VMware SD-WAN Orchestrator는 API를 통해 고객 및 네트워크에 대한 중요한 정보를 저장하고 내보낼 수 있습니다. 외부 공격으로부터 고객에게 중요한 온-프레미스 정보를 보호하고 해당 API에 대한 액세스를 제한하기 위해 VMware SD-WANSD-WAN Edge의 스테이징 및 활성화를 위해 인터넷 연결 DMZ(완충 영역)에서 배스천 Orchestrator(공용 Orchestrator)의 구성을 지원합니다. 배스천 Orchestrator 기능을 사용하도록 설정한 경우 운영(개인) Orchestrator에서 수신된 활성화 키를 사용하여 운영자 수퍼유저는 배스천 Orchestrator에 대해 프로비저닝된 Edge를 활성화할 수 있습니다. 그런 다음, 활성화된 Edge가 보안 통신을 통해 배스천 Orchestrator에서 운영 Orchestrator로 승격됩니다.
참고: 이 문서에서 "배스천 Orchestrator"라는 용어는 "공용 Orchestrator"라는 용어와 같은 의미로 사용되며 "운영 Orchestrator"는 용어는 "개인 Orchestrator"라는 용어와 같은 의미로 사용됩니다.
다음 다이어그램은 배스천 Orchestrator의 아키텍처 및 활성화 워크플로를 보여 줍니다.
배스천 Orchestrator 아키텍처는 서로 통신하는 두 개의 SD-WAN Orchestrator 인스턴스로 구성됩니다. 배스천 쌍의 공용 인스턴스는 '배스천 Orchestrator'이고 개인 인스턴스는 '운영 Orchestrator'입니다. 배스천 Orchestrator - Edge 활성화 워크플로에는 다음 단계가 포함됩니다.
  1. 배스천 Orchestrator 구성
  2. 운영 Orchestrator 준비
  3. SD-WAN Edge를 배스천 Orchestrator로 스테이징
  4. 배스천 Orchestrator에 대해 SD-WAN Edge 활성화
  5. 활성화된 Edge를 배스천 Orchestrator에서 운영 Orchestrator로 승격

제한 사항

  • 배스천 구성 중에 운영자 수퍼유저 계정을 하나만 배스천 Orchestrator로 스테이징할 수 있습니다. 배스천 및 운영 Orchestrator 간에 배스천 연결이 설정되면 운영자 수퍼유저 계정을 긴급 목적으로 사용하여 배스천 Orchestrator에 액세스할 수 있습니다. 스테이징된 운영자 수퍼유저는 배스천 Orchestrator 구성 페이지에만 액세스할 수 있습니다.
  • 운영 Orchestrator에서 배스천 Orchestrator를 페어링 해제(독립형 모드로 돌아가기 작업)하는 것은 지원되지 않습니다.
  • Edge를 활성화하려면 Edge가 "인증서 획득(Certificate Acquire)" 모드여야 합니다. Edge를 승격하는 동안 게이트웨이가 있는 WAN 링크를 실행 중(UP)으로 전환하기 위해서는 게이트웨이가 "인증서 획득(Certificate Acquire)" 또는 "인증서 필요(Certificate Required)" 모드여야 합니다.
  • 배스천 Orchestrator에서 운영 Orchestrator로 Edge를 승격한 후 Edge 소프트웨어 이미지를 업그레이드하려면 다음과 같이 운영 Orchestrator에서 vco.trusted.uuids 시스템 속성을 구성해야 합니다.
    [
    {
        "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
        "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
    }
]

    여기서 uuidsessionSecret은 배스천 Orchestrator의 UUID 및 세션 암호 값입니다. vco.uuidsession.secret 시스템 속성 각각에서 UUID 및 세션 비밀을 가져올 수 있습니다.

  • 배스천 Orchestrator에서 게이트웨이 및 Edge가 스테이징 되고 활성화되면 배스천 Orchestrator에서 스테이징된 게이트웨이 및 Edge에 대해 운영 Orchestrator를 사용하여 원격 진단 테스트를 수행할 수 없습니다.
  • 엔터프라이즈 고객을 배스천 Orchestrator로 스테이징하기 위해 생성된 배스천 스테이징 프로필에는 글로벌 세그먼트와 관련된 최소 구성이 필요합니다. 프로필 엔티티가 업데이트될 때 글로벌 세그먼트의 디바이스 설정, 비즈니스 정책 및 방화벽만 배스천 Orchestrator와 동기화됩니다. 다음 프로필 구성은 배스천 Orchestrator와 동기화되지 않습니다.
    • 글로벌 세그먼트 외의 세그먼트
    • 네트워크 세그먼트 구성
    • 개체 그룹

배스천 Orchestrator에 대한 재해 복구

기본적으로 DR(재해 복구) 기능은 운영(개인) Orchestrator에 대해 지원되지만 배스천(공용) Orchestrator는 상태를 저장하지 않고 운영 Orchestrator에서 해당 명령을 수신하므로 배스천 Orchestrator에 대한 DR 기능은 현재 지원되지 않습니다.