Google Cloud Platform Virtual Edge-Bereitstellungshandbuch - VMware SD-WAN - VMware Docs
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Google Cloud Platform Virtual Edge- Bereitstellungshandbuch VMware SD-WAN
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
VMware, Inc. VMware Global, Inc.
3401 Hillview Ave. Zweigniederlassung Deutschland
Palo Alto, CA 94304 Willy-Brandt-Platz 2
www.vmware.com 81829 München
Germany
Tel.: +49 (0) 89 3706 17 000
Fax: +49 (0) 89 3706 17 333
www.vmware.com/de
©
Copyright 2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
VMware, Inc. 2
Inhalt
1 Leitfaden für die Bereitstellung von Google Cloud Platform Virtual Edge 4
Übersicht über die Bereitstellung von Google Cloud Virtual Edge 4
Virtual Edge-Bereitstellung in GCP 5
Vorbereiten der GCP-Umgebung 7
Erstellen eines VPC-Netzwerks 8
Erstellen von eingehenden Firewallregeln 10
Erstellen von Routen in einem VPC-Netzwerk 13
Bereitstellen eines Edge in SD-WAN Orchestrator 16
Bereitstellen eines virtuellen Edge über den GCP Marketplace 18
Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP 22
Aktivieren von Deployment Manager 24
Überprüfung der Edge-Aktivierung 26
VMware, Inc. 3
Leitfaden für die Bereitstellung
von Google Cloud Platform Virtual
Edge
1
Dieses Dokument enthält Anleitungen zur Bereitstellung von Virtual VMware SD-WAN Edge in
Google Cloud Platform (GCP).
Dieses Kapitel enthält die folgenden Themen:
n Übersicht über die Bereitstellung von Google Cloud Virtual Edge
n Virtual Edge-Bereitstellung in GCP
n Vorbereiten der GCP-Umgebung
n Bereitstellen eines Edge in SD-WAN Orchestrator
n Bereitstellen eines virtuellen Edge über den GCP Marketplace
n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP
n Überprüfung der Edge-Aktivierung
Übersicht über die Bereitstellung von Google Cloud Virtual
Edge
Immer mehr Kunden verlagern ihre Arbeitslast in eine Public Cloud-Infrastruktur und erwarten,
dass SD-WAN von Remote-Sites auf die Public Cloud erweitert wird, um die Einhaltung des
Service-Level Agreements (SLA) zu gewährleisten. VMware bietet zahlreiche Möglichkeiten,
wobei verteilte VMware SD-WAN Gateways zur Einrichtung von IPSec für ein privates Public
Cloud-Netzwerk oder zur Bereitstellung eines virtuellen Edge direkt in Google Cloud Platform
(GCP) genutzt werden.
Für den Einsatz in kleinen Zweigstellen, die einen Durchsatz von weniger als 1G erfordern,
kann ein einzelner virtueller Edge im privaten GCP-Netzwerk bereitgestellt werden. Bei größeren
Bereitstellungen für Datencenter, die einen Multi-Gig-Durchsatz erfordern, können Hub-Cluster
bereitgestellt werden.
Hinweis Im VMware SD-WAN Hub-Cluster-Design wird eine Layer 3-Instanz auf der LAN-Seite
genutzt, um BGP zwischen Hubs im Cluster und der Layer 3-Instanz für die Routenverteilung im
LAN auszuführen. Da der GCP-Router kein Protokoll für dynamisches Routing unterstützt, ist ein
virtueller Router eines Drittanbieters in der GCP-Infrastruktur erforderlich.
VMware, Inc. 4
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
In diesem Dokument werden eine grundlegende Topologie und ein hochrangiger Workflow
für die Bereitstellung eines virtuellen SD-WAN Edge (vVCE) in GCP veranschaulicht. Weitere
Informationen finden Sie unter Virtual Edge-Bereitstellung in GCP.
Voraussetzungen
n Konto- und Anmeldeinformationen für GCP.
n Vertrautheit mit GCP-Netzwerkkonzepten. Weitere Informationen finden Sie unter https://
cloud.google.com/vpc/docs/overview.
n SD-WAN Orchestrator-Ziel und Administratorkonto für die Anmeldung.
GCP-Maschinentypen
Der Bandbreitendurchsatz und die Anzahl der Netzwerkschnittstellen müssen bei der
Dimensionierung des VMware SD-WAN Virtual Edge berücksichtigt werden. Die Mindestanzahl
der erforderlichen Netzschnittstellen beträgt drei (GE1, GE2, GE3).
Durchsatz 30 Mbit/s 50 Mbit/s 100 Mbit/s 200 Mbit/s 400 Mbit/s 1 Gbit/s
vCPU 2 2 2 2 4 4
Arbeitsspeicher 4 GB 4 GB 4 GB 8 GB 8 GB 8 GB
Maschinentyp vCPUs Arbeitsspeicher (GB) Max. Netzwerkkarten
n1-standard-4 4 15 4
n1-standard-8 8 30 8
Virtual Edge-Bereitstellung in GCP
Beschreibt die Virtual Edge-Bereitstellung in Google Cloud Virtual Private Cloud (VPC) mit
drei VPC-Netzwerken: Verwaltungs-VPC (10.0.2.x/24), öffentliche VPC (10.0.0.x/24) und private
VPC (10.0.1.x/24), jede für ein Subnetz, das mit dem Edge verbunden ist, wie im folgenden
Topologiediagramm dargestellt.
VMware, Inc. 5
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Grundlegende Topologie
Google Cloud Platform (GCP)
us-west1 (Oregon)
10.0.2.4/24 n1-standart-4
Verwaltungssubnetz
eth0
2.4
Linux-JH
35.19.184.51
GE1 34.82.243.159
2.6
34.83.80.249
Gateway eth0
GE2 GE3 1.5
0.4 1.4 vVCE-Instanz < – RFC1918 ubuntu-srv
10.0.0.4/24 10.0.1.4/24
Öffentliches Subnetz Privates Subnetz
Die Virtual Edge-Routen zwischen den beiden Subnetzen. Die öffentlichen VPC-Routen leiten
den gesamten Offnetzverkehr an das Internet-Gateway weiter. Der Gateway-Router im
privaten Subnetz leitet den gesamten Datenverkehr an die LAN-seitige Schnittstelle auf dem
Virtual Edge (GE3) weiter. In diesem Beispiel wird eine Standardroute verwendet, um den
gesamten Datenverkehr der Arbeitslasten weiterzuleiten. Dies ist jedoch nicht erforderlich. Die
Zusammenfassung in RFC1918 oder spezifische Branch/Hub-Präfixe können verwendet werden,
um einzuschränken, was an den virtuellen Edge gesendet wird. Wenn z. B. die Arbeitslast
im privaten Subnetz weiterhin über SSH von öffentlich bereitgestellten IPs zugänglich sein
muss, kann der VPC-Router so konfiguriert werden, dass die Standardroute (0.0.0.0/0) auf das
Internet-Gateway und die RFC1918-Zusammenfassung auf Virtual Edge zeigt.
Hochrangiger Workflow
Führen Sie die folgenden Schritte aus, um einen VMware SD-WAN Virtual Edge in Google Cloud
Platform bereitzustellen:
1 Vorbereiten der GCP-Umgebung:
a Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk,
öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit
dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt.
n Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die
Verwaltungsschnittstelle GE1.
VMware, Inc. 6
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
n Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige
Schnittstelle GE2.
n Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige
Schnittstelle GE3.
Die Schritte dazu finden Sie unter Erstellen eines VPC-Netzwerks.
b Erstellen Sie eingehende Firewallregeln für VPC-Netzwerke: Management, privat und
öffentlich. Die Schritte dazu finden Sie unter Erstellen von eingehenden Firewallregeln.
c Fügen Sie einen neuen Standardrouteneintrag (0.0.0.0/0) in der Routentabelle des
privaten VPC-Netzwerks hinzu, der auf den Edge verweist, wobei die IP-Adresse für
nächsten Hop als IP-Adresse des Edge der GE3-Schnittstelle verwendet wird.
Die Schritte dazu finden Sie unter Erstellen von Routen in einem VPC-Netzwerk.
2 Stellen Sie wie folgt einen SD-WAN Edge im VMware SD-WAN Orchestrator bereit:
a Erstellen Sie einen Edge des Typs Virtueller Edge (Virtual Edge).
b Ändern Sie die GE1-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet (Routed)
und deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
Datenverkehr (NAT Direct Traffic).
c Ändern Sie die GE2-Schnittstelle von Umgeschaltet (Switched) in Weitergeleitet
(Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter
NAT-Datenverkehr (NAT Direct Traffic).
d Deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
Datenverkehr (NAT Direct Traffic) für die GE3-Schnittstelle. Dies ist der nächste Hop für
Geräte, die mit privaten Subnetzen verbunden sind (LAN-Geräte).
Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator.
3 Stellen Sie den virtuellen Edge bereit. Sie können den virtuellen Edge mithilfe einer der
folgenden Methoden bereitstellen:
n Bereitstellen eines virtuellen Edge über den GCP Marketplace
n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP
4 Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist.
Vorbereiten der GCP-Umgebung
Bevor Sie einen virtuellen Edge in Google Cloud Platform (GCP) bereitstellen, müssen Sie die
GCP-Umgebung vorbereiten, indem Sie die folgenden Schritte ausführen:
n Erstellen eines VPC-Netzwerks
n Erstellen von eingehenden Firewallregeln
n Erstellen von Routen in einem VPC-Netzwerk
VMware, Inc. 7
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Erstellen eines VPC-Netzwerks
Sie können ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus oder im
benutzerdefinierten Modus erstellen. Beim Erstellen von Netzwerken im automatischen Modus
wird automatisch ein Subnetz in jeder Google Cloud-Region erstellt. Für VPC-Netzwerke im
benutzerdefinierten Modus müssen Sie ein Netzwerk erstellen und anschließend Subnetze
erstellen, die in einer Region vorhanden sein sollen. Sie können Subnetze erstellen, wenn Sie
das Netzwerk erstellen, oder Sie können Subnetze später hinzufügen. Sie können jedoch keine
Instanzen in einer Region erstellen, für die kein Subnetz definiert ist.
Voraussetzungen
Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für
die GCP Console (Google Cloud Platform) verfügen.
Verfahren
1 Melden Sie sich bei der GCP Console an.
2 Klicken Sie auf VPC-Netzwerke (VPC Networks).
Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.
3 Klicken Sie auf VPC-Netzwerk erstellen (Create VPC network).
Die Seite VPC-Netzwerk erstellen (Create a VPC network) wird angezeigt.
VMware, Inc. 8Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
4 Geben Sie im Textfeld Name einen eindeutigen Namen für das VPC-Netzwerk ein.
5 Wählen Sie unter Subnetze (Subnets) die Option Benutzerdefiniert (Custom) oder
Automatisch (Automatic) als Subnetzerstellungsmodus (Subnet creation mode) aus. Wenn
Sie Benutzerdefiniert (Custom) auswählen, geben Sie im Bereich Neues Subnetz (New
subnet) die folgenden Konfigurationsparameter für ein Subnetz an:
a Geben Sie im Textfeld Name einen eindeutigen Namen für das Subnetz ein.
b Wählen Sie im Dropdown-Menü Region eine Region für das Subnetz aus.
c Geben Sie im Textfeld IP-Adressbereich (IP address range) einen IP-Adressbereich ein.
VMware, Inc. 9Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
d Um einen sekundären IP-Bereich für das Subnetz zu definieren, klicken Sie auf
Sekundären IP-Bereich erstellen (Create secondary IP range).
e Privater Google-Zugriff (Private Google Access): Wählen Sie aus, ob der private Google-
Zugriff für das Subnetz bei der Erstellung oder später durch Bearbeitung aktiviert werden
soll.
f Flow-Protokolle (Flow logs): Legen Sie fest, ob die VPC-Flow-Protokolle für das Subnetz
bei der Erstellung oder später durch Bearbeitung aktiviert werden sollen.
g Klicken Sie auf Fertig (Done).
6 Um weitere Subnetze hinzuzufügen, klicken Sie auf Subnetz hinzufügen (Add subnet) und
wiederholen Sie die Schritte in Schritt 5. Sie können auch weitere Subnetze zum Netzwerk
hinzufügen, nachdem Sie das Netzwerk erstellt haben.
7 Wählen Sie den dynamischen Routing-Modus (Dynamic routing mode) für das VPC-
Netzwerk aus.
8 Klicken Sie auf Erstellen (Create).
Ergebnisse
Das VPC-Netzwerk und das Subnetz werden erstellt.
Nächste Schritte
Erstellen von eingehenden Firewallregeln
Erstellen von eingehenden Firewallregeln
Firewallregeln werden auf Netzwerkebene definiert und gelten nur für das Netzwerk, in dem sie
erstellt werden. Um eingehende Firewallregeln für ein VPC-Netzwerk zu erstellen, führen Sie die
Schritte in diesem Verfahren aus.
Voraussetzungen
n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
für die GCP Console (Google Cloud Platform) verfügen.
n Vergewissern Sie sich, dass Sie die VPC-Netzwerke erstellt haben.
n Überprüfen Sie die Firewallregelkomponenten und machen Sie sich unbedingt mit den
Komponenten der in Google Cloud eingesetzten Firewallkonfiguration vertraut.
Verfahren
1 Melden Sie sich bei der GCP Console an.
2 Klicken Sie auf VPC-Netzwerke (VPC Networks).
Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.
VMware, Inc. 10Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
3 Klicken Sie auf das VPC-Netzwerk, für das Sie Firewallregeln hinzufügen möchten.
Die Seite VPC-Netzwerk – Details (VPC network details) für das ausgewählte VPC-Netzwerk
wird angezeigt.
4 Gehen Sie zur Registerkarte Firewallregeln (Firewall rules) und klicken Sie auf Firewallregel
hinzufügen (Add firewall rule).
Die Seite Firewallregel erstellen (Create a firewall rule) wird angezeigt.
5 Geben Sie im Textfeld Name einen eindeutigen Namen für die Firewallregel ein.
6 Optional können Sie die Firewallprotokollierung aktivieren, indem Sie unter Protokolle (Logs)
auf Ein (On) klicken. Die Firewallprotokollierung ist standardmäßig deaktiviert.
7 Wählen Sie für Richtung des Datenverkehrs (Direction of traffic) die Option Eingehender
Datenverkehr (Ingress) aus.
VMware, Inc. 11Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
8 Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen (Allow)
oder Verweigern (Deny) aus.
9 Wählen Sie im Dropdown-Menü Ziele (Targets) die Ziele für die Regel aus:
n Wenn Sie möchten, dass die Regel für alle Instanzen im Netzwerk gilt, wählen Sie Alle
Instanzen im Netzwerk (All instances in the network) aus.
n Wenn die Regel auf bestimmte Instanzen nach Netzwerk-Tags (Ziel-Tags) angewendet
werden soll, wählen Sie Angegebene Ziel-Tags (Specified target tags) aus und geben Sie
dann die Tags, für die die Regel gelten soll, in das Textfeld Ziel-Tags (Target tags) ein.
n Wenn die Regel auf bestimmte Instanzen nach zugeordnetem Dienstkonto angewendet
werden soll, wählen Sie Angegebenes Dienstkonto (Specified service account) aus,
geben Sie unter Bereich des Dienstkontos (Service account scope) an, ob sich das
Dienstkonto im aktuellen Projekt oder einem anderen befindet, und wählen Sie im Feld
Zieldienstkonto (Target service account) den Namen des Dienstkontos aus oder geben
Sie ihn ein.
10 Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option IP-Bereiche (IP ranges) aus.
11 Geben Sie im Textfeld „Quell-IP-Bereich“ (Source IP ranges) die CIDR-Blöcke ein, um die
Quelle für den eingehenden Datenverkehr nach IP-Adressbereich zu definieren. Verwenden
Sie 0.0.0.0/0 für eine Quelle aus einem beliebigen Netzwerk.
12 Definieren Sie die Protokolle und Ports (Protocols and ports), auf die die Regel angewendet
werden soll:
n Wählen Sie je nach Aktion Alle zulassen (Allow all) oder Alle verweigern (Deny all) aus,
damit die Regel auf alle Protokolle und Ports angewendet wird.
n Definieren Sie bestimmte Protokolle und Ports:
n Wählen Sie tcp aus, um das TCP-Protokoll und die Ports einzubeziehen. Geben Sie all
oder eine kommagetrennte Liste von Ports ein, wie z. B. 20-22, 80, 8080.
n Wählen Sie udp aus, um das UDP-Protokoll und die Ports einzubeziehen. Geben Sie
all oder eine kommagetrennte Liste von Ports ein, wie z. B. 67-69, 123.
n Wählen Sie Weitere Protokolle (Other protocols) aus, um Protokolle wie
beispielsweise ICMP, VCMP, SNMP nach Bedarf einzubeziehen.
13 (Optional) Sie können die Firewallregel erstellen, aber nicht durchsetzen, indem Sie den
Erzwingungsstatus auf „Deaktiviert“ (Disabled) setzen. Klicken Sie auf Regel deaktivieren
(Disable rule) und wählen Sie Deaktiviert (Disabled) aus.
14 Klicken Sie auf Erstellen (Create).
Ergebnisse
Die Firewallregeln werden für das ausgewählte VPC-Netzwerk erstellt.
VMware, Inc. 12Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Nächste Schritte
n Erstellen von Routen in einem VPC-Netzwerk
Erstellen von Routen in einem VPC-Netzwerk
Beschreibt, wie Sie eine neue Standardroute in einem privaten VPC-Netzwerk (Virtual Private
Cloud) hinzufügen, die auf einen Edge verweist, wie im Topologiediagramm veranschaulicht.
Voraussetzungen
n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
für die GCP Console (Google Cloud Platform) verfügen.
n Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben.
Verfahren
1 Melden Sie sich bei der GCP Console an.
2 Klicken Sie auf VPC-Netzwerke (VPC Networks).
Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.
3 Klicken Sie auf das VPC-Netzwerk (privates VPC-Netzwerk), für das Sie eine neue
Standardroute hinzufügen möchten.
Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt.
4 Navigieren Sie zur Registerkarte Routen (Routes) und löschen Sie anschließend die
Standardroute, die bei der Erstellung des VPC-Netzwerks erstellt wurde.
VMware, Inc. 13Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
5 Klicken Sie auf Route hinzufügen (Add route). Die Seite Route erstellen (Create a route) wird
angezeigt.
a Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein.
b Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die neue Standardroute an
(z. B. 0.0.0.0/0).
c Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird
nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele
aufweisen.
d Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse
angeben (Specify IP address) aus.
e Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse
der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein.
f Klicken Sie auf Erstellen (Create).
Ergebnisse
Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt.
Hinzufügen einer Branch-zu-Branch-Route in einem VPC-Netzwerk
Beschreibt, wie Sie eine Branch-zu-Branch-Route in einem öffentlichen VPC-Netzwerk (Virtual
Private Cloud) hinzufügen, die auf einen Edge verweist, wie in der Ein-Arm-Topologie dargestellt.
Voraussetzungen
n Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen
für die GCP Console (Google Cloud Platform) verfügen.
VMware, Inc. 14Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
n Stellen Sie sicher, dass Sie VPC-Netzwerke erstellt haben.
Verfahren
1 Melden Sie sich bei der GCP Console an.
2 Klicken Sie auf VPC-Netzwerke (VPC Networks).
Die Seite VPC-Netzwerke (VPC Networks) wird angezeigt.
3 Klicken Sie auf das VPC-Netzwerk (öffentliches VPC-Netzwerk), für das Sie eine Branch-zu-
Branch-Route hinzufügen möchten.
Die Seite VPC-Netzwerk – Details (VPC network details) wird angezeigt.
4 Navigieren Sie zur Registerkarte Routen (Routes) und klicken Sie auf Route hinzufügen (Add
route). Die Seite Route erstellen (Create a route) wird angezeigt.
a Geben Sie im Textfeld Name einen eindeutigen Namen für den Routeneintrag ein.
b Geben Sie im Textfeld Ziel-IP-Bereich (Destination IP range) die IP-Adresse eines Branch
im Unternehmensnetzwerk an, z. B. 172.16.0.0/20.
c Geben Sie im Textfeld Priorität (Priority) eine Priorität für die Route an. Eine Priorität wird
nur verwendet, um die Routing-Reihenfolge zu ermitteln, wenn Routen gleichwertige Ziele
aufweisen.
d Wählen Sie im Dropdown-Menü Nächster Hop (Next hop) die Option IP-Adresse
angeben (Specify IP address) aus.
e Geben Sie im Textfeld IP-Adresse für nächsten Hop (Next hop IP address) die IP-Adresse
der Edge-Schnittstelle im ausgewählten VPC-Netzwerk ein.
f Klicken Sie auf Erstellen (Create).
VMware, Inc. 15Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Ergebnisse
Ein Routeneintrag wird in der Routentabelle des ausgewählten VPC-Netzwerks hinzugefügt.
Bereitstellen eines Edge in SD-WAN Orchestrator
Führen Sie die Schritte in diesem Verfahren aus, um einen SD-WAN Edge bereitzustellen.
Voraussetzungen
Stellen Sie sicher, dass Sie über den SD-WAN Orchestrator-Hostnamen und das
Administratorkonto für die Anmeldung verfügen.
Verfahren
1 Melden Sie sich bei der Anwendung SD-WAN Orchestrator als Admin-Benutzer mit Ihren
Anmeldedaten an.
2 Navigieren Sie zu Konfigurieren (Configure) > Edges.
3 Klicken Sie auf Neuer Edge (New Edge).
Das Dialogfeld Neuen Edge bereitstellen (Provision New Edge) wird angezeigt.
4 Geben Sie im Textfeld Name einen eindeutigen Namen für den Edge ein.
5 Wählen Sie im Dropdown-Menü Modell (Model) den Eintrag Virtueller Edge (Virtual Edge)
aus.
6 Wählen Sie im Dropdown-Menü Profil (Profile) den Eintrag Schnellstartprofil (Quick Start
Profile) aus und klicken Sie auf Erstellen (Create).
Der Edge wird bereitgestellt, und der Aktivierungsschlüssel wird oben auf der Seite
angezeigt. Notieren Sie sich den Aktivierungsschlüssel, um ihn zum Starten des Edge über
die Google Cloud Platform (GCP) Console zu verwenden.
VMware, Inc. 16Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
7 Konfigurieren Sie die Virtual Edge-Schnittstellen. Die folgenden Schritte werden unter
Berücksichtigung der Virtual Edge-Bereitstellung in GCP erläutert.
a Klicken Sie auf die Registerkarte Gerät (Device) und navigieren Sie zum Bereich
Schnittstelleneinstellungen (Interface Settings).
b Aktualisieren Sie die Konfigurationen der Virtual Edge-Schnittstellen (GE1-Schnittstelle
(GE1 Interface), GE2-Schnittstelle (GE2 Interface) und GE3-Schnittstelle (GE3 Interface))
wie folgt, indem Sie entsprechend der Schnittstelle auf Bearbeiten (Edit) klicken und dann
das Kontrollkästchen Schnittstelle außer Kraft setzen (Override Interface) aktivieren:
n Ändern Sie die Funktion der Schnittstelle GE1 in Weitergeleitet (Routed) und
deaktivieren Sie die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
Datenverkehr (NAT Direct Traffic).
n Ändern Sie die Funktion der Schnittstelle GE2 in Weitergeleitet (Routed) und stellen
Sie sicher, dass die Optionen WAN-Overlay (WAN Overlay) und Direkter NAT-
Datenverkehr (NAT Direct Traffic) aktiviert sind.
n Deaktivieren Sie für die Schnittstelle GE3 die Optionen WAN-Overlay (WAN Overlay)
und Direkter NAT-Datenverkehr (NAT Direct Traffic). Dies ist der nächste Hop für
Geräte, die mit privaten VPC-Subnetzen (LAN-Geräten) verbunden sind.
Ergebnisse
Ein virtueller Edge wird in SD-WAN Orchestrator bereitgestellt.
Nächste Schritte
Stellen Sie den virtuellen Edge in GCP bereit. Sie können den virtuellen Edge mithilfe einer der
folgenden Methoden bereitstellen:
n Bereitstellen eines virtuellen Edge über den GCP Marketplace
VMware, Inc. 17Google Cloud Platform Virtual Edge-Bereitstellungshandbuch n Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP Bereitstellen eines virtuellen Edge über den GCP Marketplace In der Google Cloud Console können Sie eine VM-Instanz unter Verwendung eines Startlaufwerk-Images, eines Startlaufwerk-Snapshots oder eines Container-Images erstellen und bereitstellen. Um eine VM-Instanz unter Verwendung eines Startlaufwerk-Images zu erstellen und bereitzustellen, führen Sie die Schritte in diesem Verfahren aus. Voraussetzungen Stellen Sie sicher, dass Sie über ein Google-Konto und Zugriff auf bzw. Anmeldeinformationen für die GCP Console (Google Cloud Platform) verfügen. Verfahren 1 Melden Sie sich bei der GCP Console an. VMware, Inc. 18
Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
2 VMware SD-WAN ist jetzt im GCP Marketplace verfügbar. Suchen Sie im Marketplace nach
VMware SD-WAN, um zu beginnen.
3 Klicken Sie auf STARTEN (LAUNCH).
Die Seite Instanz erstellen (Create an instance) wird angezeigt.
VMware, Inc. 19Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
4 Geben Sie im Textfeld Bereitstellungsname (Deployment name) einen eindeutigen Namen
für Ihre Instanz ein.
5 Wählen Sie im Dropdown-Menü Zone eine Region aus, in der die VPC-Netzwerke erstellt
werden.
6 Wählen Sie eine Maschinenkonfiguration für Ihre Instanz aus. Wählen Sie im Dropdown-Menü
Maschinentyp (Machine Type) eine Option basierend auf der konfigurierten Topologie aus.
7 Geben Sie im Feld Benutzerdaten (User-data) die Cloud-init-Informationen im folgenden
Beispielformat an, um den virtuellen Edge für den Ziel-VMware SD-WAN Orchestrator zu
aktivieren.
Beispiel für die Cloud-init-Benutzerdaten
"#cloud-config\nvelocloud:\n vce:\n vco: vco58-usvi1.velocloud.net\n activation_code:
3SHZ-966M-BJP2-ULUX\n vco_ignore_cert_errors: false\n"
Es ist sehr wichtig, dass das Format korrekt ist, um sicherzustellen, dass es verarbeitet
wird, da ansonsten die Aktivierung stillschweigend fehlschlägt (d. h. kein Fehlerereignis im
Orchestrator).
VMware, Inc. 20Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
#cloud-config muss mit Anführungszeichen gekapselt werden, ansonsten gibt GCP
während der Startzeit einen Fehler aus. Die Anführungszeichen sind bereits im Feld
Benutzerdaten (User-data) enthalten. Sie können einfach die Cloud-Konfiguration zwischen
den Anführungszeichen einfügen oder das Beispiel für die Cloud-init-Benutzerdaten
ausschneiden und einfügen, wobei der gesamte Text im Feld Benutzerdaten (User-data)
ersetzt wird.
Hinweis Die Zeichen für Zeilenumbruch (\n) und der Zeilenabstand müssen exakt sein, damit
die Analyse funktioniert. Es ist am besten, das obige Beispiel auszuschneiden und in Notepad
einzufügen und die Werte einfach nach Bedarf zu ersetzen, ohne den Abstand zu ändern.
SSH-Schlüssel werden auf Projektebene verwaltet. Weitere Informationen finden Sie unter
https://cloud.google.com/compute/docs/instances/adding-removing-ssh-keys.
8 IP-Weiterleitung ermöglicht es den Schnittstellen auf dem virtuellen Edge, Pakete zu
verarbeiten, die nicht für die MAC-Adresse der lokalen Schnittstelle bestimmt sind. IP-
Weiterleitung ist standardmäßig aktiviert. Dies ist für die ordnungsgemäße Weiterleitung
erforderlich und kann nicht geändert werden.
9 Im Bereich Startlaufwerk (Boot disk) sollten die Standardwerte für den Diskettentyp und für
die Größe des Boot-Image beibehalten werden: Persistente SSD-Festplatte und 10 GB.
10 Fügen Sie auf der Registerkarte Netzwerk (Networking) und Schnittstellen für die
konfigurierten VPC-Netzwerke wie folgt hinzu.
a Klicken Sie unter Netzwerkschnittstellen (Network interfaces) auf das Symbol +
Netzwerkschnittstelle hinzufügen (+ Add Network Interface).
b Wählen Sie im Dropdown-Menü Netzwerk (Network) das Netzwerk aus, zu dem Sie eine
Schnittstelle hinzufügen möchten.
c Konfigurieren Sie die externe IP wie folgt:
n Verwaltungsnetzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus.
n Öffentliches Netzwerk – Wählen Sie Externe IP: Flüchtig (External IP: Ephemeral)
aus, da diese Schnittstelle einer öffentlichen Internet-IP-Adresse zugeordnet werden
muss.
n Privates Netzwerk – Wählen Sie Keine (None) für Externe IP (External IP) aus.
d Klicken Sie auf Fertig (Done).
e Um eine weitere Schnittstelle hinzuzufügen, klicken Sie auf Netzwerkschnittstelle
hinzufügen (Add network interface) und wiederholen Sie die obigen Schritte von b bis d.
11 Klicken Sie auf Bereitstellen (Deploy).
Ergebnisse
Eine Instanz eines virtuellen Edge wird erstellt, und die Computing-Engine startet die Edge-
Instanz nach ihrer Erstellung automatisch.
VMware, Inc. 21Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
Nächste Schritte
Überprüfung der Edge-Aktivierung
Bereitstellen eines virtuellen Edge mit einem Deployment
Manager in GCP
Führen Sie die folgenden Schritte aus, um einen virtuellen VMware SD-WAN Edge mithilfe eines
Deployment Manager in Google Cloud Platform bereitzustellen:
1 Aktivieren Sie die Cloud Deployment Manager-API in GCP. Die Schritte dazu finden Sie unter
Aktivieren von Deployment Manager.
2 Stellen Sie wie folgt einen SD-WAN Edge im SD-WAN Orchestrator bereit:
a Erstellen Sie einen Edge vom Typ Virtueller Edge (Virtual Edge) und notieren Sie sich
den Aktivierungsschlüssel, der oben im Bildschirm angezeigt wird, nachdem der Edge
bereitgestellt wurde.
b Konfigurieren Sie die IP-Adresse eines VLAN (verwenden Sie 169.254.0.1 /24) für den
Edge. Aktivieren Sie die Optionen Ankündigen (Advertise) und DHCP nicht.
c Konfigurieren Sie virtuelle Edge-Schnittstellen wie folgt:
n Ändern Sie die Funktion der GE2-Schnittstelle von Umgeschaltet (Switched) in
Weitergeleitet (Routed) und aktivieren Sie die Optionen WAN-Overlay (WAN
Overlay) und DHCP-Adressierung (DHCPAddressing).
n Deaktivieren Sie für die GE3-Schnittstelle die Optionen WAN-Overlay (WAN Overlay)
und Direkter NAT-Datenverkehr (NAT Direct Traffic), da diese Schnittstelle für das
LAN-seitige Gateway verwendet wird.
Weitere Informationen finden Sie unter Bereitstellen eines Edge in SD-WAN Orchestrator.
Hinweis Vor der ersten Edge-Aktivierung müssen die Geräteeinstellungen des SD-WAN
Orchestrator konfiguriert werden. Wird dieser Schritt nicht ausgeführt, wird der virtuelle Edge
aktiviert, aber wenige Minuten später offline geschaltet.
3 Stellen Sie das GCP-Image bereit, indem Sie zuerst die VPC-Netzwerke erstellen und dann
die DM-Vorlage mit der entsprechenden Referenz für jede Schnittstelle bereitstellen. CLOUD-
INIT wird in der Vorlage ebenfalls verwendet, um das SD-WAN Orchestrator-Ziel und den
Aktivierungsschlüssel für den virtuelle Edge zu liefern.
a Erstellen Sie drei VPC-Netzwerke (Virtual Private Cloud) (MGMT-VPC-Netzwerk,
öffentliches VPC-Netzwerk und privates VPC-Netzwerk), jedes für ein Subnetz, das mit
dem Edge (n1-standard-4) verbunden ist, wie im Topologiediagramm dargestellt.
n Verwaltungssubnetz für Konsolen-/Verwaltungszugriff auf den Edge über die
Verwaltungsschnittstelle GE1.
n Öffentliches Subnetz für den Internetzugriff vom Edge über die WAN-seitige
Schnittstelle GE2.
VMware, Inc. 22Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
n Privates Subnetz für den LAN-seitigen Gerätezugriff über die LAN-seitige
Schnittstelle GE3.
Schritte zum Erstellen von VPC-Netzwerken finden Sie unter Erstellen eines VPC-
Netzwerks.
b Ändern Sie die Vorlage für Deployment Manager (DM). Nachfolgend finden Sie ein
Beispiel für eine YAML-DM-Vorlage. Sie können diese Vorlage verwenden, müssen aber
sicherstellen, dass Sie die notwendigen Änderungen für Ihre Umgebung vornehmen. Das
YAML-DM-Vorlage muss in folgenden Punkten an die vorgesehene Umgebung angepasst
werden:
n Projektname
n Region und Zone
n VPC-Namen und Subnetze
n VMware SD-WAN Orchestrator-IP oder -FQDN
n Aktivierungscode (Format: xxxx-xxxxxxxxxxxx)
n VMware SD-WAN Orchestrator-Fehler beim Ignorieren von Zertifikaten: true oder
false
# "VMware SD-WAN by VeloCloud GCP Deployment Manager Template (34220201029)"
# gcloud deployment-manager deployments create velocloud-vce --config gcp_dm.yaml
# gcloud deployment-manager deployments delete velocloud-vce
resources:
- type: compute.v1.instance
name: dm-gcp-vce-01
properties:
zone: us-west1-a
machineType: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/zones/us-
west1-a/machineTypes/n1-standard-4
canIpForward: true
disks:
- deviceName: boot
type: PERSISTENT
boot: true
autoDelete: true
initializeParams:
sourceImage: https://www.googleapis.com/compute/v1/projects/vmware-sdwan-
public/global/images/vce-342-102-r342-20200610-ga-3f5ad3b9e2
networkInterfaces:
- network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
networks/velo-mgmt-vpc
subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-mgmt-sn
- network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
networks/velo-public-vpc
subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/public-sn
accessConfigs:
- name: External NAT
type: ONE_TO_ONE_NAT
VMware, Inc. 23Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
- network: https://www.googleapis.com/compute/v1/projects/gcp-nsx-sdwan/global/
networks/velo-private-vpc
subnetwork: projects/gcp-nsx-sdwan/regions/us-west1/subnetworks/velo-private-sn
metadata:
items:
- key: user-data
value: |
#cloud-config
velocloud:
vce:
vco: vco58-usvi1.velocloud.net
activation_code: YPTF-PN33-THTX-28V5
vco_ignore_cert_errors: false
Weitere Informationen zur GCLOUD-CLI finden Sie unter https://cloud.google.com/sdk/
gcloud/.
4 Überprüfen Sie, ob der virtuelle Edge im SD-WAN Orchestrator aktiviert ist.
Sobald die Instanz in GCP ausgeführt wird und wenn alle bereitgestellten Informationen
korrekt waren, greift der virtuelle Edge mit dem Aktivierungsschlüssel auf SD-WAN
Orchestrator zu und führt die Aktivierung sowie bei Bedarf ein Software-Update (und im Falle
eines Upgrades einen Neustart) durch. Die typische Bereitstellungszeit liegt zwischen 3 und
4 Minuten.
Aktivieren von Deployment Manager
Deployment Manager ist ein Dienst zur Bereitstellung von Infrastruktur, der das Erstellen und
Verwalten von Google Cloud-Ressourcen automatisiert. Deployment Manager nutzt die zugrunde
liegenden APIs jedes Google Cloud-Diensts zur Bereitstellung Ihrer Ressourcen.
Die Google Cloud Deployment Manager V2 API stellt Dienste für die Konfiguration, Bereitstellung
und Anzeige von Google Cloud-Diensten und -APIs über Vorlagen bereit, die die Bereitstellungen
von Cloud-Ressourcen spezifizieren. Führen Sie die folgenden Schritte aus, um die Cloud
Deployment Manager V2 API zu aktivieren und Anmeldedaten zu erstellen.
Voraussetzungen
n Konto- und Anmeldeinformationen für GCP.
n Vertrautheit mit den von GCP Deployment Manager unterstützen Ressourcentypen.
Weitere Informationen finden Sie unter https://cloud.google.com/deployment-manager/docs/
configuration/supported-resource-types.
Verfahren
1 Melden Sie sich bei der GCP Console an.
2 Navigieren Sie zu APIs und Dienste (APIs & Services) > Dashboard.
Die Seite APIs und Dienste (APIs & Services) wird angezeigt.
3 Klicken Sie auf APIS UND DIENSTE AKTIVIEREN (Enable APIS AND SERVICES).
VMware, Inc. 24Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
4 Verwenden Sie das Suchfeld , um nach der Deployment Manager-API zu suchen.
5 Klicken Sie auf Cloud Deployment Manager V2 API und dann auf Aktivieren (Enable).
Die Cloud Deployment Manager-API wird aktiviert. Um diese API zu verwenden, müssen Sie
Anmeldedaten erstellen.
6 Klicken Sie auf Anmeldedaten (Credentials), ANMELDEDATEN ERSTELLEN (CREATE
CREDENTIALS) und wählen Sie eine der folgenden Optionen aus, um Anmeldedaten zu
erstellen:
n API-Schlüssel
n OAuth-Client-ID
n Dienstkonto
n Entscheidungshilfe
7 Wenn Sie auf API-Schlüssel (API key) klicken, wird ein API-Schlüssel erstellt, der in Ihrer
Anwendung verwendet werden kann.
VMware, Inc. 25Google Cloud Platform Virtual Edge-Bereitstellungshandbuch
8 Klicken Sie im Popup-Fenster des erstellten API-Schlüssels auf SCHLÜSSEL EINSCHRÄNKEN
(RESTRICT KEY), wenn Sie Ihren Schlüssel einschränken möchten, um die unberechtigte
Verwendung in der Produktion zu verhindern. Andernfalls klicken Sie auf SCHLIESSEN
(CLOSE).
Ergebnisse
Die Deployment Manager-APIs und Computing-Engine-APIs werden aktiviert, und Sie können die
API zur Bereitstellung Ihrer Virtual Edge-Ressource verwenden.
Nächste Schritte
Sie können Virtual Edge mit Deployment Manager bereitstellen. Die vollständigen Schritte finden
Sie unter Bereitstellen eines virtuellen Edge mit einem Deployment Manager in GCP.
Überprüfung der Edge-Aktivierung
Beschreibt, wie die Aktivierung des virtuellen Edge in SD-WAN Orchestrator überprüft wird.
1 Melden Sie sich beim SD-WAN Orchestrator an.
2 Navigieren Sie zu Überwachen (Monitor) > Edges.
3 Im Bildschirm VeloCloud Edges können Sie überprüfen, ob Ihr virtueller Edge erfolgreich
aktiviert wurde.
VMware, Inc. 26Sie können auch lesen
