VMware SASE Orchestrator は、API を介して、カスタマーとそのネットワークに関する機密情報を保存およびエクスポートします。オンプレミスのカスタマーの機密情報を外部の攻撃から保護し、API へのアクセスを制限するために、 VMware SD-WAN は、 SD-WAN Edge のステージングとアクティベーションの目的で、インターネットに面した非武装地帯 (DMZ) での Bastion Orchestrator(パブリック Orchestrator)の設定をサポートします。Bastion Orchestrator 機能を有効にすると、オペレータ スーパー ユーザーは、本番環境の(プライベート)Orchestrator から受信したアクティベーション キーを使用して、Bastion Orchestrator に対してプロビジョニングされた Edge をアクティベーションできます。次に、アクティベーションされた Edge は、安全な通信を介して Bastion Orchestrator から本番環境の Orchestrator に昇格されます。
注: このドキュメントでは、「Bastion Orchestrator」という用語は「パブリック Orchestrator」という用語と同じ意味で使用され、「本番環境の Orchestrator」という用語は「プライベート Orchestrator」という用語と同じ意味で使用されます。
次の図は、Bastion Orchestrator のアーキテクチャとアクティベーション ワークフローを示しています。
Bastion Orchestrator アーキテクチャは、相互に通信する 2 つの Orchestrator インスタンスで構成されています。Bastion ペアのパブリック向けのインスタンスは「Bastion Orchestrator」で、プライベート インスタンスは「本番環境の Orchestrator」です。Bastion Orchestrator - Edge アクティベーション ワークフローには、次の手順が含まれます。
  1. Bastion Orchestrator の設定
  2. 本番環境の Orchestrator の準備
  3. Bastion Orchestrator への SD-WAN Edge のステージング
  4. Bastion Orchestrator に対する SD-WAN Edge のアクティベーション
  5. Bastion Orchestrator から本番環境の Orchestrator へのアクティベーションされた Edge の昇格

制限事項

  • Bastion の設定中、Bastion Orchestrator にステージングできるオペレータ スーパー ユーザー アカウントは 1 つだけです。Bastion と本番環境の Orchestrator の間で Bastion 接続が確立されると、オペレータ スーパー ユーザー アカウントを緊急の目的で使用して、Bastion Orchestrator にアクセスできます。ステージングされたオペレータ スーパー ユーザーは、[Bastion Orchestrator 設定 (Bastion Orchestrator Configuration)] ページにのみアクセスできます。
  • Bastion Orchestrator と本番環境の Orchestrator のペアリング解除([スタンドアローン モードに戻る (Return to Standalone Mode)] 操作)はサポートされていません。
  • Edge をアクティベーションするには、Edge が [証明書の取得 (Certificate Acquire)] モードである必要があります。Edge を昇格している間、Gateway との WAN リンクを UP 状態にするには、Gateway が [証明書の取得 (Certificate Acquire)] または [証明書が必要 (Certificate Required)] モードである必要があります。
  • Bastion Orchestrator から本番環境の Orchestrator に Edge を昇格させた後、Edge ソフトウェア イメージをアップグレードする場合は、本番環境の Orchestrator の vco.trusted.uuids システム プロパティを次のように設定します。
    [
    {
        "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
        "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
    }
]

    ここで、uuidsessionSecret は、Bastion Orchestrator の UUID とセッション シークレットの値です。UUID とセッション シークレットは、それぞれ vco.uuidsession.secret のシステム プロパティから取得できます。

  • Bastion Orchestrator で Gateway と Edge がステージングされ、アクティベーションされると、Bastion Orchestrator でステージングされた Gateway と Edge に対して本番環境の Orchestrator を使用してリモート診断テストを実行することはできません。ただし、本番環境の Orchestrator からリモート診断バンドルを要求して生成することができます。
  • エンタープライズ カスタマーを Bastion Orchestrator にステージングする目的で作成される Bastion ステージング プロファイルは、グローバル セグメントに関連する最小限の設定にする必要があります。プロファイル エンティティが更新されると、[グローバル セグメント (Global segment)] の [デバイス設定 (Device settings)]、[ビジネス ポリシー (Business Policy)]、および [ファイアウォール (Firewall)] のみが Bastion Orchestrator と同期されます。次のプロファイル設定は、Bastion Orchestrator と同期されません。
    • グローバル セグメント以外のセグメント
    • ネットワーク セグメント設定
    • オブジェクト グループ

Bastion Orchestrator のディザスタ リカバリ

基本的に、ディザスタ リカバリ (DR) 機能は本番環境の(プライベート)Orchestrator でサポートされていますが、Bastion(パブリック)Orchestrator はステートレスであり、本番環境の Orchestrator から指示を受け取るため、Bastion Orchestrator の DR 機能は現在サポートされていません。

5.4.0 リリースで新たにサポートされる機能

5.4.0 リリースでは、Bastion Orchestrator に次の新機能が導入されました。
  • Bastion Orchestrator を介して本番環境の Orchestrator からステージングされた Edge のイベントを表示する機能。
  • ステージングされた Edge の Bastion Orchestrator を介して本番環境の Orchestrator から診断バンドルを要求する機能。
  • 何らかの理由で Edge の昇格に失敗した場合、Edge は最後に既知の良好な設定に戻ります。つまり、Bastion に再接続されます。
  • SD-WAN Edge を Bastion Orchestrator にステージングしているときに、Edge のアップグレード(ソフトウェアとファームウェアのアップグレード)関連情報を設定して Bastion Orchestrator に送信する機能。これにより、Edge が Bastion Orchestrator に対してアクティベーションされた直後に Edge をアップグレードできます。詳細については、Bastion Orchestrator への SD-WAN Edge のステージングを参照してください。