Guía del operador de VMware de SD-WAN - VMware SD-WAN 4

Guía del operador de VMware de SD-WAN

2020VMware SD-WAN 4.1

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright ©

2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca

comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Acerca de la Guía del operador de VMware SD-WAN™ 7

2 Descripción general de VMware SD-WAN Orchestrator 8

3 Navegadores compatibles 9

4 Novedades 10

5 Instalar SD-WAN Orchestrator 11Requisitos previos 11

Requisitos de instancia 11

Configuración del firewall ascendente 12

Servicios externos 12

Procedimientos de instalación 12

Preparación de cloud-init 13

Instalar en VMware 15

Instalar en KVM 17

Instalar en AWS 20

Tareas de configuración inicial 20

Instalar un certificado SSL 21

Configurar propiedades del sistema 22

Actualizar SD-WAN Orchestrator 23

Expandir el tamaño del disco (VMware) 24

6 Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores27

7 Supervisar clientes 29

8 Administrar clientes 31Crear un nuevo cliente 32

Clonar un cliente 37

Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator40

Habilitar Analytics para un cliente nuevo 41

Habilitar Analytics para un cliente existente 43

Configurar clientes 46

Configurar capacidades del cliente 49

VMware, Inc. 3

Configurar directiva de seguridad 50

Configurar el cálculo de costes distribuidos 52

Configurar el cálculo de ruta con varias etiquetas DSCP por flujo 54

Configurar NFV y VNF para instancias de Edge 57

Administrar imágenes de software de Edge 58

Asociar grupo de puertas de enlace 58

9 Administrar socios 65Crear un nuevo socio 66

Configurar la información de los socios 68

10 Imágenes de software 70

11 Propiedades del sistema 72Lista de propiedades del sistema 73

12 Administrar operadores 91Supervisar eventos de operador 91

Administrar perfiles de operador 93

Crear un nuevo perfil de operador 95

Duplicar un perfil de operador 95

Modificar un perfil de operador 95

Administrar usuarios operadores 97

Crear un nuevo usuario operador 98

Configurar usuarios operadores 99

13 Administrar puertas de enlace y grupos de puerta de enlace 103Grupos de puertas de enlace 103

Columna Grupo administrado (Managed Pool) 104

Crear un grupo de puertas de enlace 104

Crear grupos de puertas de enlace específicos de socios 105

Eliminar un grupo de puertas de enlace 106

Entrega de puerta de enlace de socio 106

Puertas de enlace de socio 107

Puertas de enlace de socio 107

Página de puertas de enlace 117

Habilitar modo de puerta de enlace de socio 118

Configurar BGP de puerta de enlace 120

Ejecutar diagnósticos para puertas de enlace 124

Supervisar puertas de enlace 126

Supervisar puertas de enlace con la nueva interfaz de usuario de Orchestrator 127


VMware, Inc. 4

14 Mapas de aplicaciones 130Cargar mapas de aplicaciones 131

Clonar mapas de aplicaciones 131

Modificar mapas de aplicaciones 132

Actualizar mapa de aplicaciones 134

Insertar mapa de aplicaciones 135

15 Personalización de funciones 136Crear nuevo paquete personalizado 137

Cargar paquete personalizado 140

16 Licencias de Edge 142Administrar licencias de Edge para socios 143

Administrar licencias de Edge para clientes 144

Generar informe de licencias de Edge 145

17 Autenticación de Orchestrator 147Configurar la autenticación RADIUS (Configure RADIUS Authentication) 148

Configurar el inicio de sesión único del operador 150

Descripción general del inicio de sesión único 150

Configurar el inicio de sesión único para el usuario operador 150

Configurar un IDP para Single Sign On 154

18 Actualizar SD-WAN Orchestrator con implementación de la recuperación ante desastres 177Descripción general de la actualización de SD-WAN Orchestrator 177

Actualizar una instancia de Orchestrator 177

Paso 1: Prepararse para la actualización de Orchestrator 177

Paso 2: Enviar un anuncio de actualización 179

Paso 3: Continuar con la actualización de Orchestrator 180

Paso 4: Completar la actualización de Orchestrator 180

Recuperación ante desastres de SD-WAN Orchestrator 180

Configurar la recuperación ante desastres en VMware 181

Actualizar la configuración de recuperación ante desastres 181

19 Configurar la recuperación ante desastres de SD-WAN Orchestrator 182Descripción general de la recuperación ante desastres de SD-WAN Orchestrator 182

Configurar la replicación de SD-WAN Orchestrator 184

Configurar la instancia de Orchestrator en espera 184

Configurar la instancia de Orchestrator activa 185

Probar la conmutación por error 187


VMware, Inc. 5

Promocionar una instancia de Orchestrator en espera 187

Volver al modo independiente 188

Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator 189

20 Administrar acuerdos de usuario 191Crear un acuerdo de usuario 192

21 Actualice VMware SD-WAN Orchestrator de la versión 3.3.2 o 3.4 a la versión 4.0194

22 Solucionar problemas de SD-WAN Orchestrator 197Diagnósticos de Orchestrator 197

Descripción general de los diagnósticos de SD-WAN Orchestrator 197

Pestaña Paquete de diagnósticos (Diagnostics Bundle) 197

Pestaña de estadísticas de base de datos 200

Supervisión de métricas del sistema 201

Solicitudes de API de limitación de velocidad 203


VMware, Inc. 6

Acerca de la Guía del operador de VMware SD-WAN™ 1En la Guía del operador de VMware SD-WAN™ se ofrece información sobre VMware SD-WAN Orchestrator, que incluye cómo configurar y administrar clientes y socios que utilizan Orchestrator.

Público objetivo

Esta guía está destinada a operadores y proveedores de servicios que están familiarizados con las operaciones de redes y SD-WAN.

VMware, Inc. 7

Descripción general de VMware SD-WAN Orchestrator 2VMware SD-WAN Orchestrator ofrece una instalación, una configuración y una supervisión en tiempo real centralizadas y en toda la empresa, además de organizar el flujo de datos a través de la red de nube.

SD-WAN Orchestrator está disponible como interfaz de usuario basada en web, donde puede configurar y administrar lo siguiente:

n Clientes

n Socios

n Usuarios operadores

n Puertas de enlace y grupos de puertas de enlace

n Modos de autenticación de Orchestrator

VMware, Inc. 8

Navegadores compatibles 3SD-WAN Orchestrator es compatible con los siguientes navegadores:

Navegadores cualificados Versión del navegador

Google Chrome 77 – 79.0.3945.130

Mozilla Firefox 69.0.2 - 72.0.2

Microsoft Edge 42.17134.1.0- 44.18362.449.0

Apple Safari 12.1.2-13.0.3

Nota Para obtener el mejor rendimiento, VMware recomienda Google Chrome o Mozilla Firefox.

Nota A partir de la versión 4.0.0 de VMware SD-WAN, la compatibilidad con Internet Explorer queda obsoleta.

VMware, Inc. 9

Novedades 4Novedades de la versión 4.1.0

Función Descripción

VMware Edge Network Intelligence

VMware Intelligent Network Intelligence es una solución de AIOps independiente del proveedor que se centra en la instancia de Edge empresarial que garantiza el rendimiento del cliente final e Internet of Things (IoT), la seguridad y la recuperación automática a través de LAN inalámbrica y con cable, SD-WAN y Secure Access Service Edge (SASE). La integración de Edge Network Intelligence con VMware ayuda a ampliar la visibilidad de SD-WAN a sucursales, campus y hogares. Para comprender cómo funciona Edge Network Intelligence, consulte la Guía del usuario de VMware Edge Network Intelligence, disponible en https://docs.vmware.com/es/VMware-Edge-Network-Intelligence/index.html.

Al crear un nuevo cliente de SD-WAN (empresa o socio), VMware SD-WAN Orchestrator permite que los superusuarios operadores, los administradores estándar de operadores, los superusuarios asociados y los administradores estándar asociados habiliten la funcionalidad de Analytics para el cliente. Para conocer los pasos, consulte lo siguiente:

n Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator

n Habilitar Analytics para un cliente nuevo

n Habilitar Analytics para un cliente existente

Nota Para obtener más información sobre la configuración de VMware Edge Network Intelligence, consulte la Guía de configuración de VMware Edge Network Intelligence disponible en https://docs.vmware.com/es/VMware-SD-WAN-by-VeloCloud/index.html.

Versiones anteriores de VMware

Para obtener la documentación del producto de las versiones anteriores de VMware, póngase en contacto con su representante de VMware.

VMware, Inc. 10

https://docs.vmware.com/es/VMware-Edge-Network-Intelligence/index.html

https://docs.vmware.com/es/VMware-Edge-Network-Intelligence/index.html

https://docs.vmware.com/es/VMware-SD-WAN-by-VeloCloud/index.html

Instalar SD-WAN Orchestrator 5En esta sección se describe la instalación de SD-WAN Orchestrator.

Este capítulo incluye los siguientes temas:

n Requisitos previos

n Procedimientos de instalación

n Tareas de configuración inicial

n Actualizar SD-WAN Orchestrator

n Expandir el tamaño del disco (VMware)

Requisitos previos

En esta sección se describen los requisitos previos que deben cumplirse antes de instalar SD-WAN Orchestrator.

Requisitos de instancia

VMware recomienda la instalación de las aplicaciones de puerta de enlace y de Orchestrator como una máquina virtual (por ejemplo, una instancia de invitado) en un hipervisor existente.

SD-WAN Orchestrator requiere las siguientes especificaciones mínimas de instancia de invitado:

n 8 vCPU Intel a 2,5 GHz o superior

n 16 GB de memoria

Nota SD-WAN Orchestrator no se iniciará con menos de 10 GB de memoria.

n 2 volúmenes persistentes basados en SSD de 1 TB 1 x 512GB (ampliables a través de LVM, si es necesario)

n IOPS mínimo requerido: 5.000 IOPS

n NIC de 1 Gbps

n Compatibilidad de máquinas virtuales del servidor Ubuntu x64

n Una sola dirección IP pública (puede estar disponible a través de NAT)

VMware, Inc. 11

Configuración del firewall ascendente

El firewall ascendente debe configurarse para permitir HTTP entrante (TCP/80) y HTTPS (TCP/443). Si hay un firewall con estado, las conexiones establecidas que son salientes también deben permitirse, para facilitar la actualización y los parches de seguridad.

Servicios externos

SD-WAN Orchestrator se basa en varios servicios externos. Antes de continuar con la instalación, asegúrese de que haya licencias disponibles para cada uno de los servicios.

Google Maps

Google Maps se utiliza para mostrar las instancias de Edge y los centros de datos en un mapa. No es necesario crear ninguna cuenta con Google para utilizar la funcionalidad. Sin embargo, el acceso a Internet debe estar disponible para la instancia de SD-WAN Orchestrator a fin de que el servicio esté disponible.

El servicio se limita a 25.000 cargas de mapas cada día, durante más de 90 días consecutivos. VMware no prevé superar estos límites para el uso nominal de SD-WAN Orchestrator. Para obtener más información, consulte Google Maps.

Twilio

Twilio se utiliza para las alertas basadas en SMS a los clientes empresariales para notificarles eventos de interrupción de vínculo o Edge. Es necesario crear una cuenta con fondos en http://www.twilio.com.

La cuenta se puede aprovisionar en SD-WAN Orchestrator a través de la página Propiedades del sistema (System Properties) del portal de operadores. La cuenta se aprovisionará a través de una propiedad del sistema, como se describe más adelante en la guía. Consulte Twilio para obtener más información.

MaxMind

MaxMind es un servicio de geolocalización. Se utiliza para detectar automáticamente las ubicaciones de Edge y de puerta de enlace y los nombres de ISP en función de una dirección IP. Si este servicio está deshabilitado, será necesario actualizar la información de geolocalización de forma manual. La cuenta se puede aprovisionar en SD-WAN Orchestrator a través de la página Propiedades del sistema (System Properties) del portal de operadores. Consulte MaxMind para obtener más información.

Procedimientos de instalación

En esta sección se describe la instalación.


VMware, Inc. 12

https://developers.google.com/maps/faq#usage_mapload

http://www.twilio.com/

http://www.twilio.com/

Preparación de cloud-init

En esta sección se describe cómo usar el paquete cloud-init para controlar la inicialización introductoria de las instancias.

Acerca de cloud-init

El paquete de Linux cloud-init es responsable de controlar la inicialización introductoria de las instancias. Si está disponible en las distribuciones, permite la configuración de muchos parámetros comunes de la instancia directamente después de la instalación. Esto crea una instancia completamente funcional configurada en función de una serie de entradas.

El comportamiento de cloud-init puede configurarse a través de los datos de usuario. El usuario puede proporcionar los datos del usuario en el momento del inicio de la instancia. Por lo general, esto se hace asociando un disco secundario en formato ISO que cloud-init buscará en el primer arranque. Este disco contiene todos los datos de configuración anteriores que se aplicarán en ese momento.

SD-WAN Orchestrator es compatible con cloud-init y todas las configuraciones esenciales se pueden empaquetar en una imagen ISO.

Crear el archivo de metadatos de cloud-init

Las opciones de configuración de la instalación final se establecen con un par de archivos de configuración de cloud-init. El primer archivo de configuración de instalación contiene los metadatos. Cree este archivo con un editor de texto y etiquételo como meta-data. Este archivo proporciona información que identifica la instancia de SD-WAN Orchestrator que se está instalando. El valor de instance-id puede ser cualquier nombre de identificación y el valor de local-hostname debe ser un nombre de host que cumpla con las normas de su sitio, por ejemplo:

instance-id: vco01

local-hostname: vco-01

Además, puede especificar la información de la interfaz de red (si la red no está configurada mediante DHCP, por ejemplo):

instance-id: vco01

local-hostname: vco-01

network-interfaces: |

auto eth0

iface eth0 inet static

address 10.0.1.2

network 10.0.1.0

netmask 255.255.255.0

broadcast 10.0.1.255

gateway 10.0.1.1


VMware, Inc. 13

Crear el archivo de datos del usuario de cloud-init

El segundo archivo de opción de configuración de instalación es el archivo de datos de usuario. Este archivo proporciona información sobre los usuarios del sistema. Créelo con un editor de texto y denomínelo user-data. Este archivo se utilizará para habilitar el acceso a la instalación de SD-WAN Orchestrator. A continuación, se muestra un ejemplo de la apariencia del archivo user-data:

#cloud-config

password: Velocloud123

chpasswd: {expire: False}

ssh_pwauth: True

ssh_authorized_keys:

- ssh-rsa AAA...SDvz [email protected]

- ssh-rsa AAB...QTuo [email protected]

vco:

super_users:

list: |

[email protected]:password1

remove_default_users: True

system_properties:

list: |

mail.smtp.port:34

mail.smtp.host:smtp.yourdomain.com

service.maxmind.enable:True

service.maxmind.license:todo_license

service.maxmind.userid:todo_user

service.twilio.phoneNumber:222123123

network.public.address:222123123

write_files:

- path: /etc/nginx/velocloud/ssl/server.crt

permissions: '0644'

content: "-----BEGIN CERTIFICATE-----\nMI….ow==\n-----END CERTIFICATE-----\n"

- path: /etc/nginx/velocloud/ssl/server.key

permissions: '0600'

content: "-----BEGIN RSA PRIVATE KEY-----\nMII...D/JQ==\n-----END RSA PRIVATE

KEY-----\n"

- path: /etc/nginx/velocloud/ssl/velocloudCA.crt

Este archivo user-data permite que el usuario predeterminado, vcadmin, inicie sesión con una contraseña o con una clave SSH. El uso de ambos métodos es posible, pero no es obligatorio. El inicio de sesión con contraseña está habilitado mediante las líneas password y chpasswd.

n La línea password contiene la contraseña de texto sin formato para el usuario vcadmin.

n La línea chpasswd desactiva la caducidad de la contraseña para evitar que el primer inicio de sesión solicite un cambio de contraseña inmediatamente. Esta acción es opcional.

Nota Si establece una contraseña, se recomienda que la cambie cuando inicie sesión por primera vez, ya que la contraseña se almacena en un archivo de texto sin formato.


VMware, Inc. 14

La línea ssh_pwauth habilita el inicio de sesión SSH. La línea ssh_authorized_keys comienza un bloque de una o más claves autorizadas. Cada clave SSH pública enumerada en las líneas ssh-rsa se agregará al archivo ~/.ssh/authorized_keys de vcadmin.

En este ejemplo, se enumeran dos claves. En este ejemplo, la clave se truncó. En un archivo real, se debe enumerar toda la clave pública. Tenga en cuenta que las líneas ssh-rsa deben ir precedidas por dos espacios, seguidos por un guion, seguido por otro espacio.

En la sección vco se especifican los servicios de SD-WAN Orchestrator configurados.

super_users contiene una lista de cuentas de superoperador de VMware y las contraseñas correspondientes.

La sección system_properties permite personalizar las propiedades del sistema de Orchestrator. Consulte Capítulo 11 Propiedades del sistema para obtener más información sobre la configuración de las propiedades del sistema.

La sección write_files permite reemplazar archivos en el sistema. De forma predeterminada, los servicios web de SD-WAN Orchestrator se configuran con un certificado SSL autofirmado. Si desea proporcionar un certificado SSL diferente, el ejemplo anterior reemplaza los archivos server.crt y server.key en la carpeta /etc/nginx/velocloud/SSL/ con archivos proporcionados por el usuario.

Nota El archivo server.key debe estar sin cifrar. De lo contrario, el servicio no se iniciará sin la contraseña de clave.

Crear un archivo ISO

Una vez que haya completado los archivos, debe empaquetarlos en una imagen ISO. Esta imagen ISO se utiliza como un CD de configuración virtual con la máquina virtual. Esta imagen ISO, denominada vco01-cidata.iso, se crea con el siguiente comando en un sistema Linux:

genisoimage -output vco01-cidata.iso -volid cidata -joliet -rock user-data meta-data

Transfiera la imagen ISO recién creada al almacén de datos en el host que ejecuta VMware.

Instalar en VMware

VMware vSphere proporciona un medio para implementar y administrar recursos de máquinas virtuales. En esta sección se explica cómo ejecutar SD-WAN Orchestrator con VMware vSphere Client.

Implementar plantillas de OVA

Nota En este procedimiento, se asume que está familiarizado con VMware vSphere, no se ha escrito en referencia con ninguna versión específica de VMware vSphere.

1 Inicie sesión en vSphere Client.

2 Seleccione Archivo (File) > Implementar plantilla de OVF (Deploy OVF Template).


VMware, Inc. 15

3 Responda a los mensajes que le soliciten información específica de su implementación.

Campo Descripción

Origen (Source) Escriba una URL o desplácese hasta la ubicación del paquete de OVA.

Detalles de la plantilla de OVF (OVF template details)

Compruebe que apunta a la plantilla de OVA correcta para esta instalación.

Nombre y ubicación (Name and location)

Nombre de la máquina virtual.

Almacenamiento (Storage) Seleccione la ubicación en la que desea almacenar los archivos de la máquina virtual.

Aprovisionamiento (Provisioning) Seleccione el tipo de aprovisionamiento. Se recomienda el aprovisionamiento "fino" para volúmenes de registros binarios y bases de datos.

Asignación de red (Network mapping)

Seleccione la red para cada máquina virtual que se utilizará.

Importante Desmarque Encender después de la implementación (Power On After Deployment). Si se selecciona, se iniciará la máquina virtual y se debe iniciar más tarde, cuando se haya adjuntado la imagen ISO de cloud-init.

4 Haga clic en Finalizar (Finish).

Nota En función de la velocidad de la red, esta implementación puede tardar varios minutos, o incluso más.

Asociar una imagen ISO como un CD/DVD a una máquina virtual

1 Haga clic con el botón derecho en la máquina virtual de SD-WAN Orchestrator recién agregada y seleccione Editar configuración (Edit Settings).

2 En la ventana Propiedades de la máquina virtual (Virtual Machine Properties), seleccione Unidad de CD/DVD (CD/DVD Drive).

3 Seleccione la opción Utilizar una imagen ISO (Use an ISO image).

4 Desplácese hasta encontrar la imagen ISO que creó anteriormente (hemos denominado vco01-cidata.iso a la nuestra) y, a continuación, selecciónela. La imagen ISO puede encontrarse en el almacén de datos en el que se cargó, en la carpeta creada.

5 Seleccione Conectar al encender (Connect on Power On).

6 Haga clic en Aceptar (OK) para salir de la pantalla Propiedades (Properties).

Ejecutar la máquina virtual de SD-WAN Orchestrator

Para iniciar la máquina virtual de SD-WAN Orchestrator:

1 Haga clic para resaltarla y, a continuación, seleccione el botón Encender (Power On).


VMware, Inc. 16

2 Seleccione la pestaña Consola (Console) para ver cómo se arranca la máquina virtual.

Nota Si configuró la instancia de SD-WAN Orchestrator como se describe aquí, debe poder iniciar sesión en la máquina virtual con el nombre de usuario vcadmin y la contraseña que definió al crear la imagen ISO de cloud-init.

Instalar en KVM

En esta sección se explica cómo ejecutar SD-WAN Orchestrator mediante libvirt. Esta implementación se probó en Ubuntu 18.04 LTS.

Imágenes

Para la implementación de KVM, VMware proporcionará SD-WAN Orchestrator en cuatro imágenes qcow.

n ROOTFS

n STORE

n STORE2

n STORE3

Las imágenes tienen aprovisionamiento fino en la implementación.

Para empezar, copie las imágenes en el servidor de KVM. Además, debe copiar la compilación ISO de cloud-init como se describe en la sección anterior.

Ejemplo de XML

Nota Para las imágenes en la carpeta imágenes/vco, deberá realizar la edición desde el archivo XML.

<domain type='kvm' id='49'>

<name>vco</name>

<uuid>b0ff25bc-72b8-6ccb-e777-fdc0f4733e05</uuid>

<memory unit='KiB'>12388608</memory>

<currentMemory unit='KiB'>12388608</currentMemory>

<vcpu>2</vcpu>

<resource>

<partition>/machine</partition>

</resource>

<os>

<type>hvm</type>

</os>

<features>

<acpi/>

<apic/>

<pae/>

</features>

<cpu mode='custom' match='exact'>

<model fallback='allow'>SandyBridge</model>


VMware, Inc. 17

<vendor>Intel</vendor>

<feature policy='require' name='vme'/>

<feature policy='require' name='dtes64'/>

<feature policy='require' name='invpcid'/>

<feature policy='require' name='vmx'/>

<feature policy='require' name='erms'/>

<feature policy='require' name='xtpr'/>

<feature policy='require' name='smep'/>

<feature policy='require' name='pbe'/>

<feature policy='require' name='est'/>

<feature policy='require' name='monitor'/>

<feature policy='require' name='smx'/>

<feature policy='require' name='abm'/>

<feature policy='require' name='tm'/>

<feature policy='require' name='acpi'/>

<feature policy='require' name='fma'/>

<feature policy='require' name='osxsave'/>

<feature policy='require' name='ht'/>

<feature policy='require' name='dca'/>

<feature policy='require' name='pdcm'/>

<feature policy='require' name='pdpe1gb'/>

<feature policy='require' name='fsgsbase'/>

<feature policy='require' name='f16c'/>

<feature policy='require' name='ds'/>

<feature policy='require' name='tm2'/>

<feature policy='require' name='avx2'/>

<feature policy='require' name='ss'/>

<feature policy='require' name='bmi1'/>

<feature policy='require' name='bmi2'/>

<feature policy='require' name='pcid'/>

<feature policy='require' name='ds_cpl'/>

<feature policy='require' name='movbe'/>

<feature policy='require' name='rdrand'/>

</cpu>

<clock offset='utc'/>

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/bin/kvm-spice</emulator>

<disk type='file' device='disk'>

<driver name='qemu' type='qcow2'/>

<source file='/images/vco/rootfs.qcow2'/>

<target dev='hda' bus='ide'/>

<alias name='ide0-0-0'/>

<address type='drive' controller='0' bus='0' target='0' unit='0'/>

</disk>



<source file='/ images/vco/store.qcow2'/>

<target dev='hdb' bus='ide'/>



</disk>



VMware, Inc. 18

<source file='/ images/vco/store2.qcow2'/>

<target dev='hdc' bus='ide'/>



</disk>


<driver name='qemu' type='qcow2' />

<source file='/images/vco/store3.qcow2' />

<target dev='hdd' bus='ide' />

<alias name='ide0-0-3' />

<address type='drive' controller='0' bus='1' target='0' unit='1' />

</disk>

<disk type='file' device='cdrom'>

<driver name='qemu' type='raw'/>

<source file='/ images/vco/seed.iso'/>

<target dev='sdb' bus='sata'/>

<readonly/>

<alias name='sata1-0-0'/>


</disk>

<controller type='usb' index='0'>

<alias name='usb0'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x2'/>

</controller>

<controller type='pci' index='0' model='pci-root'>

<alias name='pci.0'/>

</controller>

<controller type='ide' index='0'>

<alias name='ide0'/>


</controller>

<interface type='direct'>

<source dev='eth0' mode='vepa'/>

</interface>

<serial type='pty'>

<source path='/dev/pts/3'/>

<target port='0'/>

<alias name='serial0'/>

</serial>

<console type='pty' tty='/dev/pts/3'>

<source path='/dev/pts/3'/>

<target type='serial' port='0'/>

<alias name='serial0'/>

</console>

<memballoon model='virtio'>

<alias name='balloon0'/>


</memballoon>

</devices>

<seclabel type='none' />



</domain>


VMware, Inc. 19

Crear la máquina virtual

Para crear la máquina virtual con los comandos estándar de virsh:

virsh define vco.xml

virsh start vco.xml

Instalar en AWS

En esta sección se describe cómo instalar SD-WAN Orchestrator en AWS.

Requisitos mínimos de instancia

Consulte la primera sección de la instalación de SD-WAN Orchestrator, denominada Requisitos de instancia, y seleccione un tipo de instancia de AWS que coincida con estos requisitos. Se deben cumplir los requisitos de CPU y memoria. Ejemplo: use c4.2xlarge o superior; r4.2xlarge o superior

Solicitar una imagen de AMI

Solicite un identificador de AMI desde VMware. Se compartirá con la cuenta del cliente. Tenga un identificador de cuenta de Amazon AWS preparado al solicitar acceso a AMI.

Instalación

1 Inicie la instancia de EC2 en la nube de AWS.

Ejemplo: http://docs.aws.amazon.com/es_es/efs/latest/ug/gs-step-one-create-ec2-resources.html

2 Configure el grupo de seguridad para permitir HTTP entrante (TCP/80) y HTTPS (TCP/443).

3 Después de que se inicie la instancia, dirija el navegador web a la URL de inicio de sesión de operador:

https://<nombre>/operator

Tareas de configuración inicial

Complete las siguientes tareas de configuración inicial:

n Configurar propiedades del sistema

n Configurar el perfil de operador inicial

n Configurar cuentas de operador

n Crear puertas de enlace

n Configurar grupos de puertas de enlace

n Crear la cuenta de cliente/cuenta de socio


VMware, Inc. 20

http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

Instalar un certificado SSL

En esta sección se describe cómo instalar un certificado SSL.

Para instalar un certificado SSL:

1 Inicie sesión en la consola de CLI de SD-WAN Orchestrator a través de SSH. Si configuró la instancia de SD-WAN Orchestrator como se describe aquí, debe poder iniciar sesión en la máquina virtual con el nombre de usuario vcadmin y la contraseña que definió al crear la imagen ISO de cloud-init.

2 Genere la clave privada de SD-WAN Orchestrator.

Nota No cifre la clave. Debe mantenerse sin cifrar en el sistema SD-WAN Orchestrator.

openssl genrsa -out server.key 2048

3 Genere una solicitud de certificado. Personalice -subj de acuerdo con la información de su organización.

openssl req -new -key server.key -out

server.csr -subj "/C=US/ST=California/L=Mountain View/O=Velocloud Networks

Inc./OU=Development/CN=vco.velocloud.net"

Descripción de los campos del asunto:

Campo Descripción

C País

ST Estado

L Localidad (ciudad)

O Empresa

OU Departamento (opcional)

CN Nombre de dominio completo de SD-WAN Orchestrator

4 Envíe server.csr a una entidad de certificación para firmarla. Debe recuperar el certificado SSL (server.crt). Asegúrese de que esté en formato PEM.

5 Instale el certificado (que requiere acceso de usuario raíz). Los certificados SSL de SD-WAN Orchestrator se encuentran en /etc/nginx/velocloud/ssl/.

cp server.key server.crt /etc/nginx/velocloud/ssl/

chmod 600 /etc/nginx/velocloud/ssl/server.key

6 Reinicie nginx.

systemctl restart nginx


VMware, Inc. 21

Configurar propiedades del sistema

En esta sección se describe cómo configurar las propiedades del sistema, que ofrecen un mecanismo para controlar el comportamiento de todo el sistema de VMware.

Las propiedades del sistema se pueden establecer inicialmente mediante el archivo de configuración cloud-init (consulte Crear el archivo de metadatos de cloud-init). Es necesario configurar las siguientes propiedades para garantizar el funcionamiento correcto del servicio.

Nombre del sistema

Introduzca un nombre de dominio de VMware plenamente cualificado en la propiedad del sistema network.public.address.

Google Maps

Google Maps se utiliza para mostrar las instancias de Edge y los centros de datos en un mapa. Es posible que los mapas no se muestren sin una clave de licencia. Orchestrator seguirá funcionando correctamente, pero los mapas del navegador no estarán disponibles, en este caso.

1 Inicie sesión en https://console.developers.google.com.

2 Cree un nuevo proyecto, si aún no se ha creado uno.

3 Busque el botón Habilitar APIs (Enable API). Haga clic en la API de Google Maps (Google Maps APIs) y habilite las API de JavaScript de Google Maps (Google Maps JavaScript API) y las API de geolocalización de Google Maps (Google Maps Geolocation API).

4 En el lado izquierdo de la pantalla, haga clic en el vínculo Credenciales (Credentials).

5 En la página Credenciales, haga clic en Crear credenciales (Create Credentials) y, a continuación, seleccione Clave de API (API key). Cree una clave de API.

6 Establezca la propiedad del sistema service.client.googleMapsApi.key de VMware en la clave de API.

7 Establezca service.client.googleMapsApi.enable en "true".

Twilio

Twilio es un servicio de mensajería que le permite recibir alertas de VMware a través de SMS. Es opcional. Los detalles de la cuenta se pueden introducir en VMware a través de la página Propiedades del sistema (System Properties) del portal de operadores. Las propiedades son las siguientes:

n service.twilio.enable permite que se deshabilite el servicio en caso de que no haya acceso a Internet disponible para VMware

n service.twilio.accountSid

n service.twilio.authToken

n service.twilio.phoneNumber en formato (nnn)nnn-nnnn

Obtenga el servicio en https://www.twilio.com.


VMware, Inc. 22

https://console.developers.google.com/

https://www.twilio.com/

MaxMind

MaxMind es un servicio de geolocalización. Se utiliza para detectar automáticamente las ubicaciones de Edge y de puerta de enlace y los nombres de ISP en función de una dirección IP. Si este servicio está deshabilitado, será necesario actualizar la información de geolocalización de forma manual. Los detalles de la cuenta se pueden introducir en VMware a través de la página Propiedades del sistema (System Properties) del portal de operadores. Puede configurar lo siguiente:

n service.maxmind.enable permite que se deshabilite el servicio en caso de que no haya acceso a Internet disponible para VMware

n service.maxmind.userid contiene la identificación de usuario proporcionada por MaxMind durante la creación de la cuenta

n service.maxmind.license incluye la clave de licencia proporcionada por MaxMind

Obtenga la licencia en: https://www.maxmind.com/en/geoip2-precision-city-service.

Correo electrónico

Los servicios de correo electrónico se pueden utilizar para enviar los mensajes de activación de Edge, así como para alarmas y notificaciones. No es un requisito, pero se recomienda encarecidamente configurarlo como parte de las operaciones de VMware. Las siguientes propiedades del sistema están disponibles para configurar el servicio de correo electrónico externo que utiliza Orchestrator:

n mail.smtp.auth.pass: contraseña de usuario de SMTP.

n mail.smtp.auth.user: usuario SMTP para la autenticación.

n mail.smtp.host: servidor de retransmisión del correo electrónico originado desde VMware.

n mail.smtp.port: puerto SMTP.

n mail.smtp.secureConnection: utilice SSL para el tráfico SMTP.

Actualizar SD-WAN Orchestrator

En esta sección se describe cómo actualizar SD-WAN Orchestrator.

Para actualizar SD-WAN Orchestrator, haga lo siguiente:

1 Cargue la imagen en el sistema SD-WAN Orchestrator con cualquier herramienta de transferencia de archivos que esté disponible en la infraestructura, por ejemplo "SCP". Copie la imagen en la siguiente ubicación del sistema: /var/lib/velocloud/software_update/vco_update.tar.


VMware, Inc. 23

https://www.maxmind.com/en/geoip2-precision-city-service

2 Conéctese a la consola de SD-WAN Orchestrator y ejecute el comando siguiente:

sudo /opt/vc/bin/vco_software_update

Nota Si configuró la instancia de SD-WAN Orchestrator como se describe aquí, debe poder iniciar sesión en la máquina virtual con el nombre de usuario vcadmin y la contraseña que definió al crear la los archivos de configuración de cloud-init.

Para obtener instrucciones sobre cómo actualizar SD-WAN Orchestrator con la implementación de la recuperación ante desastres, consulte Capítulo 18 Actualizar SD-WAN Orchestrator con implementación de la recuperación ante desastres.

Expandir el tamaño del disco (VMware)

Todos los volúmenes de almacenamiento se configuran como dispositivos LVM. Es posible cambiar su tamaño en línea si se proporciona la tecnología de virtualización subyacente que admite la expansión de discos en línea. Los discos se expanden automáticamente a través de cloud-init cuando arranca la máquina virtual.

Para expandir discos después del arranque:

1 Inicie sesión en la consola del sistema SD-WAN Orchestrator.

2 Identifique los discos físicos que admiten el volumen de la base de datos.

vgs -o +devices store

Ejemplo:

root@vco:~# vgs -o +devices db_data

\ VG #PV #LV #SN Attr VSize VFree Devices

store 1 1 0 wz--n- 500.00g 125.00g /dev/sdb(0)

3 Identifique el archivo adjunto del disco físico.

lshw -class volume

Ejemplo:

/dev/sdb is attached to scsi@2:0.1.0 (Host: scsi2 Channel: 00 Id: 01 Lun: 00)

root@vco:~# lshw -class volume

*-volume

description: EXT4 volume

vendor: Linux

physical id: 1

bus info: scsi@2:0.0.0,1

logical name: /dev/sda1

logical name: /

version: 1.0

serial: 9d212247-77c4-4f98-a5c2-7f8470fa2da8


VMware, Inc. 24

size: 10239MiB

capacity: 10239MiB

capabilities: primary bootable journaled extended_attributes large_files huge_files

dir_nlink recover extents ext4 ext2 initialized

configuration: created=2016-02-22 20:49:38 filesystem=ext4 label=cloudimg-rootfs

lastmountpoint=/ modified=2016-02-22 21:18:58 mount.fstype=ext4

mount.options=rw,relatime,data=ordered mounted=2016-10-06 23:22:04 state=mounted

*-disk:1

description: SCSI Disk

physical id: 0.1.0

bus info: scsi@2:0.1.0

logical name: /dev/sdb

serial: v5V2zm-Lvbh-Mfx3-W8ki-COI9-DAtP-RXndhu

size: 500GiB

capacity: 500GiB

capabilities: lvm2

configuration: sectorsize=512

*-disk:2

description: SCSI Disk

physical id: 0.2.0

bus info: scsi@2:0.2.0

logical name: /dev/sdc

serial: fTQFJ2-giAV-WsXL-1Wha-V305-oQkV-qqS3SA

size: 100GiB

capacity: 100GiB

capabilities: lvm2

configuration: sectorsize=512

4 En el host del hipervisor, busque el disco conectado a la máquina virtual mediante la información de bus. Ejemplo: SCSI(0:1)

5 Amplíe el disco virtual. Para obtener instrucciones, consulte el artículo 1004047 de la base de conocimientos de VMware: http://kb.vmware.com/kb/1004047

6 Vuelva a iniciar sesión en la consola del sistema SD-WAN Orchestrator.

7 Vuelva a analizar el dispositivo de bloqueo para comprobar el volumen físico cuyo tamaño ha cambiado. Ejemplo:

echo 1 > /sys/block/$DEVICE/device/rescan

Ejemplo:

echo 1 > /sys/block/sdb/device/rescan

8 Cambie el tamaño del disco físico LVM.

pvresize /dev/sdb

9 Determine la cantidad de espacio libre en el grupo de volumen de base de datos.

vgdisplay store |grep Free


VMware, Inc. 25

http://kb.vmware.com/kb/1004047

Ejemplo:

root@vco:~# vgdisplay store |grep Free

Free PE / Size 34560 / 135.00 GiB

10 Amplíe el volumen lógico de la base de datos.

lvextend -r -L+#G /dev/store/data

Ejemplo:

root@vco:~# lvextend -L+10G /dev/store/data

Extending logical volume data to 385.00 GiB

Logical volume data successfully resized

11 Cambie el tamaño del sistema de archivos de volumen de base de datos:

resize2fs /dev/store/data

Ejemplo:

root@vco:~# resize2fs /dev/store/data

resize2fs 1.42.9 (4-Feb-2014)

Filesystem at /dev/store/data is mounted on /store; on-line resizing required

old_desc_blocks = 24, new_desc_blocks = 25

The filesystem on /dev/store/data is now 100924416 blocks long.

12 Vea el nuevo tamaño del volumen.

df -h /dev/store/data

Ejemplo:

root@vco:~# df -h /dev/store/data

Filesystem Size Used Avail Use% Mounted on

/dev/mapper/store-data 379G 1.2G 359G 1% /store


VMware, Inc. 26

Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores

6Describe cómo iniciar sesión en SD-WAN Orchestrator mediante el inicio de sesión único (SSO) como usuario operador.

Para iniciar sesión en SD-WAN Orchestrator mediante SSO como usuario operador:

Nota Si se produce un error en otros mecanismos de autenticación, siempre debe haber un superusuario operador nativo como reserva del sistema.

Requisitos previos

n Asegúrese de haber configurado la autenticación de SSO en SD-WAN Orchestrator. Para obtener más información, consulte Configurar el inicio de sesión único para el usuario operador.

n Asegúrese de haber configurado las funciones, los usuarios y la aplicación de OpenID Connect (OIDC) con SSO para sus proveedores de identidades (Identity Provider, IDP) preferidos. Para obtener más información, consulte Configurar un IDP para Single Sign On.

Procedimiento

1 En un navegador web, inicie una aplicación SD-WAN Orchestrator como usuario operador.

Aparecerá la pantalla Consola de operaciones de VMware SD-WAN (VMware SD-WAN Operations Console).

VMware, Inc. 27

2 Haga clic en Iniciar sesión con su proveedor de identidad (Sign In With Your Identity Provider).

El IDP configurado para SSO autenticará al usuario y lo redirigirá a la URL de SD-WAN Orchestrator configurada.

Nota Una vez que los usuarios inicien sesión en SD-WAN Orchestrator mediante SSO, no podrán iniciar sesión de nuevo como usuarios nativos.


VMware, Inc. 28

Supervisar clientes 7Como usuario operador, puede supervisar el estado de sus clientes junto con las instancias de Edge conectadas a los clientes.

En el portal de operadores, haga clic en Supervisar clientes (Monitor Customers).

En Intervalo de actualización (Refresh Interval), puede poner en pausa la supervisión o elegir el intervalo de tiempo para actualizar el estado de supervisión.

La Página Supervisar clientes (Monitor Customers) muestra los detalles siguientes:

Clientes (Customers):

n Clientes administrados por el operador.

n Número de clientes que están activos, inactivos y no activados. Haga clic en el número para ver los detalles correspondientes del cliente en el panel inferior.

n En el panel inferior, haga clic en el vínculo al nombre del cliente para acceder al portal de empresas, donde puede ver y configurar otros ajustes correspondientes al cliente seleccionado. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

VMware, Inc. 29

Instancias de Edge (Edges):

n Instancias de Edge asociadas con los clientes.

n Número de instancias de Edge que están inactivas, degradadas, conectadas y no activadas. Haga clic en el número para ver los detalles correspondientes de las instancias de Edge en el panel inferior.

n En el panel inferior, coloque el cursor del ratón sobre la flecha hacia abajo que aparece junto al número de instancias de Edge para ver los detalles de cada instancia de Edge. Haga clic en el vínculo del nombre de Edge para acceder al portal de supervisión empresarial, donde puede ver más detalles correspondientes a la instancia de Edge seleccionada. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

También puede ver los clientes y las instancias de Edge asociadas mediante la nueva interfaz de usuario de Orchestrator.

n En el portal de operadores, haga clic en la opción Abrir nueva interfaz de usuario de Orchestrator (Open New Orchestrator UI) disponible en la parte superior de la ventana.

n Haga clic en Iniciar nueva interfaz de usuario de Orchestrator (Launch New Orchestrator UI) en la ventana emergente. La interfaz de usuario se abre en una pestaña nueva que muestra las opciones de supervisión.

La nueva interfaz de usuario de Orchestrator no proporciona la opción para actualización automática. Puede actualizar la ventana de forma manual para ver los datos actuales.


VMware, Inc. 30

Administrar clientes 8La opción Administrar clientes (Manage Customers) le permite crear nuevos clientes, configurar las capacidades del cliente, clonar la configuración existente y configurar otros ajustes de los clientes.

En el panel Operador (Operator), haga clic en Administrar clientes (Manage Customers). Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo cliente (New Customer): crea un nuevo cliente. Consulte Crear un nuevo cliente.

n Clonar cliente (Clone Customer): crea un nuevo cliente mediante la clonación de las configuraciones existentes del cliente seleccionado. Consulte Clonar un cliente.

n Modificar cliente (Modify Customer): se desplaza hasta la Configuración del sistema (System Settings) en el portal de empresas, donde puede configurar otros ajustes que correspondan al cliente seleccionado. También puede hacer clic en el nombre de un cliente para acceder al portal de empresas. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

n Eliminar cliente (Delete Customer): elimina los clientes seleccionados. Antes de eliminar el cliente, asegúrese de haber eliminado todas las instancias de Edge asociadas al cliente seleccionado.

n Transferir al socio (Transfer to Partner): asigna los clientes seleccionados a un socio. Puede seleccionar un socio existente en la lista desplegable y también elegir si desea delegar los privilegios en un operador y un socio.

n Liberar del socio (Release from Partner): libera el cliente seleccionado del socio.

n Correo electrónico de soporte: Cliente seleccionado (Support Email: Selected Customer): envía mensajes de soporte del cliente al cliente seleccionado.

n Asignar perfil de operador (Assign operator profile): permite agregar un perfil de operador para los clientes seleccionados.

Nota Esta opción solo está disponible para los superusuarios empresariales con la función de administración de imágenes de Edge habilitada.

n Actualizar administración de imágenes de Edge (Update Edge Image Management): permite habilitar o deshabilitar la función de administración de imágenes de Edge para los clientes seleccionados.

VMware, Inc. 31

n Actualizar notificaciones previas (Update Pre-notifications): habilita o deshabilita las alertas previas a la notificación para los clientes seleccionados.

n Actualizar alertas de cliente (Update Customer Alerts): habilita o deshabilita las alertas para los clientes seleccionados.

n Reequilibrar puertas de enlace (Rebalance Gateways): vuelve a equilibrar las puertas de enlace de las instancias de Edge asociadas con el cliente seleccionado.

n Exportar todos los clientes (Export All Customers): exporta los detalles de todos los clientes en el portal de operadores a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.

n Exportar inventario de Edge de cliente (Export Customer Edge Inventory): exporta los detalles del inventario de todas las instancias de Edge asociadas con todos los clientes a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.


n Crear un nuevo cliente

n Clonar un cliente

n Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator

n Configurar clientes

Crear un nuevo cliente

En el portal de operadores, puede crear clientes y configurar los ajustes del cliente.

Solo pueden crear nuevos clientes los superusuarios operadores y los administradores estándar operadores.

Nota Como superusuario operador, puede deshabilitar temporalmente la creación de clientes nuevos si configura la propiedad del sistema session.options.disableCreateEnterprise como Verdadero (True). Puede utilizar esta opción cuando SD-WAN Orchestrator supere la capacidad de uso.

En el portal de operadores, desplácese hasta Administrar clientes (Manage Customers).

1 En la página Clientes (Customers), haga clic en Nuevo cliente (New Customer) o haga clic en Acciones (Actions) > Nuevo cliente (New Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Clonar del cliente (Clone from Customer) si desea clonar las configuraciones de un cliente existente. Para obtener más información, consulte Clonar un cliente.


VMware, Inc. 32

Información del cliente (Customer Information)

Opción Descripción

Nombre de la empresa (Company Name) Introduzca el nombre de su empresa

Número de cuenta (Account Number) Introduzca un identificador único del cliente


VMware, Inc. 33


Dominio (Domain) Introduzca el nombre de dominio de su empresa

Acceso al soporte técnico de VeloCloud (VeloCloud Support Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico de VMware para ver, configurar y solucionar los problemas de las instancias de Edge conectadas al cliente.

Por motivos de seguridad, el equipo de soporte técnico no puede ver la información de identificación de los usuarios ni acceder a ella.

Acceso a la administración de usuarios de VeloCloud (VeloCloud User Management Access)

Seleccione la casilla de verificación para habilitar que el soporte técnico de VMware pueda ayudar en la administración de usuarios. La administración de usuarios incluye opciones para crear usuarios, restablecer contraseñas y configurar otros ajustes. En este caso, el equipo de soporte obtiene acceso a la información de identificación del usuario.

Calle (Street Address), Ciudad (City), Estado (State), País (Country), Código postal (ZIP/Postcode)

Introduzca los detalles de la dirección relevante en los campos correspondientes.

Cuenta administrativa (Administrative Account)


Nombre de usuario (Username) Introduzca el nombre de usuario en el formato [email protected].

Contraseña (Password) Introduzca una contraseña para el administrador.

Confirmar (Confirm) Vuelva a introducir la contraseña.

Nombre (First Name), Apellido (Last Name), Teléfono (Phone), Teléfono móvil (Mobile Phone)

Introduzca los detalles, como el nombre y el número de teléfono, en los campos adecuados.

Correo electrónico de contacto (Contact Email) Introduzca la dirección de correo electrónico. Las alertas de estado del servicio se envían a esta dirección de correo electrónico.

Configuración del cliente (Customer Configuration)

Como usuario operador, puede administrar las imágenes de software que se asignan a una empresa directamente mediante la asignación de un perfil de operador (Operator Profile) a una empresa. También puede permitir que un superusuario empresarial administre la lista de imágenes de software disponibles para una empresa si habilita Administrar imagen de software (Manage Software Image).


VMware, Inc. 34


Administrar imagen de software (Manage Software Image) Seleccione la casilla de verificación si desea permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa.

Imágenes de software (Software Images) Haga clic en Agregar (Add) y, en la ventana emergente Seleccionar imágenes de software (Select Software Images), seleccione y asigne las imágenes de software de la lista disponible para la empresa, y seleccione una imagen a fin de utilizarla como predeterminada.

Nota Este campo aparece cuando se habilita Administrar imagen de software (Manage Software Image).

Después de agregar las imágenes, para modificar la lista de imágenes de software asignada a la empresa haga clic en Modificar (Modify) en el área Configuración del cliente (Customer Configuration).

Nota Puede eliminar una imagen asignada de una empresa únicamente si la imagen no está en uso en ninguna instancia de Edge dentro de la empresa.

Perfil de operador (Operator Profile) Seleccione un perfil de operador para asociarlo con el cliente en la lista disponible. Este campo no estará disponible si está habilitada la opción Administrar imagen de software (Manage Software Image). Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador.

Grupo de puertas de enlace (Gateway Pool) Seleccione un grupo de puertas de enlace existente en la lista desplegable. Para obtener más información sobre los grupos de puertas de enlace, consulte Grupos de puertas de enlace.


VMware, Inc. 35


Autenticación de Edge predeterminada (Default Edge Authentication)

Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en la lista desplegable.

Licencias de Edge (Edge Licensing) Haga clic en Agregar (Add) y, en la ventana emergente Seleccionar licencias de Edge (Select Edge Licenses), seleccione y asigne las licencias de Edge de la lista disponible para la empresa.

Después de agregar las licencias, puede hacer clic en Modificar (Modify) en el área Configuración del cliente (Customer Configuration) para agregar o eliminar las licencias.

Nota Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Capítulo 16 Licencias de Edge.

Capacidad de Analytics Permite a los superusuarios operadores y a los administradores estándar de operadores habilitar la funcionalidad de Analytics para un cliente nuevo. Para obtener más información, consulte Habilitar Analytics para un cliente nuevo.

Nota Esta opción solo está disponible cuando la función Analytics está habilitada en SD-WAN Orchestrator. Para obtener más información, consulte Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator.

Haga clic en Crear (Create).

El nuevo nombre de cliente se muestra en la página Clientes (Customers). Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar configuraciones al cliente. Para obtener más información, consulte Configurar clientes y la sección Administración empresarial de la Guía de administración de VMware SD-WAN disponible en https://docs.vmware.com/es/VMware-SD-WAN-by-VeloCloud/index.html.


VMware, Inc. 36



Clonar un cliente

Puede clonar las configuraciones de un cliente existente y crear un nuevo cliente con la configuración clonada.

Solo los superusuarios operadores y los superusuarios de MSP pueden clonar un cliente.

De forma predeterminada, las siguientes configuraciones se clonan desde el cliente seleccionado:

n Perfiles de configuración de empresa

n Servicios y objetos de la red de empresa, como:

n Servicios de DNS

n Nombres de redes privadas

n Segmentos de red

n Capacidades del cliente

n Esquema de autenticación de Edge

n Grupos de direcciones y puertos

No puede clonar una empresa si está compuesta por lo siguiente:

n Perfil con referencias de Edge, como hubs, clústeres, etcétera.

n Perfil que contiene referencias de la puerta de enlace de socio

n Servicio de seguridad de nube habilitado

n Non VMware SD-WAN Sites

n VNF o licencias de VNF

n Servicios de autenticación

n Objetos de NetFlow, como recopiladores o filtros


1 En la página Clientes (Customers), seleccione el cliente que desea clonar y haga clic en Acciones (Actions) > Clonar cliente (Clone Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Nuevo cliente (New Customer) para crear un nuevo cliente sin clonar las configuraciones del cliente seleccionado. Consulte Crear un nuevo cliente.


VMware, Inc. 37


VMware, Inc. 38

3 En Clonar configuración (Clone Configuration), puede configurar los siguientes detalles.


Cliente de plantilla (Template Customer) De forma predeterminada, se tiene en cuenta el cliente seleccionado a efectos de clonación. Si es necesario, puede seleccionar un cliente diferente en la lista desplegable.

Si un cliente o una empresa no cumplen con las condiciones de clonación adecuadas, como se indica al principio de esta sección, no estará disponible en la lista desplegable. Esta lista solo muestra el nombre de los clientes que se pueden clonar.

Atributos de clonación adicionales (Additional Clone Attributes)

Además de las configuraciones clonadas predeterminadas, puede seleccionar los siguientes ajustes que se van a clonar, según sea necesario:

n Directiva de seguridad (Security Policy)

n Configuración de alertas (Alert Configuration)

n Preferencias de enrutamiento global (Global Routing Preferences)

n Suscripciones de IaaS (IAAS Subscriptions)

4 Introduzca los detalles de Información del cliente (Customer Information) y Cuenta administrativa (Administrative Account), como se describe en Crear un nuevo cliente.

5 En la sección Configuración del cliente (Customer Configuration), el perfil de operador, las imágenes de software, el grupo de puertas de enlace y la autenticación de Edge predeterminada se clonan desde el cliente seleccionado. Si es necesario, es posible modificar los ajustes de configuración del cliente clonado.

a Es posible administrar la imagen de software asignada a una empresa directamente mediante la asignación de un perfil de operador a una empresa o permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa si habilita la casilla de verificación Administrar imagen de software (Manage Software Image). Para obtener más información sobre Administrar imagen de software (Manage Software Image), consulte Crear un nuevo cliente.

b Puede administrar las licencias de Edge asignadas a un empresa asociada haciendo clic en Modificar (Modify). En la ventana emergente Seleccionar licencias de Edge (Select Edge Licenses), puede seleccionar y asignar nuevas licencias de Edge para el cliente desde la lista disponible.

c Para habilitar la funcionalidad de Analytics de un cliente empresarial, seleccione y asigne una opción del menú desplegable Capacidad de Analytics (Analytics Capability). También puede definir la cantidad máxima de instancias permitidas de Edge de Analytics que pueden configurarse para el cliente. Para obtener más información, consulte Habilitar Analytics para un cliente nuevo.

6 Haga clic en Crear (Create).


VMware, Inc. 39

El nuevo nombre de cliente se muestra en la página Clientes (Customers). El cliente ya está configurado con la configuración clonada. Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar o modificar la configuración. Para obtener más información sobre las configuraciones y los ajustes del cliente, consulte Configurar clientes y la Guía de administración de VMware que está disponible en https://docs.vmware.com/es/VMware-SD-WAN-by-VeloCloud/index.html.

Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator

VMware Intelligent Network Intelligence es una solución de AIOps independiente del proveedor que se centra en la instancia de Edge empresarial que garantiza el rendimiento del cliente final e Internet of Things (IoT), la seguridad y la recuperación automática a través de LAN inalámbrica y con cable, SD-WAN y Secure Access Service Edge (SASE). La integración de VMware Edge Network Intelligence con VMware ayuda a ampliar la visibilidad de SD-WAN a sucursales, campus y hogares. Esta integración ayuda a VMware Edge Network Intelligence a obtener datos de diferentes perspectivas para cada flujo de aplicaciones, lo cual incluye controlador inalámbrico, conmutador de LAN, servicios de red, VMware SD-WAN Edge, VMware SD-WAN Hub, VMware SD-WAN Gateway y métricas de rendimiento de la aplicación. Para obtener más información, consulte la Guía de configuración de VMware Edge Network Intelligence.

VMware proporciona propiedades del sistema predefinidas para configurar la característicaVMware Edge Network Intelligence en el portal de SD-WAN Orchestrator. Un superusuario operador puede agregar o modificar los valores de las propiedades del sistema para habilitar el servicio de Analytics en SD-WAN Orchestrator.

En la siguiente tabla se describen todas las propiedades del sistema relacionadas con VMware Edge Network Intelligence.

Propiedad del sistema Descripción Valor

session.options.enableEdgeAnalytics Permite habilitar el servicio de Analytics en SD-WAN Orchestrator. De forma predeterminada, Analytics está habilitado para los las instancias de Orchestrator alojadas en la nube.

Nota Para las instancias de Orchestrator locales, asegúrese de establecer esta propiedad del sistema en false.

true

service.analytics.apiURL URL de la API de Analytics. https://integration.nyansa.com/vco/api/v0/graphql


VMware, Inc. 40



Propiedad del sistema Descripción Valor

service.analytics.apiToken Token de API de la API de Analytics. SD-WAN Orchestrator utiliza el token y la URL de API para ponerse en contacto con el motor de Analytics de nube y crear nuevos clientes/SD-WAN Edges en el motor de Analytics.

Para obtener el token de API, el usuario operador debe ponerse en contacto con el proveedor de soporte. Para obtener información sobre cómo ponerse en contacto con el proveedor de soporte, consulte https://kb.vmware.com/s/article/53907 y https://www.vmware.com/support/contacts/us_support.html.

service.analytics.configEndpoint Endpoint de configuración del servicio de Analytics.

config.nyansa.com

service.analytics.analyticsEndpointStatic

Endpoint de Analytics de IP estática del servicio de Analytics.

loupe-m2.nyansa.com

service.analytics.analyticsEndpointDynamic

Endpoint de Analytics de IP dinámica del servicio de Analytics.

loupe-m.nyansa.com

Habilitar Analytics para un cliente nuevo

Al crear un nuevo cliente de SD-WAN, VMware SD-WAN Orchestrator permite a los superusuarios operadores y los administradores estándar de operadores habilitar la funcionalidad de Analytics para el cliente. Analytics ayuda a recopilar datos de diferentes perspectivas para cada flujo de aplicaciones, lo cual incluye controlador inalámbrico, conmutador de LAN, servicios de red, VMware SD-WAN Edge, VMware SD-WAN Hub, VMware SD-WAN Gateway y métricas de rendimiento de la aplicación.

Para habilitar Analytics para un cliente nuevo, realice los pasos siguientes:

Requisitos previos

Asegúrese de que las siguientes propiedades del sistema estén establecidas correctamente en SD-WAN Orchestrator:

n session.options.enableEdgeAnalytics

n service.analytics.apiURL

n service.analytics.apiToken

Para obtener más información, consulte Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator.

Procedimiento

1 En el portal de operadores, desplácese hasta Administrar clientes (Manage Customers).

Se mostrará la pantalla Clientes (Customers).

2 Haga clic en Nuevo cliente (New Customer) o haga clic en Acciones (Actions) > Nuevo cliente (New Customer).

Se mostrará el cuadro de diálogo Nuevo cliente (New Customer).


VMware, Inc. 41

https://kb.vmware.com/s/article/53907


https://www.vmware.com/support/contacts/us_support.html



VMware, Inc. 42

3 En el cuadro de diálogo Nuevo cliente (New Customer), introduzca la información del cliente, los detalles de la cuenta administrativa y los detalles de configuración del cliente.

Nota Asegúrese de proporcionar un nombre de dominio único para el cliente. Si el nombre de dominio no es único, Orchestrator muestra el siguiente mensaje de error.

Errors from analytics service: Subdomain is already taken

Para obtener más información, consulte Crear un nuevo cliente.

4 En el Configuración del cliente (Customer Configuration), en el menú desplegable Capacidad de Analytics (Analytics Capability), seleccione una de las siguientes opciones para habilitar Analytics:

n Análisis de aplicaciones y sucursales (Application and Branch Analytics): al aprovisionar una instancia de Edge, el administrador del cliente puede elegir entre el análisis de aplicaciones únicamente o el análisis de aplicaciones y sucursales.

n Ninguno (None): de forma predeterminada, esta opción está seleccionada y el análisis está deshabilitado para el cliente.

5 Defina el número máximo de instancias de Edge que se pueden aprovisionar como instancias de Edge de Analytics introduciendo un valor numérico en el cuadro de texto N.º de instancias de Edge de Analytics permitidas (# of analytics edges allowed). De forma predeterminada, se selecciona la opción Sin límite (Unlimited).


Resultados

El nuevo nombre de cliente se muestra en la pantalla Clientes (Customers). Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar o modificar configuraciones para el cliente.

Habilitar Analytics para un cliente existente

VMware SD-WAN Orchestrator permite a los superusuarios operadores y a los administradores estándar de operadores habilitar Analytics para un cliente de SD-WAN existente (empresa o socio).

Para habilitar Analytics para un cliente existente, realice los pasos siguientes.

Requisitos previos

Asegúrese de que las siguientes propiedades del sistema estén establecidas correctamente en SD-WAN Orchestrator:

n session.options.enableEdgeAnalytics

n service.analytics.apiURL

n service.analytics.apiToken


VMware, Inc. 43

Para obtener más información, consulte Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator.

Procedimiento


Se mostrará la pantalla Clientes (Customers).

2 Haga clic en el nombre de cliente específico para el cual desea habilitar Analytics.

Se mostrará la pantalla Configuración del cliente (Customer Configuration).


VMware, Inc. 44


VMware, Inc. 45

3 En el área Configuración de Analytics (Analytics Configuration), en el menú desplegable Capacidad de Analytics (Analytics Capability), seleccione una de las siguientes opciones para habilitar Analytics:

n Análisis de aplicaciones y sucursales (Application and Branch Analytics): al aprovisionar una instancia de Edge, el administrador del cliente puede elegir entre el análisis de aplicaciones únicamente o el análisis de aplicaciones y sucursales.

n Ninguno (None): de forma predeterminada, esta opción está seleccionada y el análisis está deshabilitado para el cliente.

4 Defina el número máximo de instancias de Edge que se pueden aprovisionar como instancias de Edge de Analytics introduciendo un valor numérico en el cuadro de texto N.º de instancias de Edge de Analytics permitidas (# of analytics edges allowed). De forma predeterminada, se selecciona la opción Sin límite (Unlimited).

5 Haga clic en Guardar cambios (Save Changes).

Resultados

Analytics ya está habilitado para el cliente seleccionado. Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar o modificar configuraciones para el cliente.

Configurar clientes

Después de crear un cliente, configure las opciones de funciones y los ajustes a los que puede acceder el cliente. Como operador, puede seleccionar los ajustes que el cliente o la empresa pueden modificar.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente.

También puede desplazarse hasta la página de configuración desde la página Administrar clientes (Manage Customers) del portal de operador. Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer) para poder configurar los siguientes ajustes.


VMware, Inc. 46


VMware, Inc. 47

Puede configurar los siguientes ajustes:

n Capacidades del cliente (Customer Capabilities): habilite o deshabilite los ajustes a los que el cliente seleccionado tiene acceso, y que puede configurar y modificar. Consulte Configurar capacidades del cliente.

n Directiva de seguridad (Security Policy): seleccione esta opción para actualizar las directivas de seguridad existentes al crear túneles de IPSec de Edge a Edge. Consulte Configurar directiva de seguridad.

n Configuración de Analytics (Analytics Configuration): permite a los superusuarios operadores y a los administradores estándar de operadores habilitar Analytics para un cliente de SD-WAN existente. Consulte Habilitar Analytics para un cliente existente.

Nota Esta opción solo está disponible cuando la función Analytics está habilitada una instancia de SD-WAN Orchestrator. Para obtener más información, consulte Habilitar VMware Edge Network Intelligence en una instancia de VMware SD-WAN Orchestrator.

n Segmentos máximos (Maximum Segments): introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16.

n Cálculo de costes de OFC (OFC Cost Calculation): seleccione esta opción a fin de distribuir el cálculo del coste de las rutas a las instancias de Edge y las puertas de enlace, para reducir el consumo de recursos y la carga de Orchestrator. Consulte Configurar el cálculo de costes distribuidos.

n Varias etiquetas DSCP por cálculo de ruta de flujo (Multiple-DSCP tags per Flow Path Calculation): seleccione esta opción a fin de habilitar el cálculo de rutas de acceso para un solo flujo con varias etiquetas DSCP. Consulte Configurar el cálculo de ruta con varias etiquetas DSCP por flujo.

n NFV de Edge (Edge NFV): habilite NFV en las instancias de Edge para implementar VNF de seguridad. Consulte Configurar NFV y VNF para instancias de Edge.

n Administración de imágenes de Edge (Edge Image Management): permite administrar las imágenes de software de Edge asignadas a una empresa. Consulte Administrar imágenes de software de Edge.

n Grupo de puertas de enlace (Gateway Pool): elija un grupo de puertas de enlace que se asignará a la empresa. Consulte Asociar grupo de puertas de enlace.

n Otras opciones (Other Settings): esta opción solo está disponible si la opción Acuerdo de usuario (User Agreement) está habilitada. Puede sustituir los ajustes de visualización predeterminados del acuerdo de usuario si selecciona la opción correspondiente en la lista desplegable Visualización del acuerdo del usuario (User Agreement Display). De forma predeterminada, el cliente hereda el modo de visualización establecido en las propiedades del sistema. Para obtener más información, consulte Capítulo 20 Administrar acuerdos de usuario.

Una vez que realice todos los cambios en las configuraciones, haga clic en Guardar cambios (Save Changes).


VMware, Inc. 48

Configurar capacidades del cliente

Puede habilitar o deshabilitar las capacidades de un cliente seleccionado:


Seleccione un cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

En el portal de empresas, haga clic en Configurar (Configure) > Clientes (Customers).

En la página Configuración del cliente (Customer Configuration), seleccione si desea habilitar o deshabilitar las Capacidades del cliente (Customer Capabilities):

Nota Para habilitar las capacidades del cliente, se debe asignar un valor True a todas las propiedades del sistema asociadas con ellas. Para obtener más información, consulte Capítulo 11 Propiedades del sistema.

n Habilitar autenticación empresarial (Enable Enterprise Auth): de forma predeterminada, solo el operador puede habilitar o deshabilitar la autenticación en dos fases para una empresa. Al habilitar esta capacidad, los administradores empresariales pueden configurar la autenticación en dos fases por su cuenta.

n Habilitar el registro de firewall en Orchestrator (Enable Firewall logging to Orchestrator): permite que un usuario empresarial habilite o deshabilite el registro de la información de firewall en Orchestrator, en el nivel de perfil y en el nivel de Edge. Cuando el registro del firewall está habilitado, puede supervisar los registros del firewall en el portal de empresas.

n Habilitar redes heredadas (Enable Legacy Networks): permite que una empresa utilice redes heredadas. No puede habilitar esta opción si está utilizando un perfil de operador basado en segmentos.

n Habilitar servicio Premium (Enable Premium Service): permite utilizar los servicios Premium.

n Habilitar personalización de funciones (Enable Role Customization): permite habilitar o deshabilitar un superusuario empresarial para personalizar los privilegios de función de otros usuarios empresariales.

n Habilitar segmentación (Enable Segmentation): permite configurar segmentos.

n Habilitar firewall con estado (Enable Stateful Firewall): permite que un usuario empresarial habilite o deshabilite la función de firewall con estado en el nivel de perfil y de Edge.

n Delegar la administración al cliente (Delegate Management To Customer): las siguientes opciones están siempre visibles para los clientes. Cuando habilite estas opciones, los clientes podrán modificar los ajustes.

n Asignación de CoS (CoS Mapping)


VMware, Inc. 49

n Limitación de velocidad de servicio (Service Rate Limiting)

Nota Las opciones Habilitar servicio Premium (Enable Premium Service), Habilitar segmentación (Enable Segmentation) y Habilitar firewall con estado (Enable Stateful Firewall) se encuentran habilitadas de forma predeterminada.

Después de elegir las capacidades, haga clic en Guardar cambios (Save Changes).

Configurar directiva de seguridad

Al crear túneles de IPSec de Edge a Edge, es posible modificar las opciones de configuración de la directiva de seguridad en el nivel de configuración del cliente.

Procedimiento


2 Seleccione un cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

3 En el portal de empresas, haga clic en Configurar (Configure) > Clientes (Customers). Se mostrará la página Configuración del cliente (Customer Configuration).


VMware, Inc. 50

4 En el área Directiva de seguridad (Security Policy), puede configurar los siguientes ajustes de seguridad:

a Hash: de forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN. Cuando está deshabilitado el modo Galois/Contador (Galois/Counter Mode, GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN en la lista desplegable que aparece:

n SHA 1

n SHA 256

n SHA 384

n SHA 512

b Cifrado (Encryption): AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) y AES 256-CBC son los modos de algoritmos de cifrado que se utilizan para proporcionar confidencialidad. Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. Cuando la casilla de verificaciónDeshabilitar GCM (Disable GCM) no está seleccionada, el modo de algoritmo de cifrado predeterminado es AES 128-GCM.

c Grupo DH (DH Group): seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15 y 16. Se recomienda utilizar el grupo de DH 14.

d PFS: seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. De forma predeterminada, PFS está deshabilitado.

e Deshabilitar GCM (Disable GCM): de forma predeterminada, AES 128-GCM está habilitado. Si es necesario, seleccione la casilla de verificación para deshabilitar este modo. Al deshabilitar la casilla de verificación, se habilitará el modo AES 128-CBC.

f Duración de SA de IPsec (IPsec SA Lifetime): tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPSec) para las instancias de Edge. El tiempo de duración mínimo de IPsec es de 3 minutos y el máximo es de 480 minutos. El valor predeterminado es 480 minutos.

g Duración de SA de IKE (IKE SA Lifetime): tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. El tiempo de duración mínimo de IKE es de 10 minutos y el máximo es de 1440 minutos. El valor predeterminado es 1440 minutos.

Nota No se recomienda configurar valores de tiempo de duración bajos para IPsec (menores a 10 minutos) e IKE (menores a 30 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores bajos de tiempo de duración son solo para fines de depuración.


VMware, Inc. 51

5 Después de configurar los ajustes, haga clic en Guardar cambios (Save Changes).

Nota Cuando se modifican los ajustes de seguridad, los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.

Configurar el cálculo de costes distribuidos

De forma predeterminada, Orchestrator calcula el coste de las rutas a partir de las rutas conocidas que recibe de las instancias de Edge y las puertas de enlace. Puede optar por distribuir el cálculo de costes a las instancias de Edge y las puertas de enlace, lo cual reduce el consumo y la carga de recursos de Orchestrator.





En la página Configuración del cliente (Customer Configuration), configure Cálculo de costes de OFC (OFC Cost Calculation):

n Debe actualizar todas las instancias de Edge y las puertas de enlace a la versión 3.4.0 o una versión posterior en la ventana de mantenimiento para habilitar la función Cálculo de costes distribuidos (Distributed Cost Calculation).

n Seleccione la casilla de verificación Cálculo de costes distribuidos (Distributed Cost Calculation) para delegar el cálculo de costes de las rutas a las instancias de Edge y las puertas de enlace.

n Haga clic en Guardar cambios (Save Changes).

El cálculo de costes solo se realiza para rutas dinámicas (BGP y OSPF). Para ver un resumen de todas las rutas de la red, haga clic en Configurar (Configure) > Control de flujo superpuesto (Overlay Flow Control) en el portal de empresas. También puede editar los ajustes en la página Control de flujo superpuesto (Overlay Flow Control) para modificar la acción de anuncio para los distintos tipos de rutas.

Después de habilitar Cálculo de costes distribuidos (Distributed Cost Calculation), la opción Actualizar rutas (Refresh Routes) está disponible en la página Control de flujo superpuesto (Overlay Flow Control).


VMware, Inc. 52

Al hacer clic en Actualizar rutas (Refresh Routes), esta opción obliga a las instancias de Edge y las puertas de enlace a volver a calcular los costes de ruta aprendidos y enviarlos a Orchestrator. Esto aumentaría considerablemente los datos enviados desde las instancias de Edge y las puertas de enlace a Orchestrator. Por lo tanto, se recomienda utilizar esta opción en la ventana de mantenimiento. Además, al hacer clic en Actualizar rutas (Refresh Routes), se aplican los cambios de Marcas de anuncio globales (Global Advertise Flags) a las rutas nuevas y existentes.

Puede restablecer el cálculo de costes de las subredes cuando haya rutas fijadas disponibles. Haga clic en la opción Editar (Edit) para una subred.

Haga clic en Restablecer (Reset), que permite a Orchestrator borrar las rutas fijadas, volver a calcular el coste de la subred seleccionada en función de la directiva y enviar los resultados a las instancias de Edge y las puertas de enlace.


VMware, Inc. 53

Configurar el cálculo de ruta con varias etiquetas DSCP por flujo

Una instancia de Edge clasifica el flujo de tráfico en función de los primeros paquetes del flujo. Es posible crear directivas empresariales con una aplicación basada en un punto de código de servicio diferenciado (Differentiated Service Code Point, DSCP) y con diferentes marcas DSCP para determinar el tratamiento del flujo.

De forma predeterminada, una instancia de Edge clasifica el flujo en función de los primeros paquetes que recibe. La directiva empresarial y el marcado de QoS determinan el tratamiento del flujo. Una vez que se clasifica el flujo, se crea una entrada con información de cinco tuplas del flujo en la tabla de memoria caché de flujo. Para los paquetes posteriores del flujo, se hará una búsqueda de cinco tuplas en la tabla de memoria caché de flujo.

Para las topologías de red con dispositivos de red de capa 3 que aplican encapsulación o cifrado antes de que el tráfico llegue a la instancia de Edge, esto implica un desafío para que la instancia de Edge reenvíe el tráfico de acuerdo con la directiva empresarial. El tráfico desde los usuarios finales está multiplexado en un único flujo con las mismas direcciones IP de origen y destino, y los mismos protocolos, a través del dispositivo de encapsulación y cifrado de capa 3, tal como se ilustra en la siguiente imagen.

Proveedor de servicios 1

Enrutador-GRE/iPsec

Proveedor de servicios 2

Enrutador-GRE/iPsecEnrutador-GRE/IPsec

Enrutador-GRE/IPsec

El impacto de la multiplexación de flujos de usuario final en un único túnel polariza el reenvío de flujo mediante las cinco tuplas de la tabla de memoria caché de flujo, por lo que no se usan los vínculos de WAN.

El cálculo de ruta con varias etiquetas DSCP por flujo permite que se incluya el valor DSCP, además de las cinco tuplas, como parte de la búsqueda en la tabla de memoria caché de flujo. Utilice el cálculo de ruta con varias etiquetas DSCP cuando el tráfico del usuario original se encapsule en otro túnel, como GRE o IPsec, y las etiquetas DSCP se conserven en el encabezado IP nuevo. Esta opción habilita el cálculo de rutas para un único flujo con varias etiquetas DSCP, que consta de las mismas direcciones IP de origen y destino, y ofrece diferenciación de rutas de acuerdo con las etiquetas DSCP del flujo.

Cuando se habilita Cálculo de ruta con varias etiquetas DSCP por flujo (Multiple-DSCP tags per Flow Path Calculation), las instancias de Edge pueden diferenciar los flujos de tráfico en función de las etiquetas DSCP marcadas.

Para habilitar el cálculo de ruta con varias etiquetas DSCP por flujo:

1 En el portal de operadores, haga clic en Propiedades del sistema (System Properties).

2 Haga clic en Nueva propiedad del sistema (New System Property).


VMware, Inc. 54

3 En la ventana Nueva propiedad del sistema (New System Property), cree una propiedad del sistema con los siguientes parámetros:

n Nombre (Name): session.options.enableFlowParametersConfig

n Tipo de datos (Data Type): Boolean

n Valor (Value): True

4 Haga clic en Guardar (Save).


6 Seleccione un cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

7 En el portal de empresas, haga clic en Configurar (Configure) > Clientes (Customers).

8 En la página Configuración del cliente (Customer Configuration), desplácese hasta la sección Cálculo de ruta con varias etiquetas DSCP por flujo (Multiple-DSCP tags per Flow Path Calculation) y, a continuación, seleccione la casilla de verificación Incluir el valor DSCP como parte de la búsqueda de flujo (Include DSCP value as part of flow lookup).

Nota Esta opción solo está disponible cuando el valor de la propiedad del sistema session.options.enableFlowParametersConfig se establece en Verdadero (True).

9 Haga clic en Guardar cambios (Save Changes).

10 En las instancias de Edge, se crean flujos diferentes en función de las etiquetas DSCP.

Nota Cuando se habilita Incluir el valor DSCP como parte de la búsqueda de flujo (Include DSCP value as part of flow lookup), la interoperabilidad con las versiones anteriores no está definida.

Al configurar la directiva empresarial de una instancia de Edge, puede establecerse que coincida con una etiqueta DSCP para una aplicación.

n En el portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).

n Seleccione una instancia de Edge y haga clic en la pestaña Directiva empresarial (Business Policy).

n Haga clic en Nueva regla (New Rule) o en Acciones (Actions) > Nueva regla (New Rule).

n En la ventana Configurar regla (Configure Rule), haga clic en Definir (Define) para Aplicación (Application) y seleccione una aplicación de la lista. Elija una etiqueta DSCP en la lista desplegable.


VMware, Inc. 55

n Elija las acciones pertinentes según sea necesario en el área Acción (Action).

n Haga clic en Aceptar (OK).

Cuando el tráfico llega a la instancia de Edge, si el flujo coincide con la aplicación y la etiqueta de DSCP seleccionadas, se realiza la acción correspondiente.

Puede crear más directivas empresariales con diferentes etiquetas DSCP para que coincidan con distintos flujos de tráfico y aplicar distintos tratamientos para esos flujos. Para obtener más información sobre las directivas empresariales, consulte la Guía de administración de VMware SD-WAN.


VMware, Inc. 56

Limitaciones:

n El cálculo de ruta con varias etiquetas DSCP por flujo no se aplica a SD-WAN Gateways. Puede habilitar esta opción solo para túneles de Edge a Edge, donde las conexiones de Edge a Edge pueden ser de los siguientes tipos:

n De Edge a Edge a través de hub

n De radio a hub

n De sucursal a sucursal dinámica

Esta opción puede usarse para una implementación local, donde la puerta de enlace se utiliza solo para la funcionalidad del plano de control y no para el tráfico del plano de datos.

n El cálculo de ruta con varias etiquetas DSCP por flujo está destinado únicamente al tráfico de GRE o de IPSec. El tráfico directo de Internet no lleva varias etiquetas DSCP en un mismo flujo.

n Después de habilitar la opción de cálculo de ruta, si el flujo de tráfico consta de paquetes con la misma información de cinco tuplas, pero diferentes marcas de DSCP, es posible que la NAT de LAN no funcione correctamente.

Configurar NFV y VNF para instancias de Edge

Puede habilitar la virtualización de funciones de red (Network Function Virtualization, NFV) en las instancias de Edge e implementar funciones de red virtual (Virtual Network Functions, VNF) en las instancias de Edge mediante firewalls de terceros.




En la página Configuración del cliente (Customer Configuration), la sección NFV de Edge (Edge NFV) permite habilitar NFV en las instancias de Edge y que los clientes implementen VNF de terceros en plataformas de Edge listas para el servicio.

Actualmente, los modelos de plataforma Edge listos para el servicio son 520v y 840. Como usuario operador, cuando habilita Edge NFV, los clientes pueden configurar e implementar VNF y licencias de VNF desde sus servicios de red.

n Habilitar NFV de Edge (Enable Edge NFV): seleccione esta opción para habilitar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede deshabilitar esta opción.

n VNF de seguridad (Security VNFs): seleccione las casillas de verificación correspondientes junto a las VNF de terceros para implementar las instancias de VNF de seguridad correspondientes en las instancias de Edge.

Después de seleccionar las instancias de VNF de seguridad, haga clic en Guardar cambios (Save Changes).


VMware, Inc. 57

Administrar imágenes de software de Edge

Es posible administrar las imágenes de software de Edge asignadas a una empresa directamente mediante la asignación de un perfil de operador a una empresa o permitir que un superusuario empresarial administre las imágenes de software.




En la página Configuración del cliente (Customer Configuration), la sección Administración de imágenes de Edge (Edge Image Management) muestra el perfil de operador actual asociado al cliente empresarial seleccionado. Como superusuario operador, puede seleccionar y asignar otro perfil de operador de la lista de perfiles disponibles para el cliente, si es necesario.

Al cambiar a otro perfil de operador, tenga en cuenta las siguientes restricciones:

n Si cambia de un perfil de operador basado en segmentos a un perfil de operador basado en red, las instancias de Edge de la empresa para el perfil basado en segmentos no recibirán ninguna actualización de imagen de software.

n Si cambia de un perfil de operador basado en red a un perfil de operador basado en segmentos, las instancias de Edge de la empresa para el perfil basado en red no recibirán ninguna actualización de imagen de software.

Si desea que un superusuario empresarial administre las imágenes de software de Edge, debe habilitar la casilla de verificación Delegar administración de imágenes de software de Edge (Delegate Edge Software Image Management). Una vez que habilite Delegar administración de imágenes de software de Edge (Delegate Edge Software Image Management) y haga clic en Guardar cambios (Save Changes), se mostrarán todas las imágenes de software asignadas para el cliente empresarial. Haga clic en Modificar (Modify) a fin de agregar o eliminar una imagen de software para el cliente seleccionado.

Nota Puede eliminar una imagen asignada de un cliente empresarial únicamente si no es una imagen predeterminada y no está en uso actualmente en ninguna instancia de Edge de la empresa.

Asociar grupo de puertas de enlace

Puede asociar un grupo de puertas de enlace a una empresa. Las instancias de Edge de la empresa se conectan a los sitios mediante las puertas de enlace en el grupo de puertas de enlace.





VMware, Inc. 58

En la página Configuración del cliente (Customer Configuration), la sección Grupo de puertas de enlace (Gateway pool) muestra el grupo de puertas de enlace actual asociado al cliente seleccionado. Si es necesario, puede seleccionar un grupo de puertas de enlace diferente disponible en la lista desplegable y hacer clic en Guardar cambios (Save Changes).

Si las puertas de enlace disponibles en el grupo se han asignado con la función Puerta de enlace de socio (Partner Gateway), puede entregarlas a los socios. Seleccione Habilitar entrega a socios (Enable Partner Handoff) para configurar las opciones de entrega de los segmentos y las puertas de enlace. Para obtener más información, consulte Configurar la entrega a socios.

Configurar la entrega a socios

Puede configurar una puerta de enlace para la entrega a los socios. La puerta de enlace actúa como puerta de enlace de socio, y se pueden configurar varios ajustes, como Interfaz de entrega (Hand off Interface), Rutas estáticas (Static Routes), BGP y BFD, entre otros.

Asegúrese de que la puerta de enlace que se debe entregar esté asignada con la función Puerta de enlace de socio (Partner Gateway). En el portal de Orchestrator, haga clic en Puertas de enlace (Gateways) y haga clic en el vínculo a una puerta de enlace existente. En la sección Propiedades (Properties) de la puerta de enlace seleccionada, puede habilitar la función Puerta de enlace de socio (Partner Gateway).

Para configurar los ajustes de entrega, vaya a la página Configuración del cliente (Customer Configuration).

n En el portal de operadores, haga clic en Administrar clientes (Manage Customers).

n Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

n En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer).

n En Configuración del cliente (Customer Configuration), desplácese hasta la sección Grupo de puertas de enlace (Gateway Pool) y seleccione la casilla de verificación Habilitar entrega a socios (Enable Partner Handoff).


VMware, Inc. 59

Configure los siguientes ajustes:

Prioridad de BGP del cliente (Customer BGP Priority)

n Seleccione Habilitar asignación de comunidad (Enable Community Mapping) para establecer los atributos de comunidad que se deben etiquetar en las rutas de BGP anunciadas.

n La asignación de comunidad se establece en todos los segmentos de forma predeterminada. Si desea configurar los atributos de comunidad de un segmento específico, elija Por segmento (Per Segment) y seleccione el segmento en la lista desplegable.

n Seleccione la casilla de verificación Aditivo de comunidad (Community Additive) para habilitar la opción de aditivo asociada a una configuración de comunidad automática en particular. Esta opción conserva los atributos de comunidad entrantes de un prefijo que se recibe de la superposición y anexa la comunidad automática configurada a dicho prefijo en la puerta de enlace de socio. Como resultado, el lado de la instancia de Edge del proveedor (Provider Edge, PE) de conmutación de etiquetas multiprotocolo (Multi-Protocol Label Switching, MPLS) recibe prefijos con todos los atributos de comunidad, incluidos los de comunidad automática.

n Introduzca los atributos de comunidad en los campos Comunidad (Community) y Comunidad 2 (Community 2). Haga clic en el icono de signo más (+) para agregar otros atributos de comunidad.


VMware, Inc. 60

Configurar entrega (Configure Hand Off)

n De forma predeterminada, la configuración de entrega se aplica a todas las puertas de enlace. Si desea configurar una puerta de enlace específica, elija Por puerta de enlace (Per Gateway) y seleccione la puerta de enlace en la lista desplegable.

n De forma predeterminada, la configuración de entrega se aplica a todos los segmentos. Si desea configurar un segmento específico, seleccione el Segmento (Segment) en la lista desplegable.

n Para configurar todas las puertas de enlace, haga clic en la opción Editar (Edit). Si seleccionó una puerta de enlace en particular, haga clic en el vínculo Haga clic aquí para configurar (Click here to configure).

Al realizar esta acción, aparece la ventana Detalles de la entrega (Hand Off Details), donde puede configurar los siguientes ajustes:


VMware, Inc. 61


Interfaz de entrega (Hand off Interface)

Tipo de etiqueta (Tag Type) Elija el tipo de etiqueta, es decir, la encapsulación que utiliza la puerta de enlace para entregar el tráfico del cliente al enrutador. A continuación se muestran los tipos de etiquetas disponibles:

n Ninguna (None): sin etiquetar. Elija esto para las entregas de un solo tenant o con enrutamiento y reenvío virtual (Virtual Routing and Forwarding, VRF) de servicios compartidos.

n 802.1q: etiqueta de VLAN única.

n 802.1ad/QinQ(0x8100)/QinQ(0x9100): etiqueta de VLAN doble.

VLAN de transporte (Transport VLAN) Esta opción solo está disponible cuando se selecciona el tipo de etiqueta 802.1ad/QinQ(0x8100)/QinQ(0x9100). Seleccione el tipo de etiqueta para configurar las VLAN de transporte.

Etiqueta-C (C-Tag) (etiqueta de cliente) Introduzca la etiqueta de VLAN del cliente.

Etiqueta-S (S-Tag) (etiqueta de servicio) Introduzca la etiqueta de VLAN que define el proveedor de servicios.

Dirección IP local (Local IP Address) Introduzca la dirección IP local para la interfaz de entrega lógica.

Usar para túneles privados (Use for Private Tunnels) Seleccione esta casilla de verificación para que los vínculos privados de la red de área extensa (Wide Area Network, WAN) se conecten a la dirección IP privada de la puerta de enlace de socio. Cuando la conectividad WAN privada está habilitada en una puerta de enlace, Orchestrator audita para garantizar que cada puerta de enlace de una empresa tenga una dirección IP local única.

Anunciar a través de BGP (Advertise via BGP) Seleccione esta casilla de verificación para anunciar automáticamente la IP de WAN privada de la puerta de enlace de socio mediante BGP. La conectividad se proporciona mediante la dirección IP local existente.

Rutas estáticas (Static Routes): haga clic en el icono de signo más (+) para agregar otras rutas.

Subredes Introduzca la dirección IP de la subred de ruta estática que la puerta de enlace debería anunciar a la instancia de Edge.

Coste (Cost) Introduzca el coste de aplicar la ponderación en las rutas. El rango oscila entre 0 y 255.

Cifrar (Encrypt) Seleccione esta casilla de verificación para cifrar el tráfico entre la instancia de Edge y la puerta de enlace.

Entrega (Hand off) Seleccione el tipo de entrega VLAN o NAT.

Descripción (Description) De forma opcional, puede introducir un texto descriptivo para la ruta estática.

BFD


VMware, Inc. 62


Habilitar BFD (Enable BFD) Seleccione la casilla de verificación a fin de habilitar la suscripción de BFD para vecinos de BGP y configurar los ajustes de BFD.

Dirección del mismo nivel (Peer Address) Introduzca la dirección IP del elemento remoto del mismo nivel para iniciar una sesión de BFD.

Dirección local (Local Address) Introduzca una dirección IP configurada localmente para el agente de escucha del mismo nivel. Esta dirección se utiliza para enviar paquetes.

Detectar multiplicador (Detect Multiplier) Introduzca el multiplicador de tiempo de detección. El intervalo de transmisión remota se multiplica por este valor a fin de determinar el temporizador de detección para la pérdida de conexión. El rango es de 3 a 50 y el valor predeterminado es 3.

Intervalo de recepción (Receive Interval) Introduzca el intervalo de tiempo mínimo, en milisegundos, en el que el sistema puede recibir los paquetes de control del elemento del mismo nivel de BFD. El rango es de 300 a 60 000 milisegundos y el valor predeterminado es 300 milisegundos.

Intervalo de transmisión (Transmit Interval) Introduzca el intervalo de tiempo mínimo, en milisegundos, en el que el sistema local puede enviar los paquetes de control de BFD. El rango es de 300 a 60 000 milisegundos y el valor predeterminado es 300 milisegundos.

BGP

Habilitar BGP (Enable BGP) Seleccione esta casilla de verificación para habilitar BGP y establecer la configuración correspondiente.

ASN del cliente (Customer ASN) Introduzca el número de sistema autónomo del cliente (Autonomous System Number, ASN).

IP del vecino (Neighbor IP) Introduzca la dirección IP de la red de vecinos configurada.

ASN de vecino (Neighbor-ASN) Introduzca el ASN de la red de vecinos.

Rutas de BGP seguras (Secure BGP Routes) Seleccione esta casilla de verificación si desea habilitar el cifrado para el reenvío de datos a través de las rutas de BGP.

Filtros entrantes/salientes de BGP (BGP Inbound/Outbound Filters): haga clic en el icono de signo más (+) para agregar más filtros.

Tipo (Type) (Coincidencia [Match]) Elija el tipo del atributo BGP que se debe tener en cuenta al establecer las coincidencias con el flujo de tráfico. Puede elegir entre Prefijo (Prefix) o Comunidad (Community).

Valor (Value) Introduzca el valor en función del atributo BGP seleccionado como tipo.

Coincidencia exacta (Exact Match) Seleccione esta casilla de verificación para que los atributos coincidan exactamente.


VMware, Inc. 63


Tipo (Type) (Acción [Action]) Elija la acción que debe realizarse si se produce una coincidencia con el valor Verdadero (True). Puede permitir o denegar el tráfico.

Establecer (Set) Puede establecer los valores de los atributos de las rutas que coincidan con los criterios de filtro.

Elija entre los siguientes atributos e introduzca los valores correspondientes que se deben configurar para las rutas coincidentes:

n Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.

n Preferencia local (Local Preference)

n Comunidad (Community): también puede habilitar la opción Aditivo de comunidad (Community Additive).

n Métrica (Metric)

n Anteposición de AS-PATH (AS-Path-Prepend)

Configuración opcional de BGP (BGP Optional Settings)

BFD Seleccione la casilla de verificación para suscribirse a la sesión de BFD.

Identificador de enrutador (Router ID) Introduzca el identificador de enrutador para identificar el enrutador BGP.

Conexión persistente (Keep Alive) Introduzca el tiempo de conexión persistente de BGP en segundos. El temporizador predeterminado es de 60 segundos.

Temporizadores de retención (Hold Timers) Introduzca el tiempo de retención de BGP en segundos. El temporizador predeterminado es de 180 segundos.

Deshabilitar la continuación de AS-PATH (Disable AS-PATH Carry Over)

Seleccione esta casilla de verificación para deshabilitar la continuación de las rutas del sistema autónomo (Autonomous System, AS), de modo que, en las rutas de AS salientes, los enrutadores de capa 3 prefieran las rutas hacia PE. Si selecciona esta opción, asegúrese de ajustar la red para evitar los bucles de enrutamiento. Se recomienda no seleccionar esta casilla de verificación.

Haga clic en Actualizar (Update) para guardar la configuración. Asimismo, haga clic en Guardar cambios (Save Changes) en la página Configuración del cliente (Customer Configuration) para activar la configuración.


VMware, Inc. 64

Administrar socios 9La opción Administrar socios (Manage Partners) le permite crear nuevos socios, que pueden administrar de forma independiente un grupo de clientes.

En el panel Operador (Operator), haga clic en Administrar socios (Manage Partners). Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo socio (New Partner): crea un nuevo socio. Consulte Crear un nuevo socio.

n Modificar socio (Modify Partner): navega a la Descripción general del socio (Partner Overview) en el portal de socios, donde puede configurar otras opciones que correspondan al socio seleccionado. También puede hacer clic en el nombre de un socio para acceder al portal de socios. Para obtener más información, consulte Configurar la información de los socios.

n Eliminar socio (Delete Partner): elimina los socios seleccionados. Asegúrese de haber eliminado todos los clientes asociados al socio seleccionado antes de eliminar el socio.

n Agregar perfiles de operador (Add Operator Profiles): asigna un perfil de operador a los socios seleccionados, que especifica la configuración de red administrada por SD-WAN Orchestrator. Después de seleccionar los socios, haga clic en Acciones (Actions) > Agregar perfiles de operador (Add Operator Profiles). En la ventana Agregar perfil a los socios seleccionados (Add Profile to Selected Partners), seleccione un perfil en el menú desplegable Perfil de operador (Operator Profile) y haga clic en Enviar (Submit).

Nota El menú desplegable Perfil de operador (Operator Profile) solo muestra perfiles de operador con imágenes que no quedaron obsoletas.

Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador.


n Crear un nuevo socio

n Configurar la información de los socios

VMware, Inc. 65

Crear un nuevo socio

En el portal de operadores, puede crear socios y configurar los ajustes para que los socios puedan administrar un grupo de clientes por su cuenta.

Solo los superusuarios operadores, los operadores estándar y los operadores especialistas de negocio pueden crear un nuevo socio.

Nota Como superusuario operador, puede deshabilitar temporalmente la creación de socios nuevos si configura la propiedad del sistema session.options.disableCreateEnterpriseProxy como Verdadero (True). Puede utilizar esta opción cuando SD-WAN Orchestrator supere la capacidad de uso.

En el portal de operadores, desplácese hasta Administrar socios (Manage Partners).

1 En la página Administrar socios (Manage Partners), haga clic en Nuevo socio (New Partner) o haga clic en Acciones (Actions) > Nuevo socio (New Partner).

2 En la ventana Nuevo socio (New Partner), introduzca los siguientes detalles:


Nombre (Name) Introduzca el nombre del socio.

Dominio (Domain) Introduzca el nombre de dominio del socio.


VMware, Inc. 66


Acceso al soporte técnico de VeloCloud (VeloCloud Support Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico de VMware para ver, configurar y solucionar los problemas de los ajustes del socio.

Conceder acceso de administración de puerta de enlace (Grant Gateway Management Access)

Seleccione la casilla de verificación para permitir que el socio cree y administre las puertas de enlace.

Calle (Street Address), Ciudad (City), Estado (State), País (Country), Código postal (ZIP/Postcode)

Introduzca los detalles de la dirección relevante en los campos correspondientes.

Tabla 9-1. Cuenta de administrador de socios inicial (Initial Partners Admin Account)


Nombre de usuario (Username) Introduzca el nombre de usuario en el formato [email protected].

Contraseña (Password) Introduzca una contraseña para el socio.

Confirmar (Confirm) Vuelva a introducir la contraseña.

Nombre (First Name), Apellido (Last Name), Teléfono (Phone), Teléfono móvil (Mobile Phone)

Introduzca los detalles, como el nombre y el número de teléfono, en los campos adecuados.

Correo electrónico de contacto (Contact Email) Introduzca la dirección de correo electrónico. Las alertas de estado del servicio se envían a esta dirección de correo electrónico.

Propiedades predeterminadas (Default Properties)

De forma predeterminada, las siguientes propiedades se asignan a los clientes que administra el socio. Si es necesario, el socio puede modificar la configuración de cada cliente.


VMware, Inc. 67

Tabla 9-2.


Grupo de puertas de enlace (Gateway Pool) Haga clic en Agregar (Add) para seleccionar SD-WAN Gateway Pool en la lista disponible. Después de agregar SD-WAN Gateway Pools, puede hacer clic en Modificar (Modify) para agregar o eliminar los grupos.

Para obtener mas información acerca de SD-WAN Gateway Pools, consulte #unique_48.

Imagen de software (Software Image) Haga clic en Agregar (Add) para seleccionar la imagen de software de la lista disponible. Después de agregar la imagen de software, puede hacer clic en Modificar (Modify) para agregar o eliminar las imágenes.

Para obtener más información sobre las imágenes de software, consulte Capítulo 10 Imágenes de software.

Licencias de Edge Haga clic en Agregar (Add) para seleccionar las licencias de SD-WAN Edge en la lista disponible. Después de agregar las licencias, puede hacer clic en Modificar (Modify) para agregar o eliminar las licencias. Esta opción solo está disponible cuando el valor de la propiedad del sistema session.options.enableEdgeLicensing se establece en Verdadero (True).

Nota Los tipos de licencia se pueden utilizar en varios VMware SD-WAN Edges. Se recomienda proporcionar a los socios acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Capítulo 16 Licencias de Edge.

Haga clic en Crear (Create).

El nuevo nombre de socio se muestra en la página Administrar socios (Manage Partners). Puede hacer clic en el nombre del socio para acceder al portal de socios y agregar más configuraciones al socio. Consulte Configurar la información de los socios.

Configurar la información de los socios

Después de crear un socio, configure las opciones de funciones y los ajustes a los que puede acceder el socio. Como operador, puede elegir los ajustes que el socio puede modificar y utilizar para configurar los usuarios empresariales del socio.

Al crear un nuevo socio, se le redirige a la página Descripción general del socio (Partner Overview), donde puede configurar los ajustes del cliente.

También puede desplazarse hasta la página de descripción general desde la página Administrar socios (Manage Partners) en el portal de Orchestrator. Seleccione el socio y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al socio.

En el portal de socios, haga clic en Descripción general del socio (Partner Overview) para configurar las siguientes opciones.


VMware, Inc. 68

Capacidades del socio (Partner Capabilities)

Puede habilitar o deshabilitar las siguientes capacidades para el socio seleccionado:

n Habilitar administración de puertas de enlace (Enable Gateway Management): permite habilitar o deshabilitar a los usuarios de socios para que creen, configuren y administren sus propias puertas de enlace.

n Enable Role Customization (Habilitar personalización de funciones): permite habilitar o deshabilitar un superusuario de socio para personalizar los privilegios de función de otros usuarios de socios y usuarios empresariales del socio. Esta opción está habilitada de forma predeterminada.

Imágenes de software disponibles (Available Software Images)

Muestra todas las imágenes de software asignadas al socio. Haga clic en Modificar (Modify) para agregar o eliminar imágenes de software de la lista.

Nota No se pueden eliminar las imágenes de software asignadas a un cliente.

Grupo de puertas de enlace (Gateway Pool)

Muestra los grupos de puertas de enlace asociados con el socio seleccionado. Haga clic en Modificar (Modify) para agregar o eliminar grupos de puertas de enlace de la lista.

Nota No se pueden eliminar los grupos de puertas de enlace asignados a un cliente.


VMware, Inc. 69

Imágenes de software 10El portal de Orchestrator permite a los superusuarios operadores y a los administradores estándar de operadores administrar las imágenes de software para las instancias de Edge asociadas.

Como superusuario operador, puede cargar una nueva imagen de software, modificar las imágenes de software existentes y eliminar una imagen de software asociada con las instancias de Edge.

Procedimiento

1 Para cargar una nueva imagen de software, en el portal de operadores, haga clic en Imágenes de software (Software Images).

2 Haga clic en Cargar imagen de software (Upload Software Image) y elija un archivo de imagen (formato ZIP) para cargarlo desde el almacenamiento local. Orchestrator valida el paquete y lo carga en el portal. Puede cargar varias imágenes de software en el portal.

3 Los paquetes cargados se muestran en la página Imágenes de software (Software Images).

VMware, Inc. 70

4 Para modificar una imagen de software cargada, haga clic en el vínculo del nombre de la imagen o seleccione la imagen y haga clic en Acciones (Actions) > Modificar imagen de software (Modify Software Image). Se muestra la ventana emergente Actualización de imagen de Edge (Edge Image Update).

5 Si es necesario, puede actualizar el nombre y la descripción del paquete de imágenes de software.

6 Seleccione la casilla de verificación Obsoleta (Deprecated) para que la imagen de software quede obsoleta y haga clic en Aceptar (OK).

La imagen de software obsoleta se marca y aparece en la página Imágenes de software (Software Images).

Nota Una vez que la imagen queda obsoleta, la imagen no aparecerá en la lista de imágenes de software disponibles o versiones que se asignarán a los perfiles de operador, o a los clientes o las instancias de Edge.

Nota Los perfiles de operador existentes que contienen una imagen obsoleta también se marcan para notificar al usuario de que la versión de software del perfil contiene una imagen de software obsoleta.

7 Para eliminar un paquete del portal, seleccione la imagen y haga clic en Acciones (Actions) > Eliminar imagen de software (Delete Software Image).

Pasos siguientes

Para actualizar las instancias de Edge dentro de una empresa con una imagen de software específica, consulte Administrar perfiles de operador.


VMware, Inc. 71

Propiedades del sistema 11VMware proporciona propiedades del sistema para configurar diversas características y opciones disponibles en el portal de Orchestrator.

En el portal de operadores, desplácese hasta la página Propiedades del sistema (System Properties), que enumera las propiedades del sistema predefinidas disponibles.

Para configurar las propiedades del sistema:

1 Haga clic en Nueva propiedad del sistema (New System Property) para agregar una propiedad nueva.

2 En la ventana Nueva propiedad del sistema (New System Property), introduzca un nombre para la nueva propiedad y elija el Tipo de datos (Data Type) en la lista desplegable.

3 Introduzca el Valor (Value) de la propiedad de acuerdo con el tipo de datos.

4 Introduzca una descripción para la propiedad.


6 Para modificar los valores de una propiedad, haga clic en el vínculo de la propiedad o seleccione la propiedad y haga clic en Acciones (Actions) > Modificar propiedad del sistema (Modify System Property).

7 Para eliminar una propiedad, seleccione la propiedad y haga clic en Acciones (Actions) > Eliminar propiedad del sistema (Delete System Property).

VMware, Inc. 72

Puede utilizar el campo Búsqueda para buscar una propiedad específica del sistema. Consulte Lista de propiedades del sistema, donde se enumeran algunas de las propiedades del sistema que puede modificar como operador.

Nota Se recomienda que se ponga en contacto con el equipo de soporte técnico de VMware antes de realizar cambios en las propiedades del sistema.


n Lista de propiedades del sistema

Lista de propiedades del sistema

Como operador, puede agregar o modificar los valores de las propiedades del sistema.

En las siguientes tablas se describen algunas de las propiedades del sistema. Como operador, puede establecer los valores de estas propiedades.

n Correos electrónicos de alerta

n Alertas

n Entidad de certificación (Certificate Authority)

n Elemento de lista.

n Instancias de Edge

n Activación de Edge (Edge Activation)

n Supervisión

n Notificaciones

n Restablecimiento y bloqueo de contraseñas

n API de limitación de velocidad

n Diagnósticos remotos (Remote Diagnostics)

n Restablecimiento de contraseña de autoservicio

n Autenticación en dos fases

n Configuración de VNF

n VPN


VMware, Inc. 73

Tabla 11-1. Correos electrónicos de alerta

Propiedad del sistema Descripción

vco.alert.mail.to Cuando se activa una alerta, se envía inmediatamente una notificación a la lista de direcciones de correo electrónico que se proporciona en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.

Si la propiedad no contiene ningún valor, no se envía la notificación.

La notificación está pensada para alertar al personal de soporte/operaciones de VMware sobre problemas inminentes antes de notificarlo al cliente.

vco.alert.mail.cc Cuando se envían correos electrónicos de alerta a cualquier cliente, se envía una copia a las direcciones de correo electrónico proporcionadas en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.

mail.* Existen varias propiedades del sistema disponibles para controlar los correos electrónicos de alerta. Puede definir los parámetros de correo electrónico, como las propiedades de SMTP, el nombre de usuario, la contraseña, etc.

Tabla 11-2. Alertas (Alerts)


vco.alert.enable Habilita o deshabilita globalmente la generación de alertas tanto para operadores como para clientes empresariales.

vco.enterprise.alert.enable Habilita o deshabilita globalmente la generación de alertas para clientes empresariales.

vco.operator.alert.enable Habilita o deshabilita globalmente la generación de alertas para los operadores.


VMware, Inc. 74

Tabla 11-3. Entidad de certificación (Certificate Authority)


edge.certificate.renewal.window Esta propiedad opcional del sistema permite al operador definir una o varias ventanas de mantenimiento durante las que está habilitada la renovación del certificado de Edge. Los certificados programados para renovación fuera de las ventanas se aplazarán hasta que la hora actual se encuentre dentro de una de las ventanas habilitadas.

Habilitar propiedad del sistema:

Para habilitar esta propiedad del sistema, escriba "true" (verdadero) para "habilitado" (enabled) en la primera parte del área de texto de Value (Valor) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de la primera parte de esta propiedad del sistema cuando está habilitada.

Los operadores pueden definir varias ventanas para restringir los días y las horas del día durante los cuales se habilitan las renovaciones de Edge. Cada ventana se puede definir por un día o por una lista de días (separados por comas), así como por una hora de inicio y de finalización. Las horas de inicio y finalización se pueden especificar en relación con la zona horaria local de Edge o con respecto a la UTC. Consulte la imagen a continuación para ver un ejemplo.

Nota Si no hay atributos, el valor predeterminado que está habilitado es "falso" (false).

Al definir los atributos de la ventana, siga los pasos que se indican a continuación:

n Use zonas horarias de IANA, no PDT o PST (p. ej., América/Los_Angeles). Para obtener más información, consulte https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.

n Use UTC para días (p. ej., SAT, SUN).

n Separado por comas.


VMware, Inc. 75

https://en.wikipedia.org/wiki/List_of_tz_database_time_zones


Tabla 11-3. Entidad de certificación (Certificate Authority) (continuación)


n Días en tres letras en inglés.

n No distinguir entre mayúsculas y minúsculas.

n Utilice únicamente el formato de 24 horas militar (hh: mm) para las horas de inicio (por ejemplo, 01:30) y las horas de finalización (por ejemplo, 05:30).

Si faltan los valores mencionados anteriormente, los valores predeterminados del atributo en cada definición de ventana son los siguientes:

n Si falta Habilitado (Enabled), el valor predeterminado es falso (false).

n Si falta la opción Zona horaria (Timezone), el valor predeterminado es "local".

n Si falta la opción "días" (days) o las horas de inicio y finalización, los valores predeterminados son los siguientes:

n Si falta la opción "días" (days), se aplica el inicio/fin a cada día de la semana (Lun, Ma, Mié, Ju, Vie, Sáb, Dom).

n Si faltan las horas de inicio y de finalización, cualquier hora en el día especificado coincidirá (inicio [start] = 00:00 y fin [end] = 23:59).

n Nota: Deben estar presentes las opciones "días" (days) o las horas de inicio y finalización. Sin embargo, si faltan, los valores predeterminados serán los que se indican arriba.

Deshabilitar propiedad del sistema:

Esta propiedad del sistema está deshabilitada de forma predeterminada, lo que significa que el certificado se renovará automáticamente después de que caduque. La opción "Habilitado" (Enabled) se establecerá en "falso" (false) en la primera parte del área de texto de Valor (Value) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de esta propiedad cuando está deshabilitada.

{

"enabled": false,

"windows": [

{

NOTA: Esta propiedad del sistema requiere que la PKI esté habilitada.

gateway.certificate.renewal.window Esta propiedad opcional del sistema permite al operador definir una o varias ventanas de mantenimiento durante las que está habilitada la renovación del certificado de puerta de enlace. Los certificados programados para renovación fuera de las ventanas se aplazarán hasta que la hora actual se encuentre dentro de una de las ventanas habilitadas.

Habilitar propiedad del sistema:


VMware, Inc. 76



Para habilitar esta propiedad del sistema, escriba "true" (verdadero) para "habilitado" (enabled) en la primera parte del área de texto de Value (Valor) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). Consulte la imagen a continuación para ver un ejemplo.

Los operadores pueden definir varias ventanas para restringir los días y las horas del día durante los cuales se habilitan las renovaciones de Edge. Cada ventana se puede definir por un día o por una lista de días (separados por comas), así como por una hora de inicio y de finalización. Las horas de inicio y finalización se pueden especificar en relación con una zona horaria local de Edge o con respecto a la UTC. Consulte la imagen a continuación para ver un ejemplo.

Nota Si no hay atributos, el valor predeterminado que está habilitado es "falso" (false).

Al definir los atributos de la ventana, siga los pasos que se indican a continuación:

n Use zonas horarias de IANA, no PDT o PST (p. ej., América/Los_Angeles). Para obtener más información, consulte https://en.wikipedia.org/wiki/List_of_tz_database_time_zones.

n Use UTC para días (p. ej., SAT, SUN).

n Separado por comas.

n Días en tres letras en inglés.

n No distinguir entre mayúsculas y minúsculas.

n Utilice únicamente el formato de 24 horas militar (hh: mm) para las horas de inicio (por ejemplo, 01:30) y las horas de finalización (por ejemplo, 05:30).


VMware, Inc. 77





Si faltan los valores mencionados anteriormente, los valores predeterminados del atributo en cada definición de ventana son los siguientes:

n Si falta Habilitado (Enabled), el valor predeterminado es falso (false).

n Si falta la opción Zona horaria (Timezone), el valor predeterminado es "local".

n Si falta la opción "días" (days) o las horas de inicio y finalización, los valores predeterminados son los siguientes:

n Si falta la opción "días" (days), se aplica el inicio/fin a cada día de la semana (Lun, Ma, Mié, Ju, Vie, Sáb, Dom).

n Si faltan las horas de inicio y de finalización, cualquier hora en el día especificado coincidirá (inicio [start] = 00:00 y fin [end] = 23:59).

n Nota: Deben estar presentes las opciones "días" (days) o las horas de inicio y finalización. Sin embargo, si faltan, los valores predeterminados serán los que se indican arriba.

Deshabilitar propiedad del sistema:

Esta propiedad del sistema está deshabilitada de forma predeterminada, lo que significa que el certificado se renovará automáticamente después de que caduque. La opción "Habilitado" (Enabled) se establecerá en "falso" (false) en la primera parte del área de texto de Valor (Value) del cuadro de diálogo Modificar propiedad del sistema (Modify System Property). A continuación, se muestra un ejemplo de esta propiedad cuando está deshabilitada.

{

"enabled": false,

"windows": [

{

NOTA: Esta propiedad del sistema requiere que la PKI esté habilitada.

Tabla 11-4. Conservación de los datos (Data Retention)


retention.highResFlows.days Esta propiedad del sistema permite a los operadores configurar una conservación de los datos de estadísticas de flujo de alta resolución en cualquier lugar entre 1 y 90 días.

retention.lowResFlows.months Esta propiedad del sistema permite a los operadores configurar una conservación de los datos de estadísticas de flujo de baja resolución en cualquier lugar entre 1 y 365 días.

session.options.maxFlowstatsRetentionDays Esta propiedad permite que los operadores consulten más de dos semanas de datos de estadísticas de flujos.


VMware, Inc. 78

Tabla 11-5. Instancias de Edge


edge.offline.limit.sec Si Orchestrator no detecta un latido de una instancia de Edge durante el período de tiempo especificado, el estado de la instancia de Edge se mueve al modo sin conexión.

edge.link.unstable.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se mueve al modo inestable.

edge.link.disconnected.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se desconecta.

edge.deadbeat.limit.days Si una instancia de Edge no está activa durante el número de días especificado, no se tiene en cuenta la instancia de Edge para generar alertas.

vco.operator.alert.edgeLinkEvent.enable Habilita o inhabilita globalmente las alertas de operador para los eventos de vínculo de Edge.

vco.operator.alert.edgeLiveness.enable Habilita o inhabilita globalmente las alertas de operador para los eventos de ejecución de Edge.

Tabla 11-6. Activación de Edge (Edge Activation)


edge.activation.key.encode.enable Base64 codifica los parámetros de la URL de activación para ocultar los valores cuando se envía el correo electrónico de activación de Edge al contacto del sitio.

edge.activation.trustedIssuerReset.enable Restablece la lista de emisores de certificados de confianza de la instancia de Edge para que contenga solo la entidad de certificación de Orchestrator. Todo el tráfico TLS de la instancia de Edge está restringido por la nueva lista de emisores.

network.public.certificate.issuer Establece el valor de network.public.certificate.issuer igual al de la codificación PEM del emisor del certificado de servidor de Orchestrator, cuando edge.activation.trustedIssuerReset.enable está establecido en Verdadero (True). Se agregará el emisor del certificado del servidor al emisor de confianza de la instancia de Edge, además de la entidad de certificación de Orchestrator.


VMware, Inc. 79

Tabla 11-7. Supervisión


vco.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de empresa y de operador. Si se establece el valor en Falso (False), se evita que SD-WAN Orchestrator cambie los estados de la entidad y se activen alertas.

vco.enterprise.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de empresa.

vco.operator.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de operador.

Tabla 11-8. Notificaciones


vco.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta tanto al operador como a las empresas.

vco.enterprise.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta a las empresas.

vco.operator.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta al operador.


VMware, Inc. 80

Tabla 11-9. Restablecimiento y bloqueo de contraseñas


vco.enterprise.resetPassword.token.expirySeconds Duración temporal, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario empresarial.

vco.enterprise.authentication.passwordPolicy Define la directiva de caducidad de contraseñas e historial de contraseñas para los usuarios empresariales.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

caducidad (expiry):

n habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios empresariales.

n días (days): introduzca la cantidad de días que se puede utilizar una contraseña empresarial antes de que caduque la fecha de caducidad forzada.

historial (history):

n habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios empresariales.

n recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario empresarial intenta cambiar la contraseña, el sistema no permite al usuario introducir una contraseña que ya está guardada en el historial.

enterprise.user.lockout.defaultAttempts Número de veces que el usuario empresarial puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.

enterprise.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario empresarial.

enterprise.user.lockout.enabled Habilita o deshabilita la opción de bloqueo para los errores de inicio de sesión empresarial.

vco.operator.resetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario operador.


VMware, Inc. 81

Tabla 11-9. Restablecimiento y bloqueo de contraseñas (continuación)


vco.operator.authentication.passwordPolicy Define la directiva de caducidad de contraseñas e historial de contraseñas para los usuarios operadores.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

caducidad (expiry):

n habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios operadores.

n días (days): introduzca la cantidad de días que se puede utilizar una contraseña de operador antes de que caduque la fecha de caducidad forzada.

historial (history):

n habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios operadores.

n recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario operador intenta cambiar la contraseña, el sistema no permite al usuario introducir una contraseña que ya está guardada en el historial.

operator.user.lockout.defaultAttempts Número de veces que el usuario operador puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.

operator.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario operador.

operator.user.lockout.enabled Habilita o deshabilita la opción de bloqueo para los errores de inicio de sesión de operador.


VMware, Inc. 82

Tabla 11-10. API de limitación de velocidad


vco.api.rateLimit.enabled Permite a los superusuarios operadores habilitar o deshabilitar la función de limitación de velocidad en el nivel de sistema. De forma predeterminada, el valor es Falso (False).

Nota El limitador de velocidad no está habilitado en Earnest, es decir, no rechazará las solicitudes de API que superen los límites configurados, a menos que la opción vco.api.rateLimit.mode.logOnly esté deshabilitada.

vco.api.rateLimit.mode.logOnly Permite que el superusuario operador utilice el límite de velocidad en el modo LOG_ONLY. Cuando el valor se establece en Verdadero (True) y si se supera un límite de velocidad, esta opción registra solo el error y activa las métricas respectivas, lo que permite a los clientes realizar solicitudes sin limitación de velocidad.

Cuando el valor se establece en Falso (False), se restringe la API de solicitud con las directivas definidas y se devuelve HTTP 429.


VMware, Inc. 83

Tabla 11-10. API de limitación de velocidad (continuación)


vco.api.rateLimit.rules.global Permite definir un conjunto de directivas aplicables globalmente que utiliza el limitador de velocidad, en una matriz JSON. De forma predeterminada, el valor es una matriz vacía.

Cada tipo de usuario (operador, socio y cliente) puede realizar un máximo de 500 solicitudes cada 5 segundos. El número de solicitudes está sujeto a cambios según el patrón de comportamiento de las solicitudes con velocidad limitada.

La matriz JSON consta de los siguientes parámetros:

Tipos (Types): los objetos de tipo representan diferentes contextos en los que se aplican los límites de velocidad. A continuación, se muestran los diferentes objetos de tipo disponibles:

n SISTEMA (SYSTEM): especifica un límite global que comparten todos los usuarios.

n OPERATOR_USER: un límite que se puede establecer en general para todos los usuarios operadores.

n ENTERPRISE_USER: un límite que se puede establecer en general para todos los usuarios empresariales.

n MSP_USER: un límite que se puede establecer en general para todos los usuarios de MSP.

n ENTERPRISE (Empresa): un límite que se puede compartir entre todos los usuarios de una empresa y que se aplica a todas las empresas de la red.

n PROXY: un límite que se puede compartir entre todos los usuarios de un proxy y se aplica a todos los servidores proxy.

Directivas: agregue reglas a las directivas para aplicar las solicitudes que coinciden con la regla. para ello, configure los siguientes parámetros:

n Coincidencia (Match): introduzca el tipo de solicitudes que deben coincidir:

n Todo (All): limite la velocidad de todas las solicitudes que coincidan con uno de los objetos de tipo.

n MÉTODO (METHOD): limite la velocidad de todas las solicitudes que coincidan con el nombre del método especificado.

n METHOD_PREFIX: limite la velocidad de todas las solicitudes que coincidan con el grupo de métodos especificado.

n Reglas (Rules): introduzca los valores de los siguientes parámetros:

n maxConcurrent: cantidad de trabajos que pueden realizarse al mismo tiempo.


VMware, Inc. 84



n depósito (reservoir): cantidad de trabajos que pueden realizarse antes de que el limitador detenga la realización de trabajos.

n reservoirRefreshAmount: valor para establecer el depósito cuando reservoirRefreshInterval está en uso.

n reservoirRefreshInterval: por cada milisegundo de reservoirRefreshInterval, el valor de depósito (reservoir) se actualizará automáticamente al valor de reservoirRefreshAmount. El valor de reservoirRefreshInterval debe ser un múltiplo de 250 (5000 para agrupación).

Habilitado (Enabled): cada límite de tipo se puede habilitar o deshabilitar mediante la inclusión de la clave habilitado (enabled) en APIRateLimiterTypeObject. De forma predeterminada, el valor de habilitado (enabled) es verdadero (true), incluso si la clave no está incluida. Debe incluir la clave "enabled": false para deshabilitar los límites de tipos individuales.

El siguiente ejemplo muestra un archivo JSON de ejemplo con valores predeterminados:

[ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ]


VMware, Inc. 85



}, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }]

Nota Se recomienda no cambiar los valores predeterminados de los parámetros de configuración.

vco.api.rateLimit.rules.enterprise.default Incluye el conjunto predeterminado de directivas específicas de la empresa que se aplican a clientes creados recientemente. Las propiedades específicas del cliente se almacenan en la propiedad empresarial vco.api.rateLimit.rules.enterprise.

vco.api.rateLimit.rules.enterpriseProxy.default Incluye el conjunto predeterminado de directivas específicas de la empresa que se aplican a socios creados recientemente. Las propiedades específicas de los socios se almacenan en la propiedad de proxy empresarial vco.api.rateLimit.rules.enterpriseProxy.

Para obtener más información sobre las limitación de velocidad, consulte Solicitudes de API de limitación de velocidad.


VMware, Inc. 86

Tabla 11-11. Diagnósticos remotos


network.public.address Especifica la dirección de origen del navegador o el nombre de host de DNS que se utilizan para acceder a la interfaz de usuario de SD-WAN Orchestrator.

network.portal.websocket.address Permite establecer una dirección o un nombre de host de DNS alternativos para acceder a la interfaz de usuario de SD-WAN Orchestrator desde un navegador, si la dirección del navegador no es la misma que el valor de la propiedad del sistema network.public.address.

Dado que los diagnósticos remotos ahora utilizan una conexión WebSocket a fin de garantizar la seguridad web, la dirección de origen del navegador que se utiliza a fin de acceder a la interfaz de usuario de Orchestrator se valida para las solicitudes entrantes. En la mayoría de los casos, esta dirección es la misma que la propiedad del sistema network.public.address. En raras ocasiones, se puede acceder a la interfaz de usuario de Orchestrator con otra dirección/nombre de host de DNS, distintos del valor establecido en la propiedad del sistema network.public.address. En estos casos, puede establecer esta propiedad del sistema en la dirección o el nombre de host de DNS alternativos. De forma predeterminada, este valor no está establecido.

session.options.websocket.portal.idle.timeout Permite establecer la cantidad total de tiempo (en segundos) durante el cual la conexión WebSocket del navegador está activa en un estado inactivo. De forma predeterminada, la conexión WebSocket del navegador está activa durante 300 segundos en un estado inactivo.

Tabla 11-12. Restablecimiento de contraseña de autoservicio


vco.enterprise.resetPassword.twoFactor.mode Define el modo del segundo nivel para la autenticación de restablecimiento de contraseña para todos los usuarios empresariales. Actualmente, solo se admite el modo SMS.

vco.enterprise.resetPassword.twoFactor.required Habilita o deshabilita la autenticación en dos fases para restablecer la contraseña de los usuarios empresariales.

vco.enterprise.selfResetPassword.enabled Habilita o deshabilita el restablecimiento de la contraseña de autoservicio para los usuarios empresariales.

vco.enterprise.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario empresarial.

vco.operator.resetPassword.twoFactor.required Habilita o deshabilita la autenticación en dos fases para restablecer la contraseña de los usuarios operadores.


VMware, Inc. 87

Tabla 11-12. Restablecimiento de contraseña de autoservicio (continuación)


vco.operator.selfResetPassword.enabled Habilita o deshabilita el restablecimiento de la contraseña de autoservicio para los usuarios operadores.

vco.operator.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario operador.

Tabla 11-13. Autenticación en dos fases


vco.enterprise.authentication.twoFactor.enable Habilita o deshabilita la autenticación en dos fases para los usuarios empresariales.

vco.enterprise.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios empresariales. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.

vco.enterprise.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios empresariales.

vco.operator.authentication.twoFactor.enable Habilita o deshabilita la autenticación en dos fases para los usuarios operadores.

vco.operator.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios operadores. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.

vco.operator.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios operadores.


VMware, Inc. 88

Tabla 11-14. Configuración de VNF


edge.vnf.extraImageInfos Define las propiedades de una imagen de VNF.

Puede introducir la siguiente información para una imagen de VNF, en formato JSON, en el campo Valor (Value):

[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" }]

Ejemplo de archivo JSON para la imagen de firewall de Check Point:

[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" }]

Ejemplo de archivo JSON para la imagen de firewall de Fortinet:

[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" }]

edge.vnf.metric.record.limit Define el número de registros que se almacenarán en la base de datos.

enterprise.capability.edgeVnfs.enable Habilita la implementación de VNF en modelos de Edge compatibles.

enterprise.capability.edgeVnfs.securityVnf.checkPoint Habilita el VNF de firewall de redes de Check Point

enterprise.capability.edgeVnfs.securityVnf.fortinet Habilita el firewall de VNF de las redes de Fortinet

enterprise.capability.edgeVnfs.securityVnf.paloAlto Habilita el VNF de firewall de Palo Alto Networks

session.options.enableVnf Habilita la función VNF


VMware, Inc. 89

Tabla 11-14. Configuración de VNF (continuación)


vco.operator.alert.edgeVnfEvent.enable Habilita o deshabilita globalmente las alertas de operador para los eventos de VNF de Edge.

vco.operator.alert.edgeVnfInsertionEvent.enable Habilita o deshabilita globalmente las alertas de operador para los eventos de inserción de VNF de Edge.

Tabla 11-15. VPN


vpn.disconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de desconectar un túnel VPN.

vpn.reconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de volver a conectar un túnel VPN.


VMware, Inc. 90

Administrar operadores 12En el portal de operadores, puede configurar y administrar perfiles de operador y usuarios operadores. También puede ver los eventos activados por los operadores.


n Supervisar eventos de operador

n Administrar perfiles de operador

n Administrar usuarios operadores

Supervisar eventos de operador

Los eventos de operador se activan por medio de las actividades de los operadores. Estos eventos ayudan a determinar el estado del sistema VMware.

En el portal de operadores, haga clic en Eventos de operador (Operator Events).

La página muestra los eventos de operador recientes. Puede hacer clic en el vínculo de los eventos para ver más detalles.

VMware, Inc. 91

Para ver los eventos más antiguos, puede hacer clic en el menú desplegable de la parte superior de la página y elegir la duración de la lista. Si lo prefiere, también puede introducir las fechas de inicio y finalización en la parte superior de la página para establecer una duración personalizada.

Una vez que se selecciona o se configura la duración, la página muestra los eventos activados durante el período seleccionado.

La página muestra las siguientes opciones:

n Buscar (Search): introduzca un término para buscar detalles específicos. Haga clic en la flecha desplegable para filtrar la vista según criterios específicos.

n Columnas (Cols): haga clic y seleccione las columnas que se mostrarán o se ocultarán en la vista.

n Restablecer vista (Reset View): haga clic para restablecer la vista a la configuración predeterminada.

n Actualizar (Refresh): haga clic para actualizar los detalles que se muestran con los datos más actuales.

n CSV: haga clic para exportar todos los datos en un archivo en formato CSV.

También puede ver los eventos de operador mediante la nueva interfaz de usuario de Orchestrator.

n En el portal de operadores, haga clic en la opción Abrir nueva interfaz de usuario de Orchestrator (Open New Orchestrator UI) disponible en la parte superior de la ventana.

n Haga clic en Iniciar nueva interfaz de usuario de Orchestrator (Launch New Orchestrator UI) en la ventana emergente. La interfaz de usuario se abre en una pestaña nueva que muestra las opciones de supervisión.

n Haga clic en Eventos de operador (Operator Events) para ver los eventos.

En el campo Buscar (Search), introduzca un término para buscar detalles específicos. Haga clic en el icono de filtro para filtrar la vista según criterios específicos.


VMware, Inc. 92

Administrar perfiles de operador

Se utiliza un perfil de operador para especificar la configuración de red administrada por SD-WAN Orchestrator. Al crear un cliente o un socio, puede asignarle un perfil de operador.

En el portal de operadores, haga clic en Perfiles de operador (Operator Profiles). La página Perfiles de operador (Operator Profiles) muestra los perfiles disponibles.

Nota Los perfiles de operador que contienen una imagen obsoleta se marcan para notificar al usuario de que la versión de software del perfil contiene una imagen de software obsoleta.

Como usuario operador, puede crear un nuevo perfil de operador, duplicar un perfil existente y modificar o eliminar un perfil con el botón Acciones (Actions) situado en la esquina superior derecha de la página Perfiles de operador (Operator Profiles) como se indica a continuación:

n Nuevo perfil (New Profile): crea un nuevo perfil de operador. Consulte Crear un nuevo perfil de operador.

n Duplicar perfil (Duplicate Profile): crea una copia del perfil de operador seleccionado. Consulte Duplicar un perfil de operador.

n Modificar perfil (Modify Profile): permite actualizar la configuración de red en el perfil de operador seleccionado. Consulte Modificar un perfil de operador.

n Eliminar perfil (Remove Profile): elimina un perfil de operador seleccionado de todos los socios y clientes asociados.

n Eliminar perfil (Delete Profile): elimina los perfiles seleccionados.

Nota No se puede eliminar un perfil que ya se ha asignado a un cliente o un socio.


VMware, Inc. 93

Para actualizar el perfil de operador que tiene una imagen obsoleta con otra imagen de software, haga clic en el vínculo a ese nombre de perfil de operador. Aparece la página Perfil de operador (Operator Profile) seleccionada.

En Versión de software (Software Version), en el menú desplegable Versión (Version), seleccione la imagen de software y haga clic en Guardar cambios (Save Changes).

Nota El menú desplegable Versión (Version) muestra las imágenes de software obsoletas con una marca, pero no se pueden seleccionar las imágenes obsoletas.

Para el perfil seleccionado, la información de uso, como el número de clientes que utilizan el perfil y la versión de software que utiliza el perfil, aparece en la parte inferior izquierda de la página.

Haga clic en Volver a aplicar (Reapply) a fin de forzar la reactualización de la imagen de software seleccionada para las instancias de Edge asociadas con el perfil de operador seleccionado.

Vínculos relacionados

n Para asignar un perfil a un cliente nuevo, consulte Crear un nuevo cliente.

n Para cambiar el perfil de un cliente existente, consulte Configurar clientes.

n Para asignar un perfil a un socio, consulte Capítulo 9 Administrar socios.


VMware, Inc. 94

Crear un nuevo perfil de operador

Al instalar SD-WAN Orchestrator, se encuentra disponible un perfil de operador inicial. Si es necesario, puede crear perfiles adicionales.

En el portal de operadores, haga clic en Perfiles de operador (Operator Profiles).

1 Haga clic en Nuevo perfil (New Profile) o haga clic en Acciones (Actions) > Nuevo perfil (New Profile).

2 En la ventana Nuevo perfil de operador (New Operator Profile), introduzca el nombre y la descripción, y elija el tipo de configuración.


El nuevo perfil aparece en la Página Perfiles de operador (Operator Profiles).

Duplicar un perfil de operador

Puede duplicar un perfil de operador para crear una copia del perfil.


1 Seleccione el perfil que desea duplicar y haga clic en Acciones (Actions) > Duplicar perfil (Duplicate Profile).

2 En la ventana Copiar perfil de operador (Copy Operator Profile), actualice el nombre y la descripción.


Aparece una copia del perfil en la Página Perfiles de operador (Operator Profiles).

Modificar un perfil de operador

Puede modificar un perfil de operador para actualizar la configuración del perfil.


VMware, Inc. 95


Haga clic en el vínculo a un perfil o seleccione el perfil y haga clic en Acciones (Actions) > Modificar perfil (Modify Profile).

Se muestra la configuración existente del perfil seleccionado y se puede configurar lo siguiente:

Configuración del perfil

Si es necesario, puede modificar el nombre y la descripción del perfil seleccionado.

Configuración de administración

Se muestra la dirección IP de SD-WAN Orchestrator. Puede configurar los siguientes intervalos de administración:

n Intervalo de latidos (Heartbeat Interval): el intervalo de tiempo entre los mensajes de latido enviados desde SD-WAN Orchestrator a las instancias de SD-WAN Edges. El valor predeterminado es 30 segundos y el intervalo mínimo debe ser 10 segundos. Si una instancia de SD-WAN Edge no recibe dos latidos de forma continua, la instancia de SD-WAN Edge se marca como inactiva.

Nota Cuando modifique el intervalo de latidos, asegúrese de actualizar el tiempo de demora de notificación de alerta de SD-WAN Edge sin conexión para evitar que se envíen alertas innecesarias.

n Intervalo de porción de tiempo (Timeslice Interval): el intervalo de tiempo durante el cual se recopilan los datos de supervisión para un flujo.


VMware, Inc. 96

n Intervalo de carga de estadísticas (Stats Upload Interval): el intervalo de tiempo para cargar los datos de supervisión. Todos los datos de cada porción de tiempo se recopilan durante el intervalo de carga de estadísticas y, a continuación, se cargan.

Selección de SD-WAN Gateway

De forma predeterminada, la selección de SD-WAN Gateway es dinámica y las VMware SD-WAN Gateways se eligen de forma dinámica desde el SD-WAN Gateway Pool. Asegúrese de que el SD-WAN Gateway Pool esté compuesto por al menos dos VMware SD-WAN Gateways para que la selección de SD-WAN Gateway sea eficaz. Para obtener mas información acerca de SD-WAN Gateway Pools, consulte #unique_48.

Seleccione la casilla de verificación para que la selección de SD-WAN Gateway sea estática. Para la selección de SD-WAN Gateway estática, debe especificar la SD-WAN Gateway principal. También puede introducir una SD-WAN Gateway secundaria opcional.

Nota Utilice la selección de SD-WAN Gateway estática solo para fines de prueba o depuración. No debe utilizar esta opción para las configuraciones de entrega a socios o VPN de SD-WAN Edge a SD-WAN Edge.

Asignación de mapas de aplicaciones

De forma predeterminada, el mapa de aplicaciones inicial se asigna al perfil de operador. Puede elegir un mapa de aplicaciones diferente disponible en la lista desplegable. Consulte también Capítulo 14 Mapas de aplicaciones.

Versión de software

Puede optar por insertar la imagen de software más reciente en los SD-WAN Edges. De forma predeterminada, no se aplican actualizaciones a los dispositivos. Seleccione la casilla de verificación y elija la imagen de software en la lista desplegable Versión (Version). Para obtener más información sobre las imágenes de software, consulte Capítulo 10 Imágenes de software.

Seleccione la casilla de verificación Duración de la actualización (Update Duration) e introduzca la duración en minutos. Si habilita esta opción, SD-WAN Orchestrator actualiza todos los dispositivos asociados con el cliente empresarial dentro de la duración especificada.

Después de actualizar los ajustes anteriores, haga clic en Guardar cambios (Save Changes).

Administrar usuarios operadores

La página Usuarios operadores (Operator Users) muestra los usuarios operadores existentes. Un superusuario operador puede crear nuevos usuarios operadores con diferentes privilegios de función y configurar tokens de API para cada usuario operador.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users) y, a continuación, puede configurar lo siguiente.


VMware, Inc. 97

Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo operador (New Operator): crea nuevos usuarios operadores. Consulte Crear un nuevo usuario operador.

n Modificar operador (Modify Operator): modifica las propiedades del usuario operador seleccionado. También puede hacer clic en el vínculo del nombre de usuario para modificar las propiedades. Consulte Configurar usuarios operadores.

n Restablecer contraseña (Password Reset): envía un correo electrónico al usuario seleccionado con un vínculo para restablecer la contraseña.

n Eliminar operador (Delete Operator): elimina los usuarios seleccionados.

Crear un nuevo usuario operador

Los superusuarios operadores pueden crear nuevos usuarios operadores.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users).

Procedimiento

1 Para crear nuevos usuarios operadores, haga clic en Nuevo operador (New Operator) o en Acciones (Actions) > Nuevo operador (New Operator).


VMware, Inc. 98

2 En la ventana Nueva cuenta de operador (New Operator Account), introduzca los siguientes detalles:

a Introduzca los detalles del usuario, como el nombre de usuario, la contraseña, el nombre, el correo electrónico y los números de teléfono.

b Si seleccionó el modo de autenticación como nativo en Capítulo 17 Autenticación de Orchestrator, el tipo de usuario se seleccionará como nativo. Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario no sea nativo, la opción de contraseña no estará disponible, ya que se hereda del modo de autenticación.

c Función de cuenta (Account Role): elija la función de usuario entre las opciones disponibles.


Resultados

Los detalles del usuario se muestran en la página de Usuarios operadores (Operator Users).

Configurar usuarios operadores

Puede configurar propiedades adicionales y crear tokens de API para un usuario operador.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users). Para configurar un usuario operador, haga clic en el vínculo a un nombre de usuario o seleccione el usuario y haga clic en Acciones (Actions) > Modificar operador (Modify Operator).

Se mostrarán las propiedades existentes del usuario seleccionado. Si es necesario, es posible agregar o modificar lo siguiente:


VMware, Inc. 99

Estado

De forma predeterminada, el estado se encuentra Habilitado (Enabled). Si elige Deshabilitado (Disabled), el usuario cerrará todas las sesiones activas.

Tipo

Si seleccionó el modo de autenticación del operador como Nativo (Native) en Capítulo 17 Autenticación de Orchestrator, el tipo de usuario se seleccionará como Nativo (Native). Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario sea No nativo (Non-Native), no podrá restablecer la contraseña ni modificar la función de usuario.

Propiedades

Se muestran los detalles de contacto existentes del usuario. Si es necesario, puede modificar los detalles y restablecer la contraseña. Si hace clic en Restablecer contraseña (Password Reset), se enviará un correo electrónico al usuario con un vínculo para restablecer la contraseña.

Función

Se muestra el tipo de función de usuario existente. Si es necesario, puede seleccionar una función diferente para el usuario. Los privilegios de la función cambiarán según corresponda.


VMware, Inc. 100

Tokens de API

Los usuarios pueden acceder a las API de Orchestrator mediante tokens en lugar de la autenticación basada en sesión. Como superusuario operador, puede administrar los tokens de API para los clientes. Puede crear varios tokens de API para un usuario.

Para los usuarios empresariales de solo lectura y los usuarios especialistas de negocio MSP, la autenticación basada en token no está habilitada.

De forma predeterminada, los tokens de API están habilitados. Si desea deshabilitarlos, vaya a Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableApiTokenAuth como Falso (False).

Configurar tokens de API:

Cualquier usuario puede crear tokens en función de los privilegios asignados a sus funciones de usuario, excepto los usuarios empresariales de solo lectura y los usuarios especialistas de negocio MSP.

Según sus funciones, los usuarios pueden realizar las siguientes acciones:

n Los usuarios empresariales pueden crear, descargar y revocar tokens para sí mismos.

n Los superusuarios operadores pueden administrar los tokens de otros usuarios operadores y usuarios empresariales si el usuario empresarial delegó permisos de usuario al operador.

n Los superusuarios empresariales pueden administrar los tokens de todos los usuarios de la empresa.

n Los usuarios solo pueden descargar sus propios tokens (no los de otros usuarios).

n Los superusuarios solo pueden crear y revocar los tokens de otros usuarios.

Para administrar los tokens de API:

n En la sección Tokens de API (API Tokens), haga clic en Acciones (Actions) > Nuevo token de API (New API Token) para crear un nuevo token.

n En la ventana Nuevo token de API (New API Token), introduzca la información correspondiente para el token en los campos Nombre (Name) y Descripción (Description), y elija un valor en el menú desplegable Duración (Lifetime).

n Haga clic en Crear (Create). El nuevo token se mostrará en la cuadrícula Tokens de API (API Tokens).


VMware, Inc. 101

n Inicialmente, el estado del token se muestra como Pendiente (Pending). Para descargar el token, selecciónelo y haga clic en Acciones (Actions) > Descargar token de API (Download API Token). El estado pasará a ser Habilitado (Enabled), lo que significa que se podrá utilizar el token de API para el acceso a la API.

n Para deshabilitar un token, seleccione el token y haga clic en Acciones (Actions) > Revocar token de API (Revoke API Token). El estado del token se muestra como Revocado (Revoked).

n Cuando se termine la vigencia del token, el estado cambiará a Caducado (Expired).

Solo el usuario asociado a un token puede descargarlo. Después de su descarga, solo se mostrará el identificador del token. Solo puede descargar un token una vez.

Después de descargar el token, el usuario puede enviarlo como parte del encabezado de autorización de la solicitud para acceder a la API de Orchestrator.

En el siguiente ejemplo, se muestra un fragmento de muestra del código para acceder a una API.

curl -k -H "Authorization: Token <Token>"

-X POST https://vco/portal/

-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":

{ "enterpriseId": 1 }}'

Después de modificar la configuración y los tokens de API, haga clic en Guardar cambios (Save Changes).


VMware, Inc. 102

Administrar puertas de enlace y grupos de puerta de enlace 13La red de VMware consiste en varias puertas de enlace de servicio implementadas en centros de datos en la nube y en la red de nivel superior. SD-WAN Gateway proporciona las facilidades de unos servicios entregados en la nube y unas rutas de acceso optimizadas a todas las aplicaciones, derivaciones y centros de datos. Los proveedores de servicios también pueden implementar sus propias puertas de enlace de socio en la infraestructura de nube privada.


n Grupos de puertas de enlace

n Puertas de enlace de socio

n Ejecutar diagnósticos para puertas de enlace

n Supervisar puertas de enlace

n Supervisar puertas de enlace con la nueva interfaz de usuario de Orchestrator

Grupos de puertas de enlace

Las puertas de enlace se pueden organizar en grupos que se asignan a una red. Existe un grupo predeterminado no rellenado después de instalar SD-WAN Orchestrator. Puede crear grupos de puertas de enlace adicionales.

VMware, Inc. 103

Columna Grupo administrado (Managed Pool)

Las marcas de verificación de la columna Grupo administrado (Managed Pool) que están asociadas a grupos de puertas de enlace representan grupos de puertas de enlace que los socios pueden editar y administrar. Si un grupo de puertas de enlace tiene una "x" asociada, los socios únicamente tienen acceso de "solo lectura" a ese grupo de puertas de enlace.

Nota Si un operador marca la casilla Conceder acceso de administración de puerta de enlace (Grant Gateway Management Access), los grupos de puerta de enlace asignados a un socio se mostrarán en la columna Grupo administrado (Managed Pool) con una marca de verificación asociada.

Crear un grupo de puertas de enlace

Si hace clic en Nuevo grupo (New Pool), el siguiente cuadro de diálogo le pedirá que introduzca un nombre para un nuevo grupo de puertas de enlace. También puede especificar si se permitirán las puertas de enlace de socio en el nuevo grupo.

Si hace clic en un grupo de puertas de enlace, aparecen las propiedades del grupo, las puertas de enlace que están en el grupo y los clientes que utilizan el grupo. Tenga en cuenta que una de las propiedades es si el grupo permite que las puertas de enlace locales formen parte del grupo.

Nota Una instancia de VMware SD-WAN Gateway puede funcionar como puerta de enlace estándar que proporciona servicios de red de VMware, o bien como puerta de enlace de socio, que permite que el tráfico de red se enrute a la red de un proveedor de servicios. No se puede utilizar una puerta de enlace para ambas funciones. Un grupo de puertas de enlace puede contener puertas de enlace que estén configuradas como puertas de enlace de socio o puertas de enlace estándar. Sin embargo, si una puerta de enlace de socio se encuentra en un grupo de puertas de enlace donde la opción Permitir puertas de enlace de socio (Allow Partner Gateways) está desactivada, la puerta de enlace funcionará como una puerta de enlace estándar.


VMware, Inc. 104

Crear grupos de puertas de enlace específicos de socios

En esta sección se describe cómo crear puertas de enlace y grupos de puertas de enlace para un socio. Las puertas de enlace y los grupos de puertas de enlace que cree serán utilizados solo por el socio.

Para crear una puerta de enlace o un grupo de puertas de enlace desde el portal de socios de SD-WAN Orchestrator:

1 En el panel de navegación de SD-WAN Orchestrator, haga clic en el vínculo Administrar socios (Manage Partners). Se abrirá la ventana Administrar socios (Manage Partners).

2 En la ventana Administrar socios (Manage Partners), haga clic en uno de los socios disponibles que se muestra en la columna Socio (Partner). Aparece la ventana Administrar clientes de (Manage Partner Customers).

3 En el panel de navegación, haga clic en el vínculo Grupo de puertas de enlace (Gateway Pool) para crear un nuevo grupo de puertas de enlace, o bien haga clic en el vínculo Puerta de enlace (Gateway) para crear una nueva puerta de enlace.


VMware, Inc. 105

4 En el botón Acciones (Actions), ubicado sobre la cuadrícula de la tabla en la esquina superior derecha, haga clic en Nuevo grupo de puertas de enlace (New Gateway Pool) o Nueva puerta de enlace (New Gateway) si seleccionó el vínculo Puerta de enlace (Gateway).

Nota En los pasos anteriores, se crean puertas de enlace específicas de socio. Por lo tanto, cualquier puerta de enlace o grupo de puertas de enlace que cree solo se asociará con este socio.

Eliminar un grupo de puertas de enlace

Para eliminar los grupos de puertas de enlace y las puertas de enlace que son propiedad del socio, los operadores deben eliminar las puertas de enlace del portal de socios. Además, si un socio está utilizando la puerta de enlace, el operador no podrá eliminarla. El operador debe esperar hasta que la puerta de enlace esté disponible para poder eliminarla.

Entrega de puerta de enlace de socio

En esta sección se describe el menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off)

El área Propiedades (Properties) de los grupos de puertas de enlace muestra el cuadro de texto Nombre (Name), el cuadro de texto Descripción (Description) y un menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off).

El menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off) incluye las tres opciones siguientes:


VMware, Inc. 106


Ninguna (None) Se usa cuando las empresas asignadas a este grupo de puertas de enlace no requieren la asignación de puerta de enlace de socio.

Permitir (Allow) Se utiliza cuando el grupo debe admitir la combinación de puertas de enlace de socio y puertas de enlace de nube.

Solo puertas de enlace de socio (Only Partner Gateways)

Se utiliza cuando las instancias de Edge de las empresas no deben estar asignadas a puertas de enlace de nube desde el grupo y solo se asignarán la puerta de enlace 1 y la puerta de enlace 2 que se establecen para la instancia de Edge individual.

Si hace clic en una puerta de enlace específica, se muestran detalles adicionales de la puerta de enlace. Los detalles incluyen propiedades, información de la ubicación y del contacto, los clientes que utilizan la puerta de enlace y los grupos de los que es miembro la puerta de enlace.

Puertas de enlace de socio

Una puerta de enlace puede configurarse como puerta de enlace de socio y puede funcionar como puerta de enlace de socio si forma parte de un grupo de puertas de enlace que permite las puertas de enlace de socio.

Puertas de enlace de socio

Las SD-WAN Gateway de socio pueden configurarse con varias subredes, cada una de las cuales puede configurarse con una entrega de NAT o VLAN. Cada subred también puede configurarse con un coste relativo y con información sobre si el tráfico se debe cifrar o no.

En los ejemplos siguientes se muestran dos casos prácticos para la configuración de las SD-WAN Gateways de socio.

Caso práctico de configuración de puerta de enlace n.º 1En la siguiente figura, una SD-WAN Gateway está conectada a través del modo VLAN/VRF a un VRF que no tiene acceso a la red de Internet pública. Sin embargo, la SD-WAN Gateway de socio debe poder ponerse en contacto con SD-WAN Orchestrator en la nube pública y debe haber una ruta de acceso para acceder a la nube. SD-WAN Gateway puede aplicar NAT de forma selectiva a determinados tráficos (como la dirección IP de una instancia de SD-WAN Orchestrator o las subredes que se utilizan para acceder a servidores DNS públicos) aunque funcione en modo VLAN/VRF.


VMware, Inc. 107

2 1

VMwareSD-WAN Orchestrator

Puerta de enlace deVMware SD-WAN

Edge deVMware SD-WAN

n N.º 1: El tráfico de SD-WAN Orchestrator se enruta a través de direcciones IP a NAT.

n N.º 2: El tráfico corporativo se enruta a través de subredes a VLAN/VRF.

Caso práctico de configuración de SD-WAN Gateway n.º 2Es habitual que una SD-WAN Gateway de socio se una a una red corporativa y, así, proporcione conectividad a sitios heredados. Esta necesidad puede surgir incluso cuando no se convirtieron todos los sitios corporativos a la red de VMware. Para este caso práctico, es necesario especificar el tráfico por subred en la SD-WAN Gateway de socio. También se puede configurar cada subred para cifrar el tráfico de red.

La figura a continuación muestra un ejemplo en el que solo se cifra el tráfico a los sitios heredados. Si la instancia de SD-WAN Gateway ya está configurada con una subred 0.0.0.0/0 para permitir todo el tráfico (que es una configuración común), solo se necesitaría agregar la subred privada para los sitios heredados y marcarla como cifrada.


VMware, Inc. 108

2 1



Sitio heredado

MPLS

n N.º 1: Subred (por ejemplo, 10.0.0.0/8) definida para sitios heredados y marcada para el cifrado. El tráfico se transmite entre SD-WAN Edge y SD-WAN Gateway a través del túnel de IPsec.

n N.º 2: El tráfico restante se envía sin cifrar a SD-WAN Edge y, a continuación, a su destino final.

Resistencia de la puerta de enlace de socio

La puerta de enlace de socio ofrece resistencia al detectar errores y conmutar por error a una puerta de enlace de socio alternativa. Esto incluye la capacidad de una puerta de enlace de socio para detectar las condiciones de error y para que la infraestructura circundante detecte errores en la propia puerta de enlace.

Tenga en cuenta la siguiente topología de puerta de enlace:


VMware, Inc. 109

1

2

3

Puerta de enlace 1de VMware SD-WAN

Controlador de llamadas 1



En esta figura, se muestran tres zonas de errores distintas:

Zona de errores Componente Descripción

1 Edge de proveedor La instancia de Edge de proveedor es una instancia en la que se puede detectar un error desde el enrutador de Edge de proveedor que hace ping a SD-WAN Gateway o desde SD-WAN Gateway al enrutador de Edge de proveedor.

2 Controlador de llamadas

SD-WAN Gateway debe poder hacer ping al enrutador de Edge de proveedor o al controlador de llamadas para verificar la conectividad.

3 WAN SD-WAN Gateway debe tener un respondedor de ping con estado que responda solo si la zona WAN está disponible.

En la siguiente figura, se muestra un escenario de error típico que se produce entre SD-WAN Gateway y el enrutador de Edge de proveedor, y describe la actividad que se produce.


VMware, Inc. 110

1 2

1: El respondedor de ping con estado no es accesible, por lo que el enrutador de Edge del proveedor enruta el tráfico de a la puerta de enlace de VMware SD-WAN 1.

2: El sondeo de ICMP comienza a caer en el enrutador de PE. Después del umbral, ruta no accesible propagada a Edge de VMware SD-WAN. Edge de VMware SD-WAN dirige automáticamente el tráfico a través de la puerta de enlace de VMware SD-WAN 1.

La llamada puede continuar a través de la puerta de enlace alternativade VMware SD-WAN que usa la red básica del proveedor para seguir conectado al controlador de llamadas 2

Flujo posterior a la conmutación por error






La puerta de enlace de socio también admite costes de ruta configurables para permitir escenarios de error más flexibles. Por último, se requiere un tipo de entrega adicional en la que no se aplican las etiquetas NAT ni VLAN a los paquetes, y simplemente se pasan a través del enrutador de Edge de proveedor.

Sondeos de conmutación por error de ICMP

En esta sección se describen los sondeos de conmutación por error de ICMP.

Para solucionar un error en las zonas n.º 1 o n.º 2 del diagrama de topología de SD-WAN Gateway, SD-WAN Gateway admite la capacidad opcional de enviar sondeos de conmutación por error. Estos sondeos enviarán un ping a una sola dirección IP de destino a la frecuencia especificada. Si se supera el umbral de respuestas de ping perdidas sucesivas, la puerta de enlace marcará las rutas de SD-WAN Gateway como inaccesibles. Mientras las rutas se marquen como inaccesibles debido a este estado de error de sondeo, se seguirán enviando sondeos. Si se supera el mismo umbral para las respuestas de ping sucesivas que se realicen correctamente, SD-WAN Gateway marcará las rutas como accesibles nuevamente.


VMware, Inc. 111

Escenario de ejemplo

Por ejemplo, tenga en cuenta el caso en el que un usuario ha configurado una frecuencia de dos segundos y un umbral de tres.

1 Las instancias de VMware SD-WAN Edges se conectan a la instancia de SD-WAN Gateway principal. La instancia de SD-WAN Gateway principal marca las rutas como accesibles.

2 La instancia de SD-WAN Gateway principal no recibe una respuesta de tres sondeos sucesivos (~6 segundos).

3 La instancia de SD-WAN Gateway principal marca las rutas como inaccesibles y las comunica a todas las instancias de Edge conectadas.

4 Las instancias de Edge comienzan a enrutar el tráfico de SD-WAN Gateway a través de la instancia de SD-WAN Gateway alternativa.

5 Se restaura la conectividad y la instancia de SD-WAN Gateway principal recibe tres respuestas sucesivas de los sondeos.

6 La instancia de SD-WAN Gateway principal marca las rutas como accesibles y las comunica a todas las instancias de Edge conectadas.

7 Las instancias de Edge enrutan el tráfico a través de la instancia de SD-WAN Gateway principal.

Esto podría utilizarse en un escenario de error n.º 1 para hacer ping a una dirección IP en el propio enrutador de la instancia de Edge del proveedor. Esto podría utilizarse en un escenario de error n.º 2 para hacer ping al controlador de llamadas real.

Respondedor de ping con estado

Para solucionar un error en la zona n.º 2 o n.º 3 del diagrama de topología de la puerta de enlace de socio, la instancia de SD-WAN Gateway admite un respondedor de ping con estado opcional. Esto permite la configuración de una dirección IP virtual (que debe ser diferente a la dirección IP de la interfaz) dentro de la instancia de SD-WAN Gateway que, según la configuración, responde siempre a los pings (el servicio de puerta de enlace está en ejecución) o de forma condicional según la conectividad de WAN (la puerta de enlace tiene túneles VPN conectados).

Esto se puede utilizar en caso de error n.º 1 si hace que el enrutador de la instancia de Edge del proveedor haga ping al respondedor de ping, ya que si la instancia de SD-WAN Gateway se vuelve inaccesible, podría provocarse un error en el SLA de IP en el enrutador de la instancia de Edge del proveedor. Esto también se puede utilizar en caso de error n.º 3 haciendo que la instancia de SD-WAN Gateway solo responda si los túneles de VPN están conectados. Esto es similar al comportamiento con BGP (ningún cliente conectado significa ninguna ruta de cliente).


VMware, Inc. 112

1

3

Modo predeterminado: Condicional.Respuesta solo si los túneles de VPN están conectados. Se producirá un error si se pierde la conectividad entre Edge de VMware SD-WAN y la puerta de enlace de VMware SD-WAN.

Modo alternativo: Respuesta siempre. Se producirá un error si se pierde la conectividad entre el enrutador de Edge del proveedor de VMware y la puerta de enlace de VMware SD-WAN.


La puerta de enlace de socio volverá a responder a la solicitud de ICMP del enrutador de la instancia de Edge del proveedor (PE) en función del SLA de IP configurado en el enrutador de PE. El enrutador de PE del respondedor de ping con estado debe configurarse como se muestra a continuación con la información de etiqueta de VLAN adecuada.

!IP-SLA configuration to send ICMP request to gateway virtual IP

ip sla 1

icmp-echo 192.168.10.10 source-ip 192.168.10.1

vrf CUSTOMER1

threshold 1000

timeout 1000

frequency 2

ip sla schedule 1 life forever start-time now

!tracking the IP SLA for its reachability

track 1 ip sla 1 reachability

!all the routes will reachable only when SLA probe succeeds

ip route vrf CUSTOMER1 0.0.0.0 0.0.0.0 192.168.11.101 track 1






VMware, Inc. 113

Advertencias cuando se utiliza el modo de entrega NAT

Cuando se utiliza el modo de entrega NAT, tenga en cuenta las siguientes advertencias:

n Para el modo de entrega de VLAN, la puerta de enlace de socio puede escuchar cualquier IP si se puede acceder al enrutador de PE (incluida la IP de la interfaz). Para el modo de entrega NAT, la puerta de enlace de socio no responderá si la solicitud de ICMP llega a su propia dirección IP de la interfaz (WAN).

n El flujo inverso no se admite en el modo de entrega NAT.

Subredes de copia de seguridad o activas

En esta sección se describe cómo configurar las subredes activas y de copia de seguridad para una puerta de enlace de socio.

Subredes en una puerta de enlace de socio

Las subredes configuradas en una puerta de enlace de socio se introducen como subredes y descripciones opcionales. Se incluye un campo Cost para permitir la ponderación entre las rutas. Las rutas de menor coste tienen preferencia sobre las rutas de coste superior. En la siguiente figura, se muestra la configuración de Cost por subred.



Subred A Subred B

SubredA B

Coste10 20

SubredBA

Coste10 20

Configuración y uso de la puerta de enlace de socio

Si la opción Es puerta de enlace de socio (Is Partner Gateway) está seleccionada para una puerta de enlace, se requiere una configuración adicional:

1 Seleccione la puerta de enlace que será una puerta de enlace de socio y, a continuación, seleccione la casilla de verificación Es puerta de enlace de socio (Is Partner Gateway). Aparecerá una sección Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Hand Off)) para la puerta de enlace.


VMware, Inc. 114

En esta sección, puede configurar una o varias subredes que reenviarán el tráfico a la puerta de enlace de socio. Para cada subred, puede seleccionar un tipo de Entrega (Hand Off) (VLAN o NAT) y si el tráfico se cifrará o no. También se pueden introducir la configuración de los respondedores de ping y los sondeos de ICMP y la información de contacto y ubicación de la puerta de enlace.


VMware, Inc. 115

2 Para cada cliente que utilice puertas de enlace de socio, seleccione un grupo de puertas de enlace que contenga la puerta de enlace de socio. Para ello, seleccione un cliente y, a continuación, elija Configurar (Configure) > Empresa (Enterprise).

También puede seleccionar el etiquetado de VLAN para el grupo.

3 Si desea que la puerta de enlace de socio pueda detectar VRF y sea compatible con BGP, vaya a Configurar (Configure) > Cliente (Customer) en la pantalla Grupo de puertas de enlace (Gateway Pool). Consulte Configurar BGP de puerta de enlace para obtener más información sobre la configuración.


VMware, Inc. 116

4 Para cada instancia de Edge de cliente que utilice una puerta de enlace de socio, configure la selección de puerta de enlace de socio para seleccionar Puertas de enlace (Gateways). En primer lugar, seleccione un cliente y, a continuación, seleccione Configurar (Configure) > Instancias de Edge (Edges) y posteriormente Edge.

Página de puertas de enlace

Si hace clic en el vínculo Puertas de enlace (Gateways), todas las puertas de enlace administradas por SD-WAN Orchestrator se mostrarán como una lista con los detalles de las puertas de enlace y como una ubicación en un mapa. Haga clic en una puerta de enlace para mostrar sus detalles.


VMware, Inc. 117

Habilitar modo de puerta de enlace de socio

En la misma página Puerta de enlace (Gateway) Operador (Operator) > Puertas de enlace (Gateways), habilite el modo de puerta de enlace de socio seleccionando la casilla de verificación Puerta de enlace de socio (Partner Gateway). Anule la selección de la casilla de verificación Puerta de enlace de VPN segura (Secure VPN Gateway) (que solo es necesaria si tiene pensado utilizar SD-WAN Gateway para establecer un túnel de IPSec a una instancia de Non VMware SD-WAN Site).

Pestaña Descripción general (Overview)

La pantalla Puertas de enlace (Gateways) incluye las siguientes secciones: Detalles de Puerta de enlace de socio (Entrega avanzada) (Advanced Handoff (Partner Gateway) Details), Contacto y ubicación (Contact & Location), Uso del cliente (Customer Usage) y Pertenencia del grupo (Pool Membership). Consulte las secciones para obtener información sobre estas secciones.


VMware, Inc. 118

Propiedades (Área de Properties)

Además de los cuadros de texto Nombre (Name) y Descripción (Description), el área Propiedades (Properties) incluye las siguientes opciones:

n Estado del servicio (Service State):

n Estado (Status):

n Dirección IP

n Modo de autenticación de puerta de enlace (Gateway Authentication Mode):

n Certificado deshabilitado (Certificate Disabled): Edge utiliza un modo de autenticación con una clave previamente compartida.

n Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SD-WAN Orchestrator; para ello, debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SD-WAN Orchestrator y para establecer túneles VCMP.

Nota Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).

n Certificado requerido (Certificate Required): Edge utiliza el certificado de PKI. (Los operadores pueden cambiar la ventana de tiempo de renovación de certificados para las puertas de enlace a través de propiedades del sistema. Consulte Entidad de certificación para obtener más información).

n Funciones de puerta de enlace (Gateway Roles):

n Plano de control (Control Plane):

n CDE:


VMware, Inc. 119

n Plano de datos (Data Plane):

n Puerta de enlace de socio (Partner Gateway):

n Puerta de enlace de VPN segura (Secure VPN Gateway):

Área de Detalles de Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Handoff) Details)

n Rutas estáticas (Static Routes): especifique las subredes o las rutas que SD-WAN Gateway debe anunciar a SD-WAN Edge, junto con el modo de entrega y si se debe cifrar o no el tráfico. Esto es global por instancia de SD-WAN Gateway y se aplica a todos los clientes. Con BGP, esta sección se utiliza por lo general solo si hay una subred compartida a la que todos los clientes necesitan acceder y si se requiere la entrega de NAT.

Elimine las subredes no utilizadas de la lista de rutas estáticas anterior si no tiene ninguna subred que deba anunciarse a SD-WAN Edge y tenga la entrega de tipo NAT.

Los parámetros de sondeo de ICMP son opcionales y se recomiendan solo si desea utilizar ICMP para comprobar el estado de SD-WAN Gateway. Con la compatibilidad de BGP en la puerta de enlace de socio, ya no es necesario usar el sondeo de ICMP para la conmutación por error y la convergencia de rutas.

n Sondeo de conmutación por error de ICMP (ICMP Failover Probe): SD-WAN Gateway puede usar el sondeo de ICMP para comprobar la disponibilidad de una IP en particular. Puede notificar a SD-WAN Edge que se conmute por error a la puerta de enlace secundaria si SD-WAN Gateway detecta que no se puede acceder a la IP en particular.

n Respondedor de ICMP habilitado (ICMP Responder Enabled): esto permitirá que SD-WAN Gateway responda al sondeo de ICMP desde el enrutador de salto siguiente cuando sus túneles estén activos.

n Modo=Condicional (Mode=Conditional): SD-WAN Gateway responderá a la solicitud de ICMP solo cuando el servicio esté activo y cuando haya al menos un túnel activo.

n Modo=Siempre (Mode=Always): SD-WAN Gateway siempre responderá a la solicitud de ICMP desde el mismo nivel.

Configurar BGP de puerta de enlace

En esta sección se describe la configuración de BGP de puerta de enlace.

Configurar BGP

En esta sección se describe cómo configurar BGP en las puertas de enlace de socio. De forma predeterminada, BGP está habilitado en las puertas de enlace de socio.


VMware, Inc. 120

Para obtener información sobre BGP para SD-WAN Edge, consulte el apartado Configurar el enrutamiento dinámico con OSPF o BGP, en la Guía de administración.

Nota Se admiten BGP ASN de 4 bytes:

n Como ASN del propio SD-WAN Edge.

n Emparejado con un vecino con ASN de 4 bytes.

n Acepta ASN de 4 bytes en anuncios de rutas.

Prioridad de BGP del cliente (comunidad automática)

El área Prioridad de BGP del cliente (Customer BGP Priority) incluye la casilla de verificación Habilitar asignación de comunidad (Enable Community Mapping). Cuando se selecciona, hay dos modos de asignación disponibles para configurar comunidades: Todos los segmentos (All Segments) y Por segmento (Per Segment). Existen dos partes en la comunidad: Comunidad (Community) y Comunidad 2 (Community 2).

Para los proveedores de servicios que implementan un cliente en varios AS BGP y prefieren usar valores de comunidad de BGP para controlar la simetría de ruta de acceso, existe una opción para que asignen los valores de comunidad de BGP automáticamente a los prefijos de derivación en función de los pedidos de preferencia de puerta de enlace de socio para esa derivación. De forma predeterminada, VMware asigna automáticamente los valores de MED BGP para que el prefijo de derivación afecte a la ruta de acceso de BGP y logre la simetría de ruta de acceso, que se aplica a un escenario AS único.

En la siguiente topología, se muestra un ejemplo de este caso práctico.

En la topología anterior, se utilizan varios AS BGP de MPLS, valores de comunidad de BGP y valores de preferencia locales en los PE para lograr la simetría de ruta de acceso. Para la derivación E1, el orden de la puerta de enlace de socio es GW1>GW2, lo que significa que, para el tráfico saliente, se prefiere GW1. Para mantener la simetría de ruta de acceso, GW1 debe asignar un valor de comunidad de 1:110 para que coincida con el mapa de ruta BGP de PE configurado, por lo que la ruta de retorno también preferirá GW1.


VMware, Inc. 121

De forma similar, GW2 necesita asignar un valor de comunidad 1:00 para que coincida con el mapa de ruta BGP de PE configurado, lo que hará que sea menos preferido. Esto se automatizará a través de la función de comunidad automática (introducida en la versión 2.5). Al otorgar valores de comunidad a las prioridades de GW, las puertas de enlace de socio asignarán los valores de comunidad correspondientes a los prefijos de derivación de forma dinámica. Esta configuración se encuentra en el nivel del cliente.

Supervisión

Para ver las puertas de enlace configuradas:

1 Vaya a Supervisar (Monitor) > Servicios de red (Network Services).

2 En la pantalla Servicios de red (Network Services), desplácese hasta el área Estado de vecino BGP (BGP Neighbor State) para ver las puertas de enlace configuradas.

Nota En el menú desplegable Actualizar automáticamente (Auto refresh), puede designar la frecuencia con la que se actualiza automáticamente el área Estado de vecino BGP (BGP Neighbor State) (5, 30, 60 segundos), o bien puede detener la función Actualizar automáticamente (Auto refresh) seleccionando En pausa (Paused) en el menú desplegable.

Control de flujo superpuesto

Todas las rutas se muestran en la tabla Control de flujo superpuesto (Overlay Flow Control). Para cambiar el orden de las salidas de VPN preferidas para una subred determinada, haga clic en el botón Editar (Edit) en la columna Modificar (Modify).

Nombre de columna Descripción

Modificar (Modify) Acceso para editar las configuraciones globales.

Subred (Subnet) La red a la que corresponde esta ruta, junto con una lista de instancias de Edge que aprendieron esta ruta.

Tipo de ruta (Route Type) Los tipos incluyen: BGP, OSPF-O, OSPF-OE2, Estático (Static) y Conectado (Connected).


VMware, Inc. 122


Salidas de VPN preferida (Preferred VPN Exits)

El orden de la salida de VPN.

Última actualización (Last Updated) La fecha y la hora en las que se aprenden las rutas.

Editar configuraciones globales

Para editar configuraciones globales:

1 Haga clic en el botón Editar (Edit) que se encuentra en la parte inferior del área Preferencias de enrutamiento global (Global Routing Preferences) de VRF para abrir el cuadro de diálogo Editar configuraciones globales (Edit Global Configs).

2 En el cuadro de diálogo Editar configuraciones globales (Edit Global Configs), edite el área Marcas de anuncio globales (Global Advertise Flags).

Editar subred

Como opción adicional, puede cambiar el orden de salida de la VPN editando la subred.

Para acceder a este cuadro de diálogo, haga clic en el vínculo Editar (Edit) de la columna Modificar (Modify) en la tabla Control de superposición (Overlay Control).


VMware, Inc. 123

Ejecutar diagnósticos para puertas de enlace

Los paquetes de diagnósticos permiten a los usuarios recopilar todos los archivos de configuración y los archivos de registro de una VMware SD-WAN Gateway específica en un archivo comprimido consolidado. Los datos disponibles en los paquetes de diagnóstico los pueden utilizar los ingenieros de soporte de VMware para solucionar los problemas de las SD-WAN Gateways.

En el portal de operadores, haga clic en Paquetes de diagnósticos de puerta de enlace (Gateway Diagnostic Bundles).

Para generar un paquete de diagnóstico, realice lo siguiente:

1 Haga clic en Solicitar paquete de diagnósticos (Request Diagnostic Bundle).

2 En la ventana Solicitar paquete de diagnósticos (Request Diagnostic Bundle), configure los siguientes elementos:

n Destino (Target): seleccione la VMware SD-WAN Gateway de destino en la lista desplegable. Los datos se recopilan a partir de la VMware SD-WAN Gateway seleccionada.


VMware, Inc. 124

n Motivo de la generación (Reason for Generation): de forma opcional, puede introducir su motivo para generar el paquete.

n Si es necesario, haga clic en el botón Avanzado (Advanced) y seleccione un valor en la lista desplegable Límite básico (Core Limit). El límite básico se utiliza para reducir el tamaño del paquete cargado cuando hay problemas con la conectividad a Internet.

3 Haga clic en Enviar (Submit).

La ventana Paquetes de diagnósticos de puerta de enlace (Gateway Diagnostic Bundles) muestra los detalles de los paquetes generados, junto con el estado.

Para descargar un paquete generado, haga clic en el vínculo Completo (Complete) o seleccione el paquete y haga clic en Acciones (Actions) > Descargar paquete de diagnósticos (Download Diagnostic Bundle). El paquete se descarga como un archivo ZIP.

Los paquetes completados se eliminan automáticamente en la fecha que se muestra en la columna Fecha de limpieza (Cleanup Date). También puede hacer clic en el vínculo de la fecha de limpieza para modificar la fecha.


VMware, Inc. 125

En la ventana Actualizar fecha de limpieza (Update Cleanup Date), elija la fecha en la que se eliminará el paquete seleccionado.

Si desea conservar el paquete, seleccione la casilla de verificación Mantener siempre (Keep Forever) para que el paquete no se elimine automáticamente.

Para eliminar un paquete de forma manual, selecciónelo y haga clic en Acciones (Actions) > Eliminar (Delete).

Supervisar puertas de enlace

Puede supervisar el estado y los datos de uso de las puertas de enlace disponibles en el portal de operadores.

Para supervisar las puertas de enlace:

Procedimiento

1 En el portal de operadores, haga clic en Puertas de enlace (Gateways).

2 La página Puertas de enlace (Gateways) muestra la lista de puertas de enlace disponibles.

3 Haga clic en el vínculo a una puerta de enlace. Se muestran los detalles de la puerta de enlace seleccionada.

4 Haga clic en la pestaña Supervisar (Monitor) para ver los datos de uso de la puerta de enlace seleccionada.

Resultados

La pestaña Supervisar (Monitor) de la puerta de enlace seleccionada muestra los siguientes detalles:


VMware, Inc. 126

En la parte superior de la página, puede elegir un período de tiempo específico a fin de ver los detalles de la puerta de enlace para la duración seleccionada.

La página muestra una representación gráfica de los detalles de uso de los siguientes parámetros para el período de tiempo de duración seleccionado, junto con los valores mínimo, máximo y promedio.

n Porcentaje de CPU (CPU Percentage): porcentaje de uso de CPU.

n Uso de memoria (Memory Usage): porcentaje de uso de memoria.

n Recuentos de flujos (Flow Counts): recuento de flujos de tráfico.

n Descartes de cola de entrega (Handoff Queue Drops): recuento de paquetes descartados debido a una entrega en cola.

n Recuento de túneles (Tunnel Count): recuento de sesiones de túnel.

Desplace el mouse por los gráficos para ver más detalles.

También puede ver los detalles mediante la nueva interfaz de usuario de Orchestrator. Consulte Supervisar puertas de enlace con la nueva interfaz de usuario de Orchestrator.

Supervisar puertas de enlace con la nueva interfaz de usuario de Orchestrator

Puede supervisar el estado y los datos de uso e red de las puertas de enlace disponibles en el portal de operadores.

Para supervisar las puertas de enlace:


VMware, Inc. 127

Procedimiento

1 En el portal de operadores, haga clic en la opción Abrir nueva interfaz de usuario de Orchestrator (Open New Orchestrator UI) disponible en la parte superior de la ventana.

2 Haga clic en Iniciar nueva interfaz de usuario de Orchestrator (Launch New Orchestrator UI) en la ventana emergente. La interfaz de usuario se abre en una pestaña nueva que muestra las opciones de supervisión.

3 Haga clic en Puertas de enlace (Gateways).

Resultados

La página Puertas de enlace (Gateways) muestra la lista de puertas de enlace disponibles.

Haga clic en Distribución de mapa (Map Distribution) para expandir y ver las ubicaciones de las puertas de enlace en el mapa. Esta vista está contraída de forma predeterminada.

También puede hacer clic en las flechas anteriores a cada nombre de puerta de enlace para ver más detalles.

La página muestra los siguientes detalles:

n Nombre (Name): nombre de la puerta de enlace.

n Estado (Status): el estado actual de la puerta de enlace. El estado puede ser uno de los siguientes: Conectado (Connected), Degradado (Degraded), Deshabilitado (Disabled), Nunca activado (Never Activated), Sin conexión (Offline), Fuera de servicio (Out of Service) o En modo inactivo (Quiesced).

n CPU: porcentaje de uso de CPU de la puerta de enlace.

n Memoria (Memory): porcentaje de uso de memoria por parte de la puerta de enlace.

n Instancias de Edge (Edges): número de instancias de Edge conectadas a la puerta de enlace.

n Estado del servicio (Service State): estado del servicio de la puerta de enlace. El estado puede ser uno de los siguientes: Histórico (Historical), En servicio (In Service), Fuera de servicio (Out of Service), Servicio pendiente (Pending Service) o En modo inactivo (Quiesced).

n Dirección IP (IP Address): la dirección IP de la puerta de enlace.

n Ubicación (Location): ubicación de la puerta de enlace.


VMware, Inc. 128

Haga clic en el vínculo a una puerta de enlace para ver sus detalles.

La pestaña Descripción general (Overview) muestra las propiedades, el estado, la ubicación, el uso del cliente y el grupo de puertas de enlace de la puerta de enlace seleccionada.

Nota Para ver solo los detalles de la puerta de enlace, utilice esta pestaña. Para configurar la información de la puerta de enlace, desplácese hasta la página Puertas de enlace (Gateways) en el portal de operadores.

Haga clic en la pestaña Supervisar (Monitor) para ver los detalles de uso de la puerta de enlace seleccionada.

Para obtener más información sobre los datos que se muestran, consulte Supervisar puertas de enlace.


VMware, Inc. 129

Mapas de aplicaciones 14Los Mapas de aplicaciones (Application Maps) son archivos JSON que se componen de varias aplicaciones con definiciones, que se pueden utilizar al crear directivas empresariales.

En el panel Operador (Operator), haga clic en Mapas de aplicaciones (Application Maps) > Acciones (Actions) para realizar las siguientes actividades.

n Cargar mapa de aplicaciones (Upload Application Map): permite cargar el archivo JSON con las aplicaciones y las definiciones. Consulte Cargar mapas de aplicaciones.

n Clonar mapa de aplicaciones (Clone Application Map): crea un nuevo mapa de aplicaciones mediante la clonación de un archivo de mapa de aplicaciones existente. Consulte Clonar mapas de aplicaciones.

n Modificar mapa de aplicaciones (Modify Application Map): permite agregar o actualizar los detalles de la aplicación disponibles en el mapa de aplicaciones seleccionado. Consulte Modificar mapas de aplicaciones.

n Actualizar mapa de aplicaciones (Refresh Application Map): actualiza las definiciones de aplicaciones enumeradas en los mapas de aplicaciones seleccionados. Consulte Actualizar mapa de aplicaciones.

n Insertar mapa de aplicaciones (Push Application Map): envía las actualizaciones más recientes de las definiciones de aplicaciones disponibles en el mapa de aplicaciones a los SD-WAN Edges asociados. Consulte Insertar mapa de aplicaciones.

n Eliminar mapa de aplicaciones (Delete Application Map): elimina los mapas de aplicaciones seleccionados. No se puede eliminar un mapa que se haya asignado a un perfil de operador.


n Cargar mapas de aplicaciones

VMware, Inc. 130

n Clonar mapas de aplicaciones

n Modificar mapas de aplicaciones

n Actualizar mapa de aplicaciones

n Insertar mapa de aplicaciones

Cargar mapas de aplicaciones

VMware proporciona un mapa de aplicaciones inicial con aplicaciones posibles. También puede cargar su archivo JSON con las aplicaciones que se utilizarán en las directivas empresariales.

En el portal de operadores, haga clic en Mapas de aplicaciones (Application Maps).

1 Para cargar un archivo de mapa, haga clic en Cargar mapa de aplicaciones (Upload Application Map) o Acciones (Actions) > Cargar mapa de aplicaciones (Upload Application Map).

2 En la ventana Cargar mapa de aplicaciones (Upload Application Map), seleccione el archivo de mapa de aplicaciones.

Tras validarse el contenido, se carga el archivo.

Puede ver los archivos cargados en la ventana Mapas de aplicaciones (Application Maps) y, si es necesario, puede descargar el archivo.

Para asignar un mapa de aplicaciones a un perfil de operador, consulte Administrar perfiles de operador.

Clonar mapas de aplicaciones

Puede crear un nuevo mapa de aplicaciones mediante la clonación de un mapa de aplicaciones existente.


VMware, Inc. 131


1 Seleccione el mapa de aplicaciones que desea clonar y haga clic en Acciones (Actions) > Clonar mapa de aplicaciones (Clone Application Map).

2 En la ventana Clonar mapa de aplicaciones (Clone Application Map), introduzca un nombre nuevo y una descripción para el mapa de aplicaciones.

3 Haga clic en Clonar (Clone).

Modificar mapas de aplicaciones

Puede agregar o actualizar los detalles de la aplicación disponibles en los mapas de aplicaciones existentes.


1 Seleccione el mapa de aplicaciones que desea actualizar y haga clic en Acciones (Actions) > Modificar mapa de aplicaciones (Modify Application Map) o haga clic en el vínculo del mapa de aplicaciones.

2 El Editor de mapas de aplicaciones (Application Map Editor) muestra la lista de definiciones de aplicaciones disponibles en el archivo de mapa.


VMware, Inc. 132

Seleccione una definición de aplicación y vea información detallada sobre la definición seleccionada. También puede buscar una definición de aplicación, ordenar las definiciones por identificador de aplicación o nombre para mostrar, crear una nueva definición de aplicación o eliminar una definición existente.

3 Para agregar una definición a la lista, haga clic en Agregar nueva (Add New).

4 Para eliminar una definición de la lista, haga clic en Eliminar (Remove).

5 Para modificar los detalles de la definición seleccionada, haga clic en Editar (Edit).

Actualice los detalles, como el nombre, el nombre para mostrar, la descripción, la categoría y los puertos, y haga clic en Listo (Done).

Los identificadores de aplicaciones se definen de la siguiente manera:

Para las versiones anteriores a 3.3.2:

n 0-4999 para aplicaciones de punto por pulgada

n 5000-5999 para aplicaciones de VMware


VMware, Inc. 133

n 6000-6999 para aplicaciones definidas por el usuario

Para las versiones 3.3.2 y posteriores:

n 0-4999 para aplicaciones de punto por pulgada

n 5000-5999 para aplicaciones de VMware

n 6000-9999 para aplicaciones definidas por el usuario

6 En el Editor de mapas de aplicaciones (Application Map Editor), haga clic en Guardar (Save).

Actualizar mapa de aplicaciones

Puede actualizar las definiciones de aplicaciones, administradas por los proveedores de SaaS de terceros, enumerados en el mapa de aplicaciones.


1 Seleccione los mapas de aplicaciones que desea actualizar y haga clic en Acciones (Actions) > Actualizar mapa de aplicaciones (Refresh Application Map).

2 Se abre la página Actualizar mapas de aplicaciones (Refresh Application Maps), que muestra el número de perfiles de operador, clientes y SD-WAN Edges asociados con los mapas de aplicaciones seleccionados.

3 Haga clic en Actualizar mapas de aplicaciones (Refresh Application Maps) para actualizar los mapas de aplicaciones seleccionados.

Nota Solo puede actualizar las definiciones de aplicaciones en los mapas de aplicaciones mediante la opción Actualizar (Refresh). Si desea actualizar los SD-WAN Edges asociados con las definiciones más recientes, utilice la opción Insertar mapa de aplicaciones.


VMware, Inc. 134

Insertar mapa de aplicaciones

Puede insertar las actualizaciones más recientes de las definiciones de aplicaciones disponibles en los mapas de aplicaciones a los SD-WAN Edges asociados.


1 Seleccione el mapa de aplicaciones que desea insertar en los SD-WAN Edges asociados y haga clic en Acciones (Actions) > Insertar mapa de aplicaciones (Push Application Map).

2 Se abre la página Insertar mapa de aplicaciones (Push Application Map), que muestra el número de perfiles de operador, clientes y SD-WAN Edges asociados con el mapa de aplicaciones seleccionado.

3 Haga clic en Insertar en instancias de Edge (Push to Edges) para actualizar los SD-WAN Edges con las definiciones de aplicaciones más recientes disponibles en el mapa de aplicaciones seleccionado.

Nota Esta opción envía las definiciones de aplicaciones solo cuando hay actualizaciones disponibles.


VMware, Inc. 135

Personalización de funciones 15SD-WAN Orchestrator consta de funciones de usuario con distintos conjuntos de privilegios. Como superusuario operador, puede asignar una función predefinida a un usuario. La personalización de funciones le permite personalizar el conjunto de privilegios existente para las funciones de los usuarios.

De forma predeterminada, la personalización de funciones está habilitada para un superusuario socio y un superusuario empresarial.

Para habilitar o deshabilitar un superusuario socio y personalizar los privilegios de función de otros usuarios socios y usuarios empresariales del socio, consulte Configurar la información de los socios.

Para habilitar o deshabilitar un superusuario empresarial y personalizar los privilegios de función de otros usuarios empresariales, consulte Configurar clientes.

La personalización de funciones se aplica a las funciones de usuario de la siguiente manera:

n Las personalizaciones realizadas en el nivel empresarial reemplazarán las personalizaciones realizadas en el nivel de asociado o de operador.

n Las personalizaciones realizadas en el nivel de asociado reemplazarán las personalizaciones realizadas en el nivel de operador.

n Solo cuando no se realiza ninguna personalización en el nivel de asociado o empresarial, las personalizaciones realizadas por el operador se aplican de forma global en SD-WAN Orchestrator.

En el portal de operadores, haga clic en Personalización de funciones (Role Customization). Puede realizar las siguientes operaciones:

n Mostrar privilegios actuales (Show Current Privileges): muestra los privilegios de la función de usuario actual. Puede ver los privilegios de todas las funciones de usuario y descargarlas en formato CSV.

n Nuevo paquete (New Package): permite crear un nuevo paquete con privilegios de función personalizados. Consulte Crear nuevo paquete personalizado.

n Restablecer a los valores predeterminados del sistema (Reset to System Default): permite restablecer los privilegios de función actuales a la configuración predeterminada. Solo los

VMware, Inc. 136

privilegios personalizados que se aplican a las funciones de usuario en el portal de operadores se restablecen a la configuración predeterminada. Si los socios o los clientes personalizaron sus privilegios de función de usuario en el portal de socios o de empresas, esa configuración se mantendrá igual.

Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Cargar paquete (Upload Package): permite cargar un paquete personalizado. La opción Nuevo paquete (New Package) permite personalizar solo los privilegios de denegación. Solo puede denegar uno o más privilegios del valor predeterminado del sistema y no puede conceder privilegios adicionales a ninguna función. Si desea personalizar otros privilegios para las funciones de usuario, puede ponerse en contacto con el equipo de soporte técnico a fin de obtener un paquete personalizado y cargar el archivo. Consulte Cargar paquete personalizado.

n Clonar paquete (Clone Package): permite crear una copia del paquete seleccionado.

n Modificar paquete (Modify Package): permite editar la configuración de personalización en el paquete seleccionado. También puede hacer clic en el vínculo del nombre de usuario para editar la configuración.

n Eliminar paquete (Delete Package): elimina el paquete seleccionado. No se puede eliminar un paquete si ya está en uso.

n Aplicar paquete (Apply Package): aplica la personalización disponible en el paquete seleccionado a las funciones de usuario existentes. Esta opción modifica los privilegios de función solo en el nivel actual. Si hay personalizaciones disponibles en el nivel de operador o un nivel inferior para la misma función, el nivel inferior tiene prioridad.

También puede hacer clic en el icono de descarga antes del nombre del paquete para descargar el paquete como un archivo JSON.


n Crear nuevo paquete personalizado

n Cargar paquete personalizado

Crear nuevo paquete personalizado

Puede crear un paquete personalizado y aplicarlo a las funciones de usuario existentes en SD-WAN Orchestrator.

Procedimiento

1 En el portal de operadores, haga clic en Personalización de funciones (Role Customization).

2 Haga clic en Nuevo paquete (New Package).


VMware, Inc. 137

3 En la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor), introduzca lo siguiente:

a Introduzca un nombre (Name) y una descripción (Description) para el nuevo paquete personalizado.

b En el panel Funciones (Roles), seleccione una función de usuario y haga clic en Agregar o quitar privilegios (Add/Remove Privileges) para personalizar los privilegios de la función seleccionada.

Nota Solo puede agregar o quitar privilegios de denegación, es decir, retirar privilegios del sistema predeterminado. No puede conceder privilegios adicionales a la función mediante esta opción.

En la ventana Asignar privilegios (Assign Privileges), seleccione las funciones en Privilegios de denegación disponibles (Available Deny Privileges) y muévalas al panel Privilegios de denegación seleccionados (Selected Deny Privileges).


VMware, Inc. 138

Nota Solo es posible asignar privilegios de denegación (Deny) a las funciones de usuario.

Haga clic en Aceptar (OK).

4 Repita la asignación de privilegios a las funciones de usuario en la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor).

5 Seleccione la casilla de verificación Mostrar modificados (Show Modified) para filtrar y ver los privilegios personalizados. Los cambios en los privilegios se resaltan en un color diferente.


VMware, Inc. 139

6 Haga clic en Crear (Create). Los detalles del nuevo paquete se muestran en la ventana Paquetes de personalización de funciones (Role Customization Packages). Puede hacer clic en CSV para descargar los privilegios de la función de usuario seleccionada, en formato CSV.

7 Para editar los privilegios, haga clic en el vínculo del paquete o seleccione el paquete y haga clic en Acciones (Actions) > Modificar paquete (Modify Package). En la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor) que se abre, agregue o elimine privilegios de tipo Denegar (Deny) de las funciones de usuario del paquete y, luego, haga clic en Aceptar (OK).

Pasos siguientes

Seleccione el paquete personalizado y haga clic en Acciones (Actions) > Aplicar paquete (Apply Package) para aplicar la personalización disponible en el paquete seleccionado a las funciones de usuario existentes en SD-WAN Orchestrator.

Los privilegios de denegación de un paquete aplicado pueden editarse cuando sea necesario. Después de modificar los privilegios en la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor), haga clic en Aceptar (OK) para guardar y aplicar los cambios a las funciones de usuario.

Nota En el nuevo paquete (New Package) solo es posible aplicar privilegios de tipo Denegar (Deny) a las funciones de usuario. Si desea personalizar otros privilegios, consulte Cargar paquete personalizado.

Cargar paquete personalizado

Puede cargar un paquete con privilegios de función personalizados asignados a diferentes conjuntos de funciones de usuario en SD-WAN Orchestrator.


VMware, Inc. 140

Si desea personalizar los privilegios para las funciones, póngase en contacto con el soporte técnico de VMware para plantear sus requisitos. El equipo de soporte técnico proporcionará el paquete personalizado como un archivo JSON y el usuario podrá aplicar la personalización.

Procedimiento

1 En el portal de operadores, haga clic en Personalización de funciones (Role Customization).

2 Haga clic en Acciones (Actions) > Cargar paquete (Upload Package).

3 Elija el archivo JSON que recibió del equipo de soporte técnico; el paquete se cargará.

4 El paquete cargado se muestra en la ventana Paquetes de personalización de funciones (Role Customization Packages).

5 Puede ver los privilegios en el paquete cargado y agregar más privilegios de denegación. Haga clic en el vínculo a un paquete o seleccione el paquete y haga clic en Acciones (Actions) > Modificar paquete (Modify Package). En la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor) que se abre, agregue o elimine privilegios de denegación de las funciones de usuario del paquete y, luego, haga clic en Aceptar (OK). Para obtener más información sobre la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor), consulte Crear nuevo paquete personalizado.

Pasos siguientes

Seleccione el paquete personalizado y haga clic en Acciones (Actions) > Aplicar paquete (Apply Package) para aplicar la personalización disponible en el paquete seleccionado a las funciones de usuario existentes en SD-WAN Orchestrator.

Los privilegios de tipo Denegar (Deny) de un paquete aplicado pueden editarse cuando sea necesario. Después de modificar los privilegios en la ventana Editor de paquetes de personalización de funciones (Role Customization Package Editor), haga clic en Aceptar (OK) para guardar y aplicar los cambios a las funciones de usuario.


VMware, Inc. 141

Licencias de Edge 16SD-WAN Orchestrator proporciona diferentes tipos de licencias para SD-WAN Edges. Un operador puede administrar y asignar licencias de Edge a socios y clientes empresariales. Los socios pueden asignar tipos de licencia de Edge a sus clientes empresariales.

La concesión de licencias de Edge está habilitada de forma predeterminada.

Para deshabilitar la concesión de licencias de Edge, establezca el valor de la propiedad del sistema session.options.enableEdgeLicensing como Falso (False). En el portal de operadores, haga clic en Propiedades del sistema (System Properties) para actualizar el valor de la propiedad.

Las licencias de Edge están disponibles con los siguientes componentes:

Componente Atributos admitidos

Ancho de banda 10 MB, 30 MB, 50 MB, 100 MB, 200 MB, 350 MB, 500 MB, 750 MB, 1 GB, 2 GB, 5 GB, 10 GB

Versiones Standard, Enterprise, Premium

Región América del norte, Europa, Oriente Medio y África, América Latina, Asia Pacífico

Plazo 12 meses, 36 meses, 60 meses

Un operador puede asignar diferentes tipos de licencias de Edge entre los 324 tipos de licencias de disponibles con varias combinaciones.

Además de la lista anterior, VMware ofrece una versión de prueba de la licencia con los siguientes atributos:

Componente Atributos admitidos

Ancho de banda 10 Gbps

Edición Validación técnica (POC)

Región América del Norte; Europa, Oriente Medio y África; Asia Pacífico y América Latina

Plazo 60 meses

Nota Puede asignar la licencia de Validación técnica (POC) a un cliente como prueba. Cuando sea necesario, puede actualizar la licencia a cualquier otra edición.

Para asignar licencias de Edge a los socios nuevos, consulte Crear un nuevo socio.

VMware, Inc. 142

Para administrar y asignar licencias de Edge a los socios existentes, consulte Administrar licencias de Edge para socios.

Para asignar licencias de Edge a los clientes nuevos, consulte Crear un nuevo cliente.

Para administrar y asignar licencias de Edge a los clientes existentes, consulte Administrar licencias de Edge para clientes.

Para ver y generar un informe de los tipos de licencia de Edge disponibles, consulte Generar informe de licencias de Edge.


n Administrar licencias de Edge para socios

n Administrar licencias de Edge para clientes

n Generar informe de licencias de Edge

Administrar licencias de Edge para socios

Un operador puede administrar las licencias de Edge y asignarlas a los socios.

El siguiente procedimiento muestra cómo administrar y asignar licencias de Edge a los socios existentes. Para asignar licencias de Edge a los socios nuevos, consulte Crear un nuevo socio.

1 En el portal de operadores, haga clic en Administrar socios (Manage Partners).

2 Haga clic en el vínculo a un nombre de socio para acceder al portal de socios.

3 En el portal de socios, haga clic en Licencias de Edge (Edge Licensing).

4 Haga clic en Administrar licencia de Edge (Manage Edge License).

5 En la ventana Seleccionar licencias de Edge (Select Edge Licenses), elija las licencias pertinentes según el ancho de banda, el plazo, la edición y la región.

6 Haga clic en Aceptar (OK).

Las licencias seleccionadas se muestran en la ventana Licencias de Edge (Edge Licensing).


VMware, Inc. 143

Haga clic en Informe (Report) para generar un informe de las licencias junto con los SD-WAN Edges y los clientes asociados en formato CSV.

Administrar licencias de Edge para clientes

Un operador puede administrar las licencias de Edge y asignarlas a los clientes.

n En el portal de operadores, haga clic en Administrar clientes (Manage Customers).

n Haga clic en el vínculo a un nombre de cliente para acceder al portal de empresas.

n En el portal de empresas, haga clic en Administración (Administration) > Licencias de Edge (Edge Licensing).

n Haga clic en Administrar licencia de Edge (Manage Edge License).

n En la ventana Seleccionar licencias de Edge (Select Edge Licenses), elija las licencias pertinentes según el ancho de banda (Bandwidth), el plazo (Term), la edición (Edition) y la región (Region), y muévalas al panel Licencias de Edge seleccionadas (Selected Edge Licenses).

Nota Además de las licencias existentes, VMware ofrece una versión de prueba de la licencia con la edición como Validación técnica (POC). Si selecciona una licencia de Validación técnica (POC), no puede elegir las otras licencias.

n Haga clic en Aceptar (OK).

Las licencias seleccionadas se muestran en la ventana Licencias de Edge (Edge Licensing).


VMware, Inc. 144

Si seleccionó la licencia de Validación técnica (POC), puede hacer clic en Actualizar licencia de Edge (Upgrade Edge License) para actualizar la licencia al siguiente nivel. Elija la edición Standard, Enterprise o Premium de la lista.

Nota No se puede cambiar la versión de un tipo de licencia a la versión anterior.

Haga clic en Informe (Report) para generar un informe de las licencias y los VMware SD-WAN Edges asociados, en formato CSV.

Al crear una instancia de SD-WAN Edge, puede elegir y asignar una licencia de Edge de la lista desplegable.

Para asignar una licencia a una instancia de SD-WAN Edge existente:

n En el portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).

n Para asignar una licencia a cada instancia de SD-WAN Edge, haga clic en el vínculo de la instancia de SD-WAN Edge y seleccione la licencia en la página Información general de Edge (Edge Overview). También puede seleccionar la instancia de SD-WAN Edge y hacer clic en Acciones (Actions) > Asignar licencia de Edge (Assign Edge License) para asignar la licencia.

n Para asignar una licencia a varios SD-WAN Edges, seleccione los SD-WAN Edges adecuados, haga clic en Acciones (Actions) > Asignar licencia de Edge (Assign Edge License) y seleccione la licencia.

Generar informe de licencias de Edge

Los superusuarios operadores, los operadores estándar, los especialistas de negocio y los operadores de soporte técnico al cliente pueden generar un informe de las licencias de Edge existentes.


VMware, Inc. 145

En el portal de operadores, desplácese hasta Licencias de Edge (Edge Licensing).

Haga clic en Informe (Report) para generar un informe de las licencias, los socios asociados, los clientes y los SD-WAN Edges en formato CSV.


VMware, Inc. 146

Autenticación de Orchestrator 17La opción de autenticación de Orchestrator le permite establecer los modos de autenticación para los usuarios operadores y empresariales. También puede ver los tokens de API existentes.

En el portal de operadores, haga clic en Autenticación de Orchestrator (Orchestrator Authentication) y seleccione los modos de autenticación en el menú desplegable para los usuarios operadores y empresariales.

A continuación, se muestran los modos de autenticación disponibles. Solo un usuario operador puede habilitar los modos nativo y RADIUS tanto para la autenticación empresarial como del operador. Cualquier usuario operador con permiso de superusuario puede configurar el modo SSO.

n Nativo (Native): el modo de autenticación predeterminado de SD-WAN Orchestrator. Este modo no requiere ninguna configuración.

n RADIUS: el protocolo RADIUS (Servicio de autenticación remota telefónica de usuario) es un protocolo de cliente-servidor que permite que los servidores de acceso remoto se comuniquen con un servidor central. La autenticación RADIUS ofrece una administración centralizada para los usuarios. Para obtener más información, consulte Configurar la autenticación RADIUS (Configure RADIUS Authentication)

VMware, Inc. 147

n SSO: Single Sign-on (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios operadores iniciar sesión en Orchestrator con un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. Para obtener más información, consulte Configurar el inicio de sesión único del operador.

Tokens de API

Puede acceder a las API de Orchestrator mediante la autenticación basada en token, independientemente del modo de autenticación. Los administradores operadores con permisos adecuados pueden ver los tokens de API emitidos para los usuarios de Orchestrator, incluidos los tokens emitidos para los usuarios de socios y clientes, en esta sección. Si es necesario, un administrador operador puede revocar los tokens de API.

De forma predeterminada, los tokens de API están habilitados. Si desea deshabilitarlos, vaya a Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableApiTokenAuth como Falso (False).

Solo el superusuario operador o el usuario asociado a un token de API pueden revocar el token. Seleccione el token y haga clic en Acciones (Actions) > Revocar (Revoke). Como superusuario operador, puede administrar los tokens de API para los usuarios empresariales. Para crear y descargar los tokens de API, consulte Tokens de API.


n Configurar la autenticación RADIUS (Configure RADIUS Authentication)

n Configurar el inicio de sesión único del operador

Configurar la autenticación RADIUS (Configure RADIUS Authentication)

Puede configurar la autenticación de Orchestrator en modo RADIUS para que el operador y los clientes empresariales inicien sesión en los portales mediante los servidores RADIUS.

Seleccione implementar una de las siguientes opciones en el modo de autenticación RADIUS:

n Servidor de RADIUS único (Single RADIUS Server): comparta el mismo servidor RADIUS entre el operador y el cliente empresarial.

n Servidores de RADIUS independientes (Separate RADIUS Servers): configure un servidor RADIUS para el operador o proveedor de servicios y otro para todos los clientes empresariales.

Para configurar el modo RADIUS, haga clic en Autenticación de Orchestrator (Orchestrator Authentication) en el portal de operadores.

Seleccione el Modo de autenticación (Authentication Mode) como RADIUS para Autenticación de operador (Operator Authentication) y Autenticación de empresa (Enterprise Authentication). Introduzca los detalles correspondientes.


VMware, Inc. 148

Puede introducir o modificar los valores de los campos, excepto el Protocolo (Protocol). El valor de protocolo solo se puede editar en las propiedades del sistema. Edite el protocolo en los campos de valor de vco.operator.authentication.radius para el operador y vco.enterprise.authentication.radius para las empresas.

En lugar de configurar los valores en la página Configurar autenticación (Configure Authentication), también puede definir los valores del servidor RADIUS en las propiedades del sistema. En el portal de operadores, desplácese hasta la página Propiedades del sistema (System Properties) y configure las siguientes propiedades del sistema:

n vco.enterprise.authentication.mode: introduzca el valor como RADIUS para habilitar la autenticación RADIUS para empresas.

n vco.enterprise.authentication.radius: en el campo de valor, edite la plantilla JSON con los detalles del servidor y otros atributos para las empresas.

n vco.operator.authentication.mode: introduzca el valor como RADIUS para habilitar la autenticación RADIUS para los operadores.

n vco.operator.authentication.radius: en el campo de valor, edite la plantilla JSON con los detalles del servidor y otros atributos para los operadores.

Después de definir las propiedades del sistema con los valores pertinentes, haga clic en Autenticación de Orchestrator (Orchestrator Authentication).

El Modo de autenticación (Authentication Mode) se cambia a RADIUS y los campos emergentes con los atributos que ha definido en las propiedades del sistema.


VMware, Inc. 149

Si es necesario, puede modificar los valores en los campos correspondientes. Después de actualizar los campos, haga clic en Guardar cambios (Save Changes).

Configurar el inicio de sesión único del operador

El modo de inicio de sesión único (SSO) se ha agregado recientemente a la pantalla de Autenticación de Orchestrator (Orchestrator Authentication).

Descripción general del inicio de sesión único

SD-WAN Orchestrator admite un nuevo tipo de autenticación de usuario denominado inicio de sesión único (SSO) para todos los tipos de usuarios de Orchestrator: operador, de socio y empresarial.

El inicio de sesión único (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios de SD-WAN Orchestrator iniciar sesión en SD-WAN Orchestrator con un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. La integración del servicio de SSO con SD-WAN Orchestrator mejora la seguridad de la autenticación para usuarios de SD-WAN Orchestrator y permite a SD-WAN Orchestrator autenticar usuarios desde otros proveedores de identidad (IDP) basados en OpenID Connect (OIDC). Actualmente se admiten los siguientes IDP:

n Okta

n OneLogin

n PingIdentity

n AzureAD

n VMwareCSP

Configurar el inicio de sesión único para el usuario operador

Los usuarios operadores con permiso de superusuario pueden configurar el inicio de sesión único (SSO) en SD-WAN Orchestrator. Para configurar la autenticación de SSO para el usuario operador, realice los pasos de este procedimiento.

Para configurar el inicio de sesión único para un usuario operador:

Requisitos previos

n Asegúrese de tener permiso de superusuario operador.


VMware, Inc. 150

n Antes de configurar la autenticación de SSO en SD-WAN Orchestrator, asegúrese de haber configurado las funciones, los usuarios y la aplicación OIDC (OpenID Connect) para SD-WAN Orchestrator en el sitio web del proveedor de identidades preferido. Para obtener más información, consulte Configurar un IDP para Single Sign On.

Nota La integración de SSO en el nivel de administración del operador de una instancia de Orchestrator alojada en VMware está reservada a los operadores técnicos de VMware SD-WAN. Los socios con acceso de nivel operador de un Orchestrator alojado no tienen la opción de integrarse en un servicio de SSO.

Procedimiento

1 Inicie sesión en la aplicación SD-WAN Orchestrator como superusuario operador.

2 Haga clic en Autenticación de Orchestrator (Orchestrator Authentication).

Aparecerá la pantalla Configurar autenticación (Configure Authentication).

3 En el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.


VMware, Inc. 151

4 En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.

Nota Cuando seleccione VMwareCSP como IDP preferido, asegúrese de proporcionar el identificador de la organización con el siguiente formato: /csp/gateway/am/api/orgs/<ID organización completo>.

Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).

5 En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato de la URL de Okta será: https://{oauth-provider-url}/.well-known/openid-configuration

6 La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.

7 En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.

8 En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.

9 Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:

n Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: superusuario operador, administrador estándar de operador, soporte técnico de operador y empresa de operador.


VMware, Inc. 152

https://console-stg.cloud.vmware.com/

Nota En una configuración de SSO, si se selecciona la opción Usar función predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario operador puede registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica mediante la pestaña Usuarios operadores (Operator Users). Para conocer los pasos para configurar un nuevo usuario operador, consulte Crear un nuevo usuario operador.

n Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.

10 Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.

11 En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de SD-WAN Orchestrator, separadas por comas.

Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.

12 Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).

13 Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.

14 Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) especificada.

El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Tras la verificación de IDP y el redireccionamiento correcto a la devolución de llamada de prueba de SD-WAN Orchestrator, se muestra un mensaje de validación correcto.

Resultados

Se completó la configuración de la autenticación de SSO en SD-WAN Orchestrator.

Pasos siguientes

Capítulo 6 Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores


VMware, Inc. 153

Configurar un IDP para Single Sign On

Para habilitar Single Sign On (SSO) en SD-WAN Orchestrator, es necesario configurar un socio de identidad (Identity Partner, IDP) con los detalles de SD-WAN Orchestrator. Actualmente, se admiten los siguientes IDP: Okta, OneLogin, PingIdentity, AzureAD y VMware CSP.

Si desea obtener instrucciones paso a paso para configurar una aplicación de OpenID Connect (OIDC) para SD-WAN Orchestrator en varios IDP, consulte:

n Configurar Okta para Single Sign-On

n Configurar OneLogin para Single Sign-On

n Configurar PingIdentity para Single Sign-On

n Configurar Azure Active Directory para Single Sign On

n Configurar VMware CSP para Single Sign-On

Configurar Okta para Single Sign-On

Para admitir Single Sign On (SSO) basado en OpenID Connect (OIDC) desde Okta, primero debe configurar una aplicación en Okta. Para configurar una aplicación basada en OIDC en Okta para SSO, realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de Okta para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de Okta como usuario administrador.

Se mostrará la pantalla de inicio de Okta.

Nota Si se encuentra en la vista de la consola para desarrolladores, debe cambiar a la vista de la interfaz de usuario clásica. Para ello, seleccione Interfaz de usuario clásica (Classic UI) en la lista desplegable Consola para desarrolladores (Developer Console).


VMware, Inc. 154

https://login.okta.com/

2 Para crear una nueva aplicación:

a En la barra de navegación superior, haga clic en Aplicaciones (Applications) > Agregar aplicación (Add Application).

Se mostrará la pantalla Agregar aplicación (Add Application).

b Haga clic en Crear nueva aplicación (Create New App).

Se abrirá el cuadro de diálogo Crear una nueva integración de aplicaciones (Create a New Application Integration).

c En el menú desplegable Plataforma (Platform), seleccione Web.

d Seleccione OpenID Connect como el método de inicio de sesión y haga clic en Crear (Create).

Se mostrará la pantalla Crear integración con OpenID Connect (Create OpenID Connect Integration).

e En el área Configuración general (General Settings), en el cuadro de texto Nombre de aplicación (Application name), introduzca el nombre de la aplicación.


VMware, Inc. 155

f En el área CONFIGURAR OPENID CONNECT (CONFIGURE OPENID CONNECT), en el cuadro de texto URI de redireccionamiento de inicio de sesión (Login redirect URIs), introduzca la URL de redireccionamiento que utiliza la aplicación SD-WAN Orchestrator como endpoint de devolución de llamada.

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.

g Haga clic en Guardar (Save). Se mostrará la página de la aplicación creada recientemente.


VMware, Inc. 156

h En la pestaña General, haga clic en Editar (Edit), seleccione Actualizar token (Refresh Token) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Guardar (Save).

Anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.

i Haga clic en la pestaña Inicio de sesión (Sign on) y, en el área Token de identificador de OpenID Connect (OpenID Connect ID Token), haga clic en Editar (Edit).

j En el menú desplegable Tipo de notificación de grupos (Groups claim type), seleccione Expresión (Expression). De forma predeterminada, el tipo de notificación grupos se establece en Filtro (Filter).


VMware, Inc. 157

k En el cuadro de texto Expresión de notificación de grupos (Groups claim expression), introduzca el nombre de la notificación que se utilizará en el token y una instrucción de expresión de entrada de Okta que evalúe el token.

l Haga clic en Guardar (Save).

Se configurará la aplicación en IDP. Ahora puede asignar usuarios y grupos de usuarios a la aplicación SD-WAN Orchestrator.


VMware, Inc. 158

3 Para asignar grupos y usuarios a la aplicación SD-WAN Orchestrator:

a Vaya a Aplicación (Application) > Aplicaciones (Applications) y haga clic en el vínculo de la aplicación SD-WAN Orchestrator.

b En la pestaña Asignaciones (Assignments), en el menú desplegable Asignar (Assign), seleccione Asignar a grupos (Assign to Groups) o Asignar a personas (Assign to People).

Se mostrará el cuadro de diálogo Asignar <nombre de la aplicación> a grupos (Assign <Application Name> to Groups) o Asignar <nombre de la aplicación> a personas (Assign <Application Name> to People).

c Haga clic en Asignar (Assign) junto a los usuarios o grupos de usuarios disponibles que desee asignar a la aplicación SD-WAN Orchestrator y haga clic en Listo (Done).

Se mostrarán los usuarios o los grupos de usuarios asignados a la aplicación SD-WAN Orchestrator.

Resultados

Completó la configuración de una aplicación basada en OIDC en Okta para SSO.

Pasos siguientes

Configure Single Sign On en SD-WAN Orchestrator.

Crear un nuevo grupo de usuarios en Okta

Para crear un nuevo grupo de usuarios, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Grupos (Groups).


VMware, Inc. 159

2 Haga clic en Agregar grupo (Add Group).

Se mostrará el cuadro de diálogo Agregar grupo (Add Group).

3 Introduzca el nombre y la descripción del grupo, y haga clic en Guardar (Save).

Crear un nuevo usuario en Okta

Para agregar un usuario nuevo, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Personas (People).

2 Haga clic en Agregar persona (Add Person).

Se mostrará el cuadro de diálogo Agregar persona (Add Person).

3 Introduzca todos los detalles obligatorios, como el nombre, el apellido y el identificador de correo electrónico del usuario.

4 Si desea establecer la contraseña, seleccione Establecido por usuario (Set by user) en el menú desplegable Contraseña (Password) y habilite Enviar correo electrónico de activación de usuario ahora (Send user activation email now).


Se enviará un correo electrónico con un vínculo de activación a su identificador de correo electrónico. Haga clic en el vínculo del correo electrónico para activar su cuenta de usuario de Okta.

Configurar OneLogin para Single Sign-On

Para configurar una aplicación basada en OpenID Connect (OIDC) en OneLogin para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de OneLogin para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de OneLogin como usuario administrador.

Se mostrará la pantalla de inicio de OneLogin.


VMware, Inc. 160

https://app.onelogin.com/login


a En la barra de navegación superior, haga clic en Aplicaciones (Apps) > Agregar aplicaciones (Add Apps).

b En el cuadro de texto Buscar aplicaciones (Find Applications), busque “OpenId Connect” u “oidc” y, a continuación, seleccione la aplicación OpenId Connect (OIDC).

Se mostrará la pantalla Agregar OpenId Connect (Add OpenId Connect (OIDC)).

c En el cuadro de texto Nombre para mostrar (Display Name), introduzca el nombre de la aplicación y haga clic en Guardar (Save).

d En la pestaña Configuración (Configuration), introduzca la URL de redireccionamiento que SD-WAN Orchestrator utiliza como endpoint de devolución de llamada y haga clic en Guardar (Save).

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Autenticación (Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.


VMware, Inc. 161

e En la pestaña Parámetros (Parameters), en OpenId Connect (OIDC), haga doble clic en Grupos (Groups).

Se mostrará la ventana emergente Editar grupos de campos (Edit Field Groups).

f Configure Funciones de usuario (User Roles) con el valor “--No transformar--(salida de valor único)” (--No transform--(Single value output)) para el atributo de envío en grupos y haga clic en Guardar (Save).

g En la pestaña SSO, en el menú desplegable Tipo de aplicación (Application type), seleccione Web.


VMware, Inc. 162

h En el menú desplegable Método de autenticación (Authentication Method), seleccione POST como Endpoint de token (Token Endpoint) y haga clic en Guardar (Save).

Además, anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.

i En la pestaña Acceso (Access), elija las funciones a las que se les permitirá iniciar sesión y haga clic en Guardar (Save).

3 Para agregar funciones y usuarios a la aplicación SD-WAN Orchestrator:

a Haga clic en Usuarios (Users) > Usuarios (Users) y seleccione un usuario.

b En la pestaña Aplicación (Application), en el menú desplegable Funciones (Roles) a la izquierda, seleccione la función que se asignará al usuario.

c Haga clic en Guardar usuarios (Save Users).

Resultados

Completó la configuración de una aplicación basada en OIDC en OneLogin para SSO.


VMware, Inc. 163

Pasos siguientes


Crear una nueva función en OneLogin

Para crear una nueva función, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Funciones (Roles).

2 Haga clic en Nueva función (New Role).

3 Introduzca un nombre para la función.

Cuando se configura una función por primera vez, la pestaña Aplicaciones (Applications) muestra todas las aplicaciones del catálogo de la empresa.

4 Haga clic en una aplicación para seleccionarla y haga clic en Guardar (Save) para agregar las aplicaciones seleccionadas a la función.

Crear un nuevo usuario en OneLogin

Para crear un nuevo usuario, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Usuarios (Users) > Usuario nuevo (New User).

Se mostrará la pantalla Usuario nuevo (New User).

2 Introduzca todos los detalles obligatorios, como el nombre, el apellido y el identificador de correo electrónico del usuario, y haga clic en Guardar usuario (Save User).

Configurar PingIdentity para Single Sign-On

Para configurar una aplicación basada en OpenID Connect (OIDC) en PingIdentity para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de PingOne para iniciar sesión.

Nota Actualmente, SD-WAN Orchestrator admite PingOne como socio de identidad (Identity Partner, IDP). Sin embargo, es posible configurar fácilmente cualquier producto PingIdentity compatible con OIDC.

Procedimiento

1 Inicie sesión en la cuenta de PingOne como usuario administrador.

Se mostrará la pantalla de inicio de PingOne.


VMware, Inc. 164

https://admin.pingone.com/web-portal/login


a En la barra de navegación superior, haga clic en Aplicaciones (Applications).

b En la pestaña Mis aplicaciones (My Applications), seleccione OIDC y haga clic en Agregar aplicación (Add Application).

Se abrirá la ventana emergente Agregar aplicación de OIDC (Add OIDC Application).

c Proporcione detalles básicos, como el nombre, una descripción breve y la categoría de la aplicación, y haga clic en Siguiente (Next).

d En CONFIGURACIÓN DE AUTORIZACIÓN (AUTHORIZATION SETTINGS), seleccione Código de autorización (Authorization Code) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Siguiente (Next).

Además, anote la URL de detección y las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.


VMware, Inc. 165

e En FLUJO DE SSO Y CONFIGURACIÓN DE AUTORIZACIÓN (SSO FLOW AND AUTHORIZATION SETTINGS), proporcione valores válidos para URL de SSO de inicio (Start SSO URL) y URL de redireccionamiento (Redirect URL), y haga clic en Siguiente (Next).

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback. La URL de SSO de inicio tendrá el siguiente formato: https://<vco>/<nombre de dominio>/login/doEnterpriseSsoLogin.

f En CONTRATO DE ATRIBUTO DE PERFIL DE USUARIO PREDETERMINADO (DEFAULT USER PROFILE ATTRIBUTE CONTRACT), haga clic en Agregar atributo (Add Attribute) para agregar atributos de perfil de usuario adicionales.

g En el cuadro de texto Nombre de atributo (Attribute Name), introduzca group_membership. A continuación, seleccione la casilla de verificación Obligatorio (Required) y seleccione Siguiente (Next).

Nota Se requiere el atributo group_membership para recuperar las funciones de PingOne.

h En ÁMBITOS DE CONEXIÓN (CONNECT SCOPES), seleccione los ámbitos que se pueden solicitar para la aplicación SD-WAN Orchestrator durante la autenticación y haga clic en Siguiente (Next).

i En Asignación de atributos (Attribute Mapping), asigne los atributos del repositorio de identidades a las notificaciones disponibles para la aplicación SD-WAN Orchestrator.

Nota Las asignaciones mínimas requeridas para que la integración funcione son: email, given_name, family_name, phone_number, sub y group_membership (asignado a memberOf).

j En Acceso de grupo (Group Access), seleccione todos los grupos de usuarios que deben tener acceso a la aplicación SD-WAN Orchestrator y haga clic en Listo (Done).

La aplicación se agregará a su cuenta y estará disponible en la pantalla Mi aplicación (My Application).

Resultados

Completó la configuración de una aplicación basada en OIDC en PingOne para SSO.

Pasos siguientes


Crear un nuevo grupo de usuarios en PingIdentity

Para crear un nuevo grupo de usuarios, realice los pasos de este procedimiento.


VMware, Inc. 166

Procedimiento

1 Haga clic en Usuarios (Users) > Directorio de usuarios (User Directory).

2 En la pestaña Grupos (Groups), haga clic en Agregar grupo (Add Group).

Se mostrará la pantalla Nuevo grupo (New Group).

3 En el cuadro de texto Nombre (Name), introduzca un nombre para el grupo y haga clic en Guardar (Save).

Crear un nuevo usuario en PingIdentity

Para agregar un usuario nuevo, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Directorio de usuarios (User Directory).

2 En la pestaña Usuarios (Users), haga clic en el menú desplegable Agregar usuarios (Add Users) y seleccione Crear usuario nuevo (Create New User).

Se mostrará la pantalla Usuario (User).

3 Introduzca todos los detalles obligatorios, como el nombre de usuario, la contraseña y el identificador de correo electrónico del usuario.

4 En Pertenencias a grupos (Group Memberships), haga clic en Agregar (Add).

Se mostrará la ventana emergente Agregar pertenencia a grupo (Add Group Membership).

5 Busque y agregue el usuario a un grupo y haga clic en Guardar (Save).

Configurar Azure Active Directory para Single Sign On

Para configurar una aplicación basada en OpenID Connect (OIDC) en Microsoft Azure Active Directory (AzureAD) para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de AzureAD para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de Microsoft Azure como usuario administrador.

Se mostrará la pantalla de inicio de Microsoft Azure.


VMware, Inc. 167

https://portal.azure.com/


a Busque y seleccione el servicio Azure Active Directory.

b Vaya a Registro de aplicaciones (App registration) > Nuevo registro (New registration).

Se mostrará la pantalla Registrar una aplicación (Register an application).

c En el campo Nombre (Name), introduzca el nombre de la aplicación SD-WAN Orchestrator.

d En el campo URL de redireccionamiento (Redirect URL), introduzca la URL de redireccionamiento que utiliza la aplicación SD-WAN Orchestrator como endpoint de devolución de llamada.

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.


VMware, Inc. 168

e Haga clic en Registrar (Register).

La aplicación SD-WAN Orchestrator se registrará y se mostrará en las pestañas Todas las aplicaciones (All applications) y Aplicaciones de propiedad (Owned applications). Asegúrese de anotar el identificador de cliente o de aplicación que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.

f Haga clic en Endpoints y copie la URL de configuración de OIDC conocida que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.

g Para crear un secreto de cliente para la aplicación SD-WAN Orchestrator, en la pestaña Aplicaciones de propiedad (Owned applications), haga clic en la aplicación SD-WAN Orchestrator.

h Vaya a Certificados y secretos (Certificates & secrets) > Nuevo secreto de cliente (New client secret).

Se mostrará la pantalla Agregar un secreto de cliente (Add a client secret).

i Proporcione detalles, como la descripción y el valor de caducidad del secreto, y haga clic en Agregar (Add).

Se creará el secreto de cliente para la aplicación. Anote el nuevo valor del secreto de cliente que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.


VMware, Inc. 169

j Para configurar los permisos de la aplicación SD-WAN Orchestrator, haga clic en la aplicación SD-WAN Orchestrator y vaya a Permisos de API (API permissions) > Agregar un permiso (Add a permission).

Se mostrará la pantalla Solicitar permisos de API (Request API permissions).

k Haga clic en Microsoft Graph y seleccione Permisos de aplicación (Application permissions) como el tipo de permiso de su aplicación.

l En Seleccionar permisos (Select permissions), en el menú desplegable Directorio (Directory), seleccione Directory.Read.All y, en el menú desplegable Usuario (User), seleccione User.Read.All.

m Haga clic en Agregar permisos (Add permissions).


VMware, Inc. 170

n Para agregar y guardar funciones en el manifiesto, haga clic en la aplicación SD-WAN Orchestrator y, en la pantalla Descripción general (Overview) de la aplicación, haga clic en Manifiesto (Manifest).

Se abrirá un editor de manifiestos basado en web para editar el manifiesto dentro del portal. De forma opcional, puede seleccionar Descargar (Download) para editar el manifiesto de forma local y, a continuación, puede utilizar Cargar (Upload) para volver a aplicarlo a la aplicación.

o En el manifiesto, busque la matriz appRoles, agregue uno o varios objetos de función como se muestra en el siguiente ejemplo y haga clic en Guardar (Save).

Objetos de función de muestra

{

"allowedMemberTypes": [

"User"

],

"description": "Standard Administrator who will have sufficient privilege to

manage resource",

"displayName": "Standard Admin",

"id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "standard"

},

{

"allowedMemberTypes": [

"User"

],

"description": "Super Admin who will have the full privilege on SD-WAN

Orchestrator",

"displayName": "Super Admin",

"id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "superuser"

}


VMware, Inc. 171

Nota Asegúrese de establecer id en un valor de GUID generado recientemente.

3 Para asignar grupos y usuarios a la aplicación SD-WAN Orchestrator:

a Vaya a Azure Active Directory > Aplicaciones empresariales (Enterprise applications).

b Busque y seleccione la aplicación SD-WAN Orchestrator.

c Haga clic en Usuarios y grupos (Users and groups), y asigne usuarios y grupos a la aplicación.

d Haga clic en Enviar (Submit).

Resultados

Ha completado la configuración de una aplicación basada en OIDC en AzureAD para SSO.

Pasos siguientes


Crear un nuevo usuario invitado en Azure AD

Para crear un nuevo usuario invitado, realice los pasos de este procedimiento.

Procedimiento

1 Vaya a Azure Active Directory > Usuarios (Users) > Todos los usuarios (All users).

2 Haga clic en Nuevo usuario invitado (New guest user).

Se abrirá la ventana emergente Nuevo usuario invitado (New guest user).


VMware, Inc. 172

3 En el cuadro de texto Dirección de correo electrónico (Email address), introduzca la dirección de correo electrónico del usuario invitado y haga clic en Invitar (Invite).

El usuario invitado recibirá inmediatamente una invitación personalizable con la que podrá iniciar sesión en su panel de acceso.

4 Los usuarios invitados del directorio pueden asignarse a aplicaciones o grupos.

Configurar VMware CSP para Single Sign-On

Si desea configurar VMware Cloud Services Platform (CSP) para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Inicie sesión en la consola de VMware CSP (entorno de almacenamiento provisional o de producción) con su identificador de cuenta de VMware. Si es un usuario nuevo de VMware Cloud y no dispone de una cuenta de VMware, puede crear una al registrarse. Para obtener más información, consulte la sección Cómo registrarse en VMware CSP en la documentación Uso de VMware Cloud.

Procedimiento

1 Póngase en contacto con el proveedor de soporte de VMware para recibir una dirección URL de invitación al servicio y registrar la aplicación SD-WAN Orchestrator en VMware CSP. Para obtener información sobre cómo ponerse en contacto con el proveedor de soporte, consulte https://kb.vmware.com/s/article/53907 y https://www.vmware.com/support/contacts/us_support.html.

El proveedor de soporte de VMware creará y compartirá lo siguiente:

n Una dirección URL de invitación al servicio que se debe canjear en la organización del cliente

n Un UUID de la definición del servicio y un nombre de función de servicio que se utilizarán para la asignación de funciones en Orchestrator

2 Canjee la dirección URL de la invitación al servicio en la organización del cliente existente o cree una nueva organización del cliente mediante los pasos en la pantalla de la interfaz de usuario.

Debe ser un propietario de la organización para canjear la dirección URL de invitación al servicio en la organización del cliente existente.


VMware, Inc. 173

https://console.cloud.vmware.com/csp/gateway/discovery

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf




3 Después de canjear la invitación al servicio, al iniciar sesión en la consola de VMware CSP, verá el icono de la aplicación en el área Mis servicios (My Services) de la página VMware Cloud Services.

La organización en la que inició sesión se mostrará debajo de su nombre de usuario en la barra de menús. Haga clic en su nombre de usuario para anotar el identificador de la organización que se utilizará durante la configuración de Orchestrator. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

4 Inicie sesión en la consola de VMware CSP y cree una aplicación de OAuth. Para conocer los pasos, consulte Usar OAuth 2.0 para aplicaciones web. Asegúrese de establecer el URI de redireccionamiento según la URL que se muestra en la pantalla Configurar autenticación (Configure Authentication) en Orchestrator.

Una vez creada la aplicación de OAuth en la consola de VMware CSP, tome nota de los detalles de integración de IDP, como el identificador de cliente y el secreto de cliente. Estos detalles serán necesarios para la configuración de SSO en Orchestrator.

5 Inicie sesión en la aplicación SD-WAN Orchestrator como usuario superadministrador y configure SSO con los detalles de integración de IDP recibidos según se indica a continuación.

a Haga clic en Administración (Administration) > Configuración del sistema (System Settings).

Se mostrará la pantalla Configuración del sistema (System Settings).

b Haga clic en la pestaña Información general (General Information) y, en el cuadro de texto Dominio (Domain), introduzca el nombre de dominio de su empresa, si aún no se estableció.

Nota Para habilitar la autenticación de SSO para SD-WAN Orchestrator, debe configurar el nombre de dominio de su empresa.

c Haga clic en la pestaña Autenticación (Authentication) y, en el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.

d En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione VMwareCSP.

e En el cuadro de texto Identificador de organización (Organization Id), introduzca el identificador de la organización (que anotó en el paso 3) con el siguiente formato: /csp/gateway/am/api/orgs/<Identificador de organización completo>.


VMware, Inc. 174



https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-47C1159F-0FAA-49C4-BCE8-47DAD5BEEADF.html

f En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) para su IDP.

La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.

g En el cuadro de texto Identificador de cliente (Client Id), introduzca el identificador de cliente que anotó en el paso de creación de la aplicación de OAuth.

h En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente que anotó en el paso de creación de la aplicación de OAuth.

i Para determinar la función del usuario en SD-WAN Orchestrator, seleccione Usar función predeterminada (Use Default Role) o Usar funciones de proveedor de identidad (Use Identity Provider Roles).

j Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en VMware CSP para devolver las funciones.

k En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por VMware CSP a cada una de las funciones de SD-WAN Orchestrator, separadas por comas.

Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>. Utilice el mismo UUID de definición del servicio y el mismo nombre de función de servicio que recibió del proveedor de soporte.

6 Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.


VMware, Inc. 175

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

7 Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) introducida.

El usuario se desplazará al sitio web de VMware CSP donde podrá introducir las credenciales. Una vez verificado el IDP y obtenida la devolución de llamada de la prueba sobre redireccionamiento correcto a SD-WAN Orchestrator, se mostrará un mensaje de validación correcta.

Resultados

Completó la integración de la aplicación SD-WAN Orchestrator en VMware CSP para SSO. Ahora puede acceder a la aplicación SD-WAN Orchestrator para iniciar sesión en la consola de VMware CSP.

Pasos siguientes

n Dentro de la organización, para administrar los usuarios, agregue usuarios nuevos y asigne la función adecuada a cada usuario. Para obtener más información, consulte Administrar usuarios.


VMware, Inc. 176

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-5D707D44-46D3-49CE-B4C4-E8B57AEF80AF.html?hWord=N4IghgNiBcIJYBMCmA7ALnNBPABGAxvkgM7E4C2YKYA5kuamiAL5A

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-5D707D44-46D3-49CE-B4C4-E8B57AEF80AF.html?hWord=N4IghgNiBcIJYBMCmA7ALnNBPABGAxvkgM7E4C2YKYA5kuamiAL5A

Actualizar SD-WAN Orchestrator con implementación de la recuperación ante desastres

18En esta sección se describe cómo actualizar SD-WAN Orchestrator con la implementación de la recuperación ante desastres.


n Descripción general de la actualización de SD-WAN Orchestrator

n Actualizar una instancia de Orchestrator

n Recuperación ante desastres de SD-WAN Orchestrator

Descripción general de la actualización de SD-WAN Orchestrator

Para actualizar SD-WAN Orchestrator, se requieren los siguientes pasos.

Para la recuperación ante desastres de SD-WAN Orchestrator, consulte " Configurar la recuperación ante desastres en VMware " y " Actualizar la configuración de recuperación ante desastres ".

1 Paso 1: Prepararse para la actualización de Orchestrator

2 Paso 2: Enviar un anuncio de actualización

3 Paso 3: Continuar con la actualización de Orchestrator

4 Paso 4: Completar la actualización de Orchestrator

Actualizar una instancia de Orchestrator

En esta sección se describe cómo actualizar una instancia de Orchestrator.

Paso 1: Prepararse para la actualización de Orchestrator

Póngase en contacto con el equipo de soporte de VMwarepara prepararse para la actualización de Orchestrator tal como se describe en esta sección.

VMware, Inc. 177

Para actualizar SD-WAN Orchestrator:

1 El equipo de soporte de VMware le ayudará a realizar la actualización. Recopile la siguiente información antes de ponerse en contacto con el equipo de soporte.

n Proporcione las versiones actuales y de destino de Orchestrator, por ejemplo: versión actual (ie 2.5.2 GA-20180430), versión de destino (3.3.2 p2).

Nota Para la versión actual, esta información se puede encontrar en la esquina superior derecha de Orchestrator haciendo clic en el vínculo Ayuda (Help) y eligiendo Acerca de (About).

n Proporcione una captura de pantalla del panel de control de replicación de Orchestrator, como se muestra a continuación.

n Tipo y versión de hipervisor (ie vSphere 6.7)

n Comandos desde Orchestrator:

Nota Los comandos se deben ejecutar como raíz (por ejemplo, "sudo <command>" o "sudo-i").

n Ejecute el /opt/vc/scripts/vco_upgrade_check.sh para comprobar lo siguiente:

n Diseño de LVM

n Información de la memoria

n Información de la CPU

n Parámetros de kernel

n Algunas propiedades del sistema

n Configuraciones de SSH

n Tamaños de base de datos y esquema de MySQL


VMware, Inc. 178

n Ubicaciones y tamaños de File_store

n Copia de /var/log

n tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log

n Desde la instancia de Orchestrator en espera:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'

n Desde la instancia de Orchestrator activa:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'

2 Póngase en contacto con el equipo de soporte de VMware en https://kb.vmware.com/s/article/53907 con la información mencionada anteriormente para obtener ayuda con la actualización de Orchestrator.

Paso 2: Enviar un anuncio de actualización

El área Anuncio de actualización (Upgrade Announcement) le permite configurar y enviar un mensaje sobre una próxima actualización. Este mensaje se mostrará a todos los usuarios la próxima vez que inicien sesión en SD-WAN Orchestrator.

Para enviar un anuncio de actualización:

1 En SD-WAN Orchestrator, seleccione Actualización de Orchestrator (Orchestrator Upgrade) en el panel de navegación.

2 En el área Anuncio de actualización (Upgrade Announcement), escriba el mensaje en el cuadro de texto Mensaje de banner (Banner Message).

3 Haga clic en el botón Anunciar actualización de Orchestrator (Announce Orchestrator Upgrade).

Aparecerá un mensaje emergente indicando que ha creado correctamente el anuncio y que el mensaje de banner se muestra en la parte superior de SD-WAN Orchestrator.


VMware, Inc. 179



4 (Opcional) Puede eliminar el anuncio de SD-WAN Orchestrator haciendo clic en el botón Anular anuncio de actualización de Orchestrator (Unannounce Orchestrator Upgrade). Aparecerá un mensaje emergente que indica que se ha anulado correctamente el anuncio de actualización de Orchestrator. Se eliminará el anuncio que aparecía en la parte superior de SD-WAN Orchestrator.

Paso 3: Continuar con la actualización de Orchestrator

Póngase en contacto con el equipo de soporte de VMware en https://kb.vmware.com/s/article/53907 para obtener ayuda con la actualización de Orchestrator.

Paso 4: Completar la actualización de Orchestrator

Después de completar la actualización de Orchestrator, haga clic en el botón Completar actualización de Orchestrator (Complete Orchestrator Upgrade). De esta forma, se vuelve a habilitar la aplicación de las actualizaciones de configuración de las instancias de Edge en el nivel global.

Para comprobar que el estado de la actualización se ha completado, ejecute el siguiente comando para mostrar el número de versión correcto de todos los paquetes:

dpkg -l|grep vco

Cuando se inicia sesión como operador, se debe mostrar el mismo número de versión en la esquina inferior derecha de SD-WAN Orchestrator.

Recuperación ante desastres de SD-WAN Orchestrator

En esta sección se describe cómo configurar y actualizar la recuperación ante desastres en SD-WAN Orchestrator.


VMware, Inc. 180



Configurar la recuperación ante desastres en VMware

Para configurar la recuperación ante desastres en SD-WAN Orchestrator:

1 Instale una nueva instancia de SD-WAN Orchestrator cuya versión coincida con la versión de la instancia de VMware que se encuentra actualmente en la instancia de SD-WAN Orchestrator activa.

2 Si es necesario, establezca las siguientes propiedades en la instancia de SD-WAN Orchestrator activa y en espera.

n vco.disasterRecovery.transientErrorToleranceSecs en un valor distinto de cero (de forma predeterminada, 900 segundos en la versión 3.3 y posteriores, cero en las versiones anteriores). Esto evita que se produzcan errores transitorios debido a una actualización del plano de administración de Edge o de la puerta de enlace.

n vco.disasterRecovery.mysqlExpireLogsDays (el valor predeterminado es 1 día). Esta es la cantidad de tiempo que la instancia de SD-WAN Orchestrator activa mantiene los datos de mysql binlog.

3 Configure la propiedad network.public.address en la instancia activa y en espera en la dirección a la que se comunican las instancias de Edge (latidos).

4 Configure la recuperación ante desastres siguiendo el procedimiento habitual de configuración de recuperación ante desastres que se describe en Recuperación ante desastres de SD-WAN Orchestrator.

Actualizar la configuración de recuperación ante desastres

Para actualizar un par de SD-WAN Orchestrator habilitado para la recuperación ante desastres, siga los pasos que se indican a continuación.

Para actualizar un par de VCO habilitado para la recuperación ante desastres:

Nota Si la actualización de Orchestrator es de una versión 2.X a una versión 3.2.X, ejecute dr-standby-schema.sh en modo En espera (Standby) antes de iniciar la actualización.

1 Prepárese para la actualización. Para obtener instrucciones, vaya a Paso 1: Prepararse para la actualización de Orchestrator de la sección titulada Actualizar Orchestrator con una implementación de recuperación ante desastres.

2 Continúe con la actualización de Orchestrator. Para obtener instrucciones, vaya a Paso 3: Continuar con la actualización de Orchestrator de la sección titulada Actualizar Orchestrator con una implementación de recuperación ante desastres.


VMware, Inc. 181

Configurar la recuperación ante desastres de SD-WAN Orchestrator

19En esta sección se proporcionan instrucciones de recuperación ante desastres (DR) para SD-WAN Orchestrator.


n Descripción general de la recuperación ante desastres de SD-WAN Orchestrator

n Configurar la replicación de SD-WAN Orchestrator

n Probar la conmutación por error

n Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator

Descripción general de la recuperación ante desastres de SD-WAN Orchestrator

La función de recuperación ante desastres de SD-WAN Orchestrator (DR) evita la pérdida de datos almacenados y reanuda los servicios de SD-WAN Orchestrator en caso de que se produzca un error en el sistema o en la red.

La recuperación ante desastres de SD-WAN Orchestrator implica configurar un par de instancias de SD-WAN Orchestrator activo/en espera con replicación de datos y un mecanismo de conmutación por error activado manualmente.

n Por lo tanto, el objetivo de tiempo de recuperación (RTO) depende de la acción explícita del operador para activar la promoción del modo de espera.

n El objetivo de punto de recuperación (RPO), sin embargo, es esencialmente cero, independientemente del tiempo de recuperación, ya que toda la configuración se replica de forma instantánea. La supervisión de los datos que se recopilaron durante la interrupción se almacena en caché en las instancias de Edge y las puertas de enlace pendientes de promoción del modo de espera.

Nota La recuperación ante desastres es obligatoria. Para obtener asistencia en relación con licencias y precios, póngase en contacto con el equipo de ventas de VMware.

VMware, Inc. 182

Par activo/en espera

En una implementación de recuperación ante desastres de SD-WAN Orchestrator, dos sistemas SD-WAN Orchestrator idénticos se configuran como un par activo/en espera. El operador puede ver el estado de preparación de la recuperación ante desastres a través de la interfaz de usuario web de cualquiera de los servidores. Las instancias de Edge y las puertas de enlace detectan las dos instancias de SD-WAN Orchestrator y, mientras reciben los cambios de configuración solo desde la instancia de SD-WAN Orchestrator activo, envían periódicamente latidos de recuperación ante desastres a ambos sistemas para notificar su visibilidad de ambos servidores y para consultar el estado del sistema de recuperación ante desastres. Cuando el operador activa una conmutación por error, las instancias de Edge y las puertas de enlace son informadas acerca del cambio en su siguiente latido de recuperación ante desastres.

Estados de recuperación ante desastres

Desde la vista de un operador, y de las instancias de Edge y las puertas de enlace, SD-WAN Orchestrator tiene uno de los cuatro posibles estados de recuperación ante desastres:

Estado de recuperación ante desastres Descripción

Independiente (Standalone) Ninguna DR configurada.

Activo (Active) Recuperación ante desastres configurada, actuando como el servidor de SD-WAN Orchestrator principal.

En espera (Standby) Recuperación ante desastres configurada, actuando como un servidor de SD-WAN Orchestrator de réplica inactiva.

Inerte (Zombie) Recuperación ante desastres anteriormente configurada y activa, pero actualmente sin funcionamiento como activa o en espera.

Operación en tiempo de ejecución

Cuando se configura la recuperación ante desastres, el servidor en espera se ejecuta en modo limitado y bloquea todas las llamadas de API, excepto aquellas relacionadas con el estado de recuperación ante desastres y los latidos de recuperación ante desastres. Cuando el operador invoca una conmutación por error, el modo de espera se promociona para que sea completamente operativo como servidor independiente. El servidor que anteriormente estaba activo se pasa automáticamente a un estado denominado "inerte" si responde y es visible desde el modo de espera promocionado. En el estado inerte, los servicios de configuración de administración se bloquean y cualquier contacto de las instancias de Edge y las puertas de enlace que no se transfieren a las nuevas instancias de SD-WAN Orchestrator activo se redireccionan al servidor promocionado.


VMware, Inc. 183

Configurar la replicación de SD-WAN Orchestrator

Se requieren dos instancias de SD-WAN Orchestrator instaladas para iniciar la replicación.

n El modo de espera seleccionado se coloca en estado STANDBY_CANDIDATE, lo cual permite que lo configure el servidor activo.

n A continuación, el servidor activo recibe la dirección y las credenciales de la instancia en espera, y entra en estado ACTIVE_CONFIGURING.

Cuando STANDBY_CONFIG_RQST pasa de activo a en espera, los dos servidores se sincronizan a través de las transiciones de estado que se muestran a continuación.

Configurar la instancia de Orchestrator en espera

Para configurar la replicación de SD-WAN Orchestrator, realice los siguientes pasos:

1 Haga clic en Replicación (Replication) en el panel de navegación para mostrar la pantalla Replicación de Orchestrator (Orchestrator Replication).

2 Para habilitar la instancia de Orchestrator en espera, seleccione el botón de opción En espera (función de replicación) (Standby (Replication Role)).

3 Haga clic en el botón Habilitar para en espera (Enable for Standby).

Aparece el cuadro de diálogo Proceso de Orchestrator correcto (Orchestrator Success), que indica que Orchestrator se ha habilitado para el modo de espera y que Orchestrator se reiniciará en modo de espera.


VMware, Inc. 184


Después de configurar la instancia de Orchestrator en espera para la replicación, configure la instancia de Orchestrator activa de acuerdo con las instrucciones que aparecen a continuación.

Configurar la instancia de Orchestrator activa

Para configurar una segunda instancia de SD-WAN Orchestrator y que sea la instancia de Orchestrator activa:

1 Haga clic en Replicación (Replication) en el panel de navegación. Aparecerá la pantalla Replicación de Orchestrator (Orchestrator Replication).

2 Seleccione la Función de replicación activa (Active Replication Role).

3 Escriba la Dirección de Orchestrator en espera (Standby Orchestrator Address) y el UUID de Orchestrator en espera (Standby Orchestrator Uuid). La dirección y el UUID de Orchestrator se muestran en la pantalla Orchestrator en espera (Standby Orchestrator).


VMware, Inc. 185

4 Escriba el nombre de usuario y la contraseña del superusuario de Orchestrator que se utilizará para la replicación.

Nota Este superusuario ya debe existir en ambos sistemas.

5 Haga clic en el botón Establecer como activo (Make Active).

Se visualizará la pantalla Orchestrator activo (Active Orchestrator) mostrando el estado actual.

Cuando se complete la configuración, las dos instancias de Orchestrator (en espera y activo) estarán sincronizados.

Orchestrator en espera en sincronización

Puede hacer clic en el vínculo alternar historial (toggle history) para cómo está cada estado.


VMware, Inc. 186

Orchestrator activo en sincronización

Probar la conmutación por error

Los siguientes escenarios de prueba de la conmutación por error representan situaciones forzadas para fines de ejemplo. Puede realizar estas acciones en el área Acciones disponibles (Available Actions) de las pantallas Activo (Active) y En espera (Standby).

Promocionar una instancia de Orchestrator en espera

En esta sección se describe cómo promocionar una instancia de Orchestrator en espera.

Para promocionar una instancia de Orchestrator en espera:

1 Haga clic en el vínculo desbloquear (unlock).

2 Haga clic en el botón Promocionar en espera (Promote Standby) del área Acciones disponibles (Available Actions) en la pantalla de Orchestrator en espera.

Aparece el siguiente cuadro de diálogo, que indica que, cuando se promociona una instancia de Orchestrator en espera, los administradores ya no podrán administrar SD-WAN Orchestrator con la instancia de Orchestrator activa previamente.

3 Haga clic en el botón Aceptar (OK) para promocionar la instancia de Orchestrator en espera.

Aparece otro cuadro de diálogo de mensaje para verificar la solicitud de promoción de la instancia de Orchestrator en espera. Este mensaje aparecerá solo si la instancia de Orchestrator en espera percibe que la instancia de Orchestrator activa tiene un buen estado, lo cual significa que el modo de espera se comunica con los datos activos y duplicados.

4 Haga clic en Aceptar (OK) para promocionar Orchestrator.


VMware, Inc. 187

Aparece un cuadro de diálogo final que indica que la instancia de Orchestrator ya no está en espera y se reiniciará en modo independiente.

Cuando se promociona una instancia de Orchestrator en espera, se reinicia en modo independiente.

Si el modo de espera se puede comunicar con la instancia de Orchestrator activa anteriormente, indicará que Orchestrator debe entrar en estado inerte. En el estado inerte, Orchestrator comunica a sus clientes (instancias de Edge, puertas de enlace, interfaz de usuario/API) que ya no está activo y que deben comunicarse con la instancia de Orchestrator recientemente promocionada. Si el modo de espera promocionado no puede comunicarse con la instancia de Orchestrator activa anteriormente, el operador debe, si es posible, degradar manualmente la instancia de Orchestrator activa anteriormente.

Volver al modo independiente

Para devolver el modo inerte al modo independiente, haga clic en el botón Volver al modo independiente (Return to Standalone Mode) del área Acciones disponibles (Available Actions) de las pantallas Orchestrator activo (Active Orchestrator) o Orchestrator en espera (Standby Orchestrator).


VMware, Inc. 188

Nota Orchestrator se puede devolver al modo independiente desde el estado inerte después del tiempo especificado en la propiedad del sistema "vco.disasterRecovery.zombie.expirySeconds", que tiene el valor predeterminado de 1800 segundos.

Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator

En esta sección se describen los estados de error del sistema. También se enumeran en la interfaz de usuario, junto con una descripción más detallada del error. Puede obtener más información en el registro de VMware.

Errores recuperables

Los siguientes son errores recuperables que pueden producirse cuando la recuperación ante desastres de SD-WAN Orchestrator llega a un estado de sincronización. Si se corrige el problema que provoca estos errores, SD-WAN Orchestrator la recuperación ante desastres regresará automáticamente al funcionamiento normal.

n FAILURE_SYNCING_FILES

n FAILURE_GET_STANDBY_STATUS

n FAILURE_MYSQL_ACTIVE_STATUS

n FAILURE_MYSQL_STANDBY_STATUS

Errores irrecuperables

Los siguientes errores se pueden producir durante la configuración de la recuperación ante desastres de SD-WAN Orchestrator. La recuperación ante desastres de SD-WAN Orchestrator no se recuperará automáticamente de estos errores.

n FAILURE_ACTIVE_CONFIGURING

n FAILURE_LAUNCHING_STANDBY

n FAILURE_STANDBY_CONFIGURING

n FAILURE_COPYING_DB

n FAILURE_COPYING_FILES

n FAILURE_SYNC_CONFIGURING

n FAILURE_GET_STANDBY_CONFIG


VMware, Inc. 189

n FAILURE_STANDBY_CANDIDATE

n FAILURE_STANDBY_UNCONFIG

n FAILURE_STANDBY_PROMOTION

n FAILURE_ACTIVE_DEMOTION


VMware, Inc. 190

Administrar acuerdos de usuario 20SD-WAN Orchestrator permite que un superusuario operador cree y administre contratos de licencia para el usuario final.

Solo un superusuario operador puede crear un contrato de licencia para el usuario final.

De forma predeterminada, la opción Acuerdo de usuario (User Agreement) está deshabilitada. Para habilitar esta opción, desplácese hasta Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableUserAgreements como Verdadero (True).

Además, puede configurar el modo de visualización del acuerdo de usuario definiendo el valor de la propiedad del sistema vco.enterprise.userAgreement.display.mode de la siguiente manera:

n NONE: el acuerdo de usuario no se muestra a ninguno de los usuarios empresariales. Este es el valor predeterminado.

n ALL: el acuerdo de usuario se muestra a todos los usuarios empresariales.

n WITH_MSPS: el acuerdo de usuario se muestran a todos los usuarios empresariales con MSPS.

n WITHOUT_MSPS: el acuerdo de usuario se muestra a todos los usuarios empresariales sin MSPS.

La configuración de pantalla anterior se aplica a todos los clientes administrados por el operador. Como operador, puede sustituir esta configuración para cada cliente empresarial, como se describe en Configurar clientes.

Solo un superusuario empresarial o un superusuario de socio puede aceptar un contrato de licencia, en función de la configuración de la propiedad del sistema.

Para crear y administrar el acuerdo de usuario, desplácese hasta la página Acuerdos de usuario (User Agreements) en el portal de operadores. Haga clic en Acciones (Actions) para realizar lo siguiente:

n Nuevo (New): crea un nuevo contrato de licencia para el usuario final. Consulte también Crear un acuerdo de usuario.

n Clonar (Clone): clona y crea una copia del acuerdo de usuario seleccionado.

n Actualizar (Update): permite modificar los valores del acuerdo de usuario seleccionado.

VMware, Inc. 191

n Eliminar (Delete): elimina los acuerdos de usuario seleccionados.

n Exportar informe de aceptación (Export Acceptance Report): exporta un informe de todos los clientes que han aceptado los acuerdos de usuario a un archivo CSV.


n Crear un acuerdo de usuario

Crear un acuerdo de usuario

Solo los superusuarios operadores pueden crear un nuevo acuerdo de usuario. Puede crear varios acuerdos, pero solo un acuerdo puede estar activo a la vez.

En el portal de operadores, haga clic en Acuerdos de usuario (User Agreements).

1 Haga clic en Nuevo acuerdo de usuario (New User Agreement) o en Acciones (Actions) > Nuevo (New).

2 En la ventana Acuerdo de usuario (User Agreement), introduzca lo siguiente:

n Nombre (Name): introduzca el nombre del cliente.

n Habilitado (Enabled): de forma predeterminada, esta casilla está seleccionada. Si desactiva la casilla de verificación, el acuerdo de usuario está inactivo.

Nota Solo puede haber un acuerdo de usuario activo a la vez. Si tiene varios acuerdos, asegúrese de seleccionar la opción Habilitado (Enabled) solo para el acuerdo que tiene que estar en estado activo y deshabilitar esta opción para los otros acuerdos de usuario.

n Fecha de inicio efectiva (Effective Start Date): introduzca la fecha a partir de la cual se aplicará el acuerdo de usuario.

n Fecha de finalización efectiva (Effective End Date): introduzca la fecha hasta la cual se aplicará el acuerdo de usuario.

n Texto del título del diálogo (Dialog Title Text): introduzca un título para el acuerdo de usuario.


VMware, Inc. 192

n Texto del cuerpo del diálogo (Dialog Body Text): introduzca el texto del acuerdo de usuario descriptivo que estará visible para el cliente.

n Texto del botón del diálogo (Dialog Button Text): introduzca el texto que se mostrará en el botón en el que el cliente debe hacer clic para aceptar el acuerdo.


Los acuerdos se muestran en la página Acuerdos de usuario (User Agreements).

Cuando un superusuario empresarial o de socio se registra en SD-WAN Orchestrator, la ventana del acuerdo de usuario le solicita que acepte el acuerdo. Si los usuarios no aceptan el acuerdo, se cierra automáticamente su sesión.

El operador puede ver el número de clientes que han aceptado el acuerdo en la página Acuerdos de usuario (User Agreements). Los acuerdos aceptados se archivan y no se pueden eliminar.


VMware, Inc. 193

Actualice VMware SD-WAN Orchestrator de la versión 3.3.2 o 3.4 a la versión 4.0

21Este documento proporciona información general y prácticas recomendadas sobre cómo actualizar VMware SD-WAN Orchestrator de la versión 3.3.2 o 3.4 a la versión 4.0. Sin embargo, póngase en contacto con el soporte de VMware para que le brinden asistencia con la actualización de la versión 3.3.2 o 3.4 a la versión 4.0 en https://kb.vmware.com/s/article/53907

Solo la versión 3.3.2 y 3.4 de Orchestrator se pueden actualizar a la versión 4.0. Si está ejecutando una versión 3.3.1 o una anterior de Orchestrator, debe actualizar al menos a la versión 3.3.2 antes de actualizar a la versión 4.0.

Tenga en cuenta lo siguiente al realizar la actualización:

n Este trabajo de actualización no modifica ninguna API existente.

n Al igual que otras versiones, hay cambios de esquema con la versión 4.0. Sin embargo, estos cambios no afectarán el proceso de actualización.

El sistema operativo para el dispositivo virtual de SD-WAN Orchestrator y los almacenes de datos subyacentes que almacenan los datos de configuración y estadísticas se están actualizando. Las actualizaciones específicas incluyen lo siguiente:

n La versión del sistema operativo cambiará de Ubuntu 14.04 a 18.04.

n El almacén de configuración se migrará a MySQL 8.0.

n El almacén de estadísticas se moverá a ClickhouseDB.

Nota El sistema operativo, la base de datos y otros componentes dependientes de Orchestrator que están en uso actualmente han llegado al final de su vida útil y ya no serán compatibles.

Los beneficios de la actualización a la versión 4.0 son los siguientes:

n Una mayor escala en general en términos de número de instancias de Edge, flujos e interfaz de usuario.

n Un rendimiento de consultas más rápido para las estadísticas, una retención más prolongada lista para usar para las estadísticas de flujo.

n Rendimiento inicial más rápido de la configuración de recuperación ante desastres (DR).

n Menor uso de recursos: disco, CPU, RAM.

n Mayor seguridad debido a los componentes con LTS activos.

VMware, Inc. 194


Prácticas recomendadas/recomendaciones:

A continuación, se enumeran algunas prácticas recomendadas para la actualización:

n En la página Propiedades del sistema (System Properties) de la instancia de Orchestrator, anote el valor de la propiedad del sistema edge.heartbeat.spread.factor. A continuación, cambie el factor de propagación de latidos a un valor relativamente alto para una instancia grande de Orchestrator (por ejemplo, 20, 40, 60). Esto ayudará a reducir el aumento repentino del uso de recursos (CPU, E/S) en el sistema. Asegúrese de verificar que todas las puertas de enlace y las instancias de Edge estén en estado conectado antes de restaurar el valor anterior de edge.heartbeat.spread.factor de la página Propiedades del sistema (System Property) en Orchestrator.

n Deje SD-WAN Orchestrator degradado durante unas horas antes de finalizar el apagado o retiro.

n Bloquee las modificaciones de configuración para evitar cambios de configuración adicionales hasta que se complete el proceso de actualización.

Resumen del procedimiento de actualización

Este documento proporciona los pasos necesarios para actualizar la versión 3.3.2 o 3.4 a la versión 4.0. La actualización del sistema operativo y de la recuperación ante desastres de SD-WAN Orchestrator tiene algunos de los mismos pasos que los procedimientos de recuperación ante desastres que se encuentran en Capítulo 19 Configurar la recuperación ante desastres de SD-WAN Orchestrator. Sin embargo, siga los pasos descritos en la sección Procedimientos de actualización de este documento para llevar a cabo el proceso de actualización de la versión 3.3.2 o 3.4 a la versión 4.0. La imagen que aparece a continuación muestra una ilustración del proceso de actualización. Consulte los procedimientos de actualización que aparecen a continuación.


VMware, Inc. 195

Procedimientos de actualización

Póngase en contacto con el soporte de VMware para asistir con la actualización de la versión 3.3.2 o 3.4 a la versión 4.0 en https://kb.vmware.com/s/article/53907


VMware, Inc. 196


Solucionar problemas de SD-WAN Orchestrator 22En esta sección se describe la solución de problemas de SD-WAN Orchestrator.


n Diagnósticos de Orchestrator

n Supervisión de métricas del sistema

n Solicitudes de API de limitación de velocidad

Diagnósticos de Orchestrator

En esta sección se describen los diagnósticos de Orchestrator.

Descripción general de los diagnósticos de SD-WAN Orchestrator

El paquete de diagnósticos de SD-WAN Orchestrator es una recopilación de información de diagnóstico necesaria para que el personal de soporte técnico e ingeniería puedan solucionar los problemas de SD-WAN Orchestrator. Para la instalación local de Orchestrator, los operadores pueden recopilar el paquete de diagnósticos de SD-WAN Orchestrator de la interfaz de usuario de Orchestrator y proporcionarlo al equipo de soporte de VMware para análisis y solución de problemas sin conexión.

Pestaña Paquete de diagnósticos (Diagnostics Bundle)

Los usuarios pueden solicitar y descargar un paquete de diagnósticos en la pestaña Paquete de diagnósticos (Diagnostics Bundle).

Columnas de la pestaña Paquete de diagnósticos (Diagnostics Bundle)

La cuadrícula de la tabla Diagnósticos de Orchestrator (Orchestrator Diagnostics) incluye las siguientes columnas:

VMware, Inc. 197


Estado de solicitud (Request Status)

Existen dos tipos de solicitudes de estado:

n Completado

n En curso

Si un paquete no completó la descarga, se mostrará el estado En curso (In Progress).

Motivo de la generación (Reason for Generation)

El motivo específico que se otorga para generar un paquete de diagnósticos. Haga clic en el botón Solicitar paquete de diagnósticos (Request Diagnostic Bundle) para incluir una descripción del paquete.

Usuario La persona que inició sesión en SD-WAN Orchestrator.

Generado (Generated) La fecha y la hora en la que se envió la solicitud del paquete de diagnósticos.

Fecha de limpieza (Cleanup Date)

La Fecha de limpieza (Cleanup Date) predeterminada es tres meses después de la fecha de generación, cuando el paquete se eliminará automáticamente. Si necesita ampliar el período de limpieza, haga clic en el vínculo Fecha de limpieza (Cleanup Date) situado en la columna Fecha de limpieza (Cleanup Date). Para obtener más información, consulte Actualizar la fecha de limpieza.

Solicitar un paquete de diagnósticos

Para solicitar un paquete de diagnósticos:

1 En el panel de navegación de SD-WAN Orchestrator, haga clic en Diagnósticos de Orchestrator (Orchestrator Diagnostics).

2 En la pestaña Solicitar paquete de diagnósticos (Request Diagnostic Bundle), haga clic en el botón Solicitar paquete de diagnósticos (Request Diagnostic Bundle).

3 En el cuadro de diálogo Solicitar paquete de diagnósticos (Request Diagnostic Bundle), introduzca el motivo de la solicitud en el área correspondiente.


VMware, Inc. 198

4 Haga clic en Enviar (Submit). La solicitud de paquete que creó se muestra en el área de la cuadrícula de la pantalla Paquete de diagnósticos (Diagnostic Bundle) con un estado de En curso (In Progress).

5 Actualice la pantalla para comprobar el estado de la solicitud del paquete de diagnósticos. Cuando el paquete está listo para descargarse, aparece el estado Completo (Complete).

Descargar un paquete de diagnósticos

Para descargar un paquete de diagnósticos:

1 Seleccione un paquete de diagnósticos que desee descargar.

2 Haga clic en el botón Acciones (Actions) y seleccione Descargar paquete de diagnósticos (Download Diagnostic Bundle). También puede hacer clic en el vínculo Completo (Complete) para descargar el paquete de diagnósticos.

El paquete de diagnósticos se descarga.

Actualizar la fecha de limpieza

La fecha de limpieza representa la fecha en la que el paquete generado se eliminará automáticamente, que de forma predeterminada es tres meses después de la fecha de generación. Puede cambiar la fecha de limpieza o elegir mantener el paquete de forma indefinida.

Para actualizar la fecha de limpieza:

1 En la columna Fecha de limpieza (Cleanup Date), haga clic en el vínculo Fecha de limpieza (Cleanup Date) del paquete de diagnósticos seleccionado.

2 En el cuadro de diálogo Actualizar fecha de limpieza (Update Cleanup Date), haga clic en el icono de Calendario (Calendar) para cambiar la fecha.


VMware, Inc. 199

3 También puede optar por mantener el paquete de forma indefinida si marca la casilla de verificación Mantener siempre (Keep Forever).


La cuadrícula de la tabla de diagnósticos de Orchestrator se actualiza para reflejar los cambios en la fecha de limpieza.

Pestaña de estadísticas de base de datos

La pestaña Estadísticas de base de datos (Database Statistics) proporciona una vista de acceso de solo lectura de parte de la información de un paquete de diagnósticos.

Si necesita más información, vaya a la pestaña Paquetes de diagnósticos (Diagnostic Bundles), solicite un paquete de diagnósticos y descárguelo localmente. Para obtener más información, consulte Solicitar paquete de diagnósticos (Request Diagnostic Bundle).


VMware, Inc. 200

La pestaña Estadísticas de base de datos (Database Statistics) muestra la siguiente información:

Campo Descripción

Tamaños de base de datos (Database Sizes) Tamaños de las bases de datos de Orchestrator.

Estadísticas de tabla de base de datos (Database Table Statistics)

Detalles estadísticos de todas las tablas de la base de datos de Orchestrator.

Información de almacenamiento de base de datos (Database Storage Info)

Detalles de almacenamiento de las ubicaciones montadas.

Lista de procesos de base de datos (Database Process List) Los 20 registros principales de consultas SQL de larga ejecución.

Variable de estado de base de datos (Database Status Variable)

Las variables de estado del servidor de MySQL.

Variable del sistema de base de datos (Database System Variable)

Variables del sistema del servidor MySQL.

Estado del motor de base de datos (Database Engine Status) El estado del motor InnoDB del servidor MySQL.

Supervisión de métricas del sistema

En esta sección se describe la supervisión de métricas del sistema en Orchestrator.


VMware, Inc. 201

Descripción general de la supervisión de métricas del sistema de Orchestrator

Orchestrator incluye una pila de supervisión de métricas del sistema integrada, que incluye un recopilador de métricas y una base de datos de serie temporal. Con la pila de supervisión, puede comprobar fácilmente la condición del estado y la carga del sistema para Orchestrator.

Para habilitar la pila de supervisión, ejecute el siguiente comando en Orchestrator:

n sudo /opt/vc/scripts/vco_observability_manager.sh enable

Para comprobar el estado de la pila de supervisión, ejecute:

n sudo /opt/vc/scripts/vco_observability_manager.sh status

Para deshabilitar la pila de supervisión, ejecute:

n sudo /opt/vc/scripts/vco_observability_manager.sh disable

El recopilador de métricas

Telegraf se utiliza como el recopilador de métricas del sistema de Orchestrator, que incluye complementos para recopilar métricas del sistema. Las siguientes métricas están habilitadas de forma predeterminada.

Nombre de la métrica Descripción

inputs.cpu Métricas sobre el uso de CPU.

inputs.mem Métricas sobre el uso de la memoria.

inputs.net Métricas sobre interfaces de red.

inputs.system Métricas sobre carga y tiempo de actividad del sistema.

inputs.processes El número de procesos agrupados por estado.

inputs.disk Métricas sobre uso del disco.

inputs.diskio Métricas sobre E/S de disco por dispositivo.

inputs.procstat Uso de CPU y memoria para procesos específicos.

inputs.nginx Información de estado básica de Nginx (ngx_http_stub_status_module).

inputs.mysql Datos estadísticos del servidor MySQL.

inputs.clickhouse Métricas de uno o varios servidores de ClickHouse.

inputs.redis Métricas de uno o varios servidores Redis.

inputs.filecount El número y el tamaño total de los archivos en directorios especificados.

inputs.ntpq Métricas estándar de consulta de NTP (requiere ntpq ejecutable).

Inputs.x509_cert Métricas de un certificado SSL.


VMware, Inc. 202

Para habilitar más métricas o deshabilitar algunas métricas habilitadas, edite el archivo de configuración Telegraf en Orchestrator de la siguiente manera:

n sudo vi /etc/telegraf/telegraf.d/system_metrics_input.conf

n sudo systemctl restart telegraf

La base de datos de serie temporal

Prometheus se utiliza para almacenar las métricas del sistema recopiladas por Telegraf. Los datos de las métricas se mantendrán en la base de datos durante tres semanas como máximo. De forma predeterminada, Prometheus escucha en el puerto 9090. Si dispone de una herramienta de supervisión externa, proporcione la base de datos de Prometheus como origen, de modo que pueda ver las métricas del sistema de Orchestrator en la interfaz de usuario de supervisión.

Solicitudes de API de limitación de velocidad

Cuando hay demasiadas solicitudes de API enviadas a la vez, esto afecta al rendimiento del sistema. Puede habilitar la limitación de velocidad, lo que aplica un límite a la cantidad de solicitudes de API que envía cada usuario.

SD-WAN Orchestrator utiliza ciertos mecanismos de defensa que refuerzan los abusos de la API y ofrece estabilidad del sistema. Las solicitudes de API que superan los límites de solicitudes permitidos se bloquean y se devuelven con HTTP 429 (Demasiadas solicitudes). El sistema tiene que pasar por un período de inactividad antes de volver a realizar las solicitudes.

Los siguientes tipos de limitadores de velocidad se implementan en SD-WAN Orchestrator:

n Limitador de depósitos de fuga: se suaviza la ráfaga de solicitudes y solo se permite un número predefinido de solicitudes. Este limitador se encarga de limitar el número de solicitudes permitidas en un período determinado.

n Limitador simultáneo: limita el número de solicitudes que se producen en paralelo, lo que da lugar a solicitudes simultáneas que luchan por los recursos y pueden dar como resultado consultas de larga ejecución.

A continuación, se indican las razones principales por las que se limita la velocidad de las solicitudes de API:

n Número elevado de solicitudes activas o simultáneas.

n Alzas repentinas en el volumen de solicitudes.

n Solicitudes que provocan que las consultas de ejecución prolongada en Orchestrator contengan recursos del sistema durante el tiempo que se descartan.


VMware, Inc. 203

Los desarrolladores que dependen de la API pueden adoptar las siguientes medidas para mejorar la estabilidad de su código cuando la capacidad de limitación de velocidad de VCO está habilitada.

n Controle el código de respuesta HTTP 429 cuando las solicitudes superen los límites de velocidad.

n La duración de la penalización es de 5000 ms cuando el limitador de velocidad alcanza el número máximo de solicitudes permitidas en un período determinado. Si se bloquea, se espera que los clientes tengan un período de inactividad de 5000 ms antes de volver a realizar las solicitudes. Las solicitudes realizadas durante el período de inactividad de 5000 ms aún tendrán limitación de velocidad.

n Utilice intervalos de tiempo más cortos para las API de serie temporal que no permitan que la solicitud caduque debido a consultas de larga ejecución.

n Siempre que sea posible, prefiera los métodos de consulta por lotes a aquellos que consultan a clientes o instancias individuales de Edge.

Nota Los superusuarios operadores configuran de forma discreta los límites de velocidad con base en el entorno. Para cualquier consulta sobre las directivas pertinentes, póngase en contacto con el operador.

Configurar directivas de limitación de velocidad mediante propiedades del sistema

Puede usar las siguientes propiedades del sistema para habilitar la limitación de velocidad y definir el conjunto predeterminado de directivas:

n vco.api.rateLimit.enabled

n vco.api.rateLimit.mode.logOnly

n vco.api.rateLimit.rules.global

n vco.api.rateLimit.rules.enterprise.default

n vco.api.rateLimit.rules.enterpriseProxy.default

Para obtener más información sobre las propiedades del sistema, consulte Lista de propiedades del sistema.


VMware, Inc. 204

Configurar políticas de limitación de velocidad mediante API

Se recomienda configurar las directivas del limitador de velocidad como reglas globales mediante las propiedades del sistema, ya que este enfoque produce el mejor rendimiento posible de la API, facilita la solución de problemas y garantiza una experiencia de usuario coherente entre todos los socios y clientes. Sin embargo, en raras ocasiones, los operadores pueden determinar que las directivas globales son muy poco estrictas para un usuario o un tenant en particular. En estos casos, VMware admite las siguientes API solo de operador para establecer directivas para socios y empresas específicos.

n enterpriseProxy/insertOrUpdateEnterpriseProxyRateLimits: se utiliza para configurar directivas específicas del socio.

n enterprise/insertOrUpdateEnterpriseRateLimits: se utiliza para configurar directivas específicas del cliente.

Para obtener más información sobre las API, consulte https://code.vmware.com/apis/1037/velocloud-sdwan-vco-api.


VMware, Inc. 205

https://code.vmware.com/apis/1037/velocloud-sdwan-vco-api

https://code.vmware.com/apis/1037/velocloud-sdwan-vco-api

Guía del operador de VMware de SD-WAN - VMware SD-WAN 4

Documents

Transcript of Guía del operador de VMware de SD-WAN - VMware SD-WAN 4