分析功能内置于 VMware SD-WAN Edge 本机,用于内联收集数据。不过,默认情况下,将为 Edge 停用分析功能。仅当激活了分析功能时,企业管理员才能创建分析 Edge。

要创建具有分析功能的新 SD-WAN Edge,请执行以下步骤。

前提条件

  • 确保在 SASE Orchestrator 中正确设置了激活分析所需的全部系统属性。有关更多信息,请参阅《VMware SD-WAN 操作员指南》中的“在 VMware SASE Orchestrator 上激活 VMware Edge Network Intelligence”,或者联系您的操作员超级用户。
  • 在置备分析 Edge 之前,请确保为客户激活了分析功能。
    注: 有关更多信息,请参阅 《VMware Edge Network Intelligence 配置指南》,网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html
  • SASE Orchestrator 必须位于 5.0.1.0 上,并且 SD-WAN Edge 必须最低运行 4.3.1 代码。您可以在企业门户的 SD-WAN 服务中导航到配置 (Configure) > Edge (Edges),以查看每个 Edge 上安装的软件映像。Edge (Edges) 页面上的表中包含一列,该列显示每个客户的 Edge 软件版本。
  • 如果 Edge 使用 4.2 版本,请确保 Edge 具有已启动并通告的 LAN 接口或使用特殊的管理 IP 软件内部版本,否则,Edge 无法将衡量指标发送到 ENI 后端。

过程

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. Edge (Edges) 屏幕中,单击添加 Edge (Add Edge)
    此时将显示 置备 Edge (Provision an Edge) 屏幕。
  3. 您可以配置以下选项:
    选项 描述
    模式 (Mode) 选择一种模式:
    • SD-WAN Edge:允许监控、诊断和配置功能,包括故障隔离和应用程序特定分析,这些功能可以在 Edge 上发生事件时向您发出警示。
    • 已启用分析的 SD-WAN Edge (SD-WAN Edge with Analytics Enabled):允许访问 Edge 的所有分析,以及全套分支分析功能。
    • 仅分析 Edge (Analytics Only Edge):允许监控 LAN 的运行状况、性能和安全性,以及对问题进行故障排除。
      注: 您必须删除 Edge 并对其重新配置,才能将其更改回 SD-WAN Edge
    名称 (Name) 输入 Edge 的唯一名称。
    型号 (Model) 从下拉菜单中选择一个 Edge 型号。
    配置文件 (Profile) 从下拉菜单中选择要分配给 Edge 的配置文件。有关如何创建新配置文件的信息,请参阅创建配置文件
    注: 如果由于 Edge 自动激活而将 Edge 转储配置文件 (Edge Staging Profile) 显示为选项,这指示该配置文件将由新分配但尚未设置生产配置文件的 Edge 使用。
    Edge 许可证 (Edge License) 从下拉菜单中选择一个 Edge 许可证。该列表显示操作员分配给企业的许可证。
    身份验证 (Authentication)

    从下拉菜单中选择身份验证模式:

    • 禁用证书 (Certificate Deactivated):Edge 使用预共享密钥模式进行身份验证。
      警告: 建议不要将该模式用于任何客户部署。
    • 可选证书 (Certificate Acquire):默认情况下,将选择该模式,建议将其用于所有客户部署。在可选证书 (Certificate Acquire) 模式下,将在激活 Edge 时颁发证书并自动进行续订。Orchestrator 指示 Edge 从 SASE Orchestrator 的证书颁发机构中获取证书,方法是生成一个密钥对并向 Orchestrator 发送证书签名请求。在获取后,Edge 使用该证书在 SASE Orchestrator 中进行身份验证并建立 VCMP 隧道。
      注: 在获取证书后,如果需要,可以将该选项更新为 强制证书 (Certificate Required)
    • 强制证书 (Certificate Required):该模式仅适用于“静态”客户企业。静态企业定义为:可能在企业中部署不超过几个新的 Edge,并且预计不会进行新的面向 PKI 的更改。
      重要说明: 强制证书 (Certificate Required) 并不具有比 可选证书 (Certificate Acquire) 更高的安全优势。两种模式是同样安全的,使用 强制证书 (Certificate Required) 的客户只应出于本节中所述的原因这样做。
      强制证书 (Certificate Required) 模式意味着,在没有有效证书的情况下,不接受任何 Edge 检测信号。
      小心: 在客户不知道这种严格实施的情况下,使用该模式可能会导致 Edge 发生故障。
      在该模式下,Edge 使用 PKI 证书。操作员可以编辑 Orchestrator 的系统属性以更改 Edge 的证书续订时间段。有关更多信息,请与您的操作员联系。
    注:
    • 在启用了 Bastion Orchestrator 功能的情况下,要转储到 Bastion Orchestrator 的 Edge 应将身份验证模式设置为可选证书 (Certificate Acquire)强制证书 (Certificate Required)
    • 在吊销 Edge 证书后,将停用 Edge 并需要执行激活过程。当前的 QuickSec 设计会检查证书吊销列表 (Certificate Revocation List, CRL) 时间有效性。CRL 时间有效性必须与 Edge 的当前时间匹配,CRL 才会对新建立的连接产生影响。要实现这一点,请确保正确更新 Orchestrator 时间以与 Edge 日期和时间相匹配。
    加密设备密钥 (Encrypt Device Secrets) 选中启用 (Enable) 复选框,以允许 Edge 加密所有平台上的敏感数据。Edge 概览 (Overview) 页面上也提供了该选项。有关更多信息,请参阅查看 Edge 信息
    注: 对于 Edge 版本 5.2.0 及更高版本,在停用该选项之前,必须先使用远程操作停用 Edge。此操作会导致重新启动 Edge。
    高可用性 (High Availability) 选中启用 (Enable) 复选框以应用高可用性 (HA)。Edge 可以作为单个独立设备安装,也可以与另一个 Edge 配对以提供高可用性 (HA) 支持。有关 HA 的更多信息,请参阅高可用性部署模型一节。
    本地联系人姓名 (Local Contact Name) 输入 Edge 的站点联系人姓名。
    本地联系人电子邮件 (Local Contact Email) 输入 Edge 的站点联系人电子邮件地址。
  4. 输入所有必填的详细信息,然后单击下一步 (Next) 以配置以下其他选项:
    注: 仅当输入所有必填详细信息时,才会激活 下一步 (Next) 按钮。
    选项 描述
    序列号 (Serial Number) 输入 Edge 的序列号。如果指定,Edge 必须在激活时显示此序列号。
    注: 在 AWS Edge 上部署虚拟 VMware SD-WAN Edge 时,请确保将实例 ID 作为 Edge 序列号。
    描述 (Description) 输入相应的描述。
    位置 (Location) 单击设置位置 (Set Location) 链接以设置 Edge 位置。如果未指定,在激活 Edge 时,将自动从 IP 地址中检测该位置。
  5. 单击添加 Edge (Add Edge)
    此时将为选定的客户置备一个分析 Edge。在置备 Edge 后,分析功能将收集数据,对所有流量执行深入的数据包检查,识别网络应用程序并将流量与用户信息相关联。

下一步做什么

要将收集的分析数据发送到云分析引擎,您必须配置 Edge 发送分析数据时使用的分析接口。有关更多信息,请参阅在 Edge 上配置分析设置