介绍了如何使用部署管理器 (DM) 在 Google Cloud Virtual Private Cloud (VPC) 上部署虚拟 Edge,其中包含三个 VPC 网络:管理 VPC (10.0.2.x/24)、公有 VPC (10.0.0.x/24) 和专用 VPC (10.0.1.x/24),每个网络用于一个连接到 Edge 的子网,如以下拓扑图中所示。



虚拟 Edge 在两个子网之间路由。公用 VPC 路由将所有网络外流量转发到 Internet 网关。专用子网中的网关路由器将所有流量转发到虚拟 Edge (GE3) 上面向 LAN 的接口。在该示例中,使用默认路由转发来自工作负载的“所有”流量,但这不是必需的。可以使用 RFC1918 汇总或特定的分支/Hub 前缀减少发送到虚拟 Edge 的内容。例如,如果仍然需要能够通过 SSH 从公开来源的 IP 访问专用子网中的工作负载,则可以配置 VPC 路由器以将默认路由 (0.0.0.0/0) 指向 Internet 网关,并将 RFC1918 汇总指向虚拟 Edge。

简要工作流

要使用部署管理器在 Google Cloud Platform 上部署 VMware SD-WAN 虚拟 Edge,请执行以下步骤:

  1. 在 GCP 中启用 Cloud 部署管理器 API。有关步骤,请参阅启用部署管理器
  2. SD-WAN Orchestrator 上置备一个 SD-WAN Edge,如下所示:
    1. 创建一个虚拟 Edge (Virtual Edge) 类型的 Edge,并记下在置备该 Edge 后在屏幕顶部显示的激活密钥。
    2. 为该 Edge 配置一个 VLAN IP 地址(使用 169.254.0.1 /24)。不要启用通告 (Advertise)DHCP
    3. 按如下方式配置虚拟 Edge 接口:
      • 将 GE2 接口功能从交换 (Switched) 更改为路由 (Routed),并启用 WAN 覆盖网络 (WAN Overlay)DHCP 寻址 (DHCPAddressing)
      • 对于 GE3 接口,禁用 WAN 覆盖网络 (WAN Overlay)NAT 直接流量 (NAT Direct Traffic),因为该接口将用于 LAN 端网关。

    有关更多信息,请参阅在 VCO 上置备 Edge

    注: 在激活 Edge 之前, SD-WAN Orchestrator 需要先配置“设备设置”(Device Settings)。如果未执行该步骤,将激活虚拟 Edge,但在几分钟后变为脱机状态。
  3. 部署 GCP 映像,方法是先创建 VPC 网络,然后使用每个接口的相对引用部署 DM 模板。还会在模板中使用 cloud-init 以提供 vEdge 的 SD-WAN Orchestrator 目标和激活密钥。
    1. 创建三个 Virtual Private Cloud (VPC) 网络(管理 VPC 网络、公用 VPC 网络和专用 VPC 网络),每个网络用于一个连接到 Edge (n1-standard-4) 的子网,如拓扑图中所示。
      • 管理子网,用于通过管理接口 GE1 对 Edge 进行控制台/管理访问。
      • 公用子网,用于通过 WAN 端接口 GE2 从 Edge 访问 Internet。
      • 专用子网,用于通过 LAN 端接口 GE3 访问 LAN 端设备。

      有关如何创建 VPC 网络的步骤,请参阅创建 VPC 网络

    2. 修改部署管理器 (DM) 模板。以下是一个示例 DM 模板。您可以使用该模板,但确保针对您的环境进行必要的更改。
      # "VMware SD-WAN by VeloCloud GCP Deployment Manager Template (34020191029)"
      # gcloud deployment-manager deployments create velocloud-vce --config gcp_dm.yaml
      # gcloud deployment-manager deployments delete velocloud-vce
      resources:
      - type: compute.v1.instance
        name: dm-gcp-vce-01
        properties:
          zone: us-west1-a
          machineType: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/zones/us-west1-a/machineTypes/n1-standard-4
          canIpForward: true
          disks:
          - deviceName: boot
            type: PERSISTENT
            boot: true
            autoDelete: true
            initializeParams:
              sourceImage: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/images/vce-340-62-r34-20190821-tt-image
          networkInterfaces:
            - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/networks/velo-mgmt-vpc
              subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-mgmt-sn
            - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/networks/velo-public-vpc
              subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/public-sn
              accessConfigs:
                - name: External NAT
                  type: ONE_TO_ONE_NAT
            - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/networks/velo-private-vpc
              subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-private-sn
          metadata:
            items:
            - key: user-data
              value: |
                 #cloud-config
                 velocloud:
                  vce:
                   vco: 13.52.27.116
                   activation_code: YPTF-PN33-THTX-28V5
                   vco_ignore_cert_errors: false
      

    有关 GCLOUD CLI 的信息,请参阅 https://cloud.google.com/sdk/gcloud/

  4. 验证是否在 SD-WAN Orchestrator 中激活了虚拟 Edge。

    在 GCP 中运行实例后,如果提供的所有信息正确无误,虚拟 Edge 将使用激活密钥访问 SD-WAN Orchestrator,激活并根据需要执行软件更新(如果已升级,则重新引导)。典型部署时间在 3 到 4 分钟之间。