若要透過 VMware SASE Orchestrator 自動部署 Azure vWAN NVA,請執行以下步驟:

程序

  1. 在 Orchestrator 中,確保多雲端服務 (MCS) 帳戶已啟用。您可以檢查下列系統內容以進行驗證:
    • session.options.enableMcsServiceAccount
    • vco.system.configuration.data.mcsNginxRedirection
    備註: 請連絡 EdgeOps 團隊以啟用 Orchestrator 的 MCS 帳戶。
  2. 對於企業使用者,在 MCS 帳戶啟用後,您可以從 Orchestrator UI 頂端的服務 (Services) 下拉式功能表中按一下雲端中樞 (Cloud Hub),以存取 MCS 服務。
    此時會顯示 雲端中樞 (Cloud Hub) 服務頁面。
  3. 若要在 vWAN 中樞網路中部署 NVA Edge,請執行以下步驟:
    1. 建立新的認證
    2. 建立新的雲端中樞
  4. 若要建立新的認證,請按一下設定 (Configure) > 認證 (Credential) > 新認證 (New Credential)。提供所有必要的詳細資料,然後按一下建立 (Create)
    欄位 說明
    名稱 (Name) 輸入 Azure 認證的唯一名稱。
    雲端提供者 選取 Azure 作為雲端提供者。
    用戶端識別碼 (Client ID) 輸入 Azure 訂閱的用戶端識別碼。
    承租人識別碼 Azure 入口網站中 Azure Active Directory (AD) 承租人的識別碼。輸入訂閱所屬的承租人識別碼。
    用戶端密碼 (Client Secret) 輸入 Azure 訂閱的用戶端密碼。
    訂閱識別碼 Azure 入口網站中訂閱的識別碼。輸入 Azure 訂閱識別碼,該訂閱已建立用於部署虛擬 Edge 的虛擬 WAN 中樞。

    如需如何在 Azure 入口網站中擷取訂閱識別碼的詳細資訊,請參閱如何建立新的 Azure Active Directory (Azure AD) 應用程式和服務主體

    建議客戶建立具有以下權限 (JSON) 的自訂角色,使其只能存取雲端中樞功能的必要資源。 
    "permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/operations/read",
"Microsoft.Network/virtualWans/read",
"Microsoft.Network/virtualWans/join/action",
"Microsoft.Network/virtualWans/virtualHubs/read",
"Microsoft.Network/virtualHubs/read",
"Microsoft.AzureStack/linkedSubscriptions/linkedResourceGroups/linkedProviders/virtualNetworks/read",
"Microsoft.Network/networkVirtualAppliances/delete",
"Microsoft.Network/networkVirtualAppliances/read",
"Microsoft.Network/networkVirtualAppliances/write",
"Microsoft.Network/networkVirtualAppliances/getDelegatedSubnets/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/prepareNetworkPolicies/action",
"Microsoft.Network/virtualNetworks/subnets/unprepareNetworkPolicies/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
  5. 若要建立新的雲端中樞,請執行以下步驟:
    備註: 雲端中樞工作流程目前僅針對新的設定檔進行了測試。因此,建議先建立一個新的設定檔,然後再繼續於 vWAN 中樞網路中部署 NVA Edge。
    1. 導覽至設定 (Configure) > 工作流程 (Workflow),然後按一下新的雲端中樞 (New Cloud Hub)
      此時會顯示 雲端認證 (Cloud Credentials) 頁面。
    2. 提供所有必要的雲端認證詳細資料,然後按下一步 (Next)
      欄位 說明
      雲端提供者 選擇 Azure 作為雲端提供者。
      Azure 連線選項 選擇在 Azure vWAN 中將虛擬 Edge 部署為 NVA (Deploy Virtual Edge as an NVA in Azure vWAN) 作為中樞和 vNet 之間的連線選項。
      雲端訂閱 您可以使用現有的雲端訂閱,或是按一下建立新的 (Create New) 選項以建立新的訂閱。

      此時會顯示 vWAN 和 vHUB 選項 (vWAN and vHUB Options) 頁面。

    3. 選擇 vWAN 和 vHUB,然後提供所有必要的詳細資料以佈建虛擬 Azure NVA Edge (具有唯一名稱)。
      欄位 說明
      資源群組 選取您在 Azure 端建立的資源群組。
      vWAN 選取您在 Azure 端建立的虛擬 WAN。
      選擇 vHUB
      區域 (Region) 選取您要將虛擬 WAN 中樞部署到哪個區域。虛擬 Edge 將部署於該虛擬 WAN 中樞。
      vHub 選取用於部署虛擬 SD-WAN Edge 的虛擬 WAN 中樞。
      位址空間 採用 CIDR 標記法的中樞位址範圍。若要建立中樞,最小的位址空間為 /24。
      工作流程名稱 輸入虛擬 WAN 中樞的工作流程名稱。
      建立 Edge 網路功能
      NVA 名稱 輸入網路虛擬應用裝置 (NVA) Edge 裝置的唯一名稱。
      選取 NVA 版本 選取 NVA 版本。
      Edge 叢集名稱 輸入 Edge 叢集的唯一名稱。
      縮放單位 此時會啟動一對 Edge。縮放單位可以是對應到 Azure 執行個體類型的 2、4 或 10。
      選取設定檔 選取一個用於關聯虛擬 Edge 的設定檔。
      備註: 您可以使用現有的設定檔,或是建立新的設定檔,然後再於 Azure vWAN 中樞部署 Azure vWAN NVA Edge。
      Edge 授權 (Edge License) 選取與虛擬 Edge 相關聯的 Edge 授權。
      連絡人名稱 (Contact Name) 輸入連絡人名稱。
      連絡人電子郵件 (Contact Email) 輸入連絡人電子郵件識別碼。
      BGP ASN 輸入將在 VMware SASE Orchestrator 中的虛擬 Edge 上設定的 ASN 值。
      備註: Azure 保留的 ASN:
      • 公用 ASN:8074、8075 和 12076。
      • 私人 ASN:65515、65517、65518、65519 和 65520。
    4. 按一下完成 (Finish)。新建立的雲端中樞會顯示在工作流程 (Workflow) 頁面中。
    5. 詳細資料 (Detail) 資料行之下,按一下檢視 (View) 以檢視所選雲端中樞的事件詳細資料。
      備註: 目前沒有為雲端中樞服務單獨提供的 [監控 (Monitor)] 頁面。您可以使用 SD-WAN 服務的 [監控 (Monitor)] 頁面來驗證 Edge 動作和狀態。
  6. 在 SD-WAN 服務入口網站中,按一下監控 (Monitor) > Edge,以驗證您使用雲端中樞自動服務佈建/部署的虛擬 Azure NVA Edge 是否已連線。
  7. 若要驗證是否已為部署的虛擬 Azure NVA Edge 建立 BGP 工作階段,請按一下監控 (Monitor) > 路由 (Routing)
    重要: 請在建立虛擬 Edge 後,為每個虛擬 Edge 設定 IP 位址,方法是導覽至 設定 (Configure) > Edge > 防火牆 (Firewall) > Edge 存取 (Edge Access),並在 允許下列 IP (Allow the following IPs) 欄位下新增 IP 位址「168.63.129.16」。
    備註: 您可以對多個或所有虛擬 Edge 使用的設定檔執行此組態,這樣就無需個別設定每個虛擬 Edge。

    有關此 IP 組態的更多詳細資料,請參閱 https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16