La funzionalità di analisi viene creata in modo nativo in VMware SD-WAN Edge per la raccolta dei dati inline. Tuttavia, per impostazione predefinita, l'analisi è disattivata per gli Edge. Gli amministratori aziendali possono creare Edge di analisi solo quando la funzionalità di analisi è attivata.

Per creare un nuovo SD-WAN Edge con la funzionalità di analisi, eseguire i passaggi seguenti:

Prerequisiti

  • Assicurarsi che tutte le proprietà di sistema necessarie per attivare l'analisi siano impostate correttamente in SASE Orchestrator. Per ulteriori informazioni, vedere l'argomento Attivazione di VMware Edge Intelligence in un VMware SASE Orchestrator nella Guida dell'operatore di VMware SD-WAN disponibile all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html.
  • Assicurarsi che attivato funzionalità di analisi sia attivata per il cliente prima di eseguire il provisioning di un Edge di analisi.
  • La versione di SASE Orchestrator deve essere la 5.0.1.0 e SD-WAN Edge deve eseguire almeno il codice 4.3.1. È possibile rivedere l'immagine software installata in ogni Edge andando in Configura (Configure) > Edge (Edges). La tabella nella pagina Edge (Edges) includerà una colonna che mostra la versione del software di Edge per cliente.
  • Se l'Edge utilizza la versione 4.2, assicurarsi che disponga di un'interfaccia LAN attiva e annunciata o utilizzare la build speciale del software MGMT-IP. In caso contrario, l'Edge non sarà in grado di inviare le metriche al back-end di EI.

Procedura

  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Nella schermata Edge (Edges), fare clic su Aggiungi Edge (Add Edge).
    Viene visualizzata la schermata Provisioning di un Edge (Provision an Edge).
  3. È possibile configurare le opzione seguenti:
    Opzione Descrizione
    Modalità Selezionare una modalità:
    • SD-WAN Edge: dispone di funzionalità di monitoraggio, diagnostica e configurazione. Include l'isolamento degli errori e l'analisi specifica dell'applicazione che può avvisare quando si verifica un incidente sull'Edge.
    • SD-WAN Edge con funzionalità analitiche abilitate: permette di accedere a tutte le analisi per l'Edge e alla suite completa di funzioni analitiche della filiale.
    • Funzionalità analitiche Only Edge: consente di monitorare l'integrità, le prestazioni e la sicurezza della LAN, nonché risolvere i problemi.
      Nota: È necessario eliminare e riconfigurare l'Edge per ripristinarlo in SD-WAN Edge.
    Nome (Name) Immettere un nome univoco per l'Edge.
    Modello Selezionare un Modello Edge (Edge model) dal menu a discesa.
    Profilo Dal menu a discesa, selezionare un profilo da assegnare all'Edge.
    Nota: Se come opzione viene visualizzato un Profilo di staging dell'Edge (Edge Staging Profile) viene visualizzato come opzione a causa dell'attivazione automatica dell'Edge, indica che questo profilo è utilizzato da un Edge appena assegnato, ma non è stato configurato con un profilo di produzione.
    Licenza Edge (Edge License) Selezionare una licenza Edge (Edge license) dal menu a discesa. Nell'elenco vengono visualizzate le licenze assegnate all'azienda dall'operatore.
    Autenticazione (Authentication)

    Scegliere un modalità di autenticazione dal menu a discesa:

    • Certificato disattivato (Certificate Deactivated): l'Edge utilizza una modalità di autenticazione PSK (Pre-Shared Key).
      Avviso: Questa modalità non è consigliata per le distribuzioni dei clienti.
    • Acquisizione certificato (Certificate Acquire): questa modalità è selezionata per impostazione predefinita ed è consigliata per tutte le distribuzioni del cliente. Con la modalità Acquisizione certificato (Certificate Acquire), i certificati vengono emessi al momento dell'attivazione dell'Edge e rinnovati automaticamente. Orchestrator indica all'Edge di acquisire un certificato dall'autorità di certificazione di SASE Orchestrator generando una coppia di chiavi e inviando una richiesta di firma del certificato a Orchestrator. Una volta acquisito il certificato, l'Edge lo utilizza per l'autenticazione in SASE Orchestrator e per la creazione di tunnel VCMP.
      Nota: Dopo aver acquisito il certificato, l'opzione può essere aggiornata impostandola su Certificato richiesto (Certificate Required), se necessario.
    • Certificato richiesto (Certificate Required): questa modalità è adatta solo alle aziende dei clienti "statiche". Un'azienda statica è definita come un'azienda in cui non vengono distribuiti più di alcuni nuovi Edge e non è prevista alcuna nuova modifica orientata ai PKI.
      Importante: L'opzione Certificato richiesto (Certificate Required) non ha alcun vantaggio di sicurezza rispetto a Acquisizione certificato (Certificate Acquire). Entrambe le modalità sono altrettanto sicure e un cliente che utilizza Certificato richiesto (Certificate Required) dovrebbe farlo solo per i motivi descritti in questa sezione.
      La modalità Certificato richiesto (Certificate Required) significa che non viene accettato alcun heartbeat dell'Edge senza un certificato valido.
      Attenzione: L'utilizzo di questa modalità può causare errori dell'Edge nei casi in cui un cliente non è a conoscenza di questa imposizione rigida.
      Con questa modalità, l'Edge utilizza il certificato PKI. Gli operatori possono modificare la finestra temporale di rinnovo del certificato per gli Edge modificando le proprietà di sistema di Orchestrator. Per ulteriori informazioni, contattare l'operatore.
    Nota:
    • Quando la funzionalità Orchestrator Bastion è abilitata, gli Edge che devono essere preparati per Orchestrator Bastion devono avere la modalità di autenticazione impostata su Acquisizione certificato (Certificate Acquire) o su Certificato richiesto (Certificate Required).
    • Quando il certificato di un Edge viene revocato, l'Edge viene disattivato e deve essere sottoposto al processo di attivazione. La progettazione QuickSec corrente verifica la validità temporale dell'elenco di revoche di certificati (CRL). Affinché il CRL abbia un impatto sulla nuova connessione stabilita, la validità temporale del CRL deve corrispondere all'ora corrente degli Edge. Per implementare questo comportamento, assicurarsi di aggiornare l'ora di Orchestrator in modo che corrisponda alla data e all'ora degli Edge.
    Crittografa segreti dispositivi (Encrypt Device Secrets) Selezionare la casella di controllo Abilita (Enable) per consentire all'Edge di crittografare i dati sensibili in tutte le piattaforme. Questa opzione è disponibile anche nella pagina Configura (Configure) > Edge (Edges) > Panoramica (Overview) del servizio SD-WAN aziendale.
    Nota: Per l'Edge 5.2.0 e versioni successive, prima di disattivare questa opzione, è necessario disattivare l'Edge utilizzando azioni remote. Ciò causa il riavvio dell'Edge.
    Alta disponibilità (High Availability) Selezionare la casella di controllo Abilita (Enable) per applicare l'alta disponibilità (HA). Un Edge può essere installato come un singolo dispositivo autonomo o accoppiato con un altro Edge per fornire il supporto per l'alta disponibilità (HA).
    Nome contatto locale (Local Contact Name) Immettere il nome del contatto del sito per l'Edge.
    E-mail contatto locale (Local Contact Email) Immettere l'indirizzo e-mail del contatto del sito per l'Edge.
  4. Immettere tutti i dettagli richiesti e fare clic su Avanti (Next) per configurare le seguenti opzioni aggiuntive:
    Nota: Il pulsante Avanti (Next) viene attivato solo dopo che sono stati immessi tutti i dettagli obbligatori.
    Opzione Descrizione
    Numero di serie Immettere il numero di serie dell'Edge. Se viene specificato, l'Edge deve visualizzare questo numero di serie all'attivazione.
    Nota: Quando si distribuiscono Edge virtuali VMware SD-WAN negli Edge AWS, assicurarsi di utilizzare l'ID dell'istanza come numero di serie per l'Edge.
    Descrizione Immettere una descrizione appropriata.
    Posizione Fare clic sul link Imposta posizione (Set Location) per impostare la posizione dell'Edge. Se non viene specificato, la posizione viene rilevata automaticamente dall'indirizzo IP quando l'Edge viene attivato.
  5. Fare clic su Aggiungi Edge (Add Edge).
    Viene eseguito il provisioning di un Edge di analisi per il cliente selezionato. Una volta eseguito il provisioning dell'Edge, la funzionalità di analisi raccoglie i dati, esegue l'ispezione avanzata dei pacchetti di tutto il traffico, identifica l'applicazione di rete e mette il traffico in correlazione con le informazioni dell'utente.

Operazioni successive

Per inviare i dati di analisi raccolti al motore di analisi cloud, è necessario configurare un'interfaccia di analisi in cui l'Edge trasmetta i dati di analisi. .