このセクションでは、SD-WAN Orchestrator の主な概念と主要な構成について説明します。

構成

VMware サービスには、階層関係にある 4 つのコア構成があります。SD-WAN Orchestrator でこれらの構成を作成します。

次の表に、構成の概要を示します。

構成 説明
ネットワーク IP アドレス指定や VLAN などの基本的なネットワーク構成を定義します。ネットワークは、企業またはゲストとして指定することができ、ネットワークごとに複数の定義を含めることができます。
ネットワーク サービス バックホール サイト、クラウド VPN ハブ、Non SD-WAN Destination、クラウド プロキシ サービス、DNS サービス、認証サービスなど、VMware サービスで使用されるいくつかの一般的なサービスを定義します。
プロファイル 複数の Edge に適用できるテンプレート構成を定義します。プロファイルを構成するには、ネットワークとネットワーク サービスを選択します。プロファイルは、1 つまたは複数の Edge モデルに適用することができ、LAN、インターネット、ワイヤレス LAN、および WAN Edge インターフェイスの設定を定義します。また、プロファイルでは、Wi-Fi 無線、SNMP、NetFlow、ビジネス ポリシー、およびファイアウォール構成の設定を指定することもできます。
Edge Edge デバイスにダウンロードできる設定一式を指定する構成。Edge 構成は、選択されたプロファイル、選択されたネットワーク、およびネットワーク サービスの設定を組み合わせたものです。また、Edge 構成を使用して、プロファイル、ネットワーク、およびネットワーク サービスで定義されている設定をオーバーライドしたり、順序付きポリシーを追加したりすることもできます。

次の図は、複数の Edge、プロファイル、ネットワーク、およびネットワーク サービスの関係および構成設定の詳細な概要を示しています。

1 つのプロファイルを複数の Edge に割り当てることができます。個々のネットワーク構成は、複数のプロファイルで使用できます。ネットワーク サービス構成は、すべてのプロファイルで使用されます。

ネットワーク (Networks)

ネットワークは、Edge のネットワーク アドレス空間と VLAN 割り当てを定義する標準構成です。次のネットワーク タイプを構成できます。
  • 重複アドレスと非重複アドレスのどちらかを設定することができる企業ネットワークまたは信頼済みネットワーク。
  • 常に重複アドレスを使用するゲスト ネットワークまたは信頼されていないネットワーク。

複数の企業ネットワークとゲスト ネットワークを定義し、両方のネットワークに VLAN を割り当てることができます。

重複アドレスの場合、ネットワークを使用するすべての Edge のアドレス空間が同じになります。重複アドレスは、VPN 以外の構成に関連付けられます。

非重複アドレスを使用すると、アドレス空間が同じ数のアドレスを含むブロックに分割されます。非重複アドレスは、VPN 構成に関連付けられます。各 Edge のアドレス セットが一意になるように、アドレス ブロックは、ネットワークを使用する Edge に割り当てます。[非重複アドレス] は、[Edge 間] および [Edge]Non SD-WAN Destination 間 の VPN 通信に必要です。VMware 構成は、VPN アクセスのためのエンタープライズ データセンター ゲートウェイへのアクセスに必要な情報を作成します。エンタープライズ データセンター ゲートウェイの管理者は、Non SD-WAN Destination の VPN 構成時に生成された IPsec 構成情報を使用して、Non SD-WAN Destination への VPN トンネルを構成します。

以下の図は、ネットワーク構成の一意の IP アドレス ブロックが SD-WAN Edge に割り当てられていることを示しています。

注: 非重複アドレスを使用する場合、 SD-WAN Orchestrator は、アドレスのブロックを Edge に自動的に割り当てます。割り当ては、ネットワーク構成を使用する可能性がある Edge の最大数に基づいて行われます。

ネットワーク サービス

エンタープライズ ネットワーク サービスを定義して、すべてのプロファイルで使用できます。これには、認証、クラウド プロキシ、Non SD-WAN Destination、および DNS のサービスが含まれます。定義済みのネットワーク サービスは、プロファイルに割り当てられている場合にのみ使用されます。

プロファイル

プロファイルとは、一連の VLAN、クラウド VPN 設定、有線および無線インターフェイス設定、ならびにネットワーク サービス(DNS 設定、認証設定、クラウド プロキシ設定、Non SD-WAN Destination への VPN 接続など)を定義する名前付きの構成です。プロファイルを使用して、1 つまたは複数の SD-WAN Edge の標準構成を定義できます。

プロファイルは、VPN 用に構成された Edge のクラウド VPN 設定を指定します。クラウド VPN 設定によって、Edge 間および Edge と Non SD-WAN Destination 間の VPN 接続を有効または無効にすることができます。

プロファイルでは、ビジネス ポリシーとファイアウォール設定のルールおよび構成を定義することもできます。

Edge

Edge にプロファイルを割り当てることができます。Edge は、その構成のほとんどをプロファイルから継承します。

Edge 構成を変更することなく、プロファイル、ネットワーク、またはネットワーク サービスで定義された設定のほとんどを使用できます。ただし、特定のシナリオに合わせて Edge をカスタマイズするために、Edge 構成要素の設定をオーバーライドできます。  これには、インターフェイス、Wi-Fi 無線設定、DNS、認証、ビジネス ポリシー、およびファイアウォールの設定が含まれます。

また、プロファイルまたはネットワーク構成に含まれていない設定を強化するように Edge を構成することもできます。これには、サブネット アドレス指定、スタティック ルート設定、およびポート転送と 1 対 1 の NAT のための受信ファイアウォール ルールが含まれます。

Orchestrator の構成のワークフロー

VMware は複数の構成シナリオをサポートします。次の表は、いくつかの一般的なシナリオを示しています。

シナリオ 説明
SaaS Edge 間の VPN 接続あるいは Non SD-WAN Destination または VMware SD-WAN Site への VPN 接続を必要としない Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で重複アドレスが使用されているものとします。
VPN を経由する Non SD-WAN Destination Amazon Web Services、Zscaler、Cisco ISR、または ASR 1000 シリーズなど、Non SD-WAN Destination への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで Non SD-WAN Destination が定義されているものとします。
VMware SD-WAN Site VPN Edge ハブやクラウド VPN ハブなど、VMware SD-WAN Site への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで VMware SD-WAN Site が定義されているものとします。

各シナリオでは、SD-WAN Orchestrator の構成を次の順序で実行します。

[手順 1]:ネットワーク

[手順 2]:ネットワーク サービス

[手順 3]:プロファイル

[手順 4]:Edge

以下の表に、各ワークフローのクイック スタート構成の概要を示します。クイック スタート構成には、事前設定されたネットワーク、ネットワーク サービス、プロファイル構成を使用できます。VPN 構成の場合は、既存の VPN プロファイルを変更し、VMware SD-WAN Site または Non SD-WAN Destination を構成します。最後の手順では、新しい Edge を作成してアクティベーションします。

クイック スタート構成の手順

SaaS

Non SD-WAN Destination VPN

VMware SD-WAN Site VPN

手順 1:ネットワーク [クイック スタート インターネット ネットワーク (Quick Start Internet Network)] を選択 [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択 [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択
手順 2:ネットワーク サービス 事前構成済みのネットワーク サービスを使用 事前構成済みのネットワーク サービスを使用 事前構成済みのネットワーク サービスを使用
手順 3:プロファイル [クイック スタート インターネット プロファイル (Quick Start Internet Profile)] を選択

[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択

クラウド VPN を有効にし、Non SD-WAN Destination を構成

[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択

クラウド VPN を有効にし、VMware SD-WAN Site を構成

手順 4:Edge 新しい Edge を追加してアクティベーション

新しい Edge を追加してアクティベーション

新しい Edge を追加してアクティベーション

詳細については、SD-WAN Edge のアクティベーションを参照してください。