使用 CloudFormation 部署虚拟 Edge

下面介绍了如何使用 CloudFormation 模板部署虚拟 Edge 的说明。但是，在部署之前，请务必遵循必备条件要求。

必备条件

在开始使用 CloudFormation 模板部署虚拟 Edge 之前，需要满足以下条件：

AWS 帐户和登录信息。
熟悉 AWS 网络概念（请参阅：https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/VPC_Networking.html）
RSA 公钥（请参阅：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html）
VMware CloudFormation 模板（以下其中一项）：
- 绿地部署（在此处下载）
- 棕地部署（在此处下载）
具有 SD-WAN Orchestrator 目标和管理员帐户以进行登录

基本拓扑

在基本拓扑示例中，AWS VPC (10.0.0.0/16) 分为一个公用子网 (10.0.0.0/24) 和一个专用子网 (10.0.1.0/24)。虚拟 Edge 在两个子网之间路由。公用 VPC 路由将所有网络外流量转发到 Internet 网关。专用子网中的 VPC 路由器将所有流量转发到虚拟 Edge（GE3 的 ENI）上面向 LAN 的接口。在该示例中，使用默认路由转发来自工作负载的“所有”流量，但这不是必需的。可以使用 RFC1918 汇总或特定的分支/Hub 前缀减少发送到虚拟 Edge 的内容。例如，如果需要能够通过 SSH 从公开来源的 IP 访问专用子网中的工作负载，则可以配置 VPC 路由器以将默认路由 (0.0.0.0/0) 指向 Internet 网关，并将 RFC1918 汇总指向虚拟 Edge。

过程：

步骤 1：通过 SD-WAN Orchestrator 将虚拟 Edge 添加到企业

登录到 SD-WAN Orchestrator。
从导航面板转到配置 (Configure) > Edges，然后单击新建 Edge (New Edge) 按钮。
将显示置备新的 Edge (Provision New Edge) 对话框。
在置备新的 Edge (Provision New Edge) 对话框中：
1. 在名称 (Name) 文本框中键入虚拟 Edge 的名称。
2. 从模型 (Model) 下拉菜单中，选择虚拟 Edge (Virtual Edge)。
3. 在配置文件 (Profile) 下拉菜单中，为虚拟 Edge 选择一个配置文件。
4. 将“高可用性”(High Availablity) 复选框保持未选中状态，因为它不适用。
5. 将“序列号”(Serial Number) 文本框留空。
6. 单击保存 (Save)。
将使用激活密钥置备虚拟 Edge。记下激活密钥，因为您在部署 CloudFormation 模板时将使用该密钥。

步骤 2：添加 VLAN IP

必须为 VLAN 配置分配一个 IP 地址，才能保存“设备设置”(Device Settings)，但不会使用该 IP 地址。例如，使用 IP 地址 169.254.0.1。请按照以下步骤添加 VLAN IP 地址。

对于刚刚创建的虚拟 Edge，单击 SD-WAN Orchestrator 上的设备 (Device) 选项卡。
向下滚动到配置 VLAN (Configure VLAN) 部分，然后单击添加 VLAN (Add VLAN) 按钮。
将显示 VLAN 对话框。
在 VLAN 对话框中，完成以下配置：
1. 如有需要，请通过选中 Edge 覆盖 (Edge Override) 复选框来激活 Edge 覆盖。
2. 从分段 (Segment) 下拉菜单中选择一个分段。
3. VLAN 名称 (VLAN Name) 显示默认名称，可以忽略。
4. VLAN ID 显示默认值，可以忽略。
5. 默认情况下，将停用分配重叠子网 (Assign Overlapping Subnets)。
6. 在 Edge LAN IP 地址 (Edge LAN IP Address) 文本框中输入 169.254.0.1。
7. 在 CIDR 前缀 (Cidr Prefix) 文本框中输入 24。
8. 网络 (Network) 值将根据 CIDR 前缀进行配置。
9. 将通告 (Advertise) 复选框保持未选中状态。
10. 剩下字段（“多播”(Multicast)、“固定 IP”(Fixed IPs)、“LAN 接口”(LAN Interfaces) 和 SSID）可以保留其默认设置。
11. 如有需要，请通过选中 Edge 覆盖 (Edge Override) 复选框来激活 SD-WAN Edge 覆盖，以便停用 DHCP。
12. 对于 DHCP 类型 (DHCP Type)，单击已停用 (Deactivated)。
13. 可以忽略 OSPF 区域。

步骤 3：配置虚拟 Edge 接口

警告：在激活 SD-WAN Edge 之前，必须先在 SD-WAN Orchestrator 中配置设备设置 (Device Settings)。如果跳过此步骤，将激活虚拟 Edge，但在几分钟后变为脱机状态。

导航到虚拟 Edge 的“设备设置”(Device Settings)（配置 (Configure) > Edge >“设备”(Device) 选项卡）。
向下滚动到接口设置 (Interface Settings) 部分。
单击 GE2 接口的编辑 (Edit) 链接以更改接口设置。
此时将显示 GE2 接口设置的对话框。
在 GE2 接口设置 (Interface Settings) 对话框中，单击覆盖接口 (Override Interface) 复选框，然后完成以下步骤：
1. 在功能 (Capability) 下拉菜单中，将 GE2 接口功能从交换 (Switched) 更改为路由 (Routed)。
2. 从寻址类型 (Addressing Type) 下拉菜单中选择 DHCP。
3. 通过选中 WAN 覆盖网络 (WAN Overlay) 复选框来激活 WAN 覆盖网络。
单击 GE3 接口的编辑 (Edit) 链接以更改接口设置。
此时将显示 GE3 接口设置的对话框。
在 GE3“接口设置”(Interface Settings) 对话框中，单击覆盖接口 (Override Interface) 复选框，然后完成以下步骤：
1. 通过取消选中 WAN 覆盖网络 (WAN Overlay) 复选框来停用 WAN 覆盖网络，因为此接口将用于 LAN 端网关。
2. 取消选中 NAT 直接流量 (NAT Direct Traffic) 复选框以停用 NAT 直接流量。

步骤 4：通过 CloudFormation 启动虚拟 Edge

注意：如果这是首次部署虚拟 Edge，则在从 CloudFormation 模板进行部署之前，可能需要在 AWS Marketplace 中“订阅”Edge 版本。

注：有关如何配置 AWS 特定组件的其他信息，请参阅 AWS 文档。

登录到 AWS 控制台。
创建或导入密钥对。
注意：有关 AWS EC2 实例密钥的更多信息，请参阅：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html
导航到 CloudFormation。
创建 CloudFormation 堆栈。
上载 CloudFormation 模板。
按照下图所示，指定堆栈详细信息。
对于剩下的几个屏幕，除非有特定的更改需求，否则可以将这些参数、字段或文本框保留为默认设置。最后一步是创建堆栈。
查看并创建堆栈。
监控部署进度。