Η πύλη συνεργατών VMware παρέχει διαφορετικές επιλογές διαμόρφωσης. Θα πρέπει να γίνει προετοιμασία ενός φύλλου εργασίας πριν από την εγκατάσταση της πύλης.

Φύλλο εργασίας

Πύλη SD-WAN
  • Έκδοση (Version)
  • Τοποθεσία αρχείου OVA/QCOW2
  • Κλειδί ενεργοποίησης
  • SASE Orchestrator (IP ADDRESS/vco-fqdn-hostname)
  • Όνομα κεντρικού υπολογιστή
Υπερεπόπτης Διεύθυνση/όνομα συμπλέγματος
Χώρος αποθήκευσης Αποθήκευση δεδομένων τόμου ρίζας (συνιστάται >40 GB)
Εκχώρηση CPU Εκχώρηση CPU για KVM/VMware.
Επιλογές εγκατάστασης DPDK—Αυτή η επιλογή είναι προαιρετική και ενεργοποιημένη από προεπιλογή για υψηλότερη ταχύτητα μετάδοσης. Εάν επιλέξετε να απενεργοποιήσετε το DPDK, επικοινωνήστε με την Υποστήριξη πελατών της VMware.
Δίκτυο ΟΑΜ
  • DHCP
  • Διεύθυνση IPv4 OAM
  • Μάσκα δικτύου IPv4 OAM
  • Διακομιστής DNS - πρωτεύων
  • Διακομιστής DNS - δευτερεύων
  • Στατικές δρομολογήσεις
ETH0 – Δίκτυο με πρόσβαση Internet
  • Διεύθυνση IPv4
  • Μάσκα δικτύου IPv4
  • Προεπιλεγμένη πύλη IPv4
  • Διακομιστής DNS - πρωτεύων
  • Διακομιστής DNS - δευτερεύων
Παράδοση (ETH1) - Δίκτυο
  • Διεύθυνση IPv4 MGMT VRF
  • Μάσκα δικτύου IPv4 MGMT VRF
  • Προεπιλεγμένη πύλη IPv4 MGMT VRF
  • Διακομιστής DNS - πρωτεύων
  • Διακομιστής DNS - δευτερεύων
  • Παράδοση (QinQ (0x8100), QinQ (0x9100), καμία, 802.1Q, 802.1ad)
  • C-TAG
  • S-TAG
Πρόσβαση στην κονσόλα
  • Console_Password
  • SSH:
    • Ενεργοποιημένο (ναι/όχι)
    • Δημόσιο κλειδί SSH
NTP
  • Δημόσιο NTP:
    • server 0.ubuntu.pool.ntp.org
    • server 1.ubuntu.pool.ntp.org
    • server 2.ubuntu.pool.ntp.org
    • server 3.ubuntu.pool.ntp.org
  • Εσωτερικός διακομιστής NTP - 1
  • Εσωτερικός διακομιστής NTP - 2

Ενότητα Πύλη SD-WAN

Το μεγαλύτερο μέρος της ενότητας Πύλη SD-WAN είναι προφανές.

Πύλη SD-WAN
  • Έκδοση - Θα πρέπει να είναι ίδια ή χαμηλότερη από την έκδοση του SASE Orchestrator
  • Τοποθεσία αρχείου OVA/QCOW2 - Προγραμματίστε εκ των προτέρων τη θέση αρχείου και την εκχώρηση δίσκου
  • Κλειδί ενεργοποίησης
  • SASE Orchestrator (IP ADDRESS/vco-fqdn-hostname)
  • Όνομα κεντρικού υπολογιστή - Έγκυρο όνομα κεντρικού υπολογιστή Linux «RFC 1123»

Δημιουργία πύλης και λήψη του κλειδιού ενεργοποίησης

  1. Στην πύλη χειριστή, κάντε κλικ στην καρτέλα Διαχείριση πυλών (Gateway Management) και μεταβείτε στις ομάδες πυλών στο αριστερό παράθυρο περιήγησης. Εμφανίζεται η σελίδα Ομάδες πυλών (Gateway Pools). Δημιουργήστε μια νέα ομάδα Πύλη SD-WAN. Για να εκτελέσετε το στοιχείο Πύλη SD-WAN στο δίκτυο παρόχου υπηρεσίας, επιλέξτε το πλαίσιο ελέγχου Να επιτρέπονται πύλες συνεργατών (Allow Partner Gateway). Αυτό θα ενεργοποιήσει την επιλογή συμπερίληψης της πύλης-συνεργάτη σε αυτήν την ομάδα πυλών.

  2. Στην πύλη χειριστή, κάντε κλικ στην επιλογή Διαχείριση πυλών > Πύλες (Gateway Management > Gateways), δημιουργήστε μια νέα πύλη και αντιστοιχίστε την στην ομάδα. Η διεύθυνση IP της πύλης που εισάγεται εδώ πρέπει να αντιστοιχεί στη δημόσια διεύθυνση IP (public IP address) της πύλης. Εάν δεν είστε βέβαιοι, μπορείτε να εκτελέσετε την εντολή curl ipinfo.io/ip από την Πύλη SD-WAN η οποία θα επιστρέψει τη δημόσια IP για την Πύλη SD-WAN.

  3. Σημειώστε το κλειδί ενεργοποίησης και προσθέστε το στο φύλλο εργασίας.

Ενεργοποίηση λειτουργίας πύλης συνεργατών

  1. Στην πύλη χειριστή, κάντε κλικ στην επιλογή Διαχείριση πυλών > Πύλες (Gateway Management > Gateways) και επιλέξτε το στοιχείο Πύλη SD-WAN. Επιλέξτε το πλαίσιο ελέγχου Πύλη συνεργατών (Partner Gateway) για να ενεργοποιήσετε την πύλη συνεργατών.

    Υπάρχουν πρόσθετες παράμετροι που μπορούν να ρυθμιστούν. Οι πιο συνηθισμένες είναι οι εξής:
    • Κοινοποίηση 0.0.0.0/0 χωρίς κρυπτογράφηση - Αυτή η επιλογή θα επιτρέψει στην πύλη συνεργατών να κοινοποιεί μια διαδρομή στην κυκλοφορία cloud για την εφαρμογή SAAS. Δεδομένου ότι η σημαία κρυπτογράφησης είναι ανενεργή, η χρήση αυτής της διαδρομής ή όχι εξαρτάται από τη διαμόρφωση πελατών στην επιχειρηματική πολιτική.

    • Η δεύτερη προτεινόμενη επιλογή είναι η κοινοποίηση του SASE Orchestrator IP ως /32 με κρυπτογράφηση.

      Αυτό θα αναγκάσει την κυκλοφορία που αποστέλλεται από την άκρη στο SASE Orchestrator να περάσει από τη διαδρομή πύλης. Αυτό συνιστάται, καθώς εισάγει προβλεψιμότητα στη συμπεριφορά που χρειάζεται το SD-WAN Edge για να φτάσει στο SASE Orchestrator.

Δικτύωση

Σημαντικό: Η ακόλουθη διαδικασία και τα στιγμιότυπα οθόνης εστιάζουν στην πιο κοινή ανάπτυξη, η οποία είναι η εγκατάσταση 2 ARM για την πύλη. Η προσθήκη δικτύου OAM εξετάζεται στην ενότητα με τίτλο, Διασύνδεση OAM και στατικές δρομολογήσεις.

vcg-partner-gateway-pe-image

Το παραπάνω διάγραμμα αναπαριστά την ανάπτυξη 2 ARM του Πύλη SD-WAN. Σε αυτό το παράδειγμα, υποθέτουμε ότι το eth0 είναι η διασύνδεση δημόσιου δικτύου (Internet) και το eth1 είναι η διασύνδεση εσωτερικού δικτύου (διασύνδεση παράδοσης ή VRF).

Σημείωση: Ένα VRF διαχείρισης (Management VRF) δημιουργείται στο Πύλη SD-WAN και χρησιμοποιείται για την αποστολή περιοδικής ανανέωσης ARP στην προεπιλεγμένη IP πύλης για τον έλεγχο ότι η διασύνδεση παράδοσης λειτουργεί και επιταχύνει τον χρόνο ανακατεύθυνσης. Συνιστάται η ρύθμιση ενός ειδικού VRF στον δρομολογητή PE για τον σκοπό αυτό. Προαιρετικά, το ίδιο VRF διαχείρισης μπορεί επίσης να χρησιμοποιηθεί από τον δρομολογητή PE για την αποστολή διερεύνησης IP SLA στο Πύλη SD-WAN για τον έλεγχο της κατάστασης Πύλη SD-WAN (το Πύλη SD-WAN διαθέτει απόκριση ICMP επίβλεψης κατάστασης που θα ανταποκρίνεται στο ping μόνο όταν η υπηρεσία λειτουργεί). Εάν δεν έχει ρυθμιστεί ένα ειδικό VRF διαχείρισης, τότε μπορείτε να χρησιμοποιήσετε ένα από τα VRF πελάτη ως VRF διαχείρισης, αν και αυτό δεν συνιστάται.

Για το δίκτυο Internet, χρειάζεστε μόνο τη βασική διαμόρφωση δικτύου.

ETH0 – Δίκτυο με πρόσβαση Internet
  • IPv4_Address
  • IPv4_Netmask
  • IPv4_Default_gateway
  • DNS_server_primary
  • DNS_server_secondary

Για τη διασύνδεση παράδοσης, πρέπει να γνωρίζετε τον τύπο παράδοσης που θέλετε να διαμορφώσετε και τη διαμόρφωση παράδοσης για το VRF διαχείρισης.

ETH1 – Δίκτυο παράδοσης
  • MGMT_IPv4_Address
  • MGMT_IPv4_Netmask
  • MGMT_IPv4_Default gateway
  • DNS_Server_Primary
  • DNS_Server_Secondary
  • Παράδοση (QinQ (0x8100), QinQ (0x9100), καμία, 802.1Q, 802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

Πρόσβαση στην κονσόλα

Πρόσβαση στην κονσόλα
  • Console_Password
  • SSH:
    • Ενεργοποιημένο (ναι/όχι)
    • Δημόσιο κλειδί SSH

Για να αποκτήσετε πρόσβαση στην πύλη, πρέπει να δημιουργηθεί ένας κωδικός πρόσβασης κονσόλας ή/και ένα δημόσιο κλειδί SSH.

Δημιουργία cloud-init

Οι επιλογές διαμόρφωσης για την πύλη που ορίσαμε στο φύλλο εργασίας χρησιμοποιούνται στη διαμόρφωση cloud-init. Η διαμόρφωση cloud-init αποτελείται από δύο κύρια αρχεία διαμόρφωσης, το αρχείο μεταδεδομένων και το αρχείο δεδομένων χρήστη. Τα μεταδεδομένα περιέχουν τη διαμόρφωση δικτύου για την πύλη και τα δεδομένα χρήστη περιέχουν τη διαμόρφωση λογισμικού πύλης. Αυτό το αρχείο παρέχει πληροφορίες που προσδιορίζουν την παρουσία της Πύλη SD-WAN που εγκαθίσταται.

Ακολουθούν τα πρότυπα τόσο για τα αρχεία meta_data όσο και για τα αρχεία user_data. Η διαμόρφωση δικτύου μπορεί να παραλειφθεί και οι διασυνδέσεις δικτύου θα διαμορφωθούν μέσω DHCP από προεπιλογή.

Συμπληρώστε τα πρότυπα με τις πληροφορίες στο φύλλο εργασίας. Όλα τα στοιχεία #_VARIABLE_# πρέπει να αντικατασταθούν και τυχόν στοιχεία #ACTION # να υποβληθούν σε έλεγχο

Σημαντικό: Το πρότυπο υποθέτει ότι χρησιμοποιείτε στατική διαμόρφωση για τις διασυνδέσεις. Υποθέτει επίσης ότι είτε χρησιμοποιείτε το στοιχείο SR-IOV για όλες διασυνδέσεις είτε καμία επιλογή. Για περισσότερες πληροφορίες, δείτε OAM - SR-IOV με vmxnet3 ή SR-IOV με VIRTIO.
αρχείο μεταδεδομένων: 
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
Αρχείο network-config (προσοχή στα αρχικά κενά διαστήματα!)
Σημείωση: Τα παρακάτω παραδείγματα διαμόρφωσης δικτύου περιγράφουν τη διαμόρφωση της εικονικής μηχανής με δύο διασυνδέσεις δικτύου, eth0 και eth1, με στατικές διευθύνσεις IP. Το eth0 είναι η πρωτεύουσα διασύνδεση με προεπιλεγμένη δρομολόγηση και μέτρηση 1. Το eth1 είναι η δευτερεύουσα διασύνδεση με προεπιλεγμένη δρομολόγηση και μέτρηση 13. Το σύστημα θα διαμορφωθεί με έλεγχο ταυτότητας κωδικού πρόσβασης για τον προεπιλεγμένο χρήστη (vcadmin). Επιπλέον, το εξουσιοδοτημένο κλειδί SSH θα προστεθεί για τον χρήστη vcadmin. Η Πύλη SD-WAN θα ενεργοποιηθεί αυτόματα στο SASE Orchestrator με το παρεχόμενο activation_code. 
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
αρχείο δεδομένων χρήστη: 
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

Το προεπιλεγμένο όνομα χρήστη για τον κωδικό πρόσβασης που διαμορφώνεται στο αρχείο δεδομένων χρήστη είναι 'vcadmin'. Χρησιμοποιήστε αυτό το προεπιλεγμένο όνομα χρήστη για να συνδεθείτε στο Πύλη SD-WAN για πρώτη φορά.

Σημαντικό: Να επικυρώνετε πάντα τα δεδομένα χρήστη και τα μεταδεδομένα, χρησιμοποιώντας http://www.yamllint.com/. Η διαμόρφωση δικτύου θα πρέπει επίσης να είναι μια έγκυρη διαμόρφωση δικτύου ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Μερικές φορές, όταν χρησιμοποιείτε τη λειτουργία αντιγραφής επικόλλησης σε Windows/Mac, παρουσιάζεται ένα ζήτημα εισαγωγής έξυπνων εισαγωγικών τα οποία μπορούν να καταστρέψουν τα αρχεία. Εκτελέστε την ακόλουθη εντολή για να βεβαιωθείτε ότι δεν υπάρχουν έξυπνα εισαγωγικά. 
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Δημιουργία αρχείου ISO

Μόλις ολοκληρώσετε τα αρχεία σας, πρέπει να συσκευαστούν σε ένα είδωλο ISO. Αυτό το είδωλο ISO χρησιμοποιείται ως εικονικό CD διαμόρφωσης με την εικονική μηχανή. Αυτή η εικόνα ISO, που ονομάζεται vcg01-cidata.iso, δημιουργείται με την ακόλουθη εντολή σε ένα σύστημα Linux: 

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Εάν βρίσκεστε σε MAC OSX, χρησιμοποιήστε την παρακάτω εντολή:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Αυτό το αρχείο ISO που θα ονομάσουμε #CLOUD_INIT_ISO_FILE# πρόκειται να χρησιμοποιηθεί τόσο σε εγκαταστάσεις OVA όσο και σε εγκαταστάσεις VMware.