Führen Sie die folgenden Schritte aus, um die automatische Bereitstellung von NVA im Azure vWAN über VMware SASE Orchestrator zu verwenden:

Prozedur

  1. Stellen Sie im Orchestrator sicher, dass das MCS-Konto (Multi-Cloud Service, Multi-Cloud-Dienst) aktiviert ist. Sie können dies in den folgenden Systemeigenschaften überprüfen:
    • session.options.enableMcsServiceAccount
    • vco.system.configuration.data.mcsNginxRedirection
    Hinweis: Wenden Sie sich an das EdgeOps-Team, um das MCS-Konto für Ihren Orchestrator zu aktivieren.
  2. Sobald das MCS-Konto für einen Unternehmensbenutzer aktiviert wurde, können Sie auf den MCS-Dienst zugreifen, indem Sie im Dropdown-Menü Dienste (Services) oben auf der Orchestrator-Benutzeroberfläche auf Cloud-Hub (Cloud Hub) klicken.
    Die Seite des Cloud-Hub-Diensts wird angezeigt.
  3. Führen Sie die folgenden beiden Schritte aus, um einen NVA-Edge im vWAN-Hub-Netzwerk bereitzustellen:
    1. Neue Anmeldedaten erstellen
    2. Neuen Cloud-Hub erstellen
  4. Klicken Sie zum Erstellen neuer Anmeldedaten auf Konfigurieren (Configure) > Anmeldedaten (Credential) > Neue Anmeldedaten (New Credential). Geben Sie alle erforderlichen Details an und klicken Sie auf Erstellen (Create).
    Feld Beschreibung
    Name (Name) Geben Sie einen eindeutigen Namen für Ihre Azure-Anmeldedaten ein.
    Cloud-Anbieter (Cloud Provider) Wählen Sie Azure als Cloud-Anbieter aus.
    Client-ID (Client ID) Geben Sie die Client-ID Ihres Azure-Abonnements ein.
    Mandanten-ID (Tenant ID) Die ID für einen Azure Active Directory (AD)-Mandanten im Azure-Portal. Geben Sie die Mandanten-ID ein, zu der Ihr Abonnement gehört.
    Geheimer Clientschlüssel (Client Secret) Geben Sie den geheimen Clientschlüssel Ihres Azure-Abonnements ein.
    Abonnement-ID (Subscription ID) Die ID für ein Abonnement im Azure-Portal. Geben Sie die Azure-Abonnement-ID ein, die den erstellten vWAN-Hub zum Bereitstellen virtueller Edges enthält.

    Weitere Informationen zum Abrufen von IDs für ein Abonnement im Azure-Portal finden Sie unter Vorgehensweise zum Erstellen einer Anwendung und eines Dienstprinzipals in Azure Active Directory.

    Kunden wird empfohlen, eine benutzerdefinierte Rolle mit den folgenden Berechtigungen (JSON) zu erstellen, um ausschließlichen Zugriff auf die erforderlichen Ressourcen für die CloudHub-Funktion zu gewähren. 
    "permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operations/read",
"Microsoft.Network/virtualWans/read",
"Microsoft.Network/virtualWans/join/action",
"Microsoft.Network/virtualWans/virtualHubs/read",
"Microsoft.Network/virtualHubs/read",
"Microsoft.AzureStack/linkedSubscriptions/linkedResourceGroups/linkedProviders/virtualNetworks/read",
"Microsoft.Network/networkVirtualAppliances/delete",
"Microsoft.Network/networkVirtualAppliances/read",
"Microsoft.Network/networkVirtualAppliances/write",
"Microsoft.Network/networkVirtualAppliances/getDelegatedSubnets/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
"Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
  5. Führen Sie die folgenden Schritte aus, um einen neuen Cloud-Hub zu erstellen:
    Hinweis: Der Cloud Hub-Workflow wird nur für das neue Profil getestet. Daher wird die Erstellung eines neuen Profils empfohlen, bevor Sie mit der Bereitstellung des NVA-Edge im vWAN-Hub-Netzwerk fortfahren.
    1. Navigieren Sie zu Konfigurieren (Configure) > Workflow und klicken Sie auf Neuer Cloud-Hub (New Cloud Hub).
      Die Seite Cloud-Anmeldedaten (Cloud Credentials) wird angezeigt.
    2. Geben Sie alle erforderlichen Cloud-Anmeldedaten an und klicken Sie auf Weiter (Next).
      Feld Beschreibung
      Cloud-Anbieter (Cloud Provider) Wählen Sie Azure als Cloud-Anbieter aus.
      Azure-Konnektivitätsoptionen (Azure Connectivity Options) Wählen Sie Virtuellen Edge als NVA in Azure vWAN bereitstellen (Deploy Virtual Edge as an NVA in Azure vWAN) als Konnektivitätsoption zwischen Hub und vNet aus.
      Cloud Subscription Sie können das vorhandene Cloud Subscription verwenden oder ein neues Abonnement erstellen, indem Sie auf die Option Neu erstellen (Create New) klicken.

      Die Seite vWAN- und vHUB-Optionen (vWAN and vHUB Options) wird angezeigt.

    3. Wählen Sie vWAN und vHUB aus und stellen Sie einen virtuellen Azure NVA-Edge (mit eindeutigem Namen) bereit, indem Sie alle erforderlichen Details angeben.
      Feld Beschreibung
      Ressourcengruppe (Resource Group) Wählen Sie eine Ressourcengruppe aus, die Sie auf der Azure-Seite erstellt haben.
      vWAN Wählen Sie ein vWAN aus, das Sie auf der Azure-Seite erstellt haben.
      vHUB auswählen (Choose vHUB)
      Region Wählen Sie die Region aus, in der Sie den Virtual WAN-Hub bereitstellen möchten. Virtuelle Edges werden in diesem Virtual WAN-Hub bereitgestellt.
      vHub Wählen Sie einen Virtual WAN-Hub aus, um die virtuellen SD-WAN Edges bereitzustellen.
      Adressraum (Address Space) Der Adressraum des Hubs in CIDR-Notation. Der Mindestadressraum zum Erstellen eines Hubs beträgt /24.
      Workflowname (Workflow Name) Geben Sie den Workflownamen für den Virtual WAN-Hub ein.
      Edge-Netzwerk erstellen (Create Edge Networking)
      NVA-Name (NVA Name) Geben Sie einen eindeutigen Namen für das NVA-Edge-Gerät (Network Virtual Appliance) ein.
      NVA-Version auswählen (Select NVA Version) Wählen Sie die NVA-Version aus.
      Name des Edge-Clusters (Edge Cluster Name) Geben Sie einen eindeutigen Namen für den Edge-Cluster ein.
      Skalierungseinheiten (Scale Units) Ein Edge-Paar wird hochgefahren. Skalierungseinheiten können 2, 4 oder 10 sein und einem Azure-Instanztyp zugeordnet werden.
      Profil auswählen (Select Profile) Wählen Sie ein Profil zur Verknüpfung mit dem virtuellen Edge aus.
      Hinweis: Sie können das vorhandene Profil verwenden oder ein neues Profil erstellen, bevor Sie die Azure vWAN NVA-Edges im Azure vWAN-Hub bereitstellen.
      Edge-Lizenz (Edge License) Wählen Sie die Edge-Lizenz aus, die den virtuellen Edges zugeordnet ist.
      Kontaktname (Contact Name) Geben Sie einen Kontaktnamen ein.
      E-Mail des Kontakts (Contact Email) Geben Sie die E-Mail-ID des Kontakts ein.
      BGP-ASN (BGP ASN) Geben Sie den ASN-Wert ein, der auf den virtuellen Edges im VMware SASE Orchestrator konfiguriert wird.
      Hinweis: Die von Azure reservierten ASNs:
      • Öffentliche ASNs: 8074, 8075 und 12076.
      • Private ASNs: 65515, 65517, 65518, 65519 und 65520.
    4. Klicken Sie auf Fertigstellen (Finish). Der neu erstellte Cloud-Hub wird auf der Seite Workflow angezeigt.
    5. Klicken Sie unter der Spalte Detail auf Anzeigen (View), um die Ereignisdetails des ausgewählten Cloud-Hubs anzuzeigen.
      Hinweis: Aktuell steht keine separate Seite vom Typ „Überwachen (Monitor)“ für den Cloud-Hub-Dienst zur Verfügung. Sie können die Seite „Überwachen (Monitor)“ des SD-WAN-Diensts verwenden, um die Edge-Aktionen und -Statusangaben zu überprüfen.
  6. Klicken Sie im SD-WAN-Dienstportal auf Überwachen (Monitor) > Edges und stellen Sie sicher, dass der virtuelle Azure NVA-Edge, den Sie mit dem Automatisierungsdienst des Cloud-Hubs bereitgestellt haben, verbunden ist.
  7. Um sicherzustellen, dass die BGP-Sitzungen für den bereitgestellten Virtual Azure NVA-Edge eingerichtet wurden, klicken Sie auf Überwachen (Monitor) > Routing.
    Wichtig: Nachdem die virtuellen Edges erstellt wurden, konfigurieren Sie die IP-Adresse für jeden der virtuellen Edges, indem Sie zu Konfigurieren (Configure) > Edges > Firewall > Edge-Zugriff (Edge Access) navigieren und die IP-Adresse „168.63.129.16“ unter dem Feld Die folgenden IPs zulassen (Allow the following IPs) hinzufügen.
    Hinweis: Sie können diese Konfiguration für ein Profil durchführen, das von vielen oder allen virtuellen Edges verwendet wird, sodass Sie diesen Schritt nicht für jeden einzelnen virtuellen Edge ausführen müssen.

    Weitere Informationen zu dieser IP-Konfiguration finden Sie unter https://docs.microsoft.com/de-de/azure/virtual-network/what-is-ip-address-168-63-129-16