가상 허브에서 VMware SD-WAN Edges를 수동으로 배포하려면 Azure 측에서 리소스 그룹, vWAN(가상 WAN) 및 vHUB(가상 허브)를 이미 생성한 상태여야 합니다.

구성 단계:

사전 요구 사항

vWAN 허브가 가동되어 실행 중이고 라우팅 상태가 완료이면 VMware SASE Orchestrator를 통해 Azure vWAN NVA(네트워크 가상 장치)의 수동 배포를 진행하기 전에 다음과 같은 사전 요구 사항을 충족해야 합니다.
  • VMware SASE Orchestrator에 대한 엔터프라이즈 계정 액세스 권한을 획득합니다.
  • 적절한 IAM 역할로 Microsoft Azure Portal에 액세스합니다.
  • 이 배포에 대한 소프트웨어 이미지 요구 사항은 다음과 같습니다. 
    • VMware SASE Orchestrator: 4.5.0 이상.
    • VMware SD-WAN Gateway: 4.5.0 이상.
    • VMware SD-WAN Edges: 4.2.1 이상

프로시저

  1. Orchestrator에서 구성(Configure) > Edge(Edges) > 새 Edge(New Edge)로 이동하여 가상 Edge를 생성합니다.
  2. Orchestrator에서 Edge가 생성되면 모든 Edge에 대한 인터페이스 설정을 다음과 같이 변경합니다.
    • 자동 감지 WAN 오버레이를 사용하여 GE1 인터페이스를 라우팅됨(Routed)으로 변경합니다.
    • WAN 오버레이가 비활성화된 상태로 GE2를 라우팅됨(Routed)으로 변경합니다.
    • GE3-GE8 인터페이스는 이 배포에서 사용되지 않습니다. 
    참고: 이 통합에 필요한 대로 가상 Edge 인터페이스 설정을 사용하여 프로필을 구성하면 Orchestrator에서 가상 Edge를 생성한 후 인터페이스 설정을 변경할 필요가 없습니다.
    참고: Edge를 릴리스 4.2.1에서 이전 릴리스로 다운그레이드하려고 하면 Edge가 활성화 루프에서 중단됩니다.
  3. VMware SD-WAN Azure NVA에 대한 SSH 액세스는 Azure 지원 팀에서 관리합니다. Azure 측은 소스 IP 주소 168.63.129.16이 Azure Virtual Edge에 대해 SSH를 수행하도록 허용하는 보안 정책만 적용합니다. 가상 Edge가 이 소스 IP에서의 SSH를 수락하도록 허용하려면 구성(Configure) > Edge(Edges) > 방화벽(Firewall) > Edge 액세스(Edge Access) > 지원 액세스(Support Access)로 이동한 후 다음 IP 허용 필드 아래에 IP 주소 168.63.129.16을 추가합니다.
    참고: 여러 또는 모든 가상 Edge에서 사용하는 프로필에 대해 3단계 구성을 수행할 수 있으므로 각 개별 가상 Edge에 대해 이 작업을 수행할 필요가 없습니다.

    이 IP 구성에 대한 자세한 내용은 https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16을 참조하십시오.

  4. 각 가상 Edge의 Orchestrator URL 및 활성화 키를 복사합니다.
    예를 들면 다음과 같습니다.
    • vcoxx-usvi1.velocloud.net
    • Activation Key1: XXXX:ZE8F:YYYY:67YT
    • Activation Key2: XXXX:ZE8F:ZZZZ:67YT
  5. Azure 포털에 로그인하고 Azure Market에서 “VMware SD-WAN in vWAN” 애플리케이션을 검색합니다. vWAN의 VMware SD-WAN 관리형 애플리케이션 페이지가 나타납니다. 이 애플리케이션을 사용하여 가상 WAN 허브에서 가상 Edge의 배포를 자동화할 수 있습니다.
  6. 관리형 애플리케이션에서 생성(Create)을 클릭하고 다음과 같은 기본 세부 정보를 입력합니다.
    • 구독(Subscription): 생성된 가상 WAN 허브가 있는 구독입니다.
    • 리소스 그룹(Resource Group): 새 리소스 그룹을 생성하거나 기존 리소스 그룹을 선택합니다.
    • 지역(Region): 가상 WAN 허브가 생성된 지역을 선택합니다. 가상 Edge가 해당 가상 WAN 허브에 배포됩니다.
    • 애플리케이션 이름(Application Name): 관리형 애플리케이션의 이름을 입력합니다. 
    • 관리형 리소스 그룹(Managed Resource Group) - 애플리케이션의 관리형 리소스 그룹을 제공합니다. 관리형 리소스 그룹은 소비자가 제한된 액세스 권한을 가진 관리형 애플리케이션에 필요한 모든 리소스를 보유합니다.
  7. 가상 WAN의 VMware SD-WAN(VMware SD-WAN in Virtual WAN) 탭에서 선택한 지역의 가상 WAN 허브를 선택합니다. 가상 Edge가 이 허브에 배포됩니다.
    고객이 가상 WAN 허브를 선택하면 가상 WAN 허브의 BGP 인접 IP 주소 및 ASN을 나열하는 다음 정보가 표시됩니다. Orchestrator에서 BGP 인접 항목을 구성하는 데 필요하므로 이 정보를 기록해 둡니다.
    • 배율 단위(Scale unit): 필요에 따라 배율을 선택합니다.
    • VMware SD-WAN Orchestrator: 3단계에서 Orchestrator URL을 붙여 넣습니다.
    • IgnoreCertErrors: 이 플래그를 False로 설정합니다. Orchestrator URL을 사용할 수 없고 Orchestrator IP 주소를 제공해야 하는 경우에만 이 플래그를 True로 변경합니다.
    • Edge1용 ActivationKey(ActivationKey for Edge1): 3단계에서 활성화 키를 붙여 넣습니다.
    • Edge2용 ActivationKey(ActivationKey for Edge2): 3단계에서 활성화 키를 붙여 넣습니다.
    • BGP ASN: VMware SASE Orchestrator에서 가상 Edge에 구성될 ASN입니다. 다음 ASN은 Azure 또는 IANA에서 예약되어 있습니다.
      • Azure에서 예약된 ASN:
        • 공용 ASN: 8074, 8075 및 12076.
        • 개인 ASN: 65515, 65517, 65518, 65519, 65520.
      • IANA에서 예약된 ASN:
        • 23456, 64496-64511, 65535-65551 및 429496729.
    • ClusterName: 배포에 대해 #, @, _, -등과 같은 특수 문자를 사용하지 않는 고유한 이름을 입력합니다.
  8. 모든 필수 필드를 입력한 후 검토 + 생성(Review + create)을 클릭합니다.
  9. 배포 프로세스가 시작되며 완료하는 데 약 10~15분이 걸립니다. 배포가 완료되면 가상 Edge가 Orchestrator에 연결하고 활성화됩니다. 
  10. 모든 가상 Edge가 Orchestrator에 연결되면 가상 Edge가 Azure Virtual WAN 허브에 연결할 수 있도록 고정 경로 및 BGP 인접 항목을 구성해야 합니다.
    1. 고정 경로 구성(Configure Static Routes): 각 가상 Edge의 해당 GE2 인터페이스를 가리키는 고유한 경로가 유지되도록 /32 고정 경로를 추가합니다. 고정 경로를 추가하려면 Orchestrator에 다음 홉 IP 주소가 필요합니다. 다음 홉 IP 주소는 Orchestrator의 [원격 진단(Remote Diagnostics)] UI 페이지에서 원격 진단 "인터페이스 상태" 테스트를 실행하여 획득합니다. GE2에 할당된 서브넷의 첫 번째 IP 주소를 선택하고 다음 홉으로 구성합니다.
      다음 이미지는 GE2에 10.101.112.6/25로 할당된 IP 주소를 보여 주며 이 서브넷의 첫 번째 IP 주소는 Orchestrator에서 고정 경로를 구성하는 데 사용되는 10.101.112.1입니다. 

      다음은 테스트 및 문제 해결(Test & Troubleshoot) > 원격 진단(Remote Diagnostics) > 인터페이스 상태(Interface Status) 진단 테스트의 출력입니다.

      다음 스크린샷에 표시된 것처럼 Edge에는 BGP 인접 항목에 연결하기 위한 두 개의 고정 경로가 구성됩니다.

    2. BGP 인접 네트워크 구성(BGP Neighbor Configuration): 다음 다이어그램에 표시된 것처럼 각 가상 Edge에 대해 BGP 인접 항목을 구성합니다. 7단계의 정보 메시지에 표시된 BGP 인접 항목 IP 및 ASN 번호를 사용합니다.

      고정 경로 및 BGP 인접 관계가 구성되면 가상 Edge가 Azure Virtual WAN 허브에서 경로 학습을 시작해야 합니다. BGP 인접 항목 상태는 모니터링(Monitor) > 네트워크 서비스(Network Services)에서 확인할 수 있습니다.

  11. (선택 사항) 가상 Edge를 클러스터에 추가합니다. 구성(Configure) > 네트워크 서비스(Network Services) > Edge 클러스터(Edge Cluster)로 이동하여 새 클러스터 허브를 생성하고 가상 Edge를 클러스터에 추가합니다.
  12. (선택 사항) vNET(가상 네트워크)를 사용하는 가상 네트워크 연결을 vHub에 추가하려면 Azure vWAN > 연결(Connectivity) > 가상 네트워크 연결(Virtual network connections)로 이동합니다.
    연결 추가(Add Connection)를 클릭하고 연결 이름, 허브, 구독 및 리소스 그룹 선택을 제공합니다. 허브에 연결해야 하는 vNET 및 연결된 경로 테이블을 선택합니다. 예를 들어 vNET의 ‘기본’ 경로 테이블입니다.
    vWAN NVA Edge의 경우 이미지는 2 NIC 배포이고, 즉 GE1 인터페이스는 '관리' 인터페이스로 사용되지 않습니다. 이것은 vWAN NVA 이미지에 고유합니다. cloud_init 'management_interface' 플래그를 'False'로 설정합니다. 
    #cloud-config
password: Velocloud123
chpasswd: { expire: False } 
ssh_pwauth: True 
velocloud:
  vce:
    management_interface: false 
    vco: $vco 
    activation_code: $velo2_token 
    vco_ignore_cert_errors: $velo_ignore_cert_errors

    다른 모든 클라우드 Edge에서는 GE1 인터페이스가 ‘관리’ 인터페이스로 할당되며 데이터 트래픽에 사용할 수 없습니다.

    참고: Azure vWAN Hub 라우터가 'Cloud Services 인프라'로 생성된 고객의 경우 Azure vWAN NVA로 배포된 VMware SD-WAN Edge에 대한 허브 업그레이드 지침 항목을 참조하십시오.