分析功能是以原生方式建置於 VMware SD-WAN Edge 中,用來以內嵌方式收集資料。但是,Edge 依預設會停用分析。僅當啟用了分析功能時,企業管理員才能建立分析 Edge。

若要建立具有分析功能的新 SD-WAN Edge,請執行下列步驟:

必要條件

  • 請務必在 SASE Orchestrator 中正確設定要啟用分析所需的所有系統內容。如需詳細資訊,請參閱《VMware SD-WAN 操作員指南》中的〈在 VMware SASE Orchestrator 上啟用 VMware Edge Intelligence〉主題,網址為 https://docs.vmware.com/tw/VMware-SD-WAN/index.html
  • 請務必先為客戶啟用分析功能再佈建分析 Edge。
  • SASE Orchestrator 必須在 5.0.1.0 上執行,且 SD-WAN Edge 必須至少執行 4.3.1 程式碼。您可以導覽至設定 (Configure) > Edge,檢閱安裝在每個 Edge 上的軟體映像。Edge 頁面上的資料表將有一個資料行,其中依客戶顯示 Edge 軟體版本。
  • 如果 Edge 使用 4.2 版,請確定 Edge 具有已啟動並已通告的 LAN 介面,或使用特殊的 MGMT-IP 軟體組建,否則,Edge 無法將度量傳送至 EI 後端。

程序

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > Edge
  2. Edge 畫面中,按一下新增 Edge (Add Edge)
    此時會顯示 佈建 Edge (Provision an Edge) 頁面。
  3. 您可以設定下列選項:
    選項 說明
    模式 選取模式:
    • SD-WAN Edge:允許監控、診斷和組態功能,包括故障隔離和應用程式特定分析,以便您在 Edge 上發生事件時可收到警示。
    • 已啟用分析的 SD-WAN Edge (SD-WAN Edge with Analytics Enabled):允許存取 Edge 的所有分析,以及分支分析功能完整套件。
    • 僅分析 Edge (Analytics Only Edge):允許監控 LAN 的健全狀況、效能和安全性,以及對問題進行疑難排解。
      備註: 您必須刪除並重新設定 Edge,才能將其變更回 SD-WAN Edge
    名稱 輸入 Edge 叢集的唯一名稱。
    型號 從下拉式功能表中選取 Edge 型號 (Edge model)。
    設定檔 從下拉式功能表中選取要指派給 Edge 的設定檔。
    備註: 如果因為 Edge 自動啟用,而將 Edge 註冊預備設定檔 (Edge Staging Profile) 顯示為選項,這表示此設定檔將會是一個新指派、但尚未設定生產設定檔的 Edge。
    Edge 授權 (Edge License) 從下拉式功能表中選取 Edge 授權 (Edge model)。此清單會顯示由操作員指派給企業的授權。
    驗證 (Authentication)

    從下拉式功能表中選擇驗證模式:

    • 已停用憑證 (Certificate Deactivated):Edge 會使用預先共用的金鑰模式進行驗證。
      警告: 建議不要將此模式用於任何客戶部署。
    • 憑證取得 (Certificate Acquire):依預設,會選取此模式,並建議用於所有客戶部署。在憑證取得 (Certificate Acquire) 模式下,會在啟用 Edge 期間核發憑證並自動更新。Orchestrator 會指示 Edge 從 SASE Orchestrator 的憑證授權機構取得憑證,其作法是產生金鑰配對,並將憑證簽署要求傳送至 Orchestrator。取得後,Edge 會使用憑證來驗證 SASE Orchestrator 及建立 VCMP 通道。
      備註: 在取得憑證後,必要時,可將該選項更新為 需要憑證 (Certificate Required)
    • 需要憑證 (Certificate Required):此模式僅適用於「靜態」客戶企業。靜態企業的定義如下:可能只會部署少數幾個新的 Edge,且預計不會進行 PKI 導向的新變更。
      重要: 需要憑證 (Certificate Required) 的安全優勢並沒有高於 憑證取得 (Certificate Acquire)。這兩種模式同樣安全,如果客戶想使用 需要憑證 (Certificate Required),應要有本節中所述的原因才行。
      需要憑證 (Certificate Required) 模式表示,在沒有有效憑證的情況下,不接受任何 Edge 活動訊號。
      注意: 若是客戶不知道這種嚴格施行情況,使用該模式可能導致 Edge 失敗。
      在此模式下,Edge 會使用 PKI 憑證。操作員可以編輯 Orchestrator 的系統內容,以變更 Edge 的憑證更新時間範圍。如需詳細資訊,請連絡您的操作員。
    備註:
    • Bastion Orchestrator 功能啟用時,要暫存至 Bastion Orchestrator 的 Edge 應將驗證模式設定為 憑證取得 (Certificate Acquire)需要憑證 (Certificate Required)
    • 撤銷 Edge 憑證後,會停用 Edge,且需要完成啟用程序。目前的 QuickSec 設計會檢查憑證撤銷清單 (CRL) 的時間有效性。CRL 時間有效性必須符合 Edge 目前的時間,這樣 CRL 才能對新建的連線產生影響。若要達成此目的,請確定已正確更新 Orchestrator 時間,使其與 Edge 的日期和時間相符。
    加密裝置密碼 (Encrypt Device Secrets) 選取啟用 (Enable) 核取方塊,以允許 Edge 加密所有平台上的機密資料。在企業 SD-WAN 服務的設定 (Configure) > Edge > 概觀 (Overview) 頁面上也提供了該選項。
    備註: 對於 Edge 5.2.0 版及更新版本,在停用此選項之前,您必須先使用遠端動作來停用 Edge。此動作會導致 Edge 重新啟動。
    高可用性 (High Availability) 選取啟用 (Enable) 核取方塊,以套用高可用性 (HA)。Edge 可安裝為單一獨立裝置,或與另一個 Edge 配對,以提供高可用性 (HA) 支援。
    本機連絡人名稱 (Local Contact Name) 輸入 Edge 的站台連絡人姓名。
    本機連絡人電子郵件 (Local Contact Email) 輸入 Edge 的站台聯絡人電子郵件地址。
  4. 輸入所有必要的詳細資料,然後按下一步 (Next),以設定下列其他選項:
    備註: 僅當輸入完所有必要的詳細資料時, 下一步 (Next) 按鈕才會啟用。
    選項 說明
    序號 輸入 Edge 的序號。若有指定,Edge 必須在啟用時顯示此序號。
    備註: 在 AWS Edge 上部署虛擬 VMware SD-WAN Edge 時,請務必要以執行個體識別碼作為 Edge 序號。
    說明 輸入適當的說明。
    位置 按一下設定位置 (Set Location) 連結,以設定 Edge 的位置。若未指定,當啟用 Edge 時,會自動從 IP 位址偵測該位置。
  5. 按一下新增 Edge (Add Edge)
    系統會為所選客戶佈建分析 Edge。佈建 Edge 後,分析功能會收集資料、執行所有流量的深度封包檢查、識別網路應用程式,並將流量與使用者資訊相關聯。

下一步

若要將收集到的分析資料傳送至雲端分析引擎,您必須設定分析介面以供 Edge 在其上傳輸分析資料。