Para aprovisionar una instancia de SD-WAN Edge, siga los pasos de este procedimiento:
Requisitos previos
Asegúrese de tener una cuenta de administrador y el nombre de host de SD-WAN Orchestrator para iniciar sesión.
Procedimiento
- Inicie sesión en la aplicación SD-WAN Orchestrator como usuario administrador con sus credenciales de inicio de sesión.
- Vaya a Configurar (Configure) > Instancias de Edge (Edges).
- En la pantalla Instancias de Edge (Edges), haga clic en Agregar instancia de Edge (Add Edge). Aparece la pantalla Aprovisionar una instancia de Edge (Provision an Edge).
- Puede configurar las siguientes opciones:
Opción Descripción Modo (Mode) De forma predeterminada, el modo SD-WAN Edge está seleccionado. Nombre (Name) Introduzca un nombre único para la instancia de Edge. Modelo (Model) Seleccione Edge Virtual (Virtual Edge) en el menú desplegable. Perfil (Profile) Seleccione Perfil de inicio rápido (Quick Start Profile) en el menú desplegable. Nota: Si se muestra un perfil provisional de Edge como una opción debido a una activación automática de Edge, significa que este perfil se utiliza en una instancia de Edge recién asignada, pero no se ha configurado con un perfil de producción.Licencia de Edge (Edge License) Seleccione una licencia de Edge en el menú desplegable. La lista muestra las licencias asignadas a la empresa por el operador. Autenticación (Authentication) Elija el modo de autenticación desde el menú desplegable:
- Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
Advertencia: Este modo no se recomienda para ninguna implementación de cliente.
- Adquirir certificado (Certificate Acquire): este modo está seleccionado de forma predeterminada y se recomienda para todas las implementaciones de cliente. Con el modo Adquirir certificado (Certificate Acquire), los certificados se emiten en el momento de la activación de Edge y se renuevan automáticamente. Orchestrator indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SD-WAN Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SD-WAN Orchestrator y para establecer túneles VCMP.
Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required), si es necesario.
- Certificado requerido (Certificate Required): este modo solo es adecuado para las empresas de clientes que son "estáticas". Una empresa estática se define como una instancia en la que es probable que solo se implementen unas pocas instancias nuevas de Edge y no se anticipen cambios nuevos orientados a PKI.
Importante: Certificado requerido (Certificate Required) no tiene ventajas de seguridad sobre Adquirir certificado (Certificate Acquire). Estos modos son igualmente seguros y un cliente que utiliza Certificado requerido (Certificate Required) debe hacerlo solo por las razones detalladas en esta sección.El modo Certificado requerido (Certificate Required) significa que no se acepta ningún latido de Edge sin un certificado válido.Con este modo, Edge utiliza el certificado de PKI. Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para instancias de Edge mediante la edición de las propiedades del sistema de Orchestrator. Para obtener más información, póngase en contacto con el operador.Precaución: El uso de este modo puede provocar errores de Edge en los casos en los que un cliente no es consciente de esta aplicación estricta.
Nota:- Con la función de bastión de Orchestrator habilitada, las instancias de Edge que van a pasar a la instancia de Orchestrator bastión deben tener el modo de autenticación establecido en Adquirir certificado (Certificate Acquire) o Certificado requerido (Certificate Required).
- Cuando un certificado de Edge se revoca, Edge se desactiva y debe pasar por el proceso de activación. El diseño de QuickSec actual comprueba la validez de la hora de la lista de revocación de certificados (CRL). Para que la CRL tenga impacto en la nueva conexión establecida, la validez de la hora de la CRL debe coincidir con la hora actual de las instancias de Edge. Para implementarlo, asegúrese de que la hora de Orchestrator esté actualizada correctamente para que coincida con la fecha y la hora de las instancias de Edge.
Cifrar secretos de dispositivo (Encrypt Device Secrets) Seleccione la casilla de verificación Habilitar (Enable) para permitir que Edge cifre los datos confidenciales en todas las plataformas. Esta opción también está disponible en la página Información general (Overview) de Edge. Nota: Para las versiones de Edge 5.2.0 y posteriores, antes de desactivar esta opción, primero debe desactivar la instancia de Edge mediante acciones remotas. Esto hace que se reinicie la instancia de Edge.Alta disponibilidad (High Availability) Seleccione la casilla de verificación Habilitar (Enable) para aplicar la alta disponibilidad (HA). Las instancias de Edge pueden instalarse como un único dispositivo independiente o emparejarse con otra instancia de Edge para proporcionar compatibilidad con la alta disponibilidad (HA). Nombre del contacto local (Local Contact Name) Introduzca el nombre del contacto del sitio para la instancia de Edge. Correo electrónico de contacto local (Local Contact Email) Introduzca la dirección de correo electrónico del contacto del sitio para la instancia de Edge. - Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
- Introduzca todos los detalles necesarios y haga clic en Siguiente (Next) para configurar las siguientes opciones adicionales:
Nota: El botón Siguiente (Next) solo se activa cuando se introducen todos los detalles requeridos.
Opción Descripción Número de serie (Serial Number) Introduzca el número de serie de la instancia de Edge. Cuando se especifica, la instancia de Edge debe mostrar este número de serie en la activación. Nota: Al implementar instancias de Edge de VMware SD-WAN virtuales en instancias de Edge de AWS, asegúrese de utilizar el identificador de instancia como número de serie para la instancia de Edge.Descripción Introduzca una descripción adecuada. Ubicación (Location) Haga clic en el vínculo Establecer ubicación (Set Location) para establecer la ubicación de la instancia de Edge. Si no se especifica, la ubicación se detecta automáticamente desde la dirección IP cuando se activa la instancia de Edge. - Haga clic en Agregar instancia de Edge (Add Edge).
La instancia de Edge ya está aprovisionada y la clave de activación se muestra en la parte superior de la página. Anote esta clave para usarla al iniciar la instancia de Edge desde la consola de AliCloud.Nota: La clave de activación caduca en un mes si el dispositivo Edge no se activa con ella.
- Configure las interfaces de la instancia de Edge virtual. Los pasos siguientes parten de la topología A.
- Vaya a Configurar (Configure) > Instancias de Edge (Edges). La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
- Haga clic en el vínculo a una instancia de Edge o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
- Vaya al área (Configuración de interfaz) Interface Settings.
- En la categoría Conectividad (Connectivity), expanda Interfaces. Se muestran diferentes tipos de interfaces disponibles para la instancia de Edge seleccionada.
- Seleccione la casilla de verificación Anular interfaz (Override Interface) y, a continuación, actualice las configuraciones de las interfaces de Edge virtual Interfaz GE1 (GE1 Interface), Interfaz GE2 (GE2 Interface) e Interfaz GE3 (GE3 Interface) como se indica a continuación:
- Cambie la capacidad de la interfaz GE1 a Con enrutamiento (Routed) y desactive Superposición de WAN (WAN Overlay) y Tráfico directo de NAT (NAT Direct Traffic).
- Cambie la capacidad de la interfaz GE2 a Con enrutamiento (Routed) y asegúrese de activar Superposición de WAN (WAN Overlay) y Tráfico directo de NAT (NAT Direct Traffic).
- Para la interfaz GE3, desactive Superposición de WAN (WAN Overlay) y Tráfico directo de NAT (NAT Direct Traffic), que será el próximo salto para los dispositivos conectados a subredes de VPC privadas (dispositivos de LAN).
Para obtener más información, consulte el tema Configurar los ajustes de interfaz para instancias de Edge (Configure Interface Settings for Edges) en la Guía de administración de VMware SD-WAN.
Resultados
Se aprovisiona una instancia de Edge virtual en SD-WAN Orchestrator.
Qué hacer a continuación
Implemente la instancia de Edge virtual en GCP. Puede implementar la instancia de Edge virtual mediante uno de los siguientes métodos: