手动部署AWS vSocket站点

AWS vSocket 概览

您可以使用IPsec隧道或虚拟Socket (vSocket) 将您的AWS VPC连接到Cato。 本文描述了如何在EC2实例上部署vSocket。

vSocket提供以下优势:

  • 带宽管理控制和QoS
  • 最大化连接到Cato云中的PoP的连接性
  • 支持高可用性配置

有关vSocket和IPsec站点的更多信息,请参阅选择站点的连接类型

本文假设您的AWS环境中已经有一个VPC。

注意

注意:由于中国的法规,若要在中国部署AWS vSocket站点,请联系您的Cato代表或Cato支持

先决条件

  • 您必须拥有AWS仪表板和Cato管理应用程序的管理员权限。 此外,您必须在AWS中拥有以下权限:

    • AWS Marketplace
    • 密钥对创建
  • 确保环境符合Cato套接字连接先决条件中的要求。

AWS 限制

AWS 不支持以下网络功能:

  • VLAN范围
  • DHCP范围

创建 AWS vSocket 的高层概览

  1. 在Cato管理应用程序中,为AWS vSocket创建一个新站点。
  2. 创建AWS虚拟资源
  3. 在AWS Marketplace中,订阅Cato Networks的AMI产品以连接虚拟资源到您的EC2实例
  4. 启动vSocket实例
  5. 验证vSocket已连接到您的账户。

在 Cato 管理应用程序中创建 vSocket 站点

在Cato管理应用程序中创建AWS vSocket站点,并生成vSocket的序列号。 EC2实例启动时需要使用此序列号。

vSocket的本地IP必须与EC2实例上的LAN接口的IP地址相同。 子网的前三个IP地址由VPC预留。

创建站点后,Cato管理应用程序将自动为新vSocket生成唯一的序列号。 启动EC2实例时需要输入此序列号)。

创建 AWS 站点

要为AWS vSocket创建站点:

  1. 在Cato管理应用程序中,从导航菜单中选择网络 > 站点

  2. 点击新建添加站点面板开启。

    awsSocketsite.png
  3. 配置站点的常规设置:
    1. 输入站点名称
    2. 选择站点类型。 此选项决定在拓扑窗口中使用哪个图标表示站点。
    3. 连接类型选择vSocket AWS
    4. 配置 国家、州和时区以设置维护时间窗口的时间范围。 国家
  4. 根据您的ISP带宽配置WAN接口设置,包括下行上行带宽。
  5. 配置LAN接口设置,包括AWS站点的本地范围。 此设置必须与AWS中的LAN子网IP范围相同(见下文创建MGMT、WAN和LAN子网)。
  6. 点击应用。 该站点已被添加到站点列表中。

复制 vSocket 的序列号

Cato管理应用程序会自动为新的vSocket生成一个唯一的序列号。 配置AMI时需要输入此序列号(S/N)(见下文配置Cato AMI)。

复制序列号:

  1. 从导航菜单中选择网络 > 站点,然后选择站点。
  2. 从导航菜单中选择站点配置 > Socket

  3. 复制vSocket的S/N

    启动vSocket实例时需要输入此序列号。

创建 AWS 虚拟资源

一旦创建了vSocket,您可以创建AWS虚拟资源,并使用AWS Marketplace中的AMI模板将它们连接到您的EC2实例。

手动创建 AWS 虚拟资源

为vSocket实例创建这些虚拟资源:

注意

注意:如果这些资源已经存在,您可以继续进行将资源与EC2实例关联,如下。

  • 互联网网关
  • 三个子网 - WAN、LAN和MGMT
  • 用于管理入站和出站通信的安全组
  • 三个接口(ENI)- WAN、LAN和MGMT
  • 两张路由表 - 互联网和LAN
  • 两个弹性IP(用于WAN和MGMT接口)

为 VPC 定义互联网网关

使用AWS虚拟私有云(VPC)仪表板创建新互联网网关,并将其附加到您的VPC。

01_VPC_Dashboard.png

要创建新的互联网网关并将其附加到VPC,请执行以下操作:

  1. 从VPC仪表板,在导航菜单中选择虚拟私有云 > 互联网网关
  2. 点击创建互联网网关
  3. 名称标签中输入互联网网关的名称。

  4. 点击创建互联网网关。 VPC仪表板显示互联网网关的详细信息。

    01a_Attach_IGW.png
  5. 操作下拉菜单中,选择附加到VPC
  6. 附加到VPC窗口中,在可用的VPC部分,选择VPC。
  7. 点击附加互联网网关。 互联网网关已附加到您的VPC。

创建 MGMT、WAN 和 LAN 子网

在AWS中创建这些子网,然后它们会自动附加到VPC:

  • MGMT子网
  • WAN子网
  • LAN子网 - 这与站点的Native Range相同。

确保所有子网都在同一个AWS可用区内。

02_CreateSubnet.png

要为AWS vSocket创建子网:

  1. 在VPC仪表板中,在导航菜单中选择Virtual Private Cloud > Subnets
  2. 点击创建子网
  3. 创建子网窗口中,在VPC部分选择VPC ID
  4. 配置子网的设置:
    1. 输入子网名称
    2. 为子网选择可用区
    3. 输入子网的IPv4 CIDR块。 对于LAN子网 - 这与站点的Native Range相同。
  5. 要添加附加子网,请点击添加新子网并重复上一步4。
  6. 点击创建子网。 AWS创建子网并将其附加到VPC。

配置安全组

配置WAN和MGMT流量的安全组规则,使用出站规则允许所有出站流量,这样流量可以到达Cato Cloud。

创建 WAN 和 LAN 接口

为 EC2 实例的 vSocket 创建 WAN 和 LAN 接口。 使用EC2仪表板创建接口。

将LAN接口的自定义IP地址设置为与Native Range的本地IP相同的IP地址。 不要使用前3个IP地址,因为它们被AWS保留。

您需要禁用LAN接口上的AWS源/目标检查,以允许EC2实例执行流量转发。

注意

注意:为确保vSocket行为正确,定义自定义DHCP选项,并将受信任的服务器定义为主DNS服务器。

04_LAN_NIC.png

要创建网络接口(ENI):

  1. 从EC2仪表板,在导航菜单中选择网络&安全性 > 网络接口
  2. 单击Create network interface
  3. Create network interface窗口中,选择LANSubnet
  4. Private IPv4 address 中,点击Custom 并输入用于 Native Range 的 Local IP。
  5. Security groups中,选择适合接口的安全组。
  6. 单击Create network interface。 AWS创建接口。
  7. 为 WAN 接口重复上述步骤。
  8. 对于LAN接口,禁用AWS源/目的地跟踪:

    1. Network Interfaces窗口中,右键单击LAN接口并选择Change source/dest. 检查

      05_LAN_INT_source-dest.png
    2. Change source/destination check窗口中,清除Enable
    3. 单击Save

创建路由表

为vSocket流量创建新的或使用现有的VPC路由表:

  • LAN子网的专用路由表

    • 附加LAN子网
    • 将 Socket LAN ENI 定义为默认路由的目标(下一跳)

  • MGMT和WAN子网的单一Internet路由表。 此路由表用于在vSocket和Cato Cloud资源之间提供连接。

    • 附加WAN和MGMT子网
    • 将 Internet Gateway 定义为默认路由的目标(下一跳)

要创建Internet和LAN路由表:

  1. 从VPC仪表板,在导航菜单中选择Virtual Private Cloud > Route Tables
  2. 单击Create route table
  3. Name tag中,输入Internet或LAN路由表的名称。
  4. 选择vSocket的VPC
  5. 单击Create。 路由表已添加到VPC。
  6. 将WAN和MGMT子网与Internet路由表关联,或将LAN子网与LAN路由表关联。

    1. 右键单击路由表并选择Edit subnet associations。 这是一个Internet路由表的示例。

      06_Internet_route_table.png

    2. Edit subnet associations窗口中:

      • 对于Internet路由表,选择MGMT和WAN子网
      • 对于LAN路由表,选择LAN子网
    3. 单击Save。 这些子网与路由表相关联。
  7. 将默认路由添加到每个路由表(首先配置 Internet 路由表,然后是 LAN)。

    1. 右键单击路由表,然后选择编辑路由。 下图显示了互联网路由表:

      06_InternetGW_route.png
    2. 单击添加路由
    3. 将新路由的目标设置为0.0.0.0/0。

    4. 目标中,选择互联网或LAN路由表的下一跳:

      • 对于互联网路由表,选择互联网网关并选择VPC的互联网网关。
      • 对于LAN路由表,选择网络接口并选择LAN ENI。 下图显示了LAN路由表:
      LAN_RouteTable.png
    5. 单击保存更改
    6. 窗口显示路由成功创建,单击关闭
  8. 对LAN路由表重复以上步骤。

将弹性 IP 地址与接口关联

创建并将弹性IP地址与WAN和MGMT接口关联。 您可以使用从Amazon的IPv4地址池分配的公共IP地址。

注意

注意: MGMT 接口的弹性 IP 应自动与 Cato AMI 在实例创建时自动创建的 MGMT 接口关联,而不是手动创建的接口。

要分配弹性IP地址:

  1. 从EC2仪表板中的导航菜单中选择Network & Security > Elastic IPs
  2. 单击分配弹性IP地址
  3. 对于公共IPv4地址池,选择Amazon的IPv4地址池
  4. 单击分配。 弹性IP已分配。

  5. 选择弹性IP,然后选择操作 > 关联弹性IP地址

    07_associate_Elastic.png
  6. 关联弹性IP地址窗口中,在资源类型中选择网络接口
  7. 网络接口中,选择 WAN 接口。
  8. 单击关联。 弹性IP已与接口关联。
  9. 对MGMT接口重复以上步骤。

为vSocket配置EC2实例

创建vSocket的所有虚拟资源后,使用在AWS Marketplace上可用的Cato Networks AMI将这些资源连接至您的EC2实例。

EC2支持的实例

以下EC2实例类型经过vSocket认证:

  • t3.large
  • t3.xlarge
  • c3.xlarge
  • c4.xlarge
  • c5.xlarge
  • c5d.xlarge
  • c5n.xlarge(建议用于带宽超过2Gbps的高性能站点)
  • d2.xlarge 

查看这篇文章以审核实例类型的规格,帮助您选择符合站点要求的类型。 

注意

注意: 如果c3.xlarge或c4.xlarge实例在您的区域不可用,请联系AWS客户支持。

配置Cato AMI

准备环境后,您现在可以配置Cato Networks AMI。

配置AMI:

  1. 从AWS Marketplace中搜索Cato Networks Virtual Socket。
  2. 点击 继续订阅

  3. 点击 继续配置

    • 履行选项下,选择 Amazon Machine Image
    • 区域下,确保选择您的vSocket所在的区域。
    Cato_AMI.png
  4. 点击 继续启动

  5. 启动此软件页面:

    1. 选择操作下,选择通过EC2启动
    2. EC2实例类型下,选择EC2实例。
    3. VPC设置下,选择您正在连接的VPC。
    4. 子网设置下,选择MGMT网络。
    5. 安全组设置下,选择为此实例创建的安全组。

    6. 展开 高级网络配置,在 网络接口下选择您创建的MGMT接口。

      注意: 如果您未选择现有接口,将创建一个新接口。

      AWS_vSocket_Cato_AMI_advanced_network_config.png
    7. 密钥对设置下,选择您创建的密钥对。
    8. 高级详细信息部分中,在 用户数据 - 可选下,输入从Cato Management Application中您创建的vSocket站点复制的序列号。
  6. 点击 启动

将接口附加到vSocket实例

vSocket实例启动后,MGMT接口将附加到它上。 停止实例,然后将剩余的WAN和LAN接口连接到实例。

注意

注意: 确保EC2实例已停止,首先连接WAN接口,然后连接LAN接口。

将接口连接到vSocket实例:

  1. 从EC2仪表板,在导航菜单中选择实例 > 实例
  2. 右键点击vSocket实例并选择 停止实例
  3. 在确认窗口中,点击 停止。 刷新窗口并确认实例状态已停止
  4. 在导航菜单中选择网络和安全>网络接口
  5. 将WAN接口连接到实例:
    1. 右键点击WAN接口,选择附加接口
    2. 附加网络接口窗口中, 在实例中选择vSocket实例。
    3. 点击附加
    4. 针对LAN接口重复前三个步骤。

完成vSocket安装

在您将接口附加到vSocket后,启动实例并确认它连接到Cato Cloud。 在vSocket连接到Cato Cloud后, 它会自动更新到最新的Socket版本。

完成vSocket安装:

  1. 从EC2仪表板的导航菜单中,选择Instances > Instances
  2. 右键点击vSocket实例并选择开始实例
    如果实例已经正在运行,请重新启动它。
  3. 在Cato管理应用中,选择我的网络 > 拓扑结构
  4. 确认AWS站点已连接到Cato Cloud。

(可选) 连接到Socket WebUI

我们不建议使用弹性IP地址连接到AWS vSocket WebUI。 如果您需要登录到Socket WebUI,请使用这些设置:

  • 使用MGMT弹性IP地址作为vSocket的公共IP地址

    • 创建一个Security规则,以允许来自单个IP地址(即Elastic IP地址)的入站流量
  • 用户名是 admin
  • 默认Password是vSocket EC2实例的Instance ID

(可选) 将流量Routing到EC2实例

如果您的应用程序EC2实例与非Native Range Subnet(不是vSocket LAN Interface Subnet)的Subnet相关联,请在Cato Management Application中为该Site的Networks部分Add一个Routed Range。

要将流量Routing到EC2实例:

  1. 从导航菜单中选择网络 > 站点,然后选择站点。
  2. 从导航菜单中选择站点配置 > 网络
  3. LAN部分,点击新建新IP范围面板打开。
  4. 输入IP范围的名称
  5. 将范围的类型设置为路由
  6. 输入子网IP范围。
  7. 网关IP设为VPC路由器,即Native Range子网的第一个主机IP地址。
  8. (可选)为Range ConfigureStatic NAT
  9. 点击应用。 该范围被添加到网络屏幕。
awsiprange.png

上面的截图显示了路由范围的这些示例设置:

  • Native Range - 10.0.2.0/24
  • Routed Range - 10.0.26.0/24
  • Gateway IP - 10.0.2.1

(可选)为EC2实例配置IMDSv2

IMDS(实例元数据服务)提供安全访问以检索实例的元数据。 Cato使用此服务获取以下信息:

  • 用户数据中的序列号
  • 实例ID
  • HA相关信息
  • 修改路由表的密钥和主机名设置

从Socket v20 build 18221开始,Cato正在添加对IMDSv2的支持。

配置您的实例以使用IMDSv2:

  1. 在AWS中,选择您要配置的实例。
  2. 选择操作 > 实例设置
  3. 修改实例元数据选项部分下,选择IMDSv2然后选择必需
  4. 点击保存

此更改不会导致任何停机时间。 但是,如果您有高可用性(HA)部署,您必须将主实例和副实例配置为使用相同的IMDS版本。

这篇文章有帮助吗?

7 人中有 7 人觉得有帮助

0 条评论