VMware SASE Orchestrator 提供了自助迁移功能,通过该功能,您可以在没有操作员支持的情况下从现有网关迁移到新网关。
对于以下情况,可能需要迁移网关:
- 实现运营效率。
- 停用旧网关。
网关配置有特定的角色。例如,配置了数据平面角色的网关用于将数据平面流量从源转发到目标。同样地,配置了控制平面角色的网关称为超级网关,并将分配给企业。企业中的 Edge 将连接到超级网关。此外,还有配置了安全 VPN 角色的网关,该网关用于建立到非 SD-WAN 目标 (NSD) 的 IPSec 隧道。根据为网关配置的角色,迁移步骤可能会有所不同。有关网关角色的更多信息,请参阅 VMware SD-WAN 文档中提供的《VMware SD-WAN 操作员指南》的“配置网关”一节。
下图展示了安全 VPN 网关的迁移过程:
在此示例中,SD-WAN Edge 通过安全 VPN 网关 VCG1 连接到 NSD。VCG1 网关将计划停用。在停用之前,将创建新的网关 VCG2。VCG2 将与 VCG1 分配相同的角色并连接到相同的网关池,以便可以将 VCG2 视为 VCG1 的替代项。VCG1 的服务状态将更改为“静默”。届时,无法将新的隧道或 NSD 添加到 VCG1。但是,现有分配仍保留在 VCG1 中。将在 NSD 中进行与 VCG2 的 IP 地址有关的配置更改,并在 VCG2 与 NSD 之间建立 IPSec 隧道,如此一来,流量将从 VCG1 切换到 VCG2。在确认 VCG1 为空后,将停用该网关。
下面是基于用户角色迁移安全 VPN 网关的简要工作流: