AWS 公共云的云互联

本指南说明了如何通过云互联将亚马逊网络服务(AWS)连接到Cato 云。

有关云互联站点的更多信息,请参阅开始使用云互联站点

AWS 的云互联概览

Cato 仅支持具有2个电路的云互联站点的主动-被动模式。 BGP 用于在 Cato PoPs 和 AWS 边缘路由器之间交换路由信息,并确定站点的活跃电路。

最佳实践:Cato 建议在 AWS 中连接两个电路,以实现弹性和冗余的场景。 单电路配置也受支持。

下图显示了用于云互联站点的 AWS 配置。

image4.png

  • 每个 VPC 都有一个虚拟私有网关,通过虚拟私有网关关联连接到 Direct Connect 网关。

  • Direct Connect 网关使用私有虚拟接口连接到 AWS Direct Connect 位置。

  • 从位置到客户数据中心合作伙伴有一个 AWS Direct Connect 连接。 (例如 Equinix)

根据 AWS 数据中心的要求,可以连接 Transit Gateway 而不是虚拟私有网关到 Direct Connect Gateway。 有关更多信息,请参阅 AWS 文档,关于Transit Gateway Associations Virtual Private Gateway Associations

准备创建云互联站点

在创建 AWS云互联站点时,需要为您的 AWS 租户和 Cato 管理应用程序 (CMA) 配置设置。

在开始部署云互联站点之前,重要的是要验证主要和次要连接的使用案例是否得到 Cato PoP 位置、云提供商和织物提供商的支持。 有关准备云互联站点的更多信息,请参阅开始使用云互联站点

本文假设您正在创建一个 HA 主动-被动模式的云互联站点。 如果您正在创建单电路云互联站点,请仅创建一个主要 Direct Connect 电路。 (仅推荐用于测试目的)

注意

注意:为了部署云互联站点,Cato 提供了无缝配置,使用一些基本凭证创建与织物提供商(例如 Equinix)的连接。 如果您的使用案例不受自动配置支持,请联系您的账户代表 (PS/SE/CSM) 手动部署连接。

对于您在部署云互联站点后遇到的问题,请联系支持

云互联站点配置的高级概览

image2.png

这是配置 AWS Cato 站点的云互联的高级过程概览:

  1. 验证该使用案例是否得到 Cato PoP 位置、云提供商和织物提供商的支持。

    1. 对于立即可用的 PoP 位置,请继续执行步骤 2。

    2. 对于将来某个日期可用的 PoP 位置,等待 Cato 完成手动后台设置,然后再配置云互联站点。

  2. 在 CMA 中创建一个新站点,并选择站点类型为云互联

    1. 为站点的主要电路和次要电路配置 /30 IP 子网。

    2. 为每个电路配置带宽。

  3. 配置Cato与AWS之间的BGP:

    1. 在 AWS 中 - 一旦配置完毕,接受 Direct Connect 电路对等,并配置与 CMA 添加的相同 IP 子网。

    2. 在 CMA 中 - 为主要电路和次要电路配置 BGP 对等设置。 (Cato 自动优选主要对等的指标)

  4. 将 Direct Connect 网关连接到主要和次要 Direct Connect 电路。

  5. 测试您的新站点的连接性。

以下是一个低级别的 Amazon Web Services 云环境拓扑示例,通过云互联连接到 Cato:

image3.png

创建云互联站点

在 CMA 中,为云互联提供商新建一个站点。

本文假设您正在创建一个 HA 主动-被动模式的云互联站点。 如果您正在创建单电路云互联站点,请仅创建一个主要 Direct Connect 电路。 (仅推荐用于测试目的)

对于 AWS 的云互联站点,我们建议您在发送初始配置请求的同时创建站点。 这可以让您更快速地为此站点设置 Cato 配置。

要创建云互联站点:

  1. 在 CMA 中,点击 网络>站点,然后点击 新建 以创建新站点。

  2. 选择连接类型云互联并定义站点设置。

    image8.png

  3. 点击应用

  4. 选择新的站点,转到站点配置>云互联,然后点击新连接

    aws-cross-connect.png

    1. 连接类型下,选择公共云连接

    2. 云提供商下,选择AWS Direct Connect并输入AWS账户ID。

    3. Cato PoP位置下,选择靠近您的租户所在AWS区域的PoP。

    4. 带宽下,输入与您的Cato许可证一致的值。

    5. 目的地云区域下,选择要连接的AWS区域。

    6. 配置网络设置下,配置子网和对等私有IP地址。

    7. 点击应用

      连接建立后,导航到AWS控制台。

    8. AWS Direct Connect > 连接下,点击您创建的连接上的查看父进程映像文件详情并点击批准

      继续配置BGP连接。

      AWS-Cross-Connect-Settings.png

定义站点的BGP设置

本节解释如何在现有的私有对等连接之外定义BGP会话。

当至少有一个BGP对等可达时,云互联站点将显示为已连接状态,无论与您的云提供商的配置状态如何。

BGP建立是站点连接性的唯一指标。 BGP还允许确定路由交换和隧道故障切换。

要为 云互联站点配置BGP设置:

  1. 在BGP选项卡中配置与 云互联站点配置相同的设置。 对于每个电路,转到站点配置 > BGP并点击新建

  2. ASN设置下,将Cato ASN配置为您选择的值(确保其与之前在AWS虚拟接口配置页面上配置的对等ASN匹配)。

  3. 对等 ASN配置为您为AWS Direct Connect网关预配置的私有ASN。

  4. IP设置中配置对等IP。 这是在云互联设置中配置为站点的同一IP。 (此IP代表云提供商对等IP。)

    Cato IP是根据云互联设置自动选择的。

    image10.png

  5. 定义BGP路由策略 - 可以操作每个对等的路由宣传策略。

    我们建议在 云互联站点中的两个对等使用相同的策略以避免路由差异。

    1. 宣告选项允许您配置站点如何为此邻居宣告BGP路由。

      • 默认路由 - 站点向BGP邻居宣告默认路由(0/0)。 邻居可以将所有流量发送到此默认路由,即使它不在路由表中。 您可在默认路由添加BGP社区标签。 有关BGP社区的更多信息,请参见处理BGP过滤

      • 所有路由 - 站点向BGP邻居宣告整个账户的内部路由表。 这些路由包括静态和浮动范围,以及从站点内和网络中其他对等点学习到的路由。 通常启用此选项以将WAN流量发送到BGP邻居。

        注意: 整个SDP用户范围作为单一路由宣告给BGP对等点。

      • 摘要路由 - 站点宣告摘要路由而不是多个唯一路由,BGP对等点可以简化其转发决策并减少路由查找所需的计算资源。 请参阅处理BGP摘要路由

    2. 接受部分,选择站点是否接受或丢弃该邻居发布的动态IP地址。 当您选择丢弃选项时,您限制了来自此BGP邻居的动态传播。 有关BGP路由列表的更多信息,请参阅处理BGP过滤

      例如,使用AWS Direct Connect的部署中,虽然BGP是必需的,但您可能不希望接受AWS动态地址。 在这些部署中,我们建议选择全部丢弃

    3. NAT部分,选择对公网IP执行NAT,站点将所有IP做SNAT,并将流量转换为局域网IP地址。

      BGP_Policy_options.png

  6. 为BGP路由配置其他设置

    1. MD5 – 额外的安全层。 此字段对于AWS Direct Connect是强制性的。

      AWS给予您生成自己的MD5值或使用他们在每个虚拟接口创建时生成的MD5值的选项。

    2. 度量 - 可以更改对等优先级。

      期望的配置文件是在主要对等比次要对等拥有更好的度量。

    3. 保持时间保活间隔值。

    4. 跟踪 > 电子邮件通知 - BGP连接性变化的可选警报。

    image12.png

  7. 点击应用

     云互联站点已配置。 验证站点是否正常工作,请参阅下方监控和测试云互联站点的连接性

 云互联站点的BGP策略示例

请参阅以下支持的与Cato的Active-Passive配置中两个对等的示例。 (主要对等度量为90,次要对等度量为100)

image13.png

 云互联站点参数

在配置站点后,连接详情可在站点配置 > 云互联页面上查看。

描述

云提供商

提供有关您连接的提供商的信息,包括:

  • 该区域

  • 账户 ID

  • 连接 ID

Fabric服务

提供有关您连接的服务提供商的信息,包括:

  • 提供商名称

  • VLAN ID

  • 连接 ID

  • 连接带宽

PoP位置

指示您连接到哪个PoP。

网络设置

提供关于隧道背后连接设置的信息。

连接状态

提供关于连接过程每个阶段的信息。

  • 连接性 - 指示连接是否完全正常。

  • BGP - 指示是否与BGP对等体有连接。 这只有在建立到云提供商和织物服务提供商的连接后才能发生。

  • 云提供商 - 指示是否已建立到云提供商的连接。

  • 织物服务提供商 - 指示是否已建立到织物服务提供商的连接。

连接

单击 测试连接 以检查当前连接状态。

在AWS帐户中配置设置

本部分介绍如何为AWS数据中心配置设置,以便其可以连接到您Cato账户中的云互联站点。

要为云互联站点配置AWS Direct Connect:

  1. 在AWS中,接受AWS Direct Connect > Connections下的已订购电路。 (一旦接受,连接状态将显示为可用

    AWS连接

  2. 在AWS Direct Connect > Direct Connect Gateways中创建新的Direct Connect网关。

    1. 给予一个名称和一个私有ASN值。

      此ASN将在CMA BGP设置中被作为AWS侧引用。

      注意: 此ASN必须与为虚拟私有网关或传输网关定义的ASN不同。

    2. 选择新创建的Direct Connect网关,在网关关联下单击关联网关。

      在这里,您可以选择虚拟私有网关或传输网关。 (允许多重关联,但必须是同一网关类型) 允许的前缀 – 如果您想自定义允许广播给Cato的前缀,请在此列出。 否则,请保持此字段为空。

      image6.png

  3. 将VLAN接口附加到您的Direct Connect网关:AWS Direct Connect > Virtual Interfaces > Create Virtual Interface。

    在这里,我们将两个已配置的电路附加到Direct Connect网关。

    1. 根据您的网关类型选择私有或传输。

    2. 为每个虚拟接口提供一个名称标识符。

    3. 在连接中选择每个已配置的电路。

    4. 直连网关 - 选择在步骤#2中定义的DCG。

    5. VLAN – 为每个接口定义一个唯一的VLAN。

    6. BGP ASN – 这是Cato侧的BGP。 (两个电路共用一个ASN)

    7. 您的路由器对等IP – 每个电路的Cato对等代表/30 IP

    8. Amazon路由器对等IP – 对于每个电路,与上述相同/30子网中的IP。

    9. BGP认证密钥 – 每个接口的MD5认证层。 AWS允许您自己定义密钥或允许AWS为您随机生成密钥。

    10. 巨型MTU – 不支持。

    注意:从下线状态变为可用状态可能需要几分钟时间。

  4. 配置完成后,您应该有一个具有两个虚拟接口的Direct Connect网关处于以下状态。

    image7.png

监控和测试云互联站点的连接性

现在站点设置已完成,让我们回顾一下如何测试和监控连接。

Cato提供了多种工具来帮助您监控您的云互联站点并排除任何潜在问题,包括:

测试连接性工具

您可以使用测试连接性工具来测试每个电路的点对点云互联IP可达性。

站点配置 > 云互联中的测试连接性工具 从Cato PoP IP向要么主连接要么次连接的站点远程IP发送ICMP探针。

这些是ICMP探针的结果:

  • 成功 - 测试成功执行

  • 错误 - 测试未执行。 (测试被Cato PoP超时或无法执行)

  • 失败 - 测试成功执行但没有收到远程对等IP的响应

LAN监控

您可以使用LAN监控功能:

  • 从Cato PoP对主要电路远程IP执行连续的ICMP探测。

    注意: LAN监控仅监控云互联站点的主要电路。

  • 主机活动状态更改,适用于云提供商网络中的实例。

可以设置自定义阈值和ICMP间隔,并定义在达到这些阈值时向邮件列表发送电子邮件通知。

image16.png

这是一个LAN监控的电子邮件通知示例:

image.png

BGP状态

在站点配置 > BGP 中,显示BGP状态确认每个电路的连接性。

状态输出具体的信息,包括学习、广播的子网以及BGP对等体的附加数据。

BGP状态输出示例:

image15.png

BGP电子邮件通知

对于每个对等体,我们建议配置BGP邻居状态变更通知。 当BGP同行连接状态发生变化时,电子邮件通知会直接发送到管理员邮件列表。

站点配置 > BGP > BGP邻居 > 其他设置 > 跟踪 中配置电子邮件通知。

选择告警频率邮件列表

Cato允许以下频率配置:

  • 立即 - 每次发生时发送通知给接收者

  • 每小时 - 发送通知与首次发生时。 如果一个小时内有更多发生,则不发送额外电子邮件。

  • 每天 - 发送通知与首次发生时。 如果一天内有更多发生,则不发送额外通知。

  • 每周 - 发送通知与首次发生时。 如果一周内有更多发生,则不发送额外通知。

BGP电子邮件通知示例:

BGPemail.png

路由表

监控 > 路由表屏幕显示您账户的所有路由,包括动态路由。

路由表可用于确定基于下一跳、PoP和隧道度量的广告路由主要或次要隧道。

来自BGP的路由显示为动态路由类型。 来自被动线路对等体的路由显示为灰色。 两个线路的点对点子网在路由表中显示为静态路由类型。

例如,动态路由172.29.0.0/24由纽约PoP发布,度量为5(最高),是主要且当前的活跃隧道。

相同的路由也由Ashburn PoP上的次要隧道广告,度量较小为10。

如果Ashburn PoP上的次要隧道成为活动隧道,路由表将为此路由相应调整。

image18.png

BGP对等体是静态的并且有自己的路由表项。 这些对等项为在他们之后广告的动态BGP路由的下一跳。 类似于其他路线,可以判断哪些对等体当前活跃并拥有更高的度量并通过哪个Cato PoP位置。

image.png

事件

站点监控 > 事件 屏幕中,Cato汇总与站点相关的所有记录事件。

关键事件可用于分析时间线,例如。 您可以使用以下事件子类型过滤相关事件:

  • BGP会话 – 通知BGP会话的建立或断开连接。 断开连接的已识别原因可在扩展事件日志中查看。 (在‘+’图标下)

  • BGP路由 – 包括从BGP对等方添加或删除新路由等BGP路由更改。

  • LAN监控 – 这些事件作为您配置的LAN监控设置的一部分记录。 如果未设置LAN监控,这些事件将不会记录。

BGPevent.png

站点网络分析

站点分析可让您监控站点的流量和吞吐量,并包含以下仪表板:

  • 网络分析 – 分析连接状态更改,流量主机吞吐量的数量。

    重要的是要记住,云互联站点连接是基于BGP对等体的。 如果两个BGP对等点都无法访问,则该站点被视为已断开连接

    xconn-mbps.png

  • 事件 - 站点事件源。

  • 应用分析 - 此仪表板解析主机的吞吐量和应用使用量。 您可以添加过滤器,如IP/主机、应用程序、类别等。

    AppAnalytics.png

  • 优先级分析器 - 此仪表板允许分析随时间推移的QoS分配。 (阅读更多关于优先级分析器)

  • 已知主机 – 用于站点后方主机的实时仪表板。 每个主机可用数据点中包括IP、操作系统类型和主机活动。

    knownHosts.png

  • 实时 - 此仪表板允许实时监控活动主机、吞吐量、热门应用程序、活动QoS等。

    RealTime.png

云互联在AWS中的限制

以下是设置AWS 云互联站点前需要考虑的限制列表:

  • AWS自动分配AWS路由器IP、Cato对等IP和MD5密钥。 (您可以选择手动自定义这些值)

  • Direct Connect接口最多可接收100个通过BGP的路由广告。 (Cato拥有自定义路由汇总的选项。 如果您想配置BGP路由汇总,请联系Cato支持

    您可以阅读更多内容,访问AWS的官方 Direct Connect 文档

这篇文章有帮助吗?

2 人中有 1 人觉得有帮助

0 条评论