VMware Partner Gateway の 3.3.2 または 3.4 から 4.0 へのアップグレードと移行

このドキュメントでは、VMware Partner Gateway を 3.3.2 または 3.4 リリースから 4.0 リリースにアップグレードする方法について説明します。

4.0 リリースの SD-WAN Gateway アプライアンスには、次の変更が含まれています。

LVM ベースの新しいシステムディスクレイアウトにより、ボリューム管理の柔軟性を向上
新しいカーネルバージョン
新規およびアップグレードされた基本 OS パッケージ
Center for Internet Security ベンチマークに基づくセキュリティ強化の向上

4.0 リリースの SD-WAN Gateway アプライアンスには、次のシステム変更が含まれています。

https://netplan.io/ のため、ifupdown は廃止されました
- ifup と ifdown は使用できなくなりました
- ネットワーク設定が /etc/network/ ではなく、/etc/netplan にあります
- etc/network/ifup.d および /etc/network/ifdown.d は動作しなくなりました。network-dispatcher の場所は、/usr/lib/networkd-dispatcher（dormant.d、no-carrier.d、off.d、routable.d）を使用する必要があります
cloud-init の大幅な変更。cloud-init の展開スクリプトの互換性を確認し、テストする必要があります
net-tools（ifconfig、netstat など）は「廃止」とみなされ、今後のバージョンでは削除される可能性があります

ネットワーク設定

https://netplan.io/ のため、ifupdown は廃止されました。ネットワーク設定が /etc/network から/etc/netplan に移動しました。

ネットワーク設定の例（スペースは重要です）- /etc/netplan/50-cloud-init.yaml：

network: 
  version: 2 
  ethernets: 
    eth0:
      addresses: 
        - 192.168.151.253/24 
      gateway4: 192.168.151.1
      nameservers: 
        addresses:
          - 8.8.8.8 
          - 8.8.4.4 
        search: [] 
      routes: 
        - to: 192.168.0.0/16
          via: 192.168.151.254
          metric: 100

     eth1:
      addresses: 
        - 192.168.152.251/24 
      gateway4: 192.168.152.1
      nameservers: 
        addresses: 
          - 8.8.8.8 
        search: []

起動するたびにネットワーク設定が再生成されます。位置設定を変更するには、cloud-init ネットワーク設定を無効にします。

echo 'network: {config: disabled}' > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg

cloud-init

cloud-init がバージョン 20.2 にアップグレードされました。cloud-init の詳細については、https://cloudinit.readthedocs.io/en/stable/index.htmlを参照してください。

[例 1：簡易]

meta-data：

instance-id: vcg1

local-hostname: vcg1

user-data：

#cloud-config 
hostname: vcg1 
password: Velocloud123
chpasswd: {expire: False} 
ssh_pwauth: True

[例 2：新スタイルのネットワーク設定（network-config ファイル）]

meta-data：

instance-id: vcg1 
local-hostname: vcg1

user-data：

#cloud-config
hostname: vcg1
password: Velocloud123
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - ssh-rsa  …  rsa-key

velocloud: 
  vcg: 
    vco: demo.velocloud.net 
    activation_code: F54F-GG4S-XGFI 
    vco_ignore_cert_errors: false 

runcmd:
  - 'echo “Welcome to VeloCloud”'

network-config の例 1：

version: 2
ethernets:
  eth0:
    addresses: 
      - 192.168.152.55/24
    gateway4: 192.168.152.1
    nameservers: 
      addresses:
        - 192.168.152.1 
  eth1:
    addresses:
      - 192.168.151.55/24
    gateway4: 192.168.151.1
    nameservers: 
      addresses:
        - 192.168.151.1

network-config の例 2：

注：Gateway に複数のインターフェイスがあり、デフォルトゲートウェイの優先インターフェイスとしてインターフェイスを選択する必要がある場合は、次の設定（メトリック値を使用）を使用して正しいインターフェイスを選択できます。

version: 2
ethernets:
eth0:
  addresses: [192.168.82.1/24]
eth1:
  addresses: [70.150.1.1/24]
  routes:
  - {metric: 1, to: 0.0.0.0/0, via: 70.150.1.254}
eth2:
  addresses: [70.155.1.1/24]
  routes:
  - {metric: 2, to: 0.0.0.0/0, via: 70.155.1.254}

net-tools

ifconfig、netstat、route などの net-tools ユーティリティは「廃止」とみなされます。net-tools が推奨する代替コマンドを下の表に示します。これらのコマンドは、Linux ホストの情報のみを表示し、SD-WAN オーバーレイネットワークの情報は表示しません。[注：]詳細については、「man ip」と入力してください。


従来の net-tools ユーティリティ	対応する新しい net-tools ユーティリティ
arp	ip n (ip neighbor)
ifconfig	ip a (ip addr)、ip link、ip -s (ip -stats)
nameif	ip link、ifrename
netstat	ss、ip route（netstat-r の場合）、ip -s link（netstat -i の場合）、ip maddr（netstat-g の場合）
ルート	ip r (ip route)

[net-tools ユーティリティのサンプルコマンド出力]

サンプル出力は、コマンドが正常に実行されたことの確認です。ip n (ip neighbor)、ip a (ipaddr)、ip link のサンプルコマンド出力は次のとおりです。

[ip n (ip neighbor)：]

root@SS-gateway-1:~# ip n 
192.168.0.100 dev eth2 lladdr 00:50:56:84:85:d4 REACHABLE 
192.168.0.250 dev eth2 lladdr 00:50:56:84:97:66 REACHABLE 
13.1.1.2 dev eth0 lladdr 00:50:56:84:e7:fa REACHABLE 
root@SS-gateway-1:~#

[ip a (ipaddr)：]

root@SS-gateway-1:~# ip a 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
    inet 127.0.0.1/8 scope host lo 
       valid_lft forever preferred_lft forever 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
    inet 13.1.1.1/24 brd 13.1.1.255 scope global eth0 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a009/64 scope link 
       valid_lft forever preferred_lft forever 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
    inet 101.101.101.1/24 brd 101.101.101.255 scope global eth1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:a6ab/64 scope link 
       valid_lft forever preferred_lft forever 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
    inet 192.168.0.201/24 brd 192.168.0.255 scope global eth2 
       valid_lft forever preferred_lft forever 
    inet6 fe80::250:56ff:fe84:bc75/64 scope link 
       valid_lft forever preferred_lft forever 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 4096 
    link/none 
    inet 169.254.129.1/32 scope global gwd1 
       valid_lft forever preferred_lft forever 
    inet6 fe80::27d5:9e46:e7f7:7198/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever 
root@SS-gateway-1:~#

[ip link]

root@SS-gateway-1:~# ip link 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 4096 
    link/ether 00:50:56:84:a0:09 brd ff:ff:ff:ff:ff:ff 
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:a6:ab brd ff:ff:ff:ff:ff:ff 
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 
    link/ether 00:50:56:84:bc:75 brd ff:ff:ff:ff:ff:ff 
6: gwd1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 4096 
    link/none 
root@SS-gateway-1:~#

アップグレードに関する注意事項

注：次の手順は、4.0 リリースでデプロイされた新しい SD-WAN Gateway に同じ IP アドレスと SD-WAN Gateway 名を保持することを前提としています。ただし、異なる IP アドレスを持つ新しい SD-WAN Gateway を作成する場合は、新しい SD-WAN Gateway の手順を実行できます。

ディスクレイアウトやシステムファイルは大幅に変更されているため、古いリリースから 4.0 リリースへのインプレースアップグレードは実行できません。移行するには、新しい 4.0 SD-WAN Gateway システムをデプロイし、古いコードを実行するシステムを廃止する必要があります。

既知のパブリック IP アドレスを持つ VPN SD-WAN Gateway または NAT SD-WAN Gateway の場合、SD-WAN Gateway のパブリック IP アドレスを保持する必要がある場合は、次の手順に従ってください。

[手順：（既知のパブリック IP アドレスを持つ VPN または NAT ] SD-WAN Gateway [）]

4.0 リリースのイメージに基づいて、新しい SD-WAN Gateway システムを起動します。詳細については、使用しているプラットフォームのデプロイガイドを参照してください（Gateway のインストール手順）。
古い SD-WAN Gateway システムをシャットダウンします。CLI コンソールで “sudo poweroff” コマンドを実行するか、または利用可能なハイパーバイザーオプションからパワーオフして、古い SD-WAN Gateway 仮想マシンを停止します。
新しい SD-WAN Gateway システムを参照するように NAT レコードを更新するか、新しい SD-WAN Gateway ネットワークインターフェイスでパブリック IP アドレスを設定して、パブリック IP アドレスを新しいシステムに移行します。前の SD-WAN Gateway と同じ IP アドレスを使用して、上記の cloud-int の例を使用して新しい Gateway をデプロイします。
次の手順に従って、SASE Orchestrator の既存の SD-WAN Gateway レコードからアクティベーションキーを取得します。
1. SASE Orchestrator から、[Gateway 管理 (Gateway Management)] > [Gateway (Gateways)] に移動します。
2. [Gateway (Gateways)] 画面で、アクティベーションキーを取得する SD-WAN Gateway を選択し、Gateway 名の前にある右矢印をクリックします。
3. 情報ボックスが展開され、下の図に示すようにアクティベーションキーが下部に表示されます。
次の図に示すように、システムプロパティ「gateway.activation.validate.deviceId」を「False」に設定します。詳しい情報が必要な場合は、『VMware SD-WAN オペレータガイド』のシステムプロパティのセクションを参照してください。
CLI コンソールから “sudo /opt/vc/bin/activate.py -s <vco_address> <activation_code>” を実行して、新しい SD-WAN Gateway システムを再度アクティベーションします。
システムプロパティ「gateway.activation.validate.deviceId」を元の値に戻します（必要に応じて）。
SD-WAN Gateway が登録され、Edge から接続を受信できるようになりました。

注： SD-WAN Gateway の再アクティベーションは、このドキュメントの「ユーザーデータ」セクションに記載されているように、cloud-int を介して実行できます。

[アクティベーションのサンプル出力]

root@gateway/opt/vc# /opt/vc/bin/activate.py FLM6-CSV6-REJS-XFR5 -i -s 169.254.8.2

Activation successful, VCO overridden back to 169.254.8.2 root@SS1-gateway-2:/opt/vc#

既知のパブリック IP アドレスを持たない SD-WAN Gateway

このセクションは、VPN SD-WAN Gateway などの既知のパブリック IP アドレスを持たない SD-WAN Gateway のみを対象としています。このシナリオが適用される場合は、次の手順を実行します。

[手順：（既知のパブリック IP アドレスを持たない ] SD-WAN Gateway [）]

新しい SD-WAN Gateway システムを起動します。必要な場合は、使用しているプラットフォームのデプロイガイドを参照してください（Gateway のインストール手順）。
新しい SD-WAN Gateway システムをアクティベーションします。
新しい SD-WAN Gateway を SASE Orchestrator SD-WAN Gateway プールに追加します。詳細については、『VMware SD-WAN オペレータガイド』のGateway 管理のセクションを参照してください。
1. SD-WAN Gateway が登録され、Edge から接続を受信できるようになりました。
古い SD-WAN Gateway を SASE Orchestrator SD-WAN Gateway プールから削除します。詳細については、『VMware SD-WAN オペレータガイド』のGateway 管理のセクションを参照してください。
古い SD-WAN Gateway 仮想マシンを廃止します。（SD-WAN Gateway レコードを SASE Orchestrator から削除し、仮想マシンインスタンスを廃止します。）

API 経由での Gateway のアクティベーションキーの取得

API メソッドを使用してデプロイするには、「network/getNetworkGateways」コマンドを使用します。

[応答の例：]

{"jsonrpc":"2.0","result":[{"id":1, "activationKey":"69PX-YHY2-N5PZ-G3UW …

データプレーンでのハンドオフインターフェイスの設定

データプレーンでハンドオフインターフェイスを設定するには、「インストール後の作業」を参照してください。