Para implementar VMware SD-WAN Edges num Hub virtual manualmente, já deve ter criado um grupo de recursos, uma WAN virtual (vWAN) e um Hub virtual (vHUB) no lado do Azure.

Passos de configuração:

Pré-requisitos

Assim que o Hub vWAN estiver a funcionar e o estado de routing estiver concluído, tem de cumprir os seguintes pré-requisitos antes de prosseguir com a implementação manual de um Network Virtual Appliance (NVA) da vWAN do Azure através do VMware SASE Orchestrator:
  • Obtenha acesso da conta da empresa para o VMware SASE Orchestrator.
  • Obtenha o acesso ao portal do Microsoft Azure com as funções IAM adequadas.
  • Os requisitos de imagem de software para esta implementação são os seguintes:
    • VMware SASE Orchestrator: 4.5.0 e superior.
    • VMware SD-WAN Gateway: 4.5.0 e superior.
    • VMware SD-WAN Edges: 4.2.1 ou superior.

Procedimento

  1. No Orchestrator, crie um Edge virtual ao navegar para Configurar (Configure) > Edges > Novo Edge (New Edge).
  2. No Orchestrator, uma vez criados os Edges, altere as definições de interface para todos os Edges da seguinte forma:
    • Altere a interface GE1 para Caminho (Route) com deteção automática de overlay WAN.
    • Altere a GE2 para Caminho (Route) com overlay WAN desativado.
    • As interfaces GE3 a GE8 não são utilizadas nesta implementação.
    Nota: Pode configurar perfis com definições de interface Edge virtual conforme exigido por esta integração para que não tenha de alterar as definições de interface depois de criar Edges virtuais no Orchestrator.
    Nota: Se tentar mudar um Edge da versão 4.2.1 para uma versão anterior, o Edge ficará bloqueado num ciclo de ativação.
  3. O acesso através de SSH aos NVAs do Azure do VMware SD-WAN Azure é gerido pela equipa de suporte do Azure. O lado do Azure aplica políticas de segurança que só permitem que o endereço IP de origem 168.63.129.16 aceda através de SSH aos Edges virtuais do Azure. Para permitir que um Edge virtual aceite SSH a partir deste IP de origem, navegue até Configurar (Configure) > Edges > Firewall > Acesso Edge (Edge Access) > Acesso de suporte (Support Access) e adicione o endereço IP 168.63.129.16 no campo Permitir os seguintes IPs (Allow the following IPs).
    Nota: Pode executar a configuração do Passo 3 num perfil utilizado por muitos ou por todos os Edges virtuais para que não seja necessário fazê-lo para cada Edge virtual individual.

    Para obter mais detalhes sobre esta configuração de IP, consulte https://docs.microsoft.com/pt-pt/azure/virtual-network/what-is-ip-address-168-63-129-16

  4. Copie o URL do Orchestrator e a chave de ativação de cada Edge virtual.
    Por exemplo:
    • vcoxx-usvi1.velocloud.net
    • Chave de ativação1: XXXX:ZE8F:YYYY:67YT
    • Chave de ativação2: XXXX:ZE8F:ZZZZ:67YT
  5. Inicie sessão no portal do Azure e procure a aplicação “VMware SD-WAN in vWAN” no Marketplace do Azure. É apresentada a página da aplicação gerida VMware SD-WAN in vWAN. Pode utilizar esta aplicação para automatizar a implementação de Edges virtuais no Hub WAN Virtual.
  6. Clique em Criar (Create) na aplicação gerida e introduza os seguintes detalhes básicos:
    • Subscrição (Subscription): a subscrição que tem o hub WAN virtual criado.
    • Grupo de Recursos (Resource Group): crie um novo grupo de recursos ou selecione o existente.
    • Região (Region): selecione a região na qual Hub WAN Virtual é criado. Os Edges virtuais serão implementados naquele Hub WAN Virtual.
    • Nome da aplicação (Application Name): introduza um nome para a aplicação gerida.
    • Grupo de recursos geridos (Managed Resource Group): forneça o grupo de recursos geridos da aplicação. O grupo de recursos geridos detém todos os recursos necessários pela aplicação gerida a que o consumidor tem acesso limitado.
  7. No separador VMware SD-WAN em WAN Virtual (VMware SD-WAN in Virtual WAN), selecione o Hub WAN Virtual na região selecionada. Os Edges virtuais serão implementados neste hub.
    Assim que o cliente selecionar um Hub WAN Virtual, aparecem as seguintes informações que listam os endereços IP de vizinho BGP e o ASN do Hub WAN Virtual. Tome nota destas informações, uma vez que são necessárias para configurar vizinhanças BGP no Orchestrator.
    • Unidade de escala (Scale unit): selecione a escala conforme necessário.
    • VMware SD-WAN Orchestrator: cole o URL do Orchestrator do Passo 3.
    • Ignorar erros de certificado (IgnoreCertErrors): defina este sinalizador como Falso (False). Altere este sinalizador para Verdadeiro (True) apenas se o URL do Orchestrator não puder ser utilizado e o endereço IP do Orchestrator tiver de ser fornecido.
    • Chave de ativação para Edge1 (ActivationKey for Edge1): cole a chave de ativação do Passo 3.
    • Chave de ativação para Edge2 (ActivationKey for Edge1): cole a chave de ativação do Passo 3.
    • ASN do BGP (BGP ASN): o ASN que será configurado nos Edges Virtuais no VMware SASE Orchestrator. Os seguintes ASNs são reservados pelo Azure ou pelo IANA:
      • ASNs reservados pelo Azure:
        • ASNs públicos: 8074, 8075 e 12076.
        • ASNs privados: 65515, 65517, 65518, 65519 e 65520.
      • ASNs reservados pelo IANA:
        • 23456, 64496-64511, 65535-65551 e 429496729.
    • Nome do cluster (ClusterName): introduza um nome exclusivo para a implementação que não inclua carateres especiais, como #, @, _, -, etc. 
  8. Depois de introduzir todos os campos necessários, clique em Rever e criar (Review + create).
  9. O processo de implementação começará e demorará aproximadamente 10 a 15 minutos a ser concluído. Uma vez concluída a implementação, os Edges virtuais serão ligados e ativados no Orchestrator.
  10. Assim que todos os Edges virtuais estiverem ligados ao Orchestrator, tem de configurar caminhos estáticos e vizinhos BGP para que os Edges virtuais possam ligar-se ao Hub WAN Virtual do Azure: 
    1. Configurar caminhos estáticos (Configure Static Routes): adicione caminhos estáticos /32 suficientes para que haja um caminho exclusivo a apontar para a respetiva interface GE2 em cada Edge virtual. Para adicionar um caminho estático, o Orchestrator requer um endereço IP de próximo hop. Obtenha o endereço IP de próximo hop ao executar o teste “Estado da interface” (Interface Status) do diagnóstico remoto na página da IU do diagnóstico remoto do Orchestrator. Selecione o primeiro endereço IP da sub-rede atribuída ao GE2 e configure-o como próximo hop.
      A imagem a seguir mostra um endereço IP atribuído ao GE2 como 10.101.112.6/25 e o primeiro endereço IP desta sub-rede é de 10.101.112.1, que é utilizado para configurar o caminho estático no Orchestrator.

      Segue-se o resultado do teste de diagnóstico Teste e resolução de problemas (Test & Troubleshoot) > Diagnóstico remoto (Remote Diagnostics) > Estado da interface (Interface Status).

      São configurados dois caminhos estáticos no Edge para chegar aos vizinhos BGP, como mostrado na captura de ecrã seguinte.

    2. Configuração do vizinho BGP (BGP Neighbor Configuration): configure os vizinhos BGP para cada Edge virtual, como mostrado no diagrama seguinte. Utilize os IPs do vizinho BGP e o número ASN, como mostrado na mensagem de informação no Passo 7.

      Uma vez configurados os caminhos estáticos e as vizinhanças BGP, os Edges virtuais devem começar a aprender caminhos a partir do Hub WAN Virtual do Azure. O estado da vizinhança BGP pode ser verificado em Monitorizar (Monitor) > Serviços de rede (Network Services).

  11. (Opcional) Adicione os Edges virtuais a um cluster. Aceda a Configurar (Configure) > Serviços de rede (Network Services) > Cluster Edge (Edge Cluster), crie um novo cluster de hub e adicione os Edges virtuais ao cluster.
  12. (Opcional) Para adicionar uma ligação de rede virtual com as redes virtuais (vNETs) ao vHub, aceda a vWAN do Azure (Azure vWAN) > Conectividade (Connectivity) > Ligações de rede virtuais (Virtual network connections).
    Clique em Adicionar ligação (Add Connection) e forneça um nome da ligação, escolha o hub, a subscrição e o grupo de recursos. Selecione a vNET e a tabela de caminhos associada que tem de ser ligada ao hub. Por exemplo, é a tabela de caminhos “predefinida” numa vNET.
    Para o Edge do NVA da vWAN, a imagem é uma implementação de 2 NICs, ou seja, a interface GE1 não é utilizada como a interface de “gestão”. Isto é exclusivo da imagem do NVA da vWAN. No cloud_init, defina a flag “management_interface” como “False” (Falso). 
    #cloud-config
password: Velocloud123
chpasswd: { expire: False } 
ssh_pwauth: True 
velocloud:
  vce:
    management_interface: false 
    vco: $vco 
    activation_code: $velo2_token 
    vco_ignore_cert_errors: $velo_ignore_cert_errors

    Em todos os outros Edges da cloud, a interface GE1 é atribuída como interface de “gestão” e não pode ser utilizada para o tráfego de dados.

    Nota: Para clientes cujos routers de hub vWAN do Azure são criados com “infraestrutura de Serviços de cloud”, consulte Instruções de atualização do hub para o VMware SD-WAN Edge implementado como NVA vWAN Azure.