Considérations relatives à la préinstallation

Feuille


SD-WAN Gateway	Version Emplacement des fichiers OVA/QCOW2 Clé d'activation (Activation Key) SASE Orchestrator (adresse IP/vco-fqdn-hostname) Nom d'hôte
Hyperviseur	Nom de l'adresse/du cluster
Stockage	Banque de données de volume racine (>40 Go recommandés)
Allocation de CPU	Allocation de CPU pour KVM/VMware.
Sélections d'installation	DPDK : facultatif et activé par défaut pour un débit supérieur. Si vous choisissez de désactiver DPDK, contactez le support client VMware.
Réseau OAM	DHCP Adresse IPv4 OAM Masque de réseau IPv4 OAM Serveur DNS - principal Serveur DNS - secondaire Routes statiques
ETH0 – Réseau connecté à Internet	Adresse IPv4 Masque de réseau IPv4 Passerelle IPv4 par défaut Serveur DNS - principal Serveur DNS - secondaire
Transfert (ETH1) - Réseau	Adresse IPv4 VRF de gestion Masque de réseau IPv4 VRF de gestion Passerelle par défaut IPv4 VRF de gestion Serveur DNS - principal Serveur DNS - secondaire Transfert (QinQ (0x8100), QinQ (0x9100), aucun, 802.1Q, 802.1ad) BALISE C BALISE S
Accès à la console	Console_Password SSH : Activé (oui/non) Clé publique SSH
NTP	NTP public : server 0.ubuntu.pool.ntp.org server 1.ubuntu.pool.ntp.org server 2.ubuntu.pool.ntp.org server 3.ubuntu.pool.ntp.org Serveur NTP interne - 1 Serveur NTP interne - 2

SD-WAN Gateway section

La majeure partie de la section SD-WAN Gateway est explicite.


SD-WAN Gateway	Version : doit être identique ou inférieure à celle de SASE Orchestrator Emplacement des fichiers OVA/QCOW2 : planifiez l'emplacement des fichiers et l'allocation de disque Clé d'activation (Activation Key) SASE Orchestrator (adresse IP/vco-fqdn-hostname) Nom d'hôte : nom d'hôte Linux valide « RFC 1123 »

Création d'une passerelle et obtention de la clé d'activation

Dans le portail opérateur, cliquez sur l'onglet Gestion des passerelles (Gateway Management), puis accédez à Pools de passerelles (Gateway Pools) dans le volet de navigation de gauche. La page Pools de passerelles (Gateway Pools) s'affiche. Créez un pool SD-WAN Gateway. Pour exécuter SD-WAN Gateway sur le réseau du fournisseur de services, cochez la case Autoriser la passerelle partenaire (Allow Partner Gateway). Cette option permet d'inclure la passerelle partenaire dans ce pool de passerelles.
Dans le portail opérateur, cliquez sur Gestion des passerelles (Gateway Management) > Passerelles (Gateways), créez une passerelle, puis attribuez-la au pool. L'adresse IP de la passerelle entrée ici doit correspondre à l'adresse IP publique (public IP address) de la passerelle. En cas de doute, vous pouvez exécuter curl ipinfo.io/ip à partir du composant SD-WAN Gateway qui renverra l'adresse IP publique du composant SD-WAN Gateway.
Notez la clé d'activation et ajoutez-la à la feuille de calcul.

Activer le mode de passerelle partenaire

Dans le portail opérateur, cliquez sur Gestion des passerelles (Gateway Management) > Passerelles (Gateways), puis sélectionnez SD-WAN Gateway. Cochez la case Passerelle partenaire (Partner Gateway) pour activer la passerelle partenaire.
Des paramètres supplémentaires peuvent être configurés. Les plus fréquents sont les suivants :
- Annoncer 0.0.0.0/0 sans chiffrement (Advertise 0.0.0.0/0 with no encrypt) : cette option permet à la passerelle partenaire d'annoncer un chemin au trafic cloud pour l'application SAAS. Étant donné que l'indicateur de chiffrement est désactivé, c'est la configuration du client sur la business policy qui utilisera ce chemin d'accès.
- La seconde option recommandée consiste à annoncer l'adresse IP de SASE Orchestrator en tant que /32 avec chiffrement.
  
  Cela forcera le trafic envoyé du dispositif Edge au composant SASE Orchestrator à prendre le chemin d'accès de la passerelle. Cette opération est recommandée, car elle rend le comportement adopté par SD-WAN Edge pour atteindre le composant SASE Orchestrator prévisible.

Mise en réseau

Important : La procédure et les captures d'écran suivantes portent sur le déploiement le plus courant : l'installation à deux bras de la passerelle. L'ajout d'un réseau OAM est pris en compte dans la section Interface OAM et routes statiques.

vcg-partner-gateway-pe-image

Le schéma ci-dessus est une représentation du composant SD-WAN Gateway dans un déploiement à 2 bras. Dans cet exemple, nous supposons que eth0 est l'interface connectée au réseau public (Internet) et que eth1 est l'interface connectée au réseau interne (interface de transfert ou VRF).

Note : Un VRF de gestion (Management VRF) est créé sur le composant SD-WAN Gateway et est utilisé pour envoyer une actualisation ARP périodique à l'adresse IP de la passerelle par défaut pour vérifier que l'interface de transfert est physiquement active et accélère le basculement. Il est recommandé de configurer un VRF dédié sur le routeur PE à cette fin. En option, le même VRF de gestion peut également être utilisé par le routeur PE pour envoyer une sonde de SLA IP au composant SD-WAN Gateway pour vérifier l'état de SD-WAN Gateway ( SD-WAN Gateway dispose d'un répondeur ICMP avec état qui répondra à la commande ping uniquement si son service est activé). Si un VRF de gestion dédié n'est pas configuré, vous pouvez utiliser l'un des VRF client comme VRF de gestion, même si cette pratique n'est pas recommandée.

Pour le réseau connecté à Internet, vous avez uniquement besoin de la configuration réseau de base.


ETH0 – Réseau connecté à Internet	IPv4_Address IPv4_Netmask IPv4_Default_gateway DNS_server_primary DNS_server_secondary

Pour l'interface de transfert, vous devez connaître le type de transfert que vous souhaitez configurer et la configuration de transfert pour le VRF de gestion.


ETH1 – Réseau de transfert	MGMT_IPv4_Address MGMT_IPv4_Netmask MGMT_IPv4_Default gateway DNS_Server_Primary DNS_Server_Secondary Transfert (QinQ (0x8100), QinQ (0x9100), aucun, 802.1Q, 802.1ad) C_TAG_FOR_MGMT_VRF S_TAG_FOR_MGMT_VRF

Accès à la console (Console Access)


Accès à la console	Console_Password SSH : Activé (oui/non) Clé publique SSH

Afin d'accéder à la passerelle, vous devez créer un mot de passe de console et/ou une clé publique SSH.

Création de cloud-init

Les options de configuration de la passerelle que nous avons définies dans la feuille de calcul sont utilisées dans la configuration de cloud-init. La configuration de cloud-init se compose de deux fichiers de configuration principaux, du fichier de métadonnées et du fichier de données utilisateur. Les métadonnées contiennent la configuration réseau de la passerelle et les données utilisateur contiennent la configuration du logiciel de la passerelle. Ce fichier fournit des informations qui permettent d'identifier l'instance de SD-WAN Gateway en cours d'installation.

Vous trouverez ci-dessous les modèles correspondant aux fichiers meta_data et user_data. Le fichier network-config peut être omis, auquel cas les interfaces réseau seront configurées par défaut selon le protocole de configuration dynamique d'hôte (DHCP, Dynamic Host Configuration Protocol).

Remplissez les modèles avec les informations de la feuille de calcul. Tous les éléments #_VARIABLE_# doivent être remplacés. Vérifiez également les éléments #ACTION#.

Important : Le modèle part du principe que vous utilisez une configuration statique pour les interfaces. Il suppose également que vous utilisez SR-IOV pour toutes les interfaces ou pour aucune. Pour plus d'informations, reportez-vous à la section OAM - SR-IOV avec vmxnet3 ou SR-IOV avec VIRTIO.

Fichier meta-data :

instance-id: #_Hostname_#
local-hostname: #_Hostname_#

Fichier network-config (les espaces de début ont leur importance !) :

Note : Les exemples de configuration réseau ci-dessous décrivent la configuration de la machine virtuelle avec deux interfaces réseau, eth0 et eth1, avec des adresses IP statiques. eth0 est l'interface principale avec une route par défaut et une mesure de 1. eth1 est l'interface secondaire avec une route par défaut et une mesure de 13. Le système sera configuré avec l'authentification par mot de passe pour l'utilisateur par défaut (vcadmin). En outre, la clé autorisée SSH sera ajoutée pour l'utilisateur vcadmin. La passerelle SD-WAN Gateway sera automatiquement activée sur SASE Orchestrator avec l'activation_code fourni.

version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13

Fichier user-data :

#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

Le nom d'utilisateur par défaut du mot de passe qui est configuré dans le fichier user-data est « vcadmin ». Utilisez ce nom d'utilisateur par défaut pour vous connecter au dispositif SD-WAN Gateway pour la première fois.

Important : Validez toujours les données utilisateur et les métadonnées, à l'aide de http://www.yamllint.com/. Le fichier network-config doit également être une configuration réseau valide ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Parfois, lors de l'utilisation de la fonctionnalité de copier-coller Windows/Mac, l'introduction de guillemets courbes peut corrompre les fichiers. Exécutez la commande suivante pour vous assurer de l'absence de guillemets courbes.

sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Créer un fichier ISO

Après avoir terminé vos fichiers, vous devez les packager dans une image ISO. Cette image ISO est utilisée comme CD de configuration virtuel avec la machine virtuelle. Cette image ISO, nommée vcg01-cidata.iso, est créée avec la commande suivante sur un système Linux :

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Si vous vous trouvez sur un MAC OSX, utilisez plutôt la commande ci-dessous :

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Ce fichier ISO intitulé #CLOUD_INIT_ISO_FILE# est destiné à être utilisé à la fois dans les installations OVA et VMware.