Per utilizzare la distribuzione automatizzata di Azure vWAN NVA tramite VMware SASE Orchestrator, seguire i passaggi seguenti:

Procedura

  1. In Orchestrator, assicurarsi che l'account MCS (Multi-Cloud Service) sia attivato. È possibile verificarlo consultando le seguenti proprietà di sistema:
    • session.options.enableMcsServiceAccount
    • vco.system.configuration.data.mcsNginxRedirection
    Nota: Contattare il team EdgeOps per attivare l'account MCS per Orchestrator.
  2. Per un utente aziendale, dopo aver attivato l'account MCS, è possibile accedere al servizio MCS facendo clic su Hub Cloud (Cloud Hub) dal menu a discesa Servizi (Services) disponibile in alto nella interfaccia utente Orchestrator.
    Viene visualizzata la pagina del servizio Hub Cloud.
  3. Per distribuire un Edge NVA nella rete hub vWAN, eseguire i due passaggi seguenti:
    1. Crea una nuova credenziale
    2. Creazione di un nuovo Hub Cloud
  4. Per creare nuove credenziali, fare clic su Configurazione (Configure) > Credenziale (Credential) > Nuova credenziale (New Credential). Fornire tutti i dettagli richiesti e fare clic su Creazione (Create).
    Campo Descrizione
    Nome (Name) Immettere un nome univoco per le credenziali di Azure.
    Provider cloud Selezionare Azure come provider cloud.
    ID client Immettere l'ID client della sottoscrizione di Azure.
    ID tenant ID di un tenant interattivo da Azure Active Directory (AD) nel portale di Azure. Immettere l'ID tenant a cui appartiene la sottoscrizione.
    Segreto client Immettere il segreto client della sottoscrizione di Azure.
    ID sottoscrizione ID di una sottoscrizione nel portale di Azure. Immettere l'ID sottoscrizione di Azure che dispone dell'hub WAN virtuale creato per distribuire gli Edge virtuali.

    Per ulteriori informazioni su come recuperare gli ID per una sottoscrizione nel portale di Azure, vedere Come creare una nuova applicazione ed entità del servizio di Azure Active Directory (Azure AD).

    È consigliabile che i clienti creino un ruolo personalizzato con le autorizzazioni seguenti (JSON) per consentire l'accesso solo alle risorse necessarie per la funzione CloudHub.
    "permissions": [
    {
    "actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/read",
    "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/operationstatuses/read",
    "Microsoft.Resources/subscriptions/resourcegroups/deployments/operations/read",
    "Microsoft.Network/virtualWans/read",
    "Microsoft.Network/virtualWans/join/action",
    "Microsoft.Network/virtualWans/virtualHubs/read",
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.AzureStack/linkedSubscriptions/linkedResourceGroups/linkedProviders/virtualNetworks/read",
    "Microsoft.Network/networkVirtualAppliances/delete",
    "Microsoft.Network/networkVirtualAppliances/read",
    "Microsoft.Network/networkVirtualAppliances/write",
    "Microsoft.Network/networkVirtualAppliances/getDelegatedSubnets/action",
    "Microsoft.Network/virtualNetworks/read",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/virtualNetworks/peer/action",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
    "Microsoft.Network/virtualNetworks/subnets/read",
    "Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
    "Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }
    ]
  5. Per creare un nuovo Hub Cloud, eseguire i passaggi seguenti:
    Nota: Il workflow dell'Hub Cloud è stato testato solo per il nuovo profilo. Pertanto, è consigliabile creare un nuovo profilo prima di procedere con la distribuzione dell'Edge NVA nella rete dell'hub vWAN.
    1. Passare a Configurazione (Configure) > Workflow e fare clic su Nuovo Hub Cloud (New Cloud Hub).
      Viene visualizzata la pagina Credenziali Cloud (Cloud Credentials).
    2. Specificare tutti i dettagli richiesti delle credenziali cloud e fare clic su Avanti (Next).
      Campo Descrizione
      Provider cloud Scegliere Azure come provider cloud.
      Opzioni di connettività Azure Scegliere Distribuzione di un Edge virtuale come NVA in Azure vWAN (Deploy Virtual Edge as an NVA in Azure vWAN) come opzione di connettività tra l'hub e la vNet.
      Sottoscrizione cloud È possibile utilizzare la sottoscrizione cloud esistente o creare una nuova sottoscrizione facendo clic sull'opzione Crea nuovo (Create New).

      Viene visualizzata la pagina Opzioni vWAN e vHUB (vWAN and vHUB Options).

    3. Scegliere vWAN e vHUB ed eseguire il provisioning dell'Edge di Virtual Azure NVA (con nome univoco) fornendo tutti i dettagli richiesti.
      Campo Descrizione
      Gruppo di risorse Selezionare un gruppo di risorse creato sul lato Azure.
      vWAN Selezionare una WAN virtuale creata sul lato Azure.
      Scegli vHUB
      Regione (Region) Selezionare la regione in cui si desidera distribuire l'hub WAN virtuale. Gli Edge virtuali verranno distribuiti in tale hub della WAN virtuale.
      vHub Selezionare un hub WAN virtuale per distribuire il SD-WAN Edge virtuale.
      Spazio indirizzi Intervallo di indirizzi dell'hub nella notazione CIDR. Lo spazio indirizzi minimo è /24 per creare un hub.
      Nome workflow Immettere il nome del workflow per l'hub WAN virtuale.
      Crea rete Edge
      Nome NVA Immettere un nome univoco per il dispositivo Edge Network Virtual Appliance (NVA).
      Seleziona versione NVA Selezionare la versione NVA.
      Nome cluster di Edge Immettere un nome univoco per il cluster edge.
      Unità di scalabilità Verrà visualizzata una coppia di Edge. Le unità di scalabilità possono essere 2, 4 o 10, mappate a un tipo di istanza di Azure.
      Seleziona profilo Selezionare un profilo da associare all'Edge virtuale.
      Nota: È possibile utilizzare il profilo esistente o creare un nuovo profilo prima di distribuire gli Edge Azure vWAN NVA nell'hub di Azure vWAN.
      Licenza Edge (Edge License) Selezionare la licenza dell'Edge associata agli Edge virtuali.
      Nome contatto Immettere il nome di un contatto.
      Indirizzo e-mail contatto (Contact Email) Immettere un ID e-mail per il contatto.
      ASN BGP Immettere il valore ASN che verrà configurato negli Edge virtuali in VMware SASE Orchestrator.
      Nota: Gli ASN riservati da Azure:
      • ASN pubblici: 8074, 8075 e 12076.
      • ASN privati: 65515, 65517, 65518 e 65520 e 65520.
    4. Fare clic su Fine (Finish). L'Hub Cloud appena creato viene visualizzato nella pagina Workflow.
    5. Nella colonna Dettagli (Detail) fare clic su Visualizzazione (View) per visualizzare i dettagli dell'evento dell'Hub Cloud selezionato.
      Nota: Al momento non è disponibile alcuna pagina di monitoraggio separata per il servizio Hub Cloud. È possibile utilizzare la pagina Monitoraggio (Monitor) del servizio SD-WAN per verificare le azioni e gli stati dell'Edge.
  6. Nel portale del servizio SD-WAN fare clic su Monitoraggio (Monitor) > Edge (Edges) per verificare che l'Edge Azure NVA virtuale di cui è stato eseguito il provisioning o la distribuzione con il servizio di automazione Hub Cloud sia connesso.
  7. Per verificare se le sessioni BGP sono stabilite per l'Edge Azure NVA virtuale distribuito, fare clic su Monitoraggio (Monitor) > Routing.
    Importante: Una volta creati gli Edge virtuali, configurare l'indirizzo IP per ciascuno degli Edge virtuali passando a Configura (Configure) > Edge (Edges) > Firewall > Accesso all'Edge (Edge Access) e aggiungendo l'indirizzo IP "168.63.129.16" nel campo Consenti IP seguenti (Allow the following IPs).
    Nota: È possibile eseguire questa configurazione in un profilo utilizzato da molti Edge virtuali o da tutti in modo che non sia necessario eseguirla per ciascun Edge virtuale.

    Per ulteriori dettagli su questa configurazione IP, vedere https://docs.microsoft.com/it-it/azure/virtual-network/what-is-ip-address-168-63-129-16