이 가이드는 클라우드 상호 연결을 통해 Amazon Web Services (AWS)를 Cato Cloud에 연결하는 방법을 설명합니다.
클라우드 상호 연결 사이트에 대한 자세한 내용은 클라우드 상호 연결 사이트 시작하기를 참조하십시오.
Cato는 두 개의 회로가 있는 클라우드 상호 연결 사이트에 대해서만 활성-비활성 모델을 지원합니다. BGP는 Cato PoP와 AWS 엣지 라우터 간의 라우팅 정보를 교환하고 사이트의 활성 회로를 결정하는 데 사용됩니다.
모범 사례: Cato는 탄력성과 중복 시나리오를 위해 AWS에 두 개의 회로를 연결하는 것을 권장합니다. 단일 회로 구성도 지원됩니다.
아래 다이어그램은 클라우드 상호 연결 사이트를 위한 AWS 구성을 보여줍니다.
-
각 VPC는 가상 프라이빗 게이트웨이를 가지고 있으며, 이는 가상 프라이빗 게이트웨이 연결을 통해 Direct Connect Gateway에 연결됩니다.
-
Direct Connect Gateway는 프라이빗 가상 인터페이스를 사용하여 AWS Direct Connect 위치에 연결합니다.
-
위치에서 고객 데이터 센터 파트너까지의 AWS Direct Connect 연결이 있습니다. (예: Equinix)
AWS 데이터 센터의 요구 사항에 따라 Direct Connect Gateway에 Transit Gateway를 연결할 수 있습니다. 자세한 내용은 AWS 문서의 Transit Gateway 연결 및 가상 프라이빗 게이트웨이 연결을 참조하십시오.
AWS 클라우드 상호 연결 사이트를 생성할 때 AWS 테넌트와 Cato 관리 애플리케이션 (CMA)의 설정을 구성해야 합니다.
클라우드 상호 연결 사이트 배포를 시작하기 전에, 기본 및 보조 연결의 사용 사례가 Cato PoP 위치, 클라우드 제공업체, 패브릭 서비스 제공자에서 지원되는지 확인해야 합니다. 클라우드 상호 연결 사이트 준비에 대한 자세한 내용은 클라우드 상호 연결 사이트 시작하기를 참조하십시오.
이 문서는 HA 활성-비활성 클라우드 상호 연결 사이트를 생성한다고 가정합니다. 단일 회로 클라우드 상호 연결 사이트를 생성하는 경우 기본 Direct Connect 회로 하나만 생성하십시오. (테스트 목적에만 권장)
참고
참고: 클라우드 상호 연결 사이트를 배포하기 위해 Cato는 패브릭 서비스 제공자(예: Equinix)와의 연결을 생성할 기본 자격 증명을 사용한 원활한 구성을 제공합니다. 자동 구성에서 지원되지 않는 사용 사례가 있는 경우, 연결을 수동으로 배포하려면 계정 담당자(PS/SE/CSM)에게 문의하십시오.
클라우드 상호 연결 사이트 배포 후 발생한 문제에 대해서는 지원에 문의하십시오.
이것은 AWS Cato 사이트에 대한 클라우드 상호 연결 설정 프로세스의 높은 수준의 개요입니다:
-
사용 사례가 Cato PoP 위치, 클라우드 제공자 및 패브릭 제공업체에서 지원되는지 확인하십시오.
-
즉시 사용 가능한 PoP 위치의 경우 2단계로 계속 진행하십시오.
-
나중에 사용 가능한 PoP 위치의 경우, 클라우드 상호 연결 사이트를 구성하기 전에 Cato가 수동 백엔드 설정을 완료할 때까지 기다리십시오.
-
-
CMA에서 새 사이트를 만들고 사이트 유형을 클라우드 상호 연결로 선택합니다.
-
사이트의 주요 및 보조 회로에 대한 /30 IP 서브넷을 구성하십시오.
-
회로별 대역폭을 구성하십시오.
-
-
Cato와 AWS 간의 BGP를 구성하십시오:
-
AWS에서 - 프로비저닝되면, Direct Connect 회로 피어링을 수락하고 CMA에 추가된 것과 동일한 IP 서브넷을 구성하십시오.
-
CMA에서 - 주요 및 보조 회로에 대한 BGP 피어 설정을 구성하십시오. (Cato는 자동으로 주요 피어의 메트릭을 선호합니다)
-
-
귀하의 Direct Connect 게이트웨이를 주요 및 보조 Direct Connect 회로에 연결하십시오.
-
새로운 사이트와의 연결성을 테스트하십시오.
아래는 클라우드 상호 연결을 통해 Cato에 연결된 Amazon Web Services 클라우드 환경의 낮은 수준의 예시 토폴로지입니다.:
CMA에서 클라우드 상호 연결 제공업체를 위한 새 사이트를 만듭니다.
이 문서는 HA 주-대기 클라우드 상호 연결 사이트를 생성하는 것을 가정합니다. 단일 회로 클라우드 상호 연결 사이트를 생성하는 경우, 기본 Direct Connect 회로 하나만 생성하십시오. (테스트 목적에만 권장됨)
AWS 클라우드 상호 연결 사이트의 경우, 프로비저닝 초기 요청을 보낼 때 사이트를 생성할 것을 권장합니다. 이를 통해 이 사이트에 대한 Cato 구성을 보다 빠르게 설정할 수 있습니다.
클라우드 상호 연결 사이트를 생성하려면:
-
CMA의 네트워크 > 사이트에서 새로 만들기를 클릭하여 새 사이트를 생성합니다.
-
연결 유형을 클라우드 상호 연결로 선택하고 사이트에 대한 설정을 정의합니다.
-
적용을 클릭합니다.
-
새 사이트를 선택하고 사이트 설정 > 클라우드 상호 연결로 이동하여 새 연결을 클릭합니다.
-
연결 유형에서 공용 클라우드 연결을 선택합니다.
-
클라우드 제공자에서 AWS Direct Connect를 선택하고 AWS 계정 ID를 입력합니다.
-
Cato PoP 위치에서 테넌트가 위치한 AWS 지역에 가장 가까운 PoP를 선택합니다.
-
대역폭에서 Cato 라이선스와 일치하는 값을 입력합니다.
-
목적지 클라우드 지역에서 연결이 이루어질 AWS 지역을 선택합니다.
-
네트워크 설정 구성에서 서브넷과 피어링 개인 IP를 구성합니다.
-
적용을 클릭합니다.
연결이 설정된 후 AWS 콘솔로 이동합니다.
-
AWS Direct Connect > 연결 아래에서 생성한 연결의 부모 프로세스 이미지 파일 보기를 클릭하고 승인을 클릭합니다.
BGP 연결을 구성합니다.
-
이 섹션에서는 기존의 사설 피어링 연결 외에 BGP 세션을 정의하는 방법을 설명합니다.
클라우드 상호 연결 사이트는 최소한 하나 이상의 BGP 피어가 도달 가능할 때 연결됨 상태로 표시됩니다. 이는 클라우드 제공자와의 프로비저닝 상태에 관계없이 그렇습니다.
BGP 설정이 사이트 연결의 유일한 척도입니다. BGP는 또한 라우팅 교환 및 터널 장애 전환을 결정하는 데 도움이 됩니다.
클라우드 상호 연결 사이트의 BGP 설정을 구성하려면:
-
BGP 탭에서 클라우드 상호 연결 사이트 구성과 동일한 설정을 구성합니다. 각 회로에 대해 사이트 설정 > BGP로 이동하여 새로 만들기를 클릭합니다.
-
ASN 설정에서 Cato ASN을 원하는 값으로 구성합니다 (이 값이 AWS 가상 인터페이스 구성 페이지에서 이전에 구성한 피어 ASN과 일치하는지 확인하십시오).
-
AWS Direct Connect Gateway에 대해 사전에 구성한 비공개 ASN으로 피어 ASN을 구성합니다.
-
IP 설정 아래에서 피어 IP를 구성합니다. 이는 클라우드 상호 연결 설정에서 사이트로 구성된 것과 동일한 IP입니다. (이 IP는 클라우드 제공자 피어 IP를 나타냅니다.)
클라우드 상호 연결 설정을 기반으로 Cato IP가 자동으로 선택됩니다.
-
BGP 라우팅 정책 정의 - 각 피어에 대한 경로 광고 정책을 조작할 수 있습니다.
라우팅 불일치를 피하기 위해 클라우드 상호 연결 사이트의 두 피어에 대해서는 동일한 정책을 사용하는 것이 좋습니다.
-
알림 옵션을 사용하면 이 사이트가 이웃을 위해 BGP 경로를 광고하는 방법을 구성할 수 있습니다.
-
기본 경로 - 사이트는 BGP 이웃에게 기본 경로(0/0)를 광고합니다. 이웃은 라우팅 테이블에 없더라도 이 기본 경로로 모든 트래픽을 보낼 수 있습니다. 기본 경로에 BGP 커뮤니티 태그를 추가할 수 있습니다. BGP 커뮤니티에 대한 자세한 내용은 BGP 필터링 작업하기를 참조하십시오.
-
모든 경로 - 사이트는 전체 계정에 대한 내부 라우팅 테이블을 BGP 이웃에게 광고합니다. 이 경로에는 이 사이트 내 다른 피어 및 네트워크 전반에서 학습한 경로 외에도 정적 및 부동 범위가 포함됩니다. BGP 이웃에게 WAN 트래픽을 보내기 위해 이 옵션이 자주 활성화됩니다.
참고: SDP 사용자의 전체 범위가 BGP 피어에게 단일 경로로 광고됩니다.
-
요약 경로 - 사이트가 여러 고유 경로 대신 요약 경로를 광고하면 BGP 피어는 전달 결정을 간소화하고 경로 조회에 필요한 계산 자원을 최소화할 수 있습니다. BGP 요약 경로 작업하기를 참조하십시오.
-
-
수락하기 섹션에서 사이트가 이 이웃에 의해 게시된 동적 IP 주소를 수락하거나 삭제할지를 선택합니다. 삭제 옵션을 선택하면 이 BGP 이웃의 동적 전파가 제한됩니다. BGP 경로 목록에 대한 자세한 정보는 BGP 필터링 작업하기를 참조하십시오.
예를 들어, AWS Direct Connect를 사용하는 배포에서 BGP는 필수이지만 AWS 동적 주소를 수락하고 싶지 않은 경우가 있습니다. 이러한 배포에서는 모든 경로 삭제를 선택할 것을 권장합니다.
-
NAT 섹션에서 사이트가 모든 IP에 대해 SNAT를 수행하고 트래픽이 LAN IP 주소로 번역되도록 공용 IP로 NAT 수행을 선택합니다.
-
-
BGP 라우팅을 위한 추가 설정을 구성합니다:
-
MD5 – 추가적인 보안 계층입니다. AWS Direct Connect의 경우 이 필드는 필수입니다.
AWS는 각 가상 인터페이스를 생성할 때 사용자가 자신의 MD5 값을 생성하거나 AWS가 자동 생성한 MD5 값을 사용할 수 있는 옵션을 제공합니다.
-
메트릭 – 피어 우선 순위는 변경될 수 있습니다.
예상되는 구성 프로파일은 기본 피어에 대해 보조 피어보다 더 나은 메트릭을 갖는 것입니다.
-
BGP 홀드 타임 및 킵얼라이브 간격 값.
-
추적 > 이메일 알림 – BGP 연결성 변경 사항에 대한 선택적 경고입니다.
-
-
적용을 클릭합니다.
클라우드 상호 연결 사이트가 구성되었습니다. 사이트가 올바르게 작동하는지 확인하려면 아래의 Cloud Interconnect 사이트의 연결성 모니터링 및 테스트를 참조하세요.
사이트 구성 후, 연결 세부 정보는 사이트 설정 > 클라우드 상호 연결 페이지에서 확인할 수 있습니다.
|
열 |
설명 |
|---|---|
|
클라우드 제공자 |
연결된 제공자에 대한 정보를 제공합니다, 다음을 포함하여:
|
|
패브릭 서비스 |
연결된 서비스 제공업체에 대한 정보를 제공합니다, 다음을 포함하여:
|
|
PoP 위치 |
어떤 PoP에 연결되어 있는지 나타냅니다. |
|
네트워크 설정 |
터널 뒤의 연결 설정에 대한 정보를 제공합니다. |
|
연결 상태 |
연결 과정의 각 단계에 대한 정보를 제공합니다.
|
|
연결 |
현재 연결 상태를 확인하기 위해 연결 테스트를 클릭하세요. |
이 섹션에서는 AWS 데이터 센터에 대한 설정을 구성하여 Cato 계정의 클라우드 상호 연결 사이트에 연결할 수 있도록 하는 방법을 설명합니다.
클라우드 상호 연결 사이트를 위한 AWS Direct Connect를 구성하려면:
-
AWS에서 AWS Direct Connect > 연결에서 주문된 서킷을 수락하세요. (수락되면 연결 상태가 사용 가능으로 표시됩니다)
-
AWS Direct Connect > Direct Connect 게이트웨이에서 새 Direct Connect 게이트웨이를 생성하세요.
-
이름과 사설 ASN 값을 지정하세요.
이 ASN은 CMA BGP 설정에서 AWS 측으로 참조됩니다.
참고: 이 ASN은 가상 사설 게이트웨이 또는 트랜짓 게이트웨이에 대해 정의된 ASN과 달라야 합니다.
-
새로 생성한 Direct Connect 게이트웨이를 선택하고, 게이트웨이 연관에서 게이트웨이 연관을 클릭하세요.
여기서 가상 사설 게이트웨이 또는 트랜싯 게이트웨이()를 선택할 수 있습니다. (여러 연결이 가능하지만 동일한 게이트웨이 유형이어야 함) 허용된 접두사 – Cato에 알림할 접두사를 사용자 정의하려면 이곳에 나열하십시오. 그렇지 않으면 이 필드를 비워 두십시오.
-
-
VLAN 인터페이스를 Direct Connect 게이트웨이에 연결합니다: AWS Direct Connect > Virtual Interfaces > Create Virtual Interface.
여기에서 프로비저닝된 두 회로를 Direct Connect 게이트웨이에 연결합니다.
-
게이트웨이 유형에 따라 비공개 또는 전송을 선택하십시오.
-
각 가상 인터페이스에 이름 식별자를 지정하십시오.
-
연결에서 각 프로비저닝된 회로를 선택하십시오.
-
Direct Connect 게이트웨이 - 2단계에서 정의한 DCG를 선택하십시오.
-
VLAN – 각 인터페이스에 대한 고유한 VLAN을 정의합니다.
-
BGP ASN – 이는 Cato 측의 BGP입니다. (두 회로 모두를 위한 하나의 ASN)
-
라우터 피어 IP – 각 회로별 Cato 피어를 나타내는 /30 IP
-
Amazon 라우터 피어 IP – 각 회로에 대해 위와 동일한 /30 서브넷 내의 IP.
-
BGP 인증 키 – 각 인터페이스에 대한 MD5 인증 레이어. AWS는 사용자가 직접 키를 정의하거나 AWS가 무작위로 키를 생성하도록 허용합니다.
-
점보 MTU – 지원되지 않습니다.
참고: 가상 인터페이스가 연결 해제됨 상태에서 사용 가능 상태로 변하는 데 몇 분이 걸릴 수 있습니다.
-
-
구성이 완료되면, 두 개의 가상 인터페이스가 있는 Direct Connect 게이트웨이를 다음과 같은 상태로 가져야 합니다.
이제 사이트 설정이 완료되었으므로 연결을 테스트하고 모니터링할 수 있는 방법을 검토해 봅시다.
Cato는 클라우드 상호 연결 사이트를 모니터링하고 잠재적인 문제를 해결하는 데 도움이 되는 여러 도구를 제공합니다. 여기에는 다음이 포함됩니다:
연결 테스트 도구를 사용하여 각 회로에 대한 클라우드 상호 연결 점대점 IP 도달성을 테스트할 수 있습니다.
사이트 설정 > 클라우드 상호 연결의 연결 테스트 도구는 Cato PoP IP에서 주 연결 또는 보조 연결의 사이트 원격 IP로 ICMP 프로브를 보냅니다.
다음은 ICMP 프로브의 결과입니다:
-
성공 - 테스트가 성공적으로 실행됨
-
오류 - 테스트가 실행되지 않음. (Cato PoP의 타임아웃으로 인해 테스트가 실행되지 않거나 실행할 수 없음)
-
실패 - 원격 피어 IP로부터 응답 없이 테스트가 성공적으로 수행됨
LAN 모니터링 기능을 사용하여 다음을 수행할 수 있습니다:
-
Cato PoP에서 기본 회로 원격 IP로 연속적인 ICMP 프로빙을 수행합니다.
참고: LAN 모니터링은 클라우드 상호 연결 사이트의 기본 회로만 모니터링합니다.
-
클라우드 제공자 네트워크 내 인스턴스의 호스트 활성 상태 변화를 추적합니다.
사용자 정의 임계값 및 ICMP 간격을 설정하고 이러한 임계값이 충족되면 메일링 리스트에 이메일 알림을 정의할 수 있습니다.
이것은 LAN 모니터링의 이메일 알림 예입니다:
사이트 설정 > BGP에서, BGP 상태 보기 는 각 회로의 연결을 확인합니다.
상태 출력은 배운 서브넷, 광고된 서브넷, 그리고 BGP 피어에 대한 추가 데이터에 대한 세부 정보를 제공합니다.
BGP 상태 출력 예시:
각 피어에 대해 BGP 네이버 상태 변경 알림을 구성하는 것이 좋습니다. 이메일 알림은 BGP 피어 연결 상태 변경 시 직접 관리자 메일링 리스트로 전송됩니다.
이메일 알림을 사이트 설정 > BGP > BGP 네이버 > 추가 설정 > 추적 에서 구성합니다.
알림의 빈도와 메일링 리스트를 선택합니다.
Cato는 다음 빈도 구성을 허용합니다:
-
즉시 - 모든 발생 시 수신자에게 알림을 보냅니다.
-
매시간 - 첫 번째 발생 시 알림을 보냅니다. 더 많은 발생이 한 시간 내에 있더라도 추가 이메일을 보내지 않습니다.
-
매일 - 첫 번째 발생 시 알림을 보냅니다. 하루 동안 더 많은 발생이 있어도 추가 알림을 보내지 않습니다.
-
주간 - 첫 번째 발생 시 알림을 보냅니다. 주간 동안 더 많은 발생이 있어도 추가 알림을 보내지 않습니다.
BGP 이메일 알림 예시:
모니터링 > 라우팅 테이블 화면에서는 동적 경로를 포함한 계정의 모든 경로를 보여줍니다.
라우팅 테이블은 다음 홉, PoP 및 터널 메트릭에 기반하여 이러한 경로를 광고하는데 기본 또는 보조 터널이 어떤 역할을 하는지를 결정하는데 사용할 수 있습니다.
BGP에서 출발하는 경로는 동적 라우팅 유형으로 나타납니다. 패시브 회로 피어에서 오는 경로는 회색으로 나타납니다. 두 회로의 포인트 투 포인트 서브넷은 라우팅 테이블에서 정적 라우팅 유형으로 나타납니다.
예를 들어, 다음 동적 경로 172.29.0.0/24 는 뉴욕 PoP에서 광고되며, 메트릭이 5 (최고) 로, 기본적이고 현재 활성 터널입니다.
같은 경로는 Ashburn PoP에서 보조 터널로도 광고되며, 메트릭이 10 으로 낮습니다.
Ashburn PoP의 보조 터널이 활성 터널이 될 경우, 라우팅 테이블은 이 경로에 맞게 조정됩니다.
BGP 피어는 정적이며, 자체 라우팅 테이블 항목을 가지고 있습니다. 이 피어들은 그들의 뒤에 광고된 동적 BGP 경로의 다음 홉 역할을 합니다. 다른 경로와 마찬가지로, 메트릭 정보를 식별하여 어떤 피어가 현재 가장 높은 메트릭과 함께 활성인지 및 어떤 Cato PoP 위치를 통해 경로가 있는지를 알 수 있습니다.
사이트 모니터링 > 이벤트 화면에서 Cato는 사이트에 관련된 모든 기록된 이벤트를 집계합니다.
주요 이벤트는 예를 들어 타임라인 이벤트 분석에 사용될 수 있습니다. 다음 이벤트 하위 유형을 사용하여 관련 이벤트를 필터링할 수 있습니다:
-
BGP 세션 – BGP 세션 연결 또는 해제 알림. 연결 해제에 대한 식별된 이유는 확장된 이벤트 로그에서 확인할 수 있습니다. (‘+’ 아이콘 아래)
-
BGP 라우팅 – BGP 피어로부터 새로운 라우트의 추가 또는 제거와 같은 BGP 라우트 변경.
-
LAN 모니터링 – 이 이벤트는 구성한 LAN 모니터링 설정의 일부로 기록됩니다. LAN 모니터링이 설정되지 않으면 이러한 이벤트는 기록되지 않습니다.
사이트 분석을 통해 사이트의 트래픽과 처리량을 모니터링할 수 있으며, 다음의 대시보드를 포함합니다:
-
네트워크 분석 – 연결 상태 변경, 플로우, 호스트 및 처리량의 수를 분석합니다.
클라우드 상호 연결 사이트 연결은 BGP 피어에 기반을 두고 있다는 것을 기억하는 것이 중요합니다. 두 BGP 피어 모두에 접근할 수 없는 경우, 사이트는 연결 해제됨으로 간주됩니다.
-
이벤트 - 사이트 이벤트 피드.
-
애플리케이션 분석 - 이 대시보드는 호스트 처리량과 애플리케이션 사용량을 세세히 분석합니다. IP/호스트, 애플리케이션, 카테고리 등의 필터를 추가할 수 있습니다…
-
우선 순위 분석기 - 이 대시보드는 QoS 분포를 시간에 따라 분석할 수 있습니다. (우선 순위 분석기에 대해 더 읽기)
-
알려진 호스트 – 사이트 뒤의 호스트에 대한 실시간 대시보드. IP, 운영 체제 유형 및 호스트 활동은 각 호스트에 사용 가능한 데이터 포인트 중 일부입니다.
-
실시간 - 이 대시보드는 활성 호스트, 처리량, 상위 애플리케이션, 활성 QoS 등을 실시간으로 모니터링할 수 있습니다.
다음은 AWS 클라우드 상호 연결 사이트를 설정하기 전에 고려해야 하는 제한 사항 목록입니다:
-
AWS는 AWS 라우터 IP, Cato 피어 IP 및 MD5 키를 자동으로 할당합니다. (이 값을 수동으로 사용자 정의할 수 있습니다)
-
Direct Connect 인터페이스는 BGP를 통해 최대 100개의 경로 광고를 수신할 수 있습니다. (Cato에는 사용자 정의 경로 요약 옵션이 있습니다. BGP로 경로 요약을 구성하려면 Cato 지원에 문의하십시오.
AWS의 공식 Direct Connect 설명서에서 더 읽을 수 있습니다.
댓글 0개
댓글을 남기려면 로그인하세요.