从AWS Marketplace部署vSocket站点

AWS vSockets 概述

您可以使用IPsec隧道或虚拟Socket (vSocket)将您的AWS VPC连接到Cato。 本文描述了如何在EC2实例上部署vSocket。

vSocket提供以下优势:

  • 带宽管理控制和QoS

  • 最大化连接到Cato Cloud中的PoPs

  • 支持高可用性配置

有关vSocket和IPsec站点的更多信息,请参阅选择站点的连接类型

本文假设您已经在您的AWS环境中拥有VPC。

先决条件

  • 您必须具有AWS仪表板和Cato管理应用程序的管理员权限。 此外,您必须在AWS中拥有以下权限:

    • AWS Marketplace

    • 云形成

    • IAM角色创建

    • 密钥对创建

  • 确保环境符合Cato Socket 连接的先决条件和已知限制中列出的要求。

EC2 支持的实例

以下 EC2 实例类型已通过 vSockets 认证:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge(建议用于带宽超过2Gbps的高性能站点)

  • d2.xlarge 

请参阅本文以查看实例类型的规格,以帮助您选择符合站点要求的类型。

注意

注意:如果您的区域内没有c3.xlarge或c4.xlarge实例,请联系AWS客户支持。

AWS 限制

AWS不支持这些网络功能:

  • VLAN范围

  • DHCP范围

创建 AWS vSocket 的高级概述

  1. 在Cato管理应用程序中,为AWS vSocket创建一个新站点

  2. 部署Cato Networks的AWS产品

  3. 验证vSocket是否已连接到您的账户

在 Cato 管理应用程序中创建 vSocket 站点

在Cato管理应用程序中创建AWS vSocket站点,并为vSocket生成序列号。 启动EC2实例时需要使用此序列号。

vSocket的本地IP必须与EC2实例LAN接口的IP地址相同。 子网的前三个IP地址由VPC保留。

在创建站点后,Cato管理应用程序会自动为新的vSocket生成唯一的序列号。 在部署 EC2 实例时需要输入此序列号(请参见下文部署 AWS vSocket)。

创建新的 AWS 站点

要为AWS vSocket创建站点:

  1. 在Cato管理应用程序中,从导航菜单中选择网络>站点

  2. 点击新建添加站点面板打开。

    awsSocketsite.png

  3. 配置站点的常规设置:

    1. 输入站点名称

    2. 选择站点类型。 此选项决定在拓扑窗口中使用哪个图标。

    3. 连接类型下,选择vSocket AWS

    4. 配置国家城市时区,以设置维护窗口的时间范围。

  4. 配置WAN接口设置,包括根据您的ISP带宽配置的下行上行带宽。

  5. 配置 LAN接口设置,包括AWS站点的原生范围

    原生范围必须与EC2实例中的局域网子网IP范围相同。

  6. 点击应用。 站点已添加到站点列表。

复制 vSocket 序列号

Cato管理应用程序会自动为新的vSocket生成唯一的序列号。 在启动EC2实例时需要输入此序列号(S/N)。

要复制序列号:

  1. 从导航菜单中选择网络>站点,然后选择站点。

  2. 从导航菜单中选择站点配置>套接字

  3. 复制vSocket的S/N

部署 AWS vSocket

此过程使您能够使用预定义模板自动部署 AWS 环境的所有方面。 开始之前,请确保您已:

  • 下载并运行 AWS Marketplace 模板的必要权限

  • 用于加密通信的密钥对已创建

  • 已从您在 Cato 管理应用程序中创建的 vSocket 中复制序列号。

要使用 Cato 提供的服务部署 AWS 资源:

  1. 在 AWS Marketplace 中,在发现产品下,搜索Cato Networks Virtual Socket并点击搜索结果。

  2. 点击查看购买选项,然后点击订阅

  3. 点击启动您的软件

  4. 设置> 服务下,选择AWS CloudFormation

  5. 区域下,确保选择您的 vSocket 所在的区域。

  6. 在查看完配置信息后,点击通过 CloudFormation 启动

  7. 创建堆栈页面中,点击下一步以按原样使用模板,或者点击在基础设施作曲家中查看以进行与环境相关的更改。

  8. 指定堆栈细节页面中,输入您的虚拟资源的堆栈名称网络配置参数:

    • NewVPC - 输入您要连接的 VPC 的网络范围。 确保它与您的 WAN 没有冲突。

    • NewMGMTSubnetNewWANSubnetNewLANSubnet - 输入 VPC 内的范围,用作相应的子网。

  9. 输入虚拟资源的实例配置参数:

    • NewMGMTENI - 在 MGMT 子网内的 MGMT 接口 IP 地址。 子网的前三个IP地址由VPC保留。

    • NewWANENI - 在 WAN 子网内用于 WAN 接口的 IP 地址。 VPC 保留了子网的前三个 IP 地址。

    • NewLANENI - 在 LAN 子网内用于 LAN 接口的 IP 地址。 子网的前三个 IP 地址由 VPC 保留。

    • MyKeyPair - 选择您创建的用于加密此连接的密钥对。

    • SerialNumber - 创建 vSocket 时在 Cato 管理应用程序中复制的序列号。

    • SecurityGroupIngress - 输入可发起到这些虚拟资源连接的 IP 地址或范围。 我们建议将其限制在尽可能小的组,以保持良好的安全姿态。

    • InstanceType - 选择所需的实例类型。

  10. 单击 下一步

  11. (可选)如有需要,配置堆栈选项。

  12. 点击下一步

  13. 审查和创建页面上,查看设置后点击提交

  14. 一旦堆栈搭建完毕且 EC2 实例运行,请重启 VM 以完成 vSocket 部署。

    注意

    注意: 需要重启 VM 以使 vSocket 与 Cato Cloud 建立连接。

新配置被部署,几分钟内,vSocket 应该显示 已连接 状态。

(可选)连接到 Socket WebUI

如果需要登录到 Socket WebUI,请使用以下设置:

  • 使用 MGMT 弹性 IP 地址作为 vSocket 的公共 IP 地址

  • 用户名是 admin

  • 默认密码是 vSocket EC2 实例的 实例 ID

(可选)将流量路由到 EC2 实例

如果您的应用程序 EC2 实例与非本地范围的子网(不是 vSocket LAN 接口子网)相关联,在 Cato 管理应用程序中为站点的 网络 部分添加一个路由范围。

要将流量路由到 EC2 实例:

  1. 从导航菜单中选择 网络 > 站点,并选择站点。

  2. 从导航菜单中选择 站点配置 > 网络

  3. LAN 部分,点击 新建新建 IP 范围 面板打开。

  4. 输入 IP 范围的 名称

  5. 将范围的 类型 设置为 路由

  6. 输入 子网 IP 范围。

  7. 网关 IP 设置为 VPC 路由器,即本地范围子网的第一个主机 IP 地址。

  8. (可选) 为范围配置 静态 NAT

  9. 单击 应用。 范围已添加到 网络 屏幕。

awsiprange.png

上面的截图显示了路由范围的这些示例设置:

  • 原生范围 - 10.0.2.0/24

  • 路由范围 - 10.0.26.0/24

  • 网关 IP - 10.0.2.1

(可选)为 EC2 实例配置 IMDSv2

IMDS(实例元数据服务)提供了安全访问以获取实例的元数据。 Cato 使用此服务获取以下信息:

  • 用户数据中的序列号

  • 实例 ID

  • 与 HA 相关的信息

  • 用于修改路由表的密钥和主机名设置

从 Socket v20 版本 18221 开始,Cato 正在增加对 IMDSv2 的支持。

要配置实例以使用 IMDSv2:

  1. 在 AWS 中,选择您要配置的实例。

  2. 选择 操作 > 实例设置

  3. 修改实例元数据选项部分,选择IMDS下的必填

  4. 点击保存

此变化不会导致任何停机。 但是,如果您有一个 HA 部署,则必须配置主要和次要实例使用相同的 IMDS 版本。

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论