Guida alla distribuzione di AWS Virtual Edge
2020
VMware SD-WAN 4.2
È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:
https://docs.vmware.com/it/
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304 www.vmware.com
VMware, Inc.
Centro Leoni Palazzo A Via Spadolini 5
Ground Floor Milan, MI 20121 tel: +39 02 30412700 fax: +39 02 30412701 www.vmware.com/it
Guida alla distribuzione di AWS Virtual Edge
1
Guida alla distribuzione di AWS Virtual Edge 4Panoramica della distribuzione di AWS Virtual Edge 4 Distribuzione di Virtual Edge con CloudFormation 7 Tipi di istanze di EC2 16
Verificare che il Virtual Edge sia attivato in VMware SD-WAN Orchestrator. 17
Guida alla distribuzione di AWS
Virtual Edge 1
Questo documento fornisce istruzioni passo passo per la Guida alla distribuzione di AWS Virtual Edge.
Questo capitolo include i seguenti argomenti:
n Panoramica della distribuzione di AWS Virtual Edge
n Distribuzione di Virtual Edge con CloudFormation
n Tipi di istanze di EC2
n Verificare che il Virtual Edge sia attivato in VMware SD-WAN Orchestrator.
Panoramica della distribuzione di AWS Virtual Edge
Questa panoramica della Guida alla distribuzione di AWS Virtual Edge include informazioni generali, una panoramica del modello CloudFormation e i download di CloudFormation (modello Green Field VPC e modello Brown Field).
Panoramica generale
Negli ultimi anni, le distribuzioni di cloud ibride e multi-cloud sono diventate sempre più popolari.
Con il progressivo spostamento del proprio carico di lavoro nell'infrastruttura cloud pubblica, i clienti aziendali si aspettano di estendere SD-WAN dalle filiali remote al cloud pubblico per
garantire il contratto di servizio (SLA). Sono disponibili due opzioni principali offerte da VMware in base ai casi d'uso seguenti: sfruttamento dei VCG distribuiti per stabilire IPSec verso il cloud pubblico e distribuzione degli Edge virtuali direttamente nella rete privata virtuale del cloud pubblico. In questo documento viene descritto come distribuire gli Edge virtuali in AWS.
Per la distribuzione in una piccola filiale che richiede una velocità effettiva inferiore a 1G, è possibile distribuire un singolo Virtual edge nella rete AWS privata (AWS VPC). Per le
distribuzioni di data center più grandi che richiedono una velocità effettiva multi-gig, è possibile distribuire il clustering degli hub.
Nota Nella progettazione del clustering di VMware SD-WAN Hub, poiché il router AWS VPC non supporta il protocollo di routing dinamico, nell'infrastruttura AWS è necessario un router virtuale layer 3 di terze parti per eseguire BGP tra hub nel cluster e il router layer 3 per la distribuzione della route nella LAN. Questa soluzione è stata verificata con un Cisco Service Router (CSR) ridondante 1000V, ma dovrebbero funzionare anche altri router virtuali che supportano HA e BGP.
Panoramica dei modelli di CloudFormation
Sono disponibili due modelli predefiniti di CloudFormation, "New - Green Field VPC" ed "Existing - Brown Field VPC". Entrambi rappresentano una distribuzione comune in AWS, come indicato nell'illustrazione della topologia nella sezione intitolata Topologia di base. Questi due modelli predefiniti di CloudFormation creano le risorse necessarie, raccolgono la destinazione SD-WAN Orchestrator e la chiave di attivazione da inviare in push tramite CLOUD-INIT.
Attenzione: indipendentemente dal modello scelto, esaminare e comprendere il modello prima della distribuzione. Entrambi i modelli di CloudFormation sono pensati per essere utilizzati come riferimento e potrebbe essere necessario modificarli per adattarli all'ambiente specifico.
Valori dei modelli di CloudFormation
Di seguito sono elencati i valori inclusi nei modelli di CloudFormation:
n Associazione di interfacce all'istanza di VMware (GE1 – eth0 / GE2 – eth1 / GE3 – eth2)
n Allocazione dell'IP flessibile e associazione con GE2
n Creazione di gruppi di sicurezza lato LAN e lato WAN, porte consentite:
n WAN: GE1 e GE2: UDP 2426: protocollo multipath di VMware
n WAN: GE1 e GE2: TCP 22: accesso SSH (per Accesso assistenza)
n WAN: GE1 e GE2: UDP 161: SNMP
n LAN: GE3 – Solo ICMP (aggiungere ulteriori protocolli dopo la distribuzione o modificare il modello in base alle necessità)
n Tabella di routing pubblica (router VPC): 0.0.0.0/0 al gateway Internet
n Tabella di routing privata (router VPC): da 0.0.0.0/0 a ENI (GE3 SD-WAN Edge)
n Disabilita controllo origine/destinazione su tutte le interfacce
Download del modello di CloudFormation
È possibile scegliere tra due modelli disponibili per la distribuzione di un Virtual Edge: New - Green Field VPC oppure Existing - Brown Field VPC. I modelli attiveranno un Virtual Edge, ma la semplicità della topologia non sarà adatta a tutti gli ambienti. Pertanto è necessario apportare le dovute modifiche in base all'ambiente in essere. Per una migliore comprensione della struttura e della sintassi dei modelli di CloudFormation, vedere: https://aws.amazon.com/cloudformation/
aws-cloudformation-templates/ Vedere le sezioni seguenti per ulteriori informazioni su questi modelli.
Modello NEW – Green Field VPC
Utilizzare il modello Green Field se si desidera creare un nuovo VPC. Scaricare il modello NEW - Green Field dal seguente link: modello NEW – Green Field
Modello EXISTING – Brown Field
Guida alla distribuzione di AWS Virtual Edge
Se si utilizza il modello EXISTING – Brown Field, i VPC, le subnet e le tabelle di routing non verranno create. Il modello EXISTING – Brown Field visualizzerà i menu a discesa popolati con VPC e subnet esistenti disponibili per quella regione. Scaricare il modello EXISTING – Brown Field dal seguente link: modello EXISTING – Brown Field.
Distribuzione di Virtual Edge con CloudFormation
Di seguito sono riportate le istruzioni su come distribuire un Virtual Edge con i modelli di CloudFormation. Assicurarsi di rispettare i prerequisiti prima della distribuzione.
Prerequisiti
Prima di iniziare a distribuire il Virtual Edge con i modelli di CloudFormation, sono necessari i seguenti elementi:
n Account AWS e informazioni di accesso
n Familiarità con i concetti di rete di AWS (vedere: https://docs.aws.amazon.com/vpc/latest/
userguide/VPC_Networking.html)
n Chiave pubblica RSA (vedere: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2- key-pairs.html)
n Modello CloudFormation VMware (uno dei seguenti):
n Distribuzione Green Field (scaricare qui)
n Distribuzione Brown Field (scaricare qui)
n Account amministratore e di destinazione SD-WAN Orchestrator per effettuare l'accesso
Topologia di base
In un esempio di topologia di base, il VPC AWS (10.0.0.0/16) è suddiviso in una subnet pubblica (10.0.0.0/24) e una subnet privata (10.0.1.0/24). Route del Virtual Edge tra le due subnet. Le route VPC pubbliche inoltreranno tutto il traffico Offnet al gateway Internet. Il router del VPC nella subnet privata invierà tutto il traffico verso l'interfaccia rivolta verso la LAN sul Virtual Edge (ENI di GE3). In questo esempio, una route predefinita viene utilizzata per inoltrare tutto il traffico dai carichi di lavoro, ma non è necessario. È possibile utilizzare il riepilogo dell'RFC1918 o i prefissi di filiale/hub specifici per ridurre ciò che viene inviato al Virtual Edge. Ad esempio, se i carichi di lavoro nella subnet privata devono essere accessibili tramite SSH da indirizzi IP di origine pubblica, il router VPC può essere configurato in modo da puntare la route predefinita (0.0.0.0/0) verso il gateway Internet e il riepilogo di RFC1918 al Virtual Edge.
IP flessibile
us-west-1a VPC
AWS 10.0.0.0/16
Subnet pubblica
10.0.0.0/24 Subnet pubblica
10.0.1.0/24 Router
VPC GE2 vVCE
0.4 GE3
1.4
Tabella di routing privata GE3 ← 0.0.0/0 Tabella di routing privata
IGW ← 0.0.0/0
Router VPC
us-west-1a
1.5
1.6
1.7
Guida alla distribuzione di AWS Virtual Edge
Procedure:
Passaggio 1: aggiungere il Virtual Edge all'azienda tramite SD-WAN Orchestrator
1 Accedere a SD-WAN Orchestrator.
2 Passare a Configura (Configure) > Edge dal pannello di navigazione e fare clic sul pulsante Nuovo Edge (New Edge).
Viene visualizzata la finestra di dialogo Effettua provisioning nuovo Edge (Provision New Edge).
3 Nella finestra di dialogo Effettua provisioning nuovo Edge (Provision New Edge):
a Digitare un nome per il Virtual Edge nella casella di testo Nome (Name).
b Dal menu a discesa Modello (Model), scegliere Virtual Edge.
c Dal menu a discesa Profilo (Profile), scegliere un profilo per il Virtual Edge.
d Lasciare deselezionata la casella di controllo Alta disponibilità perché non applicabile.
e Lasciare vuota la casella di testo Numero di serie.
f Fare clic su Salva (Save).
4 Viene eseguito il provisioning del Virtual Edge con una chiave di attivazione. Prendere nota della chiave di attivazione poiché verrà utilizzata al momento della distribuzione del modello di CloudFormation.
Passaggio 2: aggiungere l'IP della VLAN
Per poter salvare le impostazioni del dispositivo, è necessario che nella configurazione VLAN sia assegnato un indirizzo IP, ma l'indirizzo IP non verrà utilizzato. Ad esempio, utilizzare l'indirizzo IP 169.254.0.1. Attenersi alla seguente procedura per aggiungere l'indirizzo IP VLAN.
1 Per il Virtual Edge appena creato, fare clic sulla scheda Dispositivo (Device) in SD-WAN Orchestrator.
2 Scorrere verso il basso fino alla sezione Configura VLAN (Configure VLAN), quindi fare clic sul pulsante Aggiungi VLAN (Add VLAN).
Viene aperta la finestra di dialogo VLAN.
Guida alla distribuzione di AWS Virtual Edge
3 Nella finestra di dialogo VLAN, completare i seguenti passaggi:
a Se necessario, abilitare la sostituzione Edge selezionando la casella di controllo Abilita sostituzione Edge (Edge Override).
b Scegliere un segmento dal menu a discesa Segmento (Segment).
c Il Nome VLAN (VLAN Name) mostra il nome predefinito e può essere ignorato.
d L'ID VLAN (VLAN ID) mostra il valore predefinito e può essere ignorato.
e L'opzione Assegna subnet sovrapposte (Assign Overlapping Subnets) è disabilitata per impostazione predefinita.
f Immettere 169.254.0.1 nella casella di testo Indirizzo IP LAN Edge (Edge LAN IP Address).
g Immettere 24 nella casella di testo Prefisso CIDR (Cidr Prefix).
h Il valore Rete (Network) verrà configurato in base al prefisso CIDR.
i Lasciare deselezionata la casella di controllo Annuncia (Advertise).
j I campi rimanenti (Multicast, IP fissi, Interfacce LAN e SSID) possono essere lasciati alle impostazioni predefinite.
k Se necessario, abilitare la sostituzione SD-WAN Edge selezionando la casella di controllo Abilita sostituzione Edge (Edge Override) per disabilitare il DHCP.
l Per Tipo di DHCP (DHCP Type), fare clic su Disabilitato (Disabled).
m L'area OSPF può essere ignorata.
Passaggio 3: configurare le interfacce del Virtual Edge
AVVISO: le Impostazioni dispositivo (Device Settings) devono essere configurate prima in SD- WAN Orchestrator, precedentemente all'attivazione di SD-WAN Edge. Se si ignora questo passaggio, il Virtual Edge si attiverà, ma andrà offline qualche minuto dopo.
1 Passare alle impostazioni del dispositivo del Virtual Edge (Configura (Configure) > Edge >
scheda Dispositivo (Device)).
2 Scorrere verso il basso fino alla sezione Impostazioni interfaccia (Interface Settings).
3 Fare clic sul collegamento Modifica (Edit) dell'interfaccia GE2 per modificare le impostazioni dell'interfaccia.
Viene visualizzata la finestra di dialogo relativa alle impostazioni dell'interfaccia GE2.
4 Nella finestra di dialogo Impostazioni interfaccia (Interface Settings) di GE2, fare clic sulla casella di controllo Sostituisci interfaccia (Override Interface) e completare i passaggi seguenti:
a Nel menu a discesa Funzionalità (Capability), cambiare la funzionalità dell'interfaccia GE2 da Commutata (Switched) a Instradata (Routed).
b Scegliere DHCP dal menu a discesa Tipo di indirizzamento (Addressing Type).
c Abilitare l'Overlay WAN selezionando la casella di controllo Overlay WAN (WAN Overlay).
5 Fare clic sul collegamento Modifica (Edit) dell'interfaccia GE3 per modificare le impostazioni dell'interfaccia.
Viene visualizzata la finestra di dialogo relativa alle impostazioni dell'interfaccia GE3.
6 Nella finestra di dialogo Impostazioni interfaccia di GE3, fare clic sulla casella di controllo Sostituisci interfaccia (Override Interface) e completare i passaggi seguenti:
a Disabilitare l'overlay WAN deselezionando la casella di controllo Overlay WAN (WAN Overlay), poiché questa interfaccia verrà utilizzata per il gateway lato LAN.
b Deselezionare la casella di controllo Traffico diretto NAT (NAT Direct Traffic) per disabilitare il traffico diretto NAT.
Guida alla distribuzione di AWS Virtual Edge
Passaggio 4: avviare il Virtual Edge tramite CloudFormation
NOTA: se questa è la prima distribuzione del Virtual Edge, potrebbe essere necessario
"sottoscrivere" la versione Edge in AWS Marketplace prima della distribuzione dal modello di CloudFormation.
Nota Per ulteriori informazioni su come configurare i componenti specifici di AWS, consultare la documentazione di AWS.
1 Accedere alla console di AWS.
2 Creare o importare una coppia di chiavi.
Nota: per ulteriori informazioni sulle chiavi di istanze di AWS EC2, vedere: https://
docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html 3 Passare a CloudFormation.
4 Creare uno stack di CloudFormation.
5 Caricare il modello di CloudFormation.
6 Specificare i dettagli dello stack come indicato nell'immagine seguente.
Guida alla distribuzione di AWS Virtual Edge
Per le poche schermate rimanenti è possibile lasciare le impostazioni predefinite di parametri, campi e caselle di testo, a meno che non sia necessario modificarle in modo specifico. Il passaggio finale consiste nel creare lo stack.
7 Rivedere e creare lo stack.
8 Monitorare l'avanzamento della distribuzione.
Tipi di istanze di EC2
Quando si ridimensiona il Virtual Edge di VMware è necessario prendere in considerazione la velocità effettiva della larghezza di banda e il numero di interfacce di rete. Il numero minimo di interfacce di rete richiesto è tre (GE1, GE2 e GE3).
Licenza e livello di larghezza di banda
Velocità effettiva
30 Mbps 50 Mbps 100 Mbps 200 Mbps 400 Mbps 1 Gbps
vCPU 2 2 2 2 4 4
Memoria 4 GB 4 GB 4 GB 8 GB 8 GB 8 GB
Calcolo ottimizzato
Tipo di istanza vCPU Memoria (GB) NIC massime
C4.large 2 3,75 3
C4.xlarge 4 7,5 4
C4.2xlarge 8 15 4
C4.4xlarge 16 30 8
C5.large 2 4 3
C5.xlarge 4 8 4
C5.2xlarge 8 16 4
C5.4xlarge 16 32 8
Le istanze C5 di Amazon EC2 rappresentano la prossima generazione della famiglia di istanze di Calcolo ottimizzato di Amazon EC2. Se è richiesto il tipo di istanza C5, ad esempio per supportare una regione specifica come la regione di Parigi, è necessaria la versione del software VMware 3.3.1 o successiva.
Tipo di istanza Regione (Region) Codice (Code) Supportata
C5 Parigi 3.3.1 Sì
Guida alla distribuzione di AWS Virtual Edge
Tipo di istanza Regione (Region) Codice (Code) Supportata
C4 Parigi 3.3.1 No
C5 Ohio 3.3.1 Sì
C5 Ohio 3.2.2 No
C4 Ohio 3.2.2 Sì
C4 Ohio 3.3.1 Sì
Verificare che il Virtual Edge sia attivato in VMware SD- WAN Orchestrator.
Una volta che l'istanza è in esecuzione in AWS e tutte le informazioni fornite sono corrette, il Virtual Edge raggiungerà VMware SD-WAN Orchestrator con la chiave di attivazione, attiverà ed eseguirà l'aggiornamento del software, se necessario (in caso di aggiornamento il sistema verrà riavviato). Il tempo di distribuzione tipico è compreso tra tre e quattro minuti.
Procedure:
1 Se necessario, accedere a VMware SD-WAN Orchestrator.
2 Passare a Monitora (Monitor) > Edge (Edges).
Viene visualizzata la schermata VeloCloud Edge (immagine sotto).
3 Nella schermata VeloCloud Edge, verificare il Virtual Edge nella colonna Edge come mostrato nell'immagine seguente.
