Azure 公共云的云互联

本指南解释了如何通过云互联将 Azure 连接到 Cato 云。

有关云互联站点的更多信息，请参阅云互联站点入门。

Azure 的云互联概览

Cato 仅支持具有 2 条电路的云互联站点的主动-被动模型。 BGP 用于在 Cato PoP 和 Azure 边缘路由器之间交换路由信息，也用于确定站点的活动电路。

最佳实践：Cato 建议在 Azure 中连接两个电路，以用于弹性和冗余方案。也支持单电路配置。

准备创建云互联站点

当您创建 Azure云互联站点时，必须为您的 Azure 租户和 Cato 管理应用程序配置设置。

在开始部署云互联站点之前，重要的是要验证 Cato PoP 位置、云提供商和交换提供商是否支持主要和次要连接的用例。有关准备云互联站点的更多信息，请参阅云互联站点入门。

注意

注意：为了部署云互联站点，Cato 提供了无缝配置，使用一些基本凭据与提供商（例如 Equinix）建立连接。如果您的用例未通过自动配置得到支持，请联系您的客户代表（PS/SE/CSM）以手动部署连接。

在部署云互联站点后遇到问题，请联系支持。

配置云互联站点的高级概览

这是配置 Azure Cato 站点的云互联的高级过程概览：

验证用例是否被 Cato PoP 位置、云提供商和交换提供商支持。
1. 对于立即可用的 PoP 位置，请继续执行步骤 2。
2. 对于未来可用的 PoP 位置，请等待 Cato 完成手动后端设置，然后再配置云互联站点。
在 Azure 中创建两个 ExpressRoute 电路。
1. 如果 Cato 支持要求，请将创建电路的服务密钥发送给 Cato 进行供应。
在 Cato 管理应用程序中新建站点，并选择站点类型为云互联。
1. 为站点的主要和次要电路配置 /30 IP 子网。
2. 配置每个电路的带宽。
在 Cato 和 Azure 之间配置 BGP：
1. 在 Azure 中 - 一旦配置完成，配置 ExpressRoute 电路的对等，并配置与 Cato 管理应用程序相同的 IP 子网。
2. 在 Cato 管理应用程序中 - 配置主要和次要电路的 BGP 对等设置。（Cato 自动偏好主要对等的指标）
将 Azure 虚拟网络网关连接到主要和次要的 ExpressRoute 电路。
测试您新站点的连接性。

下面是一个通过云互联连接到 Cato 的 Azure 云环境的低级拓扑示例。

在 Azure 帐户中配置设置

本节描述了如何配置 Azure 数据中心的设置，以便它可以连接到您 Cato 账户中的云互联站点。

要为云互联站点配置 Azure 设置：

在 Azure 中，创建一个新的 ExpressRoute 电路，路径为 ExpressRoute Circuits > Create。
在 Basics 中，选择资源组和实例区域。
在 Configuration 选项卡中配置以下设置：
1. 选择 端口类型 为 提供商，并从 提供商 下拉列表中选择云互联提供商。
  
  注意：当前支持的提供商是 EquinixCloud Exchange (ECX)。未来将支持其他提供商。
2. 在 Peering Location 中，选择与您连接的 PoP 相同的位置。
  
  注意
  
  注意：如果您的 Azure 实例位于美国东部或美国东部 2，请选择华盛顿特区作为您的对等连接。
3. 带宽：选择与您的 Cato 许可证一致的带宽。
4. SKU：选择 Standard 或 Premium。
  
  Premium 允许将大量 VNet 连接到电路，而 Standard 限制为10 个虚拟网络。
5. 计费模式计量：是按消费基础进行成本分析，而 无限制 是该电路的固定月费。
  
  注意：Azure 不支持将计费模式从 无限制 更改为计量。但是，您可以随时从计量更改为 无限制。
6. 检查并点击创建 ExpressRoute 电路。
ExpressRoute 电路部署成功后，它将显示为未配置。在此阶段，直到服务提供商完全配置电路之前，无法配置电路对等连接。 (例如： Equinix）

为完成配置过程，云互联数据中心服务提供商需要 Azure 为每个 ExpressRoute 电路生成的唯一服务密钥。（在概览页面中查看）
1. 复制服务密钥。在 Cato 管理应用程序中使用自动化连接向导时需要使用它。如果您是手动创建连接，需将服务密钥发送给您的 Cato 代表，以便与服务提供商进行配置。
2. 在配置完成之前，您无法继续指导本指南的下一个步骤。
一旦配置完成，电路配置将变为可编辑，Azure 门户上的电路状态将从未配置变为已配置。

下一步是关联 ExpressRoute 电路和 BGP 对等连接（以下配置将在 Cato 管理应用程序的下一步中完全复制）
1. 在对等连接下，这里有这些选项 - Azure 私有、Azure 公开和Microsoft。
  
  Azure 公开 对于新电路已被弃用，而且Microsoft 用于 Azure PaaS 服务。对于此电路，我们将选择Azure 私有（更多信息请访问此处）
2. 对等 ASN – 这是将用于表示 Cato 在 Azure 配置中的一方的 ASN。您可以为 Cato 一方（“对等” ASN）使用任何私有 ASN。
3. 子网 – IPv4。
4. 主要和次要子网 – 为对等连接需要唯一地址空间，每个子网都必须用 /30 标记定义。按照 Microsoft Azure 标准，第一个可用 IP 是客户路由器的对等 IP，第二个 IP 是Microsoft 的路由器 IP。（例如，172.16.0.0/30 的主要子网使用 172.16.0.1 作为 Cato 路由器，172.16.0.2 作为 MS 路由器）
  
  Azure 要求配置主要和次要子网，但 Cato 仅使用每个 ExpressRoute 电路的主要子网。（在 HA 配置情况下）
  
  因此，需要一个虚假的“假”次要子网以符号 Azure 的要求，但在云互联对等配置中不会使用。
  
  这里配置的主要子网也将在 Cato 管理应用程序配置步骤中使用。
5. VLAN ID – 必填字段：与 Cato 团队在 Cato 管理应用程序中配置的 VLAN ID 设置相同。此 VLAN ID 在连接的所有各方中被指示 – 云提供商、Equinix 托管和 Cato PoP。此 VLAN ID 由 Cato 决定，并且必须为您的云提供商对等连接配置相同的设置（若需配置）。

将 Azure 中的 VNet 链接到 ExpressRoute 电路

一旦电路已配置，所需的便是将资源连接到 ExpressRoute 电路并在 Azure 和 Cato 管理应用程序之间建立连接。

本节涵盖前者，如果您希望先与 Cato 管理应用程序建立连接，请跳至完成云互联配置。

将 Azure VNet 与 ExpressRoute 电路链接的限制

根据 Azure，部署 VNet 网关可能需要长达约 45 分钟的时间。
确保避免将网络安全组与网关子网关联，这可能导致 VNet 网关停止工作。
连接到 ExpressRoute 的 VNet 默认情况下可以相互通信。 Microsoft 建议使用 VNet 对等连接。
本地或对等虚拟网络广告的地址空间数必须小于或等于 1,000。
使用标准 ExpressRoute 电路 SKU，您可以链接多达 10 个虚拟网络。（VNets）所有虚拟网络必须位于同一云区域，而高级ExpressRoute 电路允许多个云区域中的超过 10 个 VNet。（每个电路的 SKU 可以在电路的配置页面中编辑）

在 ExpressRoute 电路能够链接之前，您必须创建子网网关和虚拟网络网关，或拥有可用的现有网关。有关这方面的更多信息，请参见 Azure 官方文档中的此处。

要链接虚拟网络网关：

在 ExpressRoute 电路页面转到 连接 > 添加。
在 创建连接 页面，选择连接类型作为 ExpressRoute 并提供给定的名称和区域，然后选择 下一步。
在虚拟网络网关下选择要链接的网关，并在ExpressRoute 电路下选择您已配置的电路。
连接现在出现于电路信息下。

创建云互联站点

在 Cato 管理应用程序中，为云互联提供商创建一个新站点。

本文假设您正在创建一个HA主动-被动云互联站点。如果您正在创建一个单一电路云互联站点，请仅创建一个主要 ExpressRoute 电路。（仅推荐用于测试目的）

对于 Azure 云互联站点，我们建议您在发送初始配置请求的同时创建该站点。这可以让您更快速设置此站点的Cato配置。

要创建云互联站点：

在Cato管理应用程序中，选择网络 > 站点，点击新建以创建一个新站点。
选择连接类型为云互联，并定义站点的设置。
点击应用，然后点击保存。
选择新的站点并进入站点配置 > 云互联，点击新连接。

注意

注意：对于HA部署，确保首先创建主要连接。

完成云互联配置

创建Express Route后，继续进行您上面开始的云互联站点配置。

在Azure Express Route配置中，输入您创建的Azure Express Route服务密钥。
在验证您的连接下，点击验证。带宽和Azure对等连接位置会自动填充。
点击应用。

连接建立后，继续配置BGP。

定义站点的BGP设置

本节解释如何在现有的私有对等连接上定义BGP会话。

当至少有一个BGP对等可达时，交叉连接站点显示为已连接状态，无论与您的云提供商的配置状态如何。

BGP建立是站点连接性的唯一指标。 BGP还允许确定路由交换和隧道故障转移。

要为云互联站点配置 BGP 设置：

在 BGP 标签页中配置与云互联站点配置中相同的设置。对于每个电路，进入站点配置 > BGP并点击新建。
在 ASN 设置下，将 Cato ASN 配置为您选择的值（确保其与在 Azure ExpressRoute 配置页面上先前配置的对等 ASN 匹配）。
将对等 ASN 配置为 12076。这是Azure用于ExpressRoute电路的保留ASN表示法。
在 IP 设置中配置对等 IP。这是在云互联设置中配置为站点的同一IP。（此 IP 表示云提供商的对等 IP。）

Cato IP是根据云互联设置自动选择的。
定义BGP路由策略 - 可以操作每个对等体的路由公告策略。

我们建议在云互联站点中的两个对等体保持相等的访问权限策略，以避免路由差异。
1. 宣告选项让您可以配置站点如何在BGP邻居上宣告路由。
  - 默认路由 - 站点向BGP邻居宣告默认路由（0/0）。即使默认路由未在路由表中，邻居也可以将所有流量发送到该默认路由。您可以将BGP社区标签添加到默认路由。有关BGP社区的更多信息，请参见处理BGP过滤。
  - 所有路由 - 站点向BGP邻居宣告整个账户的内部路由表。这些路由包括静态和浮动范围，还包括从其他对等体的学习路由，在此站点以及整个网络范围。通常启用此选项以将WAN流量发送到BGP邻居。
    
    注意： 整个SDP用户范围作为单一路由向BGP对等体宣告。
  - 摘要路由 - 站点宣告摘要路由而不是多个唯一路由，BGP对等体可以简化其转发决策并最小化路由查找所需的计算资源。见处理BGP摘要路由。
2. 在接受部分中，选择站点是否接受或丢弃由该邻居发布的动态IP地址。选择丢弃选项时，您正在限制来自此BGP邻居的动态传播。有关BGP路由列表的更多信息，请参见处理BGP过滤。
  
  例如，在使用AWS Direct Connect的部署中需要BGP，但您不想接受AWS动态地址。在这些部署中，我们建议您选择全部丢弃。
3. 在NAT 部分中，选择对公网IP执行NAT以便站点对所有IP执行SNAT，并将流量翻译到局域网IP地址。
配置BGP路由的附加设置：
1. MD5 – 额外的安全层。此字段是 必需的。（在 Azure 中，这是共享密钥属性）。
2. 度量 – 对等体的优先级可以更改。
  
  预期的配置文件是在主要对等体比次要对等体中有更好的度量。
3. 保持时间和保活间隔值。
4. 跟踪 > 电子邮件通知 – 可选的BGP连接性更改警报。
点击应用。

云互联站点已配置。验证站点是否正常工作，见下文云互联站点的监控和连接性测试。

云互联站点BGP策略示例

请参阅以下在Cato支持的主动-被动配置中的两个对等实例示例。（主要对等度量为 90，次要对等度量为 100）

监控和测试云互联站点的连接性

站点设置完成后，让我们检查如何测试和监控连接。

Cato提供多种工具来帮助您监控您的云互联站点并排查任何潜在问题，包括：

测试连接性工具

您可以使用测试连接性工具测试每个电路的点对点云互联 IP可达性。

站点配置 > 云互联中的测试连接性工具从Cato PoP IP向站点远程IP发送ICMP探测，无论是主要连接还是次要连接。

以下是ICMP探测的结果：

成功 - 测试执行成功
错误 - 测试未执行。（由Cato PoP超时或无法执行测试）
失败 - 测试成功执行但未收到远程对等IP的响应

LAN 监控

您可以使用LAN 监控功能来：

从Cato PoP到主电路远程IP进行连续ICMP探测。

注意： LAN 监控仅监控云互联站点的主要电路。
主机在云提供商网络内实例的活动状态更改。

可以设置自定义阈值和ICMP间隔，并定义在满足这些阈值时向邮件列表发送电子邮件通知。

这是一个LAN 监控的电子邮件通知示例：

BGP状态

在站点配置 > BGP中，显示BGP状态确认每个电路的连接性。

状态输出提供有关学习的子网、宣告的路由以及关于BGP对等体的其他数据的详细信息。

BGP状态输出示例：

BGP电子邮件通知

对于每个对等体，我们建议配置BGP邻居状态更改通知。在BGP对等体连接状态更改时，电子邮件通知直接发送给管理员邮件列表。

在站点配置 > BGP > BGP 邻居 > 其他设置 > 跟踪中配置电子邮件通知。

选择警报的频率和邮件列表。

Cato允许以下频率配置：

立即 - 每次发生时都发送通知给接收者
每小时 - 发送通知与第一次发生。如果在一小时内出现更多事件，不要发送额外的电子邮件。
每天 - 发送通知与第一次发生。如果一天内有更多事件发生，请不要发送额外的邮件。
每周 - 发送通知与第一次发生。如果周内有更多事件发生，请不要发送额外的邮件。

BGP电子邮件通知示例：

路由表

监控 > 路由表界面显示您的账户的所有路由，包括动态路由。

路由表可用于确定负责通知哪些隧道（主要或次要）这些路由是基于下一跳、PoP和隧道度量的。

来自BGP的路由显示为动态路由类型。来自被动电路对等体的路由显示为灰色。两个电路的点对点子网在路由表中显示为静态路由类型。

例如，以下动态路由 172.29.0.0/24 从 New York PoP 宣告，具有度量为 5 （最高），这是主要且当前活跃的隧道。

同一路由也通过Ashburn PoP上的辅助隧道宣告，度量为10。

如果Ashburn PoP上的辅助隧道变为活跃隧道，路由表将相应调整此路由。

BGP对等体是静态的，并且在路由表中有自己的条目。这些对等体作为动态BGP路由的下一跳，在其后宣告。与其他路由类似，可以解析度量信息以了解当前活跃的对等体，并通过哪个Cato PoP位置。

事件

在站点监控 > 事件界面中，Cato聚合了与站点相关的所有记录事件。

关键事件可以用于分析事件的时间线，例如。您可以使用以下事件子类型过滤相关事件：

BGP会话 – 通知BGP会话的建立或断开。可以在扩展事件日志中检查断开的已识别原因。（在‘+’图标下）
BGP路由 – BGP路由更改，例如从BGP对等体添加或移除新路由。
LAN 监控 – 这些事件作为您配置的LAN监控设置的一部分进行记录。如果未设置LAN监控，这些事件将不会被记录。

站点网络分析

站点分析让您可以监控站点的流量和吞吐量，包括以下仪表板：

网络分析 – 分析连接状态变化，流量数量，主机和吞吐量。

重要的是要记住，云互联站点连接性基于BGP对等。如果两个BGP对等都不可达，站点被视为已断开连接。
事件 - 站点事件提要。
应用分析 - 此仪表板深入分析主机的吞吐量和应用程序使用情况。可以添加过滤器，例如IP/主机、应用程序、类别等。
优先级分析器 - 此仪表板允许分析随时间变化的QoS分布。 (read more about Priority Analyzer)
已知主机 – 针对站点后面的主机的实时仪表板。 IP、操作系统类型和主机活动是每个主机可用的数据点之一。
实时 - 此仪表板允许实时监控活动主机、吞吐量、顶级应用程序、活动QoS等。

Cloud Interconnect Limitations with Azure

The following is a highlight list of limitations to consider before setting up an Azure Cloud Interconnect site:

对等IP是预先确定的 – 第一个可用IP代表“On-Prem”对等，后续IP代表MS Azure路由器。
每个隧道的VLAN ID由Cato分配，必须在Azure设置中进行配置。没有Cato分配的VLAN ID，设置将无法工作。
在宣告路由时，Azure没有排除/包括VNet路由的选项。整个VNet被宣告。
ExpressRoute allows advertising up to 1,000 IPv4 prefixes and 100 IPv6 prefixes.
ExpressRoute允许从Cato接收最多4,000个前缀。 (Cato has an option for custom route summarization. If you would like to configure route summarization with BGP, please contact Cato Support)
ExpressRoute Premium允许在多个Azure区域中连接超过10个VNets并接收最多10,000个前缀。
- 如果达到前缀限制，Azure将中断BGP连接，直到恢复限制容量。

您可以在Azure的官方ExpressRoute文档中阅读更多内容。