只有操作员超级用户可以执行 Bastion Orchestrator 配置。Bastion Orchestrator 配置涉及将两个 SD-WAN Orchestrator 配置为一个 Bastion 对。

注: 在此文档中,“Bastion Orchestrator”一词与“公用 Orchestrator”一词交替使用,“生产 Orchestrator”一词与“专用 Orchestrator”一词交替使用。

要使用两个 Orchestrator 创建 Bastion 对,请通过执行以下步骤将一个 Orchestrator 配置为公用 (Bastion),将另一个 Orchestrator 配置为专用(生产):

前提条件

  • 确保已准备好将两个 SD-WAN Orchestrator 设置为 Bastion 对,并且已在这两个 Orchestrator 中将 session.options.enableBastionOrchestrator 系统属性设置为 True。默认情况下,此系统属性设置为 False
  • 确保在生产 Orchestrator 中至少创建了一个操作员超级用户。

过程

  1. 将两个 SD-WAN Orchestrator 中的其中一个配置为公用 Orchestrator。
    1. 在 Web 浏览器中,启动需要配置为公用 Orchestrator 的 SD-WAN Orchestrator 应用程序,然后以操作员用户身份登录。
    2. 单击启动新 Orchestrator UI (Open New Orchestrator UI)
      此时将显示 新 Orchestrator UI (New Orchestrator UI) 弹出窗口。
    3. 单击启动新 Orchestrator UI (Launch New Orchestrator UI)
      将在新选项卡中打开“新 Orchestrator UI (New Orchestrator UI)”。
    4. 单击 Orchestrator 选项卡。
      将显示 Bastion Orchestrator 配置 (Bastion Orchestrator Configuration) 页面。
    5. Orchestrator 角色 (Orchestrator Role) 下方,为 Bastion 角色选择公用 Orchestrator (Public Orchestrator),然后输入以下配置详细信息:
      • 专用 Orchestrator 地址 (Private Orchestrator Address) - 生产 Orchestrator 的 IP 地址。
      • 专用 Orchestrator UUID (Private Orchestrator UUID) - 在生产 Orchestrator 的 vco.uuid 系统属性中指定的通用唯一标识符值。
      • 专用 Orchestrator 源 IP (Private Orchestrator Source IP) - 转换的生产 Orchestrator 源 IP 地址。
    6. 单击设为公用 (MAKE PUBLIC) 将 Orchestrator 设为公用 Orchestrator。
    7. 如果要对配置详细信息进行任何更改,请单击重新配置 (RECONFIGURE)
    8. 如果要注销公用 Orchestrator,请单击注销 (LOG OUT)
  2. 将第二个 Orchestrator 配置为专用 Orchestrator。
    1. 在 Web 浏览器中,启动需要配置为专用 Orchestrator 的 SD-WAN Orchestrator 应用程序,然后以操作员用户身份登录。
    2. 单击启动新 Orchestrator UI (Open New Orchestrator UI)
    3. 在弹出窗口中,单击启动新 Orchestrator UI (Launch New Orchestrator UI)
    4. 在“新 Orchestrator UI”(New Orchestrator UI) 中,单击 Orchestrator
      将显示 Bastion Orchestrator 配置 (Bastion Orchestrator Configuration) 页面。
    5. Orchestrator 角色 (Orchestrator Role) 下方,为 Bastion 角色选择专用 Orchestrator (Private Orchestrator),然后输入以下配置详细信息:
      • 公用 Orchestrator 地址 (Public Orchestrator Address) - 公用 (Bastion) Orchestrator 的 IP 地址。
      • 公用 Orchestrator UUID (Public Orchestrator UUID) - 在公用 Orchestrator 的 vco.uuid 系统属性中指定的通用唯一标识符值。
      • 操作员超级用户 (Operator SuperUser) - 从下拉列表中,选择要随此 Bastion 配置一起转储的操作员超级用户。在公用 Orchestrator 和专用 Orchestrator 之间建立 Bastion 连接后,只有在此步骤中转储的操作员超级用户才会获取对公用 Orchestrator 的紧急访问权限。
        注: 然而,在 Bastion 配置期间, VMware SD-WAN 仅允许将一个操作员超级用户转储到公用 Orchestrator;为了进行故障排除,您可以在配置 Bastion 后将多个操作员用户转储到公用 Orchestrator。要在 Bastion 配置后转储操作员用户,请在生产 Orchestrator 中导航到 操作员用户 (Operator Users) > 操作 (Actions) > 转储到 Bastion (Stage to Bastion)
    6. 单击测试连接 (TEST CONNECTIVITY) 以测试公用 Orchestrator 和专用 Orchestrator 之间的连接。
    7. 单击设为专用 (MAKE PRIVATE)
      已对公用 Orchestrator 和专用 Orchestrator 之间的连接进行测试,如果连接成功,则将在两个 Orchestrator 之间建立 Bastion 配对。
      注: 4.3.0 版本不支持将公用 Orchestrator 与生产 Orchestrator 取消配对( 返回独立模式操作)。

结果

Bastion Orchestrator 配置已完成,并且已将公用 Orchestrator 和专用 Orchestrator 配置为 Bastion 对。在 Bastion 设置中,只有配置的操作员超级用户才能以只读模式访问公用 Orchestrator。

下一步做什么

您可以将企业客户和 Edge 转储到 Bastion Orchestrator。有关步骤,请参阅将 SD-WAN Edge 转储到 Bastion Orchestrator