Cette section fournit des informations sur les options disponibles pour surveiller, sauvegarder et mettre à niveau les déploiements sur site d'entreprise dans un scénario d'opération de deux jours.
Présentation
- Isolation de la solution : l'équipe chargée des opérations VMware Cloud n'y aura pas accès pour appliquer des correctifs et des mises à niveau.
- Les restrictions relatives à la gestion des modifications limitent la fréquence de l'application de correctifs et des mises à niveau.
- Surveillance inadéquate ou insuffisante de la solution : cette situation peut se produire en raison d'un manque de personnel en mesure de gérer l'infrastructure. Cela entraîne des problèmes fonctionnels, une résolution plus lente des problèmes et un mécontentement des clients.
Cette approche nécessite toujours un investissement important en personnel et en temps pour une gestion, un fonctionnement et une application de correctifs adéquats. Le tableau ci-dessous décrit certains des éléments qui doivent être pris en compte lors de la gestion d'un système sur site.
Système | Description | Responsabilité de l'hébergement VMware | Responsabilité sur site |
---|---|---|---|
Orchestration SD-WAN | Stratégie de choix du lien et de qualité de service (QoS) de l'application | Oui | Oui |
Stratégie de sécurité pour les applications et les dispositifs SD-WAN | Oui | Oui | |
Provisionnement et dépannage des dispositifs SD-WAN | Oui | Oui | |
Gestion des alertes et des événements SD-WAN | Oui | Oui | |
Surveillance des performances et des capacités des liaisons | Oui | Oui | |
Hyperviseur | Surveillance/gestion des alertes | Non | Oui |
Gestion des ressources de calcul et de mémoire | Non | Oui | |
Mise en réseau et stockage virtuels | Non | Oui | |
Sauvegarde | Non | Oui | |
Réplication (Replication) | Non | Oui | |
Infrastructure | CPU, mémoire, calcul | Non | Oui |
Commutation et routage | Non | Oui | |
Systèmes de surveillance et de gestion | Non | Oui | |
Planification de la capacité | Non | Oui | |
Mises à niveau logicielles/application de correctifs | Non | Oui | |
Dépannage des problèmes d'application/d'infrastructure | Non | Oui | |
Sauvegarde et récupération d'urgence de l'infrastructure | Infrastructure de sauvegarde | Non | Oui |
Tests normaux du régime de sauvegarde | Non | Oui | |
Infrastructure de récupération d'urgence (DR) | Non | Oui | |
Tests de récupération d'urgence | Non | Oui |
Les scénarios d'opérations sur deux jours pour les déploiements sur site d'entreprise sont expliqués dans les deux sections ci-dessous, respectivement (Opérations du 1er jour et Opérations du 2e jour).
Opérations du 1er jour
S'abonner aux conseils de sécurité
Les Conseils de sécurité VMware décrivent la correction des vulnérabilités de sécurité signalées dans les produits VMware. Abonnez-vous au lien ci-dessous pour recevoir une alerte si une action est requise dans un composant sur site.
https://www.vmware.com/security/advisories.html
Désactiver cloud-init sur SASE Orchestrator
La source de données contient deux sections : métadonnées et données utilisateur. Les métadonnées incluent l'ID d'instance et vous ne devez pas les modifier pendant la durée de vie de l'instance, tandis que les données utilisateur représentent une configuration appliquée au premier démarrage (pour l'ID d'instance dans les métadonnées).
Après le premier démarrage, il est recommandé de désactiver le fichier cloud-init pour accélérer la séquence de démarrage de SASE Orchestrator. Pour désactiver cloud-init, exécutez :
./opt/vc/bin/cloud_init_ctl -d
Il n'est pas recommandé de « purger » le fichier cloud-init à l'aide de la commande « apt purge cloud-init » (cette procédure ne génère pas de problèmes dans le contrôleur VMware SD-WAN). La purge du fichier cloud-init efface également certains outils et scripts essentiels de SASE Orchestrator (par exemple, les scripts de mise à niveau et de sauvegarde). Si la commande « purge » a été utilisée, vous pouvez restaurer les fichiers à l'aide des commandes suivantes :
- Accédez au dossier /opt/vcrepo/pool/main/v/vco-tools
- Installez le module d'outils de SASE Orchestrator depuis le dossier : « sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb ». Le nom du module vco-tools peut varier selon votre version. Vérifiez le nom de fichier correct à l'aide de la commande « ls vco-tools ».
Fuseau horaire NTP
Vous devez définir le fuseau horaire de SASE Orchestrator et de Gateway sur « Etc/UTC ».
vcadmin@vco1-example:~$ cat /etc/timezone Etc/UTC vcadmin@vco1-example:~$
echo "Etc/UTC" | sudo tee /etc/timezone sudo dpkg-reconfigure --frontend noninteractive tzdata
Décalage NTP
Le décalage NTP attendu est <= 15 millisecondes.
vcadmin@vco1-example:~$ sudo ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *ntp1-us1.prod.v 74.120.81.219 3 u 474 1024 377 10.171 -1.183 1.033 ntp1-eu1-old.pr .INIT. 16 u - 1024 0 0.000 0.000 0.000 vcadmin@vco1-example:~$
sudo service ntp stop sudo ntpdate <server> sudo service ntp start
Stockage SASE Orchestrator
Lors du déploiement initial de SASE Orchestrator, trois partitions sont créées : /, /store, /store2, /store3 (version 4.0 et ultérieures). Les partitions sont créées avec des tailles par défaut. Suivez les instructions de la section intitulée « Augmentation du stockage dans SASE Orchestrator » pour obtenir des conseils relatifs à la modification des tailles par défaut afin qu'elles correspondent à la conception.
Tâches supplémentaires
- Configurer les propriétés système.
- Configurer le profil d'opérateur initial.
- Configurer les comptes d'opérateur.
- Créer Passerelles SD-WAN Gateway.
- Configurer SASE Orchestrator.
- Créer le compte client/compte partenaire.
Les configurations indiquées dans la liste ci-dessus sont hors propos de ce document et sont disponibles dans les guides de déploiement de la documentation de VMware. Des instructions détaillées sont disponibles dans la section « Installer SASE Orchestrator » du Guide de déploiement et de surveillance de VMware SASE Orchestrator.
Opérations du 2e jour
Sauvegarde de SASE Orchestrator
Cette section fournit les mécanismes disponibles pour la sauvegarde périodique de la base de données SASE Orchestrator afin de récupérer à partir d'erreurs d'opérateur ou d'une défaillance irrémédiable des instances d'Orchestrator active et en veille.
N'oubliez pas que la fonctionnalité de récupération d'urgence ou DR est la méthode de récupération préférée. Elle fournit un objectif de point de récupération proche de zéro, car toutes les configurations sur l'instance d'Orchestrator active sont répliquées instantanément. Pour plus d'informations sur la fonctionnalité de récupération d'urgence, reportez-vous à la section suivante.
Sauvegarde à l'aide du script intégré
SASE Orchestrator fournit un mécanisme de sauvegarde de la configuration intégré pour sauvegarder périodiquement la configuration afin de récupérer à partir d'erreurs d'opérateur ou d'une défaillance irrémédiable des instances d'Orchestrator active et en veille. Le mécanisme est piloté par script et se trouve dans /opt/vc/scripts/db_backup.sh.
Le script effectue essentiellement un vidage mémoire de la base de données et des événements de configuration, tout en excluant certaines tables de surveillance volumineuses lors du processus de vidage mémoire de la base de données. Une fois le script exécuté, les fichiers de sauvegarde sont créés dans le chemin d'accès du répertoire local fourni comme entrée au script ci-dessus.
La sauvegarde comporte deux fichiers .gzs, l'un contenant la définition de schéma de la base de données et l'autre contenant les données réelles sans définition. L'administrateur doit s'assurer que l'emplacement du répertoire de sauvegarde dispose de suffisamment d'espace disque pour la sauvegarde.
Meilleures pratiques
- Montez un emplacement distant et configurez le script de sauvegarde dans celui-ci. L'emplacement distant doit disposer du même stockage que /store si les flux sont également en cours de sauvegarde.
- Avant d'utiliser le script de sauvegarde, vérifiez l'état de réplication de la récupération d'urgence (DR) sur la page de réplication de SASE Orchestrator. Ils doivent être synchronisés sans erreur.
- En outre, exécutez une requête MySQL et vérifiez la balise de réplication.
- SHOW SLAVE STATUS \G
- Dans la requête ci-dessus, examinez le champ seconds_behind_master. Idéalement, il doit avoir une valeur de zéro, mais une valeur inférieure à 10 suffit également.
- Pour les instances de SASE Orchestrator volumineuses, il est recommandé d'utiliser l'instance en veille pour l'exécution du script de sauvegarde. La sauvegarde générée à partir des deux instances de SASE Orchestrator ne présente aucune différence.
Mises en garde- Le script n'effectue qu'une sauvegarde de la configuration. Les statistiques ou les événements de flux ne sont pas inclus.
- La restauration de la configuration nécessite l'aide de l'équipe de support/d'ingénierie.
- Quelle est la durée d'exécution du script ?
La durée de la sauvegarde dépend de l'échelle de la configuration réelle du client. Étant donné que les tables de surveillance sont exclues de l'opération de sauvegarde, l'opération de sauvegarde de la configuration doit se terminer rapidement. Pour une instance de SASE Orchestrator volumineuse comportant des milliers de dispositifs SD-WAN Edge et de nombreux événements historiques, elle peut prendre une heure maximum. Par contre, une instance de SASE Orchestrator plus petite doit se terminer en quelques minutes.
- Quelle est la fréquence d'exécution recommandée du script de sauvegarde ?
Vous pouvez déterminer la fréquence de l'opération de sauvegarde en fonction de la taille et de la durée d'exécution de la sauvegarde initiale. Vous devez planifier l'opération de sauvegarde pour s'exécuter pendant les heures creuses afin de réduire l'incidence sur les ressources de SASE Orchestrator.
- Que se passe-t-il si le système de fichiers racine ne dispose pas de suffisamment d'espace pour la sauvegarde ?
Il est recommandé d'utiliser d'autres volumes montés pour stocker la sauvegarde. Notez qu'il n'est pas recommandé d'utiliser le système de fichiers racine pour la sauvegarde.
- Comment vérifier si l'opération de sauvegarde est terminée ?
Les scripts stdout et stderr doivent suffire à déterminer la réussite ou l'échec de l'opération de sauvegarde. Si l'appel du script est automatique, le code de sortie peut déterminer la réussite ou l'échec de l'opération de sauvegarde.
- Comment la configuration est-elle récupérée ?
Actuellement, VMware exige que le client collabore avec le support VMware pour récupérer les données de configuration. Le support VMware vous aide à récupérer la configuration du client. Les clients doivent s'abstenir d'effectuer des modifications de configuration supplémentaires tant que la configuration n'est pas restaurée.
- Quelle est l'incidence exacte de l'exécution de ce script ?
Même si une sauvegarde de la configuration doit avoir une faible incidence sur les performances, il y aura une augmentation de l'utilisation des ressources pour le processus MySQL. Il est recommandé d'exécuter la sauvegarde pendant les heures creuses.
- Les modifications de configuration sont-elles autorisées lors de l'exécution de l'opération de sauvegarde ?
Il est possible d'effectuer des modifications de la configuration lorsque l'opération de sauvegarde est en cours d'exécution. Cependant, il est recommandé de n'effectuer aucune opération de configuration pendant la sauvegarde pour garantir des sauvegardes à jour.
- La configuration peut-elle être restaurée sur l'instance de SASE Orchestrator d'origine ou nécessite-t-elle une nouvelle instance de SASE Orchestrator ?
Oui, vous pouvez restaurer la configuration (idéalement vous devez le faire) sur la même instance de SASE Orchestrator si elle est disponible. Cela permet de garantir l'utilisation des données de surveillance à la fin de l'opération de restauration. Si vous ne pouvez pas récupérer l'instance de SASE Orchestrator d'origine et si l'instance d'Orchestrator en veille est inactive, vous pouvez restaurer la configuration sur une nouvelle instance de SASE Orchestrator. Dans cette instance, les données de surveillance seront perdues.
- Quelles actions doivent être effectuées en cas de restauration de la configuration sur une nouvelle instance de SASE Orchestrator ?
Contactez le support VMware pour connaître l'ensemble des actions recommandées sur la nouvelle instance de SASE Orchestrator, car les étapes varient selon le déploiement réel.
- Les dispositifs Dispositifs SD-WAN Edge doivent-ils être réenregistrés sur l'instance de SASE Orchestrator récemment restaurée ?
Non, l'enregistrement des dispositifs Dispositifs SD-WAN Edge n'est pas nécessaire sur la nouvelle instance de SASE Orchestrator, car toutes les informations nécessaires sont conservées dans le cadre de la sauvegarde.
Récupération d'urgence de SASE Orchestrator
États
- Autonome (aucune récupération d'urgence configurée).
- Active (Récupération d'urgence configurée, agissant comme le serveur SASE Orchestrator principal)
- En veille (Récupération d'urgence configurée, agissant comme un serveur réplica SASE Orchestrator inactif)
- Zombie (récupération d'urgence précédemment configurée et active, mais ne fonctionnant plus comme instance active ou en veille)
Phases | Rôle A SASE Orchestrator | Rôle B SASE Orchestrator |
---|---|---|
Initiale | Autonome | Autonome |
Couplage | Actif (Active) | En veille |
Basculement | Zombie | Autonome |
- Localisez la récupération d'urgence de SASE Orchestrator dans un centre de données séparé géographiquement.
- Avant de promouvoir une instance d'Orchestrator en veille comme active, confirmez la synchronisation de l'état de réplication de la récupération d'urgence. L'instance d'Orchestrator précédemment active ne pourra plus gérer l'inventaire et la configuration.
- Si l'instance en veille peut communiquer avec l'instance d'Orchestrator précédemment active, elle demande à cette instance d'Orchestrator de passer à l'état de zombie. À l'état Zombie, SASE Orchestrator communique avec ses clients (dispositifs Dispositifs SD-WAN Edge, passerelles Passerelles SD-WAN Gateway, interface utilisateur/API) pour leur signaler qu'il n'est plus actif et qu'ils doivent communiquer avec la nouvelle instance de SASE Orchestrator promue.
- Si l'instance en veille promue ne peut pas communiquer avec l'instance d'Orchestrator précédemment active, l'opérateur doit, si possible, rétrograder manuellement l'instance précédemment active.
- Des instructions détaillées sont disponibles dans la documentation officielle de SASE Orchestrator sur la page docs.vmware.com sous « Configurer la récupération d'urgence de SASE Orchestrator ».
Procédure de mise à niveau pour SASE Orchestrator
- Le support VMware vous aidera dans la mise à niveau. Collectez les informations suivantes avant de contacter le support VMware.
- Fournissez les versions de SASE Orchestrator actuelle et cible, par exemple : version actuelle (c'est-à-dire 3.4.2), version cible (3.4.3).
Note : Pour la version actuelle, ces informations sont disponibles dans le coin supérieur droit de SASE Orchestrator en cliquant sur le lien Aide (Help) et en choisissant À propos (About).
- Fournissez une capture d'écran du tableau de bord de réplication de SASE Orchestrator, comme indiqué ci-dessous.
- Type et version de l'hyperviseur (c'est-à-dire, vSphere 6.7)
- Commandes de SASE Orchestrator (vous devez exécuter les commandes en tant que racine [par exemple « sudo <command> » ou « sudo -i »] :)
- Disposition de LVM
- pvdisplay -v
- vgdisplay -v
- lvdisplay -v
- df -h
- cat /etc/fstab
- Informations sur la mémoire
- free -m
- cat /proc/meminfo
- ps -ef
- top -b -n 2
- Informations sur le CPU
- cat /proc/cpuinfo
- Copie de /var/log
- tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log
- À partir de l'instance d'Orchestrator en veille :
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
- À partir de l'instance active d'Orchestrator :
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
- Disposition de LVM
- Fournissez les versions de SASE Orchestrator actuelle et cible, par exemple : version actuelle (c'est-à-dire 3.4.2), version cible (3.4.3).
- Contactez le support VMware SD-WAN à l'adresse https://kb.vmware.com/s/article/53907 en vous munissant des informations susmentionnées pour obtenir de l'aide pour la mise à niveau de SASE Orchestrator.
- Des directives relatives au snapshot ESXi sont fournies dans la section suivante au cas où le client souhaiterait une solution de restauration rapide après une mise à niveau.
Snapshot ESXi
Vous pouvez utiliser la fonctionnalité de snapshot ESXi avant les mises à niveau de SASE Orchestrator pour fournir une restauration rapide vers la version de SASE Orchestrator précédente.
Meilleures pratiques du snapshot ESXi
- Vous devez mettre hors tension les instances d'Orchestrator en veille et active avant toute exécution ou restauration à partir du snapshot pour éviter des incohérences de la base de données.
- Vous devez effectuer toutes les tâches liées au snapshot dans les instances d'Orchestrator en veille et active pour éviter des incohérences de base de données.
- Il est essentiel de consolider le snapshot en cas de réussite du processus de mise à niveau. Le fichier de snapshot devient plus volumineux lorsqu'il est conservé pendant une période plus longue. L'espace de l'emplacement de stockage du snapshot peut alors être insuffisant et cela peut avoir une incidence sur les performances.
- Désactivez la gestion des alertes dans SASE Orchestrator tout en créant des snapshots pour éviter de fausses alarmes.
- N'utilisez pas un snapshot unique pendant plus de 72 heures.
- Il n'est pas recommandé d'utiliser des snapshots comme sauvegardes.
- La validation des fonctionnalités a été effectuée avec ESXi 6.7 et SASE Orchestrator version 3.4.4.
Les meilleures pratiques du snapshot VMware sont disponibles dans l'article de la base de connaissances suivant : https://kb.vmware.com/s/article/1025279
Créer un snapshot ESXi
- Désactivez les propriétés système d'alerte, de notification et de surveillance sur l'instance d'Orchestrator active. La durée approximative est de 10 minutes.
- Dans le portail de l'opérateur, cliquez sur Propriétés système (System Properties). Passez les propriétés système suivantes sur false.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Dans le portail de l'opérateur, cliquez sur Propriétés système (System Properties). Passez les propriétés système suivantes sur false.
- Désactivez la propriété système d'alerte, de notification et de surveillance sur l'instance d'Orchestrator active.
- Passez les propriétés système suivantes sur false.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Passez les propriétés système suivantes sur false.
- Mettez hors tension l'instance d'Orchestrator active.
Accédez à ESXi/vCenter → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Mettre hors tension (Power Off).
- Mettez hors tension l'instance d'Orchestrator en veille.
Accédez à ESXi/vCenter → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Mettre hors tension (Power Off).
- Prenez un snapshot de l'instance d'Orchestrator active. Vérifiez que la VM est hors tension avant d'effectuer cette étape.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Snapshots → Prendre un snapshot (Take Snapshot).
- Prenez un snapshot de l'instance d'Orchestrator en veille. Vérifiez que la VM est hors tension avant d'effectuer cette étape.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Snapshots → Prendre un snapshot (Take Snapshot).
Consolidation du snapshot ESXi
- Après avoir confirmé la réussite de la mise à niveau sur les instances d'Orchestrator active et en veille, vous pouvez consolider les snapshots à partir de l'instance d'Orchestrator active.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Snapshots → Gestionnaire de snapshots (Snapshot Manager) → Tout supprimer (Delete All).
- Consolidez le snapshot dans l'instance d'Orchestrator en veille.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Snapshots → Gestionnaire de snapshots (Snapshot Manager) → Tout supprimer (Delete All).
- Réactivez les propriétés système d'alerte, de notification et de surveillance sur les instances d'Orchestrator active et en veille.
Dans le portail de l'opérateur, cliquez sur Propriétés système (System Properties). Passez les propriétés système suivantes sur true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Si la suppression de tous les snapshots ne fonctionne pas avec vSphere 6.x/7.x, vous pouvez essayer de consolider les snapshots. Pour plus d'informations, reportez-vous à la section Consolider les snapshots de la documentation du produit vSphere.
Restaurer à partir du snapshot ESXi
- Mettez hors tension l'instance d'Orchestrator active.
Accédez à ESXi/vCenter → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Mettre hors tension (Power Off).
- Mettez hors tension l'instance d'Orchestrator en veille.
Accédez à ESXi/vCenter → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Mettre hors tension (Power Off).
- Restaurez le snapshot de l'instance d'Orchestrator active.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Snapshots → Gérer les snapshots (Manage Snapshots).
Sélectionnez le snapshot sur lequel vous souhaitez restaurer la VM → Revenir à (Revert to) (Voir l'image ci-dessous).
- Restaurez le snapshot de l'instance d'Orchestrator en veille.
Accédez à ESXi → VM Orchestrator (Orchestrator VM) → Actions → Alimentation (Power) → Snapshots → Gérer les snapshots (Manage Snapshots).
Sélectionnez le snapshot sur lequel vous souhaitez restaurer la VM → Revenir à (Revert to).
- Réactivez les propriétés système d'alerte, de notification et de surveillance sur les instances d'Orchestrator active et en veille. Dans le portail de l'opérateur, cliquez sur Propriétés système (System Properties). Passez les propriétés système suivantes sur true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Mise à niveau logicielle mineure du contrôleur (par exemple de la version 3.3.2 P3 vers la version 3.4.4)
Le fichier de mise à niveau logicielle contient des mises à jour de la passerelle et du système. N'exécutez PAS « apt-get update && apt-get –y upgrade ».
Avant de procéder à la mise à niveau du contrôleur VMware SD-WAN, assurez-vous que SASE Orchestrator a été mis à niveau avant vers la même version ou vers une version ultérieure.
- Téléchargez le module de mise à jour du contrôleur SD-WAN.
- Chargez l'image vers le stockage du contrôleur SD-WAN (à l'aide de la commande SCP, par exemple). Copiez l'image vers l'emplacement suivant sur le système : /var/lib/velocloud/software_update/vcg_update.tar.
- Connectez-vous à la console du contrôleur SD-WAN et exécutez :
sudo /opt/vc/bin/vcg_software_update
root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> Resolving ftpsite.vmware.com (ftpsite.vmware.com)... Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [application/octet-stream] Saving to: 'vcg_update.tar' [ <=> ] 325,939,200 3.81MB/s in 82s 2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update =========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a Ign file: trusty InRelease Ign file: trusty Release.gpg Get: 1 file: trusty Release [2,668 B] Ign file: trusty/main Translation-en_US Ign file: trusty/main Translation-en (...) Writing extended state information... Reading package lists... Building dependency tree... Reading state information... Reading extended state information... Initializing package states... update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic Reboot is required. Reboot? (y/n) [y]:
Mise à niveau logicielle principale du contrôleur (par exemple de la version 3.3.2 ou 3.4 vers la version 4.0)
- Nouvelle disposition de disque système basée sur LVM pour procurer plus de flexibilité en matière de gestion des volumes
- Nouvelle version du noyau
- Modules de système d'exploitation de base nouveaux et mis à niveau
- Amélioration de la sécurisation renforcée sur la base des évaluations du Center for Internet Security
En raison de ces modifications, la procédure de mise à niveau standard qui utilise le script de mise à niveau ne fonctionne pas. Une procédure de mise à niveau particulière est requise. Elle se trouve dans le manuel du produit ci-dessous. Cette procédure vise à remplacer la VM Gateway version 3.3.2 ou 3.4 par la nouvelle VM Gateway version 4.0. Reportez-vous au document suivant : Mise à niveau et migration de la passerelle partenaire VMware SD-WAN de la version 3.3.2 ou 3.4 vers la version 4.0
Cette procédure de mise à niveau nécessite la configuration de la propriété système de SASE Orchestrator, que seuls les comptes d'opérateur de SASE Orchestrator peuvent exécuter. Créez un ticket de support avec l'équipe de support VMware pour demander la modification de la propriété système.
Surveillance
- Surveillance du contrôleur SD-WAN
Vous pouvez surveiller l'état et les données d'utilisation des contrôleurs disponibles dans le portail de l'opérateur.
La procédure est la suivante :
- Dans le portail de l'opérateur, cliquez sur Passerelles (Gateways).
- La page Passerelles (Gateways) affiche la liste des contrôleurs disponibles.
- Cliquez sur le lien d'accès à une passerelle. Les détails du contrôleur sélectionné s'affichent.
- Cliquez sur l'onglet Surveiller (Monitor) pour afficher les données d'utilisation du contrôleur sélectionné.
L'onglet Surveiller (Monitor) du contrôleur sélectionné affiche les détails suivants, comme indiqué sur l'image ci-dessous.
Vous pouvez choisir une période spécifique pour afficher les détails du contrôleur pendant la durée sélectionnée en haut de la page.
Cette page affiche une représentation graphique des détails d'utilisation des paramètres suivants pendant la durée de la période sélectionnée, ainsi que les valeurs minimale, maximale et moyenne.
Utilisation | Description |
---|---|
Pourcentage du CPU (CPU Percentage) | Pourcentage d'utilisation du CPU |
Utilisation de la mémoire (Memory Usage) | Pourcentage d'utilisation de la mémoire |
Nombre de flux (Flow Counts) | Nombre de flux de trafic |
Handoff Queue drops | Nombre de paquets abandonnés en raison du transfert mis en file d'attente |
Nombre de tunnels (Tunnel Count) | Nombre de sessions du tunnel |
- Valeurs recommandées à surveiller pour le contrôleur de SD-WAN Gateway
La liste suivante affiche les valeurs à surveiller et leurs seuils. La liste ci-dessous est indiquée comme point de départ et n'est pas exhaustive. Certains déploiements peuvent nécessiter l'évaluation de composants supplémentaires, tels que les flux, la perte de paquets, etc.
Chaque fois qu'un seuil d'avertissement est atteint, il est recommandé de vérifier la configuration actuelle de l'échelle du périphérique et d'ajouter davantage de ressources si nécessaire. Lorsqu'une alarme critique est déclenchée, il est indispensable de contacter les représentants du support VMware pour vérifier la solution et fournir des conseils complémentaires.
Tableau 4. Valeurs recommandées à surveiller Vérification du service Description de la vérification du service Seuil d'avertissement Seuil critique Charge du CPU Vérifiez la charge système. 60 80 Mémoire Vérifie le tampon d'utilisation de la mémoire, le cache et la mémoire utilisée. 70 80 Tunnels Nombre de tunnels à partir des dispositifs Dispositifs SD-WAN Edge connectés. 60 % de l'échelle maximale 80% de l'échelle maximale Remarque : une perte soudaine de tous les tunnels ou une faible quantité anormale doit également vous préoccuper.
Abandons de transfert En raison de la nature occupée du trafic via un contrôleur, des abandons occasionnels sont attendus. Des abandons cohérents dans des files d'attente spécifiques indiquent un problème de capacité. Espace disque Utilisation actuelle du disque 40 % de libres 20% de libres NTP du contrôleur Vérifier le décalage de temps Décalage de 5 secondes Décalage de 10 secondes
- Intégration SASE Orchestrator à des piles de surveillance
SASE Orchestrator est fourni avec une pile de surveillance de mesures système intégrée, qui peut être associée à un collecteur de mesures externe et une base de données de séries chronologiques. La pile de surveillance vérifie rapidement la condition de santé et la charge du système de SASE Orchestrator.
-
- Pour activer la pile de surveillance, exécutez la commande suivante sur Orchestrator :
sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Pour vérifier l'état de la pile de surveillance, exécutez la commande suivante :
sudo /opt/vc/scripts/vco_observability_manager.sh status
- Pour désactiver la pile de surveillance, exécutez :
sudo /opt/vc/scripts/vco_observability_manager.sh disable
- Pour activer la pile de surveillance, exécutez la commande suivante sur Orchestrator :
- Collecteur de mesures
Telegraf est utilisé comme collecteur de mesures système de SASE Orchestrator, qui comporte de nombreux plug-ins pour collecter des mesures système différentes. Les mesures suivantes sont activées par défaut.
Tableau 5. Collecteur de mesures Nom de la mesure Description Pris en charge dans la version inputs.cpu Mesures sur l'utilisation du CPU. 3.4/4.0 inputs.mem Mesures sur l'utilisation de la mémoire. 3.4/4.0 inputs.net Mesures sur les interfaces réseau. 4.0 inputs.system Mesures sur la charge du système et le temps d'activité. 4.0 inputs.processes Nombre de processus regroupés par état. 4.0 inputs.disk Mesures sur l'utilisation du disque. 4.0 inputs.diskio Mesures concernant les E/S de disque par périphérique. 4.0 inputs.procstat Utilisation du CPU et de la mémoire pour des processus spécifiques. 4.0 inputs.nginx Informations sur l'état de base de Nginx (ngx_http_stub_status_module). 4.0 inputs.mysql Données statistiques du serveur MySQL. 3.4/4.0 inputs.redis Mesures d'un ou de plusieurs serveurs Redis. 3.4/4.0 inputs.statds API et mesures système. 3.4/4.0 (des mesures supplémentaires sont incluses dans la version 4.0) inputs.filecount Nombre et taille totale des fichiers dans les répertoires spécifiés. 4.0 inputs.ntpq Mesures de requête NTP standard, nécessite un exécutable ntpq. 4.0 Inputs.x509_cert Mesures d'un certificat SSL. 4.0 Pour activer davantage de mesures ou désactiver certaines mesures activées, vous pouvez modifier le fichier de configuration de Telegraf sur SASE Orchestrator en procédant comme suit :
sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf
sudo systemctl restart telegraf
- Base de données de séries chronologiques
Vous pouvez utiliser une base de données de séries chronologiques pour stocker les mesures système collectées par Telegraf. Une base de données de séries chronologiques (TSDB) est une base de données optimisée pour les données de séries chronologiques.
- Agent de tableau de bord/d'alerte
L'agent de tableau de bord et d'alerte permet d'interroger, de visualiser, d'alerter et d'explorer les données stockées dans la TSDB. L'image est un exemple de tableau de bord qui utilise Telegraph (une TSDB et un moteur de tableau de bord) que vous pouvez créer pour surveiller la solution.
- Configuration de la base de données de séries chronologiques
Suivez les instructions ci-dessous pour configurer la base de données de séries chronologiques.
- Ajoutez l'entrée iptables pour permettre aux systèmes de surveillance externes d'accéder au port Telegraf. Vous devez spécifier l'adresse IP source pour des raisons de sécurité.
- Exemple. L'adresse IP du système de surveillance externe est 191.168.0.200. Ajoutez « -A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment « allow telegraf port » -j ACCEPT » à /etc/iptables/rules.v4
- Redémarrez iptables.
sudo service iptables-persistent restart (Orchestrator 3.4.x)
sudo systemctl restart netfilter-persistent (Orchestrator 4.x)
- Assurez-vous que l'entrée iptables est ajoutée.
- Ajoutez les détails de la base de données de séries chronologiques dans la configuration de Telegraf. Créez un fichier de configuration de sortie. L'exemple avec Prometheus est le suivant :
/etc/telegraf/telegraf.d/prometheus_out.conf
- Valeurs recommandées de SASE Orchestrator à surveiller
La liste suivante affiche une liste des valeurs à surveiller et leurs seuils. La liste ci-dessous est fournie comme point de départ, car elle n'est pas exhaustive. Certains déploiements peuvent nécessiter l'évaluation de composants supplémentaires, tels que les transactions de base de données, les sauvegardes automatiques, etc.
Chaque fois qu'un seuil d'avertissement est atteint, il est recommandé de vérifier la configuration actuelle de l'échelle du périphérique et d'ajouter davantage de ressources si nécessaire. Lorsqu'une alarme critique est déclenchée, il est crucial de contacter les représentants du support VMware pour vérifier la solution et donner des conseils complémentaires.Tableau 6. Surveiller les valeurs et les seuils Vérification du service Description de la vérification du service Seuil d'avertissement Seuil critique Charge du CPU Vérifiez la charge système : plug-in d'entrée Telegraf : inputs.cpu. 60 70 Mémoire Vérifie le tampon d'utilisation de la mémoire, le cache et la mémoire utilisée : plug-in d'entrée Telegraf : inputs.memory. 70 80 Utilisation du disque Utilisation du disque dans les différentes partitions d'Orchestrator, /, /store, /store2 et /store3 (versions 4.0 et ultérieures) – plug-in d'entrée Telegraf : inputs.disk (versions 4.0 et ultérieures). 40 % de libres 20% de libres Serveur MySQL Vérifie les connexions MySQL - plug-in d'entrée Telegraf : inputs.mysql. Au-delà de 80 % du nombre maximal de connexions défini dans mysql.conf(/etc/mysql/my.cnf) Heure de SASE Orchestrator Vérifier le décalage de temps - plug-in d'entrée Telegraf : inputs.ntpq (version 4.0 et ultérieures). Décalage de 5 secondes Décalage de 10 secondes Certificat SSL de SASE Orchestrator Vérifie l'expiration du certificat - plug-in d'entrée Telegraf : inputs.x509_cert (version 4.0 et ultérieures). 60 jours 30 jours Internet de SASE Orchestrator (non applicable pour les topologies MPLS uniquement) Vérifiez l'accès à Internet. Temps de réponse > 5 s Temps de réponse > 10 s HTTP de SASE Orchestrator Assurez-vous que HTTP sur localhost répond. Localhost ne répond pas. Nombre total de certificats de SASE Orchestrator Vérifier le total – exemple de requête mysql : SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()
CRL Lorsque le nombre total de certificats dépasse 5 000 État de réplication de la récupération d'urgence Confirmez que l'instance d'Orchestrator en veille est à jour. Vérifiez que SASE Orchestrator en récupération d'urgence ne dépasse pas 1 000 secondes après l'instance d'Orchestrator active. Seconds_Behind_Master : à partir de la commande mysql : show slave STATUS\G;
Delta de la passerelle du dispositif SD-WAN Edge de réplication en récupération d'urgence (DR) Vérifiez que les dispositifs Dispositifs SD-WAN Edge et les passerelles Passerelles SD-WAN Gateway peuvent communiquer avec SASE Orchestrator en récupération d'urgence (DR). Des valeurs différentes entre les instances d'Orchestrator active et en veille peuvent être dues à une différence du fuseau horaire des dispositifs Dispositifs SD-WAN Edge et des passerelles Passerelles SD-WAN Gateway.
La même quantité de dispositifs Dispositifs SD-WAN Edge qui communiquent avec l'instance d'Orchestrator active doit être en mesure d'accéder à l'instance d'Orchestrator en veille. Vous pouvez cocher cette valeur dans l'onglet « réplication » (replication) ou via l'API.
Meilleures pratiques des API
- Portail de SASE Orchestrator
Le portail de SASE Orchestrator permet aux administrateurs réseau (ou aux scripts et aux applications agissant en leur nom) de gérer la configuration du réseau et des périphériques, et d'interroger l'état actuel ou historique de ces derniers. Les clients API peuvent interagir avec le portail via une interface JSON-RPC ou une interface de type REST. Il est possible d'appeler toutes les méthodes décrites dans ce document à l'aide de l'une des deux interfaces. Il n'existe aucune fonctionnalité de portail pour laquelle l'accès est limité exclusivement à des clients JSON-RPC ou des clients de type REST.
Les deux interfaces acceptent exclusivement des demandes HTTP POST. Toutes deux s'attendent également à ce que les corps de demandes, lorsqu'ils sont présents, soient au format JSON. En conformité avec RFC 2616, les clients sont davantage susceptibles d'affirmer formellement où cela est le cas à l'aide de l'en-tête de demande Content-Type, par exemple, Content-type : application/json.
Vous trouverez plus d'informations sur l'API VMware SD-WAN ici :
- Meilleures pratiques pour les entreprises et les fournisseurs de services utilisant des API
Voici quelques-unes des meilleures pratiques à respecter lors de l'utilisation des API :
- Dans la mesure du possible, les appels d'API agrégés doivent être préférés à ceux spécifiques à l'entreprise. Par exemple, vous pouvez utiliser un seul appel vers monitoring/getAggregateEdgeLinkMetrics pour récupérer les statistiques de transport sur tous les dispositifs Dispositifs SD-WAN Edge simultanément.
- VMware demande aux clients de limiter le nombre d'appels d'API à la volée à un moment donné, à moins d'une poignée (c'est-à-dire, < 2-4). Si un utilisateur estime qu'il est important de mettre en parallèle les appels d'API, VMware leur demande de contacter le support VMware pour discuter de solutions alternatives.
- Il est généralement recommandé d'interroger les données statistiques de l'API toutes les 10 minutes. Les nouvelles données statistiques parviennent à SASE Orchestrator toutes les 5 minutes. En raison d'une gigue dans la génération de rapports/le traitement, les clients interrogeant toutes les 5 minutes peuvent observer des cas « faux positifs » dans lesquels les statistiques ne sont pas reflétées dans les résultats des appels d'API. Les utilisateurs ont tendance à rechercher le meilleur résultat en utilisant des intervalles de demande d'une durée de 10 minutes maximum.
- Évitez d'interroger les mêmes informations deux fois.
- Utiliser le mode veille entre les API.
- Pour les automatisations de logiciels complexes, exécutez vos scripts et évaluez l'incidence sur le CPU/la mémoire.Effectuez des ajustements si nécessaire.
Configuration Syslog de SASE Orchestrator
Vous pouvez configurer la capacité de Syslog de VMware SASE Orchestrator indépendamment pour les processus d'Orchestrator suivants : Portail (Portal), Charger (Upload) et Principal (Backend).
- Portail (Portal) : le processus Portail (Portal) s'exécute en tant que serveur HTTP interne descendant de NGINX. Le service Portail (Portal) gère les demandes d'API entrantes, à partir de l'interface Web de SASE Orchestrator ou d'un client HTTP/SDK, principalement de manière synchrone. Ces demandes permettent aux utilisateurs authentifiés de configurer, de surveiller et de gérer les différents services fournis par SASE Orchestrator.
Ce journal est très utile pour les activités AAA, car il dispose de toutes les actions effectuées par les utilisateurs dans SASE Orchestrator.
Fichiers journaux : /var/log/portal/velocloud.log (consigne tous les journaux d'informations, d'avertissements et d'erreurs)
- Charger (Load) : le processus Charger (Load) s'exécute en tant que serveur HTTP interne descendant de NGINX. Le service Charger (Load) gère les demandes entrantes des dispositifs Dispositifs SD-WAN Edge et des passerelles Passerelles SD-WAN Gateway, de manière synchrone ou asynchrone. Ces demandes comportent principalement des activations, des pulsations, des statistiques de flux, des statistiques de liaisons et des informations de routage envoyées par des dispositifs Dispositifs SD-WAN Edge et des passerelles Passerelles SD-WAN Gateway.
Fichiers journaux : /var/log/upload/velocloud.log (consigne tous les journaux d'informations, d'avertissements et d'erreurs)
- Principal (Backend) : exécuteur de tâches qui effectue principalement des tâches planifiées ou en file d'attente. Les tâches planifiées comportent des activités de nettoyage, de cumul ou de mise à jour de l'état. Les tâches en file d'attente comportent le traitement de statistiques de liaisons et de flux.
Fichiers journaux : /var/log/backend/velocloud.log (consigne tous les journaux d'informations, d'avertissements et d'erreurs)
- Accédez à Propriétés système (System Properties) dans SASE Orchestrator, log.syslog.<server> (par exemple, log.syslog.portal). Accédez à SASE Orchestrator → Propriétés système (System Properties), puis entrez « log.syslog » dans la barre de recherche.
- Passez la valeur « enable »:false sur true pour un ou plusieurs serveurs. Modifiez l'adresse IP et le port de l'hôte en conséquence dans votre mise en œuvre.
Augmentation du stockage dans SASE Orchestrator
Des instructions détaillées pour augmenter le stockage dans SASE Orchestrator sont disponibles dans la documentation de SASE Orchestrator
à l'adresse https://docs.vmware.com/ sous « Installer SASE Orchestrator » et « Augmenter la taille du disque (VMware) ».
- Meilleures pratiques :
- Assurez-vous que la même distribution LVM est appliquée à l'instance d'Orchestrator en veille.
- Il n'est pas recommandé de réduire la taille des volumes après leur augmentation. Utilisez plutôt le provisionnement dynamique.
- Dans la version 3.4, lorsque vous augmentez la taille du disque, vous pouvez utiliser la distribution en pourcentage/valeur suivante :
- Volume « / » : ce volume est utilisé pour le système opérationnel. Les instances d'Orchestrator de production sont généralement définies sur 140 Go et disposent d'une utilisation de 40 à 60 %.
- /store et /store2 : la proportion appliquée dans les instances d'Orchestrator de production est proche de 85 % pour /store et de 15 % pour /store2.
- Les directives suivantes du tableau ci-dessous doivent être utilisées dans la version 4.x et ultérieures.
Taille de l'instance /store /store2 /store3 /var/log Petite (5000 Dispositifs SD-WAN Edge) 2 To 500 Go 8 To 15 Go Moyenne (10 000 Dispositifs SD-WAN Edge) 2 To 500 Go 12 Go 20 Go Grande (15 000 Dispositifs SD-WAN Edge) 2 To 500 Go 16 To 25 Go
Gestion des certificats dans SASE Orchestrator
SASE Orchestrator utilise un serveur de certificats intégré pour gérer le cycle de vie PKI global de tous les dispositifs Dispositifs SD-WAN Edge et des contrôleurs SD-WAN. Les certificats X.509 sont émis aux périphériques du réseau.
Pour obtenir des instructions détaillées sur la configuration de l'autorité de certification, reportez-vous à la documentation officielle de l'opérateur de VMware SD-WAN à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html sous « Installer SASE Orchestrator » et « Installer un certificat SSL ».
- Le plan de gestion TLS 1.2 établit un tunnel entre SASE Orchestrator et le contrôleur SD-WAN du dispositif SD-WAN Edge.
- Tunnels IKEv2/IPsec des plans de contrôle et de données entre les dispositifs SD-WAN Edge et entre le dispositif SD-WAN Edge et le contrôleur SD-WAN.
Liste de révocation des certificats
vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l 14 vcadmin@vcg1-example:~
Interaction du support
Notre organisation de support client fournit une assistance technique de niveau international 24 heures sur 24, 7 jours sur 7 et 365 jours par an et des conseils personnalisés aux clients de VMware SD-WAN.
- Bundles de diagnostics
Lors de l'examen d'un incident, vous pouvez créer un bundle de diagnostics de SASE Orchestrator et du contrôleur SD-WAN. Le fichier obtenu permet à l'équipe de support VMware d'analyser plus en détail les événements liés à un problème.
- Partager l'accès avec le support
Occasionnellement, l'assistance des représentants du support VMware pour l'instance de SASE Orchestrator et les contrôleurs SD-WAN peut être requise.
Voici les méthodes courantes permettant d'accorder l'accès :- Sessions distantes avec prise en charge : le client accorde le contrôle à distance au serveur d'accès SSH ou suit les instructions du représentant du support.
- Création d'un compte pour l'équipe de support dans SASE Orchestrator. Cela permet à l'équipe de support de collecter les journaux sans interaction client.
- Par le biais de l'hôte Bastion : les autorisations et les clés SSH peuvent être configurées pour permettre aux ingénieurs du support d'accéder à SASE Orchestrator et au contrôleur SD-WAN sur site à l'aide d'un hôte Bastion.
Lorsque vous contactez le support VMware SD-WAN pour vous aider dans le triage d'un problème, incluez les données décrites dans le tableau ci-dessous.
Vous trouverez plus d'informations au lien suivant : https://kb.vmware.com/s/article/53907
Requis | Suggéré |
---|---|
Numéro de dossier du partenaire | Début/arrêt du problème |
Adresse E-mail/numéro de téléphone de retour du partenaire | Adresse IP SRC/DST du flux affecté |
URL SASE Orchestrator | Port SRC/DST du flux affecté |
Nom du client dans SASE Orchestrator | Chemin de flux (E2E, E2GW, Direct) |
Incidence sur le client (élevée/moyenne/faible) | Nom(s) de la passerelle SD-WAN Gateway |
Nom(s) de SD-WAN Edge | Lien vers PCAP dans SASE Orchestrator |
Lien vers le bundle de diagnostics dans SASE Orchestrator | |
Brève description du problème | |
Analyse et assistance demandée |