La passerelle partenaire VMware offre des options de configuration différentes. Une feuille de calcul doit être préparée avant l'installation de la passerelle.

Feuille

SD-WAN Gateway
  • Version
  • Emplacement des fichiers OVA/QCOW2
  • Clé d'activation (Activation Key)
  • SASE Orchestrator (adresse IP/vco-fqdn-hostname)
  • Nom d'hôte
Hyperviseur Nom de l'adresse/du cluster
Stockage Banque de données de volume racine (>40 Go recommandés)
Allocation de CPU Allocation de CPU pour KVM/VMware.
Sélections d'installation DPDK : facultatif et activé par défaut pour un débit supérieur. Si vous choisissez de désactiver DPDK, contactez le support client VMware.
Réseau OAM
  • DHCP
  • Adresse IPv4 OAM
  • Masque de réseau IPv4 OAM
  • Serveur DNS - principal
  • Serveur DNS - secondaire
  • Routes statiques
ETH0 – Réseau connecté à Internet
  • Adresse IPv4
  • Masque de réseau IPv4
  • Passerelle IPv4 par défaut
  • Serveur DNS - principal
  • Serveur DNS - secondaire
Transfert (ETH1) - Réseau
  • Adresse IPv4 VRF de gestion
  • Masque de réseau IPv4 VRF de gestion
  • Passerelle par défaut IPv4 VRF de gestion
  • Serveur DNS - principal
  • Serveur DNS - secondaire
  • Transfert (QinQ (0x8100), QinQ (0x9100), aucun, 802.1Q, 802.1ad)
  • BALISE C
  • BALISE S
Accès à la console
  • Console_Password
  • SSH :
    • Activé (oui/non)
    • Clé publique SSH
NTP
  • NTP public :
    • server 0.ubuntu.pool.ntp.org
    • server 1.ubuntu.pool.ntp.org
    • server 2.ubuntu.pool.ntp.org
    • server 3.ubuntu.pool.ntp.org
  • Serveur NTP interne - 1
  • Serveur NTP interne - 2

SD-WAN Gateway section

La majeure partie de la section SD-WAN Gateway est explicite.

SD-WAN Gateway
  • Version : doit être identique ou inférieure à celle de SASE Orchestrator
  • Emplacement des fichiers OVA/QCOW2 : planifiez l'emplacement des fichiers et l'allocation de disque
  • Clé d'activation (Activation Key)
  • SASE Orchestrator (adresse IP/vco-fqdn-hostname)
  • Nom d'hôte : nom d'hôte Linux valide « RFC 1123 »

Création d'une passerelle et obtention de la clé d'activation

  1. Dans le portail opérateur, cliquez sur l'onglet Gestion des passerelles (Gateway Management), puis accédez à Pools de passerelles (Gateway Pools) dans le volet de navigation de gauche. La page Pools de passerelles (Gateway Pools) s'affiche. Créez un pool SD-WAN Gateway. Pour exécuter SD-WAN Gateway sur le réseau du fournisseur de services, cochez la case Autoriser la passerelle partenaire (Allow Partner Gateway). Cette option permet d'inclure la passerelle partenaire dans ce pool de passerelles.

  2. Dans le portail opérateur, cliquez sur Gestion des passerelles (Gateway Management) > Passerelles (Gateways), créez une passerelle, puis attribuez-la au pool. L'adresse IP de la passerelle entrée ici doit correspondre à l'adresse IP publique (public IP address) de la passerelle. En cas de doute, vous pouvez exécuter curl ipinfo.io/ip à partir du composant SD-WAN Gateway qui renverra l'adresse IP publique du composant SD-WAN Gateway.

  3. Notez la clé d'activation et ajoutez-la à la feuille de calcul.

Activer le mode de passerelle partenaire

  1. Dans le portail opérateur, cliquez sur Gestion des passerelles (Gateway Management) > Passerelles (Gateways), puis sélectionnez SD-WAN Gateway. Cochez la case Passerelle partenaire (Partner Gateway) pour activer la passerelle partenaire.

    Des paramètres supplémentaires peuvent être configurés. Les plus fréquents sont les suivants :
    • Annoncer 0.0.0.0/0 sans chiffrement (Advertise 0.0.0.0/0 with no encrypt) : cette option permet à la passerelle partenaire d'annoncer un chemin au trafic cloud pour l'application SAAS. Étant donné que l'indicateur de chiffrement est désactivé, c'est la configuration du client sur la business policy qui utilisera ce chemin d'accès.

    • La seconde option recommandée consiste à annoncer l'adresse IP de SASE Orchestrator en tant que /32 avec chiffrement.

      Cela forcera le trafic envoyé du dispositif Edge au composant SASE Orchestrator à prendre le chemin d'accès de la passerelle. Cette opération est recommandée, car elle rend le comportement adopté par SD-WAN Edge pour atteindre le composant SASE Orchestrator prévisible.

Mise en réseau

Important : La procédure et les captures d'écran suivantes portent sur le déploiement le plus courant : l'installation à deux bras de la passerelle. L'ajout d'un réseau OAM est pris en compte dans la section Interface OAM et routes statiques.

vcg-partner-gateway-pe-image

Le schéma ci-dessus est une représentation du composant SD-WAN Gateway dans un déploiement à 2 bras. Dans cet exemple, nous supposons que eth0 est l'interface connectée au réseau public (Internet) et que eth1 est l'interface connectée au réseau interne (interface de transfert ou VRF).

Note : Un VRF de gestion (Management VRF) est créé sur le composant SD-WAN Gateway et est utilisé pour envoyer une actualisation ARP périodique à l'adresse IP de la passerelle par défaut pour vérifier que l'interface de transfert est physiquement active et accélère le basculement. Il est recommandé de configurer un VRF dédié sur le routeur PE à cette fin. En option, le même VRF de gestion peut également être utilisé par le routeur PE pour envoyer une sonde de SLA IP au composant SD-WAN Gateway pour vérifier l'état de SD-WAN Gateway ( SD-WAN Gateway dispose d'un répondeur ICMP avec état qui répondra à la commande ping uniquement si son service est activé). Si un VRF de gestion dédié n'est pas configuré, vous pouvez utiliser l'un des VRF client comme VRF de gestion, même si cette pratique n'est pas recommandée.

Pour le réseau connecté à Internet, vous avez uniquement besoin de la configuration réseau de base.

ETH0 – Réseau connecté à Internet
  • IPv4_Address
  • IPv4_Netmask
  • IPv4_Default_gateway
  • DNS_server_primary
  • DNS_server_secondary

Pour l'interface de transfert, vous devez connaître le type de transfert que vous souhaitez configurer et la configuration de transfert pour le VRF de gestion.

ETH1 – Réseau de transfert
  • MGMT_IPv4_Address
  • MGMT_IPv4_Netmask
  • MGMT_IPv4_Default gateway
  • DNS_Server_Primary
  • DNS_Server_Secondary
  • Transfert (QinQ (0x8100), QinQ (0x9100), aucun, 802.1Q, 802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

Accès à la console (Console Access)

Accès à la console
  • Console_Password
  • SSH :
    • Activé (oui/non)
    • Clé publique SSH

Afin d'accéder à la passerelle, vous devez créer un mot de passe de console et/ou une clé publique SSH.

Création de cloud-init

Les options de configuration de la passerelle que nous avons définies dans la feuille de calcul sont utilisées dans la configuration de cloud-init. La configuration de cloud-init se compose de deux fichiers de configuration principaux, du fichier de métadonnées et du fichier de données utilisateur. Les métadonnées contiennent la configuration réseau de la passerelle et les données utilisateur contiennent la configuration du logiciel de la passerelle. Ce fichier fournit des informations qui permettent d'identifier l'instance de SD-WAN Gateway en cours d'installation.

Vous trouverez ci-dessous les modèles correspondant aux fichiers meta_data et user_data. Le fichier network-config peut être omis, auquel cas les interfaces réseau seront configurées par défaut selon le protocole de configuration dynamique d'hôte (DHCP, Dynamic Host Configuration Protocol).

Remplissez les modèles avec les informations de la feuille de calcul. Tous les éléments #_VARIABLE_# doivent être remplacés. Vérifiez également les éléments #ACTION#.

Important : Le modèle part du principe que vous utilisez une configuration statique pour les interfaces. Il suppose également que vous utilisez SR-IOV pour toutes les interfaces ou pour aucune. Pour plus d'informations, reportez-vous à la section OAM - SR-IOV avec vmxnet3 ou SR-IOV avec VIRTIO.
Fichier meta-data : 
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
Fichier network-config (les espaces de début ont leur importance !) :
Note : Les exemples de configuration réseau ci-dessous décrivent la configuration de la machine virtuelle avec deux interfaces réseau, eth0 et eth1, avec des adresses IP statiques. eth0 est l'interface principale avec une route par défaut et une mesure de 1. eth1 est l'interface secondaire avec une route par défaut et une mesure de 13. Le système sera configuré avec l'authentification par mot de passe pour l'utilisateur par défaut (vcadmin). En outre, la clé autorisée SSH sera ajoutée pour l'utilisateur vcadmin. La passerelle SD-WAN Gateway sera automatiquement activée sur SASE Orchestrator avec l'activation_code fourni. 
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
Fichier user-data : 
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

Le nom d'utilisateur par défaut du mot de passe qui est configuré dans le fichier user-data est « vcadmin ». Utilisez ce nom d'utilisateur par défaut pour vous connecter au dispositif SD-WAN Gateway pour la première fois.

Important : Validez toujours les données utilisateur et les métadonnées, à l'aide de http://www.yamllint.com/. Le fichier network-config doit également être une configuration réseau valide ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Parfois, lors de l'utilisation de la fonctionnalité de copier-coller Windows/Mac, l'introduction de guillemets courbes peut corrompre les fichiers. Exécutez la commande suivante pour vous assurer de l'absence de guillemets courbes. 
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Créer un fichier ISO

Après avoir terminé vos fichiers, vous devez les packager dans une image ISO. Cette image ISO est utilisée comme CD de configuration virtuel avec la machine virtuelle. Cette image ISO, nommée vcg01-cidata.iso, est créée avec la commande suivante sur un système Linux : 

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Si vous vous trouvez sur un MAC OSX, utilisez plutôt la commande ci-dessous :

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Ce fichier ISO intitulé #CLOUD_INIT_ISO_FILE# est destiné à être utilisé à la fois dans les installations OVA et VMware.