Brána partnera systému VMware nabízí různé možnosti konfigurace. Před instalací brány je třeba připravit pracovní list.

Pracovní list

Brána SD-WAN Gateway
  • Verze (Version)
  • Umístění souboru OVA/QCOW2
  • Aktivační klíč (Activation Key)
  • SASE Orchestrator (IP ADRESA / vco-fqdn-hostname)
  • Název hostitele
Hypervizor Adresa / název clusteru
Úložiště (Storage) Úložiště dat kořenového svazku (doporučeno > 40 GB)
Přidělení CPU Přidělení CPU pro KVM/VMware.
Volby instalace DPDK – volitelná funkce, standardně aktivována kvůli vyšší propustnosti. Pokud se rozhodnete DPDK deaktivovat, kontaktujte zákaznickou podporu VMware.
Síť OAM
  • DHCP
  • Adresa OAM IPv4
  • Síťová maska OAM IPv4
  • Server DNS – primární
  • Server DNS – sekundární
  • Statické směru
ETH0 – síť s přístupem na internet
  • Adresa IPv4
  • Síťová maska IPv4
  • Výchozí brána IPv4
  • Server DNS – primární
  • Server DNS – sekundární
Handoff (ETH1) – Síť
  • Adresa IPv4 VRF MGMT
  • Síťová maska IPv4 VRF MGMT
  • Výchozí brána IPv4 VRF MGMT
  • Server DNS – primární
  • Server DNS – sekundární
  • Handoff (QinQ (0x8100), QinQ (0x9100), none, 802.1Q, 802.1ad)
  • C-TAG
  • S-TAG
Přístup ke konzole
  • Console_Password
  • SSH:
    • Aktivní (ano/ne)
    • Veřejný klíč SSH
NTP
  • Veřejný NTP:
    • server 0.ubuntu.pool.ntp.org
    • server 1.ubuntu.pool.ntp.org
    • server 2.ubuntu.pool.ntp.org
    • server 3.ubuntu.pool.ntp.org
  • Interní server NTP – 1
  • Interní server NTP – 2

Oddíl brány Brána SD-WAN Gateway

Většina oddílu brány Brána SD-WAN Gateway je zřejmá.

Brána SD-WAN Gateway
  • Verze (Version) –musí být stejná nebo nižší než SASE Orchestrator
  • Umístění souboru OVA/QCOW2 (OVA/QCOW2 file location) – naplánujte si umístění souboru a přidělení místa na disku
  • Aktivační klíč (Activation Key)
  • SASE Orchestrator (IP ADRESA / vco-fqdn-hostname)
  • Název hostitele (Hostname) – platný název hostitele Linux „RFC 1123“

Vytvoření brány a získání aktivačního klíče

  1. V portálu operátora klikněte na kartu Správa brány (Gateway Management) a přejděte do nabídky Fondy bran (Gateway Pools) v levém navigačním podokně. Otevře se stránka Fondy bran (Gateway Pools). Vytvořte nový fond Brána SD-WAN Gateway. Chcete-li spouštět bránu Brána SD-WAN Gateway v síti poskytovatele služeb, označte pole Povolit bránu partnera (Allow Partner Gateway). Tato akce aktivuje možnost zahrnout bránu partnera do tohoto fondu bran.

  2. V portálu operátora klikněte na tlačítko Správa brány (Gateway Management) > Brány (Gateways) a vytvořte novou bránu a přiřaďte ji k fondu. Zde zadaná IP adresa brány musí odpovídat veřejné IP adrese (public IP address) brány. Pokud si nejste jistí, můžete z brány Brána SD-WAN Gateway spustit příkaz curl ipinfo.io/ip, který vrátí veřejnou IP adresu brány Brána SD-WAN Gateway.

  3. Poznamenejte si aktivační klíč a doplňte ho do pracovního listu.

Aktivace režimu brány partnera

  1. V portálu operátora klikněte na možnost Správa brány (Gateway Management) > Brány (Gateways) a vyberte možnost Brána SD-WAN Gateway. Chcete-li bránu partnera aktivovat, zaškrtněte pole Brána partnera (Partner Gateway).

    K dispozici jsou další parametry, které lze konfigurovat. Nejběžnější jsou tyto:
    • Oznamování 0.0.0.0/0 bez šifrování (Advertise 0.0.0.0/0 with no encrypt) – tato možnost aktivuje bránu partnera k oznámování cesty ke cloudovému provozu pro aplikaci SAAS. Příznak šifrování je vypnutý, a to až do nakonfigurování pravidel řízení ze strany zákazníka, zda bude nebo nebude možné tuto cestu použít.

    • Druhým doporučeným parametrem je oznamovat IP adresy SASE Orchestrator jako /32 se šifrováním (advertise the IP as a /32 with encrypt).

      To vynutí, aby provoz, který bude odesílán z nástroje Edge do systému SASE Orchestrator, použil cestu brány. Tento postup se doporučuje, protože zavádí předvídatelnost chování, které Zařízení SD-WAN Edge potřebuje ke komunikaci se systémem SASE Orchestrator.

Práce v síti

Důležité: Následující postup a snímky obrazovky se zaměřují na nejběžnější nasazení, což je instalace brány 2-ARM. Přidání sítě OAM se řeší v oddílu s názvem Rozhraní OAM a statické směru.

vcg-partner-gateway-pe-image

Výše uvedené schéma představuje bránu Brána SD-WAN Gateway v zavedení dvou ramen. V tomto příkladu předpokládáme, že eth0 je rozhraní směřující do veřejné sítě (internet) a eth1 je rozhraní směřující do interní sítě (handoff nebo rozhraní VRF).

Poznámka: Na bráně Brána SD-WAN Gateway je vytvořen VRF správy (Management VRF), který se používá k odesílání periodického obnovení ARP na IP adresu výchozí brány, aby bylo možné zkontrolovat, že rozhraní předání je fyzicky spuštěné a zkracuje dobu převzetí služeb při selhání. Doporučuje se, aby byl za tímto účelem na routeru PE nastaven vyhrazený VRF. Volitelně může být stejný VRF správy použit směrovačem PE také k odeslání sondy IP adresy SLA do brány Brána SD-WAN Gateway za účelem kontroly stavu brány Brána SD-WAN Gateway (brána Brána SD-WAN Gateway má stavový odpovídač ICMP, který bude reagovat na signál ping pouze tehdy, je-li služba spuštěna). Není-li vyhrazený VRF správy nastaven, můžete jako VRF správy použít jeden z VRF zákazníka, ale nedoporučuje se to.

Pro síť komunikující s internetem potřebujete pouze základní konfiguraci sítě.

ETH0 – síť s přístupem na internet
  • IPv4_Address
  • IPv4_Netmask
  • IPv4_Default_gateway
  • DNS_server_primary
  • DNS_server_secondary

U rozhraní handoff je třeba vědět, jaký typ handoff chcete konfigurovat, a znát konfiguraci handoff pro VRF správy.

ETH1 – Síť handoff
  • MGMT_IPv4_Address
  • MGMT_IPv4_Netmask
  • MGMT_IPv4_Default gateway
  • DNS_Server_Primary
  • DNS_Server_Secondary
  • Handoff (QinQ (0x8100), QinQ (0x9100), none, 802.1Q, 802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

Přístup ke konzole (Console Access)

Přístup ke konzole
  • Console_Password
  • SSH:
    • Aktivní (ano/ne)
    • Veřejný klíč SSH

Aby bylo možné přistupovat k bráně, musí být vytvořeno heslo konzoly a/nebo veřejný klíč SSH.

Vytvoření cloud-init

Možnosti konfigurace pro bránu, kterou jsme definovali v pracovním listu, se používají v konfiguraci cloud-init. Konfiguraci cloud-init tvoří dva hlavní konfigurační soubory, soubor metadat a soubor uživatelských dat. Soubor metadat obsahuje síťovou konfiguraci brány a soubor uživatelských dat obsahuje konfiguraci softwaru brány. Tento soubor poskytuje informace identifikující instalovanou instanci systému Brána SD-WAN Gateway.

Níže jsou uvedeny šablony pro soubory meta_data a user_data. Síťovou konfiguraci lze vynechat a síťová rozhraní se ve výchozím nastavení nakonfigurují přes protokol DHCP.

Šablony doplňte údaji z pracovního listu. Všechny #_VARIABLE_# je třeba nahradit a zkontrolovat všechny položky #ACTION#.

Důležité: Šablona předpokládá, že pro rozhraní používáte statickou konfiguraci. Dále se předpokládá, že buď používáte SR-IOV pro všechna rozhraní, nebo ho nepoužíváte vůbec. Další informace naleznete v tématu OAM – funkce SR-IOV s vmxnet3 nebo SR-IOV s VIRTIO.
soubor meta-data: 
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
soubor network-config (mezery na začátku jsou důležité!)
Poznámka: Níže uvedené příklady síťové konfigurace popisují proces konfigurace virtuálního počítače se dvěma síťovými rozhraními (eth0 a eth1) pomocí statických IP adres. eth0 je primární rozhraní s výchozím směrem a metrikou 1. eth1 je sekundární rozhraní s výchozím směrem a metrikou 13. Systém bude konfigurován s autentizací hesla pro výchozího uživatele (vcadmin). Kromě toho bude pro uživatele vcadmin přidán ověřený klíč SSH. Brána SD-WAN Gateway bude automaticky aktivována do systému SASE Orchestrator pomocí poskytnutého aktivačního kódu (activation_code). 
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
soubor user-data: 
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

Výchozí uživatelské jméno pro heslo, které je konfigurováno v souboru user-data, je „vcadmin“. Použijte toto výchozí uživatelské jméno pro první přihlášení do zařízení Brána SD-WAN Gateway.

Důležité: Vždy ověřte soubory user-data a metadata pomocí http://www.yamllint.com/, network-config by měla také být platná síťová konfigurace ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Někdy při práci s funkcí kopírovat/vložit u systémů Windows/Mac hrozí nebezpečí vzniku typografických uvozovek, které mohou soubory poškodit. Abyste se ujistili, že v souborech nejsou žádné chytré uvozovky, spusťte následující příkaz. 
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Vytvoření souboru ISO

Jakmile jsou soubory hotové, je třeba je zabalit do obrazu ISO. Tento obraz ISO se použije jako virtuální konfigurační CD ve virtuálním počítači. Tento obraz ISO s názvem vcg01-cidata.iso se vytvoří pomocí tohoto příkazu systému Linux: 

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Pracujete-li v operačním systému MAC OSX, použijte místo toho tento příkaz:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Tento soubor ISO, který bude mít název #CLOUD_INIT_ISO_FILE#, bude použit jak v instalaci OVA, tak v instalaci VMware.