Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs

Die Seite wird erstellt Daniel Kohler
 
WEITER LESEN
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-
Bereitstellungshandbuch

VMware SD-WAN
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:

https://docs.vmware.com/de/

VMware, Inc.                                          VMware Global, Inc.
3401 Hillview Ave.                                    Zweigniederlassung Deutschland
Palo Alto, CA 94304                                   Willy-Brandt-Platz 2
www.vmware.com                                        81829 München
                                                      Germany
                                                      Tel.: +49 (0) 89 3706 17 000
                                                      Fax: +49 (0) 89 3706 17 333
                                                      www.vmware.com/de

               ©
Copyright          2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.

VMware, Inc.                                                                                       2
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Inhalt

     1 Leitfaden für die Bereitstellung von Google Cloud Platform Virtual Edge 4
               Übersicht über die Bereitstellung von Google Cloud Virtual Edge     4
               Virtual Edge-Bereitstellung in GCP       5
               Vorbereiten der GCP-Umgebung         7
                  Erstellen eines VPC-Netzwerks         8
                  Erstellen von eingehenden Firewallregeln        10
                  Erstellen von Routen in einem VPC-Netzwerk           13
               Bereitstellen eines Edge in SD-WAN Orchestrator          16
               Bereitstellen eines virtuellen Edge über den GCP Marketplace   18
               Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP   22
                  Aktivieren von Deployment Manager          24
               Überprüfung der Edge-Aktivierung         26

VMware, Inc.                                                                                  3
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Leitfaden für die Bereitstellung
von Google Cloud Platform Virtual
Edge
                                                                                            1
Dieses Dokument enthält Anleitungen zur Bereitstellung von Virtual VMware SD-WAN Edge in
Google Cloud Platform (GCP).

Dieses Kapitel enthält die folgenden Themen:

n   Übersicht über die Bereitstellung von Google Cloud Virtual Edge

n   Virtual Edge-Bereitstellung in GCP

n   Vorbereiten der GCP-Umgebung

n   Bereitstellen eines Edge in SD-WAN Orchestrator

n   Bereitstellen eines virtuellen Edge über den GCP Marketplace

n   Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP

n   Überprüfung der Edge-Aktivierung

Übersicht über die Bereitstellung von Google Cloud Virtual
Edge
Immer mehr Kunden verlagern ihre Arbeitslast in eine Public Cloud-Infrastruktur und erwarten,
dass SD-WAN von Remote-Sites auf die Public Cloud erweitert wird, um die Einhaltung des
Service-Level Agreements (SLA) zu gewährleisten. VMware bietet zahlreiche Möglichkeiten,
wobei verteilte VMware SD-WAN Gateways zur Einrichtung von IPSec für ein privates Public
Cloud-Netzwerk oder zur Bereitstellung eines virtuellen Edge direkt in Google Cloud Platform
(GCP) genutzt werden.

Für den Einsatz in kleinen Zweigstellen, die einen Durchsatz von weniger als 1G erfordern,
kann ein einzelner virtueller Edge im privaten GCP-Netzwerk bereitgestellt werden. Bei größeren
Bereitstellungen für Datencenter, die einen Multi-Gig-Durchsatz erfordern, können Hub-Cluster
bereitgestellt werden.

Hinweis Im VMware SD-WAN Hub-Cluster-Design wird eine Layer 3-Instanz auf der LAN-Seite
genutzt, um BGP zwischen Hubs im Cluster und der Layer 3-Instanz für die Routenverteilung im
LAN auszuführen. Da der GCP-Router kein Protokoll für dynamisches Routing unterstützt, ist ein
virtueller Router eines Drittanbieters in der GCP-Infrastruktur erforderlich.

VMware, Inc.                                                                                      4
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

In diesem Dokument werden eine grundlegende Topologie und ein hochrangiger Workflow
für die Bereitstellung eines virtuellen SD-WAN Edge (vVCE) in GCP veranschaulicht. Weitere
Informationen finden Sie unter Virtual Edge-Bereitstellung in GCP.

Voraussetzungen
n    Konto- und Anmeldeinformationen für GCP.

n    Vertrautheit mit GCP-Netzwerkkonzepten. Weitere Informationen finden Sie unter https://
     cloud.google.com/vpc/docs/overview.

n    SD-WAN Orchestrator-Ziel und Administratorkonto für die Anmeldung.

GCP-Maschinentypen
Der Bandbreitendurchsatz und die Anzahl der Netzwerkschnittstellen müssen bei der
Dimensionierung des VMware SD-WAN Virtual Edge berücksichtigt werden. Die Mindestanzahl
der erforderlichen Netzschnittstellen beträgt drei (GE1, GE2, GE3).

Durchsatz           30 Mbit/s          50 Mbit/s             100 Mbit/s      200 Mbit/s     400 Mbit/s     1 Gbit/s

vCPU                2                  2                     2               2              4              4

Arbeitsspeicher     4 GB               4 GB                  4 GB            8 GB           8 GB           8 GB

Maschinentyp                      vCPUs                              Arbeitsspeicher (GB)       Max. Netzwerkkarten

n1-standard-4                     4                                  15                         4

n1-standard-8                     8                                  30                         8

Virtual Edge-Bereitstellung in GCP
Beschreibt die Virtual Edge-Bereitstellung in Google Cloud Virtual Private Cloud (VPC) mit
drei VPC-Netzwerken: Verwaltungs-VPC (10.0.2.x/24), öffentliche VPC (10.0.0.x/24) und private
VPC (10.0.1.x/24), jede für ein Subnetz, das mit dem Edge verbunden ist, wie im folgenden
Topologiediagramm dargestellt.

VMware, Inc.                                                                                                          5
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Grundlegende Topologie

                                                       Google Cloud Platform (GCP)
    us-west1 (Oregon)

                                         10.0.2.4/24      n1-standart-4
                                 Verwaltungssubnetz
                               eth0
                                2.4

                      Linux-JH
                    35.19.184.51
                                            GE1                                                     34.82.243.159
                                            2.6

     34.83.80.249
                                                                                Gateway          eth0
                                            GE2               GE3                                 1.5
                                            0.4               1.4     vVCE-Instanz < – RFC1918          ubuntu-srv

                         10.0.0.4/24                                        10.0.1.4/24

                    Öffentliches Subnetz                                  Privates Subnetz

Die Virtual Edge-Routen zwischen den beiden Subnetzen. Die öffentlichen VPC-Routen leiten
den gesamten Offnetzverkehr an das Internet-Gateway weiter. Der Gateway-Router im
privaten Subnetz leitet den gesamten Datenverkehr an die LAN-seitige Schnittstelle auf dem
Virtual Edge (GE3) weiter. In diesem Beispiel wird eine Standardroute verwendet, um den
gesamten Datenverkehr der Arbeitslasten weiterzuleiten. Dies ist jedoch nicht erforderlich. Die
Zusammenfassung in RFC1918 oder spezifische Branch/Hub-Präfixe können verwendet werden,
um einzuschränken, was an den virtuellen Edge gesendet wird. Wenn z. B. die Arbeitslast
im privaten Subnetz weiterhin über SSH von öffentlich bereitgestellten IPs zugänglich sein
muss, kann der VPC-Router so konfiguriert werden, dass die Standardroute (0.0.0.0/0) auf das
Internet-Gateway und die RFC1918-Zusammenfassung auf Virtual Edge zeigt.

Hochrangiger Workflow
Führen Sie die folgenden Schritte aus, um einen VMware SD-WAN Virtual Edge in Google Cloud
Platform bereitzustellen:

1    Vorbereiten der GCP-Umgebung:

     a    Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk,
          öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit
          dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt.

          n    Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die
               Verwaltungsschnittstelle GE1.

VMware, Inc.                                                                                                         6
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

          n    Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige
               Schnittstelle GE2.

          n    Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige
               Schnittstelle GE3.

          Die Schritte dazu finden Sie unter Erstellen eines VPC-Netzwerks.

     b    Erstellen Sie eingehende Firewallregeln für VPC-Netzwerke: Management, privat und
          öffentlich. Die Schritte dazu finden Sie unter Erstellen von eingehenden Firewallregeln.

     c    Fügen Sie einen neuen Standardrouteneintrag (0.0.0.0/0) in der Routentabelle des
          privaten VPC-Netzwerks hinzu, der auf den Edge verweist, wobei die IP-Adresse für
          nächsten Hop als IP-Adresse des Edge der GE3-Schnittstelle verwendet wird.

          Die Schritte dazu finden Sie unter Erstellen von Routen in einem VPC-Netzwerk.

2    Stellen Sie wie folgt einen SD-WAN Edge im VMware SD-WAN Orchestrator bereit:

     a    Erstellen Sie einen Edge des Typs Virtueller Edge (Virtual Edge).

     b    Ändern Sie die GE1-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed)
          und deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
          Datenverkehr (NAT Direct Traffic).

     c    Ändern Sie die GE2-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet
          (Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter
          NAT-Datenverkehr (NAT Direct Traffic).

     d    Deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
          Datenverkehr (NAT Direct Traffic) für die GE3-Schnittstelle. Dies ist der nächste Hop für
          Geräte, die mit privaten Subnetzen verbunden sind (LAN-Geräte).

     Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator.

3    Stellen Sie den virtuellen Edge bereit. Sie können den virtuellen Edge mithilfe einer der
     folgenden Methoden bereitstellen:

     n    Bereitstellen eines virtuellen Edge über den GCP Marketplace

     n    Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP

4    Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist.

Vorbereiten der GCP-Umgebung
Bevor Sie einen virtuellen Edge in Google Cloud Platform (GCP) bereitstellen, müssen Sie die
GCP-Umgebung vorbereiten, indem Sie die folgenden Schritte ausführen:

n    Erstellen eines VPC-Netzwerks

n    Erstellen von eingehenden Firewallregeln

n    Erstellen von Routen in einem VPC-Netzwerk

VMware, Inc.                                                                                          7
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Erstellen eines VPC-Netzwerks
Sie können ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus oder im
benutzerdefinierten Modus erstellen. Beim Erstellen von Netzwerken im automatischen Modus
wird automatisch ein Subnetz in jeder Google Cloud-Region erstellt. Für VPC-Netzwerke im
benutzerdefinierten Modus müssen Sie ein Netzwerk erstellen und anschließend Subnetze
erstellen, die in einer Region vorhanden sein sollen. Sie können Subnetze erstellen, wenn Sie
das Netzwerk erstellen, oder Sie können Subnetze später hinzufügen. Sie können jedoch keine
Instanzen in einer Region erstellen, für die kein Subnetz definiert ist.

Voraussetzungen

Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für
die GCP Console (Google Cloud Platform) verfügen.

Verfahren

1    Melden Sie sich bei der GCP Console an.

2    Klicken Sie auf VPC-Netzwerke (VPC Networks).

     Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.

3    Klicken Sie auf VPC-Netzwerk erstellen (Create VPC network).

     Die Seite VPC-Netzwerk erstellen (Create a VPC network) wird angezeigt.

VMware, Inc.                                                                                    8
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

4    Geben Sie im Textfeld Name einen eindeutigen Namen für das VPC-Netzwerk ein.

5    Wählen Sie unter Subnetze (Subnets) die Option Benutzerdefiniert (Custom) oder
     Automatisch (Automatic) als Subnetzerstellungsmodus (Subnet creation mode) aus. Wenn
     Sie Benutzerdefiniert (Custom) auswählen, geben Sie im Bereich Neues Subnetz (New
     subnet) die folgenden Konfigurationsparameter für ein Subnetz an:

     a    Geben Sie im Textfeld Name einen eindeutigen Namen für das Subnetz ein.

     b    Wählen Sie im Dropdown-Menü Region eine Region für das Subnetz aus.

     c    Geben Sie im Textfeld IP-Adressbereich (IP address range) einen IP-Adressbereich ein.

VMware, Inc.                                                                                      9
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

     d    Um einen sekundären IP-Bereich für das Subnetz zu definieren, klicken Sie auf
          Sekundären IP-Bereich erstellen (Create secondary IP range).

     e    Privater Google-Zugriff (Private Google Access): Wählen Sie aus, ob der private Google-
          Zugriff für das Subnetz bei der Erstellung oder später durch Bearbeitung aktiviert werden
          soll.

     f    Flow-Protokolle (Flow logs): Legen Sie fest, ob die VPC-Flow-Protokolle für das Subnetz
          bei der Erstellung oder später durch Bearbeitung aktiviert werden sollen.

     g    Klicken Sie auf Fertig (Done).

6    Um weitere Subnetze hinzuzufügen, klicken Sie auf Subnetz hinzufügen (Add subnet) und
     wiederholen Sie die Schritte in Schritt 5. Sie können auch weitere Subnetze zum Netzwerk
     hinzufügen, nachdem Sie das Netzwerk erstellt haben.

7    Wählen Sie den dynamischen Routing-Modus (Dynamic routing mode) für das VPC-
     Netzwerk aus.

8    Klicken Sie auf Erstellen (Create).

Ergebnisse

Das VPC-Netzwerk und das Subnetz werden erstellt.

Nächste Schritte

Erstellen von eingehenden Firewallregeln

Erstellen von eingehenden Firewallregeln
Firewallregeln werden auf Netzwerkebene definiert und gelten nur für das Netzwerk, in dem sie
erstellt werden. Um eingehende Firewallregeln für ein VPC-Netzwerk zu erstellen, führen Sie die
Schritte in diesem Verfahren aus.

Voraussetzungen

n    Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
     für die GCP Console (Google Cloud Platform) verfügen.

n    Vergewissern Sie sich, dass Sie die VPC-Netzwerke erstellt haben.

n    Überprüfen Sie die Firewallregelkomponenten und machen Sie sich unbedingt mit den
     Komponenten der in Google Cloud eingesetzten Firewallkonfiguration vertraut.

Verfahren

1    Melden Sie sich bei der GCP Console an.

2    Klicken Sie auf VPC-Netzwerke (VPC Networks).

     Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.

VMware, Inc.                                                                                      10
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

3    Klicken Sie auf das VPC-Netzwerk, für das Sie Firewallregeln hinzufügen möchten.

     Die Seite VPC-Netzwerk – Details (VPC network details) für das ausgewählte VPC-Netzwerk
     wird angezeigt.

4    Gehen Sie zur Registerkarte Firewallregeln (Firewall rules) und klicken Sie auf Firewallregel
     hinzufügen (Add firewall rule).

     Die Seite Firewallregel erstellen (Create a firewall rule) wird angezeigt.

5    Geben Sie im Textfeld Name einen eindeutigen Namen für die Firewallregel ein.

6    Optional können Sie die Firewallprotokollierung aktivieren, indem Sie unter Protokolle (Logs)
     auf Ein (On) klicken. Die Firewallprotokollierung ist standardmäßig deaktiviert.

7    Wählen Sie für Richtung des Datenverkehrs (Direction of traffic) die Option Eingehender
     Datenverkehr (Ingress) aus.

VMware, Inc.                                                                                         11
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

8    Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen (Allow)
     oder Verweigern (Deny) aus.

9    Wählen Sie im Dropdown-Menü Ziele (Targets) die Ziele für die Regel aus:

     n    Wenn Sie möchten, dass die Regel für alle Instanzen im Netzwerk gilt, wählen Sie Alle
          Instanzen im Netzwerk (All instances in the network) aus.

     n    Wenn die Regel auf bestimmte Instanzen nach Netzwerk-Tags (Ziel-Tags) angewendet
          werden soll, wählen Sie Angegebene Ziel-Tags (Specified target tags) aus und geben Sie
          dann die Tags, für die die Regel gelten soll, in das Textfeld Ziel-Tags (Target tags) ein.

     n    Wenn die Regel auf bestimmte Instanzen nach zugeordnetem Dienstkonto angewendet
          werden soll, wählen Sie Angegebenes Dienstkonto (Specified service account) aus,
          geben Sie unter Bereich des Dienstkontos (Service account scope) an, ob sich das
          Dienstkonto im aktuellen Projekt oder einem anderen befindet, und wählen Sie im Feld
          Zieldienstkonto (Target service account) den Namen des Dienstkontos aus oder geben
          Sie ihn ein.

10 Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option IP-Bereiche (IP ranges) aus.

11 Geben Sie im Textfeld „Quell-IP-Bereich“ (Source IP ranges) die CIDR-Blöcke ein, um die
   Quelle für den eingehenden Datenverkehr nach IP-Adressbereich zu definieren. Verwenden
   Sie 0.0.0.0/0 für eine Quelle aus einem beliebigen Netzwerk.

12 Definieren Sie die Protokolle und Ports (Protocols and ports), auf die die Regel angewendet
   werden soll:

     n    Wählen Sie je nach Aktion Alle zulassen (Allow all) oder Alle verweigern (Deny all) aus,
          damit die Regel auf alle Protokolle und Ports angewendet wird.

     n    Definieren Sie bestimmte Protokolle und Ports:

          n    Wählen Sie tcp aus, um das TCP-Protokoll und die Ports einzubeziehen. Geben Sie all
               oder eine kommagetrennte Liste von Ports ein, wie z. B. 20-22, 80, 8080.

          n    Wählen Sie udp aus, um das UDP-Protokoll und die Ports einzubeziehen. Geben Sie
               all oder eine kommagetrennte Liste von Ports ein, wie z. B. 67-69, 123.

          n    Wählen Sie Weitere Protokolle (Other protocols) aus, um Protokolle wie
               beispielsweise ICMP, VCMP, SNMP nach Bedarf einzubeziehen.

13 (Optional) Sie können die Firewallregel erstellen, aber nicht durchsetzen, indem Sie den
   Erzwingungsstatus auf „Deaktiviert“ (Disabled) setzen. Klicken Sie auf Regel deaktivieren
   (Disable rule) und wählen Sie Deaktiviert (Disabled) aus.

14 Klicken Sie auf Erstellen (Create).

Ergebnisse

Die Firewallregeln werden für das ausgewählte VPC-Netzwerk erstellt.

VMware, Inc.                                                                                         12
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Nächste Schritte

n    Erstellen von Routen in einem VPC-Netzwerk

Erstellen von Routen in einem VPC-Netzwerk
Beschreibt, wie Sie eine neue Standardroute in einem privaten VPC-Netzwerk (Virtual Private
Cloud) hinzufügen, die auf einen Edge verweist, wie im Topologiediagramm veranschaulicht.

Voraussetzungen

n    Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
     für die GCP Console (Google Cloud Platform) verfügen.

n    Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben.

Verfahren

1    Melden Sie sich bei der GCP Console an.

2    Klicken Sie auf VPC-Netzwerke (VPC Networks).

     Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.

3    Klicken Sie auf das VPC-Netzwerk (privates VPC-Netzwerk), für das Sie eine neue
     Standardroute hinzufügen möchten.

     Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt.

4    Navigieren Sie zur Registerkarte Routen (Routes) und löschen Sie anschließend die
     Standardroute, die bei der Erstellung des VPC-Netzwerks erstellt wurde.

VMware, Inc.                                                                                   13
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

5    Klicken Sie auf Route hinzufügen (Add route). Die Seite Route erstellen (Create a route) wird
     angezeigt.

     a    Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein.

     b    Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die neue Standardroute an
          (z. B. 0.0.0.0/0).

     c    Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird
          nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele
          aufweisen.

     d    Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse
          angeben (Specify IP address) aus.

     e    Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse
          der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein.

     f    Klicken Sie auf Erstellen (Create).

Ergebnisse

Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt.

Hinzufügen einer Branch-zu-Branch-Route in einem VPC-Netzwerk
Beschreibt, wie Sie eine Branch-zu-Branch-Route in einem öffentlichen VPC-Netzwerk (Virtual
Private Cloud) hinzufügen, die auf einen Edge verweist, wie in der Ein-Arm-Topologie dargestellt.

Voraussetzungen

n    Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
     für die GCP Console (Google Cloud Platform) verfügen.

VMware, Inc.                                                                                           14
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

n    Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben.

Verfahren

1    Melden Sie sich bei der GCP Console an.

2    Klicken Sie auf VPC-Netzwerke (VPC Networks).

     Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.

3    Klicken Sie auf das VPC-Netzwerk (öffentliches VPC-Netzwerk), für das Sie eine Branch-zu-
     Branch-Route hinzufügen möchten.

     Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt.

4    Navigieren Sie zur Registerkarte Routen (Routes) und klicken Sie auf Route hinzufügen (Add
     route). Die Seite Route erstellen (Create a route) wird angezeigt.

     a    Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein.

     b    Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die IP-Adresse eines Branch
          im Unternehmensnetzwerk an, z. B. 172.16.0.0/20.

     c    Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird
          nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele
          aufweisen.

     d    Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse
          angeben (Specify IP address) aus.

     e    Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse
          der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein.

     f    Klicken Sie auf Erstellen (Create).

VMware, Inc.                                                                                           15
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Ergebnisse

Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt.

Bereitstellen eines Edge in SD-WAN Orchestrator
Führen Sie die Schritte in diesem Verfahren aus, um einen SD-WAN Edge bereitzustellen.

Voraussetzungen

Stellen Sie sicher, dass Sie über den SD-WAN Orchestrator-Hostnamen und das
Administratorkonto für die Anmeldung verfügen.

Verfahren

1    Melden Sie sich bei der Anwendung SD-WAN Orchestrator als Admin-Benutzer mit Ihren
     Anmeldedaten an.

2    Navigieren Sie zu Konfigurieren (Configure) > Edges.

3    Klicken Sie auf Neuer Edge (New Edge).

     Das Dialogfeld Neuen Edge bereitstellen (Provision New Edge) wird angezeigt.

4    Geben Sie im Textfeld Name einen eindeutigen Namen für den Edge ein.

5    Wählen Sie im Dropdown-Menü Modell (Model) den Eintrag Virtueller Edge (Virtual Edge)
     aus.

6    Wählen Sie im Dropdown-Menü Profil (Profile) den Eintrag Schnellstartprofil (Quick Start
     Profile) aus und klicken Sie auf Erstellen (Create).

     Der Edge wird bereitgestellt, und der Aktivierungsschlüssel wird oben auf der Seite
     angezeigt. Notieren Sie sich den Aktivierungsschlüssel, um ihn zum Starten des Edge über
     die Google Cloud Platform (GCP) Console zu verwenden.

VMware, Inc.                                                                                    16
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

7    Konfigurieren Sie die Virtual Edge-Schnittstellen. Die folgenden Schritte werden unter
     Berücksichtigung der Virtual Edge-Bereitstellung in GCP erläutert.

     a    Klicken Sie auf die Registerkarte Gerät (Device) und navigieren Sie zum Bereich
          Schnittstelleneinstellungen (Interface Settings).

     b    Aktualisieren Sie die Konfigurationen der Virtual Edge-Schnittstellen (GE1-Schnittstelle
          (GE1 Interface), GE2-Schnittstelle (GE2 Interface) und GE3-Schnittstelle (GE3 Interface))
          wie folgt, indem Sie entsprechend der Schnittstelle auf Bearbeiten (Edit) klicken und dann
          das Kontrollkästchen Schnittstelle außer Kraft setzen (Override Interface) aktivieren:

          n    Ändern Sie die Funktion der Schnittstelle GE1 in Weitergeleitet (Routed) und
               deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
               Datenverkehr (NAT Direct Traffic).

          n    Ändern Sie die Funktion der Schnittstelle GE2 in Weitergeleitet (Routed) und stellen
               Sie sicher, dass die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
               Datenverkehr (NAT Direct Traffic) aktiviert sind.

          n    Deaktivieren Sie für die Schnittstelle GE3 die Optionen WAN-Overlay (WAN Overlay)
               und Direkter NAT-Datenverkehr (NAT Direct Traffic). Dies ist der nächste Hop für
               Geräte, die mit privaten VPC-Subnetzen (LAN-Geräten) verbunden sind.

Ergebnisse

Ein virtueller Edge wird in SD-WAN Orchestrator bereitgestellt.

Nächste Schritte

Stellen Sie den virtuellen Edge in GCP bereit. Sie können den virtuellen Edge mithilfe einer der
folgenden Methoden bereitstellen:

n    Bereitstellen eines virtuellen Edge über den GCP Marketplace

VMware, Inc.                                                                                          17
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

n    Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP

Bereitstellen eines virtuellen Edge über den GCP
Marketplace
In der Google Cloud Console können Sie eine VM-Instanz unter Verwendung eines
Startlaufwerk-Images, eines Startlaufwerk-Snapshots oder eines Container-Images erstellen und
bereitstellen. Um eine VM-Instanz unter Verwendung eines Startlaufwerk-Images zu erstellen und
bereitzustellen, führen Sie die Schritte in diesem Verfahren aus.

Voraussetzungen

Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für
die GCP Console (Google Cloud Platform) verfügen.

Verfahren

1    Melden Sie sich bei der GCP Console an.

VMware, Inc.                                                                                   18
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

2    VMware SD-WAN ist jetzt im GCP Marketplace verfügbar. Suchen Sie im Marketplace nach
     VMware SD-WAN, um zu beginnen.

3    Klicken Sie auf STARTEN (LAUNCH).

     Die Seite Instanz erstellen (Create an instance) wird angezeigt.

VMware, Inc.                                                                                19
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

4    Geben Sie im Textfeld Bereitstellungsname (Deployment name) einen eindeutigen Namen
     für Ihre Instanz ein.

5    Wählen Sie im Dropdown-Menü Zone eine Region aus, in der die VPC-Netzwerke erstellt
     werden.

6    Wählen Sie eine Maschinenkonfiguration für Ihre Instanz aus. Wählen Sie im Dropdown-Menü
     Maschinentyp (Machine Type) eine Option basierend auf der konfigurierten Topologie aus.

7    Geben Sie im Feld Benutzerdaten (User-data) die Cloud-init-Informationen im folgenden
     Beispielformat an, um den virtuellen Edge für den Ziel-VMware SD-WAN Orchestrator zu
     aktivieren.

     Beispiel für die Cloud-init-Benutzerdaten

      "#cloud-config\nvelocloud:\n vce:\n vco: vco58-usvi1.velocloud.net\n     activation_code:
      3SHZ-966M-BJP2-ULUX\n vco_ignore_cert_errors: false\n"

     Es ist sehr wichtig, dass das Format korrekt ist, um sicherzustellen, dass es verarbeitet
     wird, da ansonsten die Aktivierung stillschweigend fehlschlägt (d. h. kein Fehlerereignis im
     Orchestrator).

VMware, Inc.                                                                                        20
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

     #cloud-config muss mit Anführungszeichen gekapselt werden, ansonsten gibt GCP
     während der Startzeit einen Fehler aus. Die Anführungszeichen sind bereits im Feld
     Benutzerdaten (User-data) enthalten. Sie können einfach die Cloud-Konfiguration zwischen
     den Anführungszeichen einfügen oder das Beispiel für die Cloud-init-Benutzerdaten
     ausschneiden und einfügen, wobei der gesamte Text im Feld Benutzerdaten (User-data)
     ersetzt wird.

     Hinweis Die Zeichen für Zeilenumbruch (\n) und der Zeilenabstand müssen exakt sein, damit
     die Analyse funktioniert. Es ist am besten, das obige Beispiel auszuschneiden und in Notepad
     einzufügen und die Werte einfach nach Bedarf zu ersetzen, ohne den Abstand zu ändern.

     SSH-Schlüssel werden auf Projektebene verwaltet. Weitere Informationen finden Sie unter
     https://cloud.google.com/compute/docs/instances/adding-removing-ssh-keys.

8    IP-Weiterleitung ermöglicht es den Schnittstellen auf dem virtuellen Edge, Pakete zu
     verarbeiten, die nicht für die MAC-Adresse der lokalen Schnittstelle bestimmt sind. IP-
     Weiterleitung ist standardmäßig aktiviert. Dies ist für die ordnungsgemäße Weiterleitung
     erforderlich und kann nicht geändert werden.

9    Im Bereich Startlaufwerk (Boot disk) sollten die Standardwerte für den Diskettentyp und für
     die Größe des Boot-Image beibehalten werden: Persistente SSD-Festplatte und 10 GB.

10 Fügen Sie auf der Registerkarte Netzwerk (Networking) und Schnittstellen für die
   konfigurierten VPC-Netzwerke wie folgt hinzu.

     a    Klicken Sie unter Netzwerkschnittstellen (Network interfaces) auf das Symbol +
          Netzwerkschnittstelle hinzufügen (+ Add Network Interface).

     b    Wählen Sie im Dropdown-Menü Netzwerk (Network) das Netzwerk aus, zu dem Sie eine
          Schnittstelle hinzufügen möchten.

     c    Konfigurieren Sie die externe IP wie folgt:

          n    Verwaltungsnetzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus.

          n    Öffentliches Netzwerk – Wählen Sie Externe IP: Flüchtig (External IP: Ephemeral)
               aus, da diese Schnittstelle einer öffentlichen Internet-IP-Adresse zugeordnet werden
               muss.

          n    Privates Netzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus.

     d    Klicken Sie auf Fertig (Done).

     e    Um eine weitere Schnittstelle hinzuzufügen, klicken Sie auf Netzwerkschnittstelle
          hinzufügen (Add network interface) und wiederholen Sie die obigen Schritte von b bis d.

11 Klicken Sie auf Bereitstellen (Deploy).

Ergebnisse

Eine Instanz eines virtuellen Edge wird erstellt, und die Computing-Engine startet die Edge-
Instanz nach ihrer Erstellung automatisch.

VMware, Inc.                                                                                          21
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

Nächste Schritte

Überprüfung der Edge-Aktivierung

Bereitstellen eines virtuellen Edge mit einem Deployment
Manager in GCP
Führen Sie die folgenden Schritte aus, um einen virtuellen VMware SD-WAN Edge mithilfe eines
Deployment Manager in Google Cloud Platform bereitzustellen:

1    Aktivieren Sie die Cloud Deployment Manager-API in GCP. Die Schritte dazu finden Sie unter
     Aktivieren von Deployment Manager.

2    Stellen Sie wie folgt einen SD-WAN Edge im SD-WAN Orchestrator bereit:

     a    Erstellen Sie einen Edge vom Typ Virtueller Edge (Virtual Edge) und notieren Sie sich
          den Aktivierungsschlüssel, der oben im Bildschirm angezeigt wird, nachdem der Edge
          bereitgestellt wurde.

     b    Konfigurieren Sie die IP-Adresse eines VLAN (verwenden Sie 169.254.0.1 /24) für den
          Edge. Aktivieren Sie die Optionen Ankündigen (Advertise) und DHCP nicht.

     c    Konfigurieren Sie virtuelle Edge-Schnittstellen wie folgt:

          n    Ändern Sie die Funktion der GE2-Schnittstelle von Umgeschaltet (Switched) in
               Weitergeleitet (Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN
               Overlay) und DHCP-Adressierung (DHCPAddressing).

          n    Deaktivieren Sie für die GE3-Schnittstelle die Optionen WAN-Overlay (WAN Overlay)
               und Direkter NAT-Datenverkehr (NAT Direct Traffic), da diese Schnittstelle für das
               LAN-seitige Gateway verwendet wird.

     Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator.

     Hinweis Vor der ersten Edge-Aktivierung müssen die Geräteeinstellungen des SD-WAN
     Orchestrator konfiguriert werden. Wird dieser Schritt nicht ausgeführt, wird der virtuelle Edge
     aktiviert, aber wenige Minuten später offline geschaltet.

3    Stellen Sie das GCP-Image bereit, indem Sie zuerst die VPC-Netzwerke erstellen und dann
     die DM-Vorlage mit der entsprechenden Referenz für jede Schnittstelle bereitstellen. CLOUD-
     INIT wird in der Vorlage ebenfalls verwendet, um das SD-WAN Orchestrator-Ziel und den
     Aktivierungsschlüssel für den virtuelle Edge zu liefern.

     a    Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk,
          öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit
          dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt.

          n    Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die
               Verwaltungsschnittstelle GE1.

          n    Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige
               Schnittstelle GE2.

VMware, Inc.                                                                                      22
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

          n     Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige
                Schnittstelle GE3.

          Schritte zum Erstellen von VPC-Netzwerken finden Sie unter Erstellen eines VPC-
          Netzwerks.

     b    Ändern Sie die Vorlage für Deployment Manager (DM). Nachfolgend finden Sie ein
          Beispiel für eine YAML-DM-Vorlage. Sie können diese Vorlage verwenden, müssen aber
          sicherstellen, dass Sie die notwendigen Änderungen für Ihre Umgebung vornehmen. Das
          YAML-DM-Vorlage muss in folgenden Punkten an die vorgesehene Umgebung angepasst
          werden:

          n     Projektname

          n     Region und Zone

          n     VPC-Namen und Subnetze

          n     VMware SD-WAN Orchestrator-IP oder -FQDN

          n     Aktivierungscode (Format: xxxx-xxxxxxxxxxxx)

          n     VMware SD-WAN Orchestrator-Fehler beim Ignorieren von Zertifikaten: true oder
                false

              # "VMware SD-WAN by VeloCloud GCP Deployment Manager Template (34220201029)"
              # gcloud deployment-manager deployments create velocloud-vce --config gcp_dm.yaml
              # gcloud deployment-manager deployments delete velocloud-vce

              resources:
              - type: compute.v1.instance
                name: dm-gcp-vce-01
                properties:
                  zone: us-west1-a
                  machineType: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/zones/us-
              west1-a/machineTypes/n1-standard-4
                  canIpForward: true
                  disks:
                  - deviceName: boot
                    type: PERSISTENT
                    boot: true
                    autoDelete: true
                    initializeParams:
                      sourceImage: https://www.googleapis.com/compute/v1/projects/vmware-sdwan-
              public/global/images/vce-342-102-r342-20200610-ga-3f5ad3b9e2
              networkInterfaces:
                    - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
              networks/velo-mgmt-vpc
                      subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-mgmt-sn
                    - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
              networks/velo-public-vpc
                      subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/public-sn
                      accessConfigs:
                        - name: External NAT
                          type: ONE_TO_ONE_NAT

VMware, Inc.                                                                                            23
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

                 - network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
           networks/velo-private-vpc
                   subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-private-sn
               metadata:
                 items:
                 - key: user-data
                   value: |
                      #cloud-config
                      velocloud:
                        vce:
                         vco: vco58-usvi1.velocloud.net
                         activation_code: YPTF-PN33-THTX-28V5
                         vco_ignore_cert_errors: false

     Weitere Informationen zur GCLOUD-CLI finden Sie unter https://cloud.google.com/sdk/
     gcloud/.

4    Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist.

     Sobald die Instanz in GCP ausgeführt wird und wenn alle bereitgestellten Informationen
     korrekt waren, greift der virtuelle Edge mit dem Aktivierungsschlüssel auf SD-WAN
     Orchestrator zu und führt die Aktivierung sowie bei Bedarf ein Software-Update (und im Falle
     eines Upgrades einen Neustart) durch. Die typische Bereitstellungszeit liegt zwischen 3 und
     4 Minuten.

Aktivieren von Deployment Manager
Deployment Manager ist ein Dienst zur Bereitstellung von Infrastruktur, der das Erstellen und
Verwalten von Google Cloud-Ressourcen automatisiert. Deployment Manager nutzt die zugrunde
liegenden APIs jedes Google Cloud-Diensts zur Bereitstellung Ihrer Ressourcen.

Die Google Cloud Deployment Manager V2 API stellt Dienste für die Konfiguration, Bereitstellung
und Anzeige von Google Cloud-Diensten und -APIs über Vorlagen bereit, die die Bereitstellungen
von Cloud-Ressourcen spezifizieren. Führen Sie die folgenden Schritte aus, um die Cloud
Deployment Manager V2 API zu aktivieren und Anmeldedaten zu erstellen.

Voraussetzungen

n    Konto- und Anmeldeinformationen für GCP.

n    Vertrautheit mit den von GCP Deployment Manager unterstützen Ressourcentypen.
     Weitere Informationen finden Sie unter https://cloud.google.com/deployment-manager/docs/
     configuration/supported-resource-types.

Verfahren

1    Melden Sie sich bei der GCP Console an.

2    Navigieren Sie zu APIs und Dienste (APIs & Services) > Dashboard.

     Die Seite APIs und Dienste (APIs & Services) wird angezeigt.

3    Klicken Sie auf APIS UND DIENSTE AKTIVIEREN (Enable APIS AND SERVICES).

VMware, Inc.                                                                                     24
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

4    Verwenden Sie das Suchfeld , um nach der Deployment Manager-API zu suchen.

5    Klicken Sie auf Cloud Deployment Manager V2 API und dann auf Aktivieren (Enable).

     Die Cloud Deployment Manager-API wird aktiviert. Um diese API zu verwenden, müssen Sie
     Anmeldedaten erstellen.

6    Klicken Sie auf Anmeldedaten (Credentials), ANMELDEDATEN ERSTELLEN (CREATE
     CREDENTIALS) und wählen Sie eine der folgenden Optionen aus, um Anmeldedaten zu
     erstellen:

     n    API-Schlüssel

     n    OAuth-Client-ID

     n    Dienstkonto

     n    Entscheidungshilfe

7    Wenn Sie auf API-Schlüssel (API key) klicken, wird ein API-Schlüssel erstellt, der in Ihrer
     Anwendung verwendet werden kann.

VMware, Inc.                                                                                       25
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch

8    Klicken Sie im Popup-Fenster des erstellten API-Schlüssels auf SCHLÜSSEL EINSCHRÄNKEN
     (RESTRICT KEY), wenn Sie Ihren Schlüssel einschränken möchten, um die unberechtigte
     Verwendung in der Produktion zu verhindern. Andernfalls klicken Sie auf SCHLIESSEN
     (CLOSE).

Ergebnisse

Die Deployment Manager-APIs und Computing-Engine-APIs werden aktiviert, und Sie können die
API zur Bereitstellung Ihrer Virtual Edge-Ressource verwenden.

Nächste Schritte

Sie können Virtual Edge mit Deployment Manager bereitstellen. Die vollständigen Schritte finden
Sie unter Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP.

Überprüfung der Edge-Aktivierung
Beschreibt, wie die Aktivierung des virtuellen Edge in SD-WAN Orchestrator überprüft wird.

1    Melden Sie sich beim SD-WAN Orchestrator an.

2    Navigieren Sie zu Überwachen (Monitor) > Edges.

3    Im Bildschirm VeloCloud Edges können Sie überprüfen, ob Ihr virtueller Edge erfolgreich
     aktiviert wurde.

VMware, Inc.                                                                                   26
Sie können auch lesen