Per distribuire manualmente VMware SD-WAN Edge in un hub virtuale, è necessario aver già creato un gruppo di risorse, la WAN virtuale (vWAN) e l'hub virtuale (vHUB) sul lato Azure.

Passaggi di configurazione:

Prerequisiti

Quando l'hub vWAN è attivo e funzionante e lo stato del routing è completato, è necessario assicurarsi che siano soddisfatti i seguenti prerequisiti prima di procedere con la distribuzione manuale dell'appliance virtuale di rete (NVA) della vWAN di Azure tramite VMware SASE Orchestrator:
  • Ottenere l'accesso con account aziendale a VMware SASE Orchestrator.
  • Ottenere l'accesso al portale Microsoft Azure con i ruoli IAM appropriati.
  • I requisiti delle immagini software per questa distribuzione sono i seguenti: 
    • VMware SASE Orchestrator: 4.5.0 e versioni successive.
    • VMware SD-WAN Gateway: 4.5.0 e versioni successive.
    • VMware SD-WAN Edge: 4.2.1 e versioni successive.

Procedura

  1. In Orchestrator, creare un Edge virtuale passando a Configura (Configure) > Edge (Edges) > Nuovo Edge (New Edge).
  2. In Orchestrator, dopo aver creato gli Edge, modificare le impostazioni dell'interfaccia per tutti gli Edge nel modo seguente:
    • Modificare l'interfaccia GE1 impostandola su Route con l'overlay WAN di rilevamento automatico.
    • Modificare GE2 impostandola su Route con l'overlay WAN disattivato.
    • Le interfacce da GE3 a GE8 non vengono utilizzate in questa distribuzione. 
    Nota: È possibile configurare i profili con le impostazioni dell'interfaccia dell'Edge virtuale richieste da questa integrazione in modo che non sia necessario modificare le impostazioni dell'interfaccia dopo aver creato gli Edge virtuali in Orchestrator.
    Nota: Se si tenta di effettuare il downgrade di un Edge dalla versione 4.2.1 a una versione precedente, l'Edge si blocca in un ciclo di attivazione.
  3. L'accesso SSH alle appliance virtuali di rete (NVA) di Azure di VMware SD-WAN viene gestito dal team di supporto di Azure. Il lato Azure applica criteri di sicurezza che consentono solo all'indirizzo IP di origine 168.63.129.16 di accedere tramite SSH agli Edge virtuali di Azure. Per consentire a un Edge virtuale di accettare SSH da questo IP di origine, passare a Configura (Configure) > Edge (Edges) > Firewall > Accesso all'Edge (Edge Access) > Accesso assistenza (Support Access) e aggiungere l'indirizzo IP 168.63.129.16 nel campo Consenti IP seguenti (Allow the following IPs).
    Nota: È possibile eseguire la configurazione del passaggio 3 in un profilo utilizzato da molti Edge virtuali o da tutti in modo che non sia necessario eseguirla per ciascun Edge virtuale.

    Per ulteriori dettagli su questa configurazione IP, vedere https://docs.microsoft.com/it-it/azure/virtual-network/what-is-ip-address-168-63-129-16

  4. Copiare l'URL di Orchestrator e la chiave di attivazione di ciascun Edge virtuale.
    Per esempio:
    • vcoxx-usvi1.velocloud.net
    • Chiave di attivazione 1: XXXX:ZE8F:YYYY:67YT
    • Chiave di attivazione 2: XXXX:ZE8F:ZZZZ:67YT
  5. Accedere al portale di Azure e cercare l'applicazione "VMware SD-WAN in vWAN" in Azure Marketplace. Viene visualizzata la pagina dell'applicazione gestita VMware SD-WAN in vWAN. È possibile utilizzare questa applicazione per automatizzare la distribuzione degli Edge virtuali nell'hub della WAN virtuale.
  6. Fare clic su Crea (Create) nell'applicazione gestita e immettere i seguenti dettagli di base:
    • Sottoscrizione (Subscription): la sottoscrizione che include l'hub della WAN virtuale creato.
    • Gruppo di risorse (Resource Group): creare un nuovo gruppo di risorse o selezionare quello esistente. 
    • Regione (Region): selezionare la regione in cui viene creato l'hub della WAN virtuale. Gli Edge virtuali verranno distribuiti in tale hub della WAN virtuale.
    • Nome applicazione (Application Name): immettere un nome per l'applicazione gestita.
    • Gruppo di risorse gestite (Managed Resource Group): specificare il gruppo di risorse gestite dell'applicazione. Il gruppo di risorse gestite contiene tutte le risorse richieste dall'applicazione gestita a cui l'utente ha accesso limitato.
  7. Nella scheda VMware SD-WAN nella WAN virtuale (VMware SD-WAN in Virtual WAN), selezionare Hub WAN virtuale (Virtual WAN Hub) nella regione selezionata. Gli Edge virtuali verranno distribuiti in questo hub.
    Quando il cliente seleziona un hub della WAN virtuale, vengono visualizzate le seguenti informazioni che includono l'elenco degli indirizzi IP dei router adiacenti BGP e l'ASN dell'hub della WAN virtuale. Prendere nota di queste informazioni perché saranno necessarie per configurare i router adiacenti BGP in Orchestrator.
    • Unità di scalabilità (Scale unit): selezionare la scalabilità desiderata.
    • VMware SD-WAN Orchestrator: incollare l'URL di Orchestrator dal passaggio 3.
    • IgnoreCertErrors: impostare questo flag su False. Impostare questo flag su True solo se non è possibile utilizzare l'URL di Orchestrator e specificare l'indirizzo IP di Orchestrator.
    • ActivationKey per Edge1 (ActivationKey for Edge1): incollare la chiave di attivazione dal passaggio 3.
    • ActivationKey per Edge2 (ActivationKey for Edge2):  incollare la chiave di attivazione dal passaggio 3.
    • ASN BGP (BGP ASN): ASN che verrà configurato negli Edge virtuali in VMware SASE Orchestrator. I seguenti ASN sono riservati da Azure o IANA:
      • ASN riservati da Azure:
        • ASN pubblici: 8074, 8075 e 12076.
        • ASN privati: 65515, 65517, 65518 e 65520 e 65520.
      • ASN riservati da IANA:
        • 23456, 64496-64511, 65535-65551 e 429496729.
    • ClusterName: immettere un nome univoco per la distribuzione che non includa caratteri speciali come #, @, _, - e così via.
  8. Dopo aver immesso tutti i campi obbligatori, fare clic su Rivedi + Crea (Review + Create).
  9. Verrà avviato il processo di distribuzione il cui completamento richiederà da 10 a 15 minuti circa. Una volta completata la distribuzione, gli Edge virtuali verranno connessi e attivati in Orchestrator. 
  10. Una volta connessi tutti gli Edge virtuali a Orchestrator, sarà necessario configurare route statiche e router adiacenti BGP in modo che gli Edge virtuali possano connettersi all'hub della WAN virtuale di Azure:
    1. Configura route statiche (Configure Static Routes): aggiungere route statiche /32 sufficienti per garantire che sia presente una route univoca che punta alla rispettiva interfaccia GE2 in ciascun Edge virtuale. Per aggiungere una route statica, Orchestrator richiede un indirizzo IP dell'hop successivo. Acquisire l'indirizzo IP dell'hop successivo eseguendo il test di diagnostica remota "Stato interfaccia" (Interface Status) nella pagina Diagnostica remota (Remote Diagnostics) dell'interfaccia utente di Orchestrator. Selezionare il primo indirizzo IP della subnet assegnata a GE2 e configurarlo come hop successivo.
      L'immagine seguente mostra un indirizzo IP assegnato a GE2 come 10.101.112.6/25 e il primo indirizzo IP di questa subnet è 10.101.112.1, che viene utilizzato per configurare la route statica in Orchestrator. 

      Di seguito è riportato l'output del test di diagnostica Test e risoluzione dei problemi (Test & Troubleshoot) > Diagnostica remota (Remote Diagnostics) > Stato interfaccia (Interface Status).

      Nell'Edge vengono configurate due route statiche per raggiungere i router adiacenti BGP come mostrato nella schermata seguente.

    2. Configurazione router adiacente BGP (BGP Neighbor Configuration): configurare i router adiacenti BGP per ciascun Edge virtuale come illustrato nel diagramma seguente. Utilizzare il numero ASN e gli IP dei router adiacenti BGP visualizzati nel messaggio informativo del passaggio 7.

      Dopo aver configurato le route statiche e i router adiacenti BGP, gli Edge virtuali iniziano ad acquisire le route dall'hub di Azure Virtual WAN. Lo stato del router adiacente BGP può essere verificato in Monitor (Monitora) > Servizi di rete (Network Services).

  11. (Facoltativo) Aggiungere gli Edge virtuali in un cluster. Passare a Configura (Configure) > Servizi di rete (Network Services) > Cluster Edge (Edge Cluster), creare un nuovo hub cluster e aggiungere gli Edge virtuali al cluster.
  12. (Facoltativo) Per aggiungere una connessione di rete virtuale con le reti virtuali (vNET) a vHub, passare a Azure vWAN > Connettività (Connectity) > Connessioni di rete virtuali (Virtual network connections).
    Fare clic su Aggiungi connessione (Add connection) e specificare il nome della connessione. Scegliere l'hub, la sottoscrizione e il gruppo di risorse. Selezionare la vNET e la tabella di routing associata che deve essere connessa all'hub. Ad esempio, è la tabella di routing "predefinita" in una rete vNET.
    Per l'Edge dell'appliance virtuale di rete (NVA) della vWAN l'immagine è una distribuzione a 2 NIC, ovvero l'interfaccia GE1 non viene utilizzata come interfaccia "di gestione". Questa operazione è univoca per l'immagine di vWAN NVA. In cloud_init, impostare il flag "management_interface" su "False". 
    #cloud-config
password: Velocloud123
chpasswd: { expire: False } 
ssh_pwauth: True 
velocloud:
  vce:
    management_interface: false 
    vco: $vco 
    activation_code: $velo2_token 
    vco_ignore_cert_errors: $velo_ignore_cert_errors

    In tutti gli altri Edge cloud, l'interfaccia GE1 viene allocata come interfaccia "di gestione" e non può essere utilizzata per il traffico dati.

    Nota: Per i clienti i cui router hub Azure vWAN vengono creati con "Infrastruttura Cloud Services" (Cloud Services Infrastructure), vedere Istruzioni di aggiornamento dell'hub per VMware SD-WAN Edge distribuito come NVA di Azure vWAN.

    Accesso alla riga di comando degli Edge virtuali distribuiti in un vHub Azure vWAN

    Azure vWAN viene gestito come servizio gestito. A differenza delle altre macchine virtuali distribuite in Azure, vWAN non offre la possibilità di associare una chiave pubblica alla macchina virtuale quando è configurata. Poiché anche Azure non consente l'autenticazione SSH basata su password, di fatto la CLI del vEdge non è raggiungibile.

    Per superare queste restrizioni e accedere alla CLI di vEdge per la risoluzione dei problemi e per scopi operativi, è necessario utilizzare la funzionalità Accesso sicuro all'Edge (Secure Edge Access) di VMware SD-WAN. In questo modo Orchestrator verrà utilizzato per creare l'accesso SSH per utente basato su chiave alla CLI di vEdge.

    Per abilitare l'accesso sicuro all'Edge, fare riferimento alla documentazione seguente:

    Accesso agli Edge SD-WAN utilizzando l'autenticazione basata su chiave con la nuova interfaccia utente di Orchestrator

    Nota: Durante il processo di creazione della chiave di accesso sicuro all'Edge, la specifica di una password viene elencata come "facoltativa". Tuttavia, è necessario configurare l'inclusione di una password per accedere agli NVA di Azure. All'utente verrà richiesto di fornire la password durante il processo di accesso SSH dopo aver utilizzato l'autenticazione basata su chiave.