Führen Sie die Schritte in diesem Verfahren aus, um einen SD-WAN Edge bereitzustellen.

Voraussetzungen

Stellen Sie sicher, dass Sie über den SD-WAN Orchestrator-Hostnamen und das Administratorkonto für die Anmeldung verfügen.

Prozedur

  1. Melden Sie sich bei der Anwendung SD-WAN Orchestrator als Admin-Benutzer mit Ihren Anmeldedaten an.
  2. Navigieren Sie zu Konfigurieren (Configure) > Edges.
  3. Klicken Sie im Bildschirm Edges auf Edge hinzufügen (Add Edge). Der Bildschirm Edge bereitstellen (Provision an Edge) wird angezeigt.
  4. Sie können die folgenden Optionen konfigurieren:
    Option Beschreibung
    Modus (Mode) Standardmäßig ist der Modus SD-WAN Edge ausgewählt.
    Name Geben Sie einen eindeutigen Namen für den Edge ein.
    Modell (Model) Wählen Sie Virtueller Edge (Virtual Edge) im Dropdown-Menü aus.
    Profil (Profile) Wählen Sie Schnellstartprofil (Quick Start Profile) im Dropdown-Menü aus.
    Hinweis: Wenn ein Edge-Staging-Profil (Edge Staging Profile) aufgrund der automatischen Edge-Aktivierung als Option angezeigt wird, bedeutet dies, dass dieses Profil von einem neu zugewiesenen Edge verwendet wird, aber noch nicht mit einem Produktionsprofil konfiguriert wurde.
    Edge-Lizenz (Edge License) Wählen Sie im Dropdown-Menü eine Edge-Lizenz aus. Die Liste enthält die Lizenzen, die dem Enterprise vom Operator zugewiesen wurden.
    Authentifizierung (Authentication)

    Wählen Sie den Authentifizierungsmodus im Dropdown-Menü aus:

    • Zertifikat deaktiviert (Certificate Deactivated): Der Edge verwendet einen Authentifizierungsmodus mit vorinstalliertem Schlüssel.
      Warnung: Dieser Modus wird für keine Kundenbereitstellungen empfohlen.
    • Zertifikat erwerben (Certificate Acquire): Dieser Modus ist standardmäßig ausgewählt und wird für alle Kundenbereitstellungen empfohlen. Im Modus Zertifikat erwerben (Certificate Acquire) werden Zertifikate zum Zeitpunkt der Edge-Aktivierung ausgestellt und automatisch erneuert. Der Orchestrator weist den Edge an, ein Zertifikat von der Zertifizierungsstelle von SD-WAN Orchestrator zu erwerben, indem er ein Schlüsselpaar generiert und eine Zertifikatsignierungsanforderung an den Orchestrator sendet. Nach dem Erwerb verwendet der Edge das Zertifikat für die Authentifizierung beim SD-WAN Orchestrator und für die Einrichtung der VCMP-Tunnel.
      Hinweis: Nach dem Erwerb des Zertifikats kann die Option bei Bedarf auf Zertifikat erforderlich (Certificate Required) aktualisiert werden.
    • Zertifikat erforderlich (Certificate Required): Dieser Modus ist nur für Kundenunternehmen geeignet, die „statisch“ sind. Ein statisches Unternehmen ist definiert als ein Unternehmen, in dem wahrscheinlich nicht mehr als ein paar neue Edge-Geräte bereitgestellt werden und bei dem keine neuen PKI-orientierten Änderungen zu erwarten sind.
      Wichtig: Zertifikat erforderlich (Certificate Required) bietet keine Sicherheitsvorteile gegenüber Zertifikat erwerben (Certificate Acquire). Diese Modi sind gleichermaßen sicher, und ein Kunde, der Zertifikat erforderlich (Certificate Required) verwendet, sollte dies nur aus den in diesem Abschnitt beschriebenen Gründen tun.
      Der Modus Zertifikat erforderlich (Certificate Required) bedeutet, dass ohne ein gültiges Zertifikat keine Edge-Taktsignale akzeptiert werden.
      Vorsicht: Die Verwendung dieses Modus kann zu Edge-Fehlern führen, wenn sich ein Kunde dieser strengen Durchsetzung nicht bewusst ist.
      Bei diesem Modus verwendet der Edge das PKI-Zertifikat. Operatoren können das Zeitfenster für die Verlängerung von Zertifikaten für Edges über die Systemeigenschaften ändern. Für weitere Informationen wenden Sie sich bitte an Ihren Operator.
    Hinweis:
    • Wenn die Funktion „Bastion-Orchestrator (Bastion Orchestrator)“ aktiviert ist, sollte für die Edges, die für den Bastion-Orchestrator bereitgestellt werden sollen, der Authentifizierungsmodus entweder auf Zertifikat erwerben (Certificate Acquire) oder Zertifikat erforderlich (Certificate Required) festgelegt sein.
    • Wenn ein Edge-Zertifikat widerrufen wird, wird der Edge deaktiviert und muss den Aktivierungsvorgang durchlaufen. Im aktuellen QuickSec-Entwurf wird die Gültigkeitsdauer der Zertifikatswiderrufsliste (CRL) überprüft. Die Gültigkeitsdauer der Zertifikatswiderrufsliste muss mit der aktuellen Uhrzeit der Edges übereinstimmen, damit die Zertifikatswiderrufsliste Auswirkungen auf die neu eingerichtete Verbindung hat. Stellen Sie dazu sicher, dass die Uhrzeit des Orchestrators korrekt aktualisiert wird, damit sie mit dem Datum und der Uhrzeit der Edges übereinstimmt.
    Geheime Geräteschlüssel verschlüsseln (Encrypt Device Secrets) Aktivieren Sie das Kontrollkästchen Aktivieren (Enable), damit der Edge die vertraulichen Daten plattformübergreifend verschlüsseln kann. Diese Option ist auch auf der Seite Übersicht (Overview) des Edge verfügbar.
    Hinweis: Bevor Sie diese Option für Edge-Versionen 5.2.0 und höher deaktivieren, müssen Sie den Edge zuerst mithilfe von Remote-Aktionen deaktivieren. Dies führt zu einem Neustart des Edge.
    Hochverfügbarkeit (High Availability) Aktivieren Sie das Kontrollkästchen Aktivieren (Enable), um Hochverfügbarkeit (High Availability, HA) anzuwenden. Edges können als einzelnes Standalone-Gerät installiert oder mit einem anderen Edge gekoppelt werden, um Unterstützung für Hochverfügbarkeit bereitzustellen.
    Name des Ansprechpartners vor Ort (Local Contact Name) Geben Sie den Namen des Site-Kontakts für den Edge ein.
    E-Mail-Adresse des Ansprechpartners vor Ort (Local Contact Email) Geben Sie die E-Mail-Adresse des Site-Kontakts für den Edge ein.
  5. Geben Sie alle erforderlichen Details ein und klicken Sie auf Weiter (Next), um die folgenden zusätzlichen Optionen zu konfigurieren:
    Hinweis: Die Schaltfläche Weiter (Next) wird nur aktiviert, wenn Sie alle erforderlichen Details eingeben.
    Option Beschreibung
    Seriennummer (Serial Number) Geben Sie die Seriennummer des Edge ein. Wenn angegeben, muss der Edge diese Seriennummer bei der Aktivierung anzeigen.
    Hinweis: Stellen Sie beim Bereitstellen von virtuellen VMware SD-WAN Edges auf AWS-Edges sicher, dass Sie die Instanz-ID als Seriennummer für den Edge verwenden.
    Beschreibung Geben Sie eine entsprechende Beschreibung ein.
    Standort (Location) Klicken Sie auf den Link Standort festlegen (Set Location), um den Standort des Edge festzulegen. Wenn nicht angegeben, wird der Standort automatisch über die IP-Adresse erkannt, sobald der Edge aktiviert wird.
  6. Klicken Sie auf Edge hinzufügen (Add Edge).
    Der Edge wird bereitgestellt, und der Aktivierungsschlüssel wird oben auf der Seite angezeigt. Notieren Sie sich den Aktivierungsschlüssel, um ihn zum Starten des Edge über die AliCloud-Konsole zu verwenden.
    Hinweis: Der Aktivierungsschlüssel läuft in einem Monat ab, wenn das Edge-Gerät nicht anhand des Schlüssels aktiviert wird.
  7. Konfigurieren Sie die Schnittstellen des virtuellen Edge. Die folgenden Schritte werden unter Berücksichtigung der Topologie A erläutert.
    1. Navigieren Sie zu Konfigurieren (Configure) > Edges. Auf der Seite Edges werden die vorhandenen Edges angezeigt.
    2. Klicken Sie auf den Link zu einem Edge oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
    3. Navigieren Sie zum Bereich Schnittstelleneinstellungen (Interface Settings).
    4. Erweitern Sie in der Kategorie Konnektivität (Connectivity) die Option Schnittstellen (Interfaces). Verschiedene Schnittstellentypen werden für den ausgewählten Edge angezeigt.
    5. Aktivieren Sie das Kontrollkästchen Schnittstelle überschreiben (Override Interface) und aktualisieren Sie dann die Konfigurationen der virtuellen Edge-Schnittstellen GE1-Schnittstelle (GE1 Interface), GE2-Schnittstelle (GE2 Interface) und GE3-Schnittstelle (GE3 Interface) wie folgt:
      • Ändern Sie die Funktion der Schnittstelle GE1 in Geroutet (Routed) und deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic).
      • Ändern Sie die Funktion der Schnittstelle GE2 in Geroutet (Routed) und stellen Sie sicher, dass die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic) aktiviert sind.
      • Deaktivieren Sie für die Schnittstelle GE3 die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic). Dies ist der nächste Hop für Geräte, die mit privaten VPC-Subnetzen (LAN-Geräten) verbunden sind.​
    Weitere Informationen finden Sie im Thema Konfigurieren von Schnittstelleneinstellungen im VMware SD-WAN-Administratorhandbuch.

Ergebnisse

Ein virtueller Edge wird in SD-WAN Orchestrator bereitgestellt.

Nächste Maßnahme

Stellen Sie den virtuellen Edge in GCP bereit. Sie können den virtuellen Edge mithilfe einer der folgenden Methoden bereitstellen: