要手动在虚拟 Hub 中部署 VMware SD-WAN Edge,您必须已在 Azure 端创建资源组、虚拟 WAN (vWAN) 和虚拟 Hub (vHUB)。
前提条件
在 vWAN Hub 已启动并正在运行并且路由状态为“完成”(complete) 后,必须满足以下必备条件,然后才能继续通过
VMware SD-WAN Orchestrator 手动部署 Azure vWAN 网络虚拟设备 (Network Virtual Appliance, NVA):
- 获取企业帐户对 VMware SD-WAN Orchestrator 的访问权限。
- 使用相应的 IAM 角色访问 Microsoft Azure 门户。
- 此部署的软件映像要求如下:
- VMware SD-WAN Orchestrator:4.5.0 及更高版本。
- VMware SD-WAN 网关:4.5.0 及更高版本。
- VMware SD-WAN Edge:4.2.1 及以上。
过程
- 对 VMware SD-WAN Azure NVA 的 SSH 访问由 Azure 支持团队管理。Azure 端将强制实施仅允许源 IP 地址 168.63.129.16 通过 SSH 访问 Azure 虚拟 Edge 的安全策略。要允许虚拟 Edge 接受从该源 IP 通过 SSH 进行访问,请导航到,然后在允许以下 IP (Allow the following IPs) 字段下添加 IP 地址 168.63.129.16。
注: 您可以对多个或所有虚拟 Edge 使用的配置文件执行步骤 3 配置,以便无需为每个虚拟 Edge 分别进行此配置。有关此 IP 配置的更多详细信息,请参阅 https://docs.microsoft.com/zh-cn/azure/virtual-network/what-is-ip-address-168-63-129-16
- 登录到 Azure 门户,然后在 Azure 应用商店中搜索“vWAN 中的 VMware SD-WAN”(VMware SD-WAN in vWAN) 应用程序。此时将显示 vWAN 中的 VMware SD-WAN (VMware SD-WAN in vWAN) 受管应用程序页面。您可以使用该应用程序自动在虚拟 WAN Hub 中部署虚拟 Edge。
- 单击该受管应用程序上的创建 (Create),然后输入以下基本详细信息:
- 订阅 (Subscription):创建的虚拟 WAN Hub 所属的订阅。
- 资源组 (Resource Group):创建新资源组或选择现有资源组。
- 区域 (Region):选择在其中创建虚拟 WAN Hub 的区域。将在该虚拟 WAN Hub 中部署虚拟 Edge。
- 应用程序名称 (Application Name):输入受管应用程序的名称。
- 受管资源组 (Managed Resource Group) - 提供应用程序的受管资源组。受管资源组保存着用户具有有限访问权限的受管应用程序所需的所有资源。
- 在 vWAN 中的 VMware SD-WAN (VMware SD-WAN in vWAN) 选项卡中,选择选定区域中的虚拟 WAN Hub。将在该 Hub 中部署虚拟 Edge。
在客户选择虚拟 WAN Hub 后,将显示以下信息,其中列出了虚拟 WAN Hub 的 BGP 邻居 IP 地址和 ASN。记下这些信息,因为在 Orchestrator 上配置 BGP 邻居关系时需要使用这些信息。
- 缩放单位 (Scale unit):根据需要选择缩放。
- VMware SD-WAN Orchestrator:粘贴步骤 3 中的 Orchestrator URL。
- IgnoreCertErrors:将此标记设置为 False。仅当无法使用 Orchestrator URL 且必须提供 Orchestrator IP 地址时,才将此标记更改为 True。
- Edge1 的激活密钥 (ActivationKey for Edge1):粘贴步骤 3 中的激活密钥。
- Edge2 的激活密钥 (ActivationKey for Edge2):粘贴步骤 3 中的激活密钥。
- BGP ASN:将在 VMware SD-WAN Orchestrator 中的虚拟 Edge 上配置的 ASN。以下 ASN 由 Azure 或 IANA 预留:
- 由 Azure 预留的 ASN:
- 公用 ASN:8074、8075 和 12076。
- 专用 ASN:65515、65517、65518、65519 和 65520。
- 由 IANA 预留的 ASN:
- 23456、64496-64511、65535-65551 和 429496729。
- 由 Azure 预留的 ASN:
- 集群名称 (ClusterName):为部署输入不包含 #、@、_、- 等特殊字符的唯一名称。
- 在所有虚拟 Edge 均连接到 Orchestrator 后,您需要配置静态路由和 BGP 邻居,以便虚拟 Edge 可以连接到 Azure 虚拟 WAN Hub:
- 配置静态路由:添加足够的 /32 静态路由,以便每个虚拟 Edge 上都具有一个指向相应 GE2 接口的唯一路由。要添加静态路由,Orchestrator 需要下一跃点 IP 地址。可通过在 Orchestrator 的“远程诊断”(Remote Diagnostics) UI 页面中运行远程诊断“接口状态”(Interface Status) 测试来获取下一跃点 IP 地址。选择子网的分配给 GE2 的第一个 IP 地址,并将其配置为下一跃点。
如下图所示,分配给 GE2 的一个 IP 地址为 10.101.112.6/25,因此该子网的第一个 IP 地址是 10.101.112.1,该地址将用于在 Orchestrator 上配置静态路由。
下面是测试与故障排除 (Test & Troubleshoot) > 远程诊断 (Remote Diagnostics) > 接口状态 (Interface Status) 诊断测试的输出。
在 Edge 上配置两个静态路由以访问 BGP 邻居,如以下屏幕截图中所示。
- BGP 邻居配置:为每个虚拟 Edge 配置 BGP 邻居,如下图中所示。使用步骤 7 信息消息中所显示的 BGP 邻居 IP 和 ASN 编号。
在配置静态路由和 BGP 邻居关系后,虚拟 Edge 应该会开始从 Azure 虚拟 WAN Hub 中学习路由。可在监控 (Monitor) > 网络服务 (Network Services) 下验证 BGP 邻居关系状态。
- 配置静态路由:添加足够的 /32 静态路由,以便每个虚拟 Edge 上都具有一个指向相应 GE2 接口的唯一路由。要添加静态路由,Orchestrator 需要下一跃点 IP 地址。可通过在 Orchestrator 的“远程诊断”(Remote Diagnostics) UI 页面中运行远程诊断“接口状态”(Interface Status) 测试来获取下一跃点 IP 地址。选择子网的分配给 GE2 的第一个 IP 地址,并将其配置为下一跃点。
- (可选)要将与虚拟网络 (vNET) 的虚拟网络连接添加到 vHub,请转到 Azure vWAN > 连接 (Connectivity) > 虚拟网络连接 (Virtual network connections)。
单击 添加连接 (Add Connection),然后提供连接名称并选择 Hub、订阅和资源组。选择需要连接到 Hub 的 vNET 及关联的路由表。例如,vNET 中的“默认”(default) 路由表。
#cloud-config password: Velocloud123 chpasswd: { expire: False } ssh_pwauth: True velocloud: vce: management_interface: false vco: $vco activation_code: $velo2_token vco_ignore_cert_errors: $velo_ignore_cert_errors在所有其他云 Edge 上,GE1 接口均分配为“管理”接口,无法用于数据流量。
注: 对于使用“云服务基础架构”创建 Azure vWAN Hub 路由器的客户,请参阅 针对部署为 Azure vWAN NVA 的 VMware SD-WAN Edge 的 Hub 升级说明。
