Beschreibt die Virtual Edge-Bereitstellung in der AliCloud Virtual Private Cloud (VPC) mit drei vSwitches, jeder für ein mit dem Edge verbundenes Subnetz (wie im folgenden Topologiediagramm dargestellt).

Hochrangiger Workflow

Führen Sie die folgenden Schritte aus, um einen Virtual SD-WAN Edge in Alibaba Cloud ECS bereitzustellen:

  1. Erstellen Sie eine Virtual Private Cloud (VPC). Die Schritte dazu finden Sie unter Erstellen einer VPC.
  2. Erstellen Sie drei vSwitches, jeweils für ein Subnetz, das mit dem Edge verbunden ist, wie im Topologiediagramm dargestellt. Die Schritte dazu finden Sie unter Erstellen eines vSwitch.
    • Verwaltungssubnetz/vSwitch für Konsolen-/Verwaltungszugriff auf den Edge über die Verwaltungsschnittstelle GE1.
    • Öffentliches Subnetz/öffentlicher vSwitch für den Internetzugriff vom Edge über die WAN-seitige Schnittstelle GE2.
    • Privates Subnetz/privater vSwitch für den LAN-seitigen Gerätezugriff über die LAN-seitige Schnittstelle GE3.
  3. Erstellen Sie eine Sicherheitsgruppe (velo_vVCE_SG) und fügen Sie eingehende Regeln hinzu. Die Schritte dazu finden Sie unter Erstellen einer Sicherheitsgruppe.
  4. Erstellen Sie zwei benutzerdefinierte (sekundäre) Routentabellen (Velo_vVCE_Public_RT und Velo_vVCE_Private_RT) und verknüpfen Sie sie mit den entsprechenden vSwitches (öffentlich und privat). Die Schritte dazu finden Sie unter Erstellen von benutzerdefinierten Routentabellen und Zuordnen von vSwitches.
  5. Stellen Sie wie folgt einen SD-WAN Edge im SD-WAN Orchestrator bereit:
    1. Erstellen Sie einen Edge des Typs Virtueller Edge (Virtual Edge).
    2. Ändern Sie die GE2-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed).
    3. Deaktivieren Sie WAN-Overlay (WAN Overlay) für die GE3-Schnittstelle und Direkter NAT-Datenverkehr (NAT Direct Traffic). Dies ist der nächste Hop für Geräte, die mit privaten Subnetzen (LAN-Geräten) verbunden sind.
    4. Fügen Sie die JH-IP in der SSH-Zugriffsliste der Firewall hinzu.

      Weitere Informationen finden Sie unter Bereitstellen eines Edge im VCO.

  6. Erstellen und starten Sie eine virtuelle SD-WAN Edge (vVCE)-Instanz mit Verwaltungsschnittstelle (GE1). Die Schritte dazu finden Sie unter Erstellen einer vVCE-Instanz in der ECS-Konsole.
  7. Erstellen Sie zwei Elastic Network Interfaces (ENIs): eine private LAN-seitige Schnittstelle (GE3) und eine weitere öffentliche WAN-seitige Schnittstelle (GE2). Die Schritte dazu finden Sie unter Erstellen einer Elastic Network Interface.
  8. Erstellen Sie eine elastische IP-Adresse und weisen Sie diese der öffentlichen Schnittstelle (GE2) des Edge zu. Die Schritte dazu finden Sie unter Erstellen einer elastischen IP-Adresse und Zuweisen zu der öffentlichen Schnittstelle des Edge.
  9. Binden Sie die öffentliche (GE2) und die private (GE3) Schnittstelle an die Edge-Instanz (vVCE) und starten Sie dann die Edge-Instanz neu, um sicherzustellen, dass die Schnittstellen mit dem Edge verbunden werden. Die Schritte dazu finden Sie unter Binden einer ENI an eine Edge-Instanz.

    Die Edge-Instanz wird für den SD-WAN Orchestrator aktiviert, und der Edge kann den VCMP-Tunnel zum Gateway einrichten.

  10. (Optional) Wenn Sie innerhalb der VPC von einem privaten Subnetz aus (nicht über das Internet) auf Ihren Edge zugreifen möchten, müssen Sie eine Jump-Host-Instanz (JH) (Linux-Instanz) mit einer Schnittstelle im öffentlichen Subnetz für die Internetverbindung mit EIP und der anderen Schnittstelle im Verwaltungsnetzwerk erstellen, über die auf den Edge zugegriffen wird. Die Schritte dazu finden Sie unter Erstellen einer Jump-Host-Instanz.
    1. Erstellen Sie einen Jump-Host.
    2. Erstellen Sie eine EIP und binden Sie sie an die Jump-Host-Instanz.
      Hinweis: VCAdmin-Benutzer können auf den Edge über die Verwaltungssubnetz-Schnittstelle von JH zugreifen.
    3. Melden Sie sich vom Jump-Host aus beim virtuellen Edge (vVCE) an.
    4. Aktivieren Sie den Edge für den SD-WAN Orchestrator über die Shell.
      Hinweis: Wenn Sie nach dem Start der Edge-Aktivierung SSH von einem privaten Subnetz aus für den Edge nutzen möchten, müssen Sie sicherstellen, dass Sie die JH-IP in die SSH-Zugriffsliste der Firewall aufnehmen.
  11. Erstellen Sie eine LAN-Instanz, bei der die primäre Schnittstelle mit dem privaten Subnetz verbunden ist. Die Schritte dazu finden Sie unter Erstellen einer LAN-Instanz.
    1. Erstellen Sie in der privaten Routing-Tabelle (Velo_vVCE_Private_RT) einen neuen Routeneintrag, der für die Standardroute auf die GE3-Schnittstelle des Edge verweist. Die Schritte dazu finden Sie unter Hinzufügen eines benutzerdefinierten Routentabelleneintrags.
  12. Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist.