Integrando o Cato com o Azure vWAN

Este artigo fornece informações sobre Azure vWAN e como integrar recursos e topologia virtuais do Azure com sua conta Cato usando Terraform.

Nota

Nota: Problemas referentes à vWAN e integração de API estão sujeitos às diretrizes descritas na Política de Suporte para a API Cato.

O que é Azure Virtual WAN

Azure Virtual WAN (vWAN) é um serviço de redes unificado que combina diversos recursos de redes, segurança e roteamento em uma única interface operacional. Ele suporta conectividade de filiais via SD-WAN ou VPN, conexões VPN site a site e de usuários remotos, conectividade privada por meio do ExpressRoute e conectividade intra-nuvem para redes virtuais. Utilizando uma arquitetura hub-and-spoke, ele permite capacidades de rede de trânsito global com as regiões do Azure atuando como hubs interconectados, facilitando a conectividade de qualquer a qualquer sem interrupções. Este design simplifica o gerenciamento de rede e melhora o desempenho e a escalabilidade para ambientes distribuídos.

Visão Geral da Arquitetura

Cato utiliza IPsec para conectar seu ambiente Azure vWAN à Cato Cloud e então o Terraform pode integrar automaticamente o Azure vWAN com sua conta.

vWAN_Diagram.png

Na configuração de exemplo acima, a Cato Cloud usa duas conexões IPsec para cada um dos hubs do Azure. Isso fornece redundância no caso de uma das conexões ficar indisponível, permitindo que você ainda acesse seus ativos no Azure.

Estes são os componentes na configuração de exemplo acima:

  • vWAN: O recurso Virtual WAN (vWAN) é uma sobreposição virtual da rede Azure, composta por vários recursos. Inclui links para todos os hubs dentro do vWAN. Cada recurso vWAN é isolado e não pode compartilhar um hub comum. Além disso, hubs dentro de diferentes vWANs não se comunicam entre si.

  • Hub: Um hub virtual é uma rede virtual (VNet) gerenciada pela Microsoft que contém vários endpoints de serviço para permitir a conectividade da sua rede local (site VPN). Ao criar um hub virtual WAN a partir do portal, ele gera um VNet e um gateway VPN. Cada região do Azure pode ter apenas um hub.

  • Conexão hub-a-hub: Em uma Virtual WAN, todos os hubs são interconectados. Isso significa que um site, usuário remoto ou ativos atrás de um VNet conectado a um hub local pode se comunicar com outro site ou VNet através da arquitetura de malha completa dos hubs conectados.

  • Sites: Um site pode ser a sede/data center ou Filial como no diagrama acima, ou pode ser uma entidade virtual localizada dentro do Azure vWAN. Os sites se conectam à Cato Cloud através de vários tipos de conexão suportados pela Cato, como por exemplo, Sockets.

  • Conexão IPsec: Esta é usada para conectar o Azure vWAN à sua conta na Cato.

Pré-requisitos

  • As informações neste artigo são baseadas na suposição de que você já criou um Virtual WAN e Hubs Virtuais no Portal Azure. Para mais informações sobre a criação dos recursos necessários no Azure:

  • Terraform já está configurado para ter acesso ao seu ambiente Azure. Para mais informações, consulte a documentação Terraform.

Usando o Terraform para Criar a Integração

A Cato Networks usa o Terraform para criar os recursos necessários para integrar com o Azure vWAN, incluindo:

  • Criando a Conexão do Gateway VPN na sua conta Azure

  • Criando um site na sua conta Cato. Você precisa criar um site separado para cada Hub Azure ao qual deseja conectar

  • Criando as conexões IPsec Primária e Secundária (para diferentes PoPs) entre o novo site e o Hub Azure

  • Definindo e configurando os pares BGP no novo site

Recuperando o Módulo Terraform

O módulo Cato para integração com o Azure vWAN está disponível no registro Terraform da Cato em: https://registry.terraform.io/modules/catonetworks/azure-vwan/cato/latest

Baixe o módulo relevante e certifique-se de que possui os seguintes arquivos:

  • main.tf inclui as chamadas de API que o Terraform executa, por exemplo, conectando-se aos provedores, associando endereços IP alocados com o site, e mais

  • variables.tf todos os parâmetros para ambos os recursos Azure e Cato, por exemplo, o token da API Cato, ID da Conta Cato, o nome do site IPsec, e mais

  • version.tf especifica os provedores necessários para Azure e Cato, e suas respectivas versões

Modificando o Arquivo variables.tf

O arquivo variables.tf contém todos os parâmetros necessários para obter informações de suas contas Azure e Cato, bem como os parâmetros que você precisa fornecer para criar os recursos que você precisará em sua conta.

Para modificar o arquivo variables.tf:

  1. Abra o arquivo em um editor de texto.

  2. Forneça as informações necessárias, conforme indicado na tabela abaixo.

  3. Salve o arquivo.

Parâmetro

Descrição

cato_baseurl

A localização da API da Cato

O valor padrão é: https://api.catonetworks.com/api/v1/graphql2

azure_subscription_id

A assinatura do Azure com a qual você está integrando. Este valor pode ser encontrado em sua conta do Azure em Inicial > Assinaturas.

azure_vwan_hub_id

O Hub do Azure ao qual você deseja que o site IPsec da Cato se conecte. O ID do Hub pode ser encontrado em sua conta do Azure em Inicial > vWANs > <Nome do vWan> > Hubs. Clique em Visualizar JSON e copie o conteúdo do campo id.

cato_token

O token da API Cato

cato_account_id

O ID associado à sua conta Cato Networks. Isso está localizado na CMA em Administração > Informações Gerais.

site_name

O nome do site IPsec que você está criando no CMA

cato_site_address_cidrs

Os intervalos locais dos sites no CMA com os quais o Azure estará se comunicando

Se você tiver vários intervalos, insira-os como uma lista separada por vírgulas no formato CIDR

connection_bandwidth

Defina quanto de largura de banda alocar para a conexão VPN Azure (em Mbps)

vpn_site_primary_link_name

O nome da conexão IPsec principal entre o site no CMA e Azure, como aparecerá em Azure

vpn_site_secondary_link_name

O nome da conexão IPsec secundária entre o site no CMA e Azure, como aparecerá em Azure

site_description

Uma descrição do site IPsec no CMA

site_location

Digite os parâmetros de localização para o site IPsec no CMA. Isto inclui as seguintes informações:

  • Cidade

  • Código do País

  • Código do Estado

  • Fuso Horário

cato_primary_public_ip

IP público primário da Cato (já alocado para sua conta, disponível em Rede > Alocações de IP)

cato_secondary_public_ip

IP público secundário da Cato (já alocado para sua conta, disponível em Rede > Alocações IP)

bgp_enabled

Determina se o BGP deve ser ativado para o site IPsec. Cato recomenda que você habilite o emparelhamento BGP

cato_asn

The Cato ASN

cato_primary_peering_address

O endereço de emparelhamento principal da Cato

cato_secondary_peering_address

O endereço de emparelhamento secundário da Cato

vpn_gateway_connection_name

Em Azure, o nome da conexão do gateway VPN

vpn_gateway_name

Em Azure, o nome do gateway VPN

vpn_site_name

O nome do site IPsec da Cato como aparece em Azure

Executando o Módulo Terraform

Depois de configurar o arquivo variables.tf e fazer quaisquer modificações que desejar em main.tf, você pode executar o módulo Terraform.

Nota

Notas:

  • O módulo leva aproximadamente 30 minutos para ser concluído

  • Se você precisar executar o módulo mais de uma vez para criar sites adicionais, aguarde até que a primeira execução do módulo seja concluída antes de iniciar outra

Para executar o módulo Terraform:

  1. Navegue até a pasta na qual todos os arquivos Terraform estão localizados.

  2. Execute o seguinte comando: terraform apply

  3. O Terraform apresentará uma solicitação de confirmação explicando que 4 recursos serão criados. Aprove a solicitação para iniciar o processo.

Os seguintes recursos são criados:

  • Conexão de Gateway VPN Azure

  • Site IPsec da Cato

  • Conexões IPsec Primária e Secundária entre o novo site e o Hub Azure

  • Pares BGP no novo site

Verificando a Integração

Uma vez que o módulo Terraform é concluído, você pode verificar se a integração foi bem-sucedida.

Para verificar se a integração foi bem-sucedida:

  1. No CMA, navegue para Rede > Locais e procure pelo site IPsec que você definiu.

  2. Clique no site e navegue para Configurações do Site > IPsec.

  3. Nas seções Principal e Secundário, você deve ver as novas conexões que foram criadas.

    • Verifique os valores dos IPs Privados e Identificador de Autenticação

    Se o Status das conexões ainda estiver Desconectado, aguarde alguns minutos e atualize a página.

  4. Navegue para Configurações do Site > BGP.

  5. Verifique se os pares BGP foram criados e clique em Mostrar Status do BGP para verificar se há uma conexão.

    Se o Status das conexões ainda estiver Desconectado, aguarde alguns minutos e atualize a página.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário