vSocket 사이트를 생성하고 vSocket의 일련 번호가 생성됩니다. 이 일련 번호는 EC2 인스턴스를 시작할 때 사용됩니다.

vSocket의 로컬 IP는 EC2 인스턴스의 LAN 인터페이스에 대한 IP 주소와 동일해야 합니다. 서브넷의 처음 세 개의 IP 주소는 VPC에 의해 예약됩니다.

사이트를 생성한 후, Cato 관리 애플리케이션은 새로운 vSocket에 대한 고유한 일련 번호를 자동으로 생성합니다. EC2 인스턴스를 시작할 때 이 일련 번호를 입력해야 합니다).

AWS 사이트 생성

AWS vSocket 사이트를 생성하려면:

Cato 관리 애플리케이션의 탐색 메뉴에서 네트워크 > 사이트를 선택합니다.
새로 만들기를 클릭합니다. 사이트 추가 패널이 열립니다.
사이트에 대한 일반 설정을 구성합니다:
1. 사이트 이름을 입력합니다.
2. 사이트 유형을 선택합니다. 이 옵션은 토폴로지 창에서 사이트에 사용되는 아이콘을 결정합니다.
3. 연결 유형에 vSocket AWS를 선택합니다.
4. 나라, 주, 시간대를 구성하여 유지관리 창의 시간대를 설정합니다. 나라, 및 주.
ISP 대역폭에 따라 다운스트림 및 업스트림 대역폭을 포함한 WAN 인터페이스 설정을 구성합니다.
AWS 사이트에 대한 네이티브 범위를 포함하는 LAN 인터페이스 설정을 구성합니다. 이 설정은 AWS에서 LAN 서브넷 IP 범위와 동일해야 합니다 (아래 MGMT, WAN, 및 LAN 서브넷 생성 참조).
적용을 클릭합니다. 사이트가 사이트 목록에 추가됩니다.

vSocket 시리얼 번호 복사

Cato 관리 애플리케이션은 새로운 vSocket에 대해 고유한 일련 번호를 자동으로 생성합니다. AMI를 구성할 때 이 시리얼 번호(S/N)를 입력해야 합니다 (아래 Cato AMI 구성 참조).

일련번호를 복사하려면:

탐색 메뉴에서 네트워크 > 사이트를 선택하고 사이트를 선택합니다.
탐색 메뉴에서 사이트 구성 > 소켓을 선택합니다.
vSocket의 S/N을 복사하십시오.

vSocket 인스턴스를 시작할 때 이 일련번호를 입력해야 합니다.

AWS 가상 자원 생성

vSocket을 생성하면 AWS 마켓플레이스의 AMI 템플릿을 사용하여 AWS 가상 리소스를 만들고 이를 EC2 인스턴스에 연결할 수 있습니다.

AWS 가상 자원의 수동 생성

vSocket 인스턴스를 위한 다음 가상 리소스를 생성합니다:

참고

참고: 이러한 자원이 이미 존재하면, 아래의 EC2 인스턴스에 자원 연결로 진행할 수 있습니다.

인터넷 게이트웨이
세 개의 서브넷 - WAN, LAN, 및 MGMT
(인바운드 및 아웃바운드 통신을 관리하는 보안 그룹
세 개의 인터페이스 (ENI) - WAN, LAN, 및 MGMT
두 개의 라우트 테이블 - 인터넷 및 LAN
두 개의 Elastic IP (WAN 및 MGMT 인터페이스용)

VPC에 대한 인터넷 게이트웨이 정의

AWS Virtual Private Cloud (VPC) 대시보드를 사용하여 새 인터넷 게이트웨이를 만들고 VPC에 연결하십시오.

새 인터넷 게이트웨이를 만들고 VPC에 연결하려면:

VPC 대시보드에서 탐색 메뉴에서 Virtual Private Cloud > Internet Gateways를 선택합니다.
인터넷 게이트웨이 생성을 클릭합니다.
Name tag에 인터넷 게이트웨이의 이름을 입력합니다.
인터넷 게이트웨이 생성을 클릭합니다. VPC 대시보드에 인터넷 게이트웨이의 세부정보가 표시됩니다.
작업 드롭다운 메뉴에서 VPC에 연결을 선택합니다.
VPC에 연결 창에서 사용 가능한 VPC 섹션에서 VPC를 선택합니다.
인터넷 게이트웨이 연결을 클릭합니다. 인터넷 게이트웨이가 VPC에 연결되었습니다.

MGMT, WAN, 및 LAN 서브넷 생성

AWS에 이러한 서브넷을 생성한 후 자동으로 VPC에 연결됩니다:

MGMT 서브넷
WAN 서브넷
LAN 서브넷 - 이는 사이트의 네이티브 범위와 동일합니다.

모든 서브넷이 동일한 AWS 가용 영역에 있는지 확인하십시오.

AWS vSocket의 서브넷을 생성하려면:

VPC 대시보드에서 탐색 메뉴에서 Virtual Private Cloud > 서브넷을 선택합니다.
서브넷 생성을 클릭합니다.
서브넷 생성 창에서 VPC 섹션에서 VPC ID를 선택합니다.
서브넷의 설정을 구성합니다:
1. 서브넷 이름을 입력합니다.
2. 서브넷의 가용 영역을 선택합니다.
3. 서브넷의 IPv4 CIDR 블록을 입력합니다. LAN 서브넷의 경우 - 이는 사이트의 네이티브 범위와 동일한 값입니다.
추가 서브넷을 추가하려면 새 서브넷 추가를 클릭하고 이전 단계 4를 반복하십시오.
서브넷 생성을 클릭합니다. AWS가 서브넷을 생성하고 이를 VPC에 연결합니다.

보안 그룹 구성

Cato 클라우드에 트래픽이 도달할 수 있도록 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙과 함께 WAN 및 MGMT 트래픽에 대한 보안 그룹 규칙을 구성합니다.

WAN 및 LAN 인터페이스 생성

EC2 인스턴스를 위한 vSocket의 WAN 및 LAN 인터페이스를 생성합니다. 인터페이스를 생성하려면 EC2 대시보드를 사용하십시오.

LAN 인터페이스의 커스텀 IP 주소를 네이티브 범위의 로컬 IP와 동일한 IP 주소로 설정하십시오. 처음 3개의 IP 주소는 AWS에서 예약했기 때문에 사용하지 마십시오.

EC2 인스턴스가 트래픽 포워딩을 수행할 수 있도록 LAN 인터페이스에서 AWS 소스/목적지 검사를 비활성화해야 합니다.

참고

참고: vSocket의 올바른 동작을 보장하려면, 기본 DNS 서버로 신뢰할 수 있는 서버를 사용하여 사용자 정의 DHCP 옵션을 정의하세요

네트워크 인터페이스(ENI)를 생성하려면:

EC2 대시보드에서 탐색 메뉴에서 네트워크 & 보안 > 네트워크 인터페이스를 선택합니다.
네트워크 인터페이스 생성을 클릭합니다.
네트워크 인터페이스 생성 창에서 LAN 서브넷을 선택합니다.
프라이빗 IPv4 주소에서 커스텀을 클릭하고 네이티브 범위의 로컬 IP를 입력합니다.
보안 그룹에서 인터페이스에 적합한 보안 그룹을 선택합니다.
네트워크 인터페이스 생성을 클릭합니다. AWS에서 인터페이스를 생성합니다.
WAN 인터페이스에 대해서 이전 단계를 반복하십시오.
LAN 인터페이스의 경우, AWS 소스/목적지 추적을 비활성화하십시오:
1. 네트워크 인터페이스 창에서 LAN 인터페이스를 마우스 오른쪽 버튼으로 클릭하고 소스/목적지 변경을 선택합니다. 체크.
2. 소스/목적지 체크 변경 창에서 활성화를 해제합니다.
3. 저장을 클릭합니다.

라우팅 테이블 생성

vSocket 트래픽을 위한 새 VPC 라우트 테이블을 생성하거나 기존 라우트 테이블을 사용하십시오.

LAN 서브넷을 위한 프라이빗 라우트 테이블
- LAN 서브넷을 연결합니다.
- 기본 경로의 대상(next hop)으로 Socket LAN ENI를 정의하십시오.
MGMT 및 WAN 서브넷을 위한 단일 인터넷 라우트 테이블. 이 라우트 테이블은 vSocket과 Cato 클라우드 리소스 간의 연결을 제공하기 위해 사용됩니다.
- WAN 및 MGMT 서브넷을 연결하십시오.
- 기본 경로의 대상(next hop)으로 인터넷 게이트웨이를 정의하십시오.

인터넷 및 LAN 라우트 테이블을 생성하려면:

VPC 대시보드에서 탐색 메뉴에서 Virtual Private Cloud > 라우트 테이블을 선택합니다.
라우트 테이블 생성 을 클릭합니다.
이름 태그에서 인터넷 또는 LAN 라우트 테이블의 이름을 입력합니다.
vSocket에 대한 VPC를 선택합니다.
생성을 클릭합니다. 라우트 테이블이 VPC에 추가됩니다.
인터넷 라우트 테이블에는 WAN 및 MGMT 서브넷을, LAN 라우트 테이블에는 LAN 서브넷을 연관시키십시오.
1. 라우트 테이블을 마우스 오른쪽 버튼으로 클릭하고 서브넷 연관 편집을 선택합니다. 다음 스크린샷은 인터넷 라우트 테이블의 예시입니다.
2. 서브넷 연관 편집 창에서:
  - 인터넷 라우트 테이블의 경우, MGMT 및 WAN 서브넷을 선택합니다.
  - LAN 라우트 테이블의 경우, LAN 서브넷을 선택합니다.
3. 저장을 클릭합니다. 서브넷이 라우트 테이블에 연관되었습니다.
각 라우트 테이블에 기본 경로를 추가하십시오(먼저 인터넷 라우트 테이블을 구성한 다음 LAN을 구성).
1. 라우트 테이블을 마우스 오른쪽 버튼으로 클릭하고 라우트 수정을 선택합니다. 다음 스크린샷은 인터넷 라우트 테이블을 보여줍니다:
2. 라우트 추가를 클릭하십시오.
3. 새로운 라우트의 대상을 0.0.0.0/0 으로 설정합니다.
4. 대상에서, 인터넷 또는 LAN 라우팅 테이블의 다음 홉을 선택하십시오:
  - 인터넷 라우팅 테이블의 경우 인터넷 게이트웨이를 선택하고 VPC에 대한 인터넷 게이트웨이를 선택하십시오.
  - LAN 라우팅 테이블의 경우 네트워크 인터페이스를 선택하고 LAN ENI를 선택하십시오. 다음 스크린샷은 LAN 라우팅 테이블을 보여줍니다:
5. 변경 사항 저장을 클릭하십시오.
6. 창에 라우트가 성공적으로 생성되었다고 표시됩니다. 닫기를 클릭하십시오.
이전 단계를 LAN 라우팅 테이블에 대해 반복하십시오.

인터페이스에 탄력적 IP 주소 연결

Elastic IP 주소를 생성하고 WAN 및 MGMT 인터페이스와 연결합니다. Amazon의 IPv4 주소 풀에서 할당된 공용 IP 주소를 사용할 수 있습니다.

노트

참고: MGMT 인터페이스의 탄력적 IP는 인스턴스 생성 시 Cato AMI에 의해 자동으로 생성된 MGMT 인터페이스에 연관되어야 하며 수동으로 생성한 것이 아닙니다.

Elastic IP 주소를 할당하려면:

EC2 대시보드에서 내비게이션 메뉴를 통해 네트워크 & 보안 > Elastic IPs를 선택합니다.
Elastic IP 주소 할당을 클릭하십시오.
공용 IPv4 주소 풀에서 Amazon의 IPv4 주소 풀을 선택합니다.
할당을 클릭하십시오. Elastic IP가 할당되었습니다.
Elastic IP를 선택하고 작업 > Elastic IP 주소 연결을 선택합니다.
Elastic IP 주소 연결 창에서, 리소스 유형에서 네트워크 인터페이스를 선택합니다.
네트워크 인터페이스에서 WAN 인터페이스를 선택합니다.
연결을 클릭하십시오. 인터페이스에 Elastic IP가 연결되었습니다.
MGMT 인터페이스에 대해 이전 단계를 반복하십시오.

vSocket에 대한 EC2 인스턴스 구성

vSocket의 모든 가상 리소스를 생성한 후, AWS Marketplace에서 사용 가능한 Cato Networks AMI를 사용하여 이러한 리소스를 EC2 인스턴스에 연결합니다.

EC2 지원 인스턴스

다음의 EC2 인스턴스 타입은 vSockets에 인증되어 있습니다:

t3.large
t3.xlarge
c3.xlarge
c4.xlarge
c5.xlarge
c5d.xlarge
c5n.xlarge (성능이 높은 사이트로서 2Gbps 이상의 대역폭 필요시 추천)
d2.xlarge

이 기사를 확인하여 사이트 요구 사항에 맞는 유형을 선택할 수 있도록 인스턴스 유형 사양을 검토하십시오.

참고

노트: c3.xlarge 또는 c4.xlarge 인스턴스가 귀하의 지역에서 사용 가능하지 않은 경우에는, AWS 고객 지원에 연락하십시오.

Cato AMI 구성

환경 준비를 마친 후, 이제 Cato Networks AMI를 구성할 수 있습니다.

AMI를 구성하십시오:

AWS Marketplace에서 Cato Networks Virtual Socket을 검색하십시오.
구독 계속을 클릭하십시오.
구성 계속을 클릭하십시오.
- 이행 옵션 아래에서, Amazon Machine Image를 선택하십시오.
- 지역 아래에서, vSocket이 위치한 지역을 선택했는지 확인하십시오.
런치를 계속합니다를 클릭하십시오.
이 소프트웨어를 출시합니다 페이지:
1. 작업 선택 아래에서, EC2를 통해 출시를 선택하십시오.
2. EC2 인스턴스 유형에서 EC2 인스턴스를 선택하십시오.
3. VPC 설정에서, 연결 중인 VPC를 선택하십시오.
4. 서브넷 설정 아래에서, MGMT 네트워크를 선택하십시오.
5. 보안 그룹 설정 아래에서, 이 인스턴스를 위해 생성한 보안 그룹을 선택하십시오.
6. 고급 네트워크 설정을 확장하고 네트워크 인터페이스 아래에서, 생성한 MGMT 인터페이스를 선택하십시오.
  
  참고: 기존 인터페이스를 선택하지 않으면 새 인터페이스가 생성됩니다.
7. 키 페어 설정 아래에서, 생성한 키 페어를 선택하십시오.
8. 고급 세부사항 섹션에서, 사용자 데이터 - 선택 사항 아래 Cato 관리 애플리케이션에서 생성한 vSocket 사이트에서 복사한 일련번호를 입력하십시오.
시작을 클릭하십시오.

Attaching the Interfaces to the vSocket Instance

After the vSocket instance launches, the MGMT interface is attached to it. 인스턴스를 중지한 다음, 남은 WAN 및 LAN 인터페이스를 인스턴스에 연결하십시오.

참고

참고: EC2 인스턴스가 중지되어 있는지 확인하고, 먼저 WAN 인터페이스를 연결한 다음 LAN 인터페이스를 연결하십시오.

To attach the interfaces to the vSocket instance:

EC2 대시보드에서, 탐색 메뉴에서 인스턴스 > 인스턴스를 선택하십시오.
Right-click the vSocket instance and select Stop instance.
확인 창에서, 중지를 클릭하십시오. 창을 새로 고치고 인스턴스 상태가 중지됨인지 확인하십시오.
탐색 메뉴에서 네트워크 & 보안 > 네트워크 인터페이스를 선택하십시오.
인스턴스에 WAN 인터페이스를 연결하십시오:
1. WAN 인터페이스를 마우스 오른쪽 버튼으로 클릭하고 인터페이스 연결을 선택하십시오.
2. 네트워크 인터페이스 연결 창에서, 인스턴스에서 vSocket 인스턴스를 선택하십시오.
3. 연결을 클릭하십시오.
4. LAN 인터페이스에 대해 이전의 세 단계를 반복하십시오.

Completing the vSocket Installation

After you attach the interfaces to the vSocket, start the instance and confirm that it connects to the Cato Cloud. After the vSocket connects to the Cato Cloud, it automatically updates to the newest Socket version.

To complete the vSocket installation:

EC2 대시보드에서, 탐색 메뉴에서 인스턴스 > 인스턴스를 선택하십시오.
Right-click the vSocket instance and select Start instance.
Cato 관리 애플리케이션에서, 내 네트워크 > 구성을 선택하십시오.
AWS 사이트가 Cato Cloud에 연결되었는지 확인하십시오.

(선택 사항) 소켓 WebUI 연결

Elastic IP 주소를 사용하여 AWS vSocket WebUI에 연결하는 것을 권장하지 않습니다. 소켓 WebUI에 로그인해야 한다면, 다음 설정을 사용하십시오:

MGMT Elastic IP 주소를 vSocket의 공용 IP 주소로 사용하십시오.
- 단일 IP 주소(Elastic IP 주소)에서 들어오는 트래픽을 허용하는 보안 규칙을 만드십시오.
사용자명은 admin 입니다.
기본 비밀번호는 vSocket EC2 인스턴스의 인스턴스 ID 입니다.

(선택 사항) EC2 인스턴스로 트래픽 라우팅

애플리케이션 EC2 인스턴스가 비네이티브 범위 서브넷(VSocket LAN 인터페이스 서브넷이 아닌 서브넷)과 관련이 있는 경우, Cato 관리 애플리케이션에서 사이트에 대한 네트워크 섹션에 라우트 범위를 추가하십시오.

EC2 인스턴스로 트래픽을 라우팅하려면:

탐색 메뉴에서 네트워크 > 사이트를 선택하고 사이트를 선택하십시오.
탐색 메뉴에서 사이트 구성 > 네트워크를 선택하십시오.
LAN 섹션에서, 신규를 클릭하십시오. 신규 IP 범위 패널이 열립니다.
IP 범위의 이름을 입력하십시오.
범위의 유형을 라우트됨으로 설정하십시오.
서브넷 IP 범위를 입력하십시오.
게이트웨이 IP를 VPC 라우터로 설정하십시오. 이는 네이티브 범위 서브넷의 첫 번째 호스트 IP 주소입니다.
(선택 사항) 범위에 대한 정적 NAT을 구성하십시오.
적용을 클릭하십시오. 범위가 네트워크 화면에 추가됩니다.

위 스크린샷은 라우티드 범위에 대한 이 샘플 설정을 보여줍니다:

네이티브 범위 - 10.0.2.0/24
라우티드 범위 - 10.0.26.0/24
게이트웨이 IP - 10.0.2.1

(선택 사항) EC2 인스턴스를 위해 IMDSv2를 구성하십시오

IMDS(인스턴스 메타데이터 서비스)는 인스턴스의 메타데이터를 안전하게 검색할 수 있는 접근을 제공합니다. Cato는 이 서비스를 사용하여 다음 정보를 얻습니다:

사용자 데이터의 시리얼 번호
인스턴스 ID
HA 관련 정보
라우팅 테이블을 수정하기 위한 키 및 호스트명 설정

소켓 v20 빌드 18221부터 Cato는 IMDSv2를 지원합니다.

인스턴스를 IMDSv2로 구성하려면:

AWS에서 구성하려는 인스턴스를 선택하십시오.
작업 > 인스턴스 설정을 선택하십시오.
인스턴스 메타데이터 옵션 수정 섹션의 IMDSv2 아래에서 필수를 선택하십시오.
저장을 클릭하십시오.

이 변경 사항은 다운타임을 유발하지 않습니다. 그러나, HA 배포가 있는 경우, 기본 및 보조 인스턴스를 동일한 IMDS 버전으로 구성해야 합니다.