介绍如何在具有三个 vSwitch 的 AliCloud Virtual Private Cloud (VPC) 上部署虚拟 Edge,每个 vSwitch 用于一个连接到 Edge 的子网,如以下拓扑图所示。
简要工作流
要在 Alibaba Cloud ECS 上部署虚拟 SD-WAN Edge,请执行以下步骤:
- 创建一个 Virtual Private Cloud (VPC)。有关步骤,请参阅创建 VPC。
- 创建三个 vSwitch,每个 vSwitch 用于一个连接到 Edge 的子网,如拓扑图所示。有关步骤,请参阅创建 vSwitch。
- 用于通过管理接口 GE1 对 Edge 进行控制台/管理访问的管理子网/vSwitch。
- 用于通过 WAN 端接口 GE2 从 Edge 访问 Internet 的公用子网/vSwitch。
- 用于通过 LAN 端接口 GE3 访问 LAN 端设备的专用子网/vSwitch。
- 创建一个安全组 (velo_vVCE_SG),并添加入站规则。有关步骤,请参阅创建安全组。
- 创建两个自定义(辅助)路由表(Velo_vVCE_Public_RT 和 Velo_vVCE_Private_RT),并将其与相应的 vSwitch(公用和专用)相关联。有关步骤,请参阅创建自定义路由表并关联 vSwitch。
- 在 SD-WAN Orchestrator 上置备一个 SD-WAN Edge,如下所示:
- 创建一个虚拟 Edge (Virtual Edge) 类型的 Edge。
- 将 GE2 接口从交换 (Switched) 更改为路由 (Routed)。
- 停用 GE3 接口的 WAN 覆盖网络 (WAN Overlay) 和 NAT 直接流量 (NAT Direct Traffic),这将成为连接到专用子网的设备(LAN 设备)的下一跃点。
- 在防火墙 SSH 访问列表中添加 JH IP。
有关更多信息,请参阅在 VCO 上置备 Edge。
- 创建并启动一个具有管理接口 (GE1) 的虚拟 SD-WAN Edge (vVCE) 实例。有关步骤,请参阅在 ECS 控制台上创建 vVCE 实例。
- 创建两个弹性网络接口 (Elastic Network Interface, ENI):一个为专用 LAN 端接口 (GE3),另一个为公用 WAN 端接口 (GE2)。有关步骤,请参阅创建弹性网络接口。
- 创建一个弹性 IP 并将其分配给 Edge 的公用接口 (GE2)。有关步骤,请参阅创建弹性 IP 并将其分配给 Edge 的公用接口。
- 将公用 (GE2) 接口和专用 (GE3) 接口绑定到 Edge 实例 (vVCE),然后重新启动 Edge 实例,以确保这些接口已连接到 Edge。有关步骤,请参阅将 ENI 绑定到 Edge 实例。
将针对 SD-WAN Orchestrator 激活 Edge 实例,并且 Edge 能够建立到网关的 VCMP 隧道。
- (可选)在 VPC 中,如果您要从专用子网(而不是通过 Internet)访问 Edge,则必须创建一个跳转主机 (Jump Host, JH) 实例(Linux 实例),该实例的一个接口位于公用子网中,用于通过 EIP 连接 Internet,而另一个接口则位于管理子网中,将通过该接口访问 Edge。有关步骤,请参阅创建跳转主机实例。
- 创建一个跳转主机。
- 创建一个 EIP,并将其绑定到跳转主机实例。
注: VCAdmin 用户将能够通过管理子网接口从 JH 访问 Edge。
- 从跳转主机登录到虚拟 Edge (vVCE)。
- 从 Shell 中针对 SD-WAN Orchestrator 激活 Edge。
注: 开始激活 Edge 后,如果您希望使用 SSH 从专用子网访问 Edge,则必须确保在防火墙 SSH 访问列表中添加 JH IP。
- 创建一个主接口连接到专用子网的 LAN 实例。有关步骤,请参阅创建 LAN 实例。
- 在专用路由表 (Velo_vVCE_Private_RT) 中,创建一个指向 Edge 的 GE3 接口的新路由条目,以作为默认路由。有关步骤,请参阅添加自定义路由表条目。
- 验证是否在 SD-WAN Orchestrator 中启动了虚拟 Edge。
