Seul un super utilisateur opérateur peut effectuer la configuration du dispositif Orchestrator de bastion. Celle-ci implique la configuration de deux dispositifs SD-WAN Orchestrator sous la forme d'une paire de bastions.

Note : Dans ce document, le terme « dispositif Orchestrator de bastion » est utilisé indistinctement avec le terme « dispositif Orchestrator public », et le terme « dispositif Orchestrator de production » est utilisé indistinctement avec le terme « dispositif Orchestrator privé ».

Pour créer une paire de bastions à l'aide de deux dispositifs Orchestrator, configurez un dispositif Orchestrator comme public (bastion) et un autre comme privé (production) en procédant comme suit :

Conditions préalables

  • Assurez-vous que vous disposez de deux dispositifs SD-WAN Orchestrator prêts à être configurés comme paire de bastions et que vous avez défini la propriété système session.options.enableBastionOrchestrator sur Vrai (True) dans les deux dispositifs Orchestrator. Par défaut, cette propriété système est définie sur Faux (False).
  • Assurez-vous que vous disposez d'au moins un super utilisateur opérateur créé dans le dispositif Orchestrator de production.

Procédure

  1. Configurez l'un des deux dispositifs SD-WAN Orchestrator comme dispositif Orchestrator public.
    1. Dans un navigateur Web, lancez l'application SD-WAN Orchestrator qui doit être configurée comme dispositif Orchestrator public et connectez-vous en tant qu'utilisateur opérateur.
    2. Cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI).
      La fenêtre contextuelle Nouvelle interface utilisateur d'Orchestrator (New Orchestrator UI) s'affiche.
    3. Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI).
      La nouvelle interface utilisateur d'Orchestrator s'ouvre dans un nouvel onglet.
    4. Cliquez sur l'onglet Orchestrator.
      La page Configuration du dispositif Orchestrator de bastion (Bastion Orchestrator Configuration) s'affiche.
    5. Sous Rôle Orchestrator (Orchestrator Role), sélectionnez Dispositif Orchestrator public (Public Orchestrator) pour le rôle de bastion (Bastion Role) et entrez les détails de configuration suivants :
      • Adresse du dispositif Orchestrator privé (Private Orchestrator Address) : adresse IP du dispositif Orchestrator de production.
      • UUID du dispositif Orchestrator privé (Private Orchestrator UUID) : valeur d'identifiant unique universel spécifiée dans la propriété système vco.uuid du dispositif Orchestrator de production.
      • Adresse IP source du dispositif Orchestrator privé (Private Orchestrator Source IP) : Adresse IP source avec NAT du dispositif Orchestrator de production.
    6. Cliquez sur RENDRE PUBLIC (MAKE PUBLIC) pour faire d'Orchestrator un dispositif Orchestrator public.
    7. Cliquez sur RECONFIGURER (RECONFIGURE) pour modifier les détails de la configuration.
    8. Cliquez sur SE DÉCONNECTER pour vous déconnecter du dispositif Orchestrator public.
  2. Configurez le second dispositif Orchestrator comme dispositif Orchestrator privé.
    1. Dans un navigateur Web, lancez l'application SD-WAN Orchestrator qui doit être configurée comme dispositif Orchestrator privé et connectez-vous en tant qu'utilisateur opérateur.
    2. Cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI).
    3. Dans la fenêtre contextuelle, cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI).
    4. Dans la nouvelle interface utilisateur d'Orchestrator, cliquez sur Orchestrator.
      La page Configuration du dispositif Orchestrator de bastion (Bastion Orchestrator Configuration) s'affiche.
    5. Sous Rôle Orchestrator (Orchestrator Role), sélectionnez Dispositif Orchestrator privé (Private Orchestrator) pour le rôle de bastion (Bastion Role) et entrez les détails de configuration suivants :
      • Adresse du dispositif Orchestrator public (Public Orchestrator Address) : adresse IP du dispositif Orchestrator public (bastion).
      • UUID du dispositif Orchestrator public (Public Orchestrator UUID) : valeur d'identifiant unique universel spécifiée dans la propriété système vco.uuid du dispositif Orchestrator public.
      • Super utilisateur opérateur (Operator SuperUser) : dans la liste déroulante, sélectionnez un super utilisateur opérateur à transférer avec cette configuration du bastion. Une fois la connexion du bastion établie entre les dispositifs Orchestrator public et privé, seul le super utilisateur opérateur transféré à cette étape obtient un accès d'urgence au dispositif Orchestrator public.
        Note : VMware SD-WAN permet de transférer uniquement un super utilisateur opérateur vers le dispositif Orchestrator public lors de la configuration du bastion. Toutefois, à des fins de dépannage, vous pouvez transférer plusieurs utilisateurs opérateurs vers le dispositif Orchestrator public après la configuration du bastion. Pour transférer les utilisateurs opérateurs après la configuration du bastion, accédez à Utilisateurs opérateurs (Operator Users) > Actions > Transférer vers le bastion (Stage to Bastion) dans le dispositif Orchestrator de production.
    6. Cliquez sur TESTER LA CONNECTIVITÉ (TEST CONNECTIVITY) pour tester la connexion entre les dispositifs Orchestrator public et privé.
    7. Cliquez sur RENDRE PRIVÉ (MAKE PRIVATE).
      La connexion entre les dispositifs Orchestrator public et privé est testée et, si la connexion réussit, le couplage du bastion est établi entre les deux dispositifs Orchestrator.
      Note : Le découplage du dispositif Orchestrator public du dispositif Orchestrator de production (opération Revenir au mode autonome (Return to Standalone Mode)) n'est pas pris en charge dans la version 4.3.0.

Résultats

La configuration du dispositif Orchestrator de bastion est terminée et les dispositifs Orchestrator public et privé sont configurés comme paire de bastions. Dans la configuration du bastion, seul le super utilisateur opérateur configuré peut ensuite accéder au dispositif Orchestrator public en lecture seule.

Que faire ensuite

Vous pouvez transférer un client d'entreprise et les dispositifs Edge vers le dispositif Orchestrator de bastion. Pour obtenir des instructions, reportez-vous à la section Transférer un SD-WAN Edge vers le dispositif Orchestrator de bastion.