分析機能は VMware SD-WAN Edge にネイティブに組み込まれており、データをインラインで収集できます。ただし、デフォルトでは、Edge の分析は無効になっています。エンタープライズ管理者は、分析機能が有効になっている場合にのみ、分析 Edge を作成できます。

分析機能付きの新しい SD-WAN Edge を作成するには、次の手順を実行します。

前提条件

  • 分析を有効にするために必要なすべてのシステム プロパティが SASE Orchestrator で適切に設定されていることを確認します。詳細については、『VMware SD-WAN オペレータ ガイド』の「VMware SASE Orchestrator での VMware Edge Network Intelligence のアクティブ化」を参照するか、オペレータ スーパーユーザーにお問い合わせください。
  • 分析 Edge をプロビジョニングする前に、カスタマーの分析機能が有効になっていることを確認します。
    注: 詳細については、『 VMware Edge Network Intelligence 設定ガイド』を参照してください。この文書は https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。
  • SASE Orchestrator が 5.0.1.0 で、SD-WAN Edge が 4.3.1 以降のコードを実行していること。エンタープライズ ポータルの [SD-WAN] サービスで各 Edge にインストールされているソフトウェア イメージを確認するには、[設定 (Configure)] > [Edge (Edges)] に移動します。[Edge (Edges)] ページの表は、カスタマーごとの Edge のソフトウェア バージョンを示す列で構成されます。
  • Edge が 4.2 リリースを使用している場合は、Edge に稼動中で広報済みの LAN インターフェイスがあるか、特別な MGMT-IP ソフトウェア ビルドを使用していることを確認します。そうでない場合、Edge は ENI バックエンドにメトリックを送信できません。

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [Edge (Edges)] の順にクリックします。
  2. [Edge (Edges)] 画面で、[Edge の追加 (Add Edge)] をクリックします。
    [Edge のプロビジョニング (Provision an Edge)] 画面が表示されます。
  3. 次のオプションを設定できます。
    オプション 説明
    モード (Mode) モードを選択します。
    • [SD-WAN Edge (SD-WAN Edge)]:監視、診断、および設定機能を使用できます。これには、Edge でインシデントが発生した際にアラートを発することができる、障害隔離とアプリケーション固有の分析が含まれます。
    • [分析が有効な SD-WAN Edge (SD-WAN Edge with Analytics Enabled)]:Edge のすべての分析とブランチ分析機能のフルスイートにアクセスできます。
    • [分析専用 Edge (Analytics Only Edge)]:LAN の健全性、パフォーマンス、セキュリティを監視し、問題のトラブルシューティングを行うことができます。
      注: [SD-WAN Edge] に戻すには、Edge を削除して再設定する必要があります。
    名前 (Name) Edge の一意の名前を入力します。
    モデル (Model) ドロップダウン メニューから Edge モデルを選択します。
    プロファイル (Profile) ドロップダウン メニューから、Edge に割り当てるプロファイルを選択します。新規プロファイルを作成する方法については、プロファイルの作成を参照してください。
    注: Edge の自動アクティベーションによって [Edge ステージング プロファイル]が表示される場合、そのプロファイルは新しく割り当てられた Edge で使用されますが、本番プロファイルで設定されたものではないことを示します。
    Edge ライセンス (Edge License) ドロップダウン メニューから Edge ライセンスを選択します。リストには、オペレータによってエンタープライズに割り当てられているライセンスが表示されます。
    認証

    ドロップダウン メニューから認証モードを選択します。

    • [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
      注意: このモードは、カスタマーの展開には推奨されません。
    • [証明書の取得 (Certificate Acquire)]:このモードはデフォルトで選択されています。すべてのカスタマー展開に推奨されます。[証明書の取得 (Certificate Acquire)] モードでは、証明書が Edge アクティベーション時に発行され、自動的に更新されます。キー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SASE Orchestrator の認証局から証明書を取得するように、Orchestrator は Edge に指示します。証明書を取得すると、Edge は、SASE Orchestrator への認証および VCMP トンネルの確立に証明書を使用します。
      注: 証明書を取得した後、必要に応じてオプションを [証明書が必要 (Certificate Required)] に更新することができます。
    • [証明書が必要 (Certificate Required)]:このモードは、「静的」であるカスタマー エンタープライズにのみ適切です。静的なエンタープライズは、展開される新しい Edge の数が少なく、新しい PKI 指向の変更がないことが予想されるエンタープライズとして定義されます。
      重要: [証明書が必要 (Certificate Required)] には、 [証明書の取得 (Certificate Acquire)] に比べてセキュリティ上のメリットはありません。両方のモードは同等にセキュアで、 [証明書が必要 (Certificate Required)] を使用するカスタマーは、このセクションに記載されている理由でのみ使用する必要があります。
      [証明書が必要 (Certificate Required)] モードでは、有効な証明書がなければ Edge ハートビートは受け入れられません。
      注意: このモードを使用すると、カスタマーがこの厳密な適用を認識していない場合は Edge 障害が発生する可能性があります。
      このモードでは、Edge は PKI 証明書を使用します。オペレータは、Orchestrator のシステム プロパティを編集して証明書更新時間枠を変更できます。詳細については、オペレータにお問い合わせください。
    注:
    • Bastion Orchestrator 機能を有効にした場合は、Bastion Orchestrator にステージングされる Edge の認証モードが [証明書の取得 (Certificate Acquire)] または [証明書が必要 (Certificate Required)] のいずれかに設定されている必要があります。
    • Edge 証明書が失効すると、Edge のアクティベーションが解除され、アクティベーション プロセスを実行する必要があります。現在の QuickSec 設計では、証明書失効リスト (CRL) の有効期間がチェックされます。新しく確立された接続に CRL の影響が及ぶようにするには、CRL の有効期間が Edge の現在の時刻と一致する必要があります。このためには、Orchestrator の時刻を Edge の日付と時刻に合わせて適切に更新する必要があります。
    デバイス シークレットの暗号化 Edge がすべてのプラットフォームで機密データを暗号化できるようにするには、[有効 (Enable)] チェック ボックスをオンにします。このオプションは、Edge の [概要 (Overview)] ページでも使用できます。詳細については、Edge 情報の表示を参照してください。
    注: Edge バージョン 5.2.0 以降では、このオプションを無効にする前に、リモート アクションを使用して Edge をアクティベーション解除する必要があります。これにより、Edge が再起動します。
    高可用性 (High Availability) 高可用性 (HA) を適用するには、[有効 (Enable)] チェック ボックスをオンにします。Edge は、単一のスタンドアローン デバイスとしてインストールすることも、別の Edge とペアリングして高可用性 (HA) サポートを提供することもできます。HA の詳細については、高可用性展開モデルセクションを参照してください。
    ローカルの連絡先氏名 Edge のサイト連絡先の氏名を入力します。
    ローカルの連絡先 E メール Edge のサイト連絡先のメール アドレスを入力します。
  4. 必要なすべての詳細を入力し、[次へ (Next)] をクリックして次の追加オプションを設定します。
    注: [次へ (Next)] ボタンは、すべての必須項目を入力した場合にのみ有効になります。
    オプション 説明
    シリアル番号 (Serial Number) Edge のシリアル番号を入力します。指定されている場合、Edge はこのシリアル番号をアクティベーション時に表示する必要があります。
    注: AWS Edge に仮想 VMware SD-WAN Edge をデプロイする場合は、Edge のシリアル番号としてインスタンス ID を使用してください。
    説明 適切な説明を入力します。
    場所 (Location) [場所を設定 (Set Location)] リンクをクリックして、Edge の場所を設定します。指定しない場合、Edge のアクティベーション時に IP アドレスから場所が自動検出されます。
  5. [Edge の追加 (Add Edge)] をクリックします。
    選択したカスタマーの分析 Edge がプロビジョニングされます。Edge がプロビジョニングされると、分析機能によってデータが収集され、すべてのトラフィックの詳細なパケット インスペクションが実行され、ネットワーク アプリケーションが識別され、トラフィックがユーザー情報と関連付けられます。

次のタスク

収集した分析データをクラウド分析エンジンに送信するには、Edge が分析データを転送する分析インターフェイスを設定する必要があります。詳細については、Edge での分析設定の実行を参照してください。

で入手できます。