En esta sección, se incluye información acerca de las opciones disponibles para supervisar las implementaciones empresariales locales, crear copias de seguridad de ellas y actualizarlas en una operación de dos días.
Descripción general
- Aislamiento de la solución: el equipo de operaciones de VMware Cloud no tendrá acceso para aplicar revisiones y actualizaciones.
- Las restricciones en la administración de cambios limitan la frecuencia de las revisiones y actualizaciones.
- Supervisión de soluciones inadecuada o insuficiente: esta situación puede producirse debido a una falta de personal capaz de administrar la infraestructura, y provocar problemas funcionales, una resolución más lenta de los problemas y la insatisfacción del cliente.
Este enfoque siempre requiere una inversión significativa en personal y tiempo para administrar, operar y aplicar las revisiones correctamente. En la siguiente tabla, se describen algunos de los elementos que se deben tener en cuenta al administrar un sistema local.
Sistema | Descripción | Responsabilidad dependiente de VMware | Responsabilidad local |
---|---|---|---|
SD-WAN Orchestrator | Directiva de dirección de vínculos y calidad del servicio de las aplicaciones | Sí | Sí |
Directiva de seguridad para aplicaciones y dispositivos SD-WAN | Sí | Sí | |
Aprovisionamiento y solución de problemas de dispositivos SD-WAN | Sí | Sí | |
Gestión de eventos y alertas de SD-WAN | Sí | Sí | |
Supervisión del rendimiento y la capacidad de los vínculos | Sí | Sí | |
Hipervisor | Supervisión/alertas | No | Sí |
Abastecimiento de recursos informáticos y memoria | No | Sí | |
Redes virtuales y almacenamiento | No | Sí | |
Copia de seguridad | No | Sí | |
Replicación (Replication) | No | Sí | |
Infraestructura | CPU, memoria, recursos informáticos | No | Sí |
Conmutación y enrutamiento | No | Sí | |
Sistemas de administración y supervisión | No | Sí | |
Planificación de la capacidad | No | Sí | |
Actualizaciones/revisiones de software | No | Sí | |
Solución de problemas de aplicaciones/infraestructuras | No | Sí | |
Recuperación ante desastres (DR) de infraestructuras y copia de seguridad | Infraestructura de copia de seguridad | No | Sí |
Pruebas periódicas de un régimen de copia de seguridad | No | Sí | |
Infraestructura de DR | No | Sí | |
Prueba de DR | No | Sí |
En las dos secciones siguientes se explican escenarios de operación de dos días para implementaciones empresariales locales, respectivamente (operaciones del día 1 y operaciones del día 2).
Operaciones del día 1
Suscribirse a avisos de seguridad
Los avisos de seguridad de VMware documentan las vulnerabilidades de seguridad que se notifican en los productos de VMware. Suscríbase al siguiente vínculo para recibir una alerta si se requiere una acción en un componente local.
https://www.vmware.com/security/advisories.html
Desactivar cloud-init en SD-WAN Orchestrator
Data-source contiene dos secciones: meta-data y user-data. Meta-data incluye el identificador de la instancia y no debe cambiar durante la duración de la instancia, mientras que user-data es una configuración aplicada en el primer arranque (para el identificador de instancia de meta-data).
Después del primer inicio, se recomienda desactivar el archivo cloud-init para acelerar la secuencia de arranque de SD-WAN Orchestrator. Para desactivarlo cloud-init, ejecute lo siguiente:
./opt/vc/bin/cloud_init_ctl -d
No se recomienda aplicar la acción "purge" al archivo cloud-init con el comando "apt purge cloud-init" (este procedimiento no provoca problemas en VMware SD-WAN Controller). Al aplicar la acción "purge" al archivo cloud-init, también se eliminan algunos scripts y herramientas esenciales de SD-WAN Orchestrator (por ejemplo, los scripts de actualización y de copia de seguridad). En caso de que se utilice el comando "purge", puede restaurar los archivos mediante los siguientes comandos:
- Vaya a la carpeta /opt/vcrepo/pool/main/v/vco-tools
- Instale el paquete de la herramienta de SD-WAN Orchestrator desde la carpeta: "sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb". El nombre del paquete vco-tools puede cambiar en función de su versión. Compruebe el nombre de archivo correcto con el comando "ls vco-tools".
Zona horaria de NTP
La zona horaria de SD-WAN Orchestrator y Puerta de enlace debe estar configurada como "Etc/UTC".
vcadmin@vco1-example:~$ cat /etc/timezone Etc/UTC vcadmin@vco1-example:~$
echo "Etc/UTC" | sudo tee /etc/timezone sudo dpkg-reconfigure --frontend noninteractive tzdata
Desplazamiento de NTP
La expectativa es que el desplazamiento de NTP sea <= 15 milisegundos.
vcadmin@vco1-example:~$ sudo ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *ntp1-us1.prod.v 74.120.81.219 3 u 474 1024 377 10.171 -1.183 1.033 ntp1-eu1-old.pr .INIT. 16 u - 1024 0 0.000 0.000 0.000 vcadmin@vco1-example:~$
sudo service ntp stop sudo ntpdate <server> sudo service ntp start
Almacenamiento de VMware SD-WAN Orchestrator
Cuando SD-WAN Orchestrator se implementa inicialmente, se crean tres particiones: /, /store, /store2, /store3 (versión 4.0 y posteriores). Las particiones se crean con tamaños predeterminados. Siga las instrucciones de la sección titulada "Aumentar el almacenamiento en SD-WAN Orchestrator" para obtener instrucciones sobre cómo modificar los tamaños predeterminados para que coincidan con el diseño.
Tareas adicionales
- Configure las propiedades del sistema.
- Configure el perfil de operador inicial.
- Configure las cuentas de operador.
- Cree instancias de Instancias de SD-WAN Gateway.
- Instale SD-WAN Orchestrator.
- Cree la cuenta del cliente o la cuenta del partner.
Las configuraciones de la lista anterior se encuentran fuera del ámbito de este documento y se pueden encontrar en las guías de implementación de la documentación de VMware. Puede encontrar instrucciones detalladas en la Guía de implementación y supervisión de VMware SD-WAN Orchestrator, en la sección titulada "Instalar SD-WAN Orchestrator".
Operaciones del día 2
Copia de seguridad de SD-WAN Orchestrator
En esta sección, se proporcionan los mecanismos disponibles para realizar una copia de seguridad periódica de la base de datos de SD-WAN Orchestrator para recuperarse de errores de operador o errores graves de las instancias activa y en espera de Orchestrator.
Recuerde que la función de recuperación ante desastres (DR) es el método de recuperación preferido. Proporciona un objetivo de punto de recuperación casi de nivel cero, ya que todas las configuraciones en la instancia activa de Orchestrator se replican de inmediato. Para obtener más información sobre la función de recuperación ante desastres, consulte la siguiente sección.
Realizar una copia de seguridad mediante el script integrado
SD-WAN Orchestrator proporciona un mecanismo de copia de seguridad de configuración integrada para realizar una copia de seguridad periódica de la configuración para recuperarse de errores de operador o errores graves de las instancias activa y en espera de Orchestrator. El mecanismo se basa en scripts y se encuentra en /opt/vc/scripts/db_backup. sh.
El script básicamente toma un volcado de base de datos de los datos y eventos de configuración, y se excluyen algunas de las tablas de supervisión de gran tamaño durante el proceso de volcado de la base de datos. Una vez que se ejecuta el script, los archivos de copia de seguridad se crean en la ruta de acceso del directorio local que se proporciona como entrada al script anterior.
La copia de seguridad consta de dos archivos .gzs, uno que contiene la definición del esquema de la base de datos y el otro que contiene los datos reales sin definición. El administrador debe asegurarse de que la ubicación del directorio de copia de seguridad tenga suficiente espacio de disco para la copia de seguridad.
Prácticas recomendadas
- Monte una ubicación remota y vuelva a configurar el script de copia de seguridad. La ubicación remota debe tener el mismo almacenamiento que /store si los flujos también son de copia de seguridad.
- Antes de utilizar el script de copia de seguridad, compruebe el estado de replicación de recuperación ante desastres (DR) de la página de replicación de SD-WAN Orchestrator. Deben estar sincronizadas y no deben incluir errores.
- Adicionalmente, ejecute una consulta MySQL y compruebe el retraso de la replicación.
- SHOW SLAVE STATUS \G
- En la consulta anterior, busque el campo seconds_behind_master. Idealmente, debe ser cero, pero por debajo de 10 también sería suficiente.
- Para las instancias grandes de SD-WAN Orchestrator, se recomienda utilizar el modo de espera para la ejecución del script de copia de seguridad. No habrá diferencia en la copia de seguridad que se genera a partir de las dos instancias de SD-WAN Orchestrator.
Advertencias- El script solo realiza una copia de seguridad de la configuración; no se incluyen eventos ni estadísticas de flujo.
- Para restaurar la configuración, es necesario que el equipo de soporte técnico o de ingeniería lo solicite.
- ¿Cuánto tiempo tarda el script en ejecutarse?
La duración de la copia de seguridad depende de la escala de la configuración real del cliente. Dado que las tablas de supervisión se excluyen de la operación de copia de seguridad, se espera que la operación de copia de seguridad de la configuración se complete rápidamente. Para una instancia grande de SD-WAN Orchestrator con miles de instancias de SD-WAN Edge y muchos eventos históricos, puede tardar hasta una hora, mientras que una instancia más pequeña de SD-WAN Orchestrator debe completarse en unos minutos.
- ¿Cuál es la frecuencia recomendada para ejecutar el script de copia de seguridad?
Según el tamaño y el tiempo que se tarda en completar la copia de seguridad inicial, se puede determinar la frecuencia de la operación de copia de seguridad. La operación de copia de seguridad se debe programar para que se ejecute fuera de las horas punta, para reducir el impacto en los recursos de SD-WAN Orchestrator.
- ¿Qué sucede si el sistema de archivos raíz no tiene espacio suficiente para la copia de seguridad?
Se recomienda utilizar otros volúmenes montados para almacenar la copia de seguridad. Tenga en cuenta que no se recomienda utilizar el sistema de archivos raíz para la copia de seguridad.
- ¿Cómo se comprueba si la operación de copia de seguridad se completó correctamente?
Los scripts stdout y stderr deben ser suficientes para determinar si la operación de copia de seguridad se realizó correctamente o no. Si la invocación de scripts es automatizada, el código de salida puede determinar el éxito o el error de la operación de copia de seguridad.
- ¿Cómo se recupera la configuración?
Actualmente, VMware requiere que el cliente trabaje con el soporte de VMware para recuperar los datos de configuración. El soporte de VMware le ayudará a recuperar la configuración del cliente. Los clientes deben abstenerse de realizar cambios de configuración adicionales hasta que se restaure la configuración.
- ¿Cuál es el impacto exacto de la ejecución de este script?
A pesar de que una copia de seguridad de la configuración debe tener un impacto escaso en el rendimiento, se producirá un aumento en el uso de recursos para el proceso de MySQL. Se recomienda ejecutar la copia de seguridad fuera de las horas punta.
- ¿Se permiten cambios de configuración durante la ejecución de la operación de copia de seguridad?
Es seguro realizar cambios de configuración mientras se ejecuta la operación de copia de seguridad. Sin embargo, para garantizar unas copias de seguridad actualizadas, se recomienda que no se realicen operaciones de configuración mientras la copia de seguridad se esté ejecutando.
- ¿La configuración se puede restaurar en la instancia original de SD-WAN Orchestrator o requiere una nueva instancia de SD-WAN Orchestrator?
Sí, la configuración puede, y idealmente debe, restaurarse en la misma instancia de SD-WAN Orchestrator, si está disponible. De esta forma, se asegurará de que se utilicen los datos de supervisión después de que se complete la operación de restauración. Si no se puede recuperar la instancia original de SD-WAN Orchestrator y la instancia de SD-WAN Orchestrator en espera está inactiva, la configuración se puede restaurar en una nueva instancia de SD-WAN Orchestrator. En esta instancia, se perderán los datos de supervisión.
- ¿Qué acciones se deben realizar en caso de que la configuración deba restaurarse en una nueva instancia de SD-WAN Orchestrator?
Póngase en contacto con el soporte de VMware para ver el conjunto de acciones recomendado en la nueva instancia de SD-WAN Orchestrator, ya que los pasos varían en función de la implementación real.
- ¿Desea que Instancias de SD-WAN Edge vuelva a registrar en la instancia de SD-WAN Orchestrator recién restaurada?
No, no es necesario que las instancias de Instancias de SD-WAN Edge se registren en la nueva instancias de SD-WAN Orchestrator, ya que toda la información necesaria se conserva como parte de la copia de seguridad.
Recuperación ante desastres de SD-WAN Orchestrator
Estados
- Independiente (Standalone) (ninguna DR configurada)
- Activo (recuperación ante desastres configurada, actuando como el servidor de SD-WAN Orchestrator principal)
- En espera (recuperación ante desastres configurada, actuando como un servidor de SD-WAN Orchestrator de réplica inactiva)
- Inerte (Zombie) (DR anteriormente configurada y activa, pero ya sin funcionamiento como activa o en espera)
Fases | Función A de SD-WAN Orchestrator | Función B de SD-WAN Orchestrator |
---|---|---|
Inicial | Independiente (Standalone) | Independiente (Standalone) |
Emparejamiento | Activa | En espera |
Conmutación por error | Inerte (Zombie) | Independiente (Standalone) |
- Busque la DR de SD-WAN Orchestrator en un centro de datos independiente geográficamente.
- Antes de promocionar una instancia de SD-WAN Orchestrator en espera como activa, confirme que el estado de la replicación de DR esté sincronizado. La instancia de SD-WAN Orchestrator activa anteriormente ya no podrá administrar el inventario y la configuración.
- Si el modo de espera se puede comunicar con la instancia de Orchestrator activa anteriormente, indicará que Orchestrator debe entrar en estado inerte. En el estado Inerte (Zombie), SD-WAN Orchestrator comunica a sus clientes (instancias de Instancias de SD-WAN Edge y Instancias de SD-WAN Gateway, interfaz de usuario/API) que ya no está activo y que deben comunicarse con la instancia de SD-WAN Orchestrator recientemente promocionada.
- Si el modo de espera promocionado no puede comunicarse con la instancia de Orchestrator activa anteriormente, el operador debe, si es posible, degradar manualmente la instancia activa anteriormente.
- Puede encontrar instrucciones detalladas en la documentación oficial de SD-WAN Orchestrator (docs.vmware.com), en "Configurar la recuperación ante desastres de SD-WAN Orchestrator".
Procedimiento de actualización para SD-WAN Orchestrator
- El soporte de VMware le ayudará con la actualización. Recopile la siguiente información antes de ponerse en contacto con el equipo de soporte de VMware.
- Proporcione las versiones actuales y de destino de SD-WAN Orchestrator, por ejemplo, la versión actual (p. Ej. 3.4.2) o la versión de destino (3.4.3).
Nota: Para la versión actual, esta información se puede encontrar en la esquina superior derecha de SD-WAN Orchestrator haciendo clic en el vínculo Ayuda (Help) y eligiendo Acerca de (About).
- Proporcione una captura de pantalla del panel de control de replicación de SD-WAN Orchestrator, como se muestra a continuación.
- Tipo y versión de hipervisor (p. ej., vSphere 6.7)
- Comandos de SD-WAN Orchestrator (los comandos se deben ejecutar como raíz (por ejemplo, "sudo <command>" o "sudo-i").):
- Diseño de LVM
- pvdisplay -v
- vgdisplay -v
- lvdisplay -v
- df -h
- cat /etc/fstab
- Información de la memoria
- free -m
- cat /proc/meminfo
- ps -ef
- top -b -n 2
- Información de la CPU
- cat /proc/cpuinfo
- Copia de /var/log
- tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log
- Desde la instancia de Orchestrator en espera:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
- Desde la instancia de Orchestrator activa:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
- Diseño de LVM
- Proporcione las versiones actuales y de destino de SD-WAN Orchestrator, por ejemplo, la versión actual (p. Ej. 3.4.2) o la versión de destino (3.4.3).
- Póngase en contacto con el equipo de soporte de VMware SD-WAN Orchestrator en https://kb.vmware.com/s/article/53907 con la información mencionada anteriormente para obtener ayuda con la actualización de SD-WAN Orchestrator.
- En caso de que el cliente desee una solución de reversión rápida después de una actualización, se proporcionarán instrucciones de Instantánea de ESXi.
Instantánea de ESXi
La capacidad de Instantánea de ESXi se puede utilizar antes de que las actualizaciones de SD-WAN Orchestrator ofrezcan una reversión rápida a la versión anterior de SD-WAN Orchestrator.
Prácticas recomendadas para Instantánea de ESXi
- Para evitar incoherencias en la base de datos, se deben apagar las instancias activa y en espera de SD-WAN Orchestrator antes de ejecutar o restaurar a partir de la instantánea.
- Todas las tareas relacionadas con instantáneas deben realizarse en la instancia activa y en espera de SD-WAN Orchestrator, para evitar incoherencias en la base de datos.
- Es esencial consolidar la instantánea si el proceso de actualización se realizó correctamente. El archivo de instantánea continuará creciendo cuando se retenga durante un período más amplio. Esto puede hacer que la ubicación de almacenamiento de la instantánea se quede sin espacio y que esto afecte al rendimiento del sistema.
- Desactive las alertas en SD-WAN Orchestrator mediante la creación de instantáneas, para evitar falsas alarmas.
- No utilice una sola instantánea durante más de 72 horas.
- No se recomienda utilizar instantáneas como copias de seguridad.
- La validación de funciones se realizó con ESXi 6.7 y SD-WAN Orchestrator versión 3.4.4.
Las prácticas recomendadas de instantáneas de VMware se pueden encontrar en el siguiente artículo de la base de conocimientos: https://kb.vmware.com/s/article/1025279
Crear instantáneas de ESXi
- Desactive las propiedades del sistema de alertas, notificaciones y supervisión en la instancia activa de SD-WAN Orchestrator. La duración aproximada es de 10 minutos.
- En el portal de operadores, haga clic en Propiedades del sistema (System Properties). Cambie las siguientes propiedades del sistema al valor falso (false).
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- En el portal de operadores, haga clic en Propiedades del sistema (System Properties). Cambie las siguientes propiedades del sistema al valor falso (false).
- Desactive las propiedades del sistema de alertas, notificaciones y supervisión en la instancia en espera de SD-WAN Orchestrator.
- Cambie las siguientes propiedades del sistema al valor falso (false).
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Cambie las siguientes propiedades del sistema al valor falso (false).
- Apague la instancia activa de SD-WAN Orchestrator.
Vaya a ESXi/vCenter → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Apagar (Power Off).
- Apague la instancia en espera de SD-WAN Orchestrator.
Vaya a ESXi/vCenter → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Apagar (Power Off)
- Realice una instantánea de la instancia activa de SD-WAN Orchestrator. Confirme que la máquina virtual esté apagada antes de realizar este paso.
Vaya a ESXi → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Instantáneas (Snapshots) → Tomar instantánea (Take Snapshot).
- Realice una instantánea de la instancia en espera de SD-WAN Orchestrator. Confirme que la máquina virtual esté apagada antes de realizar este paso.
Vaya a ESXi → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Instantáneas (Snapshots) → Tomar instantánea (Take Snapshot).
Consolidación de la instantánea de ESXi
- Después de confirmar que la actualización se ha realizado correctamente en las instancias activa y en espera de SD-WAN Orchestrator, puede consolidar las instantáneas empezando por la versión activa de SD-WAN Orchestrator.
Vaya a ESXi → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Instantáneas (Snapshots) → Administrador de instantáneas (Snapshot Manager) → Eliminar todo.
- Consolide la instantánea en la instancia en espera de SD-WAN Orchestrator.
Vaya a ESXi → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Instantáneas (Snapshots) → Administrador de instantáneas (Snapshot Manager) → Eliminar todo.
- Vuelva a habilitar las propiedades del sistema de alertas, notificaciones y supervisión en la instancia activa de SD-WAN Orchestrator y la instancia en espera de SD-WAN Orchestrator.
En el portal de operadores, haga clic en Propiedades del sistema (System Properties). Cambie las siguientes propiedades del sistema al valor verdadero (true).
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Si la eliminación de todas las instantáneas no funciona con vSphere 6.x/7.x, puede intentar consolidar las instantáneas. Para obtener más información, consulte la sección Consolidar instantáneas en la documentación del producto de vSphere.
Restaurar desde la instantánea de ESXi
- Apague la instancia activa de SD-WAN Orchestrator.
Vaya a ESXi/vCenter → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Apagar (Power Off).
- Apague la instancia en espera de SD-WAN Orchestrator.
Vaya a ESXi/vCenter → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Apagar (Power Off).
- Restaure la instantánea de la instancia activa de SD-WAN Orchestrator.
Vaya a ESXi → Máquina virtual de SD-WAN Orchestrator (SD-WAN Orchestrator VM) → Acciones (Actions) → Alimentación (Power) → Instantáneas (Snapshots) → Administrar instantáneas (Manage Snapshots).
Seleccione la instantánea en la que desea restaurar la máquina virtual → Revertir a (Revert to) (consulte la imagen que aparece a continuación).
- Restaure la instantánea de la instancia en espera de SD-WAN Orchestrator.
Vaya a ESXi → Máquina virtual de VCO (VCO VM) → Acciones (Actions) → Alimentación (Power) → Instantáneas (Snapshots) → Administrar instantáneas (Manage Snapshots).
Seleccione la instantánea en la que desea restaurar la máquina virtual → Revertir a (Revert to).
- Vuelva a habilitar las propiedades del sistema de alertas, notificaciones y supervisión en la instancia activa de SD-WAN Orchestrator y la instancia en espera de SD-WAN Orchestrator. En el portal de operadores, haga clic en Propiedades del sistema (System Properties). Cambie las siguientes propiedades del sistema al valor verdadero (true).
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Actualización de software secundaria de Controller (p. ej. de 3.3.2 P3 a 3.4.4)
El archivo de actualización de software contiene actualizaciones de Puerta de enlace y del sistema. NO ejecute "apt-get update && apt-get –y upgrade".
Antes de continuar con la actualización de VMware SD-WAN Controller, asegúrese de que SD-WAN Orchestrator se haya actualizado antes a la misma versión o una superior.
- Descargue el paquete de actualización de SD-WAN Controller.
- Cargue la imagen en el almacenamiento de SD-WAN Controller (por ejemplo, mediante el comando SCP). Copie la imagen en la siguiente ubicación del sistema: /var/lib/velocloud/software_update/vcg_update.tar.
- Conéctese a la consola de SD-WAN Controller y ejecute el comando siguiente:
sudo /opt/vc/bin/vcg_software_update
root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> Resolving ftpsite.vmware.com (ftpsite.vmware.com)... Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [application/octet-stream] Saving to: 'vcg_update.tar' [ <=> ] 325,939,200 3.81MB/s in 82s 2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update =========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a Ign file: trusty InRelease Ign file: trusty Release.gpg Get: 1 file: trusty Release [2,668 B] Ign file: trusty/main Translation-en_US Ign file: trusty/main Translation-en (...) Writing extended state information... Reading package lists... Building dependency tree... Reading state information... Reading extended state information... Initializing package states... update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic Reboot is required. Reboot? (y/n) [y]:
Actualización de software principal de Controller (por ejemplo, de 3.3.2 o 3.4 a 4.0)
- Un nuevo diseño de disco del sistema basado en LVM para permitir una mayor flexibilidad en la administración de volúmenes
- Una nueva versión de kernel
- Paquetes de SO base nuevos y actualizados
- Protección mejorada de la seguridad basada en el centro de pruebas de seguridad de Internet
Debido a estos cambios, el procedimiento de actualización estándar que utiliza el script de actualización no funciona. Se requiere un procedimiento de actualización específico. Se encuentra en el manual del producto que aparece a continuación. Este procedimiento es sustituir la máquina virtual de Puerta de enlace 3.3.2 o 3.4 por la nueva máquina virtual de Puerta de enlace 4.0. Consulte el siguiente documento: Actualización y migración de la puerta de enlace de socio de VMware SD-WAN de la versión 3.3.2 o 3.4 a la versión 4.0
Este procedimiento de actualización requiere la configuración de propiedades del sistema de SD-WAN Orchestrator, que solo se pueden ejecutar en las cuentas de operador de SD-WAN Orchestrator. Cree un ticket de soporte con el equipo de soporte de VMware para solicitar el cambio de propiedad del sistema.
Supervisión
- Supervisión de SD-WAN Controller
Puede supervisar el estado y los datos de uso de las instancias de Controller disponibles en el portal de operadores.
El procedimiento es el siguiente:
- En el portal de operadores, haga clic en Puertas de enlace (Gateways).
- La página Puertas de enlace (Gateways) muestra la lista de instancias de Controller disponibles.
- Haga clic en el vínculo a una puerta de enlace. Se mostrarán los detalles de la instancia de Controller seleccionada.
- Haga clic en la pestaña Supervisar (Monitor) para ver los datos de uso de la instancia de Controller seleccionada.
La pestaña Supervisar (Monitor) de la instancia de Controller seleccionada muestra los detalles que se visualizan en la imagen siguiente.
Puede elegir un período específico para ver los detalles de la instancia de Controller en la parte superior de la página.
La página muestra una representación gráfica de los detalles de uso de los siguientes parámetros para el período de tiempo de duración seleccionado, junto con los valores mínimo, máximo y promedio.
Uso | Descripción |
---|---|
Porcentaje de CPU (CPU Percentage) | Porcentaje de uso de la CPU |
Uso de memoria (Memory Usage) | Porcentaje de uso de memoria |
Recuento de flujos (Flow Counts) | Recuento de flujos de tráfico |
Descartes de cola de entrega (Handoff Queue Drops) | Recuento de paquetes descartados debido a la entrega en cola |
Recuento de túneles (Tunnel Count) | Recuento de sesiones de túnel |
- Valores recomendados para supervisar de Controller para Puerta de enlace de SD-WAN
En la siguiente lista, se muestran los valores que deben supervisarse y sus umbrales. La siguiente lista se proporciona como punto de partida y no es exhaustiva. Algunas implementaciones pueden requerir la evaluación de componentes adicionales, como flujos, pérdida de paquetes, etc.
Cada vez que se alcanza un umbral de advertencia, se recomienda revisar la configuración de la escala del dispositivo actual y agregar más recursos si es necesario. Cuando se activa una alarma crítica, resulta fundamental ponerse en contacto con representantes de soporte técnico de VMware para comprobar la solución y proporcionar más consejos.
Tabla 4. Valores recomendados para supervisar Comprobación del servicio Descripción de la comprobación de servicio Umbral de advertencia Umbral crítico Carga de CPU (CPU Load) Comprueba la carga del sistema. 60 80 Memoria (Memory) Comprueba el búfer de uso de la memoria, la memoria caché y la memoria utilizada. 70 80 Túneles (Tunnels) Número de túneles de instancias de Instancias de SD-WAN Edge conectadas. 60 % de escala máxima 80 % de escala máxima Nota: una pérdida repentina de todos los túneles o una cantidad baja anómala también debe ser motivo de preocupación.
Descartes de entrega (Handoff Drops) Debido a la alta ocupación del tráfico a través de una instancia de Controller, se esperan descartes esporádicos. Los descartes constantes en ciertas colas pueden indicar un problema de capacidad. Espacio de disco (Disk Space) Uso de disco actual 40 % libre 20 % libre NTP de Controller (Controller NTP) Comprueba el desplazamiento temporal Desplazamiento de 5 segundos Desplazamiento de 10 segundos
- Integración de SD-WAN Orchestrator con las pilas de supervisión
SD-WAN Orchestrator incluye una pila de supervisión de métricas del sistema integrada, que puede adjuntarse a un recopilador de métricas externo y una base de datos de serie temporal. Con la pila de supervisión, puede comprobar fácilmente la condición del estado y la carga del sistema para SD-WAN Orchestrator.
-
- Para habilitar la pila de supervisión, ejecute el siguiente comando en Orchestrator:
sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Para comprobar el estado de la pila de supervisión, ejecute:
sudo /opt/vc/scripts/vco_observability_manager.sh status
- Para desactivar la pila de supervisión, ejecute lo siguiente:
sudo /opt/vc/scripts/vco_observability_manager.sh disable
- Para habilitar la pila de supervisión, ejecute el siguiente comando en Orchestrator:
- El recopilador de métricas
Telegraf se utiliza como el recopilador de métricas del sistema de SD-WAN Orchestrator; incluye diversos complementos para recopilar distintas métricas del sistema. Las siguientes métricas están habilitadas de forma predeterminada.
Tabla 5. Recopilador de métricas Nombre de la métrica Descripción Versión compatible inputs.cpu Métricas sobre el uso de CPU. 3.4/4.0 inputs.mem Métricas sobre el uso de la memoria. 3.4/4.0 inputs.net Métricas sobre interfaces de red. 4.0 inputs.system Métricas sobre carga y tiempo de actividad del sistema. 4.0 inputs.processes El número de procesos agrupados por estado. 4.0 inputs.disk Métricas sobre uso del disco. 4.0 inputs.diskio Métricas sobre E/S de disco por dispositivo. 4.0 inputs.procstat Uso de CPU y memoria para procesos específicos. 4.0 inputs.nginx Información de estado básica de Nginx (ngx_http_stub_status_module). 4.0 inputs.mysql Datos estadísticos del servidor MySQL. 3.4/4.0 inputs.redis Métricas de uno o varios servidores Redis. 3.4/4.0 inputs.statds Métricas de la API y del sistema. 3.4/4.0 (se incluyen métricas adicionales en 4.0) inputs.filecount El número y el tamaño total de los archivos en los directorios especificados. 4.0 inputs.ntpq Métricas estándar de consulta de NTP, requiere ntpq ejecutable. 4.0 Inputs.x509_cert Métricas de un certificado SSL. 4.0 Para activar más métricas o desactivar algunas métricas habilitadas, edite el archivo de configuración de Telegraf en SD-WAN Orchestrator de la siguiente manera:
sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf
sudo systemctl restart telegraf
- La base de datos de serie temporal
Se puede utilizar una base de datos de series temporales para almacenar las métricas de sistema recopiladas por Telegraf. Una base de datos de serie temporal (TSDB) es una base de datos optimizada para datos de serie temporal.
- Panel de control y agente de alertas
El panel de control y agente de alertas permite consultar, visualizar, alertar y explorar los datos almacenados en TSDB. La imagen es un ejemplo de un panel de control que utiliza Telegraf (un TSDB y un motor de panel de control) que se puede crear para supervisar la solución.
- Configuración de base de datos de serie temporal
Siga las instrucciones a continuación para configurar la base de datos de serie temporal.
- Agregue la entrada iptables para permitir que los sistemas de supervisión externos accedan al puerto de Telegraf. La dirección IP de origen debe especificarse por motivos de seguridad.
- Ejemplo. La dirección IP del sistema de supervisión externo es 191.168.0.200 Add "-A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment "allow telegraf port" -j ACCEPT" to /etc/iptables/rules.v4
- Reinicie iptables.
sudo service iptables-persistent restart (SD-WAN Orchestrator 3.4.x)
sudo systemctl restart netfilter-persistent (SD-WAN Orchestrator 4.x)
- Asegúrese de que se haya agregado la entrada iptables.
- Agregue los detalles de la base de datos de series temporales en la configuración de Telegraf. Cree un archivo de configuración de salida. El ejemplo con prometheus es el siguiente:
/etc/telegraf/telegraf.d/prometheus_out.conf
- Valores recomendados para supervisar de SD-WAN Orchestrator
En la siguiente lista, se muestran los valores que deben supervisarse y sus umbrales. La siguiente lista se proporciona como punto de partida y no es exhaustiva. Algunas implementaciones pueden requerir la evaluación de componentes adicionales, como transacciones de base de datos, copias de seguridad automáticas, etc.
Cada vez que se alcanza un umbral de advertencia, se recomienda revisar la configuración de la escala del dispositivo actual y agregar más recursos si es necesario. Cuando se activa una alarma crítica, resulta fundamental ponerse en contacto con representantes de soporte técnico de VMware para comprobar la solución y proporcionar más consejos.Tabla 6. Valores para supervisar y umbrales Comprobación del servicio Descripción de la comprobación de servicio Umbral de advertencia Umbral crítico Carga de CPU (CPU Load) Comprueba la carga del sistema - Complemento de entrada de Telegraf: inputs.cpu. 60 70 Memoria (Memory) Comprueba el búfer de uso de la memoria, la memoria caché y la memoria utilizada - Complemento de entrada de Telegraf: inputs.memory. 70 80 Uso de disco (Disk Usage) Uso de disco en las diferentes particiones de SD-WAN Orchestrator, /, /store, /store2 y /store3 (versión 4.0 y posteriores) - Complemento de entrada de Telegraf: inputs.disk (versión 4.0 y posteriores). 40 % libre 20 % libre Servidor MySQL (MySQL Server) Comprueba las conexiones de MySQL - Complemento de entrada de Telegraf: inputs.mysql. Por encima del 80 % de la conexión máxima definida en mysql.conf (/etc/mysql/my.cnf) Hora de SD-WAN Orchestrator (SD-WAN Orchestrator Time) Comprueba el desplazamiento temporal - Complemento de entrada de Telegraf: inputs.ntpq (versión 4.0 y versiones posteriores). Desplazamiento de 5 segundos Desplazamiento de 10 segundos Certificado SSL de SD-WAN Orchestrator (SD-WAN Orchestrator SSL Certificate) Comprueba la caducidad del certificado - Complemento de entrada de Telegraf: inputs.x509_cert (versión 4.0 y posteriores). 60 días 30 días Internet de SD-WAN Orchestrator (SD-WAN Orchestrator Internet) (no se aplica a las topologías solo MPLS) Comprueba si hay acceso a Internet. Tiempo de respuesta > 5 s Tiempo de respuesta > 10 s HTTP de SD-WAN Orchestrator (SD-WAN Orchestrator HTTP) Permite garantizar la respuesta de HTTP en el host local. El host local no responde. Recuento total de certificados de SD-WAN Orchestrator (SD-WAN Orchestrator Total Cert Count) Comprueba el total - Ejemplo de consulta de MySQL: SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()
CRL Cuando el recuento total de certificados supera los 5000 Estado de replicación de DR (DR Replication Status) Confirma que la instancia en espera de SD-WAN Orchestrator está actualizada. Revise que la recuperación ante desastres de SD-WAN Orchestrator no supere los 1000 segundos detrás de la instancia activa de SD-WAN Orchestrator. Seconds_Behind_Master: from mysql command: show slave STATUS\G;
Delta de puerta de enlace de SD-WAN Edge de replicación de recuperación ante desastres (DR) Confirme que las instancias de Instancias de SD-WAN Edge y Instancias de SD-WAN Gateway puedan comunicarse con la instancia de SD-WAN Orchestrator de DR. Los valores diferentes entre las instancias activa y en espera de SD-WAN Orchestrator pueden deberse a una diferencia en la zona horaria de las instancias de Instancias de SD-WAN Edge y Instancias de SD-WAN Gateway.
El mismo número de instancias de Instancias de SD-WAN Edge que se comunican con la instancia de SD-WAN Orchestrator activa deben poder comunicarse con la instancia en espera de SD-WAN Orchestrator. Este valor se puede comprobar en la pestaña de "replicación" (replication) o a través de la API.
Prácticas recomendadas de API
- El portal de SD-WAN Orchestrator
El portal de SD-WAN Orchestrator permite a los administradores de red (o a los scripts y aplicaciones que actúan en su nombre) administrar la configuración de la red y el dispositivo, y consultar el estado actual o histórico de la red y el dispositivo. Los clientes de API pueden interactuar con el portal a través de una interfaz JSON-RPC o una interfaz de tipo REST. Es posible invocar todos los métodos que se describen en este documento mediante una interfaz. No existe ninguna funcionalidad de portal para la que el acceso esté restringido exclusivamente a los clientes JSON-RPC o a los de tipo REST.
Ambas interfaces aceptan exclusivamente solicitudes de HTTP POST. También esperan que los cuerpos de solicitud, si están presentes, tengan el formato JSON, en línea con RFC 2616; es más probable que los clientes confirmen formalmente cuando este sea el caso mediante el encabezado de solicitud Content-Type, por ejemplo, Content-Type: application/json.
Puede encontrar más información sobre la API de VMware SD-WAN aquí:
- Prácticas recomendadas para empresas y proveedores de servicios mediante API
Algunas de las prácticas recomendadas al utilizar las API son las siguientes:
- Siempre que sea posible, las llamadas de API agregadas son preferibles a las específicas de la empresa. Por ejemplo, se puede utilizar una sola llamada a monitoring/getAggregateEdgeLinkMetrics para recuperar estadísticas de transporte en todas las instancias de Instancias de SD-WAN Edge de forma simultánea.
- VMware solicita que los clientes limiten el número de llamadas de API activas en un momento dado a unas pocas (p. ej., < 2-4). Si un usuario cree que existe una razón convincente para paralelizar llamadas de API, VMware solicita que se ponga en contacto con el equipo de soporte técnico de VMware para analizar posibles soluciones alternativas.
- Por lo general, no se recomienda sondear en la API los datos estadísticos con más frecuencia que cada 10 minutos. Los datos estadísticos nuevos llegan a SD-WAN Orchestrator cada 5 minutos. Debido a vibración en los informes y el procesamiento, los clientes que sondean cada 5 minutos pueden observar casos "falsos positivos" en los que las estadísticas no se reflejen en los resultados de las llamadas de API. Los usuarios tienden a encontrar el mejor resultado mediante intervalos de solicitudes de 10 minutos o más en duración.
- Evite consultar la misma información dos veces.
- Use el modo de suspensión entre las API.
- Para las automatizaciones de software complejas, ejecute los scripts y evalúe el impacto de la CPU o la memoria. A continuación, ajuste según sea necesario.
Configuración de syslog de SD-WAN Orchestrator
La capacidad de syslog de VMware SD-WAN Orchestrator se puede configurar de forma independiente para los siguientes procesos de Orchestrator: portal, carga y back-end.
- Portal: el proceso del portal se ejecuta como proceso descendente de servidor HTTP interno desde NGINX. El servicio del portal gestiona solicitudes de API entrantes, ya sea desde la interfaz web de SD-WAN Orchestrator o desde un cliente HTTP/SDK, principalmente de manera síncrona. Estas solicitudes permiten que los usuarios autenticados configuren, supervisen y administren los diversos servicios proporcionados por SD-WAN Orchestrator.
Este registro es muy útil para las actividades de AAA, ya que todas las acciones las llevan a cabo los usuarios en SD-WAN Orchestrator.
Archivos de registro: /var/log/portal/velocloud.log (registra todos los registros de información, advertencias y errores)
- Carga: el proceso del carga se ejecuta como proceso descendente de servidor HTTP interno desde NGINX. El servicio de carga gestiona las solicitudes entrantes de las instancias de Instancias de SD-WAN Edge y Instancias de SD-WAN Gateway, ya sea de forma sincrónica o asincrónica. Estas solicitudes constan principalmente de activaciones, latidos, estadísticas de flujo, estadísticas de vínculos e información de enrutamiento enviada por instancias de Instancias de SD-WAN Edge y Instancias de SD-WAN Gateway.
Archivos de registro: /var/log/upload/velocloud.log (registra todos los registros de información, advertencias y errores)
- Back-end: ejecutor de trabajos que ejecuta principalmente trabajos programados o en cola. Los trabajos programados constan de actividades de limpieza, resumen o actualización de estado. Los trabajos en cola están formados por el vínculo de procesamiento y las estadísticas de flujo.
Archivos de registro: /var/log/backend/velocloud.log (registra todos los registros de información, advertencias y errores)
- Desplácese hasta las propiedades del sistema en SD-WAN Orchestrator, log.syslog.<servidor> (por ejemplo, log.syslog.portal). Vaya a SD-WAN Orchestrator → Propiedades del sistema (System Properties) → escriba "log.syslog" en la barra de búsqueda.
- Cambie el valor “enable”:false a true para uno o varios de los servidores. Cambie la IP y el puerto del host según corresponda a su implementación.
Aumentar el almacenamiento en SD-WAN Orchestrator
Las instrucciones detalladas para aumentar el almacenamiento en SD-WAN Orchestrator pueden encontrarse en la documentación de SD-WAN Orchestrator
en https://docs.vmware.com/, bajo "Instalar SD-WAN Orchestrator" y "Expandir el tamaño de disco (VMware)"
- Prácticas recomendadas:
- Asegúrese de que la misma distribución de LVM se aplique a la instancia en espera de SD-WAN Orchestrator.
- No se recomienda reducir el tamaño de los volúmenes una vez que se hayan aumentado. Use el aprovisionamiento ligero como alternativa.
- En la versión 3.4, al aumentar el tamaño del disco, se puede utilizar la siguiente distribución de porcentaje/valor:
- Volumen "/": este volumen se utiliza para el sistema operativo. Por lo general, las instancias de SD-WAN Orchestrator de producción se establecen en 140 GB y tienen un uso entre el 40 % y el 60 %.
- /store y /store2: la proporción aplicada en las instancias de SD-WAN Orchestrator de producción está próxima al 85 % para /store y el 15 % para /store2.
- Las directrices de la tabla siguiente deben utilizarse en la versión 4.x y versiones posteriores.
Tamaño de la instancia /store /store2 /store3 /var/log Pequeño (5000 Instancias de SD-WAN Edge) 2 TB 500 GB 8 TB 15 GB Medio (10000 Instancias de SD-WAN Edge) 2 TB 500 GB 12 TB 20 GB Grande (15000 Instancias de SD-WAN Edge) 2 TB 500 GB 16 TB 25 GB
Administrar certificados en SD-WAN Orchestrator
SD-WAN Orchestrator utiliza un servidor de certificados integrado para administrar el ciclo de vida de PKI general de todas las instancias de Instancias de SD-WAN Edge y SD-WAN Controller. Los certificados X.509 se emiten a los dispositivos de la red.
Las instrucciones detalladas para configurar la entidad de certificación pueden encontrarse en la documentación oficial de SD-WAN Orchestrator, en https://docs.vmware.com/, bajo "Instalar SD-WAN Orchestrator" e "Instalar un certificado SSL".
- Túneles de TLS 1.2 del plano de administración entre SD-WAN Orchestrator y SD-WAN Edge - SD-WAN Controller.
- Túneles IKEv2/IPsec del plano de control y datos entre las instancias de Edge de SD-WAN y entre SD-WAN Edge y SD-WAN Controller.
Lista de revocación de certificados
vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l 14 vcadmin@vcg1-example:~
Interacción de soporte
Nuestra organización de soporte al cliente proporciona asistencia técnica ininterrumpida y orientación personalizada de nivel superior para clientes de VMware SD-WAN.
- Paquetes de diagnóstico
Al investigar un incidente, se puede crear un paquete de diagnósticos de SD-WAN Orchestrator y SD-WAN Controller. El archivo resultante ayudará al equipo de soporte de VMware a analizar más a fondo los eventos relacionados con un problema.
- Compartir el acceso con el equipo de soporte
En ocasiones, es posible que se requiera asistencia de representantes de soporte técnico de VMware para SD-WAN Orchestrator y SD-WAN Controller.
Algunas maneras comunes de conceder el acceso son las siguientes:- Sesiones remotas con el equipo de soporte técnico: el cliente puede conceder control remoto al servidor de salto de SSH o seguir las instrucciones del representante de soporte técnico.
- Crear una cuenta para el equipo de soporte técnico en SD-WAN Orchestrator. Esto ayuda al equipo de soporte técnico a recopilar registros sin interacción del cliente.
- A través del host bastión: se pueden configurar las claves y los permisos de SSH para permitir que los ingenieros de soporte accedan a la instancia local de SD-WAN Orchestrator y SD-WAN Controller mediante un host bastión.
Cuando se ponga en contacto con el equipo de soporte de VMware SD-WAN para que le ayuden a evaluar un problema, incluya los datos que se describen en la siguiente tabla.
Puede encontrar más información en el siguiente vínculo: https://kb.vmware.com/s/article/53907
Obligatorio | Sugerido |
---|---|
Número de caso de socio | Inicio/detención del problema |
Teléfono/correo electrónico de respuesta al socio | IP de origen/destino del flujo afectado |
URL de SD-WAN Orchestrator | Puerto de origen/destino del flujo afectado |
Nombre del cliente en SD-WAN Orchestrator | Ruta de flujo (E2E, E2GW, directa) |
Impacto en el cliente (alto/medio/bajo) | Nombre(s) de Puerta de enlace de SD-WAN |
Nombre(s) de SD-WAN Edge | Vínculo a PCAP en SD-WAN Orchestrator |
Vínculo al paquete de diagnósticos en SD-WAN Orchestrator | |
Descripción breve del problema | |
Análisis y asistencia solicitada |