VMware SD-WAN Orchestrator 會透過 API 儲存和匯出有關客戶及其網路的敏感資訊。若要保護內部部署客戶敏感資訊不受外部攻擊並限制存取其 API,
VMware SD-WAN 支援在網際網路對向的非軍事區 (DMZ) 中的 Bastion Orchestrator (公用 Orchestrator) 組態,以用於暫存和啟用
SD-WAN Edge 目的。啟用 Bastion Orchestrator 功能時,操作員超級使用者可使用從生產 (私人) Orchestrator 接收的啟用金鑰來對 Bastion Orchestrator 啟用佈建的 Edge。然後,啟用的 Edge 會透過安全通訊從 Bastion Orchestrator 升級至生產 Orchestrator。
備註: 在本文件中,「Bastion Orchestrator」一詞可以與「公用 Orchestrator」一詞互換使用,而「生產 Orchestrator」一詞則可與「私人 Orchestrator」一詞互換使用。
下圖說明 Bastion Orchestrator 的架構和啟用工作流程。
Bastion Orchestrator 架構包含兩個可彼此通訊的 SD-WAN Orchestrator 執行個體。Bastion 配對面向公眾的執行個體為「Bastion Orchestrator」,而私人執行個體為「生產 Orchestrator」。Bastion Orchestrator - Edge 啟用工作流程包含下列步驟:
限制
- 在 Bastion 組態期間,您僅能將一個操作員超級使用者帳戶暫存至 Bastion Orchestrator。一旦在 Bastion 與生產 Orchestrator 之間建立 Bastion 連線,操作員超級使用者帳戶即可用於緊急目的,以取得對 Bastion Orchestrator 的存取權。暫存的操作員超級使用者將只能存取 Bastion Orchestrator 組態頁面。
- 不支援從生產 Orchestrator 取消配對 Bastion Orchestrator (回復為獨立模式 (Return to Standalone Mode) 作業)。
- 對於啟用 Edge,Edge 必須處於「憑證取得 (Certificate Acquire)」模式。在升級 Edge 時,為了將閘道的 WAN 連結設為「開啟」,閘道必須處於「憑證取得 (Certificate Acquire)」或「需要憑證 (Certificate Required)」模式。
- 將 Edge 從 Bastion Orchestrator 升級至生產 Orchestrator 之後,如果您想要升級 Edge 軟體映像,請確保在生產 Orchestrator 上設定
vco.trusted.uuids系統內容,如下所示:[ { "uuid": "72292451-d34f-45df-ac47-2ff1fd274ba2", "sessionSecret": "a3c0930b-43c5-41a6-b50b-5095aee50598" } ]其中,
uuid和sessionSecret為 Bastion Orchestrator 的 UUID 和工作階段密碼值。您可以分別從vco.uuid和session.secret系統內容取得 UUID 和工作階段密碼。
- 閘道和 Edge 在 Bastion Orchestrator 中暫存並啟用後,就無法使用暫存閘道中的 生產 Orchestrator 和 Bastion Orchestrator 中的 Edge 來執行遠端診斷測試。
- 為將企業客戶暫存至 Bastion Orchestrator 目的而建立的 Bastion 暫存設定檔,應具有與全域區段相關的最低組態。設定檔實體更新後,僅會將全域區段下的裝置設定、商務原則和防火牆與 Bastion Orchestrator 同步。下列設定檔組態將不會與 Bastion Orchestrator 同步:
- 全域區段以外的區段
- 網路區段組態
- 物件群組
Bastion Orchestrator 的災難復原
基本上,災難復原 (DR) 功能支援生產 (私人) Orchestrator,但不支援 Bastion (公用) Orchestrator,因為它無狀態且會接收來自生產 Orchestrator 的指示,目前不支援 Bastion Orchestrator 的 DR 功能。
