O VMware SASE Orchestrator armazena e exporta, através de APIs, informações confidenciais sobre os clientes e as suas redes. Para proteger as informações confidenciais dos clientes no local contra ataques externos e restringir o acesso às APIs, o VMware SD-WAN suporta a configuração de um Orchestrator Bastião (Orchestrator Público) numa zona desmilitarizada (DMZ) com acesso à Internet com o objetivo de fasear e ativar um SD-WAN Edge. Com a funcionalidade Orchestrator Bastião (Bastion Orchestrator) ativada, o superutilizador operador pode ativar um Edge aprovisionado no Orchestrator Bastião utilizando a chave de ativação recebida do Orchestrator de Produção (Privado). O Edge ativado é, em seguida, promovido de Orchestrator Bastião para Orchestrator de Produção através de uma comunicação segura.
Nota: Neste documento, o termo “Orchestrator Bastião” é utilizado de forma alternada com o termo “Orchestrator Público” e o termo “Orchestrator de Produção” é utilizado de forma alternada com o termo “Orchestrator Privado”.
O seguinte diagrama ilustra a arquitetura e o fluxo de trabalho de ativação do Orchestrator Bastião.
A arquitetura do Orchestrator Bastião consiste em duas instâncias do Orchestrator em comunicação uma com a outra. A instância com acesso público do par de Bastiões é o “Orchestrator Bastião” e a instância privada é o “Orchestrator de Produção”. O fluxo de trabalho de ativação do Orchestrator Bastião – Edge inclui os passos seguintes:
  1. Configurar o Orchestrator Bastião
  2. Preparar o Orchestrator de Produção
  3. Fasear um SD-WAN Edge para o Orchestrator Bastião
  4. Ativar um SD-WAN Edge no Orchestrator Bastião
  5. Promover um Edge ativado de Orchestrator Bastião para Orchestrator de Produção

Limitações

  • Durante a configuração do Bastião, pode fasear apenas uma conta de superutilizador operador para o Orchestrator Bastião. Uma vez estabelecida a ligação ao Bastião entre os Orchestrators Bastião e de Produção, é possível utilizar a conta do superutilizador operador para fins de emergência para obter acesso ao Orchestrator Bastião. O superutilizador operador que é faseado apenas vai ter acesso à página de configuração do Orchestrator Bastião.
  • O desemparelhamento do Orchestrator Bastião do Orchestrator de Produção (Regressar ao modo autónomo (Return to Standalone Mode)) não é suportado.
  • Para ativar um Edge, o Edge deve estar no modo “Aquisição de certificado” (Certificate Acquire). Ao promover o Edge, para ativar as ligações WAN com o gateway, o Gateway deve estar no modo “Aquisição de certificado” (Certificate Acquire) ou “Certificado Obrigatório” (Certificado necessário).
  • Após promover um Edge de Orchestrator Bastião para Orchestrator de Produção, se pretender atualizar a imagem de software do Edge, certifique-se de que configura a propriedade de sistema vco.trusted.uuids no Orchestrator de Produção da seguinte forma:
    [
        {
            "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2",
            "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598"
        }
    ]

    Em que uuid e sessionSecret são os valores do UUID e do Segredo de Sessão do Orchestrator Bastião. Pode obter o UUID e o Segredo de Sessão nas propriedades do sistema vco.uuid e session.secret, respetivamente.

  • Quando o Gateway e os Edges são configurados e ativados no Orchestrator Bastião, não pode realizar os testes de diagnóstico remoto com o Orchestrator de Produção para o Gateway e os Edges configurados no Orchestrator Bastião. Contudo, pode pedir e gerar um conjunto de diagnósticos remotos a partir do Orchestrator de Produção.
  • O perfil faseado do Bastião, que é criado com o objetivo de fasear um cliente empresarial para o Orchestrator Bastião, deve ter uma configuração mínima relacionada com os segmentos Globais. Quando as entidades de perfil são atualizadas, apenas as definições do dispositivo, a política empresarial e a firewall no segmento Global serão sincronizadas com o Orchestrator Bastião. As seguintes configurações de perfil não serão sincronizadas com o Orchestrator Bastião:
    • Segmentos diferentes do segmento global
    • Configurações de segmentos de rede
    • Grupos de objetos

Recuperação após desastre para o Orchestrator Bastião

Basicamente, a funcionalidade Recuperação após desastre (DR) (Disaster Recovery (DR)) é suportada pelo Orchestrator de Produção (Privado), mas para o Orchestrator Bastião (Público), dado não ter um estado e receber as suas instruções do Orchestrator de Produção, a funcionalidade DR para o Orchestrator Bastião não é atualmente suportada.

Funcionalidades recém-suportadas na versão 5.4.0

Na versão 5.4.0, foram introduzidas as seguintes funcionalidades novas para o Orchestrator Bastião:
  • Capacidade de ver eventos de um Edge configurado do Orchestrator de Produção através do Orchestrator Bastião.
  • Capacidade de pedir pacotes de diagnósticos do Orchestrator de Produção através do Orchestrator Bastião de um Edge configurado.
  • Se uma promoção do Edge falhar por algum motivo, o Edge voltará para a última configuração válida conhecida, ou seja, ligado novamente ao Bastião.
  • Capacidade de configurar e enviar as informações relacionadas com a atualização do Edge (atualizações de software e firmware) para o Orchestrator Bastião durante a configuração do SD-WAN Edge para o Orchestrator Bastião. Isto permite que o Edge seja atualizado imediatamente após o Edge ser ativado no Orchestrator Bastião. Para obter mais informações, consulte Fasear um SD-WAN Edge para o Orchestrator Bastião.