从AWS Marketplace部署vSocket站点

AWS vSocket概览

您可以使用IPsec隧道或虚拟Socket (vSocket)将您的AWS VPC连接到Cato。 本文描述了如何在EC2实例上部署vSocket。

vSocket提供以下优势:

  • 带宽管理控制和QoS

  • 最大化连接到Cato Cloud中的PoPs

  • 支持高可用性配置

有关vSocket和IPsec站点的更多信息,请参阅选择站点的连接类型

本文假设您已经在您的AWS环境中拥有VPC。

先决条件

  • 您必须具有AWS仪表板和Cato管理应用程序的管理员权限。 此外,您必须在AWS中拥有以下权限:

    • AWS Marketplace

    • 云形成

    • IAM角色创建

    • 密钥对创建

  • 确保环境满足Cato Socket 连接先决条件中列出的要求。

EC2 支持的实例

以下EC2实例类型已通过vSockets认证:

  • t3.large

  • t3.xlarge

  • c3.xlarge

  • c4.xlarge

  • c5.xlarge

  • c5d.xlarge

  • c5n.xlarge(建议用于带宽超过2Gbps的高性能站点)

  • d2.xlarge 

请参阅本文章以查看实例类型的规格,帮助您选择符合站点要求的类型。 

注意

注意:如果您的区域内没有c3.xlarge或c4.xlarge实例,请联系AWS客户支持。

AWS限制

AWS不支持这些网络功能:

  • VLAN范围

  • DHCP范围

创建AWS vSocket的高级概览

  1. 在Cato管理应用程序中,为AWS vSocket创建一个新站点

  2. 部署Cato Networks的AWS产品

  3. 验证vSocket是否已连接到您的账户

在Cato管理应用程序中创建vSocket站点

在Cato管理应用程序中创建AWS vSocket站点,并为vSocket生成序列号。 启动EC2实例时需要使用此序列号。

vSocket的本地IP必须与EC2实例LAN接口的IP地址相同。 子网的前三个IP地址由VPC保留。

在创建站点后,Cato管理应用程序会自动为新的vSocket生成唯一的序列号。 在部署EC2实例时需要输入此序列号(请参见下方部署 AWS vSocket)。

创建新的AWS站点

要为AWS vSocket创建站点:

  1. 在Cato管理应用程序中,从导航菜单中选择网络>站点

  2. 点击新建添加站点面板打开。

    awsSocketsite.png

  3. 配置站点的常规设置:

    1. 输入站点名称

    2. 选择站点类型。 此选项决定在拓扑窗口中使用哪个图标。

    3. 选择vSocket AWS作为连接类型

    4. 配置 国家时区以设置维护窗口的时间范围。

  4. 配置WAN接口设置,包括根据您的ISP带宽配置的下行上行带宽。

  5. 配置 LAN接口设置,包括AWS站点的原生范围

    原生范围必须与EC2实例中的局域网子网IP范围相同。

  6. 点击应用。 站点已添加到站点列表。

复制vSocket序列号

Cato管理应用程序会自动为新的vSocket生成唯一的序列号。 在启动EC2实例时需要输入此序列号(S/N)。

要复制序列号:

  1. 从导航菜单中选择网络>站点,然后选择站点。

  2. 从导航菜单中选择站点配置>套接字

  3. 复制vSocket的S/N

部署AWS vSocket

此过程使您能够使用预定义模板自动部署 AWS 环境的所有方面。 开始之前,请确保您已:

  • 下载并运行 AWS Marketplace 模板的必要权限

  • 用于加密通信的密钥对已创建

  • 已从您在 Cato 管理应用程序中创建的 vSocket 中复制序列号。

要使用 Cato 提供的服务部署 AWS 资源:

  1. 从 AWS Marketplace,搜索 Cato Networks Virtual Socket。

  2. 单击 继续订阅

  3. 单击 继续配置

    • 履行选项 下,选择 CloudFormation 模板

    • 区域 下,确保选择您的 vSocket 所在区域。

  4. 单击 继续启动

  5. 选择操作 下拉菜单中,选择 启动 CloudFormation

  6. 审查配置信息后,单击 启动

  7. 在创建堆栈页面中,单击 下一步 以原样使用模板,或单击 在设计器中查看 进行与环境相关的更改。

  8. 输入虚拟资源的 网络配置 参数:

    • VPC - 输入您要连接的 VPC 的网络范围。 确保它与您的 WAN 没有冲突。

    • MGMT、WAN 和 LAN 子网 - 输入在 VPC 内用于各自子网的范围。

  9. 输入虚拟资源的实例配置参数:

    • MGMTENI - MGMT 接口的 MGMT 子网内的一个 IP 地址。 VPC 保留了子网的前三个 IP 地址。

    • WANENI - WAN 接口的 WAN 子网内的一个 IP 地址。 VPC 保留了子网的前三个 IP 地址。

    • LANENI - LAN 接口的 LAN 子网内的一个 IP 地址。 子网的前三个IP地址由VPC保留。

    • 密钥对 - 选择您创建的用于加密此连接的密钥对。

    • 序列号 - 您在 Cato 管理应用程序中创建 vSocket 时复制的 S/N。

    • 安全组入站 - 输入可以发起连接到这些虚拟资源的 IP 地址或范围。 我们建议将其限制在尽可能小的组,以保持良好的安全姿态。

  10. 单击 下一步

新配置被部署,几分钟内,vSocket 应该显示 已连接 状态。

(可选)连接到 Socket WebUI

如果需要登录到 Socket WebUI,请使用以下设置:

  • 使用 MGMT 弹性 IP 地址作为 vSocket 的公共 IP 地址

  • 用户名是 admin

  • 默认密码是 vSocket EC2 实例的 实例 ID

(可选)将流量路由到 EC2 实例

如果您的应用程序 EC2 实例与非本地范围的子网(不是 vSocket LAN 接口子网)相关联,在 Cato 管理应用程序中为站点的 网络 部分添加一个路由范围。

要将流量路由到 EC2 实例:

  1. 从导航菜单中选择 网络 > 站点,并选择站点。

  2. 从导航菜单中选择 站点配置 > 网络

  3. LAN 部分,点击 新建新建 IP 范围 面板打开。

  4. 输入 IP 范围的 名称

  5. 将范围的 类型 设置为 路由

  6. 输入 子网 IP 范围。

  7. 网关 IP 设置为 VPC 路由器,即本地范围子网的第一个主机 IP 地址。

  8. (可选) 为范围配置 静态 NAT

  9. 单击 应用。 范围已添加到 网络 屏幕。

awsiprange.png

上面的截图显示了路由范围的这些示例设置:

  • 原生范围 - 10.0.2.0/24

  • 路由范围 - 10.0.26.0/24

  • 网关 IP - 10.0.2.1

(可选)为 EC2 实例配置 IMDSv2

IMDS(实例元数据服务)提供了安全访问以获取实例的元数据。 Cato 使用此服务获取以下信息:

  • 用户数据中的序列号

  • 实例 ID

  • 与 HA 相关的信息

  • 用于修改路由表的密钥和主机名设置

从 Socket v20 版本 18221 开始,Cato 正在增加对 IMDSv2 的支持。

要配置实例以使用 IMDSv2:

  1. 在 AWS 中,选择您要配置的实例。

  2. 选择 操作 > 实例设置

  3. 修改实例元数据选项部分,选择IMDS下的必填

  4. 点击保存

此变化不会导致任何停机。 但是,如果您有一个 HA 部署,则必须配置主要和次要实例使用相同的 IMDS 版本。

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论