Pokud chcete zřídit Zařízení SD-WAN Edge, postupujte podle následujících kroků.
Požadavky
Ujistěte se, že máte název hostitele SD-WAN Orchestrator a účet administrátora, ke kterému se můžete přihlásit.
Procedura
- Přihlaste se pomocí svých přihlašovacích údajů k aplikaci SD-WAN Orchestrator jako uživatel – administrátor.
- Přejděte k možnosti Konfigurovat (Configure) > Zařízení Edge (Edges).
- Na obrazovce Zařízení Edge (Edge) klikněte na možnost Přidat Edge (Add Edge). Otevře se obrazovka Zajištění zařízení Edge (Provision Edge).
- Můžete konfigurovat následující možnosti:
Možnost Popis Režim (Mode) Ve výchozím nastavení je vybrán režim SD-WAN Edge. Název (Name) Zadejte jedinečný název zařízení Edge. Model (Model) Z rozevírací nabídky vyberte možnost Virtuální zařízení Edge (Virtual Edge). Profil (Profile) Z rozevírací nabídky vyberte možnost Profil pro rychlé zprovoznění (Quick Start Profile). Poznámka: Pokud je v důsledku automatické aktivace zařízení Edge jako možnost zobrazen Profil fázování Edge (Edge Staging Profile), je tento profil používán nově vytvořeným zařízením Edge, avšak není nakonfigurován v produkčním profilu.Licence nástroje Edge (Edge License) V rozevírací nabídce vyberte licenci zařízení Edge. V seznamu se zobrazí licence operátorem přiřazené podniku. Autentizace (Authentication) Z rozevírací nabídky vyberte režim autentizace:
- Certifikát deaktivován (Certificate Deactivated): Zařízení Edge využívá režim autentizace předem sdíleného klíče.
Upozornění: Tento režim se nedoporučuje pro žádná zákaznická nasazení.
- Získání certifikátu (Certificate Acquire): Tento režim je vybrán ve výchozím nastavení a je určen pro všechna zákaznická nasazení. V režimu Získání certifikátu (Certificate Acquire) se certifikáty vydávají v době aktivace zařízení Edge a automaticky se obnovují. Orchestrator uděluje zařízení Edge pokyn získat certifikát od certifikační autority SD-WAN Orchestrator vygenerováním páru klíčů a odesláním žádosti o podepsání certifikátu do systému Orchestrator. Jakmile je získán, Edge certifikát použije pro ověřování pro autentizaci SD-WAN Orchestrator a pro vytvoření tunelových propojení VCMP.
Poznámka: Po získání certifikátu lze tuto volbu podle potřeby aktualizovat na Certifikát je povinný (Certificate Required).
- Certifikát je povinný (Certificate Required): Tento režim je vhodný pouze pro podniky zákazníků, které jsou „statické“. Statický podnik je definován jako podnik, kde pravděpodobně nebude nasazeno více než několik nových zařízení Edge a neočekávají se žádné nové změny orientované na PKI.
Důležité: Volba Certifikát je povinný (Certificate Required) nemá žádné bezpečnostní výhody oproti volbě Získání certifikátu (Certificate Acquire). Oba režimy jsou stejně bezpečné a zákazník používající režim Certifikát je povinný (Certificate Required) by tak měl činit pouze z důvodů uvedených v tomto článku.Režim Certifikát je povinný (Certificate Required) znamená, že bez platného certifikátu nejsou akceptovány žádné prezenční signály Edge.V tomto režimu používá Edge certifikát PKI. Operátoři mohou změnit časové okno pro obnovení certifikátu pro zařízení Edge úpravou systémových vlastností systému Orchestrator. Další informace získáte od svého operátora.Varování: Použití tohoto režimu může způsobit selhání zařízení Edge v případech, kdy zákazníci o tomto striktním vynucení nevědí.
Poznámka:- Je-li aktivována funkce Bastion Orchestrator, musí mít zařízení Edge, která mají být zřízena do nástroje Bastion Orchestrator, režim autentizace nastaven na možnost Získání certifikátu (Certificate Acquire) nebo Certifikát je povinný (Certificate Required).
- Když je certifikát Edge odvolán, je zařízení Edge bude deaktivováno a musí projít procesem aktivace. Aktuální návrh QuickSec ověří časové razítko na seznamu odvolaných certifikátů (CRL). Časové razítko CRL musí odpovídat aktuálnímu času u zařízení Edge. Jinak seznam CRL nebude mít vliv na nově navázaná připojení. Při implementaci tohoto systému se ujistěte, že byl čas v aplikaci Orchestrator správně aktualizován a odpovídá datu a času v zařízeních Edge.
Zašifrovat tajné klíče zařízení (Encrypt Device Secrets) Zaškrtnutím pole Povolit (Enable) umožníte zařízení Edge šifrovat citlivá data na všech platformách. Tato možnost je k dispozici také na stránce Přehled Edge (Edge Overview). Poznámka: Než tuto možnost u zařízení Edge verze 5.2.0 a vyšší deaktivujete, musíte nejprve zařízení Edge deaktivovat pomocí vzdálených akcí. To způsobí restart zařízení Edge.Vysoká dostupnost (High Availability) Zaškrtnutím pole Povolit (Enable) použijete vysokou dostupnost (HA). Edge mohou být instalovány jako samostatná zařízení, nebo je můžete spárovat s dalším Edge a zajistit tak podporu vysoké dostupnosti (HA). Jméno místního kontaktu (Local Contact Name) Zadejte jméno kontaktu lokality pro zařízení Edge. E-mail místního kontaktu (Local Contact Email) Zadejte e-mailovou adresu kontaktu lokality pro zařízení Edge. - Certifikát deaktivován (Certificate Deactivated): Zařízení Edge využívá režim autentizace předem sdíleného klíče.
- Zadejte všechny požadované údaje, klikněte na možnost Další (Next) a nakonfigurujte následující další možnosti:
Poznámka: Tlačítko Další (Next) se aktivuje pouze v případě, že zadáte všechny povinné údaje.
Možnost Popis Sériové číslo (Serial Number) Zadejte sériové číslo zařízení Edge. Při zadání této možnosti musí zařízení Edge toto sériové číslo předložit při aktivaci. Poznámka: Při zavádění virtuálních zařízení VMware SD-WAN Edge na zařízení Edge AWS se ujistěte, že jste jako sériové číslo zařízení Edge použili ID instance.Popis (Description) Zadejte příslušný popis. Umístění (Location) Kliknutím na odkaz Nastavit umístění (Set Location) nastavíte umístění Edge. Pokud není zadáno, bude při aktivaci zařízení Edge automaticky detekováno umístění z IP adresy. - Klikněte na možnost Přidat zařízení Edge (Add Edge).
Zařízení Edge bylo zajištěno a v horní části stránky se zobrazí aktivační klíč. Aktivační klíč si poznamenejte, abyste ho mohli použít ke spuštění zařízení Edge z konzoly AliCloud.Poznámka: Aktivační klíč vyprší za jeden měsíc, pokud jeho pomocí není aktivováno zařízení Edge.
- Nakonfigurujte rozhraní virtuálního zařízení Edge. Následující kroky jsou vysvětleny při použití topologie A.
- Přejděte k možnosti Konfigurovat (Configure) > Zařízení Edge (Edges). Na stránce Zařízení Edge (Edges) se zobrazí existující Edge.
- Klikněte na odkaz k zařízení Edge nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) zařízení Edge. Možnosti konfigurace pro vybrané zařízení Edge jsou zobrazeny na kartě Zařízení (Device).
- Přejděte do oblasti Nastavení rozhraní (Interface Settings).
- V kategorii Připojení (Connectivity) rozbalte možnost Rozhraní (Interfaces). Zobrazí se různé typy rozhraní, která jsou k dispozici pro vybrané zařízení Edge.
- Označte zaškrtávací pole Override Interface (Přepsat rozhraní) a poté aktualizujte konfigurace rozhraní virtuálního zařízení Edge Rozhraní GE1 (GE1 Interface), Rozhraní GE2 (GE2 Interface) a Rozhraní GE3 (GE3 Interface) tímto způsobem:
- Změňte schopnost rozhraní GE1 na Směrované (Routed) a deaktivujte Overlay WAN (WAN Overlay) a Přímý provoz NAT (NAT Direct Traffic).
- Změňte schopnost rozhraní GE2 na Směrované (Routed) a ověřte, zda jsou funkce Overlay WAN (WAN Overlay) a Přímý provoz NAT (NAT Direct Traffic) aktivovány.
- Pro rozhraní GE3 deaktivujte funkce Overlay WAN (WAN Overlay) a Přímý provoz NAT (NAT Direct Traffic), což bude další skok pro zařízení připojená k privátním podsítím VPC (zařízení LAN).
Více informací naleznete v tématu Konfigurace nastavení rozhraní pro zařízení Edge v Průvodci správou VMware SD-WAN.
Výsledek
Virtuální zařízení Edge se zřizuje na SD-WAN Orchestrator.
Jak pokračovat dále
Nasaďte virtuální zařízení Edge na GCP. Virtuální zařízení Edge můžete nasadit jedním z následujících způsobů: