VMware SASE Orchestrator는 API를 통해 고객 및 네트워크에 대한 중요한 정보를 저장하고 내보낼 수 있습니다. 외부 공격으로부터 고객에게 중요한 온-프레미스 정보를 보호하고 해당 API에 대한 액세스를 제한하기 위해
VMware SD-WAN는
SD-WAN Edge의 스테이징 및 활성화를 위해 인터넷 연결 DMZ(완충 영역)에서 배스천 Orchestrator(공용 Orchestrator)의 구성을 지원합니다. 배스천 Orchestrator 기능을 사용하도록 설정한 경우 운영(개인) Orchestrator에서 수신된 활성화 키를 사용하여 운영자 슈퍼유저는 배스천 Orchestrator에 대해 프로비저닝된 Edge를 활성화할 수 있습니다. 그런 다음, 활성화된 Edge가 보안 통신을 통해 배스천 Orchestrator에서 운영 Orchestrator로 승격됩니다.
참고: 이 문서에서 "배스천 Orchestrator"라는 용어는 "공용 Orchestrator"라는 용어와 같은 의미로 사용되며 "운영 Orchestrator"는 용어는 "개인 Orchestrator"라는 용어와 같은 의미로 사용됩니다.
다음 다이어그램은 배스천 Orchestrator의 아키텍처 및 활성화 워크플로를 보여 줍니다.
배스천 Orchestrator 아키텍처는 서로 통신하는 두 개의 Orchestrator 인스턴스로 구성됩니다. 배스천 쌍의 공용 인스턴스는 '배스천 Orchestrator'이고 개인 인스턴스는 '운영 Orchestrator'입니다. 배스천 Orchestrator - Edge 활성화 워크플로에는 다음 단계가 포함됩니다.
제한 사항
- 배스천 구성 중에 운영자 슈퍼유저 계정을 하나만 배스천 Orchestrator로 스테이징할 수 있습니다. 배스천 및 운영 Orchestrator 간에 배스천 연결이 설정되면 운영자 슈퍼유저 계정을 긴급 목적으로 사용하여 배스천 Orchestrator에 액세스할 수 있습니다. 스테이징된 운영자 슈퍼유저는 배스천 Orchestrator 구성 페이지에만 액세스할 수 있습니다.
- 운영 Orchestrator에서 배스천 Orchestrator를 페어링 해제(독립형 모드로 돌아가기 작업)하는 것은 지원되지 않습니다.
- Edge를 활성화하려면 Edge가 "인증서 획득(Certificate Acquire)" 모드여야 합니다. Edge를 승격하는 동안 게이트웨이가 있는 WAN 링크를 실행 중(UP)으로 전환하기 위해서는 게이트웨이가 "인증서 획득(Certificate Acquire)" 또는 "인증서 필요(Certificate Required)" 모드여야 합니다.
- 배스천 Orchestrator에서 운영 Orchestrator로 Edge를 승격한 후 Edge 소프트웨어 이미지를 업그레이드하려면 다음과 같이 운영 Orchestrator에서
vco.trusted.uuids
시스템 속성을 구성해야 합니다.[ { "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2", "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598" } ]
여기서
uuid
및sessionSecret
은 배스천 Orchestrator의 UUID 및 세션 암호 값입니다.vco.uuid
및session.secret
시스템 속성 각각에서 UUID 및 세션 비밀을 가져올 수 있습니다. - 배스천 Orchestrator에서 게이트웨이 및 Edge가 스테이징되고 활성화되면 배스천 Orchestrator에서 스테이징된 게이트웨이 및 Edge에 대해 운영 Orchestrator를 사용하여 원격 진단 테스트를 수행할 수 없습니다. 그렇지만 운영 Orchestrator에서 원격 진단 번들을 요청하고 생성할 수는 있습니다.
- 엔터프라이즈 고객을 배스천 Orchestrator로 스테이징하기 위해 생성된 배스천 스테이징 프로필에는 글로벌 세그먼트와 관련된 최소 구성이 필요합니다. 프로필 엔티티가 업데이트될 때 글로벌 세그먼트의 디바이스 설정, 비즈니스 정책 및 방화벽만 배스천 Orchestrator와 동기화됩니다. 다음 프로필 구성은 배스천 Orchestrator와 동기화되지 않습니다.
- 글로벌 세그먼트 외의 세그먼트
- 네트워크 세그먼트 구성
- 개체 그룹
배스천 Orchestrator에 대한 재해 복구
기본적으로 DR(재해 복구) 기능은 운영(개인) Orchestrator에 대해 지원되지만 배스천(공용) Orchestrator는 상태를 저장하지 않고 운영 Orchestrator에서 해당 명령을 수신하므로 배스천 Orchestrator에 대한 DR 기능은 현재 지원되지 않습니다.
5.4.0 릴리스에서 새로 지원되는 기능
5.4.0 릴리스에서는 배스천 Orchestrator에 다음과 같은 새로운 기능이 도입되었습니다.
- 배스천 Orchestrator를 통해 운영 Orchestrator에서 스테이징된 Edge의 이벤트를 볼 수 있습니다.
- 스테이징된 Edge의 배스천 Orchestrator를 통해 운영 Orchestrator에서 진단 번들을 요청할 수 있습니다.
- 어떤 이유로 인해 Edge 승격이 실패하면 Edge는 마지막으로 확인된 정상 구성(예: 배스천에 다시 연결됨)으로 돌아갑니다.
- SD-WAN Edge를 배스천 Orchestrator로 스테이징하는 동안 Edge 업그레이드(소프트웨어 및 펌웨어 업그레이드) 관련 정보를 구성하고 배스천 Orchestrator로 전송할 수 있습니다. 이를 통해 Edge가 배스천 Orchestrator에 대해 활성화된 직후에 Edge를 업그레이드할 수 있습니다. 자세한 내용은 SD-WAN Edge를 배스천 Orchestrator로 스테이징 항목을 참조하십시오.