Развертывание Azure vSockets из Marketplace

Эта статья объясняет, как использовать Azure Marketplace для автоматического развертывания виртуального Cato Socket (vSocket) для площадки, размещенной в Microsoft Azure. Образ Azure vSocket, доступный в Marketplace, и мастер Cato помогут вам пройти этапы добавления необходимых виртуальных ресурсов.

Для получения более подробной информации о ручном развертывании vSocket с помощью скрипта установки Cato, см. Deploying an Azure vSocket Site Manually.

Для получения информации о миграции существующего развертывания на 2 интерфейса сетевой карты, см. Migrating Azure vSockets to a 2-NIC Solution.

Предварительные требования

  • Убедитесь, что среда соответствует требованиям, перечисленным в Cato Socket Connection Prerequisites.

  • В арендаторах с Частным Azure Marketplace администратор Azure должен выполнить следующее:

    1. Перейдите на экран Частные планы и убедитесь, что у вас есть два предложения Cato - Приложение Azure и Виртуальная машина. Убедитесь, что вы выбрали Приложение Azure для процедур, изложенных в этой статье.

      Azure-Marketplace-Offering.png
    2. Перейдите на экран Private marketplace и добавьте два предложения Cato в желаемую коллекцию. Убедитесь, что эта коллекция применима к релевантному арендатору, в который вы хотите установить vSocket.

    Примечание: Для получения более подробной информации см. документацию Microsoft.

  • Azure vSocket должен иметь доступ к общедоступному серверу DNS. Убедитесь, что VNet не настроен для использования только частного сервера DNS.

  • Каждый экземпляр vSocket требует исходящей связи с этими ресурсами:

    • Виртуальная сеть - DNS и HTTP
    • Управление ресурсами Azure - HTTPS
    • Интерфейс управления требует доступ к Интернету для общедоступных DNS-серверов (если настроено, UDP/53) и management.azure.com (TCP/443)

Поддерживаемые типы экземпляров

  • Standard_D2s_v5 - развертывание с 2-NIC, включая пропускную способность до 1 Гбит/с
  • Standard_D8ls_v5 - развертывание с 3-NIC, включая Azure Accelerated Networking и пропускную способность до 2 Гбит/с

Известные ограничения

  • Развертывание vSockets из маркетплейса Azure не поддерживается для площадок Azure в Китае. Чтобы развернуть vSocket в Китае, вручную разверните vSocket с помощью скрипта установки Cato, см. Deploying an Azure vSocket Site Manually.
  • При развертывании ресурсов с установленной зоной доступности, набор общедоступных IP не будет работать. Чтобы обойти эту проблему, разверните зону доступности с помощью мастера развертывания маркетплейса и вручную настройте набор общедоступных IP после завершения мастера развертывания.
  • Стандартная ВМ для новых развертываний - Standard_D8ls_v5. Если ваша среда на данный момент не поддерживает эту ВМ, свяжитесь с администратором Azure. Для существующих развертываний вы можете изменить размер вашей ВМ. Для получения дополнительной информации см. Для сайтов Microsoft Azure - Изменение ВМ Cato vSocket на стандартный размер ВМ D8Is v5.
  • Расширения Azure и резервные копии не поддерживаются для VM vSocket

Обзор виртуальных ресурсов для Azure vSocket

Когда вы развертываете Azure vSocket из Marketplace, vSocket использует следующие виртуальные ресурсы:

  • Экземпляр ВМ, на которой установлена прошивка vSocket
  • Виртуальная сеть WAN для трафика, который отправляется в облако Cato
  • Виртуальная сеть LAN для внутреннего трафика LAN

  • MGMT виртуальная сеть (только для типов инстансов с 3 NIC)

    • Для площадок vSocket HA, коммуникация управления между vSocket и Azure API, используемыми для механизма отказа между vSockets
    • Для одиночных площадок vSocket не требуется входящий или исходящий трафик для интерфейса управления
  • 3-WIC vSockets поддерживают пропускную способность до 2 Гбит/с с включенной опцией Azure Accelerated Networking.
  • Таблица маршрутизации LAN для vSocket
  • Группы безопасности сети WAN и LAN

Создание сайта Azure vSocket

В Приложении Управления Cato создайте новую площадку vSocket Azure. Все сетевые сегменты, которые вы создаете в Приложении Управления Cato, должны быть включены в диапазон сети виртуальных сетей Azure.

Локальный IP-адрес для vSocket должен быть таким же, как IP-адрес для LAN интерфейса на VM. Три первых IP-адреса подсети зарезервированы для VPC.

После создания площадки, Приложение Управления Cato присваивает ей уникальный серийный номер (S/N). Мы рекомендуем копировать и вставлять серийный номер в текстовый файл.

Чтобы создать сайт для Azure vSocket:

  1. В навигационном меню приложения управления Cato щелкните Сеть > Сайты.

  2. Нажмите Добавить новый сайт. Откроется панель Добавить сайт.

    add_site_vsocket.png
  3. Настройте Общие настройки для сайта:
    1. Введите Название Сайта.
    2. Выберите Тип сайта. Эта опция определяет, какой значок используется для сайта в окне Топология.
    3. Выберите vSocket Azure для Тип соединения.
    4. Настройте Страна, Область и Часовой пояс чтобы установить временной интервал для Окно обслуживания.
  4. Настройте Настройки интерфейса WAN, включая Входящий и Выходящий канал в соответствии с полосой пропускания вашего ISP.
  5. Настройте настройки интерфейса LAN, включая Собственный диапазон для сайта Azure. Эта настройка должна быть такой же, как диапазон IP LAN подцентра в Azure.
  6. Щелкните Применить. Сайт добавлен в список Сайты.
  7. Скопируйте и сохраните серийный номер vSocket для мастера Cato в Azure Marketplace:
    1. В списке Сайты выберите новый сайт vSocket.
    2. В навигационном меню щелкните Конфигурация сайта > Сокет. Скопируйте серийный номер (S/N) и сохраните его.

Создание Azure vSocket из Marketplace

Используйте автоматизированный мастер Cato в Azure Marketplace для создания виртуальных ресурсов для основного (или одиночного) vSocket и разверните его для площадки Azure. Образ Azure vSocket доступен публично в Marketplace.

Если вы используете конфигурацию с высокой доступностью (HA) для сайта, вам нужно запустить мастер дважды и выбрать соответствующие опции для второго vSocket (см. ниже Добавление второго vSocket для высокой доступности).

Примечание: С марта 2025 года вы должны использовать стандартный SKU для публичных IP-адресов, которые вы назначаете интерфейсу виртуальной машины. Базовый SKU для публичных IP-адресов будет выведен из эксплуатации 30 сентября 2025 г.. Для получения дополнительной информации об отключении и миграции существующих IP-адресов, см. следующее уведомление: Обновить публичные IP-адреса Azure vSocket от Basic до Standard SKU.

Дополнительные конфигурации с помощником Marketplace

В этом разделе описываются различные дополнительные настройки, которые вы можете выбрать для определения vSocket в окне Дополнительные конфигурации мастера Cato.

Назначение публичных IP-адресов интерфейсам WAN и MGMT

Хотя это не является обязательным, вы можете выбрать определение статического публичного IP-адреса от Azure для интерфейсов WAN и MGMT и виртуальных сетей. Если вы настраиваете публичный IP-адрес, он должен быть для обоих интерфейсов MGMT и WAN. Интерфейс MGMT должен иметь публичный IP-адрес для доступа к веб-интерфейсу сокета через публичный интернет.

После настройки публичного IP-адреса, Cato рекомендует добавить группы сетевой безопасности.

Когда вы подключаетесь к веб-интерфейсу сокета через туннель Cato или приложение управления Cato, вам не нужен публичный IP-адрес.

Использование групп сетевой безопасности

Группы сетевой безопасности определяют, какой трафик разрешен, и помогают управлять входящим трафиком для виртуальной сети, определенной в соответствии с интерфейсами WAN, LAN или MGMT. Вы можете использовать существующую группу безопасности или создать новую для vSocket.

Назначение виртуальных машин vSocket в набор доступности или зону доступности

Azure предоставляет эти функции для избыточности облачных ресурсов:

  • Набор доступности - защищает услуги Azure от перебоев в работе отдельных дата-центров
  • Зона доступности - защищает от инцидентов, влияющих на весь дата-центр

Вы можете выбрать назначение vSockets в один набор или одну зону доступности. Наборы доступности в основном используются в конфигурации vSocket HA, когда вы хотите убедиться, что оба vSocket назначены в разные отказоустойчивые и обновляемые домены.

Вы не можете назначить набор доступности виртуальным машинам, использующим разные зоны доступности.

Примечание

Примечание: Azure не позволяет назначить виртуальную машину набору доступности после ее создания.

Развертывание основного vSocket

Используйте мастер vSocket Cato в Azure Marketplace для определения настроек виртуальных ресурсов и развертывания основного vSocket. Затем vSocket автоматически подключается к облаку Cato и назначается на площадку Azure в вашем аккаунте.

Подробнее о развертывании второго vSocket для конфигураций HA см. ниже Добавление второго vSocket на сайт Azure.

Чтобы развернуть первичный vSocket Azure из маркетплейса:

  1. В Azure Marketplace найдите Cato и выберите Cato Networks Virtual Socket.

  2. На экране Обзор выберите План и Подписка для ресурсов Azure, затем нажмите Создать.

    Marketplace_Overview.png

  3. На экране Основы определите следующие настройки для ресурсов и затрат:

    Marketplace_Basics.png
    • Подписка - Учетная запись для выставления счетов за ресурсы Azure
    • Группа ресурсов - Группа ресурсов Azure, с которой связаны ресурсы vSocket
    • Регион - Регион Azure для ресурса vSocket
    • Префикс ресурса - необязательный префикс для добавления к каждому из ресурсов vSocket

  4. На экране Развертывание vSocket выберите Развернуть основной vSocket.

    Marketplace_deployment_type.png

  5. На экране Сетевое оборудование сначала определите, хотите ли вы работать с 2 или 3 сетевыми интерфейсами.

    azure-2NIC-3NIC.png
    • Двух WIC развертывания используют тип экземпляра Standard_D2s_v5

    • Развертывания с 3 NIC используют тип экземпляра Standard_D8ls_v5

      Примечание

      Примечание: По умолчанию, 3 NIC vSocket поддерживает до 2 Гбит/с пропускной способности при включённой опции ускоренного сетевого оборудования Azure.

    Это подсети vSocket (минимальный адресный диапазон подсети /28):

    • MGMT подсеть (только для развертываний с 3 NIC) – Управляющая связь между vSocket и Azure API
    • WAN подсеть - Внешний WAN трафик для vSocket (Интернет и облако Cato)

    • LAN подсеть - внутренние ресурсы Azure и трафик, подключенные к vSocket

      Примечание: Убедитесь, что диапазон IP-адресов подсети LAN совпадает с Собственный Диапазон для сайта vSocket в Приложении Управления Cato.

  6. На экране Конфигурация vSocket Cato определите следующие настройки для vSocket на основе сайта vSocket, который вы создали в приложении управления Cato (выше Создание сайта Azure vSocket).

    Marketplace_vSocket_Configuration.png
    • Серийный номер vSocket (S/N) - Вставьте S/N, который вы скопировали со страницы Конфигурация сайта > Сокет.
    • LAN IP vSocket - Введите Локальный IP для первичного vSocket со страницы Конфигурация сайта > Сети в CMA.

    • Имя vSocket - Введите имя для VM, которая размещает vSocket.

      Имя vSocket не может включать пробелы или Запрещенные символы Azure.

    • Распределение IP интерфейса WAN – Выберите Динамический или Статический внутренний IP-адрес для интерфейса WAN. Для статического распределения IP вы можете выделить любой IP-адрес.
    • Распределение IP интерфейса MGMT (только для развертываний с 3 NIC) – Выберите Динамический или Статический внутренний IP-адрес для интерфейса MGMT. Для статического распределения IP вы можете выделить любой IP-адрес.

  7. На экране Опциональная конфигурация вы можете выбрать установить эти настройки:

    Marketplace_additional_configuration.png
    • Общедоступные IP-адреса для интерфейсов WAN и/или MGMT (только для развертываний с 3 NIC)
    • Группы безопасности сети для интерфейсов WAN, MGMT (только для развертываний с 3 NIC) и/или LAN

    • Опции доступности для vSocket:

      • Azure Availability Set - Создать новый или использовать существующий

        Примечание: Набор доступности должен находиться в той же группе ресурсов, что и vSocket

      • Зона доступности Azure - выберите зону доступности в диапазоне от 1 до 3

    Для получения дополнительной информации об этих настройках см. выше Опциональные настройки с использованием мастера маркетплейса.

  8. На экране Проверка + создание проверьте настройки vSocket, затем нажмите Создать.

    Примечание: Вы можете выбрать экспорт шаблона развертывания и использовать его для будущих развертываний vSocket.

    На экране Развертывание в процессе отображается состояние развертывания vSocket в режиме реального времени. На развертывание всех ресурсов может уйти несколько минут.

    После развертывания ресурсов vSocket, vSocket автоматически подключает сайт к Cato Cloud и проверяет, требуется ли обновление до новой версии vSocket. В области уведомлений Приложения Управления Cato отображаются сообщения о статусе подключения vSocket.

Добавление вторичного vSocket для высокой доступности

Чтобы обеспечить резервирование для vSocket в пределах сайта Azure, вы можете развернуть два vSocket в одной виртуальной сети Azure (VNet) и настроить их на работу в режиме высокой доступности (HA). The vSockets operate in active/passive mode and the LAN links are used to send keepalive messages between the vSockets.

Конфигурация HA Azure использует плавающий IP, который привязан к интерфейсу LAN для активного vSocket. Когда происходит переключение на пассивный вторичный vSocket, плавающий IP перемещается на интерфейс LAN вторичного vSocket. Таблицы маршрутизации используют этот Плавающий IP как следующий переход для трафика, отправляемого через Cato Cloud.

Где необходимо, вы можете развернуть Azure HA поддерживает vSockets в разных Зонах Доступности. Или, вы можете использовать Наборы Доступности, чтобы убедиться, что оба vSockets развернуты в разных Доменах Сбоев и Обновлений в Azure.

После развертывания основного vSocket, в Приложение Управления Cato добавьте вторичный vSocket на сайт Azure. Затем используйте мастер Marketplace, чтобы развернуть вторичный vSocket.

Для получения дополнительной информации об Azure HA, см. Настройка Высокой Доступности для Azure vSockets.

Предварительные требования для Высокой Доступности Azure

  • Вы должны быть владельцем группы ресурсов Azure для виртуальных ресурсов
  • vSockets Azure должны использовать одну и ту же VNet
  • Если вы использовали стандартное имя виртуальной сети vsNet при развертывании первичного Сокета и столкнулись с ошибкой проверки, вы должны определить префикс ресурса для вторичного vSocket
  • Если у вас есть стандартная политика для системно-определенных идентичностей, вы должны исключить vSockets Cato, чтобы обеспечить переход между первичным и вторичным vSocket. Для получения дополнительной информации см. актуальную документацию Azure.

Добавление вторичного vSocket на сайт Azure

Используйте опцию Добавить Вторичный Сокет на экране Сеть > Площадки > Настройки Сайта > Сокет, чтобы подготовить сайт для вторичного vSocket. Есть всплывающее окно, где вы вводите следующие настройки:

  • IP интерфейса LAN - IP адрес для интерфейса LAN вторичного vSocket
  • Плавающий IP LAN - IP адрес для Плавающего IP, который используется для конфигурации Azure HA

Приложение Управления Cato использует IP-адрес интерфейса LAN как адрес управления для вторичного vSocket. Этот интерфейс LAN также используется для пакетов keepalive HA.

После того как вы добавите вторичный vSocket на сайт, Приложение Управления Cato выполнит следующие действия:

  • Генерирует серийный номер vSocket для нового vSocket (этот серийный номер используется при запуске скрипта Cato для установки vSocket на ВМ)
  • Включает раздел Конфигурации высокой доступности для этого сайта
  • Изменяет собственный диапазон сетевого раздела, локальный IP заменяется на Плавающий IP

Чтобы настроить сайт Azure для HA:

  1. В навигационном меню выберите Сеть > Площадки, и выберите сайт Azure.
  2. В навигационном меню выберите Конфигурация сайта > Сокет.
  3. Щелкните Добавить вторичный сокет. Открывается окно Добавить вторичный vSocket (Высокая доступность).
  4. Настройте IP-настройки LAN:
    1. Введите IP-адрес интерфейса LAN. Это значение используется в качестве MGMT IP и для keepalive пакетов.
    2. Введите Плавающий IP LAN.
  5. Щелкните Применить. Настройки плавающего IP настроены и скопированы в раздел Сокет > Высокая доступность Конфигурации.
  6. Щелкните Сохранить.

  7. Скопируйте и сохраните серийный номер (S/N) для Вторичный vSocket.

    Используйте этот S/N, когда вы развертываете вторичный vSocket из Azure Marketplace.

Изменения экрана Socket

После того как вы добавите вторичный vSocket на сайт, на экране Сокет, Назначение для связи LAN1 автоматически устанавливается на LAN & HA.

Развертывание вторичного Azure vSocket из Marketplace

Используйте автоматический мастер Cato в Azure Marketplace, чтобы создать виртуальные ресурсы для вторичного vSocket и развернуть его для площадки Azure.

Когда вы настраиваете параметры для вторичного vSocket в мастере Marketplace, следующие параметры должны совпадать для основного и вторичного vSocket'ов:

  • Сетевое оборудование - вы должны использовать одинаковую виртуальную сеть и подсети MGMT, WAN и LAN для первичного и вторичного vSocket.
  • Опциональная конфигурация > Группы безопасности - если вы создаете новую группу для основного, используйте её снова с вторичным. Иначе выберите Нет для обоих или ту же существующую группу.

Чтобы развернуть вторичный vSocket Azure из маркетплейса:

  1. Из Azure Marketplace выполните Поиск Cato и выберите Cato Networks Virtual Socket.
  2. На экране Обзор выберите План и Подписка для ресурсов Azure, затем нажмите Создать.

  3. На экране Основное определите те же настройки, что и для основного vSocket:

    • Подписка - учетная запись для выставления счетов за ресурсы Azure
    • Группа ресурсов - Группа ресурсов Azure, с которой связаны ресурсы vSocket
    • Регион - Регион Azure для ресурса vSocket

    • Префикс ресурса - необязательный префикс для добавления к каждому из ресурсов vSocket

      Если вы использовали имя сети по умолчанию vsNet при развертывании основного сокета, вы должны определить префикс ресурса для вторичного сокета, чтобы избежать ошибок.

  4. На экране Развертывание vSocket выберите Развернуть вторичный vSocket.

    07_развёртывание_вторичное.png

  5. На экране Сетевое оборудование выберите ту же VNet, которую использует основной vSocket

    вторичное_azure_vsocket-сеть.png
    • Для подсетей WAN, MGMT и ЛВС выберите те же подсети, которые вы использовали для основного vSocket

    Примечание

    Важно: Если вы не выберете те же ресурсы, что и основной vSocket, развертывание HA не удастся.

  6. На экране Конфигурация Cato vSocket определите следующие настройки для vSocket на основе сайта vSocket, который вы создали в Приложение Управления Cato (см. выше Создание сайта Azure vSocket).

    08_конфигурация_вторичная.png
    • Выбрать основной vSocket - Основной vSocket, который вы создали ранее
    • Выбрать основной ЛВС NIC vSocket – NIC для подсети ЛВС основного vSocket, который вы создали ранее
    • Серийный номер вторичного vSocket (S/N) - Скопируйте S/N для вторичного vSocket с экрана Настройки Сайта > Socket в Приложение Управления Cato.
    • ЛВС IP вторичного vSocket - Введите Локальный IP-адрес для вторичного vSocket с экрана Настройки Сайта > Socket > Конфигурации высокой доступности в Приложение Управления Cato.
    • Плавающий IP для сайта - Один и тот же Плавающий IP используется обоими vSocket. Плавающий IP настроен на экране Настройки Сайта > Socket > Конфигурации высокой доступности в Приложение Управления Cato.
    • Имя для вторичного vSocket - Введите имя для ВМ, которая размещает вторичный vSocket.
    • Распределение IP-адресов интерфейса WAN – Выберите Динамический или Статический внутренний IP-адрес для интерфейса WAN. Для статического распределения IP вы можете выделить любой IP-адрес.
    • Распределение IP-адресов интерфейса MGMT (только 3 конфигурации NIC) – Выберите Динамический или Статический внутренний IP-адрес для интерфейса MGMT. Для статического распределения IP вы можете выделить любой IP-адрес.

  7. На экране Дополнительная конфигурация определите эти настройки для вторичного vSocket:

    Marketplace_дополнительная_конфигурация_вторичная.png
    • Убедитесь, что вы настроили те же Группы безопасности и конфигурации Доступности что и для основного vSocket.
    • Обновление таблицы маршрутизации ЛВС - Выберите ту же таблицу маршрутизации ЛВС, что и для основного vSocket. Плавающий IP HA автоматически используется как следующий переход.

  8. На экране Просмотр + создание просмотрите настройки vSocket, затем нажмите Создать.

    Экран Развертывание в процессе показывает статус развертывания vSocket в реальном времени. Для завершения развертывания всех ресурсов может потребоваться несколько минут.

    После развертывания ресурсов vSocket автоматически подключает сайт к Cato Cloud и проверяет, необходимо ли обновление до самой новой версии vSocket. Область уведомлений в Приложении Управления Cato показывает сообщения о состоянии подключения vSocket.

Устранение неисправностей развертывания

В некоторых случаях Azure может не завершить развертывание вашего vSocket, например если мастер развертывания не был одобрен администратором в приватном Azure Marketplace.

Вы можете проверить сводку ошибок развертывания или журнал активности Azure для получения более детальной информации о неудачном развертывании.

В процессе развертывания ресурсы Azure создаются автоматически независимо от статуса развертывания. В случае неудачного развертывания убедитесь, что удалили ресурсы перед повторной попыткой развертывания.

Чтобы удалить ресурсы развертывания Azure:

  1. В Azure перейдите в Группы ресурсов и выберите группу ресурсов, которую вы использовали для этого развертывания.

  2. В разделе Ресурсы используйте экран фильтра для фильтрации по префиксу вашего развертывания. Все ресурсы развертывания, созданные с использованием этого префикса, появятся.

    Azure_удалить_ресурсы.png
  3. Проверьте, чтобы все ресурсы совпадали с префиксом и выберите их оптом с помощью флажка.

  4. Нажмите Удалить. При необходимости можно применить принудительное удаление к виртуальным машинам, если они выбраны.

    Azure_удалить_команду.png

Когда будете готовы, снова запустите мастер развертывания. Если вы не можете завершить развертывание, пожалуйста, свяжитесь с Поддержка Cato support@catonetworks.com.

Connecting to the Azure vSocket WebUI

После развертывания vSocket, мы рекомендуем подключиться к Веб-интерфейсу сокета и изменить пароль для ВМ. Пароль по умолчанию для vSocket - это ID ВМ для ВМ vSocket.

Для получения дополнительной информации см. Ручное развертывание сайта Azure vSocket.

 

Дополнительные ресурсы

Cato предлагает несколько вариантов развертывания, настройки и устранения неисправностей Azure vSockets.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 3

0 комментариев