VMware SD-WAN Orchestrator 通过 API 来存储和导出有关客户及其网络的敏感信息。为保护内部部署客户敏感的信息不受外部攻击并限制对其 API 的访问权限, VMware SD-WAN 支持在面向 Internet 的隔离区 (Demilitarized Zone, DMZ) 中配置 Bastion Orchestrator(公用 Orchestrator),以便转储和激活 SD-WAN Edge。启用 Bastion Orchestrator 功能后,操作员超级用户可以使用从生产(专用)Orchestrator 收到的激活密钥针对 Bastion Orchestrator 激活已置备的 Edge。然后,通过安全通信将激活的 Edge 从 Bastion Orchestrator 升级为生产 Orchestrator。
注: 在此文档中,“Bastion Orchestrator”一词与“公用 Orchestrator”一词交替使用,“生产 Orchestrator”一词与“专用 Orchestrator”一词交替使用。
下图说明了 Bastion Orchestrator 的架构和激活工作流。
Bastion Orchestrator 架构由两个可相互通信的 SD-WAN Orchestrator 实例组成。Bastion 对的面向公众的实例为“Bastion Orchestrator”,专用实例为“生产 Orchestrator”。Bastion Orchestrator - Edge 激活工作流包括以下步骤:
  1. 配置 Bastion Orchestrator
  2. 准备生产 Orchestrator
  3. 将 SD-WAN Edge 转储到 Bastion Orchestrator
  4. 针对 Bastion Orchestrator 激活 SD-WAN Edge
  5. 将激活的 Edge 从 Bastion Orchestrator 升级为生产 Orchestrator

限制

  • 在 Bastion 配置期间,只能将一个操作员超级用户帐户转储到 Bastion Orchestrator。在 Bastion Orchestrator 与生产 Orchestrator 之间建立 Bastion 连接后,操作员超级用户帐户可用于紧急获取对 Bastion Orchestrator 的访问权限。转储的操作员超级用户将只能访问 Bastion Orchestrator 配置页面。
  • 不支持将 Bastion Orchestrator 与生产 Orchestrator 取消配对(返回独立模式 (Return to Standalone Mode) 操作)。
  • 要激活 Edge,Edge 必须处于“获取证书”(Certificate Acquire) 模式。在升级 Edge 时,要通过网关将 WAN 链路恢复为“已启动”(UP),网关必须处于“获取证书 (Certificate Acquire)”或“需要证书 (Certificate Required)”模式。
  • 将 Edge 从 Bastion Orchestrator 升级为生产 Orchestrator 后,如果要升级 Edge 软件映像,请确保按以下方式在生产 Orchestrator 上配置 vco.trusted.uuids 系统属性:
    [
        {
            "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
            "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
        }
    ]

    其中,uuidsessionSecret 是 Bastion Orchestrator 的 UUID 和会话密钥值。您可以分别从 vco.uuidsession.secret 系统属性获取 UUID 和会话密钥。

  • 在 Bastion Orchestrator 中转储和激活网关和 Edge 后,您将无法使用生产 Orchestrator 对 Bastion Orchestrator 中的已转储网关和 Edge 执行远程诊断测试。
  • 对于为将企业客户转储到 Bastion Orchestrator 而创建的 Bastion 转储配置文件,应具有与全局分段相关的最小配置。更新配置文件实体后,仅“全局分段 (Global segment)”下的设备设置、业务策略和防火墙配置会与 Bastion Orchestrator 同步。以下配置文件配置将不会与 Bastion Orchestrator 同步:
    • 除全局分段外的其他分段
    • 网络分段配置
    • 对象组

针对 Bastion Orchestrator 的灾难恢复

从本质上说,生产(专用)Orchestrator 支持灾难恢复 (Disaster Recovery, DR) 功能,但对于 Bastion(公用)Orchestrator,由于它是无状态的,而且从生产 Orchestrator 接收其指令,因此 Bastion Orchestrator 当前不支持 DR 功能。