VMware 合作夥伴閘道提供不同的組態選項。安裝閘道前應該先準備一張工作表。

工作表

SD-WAN 閘道
  • 版本 (Version)
  • OVA/QCOW2 檔案位置
  • 啟用金鑰 (Activation Key)
  • SASE Orchestrator (IP 位址/vco-fqdn-hostname)
  • 主機名稱
Hypervisor 位址/叢集名稱
儲存區 根磁碟區資料存放區 (建議 >40GB)
CPU 配置 KVM/VMware 的 CPU 配置。
安裝選項 DPDK - 此選項是可選的,依預設會啟用,以提高總流量。如果您選擇停用 DPDK,請連絡 VMware 客戶支援
OAM 網路
  • DHCP
  • OAM IPv4 位址
  • OAM IPv4 網路遮罩
  • DNS 伺服器 - 主要
  • DNS 伺服器 - 次要
  • 靜態路由
ETH0 – 網際網路對向網路
  • IPv4 位址
  • IPv4 網路遮罩
  • IPv4 預設閘道
  • DNS 伺服器 - 主要
  • DNS 伺服器 - 次要
遞交 (ETH1) - 網路
  • 管理 VRF IPv4 位址
  • 管理 VRF IPv4 網路遮罩
  • 管理 VRF IPv4 預設閘道
  • DNS 伺服器 - 主要
  • DNS 伺服器 - 次要
  • 遞交 ( QinQ (0x8100)、QinQ (0x9100)、無、802.1Q、802.1ad)
  • C 標籤
  • S 標籤
主控台存取
  • Console_Password
  • SSH:
    • 已啟用 (是/否)
    • SSH 公開金鑰
NTP
  • 公用 NTP:
    • 伺服器 0.ubuntu.pool.ntp.org
    • 伺服器 1.ubuntu.pool.ntp.org
    • 伺服器 2.ubuntu.pool.ntp.org
    • 伺服器 3.ubuntu.pool.ntp.org
  • 內部 NTP 伺服器 - 1
  • 內部 NTP 伺服器 - 2

SD-WAN 閘道 區段

大部分 SD-WAN 閘道 區段都不言而喻。

SD-WAN 閘道
  • 版本 - 應等於或低於 SASE Orchestrator
  • OVA/QCOW2 檔案位置 - 預先規畫檔案位置和磁碟配置
  • 啟用金鑰 (Activation Key)
  • SASE Orchestrator (IP 位址/vco-fqdn-hostname)
  • 主機名稱 - 有效的 Linux 主機名稱「RFC 1123」

建立閘道和取得啟用金鑰

  1. 在操作員入口網站中,按一下閘道管理 (Gateway Management) 索引標籤,然後移至左側導覽窗格中的 [閘道集區 (Gateway Pools)]。此時會顯示 [閘道集區 (Gateway Pools)] 頁面。建立新的 SD-WAN 閘道集區。若要在服務提供者網路中執行 SD-WAN 閘道,請勾選允許合作夥伴閘道 (Allow Partner Gateway) 核取方塊。這將啟用讓您在此閘道集區中包含合作夥伴閘道的選項。

  2. 在操作員入口網站中,按一下閘道管理 (Gateway Management) > 閘道 (Gateways),然後建立一個新閘道並指派給集區。此處輸入的閘道 IP 位址,必須與閘道的公用 IP 位址 (public IP address) 相符。如果不確定,您可以從 SD-WAN 閘道 執行 curl ipinfo.io/ip,將會傳回 SD-WAN 閘道 的公用 IP。

  3. 記下啟用金鑰,並新增至工作表。

啟用合作夥伴閘道模式

  1. 在操作員入口網站中,按一下閘道管理 (Gateway Management) > 閘道 (Gateways),然後選取 SD-WAN 閘道。勾選合作夥伴閘道 (Partner Gateway) 核取方塊,以啟用合作夥伴閘道。

    另有其他參數可供設定。最常用的參數如下:
    • 通告 0.0.0.0/0 且不加密 (Advertise 0.0.0.0/0 with no encrypt) - 此選項可讓合作夥伴閘道針對 SAAS 應用程式通告雲端流量的路徑。由於加密旗標已關閉,是否使用此路徑取決於客戶的商務原則組態。
    • 第二個建議選項是將 SASE Orchestrator IP 通告為 /32 並加密。

      這將強制從 Edge 傳送至 SASE Orchestrator 的流量採取閘道路徑。這是建議的選項,以利於預測 SD-WAN Edge 達到 SASE Orchestrator 所採取的行為。

網路

重要: 下列程序和螢幕擷取畫面是針對最常見的部署,即閘道的 2-ARM 安裝。 OAM 介面和靜態路由一節中說明新增 OAM 網路。

vcg-partner-gateway-pe-image

上圖呈現 2-ARM 部署中的 SD-WAN 閘道。在此範例中,假設 eth0 是面向公用網路 (網際網路) 的介面,而 eth1 是面向內部網路 (遞交或 VRF 介面) 的介面。

備註: 管理 VRF 會在 SD-WAN 閘道 上建立,用於將定期 ARP 重新整理傳送至預設閘道 IP,以檢查遞交介面是否實際運作,並加速容錯移轉時間。為此,建議在 PE 路由器上設定專用的 VRF。或者,PE 路由器也可以使用相同的管理 VRF,將 IP SLA 探查傳送至 SD-WAN 閘道 以檢查 SD-WAN 閘道 狀態 ( SD-WAN 閘道 具有可設定狀態的 ICMP 回應程式,但僅在其服務已啟動時才會回應 Ping)。如果未設定專用的管理 VRF,則您可以使用其中一個客戶 VRF 作為管理 VRF (但不建議)。

對於網際網路對向網路,您只需要基本網路設定。

ETH0 – 網際網路對向網路
  • IPv4_Address
  • IPv4_Netmask
  • IPv4_Default_gateway
  • DNS_server_primary
  • DNS_server_secondary

對於遞交介面,您必須知道想要設定的遞交類型,以及「管理 VRF」的遞交組態。

ETH1 – 遞交網路
  • MGMT_IPv4_Address
  • MGMT_IPv4_Netmask
  • MGMT_IPv4_Default 閘道
  • DNS_Server_Primary
  • DNS_Server_Secondary
  • 遞交 ( QinQ (0x8100)、QinQ (0x9100)、無、802.1Q、802.1ad)
  • C_TAG_FOR_MGMT_VRF
  • S_TAG_FOR_MGMT_VRF

主控台存取 (Console Access)

主控台存取
  • Console_Password
  • SSH:
    • 已啟用 (是/否)
    • SSH 公開金鑰

若要存取閘道,則必須建立主控台密碼和/或 SSH 公開金鑰。

建立 Cloud-Init

我們在工作表中定義的閘道組態選項會用於 cloud-init 組態中。Cloud-init 組態由兩個主要組態檔組成,即中繼資料檔案和使用者資料檔案。中繼資料包含閘道的網路組態,而使用者資料包含閘道軟體組態。此檔案提供資訊來識別要安裝的 SD-WAN 閘道 執行個體。

以下是 meta_data 和 user_data 檔案的範本。Network-config 可以省略,且依預設會透過 DHCP 設定網路介面。

將工作表中的資訊填入範本。必須更換所有 #_VARIABLE_#,並請檢查任何 #ACTION#

重要: 範本假設針對介面使用靜態組態。同時也假設所有介面皆使用或不使用 SR-IOV。如需詳細資訊,請參閱 OAM - 使用 vmxnet3 的 SR-IOV 或使用 VIRTIO 的 SR-IOV
meta-data 檔案:
instance-id: #_Hostname_#
local-hostname: #_Hostname_#
network-config 檔案 (前導空格很重要!)
備註: 以下 network-config 範例說明如何為虛擬機器設定兩個網路介面 eth0 和 eth1,並使用靜態 IP 位址。eth0 是主要介面,具有預設路由且度量 1。eth1 是次要介面,具有預設路由且度量為 13。將設定系統以對預設使用者 (vcadmin) 使用密碼驗證。此外,系統將為 vcadmin 使用者新增 SSH 授權金鑰。將使用提供的 activation_code,在 SASE Orchestrator 中自動啟用 SD-WAN 閘道。
version: 2
ethernets: 
   eth0:
      addresses:
         - #_IPv4_Address_/mask#       
      gateway4: #_IPv4_Gateway_# 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_IPv4_Gateway_#
           metric: 1 
   eth1:
      addresses:
         - #_MGMT_IPv4_Address_/Mask#        
      gateway4: 192.168.152.1 
      nameservers:
         addresses:
            - #_DNS_server_primary_#
            - #_DNS_server_secondary_# 
         search: []
      routes:
         - to: 0.0.0.0/0
           via: #_MGMT_IPv4_Gateway_# 
           metric: 13
user-data 檔案:
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
  - #_SSH_public_Key_#
velocloud:
  vcg:
    vco: #_VCO_#
    activation_code: #_Activation_Key#
    vco_ignore_cert_errors: false

在使用者資料檔案中設定之密碼的預設使用者名稱為「vcadmin」。第一次登入 SD-WAN 閘道 時請使用此預設使用者名稱。

重要: 一律驗證 user-data 和中繼資料,使用 http://www.yamllint.com/ network-config 也應該是有效的網路組態 ( https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html)。使用 Windows/Mac 複製貼上功能時,有時會因為導入「智慧型引號」而損毀檔案。請執行下列命令,以確保不受智慧型引號所影響。
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

建立 ISO 檔案

完成檔案後,您必須將其封裝為 ISO 映像。此 ISO 映像用作虛擬機器的虛擬組態 CD。此 ISO 映像 (稱為 vcg01-cidata.iso) 是在 Linux 系統上使用下列命令所建立:

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config

如果您在 MAC OSX 上,請改為使用下列命令:

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}

OVA 和 VMware 安裝時將使用此 ISO 檔案,稱為 #CLOUD_INIT_ISO_FILE#。