要通过 VMware SASE Orchestrator 自动部署 Azure vWAN NVA,请执行以下步骤:

过程

  1. 在 Orchestrator 中,确保已激活多云服务 (Multi-Cloud Service, MCS) 帐户。您可以通过检查以下系统属性来进行验证:
    • session.options.enableMcsServiceAccount
    • vco.system.configuration.data.mcsNginxRedirection
    注: 请联系 EdgeOps 团队以激活 Orchestrator 的 MCS 帐户。
  2. 对于企业用户,激活 MCS 帐户后,您可以从 Orchestrator UI 顶部的服务 (Services) 下拉菜单中单击云 Hub (Cloud Hub) 以访问 MCS 服务。
    此时将显示 云 Hub (Cloud Hub) 服务页面。
  3. 要在 vWAN HUB 网络中部署 NVA Edge,请执行以下步骤:
    1. 创建新凭据
    2. 创建新的云 Hub
  4. 要创建新凭据,请单击配置 (Configure) > 凭据 (Credential) > 新建凭据 (New Credential)。提供所有必需的详细信息,然后单击创建 (Create)
    字段 描述
    名称 (Name) 输入 Azure 凭据的唯一名称。
    云提供商 (Cloud Provider) 选择 Azure 作为云提供商。
    客户端 ID (Client ID) 输入 Azure 订阅的客户端 ID。
    租户 ID (Tenant ID) Azure 门户中 Azure Active Directory (AD) 租户的 ID。输入订阅所属的租户 ID。
    客户端密钥 (Client Secret) 输入 Azure 订阅的客户端密钥。
    订阅 ID (Subscription ID) Azure 门户中订阅的 ID。输入相应 Azure 订阅 ID,该订阅中创建了用于部署虚拟 Edge 的虚拟 WAN Hub。

    有关如何为 Azure 门户中的订阅检索 ID 的详细信息,请参阅如何创建新的 Azure Active Directory (Azure AD) 应用程序和服务主体

    对于云 Hub 功能,建议客户创建具有以下权限 (JSON) 的自定义角色,以便仅提供对必需资源的访问权限。
    "permissions": [
    {
    "actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/read",
    "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/operationstatuses/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/operations/read",
    "Microsoft.Network/virtualWans/read",
    "Microsoft.Network/virtualWans/join/action",
    "Microsoft.Network/virtualWans/virtualHubs/read",
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.AzureStack/linkedSubscriptions/linkedResourceGroups/linkedProviders/virtualNetworks/read",
    "Microsoft.Network/networkVirtualAppliances/delete",
    "Microsoft.Network/networkVirtualAppliances/read",
    "Microsoft.Network/networkVirtualAppliances/write",
    "Microsoft.Network/networkVirtualAppliances/getDelegatedSubnets/action",
    "Microsoft.Network/virtualNetworks/read",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/virtualNetworks/peer/action",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
    "Microsoft.Network/virtualNetworks/subnets/read",
    "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
    "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }
    ]
  5. 要创建新的云 Hub,请执行以下步骤:
    注: 云 Hub 工作流目前仅针对新配置文件进行了测试。因此,建议先创建一个新配置文件,然后再继续在 vWAN HUB 网络中部署 NVA Edge。
    1. 导航到配置 (Configure) > 工作流 (Workflow),然后单击新建云 Hub (New Cloud Hub)
      此时将显示 云凭据 (Cloud Credentials) 页面。
    2. 提供所有必需的云凭据详细信息,然后单击下一步 (Next)
      字段 描述
      云提供商 (Cloud Provider) 选择 Azure 作为云提供商。
      Azure 连接选项 (Azure Connectivity Options) 选择在 Azure vWAN 中将虚拟 Edge 部署为 NVA (Deploy Virtual Edge as an NVA in Azure vWAN) 作为 Hub 和 vNet 之间的连接选项。
      云订阅 (Cloud Subscription) 您可以使用现有的云订阅,也可以单击新建 (Create New) 选项以创建新订阅。

      此时将显示 vWAN 和 vHUB 选项 (vWAN and vHUB Options) 页面。

    3. 选择 vWAN 和 vHUB,然后通过提供所有必需详细信息来置备虚拟 Azure NVA Edge(具有唯一名称)。
      字段 描述
      资源组 (Resource Group) 选择在 Azure 端创建的资源组。
      vWAN 选择在 Azure 端创建的虚拟 WAN。
      选择 vHUB (Choose vHUB)
      区域 (Region) 选择要将虚拟 WAN Hub 部署到的区域。将在该虚拟 WAN Hub 中部署虚拟 Edge。
      vHub 选择一个用于部署虚拟 SD-WAN Edge 的虚拟 WAN Hub。
      地址空间 (Address Space) 采用 CIDR 表示法的 Hub 地址范围。要创建 Hub,最小地址空间为 /24。
      工作流名称 (Workflow Name) 输入虚拟 WAN Hub 的工作流名称。
      创建 Edge 网络 (Create Edge Networking)
      NVA 名称 (NVA Name) 输入网络虚拟设备 (NVA) Edge 设备的唯一名称。
      选择 NVA 版本 (Select NVA Version) 选择 NVA 版本。
      Edge 集群名称 (Edge Cluster Name) 输入 Edge 集群的唯一名称。
      缩放单位 (Scale Units) 将启动一对 Edge。缩放单位可以是 2、4 或 10,它们映射到 Azure 实例类型。
      选择配置文件 (Select Profile) 选择一个用于关联虚拟 Edge 的配置文件。
      注: 您可以使用现有的配置文件,也可以创建新的配置文件,然后再在 Azure vWAN Hub 中部署 Azure vWAN NVA Edge。
      Edge 许可证 (Edge License) 选择与虚拟 Edge 关联的 Edge 许可证。
      联系人姓名 (Contact Name) 输入联系人姓名。
      联系人电子邮件 (Contact Email) 输入联系人电子邮件 ID。
      BGP ASN 输入将在 VMware SASE Orchestrator 中的虚拟 Edge 上配置的 ASN 值。
      注: Azure 保留的 ASN:
      • 公用 ASN:8074、8075 和 12076。
      • 专用 ASN:65515、65517、65518、65519 和 65520。
    4. 单击完成 (Finish)。新创建的云 Hub 将显示在工作流 (Workflow) 页面中。
    5. 详细信息 (Detail) 列下,单击查看 (View) 以查看所选云 Hub 的事件详细信息。
      注: 当前,没有为云 Hub 服务提供单独的“监控”(Monitor) 页面。您可以使用 SD-WAN 服务的“监控”(Monitor) 页面来验证 Edge 操作和状态。
  6. 在 SD-WAN 服务门户中,单击监控 (Monitor) > Edge (Edges),以验证使用云 Hub 自动化服务置备/部署的虚拟 Azure NVA Edge 是否已连接。
  7. 要验证是否已为部署的虚拟 Azure NVA Edge 建立 BGP 会话,请单击监控 (Monitor) > 路由 (Routing)
    重要说明: 在创建虚拟 Edge 后,导航到 配置 (Configure) > Edge > 防火墙 (Firewall) > Edge 访问 (Edge Access),并在 允许以下 IP (Allow the following IPs) 字段下方添加 IP 地址“168.63.129.16”,为每个虚拟 Edge 配置 IP 地址。
    注: 您可以对多个或所有虚拟 Edge 使用的配置文件执行此配置,以便无需为每个虚拟 Edge 分别进行此配置。

    有关此 IP 配置的更多详细信息,请参阅 https://docs.microsoft.com/zh-cn/azure/virtual-network/what-is-ip-address-168-63-129-16