若要在虛擬中樞手動部署 VMware SD-WAN Edge,您必須先在 Azure 端建立資源群組、虛擬 WAN (vWAN) 和虛擬中樞 (vHUB)。

組態步驟:

必要條件

在 vWAN 中樞已啟動且正在執行,而路由狀態為 [完成 (complete)] 後,您還必須符合下列必要條件,才能繼續透過 VMware SASE Orchestrator 來手動部署 Azure vWAN 網路虛擬應用裝置 (NVA):
  • 取得 VMware SASE Orchestrator 的企業帳戶存取權。
  • 使用適當的 IAM 角色來存取 Microsoft Azure 入口網站。
  • 此部署對軟體映像的需求如下:
    • VMware SASE Orchestrator:4.5.0 及更新版本。
    • VMware SD-WAN 閘道:4.5.0 及更新版本。
    • VMware SD-WAN Edge:4.2.1 及更新版本。

程序

  1. 在 Orchestrator 中,導覽至設定 (Configure) > Edge > 新增 Edge (New Edge),以建立虛擬 Edge。
  2. 在 Orchestrator 中,於 Edge 建立好之後,依照下列方式變更所有 Edge 的介面設定:
    • 將 GE1 介面變更為路由 (Route),並具有自動偵測 WAN 覆疊。
    • 將 GE2 變更為路由 (Route),並停用 WAN 覆疊。
    • 此部署中不使用 GE3 到 GE8 介面。
    備註: 您可以根據此整合的要求,使用虛擬 Edge 介面設定來為設定檔進行設定,這樣當您在 Orchestrator 上建立虛擬 Edge 後,就無需變更介面設定。
    備註: 如果您嘗試將 Edge 從 4.2.1 版降級到更早版本,Edge 將陷入啟用迴圈。
  3. 對 VMware SD-WAN Azure NVA 進行 SSH 存取時,將受 Azure 支援團隊管理。Azure 端會強制實施安全原則,這些原則僅允許來源 IP 位址 168.63.129.16 透過 SSH 存取 Azure 虛擬 Edge。若要允許虛擬 Edge 接受從該來源 IP 透過 SSH 進行存取,請導覽至設定 (Configure) > Edge > 防火牆 (Firewall) > Edge 存取 (Edge Access) > 支援存取 (Support Access),然後在允許下列 IP (Allow the following IPs) 欄位下,新增 IP 位址 168.63.129.16
    備註: 您可以對多個或所有虛擬 Edge 使用的設定檔執行步驟 3 以進行設定,這樣就無需個別設定每個虛擬 Edge。

    有關此 IP 組態的更多詳細資料,請參閱 https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16

  4. 複製 Orchestrator URL 及每個虛擬 Edge 的啟用金鑰。
    例如:
    • vcoxx-usvi1.velocloud.net
    • 啟用金鑰 1:XXXX:ZE8F:YYYY:67YT
    • 啟用金鑰 2:XXXX:ZE8F:ZZZZ:67YT
  5. 登入 Azure 入口網站,然後在 Azure Marketplace 搜尋 [vWAN 中的 VMware SD-WAN (VMware SD-WAN in vWAN)] 應用程式。此時會顯示 vWAN 中的 VMware SD-WAN (VMware SD-WAN in vWAN) 受管理應用程式頁面。您可以使用此應用程式,在虛擬 WAN 中樞自動部署虛擬 Edge。
  6. 在受管理應用程式上按一下建立 (Create),然後輸入以下基本詳細資料:
    • 訂閱 (Subscription):具有所建立之虛擬 WAN 中樞的訂閱。
    • 資源群組 (Resource Group):建立新的資源群組或選取現有的資源群組。
    • 區域 (Region):選取虛擬 WAN 中樞是在哪個區域建立的。虛擬 Edge 將部署於該虛擬 WAN 中樞。
    • 應用程式名稱 (Application Name):輸入受管理應用程式的名稱。
    • 受管理資源群組 (Managed Resource Group) - 提供應用程式的受管理資源群組。受管理資源群組保存著受管理應用程式所需的一切資源,取用者對該資源僅具有有限的存取權。
  7. 虛擬 WAN 中的 VMware SD-WAN (VMware SD-WAN in Virtual WAN) 索引標籤中,於所選區域選取虛擬 WAN 中樞。該虛擬 Edge 將部署於此中樞。
    在客戶選取虛擬 WAN 中樞後,即會顯示下列資訊,列出虛擬 WAN 中樞的 BGP 芳鄰 IP 位址和 ASN。請記下這些資訊,因為在 Orchestrator 上設定 BGP 芳鄰關係時會用到這些資訊。
    • 縮放單位 (Scale unit):根據需要選取縮放。
    • VMware SD-WAN Orchestrator:貼上來自步驟 3 的 Orchestrator URL。
    • IgnoreCertErrors:將此旗標設為 False。只有在無法使用 Orchestrator URL 且必須提供 Orchestrator IP 位址時,才將此旗標變更為 True。
    • Edge1 的啟用金鑰 (ActivationKey for Edge1):貼上來自步驟 3 的啟用金鑰。
    • Edge2 的啟用金鑰 (ActivationKey for Edge2):貼上來自步驟 3 的啟用金鑰。
    • BGP ASN:要在 VMware SASE Orchestrator 中為虛擬 Edge 設定的 ASN。Azure 或 IANA 保留下列 ASN:
      • Azure 保留的 ASN:
        • 公用 ASN:8074、8075 和 12076。
        • 私人 ASN:65515、65517、65518、65519 和 65520。
      • IANA 保留的 ASN:
        • 23456、64496-64511、65535-65551 和 429496729。
    • 叢集名稱 (ClusterName):為部署輸入不含 #、@、_、- 等特殊字元的唯一名稱。
  8. 輸入所有必填欄位後,按一下檢閱 + 建立 (Review + Create)
  9. 此時會啟動部署程序,大約需要 10 到 15 分鐘來完成。部署完成後,虛擬 Edge 將連線到 Orchestrator 並對其進行啟用。
  10. 所有虛擬 Edge 都連線至 Orchestrator 後,您需要設定靜態路由和 BGP 芳鄰,以便虛擬 Edge 可以連線至 Azure 虛擬 WAN 中樞:
    1. 設定靜態路由 (Configure Static Routes):新增足夠的 /32 靜態路由,以便在每個虛擬 Edge 上,都有一個指向個別 GE2 介面的唯一路由。若要新增靜態路由,Orchestrator 需要下一個躍點 IP 位址。可透過在 Orchestrator 的 [遠端診斷 (Remote Diagnostics)] UI 頁面中執行遠端診斷 [介面狀態 (Interface Status)] 測試來取得下一個躍點 IP 位址。選取指派給 GE2 的第一個子網路 IP 位址,並將其設定為下一個躍點。
      下圖顯示指派給 GE2 的 IP 位址是 10.101.112.6/25,而此子網路的第一個 IP 位址是 10.101.112.1,該位址將用於在 Orchestrator 上設定靜態路由。

      以下是來自測試和疑難排解 (Test & Troubleshoot) > 遠端診斷 (Remote Diagnostics) > 介面狀態 (Interface Status) 診斷測試的輸出。

      在 Edge 上設定了兩個靜態路由,以連線至 BGP 芳鄰,如下列螢幕擷取畫面所示。

    2. BGP 芳鄰組態 (BGP Neighbor Configuration):為每個虛擬 Edge 設定 BGP 芳鄰,如下圖所示。使用步驟 7 資訊訊息中顯示的 BGP 芳鄰 IP 和 ASN 號碼。

      靜態路由和 BGP 芳鄰關係設定好之後,虛擬 Edge 應該會開始從 Azure 虛擬 WAN 中樞學習路由。您可在監控 (Monitor) > 網路服務 (Network Services) 下驗證 BGP 芳鄰關係狀態。

  11. (選用) 將虛擬 Edge 新增至叢集。移至設定 (Configure) > 網路服務 (Network Services) > Edge 叢集 (Edge Cluster),建立新的叢集中樞,並將虛擬 Edge 新增至該叢集。
  12. (選用) 若要將與虛擬網路 (vNET) 的虛擬網路連線新增至 vHub,請移至 Azure vWAN > 連線 (Connectivity) > 虛擬網路連線 (Virtual network connections)
    按一下 新增連線 (Add Connection),然後提供連線名稱、選擇中樞、訂閱和資源群組。選取需要連線至中樞的 vNET 和相關聯的路由表。例如,這是 vNET 中的「預設」路由表。
    對於 vWAN NVA Edge,此映像是 2 NIC 部署,換句話說,不以 GE1 介面作為「管理」介面。這是 vWAN NVA 映像特有的介面。在 cloud_init 中,將「management_interface」旗標設定為「False」。 
    #cloud-config
password: Velocloud123
chpasswd: { expire: False } 
ssh_pwauth: True 
velocloud:
  vce:
    management_interface: false 
    vco: $vco 
    activation_code: $velo2_token 
    vco_ignore_cert_errors: $velo_ignore_cert_errors

    在所有其他雲端 Edge 上,GE1 介面均配置為「管理」介面,無法用於資料流量。

    備註: 對於使用「雲端服務基礎結構」來建立 Azure vWAN 中樞路由器的客戶,請參閱 部署為 Azure vWAN NVA 的 VMware SD-WAN Edge 的中樞升級指示

    存取部署到 Azure vWAN vHub 的虛擬 Edge 的命令行

    Azure vWAN 會以受管理服務形式運作。與部署到 Azure 中的其他虛擬機器不同,vWAN 在設定時無法讓公開金鑰與虛擬機器 (VM) 產生關聯。由於 Azure 還不允許以密碼為基礎進行 SSH 驗證,這實際上會導致 vEdge 的 CLI 無法連線。

    為了克服這些限制並存取 vEdge 的 CLI,以進行疑難排解和運作,應使用 VMware SD-WAN 的「安全 Edge 存取」功能。這將使用 Orchestrator 來建立以金鑰為基礎的存取權 (依使用者),以透過 SSH 存取 vEdge CLI。

    若要啟用「安全 Edge 存取」,請參閱以下說明文件:

    透過新的 Orchestrator UI,使用「以金鑰為基礎的驗證」來存取 SD-WAN Edge

    備註: 在建立「安全 Edge 存取」金鑰過程中,指定密碼會列為 [選用 (optional)]。但是,需要包含要設定的密碼,才能存取 Azure NVA。首次使用以金鑰為基礎的驗證後,在 SSH 登入過程中,系統將提示使用者提供密碼。