VMware 合作夥伴閘道提供不同的組態選項。安裝閘道前應該先準備一張工作表。
工作表
| SD-WAN 閘道 |
|
| Hypervisor | 位址/叢集名稱 |
| 儲存區 | 根磁碟區資料存放區 (建議 >40GB) |
| CPU 配置 | KVM/VMware 的 CPU 配置。 |
| 安裝選項 | DPDK - 此選項是可選的,依預設會啟用,以提高總流量。如果您選擇停用 DPDK,請連絡 VMware 客戶支援。 |
| OAM 網路 |
|
| ETH0 – 網際網路對向網路 |
|
| 遞交 (ETH1) - 網路 |
|
| 主控台存取 |
|
| NTP |
|
SD-WAN 閘道 區段
大部分 SD-WAN 閘道 區段都不言而喻。
| SD-WAN 閘道 |
|
建立閘道和取得啟用金鑰
- 在操作員入口網站中,按一下閘道管理 (Gateway Management) 索引標籤,然後移至左側導覽窗格中的 [閘道集區 (Gateway Pools)]。此時會顯示 [閘道集區 (Gateway Pools)] 頁面。建立新的 SD-WAN 閘道集區。若要在服務提供者網路中執行 SD-WAN 閘道,請勾選允許合作夥伴閘道 (Allow Partner Gateway) 核取方塊。這將啟用讓您在此閘道集區中包含合作夥伴閘道的選項。
- 在操作員入口網站中,按一下閘道管理 (Gateway Management) > 閘道 (Gateways),然後建立一個新閘道並指派給集區。此處輸入的閘道 IP 位址,必須與閘道的公用 IP 位址 (public IP address) 相符。如果不確定,您可以從 SD-WAN 閘道 執行
curl ipinfo.io/ip,將會傳回 SD-WAN 閘道 的公用 IP。
- 記下啟用金鑰,並新增至工作表。
啟用合作夥伴閘道模式
- 在操作員入口網站中,按一下閘道管理 (Gateway Management) > 閘道 (Gateways),然後選取 SD-WAN 閘道。勾選合作夥伴閘道 (Partner Gateway) 核取方塊,以啟用合作夥伴閘道。
另有其他參數可供設定。最常用的參數如下:- 通告 0.0.0.0/0 且不加密 (Advertise 0.0.0.0/0 with no encrypt) - 此選項可讓合作夥伴閘道針對 SAAS 應用程式通告雲端流量的路徑。由於加密旗標已關閉,是否使用此路徑取決於客戶的商務原則組態。
-
第二個建議選項是將 SASE Orchestrator IP 通告為 /32 並加密。
這將強制從 Edge 傳送至 SASE Orchestrator 的流量採取閘道路徑。這是建議的選項,以利於預測 SD-WAN Edge 達到 SASE Orchestrator 所採取的行為。
網路
重要: 下列程序和螢幕擷取畫面是針對最常見的部署,即閘道的 2-ARM 安裝。
OAM 介面和靜態路由一節中說明新增 OAM 網路。
上圖呈現 2-ARM 部署中的 SD-WAN 閘道。在此範例中,假設 eth0 是面向公用網路 (網際網路) 的介面,而 eth1 是面向內部網路 (遞交或 VRF 介面) 的介面。
備註:
管理 VRF 會在
SD-WAN 閘道 上建立,用於將定期 ARP 重新整理傳送至預設閘道 IP,以檢查遞交介面是否實際運作,並加速容錯移轉時間。為此,建議在 PE 路由器上設定專用的 VRF。或者,PE 路由器也可以使用相同的管理 VRF,將 IP SLA 探查傳送至
SD-WAN 閘道 以檢查
SD-WAN 閘道 狀態 (
SD-WAN 閘道 具有可設定狀態的 ICMP 回應程式,但僅在其服務已啟動時才會回應 Ping)。如果未設定專用的管理 VRF,則您可以使用其中一個客戶 VRF 作為管理 VRF (但不建議)。
對於網際網路對向網路,您只需要基本網路設定。
| ETH0 – 網際網路對向網路 |
|
對於遞交介面,您必須知道想要設定的遞交類型,以及「管理 VRF」的遞交組態。
| ETH1 – 遞交網路 |
|
主控台存取 (Console Access)
| 主控台存取 |
|
若要存取閘道,則必須建立主控台密碼和/或 SSH 公開金鑰。
建立 Cloud-Init
我們在工作表中定義的閘道組態選項會用於 cloud-init 組態中。Cloud-init 組態由兩個主要組態檔組成,即中繼資料檔案和使用者資料檔案。中繼資料包含閘道的網路組態,而使用者資料包含閘道軟體組態。此檔案提供資訊來識別要安裝的 SD-WAN 閘道 執行個體。
以下是 meta_data 和 user_data 檔案的範本。Network-config 可以省略,且依預設會透過 DHCP 設定網路介面。
將工作表中的資訊填入範本。必須更換所有 #_VARIABLE_#,並請檢查任何 #ACTION#
重要: 範本假設針對介面使用靜態組態。同時也假設所有介面皆使用或不使用 SR-IOV。如需詳細資訊,請參閱
OAM - 使用 vmxnet3 的 SR-IOV 或使用 VIRTIO 的 SR-IOV。
meta-data 檔案:
instance-id: #_Hostname_# local-hostname: #_Hostname_#
network-config 檔案 (前導空格很重要!)
備註: 以下 network-config 範例說明如何為虛擬機器設定兩個網路介面 eth0 和 eth1,並使用靜態 IP 位址。eth0 是主要介面,具有預設路由且度量 1。eth1 是次要介面,具有預設路由且度量為 13。將設定系統以對預設使用者 (vcadmin) 使用密碼驗證。此外,系統將為 vcadmin 使用者新增 SSH 授權金鑰。將使用提供的 activation_code,在
SASE Orchestrator 中自動啟用 SD-WAN 閘道。
version: 2
ethernets:
eth0:
addresses:
- #_IPv4_Address_/mask#
gateway4: #_IPv4_Gateway_#
nameservers:
addresses:
- #_DNS_server_primary_#
- #_DNS_server_secondary_#
search: []
routes:
- to: 0.0.0.0/0
via: #_IPv4_Gateway_#
metric: 1
eth1:
addresses:
- #_MGMT_IPv4_Address_/Mask#
gateway4: 192.168.152.1
nameservers:
addresses:
- #_DNS_server_primary_#
- #_DNS_server_secondary_#
search: []
routes:
- to: 0.0.0.0/0
via: #_MGMT_IPv4_Gateway_#
metric: 13
user-data 檔案:
#cloud-config
hostname: #_Hostname_#
password: #_Console_Password_#
chpasswd: {expire: False}
ssh_pwauth: True
ssh_authorized_keys:
- #_SSH_public_Key_#
velocloud:
vcg:
vco: #_VCO_#
activation_code: #_Activation_Key#
vco_ignore_cert_errors: false
在使用者資料檔案中設定之密碼的預設使用者名稱為「vcadmin」。第一次登入 SD-WAN 閘道 時請使用此預設使用者名稱。
重要: 一律驗證 user-data 和中繼資料,使用
http://www.yamllint.com/ network-config 也應該是有效的網路組態 (
https://cloudinit.readthedocs.io/en/19.4/topics/network-config.html)。使用 Windows/Mac 複製貼上功能時,有時會因為導入「智慧型引號」而損毀檔案。請執行下列命令,以確保不受智慧型引號所影響。
sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new
建立 ISO 檔案
完成檔案後,您必須將其封裝為 ISO 映像。此 ISO 映像用作虛擬機器的虛擬組態 CD。此 ISO 映像 (稱為 vcg01-cidata.iso) 是在 Linux 系統上使用下列命令所建立:
genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data network-config
如果您在 MAC OSX 上,請改為使用下列命令:
mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data,network-config}
OVA 和 VMware 安裝時將使用此 ISO 檔案,稱為 #CLOUD_INIT_ISO_FILE#。
