Ручное развертывание AWS vSocket Сайта

Обзор AWS vSockets

Вы можете подключить свой AWS VPC к Cato, используя туннель IPsec или виртуальный Socket (vSocket). В этой статье описывается, как развернуть vSocket на экземпляре EC2.

vSocket предоставляет следующие преимущества:

  • Управление пропускной способностью и QoS
  • Максимальное соединение с точками присутствия в облаке Cato
  • Поддержка конфигураций высокой доступности

Для получения дополнительной информации о vSocket и сайтах IPsec см. Выбор типа подключения для сайта.

Эта статья предполагает, что в вашей AWS среде уже есть VPC.

Примечание

Примечание: В связи с законодательством в Китае, для развертывания сайта vSocket AWS в Китае, пожалуйста, свяжитесь с вашим представителем Cato или службой поддержки Cato.

Предварительные условия

  • Вы должны иметь административные права к AWS Dashboard и приложению управления Cato. Кроме того, вы должны иметь следующие разрешения в AWS:

    • AWS Marketplace
    • Создание пары ключей
  • Убедитесь, что среда соответствует требованиям, перечисленным в Cato Socket Connection Prerequisites.

Ограничения AWS

AWS не поддерживает следующие сетевые функции:

  • Диапазоны VLAN
  • Диапазоны DHCP

Общий обзор создания AWS vSocket

  1. В Cato Management Application создайте новый Сайт для AWS vSocket.
  2. Создайте виртуальные ресурсы AWS
  3. На AWS Marketplace подпишитесь на предложение AMI от Cato Networks для подключения виртуальных ресурсов к экземпляру EC2
  4. Запустите экземпляр vSocket
  5. Убедитесь, что vSocket подключен к вашей учетной записи.

Создание сайта vSocket в приложении управления Cato

Создайте Сайт AWS vSocket в приложении управления Cato, и для vSocket будет сгенерирован серийный номер. Этот серийный номер используется при запуске экземпляра EC2.

Локальный IP для vSocket должен совпадать с IP-адресом интерфейса LAN на экземпляре EC2. Первые три IP-адреса подсети зарезервированы VPC.

После создания Сайта, приложение управления Cato автоматически генерирует уникальный серийный номер для нового vSocket. Вам необходимо ввести этот серийный номер при запуске экземпляра EC2).

Создание AWS сайта

Чтобы создать Сайт для AWS vSocket:

  1. В приложении управления Cato в навигационном меню выберите Сеть > Сайты.

  2. Нажмите Новый. Откроется панель Добавить сайт.

    awsSocketsite.png
  3. Настройте Основные настройки для сайта:
    1. Введите Имя сайта.
    2. Выберите Тип сайта. Эта опция определяет, какая иконка будет использоваться для сайта в окне Топология.
    3. Выберите vSocket AWS для Типа соединения.
    4. Настройте Страну, Штат и Часовой пояс для установки временных рамок окна обслуживания. Страна, и Штат.
  4. Настройте Настройки интерфейса WAN, включая Входящая полоса пропускания и Исходящая полоса пропускания в соответствии с полосой пропускания вашего ISP.
  5. Настройте настройки интерфейса LAN, включая Родной диапазон для AWS сайта. Эта настройка должна совпадать с диапазоном IP-подсетей LAN в AWS (см. ниже Создание подсетей MGMT, WAN и LAN).
  6. Нажмите Применить. Участок добавлен в список Участки.

Копирование серийного номера vSocket

Приложение для управления Cato автоматически генерирует уникальный серийный номер для нового vSocket. Необходимо ввести этот серийный номер (S/N) при настройке AMI (см. ниже Настройка Cato AMI).

Чтобы скопировать серийный номер:

  1. В меню навигации выберите Сеть > Участки и выберите участок.
  2. В меню навигации выберите Конфигурация участков > Socket.

  3. Скопируйте S/N для vSocket.

    Вам нужно ввести этот серийный номер при запуске экземпляра vSocket.

Создание виртуальных ресурсов AWS

После создания vSocket вы можете создать виртуальные ресурсы AWS и подключить их к вашему экземпляру EC2, используя шаблон AMI на AWS Marketplace.

Ручное создание виртуальных ресурсов AWS

Создайте эти виртуальные ресурсы для экземпляра vSocket:

Примечание

Примечание: Если эти ресурсы уже существуют, вы можете перейти к ассоциации ресурсов с экземпляром EC2 ниже.

  • Интернет-шлюз
  • Три подсети - WAN, LAN и MGMT
  • (Группа(ы) безопасности для управления входящей и исходящей связью
  • Три интерфейса (ENI) - WAN, LAN и MGMT
  • Две таблицы маршрутизации - Интернет и LAN
  • Два Elastic IP (для интерфейсов WAN и MGMT)

Определение интернет-шлюза для VPC

Используйте панель управления AWS Virtual Private Cloud (VPC), чтобы создать новый интернет-шлюз и прикрепить его к вашему VPC.

01_VPC_Dashboard.png

Чтобы создать новый интернет-шлюз и прикрепить его к VPC:

  1. На панели управления VPC в меню навигации выберите Virtual Private Cloud > Интернет-шлюзы.
  2. Нажмите Создать интернет-шлюз.
  3. В поле Метка имени введите имя для интернет-шлюза.

  4. Нажмите Создать интернет-шлюз. Панель управления VPC показывает детали для интернет-шлюза.

    01a_Attach_IGW.png
  5. В выпадающем меню Действия выберите Прикрепить к VPC.
  6. В окне Прикрепить к VPC в разделе Доступные VPC выберите VPC.
  7. Нажмите Прикрепить интернет-шлюз. Интернет-шлюз прикреплен к вашему VPC.

Создание подсетей MGMT, WAN и LAN

Создайте эти подсети в AWS, и они автоматически прикрепятся к VPC:

  • Подсеть MGMT
  • Подсеть WAN
  • Подсеть LAN - это то же самое, что и Native Range для участка.

Убедитесь, что все подсети находятся в одной и той же зоне доступности AWS.

02_CreateSubnet.png

Для создания подсети для AWS vSocket:

  1. На панели VPC, в меню навигации выберите Virtual Private Cloud > Subnets.
  2. Нажмите Create subnet.
  3. В окне Create subnet, в разделе VPC, выберите VPC ID.
  4. Настройте параметры для подсети:
    1. Введите Subnet name.
    2. Выберите Availability Zone для подсети.
    3. Введите IPv4 CIDR блок для подсети. Для LAN подсети - это то же значение, что и для Native Range сайта.
  5. Чтобы добавить дополнительные подсети, нажмите Add new subnet и повторите предыдущий шаг 4.
  6. Нажмите Create subnet. AWS создает подсети и прикрепляет их к VPC.

Настройка групп безопасности

Настройте правила группы безопасности для трафика WAN и MGMT с Outbound rules, которые разрешают весь исходящий трафик, чтобы трафик мог достичь Cato Cloud.

Создание интерфейсов WAN и LAN

Создайте интерфейсы WAN и LAN для vSocket для экземпляра EC2. Используйте панель управления EC2 для создания интерфейсов.

Установите Custom IP адрес для LAN интерфейса на тот же IP адрес, что и Local IP для Native Range. Не используйте первые 3 IP адреса, так как они зарезервированы AWS.

Вам нужно отключить проверку источника/назначения AWS на LAN интерфейсе, чтобы позволить экземпляру EC2 выполнять пересылку трафика.

Примечание

Примечание: Для обеспечения правильного поведения vSocket, определите пользовательские опции DHCP с доверенным сервером в качестве основного DNS-сервера

04_LAN_NIC.png

Для создания сетевого интерфейса (ENI):

  1. На панели управления EC2, в меню навигации выберите Network & Security > Network Interfaces.
  2. Нажмите Create network interface.
  3. В окне Create network interface, выберите LAN Subnet.
  4. В Private IPv4 address, нажмите Custom и введите Local IP для Native Range.
  5. В Security groups, выберите подходящую группу безопасности для интерфейса.
  6. Нажмите Create network interface. AWS создает интерфейс.
  7. Повторите предыдущие шаги для интерфейса WAN.
  8. Для LAN интерфейса отключите отслеживание источника/назначения AWS:

    1. В окне Network Interfaces щелкните правой кнопкой мыши на интерфейсе LAN и выберите Change source/dest. проверка.

      05_LAN_INT_source-dest.png
    2. В окне Change source/destination check снимите Enable.
    3. Нажмите Save.

Создание таблиц маршрутизации

Создайте новые или используйте существующие таблицы маршрутов VPC для трафика vSocket:

  • Приватная таблица маршрутизации для подсетей LAN

    • Присоедините подсеть LAN
    • Определите Socket LAN ENI как цель (следующий узел) для маршрута по умолчанию

  • Единая таблица маршрутизации в Интернете для подсетей MGMT и WAN. Эта таблица маршрутизации используется для обеспечения подключения между vSocket и ресурсами Cato Cloud.

    • Присоедините подсети WAN и MGMT
    • Определите интернет-шлюз как цель (следующий узел) для маршрута по умолчанию

Чтобы создать таблицы маршрутизации для Интернета и LAN:

  1. На панели управления VPC в меню навигации выберите Виртуальная частная сеть > Таблицы маршрутов.
  2. Щелкните Создать таблицу маршрутов.
  3. В Тег имени введите имя для таблицы маршрутов Интернета или LAN.
  4. Выберите VPC для vSocket.
  5. Щелкните Создать. Таблица маршрутов добавлена в VPC.
  6. Ассоциируйте подсети WAN и MGMT с таблицей маршрутов Интернета или подсеть LAN с таблицей маршрутов LAN.

    1. Щелкните правой кнопкой мыши таблицу маршрутов и выберите Редактировать ассоциации подсетей. Это пример таблицы маршрутов Интернета.

      06_таблица_маршрутизации_Интернет.png

    2. В окне Редактировать ассоциации подсетей:

      • Для таблицы маршрутов Интернета выберите подсети MGMT и WAN
      • Для таблицы маршрутов LAN выберите подсеть LAN
    3. Щелкните Сохранить. Подсети ассоциированы с таблицей маршрутов.
  7. Добавьте маршрут по умолчанию в каждую таблицу маршрутов (сначала настройте таблицу маршрутов Интернета, затем LAN).

    1. Щелкните правой кнопкой мыши таблицу маршрутов и выберите Редактировать маршруты. Следующий снимок показывает таблицу маршрутов Интернета:

      06_маршрут_InternetGW.png
    2. Щелкните Добавить маршрут.
    3. В Пункт назначения для нового маршрута укажите 0.0.0.0/0.

    4. В Цель выберите следующий узел для таблицы маршрутов Интернета или LAN:

      • Для таблицы маршрутов Интернета выберите Интернет-шлюз и выберите интернет-шлюз для VPC
      • Для таблицы маршрутов LAN выберите Сетевой интерфейс и выберите LAN ENI. Следующий снимок показывает таблицу маршрутов LAN:
      LAN_ТаблицаМаршрутов.png
    5. Щелкните Сохранить изменения.
    6. Окно показывает, что маршрут успешно создан, нажмите Закрыть.
  8. Повторите предыдущие шаги для таблицы маршрутов LAN.

Ассоциация эластичных IP адресов с интерфейсом

Создайте и ассоциируйте эластичные IP-адреса с интерфейсами WAN и MGMT. Вы можете использовать публичный IP-адрес, выделенный из пула адресов IPv4 Amazon.

Примечание

Примечание: Эластичный IP для интерфейса MGMT должен быть ассоциирован с интерфейсом MGMT, который автоматически создается Cato AMI во время создания экземпляра, а не созданным вручную.

Чтобы выделить эластичный IP-адрес:

  1. На панели управления EC2 в меню навигации выберите Сеть & Безопасность > Elastic IPs.
  2. Щелкните Выделить эластичный IP-адрес.
  3. Для Пул публичных IPv4 адресов выберите Пул IPv4 адресов Amazon.
  4. Щелкните Выделить. Эластичный IP выделен.

  5. Выберите эластичный IP и выберите Действия > Связать адрес эластичного IP.

    07_associate_Elastic.png
  6. В окне Связывание эластичного IP-адреса в поле Тип ресурса выберите Сетевой интерфейс.
  7. В Сетевой интерфейс, выберите интерфейс WAN.
  8. Нажмите Связать. Эластичный IP связан с интерфейсом.
  9. Повторите предыдущие шаги для интерфейса MGMT.

Конфигурирование экземпляра EC2 для vSocket

После создания всех виртуальных ресурсов для vSocket подключите эти ресурсы к вашему экземпляру EC2 с использованием Cato Networks AMI, доступного на AWS Marketplace.

Поддерживаемые экземпляры EC2

Следующие типы экземпляров EC2 сертифицированы для vSocket:

  • t3.large
  • t3.xlarge
  • c3.xlarge
  • c4.xlarge
  • c5.xlarge
  • c5d.xlarge
  • c5n.xlarge (Suggested for higher performance sites with bandwidth above 2Gbps)
  • d2.xlarge 

Смотрите эту статью, чтобы ознакомиться с характеристиками типов экземпляров, которые помогут вам выбрать тип, соответствующий требованиям сайта. 

Примечание

Примечание: Если экземпляры c3.xlarge или c4.xlarge не доступны в вашем регионе, обратитесь в службу поддержки AWS.

Конфигурирование Cato AMI

После подготовки среды вы можете настроить Cato Networks AMI.

Настройте AMI:

  1. На AWS Marketplace найдите Cato Networks Virtual Socket.
  2. Нажмите Продолжить для подписки.

  3. Нажмите Продолжить для конфигурации.

    • В разделе Опция исполнения выберите Amazon Machine Image.
    • В разделе Регион убедитесь, что выбрали регион, в котором находится ваш vSocket.
    Cato_AMI.png
  4. Нажмите Продолжить для запуска.

  5. На странице Запуск этого программного обеспечения:

    1. В разделе Выберите действие выберите Запуск через EC2.
    2. В разделе Тип экземпляра EC2 выберите экземпляр EC2.
    3. В разделе Настройки VPC выберите VPC, к которому вы подключаетесь.
    4. В разделе Настройки подсети выберите сеть MGMT.
    5. В разделе Настройки группы безопасности выберите группу безопасности, созданную для этого экземпляра.

    6. Расширьте Дополнительные настройки сети и в разделе Сетевой интерфейс выберите интерфейс MGMT, который вы создали.

      Примечание: Если вы не выберете существующий интерфейс, будет создан новый интерфейс.

      AWS_vSocket_Cato_AMI_advanced_network_config.png
    7. В разделе Настройки пары ключей выберите созданную вами пару ключей.
    8. В разделе Расширенные сведения в разделе Данные пользователя - необязательно введите серийный номер, который вы скопировали с vSocket сайта, созданного в Cato Management Application.
  6. Нажмите Запуск.

Присоединение интерфейсов к экземпляру vSocket

После запуска экземпляра vSocket интерфейс MGMT присоединен к нему. Остановите экземпляр, а затем подключите оставшиеся интерфейсы WAN и LAN к экземпляру.

Примечание

Примечание: Убедитесь, что экземпляр EC2 остановлен, и сначала подключите интерфейс WAN, а затем интерфейс LAN.

Чтобы присоединить интерфейсы к экземпляру vSocket:

  1. На панели управления EC2 в навигационном меню выберите Экземпляры > Экземпляры.
  2. Щелкните правой кнопкой мыши на экземпляре vSocket и выберите Остановить экземпляр.
  3. В окне подтверждения нажмите Остановить. Обновите окно и подтвердите, что Состояние экземпляра - Остановлен.
  4. В навигационном меню выберите Сеть & Безопасность > Сетевые Интерфейсы.
  5. Подключите интерфейсы WAN к экземпляру:
    1. Щелкните правой кнопкой мыши на интерфейсе WAN и выберите Подключить интерфейс.
    2. В окне Подключить сетевой интерфейс выберите экземпляр vSocket в Экземпляр.
    3. Нажмите Подключить.
    4. Повторите предыдущие три шага для интерфейса LAN.

Завершение установки vSocket

После подключения интерфейсов к vSocket, запустите экземпляр и подтвердите, что он подключается к облаку Cato. После подключения vSocket к облаку Cato, он автоматически обновляется до последней версии Socket.

Чтобы завершить установку vSocket:

  1. Из панели управления EC2 в навигационном меню выберите Инстансы > Инстансы.
  2. Щёлкните правой кнопкой мыши по экземпляру vSocket и выберите Начать экземпляр.
    Если экземпляр уже запущен, перезапустите его.
  3. В Cato Management Application выберите Моя Сеть > Топология.
  4. Подтвердите, что сайт AWS подключен к облаку Cato.

(Опционально) Подключение к WebUI Socket

Мы не рекомендуем подключаться к WebUI AWS vSocket используя эластичный IP-адрес. Если вам нужно войти в WebUI Socket, используйте следующие настройки:

  • Используйте MGMT эластичный IP-адрес как публичный IP-адрес для vSocket

    • Создайте правило безопасности, чтобы разрешить входящий трафик с одного IP-адреса (эластический IP-адрес)
  • Имя пользователя admin
  • Пароль по умолчанию - это ID экземпляра для экземпляра EC2 vSocket

(Опционально) Маршрутизация трафика к экземплярам EC2

Если ваши экземпляры приложения EC2 связаны с подсетью не-Native Range (подсеть, которая не является подсетью интерфейса LAN vSocket), добавьте маршрутизируемую область в разделе Сети для сайта в Cato Management Application.

Чтобы маршрутизировать трафик к экземпляру EC2:

  1. В навигационном меню выберите Сеть > Сайты, и выберите сайт.
  2. В навигационном меню выберите Конфигурация сайта > Сети.
  3. В разделе LAN нажмите Создать. Открывается панель Новый диапазон IP.
  4. Введите Название для диапазона IP.
  5. Установите Тип диапазона на Маршрутизируемый.
  6. Введите диапазон IP-адресов подсети.
  7. Установите IP шлюза на маршрутизатор VPC, который является первым IP адресом хоста подсети Native Range.
  8. (Опционально) Настройте статический NAT для диапазона.
  9. Нажмите Применить. Диапазон добавлен на экран Сети.
awsiprange.png

Скриншот выше показывает эти примерные настройки для маршрутизируемого диапазона:

  • Нативный диапазон - 10.0.2.0/24
  • Маршрутизируемый диапазон - 10.0.26.0/24
  • IP шлюза - 10.0.2.1

(Опционально) Настройте IMDSv2 для экземпляров EC2

IMDS (Служба метаданных экземпляров) предоставляет безопасный доступ для получения метаданных экземпляра. Cato использует этот сервис для получения следующей информации:

  • Серийный номер в пользовательских данных
  • ID экземпляра
  • Информация, связанная с HA
  • Настройки ключа и имени хоста для изменения таблицы маршрутизации

Начиная с версии Socket v20 build 18221, Cato добавляет поддержку IMDSv2.

Чтобы настроить ваш экземпляр для использования IMDSv2:

  1. В AWS выберите экземпляр, который вы хотите настроить.
  2. Выберите Действия > Настройки экземпляра.
  3. В разделе Изменить параметры метаданных экземпляра под IMDSv2 выберите Обязательно.
  4. Нажмите Сохранить.

Эти изменения не приводят к времени простоя. Однако если у вас есть развертывание HA, вы должны настроить как основной, так и вторичный экземпляры для использования одной версии IMDS.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 7

0 комментариев