将Cato与Azure vWAN集成

本文提供有关 Azure vWAN 的信息,以及如何使用 Terraform 将 Azure 虚拟资源和拓扑与您的 Cato 账户集成。

注意

注意:有关 vWAN 和 API 集成的问题需遵循在Cato API 的支持策略中概述的指南。

什么是Azure Virtual WAN

Azure Virtual WAN (vWAN)是一项统一的网络服务,将各种网络、安全和路由功能组合到一个操作界面中。 它支持通过SD-WAN或VPN进行分支机构连接,站点到站点和远程用户VPN连接,通过ExpressRoute进行私有连接,以及虚拟网络的云内连接。 利用星型架构,它通过将Azure区域作为互联的枢纽,提供全球中转网络功能,方便无缝的任何对任何连接。 这个设计简化了网络管理,并提高了分布式环境的性能和可扩展性。

架构概览

Cato 使用 IPsec 将您的 Azure vWAN 环境连接到 Cato 云,然后 Terraform 可以自动将 Azure vWAN 与您的账户集成。

vWAN_Diagram.png

在上面的示例配置中,Cato Cloud对每个Azure Hub使用两个IPsec连接。 这提供了冗余性,即使其中一个连接不可用,也能访问您在Azure中的资产。

这是上方示例配置中的组件:

  • vWAN:虚拟 WAN (vWAN) 资源是 Azure 网络的虚拟覆盖,包含多个资源。 它包含 vWAN 内所有集线器的链接。 每个 vWAN 资源都是独立的,不能共享一个通用的集线器。 此外,不同 vWAN 内的集线器之间不会相互通信。

  • 集线器:虚拟集线器是由 Microsoft 管理的虚拟网络 (VNet),包含各种服务端点,以启用从您的本地网络(VPN 站点)的连接。 当您从门户创建虚拟 WAN 集线器时,它会生成一个 VNet 和一个 VPN 网关。 每个Azure区域只能有一个中心。

  • 中心-中心连接: 在虚拟WAN中,所有中心都是互联的。 这意味着连接到本地中心的VNet背后的网站、远程用户或资产可以通过已连接中心的完整网状结构与其他站点或VNet进行通信。

  • 站点: 站点可以是如上图所示的总部/数据中心或分支机构,也可以是位于Azure vWAN中的虚拟实体。 站点通过Cato支持的各种连接类型,例如Sockets,连接到Cato Cloud。

  • IPsec连接: 用于将Azure vWAN连接到您的Cato账户。

先决条件

  • 本文中的信息假设您已经在Azure门户中创建了虚拟WAN和虚拟中心。 欲了解有关在Azure中创建必要资源的更多信息:

  • Terraform 已经设置好可以访问您的 Azure 环境。 有关更多信息,请参阅Terraform 文档

使用Terraform创建集成

Cato Networks使用Terraform创建与Azure vWAN集成所需的资源,包括:

  • 在您的 Azure 账户中创建 VPN 网关连接

  • 在您的Cato账户中创建一个站点。 您需要为每个想要连接的 Azure 集线器创建一个单独的站点

  • 在新站点和 Azure 集线器之间创建主要和次要的 IPsec 连接(到不同的 PoPs)

  • 在新站点上定义和配置BGP对等体

检索Terraform模块

用于集成 Azure vWAN 的 Cato 模块可从 Cato 的 Terraform 注册表获取:http://registry.terraform.io/namespace/catonetworks

下载相关模块并确保您拥有以下文件:

  • main.tf 包含 Terraform 运行的 API 调用,例如连接提供商、将分配的 IP 地址与站点关联等

  • variables.tf 包含 Azure 和 Cato 资源的所有参数,例如 Cato API 令牌、Cato 账户 ID、IPsec 站点名称等

  • version.tf 指定 Azure 和 Cato 所需的提供商及其各自的版本

修改variables.tf文件

variables.tf 文件包含您需要从 Azure 和 Cato 账户获取信息的所有参数,以及您需要提供的参数以创建账户中需要的资源。

要修改variables.tf文件:

  1. 在文本编辑器中打开文件。

  2. 提供所需信息,如下表所述。

  3. 保存文件。

参数

描述

cato_baseurl

Cato API 的位置

默认值是:https://api.catonetworks.com/api/v1/graphql2

azure_subscription_id

您正在集成的Azure订阅。 此值可以在您的Azure账户下的主页>订阅中找到。

azure_vwan_hub_id

您希望Cato IPsec站点连接的Azure Hub。 Hub ID可以在您的Azure账户下的主页>vWANs><vWanName>>Hubs中找到。 点击JSON查看并复制id字段的内容。

cato_token

Cato API 令牌

cato_account_id

与您的 Cato Networks 账户相关联的 ID。 这位于CMA下的管理>常规信息中。

site_name

您在 CMA 中创建的 IPsec 站点的名称

cato_site_address_cidrs

CMA 中 Azure 将与之通信的站点的本地范围

如果有多个范围,请以逗号分隔列表的形式输入 CIDR 格式

connection_bandwidth

定义为 Azure VPN 连接分配多少带宽(以 Mbps 为单位)

vpn_site_primary_link_name

CMA 和 Azure 间站点的主要 IPsec 连接名称,将显示在 Azure 中

vpn_site_secondary_link_name

CMA 和 Azure 间站点的次要 IPsec 连接名称,将显示在 Azure 中

site_description

CMA 中 IPsec 站点的描述

site_location

输入CMA中的IPsec站点的位置信息。 包括以下信息:

  • 城市

  • 国家/地区代码

  • 州代码

  • 时区

cato_primary_public_ip

Cato 的主要公共 IP(已分配到您的账户,可在网络 > IP 分配中找到)

cato_secondary_public_ip

Cato 的次要公共 IP(已分配到您的账户,可在网络 > IP 分配中找到)

bgp_enabled

确定是否应为 IPsec 站点启用 BGP。 Cato 建议启用 BGP 对等

cato_asn

Cato ASN

cato_primary_peering_address

Cato 的主要对等地址

cato_secondary_peering_address

Cato 的次要对等地址

vpn_gateway_connection_name

在 Azure 中,VPN 网关连接的名称

vpn_gateway_name

在 Azure 中,VPN 网关的名称

vpn_site_name

在 Azure 中显示的 Cato IPsec 站点名称

运行Terraform模块

一旦您设置variables.tf文件并对main.tf进行了任何修改,您可以运行 Terraform 模块。

注意

注意:

  • 该模块大约需要30分钟才能完成

  • 如果需要多次运行模块以创建其他站点,请在第一次模块执行完成后再启动另一个

运行Terraform模块:

  1. 导航到所有Terraform文件所在的文件夹。

  2. 运行以下命令:terraform apply

  3. Terraform将向您展示一个确认请求,解释将创建4个资源。 批准请求以开始该过程。

创建以下资源:

  • Azure VPN网关连接

  • Cato IPsec 站点

  • 新站点和 Azure 集线器之间的主要和次要 IPsec 连接

  • 新站点中的BGP对等体

验证集成

一旦Terraform模块完成,您可以验证集成是否成功。

要验证集成是否成功:

  1. 在CMA中,导航到网络>站点,查找您定义的IPsec站点。

  2. 点击站点并导航到站点配置>IPsec

  3. 主要次要部分下,您应该会看到新创建的连接。

    • 检查私有IP身份验证标识符的值

    如果连接的状态仍为已断开连接,请等待几分钟然后刷新页面。

  4. 导航到站点配置>BGP

  5. 验证是否创建了 BGP 对等体,并点击显示BGP状态以验证是否有连接。

    如果连接的状态仍为已断开连接,请等待几分钟然后刷新页面。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论