只有操作员超级用户可以执行 Bastion Orchestrator 配置。Bastion Orchestrator 配置涉及将两个 Orchestrator 配置为一个 Bastion 对。

注: 在此文档中,“Bastion Orchestrator”一词与“公用 Orchestrator”一词交替使用,“生产 Orchestrator”一词与“专用 Orchestrator”一词交替使用。

要使用两个 Orchestrator 创建 Bastion 对,请通过执行以下步骤将一个 Orchestrator 配置为公用 (Bastion),将另一个 Orchestrator 配置为专用(生产):

前提条件

  • 确保已准备好将两个 Orchestrator 设置为 Bastion 对,并且已在这两个 Orchestrator 中将 session.options.enableBastionOrchestrator 系统属性设置为 True。默认情况下,此系统属性设置为 False
  • 确保在生产 Orchestrator 中至少创建了一个操作员超级用户。

过程

  1. 将两个 Orchestrator 中的其中一个配置为公用 Orchestrator。
    1. 在 Web 浏览器中,启动需要配置为公用 Orchestrator 的 Orchestrator 应用程序,然后以操作员用户身份登录。
    2. 单击 Orchestrator 选项卡。
      将显示 Bastion Orchestrator 配置 (Bastion Orchestrator Configuration) 页面。
    3. Orchestrator 角色 (Orchestrator Role) 下方,为 Bastion 角色选择公用 Orchestrator (Public Orchestrator),然后输入以下配置详细信息:
      • 专用 Orchestrator 地址 (Private Orchestrator Address) - 生产 Orchestrator 的 IP 地址。
      • 专用 Orchestrator UUID (Private Orchestrator UUID) - 在生产 Orchestrator 的 vco.uuid 系统属性中指定的通用唯一标识符值。
      • 专用 Orchestrator 源 IP (Private Orchestrator Source IP) - 转换的生产 Orchestrator 源 IP 地址。
    4. 单击设为公用 (MAKE PUBLIC) 将 Orchestrator 设为公用 Orchestrator。
    5. 如果要对配置详细信息进行任何更改,请单击重新配置 (RECONFIGURE)
    6. 如果要注销公用 Orchestrator,请单击注销 (LOG OUT)
  2. 将第二个 Orchestrator 配置为专用 Orchestrator。
    1. 在 Web 浏览器中,启动需要配置为专用 Orchestrator 的 Orchestrator 应用程序,然后以操作员用户身份登录。
    2. 在 Orchestrator UI 中,单击 Orchestrator
      将显示 Bastion Orchestrator 配置 (Bastion Orchestrator Configuration) 页面。
    3. Orchestrator 角色 (Orchestrator Role) 下方,为 Bastion 角色选择专用 Orchestrator (Private Orchestrator),然后输入以下配置详细信息:
      • 公用 Orchestrator 地址 (Public Orchestrator Address) - 公用 (Bastion) Orchestrator 的 IP 地址。
      • 公用 Orchestrator UUID (Public Orchestrator UUID) - 在公用 Orchestrator 的 vco.uuid 系统属性中指定的通用唯一标识符值。
      • 操作员超级用户 (Operator SuperUser) - 从下拉列表中,选择要随此 Bastion 配置一起转储的操作员超级用户。在公用 Orchestrator 和专用 Orchestrator 之间建立 Bastion 连接后,只有在此步骤中转储的操作员超级用户才会获取对公用 Orchestrator 的紧急访问权限。
        注: 然而,在 Bastion 配置期间, VMware SD-WAN 仅允许将一个操作员超级用户转储到公用 Orchestrator;为了进行故障排除,您可以在配置 Bastion 后将多个操作员用户转储到公用 Orchestrator。要在完成 Bastion 配置后转储操作员用户,请在生产 Orchestrator 中导航到 管理 (Administration) > 用户管理 (User Management) > 用户 (Users) > 选择用户 (Select a User) > 更多 (More) > 转储到 Bastion (Stage to Bastion)
    4. 单击测试连接 (TEST CONNECTIVITY) 以测试公用 Orchestrator 和专用 Orchestrator 之间的连接。
    5. 单击设为专用 (MAKE PRIVATE)
      已对公用 Orchestrator 和专用 Orchestrator 之间的连接进行测试,如果连接成功,则将在两个 Orchestrator 之间建立 Bastion 配对。
      注: 4.3.0 版本不支持将公用 Orchestrator 与生产 Orchestrator 取消配对( 返回独立模式操作)。

结果

Bastion Orchestrator 配置已完成,并且已将公用 Orchestrator 和专用 Orchestrator 配置为 Bastion 对。在 Bastion 设置中,只有配置的操作员超级用户才能以只读模式访问公用 Orchestrator。

下一步做什么

您可以将企业客户和 Edge 转储到 Bastion Orchestrator。有关步骤,请参阅将 SD-WAN Edge 转储到 Bastion Orchestrator