Créer une VIF hébergée sur AWS pour un MVE avec Palo Alto SD-WAN
Les VIF hébergées peuvent se connecter à des services cloud AWS publics ou privés : une VIF hébergée ne peut pas se connecter à une interface virtuelle de transit. Ces connexions partagent la bande passante.
Pour créer une VIF hébergée à partir d’un MVE vers AWS
-
Dans le Megaport Portal, accédez à la page Services et sélectionnez le MVE pour la connexion.
-
Cliquez sur +Connection (+Connexion), puis sur la vignette Cloud.
-
Sélectionnez AWS comme fournisseur de services, sélectionnez Hosted VIF (VIF hébergée) comme type de connexion AWS, sélectionnez le port de destination et cliquez sur Next (Suivant).
Vous pouvez utiliser le filtre Country (Pays) pour restreindre la sélection.
-
Précisez ces détails de connexion :
-
Connection Name (Nom de la connexion) – Le nom de votre VXC qui doit apparaître sur le Portail Megaport.
Conseil
Faites correspondre ce nom au nom de connexion AWS sur l’écran suivant afin de faciliter le mappage.
-
Service Level Reference (Référence de niveau de service) (optionnelle) – Spécifiez un numéro d’identification unique pour la VXC à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.
Remarque
Les comptes gérés par les partenaires peuvent appliquer un accord partenaire à un service. Pour plus de détails, voir Association d’une transaction à un service.
-
Rate Limit (Débit maximal) – Il s’agit de la vitesse de votre connexion en Mbits/s. Les valeurs acceptées vont de 1 Mbit/s à 5 Gbits/s, par incréments d’1 Mbit/s. Notez que la somme de toutes les VXC hébergées dans un service peuvent dépasser la capacité du MVE, mais le total n’explosera jamais au-delà de la capacité du MVE.
- Preferred A-End VLAN (VLAN A-End préféré) – Le cas échéant, spécifiez un ID VLAN inutilisé pour cette connexion.
Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.
-
-
Cliquez sur Next (Suivant).
-
Précisez les détails du service AWS.
Voici les détails de chaque champ :
-
Sélectionnez Public (Publique) ou Private (Privée).
Private (privée) – Accédez à des services AWS privés tels qu’un VPC, des instances EC2, des équilibreurs de charge, des instances RDS DB, sur l’espace d’adresse IP privée.
Public (publique) – Accédez aux services AWS publics comme Amazon Simple Storage Service (S3), DynamoDB, CloudFront et Glacier. Vous recevrez également les préfixes IP mondiaux d’Amazon (environ 2 000 préfixes).
Remarque : Les VIF publiques nécessitent une intervention manuelle d’Amazon et peuvent prendre jusqu’à 72 heures. -
AWS Connection Name (Nom de la connexion AWS) – Il s’agit d’un champ de texte qui portera le nom de votre interface virtuelle qui apparaît dans la console AWS. Le champ AWS Connection Name (Nom de la connexion AWS) est automatiquement renseigné avec le nom spécifié dans une étape précédente.
-
AWS Account ID (ID du compte AWS) – Il s’agit de l’ID du compte auquel vous souhaitez vous connecter. Vous pouvez trouver cette valeur dans la section Management (Gestion) de votre console AWS.
-
Customer ASN (ASN du client) (facultatif) – Spécifie l’ASN utilisé pour les sessions de peering BGP sur toute VXC connectée au MVE. Cette valeur est définie lors de la configuration du MVE et, une fois définie, elle ne peut pas être changée.
-
BGP Auth Key (Clé d’authentification BGP) (facultatif) – Spécifiez la clé BGP MD5. Si vous laissez ce champ vide, Megaport négocie automatiquement une clé pour vous avec AWS, et affiche la clé dans le Portail Megaport. La clé n’est pas affichée dans la console AWS.
-
Customer IP Address (Adresse IP client) – L’espace d’adressage IP (au format CIDR) utilisé sur votre réseau pour le peering. Ce champ est facultatif pour les connexions privées. S’il est laissé vide, Megaport attribue une adresse.
-
Amazon IP Address (Adresse IP Amazon) – L’espace d’adressage IP au format CIDR attribué dans le réseau VPC AWS pour le peering. Ce champ est facultatif pour les connexions privées et s’il est laissé vide, Megaport attribue automatiquement une adresse.
-
Prefixes (Préfixes) (facultatif) – (visible uniquement pour les connexions publiques) Spécifiez les préfixes IP à annoncer à AWS. Précisez les préfixes que vous annoncerez lors du déploiement d’un service Direct Connect public (uniquement les adresses IPv4 attribuées par un RIR).
Une fois que vous avez configuré les préfixes pour une connexion publique, vous ne pouvez plus les modifier et le champ est grisé. Pour modifier cette valeur, créez un ticket d’assistance avec AWS afin qu’ils puissent effectuer ce changement de manière non impactante. Vous pouvez également annuler la VIF hébergée et passer une nouvelle commande. Dans les deux cas, vous devez attendre qu’AWS approuve manuellement la demande.
-
-
Cliquez sur Next (Suivant) pour passer au résumé des détails de la connexion, ajoutez la VXC au panier, et commandez la connexion.
La VXC AWS apparaît comme une connexion pour le MVE dans le Portail Megaport.
Ensuite, acceptez la connexion dans AWS.
Accepter l’interface virtuelle pour les connexions privées
Quelques minutes après avoir commandé une VXC privée hébergée par VIF, la demande correspondante de la VIF entrante est visible sur la page AWS Direct Connect > Virtual Interfaces (Connecter > Interfaces virtuelles) dans la console AWS. (Ceci est spécifique à la région associée au port AWS cible). Si votre VIF n’apparaît pas après quelques minutes, vérifiez que vous visualisez la bonne région.
Pour examiner et accepter l’interface virtuelle privée
-
Depuis la page AWS Direct Connect > Virtual Interface (AWS Direct Connect > Interface virtuelle), cliquez sur l’ID de l’interface pour afficher les détails de la configuration et du peering.
Le nom et l’ID de compte de la VIF doivent correspondre aux valeurs fournies dans le portail et l’ASN BGP doit correspondre à l’ASN du client configuré avec la VXC. L’ASN Amazon est l’ASN AWS de la région par défaut et non la valeur spécifiée lors de la configuration. - Ceci est mis à jour lorsque l’interface virtuelle est acceptée et attribuée.
-
Cliquez sur Accept (Accepter).
-
Sélectionnez le type de passerelle et ensuite la passerelle spécifique pour cette nouvelle interface virtuelle.
-
Cliquez sur Accept virtual interface (Accepter l’interface virtuelle).
L’état de la connexion passe de confirming (confirmation en cours) à pending (en attente), puis passe à available (disponible) une fois que la connexion BGP a été établie. Notez qu’il y a parfois un retard avec l’apparition du statut BGP available (disponible)du côté d’AWS, bien que vous puissiez confirmer l’état actuel du lien de la couche 3 par la vue du portail.
Accepter l’interface virtuelle pour les connexions publiques
Quelques minutes après avoir commandé une VXC publique hébergée par VIF, la demande de VIF entrante correspondante apparaît sur AWS Direct Connect > Virtual Interfaces (Interfaces virtuelles) dans la console AWS. Ceci est spécifique à la région associée au port AWS cible.
Pour examiner et accepter l’interface virtuelle publique
- Depuis la page AWS Direct Connect > Virtual Interface (AWS Direct Connect > Interface virtuelle), cliquez sur l’ID de l’interface pour afficher les détails de la configuration et du peering.
- Vérifiez les détails de la configuration et à l’invite, cliquez sur Accept (Accepter), puis surConfirm (Confirmer).
L’état de la connexion passe de confirming (confirmation en cours) à verifying (vérification en cours). À ce stade, la connexion doit être vérifiée par Amazon, - un processus qui peut prendre jusqu’à 72 heures. Une fois la vérification effectuée, le statut passe sur available (disponible).
Ajout des détails de connexion AWS à Palo Alto VM-Series
Après avoir créé la connexion de votre MVE à AWS et configuré la connexion dans la console AWS, vous devez la configurer dans VM-Series. Cela implique d’ajouter une interface de périphérique et de configurer les paramètres BGP.
Pour configurer une connexion AWS entre un MVE Palo Alto et AWS
-
Récupérez les détails de la connexion depuis le Portail Megaport.
Cliquez sur l’icône d’engrenage pour la connexion AWS de votre MVE et cliquez sur la vue Details (Détails). Notez les valeurs du A-End VLAN, Adresse du client (et CIDR), Adresse Amazon et ASN du client. -
Connectez-vous à la VM-Series.
-
Choisissez Network > Interfaces (Réseau > Interfaces).
-
Sélectionnez le MVE A-End (
ethernet1/1
). -
Cliquez sur Add Subinterface (Ajouter une sous-interface) en bas de l’écran.
-
Fournissez ces détails :
-
Interface Name – (Nom de l’interface) Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.
-
Comment (Commentaire) – Saisissez un autre nom, par exemple, AWS VIF dxvif-fh9aokej.
-
Tag (Balise) – Spécifiez la valeur du VLAN interne A-End associée à l’AWS VXC que vous avez créé dans le portail Megaport.
-
Virtual Router (Routeur virtuel) – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.
-
-
Sélectionnez l’onglet IPv4.
- Sélectionnez Static (Statique) comme Type.
- Cliquez sur +Add (+Ajouter) pour ajouter une nouvelle adresse IP.
- Saisissez l’adresse IPv4 et le masque de réseau.
- Cliquez sur OK.
- Cliquez sur Commit (Valider) dans le coin supérieur droit.
- Vérifiez les modifications et cliquez sur Commit (Valider).
La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1
.
Ensuite, vous allez créer une zone de sécurité afin que l’interface puisse acheminer le trafic.
Pour créer une zone de sécurité
- Sélectionnez la sous-interface
ethernet1/1.1010
. - Sélectionnez New Zone (Nouvelle zone) dans la liste déroulante Security Zone (Zone de sécurité).
- Spécifiez un nom pour la zone de sécurité.
- Cliquez sur +Add (+Ajouter) sous Interfaces et ajoutez
ethernet1/1.1010
à la zone de sécurité. - Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
- Sélectionnez New Zone Protection Profile (Nouveau profil de protection de zone) dans la liste déroulante Zone Protection Profile (Profil de protection de zone).
- Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
- Cliquez sur OK.
- Cliquez sur OK (OK) dans l’écran Layer3 Subinterface (Sous-interface de la Couche 3).
- Cliquez sur Commit (Valider) dans le coin supérieur droit.
- Vérifiez les modifications et cliquez sur Commit (Valider).
À ce stade, vous avez créé l’interface. Ensuite, vous allez créer la session BGP.
Pour créer la session BGP
- Choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
- Sélectionnez le routeur virtuel.
- Dans le volet de gauche, sélectionnez BGP.
- Fournissez les détails BGP suivants :
- Enable (Activer) – Cochez cette case pour démarrer la session BGP après avoir validé ces modifications.
- Router ID (ID de routeur) – Spécifiez une adresse IP sur ce système Palo Alto à utiliser comme ID de routeur. Il s’agit de la valeur de Customer Address (Adresse du client) provenant des détails de la connexion Megaport.
- AS Number (Numéro AS) – Spécifiez l’ASN que vous avez utilisé dans la commande AWS VIF. Il s’agit de la valeur ASN du client issue de la connexion AWS dans le portail Megaport.
- Cliquez sur +Add (+Ajouter) sous Auth Profiles (Profils d’authentification).
- Spécifiez un Nom de Profil.
- Saisissez et confirmez le mot de passe d’authentification.
- Cliquez sur OK.
- Sélectionnez l’onglet Peer Group (Groupe de pairs).
- Cliquez sur +Add (+Ajouter) pour ajouter un groupe de pairs.
- Spécifiez un nom pour le groupe de pairs. Par exemple, AWS-VIF-xxxx.
- Spécifiez eBGP comme type de session.
- Spécifiez tous les détails supplémentaires requis pour votre réseau.
- Cliquez sur +Add (+Ajouter) pour ajouter un nouveau pair.
- Spécifiez les détails pour le pair :
- Name (Nom) – Spécifiez un nom pour le pair.
- Peer AS (AS du pair) – Spécifiez le numéro de système autonome (ASN) pour le pair.
- Local Address (Adresse locale) – Sélectionnez la sous-interface et l’adresse IP appropriées dans la liste déroulante.
- Peer Address (Adresse du pair) – Saisissez l’adresse IPv4 côté AWS. Il s’agit de l’Amazon Address (adresse Amazon) provenant des détails de connexion au portail Megaport.
- Sélectionnez l’onglet Connection Options (Options de connexion).
- Sélectionnez le profil d’authentification précédemment créé.
- Cliquez sur OK (OK) dans l’écran Peer Group - Peer (Groupe de pairs - Pair).
- Cliquez sur OK (OK) dans l’écran BGP - Peer Group/Peer (Groupe de pair/Pair).
- Cliquez sur OK (OK) dans l’écran Virtual Router (Routeur virtuel).
- Cliquez sur Commit (Valider) dans le coin supérieur droit.
- Vérifiez les modifications et cliquez sur Commit (Valider).
Validation de votre connexion AWS
Pour vérifier le statut du pair BGP
- Choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
- Localisez votre routeur virtuel (par défaut).
- Cliquez sur More Runtime Stats (Plus de statistiques d’exécution) dans la colonne Runtime Stats (Statistiques d’exécution) sur la droite.
- Sélectionnez l’onglet BGP, puis sélectionnez l’onglet Peer (Pair).
-
Vérifiez que le statut du pair est Established (Établi).
Vous pouvez également vérifier le statut sur votre portail AWS Direct Connect (l’actualisation peut prendre quelques minutes).