Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter: https://docs.vmware.com/de/ VMware, Inc. VMware Global, Inc. 3401 Hillview Ave. Zweigniederlassung Deutschland Palo Alto, CA 94304 Willy-Brandt-Platz 2 www.vmware.com 81829 München Germany Tel.: +49 (0) 89 3706 17 000 Fax: +49 (0) 89 3706 17 333 www.vmware.com/de © Copyright 2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise. VMware, Inc. 2
Inhalt 1 Leitfaden für die Bereitstellung von Google Cloud Platform Virtual Edge 4 Übersicht über die Bereitstellung von Google Cloud Virtual Edge 4 Virtual Edge-Bereitstellung in GCP 5 Vorbereiten der GCP-Umgebung 7 Erstellen eines VPC-Netzwerks 8 Erstellen von eingehenden Firewallregeln 10 Erstellen von Routen in einem VPC-Netzwerk 13 Bereitstellen eines Edge in SD-WAN Orchestrator 16 Bereitstellen eines virtuellen Edge über den GCP Marketplace 18 Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP 22 Aktivieren von Deployment Manager 24 Überprüfung der Edge-Aktivierung 26 VMware, Inc. 3
Leitfaden für die Bereitstellung von Google Cloud Platform Virtual Edge 1 Dieses Dokument enthält Anleitungen zur Bereitstellung von Virtual VMware SD-WAN Edge in Google Cloud Platform (GCP). Dieses Kapitel enthält die folgenden Themen: n Übersicht über die Bereitstellung von Google Cloud Virtual Edge n Virtual Edge-Bereitstellung in GCP n Vorbereiten der GCP-Umgebung n Bereitstellen eines Edge in SD-WAN Orchestrator n Bereitstellen eines virtuellen Edge über den GCP Marketplace n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP n Überprüfung der Edge-Aktivierung Übersicht über die Bereitstellung von Google Cloud Virtual Edge Immer mehr Kunden verlagern ihre Arbeitslast in eine Public Cloud-Infrastruktur und erwarten, dass SD-WAN von Remote-Sites auf die Public Cloud erweitert wird, um die Einhaltung des Service-Level Agreements (SLA) zu gewährleisten. VMware bietet zahlreiche Möglichkeiten, wobei verteilte VMware SD-WAN Gateways zur Einrichtung von IPSec für ein privates Public Cloud-Netzwerk oder zur Bereitstellung eines virtuellen Edge direkt in Google Cloud Platform (GCP) genutzt werden. Für den Einsatz in kleinen Zweigstellen, die einen Durchsatz von weniger als 1G erfordern, kann ein einzelner virtueller Edge im privaten GCP-Netzwerk bereitgestellt werden. Bei größeren Bereitstellungen für Datencenter, die einen Multi-Gig-Durchsatz erfordern, können Hub-Cluster bereitgestellt werden. Hinweis Im VMware SD-WAN Hub-Cluster-Design wird eine Layer 3-Instanz auf der LAN-Seite genutzt, um BGP zwischen Hubs im Cluster und der Layer 3-Instanz für die Routenverteilung im LAN auszuführen. Da der GCP-Router kein Protokoll für dynamisches Routing unterstützt, ist ein virtueller Router eines Drittanbieters in der GCP-Infrastruktur erforderlich. VMware, Inc. 4
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch In diesem Dokument werden eine grundlegende Topologie und ein hochrangiger Workflow für die Bereitstellung eines virtuellen SD-WAN Edge (vVCE) in GCP veranschaulicht. Weitere Informationen finden Sie unter Virtual Edge-Bereitstellung in GCP. Voraussetzungen n Konto- und Anmeldeinformationen für GCP. n Vertrautheit mit GCP-Netzwerkkonzepten. Weitere Informationen finden Sie unter https:// cloud.google.com/vpc/docs/overview. n SD-WAN Orchestrator-Ziel und Administratorkonto für die Anmeldung. GCP-Maschinentypen Der Bandbreitendurchsatz und die Anzahl der Netzwerkschnittstellen müssen bei der Dimensionierung des VMware SD-WAN Virtual Edge berücksichtigt werden. Die Mindestanzahl der erforderlichen Netzschnittstellen beträgt drei (GE1, GE2, GE3). Durchsatz 30 Mbit/s 50 Mbit/s 100 Mbit/s 200 Mbit/s 400 Mbit/s 1 Gbit/s vCPU 2 2 2 2 4 4 Arbeitsspeicher 4 GB 4 GB 4 GB 8 GB 8 GB 8 GB Maschinentyp vCPUs Arbeitsspeicher (GB) Max. Netzwerkkarten n1-standard-4 4 15 4 n1-standard-8 8 30 8 Virtual Edge-Bereitstellung in GCP Beschreibt die Virtual Edge-Bereitstellung in Google Cloud Virtual Private Cloud (VPC) mit drei VPC-Netzwerken: Verwaltungs-VPC (10.0.2.x/24), öffentliche VPC (10.0.0.x/24) und private VPC (10.0.1.x/24), jede für ein Subnetz, das mit dem Edge verbunden ist, wie im folgenden Topologiediagramm dargestellt. VMware, Inc. 5
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Grundlegende Topologie Google Cloud Platform (GCP) us-west1 (Oregon) 10.0.2.4/24 n1-standart-4 Verwaltungssubnetz eth0 2.4 Linux-JH 35.19.184.51 GE1 34.82.243.159 2.6 34.83.80.249 Gateway eth0 GE2 GE3 1.5 0.4 1.4 vVCE-Instanz < – RFC1918 ubuntu-srv 10.0.0.4/24 10.0.1.4/24 Öffentliches Subnetz Privates Subnetz Die Virtual Edge-Routen zwischen den beiden Subnetzen. Die öffentlichen VPC-Routen leiten den gesamten Offnetzverkehr an das Internet-Gateway weiter. Der Gateway-Router im privaten Subnetz leitet den gesamten Datenverkehr an die LAN-seitige Schnittstelle auf dem Virtual Edge (GE3) weiter. In diesem Beispiel wird eine Standardroute verwendet, um den gesamten Datenverkehr der Arbeitslasten weiterzuleiten. Dies ist jedoch nicht erforderlich. Die Zusammenfassung in RFC1918 oder spezifische Branch/Hub-Präfixe können verwendet werden, um einzuschränken, was an den virtuellen Edge gesendet wird. Wenn z. B. die Arbeitslast im privaten Subnetz weiterhin über SSH von öffentlich bereitgestellten IPs zugänglich sein muss, kann der VPC-Router so konfiguriert werden, dass die Standardroute (0.0.0.0/0) auf das Internet-Gateway und die RFC1918-Zusammenfassung auf Virtual Edge zeigt. Hochrangiger Workflow Führen Sie die folgenden Schritte aus, um einen VMware SD-WAN Virtual Edge in Google Cloud Platform bereitzustellen: 1 Vorbereiten der GCP-Umgebung: a Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk, öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt. n Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die Verwaltungsschnittstelle GE1. VMware, Inc. 6
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch n Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige Schnittstelle GE2. n Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige Schnittstelle GE3. Die Schritte dazu finden Sie unter Erstellen eines VPC-Netzwerks. b Erstellen Sie eingehende Firewallregeln für VPC-Netzwerke: Management, privat und öffentlich. Die Schritte dazu finden Sie unter Erstellen von eingehenden Firewallregeln. c Fügen Sie einen neuen Standardrouteneintrag (0.0.0.0/0) in der Routentabelle des privaten VPC-Netzwerks hinzu, der auf den Edge verweist, wobei die IP-Adresse für nächsten Hop als IP-Adresse des Edge der GE3-Schnittstelle verwendet wird. Die Schritte dazu finden Sie unter Erstellen von Routen in einem VPC-Netzwerk. 2 Stellen Sie wie folgt einen SD-WAN Edge im VMware SD-WAN Orchestrator bereit: a Erstellen Sie einen Edge des Typs Virtueller Edge (Virtual Edge). b Ändern Sie die GE1-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed) und deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT- Datenverkehr (NAT Direct Traffic). c Ändern Sie die GE2-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic). d Deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT- Datenverkehr (NAT Direct Traffic) für die GE3-Schnittstelle. Dies ist der nächste Hop für Geräte, die mit privaten Subnetzen verbunden sind (LAN-Geräte). Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator. 3 Stellen Sie den virtuellen Edge bereit. Sie können den virtuellen Edge mithilfe einer der folgenden Methoden bereitstellen: n Bereitstellen eines virtuellen Edge über den GCP Marketplace n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP 4 Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist. Vorbereiten der GCP-Umgebung Bevor Sie einen virtuellen Edge in Google Cloud Platform (GCP) bereitstellen, müssen Sie die GCP-Umgebung vorbereiten, indem Sie die folgenden Schritte ausführen: n Erstellen eines VPC-Netzwerks n Erstellen von eingehenden Firewallregeln n Erstellen von Routen in einem VPC-Netzwerk VMware, Inc. 7
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Erstellen eines VPC-Netzwerks Sie können ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus oder im benutzerdefinierten Modus erstellen. Beim Erstellen von Netzwerken im automatischen Modus wird automatisch ein Subnetz in jeder Google Cloud-Region erstellt. Für VPC-Netzwerke im benutzerdefinierten Modus müssen Sie ein Netzwerk erstellen und anschließend Subnetze erstellen, die in einer Region vorhanden sein sollen. Sie können Subnetze erstellen, wenn Sie das Netzwerk erstellen, oder Sie können Subnetze später hinzufügen. Sie können jedoch keine Instanzen in einer Region erstellen, für die kein Subnetz definiert ist. Voraussetzungen Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. Verfahren 1 Melden Sie sich bei der GCP Console an. 2 Klicken Sie auf VPC-Netzwerke (VPC Networks). Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt. 3 Klicken Sie auf VPC-Netzwerk erstellen (Create VPC network). Die Seite VPC-Netzwerk erstellen (Create a VPC network) wird angezeigt. VMware, Inc. 8
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 4 Geben Sie im Textfeld Name einen eindeutigen Namen für das VPC-Netzwerk ein. 5 Wählen Sie unter Subnetze (Subnets) die Option Benutzerdefiniert (Custom) oder Automatisch (Automatic) als Subnetzerstellungsmodus (Subnet creation mode) aus. Wenn Sie Benutzerdefiniert (Custom) auswählen, geben Sie im Bereich Neues Subnetz (New subnet) die folgenden Konfigurationsparameter für ein Subnetz an: a Geben Sie im Textfeld Name einen eindeutigen Namen für das Subnetz ein. b Wählen Sie im Dropdown-Menü Region eine Region für das Subnetz aus. c Geben Sie im Textfeld IP-Adressbereich (IP address range) einen IP-Adressbereich ein. VMware, Inc. 9
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch d Um einen sekundären IP-Bereich für das Subnetz zu definieren, klicken Sie auf Sekundären IP-Bereich erstellen (Create secondary IP range). e Privater Google-Zugriff (Private Google Access): Wählen Sie aus, ob der private Google- Zugriff für das Subnetz bei der Erstellung oder später durch Bearbeitung aktiviert werden soll. f Flow-Protokolle (Flow logs): Legen Sie fest, ob die VPC-Flow-Protokolle für das Subnetz bei der Erstellung oder später durch Bearbeitung aktiviert werden sollen. g Klicken Sie auf Fertig (Done). 6 Um weitere Subnetze hinzuzufügen, klicken Sie auf Subnetz hinzufügen (Add subnet) und wiederholen Sie die Schritte in Schritt 5. Sie können auch weitere Subnetze zum Netzwerk hinzufügen, nachdem Sie das Netzwerk erstellt haben. 7 Wählen Sie den dynamischen Routing-Modus (Dynamic routing mode) für das VPC- Netzwerk aus. 8 Klicken Sie auf Erstellen (Create). Ergebnisse Das VPC-Netzwerk und das Subnetz werden erstellt. Nächste Schritte Erstellen von eingehenden Firewallregeln Erstellen von eingehenden Firewallregeln Firewallregeln werden auf Netzwerkebene definiert und gelten nur für das Netzwerk, in dem sie erstellt werden. Um eingehende Firewallregeln für ein VPC-Netzwerk zu erstellen, führen Sie die Schritte in diesem Verfahren aus. Voraussetzungen n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. n Vergewissern Sie sich, dass Sie die VPC-Netzwerke erstellt haben. n Überprüfen Sie die Firewallregelkomponenten und machen Sie sich unbedingt mit den Komponenten der in Google Cloud eingesetzten Firewallkonfiguration vertraut. Verfahren 1 Melden Sie sich bei der GCP Console an. 2 Klicken Sie auf VPC-Netzwerke (VPC Networks). Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt. VMware, Inc. 10
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 3 Klicken Sie auf das VPC-Netzwerk, für das Sie Firewallregeln hinzufügen möchten. Die Seite VPC-Netzwerk – Details (VPC network details) für das ausgewählte VPC-Netzwerk wird angezeigt. 4 Gehen Sie zur Registerkarte Firewallregeln (Firewall rules) und klicken Sie auf Firewallregel hinzufügen (Add firewall rule). Die Seite Firewallregel erstellen (Create a firewall rule) wird angezeigt. 5 Geben Sie im Textfeld Name einen eindeutigen Namen für die Firewallregel ein. 6 Optional können Sie die Firewallprotokollierung aktivieren, indem Sie unter Protokolle (Logs) auf Ein (On) klicken. Die Firewallprotokollierung ist standardmäßig deaktiviert. 7 Wählen Sie für Richtung des Datenverkehrs (Direction of traffic) die Option Eingehender Datenverkehr (Ingress) aus. VMware, Inc. 11
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 8 Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen (Allow) oder Verweigern (Deny) aus. 9 Wählen Sie im Dropdown-Menü Ziele (Targets) die Ziele für die Regel aus: n Wenn Sie möchten, dass die Regel für alle Instanzen im Netzwerk gilt, wählen Sie Alle Instanzen im Netzwerk (All instances in the network) aus. n Wenn die Regel auf bestimmte Instanzen nach Netzwerk-Tags (Ziel-Tags) angewendet werden soll, wählen Sie Angegebene Ziel-Tags (Specified target tags) aus und geben Sie dann die Tags, für die die Regel gelten soll, in das Textfeld Ziel-Tags (Target tags) ein. n Wenn die Regel auf bestimmte Instanzen nach zugeordnetem Dienstkonto angewendet werden soll, wählen Sie Angegebenes Dienstkonto (Specified service account) aus, geben Sie unter Bereich des Dienstkontos (Service account scope) an, ob sich das Dienstkonto im aktuellen Projekt oder einem anderen befindet, und wählen Sie im Feld Zieldienstkonto (Target service account) den Namen des Dienstkontos aus oder geben Sie ihn ein. 10 Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option IP-Bereiche (IP ranges) aus. 11 Geben Sie im Textfeld „Quell-IP-Bereich“ (Source IP ranges) die CIDR-Blöcke ein, um die Quelle für den eingehenden Datenverkehr nach IP-Adressbereich zu definieren. Verwenden Sie 0.0.0.0/0 für eine Quelle aus einem beliebigen Netzwerk. 12 Definieren Sie die Protokolle und Ports (Protocols and ports), auf die die Regel angewendet werden soll: n Wählen Sie je nach Aktion Alle zulassen (Allow all) oder Alle verweigern (Deny all) aus, damit die Regel auf alle Protokolle und Ports angewendet wird. n Definieren Sie bestimmte Protokolle und Ports: n Wählen Sie tcp aus, um das TCP-Protokoll und die Ports einzubeziehen. Geben Sie all oder eine kommagetrennte Liste von Ports ein, wie z. B. 20-22, 80, 8080. n Wählen Sie udp aus, um das UDP-Protokoll und die Ports einzubeziehen. Geben Sie all oder eine kommagetrennte Liste von Ports ein, wie z. B. 67-69, 123. n Wählen Sie Weitere Protokolle (Other protocols) aus, um Protokolle wie beispielsweise ICMP, VCMP, SNMP nach Bedarf einzubeziehen. 13 (Optional) Sie können die Firewallregel erstellen, aber nicht durchsetzen, indem Sie den Erzwingungsstatus auf „Deaktiviert“ (Disabled) setzen. Klicken Sie auf Regel deaktivieren (Disable rule) und wählen Sie Deaktiviert (Disabled) aus. 14 Klicken Sie auf Erstellen (Create). Ergebnisse Die Firewallregeln werden für das ausgewählte VPC-Netzwerk erstellt. VMware, Inc. 12
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Nächste Schritte n Erstellen von Routen in einem VPC-Netzwerk Erstellen von Routen in einem VPC-Netzwerk Beschreibt, wie Sie eine neue Standardroute in einem privaten VPC-Netzwerk (Virtual Private Cloud) hinzufügen, die auf einen Edge verweist, wie im Topologiediagramm veranschaulicht. Voraussetzungen n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. n Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben. Verfahren 1 Melden Sie sich bei der GCP Console an. 2 Klicken Sie auf VPC-Netzwerke (VPC Networks). Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt. 3 Klicken Sie auf das VPC-Netzwerk (privates VPC-Netzwerk), für das Sie eine neue Standardroute hinzufügen möchten. Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt. 4 Navigieren Sie zur Registerkarte Routen (Routes) und löschen Sie anschließend die Standardroute, die bei der Erstellung des VPC-Netzwerks erstellt wurde. VMware, Inc. 13
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 5 Klicken Sie auf Route hinzufügen (Add route). Die Seite Route erstellen (Create a route) wird angezeigt. a Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein. b Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die neue Standardroute an (z. B. 0.0.0.0/0). c Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele aufweisen. d Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse angeben (Specify IP address) aus. e Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein. f Klicken Sie auf Erstellen (Create). Ergebnisse Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt. Hinzufügen einer Branch-zu-Branch-Route in einem VPC-Netzwerk Beschreibt, wie Sie eine Branch-zu-Branch-Route in einem öffentlichen VPC-Netzwerk (Virtual Private Cloud) hinzufügen, die auf einen Edge verweist, wie in der Ein-Arm-Topologie dargestellt. Voraussetzungen n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. VMware, Inc. 14
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch n Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben. Verfahren 1 Melden Sie sich bei der GCP Console an. 2 Klicken Sie auf VPC-Netzwerke (VPC Networks). Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt. 3 Klicken Sie auf das VPC-Netzwerk (öffentliches VPC-Netzwerk), für das Sie eine Branch-zu- Branch-Route hinzufügen möchten. Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt. 4 Navigieren Sie zur Registerkarte Routen (Routes) und klicken Sie auf Route hinzufügen (Add route). Die Seite Route erstellen (Create a route) wird angezeigt. a Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein. b Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die IP-Adresse eines Branch im Unternehmensnetzwerk an, z. B. 172.16.0.0/20. c Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele aufweisen. d Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse angeben (Specify IP address) aus. e Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein. f Klicken Sie auf Erstellen (Create). VMware, Inc. 15
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Ergebnisse Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt. Bereitstellen eines Edge in SD-WAN Orchestrator Führen Sie die Schritte in diesem Verfahren aus, um einen SD-WAN Edge bereitzustellen. Voraussetzungen Stellen Sie sicher, dass Sie über den SD-WAN Orchestrator-Hostnamen und das Administratorkonto für die Anmeldung verfügen. Verfahren 1 Melden Sie sich bei der Anwendung SD-WAN Orchestrator als Admin-Benutzer mit Ihren Anmeldedaten an. 2 Navigieren Sie zu Konfigurieren (Configure) > Edges. 3 Klicken Sie auf Neuer Edge (New Edge). Das Dialogfeld Neuen Edge bereitstellen (Provision New Edge) wird angezeigt. 4 Geben Sie im Textfeld Name einen eindeutigen Namen für den Edge ein. 5 Wählen Sie im Dropdown-Menü Modell (Model) den Eintrag Virtueller Edge (Virtual Edge) aus. 6 Wählen Sie im Dropdown-Menü Profil (Profile) den Eintrag Schnellstartprofil (Quick Start Profile) aus und klicken Sie auf Erstellen (Create). Der Edge wird bereitgestellt, und der Aktivierungsschlüssel wird oben auf der Seite angezeigt. Notieren Sie sich den Aktivierungsschlüssel, um ihn zum Starten des Edge über die Google Cloud Platform (GCP) Console zu verwenden. VMware, Inc. 16
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 7 Konfigurieren Sie die Virtual Edge-Schnittstellen. Die folgenden Schritte werden unter Berücksichtigung der Virtual Edge-Bereitstellung in GCP erläutert. a Klicken Sie auf die Registerkarte Gerät (Device) und navigieren Sie zum Bereich Schnittstelleneinstellungen (Interface Settings). b Aktualisieren Sie die Konfigurationen der Virtual Edge-Schnittstellen (GE1-Schnittstelle (GE1 Interface), GE2-Schnittstelle (GE2 Interface) und GE3-Schnittstelle (GE3 Interface)) wie folgt, indem Sie entsprechend der Schnittstelle auf Bearbeiten (Edit) klicken und dann das Kontrollkästchen Schnittstelle außer Kraft setzen (Override Interface) aktivieren: n Ändern Sie die Funktion der Schnittstelle GE1 in Weitergeleitet (Routed) und deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT- Datenverkehr (NAT Direct Traffic). n Ändern Sie die Funktion der Schnittstelle GE2 in Weitergeleitet (Routed) und stellen Sie sicher, dass die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT- Datenverkehr (NAT Direct Traffic) aktiviert sind. n Deaktivieren Sie für die Schnittstelle GE3 die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic). Dies ist der nächste Hop für Geräte, die mit privaten VPC-Subnetzen (LAN-Geräten) verbunden sind. Ergebnisse Ein virtueller Edge wird in SD-WAN Orchestrator bereitgestellt. Nächste Schritte Stellen Sie den virtuellen Edge in GCP bereit. Sie können den virtuellen Edge mithilfe einer der folgenden Methoden bereitstellen: n Bereitstellen eines virtuellen Edge über den GCP Marketplace VMware, Inc. 17
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP Bereitstellen eines virtuellen Edge über den GCP Marketplace In der Google Cloud Console können Sie eine VM-Instanz unter Verwendung eines Startlaufwerk-Images, eines Startlaufwerk-Snapshots oder eines Container-Images erstellen und bereitstellen. Um eine VM-Instanz unter Verwendung eines Startlaufwerk-Images zu erstellen und bereitzustellen, führen Sie die Schritte in diesem Verfahren aus. Voraussetzungen Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. Verfahren 1 Melden Sie sich bei der GCP Console an. VMware, Inc. 18
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 2 VMware SD-WAN ist jetzt im GCP Marketplace verfügbar. Suchen Sie im Marketplace nach VMware SD-WAN, um zu beginnen. 3 Klicken Sie auf STARTEN (LAUNCH). Die Seite Instanz erstellen (Create an instance) wird angezeigt. VMware, Inc. 19
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 4 Geben Sie im Textfeld Bereitstellungsname (Deployment name) einen eindeutigen Namen für Ihre Instanz ein. 5 Wählen Sie im Dropdown-Menü Zone eine Region aus, in der die VPC-Netzwerke erstellt werden. 6 Wählen Sie eine Maschinenkonfiguration für Ihre Instanz aus. Wählen Sie im Dropdown-Menü Maschinentyp (Machine Type) eine Option basierend auf der konfigurierten Topologie aus. 7 Geben Sie im Feld Benutzerdaten (User-data) die Cloud-init-Informationen im folgenden Beispielformat an, um den virtuellen Edge für den Ziel-VMware SD-WAN Orchestrator zu aktivieren. Beispiel für die Cloud-init-Benutzerdaten "#cloud-config\nvelocloud:\n vce:\n vco: vco58-usvi1.velocloud.net\n activation_code: 3SHZ-966M-BJP2-ULUX\n vco_ignore_cert_errors: false\n" Es ist sehr wichtig, dass das Format korrekt ist, um sicherzustellen, dass es verarbeitet wird, da ansonsten die Aktivierung stillschweigend fehlschlägt (d. h. kein Fehlerereignis im Orchestrator). VMware, Inc. 20
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch #cloud-config muss mit Anführungszeichen gekapselt werden, ansonsten gibt GCP während der Startzeit einen Fehler aus. Die Anführungszeichen sind bereits im Feld Benutzerdaten (User-data) enthalten. Sie können einfach die Cloud-Konfiguration zwischen den Anführungszeichen einfügen oder das Beispiel für die Cloud-init-Benutzerdaten ausschneiden und einfügen, wobei der gesamte Text im Feld Benutzerdaten (User-data) ersetzt wird. Hinweis Die Zeichen für Zeilenumbruch (\n) und der Zeilenabstand müssen exakt sein, damit die Analyse funktioniert. Es ist am besten, das obige Beispiel auszuschneiden und in Notepad einzufügen und die Werte einfach nach Bedarf zu ersetzen, ohne den Abstand zu ändern. SSH-Schlüssel werden auf Projektebene verwaltet. Weitere Informationen finden Sie unter https://cloud.google.com/compute/docs/instances/adding-removing-ssh-keys. 8 IP-Weiterleitung ermöglicht es den Schnittstellen auf dem virtuellen Edge, Pakete zu verarbeiten, die nicht für die MAC-Adresse der lokalen Schnittstelle bestimmt sind. IP- Weiterleitung ist standardmäßig aktiviert. Dies ist für die ordnungsgemäße Weiterleitung erforderlich und kann nicht geändert werden. 9 Im Bereich Startlaufwerk (Boot disk) sollten die Standardwerte für den Diskettentyp und für die Größe des Boot-Image beibehalten werden: Persistente SSD-Festplatte und 10 GB. 10 Fügen Sie auf der Registerkarte Netzwerk (Networking) und Schnittstellen für die konfigurierten VPC-Netzwerke wie folgt hinzu. a Klicken Sie unter Netzwerkschnittstellen (Network interfaces) auf das Symbol + Netzwerkschnittstelle hinzufügen (+ Add Network Interface). b Wählen Sie im Dropdown-Menü Netzwerk (Network) das Netzwerk aus, zu dem Sie eine Schnittstelle hinzufügen möchten. c Konfigurieren Sie die externe IP wie folgt: n Verwaltungsnetzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus. n Öffentliches Netzwerk – Wählen Sie Externe IP: Flüchtig (External IP: Ephemeral) aus, da diese Schnittstelle einer öffentlichen Internet-IP-Adresse zugeordnet werden muss. n Privates Netzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus. d Klicken Sie auf Fertig (Done). e Um eine weitere Schnittstelle hinzuzufügen, klicken Sie auf Netzwerkschnittstelle hinzufügen (Add network interface) und wiederholen Sie die obigen Schritte von b bis d. 11 Klicken Sie auf Bereitstellen (Deploy). Ergebnisse Eine Instanz eines virtuellen Edge wird erstellt, und die Computing-Engine startet die Edge- Instanz nach ihrer Erstellung automatisch. VMware, Inc. 21
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch Nächste Schritte Überprüfung der Edge-Aktivierung Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP Führen Sie die folgenden Schritte aus, um einen virtuellen VMware SD-WAN Edge mithilfe eines Deployment Manager in Google Cloud Platform bereitzustellen: 1 Aktivieren Sie die Cloud Deployment Manager-API in GCP. Die Schritte dazu finden Sie unter Aktivieren von Deployment Manager. 2 Stellen Sie wie folgt einen SD-WAN Edge im SD-WAN Orchestrator bereit: a Erstellen Sie einen Edge vom Typ Virtueller Edge (Virtual Edge) und notieren Sie sich den Aktivierungsschlüssel, der oben im Bildschirm angezeigt wird, nachdem der Edge bereitgestellt wurde. b Konfigurieren Sie die IP-Adresse eines VLAN (verwenden Sie 169.254.0.1 /24) für den Edge. Aktivieren Sie die Optionen Ankündigen (Advertise) und DHCP nicht. c Konfigurieren Sie virtuelle Edge-Schnittstellen wie folgt: n Ändern Sie die Funktion der GE2-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und DHCP-Adressierung (DHCPAddressing). n Deaktivieren Sie für die GE3-Schnittstelle die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-Datenverkehr (NAT Direct Traffic), da diese Schnittstelle für das LAN-seitige Gateway verwendet wird. Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator. Hinweis Vor der ersten Edge-Aktivierung müssen die Geräteeinstellungen des SD-WAN Orchestrator konfiguriert werden. Wird dieser Schritt nicht ausgeführt, wird der virtuelle Edge aktiviert, aber wenige Minuten später offline geschaltet. 3 Stellen Sie das GCP-Image bereit, indem Sie zuerst die VPC-Netzwerke erstellen und dann die DM-Vorlage mit der entsprechenden Referenz für jede Schnittstelle bereitstellen. CLOUD- INIT wird in der Vorlage ebenfalls verwendet, um das SD-WAN Orchestrator-Ziel und den Aktivierungsschlüssel für den virtuelle Edge zu liefern. a Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk, öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt. n Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die Verwaltungsschnittstelle GE1. n Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige Schnittstelle GE2. VMware, Inc. 22
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch n Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige Schnittstelle GE3. Schritte zum Erstellen von VPC-Netzwerken finden Sie unter Erstellen eines VPC- Netzwerks. b Ändern Sie die Vorlage für Deployment Manager (DM). Nachfolgend finden Sie ein Beispiel für eine YAML-DM-Vorlage. Sie können diese Vorlage verwenden, müssen aber sicherstellen, dass Sie die notwendigen Änderungen für Ihre Umgebung vornehmen. Das YAML-DM-Vorlage muss in folgenden Punkten an die vorgesehene Umgebung angepasst werden: n Projektname n Region und Zone n VPC-Namen und Subnetze n VMware SD-WAN Orchestrator-IP oder -FQDN n Aktivierungscode (Format: xxxx-xxxxxxxxxxxx) n VMware SD-WAN Orchestrator-Fehler beim Ignorieren von Zertifikaten: true oder false # "VMware SD-WAN by VeloCloud GCP Deployment Manager Template (34220201029)" # gcloud deployment-manager deployments create velocloud-vce --config gcp_dm.yaml # gcloud deployment-manager deployments delete velocloud-vce resources: - type: compute.v1.instance name: dm-gcp-vce-01 properties: zone: us-west1-a machineType: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/zones/us- west1-a/machineTypes/n1-standard-4 canIpForward: true disks: - deviceName: boot type: PERSISTENT boot: true autoDelete: true initializeParams: sourceImage: https://www.googleapis.com/compute/v1/projects/vmware-sdwan- public/global/images/vce-342-102-r342-20200610-ga-3f5ad3b9e2 networkInterfaces: - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/ networks/velo-mgmt-vpc subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-mgmt-sn - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/ networks/velo-public-vpc subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/public-sn accessConfigs: - name: External NAT type: ONE_TO_ONE_NAT VMware, Inc. 23
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/ networks/velo-private-vpc subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-private-sn metadata: items: - key: user-data value: | #cloud-config velocloud: vce: vco: vco58-usvi1.velocloud.net activation_code: YPTF-PN33-THTX-28V5 vco_ignore_cert_errors: false Weitere Informationen zur GCLOUD-CLI finden Sie unter https://cloud.google.com/sdk/ gcloud/. 4 Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist. Sobald die Instanz in GCP ausgeführt wird und wenn alle bereitgestellten Informationen korrekt waren, greift der virtuelle Edge mit dem Aktivierungsschlüssel auf SD-WAN Orchestrator zu und führt die Aktivierung sowie bei Bedarf ein Software-Update (und im Falle eines Upgrades einen Neustart) durch. Die typische Bereitstellungszeit liegt zwischen 3 und 4 Minuten. Aktivieren von Deployment Manager Deployment Manager ist ein Dienst zur Bereitstellung von Infrastruktur, der das Erstellen und Verwalten von Google Cloud-Ressourcen automatisiert. Deployment Manager nutzt die zugrunde liegenden APIs jedes Google Cloud-Diensts zur Bereitstellung Ihrer Ressourcen. Die Google Cloud Deployment Manager V2 API stellt Dienste für die Konfiguration, Bereitstellung und Anzeige von Google Cloud-Diensten und -APIs über Vorlagen bereit, die die Bereitstellungen von Cloud-Ressourcen spezifizieren. Führen Sie die folgenden Schritte aus, um die Cloud Deployment Manager V2 API zu aktivieren und Anmeldedaten zu erstellen. Voraussetzungen n Konto- und Anmeldeinformationen für GCP. n Vertrautheit mit den von GCP Deployment Manager unterstützen Ressourcentypen. Weitere Informationen finden Sie unter https://cloud.google.com/deployment-manager/docs/ configuration/supported-resource-types. Verfahren 1 Melden Sie sich bei der GCP Console an. 2 Navigieren Sie zu APIs und Dienste (APIs & Services) > Dashboard. Die Seite APIs und Dienste (APIs & Services) wird angezeigt. 3 Klicken Sie auf APIS UND DIENSTE AKTIVIEREN (Enable APIS AND SERVICES). VMware, Inc. 24
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 4 Verwenden Sie das Suchfeld , um nach der Deployment Manager-API zu suchen. 5 Klicken Sie auf Cloud Deployment Manager V2 API und dann auf Aktivieren (Enable). Die Cloud Deployment Manager-API wird aktiviert. Um diese API zu verwenden, müssen Sie Anmeldedaten erstellen. 6 Klicken Sie auf Anmeldedaten (Credentials), ANMELDEDATEN ERSTELLEN (CREATE CREDENTIALS) und wählen Sie eine der folgenden Optionen aus, um Anmeldedaten zu erstellen: n API-Schlüssel n OAuth-Client-ID n Dienstkonto n Entscheidungshilfe 7 Wenn Sie auf API-Schlüssel (API key) klicken, wird ein API-Schlüssel erstellt, der in Ihrer Anwendung verwendet werden kann. VMware, Inc. 25
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch 8 Klicken Sie im Popup-Fenster des erstellten API-Schlüssels auf SCHLÜSSEL EINSCHRÄNKEN (RESTRICT KEY), wenn Sie Ihren Schlüssel einschränken möchten, um die unberechtigte Verwendung in der Produktion zu verhindern. Andernfalls klicken Sie auf SCHLIESSEN (CLOSE). Ergebnisse Die Deployment Manager-APIs und Computing-Engine-APIs werden aktiviert, und Sie können die API zur Bereitstellung Ihrer Virtual Edge-Ressource verwenden. Nächste Schritte Sie können Virtual Edge mit Deployment Manager bereitstellen. Die vollständigen Schritte finden Sie unter Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP. Überprüfung der Edge-Aktivierung Beschreibt, wie die Aktivierung des virtuellen Edge in SD-WAN Orchestrator überprüft wird. 1 Melden Sie sich beim SD-WAN Orchestrator an. 2 Navigieren Sie zu Überwachen (Monitor) > Edges. 3 Im Bildschirm VeloCloud Edges können Sie überprüfen, ob Ihr virtueller Edge erfolgreich aktiviert wurde. VMware, Inc. 26
Sie können auch lesen