要置备 SD-WAN Edge,请执行该过程中的步骤。
前提条件
确保您具有 SD-WAN Orchestrator 主机名和管理员帐户以进行登录。
过程
- 使用您的登录凭据以管理员用户身份登录到 SD-WAN Orchestrator 应用程序。
- 转到配置 (Configure) > Edge。
- 在 Edge (Edges) 屏幕中,单击添加 Edge (Add Edge)。此时将显示置备 Edge (Provision an Edge) 屏幕。
- 您可以配置以下选项:
选项 描述 模式 (Mode) 默认情况下,将选择 SD-WAN Edge 模式。 名称 (Name) 输入 Edge 的唯一名称。 型号 (Model) 从下拉菜单中选择虚拟 Edge (Virtual Edge)。 配置文件 (Profile) 从下拉菜单中选择快速启动配置文件 (Quick Start Profile)。 注: 如果由于 Edge 自动激活而将 Edge 转储配置文件 (Edge Staging Profile) 显示为选项,这指示该配置文件将由新分配但尚未设置生产配置文件的 Edge 使用。Edge 许可证 (Edge License) 从下拉菜单中选择一个 Edge 许可证。该列表显示操作员分配给企业的许可证。 身份验证 (Authentication) 从下拉菜单中选择身份验证模式:
- 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
警告: 建议不要将该模式用于任何客户部署。
- 可选证书 (Certificate Acquire):默认情况下,将选择该模式,建议将其用于所有客户部署。在可选证书 (Certificate Acquire) 模式下,将在激活 Edge 时颁发证书并自动进行续订。Orchestrator 指示 Edge 从 SD-WAN Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,Edge 使用该证书在 SD-WAN Orchestrator 中进行身份验证并建立 VCMP 隧道。
注: 在获取证书后,如果需要,可以将该选项更新为 强制证书 (Certificate Required)。
- 强制证书 (Certificate Required):该模式仅适用于“静态”客户企业。静态企业定义为:可能在企业中部署不超过几个新的 Edge,并且预计不会进行新的面向 PKI 的更改。
重要说明: 强制证书 (Certificate Required) 并不具有比 可选证书 (Certificate Acquire) 更高的安全优势。两种模式是同样安全的,使用 强制证书 (Certificate Required) 的客户只应出于本节中所述的原因这样做。强制证书 (Certificate Required) 模式意味着,在没有有效证书的情况下,不接受任何 Edge 检测信号。在该模式下,Edge 使用 PKI 证书。操作员可以编辑 Orchestrator 的系统属性以更改 Edge 的证书续订时间段。有关更多信息,请与您的操作员联系。小心: 在客户不知道这种严格实施的情况下,使用该模式可能会导致 Edge 发生故障。
注:- 在启用了 Bastion Orchestrator 功能的情况下,要转储到 Bastion Orchestrator 的 Edge 应将身份验证模式设置为可选证书 (Certificate Acquire) 或强制证书 (Certificate Required)。
- 在吊销 Edge 证书后,将停用 Edge 并需要执行激活过程。当前的 QuickSec 设计会检查证书吊销列表 (Certificate Revocation List, CRL) 时间有效性。CRL 时间有效性必须与 Edge 的当前时间匹配,CRL 才会对新建立的连接产生影响。要实现这一点,请确保正确更新 Orchestrator 时间以与 Edge 日期和时间相匹配。
加密设备密钥 (Encrypt Device Secrets) 选中启用 (Enable) 复选框,以允许 Edge 加密所有平台上的敏感数据。Edge 概览 (Overview) 页面上也提供了该选项。 注: 对于 Edge 版本 5.2.0 及更高版本,在停用该选项之前,必须先使用远程操作停用 Edge。此操作会导致重新启动 Edge。高可用性 (High Availability) 选中启用 (Enable) 复选框以应用高可用性 (HA)。Edge 可以作为单个独立设备安装,也可以与另一个 Edge 配对以提供高可用性 (HA) 支持。 本地联系人姓名 (Local Contact Name) 输入 Edge 的站点联系人姓名。 本地联系人电子邮件 (Local Contact Email) 输入 Edge 的站点联系人电子邮件地址。 - 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
- 输入所有必填的详细信息,然后单击下一步 (Next) 以配置以下其他选项:
注: 仅当输入所有必填详细信息时,才会激活 下一步 (Next) 按钮。
选项 描述 序列号 (Serial Number) 输入 Edge 的序列号。如果指定,Edge 必须在激活时显示此序列号。 注: 在 AWS Edge 上部署虚拟 VMware SD-WAN Edge 时,请确保将实例 ID 作为 Edge 序列号。描述 (Description) 输入相应的描述。 位置 (Location) 单击设置位置 (Set Location) 链接以设置 Edge 位置。如果未指定,在激活 Edge 时,将自动从 IP 地址中检测该位置。 - 单击添加 Edge (Add Edge)。
此时会置备 Edge,并且激活密钥显示在页面顶部。记下激活密钥,以便从 AliCloud 控制台启动 Edge 时使用。注: 如果未使用激活密钥激活 Edge 设备,激活密钥将在一个月后过期。
- 配置虚拟 Edge 接口。以下所述步骤针对的是拓扑 A 中所示的情况。
- 转到配置 (Configure) > Edge。Edge (Edges) 页面将显示现有的 Edge。
- 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
- 转到接口设置 (Interface Settings) 区域。
- 在连接 (Connectivity) 类别中,展开接口 (Interfaces)。将显示适用于选定 Edge 的不同类型的接口。
- 选中覆盖接口 (Override Interface) 复选框,然后更新虚拟 Edge 接口 GE1 接口 (GE1 Interface)、GE2 接口 (GE2 Interface) 和 GE3 接口 (GE3 Interface) 的配置,如下所示:
- 将 GE1 接口功能更改为路由 (Routed),并停用 WAN 覆盖网络 (WAN Overlay) 和 NAT 直接流量 (NAT Direct Traffic)。
- 将 GE2 接口功能更改为路由 (Routed),并确保激活了 WAN 覆盖网络 (WAN Overlay) 和 NAT 直接流量 (NAT Direct Traffic)。
- 对于 GE3 接口,停用 WAN 覆盖网络 (WAN Overlay) 和 NAT 直接流量 (NAT Direct Traffic),这是连接到专用 VPC 子网的设备(LAN 设备)的下一跃点。
有关更多信息,请参阅 《VMware SD-WAN 管理指南》中的 配置 Edge 的接口设置主题。
结果
将在 SD-WAN Orchestrator 上置备虚拟 Edge。
下一步做什么
在 GCP 上部署虚拟 Edge。您可以使用以下方法之一部署虚拟 Edge: