Implantando um Site vSocket da AWS Manualmente

Visão Geral dos AWS vSockets

Você pode conectar seu AWS VPC ao Cato usando um túnel IPsec ou um Socket virtual (vSocket). Este artigo descreve como implantar um (vSocket) em uma instância EC2.

O vSocket oferece as seguintes vantagens:

  • Controle de gerenciamento de largura de banda e QoS

  • Maximiza a conectividade com PoPs na Cato Cloud

  • Suporta configurações de alta disponibilidade

Para mais informações sobre vSocket e sites IPsec, consulte Selecionando o Tipo de Conexão para um Site.

Este artigo assume que você já possui um VPC no seu ambiente AWS.

Pré-requisitos

  • Você deve ter permissões de administrador no painel do AWS e no Cato Management Application. Além disso, você deve ter as seguintes permissões no AWS:

    • AWS Marketplace

    • Criação de par de chaves

  • Certifique-se de que o ambiente atende aos requisitos listados em Pré-requisitos de Conexão do Cato Socket.

Limitações da AWS

O AWS não suporta os seguintes recursos de rede:

  • Intervalos VLAN

  • Intervalos DHCP

Visão Geral do Alto Nível de Criação do AWS vSocket

  1. No Cato Management Application, crie um novo site para o vSocket da AWS.

  2. Crie os recursos virtuais da AWS

  3. No AWS Marketplace, assine a oferta AMI da Cato Networks para conectar os recursos virtuais à sua instância EC2

  4. Inicie a instância vSocket

  5. Verifique se o vSocket está conectado à sua conta.

Criando o Site vSocket no Aplicativo de Gerenciamento Cato

Crie o site vSocket AWS no Cato Management Application, e o número de série para o vSocket é gerado. Este número de série é usado quando você lança a instância EC2.

O IP Local para o vSocket deve ser o mesmo que o endereço IP para a interface LAN na instância EC2. Os três primeiros endereços IP da sub-rede são reservados pelo VPC.

Após criar o site, o Cato Management Application gera automaticamente um número de série exclusivo para o novo vSocket. Você precisa inserir este número de série quando iniciar a instância EC2).

Criando um Site AWS

Para criar o site para o vSocket da AWS:

  1. No Cato Management Application, no menu de navegação selecione Rede > Sites.

  2. Clique em Novo. O painel Adicionar Site é aberto.

    awsSocketsite.png

  3. Configure as definições Gerais do site:

    1. Digite o Nome do Site.

    2. Selecione o Tipo de Site. Esta opção determina qual ícone é usado para o site na janela Topologia.

    3. Selecione vSocket AWS para o Tipo de Conexão.

    4. Configure o País, Estado e Fuso Horário para definir o período de tempo para a Janela de Manutenção. País, e Estado.

  4. Configure as WAN Interface Settings, incluindo a Largura de Banda de Downstream e Upstream de acordo com a largura de banda do seu ISP.

  5. Configure as LAN Interface Settings, incluindo o Native Range para o site AWS. Esta configuração deve ser a mesma que o intervalo de Endereço IP LAN na AWS (veja abaixo Criando as Sub-redes MGMT, WAN, e LAN).

  6. Clique em Aplicar. O site é adicionado à lista de Sites.

Copiando o Número de Série do vSocket

O Cato Management Application gera automaticamente um número de série único para o novo vSocket. Você precisa inserir este número de série (S/N) ao configurar o AMI (veja abaixo Configurando o Cato AMI).

Para copiar o número de série:

  1. No menu de navegação, selecione Network > Sites, e selecione o site.

  2. No menu de navegação, selecione Site Configuration > Socket.

  3. Copie o S/N para o vSocket.

    Você precisa inserir este número de série quando iniciar a instância do vSocket.

Criando os Recursos Virtuais AWS

Uma vez que você cria o vSocket, você pode criar os recursos virtuais AWS e conectá-los à sua instância EC2 usando o template AMI no AWS Marketplace.

Criando Manualmente os Recursos Virtuais AWS

Crie esses recursos virtuais para a instância do vSocket:

Nota

Nota: Se estes recursos já existirem, você pode prosseguir para associar os recursos com a instância EC2, abaixo.

  • Gateway de internet

  • Três sub-redes - WAN, LAN e MGMT

  • Grupo(s) de segurança para gerenciar a comunicação de entrada e saída

  • Três interfaces (ENIs) - WAN, LAN e MGMT

  • Duas tabelas de rotas - Internet e LAN

  • Dois IPs elásticos (para interfaces WAN e MGMT)

Definindo o Gateway de Internet para o VPC

Use o painel do AWS Virtual Private Cloud (VPC) para criar um novo gateway de Internet e anexá-lo à sua VPC.

01_VPC_Dashboard.png

Para criar o novo gateway de Internet e anexá-lo à VPC:

  1. No painel do VPC, no menu de navegação, selecione Virtual Private Cloud > Gateways de Internet.

  2. Clique em Criar gateway de internet.

  3. Em Etiqueta de nome, insira o nome para o gateway de Internet.

  4. Clique em Criar gateway de internet. O painel do VPC mostra os detalhes do gateway de Internet.

    01a_Attach_IGW.png

  5. No menu suspenso Ações, selecione Anexar à VPC.

  6. Na janela Anexar à VPC, na seção VPCs Disponíveis, selecione a VPC.

  7. Clique em Anexar gateway de internet. O gateway de Internet está anexado à sua VPC.

Criando as Sub-redes MGMT, WAN, e LAN

Crie essas sub-redes no AWS e elas serão automaticamente anexadas à VPC:

  • Sub-rede MGMT

  • Sub-rede WAN

  • Sub-rede LAN - este é o mesmo que o Native Range para o site.

Certifique-se de que todas as sub-redes estejam na mesma Zona de Disponibilidade da AWS.

02_CreateSubnet.png

Para criar a sub-rede para o AWS vSocket:

  1. No painel do VPC, no menu de navegação, selecione Virtual Private Cloud > Sub-redes.

  2. Clique em Criar sub-rede.

  3. Na janela Criar sub-rede, na seção VPC, selecione o ID da VPC.

  4. Configure as configurações para a sub-rede:

    1. Digite o Nome da sub-rede.

    2. Selecione a Zona de Disponibilidade para a sub-rede.

    3. Insira o bloco CIDR IPv4 para a sub-rede. Para a sub-rede LAN - este é o mesmo valor que o Native Range do site.

  5. Para adicionar sub-redes adicionais, clique em Adicionar nova sub-rede e repita o passo anterior 4.

  6. Clique em Criar sub-rede. O AWS cria as sub-redes e as anexa à VPC.

Configurando os Grupos de Segurança

Configure as regras do grupo de segurança para o tráfego WAN e MGMT com regras de saída que permitem todo o tráfego de saída, para que o tráfego possa alcançar o Cato Cloud.

Criando as Interfaces WAN e LAN

Crie as interfaces WAN e LAN para o vSocket para a instância EC2. Use o painel do EC2 para criar as interfaces.

Defina o endereço IP Custom para a interface LAN para o mesmo endereço IP que o IP Local para o Native Range. Não use os primeiros 3 endereços IP, pois eles são reservados pela AWS.

Você precisa desativar a verificação de origem/destino da AWS na interface LAN para permitir que a instância EC2 execute o encaminhamento de tráfego.

Nota

Nota: Para garantir o comportamento adequado do vSocket, defina opções DHCP personalizadas com um servidor confiável como o servidor DNS primário

04_LAN_NIC.png

Para criar a interface de rede (ENI):

  1. No painel do EC2, no menu de navegação, selecione Network & Security > Network Interfaces.

  2. Clique em Create network interface.

  3. Na janela Create network interface, selecione a Subnet LAN.

  4. Em Private IPv4 address, clique em Custom e insira o IP Local para o Native Range.

  5. Em Security groups, selecione o grupo de segurança apropriado para a interface.

  6. Clique em Create network interface. A AWS cria a interface.

  7. Repita os passos anteriores para a interface WAN.

  8. Para a interface LAN, desative o rastreamento de origem/destino da AWS:

    1. Na janela Network Interfaces, clique com o botão direito na interface LAN e selecione Change source/dest. check.

      05_LAN_INT_source-dest.png

    2. Na janela Change source/destination check, desmarque Enable.

    3. Clique em Save.

Criando as Tabelas de Roteamento

Crie novas ou use tabelas de rotas VPC existentes para o tráfego do vSocket:

  • Tabela de rotas privada para as sub-redes LAN

    • Anexe a sub-rede LAN

    • Defina o Socket LAN ENI como o alvo (próximo salto) para a rota padrão

  • Uma única tabela de roteamento na Internet para as sub-redes MGMT e WAN. Esta tabela de rotas é usada para fornecer conectividade entre o vSocket e os recursos do Cato Cloud.

    • Anexe as sub-redes WAN e MGMT

    • Defina o Gateway da Internet como o alvo (próximo salto) para a rota padrão

Para criar as tabelas de rotas da Internet e LAN:

  1. No painel do VPC, no menu de navegação, selecione Virtual Private Cloud > Route Tables.

  2. Clique em Create route table.

  3. Em Name tag, insira o nome para a tabela de rotas da Internet ou LAN.

  4. Selecione o VPC para o vSocket.

  5. Clique em Create. A tabela de rotas é adicionada ao VPC.

  6. Associe as sub-redes WAN e MGMT à tabela de rotas da Internet, ou a sub-rede LAN à tabela de rotas LAN.

    1. Clique com o botão direito na tabela de rotas e selecione Edit subnet associations. Este é um exemplo da tabela de rotas da Internet.

      06_Internet_route_table.png

    2. Na janela Edit subnet associations:

      • Para a tabela de rotas da Internet, selecione as sub-redes MGMT e WAN

      • Para a tabela de rotas LAN, selecione a sub-rede LAN

    3. Clique em Save. As sub-redes estão associadas à tabela de rotas.

  7. Adicione a rota padrão a cada tabela de rotas (primeiro configure a tabela de rotas da Internet e depois a LAN).

    1. Clique com o botão direito na tabela de rotas e selecione Edit routes. A captura de tela a seguir mostra a tabela de rotas da Internet:

      06_InternetGW_route.png

    2. Clique em Add route.

    3. Defina a Destination para a nova rota como 0.0.0.0/0.

    4. Em Target, selecione o próximo salto para a tabela de rotas da Internet ou LAN:

      • Para a tabela de rotas da Internet, selecione Internet Gateway e escolha o gateway da Internet para o VPC

      • Para a tabela de rotas LAN, selecione Network Interface e escolha o LAN ENI. A captura de tela a seguir mostra a tabela de rotas LAN:

      LAN_RouteTable.png

    5. Clique em Save changes.

    6. A janela mostra que a rota foi criada com sucesso, clique em Close.

  8. Repita os passos anteriores para a tabela de rotas LAN.

Associando Endereços IP Elásticos a uma Interface

Crie e associe endereços IP Elásticos às interfaces WAN e MGMT. Você pode usar um endereço IP público que é alocado a partir do pool de endereços IPv4 da Amazon.

Nota

Nota: O endereço IP elástico para a interface MGMT deve ser associado à interface MGMT automaticamente criada pelo Cato AMI durante a criação da instância, e não uma criada manualmente.

Para alocar um endereço IP Elástico:

  1. No painel do EC2, no menu de navegação, selecione Network & Security > Elastic IPs.

  2. Clique em Alocar endereço IP Elástico.

  3. Para o pool de endereços IPv4 públicos, selecione pool de endereços IPv4 da Amazon.

  4. Clique em Alocar. O IP Elástico é alocado.

  5. Selecione o IP Elástico e selecione Ações > Associar endereço IP Elástico.

    07_associate_Elastic.png

  6. Na janela Associar endereço IP Elástico, em Tipo de recurso, selecione Interface de rede.

  7. Em Interface de Rede, selecione a interface WAN.

  8. Clique em Associar. O IP Elástico está associado à interface.

  9. Repita os passos anteriores para a interface MGMT.

Configurando a Instância EC2 para o vSocket

Depois de criar todos os recursos virtuais para o vSocket, conecte esses recursos à sua instância EC2 usando o AMI da Cato Networks disponível no AWS Marketplace.

Instâncias EC2 compatíveis

Os seguintes tipos de instâncias EC2 são certificados para vSockets:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge (Sugerido para sites de alto desempenho com largura de banda acima de 2Gbps)

  • d2.xlarge 

Veja este artigo para revisar as especificações dos tipos de instância para ajudá-lo a escolher um tipo que corresponda aos requisitos do site. 

Nota

Nota: Se as instâncias c3.xlarge ou c4.xlarge não estiverem disponíveis na sua região, entre em contato com o suporte ao cliente da AWS.

Configurando o Cato AMI

Depois de preparar o ambiente, você pode agora configurar o AMI da Cato Networks.

Configure o AMI:

  1. No AWS Marketplace, procure por Cato Networks Virtual Socket.

  2. Clique em Continuar para Assinar.

  3. Clique em Continuar para Configuração.

    • Em Opção de cumprimento, selecione Imagem de Máquina da Amazon.

    • Em Region, certifique-se de selecionar a região na qual o seu vSocket está localizado.

    Cato_AMI.png

  4. Clique em Continue to Launch.

  5. Na página Launch this Software:

    1. Em Choose Action, selecione Launch through EC2.

    2. Em EC2 Instance Type, selecione a instância EC2.

    3. Em VPC Settings, selecione o VPC ao qual você está se conectando.

    4. Em Subnet Settings, selecione a rede MGMT.

    5. Em Security Group Settings, selecione o Security Group que você criou para esta instância.

    6. Expanda Advanced network configuration e em Network Interface selecione a interface MGMT que você criou.

      Nota: Se você não selecionar uma interface existente, uma nova interface será criada.

      AWS_vSocket_Cato_AMI_advanced_network_config.png

    7. Em Key Pair Settings, selecione o key pair que você criou.

    8. Na Advanced details section, em User data - optional, insira o número de série que você copiou do site vSocket que criou na Cato Management Application.

  6. Clique em Launch.

Atribuindo as Interfaces à Instância vSocket

Após a inicialização da instância vSocket, a interface MGMT é anexada a ela. Pare a instância e, em seguida, anexe as interfaces WAN e LAN restantes à instância.

Nota

Nota: Certifique-se de que a instância EC2 está parada e que primeiro você anexa a interface WAN, e depois a interface LAN.

Para anexar as interfaces à instância vSocket:

  1. No painel EC2, no menu de navegação, selecione Instances > Instances.

  2. Clique com o botão direito na instância vSocket e selecione Stop instance.

  3. Na janela de confirmação, clique em Stop. Atualize a janela e confirme se o Instance state está Stopped.

  4. No menu de navegação, selecione Network & Security > Network Interfaces.

  5. Anexe as interfaces WAN à instância:

    1. Clique com o botão direito na interface WAN e selecione Anexar interface.

    2. Na janela Anexar interface de rede, em Instância, selecione a instância vSocket.

    3. Clique em Anexar.

    4. Repita os três passos anteriores para a interface LAN.

Concluindo a Instalação do vSocket

Após anexar as interfaces ao vSocket, inicie a instância e confirme que ele se conecta à Cato Cloud. Após o vSocket se conectar à Cato Cloud, ele é atualizado automaticamente para a versão mais recente do Socket.

Para completar a instalação do vSocket:

  1. No painel do EC2, no menu de navegação, selecione Instâncias > Instâncias.

  2. Clique com o botão direito na instância vSocket e selecione Iniciar instância.

  3. No Cato Management Application, selecione Minha Rede > Topologia.

  4. Confirme que o site AWS está conectado à Cato Cloud.

(Opcional) Conectando ao Socket WebUI

Não recomendamos conectar-se à AWS vSocket WebUI usando um endereço IP elástico. Se precisar fazer login no Socket WebUI, use estas configurações:

  • Use o endereço IP elástico MGMT como o endereço IP público para o vSocket

    • Crie uma Regra de Segurança para permitir o tráfego de entrada de um único endereço IP (o endereço IP elástico)

  • O nome de usuário é admin

  • A senha padrão é o ID da Instância para a instância EC2 do vSocket

(Opcional) Roteamento de Tráfego para as Instâncias EC2

Se suas instâncias EC2 do aplicativo estiverem associadas a uma sub-rede de faixa não Nativa (uma sub-rede que não seja a sub-rede da interface LAN do vSocket), adicione uma faixa roteada na seção Networks para o site no Cato Management Application.

Para rotear o tráfego para a instância EC2:

  1. No menu de navegação, selecione Network > Sites e selecione o site.

  2. No menu de navegação, selecione Site Configuration > Networks.

  3. Na seção LAN, clique em Novo. O painel Nova Faixa IP abre.

  4. Digite o Nome para a faixa IP.

  5. Defina o Tipo da faixa como Roteado.

  6. Digite a Faixa de IP da Sub-rede.

  7. Defina o IP do Gateway para o roteador VPC, que é o primeiro endereço IP de host da sub-rede de Faixa Nativa.

  8. (Opcional) Configure o NAT Estático para a faixa.

  9. Clique em Aplicar. A faixa é adicionada à tela de Networks.

awsiprange.png

A captura de tela acima mostra estas configurações de exemplo para a faixa Roteada:

  • Faixa Nativa - 10.0.2.0/24

  • Faixa Roteada - 10.0.26.0/24

  • IP do Gateway - 10.0.2.1

(Opcional) Configure o IMDSv2 para as Instâncias EC2

IMDS (Instance Metadata Service) fornece acesso seguro para recuperar os metadados de uma instância. Cato usa este serviço para obter as seguintes informações:

  • Número de série nos dados do usuário

  • ID da instância

  • Informações relacionadas ao HA

  • Configurações de chave e nome de host para modificar a tabela de roteamento

A partir da versão Socket v20 compilação 18221, a Cato está adicionando suporte para IMDSv2.

Para configurar sua instância para usar IMDSv2:

  1. No AWS, selecione a instância que você deseja configurar.

  2. Selecione Ações > Configurações da instância.

  3. Na seção Modificar opções de metadados da instância, em IMDSv2 selecione Obrigatório.

  4. Clique em Salvar.

Esta mudança não causa nenhuma inatividade. No entanto, se você tiver uma implantação de HA, deve configurar tanto as instâncias primária quanto secundária para usar a mesma versão do IMDS.

Esse artigo foi útil?

Usuários que acharam isso útil: 6 de 6

0 comentário