Consideraciones previas a la instalación

Hoja de cálculo


SD-WAN Gateway	Versión (Version) Ubicación del archivo OVA/QCOW2 Clave de activación (Activation Key) SD-WAN Orchestrator (DIRECCIÓN IP/vco-fqdn-nombre de host) Nombre de host
Hipervisor	Dirección/Nombre del clúster
Almacenamiento	Almacén de datos del volumen raíz (se recomienda un mínimo de 40 GB) Nota: Se recomienda que, en un host de puerta de enlace de socio, el espacio libre en disco en el directorio /tmp/partition sea al menos el doble del tamaño de memoria (RAM).
Asignación de CPU	Asignación de CPU para KVM/VMware
Selección de opciones de instalación	DPDK: esta opción es opcional y está habilitada de forma predeterminada para un mayor rendimiento. Si decide desactivar DPDK, póngase en contacto con el Soporte al cliente de VMware.
Red de OAM (Opcional. Consultar Configuraciones personalizadas)	DHCP Dirección IPv4 de OAM Máscara de red IPv4 de OAM Servidor DNS: principal Servidor DNS: secundario Rutas estáticas
ETH0: red orientada a Internet	Dirección IPv4 Máscara de red IPv4 Puerta de enlace IPv4 predeterminada Servidor DNS: principal Servidor DNS: secundario
Entrega (ETH1): red	Dirección IPv4 de VRF de administración Máscara de red IPv4 de VRF de administración Puerta de enlace IPv4 predeterminada de VRF de administración Servidor DNS: principal Servidor DNS: secundario Entrega (QinQ [0x8100], QinQ [0x9100], ninguno, 802.1Q, 802.1ad) ETIQUETA-C ETIQUETA-S
Acceso a la consola	Contraseña de consola SSH: Habilitado (sí/no) Clave pública de SSH
NTP (Opcional. Consultar la sección Configuraciones personalizadas)	NTP público: servidor 0.ubuntu.pool.ntp.org servidor 1.ubuntu.pool.ntp.org servidor 2.ubuntu.pool.ntp.org servidor 3.ubuntu.pool.ntp.org Servidor NTP interno: 1 Servidor NTP interno: 2

Sección SD-WAN Gateway

La mayor parte de la sección SD-WAN Gateway es explicativa.


SD-WAN Gateway	Versión: debe ser igual o menor que SD-WAN Orchestrator. Ubicación del archivo OVA/QCOW2: planifique con antelación la ubicación del archivo y la asignación de disco. Clave de activación (Activation Key) SD-WAN Orchestrator (DIRECCIÓN IP/vco-fqdn-nombre de host) Nombre de host: nombre de host de Linux válido "RFC 1123".

Crear una puerta de enlace y obtener la clave de activación

Vaya a Operador (Operator) > Grupo de puertas de enlace (Gateway Pool) y cree un nuevo grupo de SD-WAN Gateway. Para ejecutar SD-WAN Gateway en la red del proveedor de servicios, habilite la casilla de verificación Permitir puerta de enlace de socio (Allow Partner Gateway). Al realizar esta acción, se habilita la opción para incluir la puerta de enlace de socio en este grupo de puertas de enlace.
Vaya a Operador (Operator) > Puerta de enlace (Gateway), cree una puerta de enlace nueva y asígnela al grupo. La dirección IP de la puerta de enlace introducida aquí debe coincidir con la dirección IP pública de la puerta de enlace. Si no está seguro, puede ejecutar curl ipinfo.io/ip desde SD-WAN Gateway. Al realizar esta acción, se devuelve la IP pública de SD-WAN Gateway.
Anote la clave de activación y agréguela a la hoja de cálculo.

Habilitar modo de puerta de enlace de socio

Vaya a Operador (Operator) > Puertas de enlace (Gateways) y seleccione SD-WAN Gateway. Seleccione la casilla de verificación Puerta de enlace de socio (Partner Gateway) para habilitar esta puerta de enlace.

Se pueden configurar algunos parámetros adicionales. Los más comunes son los siguientes:

Anunciar 0.0.0.0/0 sin cifrar (Advertise 0.0.0.0/0 with no encrypt)

Esta opción permite a la puerta de enlace de socio anunciar una ruta al tráfico de nube para la aplicación SaaS. Como la marca de cifrado está desactivada, utilizar o no esta ruta depende de la configuración del cliente en relación con la directiva empresarial.

La segunda opción recomendada es anunciar la IP de SD-WAN Orchestrator como una cadena de tipo /32 con cifrado .

vcg-advanced-handoff-static-routes-encrypt-checkbox

Esta opción hace que el tráfico que se envía desde la instancia de Edge hasta SD-WAN Orchestrator tome la ruta de puerta de enlace. Se recomienda esta opción porque aumenta la previsibilidad del comportamiento que efectúa SD-WAN Edge para llegar a SD-WAN Orchestrator.

Redes

Importante: El procedimiento y las capturas de pantalla siguientes se centran en la implementación más común, que implica la instalación de 2 procesadores ARM para la puerta de enlace. En la sección Rutas estáticas e interfaz de OAM se describe cómo agregar una red de OAM.

vcg-partner-gateway-pe-image

El diagrama anterior representa una instancia de SD-WAN Gateway en una implementación de 2 procesadores ARM. En este ejemplo, eth0 es la interfaz que apunta a la red pública (Internet) y eth1 la que apunta a la red interna (interfaz de entrega o VRF).

Nota: Se crea un VRF de administración en SD-WAN Gateway, mediante el cual se envía una actualización periódica del protocolo de resolución de direcciones (Address Resolution Protocol, ARP) a la IP de la puerta de enlace predeterminada para comprobar que la interfaz de entrega está en funcionamiento y acelerar el tiempo de conmutación por error. Se recomienda configurar un VRF dedicado en el enrutador PE para este fin. De forma opcional, el enrutador de PE también puede utilizar el VRF de administración para enviar un sondeo del acuerdo de nivel de servicio (Service Level Agreement, SLA) de IP a SD-WAN Gateway y comprobar así el estado de SD-WAN Gateway ( SD-WAN Gateway tiene un respondedor de protocolo de mensajes de control de Internet [Internet Control Message Protocol, ICMP] con estado que solo responde al ping cuando el servicio está activo). Si no se configura un VRF de administración dedicado, puede utilizar uno de los VRF del cliente como VRF de administración, aunque no se recomienda.

Para la red orientada a Internet, solo necesita la configuración de red básica.


ETH0: red orientada a Internet	Dirección IPv4 Máscara de red IPv4 Puerta de enlace IPv4 predeterminada Servidor DNS principal Servidor DNS secundario

Para la interfaz de entrega, debe conocer dos factores: el tipo de entrega que se debe configurar y la configuración de entrega del VRF de administración.


ETH1: red de entrega	Dirección IPv4 de administración Máscara de red IPv4 de administración Puerta de enlace IPv4 predeterminada de administración Servidor DNS principal Servidor DNS secundario Entrega (QinQ [0x8100], QinQ [0x9100], ninguno, 802.1Q, 802.1ad) Etiqueta C para VRF de administración Etiqueta S para VRF de administración

Acceso a la consola (Console Access)


Acceso a la consola	Contraseña de consola SSH: Habilitado (sí/no) Clave pública de SSH

Para acceder a la puerta de enlace, debe crearse una contraseña de la consola o una clave pública de SSH.

Creación de cloud-init

En la configuración de cloud-init se utilizan las opciones de configuración de la puerta de enlace que definimos en la hoja de cálculo. La configuración de cloud-init comprende dos archivos de configuración principales: el de metadatos y el de datos de usuario. Los metadatos contienen la configuración de red de la puerta de enlace y los datos de usuario contienen la configuración del software de puerta de enlace. Este archivo proporciona información que identifica la instancia de SD-WAN Gateway que se está instalando.

A continuación se muestran las plantillas de los archivos Meta_data y User_data.

Rellene las plantillas con la información de la hoja de cálculo. Debe reemplazar todos los elementos #_VARIABLE_# y comprobar los elementos #ACTION#.

Importante: En esta plantilla se presupone que se utiliza la configuración estática para las interfaces y que se está usando SR-IOV para todas las interfaces (o para ninguna de ellas). Para obtener más información, consulte OAM: SR-IOV con vmxnet3 o SR-IOV con VIRTIO.

Archivo meta-data:

instance-id: #_Hostname_#
local-hostname: #_Hostname_#

 
network-interfaces: |
   auto eth0
      iface eth0 inet static
         address #_IPv4_Address_# 
         mac_address #_mac_Address_#       
         netmask #_IPv4_Netmask_# 
         gateway #_IPv4_Gateway_# 
         dns-nameservers 
            #_DNS_server_primary_# 
            #_DNS_server_secondary_# 
   auto eth1
      iface eth1 inet static
         metric '13'
         address #_MGMT_IPv4_Address_# 
         mac_address #_MGMT_mac_Address_# 
         netmask #_MGMT_IPv4_Netmask_# 
         gateway #_MGMT_IPv4_Gateway_# 
         dns-nameservers 
            #_DNS_server_primary_# 
            #_DNS_server_secondary_#

Archivo user-data:

#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_# 
chpasswd: 
  expire: false

ssh_authorized_keys: 
  - #_SSH_public_Key_#
ssh_pwauth: true

velocloud: 
  vcg: 
    activation_code: #_Activation_Key_#
    vco: #_VCO_#

runcmd: 
  - "echo \"[]\" > /opt/vc/etc/vc_blocked_subnets.json"
  - "sed -iorig \"s/wan=\\\".*/wan=\\\"eth0 eth1\\\"/\" /etc/config/gatewayd-tunnel"
  - /var/lib/cloud/scripts/per-boot/config_gateway
  - "sleep 10"
  - "/opt/vc/bin/vc_procmon restart"

write_files: 
  - 
    content: |
        #!/usr/bin/python
        import json
        ### EDIT GATEWAYD ###
        with open("/etc/config/gatewayd", "r") as jsonFile:
          data = json.load(jsonFile)
        data["global"]["vcmp.interfaces"] = ["eth0"]
        data["global"]["wan"] = ["eth1"]
        # NOTE FOR HAND OFF IT CAN BE "QinQ (0x8100)" "QinQ (0x9100)" "none" "802.1Q" "802.1ad"
        data["vrf_vlan"]["tag_info"][0]["mode"] = "#_Handoff_" 
        data["vrf_vlan"]["tag_info"][0]["interface"] = "eth1"
        data["vrf_vlan"]["tag_info"][0]["c_tag"] = "#_C_TAG_FOR_MGMT_VRF_#" 
        data["vrf_vlan"]["tag_info"][0]["s_tag"] = "#_S_TAG_FOR_MGMT_VRF_" 
        with open("/etc/config/gatewayd", "w") as jsonFile:
          jsonFile.write(json.dumps(data,sort_keys=True,indent=4, separators=(",", ": ")))
        ### EDIT DPDK ###
        with open("/opt/vc/etc/dpdk.json", "r") as jsonFile:
          data = json.load(jsonFile)
        #SET 0 or 1 for enabled or DISABLED example data["dpdk_enabled"] = 0
        data["dpdk_enabled"] = #_DKDP_ENABLED_(1)_OR_DISABLED_(0)_# 
        with open("/opt/vc/etc/dpdk.json", "w") as jsonFile:
          jsonFile.write(json.dumps(data,sort_keys=True,indent=4, separators=(",", ": ")))
    path: /var/lib/cloud/scripts/per-boot/config_gateway
    permissions: "0755"

final_message: "==== Cloud-init completed ===="

power_state: 
  condition: true
  delay: "+1"
  message: "Bye Bye"
  mode: reboot
  timeout: 30

Importante:

VMware recomienda tener un nombre de dominio completo (Fully Qualified Domain Name, FQDN) apropiado configurado para todos los orquestadores de producción, de modo que se puedan emitir certificados TLS adecuados para ellos.
Si la activación mediante la dirección IP del orquestador es la única opción, utilice el siguiente ejemplo donde se indica a la instancia de Edge que omita la verificación TLS.
```
commands.getoutput("/opt/vc/bin/ activate.py -s myvco.example.com -i #_activation_key_#")
```
Esta configuración no es conveniente para producción. Se recomienda realizar una reactivación con el nombre de host del orquestador lo antes posible.

Nota: Valide siempre los datos de usuario y los metadatos mediante http://www.yamllint.com/. Los metadatos también deben ser una configuración de red válida en la sección de la interfaz de red ( /etc/network/interfaces), una vez que se completa cloud-init. En algunas ocasiones, cuando se utiliza la función de copiar y pegar de Windows o Mac, se produce un problema al introducir comillas tipográficas que pueden dañar los archivos. Ejecute el siguiente comando para asegurarse de que no se usen estas comillas.

sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Crear archivo ISO

Una vez que haya completado los archivos, debe empaquetarlos en una imagen ISO. Esta imagen ISO se utiliza como un CD de configuración virtual con la máquina virtual. Esta imagen ISO, denominada vcg01-cidata.iso, se crea con el siguiente comando en un sistema Linux:

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data

Si utiliza un sistema MAC OSX, use el siguiente comando en su lugar:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data}

Este archivo ISO, al que llamaremos #CLOUD_INIT_ISO_FILE#, se utiliza en las instalaciones de VMware y los archivos OVA.