O gateway de parceiro VMware oferece diferentes opções de configuração. Deve ser preparada uma ficha de trabalho antes da instalação do gateway.

Ficha de trabalho

SD-WAN Gateway
  • Versão
  • Localização do ficheiro OVA/QCOW2
  • Chave de ativação
  • SASE Orchestrator (IP ADDRESS/vco-fqdn-hostname)
  • Nome de anfitrião
Hipervisor Nome do cluster/endereço
Armazenamento Arquivo de dados do volume raiz (recomendado >40 GB)
Alocação de CPU Alocação de CPU para KVM/VMware.
Seleções de instalação DPDK — É opcional e está ativado por predefinição para um débito mais elevado. Se optar por desativar o DPDK, contacte o Apoio ao cliente do VMware.
Rede OAM
  • DHCP
  • Endereço IPv4 OAM
  • Máscara de rede IPv4 OAM
  • Servidor DNS – principal
  • Servidor DNS – secundário
  • Caminhos estáticos
ETH0 – Rede com acesso à Internet
  • Endereço IPv4
  • Máscara de rede IPv4
  • Gateway predefinido IPv4
  • Servidor DNS – principal
  • Servidor DNS – secundário
Entrega (ETH1) – Rede
  • Endereço IPv4 MGMT VRF
  • Máscara de rede IPv4 MGMT VRF
  • Gateway predefinido IPv4 MGMT VRF
  • Servidor DNS – principal
  • Servidor DNS – secundário
  • Entrega (QinQ (0x8100), QinQ (0x9100), nenhum, 802.1Q, 802.1ad)
  • C-TAG
  • S-TAG
Acesso de consola
  • Consola_Palavra-passe
  • SSH:
    • Ativado (sim/não)
    • Chave pública do SSH
NTP
  • NTP público:
    • servidor 0.ubuntu.pool.ntp.org
    • servidor 1.ubuntu.pool.ntp.org
    • servidor 2.ubuntu.pool.ntp.org
    • servidor 3.ubuntu.pool.ntp.org
  • Servidor NTP interno – 1
  • Servidor NTP interno – 2

Secção SD-WAN Gateway

A maior parte da secção SD-WAN Gateway é autoexplicativa.

SD-WAN Gateway
  • Versão – Deve ser igual ou inferior a SASE Orchestrator
  • Localização do ficheiro OVA/QCOW2 – Planeie previamente a localização do ficheiro e a alocação do disco
  • Chave de ativação
  • SASE Orchestrator (IP ADDRESS/vco-fqdn-hostname)
  • Nome de anfitrião – Nome de anfitrião do Linux válido “RFC 1123”

Criar um gateway e obter a chave de ativação

  1. No portal do operador, clique no separador Gestão de gateways (Gateway Management) e aceda a Conjuntos de gateways (Gateway Pools) no painel de navegação esquerdo. É apresentada a página Conjuntos de gateways (Gateway Pools). Crie um novo conjunto do SD-WAN Gateway. Para executar o SD-WAN Gateway na rede do fornecedor de serviços, marque a caixa de verificação Permitir Gateway de Parceiro (Allow Partner Gateway). Ativará, assim, a opção de incluir o gateway de parceiro neste conjunto de gateways.

  2. No portal do operador, clique em Gestão de gateways (Gateway Management) > Gateways e crie um novo gateway e atribua-o ao conjunto. O endereço IP do gateway aqui inserido deve corresponder ao Endereço IP público do gateway. Se não tiver certeza, poderá executar curl ipinfo.io/ip no SD-WAN Gateway, que devolverá o IP público do SD-WAN Gateway.

  3. Tome nota da chave de ativação e adicione-a à ficha de trabalho.

Ativar o modo de gateway de parceiro

  1. No portal do operador, clique em Gestão de gateways (Gateway Management) > Gateways e selecione o SD-WAN Gateway. Selecione a caixa de verificação Gateway de parceiro (Partner Gateway) para ativar o Gateway de parceiro.

    Existem parâmetros adicionais que podem ser configurados. Os mais comuns são os seguintes:
    • Anunciar 0.0.0.0/0 sem encriptação (Advertise 0.0.0.0/0 with no encrypt) – esta opção permitirá ao Gateway de parceiro anunciar um caminho para o tráfego na cloud da aplicação SAAS. Como a Marca de encriptação (Encrypt Flag) está desativada, será da responsabilidade do cliente a configuração da política empresarial para utilizar este caminho ou não.
    • A segunda opção recomendada é anunciar o IP do SASE Orchestrator como um /32 com encriptação.

      Isto forçará o tráfego que é enviado do Edge para o SASE Orchestrator a assumir o caminho do gateway. Esta opção é recomendada, uma vez que introduz previsibilidade ao comportamento do SD-WAN Edge para chegar ao SASE Orchestrator.

Rede

Importante: O procedimento e as imagens seguintes centram-se na implementação mais comum, que é a instalação de 2 ARM para o gateway. A adição de uma rede OAM é considerada na secção intitulada, Interface OAM e caminhos estáticos.

vcg-partner-gateway-pe-image

O diagrama acima é uma representação do SD-WAN Gateway numa implementação de 2 ARM. Neste exemplo, assumimos que eth0 é a interface voltada para a rede pública (Internet) e eth1 é a interface voltada para a rede interna (handoff ou interface VRF).

Nota: Um VRF de gestão (Management VRF) é criado no SD-WAN Gateway e é utilizado para enviar uma atualização ARP periódica para o IP de gateway predefinido para verificar se a interface de handoff está fisicamente em funcionamento e acelera o tempo de recuperação automática. Recomenda-se que seja criado um VRF dedicado no router PE para este fim. Opcionalmente, o mesmo VRF de gestão também pode ser utilizado pelo router PE para enviar uma pesquisa SLA IP para o SD-WAN Gateway para verificar o estado do SD-WAN Gateway (o SD-WAN Gateway tem um respondedor ICMP com estado que responderá ao ping apenas quando o serviço estiver em funcionamento). Se não for configurado um VRF de gestão dedicado, poderá utilizar um dos VRFs do cliente como um VRF de gestão, embora isso não seja recomendado.

Em relação com acesso à Internet só necessita da configuração de rede básica.

ETH0 – Rede com acesso à Internet
  • Endereço_IPv4
  • Máscara de rede_IPv4
  • Gateway_predefinido_IPv4
  • Servidor_DNS_principal
  • Servidor_DNS_secundário

Em relação à interface de handoff, tem de saber que tipo de handoff pretende configurar e a configuração de handoff para o VRF de gestão.

ETH1 – Rede de ENTREGA
  • Endereço_IPv4_MGMT
  • Máscara de rede_IPv4_MGMT
  • Gateway_predefinido_IPv4_MGMT
  • Servidor_DNS_principal
  • Servidor_DNS_secundário
  • Entrega (QinQ (0x8100), QinQ (0x9100), nenhum, 802.1Q, 802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

Acesso de consola

Acesso de consola
  • Consola_Palavra-passe
  • SSH:
    • Ativado (sim/não)
    • Chave pública do SSH

Para aceder ao gateway, tem de ser criada uma palavra-passe de consola e/ou uma chave pública SSH.

Criação do cloud-init

As opções de configuração do gateway que definimos na ficha de trabalho são utilizadas na configuração do cloud-init. A configuração do cloud-init é composta por dois ficheiros de configuração principais: o ficheiro de metadados e o ficheiro de dados do utilizador. Os metadados contêm a configuração de rede para o gateway, os dados do utilizador contêm a configuração do software do gateway. Este ficheiro fornece informações que identificam a instância do SD-WAN Gateway a ser instalada.

Abaixo estão os modelos para os ficheiros meta_data e user_data. É possível omitir o network-config. As interfaces de rede serão configuradas via DHCP por predefinição.

Preencha os modelos com as informações na ficha de trabalho. Todas as #_VARIABLE_# devem ser substituídas e deve verificar qualquer #ACTION#

Importante: O modelo pressupõe que está a utilizar a configuração estática para as interfaces. Também assume que está a utilizar o SR-IOV para todas as interfaces ou para nenhuma. Para obter mais informações, consulte OAM – SR-IOV com vmxnet3 ou SR-IOV com VIRTIO.
Ficheiro de metadados:
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
Ficheiro network-config (os espaços iniciais são importantes!)
Nota: Os exemplos de configuração de rede abaixo descrevem a configuração da máquina virtual com duas interfaces de rede, eth0 e eth1, com endereços IP estáticos. eth0 é a interface principal com uma rota predefinida e uma métrica de 1. eth1 é a interface secundária com uma rota predefinida e uma métrica de 13. O sistema será configurado com autenticação por palavra-passe para o utilizador predefinido (vcadmin). Adicionalmente, a chave autorizada SSH será adicionada para o utilizador vcadmin. O SD-WAN Gateway será automaticamente ativado para o SASE Orchestrator com o activation_code indicado.
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
Ficheiro de dados de utilizador:
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

O nome de utilizador predefinido para a palavra-passe configurada no ficheiro de dados de utilizador é “vcadmin”. Utilize este nome de utilizador predefinido para iniciar sessão no SD-WAN Gateway pela primeira vez.

Importante: Valide sempre os dados de utilizador e os metadados, através de http://www.yamllint.com/, a network-config também deve ser uma configuração de rede válida ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html). Por vezes, ao trabalhar com a função copiar/colar do Windows/Mac, existe um problema de introdução de aspas inteligentes que pode corromper os ficheiros. Execute o seguinte comando para confirmar a inexistência de aspas inteligentes.
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

Criar ficheiro ISO

Uma vez concluídos os seus ficheiros, estes têm de ser embalados numa imagem ISO. Esta imagem ISO é utilizada como um CD de configuração virtual com a máquina virtual. Esta imagem ISO, denominada vcg01-cidata.iso, é criada com o seguinte comando num sistema Linux:

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

Se estiver num MAC OSX, utilize o comando abaixo:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

Este ficheiro ISO a que chamaremos #CLOUD_INIT_ISO_FILE# será utilizado nas instalações OVA e VMware.