Pour provisionner un dispositif SD-WAN Edge, suivez les étapes de cette procédure.
Conditions préalables
Vérifiez que vous disposez du nom d'hôte SD-WAN Orchestrator et d'un compte administrateur pour vous connecter.
Procédure
- Connectez-vous à l'application SD-WAN Orchestrator en tant qu'utilisateur Admin avec vos informations d'identification de connexion.
- Accédez à Configurer (Configure) > Dispositifs Edge (Edges).
- Dans l'écran Dispositifs Edge (Edges), cliquez sur Ajouter un dispositif Edge (Add Edge). L'écran Provisionner un dispositif Edge (Provision an Edge) s'affiche.
- Vous pouvez configurer les options suivantes :
Option Description Mode Par défaut, le mode SD-WAN Edge est sélectionné. Nom (Name) Entrez un nom unique pour le dispositif Edge. Modèle (Model) Sélectionnez Dispositif Edge virtuel (Virtual Edge) dans le menu déroulant. Profil (Profile) Sélectionnez Profil de démarrage rapide (Quick Start Profile) dans le menu déroulant. Note : Si un Profil de préenrôlement de dispositif Edge (Edge Staging Profile) s'affiche en tant qu'option en raison d'une activation automatique du dispositif Edge, cela indique que ce profil est utilisé par un dispositif Edge récemment attribué, mais qui n'a pas été configuré avec un profil de production.Licence Edge (Edge License) Sélectionnez une licence Edge dans le menu déroulant. La liste affiche les licences attribuées à l'entreprise par l'opérateur. Authentification Choisissez le mode d'authentification dans le menu déroulant :
- Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
Avertissement : Ce mode n'est recommandé pour aucun déploiement client.
- Acquisition de certificat (Certificate Acquire) : ce mode, sélectionné par défaut, est recommandé pour tous les déploiements clients. Avec le mode Acquisition de certificat (Certificate Acquire), les certificats sont délivrés au moment de l'activation du dispositif Edge et renouvelés automatiquement. Orchestrator invite le dispositif Edge à obtenir un certificat auprès de l'autorité de certification de SD-WAN Orchestrator en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour l'authentification auprès de SD-WAN Orchestrator et pour l'établissement de tunnels VCMP.
Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required) si nécessaire.
- Certificat requis (Certificate Required) : ce mode n'est approprié que pour les entreprises clientes « statiques ». Une entreprise statique est définie comme une entreprise dans laquelle seuls quelques nouveaux dispositifs Edge sont susceptibles d'être déployés et aucune nouvelle modification orientée PKI n'est prévue.
Important : L'option Certificat requis (Certificate Required) ne possède aucun avantage en matière de sécurité par rapport à Acquisition de certificat (Certificate Acquire). Les deux modes sont tout aussi sécurisés. Un client qui utilise Certificat requis (Certificate Required) doit uniquement le faire pour les raisons décrites dans cette section.Le mode Certificat requis (Certificate Required) signifie qu'aucun signal de pulsation du dispositif Edge n'est accepté sans certificat valide.Ce mode permet au dispositif Edge d'utiliser le certificat PKI. Pour modifier la fenêtre de temps de renouvellement du certificat, les opérateurs peuvent modifier les propriétés système d'Orchestrator. Pour plus d'informations, contactez votre opérateur.Attention : L'utilisation de ce mode peut entraîner des pannes du dispositif Edge lorsqu'un client n'est pas informé de cette application stricte.
Note :- Avec la fonctionnalité Orchestrator de Bastion activée, le mode d'authentification des dispositifs Edge qui doivent être transférés vers le dispositif Orchestrator de Bastion doit être défini sur Acquisition de certificat (Certificate Acquire) ou Certificat requis (Certificate Required).
- Lorsqu'un certificat du dispositif Edge est révoqué, le dispositif Edge est désactivé et doit passer par le processus d'activation. La conception QuickSec actuelle vérifie la validité du délai de la liste de révocation des certificats (CRL, Certificate Revocation List). La validité du délai CRL doit correspondre au délai actuel des dispositifs Edge pour que la CRL ait une incidence sur la nouvelle connexion établie. Pour appliquer cela, veillez à mettre à jour correctement le délai d'Orchestrator pour qu'il corresponde à la date et à l'heure des dispositifs Edge.
Chiffrer les secrets du périphérique (Encrypt Device Secrets) Cochez la case Activer (Enable) pour permettre au dispositif Edge de chiffrer les données sensibles sur toutes les plates-formes. Cette option est également disponible sur la page Présentation (Overview) du dispositif Edge. Note : Pour les dispositifs Edge versions 5.2.0 et ultérieures, avant de désactiver cette option, vous devez d'abord désactiver le dispositif Edge à l'aide d'actions à distance. Cela entraîne le redémarrage du dispositif Edge.Haute disponibilité (High Availability) Cochez la case Activer (Enable) pour appliquer la haute disponibilité (HA). Vous pouvez installer les dispositifs Edge en tant que périphérique autonome unique ou couplé avec un autre dispositif Edge pour assurer la prise en charge de la haute disponibilité (HA). Nom du contact local (Local Contact Name) Entrez le nom du contact du site pour le dispositif Edge. E-mail du contact local (Local Contact Email) Entrez l'adresse e-mail du contact du site pour le dispositif Edge. - Certificat désactivé (Certificate Deactivated) : le dispositif Edge utilise un mode d'authentification par clé prépartagée.
- Entrez toutes les informations requises et cliquez sur Suivant (Next) pour configurer les options supplémentaires suivantes :
Note : Le bouton Suivant (Next) n'est activé que lorsque vous avez saisi tous les détails requis.
Option Description Numéro de série (Serial Number) Entrez le numéro de série du dispositif Edge. Lorsque cette valeur est spécifiée, le dispositif Edge doit afficher ce numéro de série lors de l'activation. Note : Lors du déploiement de dispositifs VMware SD-WAN Edge virtuels sur des dispositifs Edge AWS, veillez à utiliser l'ID d'instance comme numéro de série du dispositif Edge.Description Entrez une description appropriée. Emplacement (Location) Pour définir l'emplacement du dispositif Edge, cliquez sur le lien Définir l'emplacement (Set Location). S'il n'est pas spécifié, l'emplacement est détecté automatiquement à partir de l'adresse IP lorsque le dispositif Edge est activé. - Cliquez sur Ajouter un dispositif Edge (Add Edge).
Le dispositif Edge est provisionné et la clé d'activation s'affiche en haut de la page. Notez la clé d'activation pour l'utiliser pour le lancement du dispositif Edge à partir de la console AliCloud.Note : La durée d'expiration de cette clé est d'un mois si elle n'active pas le périphérique Edge.
- Configurez les interfaces du dispositif Edge virtuel. Les étapes suivantes sont expliquées selon la topologie A.
- Accédez à Configurer (Configure) > Dispositifs Edge (Edges). La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
- Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
- Accédez à la zone Paramètres de l'interface (Interface Settings).
- Dans la catégorie Connectivité (Connectivity), développez l'option Interfaces. Les différents types d'interfaces disponibles pour le dispositif Edge sélectionné s'affichent.
- Cochez la case Interface de remplacement (Override Interface), puis mettez à jour les configurations des interfaces du dispositif Edge virtuel Interface GE1 (GE1 Interface), Interface GE2 (GE2 Interface) et Interface GE3 (GE3 Interface) comme suit :
- Redéfinissez la capacité de l'interface GE1 sur Routée (Routed) et désactivez Superposition WAN (WAN Overlay) et Trafic direct NAT (NAT Direct Traffic).
- Redéfinissez la capacité de l'interface GE2 sur Routée (Routed) et vérifiez que les options Superposition WAN (WAN Overlay) et Trafic direct NAT (NAT Direct Traffic) sont activées.
- Pour l'interface GE3, désactivez Superposition WAN (WAN Overlay) et Trafic direct NAT (NAT Direct Traffic). Cette interface sera le next-hop pour les dispositifs connectés aux sous-réseaux VPC privés (terminaux LAN).
Pour plus d'informations, reportez-vous à la rubrique Configurer les paramètres de l'interface pour les dispositifs Edge du Guide d'administration de VMware SD-WAN.
Résultats
Un dispositif Edge virtuel est provisionné sur SD-WAN Orchestrator.
Que faire ensuite
Déployez le dispositif Edge virtuel sur GCP. Vous pouvez déployer le dispositif Edge virtuel à l'aide de l'une des méthodes suivantes :