Distribuzione aziendale e operazioni per SASE Orchestrator

Questa sezione fornisce informazioni sulle opzioni disponibili per monitorare, eseguire il backup e aggiornare le distribuzioni aziendali locali in uno scenario operativo di due giorni.

Panoramica

Anche se il modello aziendale locale presenta funzionalità e vantaggi specifici, ci sono alcune considerazioni che il provider di servizi o il cliente che gestisce la soluzione deve comprendere. Alcune di queste considerazioni sono le seguenti:

Isolamento della soluzione: il team di VMware Cloud Operations non potrà accedere per applicare hotfix e aggiornamenti.
Le restrizioni della gestione delle modifiche limitano la frequenza delle patch e degli aggiornamenti.
Monitoraggio della soluzione non adeguato o insufficiente: questa situazione può verificarsi a causa della mancanza di personale in grado di gestire l'infrastruttura e può causare problemi funzionali, risoluzione dei problemi più lenta e insoddisfazione del cliente.

Questo approccio richiede sempre un investimento significativo in termini di tempo e persone per la gestione, il funzionamento e l'applicazione appropriata di patch. La tabella seguente illustra alcuni degli elementi da considerare quando si gestisce un sistema in locale.

Tabella 1. Confronto tra la responsabilità ospitata in VMware e la responsabilità locale
Sistema	Descrizione	Responsabilità ospitata in VMware	Responsabilità locale
SD-WAN Orchestrator	QoS dell'applicazione e criterio di reindirizzamento link	Sì	Sì
	Criterio di sicurezza per app e appliance SD-WAN	Sì	Sì
	Provisioning e risoluzione dei problemi dell'appliance SD-WAN	Sì	Sì
	Gestione di avvisi ed eventi di SD-WAN	Sì	Sì
	Monitoraggio delle prestazioni e della capacità del link	Sì	Sì
Hypervisor	Monitoraggio/Avvisi	No	Sì
	Risorse di elaborazione e memoria	No	Sì
	Rete e archiviazione virtuali	No	Sì
	Backup	No	Sì
	Replica	No	Sì
Infrastruttura	CPU, memoria, elaborazione	No	Sì
	Commutazione e routing	No	Sì
	Sistemi di monitoraggio e gestione	No	Sì
	Pianificazione della capacità	No	Sì
	Aggiornamenti/patch del software	No	Sì
	Risoluzione dei problemi relativi all'applicazione/infrastruttura	No	Sì
Backup e ripristino di emergenza dell'infrastruttura	Infrastruttura di backup	No	Sì
	Test regolari del regime di backup	No	Sì
	Ripristino di emergenza dell'infrastruttura	No	Sì
	Test del ripristino di emergenza	No	Sì

Nelle due sezioni seguenti sono illustrati gli scenari di funzionamento di due giorni per le distribuzioni aziendali locali, rispettivamente Operazioni del primo giorno e Operazioni del secondo giorno.

Operazioni del primo giorno

Eseguire la sottoscrizione a Security Advisories

VMware Security Advisories documenta le correzioni per le vulnerabilità della sicurezza segnalate nei prodotti VMware. Eseguire la sottoscrizione al link seguente per ricevere un avviso se è necessaria un'azione in un componente locale.

https://www.vmware.com/security/advisories.html

Disattivare Cloud-init in SASE Orchestrator

L'origine dati contiene due sezioni, ovvero meta-data e user-data. La sezione meta-data include l'ID dell'istanza e non deve essere modificata durante la durata dell'istanza, mentre la sezione user-data è una configurazione applicata al primo avvio (per l'ID dell'istanza in meta-data).

Dopo il primo avvio, è consigliabile disattivare il file cloud-init per velocizzare la sequenza di avvio di SASE Orchestrator. Per disattivare cloud-init, eseguire:

./opt/vc/bin/cloud_init_ctl -d

Non è consigliabile "eliminare" il file cloud-init con il comando "apt purge cloud-init" (questa procedura non causa problemi in VMware SD-WAN Controller). Se si elimina il file cloud-init, vengono eliminati anche alcuni script e strumenti essenziali di SASE Orchestrator (ad esempio, gli script di aggiornamento e backup). Se si utilizza il comando "purge", è possibile ripristinare i file tramite i comandi seguenti:

Passare alla cartella /opt/vcrepo/pool/main/v/vco-tools
Installare il pacchetto dello strumento SASE Orchestrator dalla cartella: "sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb". Il nome del pacchetto vco-tools può variare in base alla versione. Controllare il nome del file corretto con il comando "ls vco-tools".

Fuso orario NTP

Il fuso orario di SASE Orchestrator e del gateway deve essere impostato su "Etc/UTC".

vcadmin@vco1-example:~$ cat /etc/timezone 
Etc/UTC 
vcadmin@vco1-example:~$

Se il fuso orario non è corretto, può essere modificato tramite i comandi seguenti:

echo "Etc/UTC" | sudo tee /etc/timezone 
sudo dpkg-reconfigure --frontend noninteractive tzdata

Offset NTP

La previsione è che l'offset NTP sia <= 15 millisecondi.

vcadmin@vco1-example:~$ sudo ntpq -p 
     remote           refid      st t when poll reach   delay   offset  
jitter 
============================================================================== 
*ntp1-us1.prod.v 74.120.81.219    3 u  474 1024  377   10.171   -1.183   1.033 
ntp1-eu1-old.pr .INIT.          16 u    - 1024    0    0.000    0.000   0.000 
vcadmin@vco1-example:~$

Se l'offset non è corretto, può essere modificato tramite i comandi seguenti:

sudo service ntp stop 
sudo ntpdate <server> 
sudo service ntp start

Archivio SASE Orchestrator

Quando SASE Orchestrator viene inizialmente distribuito, vengono create tre partizioni: /, /store, /store2., /store3 (versione 4.0 e successive). Le partizioni vengono create con dimensioni predefinite. Seguire le istruzioni della sezione intitolata "Aumento dello spazio di archiviazione in SASE Orchestrator" per informazioni sulla modifica delle dimensioni predefinite in modo che corrispondano alla progettazione.

Attività aggiuntive

SASE Orchestrator richiede ulteriori configurazioni dopo la sua implementazione tramite i passaggi seguenti:

Configurare le proprietà di sistema.
Configurare il profilo dell'operatore iniziale.
Configurare gli account operatore.
Creare SD-WAN Gateway.
Configurare SASE Orchestrator.
Creare l'account cliente o l'account partner.

Le informazioni sulle configurazioni elencate sopra non rientrano nell'ambito del presente documento e sono disponibili nelle guide alla distribuzione della documentazione di VMware. Le istruzioni dettagliate sono disponibili nella sezione intitolata "Installazione di SASE Orchestrator" della Guida alla distribuzione e al monitoraggio di VMware SASE Orchestrator.

Operazioni del secondo giorno

Backup di SASE Orchestrator

In questa sezione sono disponibili i meccanismi per eseguire periodicamente il backup del database di SASE Orchestrator per il ripristino dopo gli errori dell'operatore o gli errori irreversibili di entrambi gli Orchestrator, attivo e di standby.

Tenere presente che la funzionalità di ripristino di emergenza è il metodo di ripristino preferito. Fornisce un obiettivo punto di ripristino prossimo a zero, perché tutte le configurazioni nell'Orchestrator attivo vengono immediatamente replicate. Per ulteriori dettagli sulla funzionalità di ripristino di emergenza, fare riferimento alla sezione successiva.

Backup mediante lo script incorporato

SASE Orchestrator fornisce un meccanismo di backup della configurazione integrato per eseguire periodicamente il backup della configurazione per il ripristino dopo gli errori dell'operatore o gli errori irreversibili di entrambi gli Orchestrator, attivo e di standby. Il meccanismo è basato su script e si trova in /opt/vc/scripts/db_backup.sh.

Lo script acquisisce essenzialmente un dump del database dei dati di configurazione e degli eventi, escludendo alcune delle tabelle di monitoraggio di grandi dimensioni durante il processo di creazione del dump del database. Una volta eseguito lo script, i file di backup vengono creati nel percorso della directory locale fornito come input allo script precedente.

Il backup è costituito da due file .gzs, uno contenente la definizione dello schema del database e l'altro contenente i dati effettivi senza definizione. L'amministratore deve assicurarsi che nella posizione della directory di backup sia disponibile spazio su disco sufficiente per il backup.

Procedure consigliate

Montare una posizione remota e configurare lo script di backup in modo che punti a tale posizione. La posizione remota deve avere lo stesso archivio di /store se viene eseguito il backup anche dei flussi.
Prima di utilizzare lo script di backup, controllare lo stato della replica del ripristino di emergenza nella pagina della replica di SASE Orchestrator. Devono essere sincronizzati e non devono essere presenti errori.
Eseguire inoltre una query MySQL e controllare l'intervallo di replica.
- SHOW SLAVE STATUS \G
- Nella query precedente, esaminare il campo seconds_behind_master. Idealmente, dovrebbe essere pari a zero, ma un valore inferiore a 10 è comunque sufficiente.
- Per gli SASE Orchestrator di grandi dimensioni è consigliabile utilizzare l'Orchestrator di standby per l'esecuzione dello script di backup. Non vi sarà alcuna differenza nel backup generato da entrambi gli SASE Orchestrator.
Avvertenze
- Lo script esegue solo il backup della configurazione. Le statistiche del flusso o gli eventi non sono inclusi.
- Il ripristino della configurazione richiede l'assistenza del team di supporto/tecnico.

Domande frequenti

Quanto tempo è necessario per eseguire lo script?
La durata del backup dipende dalla scalabilità della configurazione del cliente effettivo. Poiché le tabelle di monitoraggio sono escluse dall'operazione di backup, l'operazione di backup della configurazione dovrebbe essere completata rapidamente. Per un SASE Orchestrator di grandi dimensioni con migliaia di SD-WAN Edge e molti eventi cronologici, potrebbe richiedere fino a un'ora, mentre per un SASE Orchestrator più piccolo dovrebbe essere completata in alcuni minuti.
Qual è la frequenza consigliata per eseguire lo script di backup?
In base alle dimensioni e al tempo necessario per completare il backup iniziale, è possibile determinare la frequenza dell'operazione di backup. L'esecuzione dell'operazione di backup deve essere pianificata durante le ore non di punta per ridurre l'impatto sulle risorse di SASE Orchestrator.
Come è necessario procedere se nel file system root non è disponibile spazio sufficiente per il backup?
È consigliabile utilizzare gli altri volumi montati per archiviare il backup. Nota: non è consigliabile utilizzare il file system root per il backup.
Come è possibile verificare se l'operazione di backup è stata completata correttamente?
Le funzioni stdout e stderr dello script sono sufficienti per determinare se l'operazione di backup è stata completata correttamente o meno. Se la chiamata dello script è automatizzata, il codice di uscita può determinare l'esito positivo o negativo dell'operazione di backup.
Come è possibile ripristinare la configurazione?
Al momento VMware richiede che il cliente si rivolga al supporto di VMware per il ripristino dei dati della configurazione. Il supporto di VMware fornirà assistenza per il ripristino della configurazione del cliente. I clienti non dovranno apportare ulteriori modifiche alla configurazione finché la configurazione non verrà ripristinata.
Qual è l'impatto effettivo dell'esecuzione di questo script?
Anche se il backup della configurazione influisce in modo minimo sulle prestazioni, si verifica un aumento dell'utilizzo delle risorse per il processo MySQL. È consigliabile eseguire il backup durante le ore non di punta.
È possibile apportare modifiche alla configurazione durante l'esecuzione dell'operazione di backup?
È possibile apportare modifiche alla configurazione durante l'esecuzione dell'operazione di backup. Tuttavia, per fare in modo che i backup siano aggiornati, è consigliabile non eseguire alcuna operazione di configurazione durante l'esecuzione del backup.
È possibile ripristinare la configurazione nell'SASE Orchestrator originale oppure è necessario un nuovo SASE Orchestrator?
Sì, la configurazione può, e idealmente dovrebbe, essere ripristinata nello stesso SASE Orchestrator se è disponibile. In questo modo, i dati di monitoraggio vengono utilizzati dopo il completamento dell'operazione di ripristino. Se non è possibile ripristinare l'SASE Orchestrator originale e l'Orchestrator di standby è inattivo, la configurazione può essere ripristinata in un nuovo SASE Orchestrator. In questa istanza, i dati di monitoraggio andranno persi.
Quali azioni devono essere eseguite nel caso in cui sia necessario ripristinare la configurazione in un nuovo SASE Orchestrator?
Per informazioni sulle azioni consigliate nel nuovo SASE Orchestrator, contattare il supporto di VMware perché i passaggi variano in base alla distribuzione effettiva.
È necessario eseguire di nuovo la registrazione degli SD-WAN Edge nell'SASE Orchestrator appena ripristinato?
No, gli SD-WAN Edge non devono essere registrati nel nuovo SASE Orchestrator, perché tutte le informazioni necessarie vengono mantenute come parte del backup.

Ripristino di emergenza di SASE Orchestrator

La funzionalità di ripristino di emergenza (DR) di SASE Orchestrator previene la perdita dei dati archiviati e riprende i servizi di SASE Orchestrator in caso di errore di sistema o di rete. Il ripristino di emergenza di SASE Orchestrator implica la configurazione di una coppia di SASE Orchestrator attivo/standby con replica dei dati e un meccanismo di failover attivato manualmente.

Nota: Il ripristino di emergenza è obbligatorio. Per conoscere licenze e prezzi, contattare il team delle vendite di VMware SD-WAN per ricevere assistenza.

Stati

Dal punto di vista di un operatore, nonché degli SD-WAN Edge e dei SD-WAN Gateway, un SASE Orchestrator può trovarsi in uno dei quattro stati di ripristino di emergenza seguenti:

Autonomo (Standalone): nessun ripristino di emergenza configurato
Attivo (Active): ripristino di emergenza configurato, operante come server di SASE Orchestrator primario
Standby: ripristino di emergenza configurato, operante come server di SASE Orchestrator di replica inattivo
Zombie: ripristino di emergenza precedentemente configurato e attivo, ma non funge più da Orchestrator attivo o di standby

Tabella 2. Tabella 2: Requisiti minimi dell'istanza per SASE Orchestrator in locale
Fasi	Ruolo SASE Orchestrator A	Ruolo SASE Orchestrator B
Iniziale	Autonomo (Standalone)	Autonomo (Standalone)
Associazione	Attivo (Active)	Standby
Failover	Zombie	Autonomo (Standalone)

Procedure consigliate

Individuare il ripristino di emergenza di SASE Orchestrator in un data center geograficamente separato.
Prima di promuovere un Orchestrator di standby come attivo, verificare che lo stato della replica del ripristino di emergenza sia sincronizzato. L'Orchestrator in precedenza attivo non sarà più in grado di gestire l'inventario e la configurazione.
Se l'Orchestrator di standby è in grado di comunicare con l'Orchestrator in precedenza attivo, indicherà a tale Orchestrator di passare allo stato non valido. Nello stato Zombie, l'SASE Orchestrator comunica ai propri client (SD-WAN Edge, SD-WAN Gateway, interfaccia utente/API) che non è più attivo e che devono comunicare con l'SASE Orchestrator appena promosso.
Se l'Orchestrator di standby promosso non è in grado di comunicare con l'Orchestrator in precedenza attivo, l'operatore deve abbassare manualmente il livello dell'Orchestrator in precedenza attivo, se possibile.
Le istruzioni dettagliate sono disponibili nella documentazione ufficiale di SASE Orchestrator docs.vmware.com in "Configurazione del ripristino di emergenza di SASE Orchestrator".

Procedura di aggiornamento per SASE Orchestrator

Per le distribuzioni aziendali locali, contattare il team di supporto di VMware per preparare l'aggiornamento di SASE Orchestrator come descritto di seguito:

Il supporto di VMware fornirà assistenza per l'aggiornamento. Prima di contattare il supporto di VMware, raccogliere le informazioni seguenti.
- Specificare la versione corrente e quella di destinazione di SASE Orchestrator, ad esempio versione corrente 3.4.2 e versione di destinazione 3.4.3.
  Nota: Per la versione corrente, queste informazioni sono disponibili nell'angolo superiore destro di SASE Orchestrator facendo clic sul link Guida (Help) e scegliendo Informazioni su (About).
- Fornire una schermata del dashboard di replica di SASE Orchestrator, come illustrato di seguito.
- Tipo e versione dell'hypervisor, ad esempio vSphere 6.7
- Comandi di SASE Orchestrator (i comandi devono essere eseguiti come root, ad esempio "sudo <comando>" o "sudo -i"):
  - Layout di LVM
    - pvdisplay -v
    - vgdisplay -v
    - lvdisplay -v
    - df -h
    - cat /etc/fstab
  - Informazioni sulla memoria
    - free -m
    - cat /proc/meminfo
    - ps -ef
    - top -b -n 2
  - Informazioni sulla CPU
    - cat /proc/cpuinfo
  - Copia di /var/log
    - tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log
  - Dall'istanza di Orchestrator di standby:
    - sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
  - Dall'istanza di Orchestrator attiva:
    - sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
Contattare il supporto di VMware SD-WAN all'indirizzo https://kb.vmware.com/s/article/53907 comunicando le informazioni elencate sopra per ricevere assistenza per l'aggiornamento di SASE Orchestrator.
Nel caso in cui il cliente desideri una soluzione di rollback rapido dopo un aggiornamento, nella sezione successiva sono disponibili le linee guida dello snapshot di ESXi.

Snapshot di ESXi

La funzionalità di snapshot di ESXi può essere utilizzata prima degli aggiornamenti di SASE Orchestrator per fornire un rollback rapido alla versione precedente di SASE Orchestrator.

Procedure consigliate per lo snapshot di ESXi

Prima di esaminare il processo passo passo, consultare le seguenti procedure consigliate e linee guida relative alla funzionalità:

L'Orchestrator attivo e di standby devono essere spenti prima di eseguire il ripristino dallo snapshot per evitare eventuali incoerenze del database.
Tutte le attività relative allo snapshot devono essere eseguite nell'Orchestrator attivo e di standby per evitare incoerenze del database.
Se il processo di aggiornamento viene eseguito correttamente, è importante consolidare lo snapshot. Le dimensioni del file dello snapshot continuano ad aumentare quando viene mantenuto per un periodo più esteso. Ciò può causare l'esaurimento dello spazio nella posizione dell'archivio dello snapshot e influire negativamente sulle prestazioni del sistema.
Durante la creazione dello snapshot, disattivare gli avvisi in SASE Orchestrator per evitare falsi allarmi.
Non utilizzare un singolo snapshot per più di 72 ore.
Non è consigliabile utilizzare gli snapshot come backup.
La convalida della funzionalità è stata eseguita con ESXi 6.7 e SASE Orchestrator versione 3.4.4.

Le procedure consigliate per lo snapshot di VMware sono disponibili nel seguente articolo della Knowledge Base: https://kb.vmware.com/s/article/1025279

Creare lo snapshot di ESXi

Per creare uno snapshot di ESXi, attenersi alle istruzioni seguenti.

Disattivare le proprietà di sistema relative ad avvisi, notifiche e monitoraggio nell'Orchestrator attivo. La durata approssimativa è di 10 minuti.
1. Nel portale dell'operatore, fare clic su Proprietà di sistema (System Properties). Modificare le seguenti proprietà di sistema impostandole su false.
  - vco.alert.enable
  - vco.notification.enable
  - vco.monitor.enable
Disattivare le proprietà di sistema relative ad avvisi, notifiche e monitoraggio nell'Orchestrator di standby.
1. Modificare le seguenti proprietà di sistema impostandole su false.
  - vco.alert.enable
  - vco.notification.enable
  - vco.monitor.enable
Spegnere l'Orchestrator attivo.
Passare a ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off.
Spegnere l'Orchestrator di standby.
Passare a ESXi/vCenter → Orchestrator VM → Actions → Power → Power
Creare uno snapshot dell'Orchestrator attivo. Verificare che la macchina virtuale sia spenta prima di eseguire questo passaggio.
Passare a ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot.
Creare uno snapshot dell'Orchestrator di standby. Verificare che la macchina virtuale sia spenta prima di eseguire questo passaggio.
Passare a ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot.

Consolidamento dello snapshot di ESXi

Se l'aggiornamento viene eseguito correttamente, utilizzare le istruzioni seguenti. Un aumento dell'utilizzo della CPU di circa il 5% è previsto durante il processo di consolidamento. La durata approssimativa è di 10 minuti.

Dopo aver verificato che l'aggiornamento negli Orchestrator attivo e di standby sia stato eseguito correttamente, è possibile consolidare gli snapshot a partire dall'Orchestrator attivo.
Passare a ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All.
Consolidare lo snapshot nell'Orchestrator di standby.
Passare a ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All.
Riabilitare le proprietà di sistema relative ad avvisi, notifiche e monitoraggio nell'Orchestrator attivo e nell'Orchestrator di standby.
Nel portale dell'operatore, fare clic su Proprietà di sistema (System Properties). Modificare le seguenti proprietà di sistema impostandole su true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Se l'eliminazione di tutti gli snapshot non funziona con vSphere 6.x/7.x, è possibile provare a consolidare gli snapshot. Per ulteriori informazioni, vedere la sezione relativa al consolidamento degli snapshot nella documentazione del prodotto vSphere.

Eseguire il ripristino dallo snapshot di ESXi

Attenersi alle istruzioni seguenti se si desidera eseguire un rollback alla versione precedente di SASE Orchestrator. La durata approssimativa è di 10 minuti.

Spegnere l'Orchestrator attivo.
Passare a ESXi/vCenter → Orchestrator VM → Actions → Power → Power.
Spegnere l'Orchestrator di standby.
Passare a ESXi/vCenter → Orchestrator VM → Actions → Power → Power.
Ripristinare lo snapshot dell'Orchestrator attivo.
Passare a ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshots.
Selezionare lo snapshot di cui si desidera ripristinare la macchina virtuale → Revert to (vedere l'immagine seguente).
Ripristinare lo snapshot dell'Orchestrator di standby.
Passare a ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshots.
Selezionare lo snapshot di cui si desidera ripristinare la macchina virtuale → Revert to.
Riabilitare le proprietà di sistema relative ad avvisi, notifiche e monitoraggio nell'Orchestrator attivo e nell'Orchestrator di standby. Nel portale dell'operatore, fare clic su Proprietà di sistema (System Properties). Modificare le seguenti proprietà di sistema impostandole su true.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable

Aggiornamento secondario del software di Controller (ad esempio dalla versione 3.3.2 P3 alla versione 3.4.4)

Il file dell'aggiornamento del software contiene aggiornamenti del gateway e del sistema. NON eseguire "apt-get update && apt-get –y upgrade".

Prima di procedere con l'aggiornamento di VMware SD-WAN Controller, verificare che SASE Orchestrator sia già stato aggiornato alla stessa versione oppure a una versione successiva.

Per aggiornare SD-WAN Controller:

Scaricare il pacchetto di aggiornamento di SD-WAN Controller.
Caricare l'immagine nell'archivio di SD-WAN Controller (utilizzando ad esempio il comando SCP). Copiare l'immagine nella posizione seguente del sistema: /var/lib/velocloud/software_update/vcg_update.tar.
Connettersi alla console di SD-WAN Controller ed eseguire:
sudo /opt/vc/bin/vcg_software_update

Esempio:

root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> 
Resolving ftpsite.vmware.com (ftpsite.vmware.com)...  
Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: unspecified [application/octet-stream] 
Saving to: 'vcg_update.tar' 
    [                                  <=>  ] 325,939,200 3.81MB/s   in 82s 
2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] 
root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update 
=========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 
Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a 
Ign file: trusty InRelease 
Ign file: trusty Release.gpg 
Get: 1 file: trusty Release [2,668 B] 
Ign file: trusty/main Translation-en_US 
Ign file: trusty/main Translation-en 
(...) 
Writing extended state information... 
Reading package lists... 
Building dependency tree... 
Reading state information... 
Reading extended state information... 
Initializing package states... 
update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic 
Reboot is required. Reboot? (y/n) [y]:

Aggiornamento principale del software di Controller (ad esempio dalla versione 3.3.2 o 3.4 alla versione 4.0)

Nella versione 4.0 sono state apportate diverse modifiche:

Un nuovo layout del disco di sistema basato su LVM per consentire una maggiore flessibilità nella gestione dei volumi
Una nuova versione del kernel
Pacchetti di sistemi operativi di base nuovi e aggiornati
Miglioramento della sicurezza in base ai benchmark di Center for Internet Security

A causa di queste modifiche, la procedura di aggiornamento standard che utilizza lo script di aggiornamento non funziona. È necessaria una procedura di aggiornamento specifica, che è disponibile nel manuale del prodotto indicato di seguito. Questa procedura consiste nel sostituire la macchina virtuale del gateway della versione 3.3.2 o 3.4 con la nuova macchina virtuale del gateway della versione 4.0. Fare riferimento al documento seguente: Aggiornamento del gateway partner di VMware SD-WAN e migrazione dalla versione 3.3.2 o 3.4 alla versione 4.0

Questa procedura di aggiornamento richiede la configurazione della proprietà di sistema di SASE Orchestrator, che può essere eseguita solo da account operatore di SASE Orchestrator. Creare un ticket di supporto per il team di supporto di VMware per richiedere la modifica della proprietà di sistema.

Monitoraggio

Una delle responsabilità del cliente nelle distribuzioni aziendali locali consiste nel monitorare la soluzione. Grazie al monitoraggio, il cliente acquisisce la visibilità necessaria per prevenire i possibili problemi.

Monitoraggio di SD-WAN Controller
È possibile monitorare lo stato e i dati di utilizzo dei Controller disponibili nel portale dell'operatore.
La procedura è la seguente:

Nel portale dell'operatore, fare clic su Gateway (Gateways).
Nella pagina Gateway (Gateways) viene visualizzato l'elenco dei Controller disponibili.
Fare clic sul link di un gateway. Vengono visualizzati i dettagli del Controller selezionato.
Fare clic sulla scheda Monitora (Monitor) per visualizzare i dati di utilizzo del Controller selezionato.

La scheda Monitora (Monitor) del Controller selezionato include i dettagli seguenti, come illustrato nell'immagine qui sotto.

Nella parte superiore della pagina, è possibile scegliere un periodo specifico per visualizzare i dettagli del Controller per la durata selezionata.

La pagina include una rappresentazione grafica dei dettagli di utilizzo dei parametri seguenti per il periodo di tempo selezionato, insieme ai valori minimo, massimo e medio.

Tabella 3. Dettagli di utilizzo
Utilizzo	Descrizione
Percentuale CPU (CPU Percentage)	Percentuale di utilizzo della CPU
Utilizzo memoria (Memory Usage)	Percentuale di utilizzo della memoria
Numero flussi (Flow Counts)	Numero dei flussi del traffico
Eliminazioni coda di handoff (Handoff Queue Drops)	Numero di pacchetti eliminati a causa di handoff in coda
Numero tunnel (Tunnel Count)	Numero delle sessioni del tunnel

Valori di SD-WAN Gateway Controller consigliati da monitorare

L'elenco seguente include i valori che devono essere monitorati e le relative soglie. L'elenco qui sotto viene fornito come punto di partenza e non è esaustivo. Alcune distribuzioni potrebbero richiedere la valutazione di componenti aggiuntivi, come flussi, perdita di pacchetti e così via.

Ogni volta che viene raggiunta una soglia di avviso, è consigliabile rivedere la configurazione della scalabilità del dispositivo corrente e aggiungere ulteriori risorse, se necessario. Quando viene attivato un avviso critico, è fondamentale contattare gli addetti al supporto di VMware per verificare la soluzione e ricevere ulteriori consigli.

Tabella 4. Valori che è consigliabile monitorare
Controllo del servizio	Descrizione del controllo del servizio	Soglia di avviso	Soglia critica
Carico CPU	Controllare il carico del sistema.	60	80
Memoria	Controlla il buffer di utilizzo della memoria, la cache e la memoria utilizzata.	70	80
Tunnel	Numero di tunnel degli SD-WAN Edge connessi.	60% della scalabilità massima	80% della scalabilità massima Nota: anche una perdita improvvisa di tutti i tunnel o una quantità insolitamente bassa dovrebbe destare preoccupazione.
Interruzioni degli handoff	A causa della natura del traffico tramite un Controller, è possibile che si verifichino interruzioni occasionali.	Interruzioni persistenti in code specifiche possono indicare un problema di capacità.
Spazio su disco	Utilizzo corrente del disco	40% libero	20% libero
Controller NTP	Verifica offset temporale	Offset di 5 secondi	Offset di 10 secondi

Integrazione di SASE Orchestrator con gli stack di monitoraggio

In SASE Orchestrator è incorporato uno stack di monitoraggio delle metriche di sistema, che può essere collegato a un agente di raccolta delle metriche esterno e a un database delle serie temporali. Lo stack di monitoraggio consente di controllare facilmente lo stato di integrità e il carico di sistema di SASE Orchestrator.

Prima di iniziare, configurare un database basato sul tempo e un dashboard/agente di avviso. Una volta completata questa operazione, è possibile abilitare Telegraf in SASE Orchestrator.

- Per abilitare lo stack di monitoraggio, eseguire il comando seguente in Orchestrator:
  sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Per verificare lo stato dello stack di monitoraggio, eseguire:
  sudo /opt/vc/scripts/vco_observability_manager.sh status
- Per disattivare lo stack di monitoraggio, eseguire:
```
sudo /opt/vc/scripts/vco_observability_manager.sh disable
```

Agente di raccolta delle metriche

Come agente di raccolta delle metriche di sistema di SASE Orchestrator viene utilizzato Telegraf, che include molti plug-in per raccogliere le diverse metriche di sistema. Per impostazione predefinita, sono abilitate le seguenti metriche.

Tabella 5. Agente di raccolta delle metriche
Nome metrica	Descrizione	Supportato nella versione
inputs.cpu	Metriche relative all'utilizzo della CPU.	3.4/4.0
inputs.mem	Metriche relative all'utilizzo della memoria.	3.4/4.0
inputs.net	Metriche relative alle interfacce di rete.	4.0
inputs.system	Metriche relative al tempo di attività e al carico del sistema.	4.0
inputs.processes	Numero di processi raggruppati per stato.	4.0
inputs.disk	Metriche relative all'utilizzo del disco.	4.0
inputs.diskio	Metriche relative alle operazioni I/O del disco per dispositivo.	4.0
inputs.procstat	Utilizzo della CPU e della memoria per processi specifici.	4.0
inputs.nginx	Informazioni sullo stato di base di Nginx (ngx_http_stub_status_module).	4.0
inputs.mysql	Dati statistici del server MySQL.	3.4/4.0
inputs.redis	Metriche di uno o più server Redis.	3.4/4.0
inputs.statds	Metriche di sistema e API.	3.4/4.0 (ulteriori metriche sono incluse nella versione 4.0)
inputs.filecount	Numero e dimensioni totali dei file nelle directory specificate.	4.0
inputs.ntpq	Metriche delle query NTP standard, richiede il file eseguibile ntpq.	4.0
Inputs.x509_cert	Metriche di un certificato SSL.	4.0

Per attivare più metriche o disattivare alcune metriche abilitate, è possibile modificare il file di configurazione di Telegraf in SASE Orchestrator tramite:

sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf

sudo systemctl restart telegraf

Database delle serie temporali
È possibile utilizzare un database delle serie temporali per archiviare le metriche di sistema raccolte da Telegraf. Un database delle serie temporali (TSDB) è un database ottimizzato per i dati delle serie temporali.

Dashboard e agente di avviso
Il dashboard e l'agente di avviso consentono di eseguire query, visualizzare, creare avvisi ed esplorare i dati archiviati in TSDB. L'immagine illustra l'esempio di un dashboard che utilizza Telegraf (un TSDB e un motore di dashboard) che può essere creato per monitorare la soluzione.

Configurazione del database delle serie temporali
Seguire le istruzioni seguenti per configurare il database delle serie temporali.

Aggiungere la voce iptables per consentire ai sistemi di monitoraggio esterni di accedere alla porta di Telegraf. Per motivi di sicurezza, è necessario specificare l'indirizzo IP di origine.
1. Esempio. L'indirizzo IP del sistema di monitoraggio esterno è 191.168.0.200 Add "-A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment "allow telegraf port" -j ACCEPT" to /etc/iptables/rules.v4
2. Riavviare iptables.
  sudo service iptables-persistent restart (Orchestrator 3.4.x)
  sudo systemctl restart netfilter-persistent (Orchestrator 4.x)
3. Assicurarsi che la voce iptables sia stata aggiunta.
Aggiungere i dettagli del database delle serie temporali nella configurazione di Telegraf. Creare un file di configurazione di output. Di seguito è disponibile l'esempio di Prometheus:
/etc/telegraf/telegraf.d/prometheus_out.conf

Valori di SASE Orchestrator che è consigliabile monitorare

L'elenco seguente include i valori che è consigliabile monitorare e le relative soglie. L'elenco seguente rappresenta un punto di partenza, perché non è esaustivo. Alcune distribuzioni potrebbero richiedere la valutazione di componenti aggiuntivi, come transazioni del database, backup automatici e così via.

Tabella 6. Valori da monitorare e soglie
Controllo del servizio	Descrizione del controllo del servizio	Soglia di avviso	Soglia critica
Carico CPU	Controlla il carico del sistema. Plug-in input di Telegraf: inputs.cpu.	60	70
Memoria	Controlla il buffer di utilizzo della memoria, la cache e la memoria utilizzata. Plug-in input di Telegraf: inputs.memory.	70	80
Utilizzo disco	Utilizzo del disco nelle diverse partizioni di Orchestrator, /, /store, /store2 e /store3 (versione 4.0 e successive). Plug-in input di Telegraf: inputs.disk (versione 4.0 e successive).	40% libero	20% libero
Server MySQL	Controlla le connessioni MySQL. Plug-in input di Telegraf: inputs.mysql.		Oltre l'80% della connessione massima definita in mysql.conf(/etc/mysql/my.cnf)
Ora di SASE Orchestrator	Controlla l'offset temporale. Plug-in input di Telegraf: inputs.ntpq (versione 4.0 e successive).	Offset di 5 secondi	Offset di 10 secondi
Certificato SSL di SASE Orchestrator	Verifica la scadenza del certificato. Plug-in input di Telegraf: inputs.x509_cert (versione 4.0 e successive).	60 giorni	30 giorni
Internet di SASE Orchestrator (non applicabile per le topologie solo MPLS)	Controlla l'accesso a Internet.	Tempo di risposta > 5 secondi	Tempo di risposta > 10 secondi
HTTP di SASE Orchestrator	Assicurarsi che l'HTTP su localhost risponda.		Il localhost non risponde.
Numero di certificati totale di SASE Orchestrator	Controlla il numero totale. Esempio di query MySQL: SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()	CRL	Quando il numero di certificati totale supera 5000
Stato replica ripristino di emergenza	Verificare che l'Orchestrator di standby sia aggiornato.	Controllare che SASE Orchestrator del ripristino di emergenza non sia più di 1000 secondi dietro l'Orchestrator attivo. Seconds_Behind_Master: from mysql command: show slave STATUS\G;
Delta dei Gateway e degli SD-WAN Edge di replica del ripristino di emergenza	Verificare che gli SD-WAN Edge e i SD-WAN Gateway possano comunicare con SASE Orchestrator del ripristino di emergenza. Valori diversi tra l'Orchestrator attivo e quello di standby possono essere dovuti a una differenza del fuso orario negli SD-WAN Edge e nei SD-WAN Gateway.	Lo stesso numero di SD-WAN Edge che comunica con l'Orchestrator attivo deve essere in grado di raggiungere l'Orchestrator di standby. Questo valore può essere controllato nella scheda "replica" o tramite l'API.

Procedure consigliate per l'API

SASE Orchestrator alimenta il piano di gestione nella soluzione VMware SD-WAN. Offre ai provider di servizi e alle aziende una vasta gamma di funzionalità di configurazione, monitoraggio e risoluzione dei problemi. Il servizio Web principale con cui gli utenti interagiscono per utilizzare queste funzionalità è denominato portale di SASE Orchestrator.

Portale di SASE Orchestrator
Il portale di SASE Orchestrator consente agli amministratori di rete (o agli script e alle applicazioni che agiscono al posto loro) di gestire la configurazione della rete e del dispositivo, nonché di eseguire query sullo stato attuale o cronologico della rete e del dispositivo. I client API possono interagire con il portale tramite un'interfaccia JSON-RPC o un'interfaccia di tipo REST. In entrambe le interfacce è possibile richiamare tutti i metodi descritti in questo documento. Non sono presenti funzionalità del portale il cui accesso è limitato solo ai client JSON-RPC o a quelli di tipo REST.
Entrambe le interfacce accettano esclusivamente le richieste HTTP POST. Entrambe si aspettano anche che i corpi delle richieste, se presenti, abbiano formato JSON. In base alla RFC 2616, è inoltre probabile che i client asseriscano formalmente quando ciò succede utilizzando l'intestazione della richiesta Content-Type, ad esempio Content-Type: application/json.
Ulteriori informazioni sull'API di VMware SD-WAN sono disponibili qui:
https://code.vmware.com/apis/1000/velocloud-sdwan-vco-api

Procedure consigliate per le aziende e i provider di servizi che utilizzano le API
Alcune delle procedure consigliate per l'utilizzo delle API sono:
- Quando è possibile, è consigliabile preferire le chiamate API aggregate a quelle specifiche dell'azienda. Ad esempio, è possibile utilizzare una singola chiamata a monitoring/getAggregateEdgeLinkMetrics per recuperare le statistiche del trasporto di tutti gli SD-WAN Edge contemporaneamente.
- VMware richiede che i client limitino il numero di chiamate API in corso in un determinato momento a non più di 2-4. Se un utente ritiene che vi sia un motivo valido per abbinare in parallelo le chiamate API, VMware richiede che contatti il supporto di VMware per ricevere informazioni su eventuali soluzioni alternative.
- In genere non è consigliabile eseguire il polling dell'API per i dati statistici con una frequenza maggiore di ogni 10 minuti. I nuovi dati statistici arrivano a SASE Orchestrator ogni 5 minuti. A causa del jitter della segnalazione/elaborazione, il polling dei client ogni 5 minuti potrebbe dare origine a casi "falsi positivi" in cui le statistiche non vengono riflesse nei risultati delle chiamate API. Il risultato migliore per gli utenti si ha utilizzando intervalli di richiesta di 10 minuti o una durata maggiore.
- Evitare di eseguire due volte query per le stesse informazioni.
- Utilizzare sleep tra le API.
- Per le automazioni complesse del software, eseguire gli script e valutare l'impatto sulla CPU o la memoria. Apportare quindi le modifiche necessarie.

Configurazione syslog di SASE Orchestrator

La funzionalità syslog di VMware SASE Orchestrator può essere configurata in modo indipendente per i seguenti processi di Orchestrator: Portale (Portal), Carica (Upload) e Back-end (Backend).

Di seguito è disponibile una breve descrizione di ogni processo:

Portale (Portal): il processo Portale (Portal) viene eseguito come un server HTTP interno downstream da NGINX. Il servizio Portale (Portal) gestisce le richieste API in arrivo, dall'interfaccia Web di SASE Orchestrator o da un client HTTP/SDK, principalmente in modo sincrono. Queste richieste consentono agli utenti che hanno eseguito l'autenticazione di configurare, monitorare e gestire i vari servizi forniti da SASE Orchestrator.
Questo registro è molto utile per le attività di AAA perché include tutte le azioni eseguite dagli utenti in SASE Orchestrator.
File di registro: /var/log/portal/velocloud.log (include tutte le informazioni, gli avvisi e gli errori)
Carica (Upload): il processo Carica (Upload) viene eseguito come un server HTTP interno downstream da NGINX. Il servizio Carica (Upload) gestisce le richieste in arrivo da SD-WAN Edge e SD-WAN Gateway in modalità sincrona o asincrona. Queste richieste riguardano principalmente attivazioni, heartbeat, statistiche dei flussi, statistiche dei link e informazioni di routing inviate da SD-WAN Edge e SD-WAN Gateway.
File di registro: /var/log/upload/velocloud.log (include tutte le informazioni, gli avvisi e gli errori)
Back-end (Backend): strumento di esecuzione dei processi che esegue principalmente i processi pianificati o in coda. I processi pianificati includono attività di pulizia, rollup o aggiornamento dello stato. I processi in coda includono l'elaborazione di link e statistiche dei flussi.
File di registro: /var/log/backend/velocloud.log (include tutte le informazioni, gli avvisi e gli errori)

Configurazione di syslog di Orchestrator

Passare a Proprietà di sistema (System Properties) in SASE Orchestrator, log.syslog.<server> (ad esempio log.syslog.portal). Passare a SASE Orchestrator→ Proprietà di sistema (System Properties) → digitare "log.syslog" nella barra di ricerca
Modificare il valore "enable":false impostandolo su true per uno o più server. Modificare l'indirizzo IP e la porta dell'host in base alla propria implementazione.

Aumento dello spazio di archiviazione in SASE Orchestrator

Istruzioni dettagliate per aumentare lo spazio di archiviazione in SASE Orchestrator sono disponibili nella documentazione di SASE Orchestrator

documentazione all'indirizzo https://docs.vmware.com/ nelle sezioni "Installazione di SASE Orchestrator" ed "Espansione delle dimensioni del disco (VMware)"

Procedure consigliate:

Assicurarsi che all'Orchestrator di standby sia applicata la stessa distribuzione LVM.
Non è consigliabile ridurre le dimensioni dei volumi dopo averle aumentate. Utilizzare invece il thin provisioning.
Nella versione 3.4, quando si aumentano le dimensioni del disco, è possibile utilizzare la seguente distribuzione percentuale/valore:
- Volume "/": questo volume viene utilizzato per il sistema operativo. Gli Orchestrator di produzione sono in genere impostati su 140 GB e l'utilizzo va dal 40% al 60%.
- /store e /store2: la proporzione applicata negli Orchestrator di produzione si avvicina all'85% per /store e al 15% per /store2.

Le linee guida della tabella seguente devono essere utilizzate nella versione 4.x e successive.


Dimensioni istanza	/store	/store2	/store3	/var/log
Piccola (5.000 SD-WAN Edge)	2 TB	500 GB	8 TB	15 GB
Media (10.000 SD-WAN Edge)	2 TB	500 GB	12 TB	20 GB
Grande (15.000 SD-WAN Edge)	2 TB	500 GB	16 TB	25 GB

Gestione dei certificati su SASE Orchestrator

SASE Orchestrator utilizza un server dei certificati incorporato per gestire l'intero ciclo di vita dell'infrastruttura PKI di tutti gli SD-WAN Edge e SD-WAN Controller. Per i dispositivi nella rete vengono emessi certificati X.509.

Istruzioni dettagliate per configurare l'autorità di certificazione sono disponibili nella documentazione ufficiale dell'operatore di VMware SD-WAN all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html, nelle sezioni "Installazione di SASE Orchestrator" e "Installazione di un certificato SSL".

I certificati emessi dall'autorità di certificazione vengono utilizzati solo per l'autenticazione degli elementi seguenti:

Tunnel TLS 1.2 del piano di gestione tra SASE Orchestrator e SD-WAN Controller dell'SD-WAN Edge.
Tunnel IKEv2/IPSec del piano di controllo e del piano dati tra gli SD-WAN Edge e tra SD-WAN Edge e SD-WAN Controller.

Elenco di revoche di certificati

Nei Controller con infrastruttura PKI abilitata, i certificati revocati vengono archiviati in un elenco di revoche di certificati. Se l'elenco diventa troppo lungo (in genere a causa di un problema relativo all'autorità di certificazione di Orchestrator), le prestazioni del Controller peggioreranno. L'elenco di revoche di certificati dovrebbe includere meno di 4.000 voci.

vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l  
14 
vcadmin@vcg1-example:~

Interazione con il supporto

L'organizzazione del supporto clienti fornisce assistenza tecnica in tutto il mondo 24 ore su 24, sette giorni su sette, 365 giorni all'anno e istruzioni personalizzate per i clienti di VMware SD-WAN.

In questa sezione sono disponibili alcune linee guida per interagire con il team del supporto di VMware.

Bundle di diagnostica
Quando si sta indagando su un evento imprevisto, è possibile creare un bundle di diagnostica di SASE Orchestrator e SD-WAN Controller. Il file risultante consentirà al team del supporto di VMware di analizzare ulteriormente gli eventi relativi a un problema.

Condivisione dell'accesso con il supporto
In alcuni casi, potrebbe essere necessario richiedere l'assistenza degli addetti al supporto di VMware per SASE Orchestrator e SD-WAN Controller.
Alcuni modi comuni per concedere l'accesso sono:
- Sessioni remote con il supporto: il cliente concede il controllo remoto al jump server SSH o segue le istruzioni dell'addetto al supporto.
- Creazione di un account per il team di supporto in SASE Orchestrator. In questo modo il team di supporto può raccogliere i registri senza l'interazione del cliente.
- Tramite l'host bastion: le autorizzazioni e le chiavi SSH possono essere configurate per consentire ai tecnici del supporto di accedere a SASE Orchestrator e SD-WAN Controller in locale utilizzando un host bastion.
Quando si contatta il supporto di VMware SD-WAN per ricevere assistenza nell'analisi di un problema, includere i dati descritti nella tabella seguente.
Ulteriori informazioni sono disponibili al link seguente: https://kb.vmware.com/s/article/53907


Necessario	Consigliato
Numero di caso del partner	Inizio/fine del problema
E-mail/numero di telefono del partner	IP SRC/DST del flusso interessato
URL di SASE Orchestrator	Porta SRC/DST del flusso interessato
Nome cliente in SASE Orchestrator	Percorso del flusso (E2E, E2GW, diretto)
Impatto del cliente (alto/medio/basso)	Nome SD-WAN Gateway
Nome SD-WAN Edge	Link a PCAP in SASE Orchestrator
Link al bundle di diagnostica in SASE Orchestrator
Breve descrizione del problema
Analisi e assistenza richiesta