Το VMware SASE Orchestrator αποθηκεύει και εξάγει μέσω API τις ευαίσθητες πληροφορίες σχετικά με τους πελάτες και τα δίκτυά τους. Για την προστασία των ευαίσθητων πληροφοριών πελατών εσωτερικής εγκατάστασης από εξωτερικές επιθέσεις και τον περιορισμό της πρόσβασης στα API τους, το VMware SD-WAN υποστηρίζει τη διαμόρφωση ενός Bastion Orchestrator (δημόσιο Orchestrator) σε μια αποστρατιωτικοποιημένη ζώνη (DMZ) με πρόσβαση Internet με σκοπό την προετοιμασία και ενεργοποίηση ενός SD-WAN Edge. Με ενεργοποιημένη τη λειτουργία του Bastion Orchestrator, ένας υπερχρήστης-χειριστής μπορεί να ενεργοποιήσει ένα παρεχόμενο Edge σε σχέση με το Bastion Orchestrator, χρησιμοποιώντας το κλειδί ενεργοποίησης που λαμβάνεται από το Orchestrator παραγωγής (ιδιωτικό). Στη συνέχεια, το ενεργοποιημένο Edge προβιβάζεται από το Bastion Orchestrator στο Orchestrator παραγωγής μέσω ενός ασφαλούς καναλιού επικοινωνίας.
Σημείωση: Στο έγγραφο αυτό, ο όρος «Bastion Orchestrator» χρησιμοποιείται εναλλάξ με τον όρο «δημόσιο Orchestrator» και ο όρος «Orchestrator παραγωγής» χρησιμοποιείται εναλλάξ με τον όρο «ιδιωτικό Orchestrator».
Το παρακάτω διάγραμμα απεικονίζει την αρχιτεκτονική και τη ροή εργασίας ενεργοποίησης του Bastion Orchestrator.
Η αρχιτεκτονική του Bastion Orchestrator αποτελείται από δύο παρουσίες Orchestrator σε επικοινωνία μεταξύ τους. Η δημόσια παρουσία του ζεύγους Bastion είναι το «Bastion Orchestrator» ενώ η ιδιωτική παρουσία είναι το «Orchestrator παραγωγής». Η ροή εργασίας ενεργοποίησης Bastion Orchestrator - Edge περιλαμβάνει τα ακόλουθα βήματα:
  1. Διαμόρφωση του Bastion Orchestrator
  2. Προετοιμασία του Orchestrator παραγωγής
  3. Προεργασία ενός SD-WAN Edge για το Bastion Orchestrator
  4. Ενεργοποίηση ενός SD-WAN Edge σε σχέση με το Bastion Orchestrator
  5. Προώθηση ενός ενεργοποιημένου Edge από το Bastion Orchestrator στο Orchestrator παραγωγής

Περιορισμοί

  • Κατά τη διαμόρφωση του Bastion, μπορείτε να προετοιμάσετε μόνο έναν λογαριασμό υπερχρήστη-χειριστή για το Bastion Orchestrator. Μόλις δημιουργηθεί η σύνδεση Bastion μεταξύ του Bastion και των Orchestrator παραγωγής, ο λογαριασμός υπερχρήστη-χειριστή μπορεί να χρησιμοποιηθεί σε έκτακτες περιπτώσεις για πρόσβαση στο Bastion Orchestrator. Ο υπερχρήστης-χειριστής που βρίσκεται σε στάδιο προεργασίας θα έχει πρόσβαση μόνο στη σελίδα ρύθμισης παραμέτρων του Bastion Orchestrator.
  • Η κατάργηση ζεύξης του Bastion Orchestrator από το Orchestrator παραγωγής (Επιστροφή σε μεμονωμένη λειτουργία - Return to Standalone Mode) δεν υποστηρίζεται.
  • Για την ενεργοποίηση ενός Edge, το Edge πρέπει να βρίσκεται σε λειτουργία «Λήψη πιστοποιητικού». Κατά τον προβιβασμό του Edge, για την ενεργοποίηση των συνδέσμων WAN με την πύλη, η πύλη πρέπει να βρίσκεται σε λειτουργία «Λήψη πιστοποιητικού» ή «Απαιτείται πιστοποιητικό».
  • Κατά τον προβιβασμό ενός Edge από το Bastion Orchestrator στο Orchestrator παραγωγής, αν θέλετε να αναβαθμίσετε το είδωλο λογισμικού Edge, βεβαιωθείτε ότι έχετε διαμορφώσει την ιδιότητα συστήματος vco.trusted.uuids στο Orchestrator παραγωγής ως εξής:
    [
    {
        "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
        "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
    }
]

    Όπου, τα uuid και sessionSecret είναι τιμές UUID και μυστικές τιμές περιόδου λειτουργίας του Bastion Orchestrator. Μπορείτε να λάβετε το UUID και το μυστικό περιόδου λειτουργίας από τις ιδιότητες συστήματος vco.uuid και session.secret, αντίστοιχα.

  • Μόλις ολοκληρωθεί η προεργασία και ενεργοποίηση της πύλης και των Edge στο Bastion Orchestrator, δεν μπορείτε να εκτελέσετε τους απομακρυσμένους διαγνωστικούς ελέγχους χρησιμοποιώντας το Orchestrator παραγωγής για την πύλη και τα Edge με προεργασία στο Bastion Orchestrator. Ωστόσο, μπορείτε να ζητήσετε και να δημιουργήσετε ένα απομακρυσμένο διαγνωστικό πακέτο από το Orchestrator παραγωγής.
  • Το προφίλ Bastion σε προεργασία, που έχει δημιουργηθεί με σκοπό την προεργασία ενός εταιρικού πελάτη στο Bastion Orchestrator, θα πρέπει να έχει ελάχιστη διαμόρφωση που σχετίζεται με τα καθολικά τμήματα. Όταν ενημερωθούν οι οντότητες προφίλ, μόνο οι ρυθμίσεις συσκευής, η επιχειρηματική πολιτική και το τείχος προστασίας στο καθολικό τμήμα θα συγχρονιστούν με το Bastion Orchestrator. Οι ακόλουθες διαμορφώσεις προφίλ δεν θα συγχρονιστούν με το Bastion Orchestrator:
    • Τμήματα εκτός του καθολικού τμήματος
    • Διαμορφώσεις τμημάτων δικτύου
    • Ομάδες αντικειμένων

Αποκατάσταση από καταστροφή για το Bastion Orchestrator

Ουσιαστικά, η λειτουργικότητα αποκατάστασης από καταστροφή (DR) υποστηρίζεται για το Orchestrator παραγωγής (ιδιωτικό), αλλά προς το παρόν δεν υποστηρίζεται για το Bastion Orchestrator (δημόσιο), καθώς δεν διαθέτει κατάσταση και λαμβάνει τις οδηγίες του από το Orchestrator παραγωγής.

Νέες υποστηριζόμενες δυνατότητες στην έκδοση 5.4.0

Στην έκδοση 5.4.0, οι ακόλουθες νέες δυνατότητες εισάγονται για το Bastion Orchestrator:
  • Δυνατότητα προβολής συμβάντων ενός Edge σε στάδιο προεργασίας από το Orchestrator παραγωγής μέσω του Bastion Orchestrator.
  • Δυνατότητα αίτησης διαγνωστικού πακέτου από το Orchestrator παραγωγής μέσω του Bastion Orchestrator ενός Edge σε στάδιο προεργασίας.
  • Εάν ένας προβιβασμός Edge αποτύχει για κάποιο λόγο, το Edge επιστρέφει στην τελευταία γνωστή καλή διαμόρφωση, δηλαδή συνδέεται ξανά με το Bastion.
  • Δυνατότητα διαμόρφωσης και αποστολής των πληροφοριών που σχετίζονται με την αναβάθμιση Edge (αναβαθμίσεις λογισμικού και υλικολογισμικού) στο Bastion Orchestrator κατά το στάδιο προεργασίας του SD-WAN Edge για το Bastion Orchestrator. Αυτό επιτρέπει στο Edge να αναβαθμιστεί αμέσως μετά την ενεργοποίηση του Edge σε σχέση με το Bastion Orchestrator. Για περισσότερες πληροφορίες, δείτε Προετοιμασία ενός SD-WAN Edge για το Bastion Orchestrator.