Táto část poskytuje informace o dostupných možnostech pro monitorování, zálohování a upgrade místních podnikových nasazení v rámci dvoudenního scénáře.
Obecné
- Izolace řešení: Tým cloudových operací VMware Cloud nebude mít možnost aplikovat opravy hotfix či upgrady.
- Omezení týkající se správy změn limitují frekvenci oprav a upgradů.
- Nedostatečné monitorování řešení: K této situaci může dojít z důvodu nedostatku pracovníků, kteří mohou infrastrukturu spravovat, což vede k funkčním problémům, pomalejšímu řešení problémů a nespokojenosti zákazníka.
Tento přístup vždy vyžaduje významnou investici s ohledem na lidi a čas k zajištění řádné správy, provozu a opravování. Níže uvedená tabulka popisuje některé prvky, které je nutné vzít v úvahu při správě systému přímo u zákazníka.
Systém | Popis | Odpovědnost s hostingem zajišťovaným společností VMware | Místní odpovědnost |
---|---|---|---|
SD-WAN Orchestration | Zásady pro QoS aplikací a vedení (řízení) linek | Ano | Ano |
Zásady zabezpečení pro aplikace a zařízení SD-WAN | Ano | Ano | |
Zajišťování zařízení SD-WAN a řešení souvisejících potíží | Ano | Ano | |
Správa výstrah a událostí SD-WAN | Ano | Ano | |
Monitorování výkonnosti a kapacity linky | Ano | Ano | |
Hypervizor | Monitorování/výstrahy | Ne | Ano |
Zajišťování výpočetních a paměťových prostředků | Ne | Ano | |
Virtuální sítě a úložiště | Ne | Ano | |
Zálohování | Ne | Ano | |
Replikace | Ne | Ano | |
Infrastruktura | Procesor, paměť, výpočetní prostředky | Ne | Ano |
Přepínání a směrování | Ne | Ano | |
Systémy pro monitorování a správu | Ne | Ano | |
Plánování kapacity | Ne | Ano | |
Upgrady/opravy softwaru | Ne | Ano | |
Řešení potíží s aplikacemi/infrastrukturou | Ne | Ano | |
Zálohování a zotavení infrastruktury po havárii | Infrastruktura zálohování | Ne | Ano |
Pravidelné testování záložního režimu | Ne | Ano | |
Infrastruktura pro zotavení po havárii | Ne | Ano | |
Testování zotavení po havárii | Ne | Ano |
Dvoudenní scénáře pro podnikové místní nasazení jsou vysvětleny ve dvou níže uvedených částech (operace během 1. a 2. dne).
Operace 1. den
Přihlášení k odběru bezpečnostních bulletinů
Bezpečnostní bulletiny společnosti VMware informují o řešeních potíží se zabezpečením, které jsou nahlašovány v produktech VMware. Pomocí níže uvedeného odkazu se přihlaste k odběru výstrah, pokud je v místní komponentě požadována nějaká akce.
https://www.vmware.com/security/advisories.html
Deaktivujte Cloud-init na SASE Orchestrator
Zdroj dat obsahuje dvě části: metadata a uživatelská data. Metadata zahrnují ID instance a během doby životnosti instance by se neměla měnit, zatímco uživatelská data představují konfiguraci použitou při prvním spuštění (pro ID instance v metadatech).
Po prvním spuštění doporučujeme deaktivovat soubor cloud-init, čímž zrychlíte spouštěcí sekvenci systému SASE Orchestrator. Chcete-li cloud-init deaktivovat, spusťte:
./opt/vc/bin/cloud_init_ctl -d
Soubor cloud-init nedoporučujeme „vyprázdnit“ příkazem „apt purge cloud-init“ (tento postup nezpůsobuje problémy v softwaru VMware SD-WAN Controller). Vyprázdněním souboru cloud-init se také vymažou některé základní nástroje a skripty systému SASE Orchestrator (např. skripty pro instanci a upgrade a zálohování). V případě, že jste použili příkaz „purge“, můžete soubory obnovit pomocí následujících příkazů:
- Přejděte do složky /opt/vcrepo/pool/main/v/vco-tools.
- Nainstalujte balíček nástrojů SASE Orchestrator ze složky: „sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb“. Název balíčku vco-tools může být v závislosti na vašem vydání jiný. Zkontrolujte správný název souboru pomocí příkazu „ls vco-tools“.
Časové pásmo NTP
Časové pásmo systému SASE Orchestrator a brány musí být nastaveno na hodnotu „Etc/UTC“.
vcadmin@vco1-example:~$ cat /etc/timezone Etc/UTC vcadmin@vco1-example:~$
echo "Etc/UTC" | sudo tee /etc/timezone sudo dpkg-reconfigure --frontend noninteractive tzdata
Posun NTP
Očekává se, že je nastavena hodnota posunu NTP < = 15 milisekund.
vcadmin@vco1-example:~$ sudo ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *ntp1-us1.prod.v 74.120.81.219 3 u 474 1024 377 10.171 -1.183 1.033 ntp1-eu1-old.pr .INIT. 16 u - 1024 0 0.000 0.000 0.000 vcadmin@vco1-example:~$
sudo service ntp stop sudo ntpdate <server> sudo service ntp start
Úložiště systému SASE Orchestrator
Při počátečním nasazení systému SASE Orchestrator jsou vytvořeny tři oddíly: /, /store, /store2., /store3 (verze 4.0 a vyšší). Oddíly jsou vytvořeny při použití výchozích velikostí. Postupujte podle části „Zvětšení úložiště v systému SASE Orchestrator“, kde naleznete pokyny k úpravě výchozích velikostí, aby odpovídaly konkrétnímu návrhu.
Dodatečné úlohy
- Nakonfigurujte systémové vlastnosti.
- Nastavte počáteční profil operátora.
- Nastavte účty operátora.
- Vytvořit Brány SD-WAN Gateway.
- Nastavte SASE Orchestrator.
- Vytvořte účet zákazníka / účet partnera.
Konfigurace na výše uvedeném seznamu jsou mimo rámec tohoto dokumentu a najdete je v příručkách pro nasazení v dokumentaci VMware. Podrobné pokyny naleznete v Příručce pro nasazení a monitorování systému VMware SASE Orchestrator, v části „Instalace systému SASE Orchestrator“.
Operace 2. den
Zálohování SASE Orchestrator
V této části jsou uvedeny dostupné mechanismy pravidelného zálohování databáze SASE Orchestrator za účelem zotavení po chybách operátora nebo závažných selháních aktivního i standby systému Orchestrator.
Mějte na paměti, že upřednostňovanou metodou zotavení je funkce zotavení po havárii (DR). Poskytuje cíl bodu zotavení s téměř nulovou ztrátou dat, protože jsou okamžitě replikovány všechny konfigurace v aktivním systému Orchestrator. Více informací o funkci zotavení po havárii naleznete v následující části.
Zálohování pomocí vloženého skriptu
Systém SASE Orchestrator poskytuje integrovaný mechanismus zálohování konfigurace, který umožňuje pravidelné zálohování konfigurace za účelem zotavení po chybách operátora nebo závažných selháních aktivního a standby systému Orchestrator. Tento mechanismus je řízený skriptem, který se nachází ve složce /opt/vc/scripts/db_backup.sh.
Skript v podstatě použije výpis databáze konfiguračních dat a událostí a současně vyloučí během procesu výpisu databáze některé velké tabulky monitorování. Jakmile se skript provede, v cestě místního adresáře zadané ve vstupu do výše uvedeného skriptu se vytvoří soubory zálohy.
Záloha se skládá ze dvou souborů GZS – první obsahuje definici schématu databáze a druhý obsahuje vlastní data bez definice. Administrátor musí pro zálohování zajistit dostatek diskového místa v umístění záložního adresáře.
Osvědčené postupy
- Připojte vzdálené umístění a nakonfigurujte pro ně zálohovací skript. Pokud jsou zálohovány také toky, vzdálené umístění musí mít stejné úložiště jako „/store“.
- Před použitím zálohovacího skriptu zkontrolujte na stránce replikace v systému SASE Orchestrator stav replikace DR. Musí to být synchronizováno a bez jakýchkoli chyb.
- Dále je třeba spustit dotaz MySQL a zkontrolovat prodlevu replikace.
- SHOW SLAVE STATUS \G
- Ve výše uvedeném dotazu zkontrolujte pole seconds_behind_master. V ideálním případě by tam měla být nula, ale dostačující by měla být i hodnota do 10 s.
- U rozsáhlých instalací SASE Orchestrator doporučujeme spustit zálohovací skript pomocí standby instance. V záloze vygenerované oběma systémy SASE Orchestrator nebude žádný rozdíl.
Upozornění- Skript provede pouze zálohu konfigurace a nejsou zahrnuty statistiky toků ani události.
- Obnovení konfigurace vyžaduje pomoc týmu podpory / technického týmu.
- Jak dlouho skript běží?
Doba trvání zálohování závisí na rozsahu vlastní konfigurace zákazníka. Jelikož jsou ze zálohování vyloučeny tabulky monitorování, očekává se, že průběh zálohování konfigurace bude rychlý. U rozsáhlých instalací SASE Orchestrator s tisíci zařízeními Zařízení SD-WAN Edge a mnoha událostmi v historii to může trvat až hodinu, zatímco u menších instalací SASE Orchestrator by tento proces měl být dokončen během několika minut.
- Jaká je doporučená frekvence spouštění zálohovacího skriptu?
Frekvenci zálohování lze určit v závislosti na velikosti a době potřebné k dokončení počátečního zálohování. Chcete-li snížit dopad na prostředky systému SASE Orchestrator, naplánujte spuštění zálohování na dobu mimo špičku.
- Jak postupovat, když kořenový souborový systém nemá pro zálohování dostatek místa?
K uložení zálohy doporučujeme použít jiné připojené svazky. Upozorňujeme, že použití kořenového souborového systému pro zálohování nepatří mezi osvědčené postupy.
- Jak ověřit, zda bylo zálohování provedeno úspěšně?
K potvrzení úspěchu či selhání operace zálohování by měl být skript stdout a stderr dostatečný. Pokud je vyvolání skriptu automatizované, úspěch či selhání zálohování je možné určit ukončovacím kódem.
- Jak je konfigurace obnovena?
Společnost VMware v současnosti vyžaduje, aby zákazník při obnovování konfiguračních dat spolupracoval s podporou VMware. Podpora od společnosti VMware pomůže zákazníkovi obnovit jeho konfiguraci. Dokud nebude konfigurace obnovena, zákazníci by neměli provádět žádné dodatečné změny konfigurace.
- Jaký je přesný dopad provedení tohoto skriptu?
I když by záloha konfigurace měla mít na výkon malý vliv, dojde ke zvýšení využití prostředků pro proces MySQL. Doporučujeme zálohování spouštět v době mimo špičku.
- Jsou během zálohování povoleny jakékoliv změny konfigurace?
Když je zálohování spuštěné, provádění změn konfigurace je bezpečné. Chcete-li však mít zcela aktuální zálohy, během zálohování nedoporučujeme provádět žádné konfigurační činnosti.
- Může být konfigurace obnovena s původním systémem SASE Orchestrator, nebo vyžaduje nový SASE Orchestrator?
Ano, konfigurace může být (a v ideálním případě by měla být) obnovena se stejným systémem SASE Orchestrator, pokud je k dispozici. Tím se zajistí využití dat monitorování až po dokončení operace obnovení. Pokud původní systém SASE Orchestrator nelze obnovit a pohotovostní režim systému Orchestrator je mimo provoz, konfigurace může být obnovena v novém systému SASE Orchestrator. V tomto případě budou data monitorování ztracena.
- Co je potřeba provést v případě, že je potřeba konfiguraci obnovit v novém systému SASE Orchestrator?
Požádejte podporu společnosti VMware o poskytnutí doporučených akcí pro nový systém SASE Orchestrator, protože postup se liší v závislosti na vlastním nasazení.
- Musí se Zařízení SD-WAN Edge znovu registrovat na nově obnoveném SASE Orchestrator?
Ne, zařízení Zařízení SD-WAN Edge není třeba v novém systému SASE Orchestrator registrovat, protože všechny potřebné informace jsou zachovány jako součást zálohy.
Zotavení systému SASE Orchestrator po havárii
Stavy
- Standalone (funkce DR není nakonfigurována)
- Aktivní (funkce DR je nakonfigurována a server se používá jako primární server SASE Orchestrator)
- Pohotovostní (funkce DR je nakonfigurována a server se používá jako neaktivní replikace serveru SASE Orchestrator)
- Zombie (DR bylo dříve nakonfigurováno a je aktivní, již ale nefunguje jako aktivní nebo standby)
Fáze | SASE Orchestrator – role A | SASE Orchestrator – role B |
---|---|---|
Úvodní (Initial) | Samostatný režim (Standalone) | Samostatný režim (Standalone) |
Párování (Pairing) | Aktivní | Pohotovostní režim (Standby) |
Převzetí služeb při selhání (Failover) | Zombie | Samostatný režim (Standalone) |
- Najděte nástroj SASE Orchestrator DR v geograficky odděleném datovém centru.
- Před přepnutím pohotovostního režimu systému Orchestrator do aktivního stavu ověřte, že je replikace DR v synchronizovaném stavu. S předchozím aktivním systémem Orchestrator již nebude možné spravovat sklad ani konfiguraci.
- Pokud může systém Standby Orchestrator komunikovat s dřívějším systémem Active Orchestrator, odešle mu příkaz přejít do stavu zombie. Systém SASE Orchestrator ve stavu zombie informuje klienty (Zařízení SD-WAN Edge, Brány SD-WAN Gateway, rozhraní UI/API) o tom, že již není aktivní, a klienti musí komunikovat se systémem SASE Orchestrator se zvýšenou stavovou úrovní.
- Pokud standby instance se zvýšenou úrovní nemůže komunikovat s dříve aktivním systémem Orchestrator, operátor musí pokud možno ručně snížit stavovou úroveň dříve aktivní instance.
- Podrobné pokyny naleznete v oficiální dokumentaci k systému SASE Orchestrator na adrese docs.vmware.com v části „Configure SD-WAN Orchestrator Disaster Recovery“ (Konfigurace SASE Orchestrator – zotavení po havárii).
Postup upgradu pro SASE Orchestrator
- Podpora společnosti VMware vám pomůže s upgradem. Před kontaktováním podpory VMware Support si připravte následující informace.
- Poskytněte informace o aktuální a cílové verzi systému SASE Orchestrator, například aktuální verze 3.4.2, cílová verze 3.4.3.
Poznámka: V případě aktuální verze se tento údaj nachází v horním pravém rohu systému SASE Orchestrator, kde kliknete na odkaz Nápověda (Help) a zvolíte možnost O aplikaci (About).
- Poskytněte snímek obrazovky řídicího panelu replikace softwaru SASE Orchestrator, jak je znázorněno níže.
- Typ a verze hypervizoru, např. vSphere 6.7
- Příkazy ze systému SASE Orchestrator (je nutno je spustit jako root, např. „sudo <příkaz>“ bebo „sudo -i“).
- Rozložení LVM
- pvdisplay -v
- vgdisplay -v
- lvdisplay -v
- df -h
- cat /etc/fstab
- Informace o paměti
- free -m
- cat /proc/meminfo
- ps -ef
- top -b -n 2
- Informace o procesoru
- cat /proc/cpuinfo
- Kopie /var/log
- tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log
- Ze systému Standby Orchestrator:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
- Ze systému Active Orchestrator:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
- Rozložení LVM
- Poskytněte informace o aktuální a cílové verzi systému SASE Orchestrator, například aktuální verze 3.4.2, cílová verze 3.4.3.
- Obraťte se na podporu pro systém VMware SD-WAN na stránce https://kb.vmware.com/s/article/53907 a mějte připravené výše uvedené informace, které jsou potřebné k získání pomoci s upgradem softwaru SASE Orchestrator.
- Pokud zákazník požaduje řešení pro rychlé vrácení předchozí verze po upgradu, pokyny ke snímkům ESXi jsou k dispozici v další části.
Snímek ESXi
Před upgradováním systému SASE Orchestrator lze použít funkci vytváření snímků ESXi, která umožní rychlý návrat k předchozí verzi systému SASE Orchestrator.
Osvědčené postupy pro vytvoření snímku ESXi
- Aktivní a pohotovostní režimy systému Orchestrator musí být vypnuty před provedením snímku nebo obnovením ze snímku, jinak by mohly v databázi vzniknout nekonzistence.
- Aby nemohly v databázi vzniknout nekonzistence, všechny úlohy týkající se snímků musí být provedeny v aktivních a pohotovostních režimech systému Orchestrator.
- Pokud proces upgradu proběhl úspěšně, je nutno snímek sloučit. Soubor snímku postupně narůstá, jestliže je uchováván delší dobu. Může to způsobit vyčerpání místa v úložišti snímků a nepříznivě ovlivnit výkon systému.
- Deaktivujte výstrahy v SASE Orchestrator během vytváření snímků, abyste se vyhnuli falešným poplachům.
- Nepoužívejte jeden snímek déle než 72 hodin.
- Nedoporučujeme snímky používat jako zálohy.
- Ověření funkce bylo provedeno se softwarem ESXi 6.7 a SASE Orchestrator verze 3.4.4.
Osvědčené postupy pro snímky VMware naleznete v následujícím článku znalostní báze: https://kb.vmware.com/s/article/1025279
Vytvoření snímku ESXi
- Deaktivujte výstrahy, oznámení a monitorování systémových vlastností v aktivním systému Orchestrator. Trvá to přibližně 10 minut.
- Na portálu pro operátory klikněte na možnost Systémové vlastnosti (System Properties). Pro následující systémové vlastnosti nastavte hodnotu false.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Na portálu pro operátory klikněte na možnost Systémové vlastnosti (System Properties). Pro následující systémové vlastnosti nastavte hodnotu false.
- Deaktivujte výstrahy, oznámení a monitorování systémových vlastností v pohotovostním režimu systému Orchestrator.
- Pro následující systémové vlastnosti nastavte hodnotu false.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Pro následující systémové vlastnosti nastavte hodnotu false.
- Vypněte aktivní systém Orchestrator.
Přejděte do části ESXi/vCenter → Orchestrator VM → Akce (Actions) → Napájení (Power) → Vypnout (Power Off).
- Vypněte pohotovostní režim systému Orchestrator.
Přejděte do části ESXi/vCenter → Orchestrator VM → Akce (Actions) → Napájení (Power) → Vypnout (Power Off).
- Pořiďte snímek aktivního systému Orchestrator. Než tento krok provedete, ověřte, že je virtuální počítač vypnutý.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Napájení (Power) → Snímky (Snapshots) → Pořídit snímek (Take Snapshot).
- Pořiďte snímek pohotovostního režimu systému Orchestrator. Než tento krok provedete, ověřte, že je virtuální počítač vypnutý.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Napájení (Power) → Snímky (Snapshots) → Pořídit snímek (Take Snapshot).
Sloučení snímků ESXi
- Po potvrzení úspěšného upgradu aktivního a pohotovostního režimu systému Orchestrator můžete snímky sloučit počínaje aktivním systémem.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Snímky (Snapshots) → Správce snímků (Snapshot Manager) → Odstranit vše (Delete All).
- Slučte snímek v pohotovostním režimu systému Orchestrator.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Snímky (Snapshots) → Správce snímků (Snapshot Manager) → Odstranit vše (Delete All).
- Znovu aktivujte systémové vlastnosti pro výstrahy, oznámení a monitorování v aktivním a pohotovostním režimu systému Orchestrator.
Na portálu pro operátory klikněte na možnost Systémové vlastnosti (System Properties). Pro následující systémové vlastnosti nastavte hodnotu true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Pokud příkaz Odstranit vše (Delete All) pro snímky nefunguje se softwarem vSphere 6.x/7.x, můžete se pokusit o sloučení snímků. Více informací naleznete v části o slučování snímků v dokumentaci k produktu vSphere.
Obnovení ze snímku ESXi
- Vypněte aktivní systém Orchestrator.
Přejděte do části ESXi/vCenter → Orchestrator VM → Akce (Actions) → Napájení (Power) → Vypnout (Power Off).
- Vypněte pohotovostní režim systému Orchestrator.
Přejděte do části ESXi/vCenter → Orchestrator VM → Akce (Actions) → Napájení (Power) → Vypnout (Power Off).
- Obnovte snímek aktivního systému Orchestrator.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Napájení (Power) → Snímky (Snapshots) → Spravovat snímky (Manage Snapshots).
Vyberte snímek, který chcete obnovit: Virtuální počítač (VM) → Vrátit (Revert to) (viz obrázek níže).
- Obnovte snímek pohotovostního režimu systému Orchestrator.
Přejděte do části ESXi → Orchestrator VM → Akce (Actions) → Napájení (Power) → Snímky (Snapshots) → Spravovat snímky (Manage Snapshots).
Vyberte snímek, který chcete obnovit: Virtuální počítač (VM) → Vrátit (Revert to).
- Znovu aktivujte systémové vlastnosti pro výstrahy, oznámení a monitorování v aktivním a pohotovostním režimu systému Orchestrator. Na portálu pro operátory klikněte na možnost Systémové vlastnosti (System Properties). Pro následující systémové vlastnosti nastavte hodnotu true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Vedlejší upgrade softwaru řadiče (např. z 3.3.2 P3 na 3.4.4)
Soubor upgradu softwaru obsahuje aktualizace brány a systému. NESPOUŠTĚJTE příkaz „apt-get update && apt-get –y upgrade“.
Než přejdete k upgradu softwaru VMware SD-WAN Controller, ujistěte se, že již byl upgradován systém SASE Orchestrator na stejnou nebo vyšší verzi.
- Stáhněte si balíček aktualizace řadiče SD-WAN.
- Nahrajte bitovou kopii úložiště řadiče SD-WAN (například pomocí příkazu SCP). Zkopírujte bitovou kopii v systému pomocí následující cesty: /var/lib/velocloud/software_update/vcg_update.tar.
- Připojte se k řadiči SD-WAN a spusťte příkaz:
sudo /opt/vc/bin/vcg_software_update
root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> Resolving ftpsite.vmware.com (ftpsite.vmware.com)... Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [application/octet-stream] Saving to: 'vcg_update.tar' [ <=> ] 325,939,200 3.81MB/s in 82s 2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update =========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a Ign file: trusty InRelease Ign file: trusty Release.gpg Get: 1 file: trusty Release [2,668 B] Ign file: trusty/main Translation-en_US Ign file: trusty/main Translation-en (...) Writing extended state information... Reading package lists... Building dependency tree... Reading state information... Reading extended state information... Initializing package states... update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic Reboot is required. Reboot? (y/n) [y]:
Hlavní upgrade softwaru řadiče (např. z 3.3.2 nebo 3.4 na 4.0)
- Nové rozložení systémového disku založené na LVM, které umožňuje vyšší flexibilitu při správě svazků
- Nová verze jádra
- Nové a upgradované základní balíčky operačního systému
- Zvýšená úroveň zabezpečení založená na srovnávacích testech organizace Center for Internet Security
Kvůli těmto změnám nefunguje standardní postup upgradu, který používá upgradovací skript. Upgrade je nutno provést podle určitého postupu. Je uveden v příručce k produktu níže. Tímto postupem nahradíte software Gateway VM verze 3.3.2 nebo 3.4 novou verzí 4.0. Přečtěte si následující dokument: VMware SD-WAN Partner Gateway Upgrade and Migration 3.3.2 or 3.4 to 4.0 (Upgrade a migrace softwaru VMware SD-WAN Partner Gateway 3.3.2 nebo 3.4 na verzi 4.0).
Tento postup upgradu vyžaduje konfiguraci vlastnosti systému SASE Orchestrator, která může být provedena pouze účty operátora SASE Orchestrator. Vytvořte lístek podpory pro tým podpory společnosti VMware a požádejte o změnu vlastnosti systému.
Monitorování
- Monitorování softwaru SD-WAN Controller
Pomocí portálu pro operátory můžete monitorovat stav a data využití řadičů.
Postup je následující:
- Na portálu pro operátory klikněte na možnost Brány (Gateways).
- Otevře se stránka Brány (Gateways) se seznamem dostupných řadičů.
- Klikněte na odkaz na bránu. Zobrazí se podrobnosti o vybraném řadiči.
- Kliknutím na kartu Monitor zobrazíte data využití vybraného řadiče.
Karta Monitor vybraného řadiče zobrazuje různé informace, jak je znázorněno na obrázku níže.
V horní části stránky můžete zobrazit podrobnosti o řadiči pro vámi vybrané období.
Na stránce se v grafické podobě zobrazují data využití pro následující parametry za vybrané časové období a také minimální, maximální a průměrné hodnoty.
Použití | Popis |
---|---|
Procento CPU (CPU Percentage) | Procento využití procesoru |
Využití paměti (Memory Usage) | Procento využití paměti |
Počty toků (Flow Counts) | Počet provozních toků |
Ztráty v předávací frontě (Handoff Queue Drops) | Počet paketů ztracených kvůli předávání zařazenému do fronty |
Počet tunelů (Tunnel Count) | Počet relací tunelu |
- SD-WAN Gateway Controller – doporučené hodnoty pro monitorování
V následujícím seznamu jsou uvedeny hodnoty, které mají být monitorovány, a jejich prahy. Níže uvedený seznam slouží jako výchozí bod a není vyčerpávající. Některá nasazení mohou vyžadovat vyhodnocení dalších komponent, jako jsou toky, ztráta paketů atd.
Kdykoli je dosažen práh upozornění, doporučujeme zkontrolovat aktuální konfiguraci velikosti zařízení a v případě potřeby přidat další zdroje. Když se aktivuje kritická výstraha, je nutné kontaktovat zástupce podpory společnosti VMware, která vám může poskytnout řešení a další rady.
Tabulka 4. Doporučené hodnoty pro monitorování Kontrola služby Popis kontroly služby Práh upozornění Kritický práh Zatížení procesoru Zkontrolujte zatížení systému. 60 80 Paměť Kontroluje vyrovnávací paměť využití paměti, mezipaměť a využitou paměť. 70 80 Tunely (Tunnels) Počet tunelů z připojených Zařízení SD-WAN Edge. 60 % maximální velikosti 80 % maximální velikosti Poznámka: Také byste se měli zajímat o náhlou ztrátu všech tunelů nebo neobvykle nízký počet.
Ztráta předání (Handoff Drops) Vzhledem k rušnému provozu, který přes řadiče obvykle prochází, může občas docházet k výpadkům. Konzistentní výpadky v určitých frontách mohou znamenat problém s kapacitou. Místo na disku (Disk Space) Aktuální využití disku 40 % volného místa 20 % volného místa NTP řadiče (Controller NTP) Kontrola časového posunu Posun o 5 sekund Posun o 10 sekund
- Integrace SASE Orchestrator se sestavami monitorování
Systém SASE Orchestrator je dodáván s integrovanou sadou funkcí pro monitorování systémových metrik, kterou lze připojit k externímu kolektoru metrik a databázi časových řad. Pomocí sestavy monitorování můžete rychle kontrolovat stav a zatížení systému pro software SASE Orchestrator.
-
- Chcete-li sestavu monitorování aktivovat, spusťte v softwaru Orchestrator následující příkaz:
sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Chcete-li zkontrolovat stav sestavy monitorování, spusťte příkaz:
sudo /opt/vc/scripts/vco_observability_manager.sh status
- Chcete-li deaktivovat sestavu monitorování, spusťte příkaz:
sudo /opt/vc/scripts/vco_observability_manager.sh disable
- Chcete-li sestavu monitorování aktivovat, spusťte v softwaru Orchestrator následující příkaz:
- Kolektor metrik
Jako kolektor systémových metrik systému SASE Orchestrator se používá software Telegraf, který poskytuje spoustu pluginů pro shromažďování různých systémových metrik. Následující metriky jsou ve výchozím nastavení aktivovány.
Tabulka 5. Kolektor metrik Název metriky Popis Podporováno ve verzi inputs.cpu Metrika o využití procesoru. 3.4/4.0 inputs.mem Metrika týkající se využití paměti. 3.4/4.0 inputs.net Metrika o síťových rozhraních. 4.0 inputs.system Metrika týkající se zatížení systému a jeho provozuschopnosti. 4.0 inputs.processes Počet procesů seskupených podle stavu. 4.0 inputs.disk Metrika o využití disku. 4.0 inputs.diskio Metrika o V/V disku podle zařízení. 4.0 inputs.procstat Využití procesoru a paměti pro specifické procesy. 4.0 inputs.nginx Základní informace o stavu serveru Nginx (ngx_http_stub_status_module). 4.0 inputs.mysql Statická data ze serveru MySQL. 3.4/4.0 inputs.redis Metrika z jednoho nebo více serverů redis. 3.4/4.0 inputs.statds Rozhraní API a metriky systému. 3.4/4.0 (verze 4.0 nabízí další metriky) inputs.filecount Počet a celková velikost souborů v zadaných adresářích. 4.0 inputs.ntpq Metriky standardních dotazů NTP, vyžaduje spustitelný soubor ntpq. 4.0 Inputs.x509_cert Metrika z certifikátu SSL. 4.0 Chcete-li aktivovat více metrik nebo deaktivovat některé povolené metriky, můžete konfigurační soubor agenta Telegraf upravit v systému SASE Orchestrator takto:
sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf
sudo systemctl restart telegraf
- Databáze časových řad
K uložení systémových metrik shromážděných softwarem Telegraf lze použít databázi časových řad. Databáze časových řad (TSDB) je optimalizovaná pro data časových řad.
- Agent řídicího panelu a výstrah
Agent řídicího panelu a výstrah umožňuje odesílat dotazy, vizualizovat, a prohlížet data uložená v databázi TSDB a upozorňovat na ně. Na obrázku je příklad řídicího panelu používajícího software Telegraf (TSDB a modulem řídicího panelu), který lze vytvořit k monitorování řešení.
- Nastavení databáze časových řad
K nastavení databáze časových řad slouží níže uvedené pokyny.
- Přidejte položku iptables pro povolení přístupu externích monitorovacích systémů k portu Telegraf. Zdrojová IP adresa by měla být zadána z bezpečnostních důvodů.
- Příklad: IP adresa externího monitorovacího systému je 191.168.0.200. Přidejte „-A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment "allow telegraf port" -j ACCEPT“ do souboru /etc/iptables/rules.v4
- Restartujte nástroj iptables.
sudo service iptables-persistent restart (Orchestrator 3.4.x)
sudo systemctl restart netfilter-persistent (Orchestrator 4.x)
- Ujistěte se, že byla položka iptables přidána.
- Přidejte do konfigurace softwaru Telegraf podrobnosti o databázi časových řad. Vytvořte výstupní konfigurační soubor. Příklad se sadou nástrojů Prometheus:
/etc/telegraf/telegraf.d/prometheus_out.conf
- SASE Orchestrator – doporučené hodnoty pro monitorování
V následujícím seznamu jsou uvedeny hodnoty, které mají být monitorovány, a jejich prahy. Níže uvedený seznam slouží jako výchozí bod, protože není vyčerpávající. Některá nasazení mohou vyžadovat vyhodnocení dalších komponent, jako jsou transakce databáze, automatické zálohy atd.
Kdykoli je dosažen práh upozornění, doporučujeme zkontrolovat aktuální konfiguraci velikosti zařízení a v případě potřeby přidat další zdroje. Když se aktivuje kritická výstraha, je nutné kontaktovat zástupce podpory společnosti VMware, která vám může poskytnout řešení a další rady.Tabulka 6. Monitorování hodnot a prahů Kontrola služby Popis kontroly služby Práh upozornění Kritický práh Zatížení procesoru Kontrola zatížení systému – plugin vstupu Telegraf: inputs.cpu. 60 70 Paměť Kontroluje vyrovnávací paměť využití paměti, mezipaměť a využitou paměť – plugin vstupu Telegraf: inputs.memory. 70 80 Využití disku Využití disku v různých oddílech systému Orchestrator, /, /store, /store2 and /store3 (verze 4.0 a vyšší) – plugin vstupu Telegraf: inputs.disk (verze 4.0 a vyšší). 40 % volného místa 20 % volného místa MySQL Server Zkontroluje připojení MySQL – plugin vstupu Telegraf: inputs.mysql. Více než 80% maximálního počtu připojení, definujte zde: mysql.conf(/etc/mysql/my.cnf) SASE Orchestrator – čas Kontrola časového posunu – plugin vstupu Telegraf: inputs.ntpq (verze 4.0 a vyšší). Posun o 5 sekund Posun o 10 sekund SASE Orchestrator – certifikát SSL Kontroluje vypršení platnosti certifikátu – plugin vstupu Telegraf: inputs.x509_cert (verze 4.0 a vyšší). 60 dnů 30 dnů SASE Orchestrator – internet (neplatí pro topologie využívající jen mechanismus MPLS) Kontroluje přístup k internetu. Doba odezvy > 5 sekund Doba odezvy > 10 sekund SASE Orchestrator – HTTP Ujistěte se, že HTTP v localhost odpovídá. Localhost neodpovídá. SASE Orchestrator – celkový počet certifikátů Kontrola celkového počtu – ukázkový dotaz mysql: SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()
CRL Pokud je celkový počet certifikátů vyšší než 5 000 Stav replikace DR Ověřte, že je pohotovostní režimu systém Orchestrator aktuální. Zkontrolujte, že DR systém SASE Orchestrator není opožděný za aktivním systémem Orchestrator o více než 1 000 sekund. Seconds_Behind_Master: z příkazu mysql: show slave STATUS\G;
Replikace DR Zařízení SD-WAN EdgeGateway delta Ověřte, že zařízení Zařízení SD-WAN Edge a Brány SD-WAN Gateway mohou komunikovat s DR systémem SASE Orchestrator. Rozdílné hodnoty mezi aktivním a pohotovostním režimem systému Orchestrator mohou být způsobeny rozdílem v časovém pásmu pro zařízení Zařízení SD-WAN Edge a Brány SD-WAN Gateway.
Stejné množství zařízení Zařízení SD-WAN Edge komunikujících s aktivním režimem systému Orchestrator by mělo být schopno spojit se s pohotovostním režimem systému Orchestrator. Tuto hodnotu lze zkontrolovat na kartě „replikace“ nebo přes rozhraní API.
Osvědčené postupy pro rozhraní API
- Portál SASE Orchestrator
Portál SASE Orchestrator umožňuje administrátorům sítě (nebo skriptům a aplikacím, které administrátoři používají) spravovat konfiguraci sítě a zařízení a odesílat dotazy ohledně aktuálního nebo historického stavu sítě a zařízení. Klienti rozhraní API mohou komunikovat s portálem přes rozhraní JSON-RPC nebo rozhraní typu REST. Za použití kteréhokoli z těchto rozhraní lze vyvolat všechny metody popsané v tomto dokumentu. Neexistuje žádná funkčnost portálu s přístupem omezeným výhradně pro jednoho z klientů JSON-RPC a REST.
Obě rozhraní akceptují pouze požadavky HTTP POST. U obou rozhraní se také předpokládá, že těla požadavků (pokud jsou přítomna) mají formát JSON v souladu se specifikací RFC 2616. Navíc klienti v příslušných případech provádí s vyšší pravděpodobností formální vyhodnocení za použití hlavičky požadavku Content-Type, např. Content-Type: application/json.
Více informací o rozhraní API VMware SD-WAN naleznete zde:
- Osvědčené postupy pro podniky a poskytovatele služeb používající rozhraní API
Některé osvědčené postupy při použití rozhraní API:
- Kdykoli je to možné, jsou upřednostňována agregovaná volání rozhraní API před konkrétními podnikovými voláními. Například jediné volání pro monitoring/getAggregateEdgeLinkMetrics může být použito k souběžnému načtení statistiky přenosu napříč všemi zařízeními Zařízení SD-WAN Edge.
- Společnost VMware požaduje, aby měl limit klientů pro počet volání rozhraní API probíhajících v jednom okamžiku nízkou hodnotu (např. <2-4). Pokud si uživatel myslí, že existuje závažný důvod k paralelizaci volání rozhraní API, kontaktujte podporu společnosti VMware, aby bylo možné prodiskutovat o alternativních řešeních.
- Obvykle nedoporučujeme dotazování rozhraní API s ohledem na data statistik, které je častější než každých 10 minut. Nová data statistik přicházejí do systému SASE Orchestrator každých 5 minut. Kvůli kolísání při tvorbě zpráv a zpracování mohou klienti odesílající dotazy každých 5 minut detekovat „falešně pozitivní“ případy, kdy se statistika neodrazí ve výsledcích volání rozhraní API. Uživatelé často dosahují nejlepších výsledků s 10minutovými nebo delšími intervaly požadavků.
- Neodesílejte dotazy na stejnou informací dvakrát.
- Používejte mezi rozhraními API režim spánku.
- U komplexních softwarových automatizací spusťte skripty a vyhodnoťte vliv na procesor/paměť. Poté případně proveďte úpravu.
SASE Orchestrator – konfigurace syslogu
Schopnost syslog systému VMware SASE Orchestrator může být nakonfigurována nezávisle pro následující procesy Orchestrator: portál, nahrávání a backend.
- Portál: Proces portálu běží jako interní stahování serveru HTTP ze serveru NGINX. Portálová služba zpracovává příchozí požadavky na rozhraní API buď z webového rozhraní SASE Orchestrator, nebo z klienta HTTP/SDK a především synchronním způsobem. Tyto požadavky umožňují ověřeným uživatelům konfigurovat, monitorovat a spravovat různé služby poskytované systémem SASE Orchestrator.
Tento protokol je velice užitečný pro aktivity AAA, protože zahrnuje všechny akce provedené uživateli v systému SASE Orchestrator.
Soubory protokolů: /var/log/portal/velocloud.log (protokoly pro všechny informace, upozornění a protokoly chyb)
- Nahrávání: Proces nahrávání běží jako interní stahování serveru HTTP ze serveru NGINX. Služba nahrávání zpracovává příchozí požadavky ze zařízení Zařízení SD-WAN Edge a Brány SD-WAN Gateway, a to buď synchronně, nebo asynchronně. Tyto požadavky zahrnují převážně informace o aktivacích, prezenčních signálech, statistikách toků, linek a směrování, které jsou odesílané zařízeními Zařízení SD-WAN Edge a Brány SD-WAN Gateway.
Soubory protokolů: /var/log/upload/velocloud.log (protokoly pro všechny informace, upozornění a protokoly chyb)
- Backend: Spouštěč úloh, který primárně spouští naplánované úlohy nebo úlohy zařazené do fronty. Naplánované úlohy zahrnují aktivity týkající se vymazání, souhrnných dat a aktualizací stavu. Úlohy zařazené do fronty zahrnují statistiky linek a toků pro zpracování.
Soubory protokolů: /var/log/backend/velocloud.log (protokoly pro všechny informace, upozornění a protokoly chyb)
- Přejděte v systému do části Systémové vlastnosti (System Properties) v systému SASE Orchestrator, log.syslog.<server> (např. log.syslog.portal). Přejděte do části SASE Orchestrator → Systémové vlastnosti (System Properties) → na vyhledávacím panelu zadejte „log.syslog“.
- U jednoho nebo více serverů změňte hodnotu “enable”:false na hodnotu true. Změňte IP adresu a port hostitele na základě dané implementace.
Zvýšení velikosti úložiště v SASE Orchestrator
Podrobné pokyny ke zvětšení úložiště v systému SASE Orchestrator najdete v produktové dokumentaci SASE Orchestrator
na adrese https://docs.vmware.com/ v části „Install SASE Orchestrator“ (Instalace systému Orchestrator) a „Expand Disk Size (VMware)“ (Zvětšení disku (VMware)).
- Osvědčené postupy:
- V pohotovostním režimu systému Orchestrator musí být použita stejná distribuce LVM.
- Nedoporučujeme, abyste svazky po zvětšení zmenšovali. Místo toho použijte dynamické zajišťování.
- Když velikost disku zvětšujete pro verzi 3.4, je možné použít následující rozložení procent/hodnot:
- Svazek „/“: Tento svazek je používán pro operační systém. Produkční systémy Orchestrator jsou obvykle nastaveny na 140 GB a mají 40% až 60% využití.
- /Store a /Store2: Proporce použitá v produkčních systémech Orchestrator se blíží hodnotě 85 % pro /Store a 15 % pro /Store2.
- Následující pokyny v níže uvedené tabulce je třeba aplikovat ve verzi 4.x a vyšší.
Velikost instance /store /store2 /store3 /var/log Malé (5000 Zařízení SD-WAN Edge) 2 TB 500 GB 8 TB 15 GB Střední (10 000 Zařízení SD-WAN Edge) 2 TB 500 GB 12 TB 20 GB Velké (15 000 Zařízení SD-WAN Edge) 2 TB 500 GB 16 TB 25 GB
Správa certifikátů v systému SASE Orchestrator
Systém SASE Orchestrator používá integrovaný certifikační server ke správě celkového životního cyklu PKI pro všechny produkty Zařízení SD-WAN Edge a SD-WAN Controller. Pro zařízení v síti jsou vydávány certifikáty X.509.
Podrobné pokyny ke konfiguraci certifikační autority naleznete v oficiální dokumentaci k produktu VMware SD-WAN Orchestrator na adrese https://docs.vmware.com/cz/VMware-SD-WAN/index.html v části „Install SASE Orchestrator“ (Instalace systému Orchestrator) a „Install an SSL Certificate“ (Instalace certifikátu SSL).
- Tunely TLS 1.2 roviny správy mezi systémem SASE Orchestrator a produkty Zařízení SD-WAN Edge / SD-WAN Controller.
- Tunely IKEv2/IPsec řídicí a datové roviny mezi zařízeními SD-WAN Edge a produkty Zařízení SD-WAN Edge a SD-WAN Controller.
Seznam odvolaných certifikátů
vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l 14 vcadmin@vcg1-example:~
Komunikace s podporou
Naše organizace zákaznické podpory poskytuje zákazníkům, kteří používají řešení VMware SD-WAN, špičkovou a nepřetržitou technickou pomoc a přizpůsobené pokyny 24 × 7 × 365.
- Diagnostické svazky
Během šetření incidentu lze vytvořit pro produkty SASE Orchestrator a SD-WAN Controller diagnostický svazek. Výsledný soubor pomůže týmu podpory VMware důkladněji analyzovat události týkající se daného problému.
- Sdílení přístupu s podporou
Může se stát, že budete potřebovat od zástupců podpory VMware pro produkty SASE Orchestrator a SD-WAN Controller pomoc.
Toto jsou některé běžné způsoby povolení přístupu:- Vzdálené relace s podporou: Zákazník udělí vzdálené ovládání pro skokový server SSH nebo může postupovat podle pokynů zástupce podpory.
- Vytvoření účtu týmu podpory v SASE Orchestrator. To týmu podpory pomáhá shromažďovat protokoly bez interakce se zákazníkem.
- Přes hostitele Bastion: Oprávnění a klíče SSH lze konfigurovat tak, aby byl technikům podpory umožněn přístup k místním řešením SASE Orchestrator a SD-WAN Controller za použití hostitele Bastion.
Když budete požadovat od podpory pro řešení VMware SD-WAN pomoc s diagnostikou problému, poskytněte data, která jsou popsaná v následující tabulce.
Více informací najdete pomocí následujícího odkazu: https://kb.vmware.com/s/article/53907
Požadováno | Doporučeno |
---|---|
Číslo případu partnera | Začátek/konec potíží |
E-mail/telefon pro kontaktování partnera | Ovlivněná IP adresa SRC/DST toku |
SASE Orchestrator – adresa URL | Ovlivněný port SRC/DST toku |
Jméno zákazníka v systému SASE Orchestrator | Cesta toku (E2E, E2GW, přímá) |
Dopad na zákazníka (vysoký, střední, nízký) | Názvy produktů SD-WAN Gateway |
Názvy Zařízení SD-WAN Edge | Odkaz na PCAP v systému SASE Orchestrator |
Odkaz na diagnostický balíček v systému SASE Orchestrator | |
Stručný popis problému | |
Analýza a požadovaná pomoc |