以下是将两个 SD-WAN Orchestrator 配置为 Bastion 对的必备条件：

• 在两个 SD-WAN Orchestrator（Bastion 和生产）中将 session.options.enableBastionOrchestrator 系统属性设置为 True。默认情况下，此系统属性设置为 False。

  

• 确保记下要用于 Bastion 配置的 Bastion Orchestrator 和生产 Orchestrator 的通用唯一标识符 (Universal Unique Identifier, UUID)。可以从 vco.uuid 系统属性中获取 UUID。
• 确保记下 session.secret 系统属性中 Bastion Orchestrator 的会话密钥值。如果要在升级 Edge 后升级 Edge 软件映像，则需要 Bastion Orchestrator 的 UUID 和会话密钥值。有关更多信息，请参阅 Bastion Orchestrator 概览中的限制一节。
• 在生产 Orchestrator 中，确保您至少创建了一个可用于转储到 Bastion Orchestrator 的操作员超级用户帐户。有关步骤，请参阅创建新的操作员用户。此操作员超级用户帐户可用于紧急获取对 Bastion Orchestrator 的访问权限。在正常运行过程中，必须从生产 Orchestrator 中禁用该帐户以减少攻击面。
• 在生产 Orchestrator 中，确保操作员配置文件（用于 Edge 置备）中管理设置 (Management Settings) 下的 Orchestrator 地址 (Orchestrator Address) 字段设置了相应的 Orchestrator IP 地址。

  

• 在生产 Orchestrator 中，创建一个包含最小配置（不含企业服务、分段配置、对象组的配置）的新企业配置文件，以便将企业客户转储到 Bastion Orchestrator。有关步骤，请参阅创建新配置文件。