Interconexão para Nuvem Pública Azure

Este guia explica como conectar o Azure ao Cato Cloud via Interconexão em Nuvem.

Para mais informações sobre sites de Interconexão de Nuvem, veja Introdução a Sites de Interconexão de Nuvem.

Visão geral de Interconexão em Nuvem para Azure

Cato suporta apenas o Modelo Ativo-Passivo para site de Interconexão de Nuvem com 2 circuitos. BGP é usado para trocar informações de roteamento entre PoPs da Cato e roteadores de borda do Azure e também para determinar o circuito ativo para o site.

Melhores práticas: A Cato recomenda conectar dois circuitos no Azure para cenários de resiliência e redundância. Configurações de circuito único também são suportadas.

Preparando-se para Criar um Site de Interconexão em Nuvem

Ao criar um site de Interconexão em Nuvem do Azure, é necessário configurar as configurações para seu locatário Azure e o Aplicativo de Gerenciamento Cato.

Antes de começar a implantar um site de Interconexão em Nuvem, é importante verificar se o caso de uso para a conexão Principal e Secundária é suportado pelas Localizações PoP da Cato, os provedores de nuvem e os provedores de infraestrutura. Para mais informações sobre como se preparar para sites de Interconexão de Nuvem, veja Introdução a Sites de Interconexão de Nuvem.

Nota

Nota: Para implantar o site de Interconexão em Nuvem, a Cato oferece uma configuração contínua usando algumas credenciais básicas para criar a conexão com o provedor de infraestrutura (por exemplo, Equinix). Se o seu caso de uso não for suportado pela configuração automatizada, entre em contato com seu representante de conta (PS/SE/CSM) para implantar a conexão manualmente.

Para problemas que encontrar após implantar seu site de Interconexão em Nuvem, entre em contato com Suporte.

Visão Geral de Alto Nível da Configuração de um Site de Interconexão em Nuvem

image2.png

Este é um panorama da alta gestão do processo para configurar a Interconexão em Nuvem para um site Cato Azure:

  1. Verifique se o caso de uso é suportado pela Localização do PoP da Cato, o Provedor de Nuvem e o Provedor de Infraestrutura.

    1. Para Localizações PoP que estão imediatamente disponíveis, continue com o passo 2.

    2. Para Localizações PoP que estarão disponíveis numa data futura, aguarde que a Cato complete as configurações manuais do backend antes de configurar o site de Interconexão em Nuvem.

  2. Crie dois circuitos ExpressRoute no Azure.

    1. Se solicitado pelo suporte da Cato, envie as Chaves de Serviço dos circuitos criados para a Cato para provisionamento.

  3. No Aplicativo de Gerenciamento Cato, crie um novo site e escolha o tipo de site como Interconexão em Nuvem.

    1. Configure sub-redes IP /30 para os circuitos primário e secundário para o site.

    2. Configure a largura de banda por circuito.

  4. Configure BGP entre a Cato e o Azure:

    1. No Azure - Uma vez provisionado, configure o emparelhamento do circuito ExpressRoute e configure as mesmas sub-redes IP adicionadas ao Aplicativo de Gerenciamento Cato.

    2. No Aplicativo de Gerenciamento Cato - Configure as configurações do par BGP para os circuitos primário e secundário. (A Cato prefere automaticamente as métricas do par principal)

  5. Conecte seu Azure Virtual Network Gateway aos circuitos ExpressRoute principais e secundários.

  6. Teste a conectividade com seu novo site.

Abaixo está um exemplo de topologia de baixo nível de um ambiente Azure cloud conectado à Cato via Interconexão em Nuvem.

AzureHighLevel.png

Configurando as Configurações na Conta do Azure

Esta seção descreve como configurar as configurações para um centro de dados do Azure para que ele possa se conectar ao site de Interconexão em Nuvem na sua conta Cato.

Para configurar as configurações do Azure para o site de Interconexão de Nuvem:

  1. No Azure, crie um novo circuito ExpressRoute em ExpressRoute Circuits > Create.

  2. Em Basics, selecione o Grupo de Recursos e a região da instância.

    CreateExpressRoute.png

  3. Na guia Configuration, configure estas configurações:

    1. Selecione o Tipo de Porta como Provedor, e selecione um Provedor de Interconexão em Nuvem na lista suspensa do Provedor.

      Nota: O provedor atualmente suportado é o EquinixCloud Exchange (ECX). Provedores adicionais serão suportados futuramente.

    2. Em Localização de Emparelhamento, selecione a mesma localização do PoP ao qual você está se conectando.

      Nota

      Nota: Se sua instância Azure estiver localizada em EUA East ou EUA East 2, selecione Washington DC como sua conexão de emparelhamento.

    3. Largura de banda: Selecione a largura de banda alinhada com sua licença Cato.

    4. SKU: Selecione Padrão ou Premium

      Premium permite conectar um número alto de VNets ao circuito, enquanto o padrão é limitado a 10 Redes Virtuais.

    5. Modelo de Cobrança Medido: é uma análise de custo por consumo, enquanto ilimitado é uma taxa fixa mensal para este circuito.

      Nota: Alterar o modelo de cobrança de Ilimitado para Medido não é suportado pela Azure. No entanto, você pode mudar de Medido para Ilimitado a qualquer momento.

      CreateExpressRoute_config.png

    6. Revise e clique em Criar o circuito ExpressRoute.

  4. Assim que o circuito ExpressRoute for implantado com sucesso, ele aparecerá como Não provisionado. Neste estágio, não é possível configurar o emparelhamento dos circuitos até que estejam completamente provisionados pelo Provedor de Serviço. (I.e. Equinix)

    unprovisioned.png

    Para concluir o processo de provisionamento, o provedor de serviços do data center de Interconexão de Nuvem requer a Chave de Serviço única gerada pela Azure para cada circuito ExpressRoute. (Vista na página Visão Geral)

    1. Copiar a Chave de Serviço. Você precisará dela ao usar o assistente de conexão automatizado no Aplicativo de Gerenciamento Cato. Se você estiver criando a conexão manualmente, envie a Chave de Serviço para seu representante Cato para provisão com o provedor de serviço.

    2. Você não pode continuar para as próximas etapas deste guia até que o provisionamento seja concluído.

  5. Uma vez provisionado, a configuração do circuito se torna editável e o status do circuito no portal Azure mudará de Não provisionado para Provisionado.

    O próximo passo é associar o circuito ExpressRoute e o emparelhamento BGP (A seguinte configuração será completamente replicada no Aplicativo de Gerenciamento Cato nas próximas etapas)

    1. Sob Emparelhamentos, estas são as opções - Azure privado, Azure público e Microsoft.

      Azure público está obsoleto para novos circuitos e Microsoft é usado para serviços Azure PaaS. Para este circuito, selecionaremos Azure privado (Mais informações estão disponíveis aqui)

    2. ASN do Par – Este é o ASN que será usado para representar o lado da Cato na configuração Azure. Você pode usar qualquer ASN privado para o lado da Cato (O ‘Par’ ASN).

    3. Sub-redes – IPv4.

    4. Sub-redes primária e secundária – Espaços de endereço únicos são necessários para o emparelhamento, cada sub-rede precisa ser definida por uma notação /30. Como um padrão Microsoft Azure, o primeiro IP utilizável serve como o IP do par para o roteador do cliente, enquanto o segundo IP serve como IP do roteador da Microsoft. (Exemplo, uma sub-rede primária de 172.16.0.0/30 usa 172.16.0.1 como o roteador Cato e 172.16.0.2 como o roteador MS)

      A Azure exige que tanto uma sub-rede primária quanto secundária sejam configuradas, mas a Cato usa apenas a sub-rede primária para cada circuito ExpressRoute. (No caso de configuração HA)

      Portanto, uma sub-rede secundária "fictícia" simulada é necessária para atender aos requisitos da Azure, mas NÃO será usada nas configurações de emparelhamento de Interconexão de Nuvem.

      A sub-rede primária configurada aqui também será usada nas etapas de configuração do Aplicativo de Gerenciamento Cato.

    5. ID de VLAN – Campo obrigatório: As mesmas configurações que o ID de VLAN configurado no Aplicativo de Gerenciamento Cato pela equipe da Cato. Este ID de VLAN é denotado em todas as partes para a conexão – O provedor de nuvem, a colocation da Equinix e o PoP da Cato. Este ID de VLAN será decidido pela Cato e deve ser configurado da mesma maneira para o emparelhamento de seus provedores de nuvem, se necessário.

Vinculando uma VNet no Azure ao Circuito ExpressRoute

Uma vez que o circuito é provisionado, o que resta é conectar recursos ao circuito ExpressRoute e estabelecer conectividade entre o Azure e o Aplicativo de Gerenciamento Cato.

Esta seção cobre o primeiro, se você desejar estabelecer conectividade com o Aplicativo de Gerenciamento Cato primeiro, por favor, pule para Completar a Configuração de Interconexão em Nuvem.

Limitações para Vincular um VNet do Azure com um Circuito ExpressRoute

  • De acordo com a Azure, implantar um Gateway VNet pode levar até ~45 minutos.

  • Certifique-se de evitar associar grupos de segurança de rede com a sub-rede Gateway, isso pode causar a interrupção do funcionamento do Gateway VNet.

  • VNets conectados a um ExpressRoute podem se comunicar entre si por padrão. A Microsoft recomenda usar VNet Peering.

  • O número de espaços de endereços anunciados das redes virtuais locais ou emparelhadas precisa ser igual ou inferior a 1.000.

  • Com uma Padrão ExpressRoute SKU, você pode vincular até 10 redes virtuais. (VNets) Todas as redes virtuais devem estar na mesma Região da Nuvem, enquanto um circuito ExpressRoute Premium permite mais de 10 VNets em várias Regiões da Nuvem. (O SKU por circuito pode ser editado na página de Configuração do circuito)

    SKU_standard.png

Antes que o circuito ExpressRoute possa ser vinculado você deve criar um Subnet Gateway e um Gateway de Rede Virtual ou ter os já existentes disponíveis. Mais sobre como fazer isso pode ser encontrado aqui na documentação oficial da Azure.

Para vincular um Gateway de Rede Virtual:

  1. Na página do circuito ExpressRoute vá para Conexões > Adicionar.

  2. Na página Criar conexão, selecione Tipo de Conexão como ExpressRoute juntamente com um nome e região dados e selecione Próximo.

    CreateConnection.png

  3. Selecione o Gateway para vincular em Gateway de Rede Virtual e selecione seu circuito provisionado em Circuito ExpressRoute.

  4. A conexão agora aparece sob as informações do circuito.

    Connection_done.png

Criando o Site de Interconexão em Nuvem

In the Cato Management Application, create a new site for the Cloud Interconnect provider.

Este artigo assume que você está criando um site de Interconexão em Nuvem HA Ativo-Passivo. If you are creating a single circuit Cloud Interconnect site, please create only one primary ExpressRoute Circuit. (Recomendado apenas para fins de teste)

For an Azure Cloud Interconnect site, we recommend that you create the site at the same time that you send the initial request for provisioning. Isso permite que você configure a configuração Cato para este site mais rapidamente.

To create the Cloud Interconnect site:

  1. No Aplicativo de Gerenciamento Cato, em Rede > Sites, clique em Novo para criar um novo site.

  2. Selecione o Tipo de Conexão como Interconexão de Nuvem e defina as configurações para o site.

    image8.png

  3. Clique em Aplicar, e depois clique em Salvar.

  4. Selecione o novo site e vá para Configurações do Site > Interconexão de Nuvem e clique em Nova Conexão.

    Nota

    Nota: Para implantações HA, certifique-se de criar a conexão principal primeiro.

    azure-cross-connect.png

Concluindo a Configuração de Interconexão de Nuvem

Após criar a rota expressa, continue com a configuração do site de Interconexão de Nuvem que você iniciou acima.

azure-cross-connect.png

  1. Sob a Configuração do Azure Express Route, insira sua chave de serviço do Azure Express Route que você criou.

  2. Sob Valide Sua Conexão, clique em Validar. A largura de banda e a localização do peering Azure são preenchidas automaticamente.

  3. Clique em Aplicar.

    Após a conexão ser estabelecida, prossiga para configurar o BGP.

Definindo as Configurações de BGP para o Site

Esta seção explica como definir a sessão BGP em cima da conexão de peering privado existente.

O site de interconexão é mostrado no estado Conectado quando pelo menos um par BGP é alcançável, independentemente do status de provisionamento com seu provedor de nuvem.

O estabelecimento do BGP é o único indicador de conectividade do site. BGP também permite determinar a troca de roteamento e a tolerância a falhas no túnel.

To configure the BGP settings for the Cloud Interconnect site:

  1. Configure the same settings in the BGP tab as in the Cloud Interconnect site configuration. Para cada circuito, vá até Configurações do Site > BGP e clique em Novo.

  2. Sob as Configurações de ASN, configure o ASN da Cato como o valor de sua escolha (certifique-se de que ele corresponda ao ASN de Par previamente configurado na página de configuração do Azure ExpressRoute)

  3. Configure o ASN do Par como 12076. Esta é uma notação ASN reservada usada pela Azure para circuitos ExpressRoute.

  4. Sob configurações de IP configure o IP do Par. Este é o mesmo IP que configurado nas configurações de Interconexão de Nuvem como Site. (Este IP representa a IP do par do provedor de nuvem.)

    O IP da Cato é automaticamente selecionado com base nas configurações de Interconexão de Nuvem.

    image10.png

  5. Defina a política de roteamento BGP - É possível manipular a política de anúncio de rotas para cada par.

    We recommend that there be equal policies for both peers in a Cloud Interconnect site to avoid routing discrepancies.

    1. As opções de Anunciar permitem que você configure como o site anuncia as rotas BGP para este vizinho.

      • Rota padrão - O site anuncia uma rota padrão (0/0) para os vizinhos BGP. Os vizinhos podem enviar todo o tráfego para esta rota padrão, mesmo que não esteja na tabela de roteamento. Você pode adicionar tags de comunidades BGP à rota padrão. Para mais sobre comunidades BGP, consulte Working with BGP Filtering.

      • Todas as rotas - O site anuncia a tabela de roteamento interna para toda a conta ao vizinho BGP. Essas rotas incluem intervalos estáticos e flutuantes, além de rotas aprendidas de outros pares neste site e em toda a sua rede. Esta opção é frequentemente ativada para enviar o tráfego WAN ao vizinho BGP.

        Nota: O intervalo inteiro de usuários SDP é anunciado ao par BGP como uma única rota.

      • Resumo de rotas - O site anuncia uma rota resumida em vez de múltiplas rotas únicas; os pares BGP podem simplificar suas decisões de encaminhamento e minimizar os recursos computacionais necessários para consulta de rotas. Consulte, Trabalhando com Resumos de Rotas BGP.

    2. Na seção Aceitar, selecione se o site aceita ou descarta os endereços IP dinâmicos que são publicados por este vizinho. Quando você seleciona a opção Descartar, está limitando a propagação dinâmica deste vizinho BGP. Para mais informações sobre listas de rotas BGP, veja Trabalhando com BGP Filtering.

      Por exemplo, em implantações que usam AWS Direct Connect, BGP é obrigatório, mas você não deseja aceitar endereços dinâmicos da AWS. Nessas implantações, recomendamos que você selecione Descartar todos.

    3. Na seção NAT, selecione Realizar NAT para IPs públicos para que o site execute SNAT para todos os IPs e o tráfego seja traduzido para o endereço IP da LAN.

      BGP_Policy_options.png

  6. Configure as Configurações Adicionais para as rotas BGP:

    1. MD5 – Uma camada adicional de segurança.  Este campo é obrigatório. (No Azure, este é o atributo Chave Compartilhada)

    2. Métrica – A prioridade do par pode ser alterada.

      O perfil de configuração esperado é ter uma métrica melhor para o par principal do que para o par secundário.

    3. Valores de Tempo de espera e Intervalo de Keepalive.

    4. Rastrear > Notificação por Email – Alertas opcionais para alterações de conectividade BGP.

    image12.png

  7. Clique em Aplicar.

    The Cloud Interconnect site is configured. Verifique se o site está funcionando corretamente, veja abaixo Monitoramento e Teste de Conectividade para o Site de Interconexão de Nuvem.

Exemplo de Política BGP para o Site de Interconexão de Nuvem

Veja o exemplo a seguir de dois pares na configuração Active-Passive suportada com o Cato. (A métrica do par principal é 90, a métrica do par secundário é 100)

image13.png

Monitoramento e Teste de Conectividade para o Site de Interconexão de Nuvem

Agora que a configuração do site está completa, vamos revisar como a conexão pode ser testada e monitorada.

Cato provides multiple tools to help you monitor your Cloud Interconnect site and troubleshoot any potential issues, including:

Ferramenta de Teste de Conectividade

Você pode testar a acessibilidade IP ponto a ponto de Interconexão de Nuvem de cada circuito usando a ferramenta Testar Conectividade.

A ferramenta Testar Conectividade em Configurações do Site > Interconexão de Nuvem envia sondas ICMP do IP PoP Cato para o IP Remoto do site de qualquer conexão Principal ou Secundária.

Estes são os resultados das sondas ICMP:

  • Sucesso - Teste concluído com sucesso

  • Erro - Teste não foi concluído. (Teste expirou pelo PoP Cato ou não pôde ser executado)

  • Falhou - Teste realizado com sucesso, mas sem resposta do IP Remoto do par

Monitoramento LAN

Você pode usar a funcionalidade de Monitoramento LAN para:

  • Executar sondagens ICMP contínuas do PoP Cato para o IP Remoto do circuito principal.

    Note: LAN Monitoring only monitors the primary circuit for the  Cloud Interconnect site.

  • Estado de atividade dos hosts muda para instâncias dentro da rede do Provedor de Nuvem.

É possível definir limites personalizados e intervalos de ICMP e definir notificações por email para uma lista de email quando esses limites são atingidos.

image16.png

Este é um exemplo de notificação de email para Monitoramento LAN:

image.png

Status do BGP

Em Configurações do Site > BGP, o Mostrar Status do BGP confirma a conectividade de cada circuito.

O status fornece informações detalhadas sobre as sub-redes aprendidas, anunciadas, e dados adicionais sobre os pares BGP.

Exemplo de saída de status do BGP:

image15.png

Notificações por Email BGP

Para cada par, recomendamos configurar notificações de alteração de status do vizinho BGP. Notificações por Email são enviadas diretamente para uma lista de e-mails de administrador ao ocorrer uma mudança no estado da conexão do par BGP.

Configure notificações por Email em Configurações do Site > BGP > BGP Neighbor > Configurações Adicionais > Rastreamento.

Selecione a Frequência de alerta e a Lista de E-mails.

Cato permite a seguinte configuração de Frequência:

  • Imediato - Notificação enviada aos destinatários para cada ocorrência.

  • Horária - Enviar notificação com a primeira ocorrência. Não envie emails adicionais se houver mais ocorrências dentro de uma hora.

  • Diariamente - Enviar notificação com a primeira ocorrência. Não envie adicionais se houver mais ocorrências dentro de um dia.

  • Semanalmente - Enviar notificação com a primeira ocorrência. Não envie adicionais se houver mais ocorrências dentro de uma semana.

Exemplo de notificação por email BGP:

BGPemail.png

Tabela de Roteamento

A tela Monitoramento > Tabela de Roteamento mostra todas as rotas da sua conta incluindo rotas dinâmicas.

A tabela de roteamento pode ser usada para determinar qual túnel, principal ou secundário, é responsável por anunciar estas rotas com base no Próximo Salto, PoP e Métrica do Túnel.

Rotas originadas do BGP aparecem como um tipo de roteamento Dinâmico. As rotas do par do circuito Passivo aparecem em cinza. As sub-redes ponto a ponto de ambos os circuitos aparecem como um tipo de roteamento Estático na tabela de roteamento.

Por exemplo, a seguinte rota dinâmica 172.29.0.0/24 é anunciada pelo PoP de Nova York e tem uma métrica de 5 (a mais alta), que é o túnel principal e atualmente ativo.

A mesma rota é anunciada pelo túnel secundário no PoP de Ashburn também com uma métrica menor de 10.

Caso o túnel secundário no PoP de Ashburn se torne o túnel ativo, a tabela de roteamento se ajustará de acordo com essa rota.

image18.png

Os pares BGP são Estáticos e têm sua própria entrada na tabela de roteamento. Estes pares servem como o Próximo Salto para as rotas BGP Dinâmicas anunciadas atrás deles. Da mesma forma que outras rotas, a Informação Métrica pode ser discernida para entender qual par está atualmente ativo com uma métrica mais alta e através de qual Localização do PoP Cato.

image.png

Eventos

Na tela Monitoramento do Site > Eventos, a Cato agrega todos os eventos registrados relacionados ao site.

Eventos-chave podem ser usados para analisar uma Linha do Tempo de eventos como. Você pode filtrar os Eventos relevantes usando os seguintes subtipos de eventos:

  • Sessão BGP – Notificar sobre o estabelecimento ou desconexão de sessão BGP. Um motivo identificado para desconexão pode ser inspecionado no Log de eventos expandido. (Sob o ícone '+')

  • Roteamento BGP – Alterações de rota BGP, como adição ou remoção de novas rotas do par BGP.

  • Monitoramento LAN – Estes eventos são registrados como parte da configuração de Monitoramento LAN que você configurou. Se o Monitoramento LAN não estiver configurado, esses eventos não serão registrados.

BGPevent.png

Análise da Rede do Site

A análise do site permite monitorar o tráfego e a vazão do site e inclui estes painéis:

  • Análise de Rede – Analisar alterações de estado de conectividade, número de Fluxos, Hosts e Vazão.

    It is important to remember the Cloud Interconnect site connectivity is based on the BGP peers. Se ambos pares BGP forem inalcançáveis, o site é considerado Desconectado.

    xconn-mbps.png

  • Eventos - Feed de eventos do site.

  • Análise de Aplicações - Este painel de controle disseca a vazão dos hosts e o uso de aplicações. É possível adicionar filtros como IP/host, Aplicação, Categoria, etc...

    AppAnalytics.png

  • Analisador de Prioridades - Este painel de controle permite analisar a distribuição de QoS ao longo do tempo. (leia mais sobre Analisador de Prioridades)

  • Hosts Conhecidos – Um painel de controle em tempo real para hosts atrás do site. IP, Tipo de SO e Atividade do Host estão entre os pontos de dados disponíveis por host.

    knownHosts.png

  • Tempo Real - Este painel de controle permite o monitoramento em tempo real de hosts ativos, vazão, principais aplicações, QoS ativo e mais.

    RealTime.png

Cloud Interconnect Limitations with Azure

The following is a highlight list of limitations to consider before setting up an Azure Cloud Interconnect site:

  • Os IPs de peering são predeterminados – O primeiro IP utilizável representa o par “On-Prem” e o IP consequente representa o roteador MS Azure.

  • Cada ID de VLAN do túnel é atribuído pela Cato e deve ser configurado nas configurações do Azure. Sem o ID de VLAN atribuído pela Cato, a configuração não funcionaria.

  • Ao anunciar rotas, o Azure não tem a opção de excluir/incluir rotas do VNet. A VNet inteira é anunciada.

  • ExpressRoute permite anunciar até 1.000 prefixos IPv4 e 100 prefixos IPv6.

  • ExpressRoute permite receber até 4.000 prefixos da Cato. (Cato tem uma opção para sumarização de rotas personalizada. Se você gostaria de configurar a sumarização de rotas com BGP, por favor, contate o Suporte da Cato)

  • ExpressRoute Premium permite mais de 10 anexos de VNets em várias regiões da Azure e até 10.000 prefixos recebidos.

    • Se o limite de prefixos for atingido, o Azure derruba a conexão BGP até que a capacidade do limite seja restaurada.

Você pode ler mais na documentação oficial do ExpressRoute da Azure.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário