VMware Partner Gateway には、さまざまな構成オプションがあります。Gateway のインストール前にワークシートを準備する必要があります。

ワークシート

SD-WAN Gateway
  • バージョン
  • OVA/QCOW2 ファイルの場所
  • アクティベーション キー
  • SD-WAN Orchestrator(IP アドレス/vco-fqdn-hostname)
  • ホスト名
ハイパーバイザー アドレス/クラスタ名
ストレージ ルート ボリューム データストア(40 GB 以上を推奨)
CPU 割り当て KVM/VMware の CPU 割り当て。
OAM ネットワーク
  • DHCP
  • OAM IPv4 アドレス
  • OAM IPv4 ネットマスク
  • DNS サーバ - プライマリ
  • DNS サーバ - セカンダリ
  • スタティック ルート
ETH0 - インターネットに接続するネットワーク
  • IPv4 アドレス
  • IPv4 ネットマスク
  • IPv4 デフォルト ゲートウェイ
  • DNS サーバ - プライマリ
  • DNS サーバ - セカンダリ
ハンドオフ (ETH1) - ネットワーク
  • 管理 VRF の IPv4 アドレス
  • 管理 VRF の IPv4 ネットマスク
  • 管理 VRF の IPv4 デフォルト ゲートウェイ
  • DNS サーバ - プライマリ
  • DNS サーバ - セカンダリ
  • ハンドオフ(QinQ (0x8100)、QinQ (0x9100)、なし、802.1Q、802.1ad)
  • C-タグ
  • S-タグ
コンソール アクセス
  • コンソールのパスワード
  • SSH:
    • 有効(はい/いいえ)
    • SSH パブリック キー
NTP
  • パブリック NTP:
    • server 0.ubuntu.pool.ntp.org
    • server 1.ubuntu.pool.ntp.org
    • server 2.ubuntu.pool.ntp.org
    • server 3.ubuntu.pool.ntp.org
  • 内部 NTP サーバ - 1
  • 内部 NTP サーバ - 2

SD-WAN Gateway セクション

SD-WAN Gateway セクションのほとんどは、名称を見ただけで機能がわかります。

SD-WAN Gateway
  • バージョン - SD-WAN Orchestrator と同じかそれ以下である必要があります。
  • OVA/QCOW2 ファイルの場所 - ファイルの場所とディスクの割り当てを事前に決めておいてください。
  • アクティベーション キー
  • SD-WAN Orchestrator(IP アドレス/vco-fqdn-hostname)
  • ホスト名 - 有効な Linux ホスト名「RFC 1123」

Gateway の作成とアクティベーション キーの取得

  1. [オペレータ (Operator)] > [Gateway プール (Gateway Pool)] に移動して、新しい SD-WAN Gateway プールを作成します。サービス プロバイダ ネットワークで SD-WAN Gateway を実行するには、[Partner Gateway を許可 (Allow Partner Gateway)] チェックボックスをオンにします。この Gateway プールに Partner Gateway を含めるためのオプションが有効になります。

    vcg-new-pool

  2. [オペレータ (Operator)] > [Gateway] に移動し、新しい Gateway を作成してプールに割り当てます。ここで入力する Gateway の IP アドレスは、Gateway の [パブリック IP アドレス (public IP address)] と一致する必要があります。不明な場合は、SD-WAN Gateway のパブリック IP アドレスを返す curl ipinfo.io/ipSD-WAN Gateway から実行することができます。

    vcg-create-new-gateway

  3. アクティベーション キーをメモし、ワークシートに追加します。

    vcg-gateway-activation-key

Partner Gateway モードの有効化

  1. [オペレータ (Operator)] > [Gateway] に移動して、SD-WAN Gateway を選択します。[Partner Gateway] チェックボックスをオンにして、Partner Gateway を有効にします。

    vcg-properties-partner-gateway-checkbox

    他にも、構成可能なパラメータがあります。最も一般的なのは次のとおりです。

    暗号化なしで 0.0.0.0/0 をアドバタイズ

    vcg-advanced-handoff-static-routes

このオプションを使用すると、SAAS アプリケーションに関して Partner Gateway がクラウド トラフィックへのパスをアドバタイズできるようになります。[暗号化 (Encrypt)] フラグがオフになっているため、このパスを使用するかどうかはユーザーのビジネス ポリシーの設定によります。

もう 1 つのお勧めのオプションは、SD-WAN Orchestrator の IP アドレスを /32 として暗号化ありでアドバタイズするものです。

vcg-advanced-handoff-static-routes-encrypt-checkbox

これを使用すると、Edge から SD-WAN Orchestrator に送信されるトラフィックがゲートウェイ パスを通るようになり、SD-WAN EdgeSD-WAN Orchestrator に到達するためにとる動作を予測できるようになるので、お勧めです。

ネットワーク

重要: 以下の手順とスクリーンショットでは、最も一般的なデプロイである、Gateway のツーアーム インストールを主に想定しています。OAM ネットワークの追加については、 OAM インターフェイスとスタティック ルートセクションを参照して検討してください。

vcg-partner-gateway-pe-image

上記の図は、ツーアーム デプロイの場合の SD-WAN Gateway を表しています。この例では、eth0 をパブリック ネットワーク(インターネット)に接続するインターフェイス、eth1 を内部ネットワーク(ハンドオフまたは VRF インターフェイス)に接続するインターフェイスとします。

注: [管理 VRF]SD-WAN Gateway で作成され、定期的な ARP 更新をデフォルトのゲートウェイ IP アドレスに送信するために使用されます。これにより、ハンドオフ インターフェイスが物理的に稼動していることを確認し、フェイルオーバーを迅速化することができます。その際には、PE ルーターに専用の VRF を設定することをお勧めします。必要に応じて、同じ管理 VRF を PE ルーターで使用して、 SD-WAN Gateway のステータスを確認するために IP SLA プローブを SD-WAN Gateway に送信することもできます( SD-WAN Gateway には、そのサービスが稼動している場合にのみ ping に応答するステートフル ICMP レスポンダがあります)。専用の管理 VRF が設定されていない場合は、ユーザー VRF の 1 つを管理 VRF として使用することができますが、そのような方法は推奨されていません。

インターネットに接しているネットワークについては、必要なのは基本的なネットワーク構成のみです。

ETH0 - インターネットに接続するネットワーク
  • IPv4 アドレス
  • IPv4 ネットマスク
  • IPv4 デフォルト ゲートウェイ
  • プライマリ DNS サーバ
  • セカンダリ DNS サーバ

ハンドオフ インターフェイスについては、構成するハンドオフのタイプと、管理 VRF のハンドオフ構成を把握しておく必要があります。

ETH1 - ハンドオフ ネットワーク
  • 管理 IPv4 アドレス
  • 管理 IPv4 ネットマスク
  • 管理 IPv4 デフォルト ゲートウェイ
  • プライマリ DNS サーバ
  • セカンダリ DNS サーバ
  • ハンドオフ(QinQ (0x8100)、QinQ (0x9100)、なし、802.1Q、802.1ad)
  • 管理 VRF の C-タグ
  • 管理 VRF の S-タグ

コンソール アクセス

コンソール アクセス
  • コンソールのパスワード
  • SSH:
    • 有効(はい/いいえ)
    • SSH パブリック キー

Gateway にアクセスするには、コンソール パスワードまたは SSH パブリック キー(あるいはその両方)を作成する必要があります。

cloud-init の作成

ワークシートで定義したゲートウェイの構成オプションは、cloud-init 構成で使用されます。cloud-init 構成は、メタデータ ファイルと user-data ファイルという 2 つの主要な構成ファイルで構成されます。メタデータには Gateway のネットワーク構成が含まれ、user-data には Gateway ソフトウェア構成が含まれます。このファイルは、インストールされている SD-WAN Gateway のインスタンスを識別するための情報を提供します。

meta_data ファイルと user_data ファイルの両方のテンプレートを以下に示します。network-config は省略できます。デフォルトでは、ネットワーク インターフェイスは DHCP を使用して構成されます。

ワークシートの情報をテンプレートに入力してください。すべての #_VARIABLE_# を値に置き換える必要があります。また、#ACTION# もすべて指定されていることを確認してください。

重要: テンプレートは、インターフェイスにスタティック構成を使用していることを前提としています。また、すべてのインターフェイスで SR-IOV を使用している場合と SR-IOV を一切使用していない場合のどちらかを前提としています。詳細については、 OAM - vmxnet3 による SR-IOV または VIRTIO による SR-IOVを参照してください。
meta-data ファイル:
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
network-config ファイル(先頭のスペースは重要です)
注: 以下の network-config の例では、静的 IP アドレスを持つ 2 つのネットワーク インターフェイス eth0 と eth1 を使用して仮想マシンを構成する方法について説明します。eth0 は、デフォルト ルートを持ち、メトリックが 1 のプライマリ インターフェイスです。eth1 は、デフォルト ルートを持ち、メトリックが 13 のセカンダリ インターフェイスです。システムは、デフォルト ユーザー (vcadmin) のパスワード認証で構成されます。さらに、vcadmin ユーザー用に SSH 認証済みキーが追加されます。SD-WAN Gateway は、提供された activation_code を使用して SD-WAN Orchestrator に対して自動的にアクティベーションされます。
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
user-data ファイル:
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

user-data ファイルで構成されているパスワードのデフォルトのユーザー名は「vcadmin」です。最初は、このデフォルトのユーザー名を使用して SD-WAN Orchestrator にログインします。

重要: user-data と meta-data は、常に http://www.yamllint.com/ を使用して検証する必要があります。network-config も、有効なネットワーク構成 ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html) でなければなりません。Windows または Mac のコピーと貼り付け機能を使用すると、スマート クォートの問題が発生し、ファイルの破損につながる可能性があります。次のコマンドを実行して、スマート クォートがないことを確認してください。
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

ISO ファイルの作成

ファイルの入力が完了したら、ISO イメージにパッケージ化する必要があります。この ISO イメージは、仮想マシンとともに仮想構成 CD として使用されます。この ISO イメージは vcg01-cidata.iso と呼ばれ、Linux システムで次のコマンドを使用して作成されます。

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

MAC OSX を使用している場合は、代わりに次のコマンドを使用してください。

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

この ISO ファイルは #CLOUD_INIT_ISO_FILE# と呼ばれ、OVA のインストールと VMware のインストールの両方で使用されます。