Guide de déploiement du dispositif Edge virtuel sur AliCloud. VMware SD-WAN 4.3

(1)

Edge virtuel sur AliCloud

VMware SD-WAN 4.3

(2)

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse : https://docs.vmware.com/fr/

VMware, Inc.

3401 Hillview Ave.

Palo Alto, CA 94304 www.vmware.com

VMware France SAS.

Tour Franklin

100-101 Terrasse Boieldieu 92042 Paris La Défense 8 Cedex France

www.vmware.com/fr

(3)

1

Guide de déploiement du dispositif Edge virtuel sur AliCloud 4

Présentation du déploiement du dispositif Edge virtuel sur AliCloud 4 Topologie A - Déploiement du dispositif Edge virtuel sur le VPC AliCloud 5

Topologie B - Topologie à bras unique du déploiement du dispositif Edge virtuel sur AliCloud 7

Créer un Virtual Private Cloud 9 Créer un commutateur virtuel 11 Créer un groupe de sécurité 13

Ajouter des règles de groupe de sécurité 15

Créer des tables de routage personnalisées et associer des commutateurs virtuels 17 Provisionner un dispositif Edge sur SD-WAN Orchestrator 19

Créer une instance d'Edge virtuelle sur la console ECS 23 Créer une interface réseau élastique 26

Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge 28 Lier une ENI à une instance du dispositif Edge 31

Créer une instance de LAN 32

Ajouter une entrée de table de routage personnalisée 35 Créer une instance d'hôte d'accès 36

Connexion via le protocole SSH au dispositif Edge à l'aide d'une EIP 39

Accès via le protocole SSH à l'adresse IP privée du dispositif Edge à partir de l'hôte d'accès 40

Activer le dispositif Edge sur SD-WAN Orchestrator 41

(4)

dispositif Edge virtuel sur AliCloud 1

Ce document fournit des instructions pour le déploiement du dispositif Edge virtuel sur AliCloud.

Ce chapitre contient les rubriques suivantes :

n Présentation du déploiement du dispositif Edge virtuel sur AliCloud

n Topologie A - Déploiement du dispositif Edge virtuel sur le VPC AliCloud

n Topologie B - Topologie à bras unique du déploiement du dispositif Edge virtuel sur AliCloud

n Créer un Virtual Private Cloud

n Créer un commutateur virtuel

n Créer un groupe de sécurité

n Ajouter des règles de groupe de sécurité

n Créer des tables de routage personnalisées et associer des commutateurs virtuels

n Provisionner un dispositif Edge sur SD-WAN Orchestrator

n Créer une interface réseau élastique

n Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge

n Lier une ENI à une instance du dispositif Edge

n Créer une instance de LAN

n Ajouter une entrée de table de routage personnalisée

n Créer une instance d'hôte d'accès

n Connexion via le protocole SSH au dispositif Edge à l'aide d'une EIP

n Accès via le protocole SSH à l'adresse IP privée du dispositif Edge à partir de l'hôte d'accès

n Activer le dispositif Edge sur SD-WAN Orchestrator

Présentation du déploiement du dispositif Edge virtuel sur AliCloud

Un plus grand nombre de clients déplacent la charge de travail vers l'infrastructure du Cloud public et s'attendent à étendre VMware SD-WAN™ des sites distants au Cloud public pour

(5)

garantir le SLA. VMware offre plusieurs options exploitant des composants Passerelles VMware SD-WAN Gateway distribués pour établir une connexion IPSec vers un réseau privé de cloud public ou pour déployer le dispositif Edge virtuel directement sur AliCloud.

Ce document illustre le workflow de haut niveau des deux topologies suivantes pour déployer un composant VMware SD-WAN Edge (vVCE) virtuel sur AliCloud :

n Topologie A - Déploiement du dispositif Edge virtuel sur le VPC AliCloud

n Topologie B - Topologie à bras unique du déploiement du dispositif Edge virtuel sur AliCloud

Conditions préalables

n Vérifiez que vous disposez d'un compte Alibaba Cloud et des informations de connexion correspondantes pour la console Alibaba Cloud.

n Vérifiez que vous disposez du nom d'hôte VMware SD-WAN Orchestrator et d'un compte administrateur pour vous connecter.

Topologie A - Déploiement du dispositif Edge virtuel sur le VPC AliCloud

Décrit le déploiement d'un dispositif Edge virtuel sur le Virtual Private Cloud (VPC) AliCloud avec trois commutateurs virtuels, chacun pour un sous-réseau connecté au dispositif Edge, comme l'illustre le schéma de topologie suivant.

Alibaba Cloud VPC

Internet Adresse de

VMware SD-WAN Orchestrator : 4.5.6.7

EIP vVCE : 11.12.13.14 Sous-réseau public

GW172.16.100.253 Sous-réseau privé GW172.16.101.253

Groupes de sécurité : règles entrantes velo_vVCE_SG

Source SSH (port TCP 22) : 0.0.0.0/0 Source VCMP (port UDP 2426) : 0.0.0.0/0 Table de routage

velo_vVCE_Public_RT-172.16.100.0/24

(6)

Workflow de haut niveau

Pour déployer un dispositif SD-WAN Edge virtuel sur ECS d'Alibaba Cloud, procédez comme suit :

1 Créez un Virtual Private Cloud (VPC). Pour obtenir des instructions, reportez-vous à la section Créer un Virtual Private Cloud.

2 Créez trois commutateurs virtuels, chacun pour un sous-réseau connecté au dispositif Edge, comme l'illustre le schéma de topologie. Pour obtenir des instructions, reportez-vous à la section Créer un commutateur virtuel.

n Sous-réseau de gestion/Commutateur virtuel pour l'accès de la console/gestion au dispositif Edge via l'interface de gestion GE1.

n Sous-réseau public/Commutateur virtuel pour l'accès à Internet à partir du dispositif Edge via l'interface WAN GE2.

n Sous-réseau privé/Commutateur virtuel pour l'accès aux terminaux LAN via l'interface LAN GE3.

3 Créez un groupe de sécurité (velo_vVCE_SG) et ajoutez des règles entrantes. Pour obtenir des instructions, reportez-vous à la section Créer un groupe de sécurité.

4 Créez deux tables de routage (secondaires) personnalisées (Velo_vVCE_Public_RT et

Velo_vVCE_Private_RT) et associez-les aux commutateurs virtuels respectifs (public et privé).

Pour obtenir des instructions, reportez-vous à la section Créer des tables de routage personnalisées et associer des commutateurs virtuels.

5 Provisionnez un dispositif SD-WAN Edge sur SD-WAN Orchestrator comme suit : a Créez un dispositif Edge de type Dispositif Edge virtuel (Virtual Edge).

b Redéfinissez l'interface GE2 Commutée (Switched) sur Acheminée (Routed).

c Désactivez Superposition WAN (WAN Overlay) pour l'interface GE3 et Trafic direct NAT (NAT Direct Traffic), qui sera le tronçon suivant pour les périphériques connectés aux sous-réseaux privés (terminaux LAN).

d Ajoutez l'adresse IP de l'hôte d'accès dans la liste d'accès SSH du pare-feu.

Pour plus d'informations, reportez-vous à la section Provisionner un dispositif Edge sur SD-WAN Orchestrator.

6 Créez et lancez une instance de SD-WAN Edge virtuelle (vVCE) avec l'interface de gestion (GE1). Pour obtenir des instructions, reportez-vous à la section Créer une instance d'Edge virtuelle sur la console ECS.

7 Créez deux interfaces réseau élastiques (ENI) : une interface LAN privée (GE3) et une

interface WAN publique (GE2). Pour obtenir des instructions, reportez-vous à la section Créer une interface réseau élastique.

(7)

8 Créez une adresse IP élastique et attribuez-la à une interface publique (GE2) du dispositif Edge. Pour obtenir des instructions, reportez-vous à la section Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge.

9 Liez les interfaces publique (GE2) et privée (GE3) à l'instance du dispositif Edge (vVCE), puis redémarrez cette dernière pour vous assurer que les interfaces sont connectées au dispositif Edge. Pour obtenir des instructions, reportez-vous à la section Lier une ENI à une instance du dispositif Edge.

L'instance du dispositif Edge sera activée par rapport à SD-WAN Orchestrator et le dispositif Edge sera en mesure d'établir le tunnel VCMP vers la passerelle.

10 (Facultatif) Dans le VPC, si vous souhaitez accéder à votre dispositif Edge à partir d'un sous- réseau privé et non via Internet, vous devez créer une instance d'hôte d'accès (instance Linux) avec une interface dans le sous-réseau public pour la connectivité Internet avec une EIP et l'autre interface dans le sous-réseau de gestion sur lequel le dispositif Edge sera

accessible. Pour obtenir des instructions, reportez-vous à la section Créer une instance d'hôte d'accès.

a Créez un hôte d'accès.

b Créez une EIP et liez-la à l'instance d'hôte d'accès.

Note Les utilisateurs de VCAdmin pourront accéder au dispositif Edge via l'interface de sous-réseau de gestion, à partir de l'hôte d'accès.

c Connectez-vous au dispositif Edge virtuel (vVCE) à partir de l'hôte d'accès.

d Activer le dispositif Edge sur SD-WAN Orchestrator à partir d'un shell.

Note Après le démarrage de l'activation du dispositif Edge, si vous souhaitez utiliser le protocole SSH pour accéder au dispositif Edge à partir d'un sous-réseau privé, vous devez veiller à ajouter l'adresse IP de l'hôte d'accès dans la liste d'accès SSH du pare-feu.

11 Créez une instance de LAN avec l'interface principale connectée au sous-réseau privé. Pour obtenir des instructions, reportez-vous à la section Créer une instance de LAN.

a Dans la table de routage privée (Velo_vVCE_Private_RT), créez une entrée de route qui pointe vers l'interface GE3 du dispositif Edge correspondant à la route par défaut. Pour obtenir des instructions, reportez-vous à la section Ajouter une entrée de table de routage personnalisée.

(8)

Alibaba Cloud VPC

Internet Adresse de

VMware SD-WAN Orchestrator : 4.5.6.7

EIP vVCE : 11.12.13.14 Sous-réseau public

GW172.16.100.253

Sous-réseau privé GW172.16.101.253

Groupes de sécurité : règles entrantes velo_vVCE_SG

Source SSH (port TCP 22) : 0.0.0.0/0 Source VCMP (port UDP 2426) : 0.0.0.0/0

Route statique sur Edge GE2 pointant vers le sous-réseau privé Table de routage

velo_vVCE_Public_RT-172.16.100.0/24 velo_vVCE_Private_RT-172.16.101.0/24

GE1 (eth0)172.16.102.21 (Gestion)

GE2 (eth1)172.16.100.21 (Superposition WAN)

Sous-réseau public/Commutateur virtuel 172.16.100.0/24 Sous-réseau de gestion/Commutateur virtuel 172.16.102.0/24

Sous-réseau privé/

Commutateur virtuel 172.16.101.0/24 vVCE

ecs.sn2ne.large

Workflow de haut niveau

Pour déployer un dispositif SD-WAN Edge virtuel sur ECS d'Alibaba Cloud, procédez comme suit :

1 Créez un Virtual Private Cloud (VPC). Pour obtenir des instructions, reportez-vous à la section Créer un Virtual Private Cloud.

2 Créez trois commutateurs virtuels, chacun pour un sous-réseau connecté au dispositif Edge, comme l'illustre le schéma de topologie. Pour obtenir des instructions, reportez-vous à la section Créer un commutateur virtuel.

n Sous-réseau de gestion/Commutateur virtuel pour l'accès de la console/gestion au dispositif Edge via l'interface de gestion GE1.

n Sous-réseau public/Commutateur virtuel pour l'accès à Internet à partir du dispositif Edge via l'interface WAN GE2.

n Sous-réseau privé/Commutateur virtuel pour l'accès aux terminaux LAN via l'interface LAN GE3.

3 Créez un groupe de sécurité (velo_vVCE_SG) et ajoutez des règles entrantes. Pour obtenir des instructions, reportez-vous à la section Créer un groupe de sécurité.

4 Provisionnez un dispositif SD-WAN Edge sur SD-WAN Orchestrator comme suit : a Créez un dispositif Edge de type Dispositif Edge virtuel (Virtual Edge).

b Redéfinissez l'interface GE2 Commutée (Switched) sur Acheminée (Routed).

(9)

c Ajoutez une route statique sur le dispositif Edge qui pointe vers le sous-réseau privé/

commutateur virtuel.

d Ajoutez l'adresse IP de l'hôte d'accès dans la liste d'accès SSH du pare-feu.

Pour plus d'informations, reportez-vous à la section Provisionner un dispositif Edge sur SD-WAN Orchestrator.

5 Créez et lancez une instance de SD-WAN Edge virtuelle (vVCE) avec l'interface de gestion (GE1). Pour obtenir des instructions, reportez-vous à la section Créer une instance d'Edge virtuelle sur la console ECS.

6 Créez une interface réseau élastique publique (GE2) du côté du WAN. Pour obtenir des instructions, reportez-vous à la section Créer une interface réseau élastique.

7 Créez une adresse IP élastique et attribuez-la à une interface publique (GE2) du dispositif Edge. Pour obtenir des instructions, reportez-vous à la section Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge.

8 Liez l'interface publique (GE2) à l'instance du dispositif Edge (vVCE), puis redémarrez cette dernière pour vous assurer que l'interface est connectée au dispositif Edge. Pour obtenir des instructions, reportez-vous à la section Lier une ENI à une instance du dispositif Edge.

L'instance du dispositif Edge sera activée par rapport à SD-WAN Orchestrator et le dispositif Edge sera en mesure d'établir le tunnel VCMP vers la passerelle.

9 Connectez-vous au dispositif Edge à l'aide de l'EIP et vérifiez l'activation du dispositif Edge.

10 Créez une instance de LAN avec l'interface principale connectée au sous-réseau de gestion.

Pour obtenir des instructions, reportez-vous à la section Créer une instance de LAN.

a Dans la table de routage principale, créez une entrée de route qui pointe vers l'interface GE2 du dispositif Edge correspondant à la route par défaut. Pour obtenir des instructions, reportez-vous à la section Ajouter une entrée de table de routage personnalisée.

11 Vérifiez si le dispositif Edge virtuel (vVCE) est activé dans SD-WAN Orchestrator.

Créer un Virtual Private Cloud

Un Virtual Private Cloud (VPC) est un réseau privé virtuel dans lequel vous pouvez déployer vos ressources de cloud. Les ressources de cloud ne peuvent pas être déployées directement dans un VPC. Elles doivent être déployées dans un commutateur virtuel (sous-réseau) du VPC.

(10)

2 Sélectionnez la région dans laquelle vous souhaitez créer un VPC.

Le VPC doit se trouver dans la même région que les ressources de cloud que vous souhaitez déployer.

3 Dans le volet de navigation de gauche, cliquez sur VPC.

4 Sur la page VPC, cliquez sur Créer un VPC (Create VPC).

La page Créer un VPC (Create VPC) s'affiche.

5 Sur la page Créer un VPC (Create VPC), définissez les paramètres suivants, puis cliquez sur OK.

a Dans la zone de texte Nom (Name), entrez le nom du VPC.

b Sous Bloc CIDR IPv4 (IPv4 CIDR Block), sélectionnez l'une des options suivantes :

n Bloc CIDR par défaut : sélectionnez 192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8.

n Bloc CIDR personnalisé : sélectionnez 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 ou leurs sous-réseaux. La longueur du masque de bloc CIDR doit être comprise entre 8 et 24 bits.

Lors de la création du VPC, vous pouvez créer un ou plusieurs commutateurs virtuels en cliquant sur le bouton + Ajouter (+ Add). Pour plus d'informations sur la création d'un commutateur virtuel, reportez-vous à la section Créer un commutateur virtuel.

Note Une fois le VPC créé, vous ne pouvez pas modifier son bloc CIDR IPv4.

(11)

Étape suivante

n Créer un commutateur virtuel

Créer un commutateur virtuel

Un commutateur virtuel est un terminal réseau de base d'un VPC, utilisé pour connecter différentes instances de produit cloud. Après avoir créé un VPC, vous pouvez segmenter davantage votre réseau privé virtuel en un ou plusieurs sous-réseaux en créant des

commutateurs virtuels. Les commutateurs virtuels d'un VPC sont interconnectés. Par conséquent, vous pouvez déployer différentes applications dans les différents commutateurs virtuels de différentes zones pour améliorer la disponibilité du service.

Conditions préalables

Assurez-vous que vous avez déjà créé un VPC.

Procédure

1 Connectez-vous à la console du VPC.

2 Dans le volet de navigation de gauche, cliquez sur Commutateurs virtuels (VSwitches).

3 Sélectionnez la région du VPC dans lequel vous souhaitez créer un commutateur virtuel.

4 Cliquez sur Créer un commutateur virtuel (Create VSwitch).

La page Créer un commutateur virtuel (Create VSwitch) s'affiche.

(12)

5 Sur la page Créer un commutateur virtuel (Create VSwitch), définissez les paramètres suivants, puis cliquez sur OK.

a Dans le menu déroulant VPC, sélectionnez un VPC auquel appartient le commutateur virtuel.

b Dans la zone de texte Nom (Name), entrez le nom du VPC.

c Dans le menu déroulant Zone, sélectionnez la zone à laquelle appartient le commutateur virtuel.

d Dans la zone de texte Bloc CIDR IPv4 (IPv4 CIDR Block), entrez le bloc CIDR IPv4 du commutateur virtuel.

n Le bloc CIDR IPv4 du commutateur virtuel peut être le même que celui du VPC auquel appartient le commutateur virtuel ou un sous-ensemble du bloc CIDR du VPC.

Par exemple, si le bloc CIDR du VPC est 192.168.0.0/16, le bloc CIDR du commutateur virtuel dans le VPC peut être 192.168.0.0/16, ou tout bloc CIDR entre 192.168.0.0/17 et 192.168.0.0/29.

Note Si le bloc CIDR du commutateur virtuel est le même que celui du VPC, vous ne pouvez créer qu'un seul commutateur virtuel.

n Le masque de sous-réseau du bloc CIDR du commutateur virtuel peut être compris entre 16 et 29 bits. Cela signifie que le commutateur virtuel peut fournir entre 8 et 65 536 adresses IP.

(13)

n La première adresse IP et les trois dernières adresses IP du bloc CIDR du commutateur virtuel sont réservées.

Par exemple, si le bloc CIDR du commutateur virtuel est 192.168.1.0/24, les adresses IP 192.168.1.0, 192.168.1.253, 192.168.1.254 et 192.168.1.255 sont réservées.

n Si le commutateur virtuel doit communiquer avec les commutateurs virtuels d'autres VPC ou centres de données sur site, vous devez vous assurer que les blocs CIDR impliqués ne sont pas en conflit.

Note Une fois le commutateur virtuel créé, vous ne pouvez pas modifier son bloc CIDR IPv4.

Étape suivante

n Créer un groupe de sécurité

n Ajouter des règles de groupe de sécurité

n Créer des tables de routage personnalisées et associer des commutateurs virtuels

Créer un groupe de sécurité

Un groupe de sécurité est un pare-feu virtuel pour une instance d'ECS. Cette rubrique explique comment créer un groupe de sécurité dans la console ECS.

Si vous souhaitez créer un groupe de sécurité de type VPC, assurez-vous qu'un VPC et un commutateur virtuel ont été créés. Pour plus d'informations, reportez-vous aux sections Créer un Virtual Private Cloud et Créer un commutateur virtuel.

Procédure

1 Connectez-vous à la console ECS.

2 Dans le volet de navigation de gauche, choisissez Réseau et sécurité (Network & Security) >

Groupes de sécurité (Security Groups).

3 Sur la page Groupes de sécurité (Security Groups), cliquez sur Créer un groupe de sécurité (Create Security Group).

La boîte de dialogue Créer un groupe de sécurité (Create Security Group) s'affiche.

(14)

4 Dans la boîte de dialogue Créer un groupe de sécurité (Create Security Group), configurez les paramètres suivants :

a Dans le menu déroulant Modèle (Template), sélectionnez un modèle approprié pour simplifier la configuration des règles du groupe de sécurité. Par exemple, sélectionnez Personnaliser (Customize).

b Dans la zone de texte Nom du groupe de sécurité (Security Group Name), entrez un nom valide pour le groupe de sécurité.

c Dans le menu déroulant Type de réseau (Network Type), sélectionnez VPC.

d Dans le menu déroulant VPC, sélectionnez votre VPC.

5 Cliquez sur OK.

Un message contextuel recommandant la création de règles de groupe de sécurité s'affiche.

Résultats

Une fois le groupe de sécurité créé, un nouveau groupe de sécurité est ajouté à la liste des groupes de sécurité.

(15)

Étape suivante

Après la création d'un groupe de sécurité, il est recommandé de créer immédiatement des règles de groupe de sécurité. Dans le cas contraire, vous ne pourrez peut-être pas accéder au réseau interne ou à Internet. Pour obtenir des instructions, reportez-vous à la section Ajouter des règles de groupe de sécurité.

Ajouter des règles de groupe de sécurité

Vous pouvez utiliser des règles de groupe de sécurité pour contrôler l'accès à des réseaux publics ou internes des instances d'ECS dans un groupe de sécurité. Pour ajouter des règles de groupe de sécurité, suivez les étapes de cette procédure.

n Assurez-vous que vous avez créé un groupe de sécurité. Pour plus d'informations, reportez- vous à la section Créer un groupe de sécurité.

n Veillez à être au fait des demandes de réseau interne ou public qui doivent être autorisées ou refusées pour votre instance.

Procédure

1 Cliquez sur Créer des règles maintenant (Create Rules Now).

La page Groupe de sécurité (Security Group) s'affiche.

2 Cliquez sur Ajouter une règle de groupe de sécurité (Add Security Group Rule).

La boîte de dialogue Ajouter une règle de groupe de sécurité (Add Security Group Rule) s'affiche.

(16)

3 Dans le menu déroulant Sens de la règle (Rule Direction), sélectionnez Entrante (Inbound).

Par défaut, tout le trafic sortant est autorisé.

4 Dans le menu déroulant Action, sélectionnez Autoriser (Allow).

5 Pour autoriser la connectivité entrante à votre dispositif Edge, sélectionnez Type de protocole (Protocol Type) et Plage de ports (Port Range).

La plage de ports repose sur le type de protocole. Voici quelques exemples :

n VCMP : port UDP 2426

n SSH : port TCP 22

n SNMP : port UDP 161

n Demande/réponse ICMP

6 Sélectionnez Type d'autorisation (Authorization Type) et Objets d'autorisation (Authorization Objects).

L'adresse IP autorisée repose sur le type d'autorisation. Par exemple, pour le bloc CIDR IPv4, la spécification de 0.0.0.0/0 autorise ou refuse toutes les adresses IP, en fonction de la stratégie d'autorisation.

(17)

Résultats

Cliquez sur l'icône d'actualisation pour vous assurer de l'ajout de la règle de groupe de sécurité.

Les modifications apportées aux règles du groupe de sécurité sont appliquées automatiquement aux instances d'Elastic Compute Service (ECS) dans le groupe de sécurité.

Créer des tables de routage personnalisées et associer des commutateurs virtuels

Une table de routage est une liste d'entrées de route dans un VPC. Le trafic réseau est acheminé en fonction de la configuration des entrées de route dans la table de routage. Après la création d'un VPC, le système crée automatiquement une table de routage par défaut et y ajoute des routes système pour la gestion du trafic.

Vous ne pouvez pas créer ou supprimer la table de routage par défaut. Toutefois, vous pouvez créer une table de routage personnalisée et l'associer à un commutateur virtuel pour contrôler les routes du sous-réseau correspondant. Pour créer une table de routage personnalisée et l'associer à un commutateur virtuel, procédez comme suit :

Assurez-vous qu'un VPC et des commutateurs virtuels ont été créés. Pour obtenir des

instructions, reportez-vous aux sections Créer un Virtual Private Cloud et Créer un commutateur virtuel.

Procédure

2 Dans le volet de navigation de gauche, cliquez sur Tables de routage (Route Tables).

3 Sélectionnez la région de la table de routage à créer.

4 Sur la page Tables de routage (Route Tables), cliquez sur Créer une table de routage (Create Route Table).

La page Créer une table de routage (Create Route Table) s'affiche.

(18)

5 Configurez les paramètres suivants, puis cliquez sur OK.

a Dans le menu déroulant VPC, sélectionnez votre VPC.

b Dans la zone de texte Nom (Name), entrez le nom de la table de routage.

La table de routage est créée et ajoutée à la liste des tables de routage.

6 Sur la page Tables de routage (Route Tables), sélectionnez la table de routage que vous avez créée, puis cliquez sur l'onglet Commutateurs virtuels associés (Associated

VSwitches).

7 Cliquez sur Associer un commutateur virtuel (Associate VSwitch).

La page Associer un commutateur virtuel (Associate VSwitch) s'affiche.

(19)

8 Dans le menu déroulant Commutateur virtuel (VSwitch), sélectionnez le commutateur virtuel approprié à associer à la table de routage.

Résultats

Cliquez sur Actualiser (Refresh) pour vérifier que le commutateur virtuel est associé à la table de routage.

Étape suivante

n Provisionner un dispositif Edge sur SD-WAN Orchestrator

n Créer une instance d'Edge virtuelle sur la console ECS

Provisionner un dispositif Edge sur SD-WAN Orchestrator

(20)

Procédure

1 Connectez-vous à l'application SD-WAN Orchestrator en tant qu'utilisateur Admin avec vos informations d'identification de connexion.

L'écran d'accueil d'Orchestrator (Orchestrator Home) s'affiche.

2 Accédez à Configurer (Configure) > Dispositifs Edge (Edges).

3 Cliquez sur Nouveau dispositif Edge (New Edge).

La boîte de dialogue Provisionner un nouveau dispositif Edge (Provision New Edge) s'affiche.

4 Dans la zone de texte Nom (Name), entrez un nom unique pour le dispositif Edge.

5 Dans le menu déroulant Modèle (Model), sélectionnez Dispositif Edge virtuel (Virtual Edge).

6 Dans le menu déroulant Profil (Profile), sélectionnez Profil de démarrage rapide (Quick Start Profile) et cliquez sur Créer (Create).

Le dispositif Edge est provisionné et la clé d'activation s'affiche en haut de la page. Notez la clé d'activation pour l'utiliser pour le lancement du dispositif Edge à partir de la console AliCloud.

7 Configurez les interfaces du dispositif Edge virtuel. Les étapes suivantes sont expliquées selon la Topologie A - Déploiement du dispositif Edge virtuel sur le VPC AliCloud.

a Cliquez sur l'onglet Terminal (Device) et accédez à la zone Paramètres de l'interface (Interface Settings).

b Cliquez sur l'option Modifier (Edit) correspondant à Interface GE2 (GE2 Interface) et cochez la case Interface de remplacement (Override Interface).

(21)

c Dans le menu déroulant Capacité (Capability), sélectionnez Acheminée (Routed) et cliquez sur Mettre à jour GE2 (Update GE2).

(22)

d Cliquez sur l'option Modifier (Edit) correspondant à Interface GE3 (GE3 Interface) et cochez la case Interface de remplacement (Override Interface).

e Désactivez Superposition WAN (WAN Overlay) et Trafic direct NAT (NAT Direct Traffic), car cette interface sera utilisée côté LAN, puis cliquez sur Mettre à jour GE3 (Update GE3).

Note Si vous utilisez une instance du dispositif Edge avec seulement deux interfaces, comme l'illustre la Topologie B - Topologie à bras unique du déploiement du dispositif Edge virtuel sur AliCloud, l'interface publique (GE2) sera utilisée pour la connectivité WAN et LAN. Pour que le réseau LAN pointe vers l'interface GE2, sous Paramètres de route statique (Static Route Settings), configurez une route statique sur le dispositif Edge, qui pointe vers le sous- réseau privé/commutateur virtuel, comme indiqué dans la capture d'écran suivante.

8 Dans la zone Configurer le VLAN (Configure VLAN), modifiez les paramètres VLAN pour mettre à jour l'Adresse IP du LAN du dispositif Edge (Edge LAN IP Address).

(23)

9 (Facultatif) Si vous utilisez un hôte d'accès, pour autoriser l'accès SSH au dispositif Edge à partir du serveur d'accès, veillez à activer l'Accès support (Support access) pour l'adresse IP du serveur de l'hôte d'accès sur la page Pare-feu (Firewall).

10 Cliquez sur Enregistrer les modifications (Save Changes).

Étape suivante

n Créer une instance d'Edge virtuelle sur la console ECS

Créer une instance d'Edge virtuelle sur la console ECS

Les instances constituent les principaux composants d'Elastic Compute Service (ECS). Cette rubrique explique comment créer une instance du dispositif Edge facturée à l'utilisation sur la console ECS.

n Vérifiez que vous disposez d'un compte AliCloud et des informations de connexion correspondantes.

Procédure

2 Dans le volet de navigation de gauche, cliquez sur Instances et images (Instances &

images) > Instances.

3 Sur la page Instances, cliquez sur Créer une instance (Create Instance).

La page d'achat Lancement personnalisé (Custom Launch) s'affiche.

4 Paramétrez les Configurations de base (Basic Configurations) en procédant comme suit.

a Sélectionnez une méthode de facturation. Par exemple, Facturation à l'utilisation (Pay- As-You-Go).

b Dans le menu déroulant Région (Region), sélectionnez une région. Le système affecte de manière aléatoire une zone par défaut.

(24)

c Dans la zone Type d'instance (Instance Type), accédez à Toutes les générations (All Generations) > Architecture x86 (x86-Architecture) > Universel (General Purpose), et sélectionnez le type d'instance (ecs.sn2ne.xlarge) de mémoire 4 vCPU + 16 Go (4 vCPU + 16 GiB).

La famille de types d'instance disponibles est déterminée par la région que vous avez sélectionnée.

d Dans la zone Image , cliquez sur Image personnalisée (Custom Image) et sélectionnez une image Edge (par exemple, vce-3.3.1-48-R331-20190727-QE).

e Sélectionnez un espace de stockage. Par défaut, un disque cloud ultra de 40 Go est sélectionné.

5 Cliquez sur Suivant : mise en réseau (Next: Networking) pour configurer la mise en réseau et le groupe de sécurité.

a Sélectionnez VPC comme type de réseau, puis sélectionnez le VPC dans lequel vous allez déployer votre dispositif Edge et attacher l'interface de la console de votre dispositif Edge à MGMT_SN.

b Définissez la méthode de facturation réseau.

(25)

c Sélectionnez votre groupe de sécurité de type VPC.

d Ajoutez une interface réseau Elastic (ENI). Vous pouvez ignorer cette étape si le type d'instance sélectionné ne prend pas en charge l'ENI.

6 Cliquez sur Suivant : configurations système (Next: System Configurations).

a Configurez Identifiants d'ouverture de session (Logon Credentials) en sélectionnant l'une des options suivantes : Paire de clés (Key Pair), Hériter du mot de passe de l'image (Inherit Password From Image) et Mot de passe (Password). Par défaut, l'option Définir ultérieurement (Set Later) est sélectionnée.

b Dans la zone de texte Nom de l'instance (Instance Name), entrez le nom unique de votre instance du dispositif Edge.

c Dans la zone Avancé (Advance), vous pouvez fournir les données utilisateur cloud-init correspondant à votre dispositif Edge dans le format donné en exemple ci-dessous, à des fins d'activation. En fonction de la configuration de votre composant SD-WAN

Orchestrator, vous devez modifier le nom et le code d'activation d'Orchestrator.

#cloud-config velocloud:

vce:

vco: 1.211.224.11

(26)

7 Cliquez sur Suivant : regroupement (Next: Grouping) et définissez les options selon vos besoins.

8 Cliquez sur Suivant : aperçu (Next: Preview) et vérifiez la configuration sélectionnée. Vous pouvez également cliquer sur l'icône de modification pour modifier les configurations.

9 Lisez et confirmez les conditions d'utilisation, puis cliquez sur Créer une instance (Create Instance).

Résultats

Cliquez sur Console pour revenir à la console ECS. Cliquez sur le bouton Actualiser (Refresh) pour vérifier si l'instance d'Edge est créée. Si l'état de l'instance d'Edge récemment créée est En cours d'exécution (Running), l'instance d'Edge a bien été créée.

Étape suivante

n Créer une interface réseau élastique

Créer une interface réseau élastique

Une interface réseau élastique (ENI) est une interface réseau virtuelle qui peut être attachée à une instance d'ECS dans un VPC. Cette rubrique explique comment créer une ENI dans la console ECS.

(27)

n Un VPC et un commutateur virtuel sont créés. Pour obtenir des instructions, reportez-vous à la section Créer un Virtual Private Cloud.

n Un groupe de sécurité est créé dans le même VPC. Pour obtenir des instructions, reportez- vous à la section Créer un groupe de sécurité.

Procédure

2 Dans le volet de navigation de gauche, choisissez Réseau et sécurité (Network & Security) > . La page Interfaces réseau (Network Interfaces) s'affiche.

3 Cliquez sur Créer une ENI (Create ENI).

La page Créer une ENI (Create ENI) s'affiche.

(28)

4 Fournissez les détails de configuration suivants.

a Dans la zone de texte Nom de l'interface réseau (Network Interface Name), entrez le nom unique de l'ENI.

b Dans le menu déroulant VPC, sélectionnez le même VPC associé à l'instance à laquelle vous souhaitez lier l'ENI. Lorsque vous attachez une ENI à une instance, celle-ci doit se trouver dans le même VPC.

Note Une fois l'ENI créée, vous ne pouvez pas modifier le VPC.

c Dans le menu déroulant Commutateur virtuel (VSwitch), sélectionnez le commutateur virtuel auquel vous voulez lier l'ENI. Lorsque vous attachez une ENI à une instance, celle-ci doit se trouver dans la même zone, mais elle ne doit pas nécessairement se trouver dans le même commutateur virtuel.

Note Une fois l'ENI créée, vous ne pouvez pas modifier le commutateur virtuel.

d Dans le menu déroulant Groupe de sécurité (Security Group), sélectionnez votre groupe de sécurité dans le VPC sélectionné.

Résultats

Sur la page Interfaces réseau (Network Interfaces), cliquez sur Actualiser (Refresh) pour afficher l'instance de l'ENI récemment créée.

Étape suivante

n Après la création d'une ENI, vous pouvez l'attacher à une instance d'Edge. Pour obtenir des instructions, reportez-vous à la section Lier une ENI à une instance du dispositif Edge.

Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge

Les adresses IP élastiques (EIP) sont des ressources d'adresse IP publique que vous pouvez acheter et conserver indépendamment. Vous pouvez créer une EIP ou rétablir une EIP publiée via la console. Cette rubrique explique comment créer une EIP et la lier à l'interface secondaire (publique).

n Assurez-vous que vous disposez d'une interface réseau élastique (ENI) pour attribuer l'adresse IP élastique. Pour obtenir les instructions de création de l'ENI, reportez-vous à la section Créer une interface réseau élastique.

(29)

Procédure

2 Dans le volet de navigation de gauche, cliquez sur Adresses IP élastiques (Elastic IP Addresses).

La page Adresses IP élastiques (Elastic IP Addresses) s'affiche.

3 Cliquez sur Créer une EIP (Create EIP).

La page Adresse IP élastique (Elastic IP) s'affiche.

4 Configurez l'EIP.

a Sélectionnez la région de l'EIP à créer.

Assurez-vous que l'EIP et l'instance de cloud à associer à l'EIP appartiennent à la même région.

b Définissez la bande passante maximale pour la création de l'EIP en fonction de la condition requise.

c Sélectionnez le nombre d'EIP que vous souhaitez créer avec les mêmes configurations. La valeur par défaut de Quantité (Quantity) est 1.

5 Cliquez sur Acheter maintenant (Buy Now).

La page Confirmer la commande (Confirm Order) s'affiche.

6 Cochez la case Accord de service pour les adresses IP élastiques (Elastic IP Agreement of Service), puis cliquez sur Activer (Activate).

Sur la page Adresses IP élastiques (Elastic IP Addresses), cliquez sur Actualiser (Refresh) pour afficher l'instance d'une EIP récemment créée.

(30)

7 Pour associer l'instance de l'EIP à une interface réseau élastique (ENI) (publique) secondaire du dispositif Edge, cliquez sur Lier (Bind) dans la colonne Actions. La page Lier l'adresse IP élastique (Bind Elastic IP Address) s'affiche.

a Dans le menu déroulant Type d'instance (Instance Type), sélectionnez ENI secondaire (Secondary ENI).

b Dans le menu déroulant ENI secondaire (Secondary ENI), sélectionnez l'interface à laquelle vous souhaitez lier l'EIP.

c Cliquez sur OK.

Étape suivante

n Lier une ENI à une instance du dispositif Edge

(31)

Lier une ENI à une instance du dispositif Edge

Pour lier des interfaces réseau Elastic (ENI) secondaires à une instance du dispositif Edge, suivez les étapes de cette procédure.

n Assurez-vous que vous avez créé une ENI. Pour obtenir des instructions, reportez-vous à la section Créer une interface réseau élastique.

Procédure

2 Dans le volet de navigation de gauche, choisissez Réseau et sécurité (Network & Security) >

ENI.

3 Sur la page Interfaces réseau (Network Interfaces), sélectionnez une ENI et cliquez sur Lier à l'instance (Bind to Instance) dans la colonne Actions.

La fenêtre contextuelle Lier à l'instance (Bind to Instance) s'affiche.

4 Dans le menu déroulant Sélectionner une instance (Select Instance), sélectionnez l'instance du dispositif Edge à laquelle vous souhaitez lier l'ENI.

Résultats

(32)

2 Sur la page Instances, accédez à votre instance Edge, puis cliquez sur Plus (More) dans la colonne Actions.

3 Accédez à État de l'instance (Instance Status) > Redémarrer (Restart).

Créer une instance de LAN

Décrit comment créer une instance de LAN (Linux) sur la console ECS.

Procédure

Note Après la création d'une instance, vous ne pouvez pas modifier sa région ou sa zone.

(33)

c Dans la zone Type d'instance (Instance Type), accédez à Toutes les générations (All Generations) > Architecture x86 (x86-Architecture) > Universel (General Purpose), et sélectionnez un type d'instance.

d Dans la zone Image, cliquez sur Image publique (Public Image) et sélectionnez une image Ubuntu (par exemple, 16.04.64.bit).

a Sélectionnez VPC comme type de réseau, puis sélectionnez le VPC sur lequel vous allez déployer votre terminal LAN et le sous-réseau/commutateur virtuel auquel vous voulez connecter l'interface principale.

(34)

b Dans la zone de texte Nom de l'instance (Instance Name), entrez le nom unique de l'instance de LAN.

(35)

Résultats

Cliquez sur Console pour revenir à la console ECS. Cliquez sur le bouton Actualiser (Refresh) pour vérifier si l'instance de LAN est créée. Si l'état de l'instance de LAN récemment créée est En cours d'exécution (Running), l'instance a bien été créée.

Ajouter une entrée de table de routage personnalisée

Décrit comment ajouter une entrée de route personnalisée dans une table de routage personnalisée.

n Assurez-vous que vous avez créé un VPC et des commutateurs virtuels. Pour obtenir des instructions, reportez-vous aux sections Créer un Virtual Private Cloud et Créer un

commutateur virtuel.

n Assurez-vous que vous disposez d'une table de routage personnalisée associée à un commutateur virtuel. Pour obtenir des instructions, reportez-vous à la section Créer des tables de routage personnalisées et associer des commutateurs virtuels.

Procédure

2 Dans le volet de navigation de gauche, cliquez sur Tables de routage (Route Tables).

3 Sur la page Tables de routage (Route Tables), recherchez la table de routage cible, puis cliquez sur Gérer (Manage) dans la colonne Actions.

4 Dans la zone Détails de la table de routage (Route Table Details), cliquez sur l'onglet Liste des entrées de route (Route Entry List), puis sur Ajouter une entrée de route (Add Route Entry).

La page Ajouter une entrée de route (Add Route Entry) s'affiche.

(36)

5 Dans la zone de texte Nom (Name), entrez le nom unique de l'entrée de route.

6 Dans Bloc CIDR de destination (Destination CIDR Block), spécifiez l'adresse du bloc CIDR de destination.

7 Dans le menu déroulant Type de tronçon suivant (Next Hop Type), sélectionnez le type d'interface de tronçon suivant (par exemple, Interface réseau secondaire [Secondary Network Interface]), puis sélectionnez l'interface.

Créer une instance d'hôte d'accès

La création d'une instance d'hôte d'accès est une étape facultative du déploiement du dispositif Edge. Toutefois, pour gérer localement le dispositif Edge virtuel, vous devez déployer un hôte d'accès et lui affecter une adresse IP élastique. Pour utiliser le protocole SSH sur un réseau privé via un hôte d'accès, créez un hôte d'accès (instance Linux) dans le VPC avec une interface dans le sous-réseau public (pour la connectivité Internet avec EIP) et une autre interface dans le sous- réseau de gestion.

Pour créer une instance d'hôte d'accès sur la console ECS, procédez comme suit.

Procédure

(37)

Note Après la création d'une instance, vous ne pouvez pas modifier sa région ou sa zone.

c Dans la zone Type d'instance (Instance Type), accédez à Toutes les générations (All Generations) > Architecture x86 (x86-Architecture) > Universel (General Purpose), et sélectionnez un type d'instance.

d Dans la zone Image, cliquez sur Image publique (Public Image) et sélectionnez une image Ubuntu (par exemple, 16.04.64.bit).

(38)

a Sélectionnez VPC comme type de réseau, puis sélectionnez le VPC dans lequel vous allez déployer votre hôte d'accès et attacher l'interface de la console de votre dispositif Edge à MGMT_SN.

(39)

b Dans la zone de texte Nom de l'instance (Instance Name), entrez le nom unique de l'instance de l'hôte d'accès.

Résultats

Cliquez sur Console pour revenir à la console ECS. Cliquez sur le bouton Actualiser (Refresh) pour vérifier si l'instance de l'hôte d'accès est créée. Si l'état de l'instance JH récemment créée est En cours d'exécution (Running), l'instance a bien été créée.

Connexion via le protocole SSH au dispositif Edge à l'aide

d'une EIP

(40)

n adresse IP élastique du dispositif Edge : adresse IP élastique créée dans Créer une adresse IP élastique et l'attribuer à une interface publique du dispositif Edge.

Accès via le protocole SSH à l'adresse IP privée du dispositif Edge à partir de l'hôte d'accès

Il s'agit d'une étape facultative. Pour utiliser le protocole SSH pour accéder à l'adresse IP privée du dispositif Edge à partir de l'hôte d'accès, entrez la commande suivante.

ssh -i clé privée vcadmin@ adresse IP privée du dispositif Edge sur l'interface eth0 L'adresse IP privée de l'interface eth0 peut être dérivée de la console AliCloud.

(41)

Activer le dispositif Edge sur SD-WAN Orchestrator

L'activation sera effectuée à l'étape 6 de Créer une instance d'Edge virtuelle sur la console ECS.