Systém VMware SD-WAN Orchestrator ukládá a exportuje prostřednictvím rozhraní API citlivé informace o zákaznících a jejich sítích. Na ochranu citlivých informací zákazníků na místním serveru před externím útokem a za účelem omezení přístupu k jejich rozhraním API podporuje VMware SD-WAN konfiguraci systému Bastion Orchestrator (veřejný Orchestrator) v internetové demilitarizované zóně (DMZ) za účelem fázování a aktivace Zařízení SD-WAN Edge. Je-li aktivována funkce systému Bastion Orchestrator, primární uživatel operátora může pomocí aktivačního klíče přijatého z produkčního (privátního) systému Product Orchestrator aktivovat zřízené zařízení Edge proti systému Bastion Orchestrator. Aktivované zařízení Edge je poté propagováno přes zabezpečenou komunikaci ze systému Bastion Orchestrator na produkční systém Production Orchestrator.
Poznámka: V tomto dokumentu je termín „Bastion Orchestrator“ používán zaměnitelně s termínem „Public Orchestrator“ a termín „Production Orchestrator“ je používán zaměnitelně s termínem „Private Orchestrator“.
Následující diagram znázorňuje architekturu a pracovní postup aktivace systému Bastion Orchestrator.
Architektura systému Bastion Orchestrator se sestává ze dvou instancí systému SD-WAN Orchestrator, které spolu vzájemně komunikují. Veřejně přístupná instance dvojice Bastion je „Bastion Orchestrator“ a privátní instancí je „Production Orchestrator“. Pracovní postup aktivace systému Bastion Orchestrator – Edge zahrnuje následující kroky:
  1. Konfigurace systému Bastion Orchestrator
  2. Příprava systému Production Orchestrator
  3. Fázování zařízení SD-WAN Edge do systému Bastion Orchestrator
  4. Aktivace zařízení SD-WAN Edge proti systému Bastion Orchestrator
  5. Propagace aktivovaného zařízení Edge ze systému Bastion Orchestrator do systému Production Orchestrator

Omezení

  • Během konfigurace systému Bastion můžete fázovat pouze jeden účet primárního uživatele operátora do systému Bastion Orchestrator. Jakmile je navázáno připojení Bastion mezi systémy Bastion Orchestrator a Production Orchestrator, účet primárního uživatele operátora lze použít pro nouzové účely k získání přístupu do systému Bastion Orchestrator. Fázovaný primární uživatel operátora bude mít přístup pouze ke stránce konfigurace systému Bastion Orchestrator.
  • Zrušení párování systému Bastion Orchestrator ze systému Production Orchestrator (operace Zpět do režimu Standalone (Return to Standalone Mode)) není podporováno.
  • Aby bylo možné Edge aktivovat, musí být Edge v režimu „Získání certifikátu (Certificate Acquire)“. Při propagaci Edge pro zahrnutí linků WAN s bránou jako UP musí být brána v režimu „Získání certifikátu (Certificate Acquire)“ nebo „Certifikát je povinný (Certificate Required)“.
  • Chcete-li po propagaci zařízení Edge ze systému Bastion Orchestrator na systém Production Orchestrator provést upgrade bitové kopie softwaru Edge, nezapomeňte nakonfigurovat vlastnost systému vco.trusted.uuids v systému Production Orchestrator následujícím způsobem:
    [
        {
            "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
            "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
        }
    ]

    Kde uuidsessionSecret jsou tajné hodnoty identifikátoru UUID a relace systému Bastion Orchestrator. UUID a tajný klíč relace můžete získat z vlastností systému vco.uuidsession.secret v uvedeném pořadí.

  • Jakmile jsou brána a zařízení Edge fázovány a aktivovány v systému Bastion Orchestrator, nemůžete provádět vzdálené diagnostické testy pomocí systému Production Orchestrator pro fázovanou bránu a zařízení Edge v systému Bastion Orchestrator.
  • Fázovaný profil Bastion, který je vytvořen za účelem fázování podnikového zákazníka do systému Bastion Orchestrator, by měl mít minimální konfiguraci související s globálními segmenty. Když se aktualizují entity profilu, synchronizují se pouze nastavení zařízení, podnikové zásady a brána firewall v rámci globálního segmentu se systémem Bastion Orchestrator. Následující konfigurace profilu nebudou synchronizovány se systémem Bastion Orchestrator:
    • Segmenty kromě globálního segmentu
    • Konfigurace síťových segmentů
    • Skupiny objektů

Zotavení systému Bastion Orchestrator po havárii

Funkce zotavení po havárii (DR) je podporována pro systém Production (privátní) Orchestrator, ale pro systém Bastion (veřejný) Orchestrator, jelikož je bezstavový a dostává pokyny od systému Production Orchestrator, není funkce DR pro systém Bastion Orchestrator v současnosti podporována.