Brána partnera systému VMware nabízí různé možnosti konfigurace. Před instalací brány je třeba připravit pracovní list.
Pracovní list
| SD-WAN Gateway |
|
| Hypervizor | Adresa / název clusteru |
| Úložiště (Storage) | Úložiště dat kořenového svazku (doporučeno > 40 GB)
Poznámka: Doporučuje se, aby na hostiteli brány partnera bylo v adresáři /tmp/partition na disku nejméně dvakrát tolik volného místa, než je velikost paměti (RAM).
|
| Přidělení CPU | Přidělení CPU pro KVM/VMware. |
| Volby instalace | DPDK – volitelná funkce, standardně aktivována kvůli vyšší propustnosti. Pokud se rozhodnete DPDK deaktivovat, kontaktujte zákaznickou podporu VMware. |
| Síť OAM (volitelné, viz oddíl Vlastní konfigurace (Optional See Custom Configurations)) |
|
| ETH0 – síť s přístupem na internet |
|
| Handoff (ETH1) – Síť |
|
| Přístup ke konzole |
|
| NTP (volitelné, viz oddíl Vlastní konfigurace (Optional See Custom Configurations)) |
|
Oddíl brány SD-WAN Gateway
Většina oddílu brány SD-WAN Gateway je zřejmá.
| SD-WAN Gateway |
|
Vytvoření brány a získání aktivačního klíče
- Přejděte do nabídky Operátor > Fond bran (Operator > Gateway Pool) a vytvořte nový fond bran SD-WAN Gateway. Chcete-li spouštět bránu SD-WAN Gateway v síti poskytovatele služeb, označte pole Povolit bránu partnera (Allow Partner Gateway). Tato akce aktivuje možnost zahrnout bránu partnera do tohoto fondu bran.
- Přejděte do nabídky Operátor > Brána (Operator > Gateway), vytvořte novou bránu a přiřaďte ji do fondu. Zde zadaná IP adresa brány musí odpovídat veřejné IP adrese (public IP address) brány. Pokud si nejste jistí, můžete z brány SD-WAN Gateway spustit příkaz
curl ipinfo.io/ip, který vrátí veřejnou IP adresu brány SD-WAN Gateway.
- Poznamenejte si aktivační klíč a doplňte ho do pracovního listu.
Aktivace režimu brány partnera
- Přejděte do nabídky Operátor > Brány (Operator > Gateways) a vyberte bránu SD-WAN Gateway. Chcete-li bránu partnera aktivovat, zaškrtněte pole Brána partnera (Partner Gateway).
K dispozici jsou další parametry, které lze konfigurovat. Nejběžnější jsou tyto:
Oznámení 0.0.0.0/0 bez šifrování (Advertise 0.0.0.0/0 with no encrypt)
Tato možnost aktivuje bránu partnera k oznámování cesty ke cloudovému provozu pro aplikaci SAAS. Příznak šifrování je vypnutý, a to až do nakonfigurování pravidel řízení ze strany zákazníka, zda bude nebo nebude možné tuto cestu použít.
Druhým doporučeným parametrem je oznamovat IP adresy SD-WAN Orchestrator jako /32 se šifrováním (advertise the IP as a /32 with encrypt).
To vynutí, aby provoz, který bude odesílán z nástroje Edge do systému SD-WAN Orchestrator, použil cestu brány. Tento postup se doporučuje, protože zavádí předvídatelnost chování, které SD-WAN Edge potřebuje ke komunikaci se systémem SD-WAN Orchestrator.
Práce v síti
Výše uvedené schéma představuje bránu SD-WAN Gateway v zavedení dvou ramen. V tomto příkladu předpokládáme, že eth0 je rozhraní směřující do veřejné sítě (internet) a eth1 je rozhraní směřující do interní sítě (handoff nebo rozhraní VRF).
Pro síť komunikující s internetem potřebujete pouze základní konfiguraci sítě.
| ETH0 – síť s přístupem na internet |
|
U rozhraní handoff je třeba vědět, jaký typ handoff chcete konfigurovat, a znát konfiguraci handoff pro VRF správy.
| ETH1 – Síť handoff |
|
Přístup ke konzole (Console Access)
| Přístup ke konzole |
|
Aby bylo možné přistupovat k bráně, musí být vytvořeno heslo konzoly a/nebo veřejný klíč SSH.
Vytvoření cloud-init
Možnosti konfigurace pro bránu, kterou jsme definovali v pracovním listu, se používají v konfiguraci cloud-init. Konfiguraci cloud-init tvoří dva hlavní konfigurační soubory, soubor metadat a soubor uživatelských dat. Soubor metadat obsahuje síťovou konfiguraci brány a soubor uživatelských dat obsahuje konfiguraci softwaru brány. Tento soubor poskytuje informace identifikující instalovanou instanci systému SD-WAN Gateway.
Níže jsou uvedeny šablony pro soubory Meta_data a User_data.
Šablony doplňte údaji z pracovního listu. Všechny #_VARIABLE_# je třeba nahradit a zkontrolujte také všechny položky #ACTION#
instance-id: #_Hostname_# local-hostname: #_Hostname_#
network-interfaces: |
auto eth0
iface eth0 inet static
address #_IPv4_Address_#
mac_address #_mac_Address_#
netmask #_IPv4_Netmask_#
gateway #_IPv4_Gateway_#
dns-nameservers
#_DNS_server_primary_#
#_DNS_server_secondary_#
auto eth1
iface eth1 inet static
metric '13'
address #_MGMT_IPv4_Address_#
mac_address #_MGMT_mac_Address_#
netmask #_MGMT_IPv4_Netmask_#
gateway #_MGMT_IPv4_Gateway_#
dns-nameservers
#_DNS_server_primary_#
#_DNS_server_secondary_#
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd:
expire: false
ssh_authorized_keys:
- #_SSH_public_Key_#
ssh_pwauth: true
velocloud:
vcg:
activation_code: #_Activation_Key_#
vco: #_VCO_#
runcmd:
- "echo \"[]\" > /opt/vc/etc/vc_blocked_subnets.json"
- "sed -iorig \"s/wan=\\\".*/wan=\\\"eth0 eth1\\\"/\" /etc/config/gatewayd-tunnel"
- /var/lib/cloud/scripts/per-boot/config_gateway
- "sleep 10"
- "/opt/vc/bin/vc_procmon restart"
write_files:
-
content: |
#!/usr/bin/python
import json
### EDIT GATEWAYD ###
with open("/etc/config/gatewayd", "r") as jsonFile:
data = json.load(jsonFile)
data["global"]["vcmp.interfaces"] = ["eth0"]
data["global"]["wan"] = ["eth1"]
# NOTE FOR HAND OFF IT CAN BE "QinQ (0x8100)" "QinQ (0x9100)" "none" "802.1Q" "802.1ad"
data["vrf_vlan"]["tag_info"][0]["mode"] = "#_Handoff_"
data["vrf_vlan"]["tag_info"][0]["interface"] = "eth1"
data["vrf_vlan"]["tag_info"][0]["c_tag"] = "#_C_TAG_FOR_MGMT_VRF_#"
data["vrf_vlan"]["tag_info"][0]["s_tag"] = "#_S_TAG_FOR_MGMT_VRF_"
with open("/etc/config/gatewayd", "w") as jsonFile:
jsonFile.write(json.dumps(data,sort_keys=True,indent=4, separators=(",", ": ")))
### EDIT DPDK ###
with open("/opt/vc/etc/dpdk.json", "r") as jsonFile:
data = json.load(jsonFile)
#SET 0 or 1 for enabled or DISABLED example data["dpdk_enabled"] = 0
data["dpdk_enabled"] = #_DKDP_ENABLED_(1)_OR_DISABLED_(0)_#
with open("/opt/vc/etc/dpdk.json", "w") as jsonFile:
jsonFile.write(json.dumps(data,sort_keys=True,indent=4, separators=(",", ": ")))
path: /var/lib/cloud/scripts/per-boot/config_gateway
permissions: "0755"
final_message: "==== Cloud-init completed ===="
power_state:
condition: true
delay: "+1"
message: "Bye Bye"
mode: reboot
timeout: 30
- Společnost VMware doporučuje mít pro všechny produkční nástroje Orchestrator nakonfigurovaný správný a plně kvalifikovaný název domény (FQDN), aby pro ně mohly být vydávány správné certifikáty TLS.
- Pokud je aktivace pomocí IP adresy nástroje Orchestrator jedinou možností, použijte následující příklad, který instruuje Edge, aby obešel ověření TLS.
commands.getoutput("/opt/vc/bin/ activate.py -s myvco.example.com -i #_activation_key_#") - Tato konfigurace se nedoporučuje pro produkční použití a důrazně doporučujeme, abyste co nejdříve provedli novou aktivaci s využitím hostitelského jména nástroje Orchestrator.
/etc/network/interfaces) po dokončení funkce cloud-init). Někdy při práci s funkcí kopírovat/vložit u systémů Windows/Mac hrozí nebezpečí vzniku typografických uvozovek, které mohou soubory poškodit. Abyste se ujistili, že v souborech nejsou žádné chytré uvozovky, spusťte následující příkaz.
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new
Vytvoření souboru ISO
Jakmile jsou soubory hotové, je třeba je zabalit do obrazu ISO. Tento obraz ISO se použije jako virtuální konfigurační CD ve virtuálním počítači. Tento obraz ISO s názvem vcg01-cidata.iso se vytvoří pomocí tohoto příkazu systému Linux:
genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data
Pracujete-li v operačním systému MAC OSX, použijte místo toho tento příkaz:
mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data}
Tento soubor ISO, který bude mít název #CLOUD_INIT_ISO_FILE#, bude použit jak v instalaci OVA, tak v instalaci VMware.
