03-5211-7750 平日|09:30~18:00

【Catoの利用方法】vSocketを利用してCatoへ接続するには?Microsoft Azureを利用した方法を紹介

           

サービス資料や
ホワイトペーパーはこちら

           資料を【無料】ダウンロードFREE

はじめに

前回はCatoの契約内容やトライアルについて紹介しました。今回は、具体的なCatoの利用方法を解説します。
 参考コラム:いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説


Catoに関連する情報を調べると、物理Socketに関する情報は多く見つかりますが、vSocketに関する情報は意外と少ないことが分かりました。そこで、今回のコラムではvSocketの具体的な利用方法について掘り下げてみたいと思います。

クラウド用のvSocketには、AWS用とAzure用の2種類があります。両方を解説すると長くなるため、今回はAzureに絞って説明します。


2024年11月現在Catoのホームページに記載されている内容を元にしています。
https://support.catonetworks.com/hc/en-us/articles/12274816079005-Deploying-Azure-vSockets-from-the-Marketplace

<目次>
 1、AzureをCatoに接続するまでの流れ
 2、新規サブネットの追加
 3、仮想ネットワーク間の接続
 4、まとめ

【相談無料】Catoの導入・運用についてご相談いただけます。

AzureをCatoに接続するまでの流れ

AzureをCatoに接続するには、vSocketを使用します。vSocketは、Azure環境とCatoを接続するゲートウェイとして機能します。Azure内の通信をvSocket経由でCatoに送ることで、Catoが提供するセキュリティ機能を活用できます。

想定環境


Azureの仮想マシンを利用してvSocketを構築します。仮想マシンはAzure上の仮想ネットワーク上に構築されたサブネット上で動作します。
仮想ネットワークのアドレス空間として、172.16.0.0/22を利用します。
vSocketは、WANインターフェースとLANインターフェースを保持しており、WANインターフェースはCatoとの通信に、LANインターフェースはAzure内部の通信に利用します。
Azureからのゲートウェイアドレスとして 172.16.1.4を利用します。



1. Azure側の設定


拠点の追加


AzureにvSocketを追加する前にCatoの管理画面から拠点の追加を行います。拠点の追加は管理画面 -> ネットワーク -> 拠点から可能です。

※Catoの管理画面の説明は日本語化されたものを利用します。



拠点追加時のパラメータ


新規ボタンをクリックするとパラメータの入力画面が表示されます。パラメータを入力後、適用をクリックすると拠点が追加されます。



拠点に割り当てるライセンスは、サイトライセンスを利用しています。

拠点を追加するとサイト一覧の画面に拠点が表示されます。


シリアル番号の確認


vSocketの登録には拠点に設定されたシリアル番号が必要となるため、拠点詳細画面のサイト設定をクリックしてシリアル番号(S/N)をメモしておきます。



2. vSocketのデプロイ


ここからはAzureの管理画面の内容になります。

Marketplace


管理画面にログイン後、Marketplaceを選択します。検索欄にcatoと入力すると次のような画面になります。今回はCato Networks Virtual Socket を選択します。



画面遷移後、作成をクリックします。



タブ:基本
リソースグループとリージョンを設定します。



タブ:vSocket Deployment
今回はメインで稼働するvSocketのため、”Deploy a primary vSocket”を選択します。



タブ:Networking
インターフェースの数は2を選択します。

検証目的であれば2で問題ありません。2を選択すると仮想マシンのタイプは、Standard D2s_v5とStandard D8lv_v5の2種類になります。

マネージメントサブネットが必要な場合や、通信トラフィックが多い(2Gbps以上)場合は3を選択します。3を選択すると仮想マシンのタイプがStandard D8ls_v5に固定されます。

アドレスの重複がある場合、特定のネットワークアドレスを利用したい場合は、アドレスの値を変更します。



タブ:Cato vSocket Configuration
Catoの管理画面でメモしておいたシリアル番号を入力します。
その他の設定はデフォルト値で問題ありません。



タブ:Optional Configurations
動作確認のみであればデフォルト値(None)で問題ありません。
実運用環境ではセキュリティや冗長性を考慮して設定を行う必要があります。



タブ:Tags
管理用のタグ等を設定します。



最後の画面で入力内容のチェックが実施され、”作成”をクリックするとデプロイが開始されます。



※デプロイ時にエラーメッセージが出た場合
Azureはデフォルトで利用できるCPUファミリが制限されています。そのため、マーケットプレイスを利用したデプロイが失敗することがあります。



その場合は、下図のようにvSocketで利用するCPUファミリのクォータを申請する必要があります。




デプロイ成功後の画面



3. Azure環境説明


デプロイが完了すると、vSocketのLANサブネット内で仮想マシンを起動することでCatoが利用可能になります。

デプロイ後のAzure環境では、UDR(User Defined Route)を使用して通信をCatoに向ける設定が行われています。

サーバからインターネットへ通信を行うと、送信元アドレスがCatoの管理するグローバルIPに変換されていることを確認できます。

デプロイされたUDR


デプロイされたUDRには defaultというルールが存在します。デフォルトルートへの通信をvSocketに向ける設定です。
関連付けられたサブネット(subnetLAN)のルーティング情報を上書きします。


新規サブネットの追加

テンプレートで作成された仮想ネットワークに新しくサブネットを追加する流れをご紹介します。今回は、Cato上のノードと通信が可能か確認するためモバイルクライアントを利用します。

想定環境


仮想ネットワークアドレス空間から新規にサブネットを割り当てます。(172.16.2.0/24)
同一仮想ネットワークのため、追加した時点でサブネット間の通信が可能になっていますが、通信はCatoに向いていないため、Catoに向けて通信するように設定を行います。

確認用のモバイルクライアントのネットワークは 192.168.99.0/24 を利用します。



サブネットの通信をCatoに向ける設定


仮想ネットワーク内にサブネットを追加します。



追加したserverLANサブネットをCatoのUDRと関連付けます。



この時点でモバイルクライアントにpingを飛ばすとvSocketへパケットが到達しますが、戻りのパケットが返って来ません。理由はモバイルクライアントからサブネットの戻りの経路が無いためです。

vSocketのLANインターフェース キャプチャ内容(経路設定前)


Catoの管理画面からAzureの拠点に 172.16.2.0/24 のネットワークを追加することで、モバイルクライアントからの戻りのパケットがvSocketのLANインターフェースに流れました。

172.16.2.0/24はvSocketのNativeネットワーク(172.16.1.0/24)と異なるため、タイプにRoutedを選択し、ゲートウェイのアドレスにNativeネットワークの既定のゲートウェイ(172.16.1.1)を設定しています。



vSocketのLANインターフェース キャプチャ内容(経路設定後)


仮想ネットワーク間の接続

テンプレートで作成された仮想ネットワーク以外をCatoのネットワークに接続するにはピアリングを利用します。ピアリングは異なる仮想ネットワーク間を接続する機能です。
ピアリング後、vSocketを中継ノードとして利用することでCatoとの通信を可能にします。

想定環境


新規に仮想ネットワーク(10.0.0.0/8)を作成し、サブネット(10.0.0.0/24)を追加します。



ピアリング


仮想ネットワーク間の相互通信を可能にするため、ピアリングの設定を行います。ピアリングを設定すると、サブネット間の通信が可能になり、サーバからvSocketへの通信も実現できます。

ピアリングを設定すると、サブネット同士があたかもL2スイッチで接続されているように見えます。ただし、サーバとvSocketが異なるネットワークに所属しているため、サーバのルーティングテーブルには直接経路情報を追加することはできません。

ピアリング完了


UDR


サーバのルーティングテーブルでは対応できないため、ここでもUDRを利用します。新しい仮想ネットワーク用のUDRはCatoのデプロイ時に作成されたものとは別に作成します。

次の例はUDRを利用してモバイルネットワークへの通信をvSocketに向けたものです。



Catoのルーティング


最後に 10.0.0.0/24の経路情報をCatoに追加することで双方向に通信が可能となります。


まとめ

Azure環境をCatoに接続する流れをご紹介しました。物理Socketと比べると少々手順が多くなりますが、Marketplaceを利用してユーザの作業が少なくなるように工夫されています。

今回の構築作業を通じて感じたことは、Azure環境に不慣れな場合、クォータの設定やルーティングといったAzure特有の機能で戸惑う可能性があるという点です。

アクセリアでは、オンプレミス環境だけでなく、AzureやAWSといったクラウド環境の構築もサポートしています。クラウド環境でお困りの際は、ぜひアクセリアにご相談ください。

【ご相談は無料です】お気軽にご連絡ください

アクセリア株式会社

サービス事業本部
セキュリティ事業本部
Contact usお問い合わせ

サービスにご興味をお持ちの方は
お気軽にお問い合わせください。

Webからお問い合わせ

お問い合わせ

お電話からお問い合わせ

03-5211-7750

平日09:30 〜 18:00

Download資料ダウンロード

製品紹介やお役立ち資料を無料でご活用いただけます。

Magazineメルマガ登録

最新の製品情報などタイムリーな情報を配信しています。

Free Service

PageSpeed Insights シミュレータ

CDNによるコンテンツの最適化を行った場合のPageSpeed Insightsのスコアをシミュレートしてレポートします。