Per eseguire il provisioning di un SD-WAN Edge, eseguire i passaggi descritti in questa procedura.
Prerequisiti
Assicurarsi di disporre del nome host di SD-WAN Orchestrator e dell'account amministratore per effettuare l'accesso.
Procedura
- Accedere all'applicazione SD-WAN Orchestrator come utente amministratore, con le credenziali di accesso.
- Passare a Configura (Configure) > Edge (Edges).
- Nella schermata Edge (Edges), fare clic su Aggiungi Edge (Add Edge). Viene visualizzata la schermata Provisioning di un Edge (Provision an Edge).
- È possibile configurare le opzione seguenti:
Opzione Descrizione Modalità (Mode) Per impostazione predefinita, è selezionata la modalità SD-WAN Edge. Nome (Name) Immettere un nome univoco per l'Edge. Modello (Model) Selezionare Edge virtuale (Virtual Edge) dal menu a discesa. Profilo (Profile) Selezionare Profilo di avvio rapido (Quick Start Profile) dal menu a discesa. Nota: Se come opzione viene visualizzato un Profilo di staging dell'Edge (Edge Staging Profile) viene visualizzato come opzione a causa dell'attivazione automatica dell'Edge, indica che questo profilo è utilizzato da un Edge appena assegnato, ma non è stato configurato con un profilo di produzione.Licenza Edge (Edge License) Selezionare una licenza Edge (Edge license) dal menu a discesa. Nell'elenco vengono visualizzate le licenze assegnate all'azienda dall'operatore. Autenticazione (Authentication) Scegliere un modalità di autenticazione dal menu a discesa:
- Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
Avviso: Questa modalità non è consigliata per le distribuzioni dei clienti.
- Acquisizione certificato (Certificate Acquire): questa modalità è selezionata per impostazione predefinita ed è consigliata per tutte le distribuzioni del cliente. Con la modalità Acquisizione certificato (Certificate Acquire), i certificati vengono emessi al momento dell'attivazione dell'Edge e rinnovati automaticamente. Orchestrator indica all'Edge di acquisire un certificato dall'autorità di certificazione di SD-WAN Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SD-WAN Orchestrator e per la creazione di tunnel VCMP.
Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata impostandola su Certificato richiesto (Certificate Required), se necessario.
- Certificato richiesto (Certificate Required): questa modalità è adatta solo alle aziende dei clienti "statiche". Un'azienda statica è definita come un'azienda in cui non vengono distribuiti più di alcuni nuovi Edge e non è prevista alcuna nuova modifica orientata ai PKI.
Importante: L'opzione Certificato richiesto (Certificate Required) non ha alcun vantaggio di sicurezza rispetto a Acquisizione certificato (Certificate Acquire). Entrambe le modalità sono altrettanto sicure e un cliente che utilizza Certificato richiesto (Certificate Required) dovrebbe farlo solo per i motivi descritti in questa sezione.La modalità Certificato richiesto (Certificate Required) significa che non viene accettato alcun heartbeat dell'Edge senza un certificato valido.Con questa modalità, l'Edge utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per gli Edge modificando le proprietà di sistema di Orchestrator. Per ulteriori informazioni, contattare l'operatore.Attenzione: L'utilizzo di questa modalità può causare errori dell'Edge nei casi in cui un cliente non è a conoscenza di questa imposizione rigida.
Nota:- Quando la funzionalità Orchestrator Bastion è abilitata, gli Edge che devono essere preparati per Orchestrator Bastion devono avere la modalità di autenticazione impostata su Acquisizione certificato (Certificate Acquire) o su Certificato richiesto (Certificate Required).
- Quando il certificato di un Edge viene revocato, l'Edge viene disattivato e deve essere sottoposto al processo di attivazione. La progettazione QuickSec corrente verifica la validità temporale dell'elenco di revoche di certificati (CRL). Affinché il CRL abbia un impatto sulla nuova connessione stabilita, la validità temporale del CRL deve corrispondere all'ora corrente degli Edge. Per implementare questo comportamento, assicurarsi di aggiornare l'ora di Orchestrator in modo che corrisponda alla data e all'ora degli Edge.
Crittografa segreti dispositivi (Encrypt Device Secrets) Selezionare la casella di controllo Abilita (Enable) per consentire all'Edge di crittografare i dati sensibili in tutte le piattaforme. Questa opzione è disponibile anche nella pagina Panoramica (Overview). Nota: Per l'Edge 5.2.0 e versioni successive, prima di disattivare questa opzione, è necessario disattivare l'Edge utilizzando azioni remote. Ciò causa il riavvio dell'Edge.Alta disponibilità (High Availability) Selezionare la casella di controllo Abilita (Enable) per applicare l'alta disponibilità (HA). Un Edge può essere installato come un singolo dispositivo autonomo o accoppiato con un altro Edge per fornire il supporto per l'alta disponibilità (HA). Nome contatto locale (Local Contact Name) Immettere il nome del contatto del sito per l'Edge. E-mail contatto locale (Local Contact Email) Immettere l'indirizzo e-mail del contatto del sito per l'Edge. - Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
- Immettere tutti i dettagli richiesti e fare clic su Avanti (Next) per configurare le seguenti opzioni aggiuntive:
Nota: Il pulsante Avanti (Next) viene attivato solo dopo che sono stati immessi tutti i dettagli obbligatori.
Opzione Descrizione Numero di serie (Serial Number) Immettere il numero di serie dell'Edge. Se viene specificato, l'Edge deve visualizzare questo numero di serie all'attivazione. Nota: Quando si distribuiscono Edge virtuali VMware SD-WAN negli Edge AWS, assicurarsi di utilizzare l'ID dell'istanza come numero di serie per l'Edge.Descrizione Immettere una descrizione appropriata. Posizione (Location) Fare clic sul link Imposta posizione (Set Location) per impostare la posizione dell'Edge. Se non viene specificato, la posizione viene rilevata automaticamente dall'indirizzo IP quando l'Edge viene attivato. - Fare clic su Aggiungi Edge (Add Edge).
Viene eseguito il provisioning dell'Edge e la chiave di attivazione viene visualizzata nella parte superiore della pagina. Prendere nota della chiave di attivazione per utilizzarla per avviare l'Edge dalla console di AliCloud.Nota: La chiave di attivazione per l'attivazione del dispositivo Edge deve essere utilizzata entro un mese dalla sua emissione.
- Configurare le interfacce dell'Edge virtuale. I passaggi seguenti sono illustrati in considerazione della Topologia A (Topology A).
- Passare a Configura (Configure) > Edge (Edges). Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
- Fare clic sul link di un Edge o sul link Visualizzazione (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
- Passare all'area Impostazioni interfaccia (Interface Settings).
- Nella categoria Connettività (Connectivity), espandere la voce Interfacce (Interfaces). Vengono visualizzati i diversi tipi di interfaccia disponibili per l'Edge selezionato.
- Selezionare la casella di controllo Sostituisci interfaccia (Override Interface) e quindi aggiornare le configurazioni delle interfacce dell'Edge virtuale Interfaccia GE1 (GE1 Interface), Interfaccia GE2 (GE2 Interface) e Interfaccia GE3 (GE3 Interface) come indicato di seguito:
- Impostare la funzionalità dell'interfaccia GE1 su Instradata (Routed), quindi disattivare Overlay WAN (WAN Overlay) e Traffico diretto NAT (NAT Direct Traffic).
- Impostare la funzionalità dell'interfaccia GE2 su Instradata (Routed) e assicurarsi che le opzioni Overlay WAN (WAN Overlay) e Traffico diretto NAT (NAT Direct Traffic) siano attivate.
- Per l'interfaccia GE3, disattivare Overlay WAN (WAN Overlay) e Traffico diretto NAT (NAT Direct Traffic), che sarà l'hop successivo per i dispositivi connessi alle subnet VPC private (dispositivi LAN).
Per ulteriori informazioni, vedere l'argomento Configurazione delle impostazioni dell'interfaccia per gli Edge nella Guida all'amministrazione di VMware SD-WAN.
risultati
Viene eseguito il provisioning di un Edge virtuale in SD-WAN Orchestrator.
Operazioni successive
Distribuire l'Edge virtuale in GCP. È possibile distribuire l'Edge virtuale utilizzando uno dei seguenti metodi: