VMware SD-WAN by VeloCloud オペレータガイド - VMware ......目次 1 『VMware SD-WAN by VeloCloud オペレータガイド』について 6 2 VMware SD-WAN Orchestrator の概要

VMware SD-WAN オペレータガイド

2020VMware SD-WAN 3.4

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2020 VMware, Inc. All rights reserved. 著作権および商標情報。


VMware, Inc. 2

https://docs.vmware.com/jp/

http://pubs.vmware.com/copyright-trademark.html

目次

1 『VMware オペレータガイド』について 6

2 VMware SD-WAN Orchestrator の概要 7

3 サポート対象のブラウザ 8

4 新機能 9

5 SD-WAN Orchestrator のインストール 10前提条件 10

インスタンス要件 10

アップストリームファイアウォールの構成 11

外部サービス 11

インストール手順 11

cloud-init の準備 11

VMware へのインストール 14

KVM へのインストール 15

AWS へのインストール 18

初期構成タスク 19

SSL 証明書のインストール 19

システムプロパティの構成 20

SD-WAN Orchestrator のアップグレード 21

ディスクサイズの拡張 (VMware) 23

6 オペレータユーザーの SSO を使用した SD-WAN Orchestrator へのログイン 26

7 ユーザーの監視 27

8 ユーザーの管理 29新しいユーザーの作成 30

ユーザーのクローン作成 32

ユーザーの構成 35

パートナーハンドオフの構成 40

9 パートナーの管理 45新しいパートナーの作成 45

パートナー情報の構成 48

VMware, Inc. 3

10 ソフトウェアイメージ 50

11 システムプロパティ 51システムプロパティのリスト 52

12 オペレータの管理 58オペレータイベントの監視 58

オペレータプロファイルの管理 59

新しいオペレータプロファイルの作成 59

オペレータプロファイルの複製 60

オペレータプロファイルの変更 60

オペレータユーザーの管理 62

新しいオペレータユーザーの作成 63

オペレータユーザーの構成 64

13 ゲートウェイプールとゲートウェイの管理 68ゲートウェイプール 68

[管理対象プール] 列 69

ゲートウェイプールの作成 69

パートナー固有のゲートウェイプールの作成 70

ゲートウェイプールの削除 71

パートナーゲートウェイのハンドオフ 71

パートナーゲートウェイ 72

パートナーゲートウェイの概要 72

[ゲートウェイ] ページ 80

パートナーゲートウェイモードの有効化 81

ゲートウェイ BGP の構成 82

ゲートウェイ診断バンドルの管理 85

ゲートウェイの監視 86

14 アプリケーションマップ 88アプリケーションマップのアップロード 89

アプリケーションマップのクローン作成 89

アプリケーションマップの変更 90

アプリケーションマップの更新 91

アプリケーションマップのプッシュ 92

15 ロールのカスタマイズ 94

16 Edge ライセンス 96パートナーの Edge ライセンスの管理 97


VMware, Inc. 4

ユーザーの Edge ライセンスの管理 98

Edge ライセンスレポートの生成 99

17 Orchestrator 認証 100RADIUS 認証の構成 101

オペレータのシングルサインオンの構成 103

シングルサインオンの概要 103

オペレータユーザーのシングルサインオンの構成 103

シングルサインオン用の IDP の構成 106

18 DR 展開のある SD-WAN Orchestrator のアップグレード 127SD-WAN Orchestrator のアップグレードの概要 127

Orchestrator のアップグレード 127

ステップ 1：Orchestrator のアップグレードの準備 127

ステップ 2：アップグレードのお知らせの送信 129

ステップ 3：SD-WAN Orchestrator のアップグレードの続行 130

ステップ 4：Orchestrator のアップグレードの完了 130

SD-WAN Orchestrator のディザスタリカバリ 130

VMware での DR の設定 130

DR の設定のアップグレード 131

19 SD-WAN Orchestrator のディザスタリカバリの構成 132SD-WAN Orchestrator のディザスタリカバリの概要 132

SD-WAN Orchestrator の複製のセットアップ 133

スタンバイ Orchestrator の設定 133

アクティブ Orchestrator の設定 135

フェイルオーバーのテスト 136

スタンバイ Orchestrator の昇格 136

スタンドアローンモードに戻す 138

SD-WAN Orchestrator DR のトラブルシューティング 138

20 ユーザー契約書の管理 140ユーザー契約書の作成 141

21 SD-WAN Orchestrator のトラブルシューティング 143Orchestrator 診断 143

SD-WAN Orchestrator 診断の概要 143

[診断バンドル] タブ 143

[データベース統計情報] タブ 146


VMware, Inc. 5

『VMware オペレータガイド』について 1

『VMware SD-WAN™ オペレータガイド』は、Orchestrator を使用するユーザーおよびパートナーを構成およ

び管理する方法など、VMware SD-WAN Orchestrator に関する情報を提供します。

対象読者

このガイドは、ネットワークと SD-WAN の運用に精通しているオペレータやサービスプロバイダを対象としてい

ます。

VMware, Inc. 6

VMware SD-WAN Orchestrator の概要 2VMware SD-WAN Orchestrator は、クラウドネットワークを介したデータフローのオーケストレーションに

加えて、エンタープライズ全体にわたるインストール、設定、リアルタイム監視を一元化します。

SD-WAN Orchestrator は Web ベースのユーザーインターフェイスとして使用でき、次の対象を設定および管

理できます。

n ユーザー

n パートナー

n オペレータユーザー

n ゲートウェイとゲートウェイプール

n Orchestrator 認証モード

VMware, Inc. 7

サポート対象のブラウザ 3VMware SD-WAN Orchestrator 3.4.0 は、以下の表に示すブラウザのバージョンをサポートします。ただし、

VMware で最高のエクスペリエンスを実現するには、Google Chrome または Mozilla Firefox の使用を推奨し

ます。

使用できるブラウザブラウザのバージョン

Google Chrome 77 ～ 79.0.3945.130

Firefox 69.0.2 ～ 72.0.2

Internet Explorer 11.765.17134.0 ～ 11.592.18362.0

Microsoft Edge 42.17134.1.0 ～ 44.18362.449.0

Safari 12.1.2 ～ 13.0.3

VMware, Inc. 8

新機能 4バージョン 3.4.0 の新機能

機能説明

エンタープライズのクロー

ン作成

既存のユーザーから構成のクローンを作成し、クローン作成された設定を使用して新しいユーザーを作成します。ユ

ーザーのクローン作成を参照してください。

エンタープライズ機能の強

化

ユーザーの機能を有効または無効にすることができます。ユーザーの構成を参照してください。

オーバーレイフロー制御コ

ストの計算

ルートのコスト計算を Edge とゲートウェイに委任します。OFC コストの計算を参照してください。

ロールのカスタマイズユーザーロールの既存の権限セットをカスタマイズします。15 章ロールのカスタマイズを参照してください。

トークンベースの認証ユーザーは、セッションベースの認証ではなく、トークンを使用して Orchestrator API にアクセスできます。オ

ペレータスーパーユーザーとして、エンタープライズユーザーの API トークンを管理できます。API トークンを

参照してください。

以前のバージョンの VMware

以前のバージョンの VMware についての製品ドキュメントを入手するには、VMware の担当者にお問い合わせく

ださい。

VMware, Inc. 9

SD-WAN Orchestrator のインストール 5このセクションでは、SD-WAN Orchestrator のインストールについて説明します。

この章には、次のトピックが含まれています。

n 前提条件

n インストール手順

n 初期構成タスク

n SD-WAN Orchestrator のアップグレード

n ディスクサイズの拡張 (VMware)

前提条件

このセクションでは、SD-WAN Orchestrator をインストールする前に満たす必要がある前提条件について説明し

ます。

インスタンス要件

VMware では、Orchestrator およびゲートウェイアプリケーションを仮想マシン（つまりゲストインスタンス）

として既存のハイパーバイザーにインストールすることを推奨します。

SD-WAN Orchestrator には、次の最小限のゲストインスタンス仕様が必要です。

n 8 個の Intel vCPU（2.5 Ghz 以上）

n 16 GB のメモリ

注： SD-WAN Orchestrator は、メモリが 10 GB 未満だと起動しません。

n 2 個の 1 TB SSD ベースのパーシステントボリューム（必要に応じて LVM 経由で拡張可能）

n 必要な最小 IOPS：5000 IOPS

n 1 Gbps の NIC

n Ubuntu x64 サーバ仮想マシンの互換性

n 単一のパブリック IP アドレス（NAT を介して使用可能にできます）

VMware, Inc. 10

アップストリームファイアウォールの構成

アップストリームファイアウォールは、着信 HTTP (TCP/80) および HTTPS (TCP/443) を許可するように構成

する必要があります。ステートフルファイアウォールが設定されている場合は、アップグレードおよびセキュリティ

更新を容易にするために、確立された送信接続も許可する必要があります。

外部サービス

SD-WAN Orchestrator は、いくつかの外部サービスに依存しています。インストールを続行する前に、各サービ

スでライセンスを使用可能にしてください。

Google Maps

Google Maps は、マップ上に Edge およびデータセンターを表示するために使用されます。この機能を利用する

のに Google でアカウントを作成する必要はありません。ただし、サービスを使用できるようにするには、SD-WAN Orchestrator インスタンスへのインターネットアクセスができる必要があります。

このサービスは、連続 90 日を超えると、毎日のマップのロード数が 25,000 に制限されます。VMware では、

SD-WAN Orchestrator の通常の使用でこうした制限を超えることを想定していません。

Twilio

Twilio は SMS ベースのアラートで使用され、エンタープライズユーザーに対して Edge またはリンクの停止イベ

ントを通知します。http://www.twilio.com でアカウントを作成し、アカウントに入金する必要があります。

アカウントは、オペレータポータルの [システムプロパティ (System Properties)] ページを使用して SD-WAN Orchestrator にプロビジョニングできます。このアカウントは、このガイドで後述するように、システムプロパ

ティを使用してプロビジョニングされます。

MaxMind

MaxMind は位置情報サービスです。これは、IP アドレスに基づいて Edge とゲートウェイの場所および ISP 名を

自動的に検出するために使用されます。このサービスが無効になっている場合は、位置情報を手動で更新する必要が

あります。アカウントは、オペレータポータルの [システムプロパティ (System Properties)] ページを使用して

SD-WAN Orchestrator にプロビジョニングできます。次のプロパティが呼び出されます。

インストール手順

このセクションでは、インストールについて説明します。

cloud-init の準備

このセクションでは、cloud-init パッケージを使用してインスタンスの早期初期化を処理する方法について説明しま

す。

cloud-init について

cloud-init は、インスタンスの早期初期化を行う Linux パッケージです。ディストリビューションで使用可能な場

合は、インストール後にインスタンスの多くの一般的なパラメータを直接構成できます。これにより、一連の入力に

基づいて構成された完全に機能するインスタンスが作成されます。


VMware, Inc. 11

https://developers.google.com/maps/faq#usage_mapload

http://www.twilio.com/

cloud-init の動作は、user-data を使用して構成できます。user-data は、インスタンスの起動時にユーザーが指

定できます。これは通常、最初の起動時に cloud-init で検索される ISO 形式のセカンダリディスクを接続すること

により実行されます。このディスクには、その時点で適用される早期構成データがすべて含まれています。

SD-WAN Orchestrator は cloud-init をサポートし、すべての重要な構成を ISO イメージを介してパッケージ化

できます。

cloud-init メタデータファイルの作成

最後のインストール構成オプションは、cloud-init 構成ファイルのペアで設定されます。最初のインストール構成フ

ァイルには、メタデータが含まれています。テキストエディタを使用してこのファイルを作成し、meta-data とい

う名前を付けます。このファイルは、インストールされている SD-WAN Orchestrator のインスタンスを識別す

るための情報を提供します。instance-id は任意の識別名にすることができ、local-hostname はサイトの標準に

従うホスト名にする必要があります。たとえば、次のようになります。

instance-id: vco01

local-hostname: vco-01

また、ネットワークインターフェイスの情報を指定することもできます（ネットワークが DHCP によって構成され

ていない場合など）。

instance-id: vco01

local-hostname: vco-01

network-interfaces: |

auto eth0

iface eth0 inet static

address 10.0.1.2

network 10.0.1.0

netmask 255.255.255.0

broadcast 10.0.1.255

gateway 10.0.1.1

cloud-init user-data ファイルの作成

2 番目のインストール構成オプションファイルは、ユーザーデータファイルです。このファイルは、システム上の

ユーザーに関する情報を提供します。テキストエディタを使用して作成し、user-data という名前を付けます。こ

のファイルは、SD-WAN Orchestrator のインストールへのアクセスを有効にするために使用されます。次に、

user-data ファイルの例を示します。

#cloud-config

password: Velocloud123

chpasswd: {expire: False}

ssh_pwauth: True

ssh_authorized_keys:

- ssh-rsa AAA...SDvz [email protected]

- ssh-rsa AAB...QTuo [email protected]

vco:

super_users:

list: |

[email protected]:password1

remove_default_users: True

system_properties:


VMware, Inc. 12

list: |

mail.smtp.port:34

mail.smtp.host:smtp.yourdomain.com

service.maxmind.enable:True

service.maxmind.license:todo_license

service.maxmind.userid:todo_user

service.twilio.phoneNumber:222123123

network.public.address:222123123

write_files:

- path: /etc/nginx/velocloud/ssl/server.crt

permissions: '0644'

content: "-----BEGIN CERTIFICATE-----\nMI….ow==\n-----END CERTIFICATE-----\n"

- path: /etc/nginx/velocloud/ssl/server.key

permissions: '0600'

content: "-----BEGIN RSA PRIVATE KEY-----\nMII...D/JQ==\n-----END RSA PRIVATE

KEY-----\n"

- path: /etc/nginx/velocloud/ssl/velocloudCA.crt

この user-data ファイルを使用すると、デフォルトのユーザーである vcadmin は、パスワードまたは SSH キー

を使用してログインできます。両方の方法を使用することは可能ですが、必須ではありません。パスワードログイン

は、password と chpasswd の行によって有効になります。

n password には、vcadmin ユーザーのプレーンテキストのパスワードが含まれています。

n chpasswd の行はパスワードの有効期限をオフにして、初回ログイン時にパスワードの変更をすぐに要求しない

ようにします。これはオプションです。

注：パスワードを設定する場合は、パスワードがプレーンテキストファイルに保存されているため、初めてログイ

ンするときにパスワードを変更することをお勧めします。

ssh_pwauth の行は SSH ログインを有効にします。ssh_authorized_keys の行は、1 つ以上の認証済みキーのブロ

ックを開始します。ssh-rsa の行にリストされている各パブリック SSH キーは、vcadmin ~/.ssh/authorized_keys ファイルに追加されます。

この例では、2 つのキーが表示されています。この例では、キーは切り詰められています。実際のファイルには、パ

ブリックキー全体が表示されている必要があります。ssh-rsa の行は 2 つのスペースで始まり、その後にハイフン

を続け、その後に 1 つのスペースを指定する必要があることに注意してください。

vco セクションでは、構成された SD-WAN Orchestrator サービスを指定します。

super_users には、VMware スーパーオペレータアカウントおよび対応するパスワードのリストが含まれていま

す。

system_properties セクションでは、Orchestrator のシステムプロパティをカスタマイズできます。システム

プロパティの構成に関する詳細については、11 章システムプロパティを参照してください。


VMware, Inc. 13

write_files セクションでは、システム上のファイルを置き換えることができます。デフォルトでは、SD-WAN Orchestrator の Web サービスは、自己署名 SSL 証明書を使用して構成されます。別の SSL 証明書を提供する

場合、上記の例では、/etc/nginx/velocloud/ssl/ フォルダの server.crt と server.key ファイルをユー

ザーが指定したファイルに置き換えます。

注： server.key ファイルは暗号化されていない必要があります。そうしないと、キーパスワードがないためサ

ービスを開始できなくなります。

ISO ファイルの作成

ファイルの入力が完了したら、ISO イメージにパッケージ化する必要があります。この ISO イメージは、仮想マシ

ンとともに仮想構成 CD として使用されます。この ISO イメージは vco01-cidata.iso と呼ばれ、Linux システ

ムで次のコマンドを使用して作成されます。

genisoimage -output vco01-cidata.iso -volid cidata -joliet -rock user-data meta-data

新しく作成した ISO イメージを VMware を実行しているホスト上のデータストアに転送します。

VMware へのインストール

VMware vSphere は、仮想マシンリソースをデプロイおよび管理するための機能を提供します。このセクション

では、VMware vSphere Client を使用して SD-WAN Orchestrator を実行する方法について説明します。

OVA テンプレートのデプロイ

注：この手順では、VMware vSphere を熟知していることを前提としており、特定のバージョンの VMware vSphere を参照とするようには記述されていません。

1 vSphere Client にログインします。

2 [ファイル (File)] > [OVF テンプレートのデプロイ (Deploy OVF Template)] を選択します。

3 デプロイ固有の情報を提示してプロンプトに応答します。

フィールド説明

送信元 (Source) URL を入力するか、OVA パッケージの場所に移動します。

OVF テンプレートの詳細 (OVF template details)

このインストールに対する正しい OVA テンプレートを指していることを確認します。

名前と場所 (Name and location) 仮想マシンの名前。

ストレージ (Storage) 仮想マシンのファイルを格納する場所を選択します。

プロビジョニング (Provisioning) プロビジョニングのタイプを選択します。データベースやバイナリのログボリュームには、「シン」

を使用することをお勧めします。

ネットワークマッピング (Network mapping)

各仮想マシンが使用するネットワークを選択します。

重要： [デプロイ後にパワーオン (Power On After Deployment)] のチェックを外します。これを選択すると仮想マシンが起動します。仮想マシンは、後で cloud-init ISO が接続された後に起

動する必要があります。


VMware, Inc. 14

4 [完了 (Finish)] をクリックします。

注：ネットワーク速度に応じて、このデプロイに数分以上かかる可能性があります。

ISO イメージを CD/DVD として仮想マシンに接続

1 新しく追加された SD-WAN Orchestrator 仮想マシンを右クリックし、[設定の編集 (Edit Settings)] を選

択します。

2 [仮想マシンのプロパティ (Virtual Machine Properties)] 画面で、[CD/DVD ドライブ (CD/DVD Drive)] を選択します。

3 [ISO イメージを使用する (Use an ISO image)] オプションを選択します。

4 先ほど作成した ISO イメージ（vco01-cidata.iso という名前）を参照して検索し、そのイメージを選択し

ます。ISO は、アップロードしたデータストア内の、ユーザーが作成したフォルダにあります。

5 [パワーオン時に接続 (Connect on Power On)] を選択します。

6 [OK] をクリックして、[プロパティ (Properties)] 画面を終了します。

SD-WAN Orchestrator 仮想マシンの実行

SD-WAN Orchestrator 仮想マシンを起動するには、次の手順を実行します。

1 クリックして強調表示し、[パワーオン (Power On)] ボタンを選択します。

2 [コンソール (Console)] タブを選択して、仮想マシンが起動することを確認します。

注：ここに記載された説明どおりに SD-WAN Orchestrator を構成した場合は、ユーザー名 vcadmin と、

cloud-init ISO を作成したときに定義したパスワードで仮想マシンにログインすることができます。

KVM へのインストール

このセクションでは、libvirt を使用して SD-WAN Orchestrator を実行する方法について説明します。このデプ

ロイは、Ubuntu 14.04LTS でテスト済みです。

イメージ

KVM デプロイの場合、VMware は SD-WAN Orchestrator を 3 つの qcow イメージで提供します。

n OS

n DATABASE

n LOGS

イメージは、デプロイ時にシンプロビジョニングされます。

まず、イメージを KVM サーバにコピーします。また、前述のセクションで説明したように、cloud-init ISO ビル

ドをコピーする必要があります。


VMware, Inc. 15

XML サンプル

注： images/vco フォルダ内のイメージの場合は、XML から編集する必要があります。

<domain type='kvm' id='49'>

<name>vco</name>

<uuid>b0ff25bc-72b8-6ccb-e777-fdc0f4733e05</uuid>

<memory unit='KiB'>12388608</memory>

<currentMemory unit='KiB'>12388608</currentMemory>

<vcpu>2</vcpu>

<resource>

<partition>/machine</partition>

</resource>

<os>

<type>hvm</type>

</os>

<features>

<acpi/>

<apic/>

<pae/>

</features>

<cpu mode='custom' match='exact'>

<model fallback='allow'>SandyBridge</model>

<vendor>Intel</vendor>

<feature policy='require' name='vme'/>

<feature policy='require' name='dtes64'/>

<feature policy='require' name='invpcid'/>

<feature policy='require' name='vmx'/>

<feature policy='require' name='erms'/>

<feature policy='require' name='xtpr'/>

<feature policy='require' name='smep'/>

<feature policy='require' name='pbe'/>

<feature policy='require' name='est'/>

<feature policy='require' name='monitor'/>

<feature policy='require' name='smx'/>

<feature policy='require' name='abm'/>

<feature policy='require' name='tm'/>

<feature policy='require' name='acpi'/>

<feature policy='require' name='fma'/>

<feature policy='require' name='osxsave'/>

<feature policy='require' name='ht'/>

<feature policy='require' name='dca'/>

<feature policy='require' name='pdcm'/>

<feature policy='require' name='pdpe1gb'/>

<feature policy='require' name='fsgsbase'/>

<feature policy='require' name='f16c'/>

<feature policy='require' name='ds'/>

<feature policy='require' name='tm2'/>

<feature policy='require' name='avx2'/>

<feature policy='require' name='ss'/>

<feature policy='require' name='bmi1'/>

<feature policy='require' name='bmi2'/>

<feature policy='require' name='pcid'/>

<feature policy='require' name='ds_cpl'/>


VMware, Inc. 16

<feature policy='require' name='movbe'/>

<feature policy='require' name='rdrand'/>

</cpu>

<clock offset='utc'/>

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/bin/kvm-spice</emulator>

<disk type='file' device='disk'>

<driver name='qemu' type='qcow2'/>

<source file='/ images/vco/vco-root.img'/>

<target dev='hda' bus='ide'/>

<alias name='ide0-0-0'/>

<address type='drive' controller='0' bus='0' target='0' unit='0'/>

</disk>i



<source file='/ images/vco/vco-db.img'/>

<target dev='hdb' bus='ide'/>



</disk>



<source file='/ images/vco/vco-binlog.img'/>

<target dev='hdc' bus='ide'/>



</disk>

<disk type='file' device='cdrom'>

<driver name='qemu' type='raw'/>

<source file='/ images/vco/seed.iso'/>

<target dev='sdb' bus='sata'/>

<readonly/>

<alias name='sata1-0-0'/>


</disk>

<controller type='usb' index='0'>

<alias name='usb0'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x2'/>

</controller>

<controller type='pci' index='0' model='pci-root'>

<alias name='pci.0'/>

</controller>

<controller type='ide' index='0'>

<alias name='ide0'/>


</controller>

<interface type='direct'>

<source dev='eth0' mode='vepa'/>

</interface>

<serial type='pty'>

<source path='/dev/pts/3'/>

<target port='0'/>


VMware, Inc. 17

<alias name='serial0'/>

</serial>

<console type='pty' tty='/dev/pts/3'>

<source path='/dev/pts/3'/>

<target type='serial' port='0'/>

<alias name='serial0'/>

</console>

<memballoon model='virtio'>

<alias name='balloon0'/>


</memballoon>

</devices>

<seclabel type='none' />



</domain>

仮想マシンの作成

標準の virsh コマンドを使用して仮想マシンを作成するには：

virsh define vco.xml

virsh start vco.xml

AWS へのインストール

このセクションでは、AWS に SD-WAN Orchestrator をインストールする方法について説明します。

インスタンスの最小要件

『SD-WAN Orchestrator のインストール』の最初のセクションインスタンス要件を参照し、これらの要件に一致

する AWS インスタンスタイプを選択します。CPU とメモリの両方の要件を満たしている必要があります。例：

c4.2xlarge 以上、r4.2xlarge 以上を使用

AMI イメージの要求

VMware から AMI ID を要求します。これはユーザーのアカウントと共有されます。AMI アクセスを要求すると

きに、Amazon AWS アカウント ID を準備しておく必要があります。

インストール

1 AWS クラウドで EC2 インスタンスを起動します。

例：http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

2 セキュリティグループを構成し、インバウンド HTTP (TCP/80) および HTTPS (TCP/443) を許可します。

3 インスタンスが起動したら、Web ブラウザでオペレータのログイン URL を参照します。

https://<name>/operator


VMware, Inc. 18

http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

初期構成タスク

次の初期構成タスクを完了します。

n システムプロパティの構成

n 最初のオペレータプロファイルの構成

n オペレータアカウントの構成

n ゲートウェイの作成

n ゲートウェイプールの構成

n ユーザーアカウント/パートナーアカウントの作成

SSL 証明書のインストール

このセクションでは、SSL 証明書をインストールする方法について説明します。

SSL 証明書をインストールするには、次の手順を実行します。

1 SD-WAN Orchestrator コンソールにログインします。ここに記載された説明どおりに SD-WAN Orchestrator を構成した場合は、ユーザー名 vcadmin と、cloud-init ISO を作成したときに設定したパスワ

ードで仮想マシンにログインすることができます。

2 SD-WAN Orchestrator のプライベートキーを生成します。

注：このキーは暗号化しないでください。SD-WAN Orchestrator システムでは暗号化してないままにして

おく必要があります。

openssl genrsa -out server.key 2048

3 証明書要求を生成します。組織の情報に従って -subj をカスタマイズします。

openssl req -new -key server.key -out

server.csr -subj "/C=US/ST=California/L=Mountain View/O=Velocloud Networks

Inc./OU=Development/CN=vco.velocloud.net"

Subject フィールドの説明：


C 国

ST 都道府県

L 地域（市区町村）

O 会社

OU 部門（オプション）

CN SD-WAN Orchestrator の完全修飾ドメイン名

4 署名のために server.csr を認証局に送信します。その返信として SSL 証明書 (server.csr) を取得しま

す。PEM 形式であることを確認します。


VMware, Inc. 19

5 証明書をインストールします（root のアクセス権が必要です）。SD-WAN Orchestrator の SSL 証明書

は /etc/nginx/velocloud/ssl/ にあります。

cp server.key server.crt /etc/nginx/velocloud/ssl/

chmod 600 /etc/nginx/velocloud/ssl/server.key

6 nginx を再起動します。

Service nginx restart

システムプロパティの構成

このセクションでは、システムプロパティを構成する方法について説明します。システムプロパティは、VMware のシステム全体の動作を制御するメカニズムを提供します。

システムプロパティは、最初に cloud-init 構成ファイルを使用して設定できます（「cloud-init メタデータファイ

ルの作成」を参照）。サービスが適切に動作するように、次のプロパティを構成する必要があります。

システム名

network.public.address システムプロパティに VMware の完全修飾ドメイン名を入力します。

Google Maps

Google Maps は、マップ上に Edge およびデータセンターを表示するために使用されます。ライセンスキーがな

いと、マップを表示できないことがあります。この場合、Orchestrator は引き続き正常に機能しますが、ブラウザ

マップは使用できません。

1 https://console.developers.google.com にログインします。

2 新しいプロジェクトを作成します（まだ作成されていない場合）。

3 [API を有効化 (Enable API)] ボタンを見つけます。[Google Maps API (Google Maps APIs)] をクリッ

クし、[Google Maps JavaScript API] と [Google Maps 位置情報 API (Google Maps Geolocation API)] の両方を有効にします。

4 画面の左側で、[認証情報 (Credentials)] リンクをクリックします。

5 [認証情報] ページで [認証情報の作成 (Create Credentials)] をクリックし、[API キー (API key)] を選択し

ます。API キーを作成します。

6 VMware の service.client.googleMapsApi.key システムプロパティを API キーに設定します。

7 service.client.googleMapsApi.enable を「true」に設定します。

Twilio

Twilio は、SMS を介して VMware アラートを受信できるメッセージングサービスです。これはオプションです。

アカウントは、オペレータポータルの [システムプロパティ (System Properties)] ページを使用して VMware にプロビジョニングできます。次のプロパティが呼び出されます。

n service.twilio.enable - VMware にインターネット経由でアクセスできない場合、サービスを無効にするこ

とができます。


VMware, Inc. 20

https://console.developers.google.com/

n service.twilio.accountSid

n service.twilio.authToken

n service.twilio.phoneNumber - (nnn)nnn-nnnn 形式

https://www.twilio.com でサービスを取得します。

MaxMind

MaxMind は位置情報サービスです。これは、IP アドレスに基づいて Edge とゲートウェイの場所および ISP 名を

自動的に検出するために使用されます。このサービスが無効になっている場合は、位置情報を手動で更新する必要が

あります。アカウントは、オペレータポータルの [システムプロパティ (System Properties)] ページを使用して

VMware にプロビジョニングできます。次のプロパティを構成できます。

n service.maxmind.enable - VMware にインターネット経由でアクセスできない場合、サービスを無効にする

ことができます。

n service.maxmind.userid - アカウントの作成中に、MaxMind によって提供されるユーザー ID を保持しま

す。

n service.maxmind.license - MaxMind によって提供されるライセンスキーを保持します。

https://www.maxmind.com/en/geoip2-precision-city-service でライセンスを取得します。

E メール

E メールサービスは、Edge アクティベーションメッセージの送信、およびアラームと通知の両方に使用できます。

必須ではありませんが、これを VMware 運用の一部として構成することを強くお勧めします。Orchestrator で使

用される外部 E メールサービスを構成するには、次のシステムプロパティを使用できます。

n mail.smtp.auth.pass - SMTP ユーザーパスワード。

n mail.smtp.auth.user - 認証用の SMTP ユーザー。

n mail.smtp.host - VMware から生成された E メールのリレーサーバ。

n mail.smtp.port - SMTP ポート。

n mail.smtp.secureConnection - SMTP トラフィックに SSL を使用。

SD-WAN Orchestrator のアップグレード

このセクションでは、SD-WAN Orchestrator をアップグレードする方法について説明します。

SD-WAN Orchestrator をアップグレードするには、次の手順を実行します。

1 VMware SD-WAN by VeloCloud サポートチームがアップグレードをサポートします。サポートに問い合

わせる前に、次の情報を収集します。

n SD-WAN Orchestrator の現在のバージョンとターゲットのバージョンを提供します。例：現在のバー

ジョン (2.5.2 GA-20180430)、ターゲットのバージョン (3.3.2 p2)。

注：現在のバージョンについては、この情報は [ヘルプ (Help)] リンクをクリックして [バージョン情報

(About)] を選択すると、SD-WAN Orchestrator の右上隅に表示されます。


VMware, Inc. 21

https://www.twilio.com/

https://www.maxmind.com/en/geoip2-precision-city-service

n 次の図のように、SD-WAN Orchestrator のレプリケーションダッシュボードのスクリーンショットを

提供します。

n ハイパーバイザーのタイプとバージョン (vSphere 6.7)

n SD-WAN Orchestrator からのコマンド：

注：コマンドは、root として実行する必要があります（「sudo <command>」や「sudo-i」など）。

n LVM レイアウト

n pvdisplay -v

n vgdisplay -v

n lvdisplay -v

n df -h

n cat /etc/fstab

n メモリ情報

n free -m

n cat /proc/meminfo

n ps -ef

n top -b -n 2

n CPU 情報

n cat /proc/cpuinfo

n /var/log のコピー

n tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log


VMware, Inc. 22

n スタンバイ Orchestrator から：

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'

n アクティブ Orchestrator から：

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'

2 SD-WAN Orchestrator のアップグレードについては、上記の情報を用意し、VMware SD-WAN Orchestrator サポート (https://kb.vmware.com/s/article/53907) にお問い合わせください。

ディスクサイズの拡張 (VMware)

データベースボリュームは LVM デバイスです。基盤となる仮想化テクノロジーがオンラインディスク拡張をサポ

ートしているため、オンラインでサイズを変更できます。

ディスクサイズを拡張するには、次の手順を実行します。

1 SD-WAN Orchestrator システムコンソールにログインします。

2 データベースボリュームをバッキングしている物理ディスクを特定します。

vgs -o +devices db_data

例：

root@vco:~# vgs -o +devices db_data

\ VG #PV #LV #SN Attr VSize VFree Devices

db_data 1 1 0 wz--n- 500.00g 125.00g /dev/sdb(0)

3 物理ディスクの接続を特定します。

lshw -class volume

例：

/dev/sdb is attached to scsi@2:0.1.0 (Host: scsi2 Channel: 00 Id: 01 Lun: 00)

root@vco:~# lshw -class volume

*-volume

description: EXT4 volume

vendor: Linux

physical id: 1

bus info: scsi@2:0.0.0,1

logical name: /dev/sda1

logical name: /

version: 1.0

serial: 9d212247-77c4-4f98-a5c2-7f8470fa2da8

size: 10239MiB

capacity: 10239MiB

capabilities: primary bootable journaled extended_attributes large_files huge_files


VMware, Inc. 23

https://kb.vmware.com/s/article/53907

dir_nlink recover extents ext4 ext2 initialized

configuration: created=2016-02-22 20:49:38 filesystem=ext4 label=cloudimg-rootfs

lastmountpoint=/ modified=2016-02-22 21:18:58 mount.fstype=ext4

mount.options=rw,relatime,data=ordered mounted=2016-10-06 23:22:04 state=mounted

*-disk:1

description: SCSI Disk

physical id: 0.1.0

bus info: scsi@2:0.1.0

logical name: /dev/sdb

serial: v5V2zm-Lvbh-Mfx3-W8ki-COI9-DAtP-RXndhu

size: 500GiB

capacity: 500GiB

capabilities: lvm2

configuration: sectorsize=512

*-disk:2

description: SCSI Disk

physical id: 0.2.0

bus info: scsi@2:0.2.0

logical name: /dev/sdc

serial: fTQFJ2-giAV-WsXL-1Wha-V305-oQkV-qqS3SA

size: 100GiB

capacity: 100GiB

capabilities: lvm2

configuration: sectorsize=512

4 ハイパーバイザーホストで、バス情報を使用して仮想マシンに接続されているディスクを特定します。例：

SCSI(0:1)

5 仮想ディスクを拡張します。手順については、VMWare ナレッジベースの記事 KB1004047 (http://kb.vmware.com/kb/1004047) を参照してください。

6 SD-WAN Orchestrator システムコンソールに再ログインします。

7 サイズを変更した物理ボリュームのブロックデバイスを再スキャンします。例：

echo 1 > /sys/block/$DEVICE/device/rescan

例：

echo 1 > /sys/block/sdb/device/rescan

8 LVM 物理ディスクのサイズを変更します。

pvresize /dev/sdb

9 データベースボリュームグループ内の空き容量を判断します。

vgdisplay db_data |grep Free

例：

root@vco:~# vgdisplay db_data |grep Free

Free PE / Size 34560 / 135.00 GiB


VMware, Inc. 24

10 データベースの論理ボリュームを拡張します。

lvextend -L+#G /dev/db_data/vco

例：

root@vco:~# lvextend -L+10G /dev/db_data/vco

Extending logical volume vco to 385.00 GiB

Logical volume vco successfully resized

11 データベースボリュームファイルシステムのサイズを変更します。

resize2fs /dev/db_data/vco

例：

root@vco:~# resize2fs /dev/db_data/vco

resize2fs 1.42.9 (4-Feb-2014)

Filesystem at /dev/db_data/vco is mounted on /store; on-line resizing required

old_desc_blocks = 24, new_desc_blocks = 25

The filesystem on /dev/db_data/vco is now 100924416 blocks long.

12 ボリュームの新しいサイズを確認します。

df -h /dev/db_data/vco

例：

root@vco:~# df -h /dev/db_data/vco

Filesystem Size Used Avail Use% Mounted on

/dev/mapper/db_data-vco 379G 1.2G 359G 1% /store


VMware, Inc. 25

オペレータユーザーの SSO を使用した SD-WAN Orchestrator へのログイン

6シングルサインオン (SSO) を使用してオペレータユーザーとして SD-WAN Orchestrator にログインする方法

について説明します。

SSO を使用してオペレータユーザーとして SD-WAN Orchestrator にログインするには、次の手順を実行しま

す。

注：他の認証メカニズムで失敗する場合、システムフォールバックとしてネイティブのオペレータスーパーユー

ザーは常に必要です。

前提条件

n SD-WAN Orchestrator で SSO 認証が構成されていることを確認します。詳細については、オペレータユーザーのシングルサインオンの構成を参照してください。

n 優先 IDP で、SSO のロール、ユーザー、OIDC アプリケーションを設定しておきます。詳細については、シン

グルサインオン用の IDP の構成を参照してください。

手順

1 Web ブラウザで、オペレータユーザーとして SD-WAN Orchestrator アプリケーションを起動します。

[VMware SD-WAN 運用コンソール (VMware SD-WAN Operations Console)] 画面が表示されます。

2 [ID プロバイダを使用してサインイン (Sign In With Your Identity Provider)] をクリックします。

SSO に設定した IDP は、ユーザーを認証し、そのユーザーを SD-WAN Orchestrator の設定済み URL にリ

ダイレクトします。

注：ユーザーは、一旦 SSO を使用して SD-WAN Orchestrator にログインしたら、ネイティブユーザー

として再度ログインすることは許可されなくなります。

VMware, Inc. 26

ユーザーの監視 7オペレータユーザーは、ユーザーに接続している Edges と合わせてユーザーのステータスを監視できます。

オペレータポータルで、[ユーザーの監視 (Monitor Customers)] をクリックします。

[更新間隔 (Refresh Interval)] で、監視を一時停止するか、または監視ステータスを更新する時間間隔を選択する


[ユーザーの監視 (Monitor Customers)] ページには、次の詳細情報が表示されます。

[ユーザー (Customer)]：

n オペレータによって管理されているユーザー。

n 稼働中、停止、非アクティブのユーザーの数。数値をクリックすると、対応するユーザーの詳細情報が下部のペ

インに表示されます。

n 下部のペインで、ユーザー名へのリンクをクリックしてエンタープライズポータルに移動し、選択したユーザー

に対応するその他の設定を構成できます。詳細については、『VMware SD-WAN 管理ガイド』を参照してくだ

さい。

[Edge]：

n ユーザーに関連付けられている Edge。

VMware, Inc. 27

n 停止、低下、接続中、非アクティブの Edge の数。数値をクリックすると、対応する Edge の詳細情報が下部

のペインに表示されます。

n 下部のペインで、Edge の数の横に表示されている下矢印にマウスカーソルを置くと、各 Edge の詳細が表示

されます。Edge 名へのリンクをクリックして、[エンタープライズ監視 (Enterprise Monitoring)] ポータル

に移動し、選択した Edge に対応する詳細情報を表示できます。詳細については、『VMware SD-WAN 管理

ガイド』を参照してください。


VMware, Inc. 28

ユーザーの管理 8[ユーザーの管理 (Manage Customers)] オプションでは、新しいユーザーの作成、ユーザーの機能の構成、既存

の構成のクローン作成、およびその他のユーザー設定の構成を行うことができます。

オペレータパネルで、[ユーザーの管理 (Manage Customers)] をクリックします。[アクション (Actions)] をク

リックして、次のアクティビティを実行します。

n [新規ユーザー (New Customer)]：新しいユーザーを作成します。新しいユーザーの作成を参照してください。

n [ユーザーのクローン作成 (Clone Customer)]：選択したユーザーから既存の構成のクローンを作成すること

で、新しいユーザーを作成します。ユーザーのクローン作成を参照してください。

n [ユーザーの変更 (Modify Customer)]：エンタープライズポータルの [システム設定 (System Settings)] に移動して、選択したユーザーに対応するその他の設定を構成できます。また、ユーザーの名前をクリックして、

エンタープライズポータルに移動することもできます。詳細については、『VMware SD-WAN 管理ガイド』

を参照してください。

n [ユーザーの削除 (Delete Customer)]：選択したユーザーを削除します。ユーザーを削除する前に、選択した

ユーザーに関連付けられているすべての Edge を確実に削除します。

n [パートナーに転送 (Transfer to Partner)]：選択したユーザーをパートナーに割り当てます。ドロップダウン

リストから既存のパートナーを選択し、権限をオペレーターとパートナーに委任するかどうかを選択することも

できます。

n [パートナーから解放 (Release from Partner)]：選択したユーザーをパートナーから解放します。

n [サポート E メール (Support Email)]：選択したユーザーにユーザーサポートメッセージを送信します。

n [事前通知の更新 (Update Pre-Notifications)]：選択したユーザーの事前通知アラートを有効または無効にし

ます。

n [ユーザーアラートの更新 (Update Customer Alerts)]：選択したユーザーのアラートを有効または無効にし

ます。

n [ゲートウェイの再調整 (Rebalance Gateways)]：選択したユーザーに関連付けられている Edge のゲート

ウェイを再調整します。

n [すべてのユーザーをエクスポート (Export All Customers)]：オペレータポータルのすべてのユーザーの詳

細情報を CSV ファイルにエクスポートします。デフォルトで使用される区切り文字はカンマ (,) ですが、その

他の特殊文字に区切り文字を変更することができます。

VMware, Inc. 29

n [ユーザーの Edge インベントリをエクスポート (Export Customer Edge Inventory)]：すべてのユーザー

に関連付けられているすべての Edge のインベントリ詳細を CSV ファイルにエクスポートします。デフォル

トで使用される区切り文字はカンマ (,) ですが、その他の特殊文字に区切り文字を変更することができます。


n 新しいユーザーの作成

n ユーザーのクローン作成

n ユーザーの構成

新しいユーザーの作成

オペレータポータルでは、ユーザーを作成し、ユーザーの設定を構成できます。

オペレータスーパーユーザー、標準オペレータ、およびビジネススペシャリストオペレータのみが新しいユーザー

を作成できます。

注：オペレータスーパーユーザーは、システムプロパティ session.options.disableCreateEnterprise を

True に設定することで、新しいユーザーの作成を一時的に無効にすることができます。このオプションは、SD-WAN Orchestrator が使用量のキャパシティを超えた場合に使用できます。

オペレータポータルで、[ユーザーの管理 (Manage Customers)] に移動します。

1 [ユーザー (Customers)] ページで [新規ユーザー (New Customer)] をクリックするか、[アクション

(Actions)] - [新規ユーザー (New Customer)] をクリックします。

2 [新規ユーザー (New Customer)] ウィンドウで、次の詳細を入力します。また、[ユーザーのクローンを作成

(Clone from Customer)] オプションを選択して、既存のユーザーから構成のクローンを作成することもでき

ます。詳細については、ユーザーのクローン作成を参照してください。


VMware, Inc. 30

[ユーザー情報 (Customer Information)]

オプション説明

会社名 (Company Name) 会社名を入力します。

アカウント番号 (Account Number) ユーザーの一意の ID を入力します。

ドメイン (Domain) 会社のドメイン名を入力します。

VeloCloud サポートアクセス (VeloCloud Support Access) このオプションはデフォルトでオンになっており、ユーザーに接続さ

れている Edge を表示、構成、およびトラブルシューティングするた

めのアクセス権を VMware サポートに付与します。

セキュリティ上の理由から、サポートはユーザー識別可能な情報にア

クセスしたり、表示したりすることはできません。

VeloCloud ユーザー管理アクセス (VeloCloud User Management Access)

このチェックボックスをオンにすると、VMware サポートはユーザ

ー管理を支援できます。ユーザー管理には、ユーザーの作成、パスワ

ードのリセット、およびその他の設定の構成を行うオプションがあり

ます。この場合、サポートはユーザー識別可能な情報にアクセスでき

ます。

番地、市区町村、都道府県、国、郵便番号 (Street Address, City, State, Country, ZIP/Postcode)

関連するアドレスの詳細をそれぞれのフィールドに入力します。


VMware, Inc. 31

[管理アカウント (Administrative Account)]


ユーザー名 (Username) [[email protected]] 形式でユーザー名を入力します。

パスワード (Password) 管理者のパスワードを入力します。

確認 (Confirm) パスワードを再入力します。

名、姓、電話番号、携帯電話番号 (First Name, Last Name, Phone, Mobile Phone)

名前や電話番号などの詳細をそれぞれのフィールドに入力します。

連絡先の E メール (Contact Email) メールアドレスを入力します。サービスステータスのアラートは、こ

のメールアドレスに送信されます。

[ユーザー構成 (Customer Configuration)]


オペレータプロファイル (Operator Profile) ドロップダウンリストから既存のオペレータプロファイルを選択し

ます。オペレータプロファイルの詳細については、オペレータプロフ

ァイルの管理を参照してください。

ゲートウェイプール (Gateway Pool) ドロップダウンリストから既存のゲートウェイプールを選択します。

ゲートウェイプールの詳細については、ゲートウェイプールを参照し

てください。

デフォルトの Edge 認証 (Default Edge Authentication) ドロップダウンリストから、ユーザーに関連付けられている Edge を認証するためのデフォルトのオプションを選択します。

Edge ライセンス (Edge Licensing) [追加 (Add)] をクリックして、使用可能なリストから Edge ライセ

ンスを選択します。ライセンスを追加した後、[変更 (Modify)] をク

リックしてライセンスを追加または削除できます。

注：ライセンスタイプは、複数の Edge で使用できます。ユーザー

のエディションとリージョンに合わせるには、ユーザーがすべてのタ

イプのライセンスにアクセスできるようにすることをお勧めします。

詳細については、16 章 Edge ライセンスを参照してください。

3 [作成 (Create)] をクリックします。

新しいユーザー名が [ユーザー (Customers)] ページに表示されます。ユーザー名をクリックしてエンタープライ

ズポータルに移動し、ユーザーに構成を追加することができます。詳細については、ユーザーの構成および

『VMware SD-WAN 管理ガイド』を参照してください。

ユーザーのクローン作成

既存のユーザーから構成のクローンを作成し、クローン作成された設定を使用して新しいユーザーを作成できます。

オペレータスーパーユーザーと MSP スーパーユーザーのみがユーザーのクローンを作成できます。

デフォルトでは、選択したユーザーから次の構成がクローン作成されます。

n エンタープライズ構成プロファイル


VMware, Inc. 32

n 次のようなエンタープライズネットワークサービスとオブジェクト：

n DNS サービス

n プライベートネットワーク名

n ネットワークセグメント

n ユーザーの機能

n Edge 認証スキーム

n アドレスグループとポートグループ

次の要素で構成されているエンタープライズのクローンを作成することはできません。

n ハブやクラスタなどの Edge 参照を含むプロファイル

n 有効なクラウドセキュリティサービス

n Non VMware SD-WAN Sites

n VNF または VNF ライセンス

n 認証サービス

n コレクタやフィルタなどの NetFlow オブジェクト

オペレータポータルで、[ユーザーの管理 (Manage Customers)] に移動します。

1 [ユーザー (Customers)] ページで、クローンを作成するユーザーを選択し、[アクション (Actions)] - [ユーザ

ーのクローン作成 (Clone Customer)] の順にクリックします。

2 [新規ユーザー (New Customer)] ウィンドウで、次の詳細を入力します。また [新規ユーザー (New Customer)] オプションを選択して、選択したユーザーの構成のクローンを作成することなく新規ユーザーを作

成することもできます。新しいユーザーの作成を参照してください。


VMware, Inc. 33

[構成のクローン作成 (Clone Configuration)]


テンプレートユーザー (Template Customer) デフォルトでは、選択されたユーザーがクローン作成に使用されます。

必要に応じて、ドロップダウンリストから別のユーザーを選択できま

す。

ユーザーまたはエンタープライズがこのセクションの冒頭に記載され

ている適切なクローン作成条件を満たさない場合、ドロップダウンリストには表示されません。このリストには、クローンを作成できるユ

ーザーの名前のみが表示されます。

その他のクローン属性 (Additional Clone Attributes) デフォルトのクローン構成に加えて、必要に応じて、次の設定を選択

してクローンを作成することができます。

n セキュリティポリシー (Security Policy)

n アラート設定 (Alert Configuration)

n グローバルルーティング設定 (Global Routing Preferences)

n IAAS サブスクリプション (IAAS Subscriptions)

新しいユーザーの作成の説明に従って、[ユーザー情報 (Customer Information)] と [管理アカウント

(Administrative Account)] の詳細を入力します。


VMware, Inc. 34

[ユーザー構成 (Customer Configuration)] セクションで、オペレータプロファイル、ゲートウェイプール、

およびデフォルトの Edge 認証が選択されたユーザーからクローン作成されます。必要に応じて、設定を変更で

きます。

Edge ライセンスの場合は、[追加 (Add)] をクリックして、使用可能なリストから Edge ライセンスを含めま

す。


新しいユーザー名が [ユーザー (Customers)] ページに表示されます。ユーザーは、クローン作成された設定を使用

してすでに構成されています。ユーザー名をクリックしてエンタープライズポータルに移動し、構成を追加または変

更することができます。詳細については、ユーザーの構成および『VMware SD-WAN 管理ガイド』を参照してく

ださい。

ユーザーの構成

ユーザーを作成した後、ユーザーがアクセスできるオプションと設定を構成します。オペレータとして、ユーザーま

たはエンタープライズが変更できる設定を選択できます。

新しいユーザーを作成すると、[ユーザー構成 (Customer Configuration)] ページにリダイレクトされ、ユーザー

の設定を構成できます。

Orchestrator ポータルの [ユーザーの管理 (Manage Customers)] ページから構成ページに移動することもでき

ます。ユーザーを選択して [アクション (Actions)] - [変更 (Modify)] をクリックするか、ユーザーへのリンクをク

リックします。

ユーザーまたはエンタープライズポータルで、[構成 (Configure)] - [ユーザー (Customer)] をクリックし、次の

設定を構成することができます。


VMware, Inc. 35

[ユーザーの機能 (Customer Capabilities)]


VMware, Inc. 36

選択したユーザーに対して、次の機能を有効または無効にすることができます。

注：ユーザーの機能を有効にするには、関連付けられたシステムプロパティに True 値を割り当てる必要がありま

す。詳細については、11 章システムプロパティを参照してください。

n [エンタープライズ認証の有効化 (Enable Enterprise Auth)] – デフォルトでは、オペレータのみがエンタープ

ライズの 2 要素認証を有効または無効にすることができます。この機能を有効にすると、エンタープライズ管理

者は自分で 2 要素認証を構成できます。

n [Orchestrator のファイアウォールログ作成の有効化 (Enable Firewall logging to Orchestrator)] – エンタープライズユーザーが、プロファイルレベルと Edge レベルで Orchestrator のファイアウォール情報

のログ作成を有効または無効にすることを許可します。ファイアウォールのログ作成が有効になっている場合

は、エンタープライズポータルでファイアウォールのログを監視できます。

n [レガシーネットワークの有効化 (Enable Legacy Networks)] – エンタープライズがレガシーネットワー

クを使用することを許可します。セグメントベースのオペレータプロファイルを使用している場合は、このオプ

ションを有効にすることはできません。

n [プレミアムサービスの有効化 (Enable Premium Service)] – プレミアムサービスの利用を許可します。

n [セグメントの有効化 (Enable Segmentation)] – セグメントの構成を許可します。

n [ステートフルファイアウォールの有効化 (Enable Stateful Firewall)] – エンタープライズユーザーが、プロ

ファイルレベルと Edge レベルでステートフルファイアウォール機能を有効または無効にすることを許可し

ます。

n [ユーザーへの管理の委任 (Delegate Management To Customer)] - 次のオプションが常にユーザーに表

示されます。これらのオプションを有効にすると、ユーザーは設定を変更できます。

n CoS マッピング (CoS Mapping)

n サービスレートの制限 (Service Rate Limiting)

[プレミアムサービスの有効化 (Enable Premium Service)]、[セグメントの有効化 (Enable Segmentation)]、および [ステートフルファイアウォールの有効化 (Enable Stateful Firewall)] はデフォ

ルトで有効になっています。

[セキュリティポリシー (Security Policy)]

Edge 間の VCMP トンネルに適用する IPsec 標準を以下から選択します。

n [ハッシュ (Hash)]：デフォルトでは、VPN ヘッダーには認証アルゴリズムが構成されていません。Galois/カウンタモード (GCM) が無効になっている場合は、表示されるドロップダウンリストから VPN ヘッダーの認

証アルゴリズムとして次のいずれかを選択できます。

n SHA 1

n SHA 256


VMware, Inc. 37

n [暗号化 (Encryption)]：AES 128-Galois/Counter Mode (GCM)、AES 256-GCM、AES 128-Cipher Block Chaining (CBC)、および AES 256-CBC は、機密性を確保するために使用される暗号化アルゴリズム

モードです。データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択しま

す。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アル

ゴリズムモードは AES 128-GCM です。

n [DH グループ (DH Group)]：事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループアルゴ

リズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている

DH グループは 2、5、14 です。DH グループ 14 を使用することをお勧めします。

n [PFS]：セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポート

されている PFS レベルは 2 と 5 です。デフォルトでは、PFS は無効になっています。

n [GCM の無効化 (Disable GCM)]：デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、

チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。

注：セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの

設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。こ

れにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性が

あります。

[最大セグメント (Maximum Segments)]

構成可能なセグメントの最大数を入力します。範囲は 1 ～ 16 で、デフォルト値は 16 です。

[OFC のコスト計算 (OFC Cost Calculation)]

デフォルトでは、Edge とゲートウェイから学習されたルートを受信することで、Orchestrator はルートのコスト

を計算します。コスト計算を Edge とゲートウェイに分散することを選択できます。これにより、リソースの使用量

と Orchestrator の負荷が軽減されます。

メンテナンス画面で [分散コスト計算 (Distributed Cost Calculation)] 機能を有効にするには、すべての Edge とゲートウェイをバージョン 3.4.0 以降にアップグレードする必要があります。

[分散コスト計算 (Distributed Cost Calculation)] チェックボックスを選択して、ルートのコスト計算を Edge とゲートウェイに委任します。

コスト計算は、動的ルート（BGP と OSPF）に対してのみ実行されます。ネットワーク内のすべてのルートのサマ

リを表示するには、エンタープライズポータルで [構成 (Configure)] - [オーバーレイフロー制御 (Overlay Flow Control)] をクリックします。また、[オーバーレイフロー制御 (Overlay Flow Control)] ページの設定を編集し

て、さまざまなタイプのルートのアドバタイズアクションを変更することもできます。

[分散コスト計算 (Distributed Cost Calculation)] を有効にすると、[オーバーレイフロー制御 (Overlay Flow Control)] ページで [ルートの更新 (Refresh Routes)] オプションが使用できるようになります。


VMware, Inc. 38

[ルートの更新 (Refresh Routes)] をクリックすると、このオプションによって、Edge とゲートウェイは学習され

たルートコストを再計算し、その結果を Orchestrator に送信します。これにより、Edge とゲートウェイから

Orchestrator に送信されるデータが大幅に増加します。したがって、このオプションはメンテナンス画面で使用す

ることをお勧めします。さらに、[ルートの更新 (Refresh Routes)] をクリックすると、[グローバルアドバタイズ

フラグ (Global Advertise Flags)] の変更が新しいルートおよび既存のルートに適用されます。

使用可能なピン留めルートがある場合は、サブネットのコスト計算をリセットできます。サブネットの [編集 (Edit)] オプションをクリックします。

[リセット (Reset)] をクリックすると、Orchestrator はピン留めされたルートをクリアし、ポリシーに基づいて選

択したサブネットのコストを再計算し、結果を Edge とゲートウェイに送信できます。

[Edge NFV]

次のオプションを選択して、ユーザーがサービスの準備ができた Edge プラットフォーム上でサードパーティ製の仮

想ネットワーク機能 (VNF) をデプロイできるようにします。


VMware, Inc. 39

現在、サービスの準備ができた Edge プラットフォームモデルは、520v と 840 です。オペレータユーザーとし

て Edge NFV を有効にすると、ユーザーはネットワークサービスから VNF および VNF ライセンスを構成してデ

プロイできます。

n [Edge NFV の有効化 (Enable Edge NFV)] – このオプションをオンにすると、Edge に VNF をデプロイ

する機能が有効になります。Edge に 1 つ以上の VNF をデプロイした後は、このオプションを無効にすること

はできません。

n [セキュリティ VNF (Security VNFs)] – リストされているサードパーティ製 VNF の横にある該当するチェ

ックボックスをオンにして、対応するセキュリティ VNF を Edge 上にデプロイします。

[オペレータプロファイル (Operator Profile)]

選択したユーザーに関連付けられている現在のオペレータプロファイルが表示されます。必要に応じて、ドロップダ

ウンリストで使用可能な別のオペレータプロファイルを選択できます。

別のオペレータプロファイルに切り替えるときは、次の制限事項を考慮してください。

n セグメントベースのオペレータプロファイルからネットワークベースのオペレータプロファイルに切り替える

と、セグメントベースのプロファイルに対するエンタープライズの Edge にソフトウェアイメージの更新が適

用されません。

n ネットワークベースのオペレータプロファイルからセグメントベースのオペレータプロファイルに切り替える

と、ネットワークベースのプロファイルに対するエンタープライズの Edge にソフトウェアイメージの更新が

適用されません。

[ゲートウェイプール (Gateway Pool)]

選択したユーザーに関連付けられている現在のゲートウェイプールが表示されます。必要に応じて、ドロップダウン

リストで使用可能な別のゲートウェイプールを選択できます。

ゲートウェイプールで使用可能なゲートウェイがパートナーゲートウェイロールを使用して割り当てられている場

合は、ゲートウェイをパートナーにハンドオフすることができます。[パートナーハンドオフの有効化 (Enable Partner Handoff)] を選択して、セグメントとゲートウェイのハンドオフオプションを構成します。詳細について

は、パートナーハンドオフの構成を参照してください。

[その他の設定 (Other Settings)]

このオプションは、[ユーザー契約書 (User Agreement)] オプションを有効にしている場合にのみ使用できます。

ユーザー契約書のデフォルトの表示設定を上書きするには、[ユーザー契約書の表示 (User Agreement Display)] ドロップダウンリストから該当するオプションを選択します。デフォルトでは、ユーザーは [システムプロパティ

(System Properties)] で設定されている表示モードを継承します。詳細については、20 章ユーザー契約書の管理


構成に変更を加えた後、[変更の保存 (Save Changes)] をクリックします。

パートナーハンドオフの構成

ゲートウェイをパートナーにハンドオフするように構成できます。ゲートウェイはパートナーゲートウェイとして

動作し、ハンドオフインターフェイス、スタティックルート、BGP、およびその他の設定を構成することができま

す。


VMware, Inc. 40

ハンドオフされるゲートウェイに、パートナーゲートウェイロールが割り当てられていることを確認します。

Orchestrator ポータルで、[ゲートウェイ (Gateways)] をクリックし、既存のゲートウェイへのリンクをクリッ

クします。選択したゲートウェイの [プロパティ (Properties)] セクションで、パートナーゲートウェイロールを

有効にすることができます。

ハンドオフ設定を構成するには、[ユーザー構成 (Customer Configuration)] ページに移動します。

n Orchestrator ポータルで、[ユーザーの管理 (Manage Customers)] をクリックします。

n ユーザーを選択して [アクション (Actions)] - [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリ

ックします。

n ユーザーまたはエンタープライズポータルで、[構成 (Configure)] - [ユーザー (Customer)] をクリックしま

す。

n [ユーザー構成 (Customer Configuration)] で、[ゲートウェイプール (Gateway Pool)] セクションに移動

し、[パートナーハンドオフの有効化 (Enable Partner Handoff)] チェックボックスを選択します。

次の設定を構成します。

[ユーザーの BGP の優先順位 (Customer BGP Priority)]

n [コミュニティマッピングの有効化 (Enable Community Mapping)] をオンにして、BGP アドバタイズルー

トでタグ付けされるコミュニティ属性を設定します。

n コミュニティマッピングは、デフォルトですべてのセグメントに設定されます。特定のセグメントのコミュニテ

ィ属性を構成する場合は、[セグメントごと (Per Segment)] を選択し、ドロップダウンリストからセグメント

を選択します。


VMware, Inc. 41

n [コミュニティ付加 (Community Additive)] チェックボックスをオンにして、特定の自動コミュニティ構成に

関連付けられた付加オプションを有効にします。このオプションは、オーバーレイから受信したプリフィックス

の受信コミュニティ属性を保持し、構成された自動コミュニティをパートナーゲートウェイのプリフィックスに

追加します。その結果、MPLS PE 側は、自動コミュニティ属性を含むすべてのコミュニティ属性を持つプリフ

ィックスを受け取ります。

n コミュニティ属性を [コミュニティ (Community)] と [コミュニティ 2 (Community 2)] フィールドに入力

します。プラス ([+]) アイコンをクリックして、さらにコミュニティ属性を追加します。

[ハンドオフの構成 (Configure Hand Off)]

n デフォルトでは、ハンドオフ構成はすべてのゲートウェイに適用されます。特定のゲートウェイを構成する場合

は、[ゲートウェイごと (Per Gateway)] を選択し、ドロップダウンリストからゲートウェイを選択します。

n デフォルトでは、ハンドオフ構成はすべてのセグメントに適用されます。特定のセグメントを構成する場合は、

ドロップダウンリストから [セグメント (Segment)] を選択します。

n すべてのゲートウェイを構成するには、[編集 (Edit)] オプションをクリックします。特定のゲートウェイを選択

した場合は、[ここをクリックして構成 (Click here to configure)] リンクをクリックします。

[ハンドオフの詳細 (Hand Off Details)] ウィンドウが表示され、次のオプションを構成できます。


VMware, Inc. 42


[ハンドオフインターフェイス (Hand Off Interface)]

タグタイプ (Tag Type) タグタイプを選択します。これはゲートウェイがユーザーのトラフィッ

クをルーターにハンドオフするカプセル化です。使用可能なタグタイプ

は次のとおりです。

n [なし (None)] - タグなし。シングルテナントのハンドオフ時、ま

たは共有サービス VRF に向けたハンドオフ時に選択します。

n [802.1q] - 単一の VLAN タグ。

n [802.1ad]/[QinQ(0x8100)]/[QinQ(0x9100)] - デュアル

VLAN タグ。

トランスポート VLAN (Transport VLAN) このオプションは、タグタイプとして 802.1ad/QinQ(0x8100)/QinQ(0x9100) を選択した場合にのみ使用できます。トランスポート

VLAN を構成するタグタイプを選択します。

C-タグ（ユーザータグ）(C-Tag (Customer tag)) ユーザーの VLAN タグを入力します。

S-タグ（サービスタグ）(S-Tag (Service tag)) サービスプロバイダが定義した VLAN タグを入力します。

ローカル IP アドレス (Local IP Address) 論理ハンドオフインターフェイスのローカル IP アドレスを入力します。

プライベートトンネルに使用 (Use for Private Tunnels) このチェックボックスをオンにすると、プライベート WAN リンクがパ

ートナーゲートウェイのプライベート IP アドレスに接続されます。ゲ

ートウェイでプライベート WAN 接続が有効になっている場合、

Orchestrator は監査を行い、ローカル IP アドレスがエンタープライズ

内の各ゲートウェイで一意であることを確認します。

BGP 経由でアドバタイズ (Advertise via BGP) このチェックボックスをオンにすると、BGP 経由でパートナーゲートウ

ェイのプライベート WAN IP アドレスが自動的にアドバタイズされま

す。接続は既存のローカル IP アドレスを使用して提供されます。

[スタティックルート (Static Routes)] – さらにルートを追加するにはプラス ([+]) アイコンをクリックします。

サブネット (Subnets) ゲートウェイが Edge にアドバタイズするスタティックルートサブネ

ットの IP アドレスを入力します。

コスト (Cost) ルートに加重を適用するためのコストを入力します。範囲は 0 ～ 255 です。

暗号化 (Encrypt) Edge とゲートウェイ間のトラフィックを暗号化するには、このチェッ

クボックスをオンにします。

ハンドオフ (Hand off) ハンドオフタイプとして、VLAN または NAT を選択します。

説明 (Description) 必要に応じて、スタティックルートの説明テキストを入力します。

[BGP]

BGP の有効化 (Enable BGP) BGP を有効にして BGP 構成を設定するには、このチェックボックスを

オンにします。

ユーザーの ASN (Customer ASN) ユーザーの自律システム番号 (ASN) を入力します。

ネイバー IP アドレス (Neighbor IP) 構成されたネイバーネットワークの IP アドレスを入力します。

ネイバーの ASN (Neighbor-ASN) ネイバーネットワークの ASN を入力します。

セキュア BGP ルート (Secure BGP Routes) BGP ルートでのデータ転送の暗号化を有効にするには、このチェックボ

ックスをオンにします。


VMware, Inc. 43


[BGP 受信/送信フィルタ (BGP Inbound/Outbound Filters)] – さらにフィルタを追加するにはプラス ([+]) アイコンをクリックします。

タイプ（一致）(Type (Match)) トラフィックフローと一致するために考慮する BGP 属性のタイプを選

択します。[プリフィックス (Prefix)] または [コミュニティ

(Community)] のいずれかを選択できます。

値 (Value) [タイプ (Type)] として選択された BGP 属性に応じて値を入力しま

す。

完全一致 (Exact Match) 属性を完全に一致させるには、このチェックボックスをオンにします。

タイプ（アクション）(Type (Action)) 一致が True の場合に実行するアクションを選択します。トラフィック

を許可するか拒否するかを選択できます。

設定 (Set) フィルタ条件に一致するルートの属性値を設定できます。

次の属性から選択し、一致するルートに設定される対応する値を入力しま

す。

n なし (None) - 一致するルートの属性は変わりません。

n ローカルプリファレンス (Local Preference)

n コミュニティ (Community) - [コミュニティ付加 (Community Additive)] オプションを有効にすることもできます。

n メトリック (Metric)

n AS-Path-Prepend

[BGP のオプション設定 (BGP Optional Settings)]

ルーター ID (Router ID) BGP ルーターを識別するルーター ID を入力します。

キープアライブ (Keep Alive) BGP キープアライブ時間を秒単位で入力します。デフォルトのタイマ

ーは 60 秒です。

保持タイマー (Hold Timers) BGP 保持時間を秒単位で入力します。デフォルトのタイマーは 180 秒です。

AS-PATH 引継ぎの無効化 (Disable AS-PATH Carry Over) AS-PATH 引継ぎを無効にするには、このチェックボックスをオンにし

ます。これは送信 AS-PATH に影響し、L3 ルーターが PE へのパスを

優先するようになります。このオプションを選択した場合は、ルーティン

グのループを回避するために、ネットワークを調整してください。このチ

ェックボックスをオンにしないことをお勧めします。

[更新 (Update)] をクリックして設定を保存します。さらに、[ユーザー構成 (Customer Configuration)] ページ

で [変更の保存 (Save Changes)] をクリックして、設定を有効にします。


VMware, Inc. 44

パートナーの管理 9[パートナーの管理 (Manage Partners)] オプションを使用すると、ユーザーのグループを個別に管理できる新しい

パートナーを作成できます。

オペレータパネルで、[パートナーの管理 (Manage Partners)] をクリックします。[アクション (Actions)] をク

リックして、次のアクティビティを実行します。

n [新規パートナー (New Partner)]：新しいパートナーを作成します。新しいパートナーの作成を参照してくだ

さい。

n [パートナーの変更 (Modify Partner)]：パートナーポータルの [パートナーの概要 (Partner Overview)] に移動して、選択したパートナーに対応するその他の設定を構成できます。また、パートナーの名前をクリックし

て、パートナーポータルに移動することもできます。詳細については、パートナー情報の構成を参照してくださ

い。

n [パートナーの削除 (Delete Partner)]：選択したパートナーを削除します。パートナーを削除する前に、選択

したパートナーに関連付けられているすべてのユーザーを確実に削除します。

n [オペレータプロファイルの追加 (Add Operator Profiles)]：選択したパートナーにオペレータプロファイル

を割り当てます。これにより、SD-WAN Orchestrator によって管理されるネットワーク設定が指定されま

す。パートナーを選択した後、[アクション (Actions)] - [オペレータプロファイルの追加 (Add Operator Profiles)] をクリックします。[選択したパートナーにプロファイルを追加 (Add Profile to Selected Partners)] 画面で、ドロップダウンリストから既存のオペレータプロファイルを選択し、[送信 (Submit)] をクリックします。オペレータプロファイルの詳細については、オペレータプロファイルの管理を参照してくだ

さい。


n 新しいパートナーの作成

n パートナー情報の構成

新しいパートナーの作成

オペレータポータルでは、パートナーを作成して設定を構成することができます。これによって、パートナーは、ユ

ーザーのグループを自分で管理できるようになります。

VMware, Inc. 45

オペレータスーパーユーザー、標準オペレータ、およびビジネススペシャリストオペレータのみが新しいパートナ

ーを作成できます。

注：オペレータスーパーユーザーは、システムプロパティ session.options.disableCreateEnterpriseProxy を True に設定することで、新しいパートナーの作成を一時的に無効にすることができます。このオプションは、

SD-WAN Orchestrator が使用量のキャパシティを超えた場合に使用できます。

オペレータポータルで、[パートナーの管理 (Manage Partners)] に移動します。

1 [パートナーの管理 (Manage Partners)] ページで [新規パートナー (New Partner)] をクリックするか、[アクション (Actions)] - [新規パートナー (New Partner)] をクリックします。

2 [新規パートナー (New Partner)] 画面で、次の詳細を入力します。


名前 (Name) パートナーの名前を入力します

ドメイン (Domain) パートナーのドメイン名を入力します

VeloCloud サポートアクセス (VeloCloud Support Access) このオプションはデフォルトでオンになっており、パートナーの設定

を表示、構成、およびトラブルシューティングするためのアクセス権

を VMware サポートに付与します。


VMware, Inc. 46


ゲートウェイ管理アクセスの付与 (Grant Gateway Management Access)

このチェックボックスをオンにすると、パートナーはゲートウェイを

作成および管理できます。

番地、市区町村、都道府県、国、郵便番号 (Street Address, City, State, Country, ZIP/Postcode)

関連するアドレスの詳細をそれぞれのフィールドに入力します。

[最初のパートナー管理者アカウント (Initial Partners Admin Account)]


ユーザー名 (Username) [[email protected]] 形式でユーザー名を入力します。

パスワード (Password) パートナーのパスワードを入力します。

確認 (Confirm) パスワードを再入力します。

名、姓、電話番号、携帯電話番号 (First Name, Last Name, Phone, Mobile Phone)

名前や電話番号などの詳細をそれぞれのフィールドに入力します。

連絡先の E メール (Contact Email) メールアドレスを入力します。サービスステータスのアラートは、こ

のメールアドレスに送信されます。

[デフォルトのプロパティ (Default Properties)]

デフォルトでは、パートナーによって管理されるユーザーには、次のプロパティが割り当てられます。必要に応

じて、パートナーは各ユーザーの設定を変更できます。


ゲートウェイプール (Gateway Pool) [追加 (Add)] をクリックして、使用可能なリストからゲートウェイ

プールを選択します。ゲートウェイプールを追加した後、[変更

(Modify)] をクリックしてプールを追加または削除できます。

ゲートウェイプールの詳細については、ゲートウェイプールを参照し

てください。

ソフトウェアイメージ (Software Image) [追加 (Add)] をクリックして、使用可能なリストからソフトウェア

イメージを選択します。ソフトウェアイメージを追加した後、[変更

(Modify)] をクリックしてイメージを追加または削除できます。

ソフトウェアイメージの詳細については、10 章ソフトウェアイメー

ジを参照してください。

Edge ライセンス (Edge Licensing) [追加 (Add)] をクリックして、使用可能なリストから Edge ライセ

ンスを選択します。ライセンスを追加した後、[変更 (Modify)] をク

リックしてライセンスを追加または削除できます。このオプション

は、システムプロパティ

[session.options.enableEdgeLicensing] が True に設定され

ている場合にのみ使用可能です。

注：ライセンスタイプは、複数の Edge で使用できます。パートナ

ーのエディションとリージョンに合わせるには、パートナーがすべて

のタイプのライセンスにアクセスできるようにすることをお勧めしま

す。詳細については、16 章 Edge ライセンスを参照してください。



VMware, Inc. 47

新しいパートナー名は、[パートナーの管理 (Manage Partners)] ページに表示されます。パートナー名をクリック

してパートナーポータルに移動し、パートナーに構成を追加することができます。パートナー情報の構成を参照して

ください。

パートナー情報の構成

パートナーを作成した後、パートナーがアクセスできる機能オプションと設定を構成します。オペレータは、パート

ナーのエンタープライズユーザーを構成するためにパートナーが変更および使用することができる設定を選択でき

ます。

新しいパートナーを作成すると、[パートナーの概要 (Partner Overview)] ページにリダイレクトされ、ユーザー

の設定を構成できます。

Orchestrator ポータルの [パートナーの管理 (Manage Partners)] ページから概要ページに移動することもでき

ます。パートナーを選択して [アクション (Actions)] - [変更 (Modify)] をクリックするか、パートナーへのリンク

をクリックします。

パートナーポータルで [パートナーの概要 (Partner Overview)] をクリックして、次の設定を構成できます。

[パートナーの機能 (Partner Capabilities)]

n [ゲートウェイ管理を有効化 (Enable Gateway Management)]：パートナーユーザーによる独自のゲートウ

ェイの作成、構成、および管理を有効または無効にすることができます。

[使用可能なソフトウェアイメージ (Available Software Images)]


VMware, Inc. 48

パートナーに割り当てられているすべてのソフトウェアイメージを表示します。[変更 (Modify)] をクリックする

と、リスト内のソフトウェアイメージを追加または削除できます。

注：ユーザーに割り当てられているソフトウェアイメージを削除することはできません。

[ゲートウェイプール (Gateway Pool)]

選択したパートナーに関連付けられているゲートウェイプールを表示します。[変更 (Modify)] をクリックすると、

リスト内のゲートウェイプールを追加または削除できます。


VMware, Inc. 49

ソフトウェアイメージ 10Orchestrator ポータルでは、オペレータユーザーが、関連付けられた Edge のソフトウェアイメージを管理でき

ます。

ソフトウェアイメージを管理するには、次の手順を実行します。

n オペレータポータルで、[ソフトウェアイメージ (Software Images)] をクリックします。

n [ソフトウェアイメージのアップロード (Upload Software Image)] をクリックし、イメージファイルを選択

します。Orchestrator はパッケージを検証して、ポータルにアップロードします。複数のソフトウェアイメー

ジをポータルにアップロードできます。

n アップロードされたパッケージは、[ソフトウェアイメージ (Software Images)] ページに表示されます。

n パッケージの名前と説明を変更できます。イメージ名へのリンクをクリックするか、イメージを選択して [アク

ション (Actions)] - [ソフトウェアイメージの変更 (Modify Software Image)] をクリックして、詳細を更

新します。

n ポータルからパッケージを削除するには、イメージを選択して [アクション (Actions)] - [ソフトウェアイメー

ジの削除 (Delete Software Image)] をクリックします。

エンタープライズユーザーの Edge に特定のソフトウェアイメージをプッシュする方法については、オペレータプロファイルの管理を参照してください。

VMware, Inc. 50

システムプロパティ 11VMware には、Orchestrator ポータルで使用できるさまざまな機能やオプションを構成するためのシステムプロ

パティが用意されています。

オペレータポータルで、[システムプロパティ (System Properties)] ページに移動します。このページには、使

用可能な事前定義済みのシステムプロパティが一覧表示されます。

システムプロパティを構成するには、次の手順を実行します。

n [新規システムプロパティ (New System Property)] をクリックして、新しいプロパティを追加します。

n [新規システムプロパティ (New System Property)] 画面で、新しいプロパティの名前を入力し、ドロップダ

ウンリストから [データタイプ (Data Type)] を選択します。

n データタイプに応じてプロパティの [値 (Value)] を入力します。

n プロパティの説明を入力します。

n [保存 (Save)] をクリックします。

n プロパティの値を変更するには、プロパティへのリンクをクリックするか、プロパティを選択して [アクション

(Actions)] - [システムプロパティの変更 (Modify System Property)] をクリックします。

n プロパティを削除するには、プロパティを選択して [アクション (Actions)] - [システムプロパティの削除

(Delete System Property)] をクリックします。

VMware, Inc. 51

[検索 (Search)] オプションを使用して、特定のシステムプロパティを検索できます。オペレータとして変更できる

システムプロパティについては、その一部が記載されているシステムプロパティのリストを参照してください

注：システムプロパティを変更する前に VMware のサポートに問い合わせることをお勧めします。


n システムプロパティのリスト

システムプロパティのリスト

オペレータは、システムプロパティの値の追加や変更ができます。

次の表に、システムプロパティの一部を記載します。オペレータは、これらのプロパティの値を設定できます。

n アラートメール

n アラート

n Edge

n 監視

n 通知

n パスワードのリセットとロックアウト

n セルフサービスパスワードリセット

n 2 要素認証

n 仮想ネットワーク機能 (VNF) 構成

n VPN

表 11-1. アラートメール

システムプロパティ説明

vco.alert.mail.to アラートがトリガーされると、このシステムプロパティの [値 (Value)] フィールドに記載されているリストのメールアドレスに、すぐに通知が

送信されます。複数の E メール ID をカンマ区切りで入力できます。

このプロパティに値が含まれていない場合、通知は送信されません。

この通知は、ユーザーに通知する前に、差し迫った問題のアラートを

VMware サポート/運用担当者に送信することを目的としています。

vco.alert.mail.cc アラートメールがどのユーザーに送信される場合でも、このシステムプロパティの [値 (Value)] フィールドに記載されているメールアドレス

にコピーが送信されます。複数の E メール ID をカンマ区切りで入力で

きます。

mail.* アラートメールを制御するために使用できるシステムプロパティは複

数あります。SMTP プロパティ、ユーザー名、パスワードなどの E メー

ルパラメータを定義できます。


VMware, Inc. 52

表 11-2. アラート


vco.alert.enable オペレータとエンタープライズユーザーの両方のアラート生成をグロー

バルに有効または無効にします。

vco.enterprise.alert.enable エンタープライズユーザーのアラート生成をグローバルに有効または無

効にします。

vco.operator.alert.enable オペレータのアラート生成をグローバルに有効または無効にします。

表 11-3. Edge


edge.offline.limit.sec 指定の期間に Edge からのハートビートが Orchestrator で検出され

ない場合、Edge の状態は OFFLINE モードに移行されます。

edge.link.unstable.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されな

い場合、リンクは UNSTABLE モードに移行されます。

edge.link.disconnected.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されな

い場合、リンクは切断されます。

edge.deadbeat.limit.days 指定した日数の間 Edge がアクティブでない場合、Edge はアラートの

生成で考慮されません。

vco.operator.alert.edgeLinkEvent.enable Edge Link イベントのオペレータアラートをグローバルに有効または

無効にします。

vco.operator.alert.edgeLiveness.enable Edge Liveness イベントのオペレータアラートをグローバルに有効ま

たは無効にします。

表 11-4. 監視


vco.monitor.enable エンタープライズおよびオペレータエンティティの状態の監視をグロー

バルに有効または無効にします。値を [False] に設定すると、SD-WAN Orchestrator ではエンティティの状態を変更したりアラート

をトリガーしたりすることができなくなります。

vco.enterprise.monitor.enable エンタープライズエンティティの状態の監視をグローバルに有効または

無効にします。

vco.operator.monitor.enable オペレータエンティティの状態の監視をグローバルに有効または無効に

します。


VMware, Inc. 53

表 11-5. 通知


vco.notification.enable オペレータとエンタープライズの両方へのアラート通知の配信をグロー

バルに有効または無効にします。

vco.enterprise.notification.enable エンタープライズへのアラート通知の配信をグローバルに有効または無

効にします。

vco.operator.notification.enable オペレータへのアラート通知の配信をグローバルに有効または無効にし

ます。

表 11-6. パスワードのリセットとロックアウト


vco.enterprise.resetPassword.token.expirySeconds エンタープライズユーザーのパスワードリセットリンクの

有効期限が切れるまでの期間。

vco.enterprise.authentication.passwordPolicy エンタープライズユーザーのパスワード有効期限とパスワー

ド履歴ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集し

て、次の項目を定義します。

[expiry]：

n [enable]：これを [true] に設定して、エンタープライ

ズユーザーパスワードの自動的な有効期限切れを有効

にします。

n [days]：エンタープライズパスワードを使用する日数を

入力します。これを過ぎると、有効期限が強制的に切れま

す。

[history]：

n [enable]：これを [true] に設定して、エンタープライ

ズユーザーのこれまでのパスワードの記録を有効にしま

す。

n [count]：履歴に保存するこれまでのパスワードの数を入

力します。エンタープライズユーザーがパスワードを変

更しようとしても、システムでは履歴にすでに保存されて

いるパスワードの入力をユーザーに許可しません。

enterprise.user.lockout.defaultAttempts エンタープライズユーザーがログインを試行できる回数。ロ

グインを指定の回数失敗すると、アカウントはロックされま

す。

enterprise.user.lockout.defaultDurationSeconds エンタープライズユーザーアカウントがロックされる期間。

enterprise.user.lockout.enabled エンタープライズのログイン失敗のロックアウトオプション

を有効または無効にします。

vco.operator.resetPassword.token.expirySeconds オペレータユーザーのパスワードリセットリンクが期限切

れになるまでの期間。


VMware, Inc. 54

表 11-6. パスワードのリセットとロックアウト（続き）


vco.operator.authentication.passwordPolicy オペレータユーザーのパスワード有効期限とパスワード履歴

ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集し

て、次の項目を定義します。

[expiry]：

n [enable]：これを [true] に設定して、オペレータユー

ザーパスワードの自動的な有効期限切れを有効にしま

す。

n [days]：オペレータパスワードを使用する日数を入力し

ます。これを過ぎると、有効期限が強制的に切れます。

[history]：

n [enable]：これを [true] に設定して、オペレータユー

ザーのこれまでのパスワードの記録を有効にします。

n [count]：履歴に保存するこれまでのパスワードの数を入

力します。オペレータユーザーがパスワードを変更しよ

うとしても、システムでは履歴にすでに保存されているパ

スワードの入力をユーザーに許可しません。

operator.user.lockout.defaultAttempts オペレータユーザーがログインを試行できる回数。ログイン

を指定の回数失敗すると、アカウントはロックされます。

operator.user.lockout.defaultDurationSeconds オペレータユーザーアカウントがロックされる期間。

operator.user.lockout.enabled オペレータのログイン失敗のロックアウトオプションを有効

または無効にします。

表 11-7. セルフサービスパスワードリセット


vco.enterprise.resetPassword.twoFactor.mode すべてのエンタープライズユーザーのパスワードリセット

認証の第 2 レベルのモードを定義します。現在、SMS モード

のみがサポートされています。

vco.enterprise.resetPassword.twoFactor.required エンタープライズユーザーのパスワードリセットの 2 要素

認証を有効または無効にします。

vco.enterprise.selfResetPassword.enabled エンタープライズユーザーのセルフサービスパスワードリセットを有効または無効にします。

vco.enterprise.selfResetPassword.token.expirySeconds エンタープライズユーザーのセルフサービスパスワードリセットリンクの有効期限が切れるまでの期間。

vco.operator.resetPassword.twoFactor.required オペレータユーザーのパスワードリセットの 2 要素認証を

有効または無効にします。

vco.operator.selfResetPassword.enabled オペレータユーザーのセルフサービスパスワードリセット

を有効または無効にします。

vco.operator.selfResetPassword.token.expirySeconds オペレータユーザーのセルフサービスパスワードリセット

リンクの有効期限が切れるまでの期間。


VMware, Inc. 55

表 11-8. 2 要素認証


vco.enterprise.authentication.twoFactor.enable エンタープライズユーザーの 2 要素認証を有効または無効にします。

vco.enterprise.authentication.twoFactor.mode エンタープライズユーザーの第 2 レベルの認証モードを定義します。

現在、第 2 レベルの認証モードとして、SMS のみがサポートされていま

す。

vco.enterprise.authentication.twoFactor.require エンタープライズユーザーに対する 2 要素認証を必須と定義します。

vco.operator.authentication.twoFactor.enable オペレータユーザーの 2 要素認証を有効または無効にします。

vco.operator.authentication.twoFactor.mode オペレータユーザーの第 2 レベルの認証モードを定義します。現在、第

2 レベルの認証モードとして、SMS のみがサポートされています。

vco.operator.authentication.twoFactor.require オペレータユーザーに対する 2 要素認証を必須と定義します。

表 11-9. 仮想ネットワーク機能 (VNF) の構成


edge.vnf.extraImageInfos 仮想ネットワーク機能 (VNF) イメージのプロパティを定義します。

[値 (Value)] フィールドに、仮想ネットワーク機能 (VNF) イメージに

関する次の情報を JSON 形式で入力できます。

[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" }]

Check Point ファイアウォールイメージの JSON ファイルの例：

[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" }]

Fortinet ファイアウォールイメージの JSON ファイルの例：

[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" }]

edge.vnf.metric.record.limit データベースに格納されるレコードの数を定義します。


VMware, Inc. 56

表 11-9. 仮想ネットワーク機能 (VNF) の構成（続き）


enterprise.capability.edgeVnfs.enable サポートされている Edge モデルで仮想ネットワーク機能 (VNF) のデ

プロイを有効にします。

enterprise.capability.edgeVnfs.securityVnf.checkPoint Check Point Networks ファイアウォールの仮想ネットワーク機能

(VNF) を有効にします

enterprise.capability.edgeVnfs.securityVnf.fortinet Fortinet Networks ファイアウォールの仮想ネットワーク機能


enterprise.capability.edgeVnfs.securityVnf.paloAlto Palo Alto Networks ファイアウォールの仮想ネットワーク機能


session.options.enableVnf 仮想ネットワーク機能 (VNF) を有効にします

vco.operator.alert.edgeVnfEvent.enable Edge の仮想ネットワーク機能 (VNF) イベントのオペレータアラート

をグローバルに有効または無効にします。

vco.operator.alert.edgeVnfInsertionEvent.enable Edge の仮想ネットワーク機能 (VNF) 挿入イベントのオペレータアラ

ートをグローバルに有効または無効にします。

表 11-10. VPN


vpn.disconnect.wait.sec システムが VPN トンネルを切断するまで待機する時間間隔。

vpn.reconnect.wait.sec システムが VPN トンネルを再接続するまで待機する時間間隔。


VMware, Inc. 57

オペレータの管理 12オペレータポータルでは、オペレータプロファイルとオペレータユーザーを構成および管理できます。また、オペ

レータによってトリガーされたイベントを表示することもできます。


n オペレータイベントの監視

n オペレータプロファイルの管理

n オペレータユーザーの管理

オペレータイベントの監視

オペレータイベントは、オペレータのアクティビティによってトリガーされます。これらのイベントは、VMware システムのステータスを判断するのに役立ちます。

オペレータポータルで、[オペレータイベント (Operator Events)] をクリックします。

ページに最近のオペレータイベントが表示されます。イベントへのリンクをクリックすると、詳細が表示されます。

古いイベントを表示するには、ページ上部のドロップダウンメニューをクリックして、リストから期間を選択しま

す。または、ページ上部で開始日と終了日を入力して、カスタム期間を設定することもできます。

VMware, Inc. 58

期間を選択または設定すると、選択した期間内にトリガーされたイベントがページに表示されます。

オペレータプロファイルの管理

オペレータプロファイルは、SD-WAN Orchestrator によって管理されるネットワーク設定を指定するために使

用されます。ユーザーまたはパートナーを作成するときに、オペレータプロファイルを割り当てることができます。

オペレータポータルで、[オペレータプロファイル (Operator Profiles)] をクリックします。ページに既存のプロ

ファイルが表示されます。[アクション (Actions)] ボタンを使用して、次のアクティビティを実行できます。

n [新規プロファイル (New Profile)] - 新しいオペレータプロファイルを作成します。新しいオペレータプロフ

ァイルの作成を参照してください。

n [プロファイルの複製 (Duplicate Profile)] - 選択したオペレータプロファイルのコピーを作成します。オペ

レータプロファイルの複製を参照してください。

n [プロファイルの変更 (Modify Profile)] - 選択したオペレータプロファイルでネットワーク設定を更新できる

ようにします。オペレータプロファイルの変更を参照してください。

n [プロファイルの削除 (Delete Profile)] - 選択したプロファイルを削除します。ユーザーまたはパートナーに

すでに割り当てられているプロファイルを削除することはできません。

新しいユーザーにプロファイルを割り当てる方法については、新しいユーザーの作成を参照してください。

既存のユーザーのプロファイルを変更する方法については、ユーザーの構成を参照してください。

パートナーにプロファイルを割り当てる方法については、9 章パートナーの管理を参照してください。

新しいオペレータプロファイルの作成

SD-WAN Orchestrator をインストールすると、最初のオペレータプロファイルを使用できるようになります。

必要に応じて、追加のプロファイルを作成できます。


VMware, Inc. 59

オペレータポータルで、[オペレータプロファイル (Operator Profiles)] をクリックします。

1 [新規プロファイル (New Profile)] をクリックするか、[アクション (Actions)] - [新規プロファイル (New Profile)] をクリックします。

2 [新規オペレータプロファイル (New Operator Profile)] 画面で、名前と説明を入力し、[構成タイプ

(Configuration Type)] を選択します。


新規プロファイルが [オペレータプロファイル (Operator Profiles)] ページに表示されます。

オペレータプロファイルの複製

オペレータプロファイルを複製して、プロファイルのコピーを作成することができます。


1 複製するプロファイルを選択し、[アクション (Actions)] - [プロファイルの複製 (Duplicate Profile)] をクリ

ックします。

2 [オペレータプロファイルのコピー (Copy Operator Profile)] 画面で、名前と説明を更新します。


プロファイルのコピーが [オペレータプロファイル (Operator Profiles)] ページに表示されます。

オペレータプロファイルの変更

オペレータプロファイルを変更して、プロファイル設定を更新することができます。


プロファイルへのリンクをクリックするか、プロファイルを選択して [アクション (Actions)] - [プロファイルの変

更 (Modify Profile)] をクリックします。

選択したプロファイルの既存の設定が表示され、次の設定を構成できます。


VMware, Inc. 60

[プロファイル設定 (Profile Settings)]

必要に応じて、選択したプロファイルの名前と説明を変更できます。

[管理設定 (Management Settings)]

Orchestrator の IP アドレスが表示されます。次の管理間隔を設定できます。

n [ハートビート間隔 (Heartbeat Interval)] - Orchestrator から Edge に送信されるハートビートメッセー

ジの間隔。デフォルト値は 30 秒で、最小間隔は 10 秒である必要があります。Edge が 2 つのハートビートを

連続して受信しない場合、Edge は [停止 (Down)] としてマークされます。

注：ハートビート間隔を変更する場合は、不要なアラートが送信されないように、[Edge オフラインのアラー

ト通知の遅延 (Edge Offline Alert Notification Delay)] 時間を適宜更新してください。

n [タイムスライス間隔 (Timeslice Interval)] - フローに対して監視データが収集される時間間隔。

n [統計情報のアップロード間隔 (Stats Upload Interval)] - 監視データをアップロードする時間間隔。各タイ

ムスライスのすべてのデータは、統計情報のアップロード間隔中に収集され、アップロードされます。

[ゲートウェイ選択 (Gateway Selection)]

デフォルトでは、ゲートウェイの選択は動的であり、ゲートウェイはゲートウェイプールから動的に選択されます。

ゲートウェイの選択が効率的なものになるように、ゲートウェイプールが 2 つ以上のゲートウェイで構成されてい

るようにします。ゲートウェイプールの詳細については、ゲートウェイプールを参照してください。


VMware, Inc. 61

チェックボックスを選択して、ゲートウェイの選択を [静的 (Static)] に設定します。静的なゲートウェイ選択の場

合は、プライマリゲートウェイを指定する必要があります。オプションのセカンダリゲートウェイを入力すること

もできます。

注：静的なゲートウェイ選択は、テストまたはデバッグの目的でのみ使用します。Edge 間の VPN またはパート

ナーハンドオフ構成では、このオプションを使用しないでください。

[アプリケーションマップの割り当て (Application Map Assignment)]

デフォルトでは、最初のアプリケーションマップがオペレータプロファイルに割り当てられます。ドロップダウン

リストで使用可能な別のアプリケーションマップを選択できます。14 章アプリケーションマップも参照してくだ

さい。

[ソフトウェアバージョン (Software Version)]

最新のソフトウェアイメージを Edge にプッシュすることを選択できます。デフォルトでは、デバイスに更新は適

用されません。チェックボックスを選択し、[バージョン (Version)] ドロップダウンリストからソフトウェアイメ

ージを選択します。ソフトウェアイメージの詳細については、10 章ソフトウェアイメージを参照してください。

[更新期間 (Update Duration)] チェックボックスを選択し、期間を分単位で入力します。このオプションを有効に

すると、Orchestrator は、指定された期間内にエンタープライズユーザーに関連付けられているすべてのデバイス

を更新します。

上記の設定を更新した後、[変更の保存 (Save Changes)] をクリックします。

オペレータユーザーの管理

[オペレータユーザー (Operator Users)] ページには、既存のオペレータユーザーが表示されます。オペレータスーパーユーザーは、異なるロール権限を持つ新しいオペレータユーザーを作成することができ、各オペレータユー

ザーの API トークンを構成できます。

オペレータポータルで [オペレータユーザー (Operator Users)] をクリックして、次の設定を構成できます。


VMware, Inc. 62

[アクション (Actions)] をクリックして、次のアクティビティを実行します。

n [新規オペレータ (New Operator)]：新しいオペレータユーザーを作成します。新しいオペレータユーザーの

作成を参照してください。

n [オペレータの変更 (Modify Operator)]：選択したオペレータユーザーのプロパティを変更します。また、ユ

ーザー名へのリンクをクリックしてプロパティを変更することもできます。オペレータユーザーの構成を参照

してください。

n [パスワードのリセット (Password Reset)]：選択したユーザーに、パスワードをリセットするためのリンクが

記載された E メールを送信します。

n [オペレータの削除 (Delete Operator)]：選択したユーザーを削除します。

新しいオペレータユーザーの作成

オペレータスーパーユーザーは、新しいオペレータユーザーを作成できます。

オペレータポータルで、[オペレータユーザー (Operator Users)] をクリックします。

手順

1 新しいオペレータユーザーを作成するには、[新規オペレータ (New Operator)] または [アクション

(Actions)] - [新規オペレータ (New Operator)] をクリックします。


VMware, Inc. 63

2 [新規オペレータアカウント (New Operator Account)] 画面で、次の詳細を入力します。

a ユーザー名、パスワード、名前、E メール、電話番号などのユーザーの詳細を入力します。

b 17 章 Orchestrator 認証で認証モードとして [ネイティブ (Native)] を選択した場合は、ユーザーのタイ

プが [ネイティブ (Native)] として選択されます。別の認証モードを選択した場合は、ユーザーのタイプを

選択できます。ユーザーを [非ネイティブ (Non-Native)] として選択した場合、パスワードオプションは

認証モードから継承されるため、使用できません。

c [アカウントロール (Account Role)]：使用可能なオプションからユーザーロールを選択します。


結果

ユーザーの詳細は、[オペレータユーザー (Operator Users)] ページに表示されます。

オペレータユーザーの構成

オペレータユーザーの追加のプロパティを設定し、API トークンを作成できます。

オペレータポータルで、[オペレータユーザー (Operator Users)] をクリックします。オペレータユーザーを構成

するには、ユーザー名へのリンクをクリックするか、ユーザーを選択して [アクション (Actions)] - [オペレータの

変更 (Modify Operator)] をクリックします。

選択したユーザーの既存のプロパティが表示されます。必要に応じて、次の項目を追加または変更できます。


VMware, Inc. 64

[ステータス (Status)]

デフォルトでは、ステータスは [有効 (Enabled)] 状態になっています。[無効 (Disabled)] を選択すると、ユーザ

ーはすべてのアクティブなセッションからログアウトされます。

[タイプ (Type)]

17 章 Orchestrator 認証でオペレータ認証モードを [ネイティブ (Native)] として選択した場合は、ユーザーのタ

イプが [ネイティブ (Native)] として選択されます。別の認証モードを選択した場合は、ユーザーのタイプを選択で

きます。ユーザーを [非ネイティブ (Non-Native)] として選択した場合、パスワードをリセットしたり、ユーザー

ロールを変更したりすることはできません。

[プロパティ (Properties)]

ユーザーの既存の連絡先詳細が表示されます。必要に応じて、詳細を変更したり、パスワードのリセットを選択した

りすることができます。[パスワードのリセット (Password Reset)] をクリックすると、パスワードをリセットす

るためのリンクを含む E メールがユーザーに送信されます。

[ロール (Role)]

ユーザーロールの既存のタイプが表示されます。必要に応じて、ユーザーに別のロールを選択できます。ロールの権

限がこれに応じて変更されます。

[API トークン (API Tokens)]


VMware, Inc. 65

ユーザーは、セッションベースの認証ではなく、トークンを使用して Orchestrator API にアクセスできます。オ

ペレータスーパーユーザーは、ユーザーの API トークンを管理できます。ユーザーに対して複数の API トークン

を作成できます。

エンタープライズ読み取り専用ユーザーと MSP ビジネススペシャリストユーザーの場合、トークンベースの認証

は有効になっていません。

デフォルトでは、API トークンは有効になっています。これらを無効にするには、オペレータポータルの [システム

プロパティ (System Properties)] に移動し、システムプロパティ session.options.enableApiTokenAuth の値

を [False] として設定します。

[API トークンの構成]

ユーザーは、自分のユーザーロールに割り当てられている権限に基づいてトークンを作成できます。ただし、エンタ

ープライズ読み取り専用ユーザーと MSP ビジネススペシャリストユーザーを除きます。

ユーザーは、ロールに基づいて次のアクションを実行できます。

n エンタープライズユーザーは、トークンの作成、ダウンロード、および取り消しを行うことができます。

n エンタープライズユーザーが権限をオペレータに委任した場合、オペレータスーパーユーザーは、他のオペレ

ータユーザーおよびエンタープライズユーザーのトークンを管理できます。

n エンタープライズスーパーユーザーは、そのエンタープライズ内のすべてのユーザーのトークンを管理できま

す。

n ユーザーは自分自身のトークンのみをダウンロードでき、他のユーザーのトークンをダウンロードすることはで

きません。

n スーパーユーザーは、他のユーザーのトークンの作成と取り消しのみを実行できます。

[API トークンを管理するには、次の手順を実行します。]

n [API トークン (API Tokens)] セクションで [アクション (Actions)] - [新規 API トークン (New API Token)] をクリックして、新しいトークンを作成します。

n [新規 API トークン (New API Token)] 画面で、トークンの [名前 (Name)] と [説明 (Description)] を入力

し、ドロップダウンメニューから [有効期間 (Lifetime)] を選択します。

n [作成 (Create)] をクリックすると、[API トークン (API Tokens)] グリッドに新しいトークンが表示されま

す。


VMware, Inc. 66

n 最初に、トークンのステータスは [保留中 (Pending)] として表示されます。トークンをダウンロードするには、

トークンを選択し、[アクション (Actions)] - [API トークンをダウンロード (Download API Token)] をク

リックします。ステータスが [有効 (Enabled)] に変わります。これは API トークンを API アクセスに使用で

きることを意味します。

n トークンを無効にするには、トークンを選択し、[アクション (Actions)] - [API トークンを取り消す (Revoke API Token)] をクリックします。トークンのステータスは [取り消し済み (Revoked)] として表示されます。

n トークンの有効期間が過ぎると、ステータスは [期限切れ (Expired)] に変わります。

トークンに関連付けられているユーザーのみがトークンをダウンロードでき、ダウンロード後にトークンの ID のみ

が表示されます。トークンをダウンロードできるのは 1 回だけです。

トークンをダウンロードすると、ユーザーは、それを Orchestrator API にアクセスするための要求の認証ヘッダ

ーの一部として送信できます。

次の例は、API にアクセスするコードのサンプルスニペットを示しています。

curl -k -H "Authorization: Token <Token>"

-X POST https://vco/portal/

-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":

{ "enterpriseId": 1 }}'

設定と API トークンを変更した後、[変更の保存 (Save Changes)] をクリックします。


VMware, Inc. 67

ゲートウェイプールとゲートウェイの管理 13VMware ネットワークは、世界中のトップ層ネットワークとクラウドデータセンターに展開された複数のサービス

ゲートウェイで構成されており、スケーラビリティ、冗長性、およびオンデマンドの柔軟性を提供します。ゲートウ

ェイは、クラウドで提供されるサービスのメリットと、すべてのアプリケーション、ブランチ、およびデータセンタ

ーへの最適化されたパスを提供します。サービスプロバイダは、独自のオンプレミスゲートウェイをプライベート

クラウドインフラストラクチャに展開することもできます。


n ゲートウェイプール

n パートナーゲートウェイ

n ゲートウェイ診断バンドルの管理

n ゲートウェイの監視

ゲートウェイプール

ゲートウェイは、プールに編成してネットワークに割り当てることができます。SD-WAN Orchestrator のインス

トール後には、未設定のデフォルトプールが存在します。追加のゲートウェイプールを作成できます。

VMware, Inc. 68

[管理対象プール] 列

ゲートウェイプールに関連付けられている [管理対象プール (Managed Pool)] 列のチェックマークは、パートナ

ーが編集および管理できるゲートウェイプールであることを表します。ゲートウェイプールに「x」が関連付けられ

ている場合、パートナーはそのゲートウェイプールに対し、「読み取り専用」のアクセス権のみを持ちます。

注：オペレータが [ゲートウェイ管理アクセスの付与 (Grant Gateway Management Access)] チェックボッ

クスをオンにすると、パートナーに割り当てられているゲートウェイプールは、[管理対象プール (Managed Pool)] 列にチェックマークとともに表示されます。

ゲートウェイプールの作成

[新規プール (New Pool)] をクリックすると、次のダイアログボックスが表示され、新しいゲートウェイプールの

名前を入力するように求められます。また、新しいプールでパートナーゲートウェイを許可するかどうかも指定でき

ます。

ゲートウェイプールをクリックすると、プールのプロパティ、プール内のゲートウェイ、およびプールを使用してい

るユーザーが表示されます。プロパティの 1 つは、プールでオンプレミスゲートウェイをプールに含めることができ

るかどうかを指定するものです。

注： VMware SD-WAN Gateway は、VMware ネットワークサービスを提供する標準ゲートウェイとして機

能することも、ネットワークトラフィックをサービスプロバイダのネットワークにルーティングできるパートナー

ゲートウェイとして機能することもできます。ゲートウェイを両方の機能に使用することはできません。ゲートウェ

イプールには、パートナーゲートウェイまたは標準ゲートウェイとして構成されているゲートウェイを含めること

ができます。ただし、[パートナーゲートウェイを許可 (Allow Partner Gateways)] オプションが選択されていな

いゲートウェイプールにパートナーゲートウェイが配置されている場合、そのゲートウェイは標準ゲートウェイと

して機能します。


VMware, Inc. 69

パートナー固有のゲートウェイプールの作成

このセクションでは、パートナーのゲートウェイとゲートウェイプールを作成する方法について説明します。作成す

るゲートウェイとゲートウェイプールは、パートナーによってのみ使用されます。

SD-WAN Orchestrator パートナーポータルからゲートウェイまたはゲートウェイプールを作成するには、次の

手順を実行します。

1 SD-WAN Orchestrator ナビゲーションパネルで、[パートナーの管理 (Manage Partners)] リンクをクリ

ックします。[パートナーの管理 (Manage Partners)] 画面が表示されます。

2 [パートナーの管理 (Manage Partners)] 画面で、[パートナー (Partner)] 列に表示されている利用可能なパ

ートナーのいずれかをクリックします。[パートナーユーザーの管理 (Manage Partner Customers)] 画面

が表示されます。

3 ナビゲーションパネルで、[ゲートウェイプール (Gateway Pool)] リンクをクリックして新しいゲートウェイ

プールを作成するか、[ゲートウェイ (Gateway)] リンクをクリックして新しいゲートウェイを作成します。

4 [アクション (Actions)] ボタン（右上隅のテーブルグリッドの上）で、[新規ゲートウェイプール (New Gateway Pool)]（[ゲートウェイ (Gateway)] リンクを選択した場合は [新規ゲートウェイ (New Gateway)]）をクリックします。

注：上記の手順では、パートナー固有のゲートウェイを作成しています。したがって、作成するゲートウェイ

またはゲートウェイプールは、このパートナーのみに関連付けられます。


VMware, Inc. 70

ゲートウェイプールの削除

パートナーが所有するゲートウェイとゲートウェイプールを削除するには、オペレータがパートナーポータルから

ゲートウェイを削除する必要があります。また、ゲートウェイがパートナーによって使用中である場合、オペレータ

はそのゲートウェイを削除できません。オペレータがゲートウェイを削除できるようになるには、ゲートウェイが使

用可能になるまで待機する必要があります。

パートナーゲートウェイのハンドオフ

このセクションでは、[パートナーゲートウェイのハンドオフ (Partner Gateway Hand Off)] ドロップダウンメニューについて説明します。

ゲートウェイプールの [プロパティ (Properties)] 領域には、[名前 (Name)] テキストボックス、[説明

(Description)] テキストボックス、および [パートナーゲートウェイのハンドオフ (Partner Gateway Hand Off)] ドロップダウンメニューが表示されます。

[パートナーゲートウェイのハンドオフ (Partner Gateway Hand Off)] ドロップダウンメニューには、次の 3 つのオプションがあります。


なし (None) このゲートウェイプールに割り当てられたエンタープライズが、パートナーゲートウェイのハンドオフを必要とし

ない場合に使用します。

許可 (Allow) プールがパートナーゲートウェイとクラウドゲートウェイの混在をサポートする必要がある場合に使用します。

パートナーゲートウェイのみ

(Only Partner Gateways)エンタープライズの Edge にプールからのクラウドゲートウェイを割り当ててはならない場合で、個々の Edge に設定されているゲートウェイ 1 とゲートウェイ 2 のみを割り当てられる場合に使用します。

特定のゲートウェイをクリックすると、ゲートウェイに関する追加の詳細情報が表示されます。詳細情報には、プロ

パティ、連絡先、位置情報、どのユーザーがゲートウェイを使用しているか、およびゲートウェイがメンバーになっ

ているプールなどが含まれます。


VMware, Inc. 71

パートナーゲートウェイ

ゲートウェイは、パートナーゲートウェイとして構成することができ、パートナーゲートウェイを使用可能である

ゲートウェイプールに含まれている場合、パートナーゲートウェイとして機能することができます。

パートナーゲートウェイの概要

パートナーゲートウェイは、複数のサブネットを使用して構成することができ、それぞれのサブネットに NAT また

は VLAN のハンドオフを使用して構成できます。各サブネットは、相対的なコストやトラフィックを暗号化する必

要があるかどうかで、構成することもできます。

次の例は、パートナーゲートウェイ構成の 2 つのユースケースを示しています。

ゲートウェイ構成のユースケース #1

次の図は、ゲートウェイが VLAN/VRF モードを介して、パブリックインターネットにアクセスできない VRF に接続していることを想定しています。ただし、パートナーゲートウェイはパブリッククラウドの SD-WAN Orchestrator にアクセスできる必要があり、クラウドにアクセスするためのパスが必要です。SD-WAN Gateway は、VLAN/VRF モードで動作している場合でも、特定のトラフィック（SD-WAN Orchestrator の

IP アドレス、またはパブリック DNS サーバに到達するために使用されるサブネットなど）を選択的に NAT を行う


2 1

VMware SD-WAN Orchestrator

VMware SD-WAN Gateway

VMware SD-WAN Edge

n #1 - SD-WAN Orchestrator トラフィックが IP アドレスを介して NAT にルーティングされる

n #2 - 企業のトラフィックがサブネットを介して VLAN/VRF にルーティングされる

ゲートウェイ構成のユースケース #2

これは、パートナーゲートウェイが企業のネットワークに関連付けられ、レガシーサイトへの接続を提供する一般

的なユースケースです。このニーズは、変換されていない企業サイトがある場合でも発生する可能性があります。こ

のユースケースでは、パートナーゲートウェイのサブネットでトラフィックを指定する必要があります。各サブネッ

トは、ネットワークトラフィックを暗号化するように構成することもできます。


VMware, Inc. 72

次の図は、レガシーサイトへのトラフィックのみが暗号化されている例を示しています。すべてのトラフィックを許

可するように、0.0.0.0/0 サブネットを使用して SD-WAN Gateway がすでに構成されている場合（一般的な構

成）に必要となるのは、レガシーサイトのプライベートサブネットを追加して、それを暗号化済みとしてマークす

ることです。

2 1


VMware SD-WAN Edge

レガシーサイト

MPLS

n #1 - サブネット（例：10.0.0.0/8）がレガシーサイトに定義され、暗号化の対象としてマークされています。

トラフィックは、IPsec トンネルを介して SD-WAN Edge と SD-WAN Gateway の間で送信されます。

n #2 - 残りのトラフィックは、暗号化されていない状態で SD-WAN Edge に送信され、その後、最終的な宛先

に送信されます。

パートナーゲートウェイの耐障害性

パートナーゲートウェイは、障害を検出して代替のパートナーゲートウェイにフェイルオーバーすることで、耐障

害性を実現します。これには、パートナーゲートウェイが障害の状態を検出し、周辺のインフラストラクチャがゲー

トウェイ自体の障害を検出する機能が含まれます。

次のゲートウェイトポロジを考えてみます。


VMware, Inc. 73

1

2

3

VMware SD-WAN Gateway 1

呼び出しコントローラ 1



この図は、3 つの異なる障害ゾーンを示しています。

障害ゾ

ーンコンポーネント説明

1 プロバイダ Edge プロバイダ Edge は、SD-WAN Gateway に ping を送信するプロバイダ Edge ルーターから、またはプロ

バイダ Edge ルーターへの SD-WAN Gateway から、障害を検出できる 1 つのインスタンスです。

2 呼び出しコントロー

ラ

SD-WAN Gateway は、接続を確認するために、プロバイダ Edge ルーターまたは呼び出しコントローラに

ping を送信できる必要があります。

3 WAN SD-WAN Gateway には、WAN ゾーンが使用可能な場合にのみ応答するステートフル ping レスポンダが必

要です。

次の図は、SD-WAN Gateway とプロバイダ Edge ルーターの間で発生する一般的な障害シナリオと、発生する

アクティビティを示しています。


VMware, Inc. 74

1 2

1 - ステートフル ping レスポンダーが到達不能なため、プロバイダ Edge ルーターは戻りトラフィックをにルーティングします VMware SD-WAN Gateway 1。

2 - ICMP プローブが PE ルーターにフォールバックし始めます。しきい値を超えると、ルート到達不能が VMware SD-WAN Edge に伝達されます。VMware SD-WAN Edge は VMware SD-WAN Gateway 1 を介してトラフィックを自動的に誘導します。

呼び出しはプロバイダのコアネットワークを使用して代替 VMware SD-WAN Gateway を介して継続可能で、呼び出しコントローラ 2 に接続したままにすることができます。

フェイルオーバー後のフロー





VMware SD-WAN Edge

また、パートナーゲートウェイは構成可能なルートコストをサポートしているため、より柔軟な障害シナリオが可

能になります。最後に、追加のハンドオフタイプが必要です。このタイプでは、NAT と VLAN のどちらのタグも

パケットに適用されず、プロバイダ Edge ルーターに渡されるだけです。

ICMP フェイルオーバープローブ

このセクションでは、ICMP フェイルオーバープローブについて説明します。

SD-WAN Gateway トポロジ図のゾーン #1 または #2 の障害に対処するため、SD-WAN Gateway はフェイル

オーバープローブを送信するオプション機能をサポートしています。こうしたプローブは、指定の頻度で単一の宛先

IP アドレスに ping を送信します。連続して失われた ping 応答がしきい値を超えた場合、ゲートウェイは SD-WAN Gateway のルートをアクセス不可能とマークします。このプローブ障害状態が原因でルートがアクセス不

可能とマークされている間も、プローブは送信され続けます。連続して成功した ping 応答が同じしきい値を超える

と、SD-WAN Gateway はルートを再びアクセス可能とマークします。


VMware, Inc. 75

シナリオ例

たとえば、ユーザーが頻度を 2 秒、しきい値を 3 に設定した場合について考えてみます。

1 VMware SD-WAN Edges がプライマリ SD-WAN Gateway に接続します。プライマリ SD-WAN Gateway がルートをアクセス可能とマークします。

2 プライマリ SD-WAN Gateway がプローブ応答の受信を連続 3 回（約 6 秒）失敗します。

3 プライマリ SD-WAN Gateway がルートをアクセス不可能とマークし、接続されているすべての Edge に通

知します。

4 Edge が代替 SD-WAN Gateway を介して SD-WAN Gateway トラフィックのルーティングを開始しま

す。

5 接続がリストアされ、プライマリ SD-WAN Gateway がプローブからの応答を連続 3 回受信します。

6 プライマリ SD-WAN Gateway がルートをアクセス可能とマークし、接続されているすべての Edge に通知

します。

7 Edge がプライマリ SD-WAN Gateway 経由でトラフィックをルーティングします。

これは、障害シナリオ #1 で使用して、プロバイダ Edge ルーター自体の IP アドレスに ping を送信できます。こ

れは、障害シナリオ #2 で使用して、実際の呼び出しコントローラに ping を送信できます。

ステートフル ping レスポンダ

パートナーゲートウェイトポロジ図のゾーン #2 または #3 の障害に対処するため、SD-WAN Gateway はオプ

ションのステートフル ping レスポンダをサポートしています。これにより、SD-WAN Gateway 内で仮想 IP アドレス（インターフェイス IP アドレスとは異なる必要があります）の構成が可能になります。常に ping に応答す

るか（ゲートウェイサービスが実行されている）、WAN 接続に基づいて条件付きで ping に応答するか（ゲートウ

ェイに VPN トンネルが接続されている）の構成に基づきます。

これは、ping レスポンダに ping を送信するようプロバイダ Edge ルーターを設定することによって、障害シナリ

オ #1 で使用できます。SD-WAN Gateway がアクセス不可能になるとプロバイダ Edge ルーターの IP SLA が失敗するためです。これは、VPN トンネルが接続されている場合にのみ応答するよう SD-WAN Gateway を設定

することによって、障害シナリオ #3 でも使用できます。これは BGP の動作に似ています（クライアントが接続し

ていないということは、クライアントのルーティングがないということです）。


VMware, Inc. 76

1

3

デフォルトモード：条件付き。VPN トンネルが接続されている場合にのみ応答します。VMware SD-WAN Edge と VMware SD-WAN Gateway の間で接続が切断された場合、障害が発生します。

代替モード：常に応答します。VMware プロバイダ Edge ルーターと VMware SD-WAN Gateway の間で接続が切断された場合、障害が発生します。


パートナーゲートウェイからは、PE ルーターで設定された IP SLA に基づいて、プロバイダ Edge (PE) ルーター

の ICMP 要求に応答します。ステートフル ping レスポンダの PE ルーターは、次に示すように、適切な VLAN タグ情報を使用して設定する必要があります。

!IP-SLA configuration to send ICMP request to gateway virtual IP

ip sla 1

icmp-echo 192.168.10.10 source-ip 192.168.10.1

vrf CUSTOMER1

threshold 1000

timeout 1000

frequency 2

ip sla schedule 1 life forever start-time now

!tracking the IP SLA for its reachability

track 1 ip sla 1 reachability

!all the routes will reachable only when SLA probe succeeds

ip route vrf CUSTOMER1 0.0.0.0 0.0.0.0 192.168.11.101 track 1





NAT ハンドオフモードを使用する場合の注意事項

NAT ハンドオフモードを使用する場合は、次の注意事項を考慮してください。

n VLAN ハンドオフモードの場合、パートナーゲートウェイでは、PE ルーターにアクセス可能であれば、いず

れの IP アドレス（インターフェイス IP アドレスを含む）もリッスンできます。NAT ハンドオフモードだと、

ICMP 要求がそれ自体のインターフェイス (WAN) IP アドレスに送信された場合、パートナーゲートウェイは

応答しません。


VMware, Inc. 77

n 逆方向のフローは、NAT ハンドオフモードではサポートされていません。

アクティブ/バックアップサブネット

このセクションでは、パートナーゲートウェイのアクティブサブネットとバックアップサブネットを構成する方法

について説明します。

パートナーゲートウェイのサブネット

パートナーゲートウェイで構成されたサブネットは、サブネットとオプションの説明として入力されます。ルート間

の重み付けを許可するための Cost フィールドが含まれています。低コストのルートは、高コストのルートより優先

されます。次の図は、サブネットごとの Cost 設定を示しています。



サブネット A サブネット B

サブネットA B

コスト10 20

サブネットBA

コスト10 20

パートナーゲートウェイの構成と使用

ゲートウェイに [パートナーゲートウェイにする (Is Partner Gateway)] オプションが選択されている場合は、追

加の構成が必要です。

1 パートナーゲートウェイとなるゲートウェイを選択し、[パートナーゲートウェイにする (Is Partner Gateway)] チェックボックスをオンにします。ゲートウェイの [パートナーゲートウェイ（高度なハンドオフ）

の詳細 (Partner Gateway (Advanced Hand Off) Details)] セクションが表示されます。


VMware, Inc. 78

このセクションでは、トラフィックをパートナーゲートウェイに転送する 1 つ以上のサブネットを構成できま

す。サブネットごとに、[ハンドオフ (Hand Off)] タイプ（VLAN または NAT）と、トラフィックが暗号化さ

れるかどうかを選択できます。ゲートウェイの ICMP プローブと Ping レスポンダの設定、および連絡先と場所

の情報を入力することもできます。

2 パートナーゲートウェイを使用するユーザーごとに、ユーザーを選択し、[構成 (Configure)] -> [エンタープ

ライズ (Enterprise)] を選択して、パートナーゲートウェイを含むゲートウェイプールを選択します。

プールの VLAN タグ付けを選択することもできます。

3 パートナーゲートウェイを VRF 対応にし、BGP を有効にする場合は、[ゲートウェイプール (Gateway Pool)] 画面の [構成 (Configure)] > [ユーザー (Customer)] に移動します。構成の詳細については、ゲート

ウェイ BGP の構成を参照してください。


VMware, Inc. 79

4 パートナーゲートウェイを使用するユーザーの Edge ごとに、[ゲートウェイ (Gateways)] を選択するように

パートナーゲートウェイの選択を構成します。まず、ユーザーを選択し、[構成 (Configure)] -> [Edge (Edges)] を選択して、[Edge] を選択します。

[ゲートウェイ] ページ

[ゲートウェイ (Gateways)] リンクをクリックすると、SD-WAN Orchestrator によって管理されているすべて

のゲートウェイが、ゲートウェイに関する詳細付きのリストとして、またマップ上の場所として表示されます。ゲー

トウェイの詳細を表示するには、ゲートウェイをクリックします。


VMware, Inc. 80

パートナーゲートウェイモードの有効化

同じ [ゲートウェイ (Gateway)] ページ（[オペレータ (Operator)] > [ゲートウェイ (Gateways)]）で、[パート

ナーゲートウェイ (Partner Gateway)] チェックボックスをオンにして、パートナーゲートウェイモードを有効

にします。[セキュア VPN ゲートウェイ (Secure VPN Gateway)] チェックボックスをオフにします（この SD-WAN Gateway を使用して Non VMware SD-WAN Site への IPsec トンネルを確立する場合にのみ必要で

す）。


VMware, Inc. 81

n スタティックルート (Static Routes)：SD-WAN Gateway が SD-WAN Edge にアドバタイズするサブネ

ットまたはルートを指定します。ハンドオフモードと、トラフィックを暗号化するかどうかも指定します。これ

は SD-WAN Gateway ごとにグローバルであり、すべてのユーザーに適用されます。BGP では、このセクシ

ョンは通常、すべてのユーザーがアクセス権を必要とする共有サブネットがある場合と NAT ハンドオフが必須

である場合にのみ使用されます。

SD-WAN Edge にアドバタイズして NAT タイプのハンドオフを行う必要があるサブネットがない場合は、前

述のスタティックルートリストから未使用のサブネットを削除します。

ICMP プローブパラメータはオプションであり、ICMP を使用して SD-WAN Gateway の健全性をチェック

する場合にのみ推奨されます。パートナーゲートウェイで BGP をサポートしている場合、フェイルオーバーと

ルートのコンバージェンスに ICMP プローブを使用する必要はなくなりました。

n ICMP フェイルオーバープローブ (ICMP Failover Probe)：SD-WAN Gateway は ICMP プローブを使用

して、特定の IP アドレスがアクセス可能かを確認できます。SD-WAN Gateway が特定の IP アドレスがアク

セス可能でないことを検出した場合、セカンダリゲートウェイへのフェイルオーバーを SD-WAN Edge に通

知することができます。

n ICMP レスポンダが有効 (ICMP Responder Enabled)：これにより、トンネルが起動しているときは、SD-WAN Gateway がネクストホップルーターから ICMP プローブに応答できるようになります。

n モード=条件付き (Mode=Conditional)：SD-WAN Gateway は、そのサービスが稼動していて、少なくと

も 1 つのトンネルが稼動している場合のみ、ICMP 要求に応答します。

n モード=常に (Mode=Always)：SD-WAN Gateway は常にそのピアからの ICMP 要求に応答します。

ゲートウェイ BGP の構成

このセクションでは、ゲートウェイ BGP の構成について説明します。


VMware, Inc. 82

BGP の構成

このセクションでは、パートナーゲートウェイで BGP を構成する方法について説明します。デフォルトでは、BGP はパートナーゲートウェイで有効になっています。

SD-WAN Edge の BGP の詳細については、『管理ガイド』の「OSPF または BGP を使用した動的ルーティング

の構成」を参照してください。

注： 4 バイトの ASN BGP をサポート：- SD-WAN Edge 自身の ASN として。- 4 バイト ASN を使用したネ

イバーへのピアリング。- ルートアドバタイズでの 4 バイト ASN の受け入れ。

ユーザーの BGP の優先順位（自動コミュニティ)

[ユーザーの BGP の優先順位 (Customer BGP Priority)] 領域には [コミュニティマッピングの有効化 (Enable Community Mapping)] チェックボックスが含まれています。それをオンにすると、コミュニティを構成するため

の [すべてのセグメント (All Segments)] と [セグメントごと (Per Segment)] の 2 つのマッピングモードが利

用可能になります。コミュニティは、[コミュニティ (Community)] と [ コミュニティ 2 (Community 2)] の 2 つの部分で構成されます。

複数の BGP AS にわたってユーザーをデプロイし、BGP コミュニティの値を使用してパスの対称性を制御する SP の場合は、ブランチのパートナーゲートウェイの優先順位に基づいて、ブランチのプリフィックスに BGP コミュニ

ティ値を自動的に割り当てるオプションがあります。デフォルトでは、VMware はブランチのプリフィックスに

BGP の MED 値を自動的に割り当て、BGP パスに影響を与え、パスの対称性を実現します。これは、単一の AS シナリオに適用されます。

次のトポロジは、このユースケースの例を示しています。

上記のトポロジでは、複数の MPLS BGP AS、BGP コミュニティ値、およびローカルプリファレンスの値を PE で使用して、パスの対称性を実現しています。ブランチ E1 の場合、パートナーゲートウェイの順番は GW1>GW2 です。これは、送信トラフィックでは GW1 が優先されることを意味します。パスの対称性を維持するには、GW1 は、構成された PE BGP route-map と一致するようにコミュニティ値 1:110 を割り当てる必要があります。そのた

め、リターンパスにも GW1 が優先されます。

同様に、GW2 では、構成された PE BGP route-map と一致するようにコミュニティ値 1:00 を割り当てる必要が

あります。これにより、優先順位が低くなります。これは、自動コミュニティ機能（2.5 で導入）によって自動化さ

れます。コミュニティ値を GW の優先順位に指定することで、パートナーゲートウェイは、対応するコミュニティ

値をブランチのプリフィックスに動的に割り当てます。この構成はユーザーレベルにあります。


VMware, Inc. 83

監視

構成されたゲートウェイを表示するには、次の手順を実行します。

1 [監視 (Monitor)] > [ネットワークサービス (Network Services)] の順に移動します。

2 [ネットワークサービス (Network Services)] 画面で、[BGP ネイバーの状態 (BGP Neighbor State)] 領域

まで下にスクロールして、構成したゲートウェイを表示します。

注： [自動更新 (Auto refresh)] ドロップダウンメニューでは、[BGP ネイバーの状態 (BGP Neighbor State)] 領域の自動更新の頻度（5、30、60 秒）を指定したり、またはドロップダウンメニューから [一時停止 (Paused)] を選択して [自動更新 (Auto Refresh)] 機能を停止できます。

オーバーレイフロー制御

すべてのルートが [オーバーレイフロー制御 (Overlay Flow Control)] テーブルに表示されます。特定のサブネ

ットの [優先 VPN 終了 (Preferred VPN Exits)] の順序を変更するには、[変更 (Modify)] 列で [編集 (Edit)] ボタンをクリックします。

[列名] [説明]

変更 (Modify) グローバル構成の編集を行います。

サブネット (Subnet) このルートが対応するネットワーク、およびこのルートを学習した Edge のリスト。

ルートタイプ (Route Type) 次のタイプがあります：BGP、OSPF-O、OSPF-OE2、静的 (Static)、接続済み (Connected)

優先 VPN 終了 (Preferred VPN Exits) VPN 終了の順序。

最終更新日時 (Last Updated) ルートが学習された日時。

グローバル設定の編集

グローバル設定を編集するには、次の手順を実行します。

1 VRF の [グローバルルーティング設定 (Global Routing Preferences)] 領域の下部にある [編集 (Edit)] ボタンをクリックして、[グローバル設定の編集 (Edit Global Configs)] ダイアログボックスを開きます。


VMware, Inc. 84

2 [グローバル設定の編集 (Edit Global Configs)] ダイアログボックスで、[グローバルアドバタイズフラグ

(Global Advertise Flags)] 領域を編集します。

サブネットの編集

追加のオプションとして、サブネットを編集して VPN 終了の順序を変更することができます。

このダイアログにアクセスするには、[オーバーレイ制御 (Overlay Control)] テーブルの [変更 (Modify)] 列で

[編集 (Edit)] リンクをクリックします。

ゲートウェイ診断バンドルの管理

診断バンドルは、VMware サポートエンジニアが VMware の運用をトラブルシューティングするために使用しま

す。[ゲートウェイ診断バンドル (Gateway Diagnostic Bundles)] Web ページでは、要求されたすべての診断バ

ンドルが表示され、新しいバンドルを要求できます。バンドルが作成されると、ダウンロードすることも、必要なく

なったときに削除することもできます。


VMware, Inc. 85

ゲートウェイの監視

オペレータポータルで使用可能なゲートウェイのステータスと使用量データを監視できます。

ゲートウェイを監視するには、次の手順を実行します。

手順

1 オペレータポータルで、[ゲートウェイ (Gateways)] をクリックします。

2 [ゲートウェイ (Gateways)] ページに、使用可能なゲートウェイのリストが表示されます。

3 ゲートウェイへのリンクをクリックします。選択したゲートウェイの詳細が表示されます。

4 [監視 (Monitor)] タブをクリックすると、選択したゲートウェイの使用量データが表示されます。

結果

選択したゲートウェイの [監視 (Monitor)] タブには、次の詳細情報が表示されます。


VMware, Inc. 86

ページの上部から特定の期間を選択して、選択した期間のゲートウェイの詳細を表示できます。

このページには、選択した期間の次のパラメータの使用量の詳細が、最小値、最大値、平均値とともにグラフで表示

されます。

n [CPU の割合 (CPU Percentage)]：CPU の使用率 (%)。

n [メモリ使用率 (Memory Usage)]：メモリの使用率 (%)。

n [フロー数 (Flow Counts)]：トラフィックフローの数。

n [ハンドオフキューのドロップ数 (Handoff Queue Drops)]：待機中のハンドオフによってドロップされたパ

ケット数。

n [トンネル数 (Tunnel Count)]：トンネルセッションの数。

グラフの上にマウスを置くと、さらに詳細が表示されます。


VMware, Inc. 87

アプリケーションマップ 14[アプリケーションマップ (Application Maps)]は、定義を備えたさまざまなアプリケーションで構成される

JSON ファイルで、ビジネスポリシーの作成時に使用できます。

オペレータパネルで、[アプリケーションマップ (Application Maps)] - [アクション (Actions)] をクリックし

て、次のアクティビティを実行します。

n [アプリケーションマップのアップロード (Upload Application Map)] – アプリケーションと定義を備えた

JSON ファイルをアップロードできます。アプリケーションマップのアップロードを参照してください。

n [アプリケーションマップのクローン作成 (Clone Application Map)] - 既存のアプリケーションマップファ

イルのクローンを作成して、新しいアプリケーションマップを作成します。アプリケーションマップのクロー

ン作成を参照してください。

n [アプリケーションマップの変更 (Modify Application Map)] – 選択したアプリケーションマップで使用可

能なアプリケーションの詳細を追加または更新できます。アプリケーションマップの変更を参照してください。

n [アプリケーションマップの更新 (Refresh Application Map)] – 選択したアプリケーションマップにリスト

されているアプリケーション定義を更新します。アプリケーションマップの更新を参照してください。

n [アプリケーションマップのプッシュ (Push Application Map)] – アプリケーションマップで使用可能なア

プリケーション定義の最新の更新を関連付けられた SD-WAN Edges にプッシュします。アプリケーション

マップのプッシュを参照してください。

n [アプリケーションマップの削除 (Delete Application Map)] – 選択したアプリケーションマップを削除し

ます。オペレータプロファイルに割り当てられているマップは削除できません。


n アプリケーションマップのアップロード

n アプリケーションマップのクローン作成

VMware, Inc. 88

n アプリケーションマップの変更

n アプリケーションマップの更新

n アプリケーションマップのプッシュ

アプリケーションマップのアップロード

VMware は、使用可能なアプリケーションを含む初期アプリケーションマップを提供します。また、ビジネスポリ

シーで使用されるアプリケーションを含む JSON ファイルをアップロードすることもできます。

オペレータポータルで、[アプリケーションマップ (Application Maps)] をクリックします。

1 マップファイルをアップロードするには、[アプリケーションマップのアップロード (Upload Application Map)] をクリックするか、[アクション (Actions)] - [アプリケーションマップのアップロード (Upload Application Map)] をクリックします。

2 [アプリケーションマップのアップロード (Upload Application Map)] 画面で、アプリケーションマップファイルを選択します。

内容を検証した後、ファイルがアップロードされます。

アップロードされたファイルは、[アプリケーションマップ (Application Maps)] 画面で表示できます。また、必

要に応じてファイルをダウンロードできます。

アプリケーションマップをオペレータプロファイルに割り当てる方法については、オペレータプロファイルの管理


アプリケーションマップのクローン作成

既存のアプリケーションマップのクローンを作成することで、新しいアプリケーションマップを作成できます。


1 クローンを作成するアプリケーションマップを選択し、[アクション (Actions)] - [アプリケーションマップの

クローン作成 (Clone Application Map)] をクリックします。


VMware, Inc. 89

2 [アプリケーションマップのクローン作成 (Clone Application Map)] 画面で、アプリケーションマップの新

しい名前と説明を入力します。

3 [クローン作成 (Clone)] をクリックします。

アプリケーションマップの変更

既存のアプリケーションマップで使用可能なアプリケーションの詳細を追加または更新できます。


1 更新するアプリケーションマップを選択し、[アクション (Actions)] - [アプリケーションマップの変更

(Modify Application Map)] をクリックするか、またはアプリケーションマップへのリンクをクリックしま

す。

2 [アプリケーションマップエディタ (Application Map Editor)] には、マップファイルで使用可能なアプリケ

ーション定義のリストが表示されます。


VMware, Inc. 90

アプリケーション定義を選択し、選択した定義に関する詳細情報を表示します。また、アプリケーション定義を

検索したり、アプリケーション ID または表示名によって定義を並べ替えたり、新しいアプリケーション定義を

作成したり、既存の定義を削除したりすることもできます。

3 リストに定義を追加するには、[新規追加 (Add New)] をクリックします。

4 リストから定義を削除するには、[削除 (Remove)] をクリックします。

5 選択した定義の詳細を変更するには、[編集 (Edit)] をクリックします。

名前、表示名、説明、カテゴリ、ポートなどの詳細を更新し、[完了 (Done)] をクリックします。

アプリケーション ID は次のように定義されます。

3.3.2 以前のリリースの場合：

n 0 ～ 4999：DPI アプリケーション

n 5000 ～ 5999：VMware アプリケーション

n 6000 ～ 6999：ユーザー定義のアプリケーション

リリース 3.3.2 以降の場合：

n 0 ～ 4999：DPI アプリケーション

n 5000 ～ 5999：VMware アプリケーション

n 6000 ～ 9999：ユーザー定義のアプリケーション

6 [アプリケーションマップエディタ (Application Map Editor)] で、[保存 (Save)] をクリックします。

アプリケーションマップの更新

アプリケーションマップにリストされている、サードパーティ製 SaaS プロバイダによって管理されるアプリケー

ション定義を更新できます。


1 更新するアプリケーションマップを選択し、[アクション (Actions)] - [アプリケーションマップの更新

(Refresh Application Map)] をクリックします。


VMware, Inc. 91

2 [アプリケーションマップの更新 (Refresh Application Maps)] ページが開き、選択したアプリケーションマップに関連付けられているオペレータプロファイル、ユーザー、および Edge の数が一覧表示されます。

3 [アプリケーションマップの更新 (Refresh Application Maps)] をクリックして、選択したアプリケーション

マップを更新します。

注： [更新 (Refresh)] オプションを使用して、アプリケーションマップ内のアプリケーション定義のみを更新で

きます。関連付けられた Edge を最新の定義で更新する場合は、アプリケーションマップのプッシュオプションを

使用します。

アプリケーションマップのプッシュ

アプリケーションマップで使用可能なアプリケーション定義の最新の更新を、関連付けられた Edge にプッシュす

ることができます。


1 関連付けられた Edge にプッシュするアプリケーションマップを選択し、[アクション (Actions)] - [アプリケ

ーションマップのプッシュ (Push Application Map)] をクリックします。

2 [アプリケーションマップのプッシュ (Push Application Map)] ページが開き、選択したアプリケーションマップに関連付けられているオペレータプロファイル、ユーザー、および Edge の数が一覧表示されます。


VMware, Inc. 92

3 [Edge にプッシュ (Push to Edges)] をクリックして、選択したアプリケーションマップで使用可能な最新の

アプリケーション定義で Edge を更新します。

注：このオプションは、使用可能な更新がある場合にのみ、アプリケーション定義をプッシュします。


VMware, Inc. 93

ロールのカスタマイズ 15SD-WAN Orchestrator は、異なる権限のセットを持つユーザーロールで構成されています。オペレータスーパ

ーユーザーとして、事前定義されたロールをユーザーに割り当てることができます。ロールのカスタマイズで、ユー

ザーロールの既存の権限セットをカスタマイズできます。カスタマイズは、Orchestrator 全体でグローバルに適用

されます。

オペレータポータルで、[ロールのカスタマイズ (Role Customization)] をクリックします。[現在の権限を表示

(Show Current Privileges)] をクリックして、既存のユーザーロールの権限を表示します。

ロールの権限をカスタマイズする場合は、VMware サポートに連絡してご要望をお伝えください。サポートチーム

から、カスタマイズされたパッケージを JSON ファイルとして提供されますので、カスタマイズを適用することが

できます。

n [ロールのカスタマイズ (Role Customization)] 画面で、[パッケージのアップロード (Upload Package)] をクリックします。サポートチームから受け取った JSON ファイルを選択し、パッケージをアップロードします。

n アップロードしたファイルは、[ロールのカスタマイズパッケージ (Role Customization Packages)] 画面に

表示されます。

VMware, Inc. 94

n パッケージ名へのリンクをクリックすると、カスタマイズされた権限が表示されます。

カスタマイズされた権限は、別の色で強調表示されます。

n 既存のユーザーロールにカスタマイズされたロール権限を適用するには、[ロールのカスタマイズパッケージ

(Role Customization Packages)] 画面でパッケージファイルを選択し、[アクション (Actions)] - [パッケ

ージの適用 (Apply Package)] をクリックします。

n 選択したパッケージの名前と説明を更新するには、[アクション (Actions)] - [パッケージの変更 (Modify Package)] をクリックします。

n パッケージを削除するには、パッケージファイルを選択し、[アクション (Actions)] - [パッケージの削除

(Delete Package)] をクリックします。パッケージは、すでに使用中の場合、削除できません。


VMware, Inc. 95

Edge ライセンス 16SD-WAN Orchestrator は、Edge のさまざまなタイプのライセンスを提供します。オペレータは、ライセンスの

管理とパートナーやエンタープライズユーザーへの割り当てができます。パートナーは、ライセンスタイプのエン

タープライズユーザーへの割り当てができます。

Edge ライセンスを有効にするには、システムプロパティ [session.options.enableEdgeLicensing] の値を

[True] に設定します。オペレータポータルで、[システムプロパティ (System Properties)] をクリックして、プ

ロパティ値を更新します。

Edge ライセンスは次のコンポーネントで使用できます。

コンポーネントサポートされる属性

帯域幅 10 M、30 M、50 M、100 M、200 M、500 M、1 G、2 G、5 G、10 G

エディション Standard、Enterprise、Premium

リージョン北米、欧州/中東/アフリカ、中南米、アジア太平洋

期間 12 か月、36 か月、60 か月

オペレータは、多種多様な組み合わせで利用可能な 270 タイプのライセンスから、さまざまなタイプの Edge ライ

センスを割り当てることができます。

パートナーの Edge ライセンスを管理するには、パートナーの Edge ライセンスの管理を参照してください。

ライセンスをパートナーに割り当てるには、新しいパートナーの作成を参照してください。

ユーザーの Edge ライセンスを管理するには、ユーザーの Edge ライセンスの管理を参照してください。

ライセンスをユーザーに割り当てるには、新しいユーザーの作成を参照してください。

利用可能なライセンスタイプのレポートを表示および生成するには、Edge ライセンスレポートの生成を参照して

ください。


n パートナーの Edge ライセンスの管理

n ユーザーの Edge ライセンスの管理

n Edge ライセンスレポートの生成

VMware, Inc. 96

パートナーの Edge ライセンスの管理

オペレータは、Edge ライセンスを管理し、パートナーに割り当てることができます。

n オペレータポータルで、[パートナーの管理 (Manage Partners)] をクリックします。

n パートナー名へのリンクをクリックして、パートナーポータルに移動します。

n パートナーポータルで、[Edge ライセンス (Edge Licensing)] をクリックします。

n [Edge ライセンスの管理 (Manage Edge License)] をクリックします。

n [Edge ライセンスの選択 (Select Edge Licenses)] 画面で、帯域幅、期間、エディション、リージョンに基

づいて、関連するライセンスを選択します。

注：ライセンスを選択するときに、次のいずれかを選択できます。

n Standard エディションのみを選択する。

n Enterprise、Premium、またはその両方を選択する。Standard エディションを他のエディションと組み

合わせることはできません。

n [OK] をクリックします。

選択したライセンスが、[Edge ライセンス (Edge Licensing)] ウィンドウに表示されます。

[レポート (Report)] をクリックして、ライセンスおよび関連付けられたユーザーと Edge のレポートを MS Excel 形式で生成します。


VMware, Inc. 97

ユーザーの Edge ライセンスの管理

オペレータは、Edge ライセンスを管理し、ユーザーに割り当てることができます。

n オペレータポータルで、[ユーザーの管理 (Manage Customers)] をクリックします。

n ユーザー名へのリンクをクリックして、エンタープライズポータルに移動します。

n エンタープライズポータルで、[管理 (Administration)] - [Edge ライセンス (Edge Licensing)] をクリック

します。

n [Edge ライセンスの管理 (Manage Edge License)] をクリックします。

n [Edge ライセンスの選択 (Select Edge Licenses)] 画面で、帯域幅、期間、エディション、リージョンに基

づいて、関連するライセンスを選択します。

注：ライセンスを選択するときに、次のいずれかを選択できます。

n Standard エディションのみを選択する。

n Enterprise、Premium、またはその両方を選択する。Standard エディションを他のエディションと組み

合わせることはできません。

n [OK] をクリックします。

選択したライセンスが、[Edge ライセンス (Edge Licensing)] ウィンドウに表示されます。


VMware, Inc. 98

[Edge ライセンスをアップグレード (Upgrade Edge License)] をクリックして、エディションを次のように上の

レベルにアップグレードします。

n Standard エディションを Enterprise または Premium エディションに。

n Enterprise エディションを Premium エディションに。

注：ライセンスの種類を前のエディションにダウングレードすることはできません。

[レポート (Report)] をクリックして、ライセンスおよび関連付けられた Edge のレポートを MS Excel 形式で生

成します。

Edge ライセンスレポートの生成

オペレータスーパーユーザー、標準オペレータ、ビジネススペシャリスト、カスタマサポートオペレータは、既

存の Edge ライセンスのレポートを生成できます。

オペレータポータルで、[Edge ライセンス (Edge Licensing)] に移動します。

[レポート (Report)] をクリックして、ライセンス、関連付けられているパートナー、ユーザー、Edge のレポート

を MS Excel 形式で生成します。


VMware, Inc. 99

Orchestrator 認証 17[Orchestrator 認証 (Orchestrator Authentication)] オプションでは、オペレータユーザーとエンタープライ

ズユーザーの両方の認証モードを設定できます。また、既存の API トークンを表示することもできます。

オペレータポータルで、[Orchestrator 認証 (Orchestrator Authentication)] をクリックし、オペレータユー

ザーおよびエンタープライズユーザーのドロップダウンメニューから認証モードを選択します。

使用可能な認証モードは次のとおりです。オペレータとエンタープライズ認証の両方でネイティブモードと

RADIUS モードを有効にできるのは、オペレータユーザーのみです。スーパーユーザー権限を持つオペレータユー

ザーは、SSO モードを設定して構成することができます。

n [ネイティブ (Native)] - Orchestrator のデフォルトの認証モードです。このモードでは、構成は必要ありま

せん。

n [RADIUS] - リモート認証ダイヤルインユーザーサービス (RADIUS) は、リモートアクセスサーバが中央の

サーバと通信できるようにするクライアントとサーバ間のプロトコルです。RADIUS 認証によって、ユーザー

の一元管理が可能になります。詳細については、RADIUS 認証の構成を参照してください

n [SSO] - シングルサインオン (SSO) は、オペレータユーザーが 1 組のログイン認証情報を使用して

Orchestrator にログインし、複数のアプリケーションにアクセスできるようにする、セッションおよびユーザ

ー認証サービスです。詳細については、オペレータのシングルサインオンの構成を参照してください。

[API トークン (API Tokens)]

VMware, Inc. 100

認証モードに関係なく、トークンベースの認証を使用して Orchestrator API にアクセスできます。適切な権限を

持つオペレータ管理者は、このセクションで、パートナーおよびユーザーに発行されたトークンを含む、

Orchestrator ユーザーに対して発行された API トークンを表示できます。必要に応じて、オペレータ管理者は

API トークンを取り消すことができます。

デフォルトでは、API トークンは有効になっています。これらを無効にするには、オペレータポータルの [システム

プロパティ (System Properties)] に移動し、システムプロパティ session.options.enableApiTokenAuth の値

を [False] として設定します。

トークンを取り消すことができるのは、オペレータスーパーユーザーか、API トークンに関連付けられたユーザー

に限られます。トークンを選択し、[アクション (Actions)] - [取り消し (Revoke)] をクリックします。オペレータ

スーパーユーザーとして、エンタープライズユーザーの API トークンを管理できます。API トークンを作成してダ

ウンロードするには、API トークンを参照してください。


n RADIUS 認証の構成

n オペレータのシングルサインオンの構成

RADIUS 認証の構成

RADIUS モードで Orchestrator 認証を構成すると、オペレータユーザーおよびエンタープライズユーザーが

RADIUS サーバを使用してポータルにログインできるようになります。

RADIUS 認証モードで、次のいずれかをデプロイするように選択します。

n 単一の RADIUS サーバ - オペレータユーザーとエンタープライズユーザーとの間で同じ RADIUS サーバを

共有します。

n 個別の RADIUS サーバ - オペレータ/SP に 1 台の RADIUS サーバを構成し、すべてのエンタープライズユー

ザーに別のサーバを構成します。

RADIUS モードを構成するには、オペレータポータルで [Orchestrator 認証 (Orchestrator Authentication)] をクリックします。

[オペレータ認証 (Operator Authentication)] と [エンタープライズ認証 (Enterprise Authentication)] の

[認証モード (Authentication Mode)] として [RADIUS] を選択します。適切な詳細を入力します。


VMware, Inc. 101

[プロトコル (Protocol)] を除いて、フィールドの値を入力または変更できます。プロトコルの値は、[システムプロ

パティ (System Properties)] でのみ編集できます。オペレータの場合は

vco.operator.authentication.radius、エンタープライズの場合は vco.enterprise.authentication.radius の [値 (Value)] フィールドでプロトコルを編集します。

[認証の構成 (Configure Authentication)] ページで値を構成する代わりに、[システムプロパティ (System Properties)] で RADIUS サーバの値を定義することもできます。オペレータポータルで、[システムプロパティ

(System Properties)] ページに移動し、次のシステムプロパティを設定します。

n vco.enterprise.authentication.mode - エンタープライズの RADIUS 認証を有効にするには値として

[RADIUS] を入力します。

n vco.enterprise.authentication.radius - [値 (Value)] フィールドで、エンタープライズのサーバの詳細と

その他の属性を使用して JSON テンプレートを編集します。

n vco.operator.authentication.mode - オペレータの RADIUS 認証を有効にするには値として [RADIUS] を入力します。

n vco.operator.authentication.radius - [値 (Value)] フィールドで、オペレータのサーバの詳細とその他の

属性を使用して JSON テンプレートを編集します。

関連する値を使用してシステムプロパティを定義した後、[Orchestrator 認証 (Orchestrator Authentication)] をクリックします。

[認証モード (Authentication Mode)] が [RADIUS] に変更され、[システムプロパティ (System Properties)] で定義した属性がフィールドに表示されます。


VMware, Inc. 102

必要に応じて、対応するフィールドの値を変更できます。フィールドを更新した後、[変更の保存 (Save Changes)] をクリックします。

オペレータのシングルサインオンの構成

シングルサインオン (SSO) モードは [Orchestrator 認証 (Orchestrator Authentication)] 画面に新しく追加

されました。

シングルサインオンの概要

SD-WAN Orchestrator は、すべての Orchestrator ユーザータイプ（オペレータ、パートナー、エンタープラ

イズ）について、シングルサインオン (SSO) と呼ばれる新しいタイプのユーザー認証をサポートしています。

シングルサインオン (SSO) は、SD-WAN Orchestrator ユーザーが 1 組のログイン認証情報を使用して SD-WAN Orchestrator にログインし、複数のアプリケーションにアクセスすることを可能にする、セッションおよび

ユーザー認証サービスです。SSO サービスと SD-WAN Orchestrator を統合することにより、SD-WAN Orchestrator ユーザーのユーザー認証のセキュリティが強化され、SD-WAN Orchestrator で他の OpenID Connect (OIDC) ベースの ID プロバイダ (IDP) のユーザーを認証できるようになります。現在、次の IDP がサポ

ートされています。

n Okta

n OneLogin

n PingIdentity

n AzureAD

n VMwareCSP

オペレータユーザーのシングルサインオンの構成

スーパーユーザー権限を持つオペレータユーザーは、SD-WAN Orchestrator でシングルサインオン (SSO) を設定して構成できます。オペレータユーザーの SSO 認証を設定するには、以下の手順を実行します。

オペレータユーザーにシングルサインオンを構成するには、次の手順を実行します。

前提条件

n オペレータスーパーユーザー権限があることを確認します。

n SD-WAN Orchestrator で SSO 認証を設定する前に、優先 ID プロバイダの Web サイトで、ロール、ユー

ザー、および OpenID Connect (OIDC) アプリケーションを SD-WAN Orchestrator 用に設定しているこ

とを確認します。詳細については、シングルサインオン用の IDP の構成を参照してください。

注： VMware ホスト型 Orchestrator のオペレータ管理レベルでの SSO 統合は、VMware SD-WAN TechOPS オペレータ用に予約されています。ホスト型 Orchestrator のオペレータレベルのアクセス権を持つ

パートナーには、SSO サービスに統合するオプションはありません。

手順

1 オペレータスーパーユーザーとして SD-WAN Orchestrator アプリケーションにログインします。


VMware, Inc. 103

2 [Orchestrator 認証 (Orchestrator Authentication)] をクリックします。

[認証の構成 (Configure Authentication)] 画面が表示されます。

3 [認証モード (Authentication Mode)] ドロップダウンメニューから [SSO] を選択します。

4 [ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから、シングルサイ

ンオン用に構成した優先 ID プロバイダ (IDP) を選択します。

注：優先 IDP として VMwareCSP を選択する場合は、/csp/gateway/am/api/orgs/<full organization ID> の形式で組織 ID を指定します。

VMware CSP コンソールにログインすると、ユーザー名をクリックして、ログインしている組織 ID を表示で

きます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表示されます。

また、[ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから [その他

(Others)] を選択して、独自の IDP を手動で構成することもできます。

5 [OIDC の既知の構成 URL (OIDC well-known config URL)] テキストボックスに、IDP の OpenID Connect (OIDC) 構成 URL を入力します。たとえば、Okta の URL 形式は次のようになります：https://

{oauth-provider-url}/.well-known/openid-configuration

6 SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細（IDP の発行者、認証エンドポイント、

トークンエンドポイント、ユーザー情報エンドポイントなど）を自動的に入力します。

7 [クライアント ID (Client Id)] テキストボックスに、IDP によって提供されるクライアント ID を入力します。

8 [クライアントシークレット (Client Secret)] テキストボックスに、IDP によって提供されるクライアントシークレットコードを入力します。これは、クライアントがトークンの認証コードを交換するために使用します。


VMware, Inc. 104

https://console-stg.cloud.vmware.com/

9 SD-WAN Orchestrator でユーザーのロールを決定するには、次のいずれかのオプションを選択します。

n [デフォルトのロールを使用 (Use Default Role)] - このオプションを選択したときに表示される [デフォ

ルトのロール (Default Role)] テキストボックスを使用して、ユーザーが静的なロールをデフォルトとし

て構成できるようにします。サポートされているロールは、オペレータスーパーユーザー、オペレータ標

準管理者、オペレータサポート、およびオペレータビジネスです。

注： SSO 構成のセットアップで [デフォルトのロールを使用 (Use Default Role)] オプションが選択さ

れ、デフォルトのユーザーロールが定義されている場合、すべての SSO ユーザーに指定されたデフォルト

ロールが割り当てられます。オペレータスーパーユーザーは、ユーザーにデフォルトのロールを割り当て

るのではなく、[オペレータユーザー (Operator Users)] タブを使用して特定のユーザーを非ネイティブ

ユーザーとして事前登録し、特定のユーザーロールを定義できます。新しいオペレータユーザーを構成す

る手順については、新しいオペレータユーザーの作成を参照してください。

n [ID プロバイダロールを使用 (Use Identity Provider Roles)] - IDP で設定されたロールを使用します。

10 [ID プロバイダロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性 (Role Attribute)] テキストボックスに、ロールを返す IDP に設定されている属性の名前を入力します。

11 [ロールマップ (Role Map)] 領域で、IDP によって提供されたロールを、カンマ区切りでそれぞれの SD-WAN Orchestrator ロールにマッピングします。

VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。

12 SD-WAN Orchestrator URL (https://<vco>/login/ssologin/openidCallback) を使用して、OIDC プロバイダの Web サイトで許可されたリダイレクト URL を更新します。

13 [変更の保存 (Save Changes)] をクリックして、SSO 構成を保存します。

14 [構成のテスト (Test Configuration)] をクリックして、指定した OpenID Connect (OIDC) 構成を検証しま

す。

ユーザーは IDP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SD-WAN Orchestrator テストコールバックに正常にリダイレクトされると、検証に成功したことを示すメッセージが

表示されます。

結果

SD-WAN Orchestrator での SSO 認証の設定は完了です。

次のステップ

6 章オペレータユーザーの SSO を使用した SD-WAN Orchestrator へのログイン


VMware, Inc. 105

シングルサインオン用の IDP の構成

SD-WAN Orchestrator のシングルサインオン (SSO) を有効にするには、SD-WAN Orchestrator の詳細を

使用して ID パートナー (IDP) を構成する必要があります。現在、Okta、OneLogin、PingIdentity、AzureAD、

および VMware CSP などの IDP がサポートされています。

さまざまな IDP で SD-WAN Orchestrator の OpenID Connect (OIDC) アプリケーションを構成する詳細な

手順については、以下を参照してください。

n シングルサインオン用の Okta の構成

n シングルサインオン用の OneLogin の構成

n シングルサインオン用の PingIdentity の構成

n シングルサインオン用の Azure Active Directory の構成

n シングルサインオン用の VMware CSP の構成

シングルサインオン用の Okta の構成

Okta からの OpenID Connect (OIDC) ベースのシングルサインオン (SSO) をサポートするには、最初に Okta でアプリケーションをセットアップする必要があります。Okta で SSO のために OIDC ベースのアプリケーショ

ンをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な Okta アカウントがあることを確認します。

手順

1 Okta アカウントに管理者ユーザーとしてログインします。

[Okta] ホーム画面が表示されます。

注： [開発者コンソール (Developer Console)] ビューが表示されている場合は、[開発者コンソール

(Developer Console)] ドロップダウンリストから [クラシックユーザーインターフェイス (Classic UI)] を選択して、[クラシックユーザーインターフェイス (Classic UI)] ビューに切り替える必要があります。


VMware, Inc. 106

https://login.okta.com/

2 新しいアプリケーションを作成するには、次の手順を実行します。

a 上部のナビゲーションバーで、[アプリケーション (Applications)] > [アプリケーションの追加 (Add Application)] をクリックします。

[アプリケーションの追加 (Add Application)] 画面が表示されます。

b [新しいアプリケーションの作成 (Create New App)] をクリックします。

[新しいアプリケーション統合の作成 (Create a New Application Integration)] ダイアログボックス

が表示されます。

c [プラットフォーム (Platform)] ドロップダウンメニューから、[Web] を選択します。

d サインオンの方法として [OpenID Connect] を選択し、[作成 (Create)] をクリックします。

[OpenID Connect 統合の作成 (Create OpenID Connect Integration)] 画面が表示されます。

e [全般設定 (General Settings)] 領域の [アプリケーション名 (Application name)] テキストボックス

に、アプリケーションの名前を入力します。


VMware, Inc. 107

f [OpenID Connect の構成 (CONFIGURE OPENID CONNECT)] 領域の [ログインリダイレクト URI (Login redirect URIs)] テキストボックスに、SD-WAN Orchestrator アプリケーションがコールバッ

クエンドポイントとして使用するリダイレクト URL を入力します。

SD-WAN Orchestrator アプリケーションの [認証の構成 (Configure Authentication)] 画面の下部

にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。

g [保存 (Save)] をクリックします。新しく作成されたアプリケーションのページが表示されます。

h [全般 (General)] タブで [編集 (Edit)] をクリックし、許可された付与タイプに対して[トークンの更新

(Refresh Token)] を選択し、[保存 (Save)] をクリックします。

SD-WAN Orchestrator での SSO の構成時に使用するクライアント認証情報（クライアント ID とクラ

イアントシークレット）をメモしておきます。

i [サインオン (Sign On)] タブをクリックし、[OpenID Connect ID トークン (OpenID Connect ID Token)] 領域で [編集 (Edit)] をクリックします。

j [グループの要求タイプ (Groups claim type)] ドロップダウンメニューから、[式 (Expression)] を選択

します。デフォルトでは、グループの要求タイプは [フィルタ (Filter)] に設定されています。


VMware, Inc. 108

k [グループの要求式 (Groups claim expression)] テキストボックスに、トークンで使用される要求名と、

トークンを評価する Okta 入力式のステートメントを入力します。

l [保存 (Save)] をクリックします。

アプリケーションは IDP でセットアップされます。ユーザーグループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てることができます。


VMware, Inc. 109

3 グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。

a [アプリケーション (Application)] > [アプリケーション (Applications)] の順に移動し、SD-WAN Orchestrator アプリケーションのリンクをクリックします。

b [割り当て (Assignments)] タブで、[割り当て (Assign)] ドロップダウンメニューから、[グループに割

り当て (Assign to Groups)] または [ユーザーに割り当て (Assign to People)] を選択します。

[<アプリケーション名> をグループに割り当てる (Assign <Application Name> to Groups)] または

[<アプリケーション名> をユーザーに割り当てる (Assign <Application Name> to People)] ダイアロ

グボックスが表示されます。

c SD-WAN Orchestrator アプリケーションの割り当て先となる使用可能なユーザーグループまたはユー

ザーの横にある [割り当て (Assign)] をクリックして、[完了 (Done)] をクリックします。

SD-WAN Orchestrator アプリケーションに割り当てられたユーザーまたはユーザーグループが表示さ

れます。

結果

これで、Okta で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ

SD-WAN Orchestrator でシングルサインオンを構成します。

Okta での新規ユーザーグループの作成

新規ユーザーグループを作成するには、次の手順を実行します。

手順

1 [ディレクトリ (Directory)] > [グループ (Groups)] をクリックします。


VMware, Inc. 110

2 [グループの追加 (Add Group)] をクリックします。

[グループの追加 (Add Group)] ダイアログボックスが表示されます。

3 グループ名とグループの説明を入力し、[保存 (Save)] をクリックします。

Okta での新規ユーザーの作成

新規ユーザーを追加するには、次の手順を実行します。

手順

1 [ディレクトリ (Directory)] > [People] をクリックします。

2 [ユーザーの追加 (Add Person)] をクリックします。

[ユーザーの追加 (Add Person)] ダイアログボックスが表示されます。

3 ユーザーの名、姓、E メール ID など、必須のすべての詳細を入力します。

4 パスワードを設定する場合は、[パスワード (Password)] ドロップダウンメニューから [ユーザー別に設定

(Set by user)] を選択し、[アクティベーションメールを今すぐユーザーに送信 (Send user activation email now)] を有効にします。

5 [保存 (Save)] をクリックします。

アクティベーションリンクが記載された E メールがお使いの E メール ID に送信されます。E メールのリンク

をクリックして、Okta ユーザーアカウントをアクティベーションします。

シングルサインオン用の OneLogin の構成

OneLogin でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセッ

トアップするには、次の手順を実行します。

前提条件

ログインに必要な OneLogin アカウントがあることを確認します。

手順

1 OneLogin アカウントに管理者ユーザーとしてログインします。

[OneLogin] ホーム画面が表示されます。


VMware, Inc. 111

https://app.onelogin.com/login


a 上部のナビゲーションバーで、[アプリケーション (Apps)] > [アプリケーションの追加 (Add Apps)] をクリックします。

b [アプリケーションの検索] テキストボックスで、「OpenId Connect」または「oidc」を検索し、[OpenId Connect (OIDC)] アプリケーションを選択します。

[OpenId Connect (OIDC) の追加 (Add OpenId Connect (OIDC))] 画面が表示されます。

c [表示名 (Display Name)] テキストボックスにアプリケーションの名前を入力し、[保存 (Save)] をクリ

ックします。

d [構成 (Configuration)] タブで、SD-WAN Orchestrator がコールバックエンドポイントとして使用す

るリダイレクト URI を入力し、[保存 (Save)] をクリックします。

SD-WAN Orchestrator アプリケーションの [認証 (Authentication)] 画面の下部にリダイレクト

URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。


VMware, Inc. 112

e [パラメータ (Parameters)] タブの [OpenId Connect (OIDC)] で、[グループ (Groups)] をダブルク

リックします。

[フィールドグループの編集 (Edit Field Groups)] ポップアップが表示されます。

f 値「--No transform--（単一の値の出力）」を使用してグループ属性で送信するユーザーロールを構成し、

[保存 (Save)] をクリックします。

g [SSO] タブの [アプリケーションタイプ (Application Type)] ドロップダウンメニューで [Web] を選

択します。


VMware, Inc. 113

h [認証方法 (Authentication Method)] ドロップダウンメニューからトークンエンドポイントとして

[POST] を選択し、[保存 (Save)] をクリックします。

また、SD-WAN Orchestrator での SSO の構成時に使用するクライアント認証情報（クライアント ID とクライアントシークレット）をメモしておきます。

i [アクセス (Access)] タブで、ログインが許可されるロールを選択し、[保存 (Save)] をクリックます。

3 ロールとユーザーを SD-WAN Orchestrator アプリケーションに追加するには、次の手順を実行します。

a [ユーザー (Users)] > [ユーザー (Users)] をクリックし、ユーザーを選択します。

b [アプリケーション (Application)] タブで、左側の [ロール (Roles)] ドロップダウンメニューから、ユー

ザーにマッピングするロールを選択します。

c [ユーザーの保存 (Save Users)] をクリックします。

結果

これで、OneLogin で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ



VMware, Inc. 114

OneLogin での新規ロールの作成

新規ロールを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ロール (Roles)] をクリックします。

2 [新規ロール (New Role)] をクリックします。

3 ロールの名前を入力します。

最初にロールを設定すると、[アプリケーション (Applications)] タブに、会社のカタログ内のすべてのアプリ

ケーションが表示されます。

4 アプリケーションをクリックして選択し、[保存 (Save)] をクリックして、選択したアプリケーションをロール

に追加します。

OneLogin での新規ユーザーの作成

新規ユーザーを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザー (Users)] > [新規ユーザー (New User)] をクリックします。

[新規ユーザー (New User)] 画面が表示されます。

2 ユーザーの名、姓、E メール ID など、必須のすべての詳細を入力し、[ユーザーの保存 (Save Users)] クリッ

クします。

シングルサインオン用の PingIdentity の構成

PingIdentity でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションを

セットアップするには、次の手順を実行します。

前提条件

ログインに必要な PingOne アカウントがあることを確認します。

注：現在、SD-WAN Orchestrator は、ID パートナー (IDP) として PingOne をサポートしています。ただ

し、OIDC をサポートするすべての PingIdentity 製品は簡単に構成できます。

手順

1 PingOne アカウントに管理者ユーザーとしてログインします。

[PingOne] ホーム画面が表示されます。


VMware, Inc. 115

https://admin.pingone.com/web-portal/login


a 上部のナビゲーションバーで、[アプリケーション (Applications)] をクリックします。

b [マイアプリケーション (My Applications)] タブで [OIDC] を選択し、[アプリケーションの追加 (Add Application)] をクリックします。

[OIDC アプリケーションの追加 (Add OIDC Application)] ポップアップウィンドウが表示されます。

c アプリケーションの名前、短い説明、カテゴリなどの基本的な詳細を入力し、[次へ (Next)] をクリックし

ます。

d [認証設定 (AUTHORIZATION SETTINGS)] で、許可された付与タイプとして [認証コード

(Authorization Code)] を選択し、[次へ (Next)] をクリックします。

また、SD-WAN Orchestrator での SSO の構成時に使用する検出 URL とクライアント認証情報（クラ

イアント ID とクライアントシークレット）をメモしておきます。


VMware, Inc. 116

e [SSO フローおよび認証設定 (SSO FLOW AND AUTHENTICATION SETTINGS)] で、SSO の開始

URL およびリダイレクト URL の有効な値を指定し、[次へ (Next)] をクリックします。


にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。SSO の開始

URL は https://<vco>/<domain name>/login/doEnterpriseSsoLogin という形式になります。

f [デフォルトのユーザープロファイル属性契約 (DEFAULT USER PROFILE ATTRIBUTE CONTRACT)] で [属性の追加 (Add Attribute)] をクリックして、ユーザープロファイルの属性を追加

します。

g [属性名 (Attribute Name)] テキストボックスに group_membership と入力し、[必須 (Required)] チェックボックスをオンにして、[次へ (Next)] を選択します。

注： PingOne からロールを取得するには、group_membership 属性が必要です。

h [接続範囲 (CONNECT SCOPES)] で、認証時に SD-WAN Orchestrator アプリケーションに対して要

求できる範囲を選択し、[次へ (Next)] をクリックします。

i [属性マッピング (Attribute Mapping)] で、ID リポジトリの属性を SD-WAN Orchestrator アプリケ

ーションで使用可能な要求にマッピングします。

注：統合が機能するために必要な最低限のマッピングは、email、given_name、family_name、

phone_number、sub、および group_membership（memberOf にマッピングされる）です。

j [グループアクセス (Group Access)] で、SD-WAN Orchestrator アプリケーションにアクセスする必

要があるすべてのユーザーグループを選択し、[完了 (Done)] をクリックします。

アプリケーションがアカウントに追加され、[マイアプリケーション (My Application)] 画面で使用でき

るようになります。

結果

これで、PingOne で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ


PingIdentity での新規ユーザーグループの作成

新規ユーザーグループを作成するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザーディレクトリ (User Directory)] をクリックします。

2 [グループ (Groups)] タブで、[グループの追加 (Add Group)] をクリックします。

[新規グループ (New Group)] 画面が表示されます。

3 [名前 (Name)] テキストボックスにグループの名前を入力し、[保存 (Save)] をクリックします。


VMware, Inc. 117

PingIdentity での新規ユーザーの作成

新規ユーザーを追加するには、次の手順を実行します。

手順

1 [ユーザー (Users)] > [ユーザーディレクトリ (User Directory)] をクリックします。

2 [ユーザー (Users)] タブで [ユーザーの追加 (Add Users)] ドロップダウンメニューをクリックし、[新規ユー

ザーの作成 (Create New User)] を選択します。

[ユーザー (User)] 画面が表示されます。

3 ユーザー名、パスワード、E メール ID など、必須のすべての詳細を入力します。

4 [グループメンバーシップ (Group Memberships)] で [追加 (Add)] をクリックします。

[グループメンバーシップの追加 (Add Group Membership)] ポップアップウィンドウが表示されます。

5 ユーザーを検索してグループに追加し、[保存 (Save)] をクリックします。

シングルサインオン用の Azure Active Directory の構成

Microsoft Azure Active Directory (AzureAD) でシングルサインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な AzureAD アカウントがあることを確認します。

手順

1 Microsoft Azure アカウントに管理者ユーザーとしてログインします。

[Microsoft Azure] ホーム画面が表示されます。


VMware, Inc. 118

https://portal.azure.com/


a [Azure Active Directory] サービスを検索して選択します。

b [アプリの登録 (App registration)] > [新規登録 (New registration)] の順に移動します。

[アプリケーションの登録 (Register an application)] 画面が表示されます。

c [名前 (Name)] フィールドに、SD-WAN Orchestrator アプリケーションの名前を入力します。

d [リダイレクト URL (Redirect URL)] フィールドに、SD-WAN Orchestrator アプリケーションがコー

ルバックエンドポイントとして使用するリダイレクト URL を入力します。


にリダイレクト URL リンクがあります。SD-WAN Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。


VMware, Inc. 119

e [登録 (Register)] をクリックします。

SD-WAN Orchestrator アプリケーションが登録され、[すべてのアプリケーション (All applications)] および [所有しているアプリケーション (Owned applications)] タブに表示されます。SD-WAN Orchestrator での SSO の構成時に使用されるクライアント ID/アプリケーション ID をメモしておきま

す。

f [エンドポイント (Endpoints)] をクリックし、SD-WAN Orchestrator での SSO 構成時に使用される

既知の OIDC 構成 URL をコピーします。

g SD-WAN Orchestrator アプリケーションのクライアントシークレットを作成するには、[所有している

アプリケーション (Owned applications)] タブで、SD-WAN Orchestrator アプリケーションをクリ

ックします。

h [証明書とシークレット (Certificates & secrets)] > [新しいクライアントシークレット (New client secret)] の順に移動します。

[クライアントシークレットの追加 (Add client secret)] 画面が表示されます。

i シークレットの説明や有効期限の値などの詳細を入力して、[追加 (Add)] をクリックします。

アプリケーションのクライアントシークレットが作成されます。SD-WAN Orchestrator での SSO の構成時に使用される新しいクライアントシークレットの値をメモしておきます。


VMware, Inc. 120

j SD-WAN Orchestrator アプリケーションの権限を構成するには、SD-WAN Orchestrator アプリケ

ーションをクリックして [API のアクセス許可 (API permissions)] > [アクセス許可の追加 (Add a permission)] の順に移動します。

[API アクセス許可の要求 (Request API permissions)] 画面が表示されます。

k [Microsoft Graph] をクリックして、アプリケーションの権限のタイプとして [アプリケーションのアクセ

ス許可 (Application permissions)] を選択します。

l [アクセス許可の選択 (Select permissions)] で、[ディレクトリ (Directory)] ドロップダウンメニュー

から [Directory.Read.All] を選択し、[ユーザー (User)] ドロップダウンメニューから [User.Read.All] を選択します。

m [アクセス許可の追加 (Add permissions)] をクリックします。


VMware, Inc. 121

n マニフェストにロールを追加して保存するには、SD-WAN Orchestrator アプリケーションをクリック

し、アプリケーションの [概要 (Overview)] 画面で、[マニフェスト (Manifest)] をクリックします。

Web ベースのマニフェストエディタが開き、ポータル内でマニフェストを編集できます。必要に応じて、

[ダウンロード (Download)] を選択し、マニフェストをローカルで編集してから、[アップロード

(Upload)] を使用してアプリケーションに再適用することもできます。

o マニフェストで、appRoles アレイを検索し、次の例に示すように 1 つ以上のロールオブジェクトを追加し

て、[保存 (Save)] をクリックします。

ロールオブジェクトのサンプル

{

"allowedMemberTypes": [

"User"

],

"description": "Standard Administrator who will have sufficient privilege to

manage resource",

"displayName": "Standard Admin",

"id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "standard"

},

{

"allowedMemberTypes": [

"User"

],

"description": "Super Admin who will have the full privilege on SD-WAN

Orchestrator",

"displayName": "Super Admin",

"id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "superuser"

}


VMware, Inc. 122

注： id は、新たに生成された GUID 値に設定してください。

3 グループとユーザーを SD-WAN Orchestrator アプリケーションに割り当てるには、次の手順を実行します。

a [Azure Active Directory] > [エンタープライズアプリケーション (Enterprise applications)] の順

に移動します。

b SD-WAN Orchestrator アプリケーションを検索して選択します。

c [ユーザーとグループ (Users and groups)] をクリックして、ユーザーとグループをアプリケーションに

割り当てます。

d [送信 (Submit)] をクリックします。

結果

これで、AzureAD で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のステップ


AzureAD での新規ゲストユーザーの作成

新規ゲストユーザーを作成するには、次の手順を実行します。

手順

1 [Azure Active Directory] > [ユーザー (Users)] > [すべてのユーザー (All users)] の順に移動します。

2 [新規ゲストユーザー (New guest user)] をクリックします。

[新規ゲストユーザー (New guest user)] ポップアップウィンドウが表示されます。


VMware, Inc. 123

3 [メールアドレス (Email address)] テキストボックスにゲストユーザーのメールアドレスを入力し、[招待

(Invite)] をクリックします。

ゲストユーザーは、カスタマイズ可能な招待状をすぐに受け取り、アクセスパネルにログインできます。

4 ディレクトリ内のゲストユーザーはアプリケーションまたはグループに割り当てることができます。

シングルサインオン用の VMware CSP の構成

シングルサインオン (SSO) のための VMware Cloud Services プラットフォーム (CSP) を構成するには、次の

手順を実行します。

手順

1 VMware アカウント ID を使用して、VMware CSP コンソール（ステージングまたは本番環境）にログイン

します。VMware Cloud を使用するのが初めてで、VMware アカウントを持っていない場合は、サインアッ

プ時に作成することができます。詳細については、『VMware Cloud の使用』ドキュメントの「VMware CSP へのサインアップ」のセクションを参照してください。

2 SD-WAN Orchestrator アプリケーションを VMware CSP に登録するためのアプリケーションオンボー

ディングの招待リンクを受け取る方法については、VMware サポートプロバイダにお問い合わせください。サ

ポートプロバイダへのお問い合わせ方法については、https://kb.vmware.com/s/article/53907 および

https://www.vmware.com/support/contacts/us_support.html を参照してください。

VMware サポートプロバイダは、ユーザー組織に対して使用する必要があるサービス招待 URL を作成して共

有します。

3 既存のユーザー組織にサービス招待 URL を使用するか、ユーザーインターフェイス画面の手順に従って新しい

ユーザー組織を作成します。

4 サービス招待 URL を使用した後、VMware CSP コンソールにログインすると、[VMware Cloud Services] ページの [マイサービス (My Services)] 領域にアプリケーションタイルを表示できます。

ログインしている組織が、メニューバーのユーザー名の下に表示されます。ユーザー名をクリックして、組織

ID をメモしておきます。短縮形の ID が組織名の下に表示されます。ID をクリックすると、完全な組織 ID が表

示されます。

5 完全な組織 ID を VMware サポートプロバイダと共有し、OAuth アプリケーションを作成するように要求し

ます。

VMware サポートプロバイダは VMware CSP コンソールで OAuth アプリケーションを作成し、クライア

ント ID、クライアントシークレット、OIDC の既知の構成 URL など、IDP 統合の詳細を共有します。


VMware, Inc. 124

https://console.cloud.vmware.com/csp/gateway/discovery

https://docs.vmware.com/jp/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf


https://www.vmware.com/support/contacts/us_support.html

https://console.cloud.vmware.com/csp/gateway/discovery

6 SD-WAN Orchestrator アプリケーションにスーパー管理者ユーザーとしてログインし、次のように、受信し

た IDP 統合の詳細を使用して SSO を構成します。

a [管理 (Administration)] > [システム設定 (System Settings)] をクリックします。

[システム設定 (System Settings)] 画面が表示されます。

b [全般情報 (General Information)] タブをクリックし、[ドメイン (Domain)] テキストボックスにエンタ

ープライズのドメイン名を入力します（まだ設定されていない場合）。

注： SD-WAN Orchestrator の SSO 認証を有効にするには、エンタープライズのドメイン名を設定す

る必要があります。

c [認証 (Authentication)] タブをクリックし、[認証モード (Authentication Mode)] ドロップダウンメニューから [SSO] を選択します。

d [ID プロバイダテンプレート (Identity Provider template)] ドロップダウンメニューから、

[VMwareCSP] を選択します。

e [組織 ID (Organization Id)] テキストボックスに、/csp/gateway/am/api/orgs/<full organization ID> の形式で組織 ID を入力します。

f [OIDC の既知の構成 URL (OIDC well-known config URL)] テキストボックスに、IDP の OpenID Connect (OIDC) 構成 URL (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) を入力します。

SD-WAN Orchestrator アプリケーションは、エンドポイントの詳細（IDP の発行者、認証エンドポイン

ト、トークンエンドポイント、ユーザー情報エンドポイントなど）を自動的に入力します。

g [クライアント ID (Client Id)] テキストボックスに、サポートプロバイダから受信したクライアント ID を入力します。

h [クライアントシークレット (Client Secret)] テキストボックスに、サポートプロバイダから受信したク

ライアントシークレットコードを入力します。

i SD-WAN Orchestrator でのユーザーのロールを決定するには、[デフォルトのロールを使用 (Use Default Role)] または [ID プロバイダロールを使用 (Use Identity Provider Roles)] のいずれかを選

択します。

j [ID プロバイダロールを使用 (Use Identity Provider Roles)] オプションを選択したら、[ロール属性

(Role Attribute)] テキストボックスに、ロールを返す VMware CSP に設定されている属性の名前を入

力します。

k [ロールマップ (Role Map)] 領域で、VMwareCSP によって提供されたロールを、カンマ区切りでそれぞ

れの SD-WAN Orchestrator ロールにマッピングします。

VMware CSP のロールは、external/<service definition uuid>/<service role name mentioned during service template creation> の形式になります。

7 [変更の保存 (Save Changes)] をクリックして、SSO 構成を保存します。


VMware, Inc. 125

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

8 [構成のテスト (Test Configuration)] をクリックして、入力した OpenID Connect (OIDC) 構成を検証しま

す。

ユーザーは VMware CSP の Web サイトに移動され、認証情報の入力を許可されます。IDP の検証時に SD-WAN Orchestrator テストコールバックに正常にリダイレクトされると、検証に成功したことを示すメッセ

ージが表示されます。

結果

SSO を使用するための VMware CSP での SD-WAN Orchestrator アプリケーションの統合が完了しました。

VMware CSP コンソールにログインして SD-WAN Orchestrator アプリケーションにアクセスできます。

次のステップ

n 組織内で、新しいユーザーを追加し、ユーザーに適切なロールを割り当てることで、ユーザーを管理します。詳

細については、『VMware Cloud の使用』ドキュメントの「ID とアクセス管理」セクションを参照してくださ

い。


VMware, Inc. 126

https://docs.vmware.com/jp/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf

DR 展開のある SD-WAN Orchestrator のアップグレード 18この章には、次のトピックが含まれています。

n SD-WAN Orchestrator のアップグレードの概要

n Orchestrator のアップグレード

n SD-WAN Orchestrator のディザスタリカバリ

SD-WAN Orchestrator のアップグレードの概要

SD-WAN Orchestrator をアップグレードするには、次の手順を実行する必要があります。

SD-WAN Orchestrator のディザスタリカバリについては、VMware での DR の設定と DR の設定のアップグ

レードを参照してください。

1 ステップ 1：Orchestrator のアップグレードの準備

2 ステップ 2：アップグレードのお知らせの送信

3 ステップ 3：SD-WAN Orchestrator のアップグレードの続行

4 ステップ 4：Orchestrator のアップグレードの完了

Orchestrator のアップグレード

このセクションでは、Orchestrator をアップグレードする方法について説明します。

ステップ 1：Orchestrator のアップグレードの準備

このセクションで説明されているように、SD-WAN Orchestrator のアップグレードの準備をするには、VMware SD-WAN by VeloCloud サポートチームにお問い合わせください。

VMware, Inc. 127

SD-WAN Orchestrator をアップグレードするには、次の手順を実行します。

1 VMware SD-WAN by VeloCloud サポートチームがアップグレードをサポートします。サポートに問い合

わせる前に、次の情報を収集します。

n SD-WAN Orchestrator の現在のバージョンとターゲットのバージョンを提供します。例：現在のバー

ジョン (2.5.2 GA-20180430)、ターゲットのバージョン (3.3.2 p2)。

注：現在のバージョンについては、この情報は [ヘルプ (Help)] リンクをクリックして [バージョン情報

(About)] を選択すると、SD-WAN Orchestrator の右上隅に表示されます。

n 次の図のように、SD-WAN Orchestrator のレプリケーションダッシュボードのスクリーンショットを

提供します。

n ハイパーバイザーのタイプとバージョン (vSphere 6.7)

n SD-WAN Orchestrator からのコマンド：

注：コマンドは、root として実行する必要があります（「sudo <command>」や「sudo-i」など）。

n LVM レイアウト

n pvdisplay -v

n vgdisplay -v

n lvdisplay -v

n df -h

n cat /etc/fstab

n メモリ情報

n free -m

n cat /proc/meminfo


VMware, Inc. 128

n ps -ef

n top -b -n 2

n CPU 情報

n cat /proc/cpuinfo

n /var/log のコピー

n tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log

n スタンバイ Orchestrator から：

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'

n アクティブ Orchestrator から：

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'

2 SD-WAN Orchestrator のアップグレードについては、上記の情報を用意し、VMware SD-WAN Orchestrator サポート (https://kb.vmware.com/s/article/53907) にお問い合わせください。

ステップ 2：アップグレードのお知らせの送信

[アップグレードのお知らせ (Upgrade Announcement)] 領域では、次回のアップグレードに関するメッセージを

構成して送信することができます。このメッセージは、次回 SD-WAN Orchestrator にログインしたときにすべ

てのユーザーに表示されます。

アップグレードのお知らせを送信するには、次の手順を実行します。

1 SD-WAN Orchestrator で、ナビゲーションパネルから [Orchestrator のアップグレード (Orchestrator Upgrade)] を選択します。

2 [アップグレードのお知らせ (Upgrade Announcement)] 領域で、[バナーメッセージ (Banner Message)] テキストボックスにメッセージを入力します。

3 [Orchestrator のアップグレードを知らせる (Announce Orchestrator Upgrade)] ボタンをクリックしま

す。

お知らせが正常に作成されたことを示すポップアップメッセージが表示され、SD-WAN Orchestrator の上

部にバナーメッセージが表示されます。


VMware, Inc. 129


4 （オプション）[Orchestrator アップグレードのお知らせを解除 (Unannounce Orchestrator Upgrade)] ボタンをクリックして、SD-WAN Orchestrator からお知らせを削除することができます。Orchestrator アップグレードのお知らせが正常に解除されたことを示すポップアップメッセージが表示されます。SD-WAN Orchestrator の上部に表示されていたお知らせが削除されます。

ステップ 3：SD-WAN Orchestrator のアップグレードの続行

VMware SD-WAN Orchestrator のアップグレードについては、VMware SD-WAN by VeloCloud サポー

ト (https://kb.vmware.com/s/article/53907) にお問い合わせください。

ステップ 4：Orchestrator のアップグレードの完了

Orchestrator のアップグレードが完了したら、[Orchestrator のアップグレード完了 (Complete Orchestrator Upgrade)] ボタンをクリックします。これにより、Edge の構成更新の適用をグローバルレベルで

再度有効にすることができます。

アップグレードのステータスが完了になっていることを確認するには、次のコマンドを実行して、すべてのパッケー

ジの正しいバージョン番号を表示します。

dpkg -l|grep vco

オペレータとしてログインしている場合は、SD-WAN Orchestrator の右下隅に同じバージョン番号が表示されま

す。

SD-WAN Orchestrator のディザスタリカバリ

このセクションでは、SD-WAN Orchestrator でディザスタリカバリを設定およびアップグレードする方法につ

いて説明します。

VMware での DR の設定

SD-WAN Orchestrator でディザスタリカバリを設定するには、次の手順を実行します。

1 現在アクティブな SD-WAN Orchestrator である、VMware のバージョンと一致する新しい SD-WAN Orchestrator をインストールします。


VMware, Inc. 130


2 必要に応じて、アクティブおよびスタンバイの SD-WAN Orchestrator で、次のプロパティを設定します。

n vco.disasterRecovery.transientErrorToleranceSecs をゼロ以外の値にします（バージョン 3.3 以降

ではデフォルトで 900 秒、それ以前のバージョンの場合はゼロ）。これにより、Edge/ゲートウェイ管理

プレーンの更新による一時的なエラーが回避されます。

n vco.disasterRecovery.mysqlExpireLogsDays（デフォルトは 1 日）。これは、mysql の binlog データ

をアクティブ SD-WAN Orchestrator が保持する時間です。

3 アクティブおよびスタンバイの network.public.address プロパティを、Edge（ハートビート）によって接

続されたアドレスに設定します。

4 『SD-WAN Orchestrator のディザスタリカバリ』で説明されている DR の設定手順に従って、DR を設定し

ます。

DR の設定のアップグレード

DR 対応の SD-WAN Orchestrator ペアをアップグレードするには、次の手順を実行します。

DR 対応の VCO ペアをアップグレードするには、次の手順を実行します。

注： SD-WAN Orchestrator のアップグレードが 2.X から 3.2.X への場合は、アップグレードを開始する前に、

スタンバイで dr-standby-schema.sh を実行します。

1 アップグレードを準備します。手順については、「DR 展開を使用した Orchestrator のアップグレード」とい

うタイトルのセクションのステップ 1：Orchestrator のアップグレードの準備に移動します。

2 SD-WAN Orchestrator のアップグレードを続行します。手順については、「DR 展開を使用した

Orchestrator のアップグレード」というタイトルのセクションのステップ 3：SD-WAN Orchestrator のア

ップグレードの続行に移動します。


VMware, Inc. 131

SD-WAN Orchestrator のディザスタリカバリの構成 19このセクションでは、SD-WAN Orchestrator のディザスタリカバリについて説明します。


n SD-WAN Orchestrator のディザスタリカバリの概要

n SD-WAN Orchestrator の複製のセットアップ

n フェイルオーバーのテスト

n SD-WAN Orchestrator DR のトラブルシューティング

SD-WAN Orchestrator のディザスタリカバリの概要

SD-WAN Orchestrator のディザスタリカバリ (DR) 機能を利用すると、システムやネットワークで障害が発生

した場合でも、保存されたデータが失われず、SD-WAN Orchestrator サービスを再開できます。

SD-WAN Orchestrator DR では、データ複製と手動でトリガーされるフェイルオーバーメカニズムを備えたア

クティブ/スタンバイの SD-WAN Orchestrator ペアを設定する必要があります。

n そのため、目標復旧時間 (RTO) は、オペレータがスタンバイの昇格をトリガーするための明示的なアクション

に依存します。

n ただし、すべての構成が瞬時に複製されるため、目標復旧ポイント (RPO) は、復旧時間に関係なく、実質的に

ゼロになります。障害発生時に収集された監視データは、スタンバイの昇格を保留状態にしている Edge とゲー

トウェイにキャッシュされます。

注： DR は必須です。ライセンスと価格については、VMware のセールスチームにお問い合わせください。

アクティブ/スタンバイのペア

SD-WAN Orchestrator DR 展開では、2 つの同一の SD-WAN Orchestrator システムがアクティブ/スタンバ

イペアとして構成されます。オペレータは、いずれかのサーバ上の Web ユーザーインターフェイスを使用して、

DR の準備状況を確認できます。Edge とゲートウェイは両方の SD-WAN Orchestrator を認識していますが、

アクティブな SD-WAN Orchestrator からの構成変更のみを受け取ることができます。また、両方のシステムに

DR ハートビートを定期的に送信して、両方のサーバの可視性をレポートし、DR システムのステータスをクエリし

ます。オペレータがフェイルオーバーをトリガーすると、次の DR ハートビートで Edge とゲートウェイに変化が

通知されます。

VMware, Inc. 132

DR 状態

オペレータから、または Edge とゲートウェイから見て、SD-WAN Orchestrator の DR 状態は次の 4 つのいず

れかになります。

DR 状態説明

スタンドアローン (Standalone) DR が構成されていません。

アクティブ (Active) DR が構成されており、プライマリ SD-WAN Orchestrator サーバとして機能しています。

スタンバイ (Standby) DR が構成されており、非アクティブレプリカ SD-WAN Orchestrator サーバとして機能しています。

ゾンビ (Zombie) 以前は DR が構成されていてアクティブであったが、アクティブまたはスタンバイとして動作しなくなりまし

た。

実行時の操作

DR が構成されている場合、スタンバイサーバは制限モードで動作し、DR ステータスおよび DR ハートビートに関

連するものを除き、すべての API 呼び出しをブロックします。オペレータがフェイルオーバーを起動すると、スタン

バイが昇格され、スタンドアローンサーバとして完全に動作するようになります。以前アクティブであったサーバが

応答し、昇格されたスタンバイから認識できる場合、そのサーバは自動的にゾンビ状態に移行します。ゾンビ状態で

は、管理構成サービスはブロックされ、新しいアクティブな SD-WAN Orchestrator に移行していない Edge およびゲートウェイからのコンタクトはすべて、昇格したサーバにリダイレクトされます。

SD-WAN Orchestrator の複製のセットアップ

複製を開始するには、インストールされた SD-WAN Orchestrator の 2 つのインスタンスが必要です。

n 選択したスタンバイが STANDBY_CANDIDATE 状態になり、アクティブなサーバによって構成できるようになりま

す。

n その後、アクティブサーバにはスタンバイのアドレスと認証情報が付与され、ACTIVE_CONFIGURING の状態に

なります。

STANDBY_CONFIG_RQST がアクティブからスタンバイに変わると、2 台のサーバは次のような状態の移行を通じて同

期します。

スタンバイ Orchestrator の設定

SD-WAN Orchestrator の複製を設定するには、次の手順を実行します。

1 ナビゲーションパネルから [複製 (Replication)] をクリックして、[Orchestrator の複製 (Orchestrator Replication)] 画面を表示します。


VMware, Inc. 133

2 [スタンバイ（複製ロール）(Standby (Replication Role))] ラジオボタンを選択して、スタンバイ

Orchestrator を有効にします。

3 [スタンバイの有効化 (Enable for Standby)] ボタンをクリックします。

[Orchestrator 成功 (Orchestrator Success)] ダイアログボックスが表示され、Orchestrator がスタンバ

イに対して有効になっていること、および Orchestrator がスタンバイモードで再起動することを示します。

4 [OK] をクリックします。

スタンバイ Orchestrator が複製のために構成された後、以下の手順に従ってアクティブ Orchestrator を構

成します。


VMware, Inc. 134

アクティブ Orchestrator の設定

2 番目の SD-WAN Orchestrator をアクティブ Orchestrator として構成するには、次の手順を実行します。

1 ナビゲーションパネルから [複製 (Replication)] をクリックします。[Orchestrator の複製 (Orchestrator Replication)] 画面が表示されます。

2 [アクティブな複製ロール (Active Replication Role)] を選択します。

3 [スタンバイ Orchestrator のアドレス (Standby Orchestrator Address)] と [スタンバイ Orchestrator の UUID (Standby Orchestrator Uuid)] を入力します。Orchestrator のアドレスと UUID が [スタンバ

イ Orchestrator (Standby Orchestrator)] 画面に表示されます。

4 複製に使用する Orchestrator スーパーユーザーのユーザー名とパスワードを入力します。

注：このスーパーユーザーは、両方のシステムにすでに存在している必要があります。

5 [アクティブにする (Make Active)] ボタンをクリックします。

[アクティブ Orchestrator (Active Orchestrator)] 画面に、現在の状態のステータスが表示されます。

構成が完了すると、両方の Orchestrator（スタンバイおよびアクティブ）が同期されます。


VMware, Inc. 135

同期中のスタンバイ Orchestrator

[履歴の切り替え (toggle history)] リンクをクリックすると、各状態のステータスが表示されます。

同期中のアクティブ Orchestrator

フェイルオーバーのテスト

次のフェイルオーバーテストのシナリオは、参考例として強制的にフェイルオーバーされたものです。これらのアク

ションは、[アクティブ (Active)] および [スタンバイ (Standby)] 画面の [使用可能なアクション (Available Actions)] 領域で実行できます。

スタンバイ Orchestrator の昇格

このセクションでは、スタンバイ Orchestrator を昇格させる方法について説明します。


VMware, Inc. 136

スタンバイ Orchestrator を昇格させる方法

1 [ロック解除 (unlock)] リンクをクリックします。

2 [スタンバイ Orchestrator (Standby Orchestrator)] 画面の [使用可能なアクション (Available Actions)] 領域で、[スタンバイを昇格 (Promote Standby)] ボタンをクリックします。

次のダイアログボックスが表示され、スタンバイ Orchestrator を昇格させると、管理者が以前のアクティブ

Orchestrator を使用して SD-WAN Orchestrator を管理することができなくなる、ということが示されま

す。

3 [OK] ボタンをクリックして、スタンバイ Orchestrator を昇格させます。

スタンバイ Orchestrator の昇格要求を確認する、別のメッセージダイアログボックスが表示されます。この

メッセージは、スタンバイ Orchestrator によってアクティブ Orchestrator の健全性が良好であることが認

識されている場合にのみ表示されます。つまり、スタンバイはアクティブと通信していて、データを複製してい

ることになります。

4 [OK] をクリックして、Orchestrator を昇格させます。

最後のダイアログボックスが表示され、Orchestrator がスタンバイ状態でなくなり、スタンドアローンモー

ドで再起動することが示されます。

スタンバイ Orchestrator を昇格させると、スタンドアローンモードで再起動します。

スタンバイが以前のアクティブ Orchestrator と通信できる場合、その Orchestrator にゾンビ状態に移るよ

うに指示します。ゾンビ状態では、Orchestrator はそのクライアント（Edge、ゲートウェイ、UI/API）に対

して、自分がアクティブでなくなったこと、および新たに昇格された Orchestrator と通信する必要があること

を通知します。昇格されたスタンバイが以前のアクティブ Orchestrator と通信できない場合、オペレータは、

可能であれば以前のアクティブ Orchestrator を手動で降格する必要があります。


VMware, Inc. 137

スタンドアローンモードに戻す

ゾンビをスタンドアロンモードに戻すには、[アクティブ Orchestrator (Active Orchestrator)] または [スタン

バイ Orchestrator (Standby Orchestrator)] 画面の [使用可能なアクション (Available Actions)] 領域で、

[スタンドアローンモードに戻る (Return to Standalone Mode)] ボタンをクリックします。

SD-WAN Orchestrator DR のトラブルシューティング

このセクションでは、システムの障害状態について説明します。これらの情報は、障害についてのより詳細な説明と

ともに、ユーザーインターフェイスにも表示されます。追加の情報は VMware のログで確認できます。

リカバリ可能な障害

次のエラーは、SD-WAN Orchestrator DR が同期状態に達した後に発生する可能性のある、リカバリ可能な障害

です。これらの障害の原因となっている問題が修正された場合、SD-WAN Orchestrator DR は自動的に通常の動

作に戻ります。

n FAILURE_SYNCING_FILES

n FAILURE_GET_STANDBY_STATUS

n FAILURE_MYSQL_ACTIVE_STATUS

n FAILURE_MYSQL_STANDBY_STATUS

リカバリ不能な障害

SD-WAN Orchestrator DR の構成中、次の障害が発生する可能性があります。SD-WAN Orchestrator DR は、これらの障害から自動的にリカバリされることはありません。

n FAILURE_ACTIVE_CONFIGURING

n FAILURE_LAUNCHING_STANDBY

n FAILURE_STANDBY_CONFIGURING

n FAILURE_COPYING_DB


VMware, Inc. 138

n FAILURE_COPYING_FILES

n FAILURE_SYNC_CONFIGURING

n FAILURE_GET_STANDBY_CONFIG

n FAILURE_STANDBY_CANDIDATE

n FAILURE_STANDBY_UNCONFIG

n FAILURE_STANDBY_PROMOTION

n FAILURE_ACTIVE_DEMOTION


VMware, Inc. 139

ユーザー契約書の管理 20SD-WAN Orchestrator では、オペレータスーパーユーザーはエンドユーザー使用許諾契約書 (EULA) を作成お

よび管理できます。

オペレータスーパーユーザーのみがエンドユーザー使用許諾契約書 (EULA) を作成できます。

デフォルトでは、[ユーザー契約書 (User Agreement)] オプションは無効になっています。このオプションを有効

にするには、オペレータポータルの [システムプロパティ (System Properties)] に移動し、システムプロパティ

session.options.enableUserAgreements の値を [True] として設定します。

また、次のようにシステムプロパティ vco.enterprise.userAgreement.display.mode の値を定義して、[ユーザ

ー契約書 (User Agreement)] の表示モードを構成することもできます。

n [なし (NONE)] - ユーザー契約書はどのエンタープライズユーザーにも表示されません。これはデフォルトの

値です。

n [すべて (ALL)] - ユーザー契約書がすべてのエンタープライズユーザーに表示されます。

n [WITH_MSPS] - ユーザー契約書は、MSPS があるすべてのエンタープライズユーザーに表示されます。

n [WITHOUT_MSPS] - ユーザー契約書は、MSPS がないすべてのエンタープライズユーザーに表示されます。

上記の表示設定は、オペレータによって管理されるすべてのユーザーに適用されます。オペレータの場合、ユーザー

の構成に記載されているように、エンタープライズユーザーごとにこれらの設定を上書きすることができます。

システムプロパティの設定に基づいて、エンタープライズスーパーユーザーまたはパートナースーパーユーザー

のみが使用許諾契約書に同意できます。

ユーザー契約書を作成して管理するには、オペレータポータルの [ユーザー契約書 (User Agreements)] ページに

移動します。[アクション (Actions)] をクリックして、次を実行します。

n [新規 (New)] - エンドユーザー使用許諾契約書 (EULA) を新規に作成します。ユーザー契約書の作成も参照し

てください。

n [クローン作成 (Clone)] - 選択したユーザー契約書のコピーをクローン作成します。

n [更新 (Update)] - 選択したユーザー契約書の値を変更できるようにします。

n [削除 (Delete)] - 選択したユーザー契約書を削除します。

n [承諾レポートのエクスポート (Export Acceptance Report)] - ユーザー契約書を承諾したすべてのユーザ

ーのレポートを CSV ファイルにエクスポートします。


VMware, Inc. 140

n ユーザー契約書の作成

ユーザー契約書の作成

オペレータスーパーユーザーのみが新しいユーザー契約書を作成できます。複数の契約書を作成することはできま

すが、一度にアクティブにできるのは 1 つのみです。

オペレータポータルで、[ユーザー契約書 (User Agreements)] をクリックします。

1 [新規ユーザー契約書 (New User Agreement)] をクリックするか、[アクション (Actions)] - [新規 (New)] をクリックします。

2 [ユーザー契約書 (User Agreement)] 画面で、次のように入力します。

n [名前 (Name)] - ユーザーの名前を入力します。

n [有効 (Enabled)] - デフォルトでは、このチェックボックスはオンになっています。このチェックボックス

をオフにすると、ユーザー契約書は非アクティブになります。

注：一度に 1 つのユーザー契約書のみをアクティブにすることができます。複数の契約書がある場合は、

アクティブな状態にする必要がある契約書でのみ [有効 (Enabled)] オプションを選択し、それ以外のユー

ザー契約書ではこのオプションを無効にします。

n [有効開始日 (Effective Start Date)] - ユーザー契約書の有効期間の開始日を入力します。

n [有効終了日 (Effective End Date)] - ユーザー契約書の有効期間の終了日を入力します。

n [ダイアログのタイトルテキスト (Dialog Title Text)] - ユーザー契約書のタイトルを入力します。

n [ダイアログの本文テキスト (Dialog Body Text)] - ユーザーに表示されるユーザー契約書のわかりやす

い本文を入力します。

n [ダイアログのボタンテキスト (Dialog Button Text)] - ユーザーが契約書に同意するためにクリックす

るボタンに表示するテキストを入力します。


契約書は、[ユーザー契約書 (User Agreement)] ページに表示されます。


VMware, Inc. 141

エンタープライズスーパーユーザーまたはパートナースーパーユーザーが SD-WAN Orchestrator にログイン

すると、[ユーザー契約書 (User Agreement)] 画面には契約書への同意を求めるプロンプトが表示されます。契約

書に同意しない場合、ユーザーは自動的にログアウトされます。

オペレータは、契約書に同意したユーザーの数を [ユーザー契約書 (User Agreement)] ページで確認できます。同

意した契約書はアーカイブされているため、削除できません。


VMware, Inc. 142

SD-WAN Orchestrator のトラブルシューティング 21このセクションでは SD-WAN Orchestrator のトラブルシューティングについて説明します。


n Orchestrator 診断

Orchestrator 診断

このセクションでは、Orchestrator 診断について説明します。

SD-WAN Orchestrator 診断の概要

SD-WAN Orchestrator 診断バンドルは、SD-WAN Orchestrator のトラブルシューティングのためにサポー

トやエンジニアリングが必要とする診断情報を収集したものです。Orchestrator のオンプレミスインストールで

は、オペレータは Orchestrator ユーザーインターフェイスから SD-WAN Orchestrator 診断バンドルを収集

し、それをオフライン分析やトラブルシューティングのために VMware のサポートチームに提供することができま

す。

[診断バンドル] タブ

ユーザーは診断バンドルを [診断バンドル (Diagnostics Bundle)] タブで要求してダウンロードできます。

[診断バンドル] タブの列

Orchestrator 診断テーブルのグリッドには、次の列が含まれています。

[列名] [説明]

[要求のステータス (Request Status)]

要求のステータスには次の 2 つのタイプがあります。

n [完了 (Complete)]

n [進行中 (In Progress)]

バンドルのダウンロードが完了していない場合は、[進行中 (In Progress)] ステータスが表示されます。

[生成の理由 (Reason for Generation)]

診断バンドルを生成するための具体的な理由。[診断バンドルの要求 (Request Diagnostic Bundle)] ボタンを

クリックして、バンドルの説明を含めます。

[ユーザー (User)] SD-WAN Orchestrator にログインしている個人。

VMware, Inc. 143

[列名] [説明]

[生成日時 (Generated)] 診断バンドル要求が送信された日時。

[クリーンアップ日 (Cleanup Date)]

デフォルトの [クリーンアップ日 (Cleanup Date)] は生成日から 3 か月後になります。その後、バンドルが自動

的に削除されます。クリーンアップ日までの期間を延長する必要がある場合は、[クリーンアップ日 (Cleanup Date)] 列の下にある [クリーンアップ日 (Cleanup Date)] リンクをクリックします。詳細については、「クリー

ンアップ日の更新」を参照してください。

診断バンドルの要求

診断バンドルを要求するには、次の手順を実行します。

1 SD-WAN Orchestrator ナビゲーションパネルで、[Orchestrator 診断 (Orchestrator Diagnostics)] をクリックします。

2 [診断バンドルの要求 (Request Diagnostic Bundle)] タブで、[診断バンドルの要求 (Request Diagnostic Bundle)] ボタンをクリックします。

3 [診断バンドルの要求 (Request Diagnostic Bundle)] ダイアログで、要求の理由を該当する領域に入力しま

す。

4 [送信 (Submit)] をクリックします。作成したバンドル要求は [診断バンドル (Diagnostic Bundle)] 画面の

グリッド領域に [進行中 (In Progress)] ステータスで表示されます。

5 画面を更新して、診断バンドル要求のステータスを確認します。バンドルをダウンロードする準備ができたら、

[完了 (Complete)] ステータスが表示されます。


VMware, Inc. 144

診断バンドルのダウンロード

診断バンドルをダウンロードするには、次の手順を実行します。

1 ダウンロードする診断バンドルを選択します。

2 [アクション (Actions)] ボタンをクリックし、[診断バンドルのダウンロード (Download Diagnostic Bundle)] を選択します。[完了 (Complete)] リンクをクリックして診断バンドルをダウンロードすることも

できます。

診断バンドルがダウンロードされます。

クリーンアップ日の更新

クリーンアップ日とは、生成されたバンドルが自動的に削除される日付をいい、デフォルトは生成日から 3 か月後で

す。クリーンアップ日を変更することも、バンドルを無期限に保持することを選択することもできます。

クリーンアップ日を更新するには、次の手順を実行します。

1 [クリーンアップ日 (Cleanup Date)] 列で、選択した診断バンドルの [クリーンアップ日 (Cleanup Date)] リンクをクリックします。

2 [クリーンアップ日の更新 (Update Cleanup Date)] ダイアログから、[カレンダー (Calendar)] アイコンを

クリックして日付を変更します。

3 [永続的に保持 (Keep Forever)] チェックボックスをオンにして、バンドルを無期限に保持することもできま

す。


VMware, Inc. 145

4 [OK] をクリックします。

Orchestrator 診断テーブルのグリッドが更新され、[クリーンアップ日 (Cleanup Date)] への変更が反映さ

れます。

[データベース統計情報] タブ

[データベース統計情報 (Database Statistics)] タブには、診断バンドルからの情報の一部が読み取り専用アクセス

で表示できます。

さらに情報が必要な場合は、[診断バンドル (Diagnostic Bundles)] タブに移動して診断バンドルを要求し、ローカ

ルにダウンロードします。詳細については、「診断バンドルの要求」を参照してください。

[データベース統計情報 (Database Statistics)] タブには、次の情報が表示されます。


VMware, Inc. 146


データベースサイズ (Database Sizes) Orchestrator データベースのサイズ。

データベーステーブル統計情報 (Database Table Statistics) Orchestrator データベース内のすべてのテーブルの詳細な統計情報。

データベースストレージ情報 (Database Storage Info) マウントされた場所のストレージの詳細情報。

データベースプロセスリスト (Database Process List) 実行時間が長い SQL クエリの上位 20 件のレコード。

データベースステータス変数 (Database Status Variable) MySQL サーバのステータス変数。

データベースシステム変数 (Database System Variable) MySQL サーバのシステム変数。

データベースエンジンステータス (Database Engine Status) MySQL サーバの InnoDB エンジンステータス。


VMware, Inc. 147

Documents

VMware SD-WAN by VeloCloud オペレータ ガイド - VMware ......目次 1 『VMware SD-WAN by VeloCloud オペレータ ガイド』について 6 2 VMware SD-WAN Orchestrator の概要

VMware SD-WAN by VeloCloud オペレータガイド - VMware ......目次 1 『VMware SD-WAN by VeloCloud オペレータガイド』について 6 2 VMware SD-WAN Orchestrator の概要