次のトポロジ図に示すように、3 つの vSwitch(Edge に接続されたサブネットごとに 1 つ)がある AliCloud Virtual Private Cloud (VPC) 上の Virtual Edge のデプロイについて説明します。

ワークフローの概要

仮想 SD-WAN EdgeAlibaba Cloud ECS にデプロイするには、次の手順を実行します。

  1. Virtual Private Cloud (VPC) を作成します。手順については、VPC の作成を参照してください。
  2. トポロジ図に示すように、Edge に接続されたサブネットごとに 1 つずつ、合計 3 つの vSwitch を作成します。手順については vSwitch の作成を参照してください。
    • 管理インターフェイス GE1 を介した Edge へのコンソール/管理アクセスのための管理サブネット/vSwitch。
    • WAN 側インターフェイス GE2 を介した Edge からのインターネット アクセスのためのパブリック サブネット/vSwitch。
    • LAN 側インターフェイス GE3 を介した LAN 側のデバイス アクセスのためのプライベート サブネット/vSwitch。
  3. セキュリティ グループ (velo_vVCE_SG) を作成し、受信ルールを追加します。手順については、セキュリティ グループの作成を参照してください。
  4. 2 つのカスタム(セカンダリ)ルート テーブル(Velo_vVCE_Public_RT と Velo_vVCE_Private_RT)を作成し、それぞれの vSwitch(パブリックおよびプライベート)に関連付けます。手順については、カスタム ルート テーブルの作成と vSwitch の関連付けを参照してください。
  5. 次のように、SD-WAN OrchestratorSD-WAN Edge をプロビジョニングします。
    1. [Virtual Edge] タイプの Edge を作成します。
    2. GE2 インターフェイスを [スイッチ (Switched)] から [ルーティング (Routed)] に変更します。
    3. GE3 インターフェイスの [WAN オーバーレイ (WAN Overlay)][NAT ダイレクト トラフィック (NAT Direct Traffic)] を無効にします。これは、プライベート サブネット(LAN デバイス)に接続されているデバイスのネクスト ホップです。
    4. ファイアウォール SSH アクセス リストに JH の IP アドレスを追加します。

      詳細については、VCO での Edge のプロビジョニングを参照してください。

  6. 管理インターフェイス (GE1) を使用して、仮想 SD-WAN Edge (vVCE) インスタンスを作成して起動します。手順については、ECS コンソールでの vVCE インスタンスの作成を参照してください。
  7. 2 つの Elastic Network Interface (ENI) を作成します。1 つはプライベート LAN 側インターフェイス (GE3) で、もう 1 つはパブリック WAN 側インターフェイス (GE2) です。手順については、Elastic Network Interface の作成を参照してください。
  8. Elastic IP アドレスを作成し、Edge のパブリック インターフェイス (GE2) に割り当てます。手順については、Elastic IP アドレスの作成と Edge のパブリック インターフェイスへの割り当てを参照してください。
  9. パブリック (GE2) およびプライベート (GE3) インターフェイスを Edge インスタンス (vVCE) にバインドしてから、Edge インスタンスを再起動して、インターフェイスが Edge に接続されていることを確認します。手順については、Edge インスタンスへの ENI のバインドを参照してください。

    Edge インスタンスは SD-WAN Orchestrator に対してアクティベーションされ、Edge は、Gateway への VCMP トンネルを確立できます。

  10. (オプション)VPC 内で、インターネット経由ではなくプライベート サブネットから Edge にアクセスする場合は、2 つのインターフェイスを持つジャンプ ホスト (JH) インスタンス(Linux インスタンス)を作成する必要があります。パブリック サブネット内の 1 つのインターフェイスは EIP を使用したインターネット接続に、管理サブネット内のもう 1 つのインターフェイスは Edge へのアクセスに使用されます。手順については、ジャンプ ホスト インスタンスの作成を参照してください。
    1. ジャンプ ホストを作成します。
    2. EIP を作成し、ジャンプ ホスト インスタンスにバインドします。
      注: VCAdmin ユーザーは、JH から管理サブネット インターフェイスを介して Edge にアクセスできるようになります。
    3. ジャンプ ホストから Virtual Edge (vVCE) にログインします。
    4. シェルで SD-WAN Orchestrator に対して Edge をアクティベーションします。
      注: Edge のアクティベーションが開始した後、プライベート サブネットから Edge に SSH 接続する場合は、ファイアウォールの SSH アクセス リストに JH の IP アドレスを追加する必要があります。
  11. プライマリ インターフェイスがプライベート サブネットに接続されている LAN インスタンスを作成します。手順については、LAN インスタンスの作成を参照してください。
    1. プライベート ルーティング テーブル (Velo_vVCE_Private_RT) で、デフォルト ルートの Edge の GE3 インターフェイスを指す新しいルート エントリを作成します。手順については、カスタム ルート テーブル エントリの追加を参照してください。
  12. SD-WAN Orchestrator で Virtual Edge が稼動しているかどうかを確認します。