【Catoの利用方法】vSocketを利用してCatoへ接続するには?Microsoft Azureを利用した方法を紹介
はじめに
参考コラム:いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説 |
Catoに関連する情報を調べると、物理Socketに関する情報は多く見つかりますが、vSocketに関する情報は意外と少ないことが分かりました。そこで、今回のコラムではvSocketの具体的な利用方法について掘り下げてみたいと思います。
クラウド用のvSocketには、AWS用とAzure用の2種類があります。両方を解説すると長くなるため、今回はAzureに絞って説明します。
2024年11月現在Catoのホームページに記載されている内容を元にしています。
https://support.catonetworks.com/hc/en-us/articles/12274816079005-Deploying-Azure-vSockets-from-the-Marketplace
<目次>
1、AzureをCatoに接続するまでの流れ
2、新規サブネットの追加
3、仮想ネットワーク間の接続
4、まとめ
AzureをCatoに接続するまでの流れ
想定環境
Azureの仮想マシンを利用してvSocketを構築します。仮想マシンはAzure上の仮想ネットワーク上に構築されたサブネット上で動作します。
仮想ネットワークのアドレス空間として、172.16.0.0/22を利用します。
vSocketは、WANインターフェースとLANインターフェースを保持しており、WANインターフェースはCatoとの通信に、LANインターフェースはAzure内部の通信に利用します。
Azureからのゲートウェイアドレスとして 172.16.1.4を利用します。
1. Azure側の設定
拠点の追加
AzureにvSocketを追加する前にCatoの管理画面から拠点の追加を行います。拠点の追加は管理画面 -> ネットワーク -> 拠点から可能です。
※Catoの管理画面の説明は日本語化されたものを利用します。
拠点追加時のパラメータ
新規ボタンをクリックするとパラメータの入力画面が表示されます。パラメータを入力後、適用をクリックすると拠点が追加されます。
拠点に割り当てるライセンスは、サイトライセンスを利用しています。
拠点を追加するとサイト一覧の画面に拠点が表示されます。
シリアル番号の確認
vSocketの登録には拠点に設定されたシリアル番号が必要となるため、拠点詳細画面のサイト設定をクリックしてシリアル番号(S/N)をメモしておきます。
2. vSocketのデプロイ
ここからはAzureの管理画面の内容になります。
Marketplace
管理画面にログイン後、Marketplaceを選択します。検索欄にcatoと入力すると次のような画面になります。今回はCato Networks Virtual Socket を選択します。
画面遷移後、作成をクリックします。
タブ:基本
リソースグループとリージョンを設定します。
タブ:vSocket Deployment
今回はメインで稼働するvSocketのため、”Deploy a primary vSocket”を選択します。
タブ:Networking
インターフェースの数は2を選択します。
検証目的であれば2で問題ありません。2を選択すると仮想マシンのタイプは、Standard D2s_v5とStandard D8lv_v5の2種類になります。
マネージメントサブネットが必要な場合や、通信トラフィックが多い(2Gbps以上)場合は3を選択します。3を選択すると仮想マシンのタイプがStandard D8ls_v5に固定されます。
アドレスの重複がある場合、特定のネットワークアドレスを利用したい場合は、アドレスの値を変更します。
タブ:Cato vSocket Configuration
Catoの管理画面でメモしておいたシリアル番号を入力します。
その他の設定はデフォルト値で問題ありません。
タブ:Optional Configurations
動作確認のみであればデフォルト値(None)で問題ありません。
実運用環境ではセキュリティや冗長性を考慮して設定を行う必要があります。
タブ:Tags
管理用のタグ等を設定します。
最後の画面で入力内容のチェックが実施され、”作成”をクリックするとデプロイが開始されます。
※デプロイ時にエラーメッセージが出た場合
Azureはデフォルトで利用できるCPUファミリが制限されています。そのため、マーケットプレイスを利用したデプロイが失敗することがあります。
その場合は、下図のようにvSocketで利用するCPUファミリのクォータを申請する必要があります。
デプロイ成功後の画面
3. Azure環境説明
デプロイが完了すると、vSocketのLANサブネット内で仮想マシンを起動することでCatoが利用可能になります。
デプロイ後のAzure環境では、UDR(User Defined Route)を使用して通信をCatoに向ける設定が行われています。
サーバからインターネットへ通信を行うと、送信元アドレスがCatoの管理するグローバルIPに変換されていることを確認できます。
デプロイされたUDR
デプロイされたUDRには defaultというルールが存在します。デフォルトルートへの通信をvSocketに向ける設定です。
関連付けられたサブネット(subnetLAN)のルーティング情報を上書きします。
新規サブネットの追加
想定環境
仮想ネットワークアドレス空間から新規にサブネットを割り当てます。(172.16.2.0/24)
同一仮想ネットワークのため、追加した時点でサブネット間の通信が可能になっていますが、通信はCatoに向いていないため、Catoに向けて通信するように設定を行います。
確認用のモバイルクライアントのネットワークは 192.168.99.0/24 を利用します。
サブネットの通信をCatoに向ける設定
仮想ネットワーク内にサブネットを追加します。
追加したserverLANサブネットをCatoのUDRと関連付けます。
この時点でモバイルクライアントにpingを飛ばすとvSocketへパケットが到達しますが、戻りのパケットが返って来ません。理由はモバイルクライアントからサブネットの戻りの経路が無いためです。
vSocketのLANインターフェース キャプチャ内容(経路設定前)
Catoの管理画面からAzureの拠点に 172.16.2.0/24 のネットワークを追加することで、モバイルクライアントからの戻りのパケットがvSocketのLANインターフェースに流れました。
172.16.2.0/24はvSocketのNativeネットワーク(172.16.1.0/24)と異なるため、タイプにRoutedを選択し、ゲートウェイのアドレスにNativeネットワークの既定のゲートウェイ(172.16.1.1)を設定しています。
vSocketのLANインターフェース キャプチャ内容(経路設定後)
仮想ネットワーク間の接続
ピアリング後、vSocketを中継ノードとして利用することでCatoとの通信を可能にします。
想定環境
新規に仮想ネットワーク(10.0.0.0/8)を作成し、サブネット(10.0.0.0/24)を追加します。
ピアリング
仮想ネットワーク間の相互通信を可能にするため、ピアリングの設定を行います。ピアリングを設定すると、サブネット間の通信が可能になり、サーバからvSocketへの通信も実現できます。
ピアリングを設定すると、サブネット同士があたかもL2スイッチで接続されているように見えます。ただし、サーバとvSocketが異なるネットワークに所属しているため、サーバのルーティングテーブルには直接経路情報を追加することはできません。
ピアリング完了
UDR
サーバのルーティングテーブルでは対応できないため、ここでもUDRを利用します。新しい仮想ネットワーク用のUDRはCatoのデプロイ時に作成されたものとは別に作成します。
次の例はUDRを利用してモバイルネットワークへの通信をvSocketに向けたものです。
Catoのルーティング
最後に 10.0.0.0/24の経路情報をCatoに追加することで双方向に通信が可能となります。
まとめ
今回の構築作業を通じて感じたことは、Azure環境に不慣れな場合、クォータの設定やルーティングといったAzure特有の機能で戸惑う可能性があるという点です。
アクセリアでは、オンプレミス環境だけでなく、AzureやAWSといったクラウド環境の構築もサポートしています。クラウド環境でお困りの際は、ぜひアクセリアにご相談ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service