新しい Gateway を作成すると、[Gateway の設定 (Configure Gateways)] ページに自動的にリダイレクトされ、Gateway のプロパティ設定とその他の追加設定を行えます。
注: 設定できるのは、パートナー ユーザーが作成した Gateway またはオペレータが作成したパートナー管理 Gateway のみです。
既存の Gateway を設定するには、次の手順を実行します。
手順
- SASE Orchestrator のパートナー ポータルで、[Gateway 管理 (Gateway Management)] タブをクリックし、左側のナビゲーション ペインで [Gateway (Gateways)] に移動します。
[Gateway (Gateways)] ページに、使用可能な Gateway のリストが表示されます。
- 追加設定する必要がある Gateway へのリンクをクリックします。選択した Gateway の詳細は、[設定 (Configure)] > [Gateway (Gateways)] ページに表示されます。
- [概要 (Overview)] タブで、次の詳細を設定できます。
フィールド 説明 プロパティ (Properties) 選択した Gateway の既存の名前と説明を表示します。必要に応じて、情報を変更できます。 必要に応じて、Gateway のロールを設定することもできます。- [データ プレーン (Data Plane)] - Gateway をデータ プレーンで動作させることができます。デフォルトでは選択されています。
- [制御プレーン (Control Plane)] - Gateway を制御プレーンで動作させることができます。デフォルトでは選択されています。
- [セキュア VPN Gateway (Secure VPN Gateway)] - Gateway を使用して Non SD-WAN Destination への IPsec トンネルを確立するには、このオプションを選択します。
- [Partner Gateway] - Gateway が Edge の Partner Gateway として割り当てられるようにするには、このチェックボックスをオンにします。このオプションをオンにする場合は、[Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)] セクションで追加の設定を行います。
- [CDE] - Gateway を CDE (Cardholder Data Environment) モードで動作させることができます。PCI トラフィックの送信を必要とするカスタマーに Gateway を割り当てるには、このオプションを選択します。
- [クラウド間相互接続 (Cloud-to-Cloud Interconnect)] - SD-WAN Gateway でクラウド間相互接続 (CCI) トンネルを有効化するオプションを選択します。
注: この Gateway ロール オプションは、
session.options.enableZscalerCci
システム プロパティがTrue
に設定されている場合に表示されます。 - [Cloud Web Security]:スーパー ユーザーまたは標準ロールを持つパートナー ユーザーが、Cloud Web Security (CWS) ロールの SD-WAN Gateway を設定できるようにします。詳細については、https://docs.vmware.com/jp/VMware-Cloud-Web-Security/index.htmlで公開されている『VMware SD-WAN Cloud Web Security 設定ガイド』を参照してください。
状態 (Status) 次の詳細を設定できます。 - [状態 (Status)] - Orchestrator に送信された定期的なハートビートの成功または失敗を反映した Gateway の状態を表示します。次のような状態があります。
- [接続中 (Connected)] - Gateway は Orchestrator に正常にハートビートを送信しています。
- [劣化 (Degraded)] - Orchestrator は 1 分以上 Gateway からハートビートを受け取っていません。
- [オフライン (Offline)] - Orchestrator は 2 分以上 Gateway からハートビートを受け取っていません。
- [サービスの状態 (Service State)] - 次の使用可能なオプションから Gateway のサービス状態を選択します。
- [サービス中 (In Service)] - Gateway が接続され、プライマリまたはセカンダリ トンネルの割り当てに使用できます。Gateway のサービスの状態が「サービス停止中 (Out Of Service)」から「サービス中 (In Service)」状態に切り替わると、プライマリまたはセカンダリの割り当て、Super Gateway、Edge 間ルートは、Gateway を使用する各エンタープライズに対して再計算されます。
- [サービス保留中 (Pending Service)] - Gateway が接続され、トンネルの割り当ては保留中です。
- [サービス停止中 (Out of Service)] - Gateway が接続されていないか、割り当てに使用できません。既存のすべての割り当てが削除されます。
- [停止 (Quiesced)] - Gateway サービスは停止または一時停止しています。Gateway に新しいトンネルまたは NSD サイトを追加することはできません。ただし、既存の割り当ては引き続き Gateway に残ります。この状態は、バックアップまたはメンテナンスの目的で選択します。
注: [停止 (Quiesced)] および [サービス停止中 (Out of Service)] の状態は、Cloud Gateway の展開にのみ適用されます。
サービスの状態が [停止 (Quiesced)] の場合、Orchestrator には、オペレータのサポートなしで既存の Gateway から新しい Gateway に移行できるセルフサービス移行機能が用意されています。
詳細については、停止された Gateway の移行を参照してください。
注: セルフサービス移行は、Partner Gateway ではサポートされていません。
- [接続された Edge (Connected Edges)] - Gateway に接続されている Edge の数を表示します。このオプションは、Gateway が有効になっている場合にのみ表示されます。
- [Gateway 認証モード (Gateway Authentication Mode)] - 次の使用可能なオプションから Gateway の認証モードを選択します。
- [証明書は不要 (Certificate Deactivated)] - Gateway は認証の事前共有キー モードを使用します。
- [証明書の取得 (Certificate Acquire)] - このオプションはデフォルトで選択されており、Gateway にキー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SASE Orchestrator の認証局から証明書を取得するように指示します。証明書を取得すると、Gateway は、証明書を使用して SASE Orchestrator に認証し、VCMP トンネルを確立します。
注: 証明書を取得した後、オプションを [証明書が必要 (Certificate Required)] に更新することができます。
- [証明書が必要 (Certificate Required)] - Gateway は PKI 証明書を使用します。オペレータは、システム プロパティ
gateway.certificate.renewal.window
を使用して Gateway の証明書更新時間枠を変更できます。
注: Gateway 証明書が失効すると、Gateway は TLS 接続をすぐに失うため、証明書失効リスト (CRL) を受信しません。ただし、Gateway は動作可能です。注: 現在の QuickSec 設計では、CRL の有効期間がチェックされます。新しく確立された接続に CRL の影響が及ぶようにするには、CRL の有効期間が Edge の現在の時刻と一致する必要があります。これを実装するには、Orchestrator の時刻を Edge の日付と時刻に合わせて適切に更新する必要があります。 - [IP アドレス (IP Addresses)] - Edge のパブリック WAN リンクが Gateway への接続に使用するパブリック IP アドレスを表示します。この IP アドレスは、Gateway を一意に識別するために使用されます。Gateway を IPv4 アドレスと IPv6 アドレスの両方で設定している場合、このフィールドには両方の IP アドレスが表示されます。
IPv4 専用 Gateway を作成した場合、または以前のバージョンからアップグレードされた既存の IPv4 Gateway がある場合は、IPv6 アドレスを入力してデュアル スタックをサポートできます。変更を保存した後、IPv6 アドレスはすぐに Edge に送信されません。再調整の操作をトリガして IPv6 アドレスをカスタマーおよび関連付けられた Edge に手動でプッシュすることができます。プッシュしない場合、次回の制御プレーンの更新中に IPv6 アドレスが Edge に送信されます。
注: IPv6 アドレスの追加は 1 回限りのアクティビティであり、変更を保存すると IP アドレスを変更することはできません。注意: 誤って設定された IPv6 アドレスが Edge にプッシュされると、IPv6 Gateway への IPv6 トンネリングが失敗することがあります。このような場合は、Gateway を無効にして新しい Gateway を作成し、IPv4 アドレスと IPv6 アドレスの両方を有効にする必要があります。
連絡先と場所 (Contact & Location) 既存の連絡先の詳細を表示します。必要に応じて、情報を変更できます。 Syslog 設定 (Syslog Settings) 4.5 リリース以降、Gateway は NAT 情報をリモート Syslog サーバまたは Telegraf 経由で目的の宛先にエクスポートできます。詳細については、『VMware SD-WAN オペレータ ガイド』の「Gateway の NAT エントリ Syslog の設定」セクションを参照してください。このドキュメントは https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。 カスタマー使用状況 (Customer Usage) カスタマーに割り当てられたさまざまなタイプの Gateway の使用状況の詳細が表示されます。 プール メンバーシップ (Pool Membership) 現在の Gateway が割り当てられている Gateway プールの詳細が表示されます。 Partner Gateway(高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details) このセクションは、[Partner Gateway] チェックボックスを選択した場合にのみ使用できます。Partner Gateway の高度なハンドオフ設定を行えます。詳細については、以下の「Partner Gateway (高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)」セクションを参照してください。 Cloud Web Security このセクションでは、Cloud Web Security Gateway のロールが有効になっている場合に、Cloud Web Security の汎用ネットワーク仮想化カプセル化 (Geneve) エンドポイントの IP アドレスと PoP (Points-of-Presence) 名を設定できます。 Partner Gateway(高度なハンドオフ)の詳細 (Partner Gateway (Advanced Handoff) Details)Partner Gateway の、次の高度なハンドオフ設定を行えます。
オプション 説明 [スタティック ルート | サブネット (Static Routes | Subnets)] – SD-WAN Gateway が SD-WAN Edge に広報するサブネットまたはルートを指定します。これは SD-WAN Gateway ごとにグローバルであり、すべてのカスタマーに適用されます。BGP では、このセクションは、すべてのカスタマーがアクセス権を必要とする共有サブネットがある場合と NAT ハンドオフが必須である場合にのみ使用されます。 SD-WAN Edge に広報して NAT タイプのハンドオフを行う必要があるサブネットがない場合は、スタティック ルート リストから未使用のサブネットを削除します。
[IPv4] または [IPv6] タブをクリックして、サブネットに対応するアドレス タイプを設定できます。
サブネット (Subnets) Gateway が Edge に広報するスタティック ルート サブネットの IPv4 または IPv6 アドレスを入力します。 コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ~ 255 です。 暗号化 (Encrypt) Edge と Gateway 間のトラフィックを暗号化するには、このチェックボックスをオンにします。 ハンドオフ (Hand off) ハンドオフ タイプとして、VLAN または NAT を選択します。 説明 必要に応じて、スタティック ルートの説明テキストを入力します。 [ICMP プローブと ping レスポンダの設定 (ICMP Probes and Ping Responders Settings)] [ICMP フェイルオーバーのプローブ (ICMP Failover Probe)]:SD-WAN Gateway は ICMP プローブを使用して、特定の IP アドレスへの到達可能性を確認し、IP アドレスに到達できない場合はセカンダリ Gateway にフェイルオーバーするように SD-WAN Edge に通知します。このオプションは、IPv4 アドレスのみをサポートします。 VLAN タグ付け (VLAN Tagging) ドロップダウン リストから VLAN タグを選択し、ICMP プローブ パケットに適用します。次のようなオプションがあります。 - [なし (None)]:タグなし
- [802.1q]:単一の VLAN タグ
- [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)]:デュアル VLAN タグ
宛先 IP アドレス (Destination IP address) ping 送信する IP アドレスを入力します。 頻度 (Frequency) ping 要求を送信する時間間隔を秒単位で入力します。範囲は 1 ~ 60 秒です。 しきい値 (Threshold) ping 応答が何回失敗するとルートが到達不能としてマークされるかを入力します。範囲は 1 ~ 10 です。 [ICMP レスポンダ (ICMP Responder)] - トンネルが起動しているときは、SD-WAN Gateway がネクスト ホップ ルーターから ICMP プローブに応答できるようになります。このオプションは、IPv4 アドレスのみをサポートします。 IP アドレス (IP address) ping 要求に応答する仮想 IP アドレスを入力します。 モード (Mode) ドロップダウン リストから、次のいずれかのモードを選択します。 - [条件付き (Conditional)]:SD-WAN Gateway は、そのサービスが稼動していて、少なくとも 1 つのトンネルが稼動している場合のみ、ICMP 要求に応答します。
- [常時 (Always)]:SD-WAN Gateway は常にピアからの ICMP 要求に応答します。
注: ICMP プローブ パラメータはオプションであり、ICMP を使用して SD-WAN Gateway の健全性をチェックする場合にのみ推奨されます。Partner Gateway で BGP をサポートしている場合、フェイルオーバーとルートのコンバージェンスに ICMP プローブを使用する必要はなくなりました。Partner Gateway の BGP サポートとハンドオフの設定の詳細については、 パートナー ハンドオフの設定を参照してください。 - 必要な詳細を設定した後、[変更の保存 (Save Changes)] をクリックします。