VMware SASE Orchestrator 経由での Azure vWAN NVA の自動展開を使用するには、次の手順を実行します。

手順

  1. Orchestrator で、マルチクラウド サービス (MCS) アカウントが有効になっていることを確認します。これは、次のシステム プロパティを調べることで確認できます。
    • session.options.enableMcsServiceAccount
    • vco.system.configuration.data.mcsNginxRedirection
    注: EdgeOps チームに連絡して、Orchestrator の MCS アカウントを有効にします。
  2. エンタープライズ ユーザーの場合、MCS アカウントが有効になると、Orchestrator ユーザー インターフェイスの上部にある [[サービス (Services)]] ドロップダウン メニューから [クラウド ハブ (Cloud Hub)] をクリックして、MCS サービスにアクセスできます。
    [クラウド ハブ (Cloud Hub)] サービス ページが表示されます。
  3. vWAN HUB ネットワークに NVA Edge を展開するには、次の 2 つの手順を実行します。
    1. 新しい認証情報の作成
    2. 新規クラウド ハブの作成
  4. 新しい認証情報を作成するには、[設定 (Configure)] > [認証情報 (Credential)] > [新しい認証情報 (New Credential)] の順にクリックします。必要なすべての詳細を入力し、[作成 (Create)] をクリックします。
    フィールド 説明
    名前 (Name) Azure 認証情報の固有の名前を入力します。
    クラウド プロバイダ (Cloud Provider) クラウド プロバイダとして [Azure] を選択します。
    クライアント ID (Client ID) Azure サブスクリプションのクライアント ID を入力します。
    テナント ID (Tenant ID) Azure ポータルの Azure Active Directory (AD) テナントの ID。サブスクリプションが属するテナント ID を入力します。
    クライアント シークレット (Client Secret) Azure サブスクリプションのクライアント シークレットを入力します。
    サブスクリプション ID (Subscription ID) Azure ポータルのサブスクリプションの ID。仮想 Edge を展開するために作成された Virtual WAN Hub を持つ Azure サブスクリプション ID を入力します。

    Azure ポータルでサブスクリプションの ID を取得する方法の詳細については、新しい Azure Active Directory (Azure AD) アプリケーションとサービス プリンシパルを作成する方法を参照してください。

    CloudHub 機能に必要なリソースにのみアクセスできるように、カスタマーは以下の権限 (JSON) を持つカスタム ロールを作成することをお勧めします。 
    "permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operations/read",
"Microsoft.Network/virtualWans/read",
"Microsoft.Network/virtualWans/join/action",
"Microsoft.Network/virtualWans/virtualHubs/read",
"Microsoft.Network/virtualHubs/read",
"Microsoft.AzureStack/linkedSubscriptions/linkedResourceGroups/linkedProviders/virtualNetworks/read",
"Microsoft.Network/networkVirtualAppliances/delete",
"Microsoft.Network/networkVirtualAppliances/read",
"Microsoft.Network/networkVirtualAppliances/write",
"Microsoft.Network/networkVirtualAppliances/getDelegatedSubnets/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
"Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
  5. 新規クラウド ハブを作成するには、次の手順を実行します。
    注: クラウド ハブ ワークフローは、新しいプロファイルに対してのみテストされます。そのため、vWAN HUB ネットワークに NVA Edge を展開する前に、新しいプロファイルを作成することをお勧めします。
    1. [設定 (Configure)] > [ワークフロー (Workflow)] に移動し、[新規クラウド ハブ (New Cloud Hub)] をクリックします。
      [クラウド認証情報 (Cloud Credentials)] ページが表示されます。
    2. クラウド認証情報の必要なすべての詳細を入力し、[次へ (Next)] をクリックします。
      フィールド 説明
      クラウド プロバイダ (Cloud Provider) クラウド プロバイダとして [Azure] を選択します。
      Azure 接続オプション (Azure Connectivity Options) ハブと vNet 間の接続オプションとして [Azure vWAN での NVA としての仮想 Edge の展開 (Deploy Virtual Edge as an NVA in Azure vWAN)] を選択します。
      クラウドのサブスクリプション (Cloud Subscription) 既存のクラウド サブスクリプションを使用するか、[新規作成 (Create New)] オプションをクリックして新しいサブスクリプション作成できます。

      [vWAN および vHUB のオプション (vWAN and vHUB Options)] ページが表示されます。

    3. vWAN、vHUB を選択し、必要なすべての詳細を指定して、Virtual Azure NVA Edge を(一意の名前で)プロビジョニングします。
      フィールド 説明
      リソース グループ (Resource Group) Azure 側で作成したリソース グループを選択します。
      vWAN Azure 側で作成した Virtual WAN を選択します。
      vHUB の選択 (Choose vHUB)
      リージョン (Region) Virtual WAN Hub を展開するリージョンを選択します。仮想 Edge は、その Virtual WAN Hub に展開されます。
      vHub 仮想 SD-WAN Edge を展開する Virtual WAN Hub を選択します。
      アドレス空間 (Address Space) ハブのアドレス範囲(CIDR 表記)。ハブを作成するための最小アドレス空間は /24 です。
      ワークフロー名 (Workflow Name) Virtual WAN Hub のワークフロー名を入力します。
      Edge ネットワークの作成 (Create Edge Networking)
      NVA 名 (NVA Name) ネットワーク仮想アプライアンス (NVA) Edge デバイスの一意の名前を入力します。
      NVA バージョンの選択 (Select NVA Version) NVA バージョンを選択します。
      Edge クラスタ名 (Edge Cluster Name) Edge クラスタの一意の名前を入力します。
      スケール単位 (Scale Units) Edge のペアがスピンアップします。スケール単位は 2、4、または 10 で、Azure インスタンス タイプにマッピングされます。
      プロファイルの選択 (Select Profile) 仮想 Edge を関連付けるプロファイルを選択します。
      注: Azure vWAN Hub に Azure vWAN NVA Edge を展開する前に、既存のプロファイルを使用するか、新しいプロファイルを作成できます。
      Edge ライセンス (Edge License) 仮想 Edge に関連付けられている Edge ライセンスを選択します。
      連絡先氏名 (Contact Name) 連絡先氏名を入力します。
      連絡先の E メール (Contact Email) 連絡先の E メール ID を入力します。
      BGP ASN VMware SASE Orchestrator の仮想 Edge で設定される ASN 値を入力します。
      注: Azure によって予約されている ASN:
      • パブリック ASN:8074、8075、12346。
      • プライベート ASN:65515、65517、65518、65519、65520。
    4. [完了 (Finish)] をクリックします。新しく作成されたクラウド ハブが [ワークフロー (Workflow)] ページに表示されます。
    5. [詳細 (Detail)] 列で [表示 (View)] をクリックして、選択したクラウド ハブのイベントの詳細を表示します。
      注: 現在、クラウド ハブ サービスに個別の [監視 (Monitor)] ページはありません。SD-WAN サービスの [監視 (Monitor)] ページを使用して、Edge のアクションと状態を確認できます。
  6. SD-WAN サービス ポータルで、[監視 (Monitor)] > [Edge (Edges)] の順にクリックして、クラウド ハブ自動化サービスでプロビジョニング/展開した Virtual Azure NVA Edge が接続されていることを確認します。
  7. 展開された Virtual Azure NVA Edge の BGP セッションが確立されているかどうかを確認するには、[監視 (Monitor)] > [ルーティング (Routing)] の順にクリックします。
    重要: 仮想 Edge が作成されたら、 [設定 (Configure)] > [Edge (Edges)] > [ファイアウォール (Firewall)] > [Edge アクセス (Edge Access)] > [次の IP アドレスを許可 (Allow the following IPs)] フィールドに IP アドレス「168.63.129.16」を追加して、各仮想 Edge の IP アドレスを設定します。
    注: この設定は、多くの仮想 Edge またはすべての仮想 Edge で使用されるプロファイルで実行できるため、個々の仮想 Edge ごとに設定を行う必要はありません。

    この IP アドレス設定の詳細については、https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16 を参照してください。