Интеграция Cato с Azure vWAN

Эта статья предоставляет информацию об Azure vWAN и о том, как интегрировать виртуальные ресурсы Azure и топологию с вашим аккаунтом Cato с помощью Terraform.

Примечание

Примечание: Проблемы, касающиеся интеграции vWAN и API, подлежат руководству, изложенному в Политика поддержки API Cato.

Что такое Azure Virtual WAN

Azure Virtual WAN (vWAN) — это унифицированный сетевой сервис, объединяющий в единый интерфейс различные функции сетей, безопасности и маршрутизации. Он поддерживает подключение филиалов через SD-WAN или VPN, соединение VPN от сети к сети и удаленного пользователя, частное подключение через ExpressRoute и внутриоблачное подключение для виртуальных сетей. Используя архитектуру звезда, он обеспечивает возможности глобальной транзитной сети, при котором регионы Azure выступают в качестве взаимосвязанных узлов, упрощая соединение любого вида. Этот дизайн упрощает управление сетью и повышает производительность и масштабируемость для распределенных сред.

Обзор архитектуры

Cato использует IPsec для подключения вашего окружения Azure vWAN к Cato Cloud, и затем Terraform может автоматически интегрировать Azure vWAN с вашим аккаунтом.

vWAN_Diagram.png

В показанной выше конфигурации Cato Cloud использует два подключения IPsec к каждому из узлов Azure. Это обеспечивает избыточность в случае, если одно из подключений недоступно, позволяя вам по-прежнему использовать ресурсы в Azure.

Это компоненты в конфигурации примера выше:

  • vWAN: Ресурс Virtual WAN (vWAN) является виртуальным оверлеем сети Azure, состоящим из нескольких ресурсов. Он включает в себя ссылки на все узлы в vWAN. Каждый ресурс vWAN изолирован и не может разделять общий узел. Дополнительно, узлы в разных vWAN не общаются между собой.

  • Hub: Виртуальный узел - это виртуальная сеть (VNet) под управлением Microsoft, которая содержит различные конечные точки сервиса для обеспечения подключения от вашей локальной сети (VPN сайт). Когда вы создаете узел виртуальной WAN из портала, он генерирует VNet и шлюз VPN. Каждый регион Azure может иметь только один узел.

  • Подключение узел-узел: В Virtual WAN все узлы связаны между собой. Это означает, что площадка, удалённый пользователь или ресурсы за VNet, подключённые к локальному узлу, могут взаимодействовать с другой площадкой или VNet через полносеточную архитектуру подключённых узлов.

  • Площадки: Площадка может быть как главным офисом/ЦОД, так и филиалом, как показано на диаграмме выше, или она может быть виртуальной сущностью в Azure vWAN. Площадки подключаются к облаку Cato через различные типы соединений, поддерживаемые Cato, например, сокеты.

  • Соединение IPsec: Используется для подключения Azure vWAN к вашей учетной записи в Cato.

Предварительные условия

  • Информация в этой статье исходит из предположения, что вы уже создали Virtual WAN и Virtual Hubs в портале Azure. Для получения дополнительной информации о создании необходимых ресурсов в Azure:

  • Terraform уже настроен для доступа к вашему окружению Azure. Для получения дополнительной информации обратитесь к документации Terraform.

Использование Terraform для создания интеграции

Cato Networks использует Terraform для создания ресурсов, необходимых для интеграции с Azure vWAN, включая:

  • Создание соединения шлюза VPN в вашем аккаунте Azure

  • Создание площадки в вашей учетной записи Cato. Вам нужно создать отдельную площадку для каждого узла Azure, к которому вы хотите подключиться

  • Создание первичного и вторичного IPsec соединений (к различным точкам присутствия) между новой площадкой и узлом Azure

  • Определение и настройка BGP пиров на новой площадке

Получение модуля Terraform

Модуль Cato для интеграции с Azure vWAN доступен в Терраформ-реестре Cato по адресу: https://registry.terraform.io/modules/catonetworks/azure-vwan/cato/latest

Скачайте соответствующий модуль и убедитесь, что у вас есть следующие файлы:

  • main.tf содержит вызовы API, которые выполняет Terraform, например, подключение к провайдерам, ассоциация выделенных IP-адресов с площадкой и многое другое

  • variables.tf все параметры как для ресурсов Azure, так и Cato, например, токен API Cato, ID аккаунта Cato, имя IPsec площадки и многое другое

  • version.tf указывает необходимых провайдеров как для Azure, так и для Cato, и их соответствующие версии

Изменение файла variables.tf

Файл variables.tf содержит все параметры, которые вам понадобятся, чтобы получить информацию из ваших аккаунтов Azure и Cato, а также параметры, которые нужно предоставить для создания ресурсов, необходимых в вашем аккаунте.

Чтобы изменить файл variables.tf:

  1. Откройте файл в текстовом редакторе.

  2. Укажите необходимую информацию, как показано в таблице ниже.

  3. Сохраните файл.

Параметр

Описание

cato_baseurl

Расположение API Cato

Значение по умолчанию: https://api.catonetworks.com/api/v1/graphql2

azure_subscription_id

Подписка Azure, с которой вы интегрируетесь. Это значение можно найти в вашей учетной записи Azure в разделе Домашняя > Подписки.

azure_vwan_hub_id

Центр Azure, к которому вы хотите подключить сайт Cato IPsec. ID хаба можно найти в вашей учетной записи Azure в разделе Домашняя > vWANs > <Название vWan> > Hubs. Щелкните Вид JSON и скопируйте содержимое поля id.

cato_token

Токен API Cato

cato_account_id

ID, связанный с вашей учетной записью Cato Networks. Это находится в CMA в разделе Администрирование > Общая информация.

site_name

Имя IPsec площадки, которую вы создаете в CMA

cato_site_address_cidrs

Локальные диапазоны площадок в CMA, с которыми будет общаться Azure

Если у вас есть несколько диапазонов, введите их в формате списка, разделенного запятыми, в формате CIDR

connection_bandwidth

Укажите, какую пропускную способность выделить для соединения Azure VPN (в Мбит/с)

vpn_site_primary_link_name

Имя первичного IPsec соединения между площадкой в CMA и Azure, как оно будет отображаться в Azure

vpn_site_secondary_link_name

Имя вторичного IPsec соединения между площадкой в CMA и Azure, как оно будет отображаться в Azure

site_description

Описание IPsec площадки в CMA

site_location

Введите параметры местоположения для сайта IPsec в CMA. Это включает в себя следующую информацию:

  • Город

  • Код страны

  • Код области

  • Часовой пояс

cato_primary_public_ip

Основной публичный IP Cato (уже назначен на ваш аккаунт, доступен в Сети > Назначения IP)

cato_secondary_public_ip

Вторичный публичный IP Cato (уже выделен вашему аккаунту, доступен в Сети > Выделенные IP)

bgp_enabled

Определяет, следует ли включать BGP для сайта IPsec. Cato рекомендует включить пиринг BGP

cato_asn

ASN Cato

cato_primary_peering_address

Основной адрес пиринга Cato

cato_secondary_peering_address

Вторичный адрес пиринга Cato

vpn_gateway_connection_name

В Azure имя соединения шлюза VPN

vpn_gateway_name

В Azure имя шлюза VPN

vpn_site_name

Имя IPsec площадки Cato так, как оно отображается в Azure

Запуск модуля Terraform

После того, как вы настроите файл variables.tf и внесете любые изменения в main.tf, вы можете запустить модуль Terraform.

Примечание

Примечания:

  • Модуль выполняется примерно 30 минут

  • Если вам нужно запустить модуль более одного раза для создания дополнительных площадок, дождитесь завершения первого выполнения модуля перед тем, как запускать следующий раз

Чтобы выполнить модуль Terraform:

  1. Перейдите в папку, в которой находятся все файлы Terraform.

  2. Запустите следующую команду: terraform apply

  3. Terraform предоставит вам запрос на подтверждение с объяснением, что будут созданы 4 ресурса. Одобрите запрос для запуска процесса.

Создаются следующие ресурсы:

  • Соединение с шлюзом VPN Azure

  • IPsec площадка Cato

  • Основные и вторичные IPsec соединения между новой площадкой и узлом Azure

  • BGP пиры в новом сайте

Проверка интеграции

После завершения модуля Terraform вы можете проверить, что интеграция прошла успешно.

Чтобы проверить, что интеграция прошла успешно:

  1. В CMA перейдите в Сеть > Сайты и найдите определенный вами сайт IPsec.

  2. Нажмите на сайт и перейдите в Настройка сайта > IPsec.

  3. В разделах Основной и Вторичный вы должны увидеть новые соединения, которые были созданы.

    • Проверьте значения Частные IP-адреса и Идентификатор аутентификации

    Если Статус соединений все еще Отключено, подождите несколько минут и обновите страницу.

  4. Перейдите в Настройки сайта > BGP.

  5. Убедитесь, что пиры BGP были созданы, и нажмите Показать статус BGP, чтобы убедиться, что есть соединение.

    Если Статус соединений все еще Отключено, подождите несколько минут и обновите страницу.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев