Para aprovisionar um SD-WAN Edge, execute os seguintes passos:
Pré-requisitos
Certifique-se de que tem o nome de anfitrião do SD-WAN Orchestrator e a conta de administração para iniciar sessão.
Procedimento
- Inicie sessão na aplicação do SD-WAN Orchestrator como utilizador administrador, com as credenciais de início de sessão.
- Aceda a Configurar (Configure) > Edges.
- No ecrã Edges, clique em Adicionar Edge (Add Edge). É apresentado o ecrã Aprovisionar um Edge (Provision a Edge).
- Pode configurar as seguintes opções:
Opção Descrição Modo (Mode) Por predefinição, o modo SD-WAN Edge está selecionado. Nome (Name) Introduza um nome exclusivo para o Edge. Modelo (Model) Selecione Edge Virtual (Virtual Edge) no menu pendente. Perfil (Profile) Selecione Perfil de início rápido (Quick Start Profile) no menu pendente. Nota: Se um Perfil de teste do Edge (Edge Staging Profile) for apresentado como uma opção devido à Ativação automática do Edge, significa que este perfil será utilizado por um Edge recém-atribuído, mas que não foi configurado com um perfil de produção.Licença Edge (Edge License) Selecione uma licença Edge no menu pendente. A lista apresenta as licenças atribuídas à empresa pelo operador. Autenticação (Authentication) Selecione o modo de autenticação no menu pendente:
- Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
Aviso: Este modo não é recomendado para qualquer implementação do cliente.
- Aquisição de certificado (Certificate Acquire): este modo está selecionado por predefinição e é recomendado para todas as implementações do cliente. Com o modo Aquisição de certificado (Certificate Acquire), os certificados são emitidos no momento da ativação do Edge e são renovados automaticamente. O Orchestrator instrui o Edge a adquirir um certificado junto da autoridade de certificado do SD-WAN Orchestrator, gerando um par-chave e enviando um pedido de assinatura de certificado ao Orchestrator. Uma vez adquirido, o Edge utiliza o certificado para autenticação no SD-WAN Orchestrator e para a criação de túneis VCMP.
Nota: Após a aquisição do certificado, a opção pode ser atualizada para Certificado necessário (Certificate Required), se necessário.
- Certificado necessário (Certificate Required): este modo apenas é apropriado para empresas clientes que são “estáticas”. Uma empresa estática é definida como uma empresa em que não é provável serem implementados mais do que alguns Edges novos e em que não são previstas alterações de PKI.
Importante: O modo Certificado necessário (Certificate Required) não oferece vantagens de segurança em relação ao modo Aquisição de certificado (Certificate Acquire). Ambos os modos são igualmente seguros e um cliente que utilize Certificado necessário (Certificate Required) deve fazê-lo apenas pelas razões indicadas nesta secção.O modo Certificado necessário (Certificate Required) significa que não são aceites heartbeats Edge sem um certificado válido.Com este modo, o Edge utiliza o certificado PKI. Os operadores podem alterar a janela temporal de renovação do certificado para os Edges ao editar as Propriedades do sistema do Orchestrator. Para obter mais informações, contacte o operador.Cuidado: A utilização deste modo pode provocar falhas no Edge nos casos em que um cliente desconhece esta aplicação estrita.
Nota:- Com a função Orchestrator Bastião (Bastion Orchestrator) ativada, os Edges que serão faseados para Orchestrator Bastião deverão ter o Modo de autenticação (Authentication mode) definido como Aquisição de certificado (Certificate Acquire) ou Certificado necessário (Certificate Required).
- Quando um certificado do Edge é revogado, o Edge é desativado e tem de ser submetido ao processo de ativação. O design QuickSec atual verifica a validade do período da lista de revogação de certificados (CRL). A validade do período da CRL tem de corresponder ao período atual dos Edges para que a CRL tenha impacto na nova ligação estabelecida. Para implementar isto, certifique-se de que atualiza o período do Orchestrator adequadamente de forma a corresponder à data e hora dos Edges.
Encriptar segredos do dispositivo (Encrypt Device Secrets) Selecione a caixa de verificação Ativar (Enable) para permitir que o Edge encripte os dados sensíveis em todas as plataformas. Essa opção também está disponível na página Visão geral (Overview) do Edge. Nota: Para as versões 5.2.0 e superiores do Edge, antes de desativar esta opção, primeiro tem de desativar o Edge através de ações remotas. Esta ação provoca a reinicialização do Edge.Alta disponibilidade (High Availability) Selecione a caixa de verificação Ativar (Enable) para aplicar Alta Disponibilidade (HA). Os Edges podem ser instalados como um único dispositivo autónomo ou emparelhados com outro Edge para fornecer suporte de alta disponibilidade (HA). Nome do contacto local (Local Contact Name) Introduza o nome do contacto do site para o Edge. E-mail de contacto local (Local Contact Email) Introduza o endereço de e-mail do contacto do site para o Edge. - Certificado desativado (Certificate Deactivated): o Edge utiliza um modo de autenticação de chave pré-partilhada.
- Introduza todos os detalhes necessários e clique em Seguinte (Next) para configurar as seguintes opções adicionais:
Nota: O botão Seguinte (Next) é ativado apenas quando introduz todos os detalhes necessários.
Opção Descrição Número de série (Serial Number) Introduza o número de série do Edge. Quando especificado, o Edge tem de apresentar este número de série na ativação. Nota: Ao implementar VMware SD-WAN Edges em AWS Edges, certifique-se de que utiliza o ID de instância como número de série para o Edge.Descrição (Description) Introduza uma descrição apropriada. Localização (Location) Clique na ligação Definir localização (Set Location) para definir a localização do Edge. Se não for especificado, a localização será detetada automaticamente a partir do endereço IP quando o Edge for ativado. - Clique em Adicionar Edge (Add Edge).
O Edge é aprovisionado e a chave de ativação é apresentada no topo da página. Tome nota da chave de ativação para a utilizar para iniciar o Edge a partir da consola AliCloud.Nota: A chave de ativação expirará no prazo de um mês se o dispositivo Edge não for ativado com a mesma.
- Configure interfaces do Edge virtual. Os seguintes passos são explicados considerando a topologia A.
- Aceda a Configurar (Configure) > Edges. A página Edges apresenta os Edges existentes.
- Clique na ligação para um Edge ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
- Aceda à área Definições de interface (Interface Settings).
- Na categoria Conetividade (Connectivity), expanda Interfaces. São apresentados diferentes tipos de interfaces disponíveis para o Edge selecionado.
- Selecione a caixa de verificação Sobrepor interface (Override Interface). Clique na ligação para a Interface GE2 (GE2 Interface) para editar as definições.
- Clique na ligação para a Interface GE3 (GE3 Interface) e selecione a caixa de verificação Sobrepor interface (Override Interface).
- Desative Overlay WAN (WAN Overlay) e Tráfego NAT direto (NAT Direct Traffic), uma vez que esta interface será utilizada do lado da LAN, e clique em Guardar (Save).
Para obter mais informações, consulte o tópico Configurar as definições da interface para os Edges no Guia de administração do VMware SD-WAN.
Nota: Se estiver a utilizar uma instância Edge com apenas duas interfaces, conforme ilustrado na topologia B, a interface pública (GE2) é utilizada tanto para a conectividade WAN como para a LAN. Para que a rede LAN aponte para a interface GE2, em Definições de caminho estático (Static Route Settings), configure um caminho estático no Edge a apontar para a Sub-rede/VSwitch privado. - Na área Configurar VLAN (Configure VLAN), edite as definições VLAN para atualizar o Endereço IP LAN Edge (Edge LAN IP Address).
- (Opcional) Se estiver a utilizar um anfitrião de salto, para permitir o acesso SSH ao Edge a partir do servidor de salto, certifique-se de que ativa o Acesso de suporte (Support Access) para o IP do servidor do anfitrião de salto na página Firewall.
- Clique em Guardar (Save).