Das VMware Partner Gateway bietet verschiedene Konfigurationsoptionen. Vor der Installation des Gateways sollte ein Arbeitsblatt vorbereitet werden.

Arbeitsblatt

SD-WAN Gateway
  • Version
  • Speicherort der OVA/QCOW2-Datei
  • Aktivierungsschlüssel (Activation Key)
  • SASE Orchestrator (IP-ADRESSE/vco-fqdn-hostname)
  • Hostname
Hypervisor Adressen/Clustername
Speicher Datenspeicher für Root-Volumes (> 40 GB empfohlen)
CPU-Zuteilung CPU-Zuteilung für KVM/VMware.
Installationsoptionen DPDK – Dies ist optional und für einen höheren Durchsatz standardmäßig aktiviert. Wenn Sie DPDK deaktivieren möchten, wenden Sie sich an VMware-Kundensupport.
OAM-Netzwerk
  • DHCP
  • OAM-IPv4-Adresse
  • OAM-IPv4-Netzmaske
  • DNS-Server – primär
  • DNS-Server – sekundär
  • Statische Routen
ETH0 – Netzwerk mit Internetzugriff
  • IPv4-Adresse
  • IPv4-Netzmaske
  • IPv4-Standard-Gateway
  • DNS-Server – primär
  • DNS-Server – sekundär
Übergabe (ETH1) – Netzwerk
  • MGMT-VRF-IPv4-Adresse
  • MGMT-VRF-IPv4-Netzmaske
  • MGMT-VRF-IPv4-Standard-Gateway
  • DNS-Server – primär
  • DNS-Server – sekundär
  • Übergabe (QinQ (0x8100), QinQ (0x9100), keine, 802.1Q, 802.1ad)
  • C-TAG
  • S-TAG
Konsolenzugriff
  • Kennwort der Konsole
  • SSH:
    • Aktiviert (Ja/Nein)
    • Öffentlicher SSH-Schlüssel
NTP
  • Öffentliches NTP:
    • server 0.ubuntu.pool.ntp.org
    • server 1.ubuntu.pool.ntp.org
    • server 2.ubuntu.pool.ntp.org
    • server 3.ubuntu.pool.ntp.org
  • Interner NTP-Server – 1
  • Interner NTP-Server – 2

Abschnitt SD-WAN Gateway

Der größte Teil des Abschnitts SD-WAN Gateway ist selbsterklärend.

SD-WAN Gateway
  • Version – Muss mit der von SASE Orchestrator identisch oder niedriger sein
  • OVA/QCOW2-Dateispeicherort – Planung des Dateispeicherorts und der Festplattenzuteilung
  • Aktivierungsschlüssel (Activation Key)
  • SASE Orchestrator (IP-ADRESSE/vco-fqdn-hostname)
  • Hostname – Gültiger Linux-Hostname „RFC 1123“

Erstellen eines Gateways und Anfordern des Aktivierungsschlüssels

  1. Klicken Sie im Operator-Portal auf die Registerkarte Gateway-Verwaltung (Gateway Management) und wechseln Sie im linken Navigationsbereich zu Gateway-Pools. Die Seite Gateway-Pools (Gateway Pools) wird angezeigt. Erstellen Sie einen neuen SD-WAN Gateway-Pool. Um SD-WAN Gateway im Netzwerk des Dienstanbieters auszuführen, aktivieren Sie das Kontrollkästchen Partner-Gateway zulassen (Allow Partner Gateway). Damit wird die Option zum Einbeziehen des Partner-Gateways in diesen Gateway-Pool aktiviert.

  2. Klicken Sie im Operator-Portal auf Gateway-Verwaltung (Gateway Management) > Gateways, erstellen Sie ein neues Gateway und weisen Sie es dem Pool zu. Die IP-Adresse des hier eingegebenen Gateways muss mit der öffentlichen IP-Adresse des Gateways übereinstimmen. Wenn Sie sich nicht sicher sind, können Sie curl ipinfo.io/ip über das SD-WAN Gateway ausführen. Dadurch wird die öffentliche IP-Adresse des SD-WAN Gateway zurückgegeben.

  3. Notieren Sie sich den Aktivierungsschlüssel und fügen Sie ihn dem Arbeitsblatt hinzu.

Aktivieren des Modus Partner-Gateway

  1. Klicken Sie im Operator-Portal auf Gateway-Verwaltung (Gateway Management) > Gateways und wählen Sie das SD-WAN Gateway aus. Aktivieren Sie das Kontrollkästchen Partner Gateway, um das Partner-Gateway zu aktivieren.

    Es können zusätzliche Parameter konfiguriert werden. Die häufigsten sind die Folgenden:
    • 0.0.0.0/0 ohne Verschlüsselung Annoncieren (Advertise 0.0.0.0/0 with no encrypt) – Diese Option ermöglicht es dem Partner-Gateway, einen Pfad zum Cloud-Datenverkehr für die SAAS-Anwendung zu annoncieren. Da das Verschlüsselungs-Flag ausgeschaltet ist, richtet es sich nach der Kundenkonfiguration in der Business Policy, ob dieser Pfad verwendet wird oder nicht.

    • Bei der zweiten empfohlenen Option handelt es sich um die Annoncierung der SASE Orchestrator-IP als /32 mit Verschlüsselung.

      Dadurch wird erzwungen, dass der Datenverkehr vom Edge an den SASE Orchestrator über den Gateway-Pfad gesendet wird. Dies wird empfohlen, da es das Verhalten, das der SD-WAN Edge annimmt, um den SASE Orchestrator zu erreichen, vorhersagbar macht.

Netzwerk

Wichtig: Das folgende Verfahren und die Screenshots konzentrieren sich auf die gängigste Bereitstellung, die 2-ARM-Installation für das Gateway. Das Hinzufügen eines OAM-Netzwerks wird im Abschnitt OAM-Schnittstelle und statische Routen berücksichtigt.

vcg-partner-gateway-pe-image

Bei dem obigen Diagramm handelt es sich um eine Darstellung des SD-WAN Gateway in einer 2-ARM-Bereitstellung. In diesem Beispiel wird davon ausgegangen, dass eth0 die Schnittstelle für das öffentliche Netzwerk (Internet) und die eth1 die Schnittstelle für das interne Netzwerk (Übergabe- oder VRF-Schnittstelle) ist.

Hinweis: Eine Management-VRF wird im SD-WAN Gateway erstellt und verwendet, um eine periodische ARP-Aktualisierung an die Standard-Gateway-IP zu senden, um zu prüfen, ob die Übergabeschnittstelle physisch aktiviert ist und die Failover-Zeit beschleunigt. Es wird empfohlen, für diesen Zweck eine dedizierte VRF im PE-Router einzurichten. Optional kann die gleiche Management-VRF auch vom PE-Router verwendet werden, um eine IP-SLA-Prüfung an das SD-WAN Gateway zu senden, um den Status des SD-WAN Gateway zu überprüfen (das SD-WAN Gateway verfügt über einen statusbehafteten ICMP-Responder, der auf Ping nur dann reagiert, wenn sein Dienst verfügbar ist). Wenn keine dedizierte Management-VRF eingerichtet ist, können Sie eine der Kunden-VRFs als Management-VRF nutzen, dies wird jedoch nicht empfohlen.

Für das Netzwerk mit Internetzugriff benötigen Sie nur die grundlegende Netzwerkkonfiguration.

ETH0 – Netzwerk mit Internetzugriff
  • IPv4_Address
  • IPv4_Netmask
  • IPv4_Default_gateway
  • DNS_server_primary
  • DNS_server_secondary

Für die Übergabeschnittstelle müssen Sie wissen, welchen Übergabetyp Sie konfigurieren möchten, und die Übergabekonfiguration für die Management-VRF kennen.

ETH1 – ÜBERGABE-Netzwerk
  • MGMT_IPv4_Address
  • MGMT_IPv4_Netmask
  • MGMT_IPv4_Default gateway
  • DNS_Server_Primary
  • DNS_Server_Secondary
  • Übergabe (QinQ (0x8100), QinQ (0x9100), keine, 802.1Q, 802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

Konsolenzugriff (Console Access)

Konsolenzugriff
  • Kennwort der Konsole
  • SSH:
    • Aktiviert (Ja/Nein)
    • Öffentlicher SSH-Schlüssel

Um auf das Gateway zugreifen zu können, müssen ein Konsolenkennwort und/oder ein öffentlicher SSH-Schlüssel erstellt werden.

Cloud-Init-Erstellung

Die Konfigurationsoptionen für das Gateway, das wir im Arbeitsblatt definiert haben, werden in der Cloud-init-Konfiguration verwendet. Die Cloud-init-Konfiguration setzt sich aus zwei Hauptkonfigurationsdateien zusammen, der Metadatendatei und der Benutzerdatendatei. Die Metadatendatei enthält die Netzwerkkonfiguration für das Gateway, und die Benutzerdatendatei enthält die Konfiguration der Gateway-Software. Diese Datei enthält Informationen, die die Instanz des SD-WAN Gateway bezeichnen, das installiert wird.

Nachfolgend finden Sie Vorlagen für Metadaten- (meta-data) und Benutzerdatendateien (user-data). Die Netzwerkkonfiguration kann ausgelassen werden, und die Netzwerkschnittstellen werden standardmäßig über DHCP konfiguriert.

Füllen Sie die Vorlagen mit den Informationen im Arbeitsblatt aus. Alle Einträge vom Typ #_VARIABLE_# müssen ersetzt werden. Überprüfen Sie ebenfalls jede #ACTION#.

Wichtig: Bei der Vorlage wird davon ausgegangen, dass Sie die statische Konfiguration für die Schnittstellen verwenden. Außerdem wird davon ausgegangen, dass Sie SR-IOV für alle Schnittstellen oder für keine verwenden. Weitere Informationen finden Sie unter OAM – SR-IOV mit VMXNET3 oder SR-IOV mit VIRTIO.
Metadatendatei (meta-data): 
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
Netzwerkkonfigurationsdatei (network-config) (führende Leerzeichen sind wichtig!)
Hinweis: Die folgenden Beispiele für die Netzwerkkonfiguration beschreiben die Konfiguration der virtuellen Maschine mit zwei Netzwerkschnittstellen, eth0 und eth1, mit statischen IP-Adressen. eth0 ist die primäre Schnittstelle mit einer Standardroute und einer Metrik von 1. eth1 ist die sekundäre Schnittstelle mit einer Standardroute und einer Metrik von 13. Das System wird mit der Kennwortauthentifizierung für den Standardbenutzer (vcadmin) konfiguriert. Darüber hinaus wird der autorisierte SSH-Schlüssel für den vcadmin-Benutzer hinzugefügt. Das SD-WAN Gateway wird mit dem angegebenen activation_code automatisch für den SASE Orchestrator aktiviert. 
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
Benutzerdatendatei (user-data): 
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

Der Standardbenutzername für das Kennwort, das in der Datei user-data konfiguriert ist, lautet „vcadmin“. Verwenden Sie diesen Standardbenutzernamen für die erste Anmeldung beim SD-WAN Gateway.

Wichtig: Validieren Sie Benutzerdaten (user-data) und Metadaten (meta-data) immer unter http://www.yamllint.com/. network-config sollte ebenfalls eine gültige Netzwerkkonfiguration sein ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Bei der Funktion zum Kopieren/Einfügen tritt unter Windows/Mac manchmal ein Problem im Zusammenhang mit intelligenten Anführungszeichen auf, durch das Dateien beschädigt werden können. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass keine intelligenten Anführungszeichen verwendet werden. 
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Erstellen einer ISO-Datei

Nach dem Erstellen der Dateien müssen diese in einem ISO-Image zusammengefasst werden. Dieses ISO-Image wird als virtuelle Konfigurations-CD mit der virtuellen Maschine verwendet. Dieses ISO-Image mit der Bezeichnung „vcg01-cidata.iso“ wird mit dem folgenden Befehl in einem Linux-System erstellt: 

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Auf einem MAC OSX-System verwenden Sie stattdessen den folgenden Befehl:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Diese ISO-Datei mit der Bezeichnung #CLOUD_INIT_ISO_FILE# wird in OVA- und VMware-Installationen verwendet.