简要工作流

要在 Alibaba Cloud ECS 上部署虚拟 SD-WAN Edge，请执行以下步骤：

1. 创建一个 Virtual Private Cloud (VPC)。有关步骤，请参阅创建 VPC。
2. 创建三个 vSwitch，每个 vSwitch 用于一个连接到 Edge 的子网，如拓扑图所示。有关步骤，请参阅创建 vSwitch。
   • 用于通过管理接口 GE1 对 Edge 进行控制台/管理访问的管理子网/vSwitch。
   • 用于通过 WAN 端接口 GE2 从 Edge 访问 Internet 的公用子网/vSwitch。
   • 用于通过 LAN 端接口 GE3 访问 LAN 端设备的专用子网/vSwitch。
3. 创建一个安全组 (velo_vVCE_SG)，并添加入站规则。有关步骤，请参阅创建安全组。
4. 创建两个自定义（辅助）路由表（Velo_vVCE_Public_RT 和 Velo_vVCE_Private_RT），并将其与相应的 vSwitch（公用和专用）相关联。有关步骤，请参阅创建自定义路由表并关联 vSwitch。
5. 在 SD-WAN Orchestrator 上置备一个 SD-WAN Edge，如下所示：
   1. 创建一个虚拟 Edge (Virtual Edge) 类型的 Edge。
   2. 将 GE2 接口从交换 (Switched) 更改为路由 (Routed)。
   3. 停用 GE3 接口的 WAN 覆盖网络 (WAN Overlay) 和 NAT 直接流量 (NAT Direct Traffic)，这将成为连接到专用子网的设备（LAN 设备）的下一跃点。
   4. 在防火墙 SSH 访问列表中添加 JH IP。

      有关更多信息，请参阅在 VCO 上置备 Edge。

6. 创建并启动一个具有管理接口 (GE1) 的虚拟 SD-WAN Edge (vVCE) 实例。有关步骤，请参阅在 ECS 控制台上创建 vVCE 实例。
7. 创建两个弹性网络接口 (Elastic Network Interface, ENI)：一个为专用 LAN 端接口 (GE3)，另一个为公用 WAN 端接口 (GE2)。有关步骤，请参阅创建弹性网络接口。
8. 创建一个弹性 IP 并将其分配给 Edge 的公用接口 (GE2)。有关步骤，请参阅创建弹性 IP 并将其分配给 Edge 的公用接口。
9. 将公用 (GE2) 接口和专用 (GE3) 接口绑定到 Edge 实例 (vVCE)，然后重新启动 Edge 实例，以确保这些接口已连接到 Edge。有关步骤，请参阅将 ENI 绑定到 Edge 实例。

   将针对 SD-WAN Orchestrator 激活 Edge 实例，并且 Edge 能够建立到网关的 VCMP 隧道。

10. （可选）在 VPC 中，如果您要从专用子网（而不是通过 Internet）访问 Edge，则必须创建一个跳转主机 (Jump Host, JH) 实例（Linux 实例），该实例的一个接口位于公用子网中，用于通过 EIP 连接 Internet，而另一个接口则位于管理子网中，将通过该接口访问 Edge。有关步骤，请参阅创建跳转主机实例。
    1. 创建一个跳转主机。
    2. 创建一个 EIP，并将其绑定到跳转主机实例。
       注： VCAdmin 用户将能够通过管理子网接口从 JH 访问 Edge。
    3. 从跳转主机登录到虚拟 Edge (vVCE)。
    4. 从 Shell 中针对 SD-WAN Orchestrator 激活 Edge。
       注： 开始激活 Edge 后，如果您希望使用 SSH 从专用子网访问 Edge，则必须确保在防火墙 SSH 访问列表中添加 JH IP。
11. 创建一个主接口连接到专用子网的 LAN 实例。有关步骤，请参阅创建 LAN 实例。
    1. 在专用路由表 (Velo_vVCE_Private_RT) 中，创建一个指向 Edge 的 GE3 接口的新路由条目，以作为默认路由。有关步骤，请参阅添加自定义路由表条目。
12. 验证是否在 SD-WAN Orchestrator 中启动了虚拟 Edge。