VMware SD-WAN Edge を Virtual Hub に手動で展開するには、Azure 側にリソース グループ、Virtual WAN (vWAN)、および Virtual Hub (vHUB) がすでに作成されている必要があります。
前提条件
vWAN Hub が起動して実行中になり、ルーティングの状態が完了になったら、
VMware SD-WAN Orchestrator 経由で Azure vWAN Network Virtual Appliance (NVA) を手動で展開する前に、次の前提条件を満たす必要があります。
- VMware SD-WAN Orchestrator へのエンタープライズ アカウント アクセスを取得します。
- 適切な IAM ロールを使用して Microsoft Azure ポータルへのアクセスを取得します。
- この展開のソフトウェア イメージの要件は次のとおりです。
- VMware SD-WAN Orchestrator:4.5.0 以降。
- VMware SD-WAN Gateway:4.5.0 以降。
- VMware SD-WAN Edge:4.2.1 以降。
手順
- Orchestrator で、[設定 (Configure)] > [Edge (Edges)] > [新規 Edge (New Edge)] の順に移動して仮想 Edge を作成します。
- Orchestrator で、Edge が作成されたら、すべての Edge のインターフェイス設定を次のように変更します。
- 自動検出された WAN オーバーレイを使用して、GE1 インターフェイスを ルート (Route) に変更します。
- WAN オーバーレイが無効になっている状態で、GE2 を ルート (Route) に変更します。
- GE3 から GE8 のインターフェイスは、この展開では使用されません。
注: この統合によって必要となる仮想 Edge インターフェイス設定でプロファイルを設定することで、Orchestrator で仮想 Edge を作成した後にインターフェイス設定を変更する必要がなくなります。注: Edge をリリース 4.2.1 から以前のリリースにダウングレードしようとすると、Edge はアクティベーションのループで停止します。 - VMware SD-WAN Azure NVA への SSH アクセスは、Azure サポート チームによって管理されます。Azure 側は、送信元 IP アドレス [168.63.129.16] のみが Azure 仮想 Edge に SSH 接続できるようにするセキュリティ ポリシーを適用します。仮想 Edge がこの送信元 IP アドレスからの SSH を受け入れることを許可するには、[設定 (Configure)] > [Edge (Edges)] > [ファイアウォール (Firewall)] > [Edge アクセス (Edge Access)] > [サポート アクセス (Support Access)] に移動し、[次の IP アドレスを許可 (Allow the following IPs)] フィールドに IP アドレス [168.63.129.16] を追加します。
注: 手順 3 の設定は、多くの仮想 Edge またはすべての仮想 Edge で使用されるプロファイルで実行できるため、個々の仮想 Edge ごとに設定を行う必要はありません。
この IP アドレス設定の詳細については、https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16 を参照してください。
- 各仮想 Edge の Orchestrator URL とアクティベーション キーをコピーします。
たとえば、次のようになります。
- vcoxx-usvi1.velocloud.net
- Activation Key1: XXXX:ZE8F:YYYY:67YT
- Activation Key2: XXXX:ZE8F:ZZZZ:67YT
- Azure ポータルにログインし、Azure マーケットプレイスで、「vWAN での VMware SD-WAN (VMware SD-WAN in vWAN)」アプリケーションを検索します。[vWAN での VMware SD-WAN (VMware SD-WAN in vWAN)] 管理アプリケーション ページが表示されます。このアプリケーションを使用して、Virtual WAN Hub での仮想 Edge の展開を自動化できます。
- 管理アプリケーションで [作成 (Create)] をクリックし、次の基本情報を入力します。
- [サブスクリプション (Subscription)]:作成された Virtual WAN Hub があるサブスクリプション。
- [リソース グループ (Resource Group)]:新しいリソース グループを作成するか、既存のリソース グループを選択します。
- [リージョン]:Virtual WAN Hub が作成されるリージョンを選択します。Edge は、その Virtual WAN Hub に展開されます。
- [アプリケーション名 (Application Name)]:管理アプリケーションの名前を入力します。
- [管理リソース グループ (Managed Resource Group)]:アプリケーションの管理リソース グループを指定します。管理リソース グループには、利用者のアクセスが制限されている管理アプリケーションで必要となるすべてのリソースが保持されます。
- [Virtual WAN での VMware SD-WAN (VMware SD-WAN in Virtual WAN)] タブで、選択したリージョンの Virtual WAN Hub を選択します。仮想 Edge は、この Hub に展開されます。
カスタマーが Virtual WAN ハブを選択すると、次の情報が表示され、Virtual WAN ハブの BGP ネイバーの IP アドレスと ASN が一覧表示されます。Orchestrator で BGP ネイバーシップを設定するために必要な情報をメモしておきます。
- [スケール ユニット (Scale unit)]:必要に応じてスケールを選択します。
- [VMware SD-WAN Orchestrator]:手順 3 の Orchestrator URL を貼り付けます。
- [IgnoreCertErrors]:このフラグを False に設定します。Orchestrator URL を使用できず、Orchestrator の IP アドレスを指定する必要がある場合にのみ、このフラグを True に変更します。
- [Edge1 のアクティベーション キー (ActivationKey for Edge1)]:手順 3 のアクティベーション キーを貼り付けます。
- [Edge2 のアクティベーション キー (ActivationKey for Edge2)]:手順 3 のアクティベーション キーを貼り付けます。
- [BGP ASN]:VMware SD-WAN Orchestrator の仮想 Edge で設定される ASN。次の ASN は Azure または IANA によって予約されています。
- Azure によって予約されている ASN:
- パブリック ASN:8074、8075、12346。
- プライベート ASN:65515、65517、65518、65519、65520。
- IANA によって予約されている ASN:
- 23456、64496-64511、65535-65551、429496729。
- Azure によって予約されている ASN:
- [ClusterName]:展開に対する一意の名前を入力します。#、@、_、- などの特殊文字は使用できません。
- すべての必須フィールドを入力したら、[表示して作成 (Review + create) ] をクリックします。
- 展開プロセスが開始され、完了するまでに約 10 ~ 15 分かかります。展開が完了すると、仮想 Edge が接続され、Orchestrator に対してアクティベーションされます。
- すべての仮想 Edge が Orchestrator に接続されたら、仮想 Edge が Azure Virtual WAN ハブに接続できるように、スタティック ルートと BGP ネイバーを設定する必要があります。
- スタティック ルートの設定 (Configure Static Routes):各仮想 Edge のそれぞれの GE2 インターフェイスを参照する一意のルートが存在するように、十分な数の /32 スタティック ルートを追加します。スタティック ルートを追加するには、Orchestrator に[ネクスト ホップ IP アドレス]が必要です。Orchestrator のリモート診断 UI ページでリモート診断の「インターフェイス ステータス」テストを実行して、ネクスト ホップ IP アドレスを取得します。GE2 に割り当てられたサブネットの最初の IP アドレスを選択し、ネクスト ホップとして設定します。
次の図は、GE2 に 10.101.112.6/25 として割り当てられた IP アドレスを示しています。このサブネットの最初の IP アドレスは 10.101.112.1 で、Orchestrator でスタティック ルートを設定するために使用されます。
[テストとトラブルシューティング (Test & Troubleshoot)] > [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Statu)] 診断テストからの出力は次のとおりです。
次のスクリーンショットに示すように、Edge で 2 つのスタティック ルートが BGP ネイバーに到達するように設定されています。
- BGP ネイバーの設定 (BGP Neighbor Configuration):次の図に示すように、各 Virtual Edge の BGP ネイバーを設定します。BGP ネイバーの IP アドレスと、手順 7 の情報メッセージに表示されている ASN 番号を使用します。
スタティック ルートと BGP ネイバーシップが設定されると、仮想 Edge は Azure Virtual WAN Hub からのルートの学習を開始することになります。BGP ネイバーシップの状態は、[監視 (Monitor)] > [ネットワーク サービス (Network Services)] で確認できます。
- スタティック ルートの設定 (Configure Static Routes):各仮想 Edge のそれぞれの GE2 インターフェイスを参照する一意のルートが存在するように、十分な数の /32 スタティック ルートを追加します。スタティック ルートを追加するには、Orchestrator に[ネクスト ホップ IP アドレス]が必要です。Orchestrator のリモート診断 UI ページでリモート診断の「インターフェイス ステータス」テストを実行して、ネクスト ホップ IP アドレスを取得します。GE2 に割り当てられたサブネットの最初の IP アドレスを選択し、ネクスト ホップとして設定します。
- (オプション)仮想 Edge をクラスタに追加します。[設定 (Configure)] > [ネットワーク サービス (Network Services)] > [Edge クラスタ (Edge Cluster)] の順に移動して、新しいクラスタ ハブを作成し、仮想 Edge をクラスタに追加します。
- (オプション)仮想ネットワーク (vNET) との仮想ネットワーク接続を vHub に追加するには、[Azure vWAN (Azure vWAN)] > [接続 (Connectivity)] > [仮想ネットワーク接続 (Virtual network connections)] の順に移動します。
[接続の追加 (Add Connection)] をクリックし、接続名、Hub、サブスクリプション、およびリソース グループを入力します。Hub に接続する必要がある vNET および関連するルート テーブルを選択します。たとえば、これは vNET の「デフォルト」ルート テーブルです。 vWAN NVA Edge の場合、イメージは 2 NIC のデプロイです。つまり、GE1 インターフェイスは「管理」インターフェイスとして使用されません。これは、vWAN NVA イメージに対して固有です。cloud_initで、「management_interface」フラグを「False」に設定します。
#cloud-config password: Velocloud123 chpasswd: { expire: False } ssh_pwauth: True velocloud: vce: management_interface: false vco: $vco activation_code: $velo2_token vco_ignore_cert_errors: $velo_ignore_cert_errors
他のすべてのクラウド Edge では、GE1 インターフェイスは「管理」インターフェイスとして割り当てられ、データ トラフィックには使用できません。
注: Azure vWAN Hub ルーターが「クラウド サービス インフラストラクチャ」で作成されているカスタマーについては、「 Azure vWAN NVA として展開された VMware SD-WAN Edge のハブのアップグレード手順」を参照してください。