O
VMware SD-WAN Orchestrator armazena e exporta, através de APIs, informações confidenciais sobre os clientes e as suas redes. Para proteger as informações confidenciais dos clientes no local contra ataques externos e restringir o acesso às APIs, o
VMware SD-WAN suporta a configuração de um Orchestrator Bastião (Orchestrator Público) numa zona desmilitarizada (DMZ) com acesso à Internet com o objetivo de fasear e ativar um
SD-WAN Edge. Com a funcionalidade Orchestrator Bastião (Bastion Orchestrator) ativada, o superutilizador operador pode ativar um Edge aprovisionado no Orchestrator Bastião utilizando a chave de ativação recebida do Orchestrator de Produção (Privado). O Edge ativado é, em seguida, promovido de Orchestrator Bastião para Orchestrator de Produção através de uma comunicação segura.
Nota: Neste documento, o termo “Orchestrator Bastião” é utilizado de forma alternada com o termo “Orchestrator Público” e o termo “Orchestrator de Produção” é utilizado de forma alternada com o termo “Orchestrator Privado”.
O seguinte diagrama ilustra a arquitetura e o fluxo de trabalho de ativação do Orchestrator Bastião.
A arquitetura do Orchestrator Bastião consiste em duas instâncias do SD-WAN Orchestrator em comunicação uma com a outra. A instância com acesso público do par de Bastiões é o “Orchestrator Bastião” e a instância privada é o “Orchestrator de Produção”. O fluxo de trabalho de ativação do Orchestrator Bastião – Edge inclui os passos seguintes:
Durante a configuração do Bastião, pode fasear apenas uma conta de superutilizador operador para o Orchestrator Bastião. Uma vez estabelecida a ligação ao Bastião entre os Orchestrators Bastião e de Produção, é possível utilizar a conta do superutilizador operador para fins de emergência para obter acesso ao Orchestrator Bastião. O superutilizador operador que é faseado apenas vai ter acesso à página de configuração do Orchestrator Bastião.
O desemparelhamento do Orchestrator Bastião do Orchestrator de Produção (Regressar ao modo autónomo (Return to Standalone Mode)) não é suportado.
Para ativar um Edge, o Edge deve estar no modo “Aquisição de certificado” (Certificate Acquire). Ao promover o Edge, para ativar as ligações WAN com o gateway, o Gateway deve estar no modo “Aquisição de certificado” (Certificate Acquire) ou “Certificado Obrigatório” (Certificado necessário).
Após promover um Edge de Orchestrator Bastião para Orchestrator de Produção, se pretender atualizar a imagem de software do Edge, certifique-se de que configura a propriedade de sistema vco.trusted.uuids no Orchestrator de Produção da seguinte forma:
Em que uuid e sessionSecret são os valores do UUID e do Segredo de Sessão do Orchestrator Bastião. Pode obter o UUID e o Segredo de Sessão nas propriedades do sistema vco.uuid e session.secret, respetivamente.
Quando o Gateway e os Edges são faseados e ativados no Orchestrator Bastião, não pode realizar os testes de diagnóstico remoto com o Orchestrator de Produção para o Gateway e os Edges faseados no Orchestrator Bastião.
O perfil faseado do Bastião, que é criado com o objetivo de fasear um cliente empresarial para o Orchestrator Bastião, deve ter uma configuração mínima relacionada com os segmentos Globais. Quando as entidades de perfil são atualizadas, apenas as definições do dispositivo, a política empresarial e a firewall no segmento Global serão sincronizadas com o Orchestrator Bastião. As seguintes configurações de perfil não serão sincronizadas com o Orchestrator Bastião:
Segmentos diferentes do segmento global
Configurações de segmentos de rede
Grupos de objetos
Recuperação após desastre para o Orchestrator Bastião
Basicamente, a funcionalidade Recuperação após desastre (DR) (Disaster Recovery (DR)) é suportada pelo Orchestrator de Produção (Privado), mas para o Orchestrator Bastião (Público), dado não ter um estado e receber as suas instruções do Orchestrator de Produção, a funcionalidade DR para o Orchestrator Bastião não é atualmente suportada.
