本文描述了如何在Amazon AWS多VPC环境中部署Cato vSocket。 它介绍了一种成本高效的解决方案,您可以为多个VPC部署单个vSocket实例,而不是在您的AWS环境中部署多个vSocket实例。 该解决方案允许您向AWS环境添加额外的VPC,无需为vSockets部署任何额外的EC2实例。 它简化了网络拓扑的管理,您可以在Cato管理应用程序中将多个VPC管理为单个站点。
在多个VPC环境中实施Cato vSocket的解决方案,是在单个VPC上部署vSocket,并使用AWS传输网关连接所有VPC。 传输网关允许您路由已连接VPC之间的流量。 因此,您必须将传输网关附加到您要连接的每个VPC。 传输网关传播已连接VPC的路由表,并允许不同VPC中不同CIDR之间的连接性。
该架构基于中心和辐射模型。 拥有vSocket的VPC充当中央节点,所有其他VPC充当辐射。 中央节点VPC管理并集中从AWS环境到Cato Cloud的出站流量。 下图显示了在AWS中多个VPC环境的示例,其中一个vSocket连接到Cato Cloud。
此图引入了AWS环境中3个VPC:(中央节点)带有Cato vSocket的VPC 1,以及作为辐射的VPC 2和VPC 3。 每个VPC都有一个具有不同子网的路由表。 将VPC连接到传输网关时,它会传播所有VPC的路由表以在不同VPC之间路由流量。
首先,您必须在VPC中部署一个vSocket。 然后,为VPC创建AWS传输网关和传输网关附件。 要在多个VPC环境中实施Cato vSocket:
-
在AWS中央节点VPC中部署vSocket
-
创建一个传输网关
-
为VPC创建传输网关附件
-
创建一个传输网关路由表
-
在Cato管理应用程序中配置网络路由范围
部署Cato vSocket以提供到Cato Cloud和互联网的连接。 有关详细信息,请参阅配置AWS vSocket站点。
当您将辐射VPC连接到中央节点VPC时,部署一个传输网关并将它们连接到该网关。 然后传输网关在不同VPC之间创建VPN连接。
为每个VPC创建传输网关附件。 传输网关附件将VPC连接到传输网关。 附件必须与一个路由表相关联,并允许已连接VPC之间的连接性。 为中央节点VPC创建传输网关附件时,您必须选择vSocket局域网子网。 下图显示了三个传输网关附件,每个VPC一个:
注意:您可以为不同区域添加传输网关附件,但不能为同一区域中的不同账户添加。
为传输网关创建一个传输网关路由表,并为每个传输网关附件配置路由。 传输网关传播VPC的路由表,并允许已连接VPC之间的连接性。 以下屏幕截图显示了一个传输网关路由表的示例,其中有已连接VPC的传播:
在Cato管理应用程序中配置VPC的局域网范围(配置>AWS站点>网络>局域网),并为每个已连接的VPC添加一个路由范围。 使用IP范围的第一个IP地址作为网关。 网关IP地址是辐射VPC IP范围的下一跳。 以下屏幕截图显示了两个辐射VPC的路由IP范围配置示例。
注意:确保您配置的网络规则能将流量路由到AWS vSocket站点。 有关网络规则的更多信息,请参阅网络规则配置。
完成部署后,您可以验证辐射VPC中的主机是否具有互联网访问权限,并能与您的账户中的其他站点通信。
0 条评论
请登录写评论。