Workflow di alto livello

Per distribuire un SD-WAN Edge virtuale su Alibaba Cloud ECS, eseguire i passaggi seguenti:

1. Creare un Virtual Private Cloud (VPC). Per la procedura, vedere Creazione di un VPC.
2. Creare tre VSwitch, ciascuno per una subnet connessa all'Edge, come mostrato nel diagramma della topologia. Per la procedura, vedere Creazione di un VSwitch.
   • Subnet di gestione/VSwitch per l'accesso alla console/gestione all'Edge tramite l'interfaccia di gestione GE1.
   • Subnet pubblica/VSwitch per l'accesso a Internet dall'Edge tramite l'interfaccia lato WAN GE2.
   • Subnet privata/VSwitch per l'accesso al dispositivo sul lato LAN tramite GE3 dell'interfaccia lato LAN.
3. Creare un gruppo di sicurezza (velo_vVCE_SG) e aggiungere regole in entrata. Per la procedura, vedere Creazione di un gruppo di sicurezza.
4. Creare due tabelle di routing personalizzate (secondarie) (Velo_vVCE_Public_RT e Velo_vVCE_Private_RT) e associarle ai rispettivi VSwitch (pubblico e privato). Per la procedura, vedere Creazione di tabelle di routing personalizzate e associazione di VSwitch.
5. Eseguire il provisioning di un SD-WAN Edge in SD-WAN Orchestrator come indicato di seguito:
   1. Creare un Edge di tipo Virtual Edge.
   2. Modificare l'interfaccia GE2 da Commutata (Switched) a Instradata (Routed).
   3. Disabilitare Overlay WAN (WAN Overlay) per l'interfaccia GE3 e Traffico diretto NAT (NAT Direct Traffic), che sarà l'hop successivo per i dispositivi connessi alle subnet private (dispositivi LAN).
   4. Aggiungi IP JH nell'elenco di accesso SSH del firewall.

      Per ulteriori informazioni, vedere Provisioning di un Edge sul VCO.

6. Creare e avviare un'istanza di SD-WAN Edge virtuale (vVCE) con interfaccia di gestione (GE1). Per la procedura, vedere Creazione di un'istanza di vVCE nella console ECS.
7. Creare due interfacce di rete elastiche (ENI): un'interfaccia lato LAN privata (GE3) e un'altra interfaccia lato WAN pubblica (GE2). Per la procedura, vedere Creazione di un'interfaccia di rete elastica.
8. Creare un IP elastico e assegnarlo all'interfaccia pubblica (GE2) dell'Edge. Per la procedura, vedere Creazione di un IP elastico e assegnazione all'interfaccia pubblica dell'Edge.
9. Associare le interfacce pubbliche (GE2) e private (GE3) all'istanza Edge (vVCE), quindi riavviare l'istanza Edge per assicurarsi che le interfacce siano connesse all'Edge. Per la procedura, vedere Associazione di un'interfaccia ENI a un'istanza di Edge.

   L'istanza di Edge verrà attivata in base all'SD-WAN Orchestrator e l'Edge sarà in grado di stabilire il tunnel VCMP al gateway.

10. (Facoltativo) All'interno del VPC, se si desidera accedere al proprio Edge da una subnet privata, non su Internet, è necessario creare un'istanza Jump Host (JH) (istanza di Linux) con un'interfaccia nella subnet pubblica per la connettività Internet con l'EIP e l'altra interfaccia nella subnet di gestione, su cui sarà possibile accedere all'Edge. Per la procedura, vedere Creazione di un'istanza Jump Host.
    1. Creare un Jump Host.
    2. Creare un EIP e associarlo all'istanza Jump Host.
       Nota: Gli utenti di VCAdmin saranno in grado di accedere all'interfaccia della subnet di Edge Over Management dal JH.
    3. Accedere all'Edge virtuale (vVCE) dal Jump Host.
    4. Attivare l'Edge rispetto a SD-WAN Orchestrator dalla Shell.
       Nota: Dopo l'avvio dell'attivazione dell'Edge, se si desidera eseguire l'SSH nell'Edge da una subnet privata, è necessario assicurarsi di aggiungere l'IP JH nell'elenco di accesso SSH del firewall.
11. Creare un'istanza LAN con l'interfaccia primaria connessa alla subnet privata. Per la procedura, vedere Creazione di un'istanza LAN.
    1. Nella tabella di routing privata (Velo_vVCE_Private_RT), creare una nuova voce di routing che punta all'interfaccia GE3 dell'Edge per il routing predefinito. Per la procedura, vedere Aggiunta di una voce della tabella di routing personalizzata.
12. Verificare che il Virtual Edge sia attivo in SD-WAN Orchestrator.