Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τις διαθέσιμες επιλογές για την παρακολούθηση, τη δημιουργία αντιγράφων ασφαλείας και την αναβάθμιση των εσωτερικών εταιρικών αναπτύξεων σε ένα σενάριο λειτουργίας δύο ημερών.
Επισκόπηση
- Απομόνωση της λύσης: Η ομάδα λειτουργιών του VMware Cloud δεν θα έχει πρόσβαση για εφαρμογή επειγουσών επιδιορθώσεων και αναβαθμίσεων.
- Οι περιορισμοί στη διαχείριση αλλαγών περιορίζουν τη συχνότητα της εφαρμογής ενημερώσεων κώδικα και των αναβαθμίσεων.
- Ακατάλληλη ή ανεπαρκής παρακολούθηση λύσεων: Αυτή η κατάσταση μπορεί να οφείλεται σε έλλειψη προσωπικού ικανού να διαχειριστεί την υποδομή, με αποτέλεσμα λειτουργικά ζητήματα, βραδύτερη επίλυση προβλημάτων και δυσαρέσκεια των πελατών.
Αυτή η προσέγγιση απαιτεί πάντα μια σημαντική επένδυση σε ανθρώπους και χρόνο για τη σωστή διαχείριση, λειτουργία και επιδιόρθωση. Ο παρακάτω πίνακας περιγράφει ορισμένα από τα στοιχεία που πρέπει να λαμβάνονται υπόψη κατά τη διαχείριση ενός συστήματος εσωτερικής εγκατάστασης.
Σύστημα | Περιγραφή (Description) | Ευθύνη φιλοξενούμενου VMware | Ευθύνη εσωτερικής εγκατάστασης |
---|---|---|---|
SD-WAN Orchestration | Πολιτική QoS εφαρμογής και δυναμικής εκχώρησης σύνδεσης | Ναι | Ναι |
Πολιτική ασφαλείας για εφαρμογές και συσκευές SD-WAN | Ναι | Ναι | |
Παροχή και αντιμετώπιση προβλημάτων συσκευών SD-WAN | Ναι | Ναι | |
Χειρισμός ειδοποιήσεων και συμβάντων SD-WAN | Ναι | Ναι | |
Παρακολούθηση απόδοσης συνδέσεων και χωρητικότητας | Ναι | Ναι | |
Υπερεπόπτης | Παρακολούθηση / ειδοποίηση | Όχι | Ναι |
Υπολογισμός και πόροι μνήμης | Όχι | Ναι | |
Εικονική δικτύωση και αποθήκευση | Όχι | Ναι | |
Αντίγραφα ασφαλείας | Όχι | Ναι | |
Αναπαραγωγή | Όχι | Ναι | |
Υποδομή | CPU, μνήμη, υπολογισμός | Όχι | Ναι |
Εναλλαγή και δρομολόγηση | Όχι | Ναι | |
Συστήματα παρακολούθησης και διαχείρισης | Όχι | Ναι | |
Σχεδιασμός χωρητικότητας | Όχι | Ναι | |
Αναβαθμίσεις λογισμικού/ενημερώσεις κώδικα | Όχι | Ναι | |
Αντιμετώπιση προβλημάτων εφαρμογής/υποδομής | Όχι | Ναι | |
Δημιουργία αντιγράφων ασφαλείας και υποδομή DR | Υποδομή αντιγράφων ασφαλείας | Όχι | Ναι |
Τακτικές δοκιμές του καθεστώτος δημιουργίας αντιγράφων ασφαλείας | Όχι | Ναι | |
Υποδομή DR | Όχι | Ναι | |
Δοκιμή DR | Όχι | Ναι |
Τα σενάρια λειτουργίας δύο ημερών για εταιρικές αναπτύξεις εσωτερικής εγκατάστασης εξηγούνται στις δύο παρακάτω ενότητες, αντίστοιχα (Λειτουργίες πρώτης ημέρας και Λειτουργίες δεύτερης ημέρας).
Λειτουργίες πρώτης ημέρας
Εγγραφή σε συμβούλους ασφαλείας
Οι σύμβουλοι ασφαλείας VMware τεκμηριώνουν την αποκατάσταση για θέματα ευπάθειας ασφαλείας που αναφέρονται στα προϊόντα VMware. Εγγραφείτε στην παρακάτω σύνδεση για να λάβετε μια ειδοποίηση, εάν απαιτείται ενέργεια σε ένα στοιχείο εσωτερικής εγκατάστασης.
https://www.vmware.com/security/advisories.html
Απενεργοποίηση του Cloud-init στο SASE Orchestrator
Η προέλευση δεδομένων περιέχει δύο ενότητες: μετα-δεδομένα και δεδομένα χρήστη. Τα μετα-δεδομένα περιλαμβάνουν το αναγνωριστικό παρουσίας και δεν πρέπει να αλλάζουν στη διάρκεια ζωής της παρουσίας, ενώ τα δεδομένα χρήστη είναι μια διαμόρφωση που εφαρμόζεται στην πρώτη εκκίνηση (για το αναγνωριστικό παρουσίας σε μετα-δεδομένα).
Μετά την πρώτη εκκίνηση, συνιστάται να απενεργοποιήσετε το αρχείο cloud-init για να επιταχύνετε την ακολουθία εκκίνησης του SASE Orchestrator. Για να απενεργοποιήσετε το cloud-init, εκτελέστε:
./opt/vc/bin/cloud_init_ctl -d
Δεν συνιστάται η «εκκαθάριση» του αρχείου cloud-init με την εντολή «apt purge cloud-init» (αυτή η διαδικασία δεν προκαλεί προβλήματα στον ελεγκτή VMware SD-WAN). Η εκκαθάριση του αρχείου cloud-init διαγράφει επίσης ορισμένα βασικά εργαλεία και δέσμες ενεργειών του SASE Orchestrator (για παράδειγμα, τις δέσμες ενεργειών αναβάθμισης και δημιουργίας αντιγράφων ασφαλείας). Σε περίπτωση που χρησιμοποιήθηκε η εντολή «εκκαθάρισης», μπορείτε να επαναφέρετε τα αρχεία χρησιμοποιώντας τις ακόλουθες εντολές:
- Μεταβείτε στο φάκελο /opt/vcrepo/pool/main/v/vco-tools
- Εγκαταστήστε το πακέτο εργαλείων του SASE Orchestrator από το φάκελο: «sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb». Το όνομα του πακέτου vco-tools ενδέχεται να αλλάξει ανάλογα με την έκδοση που χρησιμοποιείτε. Ελέγξτε το σωστό όνομα αρχείου με την εντολή «ls vco-tools».
Ζώνη ώρας NTP
Η ζώνη ώρας του SASE Orchestrator και της πύλης πρέπει να οριστεί σε «Etc/UTC».
vcadmin@vco1-example:~$ cat /etc/timezone Etc/UTC vcadmin@vco1-example:~$
echo "Etc/UTC" | sudo tee /etc/timezone sudo dpkg-reconfigure --frontend noninteractive tzdata
Μετατόπιση NTP
Η προσδοκία είναι ότι η μετατόπιση NTP θα είναι <= 15 χιλιοστά του δευτερολέπτου.
vcadmin@vco1-example:~$ sudo ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== *ntp1-us1.prod.v 74.120.81.219 3 u 474 1024 377 10.171 -1.183 1.033 ntp1-eu1-old.pr .INIT. 16 u - 1024 0 0.000 0.000 0.000 vcadmin@vco1-example:~$
sudo service ntp stop sudo ntpdate <server> sudo service ntp start
Χώρος αποθήκευσης (Storage) SASE Orchestrator
Κατά την αρχική ανάπτυξη του SASE Orchestrator, δημιουργούνται τρία διαμερίσματα: /, /store, /store2., /store3 (έκδοση 4.0 και νεότερες). Τα διαμερίσματα δημιουργούνται με προεπιλεγμένα μεγέθη. Ακολουθήστε τις οδηγίες της ενότητας με τίτλο «Αύξηση χώρου αποθήκευσης στο SASE Orchestrator» για καθοδήγηση σχετικά με την τροποποίηση των προεπιλεγμένων μεγεθών ώστε να ταιριάζουν με τη σχεδίαση.
Πρόσθετες εργασίες
- Διαμόρφωση ιδιοτήτων συστήματος.
- Ρύθμιση του αρχικού προφίλ χειριστή.
- Ρύθμιση λογαριασμών χειριστή.
- Δημιουργία Πύλες SD-WAN.
- Ρύθμιση του SASE Orchestrator.
- Δημιουργία του λογαριασμού πελάτη/λογαριασμού συνεργάτη.
Οι διαμορφώσεις στην παραπάνω λίστα δεν εμπίπτουν στο πεδίο εφαρμογής αυτού του εγγράφου και βρίσκονται στους οδηγούς ανάπτυξης στην τεκμηρίωση της VMware. Λεπτομερείς οδηγίες μπορείτε να βρείτε στον Οδηγός ανάπτυξης και παρακολούθησης VMware SASE Orchestrator, στην ενότητα με τίτλο, «Εγκατάσταση του SASE Orchestrator».
Λειτουργίες δεύτερης ημέρας
Δημιουργία αντιγράφου ασφαλείας του SASE Orchestrator
Αυτή η ενότητα παρέχει τους μηχανισμούς που είναι διαθέσιμοι για την περιοδική δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων του SASE Orchestrator για αποκατάσταση έπειτα από σφάλματα του χειριστή ή από καταστροφική αποτυχία τόσο του ενεργού Orchestrator όσο και του Orchestrator σε αναμονή.
Να θυμάστε ότι η δυνατότητα αποκατάστασης από καταστροφές ή DR είναι η προτιμώμενη μέθοδος αποκατάστασης. Παρέχει έναν στόχο σχεδόν μηδενικού σημείου αποκατάστασης, καθώς όλες οι διαμορφώσεις στο ενεργό Orchestrator αναπαράγονται αμέσως. Για περισσότερες λεπτομέρειες σχετικά με τη δυνατότητα αποκατάστασης από καταστροφές, ανατρέξτε στην επόμενη ενότητα.
Δημιουργία αντιγράφου ασφαλείας με χρήση της ενσωματωμένης δέσμης ενεργειών
Το SASE Orchestrator παρέχει έναν ενσωματωμένο μηχανισμό δημιουργίας αντιγράφου ασφαλείας της διαμόρφωσης για την περιοδική δημιουργία αντιγράφου ασφαλείας της διαμόρφωσης για αποκατάσταση έπειτα από σφάλματα του χειριστή ή από καταστροφική αποτυχία τόσο του ενεργού Orchestrator όσο και του Orchestrator σε αναμονή. Ο μηχανισμός βασίζεται σε δέσμες ενεργειών και βρίσκεται στη θέση /opt/vc/scripts/db_backup.sh.
Η δέσμη ενεργειών ουσιαστικά λαμβάνει ένα αντίγραφο βάσης δεδομένων των δεδομένων και των συμβάντων της διαμόρφωσης, ενώ αποκλείει ορισμένους από τους μεγάλους πίνακες παρακολούθησης κατά τη διαδικασία αντιγραφής της βάσης δεδομένων. Μόλις εκτελεστεί η δέσμη ενεργειών, δημιουργούνται αρχεία αντιγράφων ασφαλείας στη διαδρομή του τοπικού καταλόγου που παρέχεται ως είσοδος στην παραπάνω δέσμη ενεργειών.
Το αντίγραφο ασφαλείας αποτελείται από δύο αρχεία .gzs, το ένα περιέχει τον ορισμό του σχήματος βάσης δεδομένων και το άλλο περιέχει τα πραγματικά δεδομένα χωρίς ορισμό. Ο διαχειριστής θα πρέπει να διασφαλίσει ότι υπάρχει αρκετός χώρος στον δίσκο για το αντίγραφο ασφαλείας στη θέση του καταλόγου αντιγράφων ασφαλείας.
Βέλτιστες πρακτικές
- Συνδέστε μια απομακρυσμένη θέση και διαμορφώστε τη δέσμη ενεργειών δημιουργίας αντιγράφων ασφαλείας σε αυτήν. Η απομακρυσμένη θέση θα πρέπει να έχει τον ίδιο χώρο αποθήκευσης με το /store, εάν δημιουργούνται αντίγραφα ασφαλείας και για τις ροές.
- Πριν να χρησιμοποιήσετε τη δέσμη ενεργειών δημιουργίας αντιγράφων ασφαλείας, ελέγξτε την κατάσταση αναπαραγωγής της αποκατάστασης καταστροφών (DR) από τη σελίδα αναπαραγωγής του SASE Orchestrator. Θα πρέπει να είναι συγχρονισμένα και να μην υπάρχουν σφάλματα.
- Επιπλέον, εκτελέστε ένα ερώτημα MySQL και ελέγξτε την καθυστέρηση αναπαραγωγής.
- SHOW SLAVE STATUS \G (Εμφάνιση κατάστασης εξαρτημένου)
- Στο παραπάνω ερώτημα, εξετάστε το πεδίο seconds_behind_master. Ιδανικά, θα πρέπει να είναι μηδέν, αλλά και κάτω από 10 είναι επίσης αρκετό.
- Για τα μεγάλα SASE Orchestrator, συνιστάται να χρησιμοποιήσετε την εκτέλεση δέσμης ενεργειών Αναμονής για δημιουργία αντιγράφων ασφαλείας. Δεν θα υπάρχει διαφορά στο αντίγραφο ασφαλείας που δημιουργείται και από τα δύο SASE Orchestrator.
Προειδοποιήσεις- Η δέσμη ενεργειών λαμβάνει μόνο ένα αντίγραφο ασφαλείας της διαμόρφωσης. Δεν περιλαμβάνονται στατιστικά ροής ή συμβάντα.
- Η επαναφορά της διαμόρφωσης απαιτεί βοήθεια από την ομάδα υποστήριξης/μηχανικών.
- Πόσος χρόνος χρειάζεται για την εκτέλεση της δέσμης ενεργειών;
Η διάρκεια του αντιγράφου ασφαλείας εξαρτάται από την κλίμακα της πραγματικής διαμόρφωσης του πελάτη. Δεδομένου ότι οι πίνακες παρακολούθησης εξαιρούνται από τη λειτουργία δημιουργίας αντιγράφων ασφαλείας, αναμένεται ότι η λειτουργία δημιουργίας αντιγράφων ασφαλείας της διαμόρφωσης θα ολοκληρωθεί γρήγορα. Για ένα μεγάλο SASE Orchestrator με χιλιάδες SD-WAN Edge και πολλά ιστορικά συμβάντα, μπορεί να διαρκέσει έως και μία ώρα, ενώ ένα μικρότερο SASE Orchestrator θα πρέπει να ολοκληρωθεί μέσα σε λίγα λεπτά.
- Ποια είναι η συνιστώμενη συχνότητα εκτέλεσης της δέσμης ενεργειών δημιουργίας αντιγράφων ασφαλείας;
Ανάλογα με το μέγεθος και το χρόνο που απαιτείται για την ολοκλήρωση του αρχικού αντιγράφου ασφαλείας, μπορεί να προσδιοριστεί η συχνότητα της λειτουργίας δημιουργίας αντιγράφων ασφαλείας. Η λειτουργία δημιουργίας αντιγράφων ασφαλείας θα πρέπει να προγραμματιστεί να εκτελείται κατά τις ώρες εκτός αιχμής για να περιοριστεί ο αντίκτυπος στους πόρους του SASE Orchestrator.
- Τι συμβαίνει αν το ριζικό σύστημα αρχείων δεν έχει αρκετό χώρο για το αντίγραφο ασφαλείας;
Συνιστάται να χρησιμοποιούνται άλλοι συνδεδεμένοι τόμοι για την αποθήκευση του αντιγράφου ασφαλείας. Σημειώστε ότι δεν είναι η καλύτερη πρακτική να χρησιμοποιείται το ριζικό σύστημα αρχείων για το αντίγραφο ασφαλείας.
- Πώς μπορεί να επαληθεύσει κάποιος αν έχει ολοκληρωθεί με επιτυχία η λειτουργία δημιουργίας αντιγράφων ασφαλείας;
Οι ενδείξεις stdout και stderr της δέσμης ενεργειών θα πρέπει να αρκούν για να προσδιοριστεί η επιτυχία ή η αποτυχία της λειτουργίας δημιουργίας αντιγράφων ασφαλείας. Εάν η κλήση δέσμης ενεργειών είναι αυτοματοποιημένη, ο κωδικός εξόδου μπορεί να καθορίσει την επιτυχία ή την αποτυχία της λειτουργίας δημιουργίας αντιγράφων ασφαλείας.
- Πώς ανακτάται η διαμόρφωση;
Προς το παρόν, η VMware απαιτεί από τον πελάτη να συνεργαστεί με την Υποστήριξη VMware για την ανάκτηση των δεδομένων διαμόρφωσης. Η Υποστήριξη VMware θα σας βοηθήσει να ανακτήσετε τη διαμόρφωση του πελάτη. Οι πελάτες θα πρέπει να αποφεύγουν να κάνουν πρόσθετες αλλαγές διαμόρφωσης μέχρι να ανακτηθεί η διαμόρφωση.
- Ποιος είναι ο ακριβής αντίκτυπος της εκτέλεσης αυτής της δέσμης ενεργειών;
Παρόλο που ένα αντίγραφο ασφαλείας της διαμόρφωσης θα πρέπει να έχει μικρό αντίκτυπο στην απόδοση, θα υπάρξει αύξηση στη χρήση πόρων για τη διεργασία MySQL. Συνιστάται να εκτελείται η λειτουργία δημιουργίας αντιγράφου ασφαλείας τις ώρες εκτός αιχμής.
- Επιτρέπονται αλλαγές διαμόρφωσης κατά την εκτέλεση της λειτουργίας δημιουργίας αντιγράφων ασφαλείας;
Είναι ασφαλές να κάνετε αλλαγές διαμόρφωσης ενώ εκτελείται η λειτουργία δημιουργίας αντιγράφων ασφαλείας. Ωστόσο, για να διασφαλίσετε ότι θα είναι ενημερωμένα τα αντίγραφα ασφαλείας, συνιστάται να μην εκτελούνται λειτουργίες διαμόρφωσης κατά τη δημιουργία αντιγράφου ασφαλείας.
- Μπορεί να αποκατασταθεί η διαμόρφωση στο αρχικό SASE Orchestrator ή απαιτείται νέο SASE Orchestrator;
Ναι, η διαμόρφωση μπορεί, και ιδανικά θα πρέπει, να αποκατασταθεί στον ίδιο SASE Orchestrator, εάν είναι διαθέσιμος. Αυτό θα διασφαλίσει ότι τα δεδομένα παρακολούθησης θα χρησιμοποιηθούν μετά την ολοκλήρωση της λειτουργίας αποκατάστασης. Εάν δεν είναι δυνατή η αποκατάσταση του αρχικού SASE Orchestrator και το Orchestrator αναμονής είναι εκτός λειτουργίας, η διαμόρφωση μπορεί να αποκατασταθεί σε ένα νέο SASE Orchestrator. Σε αυτήν την περίπτωση, τα δεδομένα παρακολούθησης θα χαθούν.
- Ποιες ενέργειες πρέπει να ληφθούν σε περίπτωση που η διαμόρφωση πρέπει να αποκατασταθεί σε ένα νέο SASE Orchestrator;
Επικοινωνήστε με την Υποστήριξη VMware για το συνιστώμενο σύνολο ενεργειών στο νέο SASE Orchestrator, καθώς τα βήματα διαφέρουν, ανάλογα με την εκάστοτε ανάπτυξη.
- Τα SD-WAN Edges πρέπει να καταχωρηθούν εκ νέου στο πρόσφατα αποκαταστημένο SASE Orchestrator;
Όχι, δεν απαιτείται καταχώρηση των SD-WAN Edges στο νέο SASE Orchestrator, καθώς όλες οι απαραίτητες πληροφορίες διατηρούνται ως μέρος του αντιγράφου ασφαλείας.
Αποκατάσταση καταστροφών SASE Orchestrator
Καταστάσεις
- Αυτόνομο (δεν έχει διαμορφωθεί DR)
- Ενεργό (έχει διαμορφωθεί DR, ενεργεί ως ο κύριος διακομιστής του SASE Orchestrator)
- Σε αναμονή (έχει διαμορφωθεί DR, ενεργεί ως διακομιστής αδρανούς ρεπλίκας του SASE Orchestrator)
- Zombie (η DR είχε διαμορφωθεί παλιότερα και ήταν ενεργή, αλλά δεν λειτουργεί πλέον ως ενεργό ή σε αναμονή)
Φάσεις | Ρόλος SASE Orchestrator Α | Ρόλος SASE Orchestrator Β |
---|---|---|
Αρχική | Αυτόνομο (Standalone) | Αυτόνομο (Standalone) |
Ζεύξη | Ενεργό | Σε αναμονή |
Ανακατεύθυνση | Zombie | Αυτόνομο (Standalone) |
- Εντοπίστε την DR του SASE Orchestrator σε ένα γεωγραφικά ξεχωριστό κέντρο δεδομένων.
- Πριν να προβιβάσετε ένα Orchestrator σε αναμονή ως Ενεργό, επιβεβαιώστε ότι η κατάσταση αναπαραγωγής DR είναι συγχρονισμένη. Το Orchestrator που ήταν προηγουμένως Ενεργό δεν θα είναι πλέον σε θέση να διαχειριστεί το απόθεμα και τη διαμόρφωση.
- Αν το Orchestrator σε αναμονή μπορεί να επικοινωνήσει με το πρώην Ενεργό Orchestrator, θα δώσει οδηγία σε αυτό το Orchestrator να εισέλθει σε κατάσταση Zombie. Στην κατάσταση Zombie, το SASE Orchestrator ενημερώνει τους πελάτες του (SD-WAN Edges, Πύλες SD-WAN, UI/ API) ότι δεν είναι πλέον Ενεργό και εκείνοι πρέπει να επικοινωνούν με το SASE Orchestrator που προβιβάστηκε μόλις.
- Εάν το Orchestrator σε αναμονή που προβιβάστηκε δεν μπορεί να επικοινωνήσει με το πρώην Ενεργό Orchestrator, ο χειριστής θα πρέπει, αν αυτό είναι δυνατόν, να υποβιβάσει με μη αυτόματο τρόπο το προηγουμένως Ενεργό Orchestrator.
- Λεπτομερείς οδηγίες μπορείτε να βρείτε στην επίσημη τεκμηρίωση του SASE Orchestrator docs.vmware.com στην ενότητα «Διαμόρφωση αποκατάστασης από καταστροφές του SASE Orchestrator».
Διαδικασία αναβάθμισης για το SASE Orchestrator
- Η Υποστήριξη VMware θα σας βοηθήσει με την αναβάθμιση. Συλλέξτε τις ακόλουθες πληροφορίες πριν να επικοινωνήσετε με την Υποστήριξη VMware.
- Παράσχετε την τρέχουσα έκδοση και την έκδοση στόχο του SASE Orchestrator, για παράδειγμα, την τρέχουσα έκδοση (π.χ. 3.4.2), την έκδοση στόχο (3.4.3).
Σημείωση: Μπορείτε να βρείτε αυτές τις πληροφορίες για την τρέχουσα έκδοση στην επάνω δεξιά γωνία του SASE Orchestrator κάνοντας κλικ στη σύνδεση «Βοήθεια» (Help) και επιλέγοντας «Πληροφορίες» (About).
- Δώστε ένα στιγμιότυπο οθόνης του πίνακα εργαλείων αναπαραγωγής του SASE Orchestrator, όπως φαίνεται παρακάτω.
- Τύπος και έκδοση υπερεπόπτη (π.χ. vSphere 6.7)
- Εντολές από το SASE Orchestrator (οι εντολές πρέπει να εκτελούνται ως ρίζα (π.χ. «sudo <εντολή>» ή «sudo -i») ):
- Διάταξη LVM
- pvdisplay -v
- vgdisplay -v
- lvdisplay -v
- df -h
- cat /etc/fstab
- Πληροφορίες μνήμης
- free -m
- cat /proc/meminfo
- ps -ef
- top -b -n 2
- Πληροφορίες CPU
- cat /proc/cpuinfo
- Αντίγραφο του /var/log
- tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 ώρες πριν" /var/log
- Από το Orchestrator σε αναμονή:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
- Από το Ενεργό Orchestrator:
- sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
- Διάταξη LVM
- Παράσχετε την τρέχουσα έκδοση και την έκδοση στόχο του SASE Orchestrator, για παράδειγμα, την τρέχουσα έκδοση (π.χ. 3.4.2), την έκδοση στόχο (3.4.3).
- Επικοινωνήστε με την Υποστήριξη του VMware SD-WAN στη διεύθυνσηhttps://kb.vmware.com/s/article/53907 με τις παραπάνω πληροφορίες, για να λάβετε βοήθεια με την αναβάθμιση του SASE Orchestrator.
- Οι οδηγίες στιγμιότυπου ESXi παρέχονται στην επόμενη ενότητα σε περίπτωση που ο πελάτης θέλει μια γρήγορη λύση επαναφοράς έπειτα από μια αναβάθμιση.
Στιγμιότυπο ESXi
Η δυνατότητα στιγμιότυπου ESXi μπορεί να χρησιμοποιηθεί πριν από τις αναβαθμίσεις του SASE Orchestrator για να παρέχει μια γρήγορη επαναφορά στην προηγούμενη έκδοση του SASE Orchestrator.
Βέλτιστες πρακτικές στιγμιότυπου ESXi
- Το Orchestrator σε αναμονή και το Ενεργό Orchestrator πρέπει να απενεργοποιηθούν πριν από την εκτέλεση ή την επαναφορά από το στιγμιότυπο, για να αποφευχθούν τυχόν ασυνέπειες στη βάση δεδομένων.
- Όλες οι εργασίες που σχετίζονται με το στιγμιότυπο πρέπει να γίνονται στο Orchestrator σε αναμονή και στο Ενεργό Orchestrator, για να αποφευχθούν τυχόν ασυνέπειες στη βάση δεδομένων.
- Είναι σημαντικό να ενοποιήσετε το στιγμιότυπο, εάν η διαδικασία αναβάθμισης ήταν επιτυχημένη. Το αρχείο στιγμιότυπου συνεχίζει να αυξάνεται όταν διατηρείται για μεγαλύτερη χρονική περίοδο. Αυτό μπορεί να έχει ως αποτέλεσμα να εξαντληθεί ο χώρος αποθήκευσης της θέσης αποθήκευσης του στιγμιότυπου και να επηρεάσει την απόδοση του συστήματος.
- Απενεργοποιήστε τις ειδοποιήσεις στο SASE Orchestrator κατά τη δημιουργία στιγμιοτύπων, για να αποφύγετε ψευδείς συναγερμούς.
- Μην χρησιμοποιείτε το ίδιο στιγμιότυπο για περισσότερες από 72 ώρες.
- Δεν συνιστάται η χρήση στιγμιότυπων ως αντιγράφων ασφαλείας.
- Η επικύρωση δυνατοτήτων έγινε με το ESXi 6.7 και το SASE Orchestrator έκδοση 3.4.4.
Μπορείτε να βρείτε τις βέλτιστες πρακτικές για το στιγμιότυπο VMware στο ακόλουθο άρθρο της kb: https://kb.vmware.com/s/article/1025279
Δημιουργία στιγμιότυπου ESXi
- Απενεργοποιήστε τις ιδιότητες συστήματος ειδοποίησης, ενημέρωσης και παρακολούθησης στο Ενεργό Orchestrator. Η κατά προσέγγιση διάρκεια είναι 10 λεπτά.
- Στην πύλη του χειριστή, κάντε κλικ στην επιλογή Ιδιότητες συστήματος (System Properties). Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε ψευδείς.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Στην πύλη του χειριστή, κάντε κλικ στην επιλογή Ιδιότητες συστήματος (System Properties). Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε ψευδείς.
- Απενεργοποιήστε τις ιδιότητες συστήματος ειδοποίησης, ενημέρωσης και παρακολούθησης στο Orchestrator σε αναμονή.
- Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε ψευδείς.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε ψευδείς.
- Απενεργοποιήστε το Ενεργό Orchestrator.
Μεταβείτε στις επιλογές ESXi/vCenter → Orchestrator VM → Ενέργειες → Ισχύς → Απενεργοποίηση (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
- Απενεργοποιήστε το Orchestrator σε αναμονή.
Μεταβείτε στις επιλογές ESXi/vCenter → Orchestrator VM → Ενέργειες → Ισχύς → Απενεργοποίηση (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
- Τραβήξτε ένα στιγμιότυπο του Ενεργού Orchestrator. Βεβαιωθείτε ότι η VM είναι απενεργοποιημένη πριν να εκτελέσετε αυτό το βήμα.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Ισχύς → Στιγμιότυπα → Λήψη στιγμιότυπου (ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot).
- Τραβήξτε ένα στιγμιότυπο του Orchestrator σε αναμονή. Βεβαιωθείτε ότι η VM είναι απενεργοποιημένη πριν να εκτελέσετε αυτό το βήμα.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Ισχύς → Στιγμιότυπα → Λήψη στιγμιότυπου (ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot).
Ενοποίηση του στιγμιότυπου ESXi
- Αφού επιβεβαιώσετε την επιτυχημένη αναβάθμιση στο Ενεργό Orchestrator και στο Orchestrator σε αναμονή, μπορείτε να ενοποιήσετε τα στιγμιότυπα ξεκινώντας από το Ενεργό Orchestrator.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Στιγμιότυπα → Διαχείριση στιγμιότυπων → Διαγραφή όλων (ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All).
- Ενοποιήστε το στιγμιότυπο στο Orchestrator σε αναμονή.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Στιγμιότυπα → Διαχείριση στιγμιότυπων → Διαγραφή όλων (ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All).
- Ενεργοποιήστε ξανά τις ιδιότητες συστήματος ειδοποίησης, ενημέρωσης και παρακολούθησης στο Ενεργό Orchestrator και στο Orchestrator σε αναμονή.
Στην πύλη του χειριστή, κάντε κλικ στην επιλογή Ιδιότητες συστήματος (System Properties). Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε αληθές.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
- Εάν η επιλογή «Διαγραφή όλων» (Delete All) των στιγμιότυπων δεν λειτουργεί με το vSphere 6.x/7.x, μπορείτε να δοκιμάσετε να ενοποιήσετε τα στιγμιότυπα. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα «Ενοποίηση στιγμιότυπων» στην Τεκμηρίωση προϊόντος vSphere.
Αποκατάσταση από το στιγμιότυπο ESXi
- Απενεργοποιήστε το Ενεργό Orchestrator.
Μεταβείτε στις επιλογές ESXi/vCenter → Orchestrator VM → Ενέργειες → Ισχύς → Απενεργοποίηση (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
- Απενεργοποιήστε το Orchestrator σε αναμονή.
Μεταβείτε στις επιλογές ESXi/vCenter → Orchestrator VM → Ενέργειες → Ισχύς → Απενεργοποίηση (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
- Αποκαταστήστε το στιγμιότυπο του Ενεργού Orchestrator.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Ισχύς → Στιγμιότυπα → Διαχείριση στιγμιότυπων (ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshots).
Επιλέξτε το στιγμιότυπο στο οποίο θέλετε να επαναφέρετε τη VM → Επαναφορά (VM → Revert to) (ανατρέξτε στην παρακάτω εικόνα).
- Αποκαταστήστε το στιγμιότυπο του Orchestrator σε αναμονή.
Μεταβείτε στις επιλογές ESXi → Orchestrator VM → Ενέργειες → Ισχύς → Στιγμιότυπα → Διαχείριση στιγμιότυπων (ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshots).
Επιλέξτε το στιγμιότυπο στο οποίο θέλετε να επαναφέρετε τη VM → Επαναφορά (VM → Revert to).
- Ενεργοποιήστε ξανά τις ιδιότητες συστήματος ειδοποίησης, ενημέρωσης και παρακολούθησης στο Ενεργό Orchestrator και στο Orchestrator σε αναμονή. Στην πύλη του χειριστή, κάντε κλικ στην επιλογή Ιδιότητες συστήματος (System Properties). Αλλάξτε τις ακόλουθες ιδιότητες συστήματος σε αληθές.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Δευτερεύουσα αναβάθμιση λογισμικού ελεγκτή (π.χ. Από 3.3.2 P3 σε 3.4.4)
Το αρχείο αναβάθμισης λογισμικού περιέχει ενημερώσεις πύλης και συστήματος. Μην εκτελείτε την αναβάθμιση 'apt-get update && apt-get –y upgrade'.
Πριν να προχωρήσετε στην αναβάθμιση του ελεγκτή VMware SD-WAN, βεβαιωθείτε ότι το SASE Orchestrator έχει ήδη αναβαθμιστεί στην ίδια ή νεότερη έκδοση.
- Κάντε λήψη του πακέτου ενημέρωσης ελεγκτή SD-WAN.
- Αποστείλετε το είδωλο στον χώρο αποθήκευσης ελεγκτή SD-WAN (χρησιμοποιώντας, για παράδειγμα, την εντολή SCP). Αντιγράψτε το είδωλο στην ακόλουθη θέση του συστήματος: /var/lib/velocloud/software_update/vcg_update.tar.
- Συνδεθείτε στην κονσόλα του ελεγκτή SD-WAN και εκτελέστε το εξής:
sudo /opt/vc/bin/vcg_software_update
root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> Resolving ftpsite.vmware.com (ftpsite.vmware.com)... Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [application/octet-stream] Saving to: 'vcg_update.tar' [ <=> ] 325,939,200 3.81MB/s in 82s 2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update =========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a Ign file: trusty InRelease Ign file: trusty Release.gpg Get: 1 file: trusty Release [2,668 B] Ign file: trusty/main Translation-en_US Ign file: trusty/main Translation-en (...) Writing extended state information... Reading package lists... Building dependency tree... Reading state information... Reading extended state information... Initializing package states... update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic Reboot is required. Reboot? (y/n) [y]:
Κύρια αναβάθμιση λογισμικού ελεγκτή (π.χ. από 3.3.2 ή 3.4 σε 4.0)
- Μια νέα διάταξη δίσκου συστήματος που βασίζεται στο LVM για να επιτρέψει μεγαλύτερη ευελιξία στη διαχείριση τόμων
- Μια νέα έκδοση πυρήνα
- Νέα και αναβαθμισμένα βασικά πακέτα λειτουργικού συστήματος
- Βελτιωμένη ενίσχυση της ασφάλειας με βάση τα κριτήρια αναφοράς του Κέντρου για την Ασφάλεια στο Internet
Λόγω αυτών των αλλαγών, η τυπική διαδικασία αναβάθμισης που χρησιμοποιεί τη δέσμη ενεργειών αναβάθμισης δεν λειτουργεί. Απαιτείται μια συγκεκριμένη διαδικασία αναβάθμισης. Υπάρχει στο παρακάτω εγχειρίδιο προϊόντος. Αυτή η διαδικασία είναι να αντικαταστήσετε τη VM πύλης 3.3.2 ή 3.4 με τη νέα VM πύλης 4.0. Ανατρέξτε στο ακόλουθο έγγραφο: Αναβάθμιση πύλης συνεργατών VMware SD-WAN και μετεγκατάσταση 3.3.2 ή 3.4 σε 4.0
Αυτή η διαδικασία αναβάθμισης απαιτεί τη διαμόρφωση ιδιοτήτων συστήματος του SASE Orchestrator, την οποία μπορούν να εκτελέσουν μόνο οι λογαριασμοί χειριστή του SASE Orchestrator. Δημιουργήστε ένα δελτίο υποστήριξης στην ομάδα Υποστήριξης VMware για να ζητήσετε την αλλαγή της ιδιότητας συστήματος.
Παρακολούθηση
- Παρακολούθηση ελεγκτή SD-WAN
Μπορείτε να παρακολουθείτε την κατάσταση και τα δεδομένα χρήσης των ελεγκτών που είναι διαθέσιμοι στην πύλη χειριστή.
Η διαδικασία είναι η εξής:
- Στην πύλη χειριστή, κάντε κλικ στην επιλογή Πύλες (Gateways).
- Στη σελίδα Πύλες (Gateways) εμφανίζεται η λίστα των διαθέσιμων ελεγκτών.
- Κάντε κλικ στη σύνδεση προς μια πύλη. Εμφανίζονται οι λεπτομέρειες του επιλεγμένου ελεγκτή.
- Κάντε κλικ στην καρτέλα «Παρακολούθηση» (Monitor), για να προβάλετε τα δεδομένα χρήσης του επιλεγμένου ελεγκτή.
Στην καρτέλα «Παρακολούθηση» (Monitor) του επιλεγμένου ελεγκτή εμφανίζονται οι ακόλουθες λεπτομέρειες, όπως φαίνεται στην παρακάτω εικόνα.
Μπορείτε να επιλέξετε μια συγκεκριμένη περίοδο για να προβάλλονται τα στοιχεία του ελεγκτή για την επιλεγμένη διάρκεια στο επάνω μέρος της σελίδας.
Η σελίδα εμφανίζει μια γραφική αναπαράσταση των λεπτομερειών χρήσης των ακόλουθων παραμέτρων για την περίοδο επιλεγμένης χρονικής διάρκειας, μαζί με τις ελάχιστες, τις μέγιστες και τις μέσες τιμές.
Χρήση | Περιγραφή |
---|---|
Ποσοστό CPU (CPU Percentage) | Ποσοστό χρήσης της CPU |
Χρήση μνήμης (Memory Usage) | Ποσοστό χρήσης της μνήμης |
Αριθμός ροών (Flow Counts) | Πλήθος ροής κυκλοφορίας |
Πακέτα σε ουρά αναμονής που απορρίφθηκαν (Handoff Queue Drops) | Αριθμός πακέτων που απορρίφθηκαν λόγω παράδοσης σε ουρά |
Πλήθος διοχετεύσεων (Tunnel Count) | Πλήθος περιόδων λειτουργίας διοχέτευσης |
- Προτεινόμενες τιμές ελεγκτή πύλης SD-WAN για παρακολούθηση
Η ακόλουθη λίστα εμφανίζει τιμές που πρέπει να παρακολουθούνται και τα κατώτατα όρια τους. Η παρακάτω λίστα δίνεται ως σημείο εκκίνησης και δεν είναι πλήρης. Ορισμένες αναπτύξεις ενδέχεται να απαιτούν την αξιολόγηση πρόσθετων στοιχείων, όπως ροές, απώλεια πακέτων κ.λπ.
Κάθε φορά που προσεγγίζεται ένα όριο προειδοποίησης, συνιστάται να ελέγχετε την τρέχουσα κλίμακα της διαμόρφωσης συσκευής και να προσθέτετε περισσότερους πόρους, εάν απαιτείται. Όταν ενεργοποιείται ένας κρίσιμος συναγερμός, είναι σημαντικό να επικοινωνήσετε με τους εκπροσώπους της Υποστήριξης VMware για να ελέγξουν τη λύση και να δώσουν περαιτέρω συμβουλές.
Πίνακας 4. Προτεινόμενες τιμές για παρακολούθηση Έλεγχος υπηρεσίας Περιγραφή ελέγχου υπηρεσίας Όριο προειδοποίησης Κρίσιμο όριο Φορτίο CPU Έλεγχος φορτίου συστήματος. 60 80 Μνήμη Ελέγχει το buffer χρήσης μνήμης, τη μνήμη cache και τη μνήμη που χρησιμοποιείται. 70 80 Διοχετεύσεις Αριθμός διοχετεύσεων από τα συνδεδεμένα SD-WAN Edges. 60% της μέγιστης κλίμακας 80% της μέγιστης κλίμακας Σημείωση: Μια ξαφνική απώλεια όλων των διοχετεύσεων ή μια ασυνήθιστη χαμηλή ποσότητα θα πρέπει επίσης να προκαλέσει ανησυχία.
Απορρίψεις παράδοσης Λόγω της μεγάλης κίνησης της κυκλοφορίας μέσω ενός ελεγκτή, αναμένονται περιστασιακές απορρίψεις. Οι σταθερές απορρίψεις σε συγκεκριμένες ουρές ενδέχεται να υποδεικνύουν πρόβλημα χωρητικότητας. Χώρος στον δίσκο Τρέχουσα χρήση δίσκου 40% ελεύθερος 20% ελεύθερος NTP ελεγκτή Έλεγχος για χρονική μετατόπιση Μετατόπιση 5 δευτερολέπτων Μετατόπιση 10 δευτερολέπτων
- Ενσωμάτωση SASE Orchestrator σε στοίβες παρακολούθησης
Το SASE Orchestrator διατίθεται με μια ενσωματωμένη στοίβα παρακολούθησης μετρήσεων συστήματος, η οποία μπορεί να συνδεθεί με έναν εξωτερικό συλλέκτη μετρήσεων και μια βάση δεδομένων χρονικής σειράς. Με τη στοίβα παρακολούθησης, μπορείτε να ελέγξετε γρήγορα την κατάσταση εύρυθμης λειτουργίας και το φορτίο συστήματος για το SASE Orchestrator.
-
- Για να ενεργοποιήσετε τη στοίβα παρακολούθησης, εκτελέστε την ακόλουθη εντολή στο Orchestrator:
sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Για να ελέγξετε την κατάσταση της στοίβας παρακολούθησης, εκτελέστε:
sudo /opt/vc/scripts/vco_observability_manager.sh status
- Για να απενεργοποιήσετε τη στοίβα παρακολούθησης, εκτελέστε:
sudo /opt/vc/scripts/vco_observability_manager.sh disable
- Για να ενεργοποιήσετε τη στοίβα παρακολούθησης, εκτελέστε την ακόλουθη εντολή στο Orchestrator:
- Ο συλλέκτης μετρήσεων
Το Telegraf χρησιμοποιείται ως ο συλλέκτης μετρήσεων συστήματος του SASE Orchestrator, ο οποίος διαθέτει πολλά πρόσθετα για τη συλλογή διαφορετικών μετρήσεων του συστήματος. Οι ακόλουθες μετρήσεις είναι ενεργοποιημένες από προεπιλογή.
Πίνακας 5. Συλλέκτης μετρήσεων Όνομα μέτρησης Περιγραφή Υποστηρίζεται στην έκδοση inputs.cpu Μετρήσεις σχετικά με τη χρήση της CPU. 3.4/4.0 inputs.mem Μετρήσεις σχετικά με τη χρήση της μνήμης. 3.4/4.0 inputs.net Μετρήσεις σχετικά με τις διασυνδέσεις δικτύου. 4.0 inputs.system Μετρήσεις σχετικά με το φορτίο συστήματος και το χρόνο λειτουργίας. 4.0 inputs.processes Ο αριθμός των διεργασιών που ομαδοποιούνται κατά κατάσταση. 4.0 inputs.disk Μετρήσεις σχετικά με τη χρήση του δίσκου. 4.0 inputs.diskio Μετρήσεις σχετικά με την IO δίσκου ανά συσκευή. 4.0 inputs.procstat Χρήση CPU και μνήμης για συγκεκριμένες διεργασίες. 4.0 inputs.nginx Βασικές πληροφορίες κατάστασης nginx (ngx_http_stub_status_module). 4.0 inputs.mysql Δεδομένα στατιστικής από τον διακομιστή MySQL. 3.4/4.0 inputs.redis Μετρήσεις από έναν ή πολλούς διακομιστές redis. 3.4/4.0 inputs.statds API και μετρήσεις συστήματος. 3.4/4.0 (πρόσθετες μετρήσεις περιλαμβάνονται στην έκδοση 4.0) inputs.filecount Ο αριθμός και το συνολικό μέγεθος των αρχείων σε καθορισμένους καταλόγους. 4.0 inputs.ntpq Οι τυπικές μετρήσεις ερωτημάτων NTP, απαιτεί εκτελέσιμο αρχείο ntpq. 4.0 Inputs.x509_cert Μετρήσεις από πιστοποιητικό SSL. 4.0 Για να ενεργοποιήσετε περισσότερες μετρήσεις ή για να απενεργοποιήσετε ορισμένες ενεργοποιημένες μετρήσεις, μπορείτε να επεξεργαστείτε το αρχείο διαμόρφωσης του Telegraf στο SASE Orchestrator με:
sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf
sudo systemctl restart telegraf
- Η βάση δεδομένων χρονικής σειράς
Μια βάση δεδομένων χρονικής σειράς μπορεί να χρησιμοποιηθεί για την αποθήκευση των μετρήσεων συστήματος που συλλέγονται από το Telegraf. Μια βάση δεδομένων χρονικής σειράς (TSDB) είναι μια βάση δεδομένων που έχει βελτιστοποιηθεί για δεδομένα χρονικής σειράς.
- Πίνακας εργαλείων και παράγοντας ειδοποίησης
Ο πίνακας εργαλείων και ο παράγοντας ειδοποίησης σάς επιτρέπουν να υποβάλετε ερώτημα, να οπτικοποιήσετε, να ειδοποιήσετε και να εξερευνήσετε τα δεδομένα που είναι αποθηκευμένα στη TSDB. Η εικόνα είναι ένα παράδειγμα πίνακα εργαλείων που χρησιμοποιεί το Telegraph (μια TSDB και ένα μηχανισμό πίνακα εργαλείων) που μπορεί να δημιουργηθεί για την παρακολούθηση της λύσης.
- Ρύθμιση βάσης δεδομένων χρονικής σειράς
Ακολουθήστε τις παρακάτω οδηγίες, για να ρυθμίσετε τη βάση δεδομένων χρονικής σειράς.
- Προσθέστε την καταχώρηση iptables για να επιτρέψετε σε εξωτερικά συστήματα παρακολούθησης να έχουν πρόσβαση στη θύρα telegraf. Η διεύθυνση IP προέλευσης θα πρέπει να καθοριστεί για λόγους ασφαλείας.
- Παράδειγμα. Η διεύθυνση IP του εξωτερικού συστήματος παρακολούθησης είναι 191.168.0.200 Προσθέστε "-A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment "allow telegraf port" -j ACCEPT" στο /etc/iptables/rules.v4
- Επανεκκινήστε την iptables.
sudo service iptables-persistent restart (Orchestrator 3.4.x)
sudo systemctl restart netfilter-persistent (Orchestrator 4.x)
- Βεβαιωθείτε ότι έχει προστεθεί η καταχώρηση iptables.
- Προσθέστε τις λεπτομέρειες της βάσης δεδομένων χρονικής σειράς στη διαμόρφωση του telegraf. Δημιουργήστε ένα αρχείο διαμόρφωσης εξόδου. Το παράδειγμα με το prometheus είναι ως εξής:
/etc/telegraf/telegraf.d/prometheus_out.conf
- Προτεινόμενες τιμές για παρακολούθηση στο SASE Orchestrator
Η ακόλουθη λίστα εμφανίζει μια λίστα τιμών που πρέπει να παρακολουθούνται και τα κατώτατα όρια τους. Η παρακάτω λίστα δίνεται ως σημείο εκκίνησης καθώς δεν είναι πλήρης. Ορισμένες αναπτύξεις ενδέχεται να απαιτούν την αξιολόγηση πρόσθετων στοιχείων, όπως συναλλαγές βάσης δεδομένων, αυτόματη δημιουργία αντιγράφων ασφαλείας κ.λπ.
Κάθε φορά που προσεγγίζεται ένα όριο προειδοποίησης, συνιστάται να ελέγχετε την τρέχουσα κλίμακα της διαμόρφωσης συσκευής και να προσθέτετε περισσότερους πόρους, εάν απαιτείται. Όταν ενεργοποιείται ένας κρίσιμος συναγερμός, είναι σημαντικό να επικοινωνήσετε με τους εκπροσώπους της Υποστήριξης VMware για να ελέγξουν τη λύση και να δώσουν περαιτέρω συμβουλές.Πίνακας 6. Παρακολούθηση τιμών και ορίων Έλεγχος υπηρεσίας Περιγραφή ελέγχου υπηρεσίας Όριο προειδοποίησης Κρίσιμο όριο Φορτίο CPU Έλεγχος φορτίου συστήματος - Προσθήκη εισόδου Telegraf: inputs.cpu. 60 70 Μνήμη Ελέγχει το buffer χρήσης μνήμης, τη μνήμη cache και τη μνήμη που χρησιμοποιείται - Προσθήκη εισόδου Telegraf: inputs.memory. 70 80 Χρήση δίσκου Χρήση δίσκου στα διάφορα διαμερίσματα του Orchestrator, /, /store, / store2 / store3 (έκδοση 4.0 και νεότερες) – Προσθήκη εισόδου Telegraf: inputs.disk (έκδοση 4.0 και νεότερες). 40% ελεύθερος 20% ελεύθερος Διακομιστής MySQL Ελέγχει τις συνδέσεις MySQL -Προσθήκη εισόδου Telegraf: inputs.mysql. Πάνω από το 80% της μέγιστης σύνδεσης ορίζεται στο mysql.conf(/etc/mysql/my.cnf) Ώρα SASE Orchestrator Έλεγχος για χρονική μετατόπιση -Προσθήκη εισόδου Telegraf: inputs.ntpq (έκδοση 4.0 και νεότερες). Μετατόπιση 5 δευτερολέπτων Μετατόπιση 10 δευτερολέπτων Πιστοποιητικό SSL SASE Orchestrator Ελέγχει τη λήξη του πιστοποιητικού - Προσθήκη εισόδου Telegraf: inputs.x509_cert (έκδοση 4.0 και νεότερες). 60 ημέρες 30 ημέρες Internet SASE Orchestrator (δεν ισχύει για τοπολογίες μόνο MPLS) Ελέγξτε για πρόσβαση στο Internet. Χρόνος απόκρισης > 5 δευτερόλεπτα Χρόνος απόκρισης > 10 δευτερόλεπτα HTTP SASE Orchestrator Βεβαιωθείτε ότι το HTTP στο localhost ανταποκρίνεται. Το localhost δεν ανταποκρίνεται. Συνολικό πλήθος πιστοποιητικών SASE Orchestrator Έλεγχος συνόλου – Παράδειγμα ερωτήματος mysql: SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()
CRL Όταν ο συνολικός αριθμός πιστοποιητικών υπερβαίνει τα 5000 Κατάσταση αναπαραγωγής DR Επιβεβαιώστε ότι το Orchestrator σε αναμονή είναι ενημερωμένο. Βεβαιωθείτε ότι το DR SASE Orchestrator δεν είναι περισσότερα από 1000 δευτερόλεπτα πίσω από το Ενεργό Orchestrator. Seconds_Behind_Master: from mysql command: show slave STATUS\G;
Διαφορά πύλης Αναπαραγωγής DR SD-WAN Edge Επιβεβαιώστε ότι τα SD-WAN Edges και οι Πύλες SD-WAN μπορούν να επικοινωνήσουν με το DR SASE Orchestrator. Οι διαφορετικές τιμές μεταξύ του Ενεργού Orchestrator και του Orchestrator σε αναμονή μπορεί να οφείλονται σε διαφορά στη ζώνη ώρας των SD-WAN Edges και της Πύλες SD-WAN.
Ο ίδιος αριθμός SD-WAN Edges που επικοινωνούν με το Ενεργό Orchestrator θα πρέπει να είναι σε θέση να επικοινωνήσουν με το Orchestrator σε αναμονή. Μπορείτε να ελέγξετε αυτήν την τιμή στην καρτέλα «αναπαραγωγή» (replication) ή μέσω του API.
Βέλτιστες πρακτικές API
- Η πύλη SASE Orchestrator
Η πύλη SASE Orchestrator επιτρέπει στους διαχειριστές δικτύου (ή σε δέσμες ενεργειών και εφαρμογές που ενεργούν για λογαριασμό τους) να διαχειρίζονται τη διαμόρφωση δικτύου και συσκευών και να υποβάλλουν ερωτήματα για την τρέχουσα ή την ιστορική κατάσταση του δικτύου και των συσκευών. Οι υπολογιστές-πελάτες API μπορούν να αλληλεπιδρούν με την πύλη μέσω μιας διασύνδεσης JSON-RPC ή μιας διασύνδεσης τύπου REST. Μπορείτε να καλέσετε όλες τις μεθόδους που περιγράφονται σε αυτό το έγγραφο χρησιμοποιώντας οποιαδήποτε από αυτές τις διασυνδέσεις. Δεν υπάρχει λειτουργία της πύλης για την οποία η πρόσβαση να περιορίζεται αποκλειστικά είτε σε υπολογιστές-πελάτες JSON-RPC είτε σε υπολογιστές-πελάτες τύπου REST.
Και οι δύο διασυνδέσεις δέχονται αποκλειστικά αιτήματα HTTP POST. Επίσης, και οι δύο αναμένουν ότι το σώμα των αιτημάτων, όταν υπάρχει, θα έχει μορφοποίηση JSON -- σύμφωνα με το RFC 2616, επιπλέον οι πελάτες θα είναι πιθανό να επιβεβαιώσουν επίσημα πού συμβαίνει αυτό, χρησιμοποιώντας την κεφαλίδα αιτήματος τύπου περιεχομένου, π.χ. Content-Type: application/json.
Περισσότερες πληροφορίες σχετικά με το API VMware SD-WAN μπορείτε να βρείτε εδώ:
- Βέλτιστες πρακτικές για επιχειρήσεις και παρόχους υπηρεσιών που χρησιμοποιούν API
Ορισμένες από τις βέλτιστες πρακτικές κατά τη χρήση API είναι οι εξής:
- Όπου είναι δυνατόν, οι συνολικές κλήσεις API θα πρέπει να προτιμώνται από τις κλήσεις που αφορούν συγκεκριμένα επιχειρήσεις. Για παράδειγμα, μπορεί να χρησιμοποιηθεί μια ενιαία κλήση monitoring/getAggregateEdgeLinkMetrics για την ανάκτηση στατιστικών μεταφοράς σε όλα τα SD-WAN Edges ταυτόχρονα.
- Η VMware ζητά από τους πελάτες να περιορίζουν τον αριθμό των κλήσεων API σε οποιαδήποτε στιγμή κατά την πτήση σε λιγότερες από πέντε (δηλαδή, <2-4). Εάν ένας χρήστης θεωρεί ότι υπάρχει επιτακτικός λόγος για να παραλληλίσει τις κλήσεις API, η VMware ζητά να επικοινωνήσει με την Υποστήριξη VMware για να συζητήσει εναλλακτικές λύσεις.
- Συνήθως, δεν συνιστούμε την ανίχνευση API για δεδομένα στατιστικών για διάστημα συντομότερο από κάθε 10 λεπτά. Νέα δεδομένα στατιστικών φτάνουν στο SASE Orchestrator κάθε 5 λεπτά. Λόγω της καθυστέρησης στην αναφορά/επεξεργασία, οι πελάτες που κάνουν ανίχνευση κάθε 5 λεπτά μπορεί να παρατηρήσουν «ψευδώς θετικές» περιπτώσεις στις οποίες τα στατιστικά στοιχεία δεν αντικατοπτρίζονται στα αποτελέσματα των κλήσεων API. Οι χρήστες τείνουν να βρουν το καλύτερο αποτέλεσμα χρησιμοποιώντας διαστήματα αιτημάτων διάρκειας 10 ή περισσότερων λεπτών.
- Αποφύγετε να υποβάλετε δύο φορές ερώτημα για τις ίδιες πληροφορίες.
- Χρησιμοποιήστε αναστολή λειτουργίας μεταξύ των API.
- Για σύνθετους αυτοματισμούς λογισμικού, εκτελέστε τις δέσμες ενεργειών σας και αξιολογήστε τον αντίκτυπο στη CPU/μνήμη. Στη συνέχεια, προσαρμόστε ανάλογα με τις ανάγκες.
Διαμόρφωση SASE Orchestrator Syslog
Οι παράμετροι της δυνατότητας Syslog του VMware SASE Orchestrator μπορούν να ρυθμιστούν ανεξάρτητα για τις ακόλουθες διεργασίες του Orchestrator: πύλη, αποστολή και backend.
- Πύλη: η διεργασία πύλης εκτελείται ως εσωτερικός κατάντη διακομιστής HTTP από το NGINX. Η υπηρεσία πύλης χειρίζεται τα εισερχόμενα αιτήματα API, είτε από τη διασύνδεση web του SASE Orchestrator είτε από ένα πρόγραμμα-πελάτη HTTP/SDK, κυρίως με σύγχρονο τρόπο. Αυτά τα αιτήματα επιτρέπουν στους χρήστες στους οποίους έχει ελεγχθεί η ταυτότητα να διαμορφώνουν, να παρακολουθούν και να διαχειρίζονται τις διάφορες υπηρεσίες που παρέχονται από το SASE Orchestrator.
Αυτό το αρχείο καταγραφής είναι πολύ χρήσιμο για δραστηριότητες AAA, καθώς έχει όλες τις ενέργειες που αναλαμβάνονται από τους χρήστες στο SASE Orchestrator.
Αρχεία καταγραφής: /var/log/portal/velocloud.log (Καταγράφει όλα τα αρχεία καταγραφής για πληροφορίες, προειδοποιήσεις και σφάλματα)
- Αποστολή: η διεργασία αποστολής εκτελείται ως εσωτερικός κατάντη διακομιστής HTTP από το NGINX. Η υπηρεσία αποστολής χειρίζεται τα εισερχόμενα αιτήματα από τα SD-WAN Edges και τις Πύλες SD-WAN, είτε συγχρονισμένα είτε ασύγχρονα. Αυτά τα αιτήματα αποτελούνται κυρίως από ενεργοποιήσεις, παλμούς, στατιστικά ροής, στατιστικά στοιχεία συνδέσεων και πληροφορίες δρομολόγησης που αποστέλλονται από τα SD-WAN Edges και τις Πύλες SD-WAN.
Αρχεία καταγραφής: /var/log/upload/velocloud.log (Καταγράφει όλα τα αρχεία καταγραφής για πληροφορίες, προειδοποιήσεις και σφάλματα)
- Backend: εκτέλεση εργασιών που εκτελεί κυρίως προγραμματισμένες εργασίες ή εργασίες σε ουρά. Οι προγραμματισμένες εργασίες αποτελούνται από δραστηριότητες εκκαθάρισης, συνάθροισης ή ενημέρωσης κατάστασης. Οι εργασίες σε ουρά αποτελούνται από στατιστικά στοιχεία σύνδεσης και ροής επεξεργασίας.
Αρχεία καταγραφής: /var/log/backend/velocloud.log (Καταγράφει όλα τα αρχεία καταγραφής για πληροφορίες, προειδοποιήσεις και σφάλματα)
- Μεταβείτε στις «Ιδιότητες συστήματος» (System Properties) του SASE Orchestrator, στο log.syslog.<διακομιστής> (π.χ. log.syslog.portal). Μεταβείτε στο SASE Orchestrator → Ιδιότητες συστήματος (System Properties) → πληκτρολογήστε «log.syslog» στη γραμμή αναζήτησης
- Αλλάξτε την τιμή “enable”:false σε true για έναν ή περισσότερους από τους διακομιστές. Αλλάξτε την IP και τη θύρα κεντρικού υπολογιστή ανάλογα με την εφαρμογή σας.
Αύξηση χώρου αποθήκευσης στο SASE Orchestrator
Λεπτομερείς οδηγίες για την αύξηση του χώρου αποθήκευσης στο SASE Orchestrator μπορείτε να βρείτε στην τεκμηρίωση του SASE Orchestrator
στη διεύθυνση https://docs.vmware.com/ στην περιοχή «Εγκατάσταση SASE Orchestrator» και «Αύξηση μεγέθους δίσκου (VMware)»
- Βέλτιστες πρακτικές:
- Βεβαιωθείτε ότι εφαρμόζεται η ίδια διανομή LVM στο Orchestrator σε αναμονή.
- Δεν συνιστάται η μείωση του μεγέθους των τόμων μετά την αύξησή τους. Χρησιμοποιήστε αντ’ αυτού δυναμική εκχώρηση.
- Στην έκδοση 3.4, κατά την αύξηση του μεγέθους του δίσκου, μπορεί να χρησιμοποιηθεί η ακόλουθη κατανομή ποσοστού/τιμής:
- «/» Τόμος: αυτός ο τόμος χρησιμοποιείται για το λειτουργικό σύστημα. Τα Orchestrator παραγωγής ορίζονται συνήθως σε 140 GB και έχουν χρήση από 40% έως 60%.
- /store και /Store2: το ποσοστό που εφαρμόζεται στα Orchestrator παραγωγής είναι κοντά στο 85% για το /Store και στο 15% για το /Store2.
- Οι ακόλουθες κατευθυντήριες γραμμές στον παρακάτω πίνακα θα πρέπει να χρησιμοποιούνται στην έκδοση 4.x και νεότερες.
Μέγεθος παρουσίας /store /store2 /store3 /var/log Μικρό (5000 SD-WAN Edges) 2 TB 500GB 8TB 15GB Μεσαίο (10000 SD-WAN Edges) 2 TB 500GB 12TB 20GB Μεγάλο (15000 SD-WAN Edges) 2 TB 500GB 16TB 25GB
Διαχείριση πιστοποιητικών στο SASE Orchestrator
Το SASE Orchestrator χρησιμοποιεί έναν ενσωματωμένο διακομιστή πιστοποιητικών για τη διαχείριση του συνολικού κύκλου ζωής PKI όλων των SD-WAN Edges και των ελεγκτών SD-WAN. Τα πιστοποιητικά X.509 εκδίδονται για τις συσκευές του δικτύου.
Λεπτομερείς οδηγίες για τη διαμόρφωση της αρχής πιστοποίησης μπορείτε να βρείτε στην επίσημη τεκμηρίωση χειριστή του VMware SD-WAN στη διεύθυνση https://docs.vmware.com/gr/VMware-SD-WAN/index.htmlστην περιοχή «Εγκατάσταση SASE Orchestrator» και «Εγκατάσταση πιστοποιητικού SSL».
- Διοχετεύσεις TLS 1.2 του επιπέδου διαχείρισης μεταξύ SASE Orchestrator και SD-WAN Edge ελεγκτή SD-WAN.
- Διοχετεύσεις IKEv2/IPsec επιπέδου ελέγχου και δεδομένων μεταξύ SD-WAN Edge και μεταξύ SD-WAN Edge και ελεγκτή SD-WAN.
Λίστα ανάκλησης πιστοποιητικών
vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l 14 vcadmin@vcg1-example:~
Αλληλεπίδραση υποστήριξης
Ο οργανισμός υποστήριξης πελατών της εταιρείας μας παρέχει στους πελάτες του VMware SD-WAN τεχνική βοήθεια και εξατομικευμένη καθοδήγηση παγκόσμιας κλάσης 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα, για όλο τον χρόνο.
- Διαγνωστικά πακέτα
Κατά τη διερεύνηση ενός περιστατικού, μπορεί να δημιουργηθεί ένα διαγνωστικό πακέτο του SASE Orchestrator και του ελεγκτή SD-WAN. Το αρχείο που προκύπτει θα βοηθήσει την ομάδα της Υποστήριξης VMware να αναλύσει περαιτέρω τα συμβάντα γύρω από ένα ζήτημα.
- Κοινή χρήση πρόσβασης με την Υποστήριξη
Σε ορισμένες περιπτώσεις μπορεί να απαιτείται βοήθεια από εκπροσώπους της Υποστήριξης VMware για το SASE Orchestrator και τους ελεγκτές SD-WAN.
Ορισμένοι συνηθισμένοι τρόποι για να παραχωρήσετε πρόσβαση είναι οι εξής:- Απομακρυσμένες περίοδοι λειτουργίας με την Υποστήριξη: ο πελάτης είτε θα εκχωρήσει τον απομακρυσμένο έλεγχο στον διακομιστή μεταπήδησης SSH είτε θα ακολουθήσει τις οδηγίες του εκπροσώπου της Υποστήριξης.
- Δημιουργία λογαριασμού για την ομάδα της Υποστήριξης στο SASE Orchestrator. Αυτό βοηθά την ομάδα της Υποστήριξης να συγκεντρώσει αρχεία καταγραφής χωρίς αλληλεπίδραση με τους πελάτες.
- Μέσω του κεντρικού υπολογιστή Bastion: τα δικαιώματα και τα κλειδιά SSH μπορούν να ρυθμιστούν έτσι ώστε να επιτρέπουν στους μηχανικούς της Υποστήριξης να έχουν πρόσβαση στο SASE Orchestrator εσωτερικής εγκατάστασης και στον ελεγκτή SD-WAN χρησιμοποιώντας έναν κεντρικό υπολογιστή Bastion.
Όταν επικοινωνείτε με την Υποστήριξη VMware SD-WAN για να βοηθήσετε στην αξιολόγηση ενός ζητήματος, συμπεριλάβετε τα δεδομένα που περιγράφονται στον παρακάτω πίνακα.
Περισσότερες πληροφορίες μπορείτε να βρείτε στην ακόλουθη σύνδεση: https://kb.vmware.com/s/article/53907
Απαιτείται | Προτείνεται |
---|---|
Αριθμός περιστατικού συνεργάτη | Έναρξη/διακοπή έκδοσης |
Διεύθυνση email/Τηλέφωνο συνεργάτη | IP SRC/DST επηρεαζόμενης ροής |
Διεύθυνση URL SASE Orchestrator | Θύρα SRC/DST επηρεαζόμενης ροής |
Όνομα πελάτη στο SASE Orchestrator | Διαδρομή ροής (E2E, E2GW, απευθείας) |
Επίπτωση στον πελάτη (μεγάλη/μέση/μικρή) | Ονόματα SD-WAN Gateway |
Ονόματα SD-WAN Edge | Σύνδεση με PCAP στο SASE Orchestrator |
Σύνδεση με διαγνωστικό πακέτο στο SASE Orchestrator | |
Σύντομη δήλωση του προβλήματος | |
Ανάλυση και αιτούμενη βοήθεια |