若要佈建 SD-WAN Edge,請執行以下步驟:

必要條件

請確定您擁有 SD-WAN Orchestrator 的主機名稱和管理員帳戶可供登入。

程序

  1. 使用您的登入認證,以 Admin 使用者身分登入 SD-WAN Orchestrator 應用程式。
  2. 移至設定 (Configure) > Edge
  3. Edge 畫面中,按一下新增 Edge (Add Edge)。此時會顯示佈建 Edge (Provision an Edge) 頁面。
  4. 您可以設定下列選項:
    選項 說明
    模式 (Mode) 依預設,會選取 SD-WAN Edge 模式。
    名稱 (Name) 輸入 Edge 叢集的唯一名稱。
    型號 (Model) 從下拉式功能表中選取虛擬 Edge (Virtual Edge)
    設定檔 (Profile) 從下拉式功能表中選取快速入門設定檔 (Quick Start Profile)
    備註: 如果因為 Edge 自動啟用,而將 Edge 註冊預備設定檔 (Edge Staging Profile) 顯示為選項,這表示此設定檔將會是一個新指派、但尚未設定生產設定檔的 Edge。
    Edge 授權 (Edge License) 從下拉式功能表中選取 Edge 授權 (Edge model)。此清單會顯示由操作員指派給企業的授權。
    驗證 (Authentication)

    從下拉式功能表中選擇驗證模式:

    • 已停用憑證 (Certificate Deactivated):Edge 會使用預先共用的金鑰模式進行驗證。
      警告: 建議不要將此模式用於任何客戶部署。
    • 憑證取得 (Certificate Acquire):依預設,會選取此模式,並建議用於所有客戶部署。在憑證取得 (Certificate Acquire) 模式下,會在啟用 Edge 期間核發憑證並自動更新。Orchestrator 會指示 Edge 從 SD-WAN Orchestrator 的憑證授權機構取得憑證,其作法是產生金鑰配對,並將憑證簽署要求傳送至 Orchestrator。取得後,Edge 會使用憑證來驗證 SD-WAN Orchestrator 及建立 VCMP 通道。
      備註: 在取得憑證後,必要時,可將該選項更新為 需要憑證 (Certificate Required)
    • 需要憑證 (Certificate Required):此模式僅適用於「靜態」客戶企業。靜態企業的定義如下:可能只會部署少數幾個新的 Edge,且預計不會進行 PKI 導向的新變更。
      重要: 需要憑證 (Certificate Required) 的安全優勢並沒有高於 憑證取得 (Certificate Acquire)。這兩種模式同樣安全,如果客戶想使用 需要憑證 (Certificate Required),應要有本節中所述的原因才行。
      需要憑證 (Certificate Required) 模式表示,在沒有有效憑證的情況下,不接受任何 Edge 活動訊號。
      注意: 若是客戶不知道這種嚴格施行情況,使用該模式可能導致 Edge 失敗。
      在此模式下,Edge 會使用 PKI 憑證。操作員可以編輯 Orchestrator 的系統內容,以變更 Edge 的憑證更新時間範圍。如需詳細資訊,請連絡您的操作員。
    備註:
    • Bastion Orchestrator 功能啟用時,要暫存至 Bastion Orchestrator 的 Edge 應將驗證模式設定為 憑證取得 (Certificate Acquire)需要憑證 (Certificate Required)
    • 撤銷 Edge 憑證後,會停用 Edge,且需要完成啟用程序。目前的 QuickSec 設計會檢查憑證撤銷清單 (CRL) 的時間有效性。CRL 時間有效性必須符合 Edge 目前的時間,這樣 CRL 才能對新建的連線產生影響。若要達成此目的,請確定已正確更新 Orchestrator 時間,使其與 Edge 的日期和時間相符。
    加密裝置密碼 (Encrypt Device Secrets) 選取啟用 (Enable) 核取方塊,以允許 Edge 加密所有平台上的機密資料。Edge 概觀 (Overview) 頁面上也會提供此選項。
    備註: 對於 Edge 5.2.0 版及更新版本,在停用此選項之前,您必須先使用遠端動作來停用 Edge。此動作會導致 Edge 重新啟動。
    高可用性 (High Availability) 選取啟用 (Enable) 核取方塊,以套用高可用性 (HA)。Edge 可安裝為單一獨立裝置,或與另一個 Edge 配對,以提供高可用性 (HA) 支援。
    本機連絡人名稱 (Local Contact Name) 輸入 Edge 的站台連絡人姓名。
    本機連絡人電子郵件 (Local Contact Email) 輸入 Edge 的站台聯絡人電子郵件地址。
  5. 輸入所有必要的詳細資料,然後按下一步 (Next),以設定下列其他選項:
    備註: 僅當輸入完所有必要的詳細資料時, 下一步 (Next) 按鈕才會啟用。
    選項 說明
    序號 (Serial Number) 輸入 Edge 的序號。若有指定,Edge 必須在啟用時顯示此序號。
    備註: 在 AWS Edge 上部署虛擬 VMware SD-WAN Edge 時,請務必要以執行個體識別碼作為 Edge 序號。
    說明 (Description) 輸入適當的說明。
    位置 (Location) 按一下設定位置 (Set Location) 連結,以設定 Edge 的位置。若未指定,當啟用 Edge 時,會自動從 IP 位址偵測該位置。
  6. 按一下新增 Edge (Add Edge)
    隨即佈建 Edge,頁面頂端會顯示啟用金鑰。記下啟用金鑰,從 AliCloud 主控台啟動 Edge 時可以使用。
    備註: 如果 Edge 裝置未使用啟用金鑰進行啟動,金鑰將在一個月後到期。
  7. 設定虛擬 Edge 介面。考慮拓撲 A 時會說明下列步驟。
    1. 移至設定 (Configure) > EdgeEdge 頁面即會顯示現有的 Edge。
    2. 按一下 Edge 的連結,或按一下 Edge 的裝置 (Device) 資料行中的檢視 (View) 連結。所選 Edge 的組態選項會顯示在裝置 (Device) 索引標籤中。
    3. 移至介面設定 (Interface Settings) 區域。
    4. 連線 (Connectivity) 類別中,展開介面 (Interfaces)。適用於所選 Edge 的不同類型介面隨即顯示。
    5. 選取覆寫介面 (Override Interface) 核取方塊。按一下 GE2 介面 (GE2 Interface) 的連結以編輯設定。
    6. 現在,按一下指向 GE3 介面 (GE3 Interface) 的連結,然後選取覆寫介面 (Override Interface) 核取方塊。
    7. 停用 WAN 覆疊 (WAN Overlay)NAT 直接流量 (NAT Direct Traffic),因為此介面將用於 LAN 端,然後按一下儲存 (Save)
      如需詳細資訊,請參閱 《VMware SD-WAN 管理指南》中的 〈設定 Edge 的介面設定〉主題。
    備註: 如果您使用的 Edge 執行個體僅具有兩個介面,如 拓撲 B 中所示,則系統會將公用介面 (GE2) 用於 WAN 和 LAN 連線。若要讓 LAN 網路指向 GE2 介面,請在 靜態路由設定 (Static Route Settings) 下方,在指向私人子網路/vSwitch 的 Edge 上設定靜態路由。
  8. 設定 VLAN (Configure VLAN) 區域下方,編輯 VLAN 設定以更新 Edge LAN IP 位址 (Edge LAN IP Address)
  9. (選用) 如果您使用的是跳躍主機,若要允許 SSH 從跳躍伺服器存取 Edge,請務必在防火牆 (Firewall) 頁面中,啟用跳躍主機伺服器 IP 的支援存取 (Support Access)
  10. 按一下儲存 (Save)

下一步