Подключите свои активы AWS к Cato Cloud через Amazon Virtual Private Gateway

Эта статья описывает, как подключиться к AWS с использованием одного нерезервного VPN-соединения. Хотя это быстро и просто, для производственных сред мы рекомендуем использовать двойные туннели с BGP для максимальной избыточности.

Эта статья охватывает цель подключения ваших активов AWS к Cato Cloud через Amazon Virtual Private Gateway для одного VPN-соединения с статическими маршрутами.

1.png

Терминология Amazon:

Виртуальный частный шлюз

Виртуальный частный шлюз является конечной точкой VPN на стороне Amazon VPN-соединения.

Шлюз клиента

Шлюз клиента это физическое устройство или программное обеспечение на вашей стороне VPN-соединения. Когда вы создаете VPN-соединение, туннель VPN поднимается, когда трафик генерируется с вашей стороны VPN-соединения. Виртуальный частный шлюз не является инициатором; ваш шлюз клиента должен инициировать туннели. Для получения дополнительной информации об Amazon VPG (Виртуальный Приватный Шлюз)

Руководство по поэтапной настройке:

Предположим, у нас есть рабочая служба (VPC, публичная подсеть, интернет-шлюз и т. д.) на AWS под VPC 'Hen-GAOC-VPC', и мы хотим подключить её через Cato Cloud.
ПРИМЕЧАНИЕ: если у вас нет VPC, вам сначала нужно создать его.

  • Выберите регион, в котором вы хотите создать VPC. Затем нажмите на VPC и создайте VPC. 

1) В приложении управления Cato перейдите в Сеть > Распределение IP-адресов и настройте новый IP-адрес, ближайший к местоположению актива AWS (вы также можете использовать уже назначенный IP-адрес). В этом примере мы назначили другой IP в Сингапуре (не забудьте нажать Сохранить после выделения IP):

 

360001837098-mceclip1.png

2) В AWS перейдите в VPC > Виртуальная частная сеть (VPN) > Шлюзы клиента и создайте шлюз клиента:

  • Назовите это "Cato" + местоположение IP Cato
  • IP-адрес (введите IP-адрес, который был назначен в предыдущем разделе распределения IP)
360001750917-mceclip2.png

3) Перейдите в VPC > Виртуальная частная сеть (VPN) > Виртуальные частные шлюзы, создайте виртуальный частный шлюз и прикрепите его к VPC:

360001837318-mceclip3.png
360001837338-mceclip4.png
360001837358-mceclip5.png

4) Перейдите в VPC > Виртуальная частная сеть (VPN) > VPN-соединения между сайтами и создайте VPN-соединение:

  • Выберите виртуальный приватный шлюз, который был создан в разделе 3
  • Выберите клиентский шлюз, который был создан в разделе 2
  • Установите параметры маршрутизации на "Статический"
  • В разделе статических IP-префиксов установите сеть за клиентским шлюзом, то есть Cato (в следующем примере мы пропускаем весь трафик через Cato - распространенный случай использования)
  • Параметры туннеля могут оставаться пустыми (автоматически сгенерировано Amazon)
360001751137-mceclip6.png

5) Выберите VPN-соединение, которое мы только что создали, и нажмите Скачать конфигурацию:

  • Выберите производителя "Общий тип"
  • Загрузите конфигурацию
360001751357-mceclip8.png

6) Откройте файл конфигурации и найдите предварительно общий ключ (он скоро понадобится):


 

7) Перейдите в VPC >Виртуальная Приватная Сеть (VPN) > Соединения VPN от сайта к сайту. Как только состояние станет Доступно, проверьте Детали туннеля в левом нижнем углу страницы и скопируйте внешний IP-адрес Amazon Tunnel 1.

360001840538-mceclip11.png

8) В приложении управления Cato перейдите в Сеть > Площадки и нажмите Новый :

  • Выберите тип сайта
  • Под Тип соединения выберите IPsec IKEv1 (инициировано Cato)
  • Выберите соответствующую страну
  • Настройте соответствующий диапазон VPC AWS в собственном диапазоне
360001840738-mceclip12.png

9) После создания сайта, прокрутите вниз до раздела IPsec:

  • Тип службы: "AWS"
  • Установите основной IP-адрес источника на IP, который мы выделили ранее
  • Установите основной IP-адрес назначения на IP, взятый из раздела 7
  • Установите пароль, который был взят из раздела 6
    Примечание: Для туннелей IKEv2 рекомендуется настроить несколько активных туннелей. Для получения дополнительной информации см.: Настройка IPsec IKEv2 сайтов.
360001821057-mceclip0.png

10) Сохранить и прокрутите вверх до Показать детали соединения (Правый верхний угол)

  • Статус должен показать Подключено.

11) В AWS перейдите в VPC > Таблицы маршрутов. Выберите таблицу маршрутов VPC, распространение маршрутов:

  • Отредактируйте существующую запись, включите распространение и сохраните
360001912858-mceclip4.png

12) В той же Таблице маршрутов, перейдите в Маршруты и удалите (если у вас есть) старую запись шлюза интернет 0.0.0.0. Это гарантирует, что весь трафик проходил через Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 13

0 комментариев