vmware sd-wan by velocloud パートナーガイド - vmware ......sd-wan by velocloud...

VMware SD-WAN パートナーガイド

2020VMware SD-WAN 3.4

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2021 VMware, Inc. All rights reserved. 著作権および商標情報。


VMware, Inc. 2

https://docs.vmware.com/jp/

http://pubs.vmware.com/copyright-trademark.html

目次

1 『VMware SD-WAN パートナーガイド』について 5

2 新機能 6

3 はじめに 7

4 サポート対象のブラウザ 8

5 パートナーユーザーの SSO を使用した SD-WAN Orchestrator へのログイン 9

6 ユーザーの監視 10

7 ユーザーの管理 11新しいユーザーの作成 12

ユーザーのクローン作成 14

ユーザーの構成 16

パートナーハンドオフの構成 18

8 イベントの監視 23

9 パートナー管理者ユーザーの管理 24新しいパートナー管理者の作成 24

パートナー管理者ユーザーの構成 25

10 パートナー情報の表示 29

11 パートナー設定 30パートナー情報の構成 30

パートナー認証の構成 31

シングルサインオンの概要 32

パートナーユーザーのシングルサインオンの構成 33

シングルサインオン用の IDP の構成 36

12 Edge ライセンス 57ユーザーの Edge ライセンスの管理 57

Edge ライセンスレポートの生成 59

13 ゲートウェイプールの管理 60

VMware, Inc. 3

ゲートウェイプールの作成 61

14 ゲートウェイの管理 62

15 VMware パートナーゲートウェイのインストール 63インストールの概要 63

ハイパーバイザーの最小ハードウェア要件 64

SD-WAN Gateway のインストール手順 66

インストール前の考慮事項 66

SD-WAN Gateway のインストール 74

インストール後の作業 89

SD-WAN Gateway のアップグレード 92

カスタム構成 93

NTP の構成 93

ユーザーデータ 93

OAM インターフェイスとスタティックルート 94

OAM - vmxnet3 による SR-IOV または VIRTIO による SR-IOV 96

802.1ad カプセル化を使用する場合の特別な考慮事項 98

SNMP 統合 100

カスタムファイアウォールルール 101


VMware, Inc. 4

『VMware SD-WAN パートナーガイド』について 1

『VMware SD-WAN™ パートナーガイド』は、Orchestrator を使用するユーザーを構成および管理する方法な

ど、VMware SD-WAN Orchestrator に関する情報を提供します。

対象読者

このガイドは、ネットワーク構成と SD-WAN の運用に精通している SD-WAN Orchestrator の IT パートナー

を対象としています。

VMware, Inc. 5

新機能 2バージョン 3.4 の新機能

機能説明

エンタープライズのクロ

ーン作成

既存のユーザーから構成のクローンを作成し、クローン作成された設定を使用して新しいユーザーを作成します。ユー

ザーのクローン作成を参照してください。

X710/XL710 NIC の

DPDK および SR-IOV のサポート

新しい Intel X710/XL710 NIC での SR-IOV および DPDK のサポート。以下を参照してください。

n ハイパーバイザーの最小ハードウェア要件

n VMware への SD-WAN Gateway のインストール

n KVM への SD-WAN Gateway のインストール

トークンベースの認証ユーザーは、セッションベースの認証ではなく、トークンを使用して Orchestrator API にアクセスできます。パート

ナースーパーユーザーは、エンタープライズユーザーの API トークンを管理できます。API トークンを参照してくだ

さい。

管理者向けのドキュメントの新しいセクションと更新されたセクションの全一覧については、『VMware SD-WAN 管理ガイド』を参照してください。

以前のバージョンの VMware SD-WAN

以前のバージョンの VMware SD-WAN の製品ドキュメントを入手するには、VMware の担当者にお問い合わせ

ください。

VMware, Inc. 6

はじめに 3パートナーユーザーは、以下のものを構成および管理できます。

n パートナー管理者ユーザー

n パートナーイベント

n パートナー設定

n パートナー認証

n エンタープライズユーザー

エンタープライズ IT 管理者がユーザーのために使用する VMware の主な機能については、『VMware SD-WAN 管理ガイド』を参照してください。

VMware, Inc. 7

サポート対象のブラウザ 4最大限のエクスペリエンスを実現するため、VMware では Google Chrome または Mozilla Firefox を使用する

ことをお勧めします。

SD-WAN Orchestrator は、次のブラウザをサポートしています。

使用できるブラウザブラウザのバージョン

Google Chrome 77 ～ 79.0.3945.130

Firefox 69.0.2 ～ 72.0.2

Internet Explorer 11.765.17134.0 ～ 11.592.18362.0

Microsoft Edge 42.17134.1.0 ～ 44.18362.449.0

Safari 12.1.2 ～ 13.0.3

VMware, Inc. 8

パートナーユーザーの SSO を使用した SD-WAN Orchestrator へのログイン

5シングルサインオン (SSO) を使用してパートナーユーザーとして SD-WAN Orchestrator にログインする方法

について説明します。

前提条件

n SD-WAN Orchestrator で SSO 認証が構成されていることを確認します。詳細については、パートナーユーザーのシングルサインオンの構成を参照してください。

n 優先 IDP で、SSO のロール、ユーザー、OIDC アプリケーションを設定しておきます。詳細については、シン

グルサインオン用の IDP の構成を参照してください。

手順

1 Web ブラウザで、エンタープライズユーザーまたはパートナーユーザーとして SD-WAN Orchestrator アプリケーションを起動します。

VMware SD-WAN Orchestrator 画面が表示されます。

2 [ID プロバイダを使用してサインイン (Sign In With Your Identity Provider)] をクリックします。

3 [組織ドメインの入力 (Enter your Organization Domain)] テキストボックスに、SSO 構成で使用されるド

メイン名を入力し、[ログイン (Sign In)] をクリックします。

SSO に設定した IDP は、ユーザーを認証し、そのユーザーを SD-WAN Orchestrator の設定済み URL にリ

ダイレクトします。

注：ユーザーは、一旦 SSO を使用して SD-WAN Orchestrator にログインしたら、ネイティブユーザー

として再度ログインすることは許可されなくなります。

VMware, Inc. 9

ユーザーの監視 6パートナーは、[ユーザーの監視 (Monitor Customers)] リンクを使用してユーザーのステータスを監視できます。

ユーザーを監視するには、次の手順を実行します。

n ナビゲーションバーで、[ユーザーの監視 (Monitor Customers)] をクリックします。

[ユーザーの監視 (Monitor Customers)] ページが表示されます。

この画面には、このパートナーによって管理されているすべてのユーザーの Edge とリンクが表示されます。情報の

更新間隔を選択して制御することができます。

[ユーザーの監視 (Monitor Customers)] ページの主な機能は次のとおりです。

1 すべてのユーザーとその Edge のステータスの集約情報。

2 それぞれのユーザーとその Edge のステータスの概要。

3 特定の監視間隔の選択。

VMware, Inc. 10

ユーザーの管理 7[ユーザーの管理 (Manage Customers)] メニューでは、新しいユーザーの作成、ユーザーの機能の構成、既存の

構成のクローン作成、およびその他のユーザー設定の構成を行うことができます。

パートナーパネルで、[ユーザーの管理 (Manage Customers)] - [アクション (Actions)] をクリックして、次の

アクティビティを実行します。

n [新規ユーザー (New Customer)]：新しいユーザーを作成します。新しいユーザーの作成を参照してください。

n [ユーザーのクローン作成 (Clone Customer)]：選択したユーザーから既存の構成のクローンを作成すること

で、新しいユーザーを作成します。ユーザーのクローン作成を参照してください。

n [ユーザーの変更 (Modify Customer)]：エンタープライズポータルの [システム設定 (System Settings)] に移動して、選択したユーザーに対応するその他の設定を構成できます。また、ユーザーの名前をクリックして、

エンタープライズポータルに移動することもできます。詳細については、『VMware SD-WAN 管理ガイド』

を参照してください。

n [ユーザーの削除 (Delete Customer)]：選択したユーザーを削除します。ユーザーを削除する前に、選択した

ユーザーに関連付けられているすべての Edge を確実に削除します。

n [パートナーから解放 (Release from Partner)]：選択したユーザーをパートナーから解放します。

n [サポート E メール (Support Email)]：選択したユーザーにユーザーサポートメッセージを送信します。

n [事前通知の更新 (Update Pre-Notifications)]：選択したユーザーの事前通知アラートを有効または無効にし

ます。

n [ユーザーアラートの更新 (Update Customer Alerts)]：選択したユーザーのアラートを有効または無効にし

ます。

n [すべてのユーザーをエクスポート (Export All Customers)]：パートナーポータルのすべてのユーザーの詳

細情報を CSV ファイルにエクスポートします。デフォルトで使用される区切り文字はカンマ (,) ですが、その

他の特殊文字に区切り文字を変更することができます。

n [ユーザーの Edge インベントリをエクスポート (Export Customer Edge Inventory)]：すべてのユーザー

に関連付けられているすべての Edge のインベントリ詳細を CSV ファイルにエクスポートします。デフォル

トで使用される区切り文字はカンマ (,) ですが、その他の特殊文字に区切り文字を変更することができます。

この章には、次のトピックが含まれています。

n 新しいユーザーの作成

n ユーザーのクローン作成

VMware, Inc. 11

n ユーザーの構成

新しいユーザーの作成

パートナーポータルでは、ユーザーを作成し、ユーザーの設定を構成できます。

パートナースーパーユーザーとパートナー標準管理者のみが新しいユーザーを作成できます。

注：オペレータスーパーユーザーは、システムプロパティ session.options.disableCreateEnterprise を

True に設定することで、新しいユーザーの作成を一時的に無効することができます。このプロパティが True に設

定されている場合、パートナースーパーユーザーとパートナー標準管理者は新しいユーザーを作成できません。ユ

ーザーを作成できない場合は、このオプションを有効にするようにオペレータに依頼してください。

パートナーポータルで、[ユーザーの管理 (Manage Customers)] に移動します。

1 [ユーザー (Customers)] ページで [新規パートナーユーザー (New Partner Customer)] をクリックする

か、[アクション (Actions)] - [新規ユーザー (New Customer)] をクリックします。

2 [新規ユーザー (New Customer)] ウィンドウで、次の詳細を入力します。また、[ユーザーのクローンを作成

(Clone from Customer)] オプションを選択して、既存のユーザーから構成のクローンを作成することもでき

ます。詳細については、ユーザーのクローン作成を参照してください。


VMware, Inc. 12

[ユーザー情報 (Customer Information)]

オプション説明

会社名 (Company Name) 会社名を入力します。

ドメイン (Domain) 会社のドメイン名を入力します。

アカウント番号 (Account Number) ユーザーの一意の ID を入力します。

パートナーサポートアクセス (Partner Support Access) このオプションはデフォルトでオンになっており、ユーザーに接続さ

れている Edge を表示、構成、およびトラブルシューティングするた

めのアクセス権をパートナーのサポートチームに付与します。

セキュリティ上の理由から、サポートはユーザー識別可能な情報にア

クセスしたり、表示したりすることはできません。

VeloCloud サポートアクセス (VeloCloud Support Access) このオプションはデフォルトでオンになっており、ユーザーに接続さ

れている Edge を表示、構成、およびトラブルシューティングするた

めのアクセス権を VMware サポートに付与します。

セキュリティ上の理由から、サポートはユーザー識別可能な情報にア

クセスしたり、表示したりすることはできません。

VeloCloud ユーザー管理アクセス (VeloCloud User Management Access)

このチェックボックスをオンにすると、VMware サポートはユーザ

ー管理を支援できます。ユーザー管理には、ユーザーの作成、パスワ

ードのリセット、およびその他の設定の構成を行うオプションがあり

ます。この場合、サポートはユーザー識別可能な情報にアクセスでき

ます。

番地、市区町村、都道府県、国、郵便番号 (Street Address, City, State, Country, ZIP/Postcode)

関連するアドレスの詳細をそれぞれのフィールドに入力します。

[最初の管理者アカウント (Initial Admin Account)]


ユーザー名 (Username) [[email protected]] 形式でユーザー名を入力します。

パスワード (Password) 管理者のパスワードを入力します。

確認 (Confirm) パスワードを再入力します。

名、姓、電話番号、携帯電話番号 (First Name, Last Name, Phone, Mobile Phone)

名前や電話番号などの詳細をそれぞれのフィールドに入力します。

連絡先の E メール (Contact Email) メールアドレスを入力します。サービスステータスのアラートは、こ

のメールアドレスに送信されます。

[ユーザー構成 (Customer Configuration)]


ソフトウェアイメージ (Software Image) Edge で更新するソフトウェアイメージを選択します。

ゲートウェイプール (Gateway Pool) ドロップダウンリストから既存のゲートウェイプールを選択します。

ゲートウェイプールの詳細については、13 章ゲートウェイプールの

管理を参照してください。

3 [作成 (Create)] をクリックします。


VMware, Inc. 13

新しいユーザー名が [ユーザー (Customers)] ページに表示されます。ユーザー名をクリックしてエンタープライ

ズポータルに移動し、ユーザーに構成を追加することができます。詳細については、『VMware SD-WAN 管理ガ

イド』を参照してください。

ユーザーのクローン作成

既存のユーザーから構成のクローンを作成し、クローン作成された設定を使用して新しいユーザーを作成できます。

パートナースーパーユーザーとパートナー標準管理者のみがユーザーのクローンを作成できます。

デフォルトでは、選択したユーザーから次の構成がクローン作成されます。

n エンタープライズ構成プロファイル

n 次のようなエンタープライズネットワークサービスとオブジェクト：

n DNS サービス

n プライベートネットワーク名

n ネットワークセグメント

n Edge 認証スキーム

n アドレスグループとポートグループ

次の要素で構成されているエンタープライズのクローンを作成することはできません。

n ハブやクラスタなどの Edge 参照を含むプロファイル

n 有効なクラウドセキュリティサービス

n Non VMware SD-WAN Site

n VNF または VNF ライセンス

n 認証サービス

n コレクタやフィルタなどの NetFlow オブジェクト

パートナーポータルで、[ユーザーの管理 (Manage Customers)] に移動します。

1 [ユーザー (Customers)] ページで、クローンを作成するユーザーを選択し、[アクション (Actions)] - [ユーザ

ーのクローン作成 (Clone Customer)] の順にクリックします。

2 [新規ユーザー (New Customer)] ウィンドウで、次の詳細を入力します。また [新規ユーザー (New Customer)] オプションを選択して、選択したユーザーの構成のクローンを作成することなく新規ユーザーを作

成することもできます。新しいユーザーの作成を参照してください。


VMware, Inc. 14

[構成のクローン作成 (Clone Configuration)]


テンプレートユーザー (Template Customer) デフォルトでは、選択されたユーザーがクローン作成に使用されます。

必要に応じて、ドロップダウンリストから別のユーザーを選択できま

す。

ユーザーまたはエンタープライズがこのセクションの冒頭に記載され

ている適切なクローン作成条件を満たさない場合、ドロップダウンリストには表示されません。このリストには、クローンを作成できるユ

ーザーの名前のみが表示されます。

その他のクローン属性 (Additional Clone Attributes) デフォルトのクローン構成に加えて、必要に応じて、次の設定を選択

してクローンを作成することができます。

n セキュリティポリシー (Security Policy)

n アラート設定 (Alert Configuration)

n グローバルルーティング設定 (Global Routing Preferences)

n IAAS サブスクリプション (IAAS Subscriptions)

新しいユーザーの作成の説明に従って、[ユーザー情報 (Customer Information)] と [最初の管理者アカウン

ト (Initial Admin Account)] の詳細を入力します。

[ユーザー構成 (Customer Configuration)] セクションで、ソフトウェアイメージとゲートウェイプールの

詳細が選択されたユーザーからクローン作成されます。必要に応じて、設定を変更できます。



VMware, Inc. 15

新しいユーザー名が [ユーザー (Customers)] ページに表示されます。ユーザーは、クローン作成された設定を使用

してすでに構成されています。ユーザー名をクリックしてエンタープライズポータルに移動し、構成を追加または変

更することができます。詳細については、『VMware SD-WAN 管理ガイド』を参照してください。

ユーザーの構成

ユーザーを作成した後、ユーザーがアクセスできるオプションと設定を構成します。パートナースーパーユーザー

は、ユーザーまたはエンタープライズが変更できる設定を選択できます。

新しいユーザーを作成すると、[ユーザー構成 (Customer Configuration)] ページにリダイレクトされ、ユーザー

の設定を構成できます。

パートナーポータルの [ユーザーの管理 (Manage Customers)] ページから構成ページに移動することもできま

す。ユーザーを選択して [アクション (Actions)] - [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリ

ックします。

ユーザーまたはエンタープライズポータルで、[構成 (Configure)] - [ユーザー (Customer)] をクリックし、次の

設定を構成することができます。

[ユーザーの機能 (Customer Capabilities)]


VMware, Inc. 16

機能を有効または無効にできるのは、オペレータのみです。次の機能のステータスを表示できます。機能を有効また

は無効にする場合は、オペレータに連絡してください。

n エンタープライズ認証の有効化 (Enable Enterprise Auth)

n Orchestrator のファイアウォールログ作成の有効化 (Enable Firewall logging to Orchestrator)

n レガシーネットワークの有効化 (Enable Legacy Networks)

n プレミアムサービスの有効化 (Enable Premium Service)

n セグメントの有効化 (Enable Segmentation)

n ステートフルファイアウォールの有効化 (Enable Stateful Firewall)

n CoS マッピング (CoS Mapping)

n サービスレートの制限 (Service Rate Limiting)

[最大セグメント (Maximum Segments)]

オペレータによって設定されたセグメントの最大数が表示されます。

[OFC のコスト計算 (OFC Cost Calculation)]

オペレータによって [分散コスト計算 (Distributed Cost Calculation)] が有効にされているかどうかが表示され

ます。デフォルトでは、Edge とゲートウェイから学習されたルートを受信することで、Orchestrator はルートの

コストを計算します。オペレータは、コスト計算を Edge とゲートウェイに分散することを選択できます。これによ

り、リソースの使用量と Orchestrator の負荷が軽減されます。

[Edge NFV]

ユーザーがサードパーティ製の仮想ネットワーク機能 (VNF) をサービスの準備ができた Edge プラットフォーム

にデプロイすることを許可されているかどうかが表示されます。

[ソフトウェアイメージ (Software Image)]

選択したユーザーに関連付けられている現在のソフトウェアイメージが表示されます。必要に応じて、使用可能なリ

ストから別のソフトウェアイメージを選択できます。

[ゲートウェイプール (Gateway Pool)]

選択したユーザーに関連付けられている現在のゲートウェイプールが表示されます。必要に応じて、使用可能なリス

トから別のゲートウェイプールを選択できます。

ゲートウェイプールで使用可能なゲートウェイがパートナーゲートウェイロールを使用して割り当てられている場

合は、ゲートウェイをパートナーにハンドオフすることができます。[パートナーハンドオフの有効化 (Enable Partner Handoff)] を選択して、セグメントとゲートウェイのハンドオフオプションを設定します。詳細について

は、パートナーハンドオフの構成を参照してください。

構成に変更を加えた後、[変更の保存 (Save Changes)] をクリックします。


VMware, Inc. 17

パートナーハンドオフの構成

ゲートウェイをパートナーにハンドオフするように構成できます。ゲートウェイはパートナーゲートウェイとして

動作し、ハンドオフインターフェイス、スタティックルート、BGP、およびその他の設定を構成することができま

す。

ハンドオフされるゲートウェイに、パートナーゲートウェイロールが割り当てられていることを確認します。パー

トナーポータルで、[ゲートウェイ (Gateways)] をクリックし、既存のゲートウェイへのリンクをクリックします。

選択したゲートウェイの [プロパティ (Properties)] セクションで、パートナーゲートウェイロールを有効にする

ことができます。

ハンドオフ設定を構成するには、[ユーザー構成 (Customer Configuration)] ページに移動します。

n パートナーポータルで、[ユーザーの管理 (Manage Customers)] をクリックします。

n ユーザーを選択して [アクション (Actions)] - [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリ

ックします。

n ユーザーまたはエンタープライズポータルで、[構成 (Configure)] - [ユーザー (Customer)] をクリックしま

す。

n [ユーザー構成 (Customer Configuration)] で、[ゲートウェイプール (Gateway Pool)] セクションに移動

し、[パートナーハンドオフの有効化 (Enable Partner Handoff)] チェックボックスを選択します。

次の設定を構成します。


VMware, Inc. 18

[ユーザーの BGP の優先順位 (Customer BGP Priority)]

n [コミュニティマッピングの有効化 (Enable Community Mapping)] をオンにして、BGP アドバタイズルー

トでタグ付けされるコミュニティ属性を設定します。

n コミュニティマッピングは、デフォルトですべてのセグメントに設定されます。特定のセグメントのコミュニテ

ィ属性を構成する場合は、[セグメントごと (Per Segment)] を選択し、ドロップダウンリストからセグメント

を選択します。

n [コミュニティ付加 (Community Additive)] チェックボックスをオンにして、特定の自動コミュニティ構成に

関連付けられた付加オプションを有効にします。このオプションは、オーバーレイから受信したプリフィックス

の受信コミュニティ属性を保持し、構成された自動コミュニティをパートナーゲートウェイのプリフィックスに

追加します。その結果、MPLS PE 側は、自動コミュニティ属性を含むすべてのコミュニティ属性を持つプリフ

ィックスを受け取ります。

n コミュニティ属性を [コミュニティ (Community)] と [コミュニティ 2 (Community 2)] フィールドに入力

します。プラス ([+]) アイコンをクリックして、さらにコミュニティ属性を追加します。

[ハンドオフの構成 (Configure Hand Off)]

n デフォルトでは、ハンドオフ構成はすべてのゲートウェイに適用されます。特定のゲートウェイを構成する場合

は、[ゲートウェイごと (Per Gateway)] を選択し、ドロップダウンリストからゲートウェイを選択します。

n デフォルトでは、ハンドオフ構成はすべてのセグメントに適用されます。特定のセグメントを構成する場合は、

ドロップダウンリストから [セグメント (Segment)] を選択します。

n すべてのゲートウェイを構成するには、[編集 (Edit)] オプションをクリックします。特定のゲートウェイを選択

した場合は、[ここをクリックして構成 (Click here to configure)] リンクをクリックします。

[ハンドオフの詳細 (Hand Off Details)] ウィンドウが表示され、次のオプションを構成できます。


VMware, Inc. 19


[ハンドオフインターフェイス (Hand Off Interface)]

タグタイプ (Tag Type) タグタイプを選択します。これはゲートウェイがユーザーのトラフィッ

クをルーターにハンドオフするカプセル化です。使用可能なタグタイプ

は次のとおりです。

n [なし (None)] - タグなし。シングルテナントのハンドオフ時、ま

たは共有サービス VRF に向けたハンドオフ時に選択します。

n [802.1q] - 単一の VLAN タグ。

n [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)] - デュアル

VLAN タグ。

トランスポート VLAN (Transport VLAN) このオプションは、タグタイプとして 802.1ad/QinQ(0x8100)/QinQ(0x9100) を選択した場合にのみ使用できます。トランスポート

VLAN を構成するタグタイプを選択します。

C-タグ（ユーザータグ）(C-Tag (Customer tag)) ユーザーの VLAN タグを入力します。

S-タグ（サービスタグ）(S-Tag (Service tag)) サービスプロバイダが定義した VLAN タグを入力します。

ローカル IP アドレス (Local IP Address) 論理ハンドオフインターフェイスのローカル IP アドレスを入力します。

プライベートトンネルに使用 (Use for Private Tunnels) このチェックボックスをオンにすると、プライベート WAN リンクがパ

ートナーゲートウェイのプライベート IP アドレスに接続されます。ゲ

ートウェイでプライベート WAN 接続が有効になっている場合、

Orchestrator は監査を行い、ローカル IP アドレスがエンタープライズ

内の各ゲートウェイで一意であることを確認します。


VMware, Inc. 20


BGP 経由でアドバタイズ (Advertise via BGP) このチェックボックスをオンにすると、BGP 経由でパートナーゲートウ

ェイのプライベート WAN IP アドレスが自動的にアドバタイズされま

す。接続は既存のローカル IP アドレスを使用して提供されます。

[スタティックルート (Static Routes)] – さらにルートを追加するにはプラス ([+]) アイコンをクリックします。

サブネット (Subnets) ゲートウェイが Edge にアドバタイズするスタティックルートサブネ

ットの IP アドレスを入力します。

コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ～ 255 です。

暗号化 (Encrypt) Edge とゲートウェイ間のトラフィックを暗号化するには、このチェッ

クボックスをオンにします。

ハンドオフ (Hand off) ハンドオフタイプとして、VLAN または NAT を選択します。

説明 (Description) 必要に応じて、スタティックルートの説明テキストを入力します。

[BGP]

BGP の有効化 (Enable BGP) BGP を有効にして BGP 構成を設定するには、このチェックボックスを

オンにします。

ユーザーの ASN (Customer ASN) ユーザーの自律システム番号 (ASN) を入力します。

ネイバー IP アドレス (Neighbor IP) 構成されたネイバーネットワークの IP アドレスを入力します。

ネイバーの ASN (Neighbor-ASN) ネイバーネットワークの ASN を入力します。

セキュア BGP ルート (Secure BGP Routes) BGP ルートでのデータ転送の暗号化を有効にするには、このチェックボ

ックスをオンにします。

[BGP 受信/送信フィルタ (BGP Inbound/Outbound Filters)] – さらにフィルタを追加するにはプラス ([+]) アイコンをクリックします。

タイプ（一致）(Type (Match)) トラフィックフローと一致するために考慮する BGP 属性のタイプを選

択します。[プリフィックス (Prefix)] または [コミュニティ

(Community)] のいずれかを選択できます。

値 (Value) [タイプ (Type)] として選択された BGP 属性に応じて値を入力しま

す。

完全一致 (Exact Match) 属性を完全に一致させるには、このチェックボックスをオンにします。

タイプ（アクション）(Type (Action)) 一致が True の場合に実行するアクションを選択します。トラフィック

を許可するか拒否するかを選択できます。

設定 (Set) フィルタ条件に一致するルートの属性値を設定できます。

次の属性から選択し、一致するルートに設定される対応する値を入力しま

す。

n なし (None) - 一致するルートの属性は変わりません。

n ローカルプリファレンス (Local Preference)

n コミュニティ (Community) - [コミュニティ付加 (Community Additive)] オプションを有効にすることもできます。

n メトリック (Metric)

n AS-Path-Prepend

[BGP のオプション設定 (BGP Optional Settings)]


VMware, Inc. 21


ルーター ID (Router ID) BGP ルーターを識別するルーター ID を入力します。

キープアライブ (Keep Alive) BGP キープアライブ時間を秒単位で入力します。デフォルトのタイマ

ーは 60 秒です。

保持タイマー (Hold Timers) BGP 保持時間を秒単位で入力します。デフォルトのタイマーは 180 秒です。

AS-PATH 引継ぎの無効化 (Disable AS-PATH Carry Over) AS-PATH 引継ぎを無効にするには、このチェックボックスをオンにし

ます。これは送信 AS-PATH に影響し、L3 ルーターが PE へのパスを

優先するようになります。このオプションを選択した場合は、ルーティン

グのループを回避するために、ネットワークを調整してください。このチ

ェックボックスをオンにしないことをお勧めします。

[更新 (Update)] をクリックして設定を保存します。さらに、[ユーザー構成 (Customer Configuration)] ページ

で [変更の保存 (Save Changes)] をクリックして、設定を有効にします。


VMware, Inc. 22

イベントの監視 8パートナーは、[イベント (Events)] リンクを使用して、VMware によって生成されたオペレータイベントを監視

できます。

イベントを表示するには、次の手順を実行します。

n ナビゲーションバーで、[イベント (Events)] をクリックします。

[イベント (Events)] ページが表示されます。

これらのイベントは、VMware システムのステータスを判断するのに役立ちます。イベントによっては、イベント

内のリンクをクリックして詳細情報を表示することもできます。

VMware, Inc. 23

パートナー管理者ユーザーの管理 9[管理者 (Admins)] ページには、既存のパートナー管理者ユーザーが表示されます。パートナースーパーユーザー

は、異なるロール権限を持つ新しいパートナー管理者ユーザーを作成したり、各パートナー管理者の API トークンを

構成したりすることができます。

パートナーポータルで、[管理者 (Admins)] をクリックします。

[アクション (Actions)] をクリックして、次のアクティビティを実行します。

n [新規管理者 (New Admin)]：新しいパートナー管理者ユーザーを作成します。新しいパートナー管理者の作成

を参照してください。

n [管理者の変更 (Modify Admin)]：選択した管理者ユーザーのプロパティを変更します。また、ユーザー名への

リンクをクリックしてプロパティを変更することもできます。パートナー管理者ユーザーの構成を参照してくだ

さい。

n [パスワードのリセット (Password Reset)]：選択したユーザーに、パスワードをリセットするためのリンクが

記載された E メールを送信します。

n [管理者の削除 (Delete Admin)]：選択したユーザーを削除します。


n 新しいパートナー管理者の作成

n パートナー管理者ユーザーの構成

新しいパートナー管理者の作成

パートナースーパーユーザーは、新しいパートナー管理者ユーザーを作成できます。

パートナーポータルで、[管理者 (Admins)] をクリックします。

VMware, Inc. 24

手順

1 新しい管理者ユーザーを作成するには、[新規管理者 (New Admin)] または [アクション (Actions)] - [新規管

理者 (New Admin)] のいずれかをクリックします。

2 [新規管理者 (New Admin)] ウィンドウで、次の詳細を入力します。

a ユーザー名、パスワード、名前、E メール、電話番号などのユーザーの詳細を入力します。

b パートナー認証の構成で認証モードとして [ネイティブ (Native)] を選択した場合は、ユーザーのタイプが

[ネイティブ (Native)] として選択されます。別の認証モードを選択した場合は、ユーザーのタイプを選択

できます。ユーザーを [非ネイティブ (Non-Native)] として選択した場合、パスワードオプションは認証

モードから継承されるため、使用できません。

c [アカウントロール (Account Role)]：使用可能なオプションからユーザーロールを選択します。


結果

パートナー管理者ユーザーの詳細が [管理者 (Admins)] ページに表示されます。

パートナー管理者ユーザーの構成

管理者ユーザーの追加のプロパティを構成し、API トークンを作成できます。

パートナーポータルで、[管理者 (Admins)] をクリックします。管理者ユーザーを構成するには、ユーザー名への

リンクをクリックするか、ユーザーを選択して [アクション (Actions)] - [管理者の変更 (Modify Admin)] をクリ

ックします。

選択したユーザーの既存のプロパティが表示されます。必要に応じて、次の項目を追加または変更できます。


VMware, Inc. 25

[ステータス (Status)]

デフォルトでは、ステータスは [有効 (Enabled)] 状態になっています。[無効 (Disabled)] を選択すると、ユーザ

ーはすべてのアクティブなセッションからログアウトされます。

[タイプ (Type)]

パートナー認証の構成でパートナー認証モードとして [ネイティブ (Native)] を選択した場合は、ユーザーのタイプ

として [ネイティブ (Native)] が選択されます。別の認証モードを選択した場合は、ユーザーのタイプを選択できま

す。ユーザーを [非ネイティブ (Non-Native)] として選択した場合、パスワードをリセットしたり、ユーザーロー

ルを変更したりすることはできません。

[プロパティ (Property)]

ユーザーの既存の連絡先詳細が表示されます。必要に応じて、詳細を変更したり、パスワードのリセットを選択した

りすることができます。[パスワードのリセット (Password Reset)] をクリックすると、パスワードをリセットす

るためのリンクを含む E メールがユーザーに送信されます。

[ユーザーロール (User Role)]

ユーザーロールの既存のタイプが表示されます。必要に応じて、ユーザーに別のロールを選択できます。ロールの権

限がこれに応じて変更されます。

[API トークン (API Tokens)]


VMware, Inc. 26

ユーザーは、セッションベースの認証ではなく、トークンを使用して Orchestrator API にアクセスできます。パ

ートナースーパーユーザーは、エンタープライズユーザーの API トークンを管理できます。ユーザーに対して複数

の API トークンを作成できます。

[API トークンの構成]

ユーザーは、自分のユーザーロールに割り当てられている権限に基づいてトークンを作成できます。ただし、ビジネ

ススペシャリストユーザーを除きます。

ユーザーは、ロールに基づいて次のアクションを実行できます。

n エンタープライズユーザーは、トークンの作成、ダウンロード、および取り消しを行うことができます。

n パートナースーパーユーザーは、エンタープライズユーザーからユーザー権限を委任されている場合、エンタ

ープライズユーザーのトークンを管理できます。

n パートナースーパーユーザーは、他のユーザーのトークンの作成と取り消しのみを実行できます。

n ユーザーは自分自身のトークンのみをダウンロードでき、他のユーザーのトークンをダウンロードすることはで

きません。

[API トークンを管理するには、次の手順を実行します。]

n [API トークン (API Tokens)] セクションで [アクション (Actions)] - [新規 API トークン (New API Token)] をクリックして、新しいトークンを作成します。

n [新規 API トークン (New API Token)] 画面で、トークンの [名前 (Name)] と [説明 (Description)] を入力

し、ドロップダウンメニューから [有効期間 (Lifetime)] を選択します。

n [作成 (Create)] をクリックすると、[API トークン (API Tokens)] グリッドに新しいトークンが表示されま

す。

n 最初に、トークンのステータスは [保留中 (Pending)] として表示されます。トークンをダウンロードするには、

トークンを選択し、[アクション (Actions)] - [API トークンをダウンロード (Download API Token)] をク

リックします。ステータスが [有効 (Enabled)] に変わります。これは API トークンを API アクセスに使用で

きることを意味します。

n トークンを無効にするには、トークンを選択し、[アクション (Actions)] - [API トークンを取り消す (Revoke API Token)] をクリックします。トークンのステータスは [取り消し済み (Revoked)] として表示されます。

n トークンの有効期間が過ぎると、ステータスは [期限切れ (Expired)] に変わります。

トークンに関連付けられているユーザーのみがトークンをダウンロードでき、ダウンロード後にトークンの ID のみ

が表示されます。トークンをダウンロードできるのは 1 回だけです。


VMware, Inc. 27

トークンをダウンロードすると、ユーザーは、それを Orchestrator API にアクセスするための要求の認証ヘッダ

ーの一部として送信できます。

次の例は、API にアクセスするコードのサンプルスニペットを示しています。

curl -k -H "Authorization: Token <Token>"

-X POST https://vco/portal/

-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":

{ "enterpriseId": 1 }}'

設定と API トークンを変更した後、[変更の保存 (Save Changes)] をクリックします。


VMware, Inc. 28

パートナー情報の表示 10パートナースーパーユーザーは、オペレータによって割り当てられたソフトウェアイメージとゲートウェイプール

を表示できます。

パートナーポータルで、[概要 (Overview)] をクリックして、次の情報を表示します。

[使用可能なソフトウェアイメージ (Available Software Images)]

オペレータによってパートナーに割り当てられたソフトウェアイメージが表示されます。このリストから、エンター

プライズユーザーにソフトウェアイメージを割り当てることができます。

[ゲートウェイプール (Gateway Pool)]

オペレータによってパートナーに割り当てられたゲートウェイプールが表示されます。このリストから、エンタープ

ライズユーザーにゲートウェイプールを割り当てることができます。

注：ソフトウェアイメージとゲートウェイプールをユーザーに割り当てる方法については、新しいユーザーの作

成およびユーザーの構成を参照してください。

VMware, Inc. 29

パートナー設定 11[設定 (Settings)] オプションを使用すると、パートナー設定と認証の詳細を構成できます。

パートナーポータルで、[設定 (Settings)] をクリックして、次の設定を構成します。

n [全般情報 (General Information)] - ユーザーの詳細およびプライバシー設定を構成し、連絡先情報を入力し

ます。パートナー情報の構成を参照してください。

n [認証 (Authentication)] - 認証モードを構成し、API トークンを表示します。パートナー認証の構成を参照し

てください。


n パートナー情報の構成

n パートナー認証の構成

パートナー情報の構成

[全般情報 (General Information)] を使用して、パートナーの情報、プライバシー設定、および連絡先の詳細を構

成できます。

パートナーポータルで、[設定 (Settings)] をクリックします。[全般情報 (General Information)] タブでは、次

の設定を構成することができます。

VMware, Inc. 30

[プライバシー設定 (Privacy Settings)]

n [VeloCloud サポートにアクセス権を付与 (Grant Access to VeloCloud Support)] - イベントと設定の表

示、構成、およびトラブルシューティングを行うためのアクセス権限を VMware サポートに付与するには、こ

のオプションを選択します。

[全般情報 (General Information)]


名前 (Name) 既存のユーザー名が表示されます。必要に応じて、名前を変更できます。

ドメイン (Domain) 既存のドメイン名が表示され、必要に応じてドメインを変更できます。

説明 (Description) ユーザーの説明を入力します。

[連絡先情報 (Contact Information)]

このセクションには、既存の連絡先の詳細が表示されます。必要に応じて、詳細を変更できます。

パートナー認証の構成

[認証 (Authentication)] タブでは、パートナーの認証モードを設定したり、既存の API トークンを表示したりす

ることができます。

パートナーポータルで、[設定 (Settings)] - [認証 (Authentication)] をクリックし、次の設定を構成します。


VMware, Inc. 31

[パートナー認証 (Partner Authentication)]

[認証モード (Authentication Mode)] で、次のいずれかを選択します。

n [ネイティブ (NATIVE)] - デフォルトの認証モード。ユーザーは、ネイティブのユーザー名とパスワードを使用

してパートナーポータルにログインできます。このモードでは、構成は必要ありません。

n [SSO] - シングルサインオン (SSO) は、ユーザーが 1 組のログイン認証情報を使用してパートナーポータル

にログインし、複数のアプリケーションにアクセスできるようにする、セッションおよびユーザー認証サービス

です。詳細については、パートナーユーザーのシングルサインオンの構成を参照してください。

[API トークン (API Tokens)]

認証モードに関係なく、トークンベースの認証を使用して Orchestrator API にアクセスできます。このセクショ

ンで既存の API トークンを確認できます。

パートナースーパーユーザーまたは API トークンに関連付けられているユーザーは、トークンを取り消すことがで

きます。トークンを選択し、[アクション (Actions)] - [取り消し (Revoke)] をクリックします。API トークンを作

成してダウンロードするには、API トークンを参照してください。

シングルサインオンの概要

SD-WAN Orchestrator は、すべての Orchestrator ユーザータイプ（オペレータ、パートナー、エンタープラ

イズ）について、シングルサインオン (SSO) と呼ばれる新しいタイプのユーザー認証をサポートしています。

シングルサインオン (SSO) は、SD-WAN Orchestrator ユーザーが 1 組のログイン認証情報を使用して SD-WAN Orchestrator にログインし、複数のアプリケーションにアクセスすることを可能にする、セッションおよび

ユーザー認証サービスです。SSO サービスと SD-WAN Orchestrator を統合することにより、SD-WAN Orchestrator ユーザーのユーザー認証のセキュリティが強化され、SD-WAN Orchestrator で他の OpenID Connect (OIDC) ベースの ID プロバイダ (IDP) のユーザーを認証できるようになります。現在、次の IDP がサポ

ートされています。

n Okta

n OneLogin

n PingIdentity

n AzureAD


VMware, Inc. 32

n VMwareCSP

パートナーユーザーのシングルサインオンの構成

パートナーユーザーのシングルサインオン (SSO) 認証を設定するには、以下の手順を実行します。

前提条件

n パートナースーパーユーザー権限があることを確認します。

n SD-WAN Orchestrator で SSO 認証を設定する前に、優先 ID プロバイダの Web サイトで、ロール、ユー

ザー、および OpenID Connect (OIDC) アプリケーションを SD-WAN Orchestrator 用に設定しているこ

とを確認します。詳細については、シングルサインオン用の IDP の構成を参照してください。

手順

1 ログイン認証情報を使用して、SD-WAN Orchestrator アプリケーションにパートナースーパーユーザーと

してログインします。

2 [設定 (Settings)] をクリックします。

[パートナー設定 (Partner Settings)] 画面が表示されます。

3 [全般情報 (General Information)] タブをクリックし、[ドメイン (Domain)] テキストボックスにパートナー

のドメイン名を入力します（まだ設定していない場合）。

注： SD-WAN Orchestrator の SSO 認証を有効にするには、パートナーのドメイン名を設定する必要があ

ります。


VMware, Inc. 33

4 [認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウンメニュ

ーから [SSO] を選択します。

5 [ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから、シングルサイ

ンオン用に構成した優先 ID プロバイダ (IDP) を選択します。

注：優先 IDP として VMwareCSP を選択する場合は、/csp/gateway/am/api/orgs/<full organization ID> の形式で組織 ID を指定します。

VMware CSP コンソールにログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示で

きます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。

また、[ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから [その他

(Others)] を選択して、独自の IDP を手動で構成することもできます。

6 [OIDC の既知の構成 URL (OIDC well-known config URL)] テキストボックスに、IDP の OpenID Connect (OIDC) 構成 URL を入力します。たとえば、Okta の URL 形式は https://{oauth-provider-url}/.well-known/openid-configuration というようになります。

7 SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細（IDP の発行者、認証エンドポイント、

トークンエンドポイント、ユーザー情報エンドポイントなど）を自動的に入力します。

8 [クライアント ID (Client Id)] テキストボックスに、IDP によって提供されるクライアント ID を入力します。

9 [クライアントシークレット (Client Secret)] テキストボックスに、IDP によって提供されるクライアントシークレットコードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。

10 SD-WAN Orchestrator でユーザーのロールを決定するには、次のいずれかのオプションを選択します。

n [デフォルトのロールを使用 (Use Default Role)] - このオプションを選択したときに表示される [デフォ

ルトのロール (Default Role)] テキストボックスを使用して、ユーザーが静的なロールをデフォルトとし

て構成できるようにします。サポートされているロールは、MSP スーパーユーザー、MSP 標準管理者、

MSP サポート、および MSP ビジネスです。


VMware, Inc. 34

https://console-stg.cloud.vmware.com/

注： SSO 構成のセットアップで [デフォルトのロールを使用 (Use Default Role)] オプションが選択さ

れ、デフォルトのユーザーロールが定義されている場合、すべての SSO ユーザーに指定されたデフォルト

ロールが割り当てられます。パートナースーパーユーザーは、ユーザーにデフォルトのロールを割り当て

るのではなく、パートナーポータルの [管理者 (Admins)] タブを使用して特定のユーザーを非ネイティブ

ユーザーとして事前登録し、特定のユーザーロールを定義できます。新しいパートナー管理者ユーザーを構

成する手順については、新しいパートナー管理者の作成を参照してください。

n [ID プロバイダロールを使用 (Use Identity Provider Roles)] - IDP で設定されたロールを使用します。

11 [ID プロバイダロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキストボックスに、ロールを返す IDP に設定されている属性の名前を入力します。

12 [ロールマップ (Role Map)] 領域で、IDP によって提供されたロールを、カンマ区切りでそれぞれの SD-WAN Orchestrator ロールにマッピングします。

VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。

13 SD-WAN Orchestrator URL ( https://<vco>/login/ssologin/openidCallback) を使用して、OIDC プロバイダの Web サイトで許可されたリダイレクト URL を更新します。

14 [変更の保存 (Save Changes)] をクリックして、SSO 構成を保存します。

15 [構成のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 構成を検証しま

す。

ユーザーは IDP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SD-WAN Orchestrator テストコールバックに正常にリダイレクトされると、検証に成功したことを示すメッセージが

表示されます。

結果

SD-WAN Orchestrator での SSO 認証の設定は完了です。

次のステップ

5 章パートナーユーザーの SSO を使用した SD-WAN Orchestrator へのログイン


VMware, Inc. 35

シングルサインオン用の IDP の構成

SD-WAN Orchestrator のシングルサインオン (SSO) を有効にするには、SD-WAN Orchestrator の詳細を

使用して ID パートナー (IDP) を構成する必要があります。現在、Okta、OneLogin、PingIdentity、AzureAD、

および VMware CSP などの IDP がサポートされています。

さまざまな IDP で SD-WAN Orchestrator の OpenID Connect (OIDC) アプリケーションを構成する詳細な

手順については、以下を参照してください。

n シングルサインオン用の Okta の構成

n シングルサインオン用の OneLogin の構成

n シングルサインオン用の PingIdentity の構成

n シングルサインオン用の Azure Active Directory の構成

n シングルサインオン用の VMware CSP の構成

シングルサインオン用の Okta の構成

Okta からの OpenID Connect (OIDC) ベースのシングルサインオン (SSO) をサポートするには、最初に Okta でアプリケーションをセットアップする必要があります。Okta で SSO のために OIDC ベースのアプリケーショ

ンをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な Okta アカウントがあることを確認します。

手順

1 Okta アカウントに管理者ユーザーとしてログインします。

[Okta] ホーム画面が表示されます。

注： [開発者コンソール (Developer Console)] ビューが表示されている場合は、[開発者コンソール

(Developer Console)] ドロップダウンリストから [クラシックユーザーインターフェイス (Classic UI)] を選択して、[クラシックユーザーインターフェイス (Classic UI)] ビューに切り替える必要があります。


VMware, Inc. 36

https://login.okta.com/

2 新しいアプリケーションを作成するには、次の手順を実行します。

a 上部のナビゲーションバーで、[アプリケーション (Applications)] > [アプリケーションの追加 (Add Application)] をクリックします。

[アプリケーションの追加 (Add Application)] 画面が表示されます。

b [新しいアプリケーションの作成 (Create New App)] をクリックします。

[新しいアプリケーション統合の作成 (Create a New Application Integration)] ダイアログボックス

が表示されます。

c [プラットフォーム (Platform)] ドロップダウンメニューから、[Web] を選択します。

d サインオンの方法として [OpenID Connect] を選択し、[作成 (Create)] をクリックします。

[OpenID Connect 統合の作成 (Create OpenID Connect Integration)] 画面が表示されます。

e [全般設定 (General Settings)] 領域の [アプリケーション名 (Application name)] テキストボックス

に、アプリケーションの名前を入力します。


VMware, Inc. 37

f [OpenID Connect の構成 (CONFIGURE OPENID CONNECT)] 領域の [ログインリダイレクト URI (Login redirect URIs)] テキストボックスに、SD-WAN Orchestrator アプリケーションがコールバッ

クエンドポイントとして使用するリダイレクト URL を入力します。

SD-WAN Orchestrator アプリケーションの [認証の構成 (Configure Authentication)] 画面の下部

にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。

g [保存 (Save)] をクリックします。新しく作成されたアプリケーションのページが表示されます。

h [全般 (General)] タブで [編集 (Edit)] をクリックし、許可された付与タイプに対して[トークンの更新

(Refresh Token)] を選択し、[保存 (Save)] をクリックします。

SD-WAN Orchestrator での SSO の構成時に使用するクライアント認証情報（クライアント ID とクラ

イアントシークレット）をメモしておきます。

i [サインオン (Sign On)] タブをクリックし、[OpenID Connect ID トークン (OpenID Connect ID Token)] 領域で [編集 (Edit)] をクリックします。

j [グループの要求タイプ (Groups claim type)] ドロップダウンメニューから、[式 (Expression)] を選択

します。デフォルトでは、グループの要求タイプは [フィルタ (Filter)] に設定されています。


VMware, Inc. 38

k [グループの要求式 (Groups claim expression)] テキストボックスに、トークンで使用される要求名と、

トークンを評価する Okta 入力式のステートメントを入力します。

l [保存 (Save)] をクリックします。

アプリケーションは IDP でセットアップされます。ユーザーグループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てることができます。


VMware, Inc. 39

3 グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。

a [アプリケーション (Application)] > [アプリケーション (Applications)] の順に移動し、SD-WAN Orchestrator アプリケーションのリンクをクリックします。

b [割り当て (Assignments)] タブで、[割り当て (Assign)] ドロップダウンメニューから、[グループに割

り当て (Assign to Groups)] または [ユーザーに割り当て (Assign to People)] を選択します。

[<アプリケーション名> をグループに割り当てる (Assign <Application Name> to Groups)] または

[<アプリケーション名> をユーザーに割り当てる (Assign <Application Name> to People)] ダイアロ

グボックスが表示されます。

c SD-WAN Orchestrator アプリケーションの割り当て先となる使用可能なユーザーグループまたはユー

ザーの横にある [割り当て (Assign)] をクリックして、[完了 (Done)] をクリックします。

SD-WAN Orchestrator アプリケーションに割り当てられたユーザーまたはユーザーグループが表示さ

れます。

結果

これで、Okta で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ

SD-WAN Orchestrator でシングルサインオンを構成します。

Okta での新規ユーザーグループの作成

新規ユーザーグループを作成するには、次の手順を実行します。

手順

1 [ディレクトリ (Directory)] > [グループ (Groups)] をクリックします。


VMware, Inc. 40

2 [グループの追加 (Add Group)] をクリックします。

[グループの追加 (Add Group)] ダイアログボックスが表示されます。

3 グループ名とグループの説明を入力し、[保存 (Save)] をクリックします。

Okta での新規ユーザーの作成

新規ユーザーを追加するには、次の手順を実行します。

手順

1 [ディレクトリ (Directory)] > [People] をクリックします。

2 [ユーザーの追加 (Add Person)] をクリックします。

[ユーザーの追加 (Add Person)] ダイアログボックスが表示されます。

3 ユーザーの名、姓、E メール ID など、必須のすべての詳細を入力します。

4 パスワードを設定する場合は、[パスワード (Password)] ドロップダウンメニューから [ユーザー別に設定

(Set by user)] を選択し、[アクティベーションメールを今すぐユーザーに送信 (Send user activation email now)] を有効にします。

5 [保存 (Save)] をクリックします。

アクティベーションリンクが記載された E メールがお使いの E メール ID に送信されます。E メールのリンク

をクリックして、Okta ユーザーアカウントをアクティベーションします。

シングルサインオン用の OneLogin の構成

OneLogin でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセッ

トアップするには、次の手順を実行します。

前提条件

ログインに必要な OneLogin アカウントがあることを確認します。

手順

1 OneLogin アカウントに管理者ユーザーとしてログインします。

[OneLogin] ホーム画面が表示されます。


VMware, Inc. 41

https://app.onelogin.com/login


a 上部のナビゲーションバーで、[アプリケーション (Apps)] > [アプリケーションの追加 (Add Apps)] をクリックします。

b [アプリケーションの検索] テキストボックスで、「OpenId Connect」または「oidc」を検索し、[OpenId Connect (OIDC)] アプリケーションを選択します。

[OpenId Connect (OIDC) の追加 (Add OpenId Connect (OIDC))] 画面が表示されます。

c [表示名 (Display Name)] テキストボックスにアプリケーションの名前を入力し、[保存 (Save)] をクリ

ックします。

d [構成 (Configuration)] タブで、SD-WAN Orchestrator がコールバックエンドポイントとして使用す

るリダイレクト URI を入力し、[保存 (Save)] をクリックします。

SD-WAN Orchestrator アプリケーションの [認証 (Authentication)] 画面の下部にリダイレクト

URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。


VMware, Inc. 42

e [パラメータ (Parameters)] タブの [OpenId Connect (OIDC)] で、[グループ (Groups)] をダブルク

リックします。

[フィールドグループの編集 (Edit Field Groups)] ポップアップが表示されます。

f 値「--No transform--（単一の値の出力）」を使用してグループ属性で送信するユーザーロールを構成し、

[保存 (Save)] をクリックします。

g [SSO] タブの [アプリケーションタイプ (Application Type)] ドロップダウンメニューで [Web] を選

択します。


VMware, Inc. 43

h [認証方法 (Authentication Method)] ドロップダウンメニューからトークンエンドポイントとして

[POST] を選択し、[保存 (Save)] をクリックします。

また、SD-WAN Orchestrator での SSO の構成時に使用するクライアント認証情報（クライアント ID とクライアントシークレット）をメモしておきます。

i [アクセス (Access)] タブで、ログインが許可されるロールを選択し、[保存 (Save)] をクリックます。

3 ロールとユーザーを SD-WAN Orchestrator アプリケーションに追加するには、次の手順を実行します。

a [ユーザー (Users)] > [ユーザー (Users)] をクリックし、ユーザーを選択します。

b [アプリケーション (Application)] タブで、左側の [ロール (Roles)] ドロップダウンメニューから、ユー

ザーにマッピングするロールを選択します。

c [ユーザーの保存 (Save Users)] をクリックします。

結果

これで、OneLogin で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ



VMware, Inc. 44

OneLogin での新規ロールの作成

新規ロールを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ロール (Roles)] をクリックします。

2 [新規ロール (New Role)] をクリックします。

3 ロールの名前を入力します。

最初にロールを設定すると、[アプリケーション (Applications)] タブに、会社のカタログ内のすべてのアプリ

ケーションが表示されます。

4 アプリケーションをクリックして選択し、[保存 (Save)] をクリックして、選択したアプリケーションをロール

に追加します。

OneLogin での新規ユーザーの作成

新規ユーザーを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザー (Users)] > [新規ユーザー (New User)] をクリックします。

[新規ユーザー (New User)] 画面が表示されます。

2 ユーザーの名、姓、E メール ID など、必須のすべての詳細を入力し、[ユーザーの保存 (Save Users)] クリッ

クします。

シングルサインオン用の PingIdentity の構成

PingIdentity でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションを

セットアップするには、次の手順を実行します。

前提条件

ログインに必要な PingOne アカウントがあることを確認します。

注：現在、SD-WAN Orchestrator は、ID パートナー (IDP) として PingOne をサポートしています。ただ

し、OIDC をサポートするすべての PingIdentity 製品は簡単に構成できます。

手順

1 PingOne アカウントに管理者ユーザーとしてログインします。

[PingOne] ホーム画面が表示されます。


VMware, Inc. 45

https://admin.pingone.com/web-portal/login


a 上部のナビゲーションバーで、[アプリケーション (Applications)] をクリックします。

b [マイアプリケーション (My Applications)] タブで [OIDC] を選択し、[アプリケーションの追加 (Add Application)] をクリックします。

[OIDC アプリケーションの追加 (Add OIDC Application)] ポップアップウィンドウが表示されます。

c アプリケーションの名前、短い説明、カテゴリなどの基本的な詳細を入力し、[次へ (Next)] をクリックし

ます。

d [認証設定 (AUTHORIZATION SETTINGS)] で、許可された付与タイプとして [認証コード

(Authorization Code)] を選択し、[次へ (Next)] をクリックします。

また、SD-WAN Orchestrator での SSO の構成時に使用する検出 URL とクライアント認証情報（クラ

イアント ID とクライアントシークレット）をメモしておきます。


VMware, Inc. 46

e [SSO フローおよび認証設定 (SSO FLOW AND AUTHENTICATION SETTINGS)] で、SSO の開始

URL およびリダイレクト URL の有効な値を指定し、[次へ (Next)] をクリックします。


にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。SSO の開始

URL は https://<vco>/<domain name>/login/doEnterpriseSsoLogin という形式になります。

f [デフォルトのユーザープロファイル属性契約 (DEFAULT USER PROFILE ATTRIBUTE CONTRACT)] で [属性の追加 (Add Attribute)] をクリックして、ユーザープロファイルの属性を追加

します。

g [属性名 (Attribute Name)] テキストボックスに group_membership と入力し、[必須 (Required)] チェックボックスをオンにして、[次へ (Next)] を選択します。

注： PingOne からロールを取得するには、group_membership 属性が必要です。

h [接続範囲 (CONNECT SCOPES)] で、認証時に SD-WAN Orchestrator アプリケーションに対して要

求できる範囲を選択し、[次へ (Next)] をクリックします。

i [属性マッピング (Attribute Mapping)] で、ID リポジトリの属性を SD-WAN Orchestrator アプリケ

ーションで使用可能な要求にマッピングします。

注：統合が機能するために必要な最低限のマッピングは、email、given_name、family_name、

phone_number、sub、および group_membership（memberOf にマッピングされる）です。

j [グループアクセス (Group Access)] で、SD-WAN Orchestrator アプリケーションにアクセスする必

要があるすべてのユーザーグループを選択し、[完了 (Done)] をクリックします。

アプリケーションがアカウントに追加され、[マイアプリケーション (My Application)] 画面で使用でき

るようになります。

結果

これで、PingOne で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ


PingIdentity での新規ユーザーグループの作成

新規ユーザーグループを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザーディレクトリ (User Directory)] をクリックします。

2 [グループ (Groups)] タブで、[グループの追加 (Add Group)] をクリックします。

[新規グループ (New Group)] 画面が表示されます。

3 [名前 (Name)] テキストボックスにグループの名前を入力し、[保存 (Save)] をクリックします。


VMware, Inc. 47

PingIdentity での新規ユーザーの作成

新規ユーザーを追加するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザーディレクトリ (User Directory)] をクリックします。

2 [ユーザー (Users)] タブで [ユーザーの追加 (Add Users)] ドロップダウンメニューをクリックし、[新規ユー

ザーの作成 (Create New User)] を選択します。

[ユーザー (User)] 画面が表示されます。

3 ユーザー名、パスワード、E メール ID など、必須のすべての詳細を入力します。

4 [グループメンバーシップ (Group Memberships)] で [追加 (Add)] をクリックします。

[グループメンバーシップの追加 (Add Group Membership)] ポップアップウィンドウが表示されます。

5 ユーザーを検索してグループに追加し、[保存 (Save)] をクリックします。

シングルサインオン用の Azure Active Directory の構成

Microsoft Azure Active Directory (AzureAD) でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な AzureAD アカウントがあることを確認します。

手順

1 Microsoft Azure アカウントに管理者ユーザーとしてログインします。

[Microsoft Azure] ホーム画面が表示されます。


VMware, Inc. 48

https://portal.azure.com/


a [Azure Active Directory] サービスを検索して選択します。

b [アプリの登録 (App registration)] > [新規登録 (New registration)] の順に移動します。

[アプリケーションの登録 (Register an application)] 画面が表示されます。

c [名前 (Name)] フィールドに、SD-WAN Orchestrator アプリケーションの名前を入力します。

d [リダイレクト URL (Redirect URL)] フィールドに、SD-WAN Orchestrator アプリケーションがコー

ルバックエンドポイントとして使用するリダイレクト URL を入力します。


にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。


VMware, Inc. 49

e [登録 (Register)] をクリックします。

SD-WAN Orchestrator アプリケーションが登録され、[すべてのアプリケーション (All applications)] および [所有しているアプリケーション (Owned applications)] タブに表示されます。SD-WAN Orchestrator での SSO の構成時に使用されるクライアント ID/アプリケーション ID をメモしておきま

す。

f [エンドポイント (Endpoints)] をクリックし、SD-WAN Orchestrator での SSO 構成時に使用される

既知の OIDC 構成 URL をコピーします。

g SD-WAN Orchestrator アプリケーションのクライアントシークレットを作成するには、[所有している

アプリケーション (Owned applications)] タブで、SD-WAN Orchestrator アプリケーションをクリ

ックします。

h [証明書とシークレット (Certificates & secrets)] > [新しいクライアントシークレット (New client secret)] の順に移動します。

[クライアントシークレットの追加 (Add client secret)] 画面が表示されます。

i シークレットの説明や有効期限の値などの詳細を入力して、[追加 (Add)] をクリックします。

アプリケーションのクライアントシークレットが作成されます。SD-WAN Orchestrator での SSO の構成時に使用される新しいクライアントシークレットの値をメモしておきます。


VMware, Inc. 50

j SD-WAN Orchestrator アプリケーションの権限を構成するには、SD-WAN Orchestrator アプリケ

ーションをクリックして [API のアクセス許可 (API permissions)] > [アクセス許可の追加 (Add a permission)] の順に移動します。

[API アクセス許可の要求 (Request API permissions)] 画面が表示されます。

k [Microsoft Graph] をクリックして、アプリケーションの権限のタイプとして [アプリケーションのアクセ

ス許可 (Application permissions)] を選択します。

l [アクセス許可の選択 (Select permissions)] で、[ディレクトリ (Directory)] ドロップダウンメニュー

から [Directory.Read.All] を選択し、[ユーザー (User)] ドロップダウンメニューから [User.Read.All] を選択します。

m [アクセス許可の追加 (Add permissions)] をクリックします。


VMware, Inc. 51

n マニフェストにロールを追加して保存するには、SD-WAN Orchestrator アプリケーションをクリック

し、アプリケーションの [概要 (Overview)] 画面で、[マニフェスト (Manifest)] をクリックします。

Web ベースのマニフェストエディタが開き、ポータル内でマニフェストを編集できます。必要に応じて、

[ダウンロード (Download)] を選択し、マニフェストをローカルで編集してから、[アップロード

(Upload)] を使用してアプリケーションに再適用することもできます。

o マニフェストで、appRoles アレイを検索し、次の例に示すように 1 つ以上のロールオブジェクトを追加し

て、[保存 (Save)] をクリックします。

ロールオブジェクトのサンプル

{

"allowedMemberTypes": [

"User"

],

"description": "Standard Administrator who will have sufficient privilege to

manage resource",

"displayName": "Standard Admin",

"id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "standard"

},

{

"allowedMemberTypes": [

"User"

],

"description": "Super Admin who will have the full privilege on SD-WAN

Orchestrator",

"displayName": "Super Admin",

"id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "superuser"

}


VMware, Inc. 52

注： id は、新たに生成された GUID 値に設定してください。

3 グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。

a [Azure Active Directory] > [エンタープライズアプリケーション (Enterprise applications)] の順

に移動します。

b SD-WAN Orchestrator アプリケーションを検索して選択します。

c [ユーザーとグループ (Users and groups)] をクリックして、ユーザーとグループをアプリケーションに

割り当てます。

d [送信 (Submit)] をクリックします。

結果

これで、AzureAD で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ


AzureAD での新規ゲストユーザーの作成

新規ゲストユーザーを作成するには、次の手順を実行します。

手順

1 [Azure Active Directory] > [ユーザー (Users)] > [すべてのユーザー (All users)] の順に移動します。

2 [新規ゲストユーザー (New guest user)] をクリックします。

[新規ゲストユーザー (New guest user)] ポップアップウィンドウが表示されます。


VMware, Inc. 53

3 [メールアドレス (Email address)] テキストボックスにゲストユーザーのメールアドレスを入力し、[招待

(Invite)] をクリックします。

ゲストユーザーは、カスタマイズ可能な招待状をすぐに受け取り、アクセスパネルにログインできます。

4 ディレクトリ内のゲストユーザーはアプリケーションまたはグループに割り当てることができます。

シングルサインオン用の VMware CSP の構成

シングルサインオン (SSO) のための VMware Cloud Services プラットフォーム (CSP) を構成するには、次の

手順を実行します。

手順

1 VMware アカウント ID を使用して、VMware CSP コンソール（ステージングまたは本番環境）にログイン

します。VMware Cloud を使用するのが初めてで、VMware アカウントを持っていない場合は、サインアッ

プ時に作成することができます。詳細については、『VMware Cloud の使用』ドキュメントの「VMware CSP へのサインアップ」のセクションを参照してください。

2 SD-WAN Orchestrator アプリケーションを VMware CSP に登録するためのアプリケーションオンボー

ディングの招待リンクを受け取る方法については、VMware サポートプロバイダにお問い合わせください。サ

ポートプロバイダへのお問い合わせ方法については、https://kb.vmware.com/s/article/53907 および

https://www.vmware.com/support/contacts/us_support.html を参照してください。

VMware サポートプロバイダは、ユーザー組織に対して使用する必要があるサービス招待 URL を作成して共

有します。

3 既存のユーザー組織にサービス招待 URL を使用するか、ユーザーインターフェイス画面の手順に従って新しい

ユーザー組織を作成します。

4 サービス招待 URL を使用した後、VMware CSP コンソールにログインすると、[VMware Cloud Services] ページの [マイサービス (My Services)] 領域にアプリケーションタイルを表示できます。

ログインしている組織が、メニューバーのユーザー名の下に表示されます。ユーザー名をクリックして、組織

ID をメモしておきます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表

示されます。

5 完全な組織 ID を VMware サポートプロバイダと共有し、OAuth アプリケーションを作成するように要求し

ます。

VMware サポートプロバイダは VMware CSP コンソールで OAuth アプリケーションを作成し、クライア

ント ID、クライアントシークレット、OIDC の既知の構成 URL など、IDP 統合の詳細を共有します。


VMware, Inc. 54

https://console.cloud.vmware.com/csp/gateway/discovery

https://docs.vmware.com/jp/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf

https://kb.vmware.com/s/article/53907

https://www.vmware.com/support/contacts/us_support.html

https://console.cloud.vmware.com/csp/gateway/discovery

6 SD-WAN Orchestrator アプリケーションにスーパー管理者ユーザーとしてログインし、次のように、受信し

た IDP 統合の詳細を使用して SSO を構成します。

a [管理 (Administration)] > [システム設定 (System Settings)] をクリックします。

[システム設定 (System Settings)] 画面が表示されます。

b [全般情報 (General Information)] タブをクリックし、[ドメイン (Domain)] テキストボックスにエンタ

ープライズのドメイン名を入力します（まだ設定されていない場合）。

注： SD-WAN Orchestrator の SSO 認証を有効にするには、エンタープライズのドメイン名を設定す

る必要があります。

c [認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウンメニューから [SSO] を選択します。

d [ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから、

[VMwareCSP] を選択します。

e [組織 ID (Organization Id)] テキストボックスに、/csp/gateway/am/api/orgs/<full organization ID> の形式で組織 ID を入力します。

f [OIDC の既知の構成 URL (OIDC well-known config URL)] テキストボックスに、IDP の OpenID Connect (OIDC) 構成 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) を入力します。

SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細（IDP の発行者、認証エンドポイン

ト、トークンエンドポイント、ユーザー情報エンドポイントなど）を自動的に入力します。

g [クライアント ID (Client Id)] テキストボックスに、サポートプロバイダから受信したクライアント ID を入力します。

h [クライアントシークレット (Client Secret)] テキストボックスに、サポートプロバイダから受信したク

ライアントシークレットコードを入力します。

i SD-WAN Orchestrator でのユーザーのロールを決定するには、[デフォルトのロールを使用 (Use Default Role)] または [ID プロバイダロールを使用 (Use Identity Provider Roles)] のいずれかを選

択します。

j [ID プロバイダロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性

(Role Attribute)] テキストボックスに、ロールを返す VMware CSP に設定されている属性の名前を入

力します。

k [ロールマップ (Role Map)] 領域で、VMwareCSP によって提供されたロールを、カンマ区切りでそれぞ

れの SD-WAN Orchestrator ロールにマッピングします。

VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。

7 [変更の保存 (Save Changes)] をクリックして、SSO 構成を保存します。


VMware, Inc. 55

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

8 [構成のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 構成を検証しま

す。

ユーザーは VMware CSP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SD-WAN Orchestrator テストコールバックに正常にリダイレクトされると、検証に成功したことを示すメッセ

ージが表示されます。

結果

SSO を使用するための VMware CSP での SD-WAN Orchestrator アプリケーションの統合が完了しました。

VMware CSP コンソールにログインして SD-WAN Orchestrator アプリケーションにアクセスできます。

次のステップ

n 組織内で、新しいユーザーを追加し、ユーザーに適切なロールを割り当てることで、ユーザーを管理します。詳

細については、『VMware Cloud の使用』ドキュメントの「ID とアクセス管理」セクションを参照してくださ

い。


VMware, Inc. 56

https://docs.vmware.com/jp/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf

Edge ライセンス 12SD-WAN Orchestrator は、Edge のさまざまなタイプのライセンスを提供します。パートナーユーザーは、ラ

イセンスを管理し、エンタープライズユーザーに割り当てることができます。

オペレータのみが Edge ライセンスを有効にして、ライセンスをパートナーユーザーに割り当てることができます。

Edge ライセンスが有効になっていない場合は、オペレータに連絡してください。

Edge ライセンスは次のコンポーネントで使用できます。

コンポーネントサポートされる属性

帯域幅 10 M、30 M、50 M、100 M、200 M、500 M、1 G、2 G、5 G、10 G

エディション Standard、Enterprise、Premium

リージョン北米、欧州/中東/アフリカ、中南米、アジア太平洋

期間 12 か月、36 か月、60 か月

オペレータは、多種多様な組み合わせで利用可能な 270 タイプのライセンスから、さまざまなタイプの Edge ライ

センスを割り当てることができます。

ユーザーの Edge ライセンスを管理するには、ユーザーの Edge ライセンスの管理を参照してください。

利用可能なライセンスタイプのレポートを表示および生成するには、Edge ライセンスレポートの生成を参照して

ください。


n ユーザーの Edge ライセンスの管理

n Edge ライセンスレポートの生成

ユーザーの Edge ライセンスの管理

パートナーユーザーは、Edge ライセンスを管理し、ユーザーに割り当てることができます。

ユーザーの Edge ライセンスを管理するには、次の手順を実行します。

手順

1 パートナーポータルで、[ユーザーの管理 (Manage Customers)] をクリックします。

2 ユーザー名へのリンクをクリックして、エンタープライズポータルに移動します。

VMware, Inc. 57

3 エンタープライズポータルで、[管理 (Administration)] - [Edge ライセンス (Edge Licensing)] をクリック

します。

4 [Edge ライセンスの管理 (Manage Edge License)] をクリックします。

5 [Edge ライセンスの選択 (Select Edge Licenses)] 画面で、帯域幅、期間、エディション、リージョンに基

づいて、関連するライセンスを選択します。

注：ライセンスを選択するときに、次のいずれかを選択できます。

n Standard エディションのみを選択する。

n Enterprise、Premium、またはその両方を選択する。Standard エディションを他のエディションと組み

合わせることはできません。

6 [OK] をクリックします。

結果

選択したライセンスが、[Edge ライセンス (Edge Licensing)] ウィンドウに表示されます。

[レポート (Report)] をクリックして、ライセンスおよび関連付けられた Edge のレポートを MS Excel 形式で生

成します。

次のステップ

次のようにして、ライセンスを Edge に割り当てることができます。

n エンタープライズポータルで、[構成 (Configure)] - [Edge (Edges)] をクリックします。


VMware, Inc. 58

n ライセンスを各 Edge に割り当てるには、Edge へのリンクをクリックし、[Edge の概要 (Edge Overview)] ページでライセンスを選択します。Edge を選択し、[アクション (Actions)] - [Edge ライセンスの割り当て

(Assign Edge License)] をクリックして、ライセンスを割り当てることもできます。

n ライセンスを複数の Edge に割り当てるには、該当の Edge を選択し、[アクション (Actions)] - [Edge ライ

センスの割り当て (Assign Edge License)] をクリックして、ライセンスを選択します。

Edge ライセンスレポートの生成

パートナースーパーユーザー、パートナー標準管理者、パートナービジネススペシャリスト、およびパートナーカスタマサポートの各ユーザーは、既存の Edge ライセンスのレポートを生成できます。

パートナーポータルで、[Edge ライセンス (Edge Licensing)] に移動します。

[レポート (Report)] をクリックして、ライセンス、関連付けられているユーザー、Edge のレポートを MS Excel 形式で生成します。


VMware, Inc. 59

ゲートウェイプールの管理 13オペレータがこの機能を有効にしている場合、パートナーはゲートウェイプールとゲートウェイを作成および管理で

きます。有効になっている場合、パートナーは、[ゲートウェイプール (Gateway Pools)] リンクと [ゲートウェイ

(Gateway)] リンクのそれぞれからこの機能にアクセスできます。

パートナーは、ゲートウェイプールを作成および管理するためのアクセス権をオペレータから付与されている場合、

ゲートウェイプールに関連付けられている [管理対象プール (Managed Pool)] 列でチェックマークを確認できま

す。

パートナーは、オペレータが所有しているゲートウェイプールを変更できません。それらのゲートウェイプールに

ついては、[管理対象プール (Managed Pool)] 列に「x」が表示され、[プロパティ (Properties)] 領域と [プール

内のゲートウェイ (Gateways In Pool)] 領域の設定が読み取り専用になります。

VMware, Inc. 60


n ゲートウェイプールの作成

ゲートウェイプールの作成

この機能へのアクセス権をオペレータから付与されている場合、新しいゲートウェイプールを作成できます。アクセ

ス権が必要な場合は、オペレータに連絡してください。オペレータが所有および作成するゲートウェイは読み取り専

用です。

新しいゲートウェイプールを作成するには、次の手順を実行します。

1 [新規ゲートウェイプール (New Gateway Pool)] ボタンをクリックして、新しいゲートウェイプールを作成

します。

2 [新規ゲートウェイプール (New Gateway Pool)] ダイアログボックスで、次のようにします。

a ゲートウェイプールの一意の [名前 (Name)] と [説明 (Description)] を入力します。

b [パートナーゲートウェイのハンドオフ (Partner Gateway Hand Off)] ドロップダウンメニューでオ

プションを選択します。

3 [作成 (Create)] ボタンをクリックして、ゲートウェイプールを作成します。

自身で所有しているゲートウェイプールは変更することができますが、オペレータが所有しているゲートウェイプールは読み取り専用です。

注：パートナーが作成したゲートウェイは、その特定のパートナーに対してのみ表示され、パートナープール内で

のみ使用できます。


VMware, Inc. 61

ゲートウェイの管理 14パートナーは、[ゲートウェイ (Gateways)] リンクを使用してゲートウェイを管理できます。

ゲートウェイを管理するには、次の手順を実行します。

n ナビゲーションバーで、[ゲートウェイ (Gateways)] をクリックします。

[ゲートウェイ (Gateways)] ページが表示されます。

VMware, Inc. 62

VMware パートナーゲートウェイのインストール 15このドキュメントでは、VMware SD-WAN Gateway をパートナーゲートウェイとしてインストールしてデプロ

イするために必要な手順について説明します。また、SD-WAN Orchestrator に必要な VRF/VLAN と BGP の構成方法についても説明します。


n インストールの概要

n ハイパーバイザーの最小ハードウェア要件

n SD-WAN Gateway のインストール手順

n インストール後の作業

n SD-WAN Gateway のアップグレード

n カスタム構成

n SNMP 統合

n カスタムファイアウォールルール

インストールの概要

このセクションでは、VMware パートナーゲートウェイのインストールの概要について説明します。

パートナーゲートウェイについて

パートナーゲートウェイとは、オンプレミスでゲートウェイがインストールされ、2 つのインターフェイスと共にデ

プロイされる運用環境に合わせて調整されたゲートウェイです。

n 1 つのインターフェイスは、プライベートまたはパブリック WAN ネットワークに接し、Non VMware SD-WAN Sites からの標準 IPsec トラフィックとともに、リモート Edge からの VCMP カプセル化トラフィッ

クを受信するための専用インターフェイスです。

n もう 1 つのインターフェイスはデータセンターに接し、パートナーゲートウェイが接続する PE ルーターに接続

されているリソースまたはネットワークへのアクセスを提供します。通常、PE ルータは、ブランチまで拡張さ

れた共有マネージドサービスへのアクセス、または各ユーザーが分離されているプライベート (MPLS/IP-VPN) コアネットワークへのアクセスを提供します。

以下のディストリビューションが提供されています。

VMware, Inc. 63

提供対象説明例

VMware ゲートウェイの OVA パッケージ。 velocloud-vcg-2.4.0-R24-20170428-GA.ova

KVM ゲートウェイの qcow2 ディスクイメージ。 velocloud-vcg-2.4.0-R24-20170428-GA.qcow2

ハイパーバイザーの最小ハードウェア要件

SD-WAN Gateway は、標準ハイパーバイザー（KVM または VMware ESXi）で実行されます。

最小サーバ要件

ハイパーバイザーを実行するには、次のものが必要です。

n 10 個の Intel CPU（2.0 Ghz 以上）CPU で AES-NI、SSSE3、SSE4、および RDTSC 命令セットをサポー

トする必要があります。

n 20 GB 以上のメモリ（SD-WAN Gateway 仮想マシンメモリに 16 GB が必要）

n 100 GB の磁気または SSD ベースのパーシステントディスクボリューム

n 2 x 1 Gbps（またはそれ以上の）ネットワークインターフェイス。サポートされる物理 NIC カードは、Intel 82599/82599ES および Intel X710/XL710 チップセット（SR-IOV および DPDK のサポート用）です。

注：ハイパーバイザーでハイパースレッディングを無効にします。

推奨サーバ仕様

NIC チップセットハードウェア仕様

Intel 82599/82599ES HP DL380G9 http://www.hp.com/hpinfo/newsroom/press_kits/2014/ComputeEra/HP_ProLiantDL380_DataSheet.pdf

Intel X710/XL710 Dell PowerEdge R640

https://www.dell.com/en-us/work/shop/povw/poweredge-r640

n CPU モデルおよびコア - デュアルソケット Intel(R) Xeon(R) Gold 5218 CPU @ 2.30GHz（それぞれに 16 コア）

n メモリ - 384 GB RAM

Intel X710/XL710 Supermicro SYS-6018U-TRTP+

https://www.supermicro.com/en/products/system/1U/6018/SYS-6018U-TRTP_.cfm

n CPU モデルおよびコア - デュアルソケット Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz（それぞれに 10 コア）

n メモリ - 256 GB RAM


VMware, Inc. 64

http://www.hp.com/hpinfo/newsroom/press_kits/2014/ComputeEra/HP_ProLiantDL380_DataSheet.pdf

http://www.hp.com/hpinfo/newsroom/press_kits/2014/ComputeEra/HP_ProLiantDL380_DataSheet.pdf

https://www.dell.com/en-us/work/shop/povw/poweredge-r640



推奨 NIC 仕様

ハードウェア製造元

ファームウェアバー

ジョン

Ubuntu 16.04 用ホ

ストドライバ

ESXi 6.7 用ホスト

ドライバ

デュアルポート Intel Corporation Ethernet Controller XL710 (40GbE QSFP+)

6.80 2.7.11 1.7.17

デュアルポート Intel Corporation Ethernet Controller X710 (10GbE SFP+)

6.80 2.7.11 1.7.17

クワッドポート Intel Corporation Ethernet Controller X710 (10GbE SFP+)

6.80 2.7.11 1.7.17

サポートされるハイパーバイザーバージョン

ハイパーバイザーサポートされるバージョン

VMware n Intel 82599/82599ES - ESXi 5.5U3 以降。SR-IOV を使用するには、vCenter Server および vSphere Enterprise Plus ライセンスが必要です。

n Intel X710/XL710 - ESXi 6.7 と VMware vSphere Web Client 6.7.0 の組み合わせ。

KVM n Intel 82599/82599ES - Ubuntu 14.04 LTS および 16.04 LTS

n Intel X710/XL710 - Ubuntu 16.04 LTS

SD-WAN Gateway 仮想ハードウェアの仕様

VMware については、既に OVA によって仮想ハードウェアの最低仕様が指定されています。KVM については、

サンプルの XML ファイルが提供されます。仮想ハードウェアの最低仕様は次のとおりです。

n 8 個の vCPU

n 8 GB のメモリ

n 1 個以上の vNIC：

n 最初の vNIC は、パブリック（外部）インターフェイスとして、タグなしに設定する必要があります。

n 2 つ目の vNIC はオプションで、VLAN のタグ付けの dot1q と Q-in-Q をサポートするプライベート（内

部）インターフェイスとして機能します。通常、このインターフェイスは PE ルーターまたは L3 スイッチ

に接します。

[重要：]現在、SR-IOV インターフェイスでは、Partner Gateway VLAN のタグ付けはサポートされていま

せん。VLAN タグ付けをサポートするには、ESXi 環境で VMXNET3 を使用するか、KVM で VLAN フィル

タリング付きの Linux ブリッジを使用します。

n オプションの vNIC（管理/OAM インターフェイスが別に必要な場合）。

n 32 GB の仮想ディスク


VMware, Inc. 65

ファイアウォール/NAT 要件

注：これらの要件は、SD-WAN Gateway がファイアウォールまたは NAT デバイス（あるいはその両方）の背

後にデプロイされている場合に適用されます。

n ファイアウォールで SD-WAN Gateway から TCP/443 への送信トラフィック（SD-WAN Orchestrator との通信用）を許可する必要があります。

n ファイアウォールでインターネットから UDP/2426 (VCMP)、UDP/4500、および UDP/500 への受信ト

ラフィックを許可する必要があります。NAT を使用しない場合、ファイアウォールで IP/50 (ESP) も許可する

必要があります。

n NAT を使用する場合、上記のポートを外部から到達可能な IP アドレスに変換する必要があります。1:1 NAT とポート変換の両方がサポートされます。

テンプレートとサンプルの Git リポジトリ

テンプレートとサンプルが以下の Git リポジトリにあります。

git clone https://bitbucket.org/velocloud/deployment.git

SD-WAN Gateway のインストール手順

このセクションでは、SD-WAN Gateway のインストール手順について説明します。

一般的に、SD-WAN Gateway のインストールには次の手順が含まれます。

1 SD-WAN Orchestrator で SD-WAN Gateway を作成し、アクティベーションキーをメモしておきます。

2 SD-WAN Orchestrator で SD-WAN Gateway を構成します。

3 cloud-init ファイルを作成します。

4 VMware または KVM で仮想マシンを作成します。

5 SD-WAN Gateway 仮想マシンを起動して、SD-WAN Gateway cloud-init が正しく初期化されているこ

とを確認します。この段階で、SD-WAN Gateway が SD-WAN Orchestrator に対してアクティベーショ

ンされます。

6 接続を確認し、cloud-init を無効にします。

重要： SD-WAN Gateway は、仮想スイッチと SR-IOV の両方をサポートしています。このガイドでは、SR-IOV をオプションの構成手順として指定します。SR-IOV を使用する場合は、パートナーハンドオフが機能するよ

うにするため、DPDK を有効にする必要があります。

インストール前の考慮事項

VMware パートナーゲートウェイには、さまざまな構成オプションがあります。ゲートウェイのインストール前に

ワークシートを準備する必要があります。


VMware, Inc. 66

ワークシート

SD-WAN Gateway n バージョン

n OVA/QCOW2 ファイルの場所

n アクティベーションキー

n SD-WAN Orchestrator（IP アドレス/vco-fqdn-hostname）

n ホスト名

ハイパーバイザーアドレス/クラスタ名

ストレージルートボリュームデータストア（40 GB 以上を推奨）

CPU 割り当て KVM/VMware の CPU 割り当て。

インストールの選択 DPDK（はい/いいえ）

OAM ネットワーク（[オプション。「カスタム構成」を参

照]）n DHCP

n OAM IPv4 アドレス

n OAM IPv4 ネットマスク

n DNS サーバ - プライマリ

n DNS サーバ - セカンダリ

n スタティックルート

ETH0 - インターネットに接続するネットワーク n IPv4 アドレス

n IPv4 ネットマスク

n IPv4 デフォルトゲートウェイ



ハンドオフ (ETH1) - ネットワーク n 管理 VRF の IPv4 アドレス

n 管理 VRF の IPv4 ネットマスク

n 管理 VRF の IPv4 デフォルトゲートウェイ



n ハンドオフ（QinQ (0x8100)、QinQ (0x9100)、なし、802.1Q、802.1ad）

n C-タグ

n S-タグ

コンソールアクセス n コンソールのパスワード

n SSH：

n 有効（はい/いいえ）

n SSH パブリックキー

NTP（[オプション。「カスタム構成」セクションを参照]） n パブリック NTP：

n server 0.ubuntu.pool.ntp.org




n 内部 NTP サーバ - 1

n 内部 NTP サーバ - 2

SD-WAN Gateway セクション

SD-WAN Gateway セクションのほとんどは、名称を見ただけで機能がわかります。


VMware, Inc. 67

SD-WAN Gateway n バージョン - SD-WAN Orchestrator と同じかそれ以下である必要があります。

n OVA/QCOW2 ファイルの場所 - ファイルの場所とディスクの割り当てを事前に決めておいてください。

n アクティベーションキー

n SD-WAN Orchestrator（IP アドレス/vco-fqdn-hostname）

n ホスト名 - 有効な Linux ホスト名「RFC 1123」

ゲートウェイの作成とアクティベーションキーの取得

1 [オペレータ (Operator)] > [ゲートウェイプール (Gateway Pool)] に移動して、新しい SD-WAN Gateway プールを作成します。サービスプロバイダネットワークで SD-WAN Gateway を実行するには、

[パートナーゲートウェイを許可 (Allow Partner Gateway)] チェックボックスをオンにします。このゲート

ウェイプールにパートナーゲートウェイを含めるためのオプションが有効になります。

2 [オペレータ (Operator)] > [ゲートウェイ (Gateway)] に移動し、新しいゲートウェイを作成してプールに割

り当てます。ここで入力するゲートウェイの IP アドレスは、ゲートウェイの [パブリック IP アドレス (public IP address)] と一致する必要があります。不明な場合は、SD-WAN Gateway のパブリック IP アドレスを

返す curl ipinfo.io/ip を SD-WAN Gateway から実行することができます。


VMware, Inc. 68

3 アクティベーションキーをメモし、ワークシートに追加します。

パートナーゲートウェイモードの有効化

1 [オペレータ (Operator)] > [ゲートウェイ (Gateway)] に移動して、SD-WAN Gateway を選択します。

[パートナーゲートウェイ (Partner Gateway)] チェックボックスをオンにして、パートナーゲートウェイを

有効にします。

他にも、構成可能なパラメータがあります。最も一般的なのは次のとおりです。

[暗号化なしで 0.0.0.0/0 をアドバタイズ]


VMware, Inc. 69

このオプションを使用すると、SAAS アプリケーションに関してパートナーゲートウェイがクラウドトラフィック

へのパスをアドバタイズできるようになります。[暗号化 (Encrypt)] フラグがオフになっているため、このパスを使

用するかどうかはユーザーのビジネスポリシーの設定によります。

もう 1 つのお勧めのオプションは、SD-WAN Orchestrator の IP アドレスを /32 として暗号化ありでアドバタイ

ズするものです。

これを使用すると、Edge から SD-WAN Orchestrator に送信されるトラフィックがゲートウェイパスを通るよ

うになり、SD-WAN Edge が SD-WAN Orchestrator に到達するためにとる動作を予測できるようになるので、

お勧めです。

インストールの選択

インストールの選択 DPDK（はい/いいえ）

DPDK は、任意で使用できますが、スループットを高めるためには必要です。DPDK を有効にするには、SR-IOV がサポートされている必要があります。インストールを開始する前に、DPDK を有効にするかどうかを判断してくだ

さい。

ネットワーク

重要：以下の手順とスクリーンショットでは、最も一般的なデプロイである、ゲートウェイのツーアームインスト

ールを主に想定しています。OAM ネットワークの追加については、OAM インターフェイスとスタティックルート

セクションを参照して検討してください。


VMware, Inc. 70

上記の図は、ツーアームデプロイの場合の SD-WAN Gateway を表しています。この例では、eth0 をパブリッ

クネットワーク（インターネット）に接続するインターフェイス、eth1 を内部ネットワーク（ハンドオフまたは

VRF インターフェイス）に接続するインターフェイスとします。

注： [管理 VRF] は SD-WAN Gateway で作成され、定期的な ARP 更新をデフォルトのゲートウェイ IP アド

レスに送信するために使用されます。これにより、ハンドオフインターフェイスが物理的に稼動していることを確認

し、フェイルオーバーを迅速化することができます。その際には、PE ルーターに専用の VRF を設定することをお

勧めします。必要に応じて、同じ管理 VRF を PE ルーターで使用して、SD-WAN Gateway のステータスを確認

するために IP SLA プローブを SD-WAN Gateway に送信することもできます（SD-WAN Gateway には、そ

のサービスが稼動している場合にのみ ping に応答するステートフル ICMP レスポンダがあります）。専用の管理

VRF が設定されていない場合は、ユーザー VRF の 1 つを管理 VRF として使用することができますが、そのような

方法は推奨されていません。

インターネットに接しているネットワークについては、必要なのは基本的なネットワーク構成のみです。

ETH0 - インターネットに接続するネットワーク n IPv4 アドレス

n IPv4 ネットマスク

n IPv4 デフォルトゲートウェイ

n プライマリ DNS サーバ

n セカンダリ DNS サーバ

ハンドオフインターフェイスについては、構成するハンドオフのタイプと、管理 VRF のハンドオフ構成を把握して

おく必要があります。

ETH1 - ハンドオフネットワーク n 管理 IPv4 アドレス

n 管理 IPv4 ネットマスク

n 管理 IPv4 デフォルトゲートウェイ

n プライマリ DNS サーバ

n セカンダリ DNS サーバ

n ハンドオフ（QinQ (0x8100)、QinQ (0x9100)、なし、802.1Q、802.1ad）

n 管理 VRF の C-タグ

n 管理 VRF の S-タグ


VMware, Inc. 71

コンソールアクセス

コンソールアクセス n コンソールのパスワード

n SSH：

n 有効（はい/いいえ）

n SSH パブリックキー

ゲートウェイにアクセスするには、コンソールパスワードまたは SSH パブリックキー（あるいはその両方）を作成

する必要があります。

cloud-init の作成

ワークシートで定義したゲートウェイの構成オプションは、cloud-init 構成で使用されます。cloud-init 構成は、メ

タデータファイルと user-data ファイルという 2 つの主要な構成ファイルで構成されます。メタデータにはゲー

トウェイのネットワーク構成が含まれ、user-data にはゲートウェイソフトウェア構成が含まれます。このファイ

ルは、インストールされている SD-WAN Gateway のインスタンスを識別するための情報を提供します。

Meta_data ファイルと User_data ファイルの両方のテンプレートを以下に示します。

ワークシートの情報をテンプレートに入力してください。すべての #_VARIABLE_# を値に置き換える必要があ

ります。また、#ACTION# もすべて指定されていることを確認してください。

重要：テンプレートは、インターフェイスにスタティック構成を使用していることを前提としています。また、す

べてのインターフェイスで SR-IOV を使用している場合と SR-IOV を一切使用していない場合のどちらかを前提と

しています。詳細については、OAM - vmxnet3 による SR-IOV または VIRTIO による SR-IOV を参照してくだ

さい。テンプレートは、git リポジトリ (git clone https://bitbucket.org/velocloud/deployment.git) でも入

手できます。テンプレートは、このドキュメントからコピーして貼り付けるのではなく、リポジトリから入手するこ

とをお勧めします。https://bitbucket.org/velocloud/deployment

meta-data (git ./vcg/samples/VCG_2ARM/meta-data)

instance-id: #_Hostname_#

local-hostname: #_Hostname_#

network-interfaces: |

auto eth0

iface eth0 inet static

address #_IPv4_Address_#

mac_address #_mac_Address_#

netmask #_IPv4_Netmask_#

gateway #_IPv4_Gateway_#

dns-nameservers #_DNS_server_primary_# #_DNS_server_secondary_#

auto eth1


metric '13'

address #_MGMT_IPv4_Address_#

mac_address #_MGMT_mac_Address_#

netmask #_MGMT_IPv4_Netmask_#

gateway #_MGMT_IPv4_Gateway_#


user-data (Git /deployment/vcg/samples/VCG_2ARM/user-data)

#cloud-config

hostname: #_Hostname_#

password: #_Console_Password_#


VMware, Inc. 72

https://bitbucket.org/velocloud/deployment

https://bitbucket.org/velocloud/deployment

chpasswd: {expire: False}

ssh_pwauth: True

ssh_authorized_keys:

- #_SSH_public_Key_#

runcmd:

- 'echo "[]" > /opt/vc/etc/vc_blocked_subnets.json'

- 'sed -iorig "s/wan=\".*/wan=\"eth0 eth1\"/" /etc/config/gatewayd-tunnel'

- '/var/lib/cloud/scripts/per-boot/config_gateway'

- 'sleep 10'

- '/opt/vc/bin/vc_procmon restart'

write_files:

- path: "/var/lib/cloud/scripts/per-boot/config_gateway"

permissions: "0755"

content: |

#!/usr/bin/python

import json

import commands

is_activated = commands.getoutput("/opt/vc/bin/is_activated.py")

if "True" in str(is_activated):

print "Gateway already activated"

exit

commands.getoutput("/opt/vc/bin/activate.py -s #_VCO_# #_Activation_Key_# ")

### EDIT GATEWAYD ###

with open("/etc/config/gatewayd", "r") as jsonFile:

data = json.load(jsonFile)

data["global"]["vcmp.interfaces"] = ["eth0"]

data["global"]["wan"] = ["eth1"]

# NOTE FOR HAND OFF IT CAN BE "QinQ (0x8100)" "QinQ (0x9100)" "none" "802.1Q" "802.1ad”

data["vrf_vlan"]["tag_info"][0]["mode"] = "#_Handoff_"

data["vrf_vlan"]["tag_info"][0]["interface"] = "eth1"

data["vrf_vlan"]["tag_info"][0]["c_tag"] = "#_C_TAG_FOR_MGMT_VRF_#"

data["vrf_vlan"]["tag_info"][0]["s_tag"] = "#_S_TAG_FOR_MGMT_VRF_"

with open("/etc/config/gatewayd", "w") as jsonFile:

jsonFile.write(json.dumps(data,sort_keys=True,indent=4, separators=(",", ": ")))

### EDIT DPDK ###

with open("/opt/vc/etc/dpdk.json", "r") as jsonFile:


#SET 0 or 1 for enabled or DISABLED example data["dpdk_enabled"] = 0

data["dpdk_enabled"] = #_DKDP_ENABLED_(1)_OR_DISABLED_(0)_#

with open("/opt/vc/etc/dpdk.json", "w") as jsonFile:


final_message: "==== Cloud-init completed ===="

power_state:

delay: "+1"

mode: reboot

message: Bye Bye


VMware, Inc. 73

timeout: 30

condition: True

重要： n VMware は、すべての本番環境の Orchestrator に対して適切な完全修飾ドメイン名 (FQDN) を設定し、適

切な TLS 証明書が発行されるようにすることをお勧めします。

n Orchestrator の IP アドレスを使用したアクティベーション以外に利用できるオプションがない場合は、次の

例を使用して、Edge に対して TLS 検証をバイパスするように指示します。

commands.getoutput("/opt/vc/bin/ activate.py -s myvco.example.com -i #_activation_key_#")

n この構成は、本番環境での使用には推奨されませんので、可能な限りすぐに Orchestrator のホスト名に対して

再アクティベーションを行うことをお勧めします。

注：必ず、http://www.yamllint.com/ を使用して user-data とメタデータを検証してください。また、cloud-init が完了したら、メタデータがネットワークインターフェイス (/etc/network/interfaces) セクションで有効

なネットワーク構成となる必要があります。Windows または Mac のコピーと貼り付け機能を使用すると、スマー

トクォートの問題が発生し、ファイルの破損につながる可能性があります。次のコマンドを実行して、スマートクォートがないことを確認してください。

sed s/[”“]/'"'/g /tmp/user-data > /tmp/user-data_new

ISO ファイルの作成

ファイルの入力が完了したら、ISO イメージにパッケージ化する必要があります。この ISO イメージは、仮想マシ

ンとともに仮想構成 CD として使用されます。この ISO イメージは vcg01-cidata.iso と呼ばれ、Linux システム

で次のコマンドを使用して作成されます。

genisoimage -output vcg01-cidata.iso -volid cidata -joliet -rock user-data meta-data

MAC OSX を使用している場合は、代わりに次のコマンドを使用してください。

mkisofs -output vcg01-cidata.iso -volid cidata -joliet -rock {user-data,meta-data}

この ISO ファイルは #CLOUD_INIT_ISO_FILE# と呼ばれ、OVA のインストールと VMware のインストール

の両方で使用されます。

SD-WAN Gateway のインストール

SD-WAN Gateway は、VMware および KVM にインストールできます。

前提条件

KVM では、仮想マシンにネットワークを提供する方法が複数あります。VMware では、次のオプションが推奨さ

れています。

n SR-IOV


VMware, Inc. 74

http://www.yamllint.com/

n Linux ブリッジ

n OpenVSwitch ブリッジ

SR-IOV モードを使用する場合は、KVM および VMware で SR-IOV を有効にします。手順については、以下を

参照してください。

n KVM 上での SR-IOV の有効化

n VMware 上での SR-IOV の有効化

SD-WAN Gateway をインストールするには、以下を参照してください。

n KVM の場合は、KVM への SD-WAN Gateway のインストールを参照してください。

n VMware の場合は、VMware への SD-WAN Gateway のインストールを参照してください。

VMware 上での SR-IOV の有効化

VMware 上での SR-IOV の有効化はオプションですが、パケット処理のパフォーマンスを向上させるために

DPDK のすべてのメリットを実現させる必要があります。

前提条件

この場合、特定の NIC カードが必要です。次のチップセットは、 SD-WAN Gateway と連携することが VMware によって認定されています。

n Intel 82599/82599ES

n Intel X710/XL710

注： VMware 上で Intel X710/XL710 カードを SR-IOV モードで使用する前に、「デプロイの前提条件」セクシ

ョンに記載されているファームウェアとドライバのサポートされているバージョンが正しくインストールされている

ことを確認してください。

VMware 上で SR-IOV を有効にするには、次の手順を実行します。

1 お使いの NIC カードが SR-IOV をサポートしていることを確認します。https://www.vmware.com/resources/compatibility/search.php?deviceCategory=io で、VMware のハードウェア互換性リスト

(HCL) を確認します。

[ブランド名 (Brand Name)]：Intel

[I/O デバイスタイプ (I/O Device Type)]：ネットワーク

[機能 (Features)]：SR-IOV


VMware, Inc. 75

https://www.vmware.com/resources/compatibility/search.php?deviceCategory=io

https://www.vmware.com/resources/compatibility/search.php?deviceCategory=io

次の VMware ナレッジベースの記事では、サポートされている NIC で SR-IOV を有効にする方法の詳細につ

いて説明しています：https://kb.vmware.com/s/article/2038739

2 サポートされている NIC カードがある場合は、特定の VMware ホストに移動し、[構成 (Configure)] タブ、

[物理アダプタ (Physical adapters)] の順に選択します。

3 [設定の編集 (Edit Settings)] を選択します。[ステータス (Status)] を [有効 (Enabled)] に変更し、必要な仮

想機能の数を指定します。この数は、NIC カードのタイプによって異なります。

4 ハイパーバイザーを再起動します。

5 SR-IOV が正常に有効にされている場合、ESXi の再起動後、特定の NIC の下に仮想機能 (VF) の数が表示され

ます。

VMware への SD-WAN Gateway のインストール

VMware に SD-WAN Gateway OVA をインストールする方法について説明します。

重要： OVA のインストールが完了したら、仮想マシンを起動せずに、cloud-init ISO ファイルを作成して、SD-WAN Gateway 仮想マシンに CD-ROM としてマウントしてください。そうしない場合、仮想マシンをデプロイ

し直すことが必要になります。

SR-IOV モードを使用する場合は、必要に応じて VMware で SR-IOV を有効にすることができます。VMware で

SR-IOV を有効にするには、VMware 上での SR-IOV の有効化を参照してください。


VMware, Inc. 76

https://kb.vmware.com/s/article/2038739

SD-WAN Gateway OVA を VMware にインストールするには、次の手順を実行します。

1 ESXi ホストを選択し、[アクション (Actions)] に移動してから、[OVF テンプレートのデプロイ (Deploy OVF Template)] を選択します。VMware によって提供される SD-WAN Gateway OVA ファイルを選

択し、[次へ (Next)] をクリックします。

次の図に示すように、[OVA/OVF テンプレートのデプロイ (Deploy OVA/OVF Template)] ウィザードの

ステップ 4（[詳細の確認 (Review details)]) で、テンプレートの詳細を確認します。

2 [ネットワークの選択 (Select networks)] ステップに関しては、OVA には事前定義された 2 つのネットワー

ク (vNIC) が付属しています。

vNIC 説明

内部 (Inside) これは、PE ルーターに接続する vNIC であり、MPLS PE または L3 スイッチへのハンドオフトラフィックに使用されま

す。通常、この vNIC は VLAN パススルーを実行するポートグループ（vSwitch 構成では VLAN=4095）にバインド

されます。

外部 (Outside) これは、インターネットに接続する vNIC です。この vNIC は、タグなしの L2 フレームを予期し、通常は内部 vNIC とは

別のポートグループにバインドされます。

3 [テンプレートのカスタマイズ (Customize template)] ステップでは、何も変更しないでください。これは、

vApp を使用して仮想マシンを構成する場合のステップです。この例では vApp は使用しません。[次へ

(Next)] をクリックして、OVA のデプロイを続行します。


VMware, Inc. 77

4 仮想マシンのデプロイが正常に完了したら、仮想マシンに戻り、[設定の編集 (Edit Settings)] をクリックしま

す。アダプタタイプが vmxnet3 の vNIC が 2 つ作成されます。

5 （SR-IOV の場合はオプション）このステップは、SR-IOV の使用を予定している場合にのみ実行する必要があ

ります。OVA ではデフォルトで 2 つの vNIC が vmxnet3 として作成されるため、その 2 つの vNIC を削除

して、SR-IOV として追加し直す必要があります。


VMware, Inc. 78

2 つの新しい SR-IOV vNIC を追加する場合、元の 2 つの vmxnet3 vNIC と同じポートグループを使用しま

す。[アダプタタイプ (Adapter Type)] が [SR-IOV パススルー (SR-IOV passthrough)] であることを確

認します。使用する適切な物理ポートを選択し、[ゲスト OS MTU の変更 (Guest OS MTU Change)] を [許可 (Allow)] に設定します。2 つの vNIC を追加したら、[OK] をクリックします。

6 SD-WAN Gateway はリアルタイムアプリケーションであるため、[遅延感度 (Latency Sensitivity)] を

[高 (High)] に設定する必要があります。リアルタイムアプリケーション用に仮想マシンを構成する方法の詳細

については、https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/latency-sensitive-perf-vsphere55-white-paper.pdf を参照してください。


VMware, Inc. 79

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/latency-sensitive-perf-vsphere55-white-paper.pdf

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/latency-sensitive-perf-vsphere55-white-paper.pdf

7 「cloud-init の作成」を参照してください。cloud-init ファイルは、CD-ROM (iso) ファイルとしてパッケージ

化されています。このファイルを CD-ROM としてマウントする必要があります。

注：このファイルはデータストアにアップロードする必要があります。

8 仮想マシンを起動します。

KVM 上での SR-IOV の有効化

KVM で SR-IOV モードを有効にするには、次の手順を実行します。

前提条件

この場合、特定の NIC カードが必要です。次のチップセットは、SD-WAN Gateway および SD-WAN Edge と連携することが VMware によって認定されています。

n Intel 82599/82599ES


VMware, Inc. 80

n Intel X710/XL710

注： KVM 上で Intel X710/XL710 カードを SR-IOV モードで使用する前に、「デプロイの前提条件」セクション

で指定されているファームウェアとドライバのサポートされているバージョンが正しくインストールされていること

を確認してください。

KVM 上で SR-IOV を有効にするには、次の手順を実行します。

1 BIOS で SR-IOV を有効にします。手順は BIOS によって異なります。BIOS コンソールにログインし、SR-IOV のサポート/DMA を見つけます。Intel が正しい CPU フラグを持っているかどうかをチェックすること

で、プロンプトでサポートを確認できます。

cat /proc/cpuinfo | grep vmx

2 Bboot (/etc/default/grub) にオプションを追加します。

GRUB_CMDLINE_LINUX="intel_iommu=on"

a コマンド update-grub と update-initramfs -u を実行します。

b 再起動 (Reboot)

c iommu が有効になっていることを確認します。

velocloud@KVMperf3:~$ dmesg | grep -i IOMMU

[ 0.000000] Command line: BOOT_IMAGE=/vmlinuz-3.13.0-107-generic root=/dev/mapper/qa--

multiboot--002--vg-root ro intel_iommu=on splash quiet vt.handoff=7

[ 0.000000] Kernel command line: BOOT_IMAGE=/vmlinuz-3.13.0-107-generic root=/dev/mapper/qa--

multiboot--002--vg-root ro intel_iommu=on splash quiet vt.handoff=7

[ 0.000000] Intel-IOMMU: enabled

….

velocloud@KVMperf3:~$

3 使用されている NIC チップセットに基づいて、次のとおりドライバを追加します。

n SR-IOV モードの [Intel 82599/82599ES] カードの場合：

1 Intel の Web サイトから、[ixgbe] ドライバをダウンロードしてインストールします。

2 ixgbe 構成（tar および sudo によるインストール）を設定します。

velocloud@KVMperf1:~$ cat /etc/modprobe.d/ixgbe.conf

3 ixgbe 構成ファイルが存在しない場合は、次のとおりファイルを作成する必要があります。

options ixgbe max_vfs=32,32

options ixgbe allow_unsupported_sfp=1

options ixgbe MDD=0,0

blacklist ixgbevf

4 update-initramfs -u コマンドを実行し、サーバを再起動します。


VMware, Inc. 81

https://downloadcenter.intel.com

5 modinfo コマンドを使用して、インストールが成功したかどうかを確認します。

velocloud@KVMperf1:~$ modinfo ixgbe and ip link

filename: /lib/modules/4.4.0-62-generic/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko

version: 5.0.4

license: GPL

description: Intel(R) 10GbE PCI Express Linux Network Driver

author: Intel Corporation, <[email protected]>

srcversion: BA7E024DFE57A92C4F1DC93

n SR-IOV モードの [Intel X710/XL710] カードの場合：

1 Intel の Web サイトから、[i40e] ドライバをダウンロードしてインストールします。

2 仮想機能 (VF) を作成します。

echo 4 > /sys/class/net/device name/device/sriov_numvfs

3 再起動後も VF を存続させるには、前の手順のコマンドを "/etc/rc.d/rc.local" ファイルに追加し

ます。

4 VF ドライバをブラックリストに追加します。

echo “blacklist i40evf” >> /etc/modprobe.d/blacklist.conf

5 update-initramfs -u コマンドを実行し、サーバを再起動します。

SR-IOV の検証（オプション）

次のコマンドを使用して、ホストマシンで SR-IOV が有効にされているかどうか素早く確認できます。

lspci | grep -i Ethernet

仮想機能があるかどうかを確認するには、次の手順を実行します。

01:10.0 Ethernet controller: Intel Corporation 82599 Ethernet Controller Virtual Function(rev 01)

KVM への SD-WAN Gateway のインストール

KVM に SD-WAN Gateway qcow をインストールする方法について説明します。

インストール前の考慮事項

KVM では、仮想マシンにネットワークを提供する方法が複数あります。libvirt のネットワークは、仮想マシンの構

成の前にプロビジョニングする必要があります。KVM でネットワークを構成する方法は複数あります。libvirt でネットワークを構成するために使用できるすべてのオプションを確認するには、次のリンクを参照してください。

https://libvirt.org/formatnetwork.html

すべてのオプションの中で、VMware では次のモードが推奨されます。

n SR-IOV（このモードは VMware によって指定された最大スループットを SD-WAN Gateway が提供するた

めに必要です）

n OpenVSwitch ブリッジ


VMware, Inc. 82

https://downloadcenter.intel.com

https://libvirt.org/formatnetwork.html

SR-IOV モードを使用する場合は、KVM で SR-IOV を有効にします。KVM で SR-IOV を有効にするには、KVM 上での SR-IOV の有効化を参照してください。

KVM での SD-WAN Gateway のインストール手順

1 「cloud-init の作成」セクションで作成した qcow ファイルと cloud-init ファイルを新しい空のディレクトリ

にコピーします。

2 デバイスに使用するネットワークインターフェイスを作成します。

[SR-IOV を使用する場合]

SR-IOV を使用する場合の Intel X710/XL710 NIC カード専用のネットワークインターフェイスのサンプル

テンプレートを次に示します。

<interface type='hostdev' managed='yes'>

<mac address='52:54:00:79:19:3d'/>

<driver name='vfio'/>

<source>

<address type='pci' domain='0x0000' bus='0x83' slot='0x0a' function='0x0'/>

</source>

<model type='virtio'/>

</interface>

[OpenVSwitch を使用する場合]

OpenVSwitch を使用する場合のネットワークインターフェイスのサンプルテンプレートを次に示します。

git ./vcg/templates/KVM_NETWORKING_SAMPLES/template_outside_openvswitch.xml

<?xml version="1.0" encoding="UTF-8"?>

<network>

<name>public_interface</name>



<model type="virtio" />

<forward mode="bridge" />

<bridge name="publicinterface" />

<virtualport type="openvswitch" />

<vlan trunk="yes">

<tag id="50" />



<tag id="51" />



</vlan>

</network>

次のようにして、inside_interface のネットワークを作成します。

git ./vcg/templates/KVM_NETWORKING_SAMPLES/template_inside_openvswitch.xml

<network>

<name>inside_interface</name> 



VMware, Inc. 83

<forward mode="bridge"/>

<bridge name="insideinterface"/>

<virtualport type='openvswitch'></virtualport>

<vlan trunk='yes'></vlan>

<tag id='200'/> <!—Define all the VLANS for this Bridge -->



</network>

OpenVSwitch モードを使用する場合は、仮想マシンを起動する前に、基本ネットワークが作成されてアクテ

ィブになっていることを確認する必要があります。

注： SR-IOV モードの場合、仮想マシンの起動前にネットワークを作成しないため、この検証手順は不要で

す。

3 仮想マシンの XML ファイルを編集します。KVM で仮想マシンを作成する方法は複数あります。XML ファイ

ルで仮想マシンを定義し、libvirt を使用して作成することができます。OpenVSwitch モードおよび SR-IOV モードに専用のサンプルの仮想マシン XML テンプレートを使用してください。

vi my_vm.xml

OpenVSwitch インターフェイスを使用する仮想マシンのサンプルテンプレートを次に示します。このテンプ

レートを必要に応じて編集して使用してください。


<domain type="kvm">

<name>#domain_name#</name>

<memory unit="KiB">8388608</memory>

<currentMemory unit="KiB">8388608</currentMemory>

<vcpu>8</vcpu>

<cputune>

<vcpupin vcpu="0" cpuset="0" />








</cputune>

<resource>

<partition>/machine</partition>

</resource>

<os>

<type>hvm</type>


VMware, Inc. 84

</os>

<features>

<acpi />

<apic />

<pae />

</features>

<cpu mode="host-passthrough" />

<clock offset="utc" />

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/bin/kvm-spice</emulator>

<disk type="file" device="disk">

<driver name="qemu" type="qcow2" />

<source file="#folder#/#qcow_root#" />

<target dev="hda" bus="ide" />

<alias name="ide0-0-0" />

<address type="drive" controller="0" bus="0" target="0" unit="0" />

</disk>

<disk type="file" device="cdrom">

<driver name="qemu" type="raw" />

<source file="#folder#/#Cloud_ INIT_ ISO#" />

<target dev="sdb" bus="sata" />

<readonly />

<alias name="sata1-0-0" />


</disk>

<controller type="usb" index="0">

<alias name="usb0" />

<address type="pci" domain="0x0000" bus="0x00" slot="0x01" function="0x2" />

</controller>

<controller type="pci" index="0" model="pci-root">

<alias name="pci.0" />

</controller>

<controller type="ide" index="0">

<alias name="ide0" />


</controller>

<interface type="network">

<source network="public_interface" />

<vlan>

<tag id="#public_vlan#" />

</vlan>

<alias name="hostdev1" />


</interface>

<interface type="network">

<source network="inside_interface" />

<alias name="hostdev2" />


</interface>

<serial type="pty">

<source path="/dev/pts/3" />

<target port="0" />


VMware, Inc. 85

<alias name="serial0" />

</serial>

<console type="pty" tty="/dev/pts/3">


<target type="serial" port="0" />


</console>

<memballoon model="none" />

</devices>

<seclabel type="none" />

</domain>

SR-IOV インターフェイスを使用する仮想マシンのサンプルテンプレートを次に示します。このテンプレート

を必要に応じて編集して使用してください。


<domain type="kvm">

<name>#domain_name#</name>

<memory unit="KiB">8388608</memory>

<currentMemory unit="KiB">8388608</currentMemory>

<vcpu>8</vcpu>

<cputune>









</cputune>

<resource>

<partition>/machine</partition>

</resource>

<os>

<type>hvm</type>

</os>

<features>

<acpi />

<apic />

<pae />

</features>

<cpu mode="host-passthrough" />

<clock offset="utc" />

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/bin/kvm-spice</emulator>

<disk type="file" device="disk">

<driver name="qemu" type="qcow2" />

<source file="#folder#/#qcow_root#" />

<target dev="hda" bus="ide" />

<alias name="ide0-0-0" />



VMware, Inc. 86

</disk>

<disk type="file" device="cdrom">

<driver name="qemu" type="raw" />

<source file="#folder#/#Cloud_ INIT_ ISO#" />

<target dev="sdb" bus="sata" />

<readonly />

<alias name="sata1-0-0" />


</disk>

<controller type="usb" index="0">

<alias name="usb0" />


</controller>

<controller type="pci" index="0" model="pci-root">

<alias name="pci.0" />

</controller>

<controller type="ide" index="0">

<alias name="ide0" />


</controller>


<mac address='52:54:00:79:19:3d'/>


<source>


</source>


</interface>


<mac address='52:54:00:74:69:4d'/>


<source>


</source>


</interface>

<serial type="pty">


<target port="0" />


</serial>

<console type="pty" tty="/dev/pts/3">


<target type="serial" port="0" />


</console>

<memballoon model="none" />

</devices>

<seclabel type="none" />

</domain>


VMware, Inc. 87

4 次の手順を実行して、仮想マシンを起動します。

a 以下のサンプルスクリーンショットに示すように、ディレクトリに次の 3 つのファイルがあることを確認

します。

n qcow ファイル - vcg-root

n cloud-init - vcg-test.iso

n 仮想マシンを定義するドメイン XML ファイル - test_vcg.xml（ここで test_vcg はドメイン名）

b 仮想マシンを定義します。

velocloud@KVMperf2:/tmp/VeloCloudGateway$ virsh define test_vcg.xml

Domain test_vcg defined from test_vcg.xml

c 仮想マシンを自動起動に設定します。

velocloud@KVMperf2:/tmp/VeloCloudGateway$ virsh autostart test_vcg

d 仮想マシンを起動します。

velocloud@KVMperf2:/tmp/VeloCloudGateway$ virsh start test_vcg

5 SR-IOV モードを使用する場合は、仮想マシンの起動後に、使用する仮想機能 (VF) について次のように設定し

ます。

a スプーフィングチェックをオフに設定します。

ip link set eth1 vf 0 spoofchk off

b 信頼済み (Trusted) モードをオンに設定します。

ip link set dev eth1 vf 0 trust on

c 必要に応じて、VLAN を設定します。

ip link set eth1 vf 0 vlan 3500

注：仮想機能の構成手順は、OpenVSwitch (OVS) モードには適用されません。

6 仮想マシンのコンソールにログインします。

virsh list

Id Name State


VMware, Inc. 88

----------------------------------------------------

25 test_vcg running

velocloud@KVMperf2$ virsh console 25

Connected to domain test_vcg

Escape character is ^]

[KVM ホストに関する特別な考慮事項]

n 物理インターフェイスで GRO (Generic Receive Offload) を無効にします（SD-WAN Gateway での不必

要な再フラグメント化を回避するため）。

ethtool –K <interface> gro off tx off

n CPU の C ステートを無効にします（電源状態がリアルタイムのパフォーマンスに影響します）。通常、これは

processor.max_cstate=1 を付加してカーネル起動オプションの一部として行うことができます。または、

BIOS で直接この設定を無効にしてください。詳細については、https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/chap-Virtualization-KVM_guest_timing_management.html を参照してください。

n 本番環境では、vCPU をインスタンスに固定する必要があります。コアでオーバーサブスクリプションが実行さ

れないようにする必要があります。詳細については、https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/ch25s06.html を参照してください。

インストール後の作業

このセクションでは、インストール後の手順およびインストールの検証手順について説明します。

インストール時に特に問題が発生していなければ、仮想マシンにログインできるようになります。

1 その場合、次のようなログインプロンプトがコンソールに表示されます。cloud-init で指定されているプロン

プト名が表示されます。

2 /var/log/cloud-init.log を確認することもできます。次のメッセージが表示された場合、cloud-init が正常に実行されているものと思われます。


VMware, Inc. 89

https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/chap-Virtualization-KVM_guest_timing_management.html



https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/ch25s06.html

https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/ch25s06.html

3 SD-WAN Gateway が SD-WAN Orchestrator に登録されていることを確認します。

4 外部接続を確認します。

5 管理 VRF が ARP に応答することを確認します。

6 cloud-init を削除して、再び実行されないようにします。

apt-get purge cloud-init

7 新しいゲートウェイプール（ゲートウェイの作成とアクティベーションキーの取得セクションで作成した）を

ユーザーに関連付けます。


VMware, Inc. 90

8 ゲートウェイを Edge に関連付けます。

9 Edge がインターネット側のゲートウェイとのトンネルを確立できることを確認します。VMware SD-WAN Orchestrator で、[監視 (Monitor)] - [Edge (Edges)] - [概要 (Overview)] に移動します。


VMware, Inc. 91

VMware SD-WAN Orchestrator で、[テストとトラブルシューティング (Test & Troubleshoot)] - [リモ

ート診断 (Remote Diagnostics)] - [[Edge]] - [パスの一覧表示 (List Paths)] に移動し、[実行 (Run)] をク

リックしてアクティブなパスを一覧表示します。

10 ハンドオフインターフェイスを構成します。

11 BGP セッションが起動していることを確認します。

SD-WAN Gateway のアップグレード

このセクションでは、SD-WAN Gateway インストールをアップグレードする方法について説明します。

SD-WAN Gateway インストールをアップグレードするには、次の手順を実行します。

1 SD-WAN Gateway 更新パッケージをダウンロードします。

2 イメージを SD-WAN Gateway システムにアップロードします（たとえば、scp コマンドを使用します）。イ

メージをシステム上の /var/lib/velocloud/software_update/vcg_update.tar にコピーします。


VMware, Inc. 92

3 SD-WAN Gateway コンソールに接続し、次のコマンドを実行します。

sudo /opt/vc/bin/vcg_software_update

カスタム構成

このセクションでは、カスタム構成について説明します。

NTP の構成

NTP の構成には、/etc/ntpd.conf ファイルの編集が必要です。

ユーザーデータ

このセクションでは、ユーザーデータについて説明します。

#cloud-config




ssh_pwauth: True



runcmd:




- 'sleep 10'


write_files:

- path: "/etc/ntp.conf"

permissions: '0644'

content: |

# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board

# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for

# more information.

server #_NTP_SERVER_1_#

server #_NTP_SERVER_2_#

server 1.ubuntu.pool.ntp.org iburst




permissions: '0777'

content: |

#!/usr/bin/python

import json

import commands




exit




VMware, Inc. 93





# NOTE FOR HAND OFF IT CAN BE "QinQ (0x8100)" "QinQ (0x9100)" "none" "802.1Q" "802.1ad"







### EDIT DPDK ###




data["dpdk_enabled"] = #_DKDP_ENABLED_OR_DISABLED_#




power_state:

delay: "+1"

mode: reboot

message: Bye Bye

timeout: 30

condition: True

OAM インターフェイスとスタティックルート

OAM インターフェイスを使用してゲートウェイをデプロイする場合は、次の手順を実行します。

1 仮想マシン (ETH2) に追加のインターフェイスを追加します。

[VMware]

管理/OAM 専用の vNIC が必要な場合は、vmxnet3 タイプの別の vNIC を追加します。vNIC の MAC アド

レスをメモするためには前の手順を繰り返す必要があるので、[OK] をクリックしてから、もう一度 [設定の編集

(Edit Settings)] をクリックします。


VMware, Inc. 94

[KVM]

管理/OAM 専用の vNIC が必要な場合は、「oam-network」という名前の libvirt ネットワークがあることを

確認します。次に、以下の行を XML 仮想マシン構造に追加します。

…..

</controller>

<interface type='network'>

<source network='public_interface'/>

<vlan><tag id='#public_vlan#'/></vlan>

<alias name='hostdev1'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x11' function='0x0'/>

</interface>


<source network='inside_interface'/>



</interface>


<source network='oam_interface'/>

<vlan><tag id='#oam_vlan#'/></vlan>



</interface>

<serial type='pty'>

<source path='/dev/pts/3'/>

<target port='0'/>

<alias name='serial0'/>

</serial>


VMware, Inc. 95

2 追加のインターフェイスを指定して、meta-data ファイルを構成します。

instance-id: #_Hostname_#

local-hostname: #_Hostname_#

network-interfaces: |

auto eth0


address #_IPv4_Address_#

netmask #_IPv4_Netmask_#

gateway #_IPv4_Gateway_#


auto eth1


metric '13'

address #_MGMT_IPv4_Address_#

netmask #_MGMT_IPv4_Netmask_#

gateway #_MGMT_IPv4_Gateway_#


auto eth2


address #_OAM_IPv4_Address_#

netmask #_OAM_IPv4_Netmask_#

up route add -net 10.0.0.0 netmask 255.0.0.0 gw #_OAM_IPv4_Gateway_#

up route add -net 192.168.0.0 netmask 255.255.0.0 gw #_OAM_IPv4_Gateway_#

dns-nameservers # _DNS_server_primary_# #_DNS_server_secondary_#

OAM - vmxnet3 による SR-IOV または VIRTIO による SR-IOV

一部のインストール環境では、ゲートウェイに対して、異なるインターフェイスタイプを組み合わせて効果的に使用

することができます。これは通常、SR-IOV を使用せずに OAM を実行する場合に有効です。そのようなカスタム構

成では、インターフェイスが順不同で起動されるようになるので、追加の手順を実行する必要があります。

1 各インターフェイスの MAC アドレスをメモします。

[VMware]

マシンを作成したら、[設定の編集 (Edit Settings)] に移動して、MAC アドレスをコピーします。


VMware, Inc. 96

[KVM]

仮想マシンを定義したら、次のコマンドを実行します。

2 次のようにして、user-data を編集し、MAC アドレスをインターフェイスの順序に合わせて固定します。

[Userdata]

#cloud-config




ssh_pwauth: True



runcmd:




- 'sleep 10'


write_files:

- path: "/etc/udev/rules.d/70-persistent-net.rules"

permissions: '0644'

content: |

SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="#_ETH0_MAC_ADDRESS_#",

ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"


VMware, Inc. 97



# NOTE ETH2 IS OAM IF NO OAM PRESENT THEM REMOVE




permissions: "0777"

content: |

#!/usr/bin/python

import json

import commands




exit







# NOTE FOR HAND OFF IT CAN BE "QinQ (0x8100)" "QinQ (0x9100)" "none" "802.1Q" "802.1ad"







### EDIT DPDK ###








power_state:

delay: "+1"

mode: reboot

message: Bye Bye

timeout: 30

condition: True

802.1ad カプセル化を使用する場合の特別な考慮事項

802.1ad デバイスでは外部タグ EtherType に 0x88A8 が含まれることはないものと思われます。それらのデバ

イスとの相互運用を確保するため、user data で特別な変更が必要です。


VMware, Inc. 98

たとえば、管理 VRF が S-Tag: 20 と C-Tag: 100 を使用して構成されている場合は、/etc/config/gatewayd の

vrf_vlan セクションを次のように編集します。また、resp_mode を 1 に定義して SD-WAN Gateway のチェッ

クレベルを緩和し、外部ヘッダーに値が 0x8100 の間違った EtherType が含まれているイーサネットフレームが

許可されるようにします。

#cloud-config




ssh_pwauth: True



runcmd:




- 'sleep 10'


write_files:


permissions: '0777'

content: |

#!/usr/bin/python

import json

import commands




exit







# NOTE FOR HAND OFF IT CAN BE “QinQ (0x8100)” “QinQ (0x9100)” “none” “802.1Q” “802.1ad”

data["vrf_vlan"]["tag_info"][0]["resp_mode"] = "1"







### EDIT DPDK ###








power_state:


VMware, Inc. 99

delay: "+1"

mode: reboot

message: Bye Bye

timeout: 30

condition: True

SNMP 統合

このセクションでは、SNMP 統合を構成する方法について説明します。

SNMP 統合を構成するには、次の手順を実行します。

1 /etc/snmp/snmpd.conf を編集します。SNMP サービスに接続するシステムの送信元 IP アドレスを含む次

の行を構成ファイルに追加します。

次の例では、ローカルホスト（コミュニティ文字列 vc-vcg を経由）および 10.0.0.0/8（SNMPv2c バージ

ョンでコミュニティ文字列 myentprisecommunity を使用）からすべてのカウンタにアクセスするように構成し

ています。詳細については、Net-SNMP のドキュメントを参照してください。

agentAddress udp:161

# com2sec sec.name source community

com2sec local localhost vc-vcg

com2sec myenterprise 10.0.0.0/8 myentprisecommunity# group access.name sec.model sec.name

group rogroup v2c local

group rogroup v2c myenterpriseview all included .1 80

# access access.name context sec.model sec.level match read write notif

access rogroup "" any noauth exact all none none#sysLocation Sitting on the Dock of the Bay

#sysContact Me <[email protected]>sysServices 72master agentx#

# Process Monitoring

## At least one 'gwd' process

proc gwd

# At least one 'mgd' process

proc mgd#

# Disk Monitoring

#

# 100MBs required on root disk, 5% free on /var, 10% free on all other disks

disk / 100000

disk /var 5%

includeAllDisks 10%#

# System Load

#

# Unacceptable 1-, 5-, and 15-minute load averages

load 12 10 5

2 /etc/snmp/snmpd.conf を編集します。SNMP サービスに接続するシステムの送信元 IP アドレスを含む次

の行を構成ファイルに追加します。

# WARNING: only add targeted rules for addresses and ports

# do not add blanket drop or accept rules since Gateway will append its own rules

# and that may prevent it from functioning properly

*filter

:INPUT ACCEPT [0:0]

-A INPUT -p udp -m udp --source 127.0.0.1 --dport 161 -m comment --comment "allow SNMP port" -j


VMware, Inc. 100

ACCEPT

-A INPUT -p udp -m udp --source 10.0.0.0/8 --dport 161 -m comment --comment "allow SNMP port" -j

ACCEPT

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

COMMIT

3 snmp サービスと iptables サービスを再起動します。

service snmpd restart

service iptables-persistent restart

service vc_process_monitor restart

カスタムファイアウォールルール

このセクションでは、カスタムファイアウォールルールを変更する方法について説明します。

ローカルのファイアウォールルールを変更するには、ファイル /etc/iptables/rules.v4 を編集します。

重要：アドレスとポートのターゲットルールのみを追加します。一括ドロップルールまたは一括許可ルールは追

加しないでください。SD-WAN Gateway が固有のルールをテーブルに追加し、ルールが順番に評価されるので、

ゲートウェイソフトウェアが正常に機能しなくなる可能性があります。

*filter

:INPUT ACCEPT [0:0]

-A INPUT -p udp -m udp --source 127.0.0.1 --dport 161 -m comment --comment "allow SNMP port" -j

ACCEPT

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

COMMIT

Restart iptables service:

service iptables-persistent restart

service vc_process_monitor restart


VMware, Inc. 101

vmware sd-wan by velocloud パートナー ガイド - vmware ......sd-wan by velocloud...

Documents

vmware sd-wan by velocloud パートナーガイド - vmware ......sd-wan by velocloud...