新しい Gateway を作成すると、[Gateway の設定 (Configure Gateways)] ページに自動的にリダイレクトされ、Gateway のプロパティ設定とその他の追加設定を行えます。

注: 設定できるのは、パートナー ユーザーが作成した Gateway またはオペレータが作成したパートナー管理 Gateway のみです。

既存の Gateway を設定するには、次の手順を実行します。

手順

  1. SASE Orchestrator のパートナー ポータルで、[Gateway 管理 (Gateway Management)] タブをクリックし、左側のナビゲーション ペインで [Gateway (Gateways)] に移動します。
    [Gateway (Gateways)] ページに、使用可能な Gateway のリストが表示されます。
  2. 追加設定する必要がある Gateway へのリンクをクリックします。選択した Gateway の詳細は、[設定 (Configure)] > [Gateway (Gateways)] ページに表示されます。
  3. [概要 (Overview)] タブで、次の詳細を設定できます。
    フィールド 説明
    プロパティ (Properties) 選択した Gateway の既存の名前と説明を表示します。必要に応じて、情報を変更できます。
    必要に応じて、Gateway のロールを設定することもできます。
    • [データ プレーン (Data Plane)] - Gateway をデータ プレーンで動作させることができます。デフォルトでは選択されています。
    • [制御プレーン (Control Plane)] - Gateway を制御プレーンで動作させることができます。デフォルトでは選択されています。
    • [セキュア VPN Gateway (Secure VPN Gateway)] - Gateway を使用して Non SD-WAN Destination への IPsec トンネルを確立するには、このオプションを選択します。
    • [Partner Gateway] - Gateway が Edge の Partner Gateway として割り当てられるようにするには、このチェックボックスをオンにします。このオプションをオンにする場合は、[Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)] セクションで追加の設定を行います。
    • [CDE] - Gateway を CDE (Cardholder Data Environment) モードで動作させることができます。PCI トラフィックの送信を必要とするカスタマーに Gateway を割り当てるには、このオプションを選択します。
    • [クラウド間相互接続 (Cloud-to-Cloud Interconnect)] - SD-WAN Gateway でクラウド間相互接続 (CCI) トンネルを有効化するオプションを選択します。
      注: この Gateway ロール オプションは、 session.options.enableZscalerCci システム プロパティが True に設定されている場合に表示されます。
    • [Cloud Web Security]:スーパー ユーザーまたは標準ロールを持つパートナー ユーザーが、Cloud Web Security (CWS) ロールの SD-WAN Gateway を設定できるようにします。詳細については、https://docs.vmware.com/jp/VMware-Cloud-Web-Security/index.htmlで公開されている『VMware SD-WAN Cloud Web Security 設定ガイド』を参照してください。
    状態 (Status) 次の詳細を設定できます。
    • [状態 (Status)] - Orchestrator に送信された定期的なハートビートの成功または失敗を反映した Gateway の状態を表示します。次のような状態があります。
      • [接続中 (Connected)] - Gateway は Orchestrator に正常にハートビートを送信しています。
      • [劣化 (Degraded)] - Orchestrator は 1 分以上 Gateway からハートビートを受け取っていません。
      • [オフライン (Offline)] - Orchestrator は 2 分以上 Gateway からハートビートを受け取っていません。
    • [サービスの状態 (Service State)] - 次の使用可能なオプションから Gateway のサービス状態を選択します。
      • [サービス中 (In Service)] - Gateway が接続され、プライマリまたはセカンダリ トンネルの割り当てに使用できます。Gateway のサービスの状態が「サービス停止中 (Out Of Service)」から「サービス中 (In Service)」状態に切り替わると、プライマリまたはセカンダリの割り当て、Super Gateway、Edge 間ルートは、Gateway を使用する各エンタープライズに対して再計算されます。
      • [サービス保留中 (Pending Service)] - Gateway が接続され、トンネルの割り当ては保留中です。
      • [サービス停止中 (Out of Service)] - Gateway が接続されていないか、割り当てに使用できません。既存のすべての割り当てが削除されます。
      • [停止 (Quiesced)] - Gateway サービスは停止または一時停止しています。Gateway に新しいトンネルまたは NSD サイトを追加することはできません。ただし、既存の割り当ては引き続き Gateway に残ります。この状態は、バックアップまたはメンテナンスの目的で選択します。
        注: [停止 (Quiesced)] および [サービス停止中 (Out of Service)] の状態は、Cloud Gateway の展開にのみ適用されます。

        サービスの状態が [停止 (Quiesced)] の場合、Orchestrator には、オペレータのサポートなしで既存の Gateway から新しい Gateway に移行できるセルフサービス移行機能が用意されています。

        詳細については、停止された Gateway の移行を参照してください。

        注: セルフサービス移行は、Partner Gateway ではサポートされていません。
    • [接続された Edge (Connected Edges)] - Gateway に接続されている Edge の数を表示します。このオプションは、Gateway が有効になっている場合にのみ表示されます。
    • [Gateway 認証モード (Gateway Authentication Mode)] - 次の使用可能なオプションから Gateway の認証モードを選択します。
      • [証明書は不要 (Certificate Deactivated)] - Gateway は認証の事前共有キー モードを使用します。
      • [証明書の取得 (Certificate Acquire)] - このオプションはデフォルトで選択されており、Gateway にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SASE Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Gateway は、証明書を使用して SASE Orchestrator に認証し、VCMP トンネルを確立します。
        注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
      • [証明書が必要 (Certificate Required)] - Gateway は PKI 証明書を使用します。オペレータは、システム プロパティ gateway.certificate.renewal.window を使用して Gateway の証明書更新時間枠を変更できます。
      注: Gateway 証明書が失効すると、Gateway は TLS 接続をすぐに失うため、証明書失効リスト (CRL) を受信しません。ただし、Gateway は動作可能です。
      注: 現在の QuickSec 設計では、CRL の有効期間がチェックされます。新しく確立された接続に CRL の影響が及ぶようにするには、CRL の有効期間が Edge の現在の時刻と一致する必要があります。これを実装するには、Orchestrator の時刻を Edge の日付と時刻に合わせて適切に更新する必要があります。
    • [IP アドレス (IP Addresses)] - Edge のパブリック WAN リンクが Gateway への接続に使用するパブリック IP アドレスを表示します。この IP アドレスは、Gateway を一意に識別するために使用されます。Gateway を IPv4 アドレスと IPv6 アドレスの両方で設定している場合、このフィールドには両方の IP アドレスが表示されます。

      IPv4 専用 Gateway を作成した場合、または以前のバージョンからアップグレードされた既存の IPv4 Gateway がある場合は、IPv6 アドレスを入力してデュアル スタックをサポートできます。変更を保存した後、IPv6 アドレスはすぐに Edge に送信されません。再調整の操作をトリガして IPv6 アドレスをカスタマーおよび関連付けられた Edge に手動でプッシュすることができます。プッシュしない場合、次回の制御プレーンの更新中に IPv6 アドレスが Edge に送信されます。

      注: IPv6 アドレスの追加は 1 回限りのアクティビティであり、変更を保存すると IP アドレスを変更することはできません。
      注意: 誤って設定された IPv6 アドレスが Edge にプッシュされると、IPv6 Gateway への IPv6 トンネリングが失敗することがあります。このような場合は、Gateway を無効にして新しい Gateway を作成し、IPv4 アドレスと IPv6 アドレスの両方を有効にする必要があります。
    連絡先と場所 (Contact & Location) 既存の連絡先の詳細を表示します。必要に応じて、情報を変更できます。
    Syslog 設定 (Syslog Settings) 4.5 リリース以降、Gateway は NAT 情報をリモート Syslog サーバまたは Telegraf 経由で目的の宛先にエクスポートできます。詳細については、『VMware SD-WAN オペレータ ガイド』の「Gateway の NAT エントリ Syslog の設定」セクションを参照してください。このドキュメントは https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。
    カスタマー使用状況 (Customer Usage) カスタマーに割り当てられたさまざまなタイプの Gateway の使用状況の詳細が表示されます。
    プール メンバーシップ (Pool Membership) 現在の Gateway が割り当てられている Gateway プールの詳細が表示されます。
    Partner Gateway(高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details) このセクションは、[Partner Gateway] チェックボックスを選択した場合にのみ使用できます。Partner Gateway の高度なハンドオフ設定を行えます。詳細については、以下の「Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)」セクションを参照してください。
    Cloud Web Security このセクションでは、Cloud Web Security Gateway のロールが有効になっている場合に、Cloud Web Security の汎用ネットワーク仮想化カプセル化 (Geneve) エンドポイントの IP アドレスと PoP (Points-of-Presence) 名を設定できます。
    Partner Gateway(高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)

    Partner Gateway の、次の高度なハンドオフ設定を行えます。

    オプション 説明
    [スタティック ルート | サブネット (Static Routes | Subnets)]SD-WAN GatewaySD-WAN Edge に広報するサブネットまたはルートを指定します。これは SD-WAN Gateway ごとにグローバルであり、すべてのカスタマーに適用されます。BGP では、このセクションは、すべてのカスタマーがアクセス権を必要とする共有サブネットがある場合と NAT ハンドオフが必須である場合にのみ使用されます。

    SD-WAN Edge に広報して NAT タイプのハンドオフを行う必要があるサブネットがない場合は、スタティック ルート リストから未使用のサブネットを削除します。

    [IPv4] または [IPv6] タブをクリックして、サブネットに対応するアドレス タイプを設定できます。

    サブネット (Subnets) Gateway が Edge に広報するスタティック ルート サブネットの IPv4 または IPv6 アドレスを入力します。
    コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ~ 255 です。
    暗号化 (Encrypt) Edge と Gateway 間のトラフィックを暗号化するには、このチェックボックスをオンにします。
    ハンドオフ (Hand off) ハンドオフ タイプとして、VLAN または NAT を選択します。
    説明 必要に応じて、スタティック ルートの説明テキストを入力します。
    [ICMP プローブと ping レスポンダの設定 (ICMP Probes and Ping Responders Settings)]
    [ICMP フェイルオーバーのプローブ (ICMP Failover Probe)]SD-WAN Gateway は ICMP プローブを使用して、特定の IP アドレスへの到達可能性を確認し、IP アドレスに到達できない場合はセカンダリ Gateway にフェイルオーバーするように SD-WAN Edge に通知します。このオプションは、IPv4 アドレスのみをサポートします。
    VLAN タグ付け (VLAN Tagging) ドロップダウン リストから VLAN タグを選択し、ICMP プローブ パケットに適用します。次のようなオプションがあります。
    • [なし (None)]:タグなし
    • [802.1q]:単一の VLAN タグ
    • [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)]:デュアル VLAN タグ
    宛先 IP アドレス (Destination IP address) ping 送信する IP アドレスを入力します。
    頻度 (Frequency) ping 要求を送信する時間間隔を秒単位で入力します。範囲は 1 ~ 60 秒です。
    しきい値 (Threshold) ping 応答が何回失敗するとルートが到達不能としてマークされるかを入力します。範囲は 1 ~ 10 です。
    [ICMP レスポンダ (ICMP Responder)] - トンネルが起動しているときは、SD-WAN Gateway がネクスト ホップ ルーターから ICMP プローブに応答できるようになります。このオプションは、IPv4 アドレスのみをサポートします。
    IP アドレス (IP address) ping 要求に応答する仮想 IP アドレスを入力します。
    モード (Mode) ドロップダウン リストから、次のいずれかのモードを選択します。
    • [条件付き (Conditional)]SD-WAN Gateway は、そのサービスが稼動していて、少なくとも 1 つのトンネルが稼動している場合のみ、ICMP 要求に応答します。
    • [常時 (Always)]SD-WAN Gateway は常にピアからの ICMP 要求に応答します。
    注: ICMP プローブ パラメータはオプションであり、ICMP を使用して SD-WAN Gateway の健全性をチェックする場合にのみ推奨されます。Partner Gateway で BGP をサポートしている場合、フェイルオーバーとルートのコンバージェンスに ICMP プローブを使用する必要はなくなりました。Partner Gateway の BGP サポートとハンドオフの設定の詳細については、 パートナー ハンドオフの設定を参照してください。
  4. 必要な詳細を設定した後、[変更の保存 (Save Changes)] をクリックします。