Implementação e operações da empresa para SASE Orchestrator

Esta secção proporciona informações sobre as opções disponíveis para monitorizar, fazer backup e atualizar as implementações empresariais no local num cenário de operação de dois dias.

Visão geral

Mesmo que o modelo empresarial no local tenha algumas vantagens e funcionalidades únicas, existem considerações que o fornecedor de serviços ou o cliente que gere a solução têm de compreender. Algumas dessas considerações são as seguintes:

Isolamento da solução: a equipa de operações da VMware Cloud não terá acesso para aplicar correções e atualizações.
As restrições à gestão de alterações limitam a frequência das aplicações de patches e atualizações.
Monitorização da solução inadequada ou insuficiente: esta situação pode acontecer devido à falta de pessoal capaz de gerir a infraestrutura, resultando em problemas funcionais, uma resolução mais lenta dos problemas e a insatisfação dos clientes.

Esta abordagem requer sempre um investimento significativo em pessoal e tempo para gerir, operar e corrigir adequadamente. O quadro abaixo descreve alguns dos elementos que têm de ser considerados na gestão de um sistema no local.

Tabela 1. Responsabilidade do VMware alojado vs. responsabilidade no local
Sistema	Descrição (Description)	Responsabilidade do VMware alojado	Responsabilidade no local
Orquestração SD-WAN	QoS de aplicação e política de direção de ligação	Sim	Sim
	Política de segurança para aplicações e aplicações SD-WAN	Sim	Sim
	Aprovisionamento e resolução de problemas de aplicações SD-WAN	Sim	Sim
	Tratamento de alertas e eventos SD-WAN	Sim	Sim
	Desempenho da ligação e monitorização da capacidade	Sim	Sim
Hipervisor	Monitorizar/alertar	Não	Sim
	Atribuição de recursos de cálculo e memória	Não	Sim
	Rede virtual e armazenamento	Não	Sim
	Backup	Não	Sim
	Replicação	Não	Sim
Infraestrutura	CPU, memória, cálculo	Não	Sim
	Comutação e routing	Não	Sim
	Sistemas de monitorização e gestão	Não	Sim
	Planeamento de capacidades	Não	Sim
	Atualizações/aplicação de patches do software	Não	Sim
	Resolução de problemas de aplicações/infraestruturas	Não	Sim
Backup e infraestrutura de DR	Infraestrutura de backup	Não	Sim
	Testes regulares do regime de backup	Não	Sim
	Infraestruturas de DR	Não	Sim
	Testes de DR	Não	Sim

Os cenários de funcionamento de dois dias para implementações no local da empresa são explicados nas duas secções abaixo, respetivamente (operações do dia um e operações do dia dois).

Operações do dia um

Subscrever os avisos de segurança

Os avisos de segurança do VMware documentam a reparação das vulnerabilidades de segurança comunicadas nos produtos VMware. Subscreva a ligação abaixo para receber um alerta se for necessária uma ação num componente no local.

https://www.vmware.com/security/advisories.html

Desativar o Cloud-init no SASE Orchestrator

A origem de dados contém duas secções: metadados e dados do utilizador. Os metadados incluem o ID de instância e não devem ser alterados durante o período de vida útil da instância, enquanto os dados do utilizador são uma configuração aplicada no primeiro arranque (para o ID da instância nos metadados).

Após o primeiro arranque, é aconselhável desativar o ficheiro cloud-init para acelerar a sequência de arranque do SASE Orchestrator. Para desativar o cloud-init, execute:

./opt/vc/bin/cloud_init_ctl -d

Não é aconselhável “purgar” o ficheiro cloud-init com o comando “apt purge cloud-init” (este procedimento não provoca problemas no controlador do VMware SD-WAN). A purga do ficheiro cloud-init também apaga algumas ferramentas e scripts essenciais do SASE Orchestrator (por exemplo, os scripts de atualização e backup). Caso tenha sido utilizado o comando “purga”, pode restaurar os ficheiros com os seguintes comandos:

Aceda à pasta /opt/vcrepo/pool/main/v/vco-tools
Instale o pacote de ferramentas do SASE Orchestrator a partir da pasta: “sudo dpkg -i vco-tools_3.4.1-R341-20200423-GA-69c0f688bf.deb”. O nome do pacote vco-tools pode mudar dependendo da versão. Consulte o nome do ficheiro correto com o comando “ls vco-tools”.

Fuso horário de NTP

O SASE Orchestrator e o fuso horário do gateway têm de ser definidos como “Etc/UTC”.

vcadmin@vco1-example:~$ cat /etc/timezone 
Etc/UTC 
vcadmin@vco1-example:~$

Se o fuso horário estiver incorreto, poderá ser corrigido executando os seguintes comandos:

echo "Etc/UTC" | sudo tee /etc/timezone 
sudo dpkg-reconfigure --frontend noninteractive tzdata

Compensação de NTP

É esperado que a compensação de NTP seja <= 15 milissegundos.

vcadmin@vco1-example:~$ sudo ntpq -p 
     remote           refid      st t when poll reach   delay   offset  
jitter 
============================================================================== 
*ntp1-us1.prod.v 74.120.81.219    3 u  474 1024  377   10.171   -1.183   1.033 
ntp1-eu1-old.pr .INIT.          16 u    - 1024    0    0.000    0.000   0.000 
vcadmin@vco1-example:~$

Se a compensação estiver incorreta, poderá ser corrigida executando os seguintes comandos:

sudo service ntp stop 
sudo ntpdate <server> 
sudo service ntp start

Armazenamento do SASE Orchestrator

Quando o SASE Orchestrator é inicialmente implementado, são criadas três partições: /, /store, /store2., /store3 (versão 4.0 e posteriores). As partições são criadas com os tamanhos predefinidos. Siga as instruções na secção intitulada “Aumentar o armazenamento no SASE Orchestrator” para obter orientação na modificação dos tamanhos predefinidos para corresponder ao design.

Tarefas adicionais

O SASE Orchestrator requer uma configuração adicional após a sua implementação através dos seguintes passos:

Configurar propriedades do sistema.
Configurar o perfil inicial do operador.
Configurar as contas de operador.
Criar o SD-WAN Gateways.
Configurar o SASE Orchestrator.
Criar a conta de cliente/conta de parceiro.

As configurações da lista acima estão fora do âmbito deste documento e podem ser encontradas nos guias de implementação na documentação do VMware. Pode obter instruções detalhadas no Guia de implementação e monitorização do VMware SASE Orchestrator, na secção “Instalar o SASE Orchestrator”.

Operações do dia dois

Backup do SASE Orchestrator

Esta secção fornece os mecanismos disponíveis para fazer um backup periódico da base de dados do SASE Orchestrator para recuperar de erros do operador ou uma falha catastrófica tanto do Orchestrator ativo como do em espera.

Lembre-se de que a funcionalidade de recuperação após desastre ou DR é o método de recuperação preferencial. Fornece um objetivo de ponto de recuperação de quase zero, uma vez que todas as configurações do Orchestrator ativo são instantaneamente replicadas. Para obter mais detalhes sobre a funcionalidade de recuperação após desastre, consulte a secção seguinte.

Backup com script incorporado

O SASE Orchestrator fornece um mecanismo de backup de configuração incorporado para fazer backups periódicos da configuração para recuperar de erros do operador ou uma falha catastrófica tanto do Orchestrator ativo como do em espera. O mecanismo baseia-se scripts e está localizado em /opt/vc/scripts/db_backup.sh.

O script essencialmente requer um dump da base de dados dos dados e eventos de configuração, excluindo algumas das grandes tabelas de monitorização durante o processo de dump da base de dados. Uma vez executado o script, os ficheiros de backup são criados no caminho do diretório local fornecido como entrada para o script acima.

O backup consiste em dois ficheiros .gzs, um contendo a definição do esquema da base de dados e o outro contendo os dados reais sem definição. O administrador deve certificar-se de que a localização do diretório de backup tem espaço suficiente no disco para o backup.

Melhores práticas

Monte uma localização remota e configure aí o script de backup. A localização remota deverá ter o mesmo armazenamento que /store se também estiver a ser feito um backup dos fluxos.
Antes de utilizar o script de backup, consulte o estado de replicação da recuperação após desastre (DR) na página de replicação do SASE Orchestrator. Estes devem estar sincronizados e não devem existir erros.
Adicionalmente, execute uma consulta MySQL e verifique o atraso da replicação.
- MOSTRAR ESTADO DO SECUNDÁRIO \G
- Na consulta acima, olhe para o campo segundos_atrás_principal (seconds_behind_master). Idealmente, este deve ser zero, mas abaixo de 10 também seria suficiente.
- Para os SASE Orchestrator grandes, recomenda-se a utilização de em espera para a execução do script de backup. Não haverá diferença no backup gerado a partir de ambos os SASE Orchestrator.
Ressalvas
- O script apenas requer um backup da configuração; a estatística de fluxo ou os eventos não estão incluídos.
- Restaurar a configuração requer assistência da equipa de suporte/engenharia.

Perguntas frequentes

Quanto tempo demora o script a ser executado?
A duração do backup depende da escala da configuração real do cliente. Uma vez que as tabelas de monitorização estão excluídas da operação de backup, espera-se que a operação de backup de configuração seja concluída rapidamente. Para um SASE Orchestrator grande com milhares de SD-WAN Edge e muitos eventos históricos, pode demorar até uma hora, enquanto um SASE Orchestrator menor deve ser concluído em poucos minutos.
Qual é a frequência recomendada para executar o script de backup?
Dependendo do tamanho e tempo necessários para completar o backup inicial, é possível determinar a frequência de operação de backup. A operação de backup deve ser agendada para ser executada fora das horas de ponta para reduzir o impacto nos recursos do SASE Orchestrator.
E se o sistema de ficheiros de raiz não tiver espaço suficiente para o backup?
Recomenda-se que sejam utilizados outros volumes montados para armazenar o backup. Note que não é uma melhor prática utilizar o sistema de ficheiros de raiz para o backup.
Como é que se pode verificar se a operação de backup foi concluída com sucesso?
O script stdout e stderr devem ser suficientes para determinar o sucesso ou falha da operação de Backup. Se a invocação do script for automatizada, o código de saída poderá determinar o sucesso ou a falha da operação de backup.
Como é recuperada a configuração?
Atualmente, o VMware requer que o cliente trabalhe com o suporte do VMware para recuperar os dados de configuração. O suporte do VMware ajudará a recuperar a configuração do cliente. Os clientes devem abster-se de realizar alterações adicionais à configuração até que esta seja restaurada.
Qual é o impacto exato da execução deste Script?
Ainda que um backup de configuração tenha pouco impacto no desempenho, haverá um aumento na utilização de recursos para o processo MySQL. Recomenda-se que o backup seja executado fora das horas de ponta.
São permitidas alterações de configuração durante a execução da operação de backup?
É seguro efetuar alterações de configuração durante a execução da operação de backup. No entanto, para garantir backups atualizados, recomenda-se que não sejam efetuadas operações de configuração enquanto o backup estiver em execução.
A configuração pode ser restaurada no SASE Orchestrator original ou requer um novo SASE Orchestrator?
Sim, a configuração pode e, idealmente, deve ser restaurada no mesmo SASE Orchestrator, se estiver disponível. Tal garantirá a utilização dos dados de monitorização após a conclusão da operação Restaurar (Restore). Se não for possível recuperar o SASE Orchestrator original e o Orchestrator em espera estiver inativo, a configuração poderá ser restaurada num novo SASE Orchestrator. Neste caso, perder-se-ão os dados de monitorização.
Que medidas devem ser tomadas no caso de a configuração precisar de ser restaurada para um novo SASE Orchestrator?
Contacte o Suporte do VMware para obter o conjunto de medidas recomendadas no novo SASE Orchestrator, uma vez que os passos variam dependendo da implementação real.
O SD-WAN Edges tem de voltar a ser registado no SASE Orchestratorrecém-restaurado?
Não, o SD-WAN Edges não precisa ser registado no novo SASE Orchestrator, uma vez que todas as informações necessárias são preservadas como parte do backup.

Recuperação após desastre do SASE Orchestrator

A funcionalidade de recuperação após desastre (DR) do SASE Orchestrator impede a perda de dados armazenados e retoma os serviços do SASE Orchestrator em caso de falha do sistema ou da rede. A DR do SASE Orchestrator implica a configuração de um par SASE Orchestrator ativo/em espera com a replicação de dados e um mecanismo de recuperação automática acionado manualmente.

Nota: A DR é obrigatória. Para licenciamento e preços, contacte a equipa de vendas do VMware SD-WAN para obter apoio.

Estados

Na vista de um operador, bem como dos SD-WAN Edges e dos SD-WAN Gateways, o SASE Orchestrator pode ter um dos quatro estados DR:

Autónomo (nenhuma DR configurada)
Ativo (DR configurada, a atuar como o servidor principal do SASE Orchestrator)
Em espera (DR configurada, a atuar como uma réplica inativa do servidor de SASE Orchestrator)
Zombie (DR anteriormente configurada e ativa, mas já não funciona como ativa ou em espera)

Tabela 2. Tabela 2: Requisitos mínimos de instância para o SASE Orchestrator no local
Fases	Função A do SASE Orchestrator	Função B do SASE Orchestrator
Inicial	Autónomo	Autónomo
Emparelhamento	Ativo	Standby
Recuperação automática	Zombie	Autónomo

Melhores práticas

Localize a DR do SASE Orchestrator num centro de dados geograficamente separado.
Antes de promover um Orchestrator em espera como ativo, confirme que o estado de replicação DR está em sincronização. O Orchestrator anteriormente ativo deixará de poder gerir o inventário e a configuração.
Se o Orchestrator em espera conseguir comunicar com o Orchestrator anteriormente ativo, instruirá o Orchestrator a entrar num estado Zombie. No estado Zombie, o SASE Orchestrator informa os respetivos clientes (SD-WAN Edges, SD-WAN Gateways, IU/API) que já não está ativo e que devem comunicar com o SASE Orchestrator recém-promovido.
Se o Orchestrator em espera promovido não puder comunicar com o Orchestrator anteriormente ativo, o operador deverá, se possível, despromover manualmente o anteriormente ativo.
Pode obter instruções detalhadas na documentação oficial do SASE Orchestrator docs.vmware.com em “Configurar recuperação após desastre do SASE Orchestrator”.

Procedimento de atualização do SASE Orchestrator

Para implementações no local da empresa, contacte a equipa de suporte do VMware para preparar a atualização do SASE Orchestrator conforme descrito abaixo:

O suporte do VMware ajudará na atualização. Recolha as seguintes informações antes de contactar o suporte do VMware.
- Fornece as versões atuais e de destino do SASE Orchestrator, por exemplo, a versão atual (isto é, 3.4.2), versão de destino (3.4.3).
  Nota: Para a versão atual, esta informação pode ser encontrada no canto superior direito do SASE Orchestrator clicando na ligação Ajuda (Help) e escolhendo Sobre (About).
- Forneça uma captura de ecrã do painel de replicação do SASE Orchestrator, como mostrado abaixo.
- Tipo e versão do hipervisor (isto é, vSphere 6.7)
- Comandos do SASE Orchestrator [os comandos devem ser executados como raiz (por exemplo, “sudo <comando>” ou “sudo -i”)]:
  - Layout de LVM
    - pvdisplay -v
    - vgdisplay -v
    - lvdisplay -v
    - df -h
    - cat /etc/fstab
  - Informação da memória
    - free -m
    - cat /proc/meminfo
    - ps -ef
    - top -b -n 2
  - Informação da CPU
    - cat /proc/cpuinfo
  - Cópia de /var/log
    - tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log
  - No Orchestrator em espera:
    - sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'
  - No Orchestrator ativo:
    - sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'
Contacte o suporte do VMware SD-WAN em https://kb.vmware.com/s/article/53907 com as informações acima mencionadas para obter assistência na atualização do SASE Orchestrator.
As orientações do instantâneo ESXi são fornecidas na secção seguinte, caso o cliente pretenda uma solução de reversão rápida após uma atualização.

Instantâneo ESXi

A capacidade do instantâneo ESXi pode ser utilizada antes da atualização do SASE Orchestrator para assegurar uma reversão rápida para a versão anterior do SASE Orchestrator.

Melhores práticas do instantâneo ESXi

Antes de rever o processo passo a passo, consulte as seguintes melhores práticas e orientações sobre a funcionalidade:

O Orchestrator em espera e ativo tem de ser desligado antes da execução ou do restauro a partir do instantâneo para evitar quaisquer inconsistências na base de dados.
Todas as tarefas relacionadas com o instantâneo têm de ser efetuadas no Orchestrator em espera e ativo para evitar quaisquer inconsistências na base de dados.
É fundamental consolidar o instantâneo caso o processo de atualização tenha sido bem-sucedido. O ficheiro do instantâneo continua a crescer quando é mantido durante um período mais longo. Isto pode fazer com que o local de armazenamento do instantâneo fique sem espaço e afete o desempenho do sistema.
Desative o alerta no SASE Orchestrator enquanto cria instantâneos para evitar falsos alarmes.
Não utilize um instantâneo único durante mais de 72 horas.
Não é aconselhável utilizar instantâneos como backups.
A validação da funcionalidade foi concluída com ESXi 6.7 e o SASE Orchestrator versão 3.4.4.

Pode encontrar as melhores práticas do VMware no seguinte artigo BDC: https://kb.vmware.com/s/article/1025279

Criar o instantâneo ESXi

Siga as instruções abaixo para criar um instantâneo ESXi.

Desative o alerta, a notificação e a monitorização das propriedades do sistema no Orchestrator ativo. A duração aproximada é de 10 minutos.
1. No portal do operador, clique em Propriedades do sistema (System Properties). Altere as seguintes propriedades do sistema para falsas.
  - vco.alert.enable
  - vco.notification.enable
  - vco.monitor.enable
Desative o alerta, a notificação e a monitorização da propriedade do sistema no Orchestrator em espera.
1. Altere as seguintes propriedades do sistema para falsas.
  - vco.alert.enable
  - vco.notification.enable
  - vco.monitor.enable
Desligue o Orchestrator ativo.
Aceda a ESXi/vCenter → VM do Orchestrator → Ações → Alimentação → Desligar (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
Desligue o Orchestrator em espera.
Aceda a ESXi/vCenter → VM do Orchestrator → Ações → Alimentação → Desligar (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off)
Tire um instantâneo do Orchestrator ativo. Confirme se a VM está desligada antes de realizar este passo.
Aceda a ESXi → VM do Orchestrator → Ações → Alimentação → Instantâneos → Obter instantâneo (ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot).
Tire um instantâneo do Orchestrator em espera. Confirme se a VM está desligada antes de realizar este passo.
Aceda a ESXi → VM do Orchestrator → Ações → Alimentação → Instantâneos → Obter instantâneo (ESXi → Orchestrator VM → Actions → Power → Snapshots → Take Snapshot).

Consolidação do instantâneo ESXi

Utilize as seguintes instruções se tiver uma atualização bem-sucedida. Espera-se um aumento de utilização da CPU de cerca de 5% durante o decorrer do processo de consolidação. A duração aproximada é de 10 minutos.

Depois de confirmar uma atualização bem-sucedida nos Orchestrators ativo e em espera, pode consolidar os instantâneos, começando pelo Orchestrator ativo.
Aceda a ESXi → VM do Orchestrator → Ações → Instantâneos → Gestor de instantâneos → Eliminar tudo (ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All).
Consolide o instantâneo no Orchestrator em espera.
Aceda a ESXi → VM do Orchestrator → Ações → Instantâneos → Gestor de instantâneos → Eliminar tudo (ESXi → Orchestrator VM → Actions → Snapshots → Snapshot Manager → Delete All).
Reative o alerta, a notificação e a monitorização das propriedades do sistema no Orchestrator ativo e no Orchestrator em espera.
No portal do operador, clique em Propriedades do sistema (System Properties). Altere as seguintes propriedades do sistema para verdadeiras.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable
Se os instantâneos Eliminar tudo (Delete All) não funcionarem com o vSphere 6.x/7.x, poderá tentar consolidar os instantâneos. Para obter mais informações, consulte a secção Consolidar instantâneos na documentação do produto vSphere.

Restaurar a partir do instantâneo ESXi

Execute as instruções abaixo se pretender fazer uma reversão para a versão anterior do SASE Orchestrator. A duração aproximada é de 10 minutos

Desligue o Orchestrator ativo.
Aceda a ESXi/vCenter → VM do Orchestrator → Ações → Alimentação → Desligar (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
Desligue o Orchestrator em espera.
Aceda a ESXi/vCenter → VM do Orchestrator → Ações → Alimentação → Desligar (ESXi/vCenter → Orchestrator VM → Actions → Power → Power Off).
Restaure o instantâneo do Orchestrator ativo.
Aceda a ESXi → VM do Orchestrator → Ações → Alimentação → Instantâneos → Gerir instantâneos (ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshot).
Selecione o instantâneo no qual pretende restaurar a VM → Reverter para (Revert to) (ver imagem abaixo).
Restaure o instantâneo do Orchestrator em espera.
Aceda a ESXi → VM do Orchestrator → Ações → Alimentação → Instantâneos → Gerir instantâneos (ESXi → Orchestrator VM → Actions → Power → Snapshots → Manage Snapshot).
Selecione o instantâneo no qual pretende restaurar a VM → Reverter para (Revert to).
Reative o alerta, a notificação e a monitorização das propriedades do sistema no Orchestrator ativo e no Orchestrator em espera. No portal do operador, clique em Propriedades do sistema (System Properties). Altere as seguintes propriedades do sistema para verdadeiras.
- vco.alert.enable
- vco.notification.enable
- vco.monitor.enable

Atualização de software secundária do controlador (por exemplo, de 3.3.2 P3 para 3.4.4)

O ficheiro de atualização de software contém atualizações do gateway e do sistema. NÃO execute “apt-get update && apt-get –y upgrade”.

Antes de prosseguir com a atualização do controlador do VMware SD-WAN, certifique-se de que o SASE Orchestrator foi atualizado antes para a mesma versão ou para uma versão posterior.

Para atualizar um controlador SD-WAN:

Transfira o pacote de atualização do controlador SD-WAN.
Carregue a imagem para o armazenamento do controlador SD-WAN (utilizando, por exemplo, o comando SCP). Copie a imagem para o seguinte local no sistema: /var/lib/velocloud/software_update/vcg_update.tar.
Ligue-se à consola do controlador SD-WAN e execute:
sudo /opt/vc/bin/vcg_software_update

Exemplo:

root@VCG:/var/lib/velocloud/software_update# wget -O 'vcg_update.tar' <image location> 
Resolving ftpsite.vmware.com (ftpsite.vmware.com)...  
Connecting to ftpsite.vmware.com (ftpsite.vmware.com)| <ip address>|:443... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: unspecified [application/octet-stream] 
Saving to: 'vcg_update.tar' 
    [                                  <=>  ] 325,939,200 3.81MB/s   in 82s 
2020-05-23 21:59:27 (3.79 MB/s) - ‘vcg_update.tar’ saved [325939200] 
root@VCG:/var/lib/velocloud/software_update# sudo /opt/vc/bin/vcg_software_update 
=========== VCG upgrade: Sat May 23 22:08:15 UTC 2020 
Upgrading gateway version 3.4.0-106-R340-20200218-GA-c57f8316dd to 3.4.1-39-R341-20200428-GA-44354-44451-596496a88a 
Ign file: trusty InRelease 
Ign file: trusty Release.gpg 
Get: 1 file: trusty Release [2,668 B] 
Ign file: trusty/main Translation-en_US 
Ign file: trusty/main Translation-en 
(...) 
Writing extended state information... 
Reading package lists... 
Building dependency tree... 
Reading state information... 
Reading extended state information... 
Initializing package states... 
update-initramfs: Generating /boot/initrd.img-3.13.0-176-generic 
Reboot is required. Reboot? (y/n) [y]:

Atualização de software importante do controlador (por exemplo, de 3.3.2 ou 3.4 para 4.0)

Na versão 4.0, são incluídas várias alterações:

Um novo layout do disco do sistema baseado em LVM para permitir uma maior flexibilidade na gestão do volume
Uma nova versão de kernel
Pacotes de SO base novos e atualizados
Proteção de segurança melhorada com base nas referências do centro de segurança da Internet

Devido a estas alterações, o procedimento de atualização padrão que utiliza o script de atualização não funciona. É necessário um procedimento específico de atualização. Está no manual do produto abaixo. Este procedimento pretende substituir a VM do gateway 3.3.2 ou 3.4 pela nova VM do gateway 4.0. Consulte o seguinte documento: Atualização e migração do gateway de parceiro do VMware SD-WAN 3.3.2 ou 3.4 para 4.0

Este procedimento de atualização requer a configuração da propriedade do sistema do SASE Orchestrator, que apenas as contas de operador do SASE Orchestrator podem executar. Crie um pedido de suporte junto da equipa de suporte do VMware para solicitar a alteração da propriedade do sistema.

Monitorização

Uma das responsabilidades do cliente nas implementações no local da empresa é monitorizar a solução. A monitorização fornece ao cliente a visibilidade necessária para estar um passo à frente de possíveis problemas.

Monitorização do controlador SD-WAN
Pode monitorizar o estado e os dados de utilização dos controladores disponíveis no portal do operador.
O procedimento é o seguinte:

No portal do operador, clique em Gateways.
A página Gateways apresenta a lista de controladores disponíveis.
Clique na ligação para um gateway. São apresentados os detalhes do controlador selecionado.
Clique no separador Monitor para ver os dados de utilização do controlador selecionado.

O separador Monitor do controlador selecionado apresenta os seguintes detalhes, tal como mostrado na imagem abaixo.

Pode escolher um período específico para visualizar os detalhes do controlador na duração selecionada no topo da página.

A página apresenta uma representação gráfica dos detalhes de utilização dos seguintes parâmetros para o período de duração de tempo selecionado, juntamente com os valores mínimo, máximo e médio.

Tabela 3. Detalhes de utilização
Utilização	Descrição (Description)
Percentagem de CPU (CPU Percentage)	Percentagem de utilização da CPU
Utilização da memória (Memory Usage)	Percentagem de utilização da memória
Contagem de fluxo (Flow Counts)	Contagem do fluxo de tráfego
Handoff Queue Drops	Contagem de pacotes caídos devido ao handoff de fila
Contagem de túneis (Tunnel Count)	Contagem de sessões de túneis

Valores recomendados do controlador do SD-WAN Gateway a monitorizar

A seguinte lista mostra os valores que devem ser monitorizados e os respetivos limiares. A lista abaixo é fornecida como um ponto de partida e não é exaustiva. Algumas implementações podem exigir a avaliação de componentes adicionais, como fluxos, perda de pacotes, etc.

Sempre que um limiar de aviso é atingido, é recomendado rever a configuração atual da escala do dispositivo e adicionar mais recursos, se necessário. Quando um alarme crítico é acionado, é crucial contactar os representantes do suporte do VMware para verificar a solução e fornecer mais conselhos.

Tabela 4. Valores recomendados para monitorizar
Verificação de serviço	Descrição da verificação de serviço	Limiar de aviso	Limiar crítico
Carga da CPU	Verifique a carga do sistema.	60	80
Memória	Verifica a memória intermédia de utilização da memória, a cache e a memória utilizada.	70	80
Túneis	Número de túneis do SD-WAN Edges ligado.	60% da escala máxima	80% da escala máxima Nota: uma perda súbita de todos os túneis ou uma quantidade anormal baixa também deve ser uma preocupação.
Handoff Drops	Devido à natureza movimentada do tráfego através de um controlador, são esperadas quedas ocasionais.	Quedas consistentes em filas específicas podem indicar um problema de capacidade.
Espaço em disco	Utilização atual do disco	40% livre	20% livre
Controlador NTP	Verificar compensação de tempo	Compensação de 5 segundos	Compensação de 10 segundos

Integração do SASE Orchestrator com pilhas de monitorização

O SASE Orchestrator vem com uma pilha de monitorização métrica do sistema incorporada, que pode anexar a um coletor de métricas externas e uma base de dados de séries de tempo. Com a pilha de monitorização, pode verificar rapidamente o estado de funcionamento e a carga do sistema para o SASE Orchestrator.

Antes de começar, configure uma base de dados baseada no tempo e um painel/agente de alerta. Depois de concluído, pode ativar o Telegraf no SASE Orchestrator.

- Para ativar a pilha de monitorização, execute o seguinte comando no orchestrator:
  sudo /opt/vc/scripts/vco_observability_manager.sh enable
- Para verificar o estado da pilha de monitorização, execute:
  sudo /opt/vc/scripts/vco_observability_manager.sh status
- Para desativar a pilha de monitorização, execute:
```
sudo /opt/vc/scripts/vco_observability_manager.sh disable
```

Coletor de métricas

O Telegraf é utilizado como coletor de métricas do sistema SASE Orchestrator, que tem muitos plugins para recolher diferentes métricas do sistema. As seguintes métricas estão ativadas por predefinição.

Tabela 5. Coletor de métricas
Nome da métrica	Descrição (Description)	Suportado na versão
inputs.cpu	Métrica sobre a utilização da CPU.	3.4/4.0
inputs.mem	Métrica sobre a utilização da memória.	3.4/4.0
inputs.net	Métrica sobre interfaces de rede.	4.0
inputs.system	Métrica sobre a carga do sistema e o tempo de atividade.	4.0
inputs.processes	O número de processos agrupados por estado.	4.0
inputs.disk	Métrica sobre a utilização do disco.	4.0
inputs.diskio	Métrica sobre a E/S do disco por dispositivo.	4.0
inputs.procstat	CPU e utilização da memória para processos específicos.	4.0
inputs.nginx	Informação básica do estado do Nginx (ngx_http_stub_status_module).	4.0
inputs.mysql	Dados estatísticos do servidor MySQL.	3.4/4.0
inputs.redis	Métrica de um ou muitos servidores redis.	3.4/4.0
inputs.statds	API e métricas do sistema.	3.4/4.0 (métricas adicionais incluídas na versão 4.0)
inputs.filecount	O número e o tamanho total dos ficheiros em diretórios especificados.	4.0
inputs.ntpq	Métricas de consulta NTP padrão, requer ntpq executável.	4.0
Inputs.x509_cert	Métrica de um certificado SSL.	4.0

Para ativar mais métricas ou desativar algumas métricas ativadas, pode editar o ficheiro de configuração do Telegraf no SASE Orchestrator através do seguinte:

sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf

sudo systemctl restart telegraf

Base de dados da série temporal
Pode utilizar uma base de dados da série temporal para armazenar as métricas do sistema recolhidas pelo Telegraf. Uma base de dados da série temporal (TSDB) é uma base de dados otimizada para dados da série temporal.

Painel e agente de alerta
O painel e agente de alerta permitem-lhe consultar, visualizar, alertar e explorar os dados armazenados na TSDB. A imagem é um exemplo de um painel a utilizar o Telegraph (uma TSDB e um motor de painel) que pode ser criado para monitorizar a solução.

Configuração da base de dados da série temporal
Siga as instruções abaixo para configurar a base de dados da série temporal.

Adicione a entrada iptables para permitir o acesso de sistemas de monitorização externos à porta do Telegraf. O endereço IP de origem deve ser especificado por razões de segurança.
1. Exemplo. O endereço IP do sistema de monitorização externo é 191.168.0.200 Adicione “-A INPUT -p tcp -m tcp --source 191.168.0.200 --dport 9273 -m comment --comment "allow telegraf port" -j ACCEPT” a /etc/iptables/rules.v4
2. Reiniciar iptables.
  sudo service iptables-persistent restart (Orchestrator 3.4.x)
  sudo systemctl restart netfilter-persistent (Orchestrator 4.x)
3. Certifique-se de que a entrada iptables é adicionada.
Adicione os detalhes da base de dados da série temporal na configuração do Telegraf. Crie um ficheiro de configuração de saída. Exemplo com prometheus:
/etc/telegraf/telegraf.d/prometheus_out.conf

Valores recomendados do SASE Orchestrator a monitorizar

A seguinte lista mostra uma lista de valores que devem ser monitorizados e os respetivos limiares. A lista abaixo é fornecida como um ponto de partida, pelo que não é exaustiva. Algumas implementações podem exigir a avaliação de componentes adicionais, como transações de bases de dados, backups automáticos, etc.

Tabela 6. Valores e limiares de monitorização
Verificação de serviço	Descrição da verificação de serviço	Limiar de aviso	Limiar crítico
Carga da CPU	Verificar carga do sistema – Plugin de entrada Telegraf: inputs.cpu.	60	70
Memória	Verifica a memória intermédia de utilização da memória, a cache e a memória utilizada – Plugin de entrada Telegraf: inputs.memory.	70	80
Utilização do disco	Utilização do disco nas diferentes partições do Orchestrator, /, /store, /store2 e /store3 (versão 4.0 e posteriores) – Plugin de entrada Telegraf: inputs.disk (versão 4.0 e posteriores).	40% livre	20% livre
Servidor MySQL	Verifica as ligações MySQL – Plugin de entrada Telegraf: inputs.mysql.		Acima de 80% da ligação máxima definido em mysql.conf(/etc/mysql/my.cnf)
Tempo do SASE Orchestrator	Verifica a compensação de tempo – Plugin de entrada Telegraf: inputs.ntpq (versão 4.0 e posteriores).	Compensação de 5 segundos	Compensação de 10 segundos
Certificado SSL do SASE Orchestrator	Verifica a expiração do certificado – Plugin de entrada Telegraf: inputs.x509_cert (versão 4.0 e posterior).	60 dias	30 dias
Internet do SASE Orchestrator (não aplicável apenas para topologias MPLS)	Verifica o acesso à Internet.	Tempo de resposta > 5 segundos	Tempo de resposta > 10 segundos
HTTP do SASE Orchestrator	Certifique-se de que o HTTP no localhost está a responder.		O localhost não responde.
Contagem total de certificados do SASE Orchestrator	Ver total – Exemplo de consulta mysql: SELECT count(id) FROM VELOCLOUD_EDGE_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()', 'SELECT count(id) FROM VELOCLOUD_GATEWAY_CERTIFICATE WHERE validFrom <= NOW() AND validTo >=NOW()	CRL	Quando a contagem total de certificados excede 5000
Estado de replicação da DR	Confirme que o Orchestrator em espera está atualizado.	Reveja se a DR do SASE Orchestrator não está mais de 1000 segundos atrás do Orchestrator ativo. Seconds_Behind_Master: do comando mysql: show slave STATUS\G;
Replicação da DR SD-WAN Edge Gateway delta	Confirme que SD-WAN Edges e SD-WAN Gateways conseguem comunicar com a DR do SASE Orchestrator. Diferentes valores entre os Orchestrators ativo e em espera podem dever-se a uma diferença no fuso horário em SD-WAN Edges e SD-WAN Gateways.	A mesma quantidade de SD-WAN Edges a comunicar com o Orchestrator ativo deve conseguir chegar ao Orchestrator em espera. Este valor pode ser verificado no separador “replicação” (replication) ou através da API.

Melhores práticas da API

O SASE Orchestrator alimenta o plano de gestão na solução VMware SD-WAN. Fornece uma ampla gama de funcionalidades de configuração, monitorização e resolução de problemas a fornecedores de serviços e empresas. O serviço Web principal com o qual os utilizadores interagem para exercer esta funcionalidade é chamado de portal do SASE Orchestrator.

Portal do SASE Orchestrator
O portal do SASE Orchestrator permite que os administradores de rede (ou scripts e aplicações que atuam em seu nome) giram a configuração da rede e do dispositivo e consultem o estado atual ou histórico da rede e do dispositivo. Os clientes da API podem interagir com o portal através de uma interface JSON-RPC ou de uma interface semelhante a REST. É possível invocar todos os métodos descritos neste documento utilizando qualquer interface. Não existe qualquer funcionalidade do portal para a qual o acesso seja limitado exclusivamente a clientes JSON-RPC ou clientes semelhantes a REST.
Ambas as interfaces aceitam exclusivamente pedidos HTTP POST. Ambos também esperam que os corpos dos pedidos, quando presentes, tenham o formato JSON -- consistente com RFC 2616, os clientes são ainda suscetíveis de afirmar formalmente quando isso acontece com o cabeçalho de pedido de tipo de conteúdo, por exemplo, tipo de conteúdo: aplicação/json.
Pode encontrar mais informações sobre a API VMware SD-WAN aqui:
https://code.vmware.com/apis/1000/velocloud-sdwan-vco-api

Melhores práticas para empresas e fornecedores de serviços com APIs
Algumas das melhores práticas durante a utilização de APIs são:
- Sempre que possível, as chamadas API agregadas devem ser preferíveis às chamadas específicas de empresas. por exemplo, pode utilizar uma única chamada para monitoring/getAggregateEdgeLinkMetrics para obter estatísticas de transporte em todos os SD-WAN Edges simultaneamente.
- O VMware solicita que os clientes limitem o número de chamadas API em utilização a qualquer momento para não mais do que umas quantas (isto é, <2-4). Se um utilizador sentir que existe uma razão convincente para paralelizar chamadas API, o VMware solicitará que contacte o suporte do VMware para discutir soluções alternativas.
- Normalmente, não recomendamos a verificação da API para dados de estatísticas com mais frequência do que a cada 10 minutos. Novos dados de estatísticas chegam ao SASE Orchestrator a cada 5 minutos. Devido à jitter no relatório/processamento, a verificação dos clientes a cada 5 minutos pode apresentar casos “falsos positivos” nos quais as estatísticas não se refletem nos resultados das chamadas API. Os utilizadores costumam obter o melhor resultado com intervalos de pedidos de 10 minutos ou mais de duração.
- Evite consultar a mesma informação duas vezes.
- Utilize o intervalo entre APIs.
- Para automatizações de software complexas, execute os scripts e avalie o impacto da CPU/memória.Em seguida, ajuste conforme necessário.

Configuração Syslog do SASE Orchestrator

A capacidade Syslog do SASE Orchestrator VMware pode ser configurada de forma independente para os seguintes processos do Orchestrator: portal, carregar e back-end.

Pode encontrar abaixo uma breve descrição de cada processo:

Portal: o processo de portal é executado como um servidor HTTP interno a jusante do NGINX. O serviço do portal gere os pedidos de API recebidos, quer a partir da interface Web do SASE Orchestrator, quer de um cliente HTTP/SDK, principalmente de forma sincronizada. Estes pedidos permitem aos utilizadores autenticados configurar, monitorizar e gerir os vários serviços fornecidos pelo SASE Orchestrator.
Este registo é muito útil para atividades AAA, uma vez que contém todas as ações efetuadas pelos utilizadores no SASE Orchestrator.
Ficheiros de registo: /var/log/portal/velocloud.log (regista todas as informações, avisos e registos de erro)
Carregar: o processo de carregamento é executado como um servidor HTTP interno a jusante do NGINX. O serviço de carregamento lida com pedidos de entrada de SD-WAN Edges e SD-WAN Gateways, sincronizados ou assíncronos. Estes pedidos são compostos principalmente por ativações, heartbeats, estatísticas de fluxo, estatísticas de ligação e informações de routing enviadas por SD-WAN Edges e SD-WAN Gateways.
Ficheiros de registo: /var/log/upload/velocloud.log (Regista todas as informações, avisos e registos de erro)
Back-end: runner de tarefas que executa principalmente tarefas agendadas ou em fila. As tarefas agendadas são compostas por atividades de limpeza, rollup ou atualização de estado. As tarefas em fila são compostas por estatísticas de ligação e fluxo de processamento.
Ficheiros de registo: /var/log/backend/velocloud.log (regista todas as informações, avisos e registos de erro)

Configuração do Syslog do Orchestrator

Navegue para as propriedades do sistema no SASE Orchestrator, log.syslog.<servidor> (por exemplo, log.syslog.portal). Aceda a SASE Orchestrator→ Propriedades do sistema (System Properties) → escreva “log.syslog” na barra de pesquisa
Altere o valor “ativar”: falso ["enable":false] para verdadeiro (true) para um ou mais dos servidores. Altere o IP do anfitrião e a porta em conformidade com a sua implementação.

Aumentar o armazenamento no SASE Orchestrator

Pode obter instruções detalhadas para aumentar o armazenamento no SASE Orchestrator na documentação do SASE Orchestrator

em https://docs.vmware.com/ em “Instalar o SASE Orchestrator” e “Expandir o tamanho do disco (VMware)”

Melhores práticas:

Certifique-se de que a mesma distribuição de LVM é aplicada ao Orchestrator em espera.
Não é aconselhável reduzir o tamanho dos volumes depois de terem sido aumentados. Utilize antes o aprovisionamento fino.
No ponto 3.4, ao aumentar o tamanho do disco, pode ser utilizada a seguinte percentagem/distribuição de valor:
- “/” Volume: este volume é utilizado para o sistema operativo. Os Orchestrators de produção são normalmente configurados com 140 GB e têm 40% a 60% de utilização.
- /store e/Store2: a proporção aplicada nos Orchestrators de produção é de cerca de 85% para /Store e 15% para /Store2.

As seguintes orientações na tabela abaixo devem ser utilizadas na versão 4.x e posterior.


Tamanho da instância	/store	/store2	/store3	/var/log
Pequeno (5000 SD-WAN Edges)	2 TB	500 GB	8 TB	15 GB
Médio (10 000 SD-WAN Edges)	2 TB	500 GB	12 TB	20 GB
Grande (15 000 SD-WAN Edges)	2 TB	500 GB	16 TB	25 GB

Gerir certificados no SASE Orchestrator

O SASE Orchestrator utiliza um servidor de certificados incorporado para gerir o ciclo de vida geral de PKI de todos os SD-WAN Edges e controladores SD-WAN. Os certificados X.509 são emitidos para os dispositivos na rede.

Pode obter instruções detalhadas para configurar a AC na documentação oficial do operador do VMware SD-WAN em https://docs.vmware.com/pt/VMware-SD-WAN/index.html em “Instalar o SASE Orchestrator” e “Instalar um certificado SSL”.

Os certificados emitidos pela AC são utilizados apenas para a autenticação do seguinte:

Túneis do plano de gestão TLS 1.2 entre o SASE Orchestrator e SD-WAN Edge controlador SD-WAN.
Túneis IKEv2/IPsec do plano de controlo e dados entre SD-WAN Edges e entre SD-WAN Edge e controlador SD-WAN.

Lista de revogação de certificados

Em controladores com PKI ativado, os certificados revogados são armazenados numa lista de revogação de certificados (“CRL”). Se esta lista crescer demasiado (geralmente devido a um problema com a autoridade de certificação do Orchestrator), o desempenho do controlador será afetado. O CRL deve ter menos de 4000 entradas.

vcadmin@vcg1-example:~$ openssl crl -in /etc/vc-public/vco-ca-crl.pem -text | grep 'Serial Number' | wc -l  
14 
vcadmin@vcg1-example:~

Interação de suporte

A nossa organização de apoio ao cliente fornece assistência técnica de classe mundial todo o ano ininterruptamente e orientação personalizada aos clientes VMware SD-WAN.

Esta secção fornece algumas orientações para interagir com a equipa de suporte do VMware.

Pacotes de diagnóstico
Enquanto investiga um incidente, pode ser criado um pacote de diagnóstico do SASE Orchestrator e do controlador SD-WAN. O ficheiro resultante ajudará a equipa do suporte do VMware a analisar mais detalhadamente os eventos em torno de um problema.

Partilhar acesso com suporte
Por vezes, poderá ser necessária a assistência dos representantes do suporte do VMware para o SASE Orchestrator e os controladores SD-WAN.
Algumas formas comuns de conceder acesso são:
- Sessões remotas com suporte: o cliente concederá controlo remoto ao servidor de salto SSH ou seguirá as instruções do representante do suporte.
- Criar uma conta para a equipa de suporte no SASE Orchestrator. Isto ajuda a equipa de suporte a recolher registos sem a interação do cliente.
- Através do anfitrião de bastião: as permissões e chaves SSH podem ser configuradas para permitir que os engenheiros de suporte acedam ao SASE Orchestrator e ao controlador SD-WAN no local com um anfitrião de bastião.
Ao contactar o suporte do VMware SD-WAN para ajudar na triagem de um problema, inclua os dados descritos na tabela abaixo.
Pode encontrar mais informações na seguinte ligação: https://kb.vmware.com/s/article/53907


Necessário	Sugerido
Número do caso do parceiro	Iniciar/parar problema
E-mail/telefone de retorno do parceiro	IP SRC/DST do fluxo afetado
URL do SASE Orchestrator	Porta SRC/DST do fluxo afetado
Nome do cliente no SASE Orchestrator	Caminho de fluxo (E2E, E2GW, Direto)
Efeito do cliente (alto/médio/baixo)	Nomes dos SD-WAN Gateways
Nomes dos SD-WAN Edge	Ligação para PCAP no SASE Orchestrator
Ligação para pacote de diagnóstico em SASE Orchestrator
Declaração curta dos problemas
Análise e assistência solicitada