Развертывание vSocket на площадке из AWS Marketplace

Обзор AWS vSockets

Вы можете подключить свой AWS VPC к Cato, используя туннель IPsec или виртуальный Socket (vSocket). Эта статья описывает, как развернуть vSocket на экземпляре EC2.

vSocket предоставляет следующие преимущества:

  • Управление пропускной способностью и QoS

  • Максимизирует подключение к PoP в облаке Cato

  • Поддержка конфигураций высокой доступности

Для получения дополнительной информации о vSocket и сайтах IPsec см. Выбор типа подключения для сайта.

Эта статья предполагает, что у вас уже есть VPC в вашей среде AWS.

Предварительные требования

  • У вас должны быть права администратора на панели мониторинга AWS и в приложении управления Cato. Кроме того, у вас должны быть следующие разрешения на AWS:

    • AWS Marketplace

    • Cloud Formation

    • Создание роли IAM

    • Создание пары ключей

  • Убедитесь, что среда соответствует требованиям, перечисленным в Требования к подключению Cato Socket и известные ограничения.

Поддерживаемые экземпляры EC2

Следующие типы экземпляров EC2 сертифицированы для vSockets:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge (Suggested for higher performance sites with bandwidth above 2Gbps)

  • d2.xlarge 

См. эту статью, чтобы изучить спецификации для типов экземпляров и помочь выбрать тип, соответствующий требованиям сайта.

Примечание

Примечание: Если экземпляры c3.xlarge или c4.xlarge недоступны в вашем регионе, свяжитесь с поддержкой клиентов AWS.

Ограничения AWS

AWS не поддерживает следующие функции сетевого взаимодействия:

  • Диапазоны VLAN

  • Диапазоны DHCP

Общий обзор создания AWS vSocket

  1. В приложении управления Cato создайте новый сайт для AWS vSocket

  2. Разверните предложение AWS от Cato Networks

  3. Убедитесь, что vSocket подключен к вашему аккаунту

Создание площадки vSocket в приложении управления Cato

Создайте сайт AWS vSocket в приложении управления Cato, и для vSocket будет сгенерирован серийный номер. Этот серийный номер используется при запуске экземпляра EC2.

Локальный IP-адрес для vSocket должен быть таким же, как IP-адрес интерфейса LAN на экземпляре EC2. Первые три IP-адреса подсети зарезервированы VPC.

После того как вы создадите сайт, приложение управления Cato автоматически сгенерирует уникальный серийный номер для нового vSocket. Вам необходимо ввести этот серийный номер при развертывании экземпляра EC2 (см. ниже Развертывание AWS vSocket).

Создание нового сайта AWS

Для создания сайта для AWS vSocket:

  1. В приложении Управления Cato из меню навигации выберите Сеть > Сайты.

  2. Нажмите Новый. Панель Добавить сайт открывается.

    awsSocketsite.png

  3. Настройте общие настройки для сайта:

    1. Введите название сайта.

    2. Выберите тип сайта. Этот параметр определяет, какой значок используется для сайта в окне топология.

    3. В разделе Тип соединения выберите vSocket AWS .

    4. Настройте Страну, Область, Город и Часовой пояс для установки временных рамок для Окна технического обслуживания.

  4. Настройте Настройки интерфейса WAN, включая Входящий трафик и Исходящий трафик в соответствии с пропускной способностью вашего провайдера интернет-услуг.

  5. Настроить Настройки интерфейса LAN, включая Собственный диапазон для сайта AWS.

    Собственный диапазон должен совпадать с диапазоном подсети LAN в экземпляре EC2.

  6. Нажмите Применить. Сайт добавлен в список Сайты.

Копирование серийного номера vSocket

Приложение Управления Cato автоматически генерирует уникальный серийный номер для нового vSocket. Вам нужно ввести этот серийный номер (S/N), который используется при запуске экземпляра EC2.

Чтобы скопировать серийный номер:

  1. В меню навигации выберите Сеть > Сайты и выберите сайт.

  2. В меню навигации выберите Настройки Сайта > Сокет.

  3. Скопируйте S/N для vSocket.

Развертывание AWS vSocket

Эта процедура позволяет автоматически развертывать все аспекты среды AWS с использованием предопределенного шаблона. Перед началом убедитесь, что у вас есть:

  • Необходимые разрешения для загрузки и запуска шаблона из AWS Marketplace

  • Создана пара ключей для шифрованной связи

  • Скопирован серийный номер из vSocket, который вы создали в Приложении Управления Cato.

Для развертывания ресурсов AWS с использованием предложения Cato:

  1. В AWS Marketplace в разделе Discover products найдите Cato Networks Virtual Socket и кликните по результату поиска.

  2. Нажмите View purchase options, затем Subscribe.

  3. Нажмите Launch your software.

  4. В разделе Setup> Service выберите AWS CloudFormation.

  5. В разделе Регион убедитесь, что выбрали регион, в котором находится ваш vSocket.

  6. После проверки информации о конфигурации нажмите Запуск с CloudFormation.

  7. На странице Создать стэк нажмите Далее, чтобы использовать шаблон как есть, или нажмите Просмотр в Infrastructure Composer, чтобы внести изменения, соответствующие вашей среде.

  8. На странице Указать детали стэка введите Имя стэка и параметры Конфигурации сети для ваших виртуальных ресурсов:

    • NewVPC - введите диапазон сети VPC, к которому вы подключаетесь. Убедитесь, что он не конфликтует с вашей WAN.

    • NewMGMTSubnet, NewWANSubnet, и NewLANSubnet - введите диапазон, внутри VPC, для использования в качестве соответствующих подсетей.

  9. Введите параметры Конфигурации экземпляра для ваших виртуальных ресурсов:

    • NewMGMTENI - IP-адрес в подсети MGMT для интерфейса MGMT. Первые три IP-адреса подсети зарезервированы VPC.

    • NewWANENI - IP-адрес в подсети WAN для интерфейса WAN. Первых три IP-адреса подсети зарезервированы VPC.

    • NewLANENI - IP-адрес в подсети LAN для интерфейса LAN. Первые три IP-адреса в подсети зарезервированы VPC.

    • MyKeyPair - выберите пару ключей, которую вы создали для шифрования этого соединения.

    • SerialNumber - серийный номер, который вы скопировали при создании vSocket в приложении Cato Management.

    • SecurityGroupIngress - введите IP-адрес или диапазон, который может инициировать соединение с этими виртуальными ресурсами. Мы рекомендуем ограничить это наименьшей возможной группой для поддержания хорошей безопасности.

    • InstanceType - выберите требуемый тип экземпляра.

  10. Нажмите Далее.

  11. (Необязательно) При необходимости настройте параметры стэка.

  12. Нажмите Далее.

  13. На странице Обзор и создание просмотрите настройки, затем нажмите Отправить.

  14. После того как стэк будет создан, и экземпляр EC2 будет работать, перезагрузите ВМ, чтобы завершить развертывание vSocket.

    Примечание

    Примечание: Перезагрузка ВМ необходима для установления соединения vSocket с облаком Cato.

Новая конфигурация применяется, и через несколько минут vSocket должен показывать статус Подключено.

(Необязательно) Подключение к Веб-интерфейсу сокета

Если вам нужно войти в Веб-интерфейс сокета, используйте эти настройки:

  • Используйте MGMT Elastic IP-адрес как публичный IP-адрес для vSocket

  • Имя пользователя admin

  • Пароль по умолчанию - это ID экземпляра для EC2 экземпляра vSocket

(Необязательно) Маршрутизация Трафика на Экземпляры EC2

Если ваши экземпляры EC2 приложения связаны с подсетью, не входящей в Собственный Диапазон (подсеть, которая не является подсетью интерфейса LAN vSocket), в Приложении Управления Cato добавьте маршрутизируемый диапазон в разделе Сети для сайта.

Для маршрутизации трафика на экземпляр EC2:

  1. В навигационном меню выберите Сеть > Сайты, и выберите сайт.

  2. В навигационном меню выберите Настройки Сайта > Сети.

  3. В разделе LAN нажмите Новый. Откроется панель Новый диапазон IP-адресов.

  4. Введите Имя для диапазона IP-адресов.

  5. Установите Тип диапазона на Маршрутизируемый.

  6. Введите Диапазон IP-адресов для Подсети.

  7. Установите IP-адрес для Шлюза маршрутизатора VPC, который является первым IP-адресом хоста для собственной подсети диапазона.

  8. (Необязательно) Настройте Статический NAT для диапазона.

  9. Нажмите Применить. Диапазон добавлен на экран Сети.

awsiprange.png

Скриншот выше показывает эти примерные настройки для Маршрутизируемого диапазона:

  • Собственный диапазон - 10.0.2.0/24

  • Маршрутизируемый диапазон - 10.0.26.0/24

  • IP-адрес Шлюза - 10.0.2.1

(Необязательно) Настройка IMDSv2 для Экземпляров EC2

IMDS (Сервис метаданных экземпляра) предоставляет безопасный доступ для получения метаданных экземпляра. Cato использует этот сервис для получения следующей информации:

  • Серийный номер в пользовательских данных

  • ID экземпляра

  • Информация, связанная с HA

  • Настройки ключа и имени хоста для изменения таблицы маршрутизации

Начиная с версии Socket v20 сборки 18221, Cato добавляет поддержку IMDSv2.

Чтобы настроить ваш экземпляр для использования IMDSv2:

  1. В AWS, выберите экземпляр, который вы хотите настроить.

  2. Выберите Действия > Настройки экземпляра.

  3. В разделе Изменить параметры метаданных экземпляра, под IMDSv2 выберите Необходимо.

  4. Нажмите Сохранить.

Это изменение не вызывает простоев. Однако, если у вас есть развертывание HA, вы должны настроить как основной, так и вторичный экземпляры для использования одной и той же версии IMDS.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев