VMware SASE Orchestrator archivia ed esporta, tramite le API, informazioni sensibili sui clienti e le loro reti. Per proteggere le informazioni sensibili locali dei clienti da un attacco esterno e limitare l'accesso alle relative API, VMware SD-WAN supporta la configurazione di un Orchestrator Bastion (Orchestrator pubblico) in una zona demilitarizzata (DMZ) lato Internet per la preparazione e l'attivazione di un SD-WAN Edge. Con la funzionalità Orchestrator Bastion abilitata, un superuser operatore può attivare un Edge con provisioning con Orchestrator Bastion utilizzando la chiave di attivazione ricevuta dall'Orchestrator di produzione (privato). L'Edge attivato viene quindi promosso dall'Orchestrator Bastion all'Orchestrator di produzione tramite una comunicazione sicura.
Nota: Nel presente documento, il termine "Orchestrator Bastion" viene utilizzato in modo intercambiabile con il termine "Orchestrator pubblico" e il termine "Orchestrator di produzione" viene utilizzato in modo intercambiabile con il termine "Orchestrator privato".
Il diagramma seguente illustra l'architettura e il workflow di attivazione di Orchestrator Bastion.
L'architettura di Orchestrator Bastion è composta da due istanze di Orchestrator in comunicazione tra loro. L'istanza della coppia di Bastion sul lato pubblico è "Orchestrator Bastion" e l'istanza privata è "Orchestrator di produzione". Il workflow di attivazione di Orchestrator Bastion - Edge include i seguenti passaggi:
  1. Configurazione dell'Orchestrator Bastion
  2. Preparazione dell'Orchestrator di produzione
  3. Staging di un SD-WAN Edge per l'Orchestrator Bastion
  4. Attivazione di un SD-WAN Edge con l'Orchestrator Bastion
  5. Promozione di un Edge attivato dall'Orchestrator Bastion all'Orchestrator di produzione

Limitazioni

  • Durante la configurazione di Bastion, è possibile preparare un solo account superuser operatore per l'Orchestrator Bastion. Una volta stabilita la connessione Bastion tra l'Orchestrator Bastion e l'Orchestrator di produzione, l'account superuser operatore può essere utilizzato a scopo di emergenza per ottenere l'accesso all'Orchestrator Bastion. Il superuser operatore preparato avrà accesso solo alla pagina di configurazione dell'Orchestrator Bastion.
  • L'annullamento dell'associazione dell'Orchestrator Bastion dall'Orchestrator di produzione, ovvero l'operazione Torna alla modalità autonoma (Return to Standalone Mode), non è supportata.
  • Per attivare un Edge, l'Edge deve essere in modalità "Acquisizione certificato" (Certificate Acquire). Durante la promozione dell'Edge, per fare in modo che i link WAN con il gateway siano attivi, il Gateway deve essere in modalità "Acquisizione certificato" (Certificate Acquire) o "Certificato richiesto" (Certificate Required).
  • Dopo la promozione di un Edge da Orchestrator Bastion a Orchestrator di produzione, se si desidera aggiornare l'immagine del software Edge, assicurarsi di configurare la proprietà di sistema vco.trusted.uuids nell'Orchestrator di produzione come indicato di seguito:
    [
    {
        "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
        "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
    }
]

    Dove uuid e sessionSecret sono i valori dell'UUID e del segreto della sessione dell'Orchestrator Bastion. È possibile ottenere l'UUID e il segreto della sessione dalle proprietà di sistema vco.uuid e session.secret rispettivamente.

  • Dopo che il gateway e gli Edge sono stati preparati e attivati nell'Orchestrator Bastion, non è possibile eseguire i test di diagnostica remota utilizzando l'Orchestrator di produzione per il Gateway e gli Edge preparati nell'Orchestrator Bastion. È comunque possibile richiedere e generare un bundle di diagnostica remota dall'Orchestrator di produzione.
  • Il profilo preparato con Bastion, creato per eseguire lo staging di un cliente aziendale per Orchestrator Bastion, deve avere una configurazione minima correlata ai segmenti globali. Quando vengono aggiornate le entità del profilo, solo le impostazioni del dispositivo, il criterio di business e il firewall nel segmento globale verranno sincronizzati con l'Orchestrator Bastion. Le seguenti configurazioni del profilo non verranno sincronizzate con l'Orchestrator Bastion:
    • Segmenti diversi dal segmento globale
    • Configurazioni dei segmenti di rete
    • Gruppi di oggetti

Ripristino di emergenza per Orchestrator Bastion

La funzionalità Ripristino di emergenza (Disaster Recovery) è supportata per l'Orchestrator di produzione (privato), ma non per l'Orchestrator Bastion (pubblico) perché è stateless e riceve le istruzioni dall'Orchestrator di produzione.

Nuove funzionalità supportate nella versione 5.4.0

Nella versione 5.4.0, sono state introdotte le nuove funzionalità seguenti per Orchestrator Bastion:
  • Possibilità di visualizzare gli eventi di un Edge preparato dall'Orchestrator di produzione tramite l'Orchestrator Bastion.
  • Possibilità di richiedere un bundle di diagnostica dall'Orchestrator di produzione tramite l'Orchestrator Bastion di un Edge preparato.
  • Se la promozione di un Edge non riesce per un motivo qualsiasi, l'Edge torna all'ultima configurazione corretta nota, ovvero connessa nuovamente a Bastion.
  • Possibilità di configurare e inviare le informazioni relative all'aggiornamento dell'Edge (aggiornamenti del software e del firmware) all'Orchestrator Bastion durante la preparazione di SD-WAN Edge per Orchestrator Bastion. In questo modo, l'Edge può essere aggiornato immediatamente dopo l'attivazione dell'Edge rispetto all'Orchestrator Bastion. Per ulteriori informazioni, vedere Preparazione un SD-WAN Edge per Orchestrator Bastion.