VMware SASE Orchestrator には、オペレータのサポートなしで既存の Gateway から新しい Gateway に移行できるセルフサービス移行機能が用意されています。

Gateway は、特定のロールを使用して設定されます。たとえば、データ プレーン ロールを持つ Gateway は、送信元から宛先にデータ プレーン トラフィックを転送するために使用されます。同様に、制御プレーン ロールを持つ Gateway は Super Gateway と呼ばれ、エンタープライズに割り当てられます。エンタープライズ内の Edge は Super Gateway に接続されます。また、セキュア VPN ロールを持つ Gateway があり、これは Non SD-WAN Destination (NSD) への IPsec トンネルを確立するために使用されます。移行手順は、Gateway に設定されたロールによって異なる場合があります。Gateway ロールの詳細については、『VMware SD-WAN オペレータ ガイド』の「Gateway の設定」セクションを参照してください。この文書は VMware SD-WAN ドキュメントで入手できます。

次の図は、セキュア VPN Gateway の移行プロセスを示しています。

この例では、SD-WAN Edge はセキュア VPN Gateway である VCG1 を介して NSD に接続されています。VCG1 Gateway は廃止される予定です。廃止する前に、新しい Gateway である VCG2 が作成されます。VCG1 と同じロールが割り当てられ、同じ Gateway プールに接続されるので、VCG2 は VCG1 の代わりと見なすことができます。VCG1 のサービス状態が「停止」に変更されます。VCG1 に新しいトンネルまたは NSD を追加することはできません。ただし、既存の割り当ては VCG1 に残ります。VCG2 の IP アドレスに関する設定の変更は NSD で行われ、VCG2 と NSD 間で IPsec トンネルが確立され、トラフィックは VCG1 から VCG2 に切り替わります。VCG1 が空であることが確認された後で廃止されます。

ユーザー ロールに基づくセキュア VPN Gateway 移行のワークフローの概要は次のとおりです。