VMware 合作伙伴网关提供了不同的配置选项。在安装网关之前,应准备一个工作表。
工作表
| SD-WAN 网关 |
|
| Hypervisor | 地址/集群名称 |
| 存储 | 根卷数据存储(建议大于 40 GB) |
| CPU 分配 | KVM/VMware 的 CPU 分配。 |
| 安装选择 | DPDK - 此选项是可选的,默认情况下处于启用状态以实现更高的吞吐量。如果您选择停用 DPDK,请联系 VMware 客户支持。 |
| OAM 网络 |
|
| ETH0 – 面向 Internet 的网络 |
|
| 切换 (ETH1) - 网络 |
|
| 控制台访问 |
|
| NTP |
|
SD-WAN 网关 部分
SD-WAN 网关 部分的大部分内容无需加以说明。
| SD-WAN 网关 |
|
创建网关并获取激活密钥
- 在操作员门户中,单击网关管理 (Gateway Management) 选项卡,然后转到左侧导航窗格中的“网关池”(Gateway Pools)。此时将显示“网关池”(Gateway Pools) 页面。创建新的 SD-WAN 网关池。要在服务提供商网络中运行 SD-WAN 网关,请选中允许合作伙伴网关 (Allow Partner Gateway) 复选框。这会启用将合作伙伴网关包含在此网关池中的选项。
- 在操作员门户中,单击网关管理 (Gateway Management) > 网关 (Gateways),然后创建一个新网关并将其分配给池。此处输入的网关的 IP 地址必须与网关的公用 IP 地址 (public IP address) 相匹配。如果不确定,您可以从 SD-WAN 网关 中运行
curl ipinfo.io/ip,这会返回 SD-WAN 网关 的公用 IP。
- 记下激活密钥并将其添加到工作表中。
激活合作伙伴网关模式
- 在操作员门户中,单击网关管理 (Gateway Management) > 网关 (Gateways),然后选择 SD-WAN 网关。选中合作伙伴网关 (Partner Gateway) 复选框以激活合作伙伴网关。
此外,还有其他一些参数可以配置。最常配置的参数如下:- 通告 0.0.0.0/0,且不加密 (Advertise 0.0.0.0/0 with no encrypt) - 此选项将使合作伙伴网关能够通告 SAAS 应用程序的云流量路径。由于“加密”(Encrypt) 标记已关闭,因此,是否使用此路径将取决于业务策略上的客户配置。
-
第二个建议的选项是“以 /32 形式通告 SD-WAN Orchestrator IP,且进行加密”(advertise the SASE Orchestrator IP as a /32 with encrypt)。
这会强制从 Edge 发送到 SASE Orchestrator 的流量采用网关路径。建议选择该选项,因为它可以预测 SD-WAN Edge 访问 SASE Orchestrator 时采取的行为。
网络连接
重要说明: 以下过程和屏幕截图重点介绍最常见的部署,即网关的双臂安装。标题为
OAM 接口和静态路由的一节中说明了如何添加 OAM 网络。
上图显示了双臂部署中的 SD-WAN 网关。在此示例中,我们假定 eth0 是面向公用网络 (Internet) 的接口,eth1 是面向内部网络的接口(切换或 VRF 接口)。
注:
管理 VRF 是在
SD-WAN 网关 上创建的,用于向默认网关 IP 发送定期 ARP 刷新以检查切换接口是否已实际启动并缩短故障切换时间。为此,建议在 PE 路由器上设置专用 VRF。(可选)PE 路由器也可以使用相同的管理 VRF 向
SD-WAN 网关 发送 IP SLA 探测以检查
SD-WAN 网关 状态(
SD-WAN 网关 具有一个有状态 ICMP 响应程序,只有在其服务已启动时,该响应程序才会响应 ping 操作)。如果未设置专用管理 VRF,您可以将其中的一个客户 VRF 作为管理 VRF,但不建议这样做。
对于面向 Internet 的网络,您只需进行基本网络配置。
| ETH0 – 面向 Internet 的网络 |
|
对于切换接口,您必须知道要配置的切换类型,以及管理 VRF 的切换配置。
| ETH1 – 切换网络 |
|
控制台访问 (Console Access)
| 控制台访问 |
|
要访问网关,必须创建控制台密码和/或 SSH 公钥。
创建 cloud-init
在工作表中定义的网关的配置选项将在 cloud-init 配置中使用。cloud-init 配置由两个主要配置文件组成,即,元数据文件和用户数据文件。元数据文件中包含网关的网络配置,用户数据文件中包含网关软件配置。该文件提供了相应的信息以标识要安装的 SD-WAN 网关 实例。
以下是 meta_data 和 user_data 文件的模板。默认情况下,可以忽略 network-config,并通过 DHCP 配置网络接口。
使用工作表中的信息填充这两个模板。必须替换所有 #_VARIABLE_#,并检查任何 #ACTION#
重要说明: 模板假定您为接口使用静态配置。此外,还假定您对所有接口都使用 SR-IOV,或者对任何接口都不使用 SR-IOV。有关更多信息,请参阅
OAM - 使用 vmxnet3 的 SR-IOV 或使用 VIRTIO 的 SR-IOV。
meta-data 文件:
instance-id: #_Hostname_# local-hostname: #_Hostname_#
network-config 文件(前导空格是非常重要的!)
注: 下面的网络配置示例介绍了如何为虚拟机配置两个具有静态 IP 地址的网络接口:eth0 和 eth1。eth0 是主接口,具有默认路由,其衡量指标为 1。eth1 是辅助接口,具有默认路由,其衡量指标为 13。系统将配置为对默认用户 (vcadmin) 进行密码身份验证。此外,将为 vcadmin 用户添加 SSH 授权密钥。将使用提供的 activation_code 自动在
SASE Orchestrator 中激活 SD-WAN 网关。
version: 2
ethernets:
eth0:
addresses:
- #_IPv4_Address_/mask#
gateway4: #_IPv4_Gateway_#
nameservers:
addresses:
- #_DNS_server_primary_#
- #_DNS_server_secondary_#
search: []
routes:
- to: 0.0.0.0/0
via: #_IPv4_Gateway_#
metric: 1
eth1:
addresses:
- #_MGMT_IPv4_Address_/Mask#
gateway4: 192.168.152.1
nameservers:
addresses:
- #_DNS_server_primary_#
- #_DNS_server_secondary_#
search: []
routes:
- to: 0.0.0.0/0
via: #_MGMT_IPv4_Gateway_#
metric: 13
user-data 文件:
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
- #_SSH_public_Key_#
velocloud:
vcg:
vco: #_VCO_#
activation_code: #_Activation_Key#
vco_ignore_cert_errors: false
在 user-data 文件中配置的密码的默认用户名为“vcadmin”。请使用该默认用户名以首次登录到 SD-WAN 网关。
重要说明: 始终使用
http://www.yamllint.com/ 验证 user-data 和 metadata。network-config 也应为有效的网络配置 (
https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html)。有时,在使用 Windows/Mac 复制粘贴功能时,引入智能引号将会出现问题,这可能会损坏文件。请运行以下命令以确保没有智能引号。
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new
创建 ISO 文件
完成上述文件后,需要将这些文件打包到一个 ISO 映像中。此 ISO 映像用作虚拟机的虚拟配置 CD。此 ISO 映像(名为 vcg01-cidata.iso)是在 Linux 系统上使用以下命令创建的:
genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config
如果您使用的是 MAC OSX,请改用以下命令:
mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}
我们将该 ISO 文件命名为 #CLOUD_INIT_ISO_FILE#,该文件将在 OVA 和 VMware 安装中使用。
