Um VMware SD-WAN Edges in einem virtuellen Hub manuell bereitzustellen, müssen Sie bereits eine Ressourcengruppe, ein virtuelles WAN (vWAN) und einen virtuellen Hub (vHUB) auf der Azure-Seite erstellt haben.
Voraussetzungen
- Erhalten Sie Zugriff auf den Unternehmenskonten für VMware SD-WAN Orchestrator.
- Erhalten Sie Zugriff auf das Microsoft Azure-Portal mit den entsprechenden IAM-Rollen.
- Die Software-Image-Anforderungen für diese Bereitstellung lauten wie folgt:
- VMware SD-WAN Orchestrator: 4.5.0 und höher.
- VMware SD-WAN Gateway: 4.5.0 und höher.
- VMware SD-WAN Edges: 4.2.1 und höher.
Prozedur
- Erstellen Sie einen virtuellen Edge im Orchestrator, indem Sie zu Konfigurieren (Configure) > Edges > Neuer Edge (New Edge) navigieren.
- Ändern Sie im Orchestrator nach dem Erstellen der Edges die Schnittstelleneinstellungen für alle Edges wie folgt:
- Ändern Sie die GE1-Schnittstelle in Route mit automatischer WAN-Overlay-Erkennung.
- Ändern Sie GE2 in Route mit deaktiviertem WAN-Overlay.
- Die Schnittstellen GE3 bis GE8 werden in dieser Bereitstellung nicht verwendet.
Hinweis: Sie können Profile mit Virtual Edge-Schnittstelleneinstellungen konfigurieren, die für diese Integration erforderlich sind, sodass Sie die Schnittstelleneinstellungen nach dem Erstellen von virtuellen Edges im Orchestrator nicht ändern müssen.Hinweis: Wenn Sie versuchen, ein Downgrade eines Edge von Version 4.2.1 auf eine frühere Version durchzuführen, bleibt der Edge in einer Aktivierungsschleife hängen. - Der SSH-Zugriff auf VMware SD-WAN Azure-NVAs wird vom Azure-Supportteam verwaltet. Azure-seitig werden Sicherheitsrichtlinien erzwungen, die nur die Quell-IP-Adresse 168.63.129.16 für die SSH-Verbindung mit virtuellen Azure-Edges zulassen. Damit ein virtueller Edge SSH aus dieser Quell-IP akzeptiert, navigieren Sie zu Konfigurieren (Configure) > Edges > Firewall > Edge-Zugriff (Edge Access) > Supportzugriff (Support Access) und fügen Sie die IP-Adresse 168.63.129.16 zum Feld Die folgenden IPs zulassen (Allow the following IPs) hinzu.
Hinweis: Sie können die Schritt-3-Konfiguration für ein Profil durchführen, das von vielen oder allen virtuellen Edges verwendet wird, sodass Sie diesen Schritt nicht für jeden einzelnen virtuellen Edge ausführen müssen.
Weitere Informationen zu dieser IP-Konfiguration finden Sie unter https://docs.microsoft.com/de-de/azure/virtual-network/what-is-ip-address-168-63-129-16
- Kopieren Sie die Orchestrator-URL und den Aktivierungsschlüssel jedes virtuellen Edge.
Beispiel:
- vcoxx-usvi1.velocloud.net
- Aktivierungsschlüssel1: XXXX:ZE8F:YYYY:67YT
- Aktivierungsschlüssel2: XXXX:ZE8F:ZZZZ:67YT
- Melden Sie sich beim Azure-Portal an und suchen Sie im Azure Marketplace nach der Anwendung „VMware SD-WAN in vWAN“. Die Seite für die verwaltete Anwendung VMware SD-WAN in vWAN wird angezeigt. Sie können diese Anwendung verwenden, um die Bereitstellung von virtuellen Edges im virtuellen WAN-Hub zu automatisieren.
- Klicken Sie in der verwalteten Anwendung auf Erstellen (Create) und geben Sie die folgenden grundlegenden Details ein:
- Abonnement (Subscription): Das Abonnement, das über den erstellten Virtual WAN-Hub verfügt.
- Ressourcengruppe (Resource Group): Erstellen Sie eine neue Ressourcengruppe oder wählen Sie die vorhandene aus.
- Region (Region): Wählen Sie die Region aus, in der der Virtual WAN-Hub erstellt wird. Virtuelle Edges werden in diesem Virtual WAN-Hub bereitgestellt.
- Name der Anwendung (Application Name): Geben Sie einen Namen für Ihre verwaltete Anwendung ein.
- Verwaltete Ressourcengruppe (Managed Resource Group): Geben Sie die verwaltete Ressourcengruppe der Anwendung an. Die verwaltete Ressourcengruppe enthält alle Ressourcen, die von der verwalteten Anwendung benötigt werden, auf die der Verbraucher nur eingeschränkten Zugriff hat.
- Wählen Sie auf der Registerkarte VMware SD-WAN im virtuellen WAN (VMware SD-WAN in Virtual WAN) die Option „Virtual WAN-Hub“ in der ausgewählten Region aus. Die virtuellen Edges werden in diesem Hub bereitgestellt.
Sobald der Kunde einen Virtual WAN-Hub ausgewählt hat, werden die folgenden Informationen angezeigt, die die IP-Adressen des BGP-Nachbarn und die ASN des Virtual WAN-Hubs auflisten. Notieren Sie sich diese Informationen, da sie zum Konfigurieren der BGP-Nachbarschaften auf dem Orchestrator erforderlich sind.
- Skalierungseinheit (Scale unit): Wählen Sie die Skalierung nach Bedarf aus.
- VMware SD-WAN Orchestrator: Fügen Sie die Orchestrator-URL aus Schritt 3 ein.
- IgnoreCertErrors: Legen Sie dieses Flag auf „Falsch (False)“ fest. Ändern Sie dieses Flag nur dann in „Wahr (True)“, wenn die Orchestrator-URL nicht verwendet werden kann und die Orchestrator-IP-Adresse angegeben werden muss.
- Aktivierungsschlüssel für Edge1 (ActivationKey for Edge1): Fügen Sie den Aktivierungsschlüssel aus Schritt 3 ein.
- Aktivierungsschlüssel für Edge2 (ActivationKey for Edge2): Fügen Sie den Aktivierungsschlüssel aus Schritt 3 ein.
- BGP-ASN (BGP ASN): Die ASN, die auf den virtuellen Edges im VMware SD-WAN Orchestrator konfiguriert wird. Die folgenden ASNs sind von Azure oder IANA reserviert:
- Von Azure reservierte ASNs:
- Öffentliche ASNs: 8074, 8075 und 12076.
- Private ASNs: 65515, 65517, 65518, 65519 und 65520.
- Von IANA reservierte ASNs:
- 23456, 64496-64511, 65535-65551 und 429496729.
- Von Azure reservierte ASNs:
- ClusterName: Geben Sie einen eindeutigen Namen für die Bereitstellung ein, der keine Sonderzeichen wie #, @, _, -usw. enthält.
- Klicken Sie nach der Eingabe aller erforderlichen Felder auf Prüfen und erstellen (Review + create).
- Der Bereitstellungsvorgang wird gestartet und ist in etwa 10 bis 15 Minuten abgeschlossen. Sobald die Bereitstellung abgeschlossen ist, werden die virtuellen Edges mit dem Orchestrator verbunden und aktiviert.
- Sobald alle virtuellen Edges mit dem Orchestrator verbunden sind, müssen Sie statische Routen und BGP-Nachbarn konfigurieren, damit die virtuellen Edges eine Verbindung zum Azure Virtual WAN-Hub herstellen können:
- Statische Routen konfigurieren (Configure Static Routes): Fügen Sie statische /32-Routen hinzu, um eine eindeutige Route zu geben, die auf die jeweilige GE2-Schnittstelle auf jedem virtuellen Edge verweist. Um eine statische Route hinzuzufügen, benötigt der Orchestrator eine IP-Adresse des nächsten Hops. Rufen Sie die IP-Adresse des nächsten Hops ab, indem Sie den Remote-Diagnosetest „Status der Schnittstelle (Interface Status)“ auf der Seite der Remote-Diagnose-Benutzeroberfläche der Orchestrator-Instanz ausführen. Wählen Sie die erste IP-Adresse des Subnetzes aus, das GE2 zugewiesen ist, und konfigurieren Sie sie als nächsten Hop.
Die folgende Abbildung zeigt eine IP-Adresse, die GE2 als 10.101.112.6/25 zugewiesen ist. Die erste IP-Adresse dieses Subnetzes ist 10.101.112.1, die zum Konfigurieren der statischen Route im Orchestrator verwendet wird.
Im Folgenden finden Sie die Ausgabe vom Diagnosetest Testen und Fehlerbehebung (Test & Troubleshoot) > Remote-Diagnose (Remote Diagnostics) > Status der Schnittstelle (Interface Status).
Auf dem Edge sind zwei statische Routen konfiguriert, um BGP-Nachbarn zu erreichen, wie in der folgenden Abbildung dargestellt.
- BGP-Nachbarkonfiguration (BGP Neighbor Configuration): Konfigurieren Sie BGP-Nachbarn für jeden virtuellen Edge, wie im folgenden Diagramm dargestellt. Verwenden Sie BGP-Nachbar-IPs und die ASN-Nummer, wie in der Informationsmeldung in Schritt 7 angezeigt.
Sobald statische Routen und BGP-Nachbarschaften konfiguriert sind, sollten die virtuellen Edges mit dem Erlernen von Routen vom Azure Virtual WAN-Hub beginnen. Der Status der BGP-Nachbarschaft kann unter Überwachen (Monitor) > Netzwerkdienste (Network Services) überprüft werden.
- Statische Routen konfigurieren (Configure Static Routes): Fügen Sie statische /32-Routen hinzu, um eine eindeutige Route zu geben, die auf die jeweilige GE2-Schnittstelle auf jedem virtuellen Edge verweist. Um eine statische Route hinzuzufügen, benötigt der Orchestrator eine IP-Adresse des nächsten Hops. Rufen Sie die IP-Adresse des nächsten Hops ab, indem Sie den Remote-Diagnosetest „Status der Schnittstelle (Interface Status)“ auf der Seite der Remote-Diagnose-Benutzeroberfläche der Orchestrator-Instanz ausführen. Wählen Sie die erste IP-Adresse des Subnetzes aus, das GE2 zugewiesen ist, und konfigurieren Sie sie als nächsten Hop.
- (Optional) Fügen Sie die virtuellen Edges zu einem Cluster hinzu. Navigieren Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) > Edge-Cluster (Edge Cluster), erstellen Sie einen neuen Cluster-Hub und fügen Sie die virtuellen Edges zum Cluster hinzu.
- (Optional) Um eine virtuelle Netzwerkverbindung mit den virtuellen Netzwerken (vNETs) zu vHub hinzuzufügen, wechseln Sie zu Azure vWAN > Konnektivität (Connectivity) > Virtuelle Netzwerkverbindungen (Virtual network connections).
Klicken Sie auf Verbindung hinzufügen (Add Connection), geben Sie einen Verbindungsnamen ein und wählen Sie den Hub, das Abonnement und die Ressourcengruppe aus. Wählen Sie das vNET und die zugeordnete Routentabelle aus, die mit dem Hub verbunden werden muss. Beispielsweise handelt es sich um die Standardroutentabelle in einem vNET. Für den vWAN NVA-Edge handelt es sich beim Image um eine 2-NIC-Bereitstellung, d. h., die GE1-Schnittstelle wird nicht als Verwaltungsschnittstelle verwendet. Dies ist für das vWAN NVA-Image eindeutig. Legen Sie in cloud_init das Flag „management_interface“ auf „False“ fest.
#cloud-config password: Velocloud123 chpasswd: { expire: False } ssh_pwauth: True velocloud: vce: management_interface: false vco: $vco activation_code: $velo2_token vco_ignore_cert_errors: $velo_ignore_cert_errors
Auf allen anderen Cloud-Edges wird die GE1-Schnittstelle als Verwaltungsschnittstelle zugeteilt und kann nicht für den Datenverkehr verwendet werden.
Hinweis: Kunden, deren Azure vWAN-Hub-Router mit „Cloud Services-Infrastruktur“ erstellt werden, finden Sie unter Hub-Upgrade-Anweisungen für VMware SD-WAN Edge als Azure vWAN NVA bereitgestellt.