このドキュメントでは、VMware Partner Gateway を 3.3.2 または 3.4 リリースから 4.0 リリースにアップグレードする方法について説明します。
4.0 リリースの SD-WAN Gateway アプライアンスには、次の変更が含まれています。
- LVM ベースの新しいシステム ディスク レイアウトにより、ボリューム管理の柔軟性を向上
- 新しいカーネル バージョン
- 新規およびアップグレードされた基本 OS パッケージ
- Center for Internet Security ベンチマークに基づくセキュリティ強化の向上
- https://netplan.io/ のため、ifupdown は廃止されました
- ifup と ifdown は使用できなくなりました
- ネットワーク設定が /etc/network/ ではなく、/etc/netplan にあります
- etc/network/ifup.d および /etc/network/ifdown.d は動作しなくなりました。network-dispatcher の場所は、/usr/lib/networkd-dispatcher(dormant.d、no-carrier.d、off.d、routable.d)を使用する必要があります
- cloud-init の大幅な変更。cloud-init の展開スクリプトの互換性を確認し、テストする必要があります
- net-tools(ifconfig、netstat など)は「廃止」とみなされ、今後のバージョンでは削除される可能性があります
ネットワーク設定
https://netplan.io/ のため、ifupdown は廃止されました。ネットワーク設定が /etc/network から/etc/netplan に移動しました。
network: version: 2 ethernets: eth0: addresses: - 192.168.151.253/24 gateway4: 192.168.151.1 nameservers: addresses: - 8.8.8.8 - 8.8.4.4 search: [] routes: - to: 192.168.0.0/16 via: 192.168.151.254 metric: 100 eth1: addresses: - 192.168.152.251/24 gateway4: 192.168.152.1 nameservers: addresses: - 8.8.8.8 search: []
echo 'network: {config: disabled}' > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
cloud-init
cloud-init がバージョン 20.2 にアップグレードされました。cloud-init の詳細については、https://cloudinit.readthedocs.io/en/stable/index.htmlを参照してください。
[例 1:簡易]
meta-data:
instance-id: vcg1
local-hostname: vcg1
#cloud-config hostname: vcg1 password: Velocloud123 chpasswd: {expire: False} ssh_pwauth: True
[例 2:新スタイルのネットワーク設定(network-config ファイル)]
instance-id: vcg1 local-hostname: vcg1
#cloud-config hostname: vcg1 password: Velocloud123 chpasswd: {expire: False} ssh_pwauth: True ssh_authorized_keys: - ssh-rsa … rsa-key velocloud: vcg: vco: demo.velocloud.net activation_code: F54F-GG4S-XGFI vco_ignore_cert_errors: false runcmd: - 'echo “Welcome to VeloCloud”'
network-config の例 1:
version: 2 ethernets: eth0: addresses: - 192.168.152.55/24 gateway4: 192.168.152.1 nameservers: addresses: - 192.168.152.1 eth1: addresses: - 192.168.151.55/24 gateway4: 192.168.151.1 nameservers: addresses: - 192.168.151.1
network-config の例 2:
注:Gateway に複数のインターフェイスがあり、デフォルト ゲートウェイの優先インターフェイスとしてインターフェイスを選択する必要がある場合は、次の設定(メトリック値を使用)を使用して正しいインターフェイスを選択できます。
version: 2 ethernets: eth0: addresses: [192.168.82.1/24] eth1: addresses: [70.150.1.1/24] routes: - {metric: 1, to: 0.0.0.0/0, via: 70.150.1.254} eth2: addresses: [70.155.1.1/24] routes: - {metric: 2, to: 0.0.0.0/0, via: 70.155.1.254}
net-tools
ifconfig、netstat、route などの net-tools ユーティリティは「廃止」とみなされます。net-tools が推奨する代替コマンドを下の表に示します。これらのコマンドは、Linux ホストの情報のみを表示し、SD-WAN オーバーレイ ネットワークの情報は表示しません。[注:]詳細については、「man ip」と入力してください。
従来の net-tools ユーティリティ | 対応する新しい net-tools ユーティリティ |
---|---|
arp | ip n (ip neighbor) |
ifconfig | ip a (ip addr)、ip link、ip -s (ip -stats) |
nameif | ip link、ifrename |
netstat | ss、ip route(netstat-r の場合)、ip -s link(netstat -i の場合)、ip maddr(netstat-g の場合) |
route | ip r (ip route) |
[net-tools ユーティリティのサンプル コマンド出力]
サンプル出力は、コマンドが正常に実行されたことの確認です。ip n (ip neighbor)、ip a (ipaddr)、ip link のサンプル コマンド出力は次のとおりです。
root@SS-gateway-1:~# ip n 192.168.0.100 dev eth2 lladdr 00:50:56:84:85:d4 REACHABLE 192.168.0.250 dev eth2 lladdr 00:50:56:84:97:66 REACHABLE 13.1.1.2 dev eth0 lladdr 00:50:56:84:e7:fa REACHABLE root@SS-gateway-1:~#
root@SS-gateway-1:~# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 4096 link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff inet 13.1.1.1/24 brd 13.1.1.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::250:56ff:fe84:a009/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff inet 101.101.101.1/24 brd 101.101.101.255 scope global eth1 valid_lft forever preferred_lft forever inet6 fe80::250:56ff:fe84:a6ab/64 scope link valid_lft forever preferred_lft forever 4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff inet 192.168.0.201/24 brd 192.168.0.255 scope global eth2 valid_lft forever preferred_lft forever inet6 fe80::250:56ff:fe84:bc75/64 scope link valid_lft forever preferred_lft forever 6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 4096 link/none inet 169.254.129.1/32 scope global gwd1 valid_lft forever preferred_lft forever inet6 fe80::27d5:9e46:e7f7:7198/64 scope link stable-privacy valid_lft forever preferred_lft forever root@SS-gateway-1:~#
root@SS-gateway-1:~# ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 4096 link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 4096 link/none root@SS-gateway-1:~#
アップグレードに関する注意事項
ディスク レイアウトやシステム ファイルは大幅に変更されているため、古いリリースから 4.0 リリースへのインプレース アップグレードは実行できません。移行するには、新しい 4.0 SD-WAN Gateway システムをデプロイし、古いコードを実行するシステムを廃止する必要があります。
既知のパブリック IP アドレスを持つ VPN SD-WAN Gateway または NAT SD-WAN Gateway の場合、SD-WAN Gateway のパブリック IP アドレスを保持する必要がある場合は、次の手順に従ってください。
- 4.0 リリースのイメージに基づいて、新しい SD-WAN Gateway システムを起動します。詳細については、使用しているプラットフォームのデプロイ ガイドを参照してください(Gateway のインストール手順)。
- 古い SD-WAN Gateway システムをシャットダウンします。CLI コンソールで
“sudo poweroff”
コマンドを実行するか、または利用可能なハイパーバイザー オプションからパワーオフして、古い SD-WAN Gateway 仮想マシンを停止します。 - 新しい SD-WAN Gateway システムを参照するように NAT レコードを更新するか、新しい SD-WAN Gateway ネットワーク インターフェイスでパブリック IP アドレスを設定して、パブリック IP アドレスを新しいシステムに移行します。前の SD-WAN Gateway と同じ IP アドレスを使用して、上記の cloud-int の例を使用して新しい Gateway をデプロイします。
- 次の手順に従って、SD-WAN Orchestrator の既存の SD-WAN Gateway レコードからアクティベーション キーを取得します。
- SD-WAN Orchestrator から、左側のナビゲーション パネルで [Gateway (Gateways)] を選択します。
- [Gateway (Gateways)] 画面で、SD-WAN Gateway をクリックして選択します。
- 選択した SD-WAN Gateway の画面で、SD-WAN Gateway 名の横にある下矢印をクリックして、情報ボックスを開きます。
- アクティベーション キーは、次の図に示すように情報ボックスの下部にあります。
- 次の図に示すように、システム プロパティ「gateway.activation.validate.deviceId」を「False」に設定します。詳しい情報が必要な場合は、『VMware SD-WAN オペレータ ガイド』のシステム プロパティのセクションを参照してください。
- CLI コンソールから
“sudo /opt/vc/bin/activate.py -s <vco_address> <activation_code>”
を実行して、新しい SD-WAN Gateway システムを再度アクティベーションします。 - システム プロパティ「gateway.activation.validate.deviceId」を元の値に戻します(必要に応じて)。
SD-WAN Gateway が登録され、Edge から接続を受信できるようになりました。
[アクティベーションのサンプル出力]
root@gateway/opt/vc# /opt/vc/bin/activate.py FLM6-CSV6-REJS-XFR5 -i -s 169.254.8.2
Activation successful, VCO overridden back to 169.254.8.2 root@SS1-gateway-2:/opt/vc#
既知のパブリック IP アドレスを持たない SD-WAN Gateway
このセクションは、VPN SD-WAN Gateway などの既知のパブリック IP アドレスを持たない SD-WAN Gateway のみを対象としています。このシナリオが適用される場合は、次の手順を実行します。
- 新しい SD-WAN Gateway システムを起動します。必要な場合は、使用しているプラットフォームのデプロイ ガイドを参照してください(Gateway のインストール手順)。
- 新しい SD-WAN Gateway システムをアクティベーションします。
- 新しい SD-WAN Gateway を SD-WAN Orchestrator SD-WAN Gateway プールに追加します。詳細については、『VMware SD-WAN オペレータ ガイド』のGateway 管理のセクションを参照してください。
- SD-WAN Gateway が登録され、Edge から接続を受信できるようになりました。
- 古い SD-WAN Gateway を SD-WAN Orchestrator SD-WAN Gateway プールから削除します。詳細については、『VMware SD-WAN オペレータ ガイド』のGateway 管理のセクションを参照してください。
- 古い SD-WAN Gateway 仮想マシンを廃止します。(SD-WAN Gateway レコードを SD-WAN Orchestrator から削除し、仮想マシン インスタンスを廃止します。)
API 経由での Gateway のアクティベーション キーの取得
API メソッドを使用してデプロイするには、「network/getNetworkGateways」コマンドを使用します。
[応答の例:]
{"jsonrpc":"2.0","result":[{"id":1, "activationKey":"69PX-YHY2-N5PZ-G3UW …
データプレーンでのハンドオフ インターフェイスの設定
VMware SD-WAN Gateway ネットワーク設定
次の図(PE への VRF/VLAN ハンドオフ)の例では、eth0 がパブリック ネットワーク(インターネット)に接続するインターフェイス、eth1 が内部ネットワーク(PE を介したカスタマー VRF)に接続するインターフェイスであると想定しています。BGP ピアリングの設定は、[設定 (Configure)] > [カスタマー (Customer)] の下でカスタマー/VRF ベースで VCO で管理されます。各 VRF の IP アドレスはカスタマーごとに設定可能であることに注意してください。管理 VRF の IP アドレスは、Linux の SD-WAN Gateway インターフェイスで設定された IP アドレスを継承します。
管理 VRF は SD-WAN Gateway 上に作成され、ネクストホップ MAC を決定するためにデフォルトのゲートウェイ IP アドレスに定期的な ARP 更新を送信するために使用されます。その際には、PE ルーターに専用の VRF を設定することをお勧めします。PE ルーターによって同じ管理 VRF を使用して IP SLA プローブを SD-WAN Gateway に送信し、SD-WAN Gateway 状態を確認することもできます(SD-WAN Gateway には、サービスが稼動している場合にのみ ping に応答するステートフル ICMP レスポンダがあります)。管理 VRF では BGP ピアリングは必要ありません。管理 VRF が設定されていない場合は、カスタマー VRF の 1 つを管理 VRF として使用できますが、これは推奨されません。
"vcmp.interfaces":[ "eth0" ], (..snip..) "wan": [ "eth1" ],
手順 2:管理 VRF を設定します。この VRF は、ネクストホップ MAC(PE ルータ)の ARP への SD-WAN Gateway によって使用されます。SD-WAN Gateway によって作成されたすべての VRF で、同じネクストホップ MAC が使用されます。/etc/config/gatewayd で管理 VRF パラメータを設定する必要があります。
管理 VRF は、IP SLA プローブを送信するために PE ルーターによって使用される VRF と同じです。SD-WAN Gateway は、サービスが稼動中で、接続されている Edge がある場合にのみ、ICMP プローブに応答します。次の表に、定義が必要な各パラメータを示します。この例では、802.1q VLAN ID の管理 VRF は 1000 です。
モード | QinQ (0x8100)、QinQ (0x9100)、なし、802.1Q、802.1ad |
c_tag | QinQ カプセル化の C-タグ値または 802.1Q カプセル化の場合は 802.1Q VLAN ID |
s_tag | QinQ カプセル化の S-タグ値 |
インターフェイス | ハンドオフ インターフェイス(通常は eth1) |
"vrf_vlan": { "tag_info": [ { "resp_mode": 0, "proxy_arp": 0, "c_tag": 1000, "mode": "802.1Q", "interface": "eth1", "s_tag": 0 } ] },
手順 3:/etc/config/gatewayd-tunnel を編集して、両方のインターフェイスを wan パラメータに含めます。変更を保存します。
wan="eth0 eth1"
ブロックされたサブネットの削除
デフォルトでは、SD-WAN Gateway は 10.0.0.0/8 および 172.16.0.0/14 へのトラフィックをブロックします。SD-WAN Gateway もプライベート サブネットにトラフィックを送信することが想定されるため、この SD-WAN Gateway を使用する前にそれらのサブネットを削除する必要があります。このファイルを編集しないと、ブロックされたサブネットにトラフィックを送信しようとすると、/var/log/gwd.log に次のメッセージが記録されます。
2015-12-18T12:49:55.639 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.254, which is a blocked subnet. 2015-12-18T12:52:27.764 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.254, which is a blocked subnet. [message repeated 48 times] 2015-12-18T12:52:27.764 ERR [NET] proto_ip_recv_handler:494 Dropping packet destined for 10.10.150.10, which is a blocked subnet.
[ { "network_addr": "10.0.0.0", "subnet_mask": "255.0.0.0" }, { "network_addr": "172.16.0.0", "subnet_mask": "255.255.0.0" } ]
[ ]
手順 3:sudo /opt/vc/bin/vc_procmon restart によって SD-WAN Gateway プロセスを再起動します。