Chcete-li nasadit Zařízení VMware SD-WAN Edge ve virtuálním centru Hub ručně, musíte již mít vytvořenou skupinu zdrojů, virtuální síť WAN (vWAN) a virtuální centrum Hub (vHUB) na straně Azure.

Postup konfigurace:

Požadavky

Jakmile je spuštěn vWAN Hub a stav směrování je dokončen, musíte před pokračováním v ručním nasazení virtuálního zařízení Azure vWAN Network (NVA) splnit následující předpoklady prostřednictvím VMware SASE Orchestrator:
  • Získán přístup podnikového účtu k VMware SASE Orchestrator.
  • Získán přístup k portálu Microsoft Azure s příslušnými rolemi IAM.
  • Požadavky na bitovou kopii programu pro toto nasazení jsou následující: 
    • VMware SASE Orchestrator: 4.5.0 a vyšší.
    • Brána VMware SD-WAN Gateway: 4.5.0 a vyšší.
    • Zařízení VMware SD-WAN Edge: 4.2.1 a vyšší.

Procedura

  1. V nástroji Orchestrator vytvořte virtuální zařízení Edge tak, že přejdete do části Konfigurovat (Configure) > Zařízení Edge (Edges) > Nové zařízení Edge (New Edge).
  2. V systému Orchestrator změňte po vytvoření zařízení Edge nastavení rozhraní pro všechna zařízení Edge následujícím způsobem:
    • Změňte rozhraní GE1 na Směr (Route) s automatickou detekcí overlay WAN.
    • Změňte GE2 na Směr (Route) s deaktivovaným overlay WAN.
    • Rozhraní GE3 na GE8 se v tomto nasazení nepoužívají. 
    Poznámka: Profily s nastavením rozhraní virtuálního zařízení Edge můžete nakonfigurovat podle požadavků této integrace, abyste po vytvoření virtuálních zařízení Edge v systému Orchestrator nemuseli měnit nastavení rozhraní.
    Poznámka: Pokud se pokusíte downgradovat zařízení Edge z verze 4.2.1 na starší verzi, zařízení Edge se zablokuje v aktivační smyčce.
  3. Přístup SSH k virtuálním zařízení VMware SD-WAN Azure (NVA) je spravován týmem podpory Azure. Strana Azure vynucuje zásady zabezpečení, které povolují pouze zdrojovou IP adresu 168.63.129.16 k SSH do virtuálních zařízení Azure Edge. Pokud chcete virtuálnímu zařízení Edge povolit přijetí SSH z této zdrojové IP adresy, přejděte do nabídky Konfigurovat (Configure) > Zařízení Edge (Edges) > Brána firewall (Firewall) > Přístup k Edge (Edge Access) > Přístup k podpoře (Support Access) a přidejte IP adresu 168.63.129.16 do pole Povolit následující IP adresy (Allow the following IPs).
    Poznámka: Konfiguraci kroku 3 můžete provést v profilu, který používá mnoho nebo všechna virtuální zařízení Edge, takže to nemusíte provádět u každého jednotlivého virtuálního zařízení Edge.

    Další podrobnosti týkající se konfigurace této IP adresy naleznete v tématu https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16

  4. Zkopírujte adresu URL systému Orchestrator a aktivační klíč každého virtuálního zařízení Edge.
    Například:
    • vcoxx-usvi1.velocloud.net
    • Activation Key1: XXXX:ZE8F:YYYY:67YT
    • Activation Key2: XXXX:ZE8F:ZZZZ:67YT
  5. Přihlaste se do portálu Azure a vyhledejte aplikaci „VMware SD-WAN v vWAN“ („VMware SD-WAN in vWAN“) ve službě Azure Market. Otevře se stránka spravované aplikace VMware SD-WAN ve vWAN (VMware SD-WAN in vWAN). Tuto aplikaci můžete použít k automatizaci nasazení virtuálních zařízení Edge ve virtuálním hubu WAN.
  6. Ve spravované aplikaci klikněte na tlačítko Vytvořit (Create) a zadejte následující základní informace:
    • Odběr (Subscription): odběr, který vytvořil virtuální hub WAN.
    • Skupina prostředků (Resource Group): vytvořte novou skupinu prostředků nebo vyberte stávající. 
    • Oblast (Region): vyberte oblast, ve které byl virtuální hub WAN vytvořen. Virtuální zařízení Edge budou nasazena v daném virtuálním hubu WAN.
    • Název aplikace (Application Name): zadejte název vaší spravované aplikace. 
    • Skupina spravovaných prostředků (Managed Resource Group) – zadejte skupinu spravovaných prostředků aplikace. Skupina spravovaných prostředků uchovává všechny zdroje, které jsou vyžadovány spravovanými aplikacemi, ke kterým má zákazník omezený přístup.
  7. Na kartě VMware SD-WAN ve virtuální síti WAN (VMware SD-WAN in Virtual WAN) ve vybrané oblasti vyberte možnost Virtuální hub WAN (Virtual WAN Hub). V tomto hubu budou nasazena virtuální zařízení Edge.
    Jakmile si zákazník vybere virtuální centrum WAN Hub, zobrazí se následující informace se seznamem IP adres sousedních zařízení BGP a ASN virtuálního centra WAN Hub. Poznamenejte si tyto informace, protože jsou potřeba pro konfiguraci sousedních zařízeních BGP na nástroji Orchestrator.
    • Jednotka velikosti (Scale unit): Vyberte velikost podle potřeby.
    • VMware SD-WAN Orchestrator: Vložte adresu URL systému Orchestrator z kroku 3.
    • IgnoreCertErrors: Nastavte tento příznak na False. Změňte tento příznak na True pouze v případě, že nelze použít adresu URL systému Orchestrator a je nutné zadat IP adresu systému Orchestrator.
    • Aktivační klíč pro Edge 1 (ActivationKey for Edge1): Vložte aktivační klíč z kroku 3.
    • Aktivační klíč pro Edge 2 (ActivationKey for Edge2): Vložte aktivační klíč z kroku 3.
    • Číslo ASN BGP (BGP ASN): ASN, který bude nakonfigurován na virtuálních Edge ve VMware SASE Orchestrator. Následující ASN jsou vyhrazeny pro Azure nebo IANA:
      • ASN vyhrazené službou Azure:
        • Veřejné ASN: 8074, 8075 a 12076.
        • Privátní ASN: 65515, 65517, 65518, 65519 a 65520.
      • ASN vyhrazené ze strany IANA:
        • 23456, 64496-64511, 65535-65551 a 429496729.
    • Název clusteru (Cluster Name): Zadejte jedinečný název pro nasazení, který neobsahuje speciální znaky jako #, @, _, - atd. 
  8. Po zadání všech požadovaných polí klikněte na možnost Zkontrolovat + vytvořit (Review + create).
  9. Proces nasazení se spustí a jeho dokončení zabere přibližně 10 až 15 minut. Jakmile bude nasazení dokončeno, virtuální zařízení Edge se připojí a aktivuje pomocí systému Orchestrator. 
  10. Jakmile jsou všechna virtuální zařízení Edge připojena k nástroji Orchestrator, musíte nakonfigurovat statické směry a sousední zařízení BGP, aby se virtuální zařízení Edge mohla připojit k virtuálnímu centru Azure WAN Hub: 
    1. Nakonfigurovat statické směry (Configure Static Routes): Přidejte statické směry /32 tak, aby na každém virtuálním zařízení Edge existoval jedinečný směr směřující na příslušné rozhraní GE2. Chcete-li přidat statický směr, nástroj Orchestrator vyžaduje IP adresu dalšího skoku. Získejte IP adresu dalšího skoku spuštěním testu „Stav rozhraní“ vzdálené diagnostiky na stránce Uživatelské rozhraní vzdálené diagnostiky (Remote Diagnostics UI) nástroje Orchestrator. Vyberte první IP adresu podsítě přiřazené ke GE2 a nakonfigurujte ji jako další skok.
      Následující obrázek znázorňuje IP adresu přiřazenou ke GE2 jako 10.101.112.6/25, kdy první IP adresa této podsítě je 10.101.112.1, která se používá ke konfiguraci statického směru v systému Orchestrator. 

      Následuje výstup z diagnostického testu Testování a řešení potíží (Test & Troubleshoot) > Vzdálená diagnostika (Remote Diagnostics) > Stav rozhraní (Interface Status).

      Na zařízení Edge jsou nakonfigurovány dva statické směry pro přístup k sousedním zařízením BGP, jak je znázorněno na následujícím snímku obrazovky.

    2. Konfigurace sousedního zařízení BGP (BGP Neighbor Configuration): Nakonfigurujte sousední zařízení BGP pro každé virtuální zařízení Edge, jak je znázorněno na následujícím diagramu. Použijte IP adresy sousedního zařízení BGP a číslo ASN, jak je zobrazeno v informační zprávě v kroku 7.

      Jakmile jsou nakonfigurovány statické směry a sousední zařízení BGP, virtuální zařízení Edge by měla zahájit učení směrů z virtuálního hubu Azure WAN. Stav sousedního zařízení BGP lze ověřit v nabídce Monitorování (Monitor) > Síťové služby (Network Services).

  11. (Volitelné) Přidejte virtuální zařízení Edge do Clusteru. Přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services) > Zařízení Edge clusteru (Cluster Edge), vytvořte nový hub clusteru a přidejte do clusteru virtuální zařízení Edge.
  12. (Volitelné) Chcete-li přidat virtuální síťové připojení k virtuálním sítím (vNETs) do virtuálního hubu, přejděte do nabídky Azure vWAN (Azure vWAN) > Připojení (Connectivity) > Virtuální síťová připojení (Virtual network connections).
    Klikněte na Přidat připojení (Add Connection) a zadejte název připojení, zvolte centrum hub, odběr a skupinu prostředků. Vyberte síť vNET a tabulku přidruženého směru, která musí být připojena k hubu. Jedná se například o „výchozí“ tabulku směru v síti vNET.
    Pro virtuální zařízení vWAN NVA Edge je bitová kopie programu nasazení 2 NIC, jinými slovy rozhraní GE1 se nepoužívá jako rozhraní pro správu. Toto je unikátní pro bitovou kopii vWAN NVA. V cloud_init nastavte příznak „management_interface“ na hodnotu „False“. 
    #cloud-config
password: Velocloud123
chpasswd: { expire: False } 
ssh_pwauth: True 
velocloud:
  vce:
    management_interface: false 
    vco: $vco 
    activation_code: $velo2_token 
    vco_ignore_cert_errors: $velo_ignore_cert_errors

    Na všech ostatních cloudových zařízeních Edge je rozhraní GE1 přiřazeno jako rozhraní „správy“ a nelze jej použít pro datový provoz.

    Poznámka: Zákazníkům, jejichž směrovače pro centra Hub sítě Azure vWAN jsou vytvořeny s „infrastrukturou cloudových služeb“, se doporučuje prostudovat část Pokyny k upgradu centra Hub pro Zařízení VMware SD-WAN Edge nasazené jako Azure vWAN NVA.

    Přístup k příkazovému řádku virtuálních zařízení Edge nasazených ve virtuálním prostředí Azure vWAN vHub

    Síť Azure vWAN je řízena jako spravovaná služba. Na rozdíl od ostatních virtuálních počítačů nasazených v prostředí Azure nenabízí vWAN při konfiguraci možnost přiřadit veřejný klíč k virtuálnímu počítači (VM). Vzhledem k tomu, že prostředí Azure neumožňuje autentizaci SSH na základě hesla, je tím rozhraní příkazového řádku vEdge nedosažitelné.

    Chcete-li obejít tato omezení a získat přístup k rozhraní příkazového řádku zařízení vEdge pro odstraňování problémů a operační účely, měla by ve službě VMware SD-WAN být použita funkce Zabezpečený přístup k Edge (Secure Edge Access). Tato akce použije systém Orchestrator k vytvoření přístupu SSH založeného na klíči uživatele k rozhraní příkazového řádku ve virtuální síti vEdge.

    Chcete-li aktivovat přístup k funkci Zabezpečený přístup k Edge (Secure Edge Access), prostudujte si následující dokumentaci:

    Přístup k zařízením SD-WAN Edge pomocí autentizace založené na klíči v novém uživatelském rozhraní systému Orchestrator (Access SD-WAN Edges Using Key-based Authentication with New Orchestrator UI)

    Poznámka: Během procesu vytváření klíče zabezpečeného přístupu k zařízení Edge (Secure Edge Access) je zadání hesla uvedeno jako „volitelné“ (optional). Zahrnutí hesla je však nutné nakonfigurovat pro přístup k Azure NVA. Během přihlašování pomocí SSH po prvním použití autentizace založené na klíči bude uživatel vyzván k zadání hesla.