SD-WAN Edge をプロビジョニングするには、次の手順を実行します。
前提条件
ログインするための SD-WAN Orchestrator ホスト名と管理者アカウントがあることを確認します。
手順
- ログイン認証情報を使用して、SD-WAN Orchestrator アプリケーションに管理者ユーザーとしてログインします。
- [設定 (Configure)] > [Edge (Edges)] の順に移動します。
- [Edge (Edges)] 画面で、[Edge の追加 (Add Edge)] をクリックします。[Edge のプロビジョニング (Provision an Edge)] 画面が表示されます。
- 次のオプションを設定できます。
オプション 説明 モード (Mode) デフォルトでは、[SD-WAN Edge] モードが選択されています。 名前 (Name) Edge の一意の名前を入力します。 モデル (Model) ドロップダウン メニューから [仮想 Edge (Virtual Edge)] を選択します。 プロファイル (Profile) ドロップダウン メニューから [クイック スタート プロファイル (Quick Start Profile)] を選択します。 注: Edge の自動アクティベーションによって [Edge ステージング プロファイル]が表示される場合、そのプロファイルは新しく割り当てられた Edge で使用されますが、本番プロファイルで設定されたものではないことを示します。Edge ライセンス (Edge License) ドロップダウン メニューから Edge ライセンスを選択します。リストには、オペレータによってエンタープライズに割り当てられているライセンスが表示されます。 認証 (Authentication) ドロップダウン メニューから認証モードを選択します。
- [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
注意: このモードは、カスタマーの展開には推奨されません。
- [証明書の取得 (Certificate Acquire)]:このモードはデフォルトで選択されています。すべてのカスタマー展開に推奨されます。[証明書の取得 (Certificate Acquire)] モードでは、証明書が Edge アクティベーション時に発行され、自動的に更新されます。キー ペアを生成して Orchestrator に証明書署名リクエストを送信することによって、SD-WAN Orchestrator の認証局から証明書を取得するように、Orchestrator は Edge に指示します。証明書を取得すると、Edge は、SD-WAN Orchestrator への認証および VCMP トンネルの確立に証明書を使用します。
注: 証明書を取得した後、必要に応じてオプションを [証明書が必要 (Certificate Required)] に更新することができます。
- [証明書が必要 (Certificate Required)]:このモードは、「静的」であるカスタマー エンタープライズにのみ適切です。静的なエンタープライズは、展開される新しい Edge の数が少なく、新しい PKI 指向の変更がないことが予想されるエンタープライズとして定義されます。
重要: [証明書が必要 (Certificate Required)] には、 [証明書の取得 (Certificate Acquire)] に比べてセキュリティ上のメリットはありません。両方のモードは同等にセキュアで、 [証明書が必要 (Certificate Required)] を使用するカスタマーは、このセクションに記載されている理由でのみ使用する必要があります。[証明書が必要 (Certificate Required)] モードでは、有効な証明書がなければ Edge ハートビートは受け入れられません。このモードでは、Edge は PKI 証明書を使用します。オペレータは、Orchestrator のシステム プロパティを編集して証明書更新時間枠を変更できます。詳細については、オペレータにお問い合わせください。注意: このモードを使用すると、カスタマーがこの厳密な適用を認識していない場合は Edge 障害が発生する可能性があります。
注:- Bastion Orchestrator 機能を有効にした場合は、Bastion Orchestrator にステージングされる Edge の認証モードが [証明書の取得 (Certificate Acquire)] または [証明書が必要 (Certificate Required)] のいずれかに設定されている必要があります。
- Edge 証明書が失効すると、Edge のアクティベーションが解除され、アクティベーション プロセスを実行する必要があります。現在の QuickSec 設計では、証明書失効リスト (CRL) の有効期間がチェックされます。新しく確立された接続に CRL の影響が及ぶようにするには、CRL の有効期間が Edge の現在の時刻と一致する必要があります。このためには、Orchestrator の時刻を Edge の日付と時刻に合わせて適切に更新する必要があります。
デバイス シークレットの暗号化 Edge がすべてのプラットフォームで機密データを暗号化できるようにするには、[有効 (Enable)] チェック ボックスをオンにします。このオプションは、Edge の [概要 (Overview)] ページでも使用できます。 注: Edge バージョン 5.2.0 以降では、このオプションを無効にする前に、リモート アクションを使用して Edge をアクティベーション解除する必要があります。これにより、Edge が再起動します。高可用性 (High Availability) 高可用性 (HA) を適用するには、[有効 (Enable)] チェック ボックスをオンにします。Edge は、単一のスタンドアローン デバイスとしてインストールすることも、別の Edge とペアリングして高可用性 (HA) サポートを提供することもできます。 ローカルの連絡先氏名 (Local Contact Name) Edge のサイト連絡先の氏名を入力します。 ローカルの連絡先 E メール (Local Contact Email) Edge のサイト連絡先のメール アドレスを入力します。 - [証明書は不要 (Certificate Deactivated)]:Edge は認証の事前共有キー モードを使用します。
- 必要なすべての詳細を入力し、[次へ (Next)] をクリックして次の追加オプションを設定します。
注: [次へ (Next)] ボタンは、すべての必須項目を入力した場合にのみ有効になります。
オプション 説明 シリアル番号 (Serial Number) Edge のシリアル番号を入力します。指定されている場合、Edge はこのシリアル番号をアクティベーション時に表示する必要があります。 注: AWS Edge に仮想 VMware SD-WAN Edge をデプロイする場合は、Edge のシリアル番号としてインスタンス ID を使用してください。説明 (Description) 適切な説明を入力します。 場所 (Location) [場所を設定 (Set Location)] リンクをクリックして、Edge の場所を設定します。指定しない場合、Edge のアクティベーション時に IP アドレスから場所が自動検出されます。 - [Edge の追加 (Add Edge)] をクリックします。
Edge がプロビジョニングされ、アクティベーション キーがページの上部に表示されます。AliCloud コンソールから Edge を起動するときに必要となるため、アクティベーション キーをメモしておきます。注: Edge デバイスがアクティベーションされない場合、アクティベーション キーは 1 か月で期限切れになります。
- Virtual Edge インターフェイスを設定します。次の手順の説明では、トポロジ Aを想定しています。
- [設定 (Configure)] > [Edge (Edges)] の順に移動します。[Edge (Edges)] ページに既存の Edge が表示されます。
- Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
- [インターフェイス設定 (Interface Settings)] 領域に移動します。
- [接続 (Connectivity)] カテゴリで、[インターフェイス (Interfaces)] を展開します。選択した Edge で使用可能なさまざまなタイプのインターフェイスが表示されます。
- [インターフェイス設定の上書き (Override Interface)] チェック ボックスをオンにし、次のように仮想 Edge インターフェイス [GE1 インターフェイス (GE1 Interface)]、[GE2 インターフェイス (GE2 Interface)]、および [GE3 インターフェイス (GE3 Interface)] の設定を更新します。
- [GE1] インターフェイスの機能を [ルーティング (Routed)] に変更し、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] を無効にします。
- [GE2] インターフェイスの機能を [ルーティング (Routed)] に変更し、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] が有効になっていることを確認します。
- [GE3] インターフェイスについては、[WAN オーバーレイ (WAN Overlay)] と [NAT ダイレクト トラフィック (NAT Direct Traffic)] を無効にします。このインターフェイスは、プライベート VPC サブネットに接続されているデバイス(LAN デバイス)のネクスト ホップになります。
詳細については、『 VMware SD-WAN 管理ガイド』のトピック「 Edge のインターフェイスの設定」を参照してください。
結果
Virtual Edge は SD-WAN Orchestrator にプロビジョニングされます。
次のタスク
GCP に Virtual Edge をデプロイします。次のいずれかの方法を使用して、Virtual Edge をデプロイできます。