guía del operador de vmware de sd-wan - vmware sd-wan 3

Guía del operador de VMware de SD-WAN

2020VMware SD-WAN 3.4

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright ©

2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca

comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Acerca de la Guía del operador de VMware 6

2 Descripción general de VMware SD-WAN Orchestrator 7

3 Navegadores compatibles 8

4 Novedades 9

5 Instalar SD-WAN Orchestrator 10Requisitos previos 10

Requisitos de instancia 10

Configuración del firewall ascendente 11

Servicios externos 11

Procedimientos de instalación 11

Preparación de cloud-init 11

Instalar en VMware 14

Instalar en KVM 16

Instalar en AWS 19

Tareas de configuración inicial 19

Instalar un certificado SSL 19

Configurar propiedades del sistema 20

Actualizar SD-WAN Orchestrator 22

Expandir el tamaño del disco (VMware) 24

6 Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores27

7 Supervisar clientes 29

8 Administrar clientes 31Crear un nuevo cliente 32

Clonar un cliente 35

Configurar clientes 37

Configurar la entrega a socios 43

9 Administrar socios 49Crear un nuevo socio 49

Configurar la información de los socios 52

VMware, Inc. 3

10 Imágenes de software 54

11 Propiedades del sistema 55Lista de propiedades del sistema 56

12 Administrar operadores 64Supervisar eventos de operador 64

Administrar perfiles de operador 65

Crear un nuevo perfil de operador 66

Duplicar un perfil de operador 66

Modificar un perfil de operador 66

Administrar usuarios operadores 68

Crear un nuevo usuario operador 69

Configurar usuarios operadores 70

13 Administrar puertas de enlace y grupos de puerta de enlace 74Grupos de puertas de enlace 74

Columna Grupo administrado (Managed Pool) 75

Crear un grupo de puertas de enlace 75

Crear grupos de puertas de enlace específicos de socios 76

Eliminar un grupo de puertas de enlace 77

Entrega de puerta de enlace de socio 77

Puertas de enlace de socio 78

Descripción general de las puertas de enlace de socio 78

Página de puertas de enlace 88

Habilitar modo de puerta de enlace de socio 89

Configurar BGP de puerta de enlace 90

Administrar paquetes de diagnósticos de puerta de enlace 94

Supervisar puertas de enlace 94

14 Mapas de aplicaciones 96Cargar mapas de aplicaciones 97

Clonar mapas de aplicaciones 97

Modificar mapas de aplicaciones 98

Actualizar mapa de aplicaciones 100

Insertar mapa de aplicaciones 101

15 Personalización de funciones 102

16 Licencias de Edge 104Administrar licencias de Edge para socios 105


VMware, Inc. 4

Administrar licencias de Edge para clientes 106

Generar informe de licencias de Edge 107

17 Autenticación de Orchestrator 108Configurar la autenticación RADIUS (Configure RADIUS Authentication) 109

Configurar el inicio de sesión único del operador 111

Descripción general del inicio de sesión único 111

Configurar el inicio de sesión único para el usuario operador 111

Configurar un IDP para Single Sign On 115

18 Actualizar SD-WAN Orchestrator con implementación de la recuperación ante desastres 137Descripción general de la actualización de SD-WAN Orchestrator 137

Actualizar una instancia de Orchestrator 137

Paso 1: Prepararse para la actualización de Orchestrator 137

Paso 2: Enviar un anuncio de actualización 139

Paso 3: Continuar con la actualización de SD-WAN Orchestrator 140

Paso 4: Completar la actualización de Orchestrator 140

Recuperación ante desastres de SD-WAN Orchestrator 140

Configurar la recuperación ante desastres en VMware 141

Actualizar la configuración de recuperación ante desastres 141

19 Configurar la recuperación ante desastres de SD-WAN Orchestrator 142Descripción general de la recuperación ante desastres de SD-WAN Orchestrator 142

Configurar la replicación de SD-WAN Orchestrator 144

Configurar la instancia de Orchestrator en espera 144

Configurar la instancia de Orchestrator activa 145

Probar la conmutación por error 147

Promocionar una instancia de Orchestrator en espera 147

Volver al modo independiente 148

Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator 149

20 Administrar acuerdos de usuario 150Crear un acuerdo de usuario 151

21 Solucionar problemas de SD-WAN Orchestrator 153Diagnósticos de Orchestrator 153

Descripción general de los diagnósticos de SD-WAN Orchestrator 153

Pestaña Paquete de diagnósticos (Diagnostics Bundle) 153

Pestaña de estadísticas de base de datos 156


VMware, Inc. 5

Acerca de la Guía del operador de VMware 1En la Guía del operador de VMware SD-WAN™ se ofrece información sobre VMware SD-WAN Orchestrator, que incluye cómo configurar y administrar clientes y socios que utilizan Orchestrator.

Público objetivo

Esta guía está destinada a operadores y proveedores de servicios que están familiarizados con las operaciones de redes y SD-WAN.

VMware, Inc. 6

Descripción general de VMware SD-WAN Orchestrator 2VMware SD-WAN Orchestrator ofrece una instalación, una configuración y una supervisión en tiempo real centralizadas y en toda la empresa, además de organizar el flujo de datos a través de la red de nube.

SD-WAN Orchestrator está disponible como interfaz de usuario basada en web, donde puede configurar y administrar lo siguiente:

n Clientes

n Socios

n Usuarios operadores

n Puertas de enlace y grupos de puertas de enlace

n Modos de autenticación de Orchestrator

VMware, Inc. 7

Navegadores compatibles 3VMware SD-WAN Orchestrator 3.4.0 es compatible con las versiones de navegador indicadas en la tabla siguiente. Sin embargo, para obtener el mejor rendimiento, VMware recomienda Google Chrome o Mozilla Firefox.

Navegadores cualificados Versión del navegador

Google Chrome 77 – 79.0.3945.130

Firefox 69.0.2 - 72.0.2

Internet Explorer 11.765.17134.0 - 11.592.18362.0

Microsoft Edge 42.17134.1.0- 44.18362.449.0

Safari 12.1.2-13.0.3

VMware, Inc. 8

Novedades 4Novedades de la versión 3.4.0

Función Descripción

Clonar empresas Clona las configuraciones de un cliente existente y las utiliza para crear otro nuevo. Consulte Clonar un cliente.

Mejoras en las capacidades empresariales

Permite habilitar o deshabilitar las capacidades de los clientes. Consulte Configurar clientes.

Sustitución del control de flujo del cálculo de costes

Delega el cálculo de costes de las rutas a las instancias de Edge y las puertas de enlace. Consulte Cálculo de costes de OFC.

Personalización de funciones

Personaliza el conjunto de privilegios existente para las funciones de usuario. Consulte Capítulo 15 Personalización de funciones.

Autenticación basada en token

Los usuarios pueden acceder a las API de Orchestrator mediante tokens en lugar de la autenticación basada en sesión. Como superusuario operador, puede administrar los tokens de API para los usuarios empresariales. Consulte Tokens de API.

Versiones anteriores de VMware

Para obtener la documentación del producto de las versiones anteriores de VMware, póngase en contacto con su representante de VMware.

VMware, Inc. 9

Instalar SD-WAN Orchestrator 5En esta sección se describe la instalación de SD-WAN Orchestrator.

Este capítulo incluye los siguientes temas:

n Requisitos previos

n Procedimientos de instalación

n Tareas de configuración inicial

n Actualizar SD-WAN Orchestrator

n Expandir el tamaño del disco (VMware)

Requisitos previos

En esta sección se describen los requisitos previos que deben cumplirse antes de instalar SD-WAN Orchestrator.

Requisitos de instancia

VMware recomienda la instalación de las aplicaciones de puerta de enlace y de Orchestrator como una máquina virtual (por ejemplo, una instancia de invitado) en un hipervisor existente.

SD-WAN Orchestrator requiere las siguientes especificaciones mínimas de instancia de invitado:

n 8 vCPU Intel a 2,5 GHz o superior

n 16 GB de memoria

Nota SD-WAN Orchestrator no se iniciará con menos de 10 GB de memoria.

n 2 volúmenes persistentes basados en SSD de 1 TB (ampliables a través de LVM, si es necesario)

n IOPS mínimo requerido: 5.000 IOPS

n NIC de 1 Gbps

n Compatibilidad de máquinas virtuales del servidor Ubuntu x64

n Una sola dirección IP pública (puede estar disponible a través de NAT)

VMware, Inc. 10

Configuración del firewall ascendente

El firewall ascendente debe configurarse para permitir HTTP entrante (TCP/80) y HTTPS (TCP/443). Si hay un firewall con estado, las conexiones establecidas que son salientes también deben permitirse, para facilitar la actualización y los parches de seguridad.

Servicios externos

SD-WAN Orchestrator se basa en varios servicios externos. Antes de continuar con la instalación, asegúrese de que haya licencias disponibles para cada uno de los servicios.

Google Maps

Google Maps se utiliza para mostrar las instancias de Edge y los centros de datos en un mapa. No es necesario crear ninguna cuenta con Google para utilizar la funcionalidad. Sin embargo, el acceso a Internet debe estar disponible para la instancia de SD-WAN Orchestrator a fin de que el servicio esté disponible.

El servicio se limita a 25.000 cargas de mapas cada día, durante más de 90 días consecutivos. VMware no prevé superar estos límites para el uso nominal de SD-WAN Orchestrator.

Twilio

Twilio se utiliza para las alertas basadas en SMS a los clientes empresariales para notificarles eventos de interrupción de vínculo o Edge. Es necesario crear una cuenta con fondos en http://www.twilio.com.

La cuenta se puede aprovisionar en SD-WAN Orchestrator a través de la página Propiedades del sistema (System Properties) del portal de operadores. La cuenta se aprovisionará a través de una propiedad del sistema, como se describe más adelante en la guía.

MaxMind

MaxMind es un servicio de geolocalización. Se utiliza para detectar automáticamente las ubicaciones de Edge y de puerta de enlace y los nombres de ISP en función de una dirección IP. Si este servicio está deshabilitado, será necesario actualizar la información de geolocalización de forma manual. La cuenta se puede aprovisionar en SD-WAN Orchestrator a través de la página Propiedades del sistema (System Properties) del portal de operadores. Las propiedades son las siguientes:

Procedimientos de instalación

En esta sección se describe la instalación.

Preparación de cloud-init

En esta sección se describe cómo usar el paquete cloud-init para controlar la inicialización introductoria de las instancias.


VMware, Inc. 11

https://developers.google.com/maps/faq#usage_mapload

http://www.twilio.com/

http://www.twilio.com/

Acerca de cloud-init

El paquete de Linux cloud-init es responsable de controlar la inicialización introductoria de las instancias. Si está disponible en las distribuciones, permite la configuración de muchos parámetros comunes de la instancia directamente después de la instalación. Esto crea una instancia completamente funcional configurada en función de una serie de entradas.

El comportamiento de cloud-init puede configurarse a través de los datos de usuario. El usuario puede proporcionar los datos del usuario en el momento del inicio de la instancia. Por lo general, esto se hace asociando un disco secundario en formato ISO que cloud-init buscará en el primer arranque. Este disco contiene todos los datos de configuración anteriores que se aplicarán en ese momento.

SD-WAN Orchestrator es compatible con cloud-init y todas las configuraciones esenciales se pueden empaquetar a través de una imagen ISO.

Crear el archivo de metadatos de cloud-init

Las opciones de configuración de la instalación final se establecen con un par de archivos de configuración de cloud-init. El primer archivo de configuración de instalación contiene los metadatos. Cree este archivo con un editor de texto y denomínelo meta-data. Este archivo proporciona información que identifica la instancia de SD-WAN Orchestrator que se está instalando. El valor de instance-id puede ser cualquier nombre de identificación y el valor de local-hostname debe ser un nombre de host que cumpla con las normas de su sitio, por ejemplo:

instance-id: vco01

local-hostname: vco-01

Además, puede especificar la información de la interfaz de red (si la red no está configurada mediante DHCP, por ejemplo):

instance-id: vco01

local-hostname: vco-01

network-interfaces: |

auto eth0

iface eth0 inet static

address 10.0.1.2

network 10.0.1.0

netmask 255.255.255.0

broadcast 10.0.1.255

gateway 10.0.1.1


VMware, Inc. 12

Crear el archivo de datos del usuario de cloud-init

El segundo archivo de opción de configuración de instalación es el archivo de datos de usuario. Este archivo proporciona información sobre los usuarios del sistema. Créelo con un editor de texto y denomínelo user-data. Este archivo se utilizará para habilitar el acceso a la instalación de SD-WAN Orchestrator. A continuación, se muestra un ejemplo de la apariencia del archivo user-data:

#cloud-config

password: Velocloud123

chpasswd: {expire: False}

ssh_pwauth: True

ssh_authorized_keys:

- ssh-rsa AAA...SDvz [email protected]

- ssh-rsa AAB...QTuo [email protected]

vco:

super_users:

list: |

[email protected]:password1

remove_default_users: True

system_properties:

list: |

mail.smtp.port:34

mail.smtp.host:smtp.yourdomain.com

service.maxmind.enable:True

service.maxmind.license:todo_license

service.maxmind.userid:todo_user

service.twilio.phoneNumber:222123123

network.public.address:222123123

write_files:

- path: /etc/nginx/velocloud/ssl/server.crt

permissions: '0644'

content: "-----BEGIN CERTIFICATE-----\nMI….ow==\n-----END CERTIFICATE-----\n"

- path: /etc/nginx/velocloud/ssl/server.key

permissions: '0600'

content: "-----BEGIN RSA PRIVATE KEY-----\nMII...D/JQ==\n-----END RSA PRIVATE

KEY-----\n"

- path: /etc/nginx/velocloud/ssl/velocloudCA.crt

Este archivo user-data permite que el usuario predeterminado, vcadmin, inicie sesión con una contraseña o con una clave SSH. El uso de ambos métodos es posible, pero no es obligatorio. El inicio de sesión con contraseña está habilitado mediante las líneas password y chpasswd.

n La línea password contiene la contraseña de texto sin formato para el usuario vcadmin.

n La línea chpasswd desactiva la caducidad de la contraseña para evitar que el primer inicio de sesión solicite un cambio de contraseña inmediatamente. Esta acción es opcional.

Nota Si establece una contraseña, se recomienda que la cambie cuando inicie sesión por primera vez, ya que la contraseña se almacena en un archivo de texto sin formato.


VMware, Inc. 13

La línea ssh_pwauth habilita el inicio de sesión SSH. La línea ssh_authorized_keys comienza un bloque de una o más claves autorizadas. Cada clave SSH pública enumerada en las líneas ssh-rsa se agregará al archivo ~/.ssh/authorized_keys de vcadmin.

En este ejemplo, se enumeran dos claves. En este ejemplo, la clave se truncó. En un archivo real, se debe enumerar toda la clave pública. Tenga en cuenta que las líneas ssh-rsa deben ir precedidas por dos espacios, seguidos por un guion, seguido por otro espacio.

En la sección vco se especifican los servicios de SD-WAN Orchestrator configurados.

super_users contiene una lista de cuentas de superoperador de VMware y las contraseñas correspondientes.

La sección system_properties permite personalizar las propiedades del sistema de Orchestrator. Consulte Capítulo 11 Propiedades del sistema para obtener más información sobre la configuración de las propiedades del sistema.

La sección write_files permite reemplazar archivos en el sistema. De forma predeterminada, los servicios web de SD-WAN Orchestrator se configuran con un certificado SSL autofirmado. Si desea proporcionar un certificado SSL diferente, el ejemplo anterior reemplaza los archivos server.crt y server.key en la carpeta /etc/nginx/velocloud/SSL/ con archivos proporcionados por el usuario.

Nota El archivo server.key debe estar sin cifrar. De lo contrario, el servicio no se iniciará sin la contraseña de clave.

Crear un archivo ISO

Una vez que haya completado los archivos, debe empaquetarlos en una imagen ISO. Esta imagen ISO se utiliza como un CD de configuración virtual con la máquina virtual. Esta imagen ISO, denominada vco01-cidata.iso, se crea con el siguiente comando en un sistema Linux:

genisoimage -output vco01-cidata.iso -volid cidata -joliet -rock user-data meta-data

Transfiera la imagen ISO recién creada al almacén de datos en el host que ejecuta VMware.

Instalar en VMware

VMware vSphere proporciona un medio para implementar y administrar recursos de máquinas virtuales. En esta sección se explica cómo ejecutar SD-WAN Orchestrator con VMware vSphere Client.

Implementar plantillas de OVA

Nota En este procedimiento, se asume que está familiarizado con VMware vSphere, no se ha escrito en referencia con ninguna versión específica de VMware vSphere.

1 Inicie sesión en vSphere Client.

2 Seleccione Archivo (File) > Implementar plantilla de OVF (Deploy OVF Template).


VMware, Inc. 14

3 Responda a los mensajes que le soliciten información específica de su implementación.

Campo Descripción

Origen (Source) Escriba una URL o desplácese hasta la ubicación del paquete de OVA.

Detalles de la plantilla de OVF (OVF template details)

Compruebe que apunta a la plantilla de OVA correcta para esta instalación.

Nombre y ubicación (Name and location)

Nombre de la máquina virtual.

Almacenamiento (Storage) Seleccione la ubicación en la que desea almacenar los archivos de la máquina virtual.

Aprovisionamiento (Provisioning) Seleccione el tipo de aprovisionamiento. Se recomienda el aprovisionamiento "fino" para volúmenes de registros binarios y bases de datos.

Asignación de red (Network mapping)

Seleccione la red para cada máquina virtual que se utilizará.

Importante Desmarque Encender después de la implementación (Power On After Deployment). Si se selecciona, se iniciará la máquina virtual y se debe iniciar más tarde, cuando se haya adjuntado la imagen ISO de cloud-init.

4 Haga clic en Finalizar (Finish).

Nota En función de la velocidad de la red, esta implementación puede tardar varios minutos, o incluso más.

Asociar una imagen ISO como un CD/DVD a una máquina virtual

1 Haga clic con el botón derecho en la máquina virtual de SD-WAN Orchestrator recién agregada y seleccione Editar configuración (Edit Settings).

2 En la ventana Propiedades de la máquina virtual (Virtual Machine Properties), seleccione Unidad de CD/DVD (CD/DVD Drive).

3 Seleccione la opción Utilizar una imagen ISO (Use an ISO image).

4 Desplácese hasta encontrar la imagen ISO que creó anteriormente (hemos denominado vco01-cidata.iso a la nuestra) y, a continuación, selecciónela. La imagen ISO puede encontrarse en el almacén de datos en el que se cargó, en la carpeta creada.

5 Seleccione Conectar al encender (Connect on Power On).

6 Haga clic en Aceptar (OK) para salir de la pantalla Propiedades (Properties).

Ejecutar la máquina virtual de SD-WAN Orchestrator

Para iniciar la máquina virtual de SD-WAN Orchestrator:

1 Haga clic para resaltarla y, a continuación, seleccione el botón Encender (Power On).


VMware, Inc. 15

2 Seleccione la pestaña Consola (Console) para ver cómo se arranca la máquina virtual.

Nota Si configuró la instancia de SD-WAN Orchestrator como se describe aquí, debe poder iniciar sesión en la máquina virtual con el nombre de usuario vcadmin y la contraseña que definió al crear la imagen ISO de cloud-init.

Instalar en KVM

En esta sección se explica cómo ejecutar SD-WAN Orchestrator mediante libvirt. Esta implementación se probó en Ubuntu 14.04 LTS.

Imágenes

Para la implementación de KVM, VMware proporcionará SD-WAN Orchestrator en tres imágenes qcow.

n OS

n DATABASE

n LOGS

Las imágenes tienen aprovisionamiento fino en la implementación.

Para empezar, copie las imágenes en el servidor de KVM. Además, tendrá que copiar la compilación ISO de cloud-init como se describe en la sección anterior.

Ejemplo de XML

Nota Para las imágenes en la carpeta imágenes/vco, deberá realizar la edición desde el archivo XML.

<domain type='kvm' id='49'>

<name>vco</name>

<uuid>b0ff25bc-72b8-6ccb-e777-fdc0f4733e05</uuid>

<memory unit='KiB'>12388608</memory>

<currentMemory unit='KiB'>12388608</currentMemory>

<vcpu>2</vcpu>

<resource>

<partition>/machine</partition>

</resource>

<os>

<type>hvm</type>

</os>

<features>

<acpi/>

<apic/>

<pae/>

</features>

<cpu mode='custom' match='exact'>

<model fallback='allow'>SandyBridge</model>

<vendor>Intel</vendor>

<feature policy='require' name='vme'/>


VMware, Inc. 16

<feature policy='require' name='dtes64'/>

<feature policy='require' name='invpcid'/>

<feature policy='require' name='vmx'/>

<feature policy='require' name='erms'/>

<feature policy='require' name='xtpr'/>

<feature policy='require' name='smep'/>

<feature policy='require' name='pbe'/>

<feature policy='require' name='est'/>

<feature policy='require' name='monitor'/>

<feature policy='require' name='smx'/>

<feature policy='require' name='abm'/>

<feature policy='require' name='tm'/>

<feature policy='require' name='acpi'/>

<feature policy='require' name='fma'/>

<feature policy='require' name='osxsave'/>

<feature policy='require' name='ht'/>

<feature policy='require' name='dca'/>

<feature policy='require' name='pdcm'/>

<feature policy='require' name='pdpe1gb'/>

<feature policy='require' name='fsgsbase'/>

<feature policy='require' name='f16c'/>

<feature policy='require' name='ds'/>

<feature policy='require' name='tm2'/>

<feature policy='require' name='avx2'/>

<feature policy='require' name='ss'/>

<feature policy='require' name='bmi1'/>

<feature policy='require' name='bmi2'/>

<feature policy='require' name='pcid'/>

<feature policy='require' name='ds_cpl'/>

<feature policy='require' name='movbe'/>

<feature policy='require' name='rdrand'/>

</cpu>

<clock offset='utc'/>

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/bin/kvm-spice</emulator>

<disk type='file' device='disk'>

<driver name='qemu' type='qcow2'/>

<source file='/ images/vco/vco-root.img'/>

<target dev='hda' bus='ide'/>

<alias name='ide0-0-0'/>

<address type='drive' controller='0' bus='0' target='0' unit='0'/>

</disk>i



<source file='/ images/vco/vco-db.img'/>

<target dev='hdb' bus='ide'/>



</disk>



<source file='/ images/vco/vco-binlog.img'/>


VMware, Inc. 17

<target dev='hdc' bus='ide'/>



</disk>

<disk type='file' device='cdrom'>

<driver name='qemu' type='raw'/>

<source file='/ images/vco/seed.iso'/>

<target dev='sdb' bus='sata'/>

<readonly/>

<alias name='sata1-0-0'/>


</disk>

<controller type='usb' index='0'>

<alias name='usb0'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x2'/>

</controller>

<controller type='pci' index='0' model='pci-root'>

<alias name='pci.0'/>

</controller>

<controller type='ide' index='0'>

<alias name='ide0'/>


</controller>

<interface type='direct'>

<source dev='eth0' mode='vepa'/>

</interface>

<serial type='pty'>

<source path='/dev/pts/3'/>

<target port='0'/>

<alias name='serial0'/>

</serial>

<console type='pty' tty='/dev/pts/3'>

<source path='/dev/pts/3'/>

<target type='serial' port='0'/>

<alias name='serial0'/>

</console>

<memballoon model='virtio'>

<alias name='balloon0'/>


</memballoon>

</devices>

<seclabel type='none' />



</domain>

Crear la máquina virtual

Para crear la máquina virtual con los comandos estándar de virsh:

virsh define vco.xml

virsh start vco.xml


VMware, Inc. 18

Instalar en AWS

En esta sección se describe cómo instalar SD-WAN Orchestrator en AWS.

Requisitos mínimos de instancia

Consulte la primera sección de la instalación de SD-WAN Orchestrator, denominada Requisitos de instancia, y seleccione un tipo de instancia de AWS que coincida con estos requisitos. Se deben cumplir los requisitos de CPU y memoria. Ejemplo: use c4.2xlarge o superior; r4.2xlarge o superior

Solicitar una imagen de AMI

Solicite un identificador de AMI desde VMware. Se compartirá con la cuenta del cliente. Tenga un identificador de cuenta de Amazon AWS preparado al solicitar acceso a AMI.

Instalación

1 Inicie la instancia de EC2 en la nube de AWS.

Ejemplo: http://docs.aws.amazon.com/es_es/efs/latest/ug/gs-step-one-create-ec2-resources.html

2 Configure el grupo de seguridad para permitir HTTP entrante (TCP/80) y HTTPS (TCP/443).

3 Después de que se inicie la instancia, dirija el navegador web a la URL de inicio de sesión de operador:

https://<nombre>/operator

Tareas de configuración inicial

Complete las siguientes tareas de configuración inicial:

n Configurar propiedades del sistema

n Configurar el perfil de operador inicial

n Configurar cuentas de operador

n Crear puertas de enlace

n Configurar grupos de puertas de enlace

n Crear la cuenta de cliente/cuenta de socio

Instalar un certificado SSL

En esta sección se describe cómo instalar un certificado SSL.

Para instalar un certificado SSL:

1 Inicie sesión en la consola de SD-WAN Orchestrator. Si configuró la instancia de SD-WAN Orchestrator como se describe aquí, debe poder iniciar sesión en la máquina virtual con el nombre de usuario vcadmin y la contraseña que definió al crear la imagen ISO de cloud-init.


VMware, Inc. 19

http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

http://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html

2 Genere la clave privada de SD-WAN Orchestrator.

Nota No cifre la clave. Debe mantenerse sin cifrar en el sistema SD-WAN Orchestrator.

openssl genrsa -out server.key 2048

3 Genere una solicitud de certificado. Personalice -subj de acuerdo con la información de su organización.

openssl req -new -key server.key -out

server.csr -subj "/C=US/ST=California/L=Mountain View/O=Velocloud Networks

Inc./OU=Development/CN=vco.velocloud.net"

Descripción de los campos del asunto:

Campo Descripción

C País

ST Estado

L Localidad (ciudad)

O Empresa

OU Departamento (opcional)

CN Nombre de dominio completo de SD-WAN Orchestrator

4 Envíe server.csr a una entidad de certificación para firmarla. Debe recuperar el certificado SSL (server.crt). Asegúrese de que esté en formato PEM.

5 Instale el certificado (que requiere acceso de usuario raíz). Los certificados SSL de SD-WAN Orchestrator se encuentran en /etc/nginx/velocloud/ssl/.

cp server.key server.crt /etc/nginx/velocloud/ssl/

chmod 600 /etc/nginx/velocloud/ssl/server.key

6 Reinicie nginx.

Service nginx restart

Configurar propiedades del sistema

En esta sección se describe cómo configurar las propiedades del sistema, que ofrecen un mecanismo para controlar el comportamiento de todo el sistema de VMware.

Las propiedades del sistema se pueden establecer inicialmente mediante el archivo de configuración cloud-init (consulte Crear el archivo de metadatos de cloud-init). Es necesario configurar las siguientes propiedades para garantizar el funcionamiento correcto del servicio.


VMware, Inc. 20

Nombre del sistema

Introduzca un nombre de dominio de VMware plenamente cualificado en la propiedad del sistema network.public.address.

Google Maps

Google Maps se utiliza para mostrar las instancias de Edge y los centros de datos en un mapa. Es posible que los mapas no se muestren sin una clave de licencia. Orchestrator seguirá funcionando correctamente, pero los mapas del navegador no estarán disponibles, en este caso.

1 Inicie sesión en https://console.developers.google.com.

2 Cree un nuevo proyecto, si aún no se ha creado uno.

3 Busque el botón Habilitar APIs (Enable API). Haga clic en la API de Google Maps (Google Maps APIs) y habilite las API de JavaScript de Google Maps (Google Maps JavaScript API) y las API de geolocalización de Google Maps (Google Maps Geolocation API).

4 En el lado izquierdo de la pantalla, haga clic en el vínculo Credenciales (Credentials).

5 En la página Credenciales, haga clic en Crear credenciales (Create Credentials) y, a continuación, seleccione Clave de API (API key). Cree una clave de API.

6 Establezca la propiedad del sistema service.client.googleMapsApi.key de VMware en la clave de API.

7 Establezca service.client.googleMapsApi.enable en "true".

Twilio

Twilio es un servicio de mensajería que le permite recibir alertas de VMware a través de SMS. Es opcional. La cuenta se puede aprovisionar en VMware a través de la página Propiedades del sistema (System Properties) del portal de operadores. Las propiedades son las siguientes:

n service.twilio.enable permite que se deshabilite el servicio en caso de que no haya acceso a Internet disponible para VMware

n service.twilio.accountSid

n service.twilio.authToken

n service.twilio.phoneNumber en formato (nnn)nnn-nnnn

Obtenga el servicio en https://www.twilio.com.


VMware, Inc. 21

https://console.developers.google.com/

https://www.twilio.com/

MaxMind

MaxMind es un servicio de geolocalización. Se utiliza para detectar automáticamente las ubicaciones de Edge y de puerta de enlace y los nombres de ISP en función de una dirección IP. Si este servicio está deshabilitado, será necesario actualizar la información de geolocalización de forma manual. La cuenta se puede aprovisionar en VMware a través de la página Propiedades del sistema (System Properties) del portal de operadores. Puede configurar lo siguiente:

n service.maxmind.enable permite que se deshabilite el servicio en caso de que no haya acceso a Internet disponible para VMware

n service.maxmind.userid contiene la identificación de usuario proporcionada por MaxMind durante la creación de la cuenta

n service.maxmind.license incluye la clave de licencia proporcionada por MaxMind

Obtenga la licencia en: https://www.maxmind.com/en/geoip2-precision-city-service.

Correo electrónico

Los servicios de correo electrónico se pueden utilizar para enviar los mensajes de activación de Edge, así como para alarmas y notificaciones. No es un requisito, pero se recomienda encarecidamente configurarlo como parte de las operaciones de VMware. Las siguientes propiedades del sistema están disponibles para configurar el servicio de correo electrónico externo que utiliza Orchestrator:

n mail.smtp.auth.pass: contraseña de usuario de SMTP.

n mail.smtp.auth.user: usuario SMTP para la autenticación.

n mail.smtp.host: servidor de retransmisión del correo electrónico originado desde VMware.

n mail.smtp.port: puerto SMTP.

n mail.smtp.secureConnection: utilice SSL para el tráfico SMTP.

Actualizar SD-WAN Orchestrator

En esta sección se describe cómo actualizar SD-WAN Orchestrator.

Para actualizar SD-WAN Orchestrator:

1 El soporte de VMware SD-WAN by VeloCloud le brindará ayuda para realizar la actualización. Recopile la siguiente información antes de ponerse en contacto con el equipo de soporte.

n Proporcione las versiones actuales y de destino de SD-WAN Orchestrator, por ejemplo: versión actual (ie 2.5.2 GA-20180430), versión de destino (3.3.2 P2).

Nota Para la versión actual, esta información se puede encontrar en la esquina superior derecha de Orchestrator de SD-WAN haciendo clic en el vínculo Ayuda (Help) y eligiendo Acerca de (About).


VMware, Inc. 22

https://www.maxmind.com/en/geoip2-precision-city-service

n Proporcione una captura de pantalla del panel de control de replicación de SD-WAN Orchestrator, como se muestra a continuación.

n Tipo y versión de hipervisor (ie vSphere 6.7)

n Comandos de SD-WAN Orchestrator:

Nota Los comandos se deben ejecutar como raíz (por ejemplo, "sudo <command>" o "sudo-i").

n Diseño de LVM

n pvdisplay -v

n vgdisplay -v

n lvdisplay -v

n df -h

n cat /etc/fstab

n Información de la memoria

n free -m

n cat /proc/meminfo

n ps -ef

n top -b -n 2

n Información de la CPU

n cat /proc/cpuinfo

n Copia de /var/log

n tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log


VMware, Inc. 23

n Desde la instancia de Orchestrator en espera:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'

n Desde la instancia de Orchestrator activa:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'

2 Póngase en contacto con el equipo de soporte de VMware SD-WAN Orchestrator en https://kb.vmware.com/s/article/53907 con la información mencionada anteriormente para obtener ayuda con la actualización de SD-WAN Orchestrator.

Expandir el tamaño del disco (VMware)

El volumen de la base de datos es un dispositivo LVM. Puede cambiar su tamaño en línea si proporciona la tecnología de virtualización subyacente que admite la expansión de discos en línea.

Para expandir el tamaño del disco:

1 Inicie sesión en la consola del sistema SD-WAN Orchestrator.

2 Identifique los discos físicos que subyacen tras el volumen de la base de datos.

vgs -o +devices db_data

Ejemplo:

root@vco:~# vgs -o +devices db_data

\ VG #PV #LV #SN Attr VSize VFree Devices

db_data 1 1 0 wz--n- 500.00g 125.00g /dev/sdb(0)

3 Identifique el archivo adjunto del disco físico.

lshw -class volume

Ejemplo:

/dev/sdb is attached to scsi@2:0.1.0 (Host: scsi2 Channel: 00 Id: 01 Lun: 00)

root@vco:~# lshw -class volume

*-volume

description: EXT4 volume

vendor: Linux

physical id: 1

bus info: scsi@2:0.0.0,1

logical name: /dev/sda1

logical name: /

version: 1.0

serial: 9d212247-77c4-4f98-a5c2-7f8470fa2da8

size: 10239MiB


VMware, Inc. 24

https://kb.vmware.com/s/article/53907


capacity: 10239MiB

capabilities: primary bootable journaled extended_attributes large_files huge_files

dir_nlink recover extents ext4 ext2 initialized

configuration: created=2016-02-22 20:49:38 filesystem=ext4 label=cloudimg-rootfs

lastmountpoint=/ modified=2016-02-22 21:18:58 mount.fstype=ext4

mount.options=rw,relatime,data=ordered mounted=2016-10-06 23:22:04 state=mounted

*-disk:1

description: SCSI Disk

physical id: 0.1.0

bus info: scsi@2:0.1.0

logical name: /dev/sdb

serial: v5V2zm-Lvbh-Mfx3-W8ki-COI9-DAtP-RXndhu

size: 500GiB

capacity: 500GiB

capabilities: lvm2

configuration: sectorsize=512

*-disk:2

description: SCSI Disk

physical id: 0.2.0

bus info: scsi@2:0.2.0

logical name: /dev/sdc

serial: fTQFJ2-giAV-WsXL-1Wha-V305-oQkV-qqS3SA

size: 100GiB

capacity: 100GiB

capabilities: lvm2

configuration: sectorsize=512

4 En el host del hipervisor, busque el disco conectado a la máquina virtual mediante la información de bus. Ejemplo: SCSI(0:1)

5 Amplíe el disco virtual. Para obtener instrucciones, consulte el artículo 1004047 de la base de conocimientos de VMware: http://kb.vmware.com/kb/1004047

6 Vuelva a iniciar sesión en la consola del sistema SD-WAN Orchestrator.

7 Vuelva a analizar el dispositivo de bloqueo para comprobar el volumen físico cuyo tamaño ha cambiado. Ejemplo:

echo 1 > /sys/block/$DEVICE/device/rescan

Ejemplo:

echo 1 > /sys/block/sdb/device/rescan

8 Cambie el tamaño del disco físico LVM.

pvresize /dev/sdb

9 Determine la cantidad de espacio libre en el grupo de volumen de base de datos.

vgdisplay db_data |grep Free


VMware, Inc. 25

Ejemplo:

root@vco:~# vgdisplay db_data |grep Free

Free PE / Size 34560 / 135.00 GiB

10 Amplíe el volumen lógico de la base de datos.

lvextend -L+#G /dev/db_data/vco

Ejemplo:

root@vco:~# lvextend -L+10G /dev/db_data/vco

Extending logical volume vco to 385.00 GiB

Logical volume vco successfully resized

11 Cambie el tamaño del sistema de archivos de volumen de base de datos:

resize2fs /dev/db_data/vco

Ejemplo:

root@vco:~# resize2fs /dev/db_data/vco

resize2fs 1.42.9 (4-Feb-2014)

Filesystem at /dev/db_data/vco is mounted on /store; on-line resizing required

old_desc_blocks = 24, new_desc_blocks = 25

The filesystem on /dev/db_data/vco is now 100924416 blocks long.

12 Consulte el nuevo tamaño del volumen.

df -h /dev/db_data/vco

Ejemplo:

root@vco:~# df -h /dev/db_data/vco

Filesystem Size Used Avail Use% Mounted on

/dev/mapper/db_data-vco 379G 1.2G 359G 1% /store


VMware, Inc. 26

Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores

6Describe cómo iniciar sesión en SD-WAN Orchestrator mediante el inicio de sesión único (SSO) como usuario operador.

Para iniciar sesión en SD-WAN Orchestrator mediante SSO como usuario operador:

Nota Si se produce un error en otros mecanismos de autenticación, siempre debe haber un superusuario operador nativo como reserva del sistema.

Requisitos previos

n Asegúrese de haber configurado la autenticación de SSO en SD-WAN Orchestrator. Para obtener más información, consulte Configurar el inicio de sesión único para el usuario operador.

n Asegúrese de haber configurado las funciones, los usuarios y la aplicación de OpenID Connect (OIDC) con SSO para sus proveedores de identidades (Identity Provider, IDP) preferidos. Para obtener más información, consulte Configurar un IDP para Single Sign On.

Procedimiento

1 En un navegador web, inicie una aplicación SD-WAN Orchestrator como usuario operador.

Aparecerá la pantalla Consola de operaciones de VMware SD-WAN (VMware SD-WAN Operations Console).

VMware, Inc. 27

2 Haga clic en Iniciar sesión con su proveedor de identidad (Sign In With Your Identity Provider).

El IDP configurado para SSO autenticará al usuario y lo redirigirá a la URL de SD-WAN Orchestrator configurada.

Nota Una vez que los usuarios inicien sesión en SD-WAN Orchestrator mediante SSO, no podrán iniciar sesión de nuevo como usuarios nativos.


VMware, Inc. 28

Supervisar clientes 7Como usuario operador, puede supervisar el estado de sus clientes junto con las instancias de Edge conectadas a los clientes.

En el portal de operadores, haga clic en Supervisar clientes (Monitor Customers).

En Intervalo de actualización (Refresh Interval), puede poner en pausa la supervisión o elegir el intervalo de tiempo para actualizar el estado de supervisión.

La Página Supervisar clientes (Monitor Customers) muestra los detalles siguientes:

Clientes (Customers):

n Clientes administrados por el operador.

n Número de clientes que están activos, inactivos y no activados. Haga clic en el número para ver los detalles correspondientes del cliente en el panel inferior.

n En el panel inferior, haga clic en el vínculo al nombre del cliente para acceder al portal de empresas, donde puede configurar otros ajustes que correspondan al cliente seleccionado. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

Instancias de Edge (Edges):

n Instancias de Edge asociadas con los clientes.

VMware, Inc. 29

n Número de instancias de Edge que están inactivas, degradadas, conectadas y no activadas. Haga clic en el número para ver los detalles correspondientes de las instancias de Edge en el panel inferior.

n En el panel inferior, coloque el cursor del ratón en la flecha hacia abajo que aparece junto al número de instancias de Edge para ver los detalles de cada instancia de Edge. Haga clic en el vínculo del nombre de Edge para acceder al portal de supervisión empresarial, donde puede ver más detalles correspondientes a la instancia de Edge seleccionada. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.


VMware, Inc. 30

Administrar clientes 8La opción Administrar clientes (Manage Customers) le permite crear nuevos clientes, configurar las capacidades del cliente, clonar la configuración existente y configurar otros ajustes de los clientes.

En el panel Operador (Operator), haga clic en Administrar clientes (Manage Customers). Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo cliente (New Customer): crea un nuevo cliente. Consulte Crear un nuevo cliente.

n Clonar cliente (Clone Customer): crea un nuevo cliente mediante la clonación de las configuraciones existentes del cliente seleccionado. Consulte Clonar un cliente.

n Modificar cliente (Modify Customer): se desplaza hasta la Configuración del sistema (System Settings) en el portal de empresas, donde puede configurar otros ajustes que correspondan al cliente seleccionado. También puede hacer clic en el nombre de un cliente para acceder al portal de empresas. Para obtener más información, consulte la Guía de administración de VMware SD-WAN.

n Eliminar cliente (Delete Customer): elimina los clientes seleccionados. Antes de eliminar el cliente, asegúrese de haber eliminado todas las instancias de Edge asociadas al cliente seleccionado.

n Transferir al socio (Transfer to Partner): asigna los clientes seleccionados a un socio. Puede seleccionar un socio existente en la lista desplegable y también elegir si desea delegar los privilegios en un operador y un socio.

n Liberar del socio (Release from Partner): libera el cliente seleccionado del socio.

n Correo electrónico de soporte (Support Email): envía mensajes de soporte al cliente seleccionado.

n Actualizar notificaciones previas (Update Pre-notifications): habilita o deshabilita las alertas de notificación previa para los clientes seleccionados.

n Actualizar alertas de cliente (Update Customer Alerts): habilita o deshabilita las alertas para los clientes seleccionados.

n Reequilibrar puertas de enlace (Rebalance Gateways): vuelve a equilibrar las puertas de enlace de las instancias de Edge asociadas con el cliente seleccionado.

VMware, Inc. 31

n Exportar todos los clientes (Export All Customers): exporta los detalles de todos los clientes en el portal de operadores a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.

n Exportar inventario de Edge de cliente (Export Customer Edge Inventory): exporta los detalles del inventario de todas las instancias de Edge asociadas con todos los clientes a un archivo CSV. Se utiliza la coma (,) como separador predeterminado, aunque se puede cambiar por cualquier otro carácter especial.


n Crear un nuevo cliente

n Clonar un cliente

n Configurar clientes

Crear un nuevo cliente

En el portal de operadores, puede crear clientes y configurar los ajustes del cliente.

Solo los superusuarios operadores, los operadores estándar y los operadores especialistas de negocio pueden crear un nuevo cliente.

Nota Como superusuario operador, puede deshabilitar temporalmente la creación de clientes nuevos si configura la propiedad del sistema session.options.disableCreateEnterprise como Verdadero (True). Puede utilizar esta opción cuando SD-WAN Orchestrator supere la capacidad de uso.

En el portal de operadores, desplácese hasta Administrar clientes (Manage Customers).

1 En la página Clientes (Customers), haga clic en Nuevo cliente (New Customer) o haga clic en Acciones (Actions) > Nuevo cliente (New Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Clonar del cliente (Clone from Customer) si desea clonar las configuraciones de un cliente existente. Para obtener más información, consulte Clonar un cliente.


VMware, Inc. 32

Información del cliente (Customer Information)

Opción Descripción

Nombre de la empresa (Company Name) Introduzca el nombre de su empresa

Número de cuenta (Account Number) Introduzca un identificador único del cliente

Dominio (Domain) Introduzca el nombre de dominio de su empresa

Acceso al soporte técnico de VeloCloud (VeloCloud Support Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico de VMware para ver, configurar y solucionar los problemas de las instancias de Edge conectadas al cliente.

Por motivos de seguridad, el equipo de soporte técnico no puede ver la información de identificación de los usuarios ni acceder a ella.

Acceso a la administración de usuarios de VeloCloud (VeloCloud User Management Access)

Seleccione la casilla de verificación para habilitar que el soporte técnico de VMware pueda ayudar en la administración de usuarios. La administración de usuarios incluye opciones para crear usuarios, restablecer contraseñas y configurar otros ajustes. En este caso, el equipo de soporte obtiene acceso a la información de identificación del usuario.

Calle (Street Address), Ciudad (City), Estado (State), País (Country), Código postal (ZIP/Postcode)

Introduzca los detalles de la dirección relevante en los campos correspondientes.


VMware, Inc. 33

Cuenta administrativa (Administrative Account)


Nombre de usuario (Username) Introduzca el nombre de usuario en el formato [email protected].

Contraseña (Password) Introduzca una contraseña para el administrador.

Confirmar (Confirm) Vuelva a introducir la contraseña.

Nombre (First Name), Apellido (Last Name), Teléfono (Phone), Teléfono móvil (Mobile Phone)

Introduzca los detalles, como el nombre y el número de teléfono, en los campos adecuados.

Correo electrónico de contacto (Contact Email) Introduzca la dirección de correo electrónico. Las alertas de estado del servicio se envían a esta dirección de correo electrónico.

Configuración del cliente (Customer Configuration)


Perfil de operador (Operator Profile) Seleccione un perfil de operador existente en la lista desplegable. Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador.

Grupo de puertas de enlace (Gateway Pool) Seleccione un grupo de puertas de enlace existente en la lista desplegable. Para obtener más información sobre los grupos de puertas de enlace, consulte Grupos de puertas de enlace.

Autenticación de Edge predeterminada (Default Edge Authentication)

Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en la lista desplegable.

Licencias de Edge (Edge Licensing) Haga clic en Agregar (Add) para seleccionar las licencias de Edge en la lista disponible. Después de agregar las licencias, puede hacer clic en Modificar (Modify) para agregar o eliminar las licencias.

Nota Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Capítulo 16 Licencias de Edge.

3 Haga clic en Crear (Create).

El nuevo nombre de cliente se muestra en la página Clientes (Customers). Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar configuraciones al cliente. Para obtener más información, consulte Configurar clientes y la Guía de administración de VMware SD-WAN.


VMware, Inc. 34

Clonar un cliente

Puede clonar las configuraciones de un cliente existente y crear un nuevo cliente con la configuración clonada.

Solo los superusuarios operadores y los superusuarios de MSP pueden clonar un cliente.

De forma predeterminada, las siguientes configuraciones se clonan desde el cliente seleccionado:

n Perfiles de configuración de empresa

n Servicios y objetos de la red de empresa, como:

n Servicios de DNS

n Nombres de redes privadas

n Segmentos de red

n Capacidades del cliente

n Esquema de autenticación de Edge

n Grupos de direcciones y puertos

No puede clonar una empresa si está compuesta por lo siguiente:

n Perfil con referencias de Edge, como hubs, clústeres, etc.

n Servicio de seguridad de nube habilitado

n Non VMware SD-WAN Sites

n VNF o licencias de VNF

n Servicios de autenticación

n Objetos de NetFlow, como recopiladores o filtros

En el portal de operadores, desplácese hasta Administrar clientes (Manage Customers).

1 En la página Clientes (Customers), seleccione el cliente que desea clonar y haga clic en Acciones (Actions) > Clonar cliente (Clone Customer).

2 En la ventana Nuevo cliente (New Customer), introduzca los siguientes detalles. También puede elegir la opción Nuevo cliente (New Customer) para crear un nuevo cliente sin clonar las configuraciones del cliente seleccionado. Consulte Crear un nuevo cliente.


VMware, Inc. 35

Clonar configuración (Clone Configuration)


Cliente de plantilla (Template Customer) De forma predeterminada, se tiene en cuenta el cliente seleccionado a efectos de clonación. Si es necesario, puede seleccionar un cliente diferente en la lista desplegable.

Si un cliente o una empresa no cumplen con las condiciones de clonación adecuadas, como se indica al principio de esta sección, no estará disponible en la lista desplegable. Esta lista solo muestra el nombre de los clientes que se pueden clonar.

Atributos de clonación adicionales (Additional Clone Attributes)

Además de las configuraciones clonadas predeterminadas, puede seleccionar los siguientes ajustes que se van a clonar, según sea necesario:

n Directiva de seguridad (Security Policy)

n Configuración de alertas (Alert Configuration)

n Preferencias de enrutamiento global (Global Routing Preferences)

n Suscripciones de IaaS (IAAS Subscriptions)


VMware, Inc. 36

Introduzca los detalles de Información del cliente (Customer Information) y Cuenta administrativa (Administrative Account), como se describe en Crear un nuevo cliente.

En la sección Configuración del cliente (Customer Configuration), el perfil de operador, el grupo de puertas de enlace y la autenticación de Edge predeterminada se clonan desde el cliente seleccionado. Si es necesario, puede modificar la configuración.

Para las licencias de Edge, haga clic en Agregar (Add) para incluir las licencias de Edge de la lista disponible.


El nuevo nombre de cliente se muestra en la página Clientes (Customers). El cliente ya está configurado con la configuración clonada. Puede hacer clic en el nombre del cliente para acceder al portal de empresas y agregar o modificar la configuración. Para obtener más información, consulte Configurar clientes y la Guía de administración de VMware SD-WAN.

Configurar clientes

Después de crear un cliente, configure las opciones y los ajustes a los que puede acceder el cliente. Como operador, puede seleccionar los ajustes que el cliente o la empresa puede modificar.

Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente.

También puede desplazarse hasta la página de configuración desde la página Administrar clientes (Manage Customers) en el portal de Orchestrator. Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer) para poder configurar los siguientes ajustes.


VMware, Inc. 37

Capacidades del cliente (Customer Capabilities)


VMware, Inc. 38

Puede habilitar o deshabilitar las siguientes capacidades para el cliente seleccionado:

Nota Para habilitar las capacidades del cliente, se debe asignar un valor True a todas las propiedades del sistema asociadas con ellas. Para obtener más información, consulte Capítulo 11 Propiedades del sistema.

n Habilitar autenticación empresarial (Enable Enterprise Auth): de forma predeterminada, solo el operador puede habilitar o deshabilitar la autenticación en dos fases para una empresa. Al habilitar esta capacidad, los administradores empresariales pueden configurar la autenticación en dos fases por su cuenta.

n Habilitar el registro de firewall en Orchestrator (Enable Firewall logging to Orchestrator): permite al usuario empresarial habilitar o deshabilitar el registro de la información de firewall en Orchestrator, en el nivel de perfil y en el nivel de Edge. Cuando el registro del firewall está habilitado, puede supervisar los registros del firewall en el portal de empresas.

n Habilitar redes heredadas (Enable Legacy Networks): permite que la empresa utilice redes heredadas. No puede habilitar esta opción si está utilizando un perfil de operador basado en segmentos.

n Habilitar servicio Premium (Enable Premium Service): permite utilizar los servicios Premium.

n Habilitar segmentación (Enable Segmentation): permite configurar segmentos.

n Habilitar firewall con estado (Enable Stateful Firewall): permite al usuario empresarial habilitar o deshabilitar la función de firewall con estado en el nivel de perfil y de Edge.

n Delegar la administración al cliente (Delegate Management To Customer): las siguientes opciones están siempre visibles para los clientes. Cuando habilite estas opciones, los clientes podrán modificar los ajustes.

n Asignación de CoS (CoS Mapping)

n Limitación de velocidad de servicio

Las opciones Habilitar servicio Premium (Enable Premium Service), Habilitar segmentación (Enable Segmentation) y Habilitar firewall con estado (Enable Stateful Firewall) se encuentran habilitadas de forma predeterminada.

Directiva de seguridad (Security Policy)

Elija los siguientes estándares de IPSec que se aplicarán a los túneles VCMP entre las instancias de Edge.

n Hash: de forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN. Cuando está deshabilitado el modo Galois/Contador (Galois/Counter Mode, GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN en la lista desplegable que aparece:

n SHA 1

n SHA 256


VMware, Inc. 39

n Cifrado (Encryption): AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) y AES 256-CBC son los modos de algoritmos de cifrado que se utilizan para proporcionar confidencialidad. Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. Cuando la casilla de verificaciónDeshabilitar GCM (Disable GCM) no está seleccionada, el modo de algoritmo de cifrado predeterminado es AES 128-GCM.

n Grupo DH (DH Group): seleccione el algoritmo de grupo Diffie– Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5 y 14. Se recomienda utilizar el grupo de DH 14.

n PFS: seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2 y 5. De forma predeterminada, PFS está deshabilitado.

n Deshabilitar GCM (Disable GCM): de forma predeterminada, AES 128-GCM está habilitado. Si es necesario, seleccione la casilla de verificación para deshabilitar este modo. Al deshabilitar la casilla de verificación, se habilitará el modo AES 128-CBC.

Nota Cuando se modifican los ajustes de seguridad, los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.

Segmentos máximos (Maximum Segments)

Introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16.

Cálculo de costes de OFC (OFC Cost Calculation)

De forma predeterminada, Orchestrator calcula el coste de las rutas a partir de las rutas conocidas que recibe de las instancias de Edge y las puertas de enlace. Puede optar por distribuir el cálculo de costes a las instancias de Edge y las puertas de enlace, lo cual reduce el consumo y la carga de recursos de Orchestrator.

Debe actualizar todas las instancias de Edge y las puertas de enlace a la versión 3.4.0 o una versión posterior para habilitar la función de Cálculo de costes distribuidos (Distributed Cost Calculation) en la ventana de mantenimiento.

Seleccione la casilla de verificación Cálculo de costes distribuidos (Distributed Cost Calculation) para delegar el cálculo de costes de las rutas a las instancias de Edge y las puertas de enlace.

El cálculo de costes solo se realiza para rutas dinámicas (BGP y OSPF). Para ver un resumen de todas las rutas de la red, haga clic en Configurar (Configure) > Control de flujo superpuesto (Overlay Flow Control) en el portal de empresas. También puede editar los ajustes en la página Control de flujo superpuesto (Overlay Flow Control) para modificar la acción de anuncio para los distintos tipos de rutas.


VMware, Inc. 40

Después de habilitar Cálculo de costes distribuidos (Distributed Cost Calculation), la opción Actualizar rutas (Refresh Routes) está disponible en la página Control de flujo superpuesto (Overlay Flow Control).

Al hacer clic en Actualizar rutas (Refresh Routes), esta opción obliga a las instancias de Edge y las puertas de enlace a volver a calcular los costes de ruta aprendidos y enviarlos a Orchestrator. Esto aumentaría considerablemente los datos enviados desde las instancias de Edge y las puertas de enlace a Orchestrator. Por lo tanto, se recomienda utilizar esta opción en la ventana de mantenimiento. Además, al hacer clic en Actualizar rutas (Refresh Routes), se aplican los cambios de Marcas de anuncio globales (Global Advertise Flags) a las rutas nuevas y existentes.

Puede restablecer el cálculo de costes de las subredes cuando haya rutas fijadas disponibles. Haga clic en la opción Editar (Edit) para una subred.

Haga clic en Restablecer (Reset), que permite a Orchestrator borrar las rutas fijadas, volver a calcular el coste de la subred seleccionada en función de la directiva y enviar los resultados a las instancias de Edge y las puertas de enlace.


VMware, Inc. 41

NFV de Edge (Edge NFV)

Seleccione las siguientes opciones que permiten a los clientes implementar funciones de red virtual (VNF) de terceros en plataformas de Edge listas para el servicio.

Actualmente, los modelos de plataforma Edge listos para el servicio son 520v y 840. Como usuario operador, cuando habilita Edge NFV, los clientes pueden configurar e implementar VNF y licencias de VNF desde sus servicios de red.

n Habilitar NFV de Edge (Enable Edge NFV): seleccione esta opción para habilitar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede deshabilitar esta opción.

n VNF de seguridad (Security VNFs): seleccione las casillas de verificación correspondientes junto a VNF de terceros indicadas para implementar VNF de seguridad correspondientes en las instancias de Edge.

Perfil de operador (Operator Profile)

Se muestra el perfil de operador actual asociado al cliente seleccionado. Si es necesario, puede seleccionar un perfil de operador diferente disponible en la lista desplegable.

Al cambiar a otro perfil de operador, tenga en cuenta las siguientes restricciones:

n Si cambia de un perfil de operador basado en segmentos a un perfil de operador basado en red, las instancias de Edge de la empresa para el perfil basado en segmentos no recibirán ninguna actualización de imagen de software.

n Si cambia de un perfil de operador basado en red a un perfil de operador basado en segmentos, las instancias de Edge de la empresa para el perfil basado en red no recibirán ninguna actualización de imagen de software.

Grupo de puertas de enlace (Gateway Pool)

Se muestra el grupo de puertas de enlace actual asociado al cliente seleccionado. Si es necesario, puede seleccionar un grupo de puertas de enlace diferente disponible en la lista desplegable.

Si las puertas de enlace disponibles en el grupo se han asignado con la función Puerta de enlace de socio (Partner Gateway), puede entregarlas a los socios. Seleccione Habilitar entrega a socios (Enable Partner Handoff) para configurar las opciones de entrega de los segmentos y las puertas de enlace. Para obtener más información, consulte Configurar la entrega a socios.

Otras opciones (Other Settings)

Esta opción solo está disponible cuando se ha habilitado la opción Acuerdo de usuario (User Agreement). Puede sustituir los ajustes de visualización predeterminados del acuerdo de usuario si selecciona la opción correspondiente en la lista desplegable Visualización del acuerdo del usuario (User Agreement Display). De forma predeterminada, el cliente hereda el modo de visualización establecido en las propiedades del sistema. Para obtener más información, consulte Capítulo 20 Administrar acuerdos de usuario.


VMware, Inc. 42

Una vez que realice todos los cambios en las configuraciones, haga clic en Guardar cambios (Save Changes).

Configurar la entrega a socios

Puede configurar una puerta de enlace para la entrega a los socios. La puerta de enlace actúa como puerta de enlace de socio, y se pueden configurar varios ajustes, como Interfaz de entrega (Hand off Interface), Rutas estáticas (Static Routes) y BGP, entre otros.

Asegúrese de que la puerta de enlace que se debe entregar esté asignada con la función Puerta de enlace de socio (Partner Gateway). En el portal de Orchestrator, haga clic en Puertas de enlace (Gateways) y haga clic en el vínculo a una puerta de enlace existente. En la sección Propiedades (Properties) de la puerta de enlace seleccionada, puede habilitar la función Puerta de enlace de socio (Partner Gateway).

Para configurar los ajustes de entrega, vaya a la página Configuración del cliente (Customer Configuration).

n En el portal de Orchestrator, haga clic en Administrar clientes (Manage Customers).

n Seleccione el cliente y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al cliente.

n En el portal de clientes o de empresas, haga clic en Configurar (Configure) > Cliente (Customer).

n En Configuración del cliente (Customer Configuration), desplácese hasta la sección Grupo de puertas de enlace (Gateway Pool) y seleccione la casilla de verificación Habilitar entrega a socios (Enable Partner Handoff).


VMware, Inc. 43

Configure los siguientes ajustes:

Prioridad de BGP del cliente (Customer BGP Priority)

n Seleccione Habilitar asignación de comunidad (Enable Community Mapping) para establecer los atributos de comunidad que se deben etiquetar en las rutas de BGP anunciadas.

n La asignación de comunidad se establece en todos los segmentos de forma predeterminada. Si desea configurar los atributos de comunidad de un segmento específico, elija Por segmento (Per Segment) y seleccione el segmento en la lista desplegable.

n Seleccione la casilla de verificación Aditivo de comunidad (Community Additive) para habilitar la opción de aditivo asociada a una configuración de comunidad automática en particular. Esta opción conserva los atributos de comunidad entrantes de un prefijo que se recibe de la superposición y anexa la comunidad automática configurada a dicho prefijo en la puerta de enlace de socio. Como resultado, el lado de la instancia de Edge del proveedor (Provider Edge, PE) de conmutación de etiquetas multiprotocolo (Multi-Protocol Label Switching, MPLS) recibe prefijos con todos los atributos de comunidad, incluidos los de comunidad automática.

n Introduzca los atributos de comunidad en los campos Comunidad (Community) y Comunidad 2 (Community 2). Haga clic en el icono de signo más (+) para agregar otros atributos de comunidad.


VMware, Inc. 44

Configurar entrega (Configure Hand Off)

n De forma predeterminada, la configuración de entrega se aplica a todas las puertas de enlace. Si desea configurar una puerta de enlace específica, elija Por puerta de enlace (Per Gateway) y seleccione la puerta de enlace en la lista desplegable.

n De forma predeterminada, la configuración de entrega se aplica a todos los segmentos. Si desea configurar un segmento específico, seleccione el Segmento (Segment) en la lista desplegable.

n Para configurar todas las puertas de enlace, haga clic en la opción Editar (Edit). Si seleccionó una puerta de enlace en particular, haga clic en el vínculo Haga clic aquí para configurar (Click here to configure).

Al realizar esta acción, aparece la ventana Detalles de la entrega (Hand Off Details), donde puede configurar los siguientes ajustes:


VMware, Inc. 45


Interfaz de entrega (Hand Off Interface)

Tipo de etiqueta (Tag Type) Elija el tipo de etiqueta, es decir, la encapsulación que utiliza la puerta de enlace para entregar el tráfico del cliente al enrutador. A continuación se muestran los tipos de etiquetas disponibles:

n Ninguna (None): sin etiquetar. Elija esto para las entregas de un solo tenant o con enrutamiento y reenvío virtual (Virtual Routing and Forwarding, VRF) de servicios compartidos.

n 802.1q: etiqueta de VLAN única.

n 802.1ad/QinQ(0x8100)/QinQ(0x9100): etiqueta de VLAN doble.

VLAN de transporte (Transport VLAN) Esta opción solo está disponible cuando se selecciona el tipo de etiqueta 802.1ad/QinQ(0x8100)/QinQ(0x9100). Seleccione el tipo de etiqueta para configurar las VLAN de transporte.

Etiqueta-C (C-Tag) (etiqueta de cliente) Introduzca la etiqueta de VLAN del cliente.

Etiqueta-S (S-Tag) (etiqueta de servicio) Introduzca la etiqueta de VLAN que define el proveedor de servicios.

Dirección IP local (Local IP Address) Introduzca la dirección IP local para la interfaz de entrega lógica.

Usar para túneles privados (Use for Private Tunnels) Seleccione esta casilla de verificación para que los vínculos privados de la red de área extensa (Wide Area Network, WAN) se conecten a la dirección IP privada de la puerta de enlace de socio. Cuando la conectividad WAN privada está habilitada en una puerta de enlace, Orchestrator audita para garantizar que cada puerta de enlace de una empresa tenga una dirección IP local única.

Anunciar a través de BGP (Advertise via BGP) Seleccione esta casilla de verificación para anunciar automáticamente la IP de WAN privada de la puerta de enlace de socio mediante BGP. La conectividad se proporciona mediante la dirección IP local existente.

Rutas estáticas (Static Routes): haga clic en el icono de signo más (+) para agregar otras rutas.

Subredes (Subnets) Introduzca la dirección IP de la subred de ruta estática que la puerta de enlace debería anunciar a la instancia de Edge.

Coste (Cost) Introduzca el coste de aplicar la ponderación en las rutas. El rango oscila entre 0 y 255.

Cifrar (Encrypt) Seleccione esta casilla de verificación para cifrar el tráfico entre la instancia de Edge y la puerta de enlace.

Entrega (Hand off) Seleccione el tipo de entrega VLAN o NAT.

Descripción (Description) De forma opcional, puede introducir un texto descriptivo para la ruta estática.

BGP


VMware, Inc. 46


Habilitar BGP (Enable BGP) Seleccione esta casilla de verificación para habilitar BGP y establecer la configuración correspondiente.

ASN del cliente (Customer ASN) Introduzca el número de sistema autónomo del cliente (Autonomous System Number, ASN).

IP del vecino (Neighbor IP) Introduzca la dirección IP de la red de vecinos configurada.

ASN de vecino (Neighbor-ASN) Introduzca el ASN de la red de vecinos.

Rutas de BGP seguras (Secure BGP Routes) Seleccione esta casilla de verificación si desea habilitar el cifrado para el reenvío de datos a través de las rutas de BGP.

Filtros entrantes/salientes de BGP (BGP Inbound/Outbound Filters): haga clic en el icono de signo más (+) para agregar más filtros.

Tipo (Type) (Coincidencia [Match]) Elija el tipo del atributo BGP que se debe tener en cuenta al establecer las coincidencias con el flujo de tráfico. Puede elegir entre Prefijo (Prefix) o Comunidad (Community).

Valor (Value) Introduzca el valor en función del atributo BGP seleccionado como tipo.

Coincidencia exacta (Exact Match) Seleccione esta casilla de verificación para que los atributos coincidan exactamente.

Tipo (Type) (Acción [Action]) Elija la acción que debe realizarse si se produce una coincidencia con el valor Verdadero (True). Puede permitir o denegar el tráfico.

Establecer (Set) Puede establecer los valores de los atributos de las rutas que coincidan con los criterios de filtro.

Elija entre los siguientes atributos e introduzca los valores correspondientes que se deben configurar para las rutas coincidentes:

n Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.

n Preferencia local (Local Preference)

n Comunidad (Community): también puede habilitar la opción Aditivo de comunidad (Community Additive).

n Métrica (Metric)

n Anteposición de AS-PATH (AS-Path-Prepend)

Configuración opcional de BGP (BGP Optional Settings)

Identificador de enrutador (Router ID) Introduzca el identificador de enrutador para identificar el enrutador BGP.

Conexión persistente (Keep Alive) Introduzca el tiempo de conexión persistente de BGP en segundos. El temporizador predeterminado es de 60 segundos.


VMware, Inc. 47


Temporizadores de retención (Hold Timers) Introduzca el tiempo de retención de BGP en segundos. El temporizador predeterminado es de 180 segundos.

Deshabilitar la continuación de AS-PATH (Disable AS-PATH Carry Over)

Seleccione esta casilla de verificación para deshabilitar la continuación de las rutas del sistema autónomo (Autonomous System, AS), de modo que, en las rutas de AS salientes, los enrutadores de capa 3 prefieran las rutas hacia PE. Si selecciona esta opción, asegúrese de ajustar la red para evitar los bucles de enrutamiento. Se recomienda no seleccionar esta casilla de verificación.

Haga clic en Actualizar (Update) para guardar la configuración. Asimismo, haga clic en Guardar cambios (Save Changes) en la página Configuración del cliente (Customer Configuration) para activar la configuración.


VMware, Inc. 48

Administrar socios 9La opción Administrar socios (Manage Partners) le permite crear nuevos socios, que pueden administrar de forma independiente un grupo de clientes.

En el panel Operador (Operator), haga clic en Administrar socios (Manage Partners). Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo socio (New Partner): crea un nuevo socio. Consulte Crear un nuevo socio.

n Modificar socio (Modify Partner): navega a la Descripción general del socio (Partner Overview) en el portal de socios, donde puede configurar otras opciones que correspondan al socio seleccionado. También puede hacer clic en el nombre de un socio para acceder al portal de socios. Para obtener más información, consulte Configurar la información de los socios.

n Eliminar socio (Delete Partner): elimina los socios seleccionados. Asegúrese de haber eliminado todos los clientes asociados al socio seleccionado antes de eliminar el socio.

n Agregar perfiles de operador (Add Operator Profiles): asigna un perfil de operador a los socios seleccionados, que especifica la configuración de red administrada por SD-WAN Orchestrator. Después de seleccionar los socios, haga clic en Acciones (Actions) > Agregar perfiles de operador (Add Operator Profiles). En la ventana Agregar perfil a los socios seleccionados (Add Profile to Selected Partners), seleccione un perfil de operador existente en la lista desplegable y haga clic en Enviar (Submit). Para obtener más información sobre los perfiles de operador, consulte Administrar perfiles de operador.


n Crear un nuevo socio

n Configurar la información de los socios

Crear un nuevo socio

En el portal de operadores, puede crear socios y configurar los ajustes para que los socios puedan administrar un grupo de clientes por su cuenta.

VMware, Inc. 49

Solo los superusuarios operadores, los operadores estándar y los operadores especialistas de negocio pueden crear un nuevo socio.

Nota Como superusuario operador, puede deshabilitar temporalmente la creación de socios nuevos si configura la propiedad del sistema session.options.disableCreateEnterpriseProxy como Verdadero (True). Puede utilizar esta opción cuando SD-WAN Orchestrator supere la capacidad de uso.

En el portal de operadores, desplácese hasta Administrar socios (Manage Partners).

1 En la página Administrar socios (Manage Partners), haga clic en Nuevo socio (New Partner) o haga clic en Acciones (Actions) > Nuevo socio (New Partner).

2 En la ventana Nuevo socio (New Partner), introduzca los siguientes detalles:


Nombre (Name) Introduzca el nombre del socio.

Dominio (Domain) Introduzca el nombre de dominio del socio.

Acceso al soporte técnico de VeloCloud (VeloCloud Support Access)

Esta opción está seleccionada de forma predeterminada y concede acceso al equipo de soporte técnico de VMware para ver, configurar y solucionar los problemas de los ajustes del socio.


VMware, Inc. 50


Conceder acceso de administración de puerta de enlace (Grant Gateway Management Access)

Seleccione la casilla de verificación para permitir que el socio cree y administre las puertas de enlace.

Calle (Street Address), Ciudad (City), Estado (State), País (Country), Código postal (ZIP/Postcode)

Introduzca los detalles de la dirección relevante en los campos correspondientes.

Cuenta de administrador de socios inicial (Initial Partners Admin Account)


Nombre de usuario (Username) Introduzca el nombre de usuario en el formato [email protected].

Contraseña (Password) Introduzca una contraseña para el socio.

Confirmar (Confirm) Vuelva a introducir la contraseña.

Nombre (First Name), Apellido (Last Name), Teléfono (Phone), Teléfono móvil (Mobile Phone)

Introduzca los detalles, como el nombre y el número de teléfono, en los campos adecuados.

Correo electrónico de contacto (Contact Email) Introduzca la dirección de correo electrónico. Las alertas de estado del servicio se envían a esta dirección de correo electrónico.

Propiedades predeterminadas (Default Properties)


VMware, Inc. 51

De forma predeterminada, las siguientes propiedades se asignan a los clientes que administra el socio. Si es necesario, el socio puede modificar la configuración de cada cliente.


Grupo de puertas de enlace (Gateway Pool) Haga clic en Agregar (Add) para seleccionar el grupo de puertas de enlace de la lista disponible. Después de agregar los grupos de puertas de enlace, puede hacer clic en Modificar (Modify) para agregar o eliminar los grupos.

Para obtener más información sobre los grupos de puertas de enlace, consulte Grupos de puertas de enlace.

Imagen de software (Software Image) Haga clic en Agregar (Add) para seleccionar la imagen de software de la lista disponible. Después de agregar la imagen de software, puede hacer clic en Modificar (Modify) para agregar o eliminar las imágenes.

Para obtener más información sobre las imágenes de software, consulte Capítulo 10 Imágenes de software.

Licencias de Edge (Edge Licensing) Haga clic en Agregar (Add) para seleccionar las licencias de Edge en la lista disponible. Después de agregar las licencias, puede hacer clic en Modificar (Modify) para agregar o eliminar las licencias. Esta opción solo está disponible cuando el valor de la propiedad del sistema session.options.enableEdgeLicensing se establece en Verdadero (True).

Nota Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los socios acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Capítulo 16 Licencias de Edge.


El nuevo nombre de socio se muestra en la página Administrar socios (Manage Partners). Puede hacer clic en el nombre del socio para acceder al portal de socios y agregar más configuraciones al socio. Consulte Configurar la información de los socios.

Configurar la información de los socios

Después de crear un socio, configure las opciones de funciones y los ajustes a los que puede acceder el socio. Como operador, puede elegir los ajustes que el socio puede modificar y utilizar para configurar los usuarios empresariales del socio.

Al crear un nuevo socio, se le redirige a la página Descripción general del socio (Partner Overview), donde puede configurar los ajustes del cliente.

También puede desplazarse hasta la página de descripción general desde la página Administrar socios (Manage Partners) en el portal de Orchestrator. Seleccione el socio y haga clic en Acciones (Actions) > Modificar (Modify) o haga clic en el vínculo al socio.


VMware, Inc. 52

En el portal de socios, haga clic en Descripción general del socio (Partner Overview) para configurar las siguientes opciones.

Capacidades del socio (Partner Capabilities)

n Habilitar administración de puertas de enlace (Enable Gateway Management): permite habilitar o deshabilitar a los usuarios de socios para que creen, configuren y administren sus propias puertas de enlace.

Imágenes de software disponibles (Available Software Images)

Muestra todas las imágenes de software asignadas al socio. Haga clic en Modificar (Modify) para agregar o eliminar imágenes de software de la lista.

Nota No se pueden eliminar las imágenes de software asignadas a un cliente.

Grupo de puertas de enlace (Gateway Pool)

Muestra los grupos de puertas de enlace asociados con el socio seleccionado. Haga clic en Modificar (Modify) para agregar o eliminar grupos de puertas de enlace de la lista.


VMware, Inc. 53

Imágenes de software 10El portal de Orchestrator permite a los usuarios operadores administrar las imágenes de software para las instancias de Edge asociadas.

Para administrar las imágenes de software:

n En el portal de operadores, haga clic en Imágenes de software (Software Images).

n Haga clic en Cargar imagen de software (Upload Software Image) y seleccione el archivo de imagen. Orchestrator valida el paquete y lo carga en el portal. Puede cargar varias imágenes de software en el portal.

n Los paquetes cargados se muestran en la página Imágenes de software (Software Images).

n Puede modificar el nombre y la descripción del paquete. Haga clic en el vínculo del nombre de la imagen o seleccione la imagen y haga clic en Acciones (Actions) > Modificar imagen de software (Modify Software Image) para actualizar los detalles.

n Para eliminar un paquete del portal, seleccione la imagen y haga clic en Acciones (Actions) > Eliminar imagen de software (Delete Software Image).

Para insertar una imagen de software específica a las instancias de Edge de un cliente empresarial, consulte Administrar perfiles de operador.

VMware, Inc. 54

Propiedades del sistema 11VMware proporciona propiedades del sistema para configurar diversas características y opciones disponibles en el portal de Orchestrator.

En el portal de operadores, desplácese hasta la página Propiedades del sistema (System Properties), que enumera las propiedades del sistema predefinidas disponibles.

Para configurar las propiedades del sistema:

n Haga clic en Nueva propiedad del sistema (New System Property) para agregar una propiedad nueva.

n En la ventana Nueva propiedad del sistema (New System Property), introduzca un nombre para la nueva propiedad y elija el Tipo de datos (Data Type) en la lista desplegable.

n Introduzca el Valor (Value) de la propiedad de acuerdo con el tipo de datos.

n Introduzca una descripción para la propiedad.

n Haga clic en Guardar (Save).

n Para modificar los valores de una propiedad, haga clic en el vínculo de la propiedad o seleccione la propiedad y haga clic en Acciones (Actions) > Modificar propiedad del sistema (Modify System Property).

n Para eliminar una propiedad, seleccione la propiedad y haga clic en Acciones (Actions) > Eliminar propiedad del sistema (Delete System Property).

VMware, Inc. 55

Puede utilizar la opción de búsqueda para buscar una propiedad específica del sistema. Consulte Lista de propiedades del sistema, donde se enumeran algunas de las propiedades del sistema que puede modificar como operador.

Nota Se recomienda que se ponga en contacto con el equipo de soporte técnico de VMware antes de realizar cambios en las propiedades del sistema.


n Lista de propiedades del sistema

Lista de propiedades del sistema

Como operador, puede agregar o modificar los valores de las propiedades del sistema.

En las siguientes tablas se describen algunas de las propiedades del sistema. Como operador, puede establecer los valores de estas propiedades.

n Correos electrónicos de alerta

n Alertas

n Instancias de Edge

n Supervisión

n Notificaciones

n Restablecimiento y bloqueo de contraseñas

n Restablecimiento de contraseña de autoservicio

n Autenticación en dos fases

n Configuración de VNF

n VPN


VMware, Inc. 56

Tabla 11-1. Correos electrónicos de alerta

Propiedad del sistema Descripción

vco.alert.mail.to Cuando se activa una alerta, se envía inmediatamente una notificación a la lista de direcciones de correo electrónico que se proporciona en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.

Si la propiedad no contiene ningún valor, no se envía la notificación.

La notificación está pensada para alertar al personal de soporte/operaciones de VMware sobre problemas inminentes antes de notificarlo al cliente.

vco.alert.mail.cc Cuando se envían correos electrónicos de alerta a cualquier cliente, se envía una copia a las direcciones de correo electrónico proporcionadas en el campo Valor (Value) de esta propiedad del sistema. Puede introducir varios identificadores de correo electrónico separados por comas.

mail.* Existen varias propiedades del sistema disponibles para controlar los correos electrónicos de alerta. Puede definir los parámetros de correo electrónico, como las propiedades de SMTP, el nombre de usuario, la contraseña, etc.

Tabla 11-2. Alertas (Alerts)


vco.alert.enable Habilita o deshabilita globalmente la generación de alertas tanto para operadores como para clientes empresariales.

vco.enterprise.alert.enable Habilita o deshabilita globalmente la generación de alertas para clientes empresariales.

vco.operator.alert.enable Habilita o deshabilita globalmente la generación de alertas para los operadores.

Tabla 11-3. Instancias de Edge


edge.offline.limit.sec Si Orchestrator no detecta un latido de una instancia de Edge durante el período de tiempo especificado, el estado de la instancia de Edge se mueve al modo sin conexión.

edge.link.unstable.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se mueve al modo inestable.

edge.link.disconnected.limit.sec Cuando Orchestrator no recibe las estadísticas de vínculo de un vínculo durante el tiempo especificado, el vínculo se desconecta.


VMware, Inc. 57

Tabla 11-3. Instancias de Edge (continuación)


edge.deadbeat.limit.days Si una instancia de Edge no está activa durante el número de días especificado, no se tiene en cuenta la instancia de Edge para generar alertas.

vco.operator.alert.edgeLinkEvent.enable Habilita o inhabilita globalmente las alertas de operador para los eventos de vínculo de Edge.

vco.operator.alert.edgeLiveness.enable Habilita o inhabilita globalmente las alertas de operador para los eventos de ejecución de Edge.

Tabla 11-4. Supervisión


vco.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de empresa y de operador. Si se establece el valor en Falso (False), se evita que SD-WAN Orchestrator cambie los estados de la entidad y se activen alertas.

vco.enterprise.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de empresa.

vco.operator.monitor.enable Habilita o deshabilita globalmente la supervisión de los estados de entidad de operador.

Tabla 11-5. Notificaciones


vco.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta tanto al operador como a las empresas.

vco.enterprise.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta a las empresas.

vco.operator.notification.enable Habilita o deshabilita globalmente la entrega de notificaciones de alerta al operador.


VMware, Inc. 58

Tabla 11-6. Restablecimiento y bloqueo de contraseñas


vco.enterprise.resetPassword.token.expirySeconds Duración temporal, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario empresarial.

vco.enterprise.authentication.passwordPolicy Define la directiva de caducidad de contraseñas e historial de contraseñas para los usuarios empresariales.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

caducidad (expiry):

n habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios empresariales.

n días (days): introduzca la cantidad de días que se puede utilizar una contraseña empresarial antes de que caduque la fecha de caducidad forzada.

historial (history):

n habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios empresariales.

n recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario empresarial intenta cambiar la contraseña, el sistema no permite al usuario introducir una contraseña que ya está guardada en el historial.

enterprise.user.lockout.defaultAttempts Número de veces que el usuario empresarial puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.

enterprise.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario empresarial.

enterprise.user.lockout.enabled Habilita o deshabilita la opción de bloqueo para los errores de inicio de sesión empresarial.

vco.operator.resetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña para un usuario operador.


VMware, Inc. 59

Tabla 11-6. Restablecimiento y bloqueo de contraseñas (continuación)


vco.operator.authentication.passwordPolicy Define la directiva de caducidad de contraseñas e historial de contraseñas para los usuarios operadores.

Edite la plantilla JSON en el campo Valor (Value) para definir lo siguiente:

caducidad (expiry):

n habilitar (enable): establézcalo en verdadero (true) para habilitar la caducidad automática de las contraseñas de los usuarios operadores.

n días (days): introduzca la cantidad de días que se puede utilizar una contraseña de operador antes de que caduque la fecha de caducidad forzada.

historial (history):

n habilitar (enable): establézcalo en verdadero (true) para habilitar el registro de las contraseñas anteriores de los usuarios operadores.

n recuento (count): introduzca el número de contraseñas anteriores que se guardarán en el historial. Cuando un usuario operador intenta cambiar la contraseña, el sistema no permite al usuario introducir una contraseña que ya está guardada en el historial.

operator.user.lockout.defaultAttempts Número de veces que el usuario operador puede intentar iniciar sesión. Si se produce un error en el inicio de sesión durante el número de veces especificado, la cuenta se bloquea.

operator.user.lockout.defaultDurationSeconds Tiempo durante el cual se bloquea la cuenta de usuario operador.

operator.user.lockout.enabled Habilita o deshabilita la opción de bloqueo para los errores de inicio de sesión de operador.

Tabla 11-7. Restablecimiento de contraseña de autoservicio


vco.enterprise.resetPassword.twoFactor.mode Define el modo del segundo nivel para la autenticación de restablecimiento de contraseña para todos los usuarios empresariales. Actualmente, solo se admite el modo SMS.

vco.enterprise.resetPassword.twoFactor.required Habilita o deshabilita la autenticación en dos fases para restablecer la contraseña de los usuarios empresariales.

vco.enterprise.selfResetPassword.enabled Habilita o deshabilita el restablecimiento de la contraseña de autoservicio para los usuarios empresariales.


VMware, Inc. 60

Tabla 11-7. Restablecimiento de contraseña de autoservicio (continuación)


vco.enterprise.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario empresarial.

vco.operator.resetPassword.twoFactor.required Habilita o deshabilita la autenticación en dos fases para restablecer la contraseña de los usuarios operadores.

vco.operator.selfResetPassword.enabled Habilita o deshabilita el restablecimiento de la contraseña de autoservicio para los usuarios operadores.

vco.operator.selfResetPassword.token.expirySeconds Duración del tiempo, después del cual caduca el vínculo de restablecimiento de contraseña de autoservicio para un usuario operador.

Tabla 11-8. Autenticación en dos fases


vco.enterprise.authentication.twoFactor.enable Habilita o deshabilita la autenticación en dos fases para los usuarios empresariales.

vco.enterprise.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios empresariales. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.

vco.enterprise.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios empresariales.

vco.operator.authentication.twoFactor.enable Habilita o deshabilita la autenticación en dos fases para los usuarios operadores.

vco.operator.authentication.twoFactor.mode Define el modo para la autenticación de segundo nivel para los usuarios operadores. Actualmente, solo SMS es compatible como el modo de autenticación de segundo nivel.

vco.operator.authentication.twoFactor.require Define la autenticación en dos fases como obligatoria para los usuarios operadores.


VMware, Inc. 61

Tabla 11-9. Configuración de VNF


edge.vnf.extraImageInfos Define las propiedades de una imagen de VNF.

Puede introducir la siguiente información para una imagen de VNF, en formato JSON, en el campo Valor (Value):

[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" }]

Ejemplo de archivo JSON para la imagen de firewall de Check Point:

[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" }]

Ejemplo de archivo JSON para la imagen de firewall de Fortinet:

[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" }]

edge.vnf.metric.record.limit Define el número de registros que se almacenarán en la base de datos.

enterprise.capability.edgeVnfs.enable Habilita la implementación de VNF en modelos de Edge compatibles.

enterprise.capability.edgeVnfs.securityVnf.checkPoint Habilita el VNF de firewall de redes de Check Point

enterprise.capability.edgeVnfs.securityVnf.fortinet Habilita el firewall de VNF de las redes de Fortinet

enterprise.capability.edgeVnfs.securityVnf.paloAlto Habilita el VNF de firewall de Palo Alto Networks

session.options.enableVnf Habilita la función VNF


VMware, Inc. 62

Tabla 11-9. Configuración de VNF (continuación)


vco.operator.alert.edgeVnfEvent.enable Habilita o deshabilita globalmente las alertas de operador para los eventos de VNF de Edge.

vco.operator.alert.edgeVnfInsertionEvent.enable Habilita o deshabilita globalmente las alertas de operador para los eventos de inserción de VNF de Edge.

Tabla 11-10. VPN


vpn.disconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de desconectar un túnel VPN.

vpn.reconnect.wait.sec El intervalo de tiempo que el sistema esperará antes de volver a conectar un túnel VPN.


VMware, Inc. 63

Administrar operadores 12En el portal de operadores, puede configurar y administrar perfiles de operador y usuarios operadores. También puede ver los eventos activados por los operadores.


n Supervisar eventos de operador

n Administrar perfiles de operador

n Administrar usuarios operadores

Supervisar eventos de operador

Los eventos de operador se activan por medio de las actividades de los operadores. Estos eventos ayudan a determinar el estado del sistema VMware.

En el portal de operadores, haga clic en Eventos de operador (Operator Events).

La página muestra los eventos de operador recientes. Puede hacer clic en el vínculo de los eventos para ver más detalles.

VMware, Inc. 64

Para ver los eventos más antiguos, puede hacer clic en el menú desplegable de la parte superior de la página y elegir la duración de la lista. Si lo prefiere, también puede introducir las fechas de inicio y finalización en la parte superior de la página para establecer una duración personalizada.

Una vez que se selecciona o se configura la duración, la página muestra los eventos activados durante el período seleccionado.

Administrar perfiles de operador

Se utiliza un perfil de operador para especificar la configuración de red administrada por SD-WAN Orchestrator. Al crear un cliente o un socio, puede asignarle un perfil de operador.

En el portal de operadores, haga clic en Perfiles de operador (Operator Profiles). La página muestra los perfiles existentes. Puede realizar las siguientes actividades mediante el botón Acciones (Actions):

n Nuevo perfil (New Profile): crea un nuevo perfil de operador. Consulte Crear un nuevo perfil de operador.

n Duplicar perfil (Duplicate Profile): crea una copia del perfil de operador seleccionado. Consulte Duplicar un perfil de operador.

n Modificar perfil (Modify Profile): permite actualizar la configuración de red en el perfil de operador seleccionado. Consulte Modificar un perfil de operador.

n Eliminar perfil (Delete Profile): elimina los perfiles seleccionados. No se puede eliminar un perfil que ya se ha asignado a un cliente o un socio.

Para asignar el perfil a un cliente nuevo, consulte Crear un nuevo cliente.

Para cambiar el perfil de un cliente existente, consulte Configurar clientes.

Para asignar el perfil de un socio, consulte Capítulo 9 Administrar socios.


VMware, Inc. 65

Crear un nuevo perfil de operador

Al instalar SD-WAN Orchestrator, se encuentra disponible un perfil de operador inicial. Si es necesario, puede crear perfiles adicionales.

En el portal de operadores, haga clic en Perfiles de operador (Operator Profiles).

1 Haga clic en Nuevo perfil (New Profile) o haga clic en Acciones (Actions) > Nuevo perfil (New Profile).

2 En la ventana Nuevo perfil de operador (New Operator Profile), introduzca el nombre y la descripción, y elija el tipo de configuración.


El nuevo perfil aparece en la Página Perfiles de operador (Operator Profiles).

Duplicar un perfil de operador

Puede duplicar un perfil de operador para crear una copia del perfil.


1 Seleccione el perfil que desea duplicar y haga clic en Acciones (Actions) > Duplicar perfil (Duplicate Profile).

2 En la ventana Copiar perfil de operador (Copy Operator Profile), actualice el nombre y la descripción.


Aparece una copia del perfil en la Página Perfiles de operador (Operator Profiles).

Modificar un perfil de operador

Puede modificar un perfil de operador para actualizar la configuración del perfil.


VMware, Inc. 66


Haga clic en el vínculo a un perfil o seleccione el perfil y haga clic en Acciones (Actions) > Modificar perfil (Modify Profile).

Se muestra la configuración existente del perfil seleccionado y se puede configurar lo siguiente:

Configuración del perfil (Profile Settings)

Si es necesario, puede modificar el nombre y la descripción del perfil seleccionado.

Configuración de administración (Management Settings)

Se muestra la dirección IP de Orchestrator. Puede configurar los siguientes intervalos de administración:

n Intervalo de latidos (Heartbeat Interval): el intervalo de tiempo entre los mensajes de latido enviados desde Orchestrator a las instancias de Edge. El valor predeterminado es 30 segundos y el intervalo mínimo debe ser 10 segundos. Si una instancia de Edge no recibe dos latidos de forma continua, la instancia de Edge se marca como inactiva.

Nota Cuando modifique el intervalo de latidos, asegúrese de actualizar el tiempo de demora de notificación de alerta de Edge sin conexión para evitar que se envíen alertas innecesarias.

n Intervalo de porción de tiempo (Timeslice Interval): el intervalo de tiempo durante el cual se recopilan los datos de supervisión para un flujo.

n Intervalo de carga de estadísticas (Stats Upload Interval): el intervalo de tiempo para cargar los datos de supervisión. Todos los datos de cada porción de tiempo se recopilan durante el intervalo de carga de estadísticas y, a continuación, se cargan.


VMware, Inc. 67

Selección de puerta de enlace (Gateway Selection)

De forma predeterminada, la selección de puerta de enlace es dinámica y las puertas de enlace se eligen de forma dinámica desde el grupo de puertas de enlace. Asegúrese de que el grupo de puertas de enlace esté compuesto por al menos dos puertas de enlace para que la selección de puertas de enlace sea eficaz. Para obtener más información sobre los grupos de puertas de enlace, consulte Grupos de puertas de enlace.

Seleccione la casilla de verificación para que la selección de puerta de enlace sea estática. Para la selección de puerta de enlace estática, debe especificar la puerta de enlace principal. También puede introducir una puerta de enlace secundaria opcional.

Nota Utilice la selección de puerta de enlace estática solo para fines de prueba o depuración. No debe utilizar esta opción para las configuraciones de entrega a socios o VPN de Edge a Edge.

Asignación de mapas de aplicaciones (Application Map Assignment)

De forma predeterminada, el mapa de aplicaciones inicial se asigna al perfil de operador. Puede elegir un mapa de aplicaciones diferente disponible en la lista desplegable. Consulte también Capítulo 14 Mapas de aplicaciones.

Versión de software (Software Version)

Puede optar por insertar la imagen de software más reciente en las instancias de Edge. De forma predeterminada, no se aplican actualizaciones a los dispositivos. Seleccione la casilla de verificación y elija la imagen de software en la lista desplegable Versión (Version). Para obtener más información sobre las imágenes de software, consulte Capítulo 10 Imágenes de software.

Seleccione la casilla de verificación Duración de la actualización (Update Duration) e introduzca la duración en minutos. Si habilita esta opción, Orchestrator actualiza todos los dispositivos asociados con el cliente empresarial dentro de la duración especificada.

Después de actualizar los ajustes anteriores, haga clic en Guardar cambios (Save Changes).

Administrar usuarios operadores

La página Usuarios operadores (Operator Users) muestra los usuarios operadores existentes. Un superusuario operador puede crear nuevos usuarios operadores con diferentes privilegios de función y configurar tokens de API para cada usuario operador.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users) y, a continuación, puede configurar lo siguiente.


VMware, Inc. 68

Haga clic en Acciones (Actions) para realizar las siguientes actividades:

n Nuevo operador (New Operator): crea nuevos usuarios operadores. Consulte Crear un nuevo usuario operador.

n Modificar operador (Modify Operator): modifica las propiedades del usuario operador seleccionado. También puede hacer clic en el vínculo del nombre de usuario para modificar las propiedades. Consulte Configurar usuarios operadores.

n Restablecer contraseña (Password Reset): envía un correo electrónico al usuario seleccionado con un vínculo para restablecer la contraseña.

n Eliminar operador (Delete Operator): elimina los usuarios seleccionados.

Crear un nuevo usuario operador

Los superusuarios operadores pueden crear nuevos usuarios operadores.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users).

Procedimiento

1 Para crear nuevos usuarios operadores, haga clic en Nuevo operador (New Operator) o en Acciones (Actions) > Nuevo operador (New Operator).


VMware, Inc. 69

2 En la ventana Nueva cuenta de operador (New Operator Account), introduzca los siguientes detalles:

a Introduzca los detalles del usuario, como el nombre de usuario, la contraseña, el nombre, el correo electrónico y los números de teléfono.

b Si seleccionó el modo de autenticación como nativo en Capítulo 17 Autenticación de Orchestrator, el tipo de usuario se seleccionará como nativo. Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario no sea nativo, la opción de contraseña no estará disponible, ya que se hereda del modo de autenticación.

c Función de cuenta (Account Role): elija la función de usuario entre las opciones disponibles.


Resultados

Los detalles del usuario se muestran en la página de Usuarios operadores (Operator Users).

Configurar usuarios operadores

Puede configurar propiedades adicionales y crear tokens de API para un usuario operador.

En el portal de operadores, haga clic en Usuarios operadores (Operator Users). Para configurar un usuario operador, haga clic en el vínculo a un nombre de usuario o seleccione el usuario y haga clic en Acciones (Actions) > Modificar operador (Modify Operator).

Se mostrarán las propiedades existentes del usuario seleccionado. Si es necesario, es posible agregar o modificar lo siguiente:


VMware, Inc. 70

Estado (Status)

De forma predeterminada, el estado se encuentra Habilitado (Enabled). Si elige Deshabilitado (Disabled), el usuario cerrará todas las sesiones activas.

Tipo (Type)

Si seleccionó el modo de autenticación del operador como Nativo (Native) en Capítulo 17 Autenticación de Orchestrator, el tipo de usuario se seleccionará como Nativo (Native). Si seleccionó otro modo de autenticación, puede elegir el tipo del usuario. Si elige que el usuario sea No nativo (Non-Native), no podrá restablecer la contraseña ni modificar la función de usuario.

Propiedades (Properties)

Se muestran los detalles de contacto existentes del usuario. Si es necesario, puede modificar los detalles y restablecer la contraseña. Si hace clic en Restablecer contraseña (Password Reset), se enviará un correo electrónico al usuario con un vínculo para restablecer la contraseña.

Función (Role)

Se muestra el tipo de función de usuario existente. Si es necesario, puede seleccionar una función diferente para el usuario. Los privilegios de la función cambiarán según corresponda.

Tokens de API (API Tokens)


VMware, Inc. 71

Los usuarios pueden acceder a las API de Orchestrator mediante tokens en lugar de la autenticación basada en sesión. Como superusuario operador, puede administrar los tokens de API para los clientes. Puede crear varios tokens de API para un usuario.

Para los usuarios empresariales de solo lectura y los usuarios especialistas de negocio MSP, la autenticación basada en token no está habilitada.

De forma predeterminada, los tokens de API están habilitados. Si desea deshabilitarlos, vaya a Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableApiTokenAuth como Falso (False).

Configurar tokens de API (Configure API Tokens)

Cualquier usuario puede crear tokens en función de los privilegios asignados a sus funciones de usuario, excepto los usuarios empresariales de solo lectura y los usuarios especialistas de negocio MSP.

Según sus funciones, los usuarios pueden realizar las siguientes acciones:

n Los usuarios empresariales pueden crear, descargar y revocar tokens para sí mismos.

n Los superusuarios operadores pueden administrar los tokens de otros usuarios operadores y usuarios empresariales si el usuario empresarial delegó permisos de usuario al operador.

n Los superusuarios empresariales pueden administrar los tokens de todos los usuarios de la empresa.

n Los usuarios solo pueden descargar sus propios tokens (no los de otros usuarios).

n Los superusuarios solo pueden crear y revocar los tokens de otros usuarios.

Para administrar los tokens de API (To manage the API tokens):

n En la sección Tokens de API (API Tokens), haga clic en Acciones (Actions) > Nuevo token de API (New API Token) para crear un nuevo token.

n En la ventana Nuevo token de API (New API Token), introduzca la información correspondiente para el token en los campos Nombre (Name) y Descripción (Description), y elija un valor en el menú desplegable Duración (Lifetime).

n Haga clic en Crear (Create). El nuevo token se mostrará en la cuadrícula Tokens de API (API Tokens).


VMware, Inc. 72

n Inicialmente, el estado del token se muestra como Pendiente (Pending). Para descargar el token, selecciónelo y haga clic en Acciones (Actions) > Descargar token de API (Download API Token). El estado pasará a ser Habilitado (Enabled), lo que significa que se podrá utilizar el token de API para el acceso a la API.

n Para deshabilitar un token, seleccione el token y haga clic en Acciones (Actions) > Revocar token de API (Revoke API Token). El estado del token se muestra como Revocado (Revoked).

n Cuando se termine la vigencia del token, el estado cambiará a Caducado (Expired).

Solo el usuario asociado a un token puede descargarlo. Después de su descarga, solo se mostrará el identificador del token. Solo puede descargar un token una vez.

Después de descargar el token, el usuario puede enviarlo como parte del encabezado de autorización de la solicitud para acceder a la API de Orchestrator.

En el siguiente ejemplo, se muestra un fragmento de muestra del código para acceder a una API.

curl -k -H "Authorization: Token <Token>"

-X POST https://vco/portal/

-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":

{ "enterpriseId": 1 }}'

Después de modificar la configuración y los tokens de API, haga clic en Guardar cambios (Save Changes).


VMware, Inc. 73

Administrar puertas de enlace y grupos de puerta de enlace 13La red de VMware consta de varias puertas de enlace de servicio implementadas en los centros de datos de red y de nube de nivel superior alrededor del mundo, lo que proporciona escalabilidad, redundancia y flexibilidad a petición. Las puertas de enlace proporcionan las facilidades de unos servicios entregados en la nube y unas rutas de acceso optimizadas a todas las aplicaciones, derivaciones y centros de datos. Los proveedores de servicios también pueden implementar sus propias puertas de enlace locales en la infraestructura de nube privada.


n Grupos de puertas de enlace

n Puertas de enlace de socio

n Administrar paquetes de diagnósticos de puerta de enlace

n Supervisar puertas de enlace

Grupos de puertas de enlace

Las puertas de enlace se pueden organizar en grupos que se asignan a una red. Existe un grupo predeterminado no rellenado después de instalar SD-WAN Orchestrator. Puede crear grupos de puertas de enlace adicionales.

VMware, Inc. 74

Columna Grupo administrado (Managed Pool)

Las marcas de verificación de la columna Grupo administrado (Managed Pool) que están asociadas a grupos de puertas de enlace representan grupos de puertas de enlace que los socios pueden editar y administrar. Si un grupo de puertas de enlace tiene una "x" asociada, los socios únicamente tienen acceso de "solo lectura" a ese grupo de puertas de enlace.

Nota Si un operador marca la casilla Conceder acceso de administración de puerta de enlace (Grant Gateway Management Access), los grupos de puerta de enlace asignados a un socio se mostrarán en la columna Grupo administrado (Managed Pool) con una marca de verificación asociada.

Crear un grupo de puertas de enlace

Si hace clic en Nuevo grupo (New Pool), el siguiente cuadro de diálogo le pedirá que introduzca un nombre para un nuevo grupo de puertas de enlace. También puede especificar si se permitirán las puertas de enlace de socio en el nuevo grupo.

Si hace clic en un grupo de puertas de enlace, aparecen las propiedades del grupo, las puertas de enlace que están en el grupo y los clientes que utilizan el grupo. Tenga en cuenta que una de las propiedades es si el grupo permite que las puertas de enlace locales formen parte del grupo.

Nota Una instancia de VMware SD-WAN Gateway puede funcionar como puerta de enlace estándar que proporciona servicios de red de VMware, o bien como puerta de enlace de socio, que permite que el tráfico de red se enrute a la red de un proveedor de servicios. No se puede utilizar una puerta de enlace para ambas funciones. Un grupo de puertas de enlace puede contener puertas de enlace que estén configuradas como puertas de enlace de socio o puertas de enlace estándar. Sin embargo, si una puerta de enlace de socio se encuentra en un grupo de puertas de enlace donde la opción Permitir puertas de enlace de socio (Allow Partner Gateways) está desactivada, la puerta de enlace funcionará como una puerta de enlace estándar.


VMware, Inc. 75

Crear grupos de puertas de enlace específicos de socios

En esta sección se describe cómo crear puertas de enlace y grupos de puertas de enlace para un socio. Las puertas de enlace y los grupos de puertas de enlace que cree serán utilizados solo por el socio.

Para crear una puerta de enlace o un grupo de puertas de enlace desde el portal de socios de SD-WAN Orchestrator:

1 En el panel de navegación de SD-WAN Orchestrator, haga clic en el vínculo Administrar socios (Manage Partners). Se abrirá la ventana Administrar socios (Manage Partners).

2 En la ventana Administrar socios (Manage Partners), haga clic en uno de los socios disponibles que se muestra en la columna Socio (Partner). Aparece la ventana Administrar clientes de (Manage Partner Customers).

3 En el panel de navegación, haga clic en el vínculo Grupo de puertas de enlace (Gateway Pool) para crear un nuevo grupo de puertas de enlace, o bien haga clic en el vínculo Puerta de enlace (Gateway) para crear una nueva puerta de enlace.


VMware, Inc. 76

4 En el botón Acciones (Actions), ubicado sobre la cuadrícula de la tabla en la esquina superior derecha, haga clic en Nuevo grupo de puertas de enlace (New Gateway Pool) o Nueva puerta de enlace (New Gateway) si seleccionó el vínculo Puerta de enlace (Gateway).

Nota En los pasos anteriores, se crean puertas de enlace específicas de socio. Por lo tanto, cualquier puerta de enlace o grupo de puertas de enlace que cree solo se asociará con este socio.

Eliminar un grupo de puertas de enlace

Para eliminar los grupos de puertas de enlace y las puertas de enlace que son propiedad del socio, los operadores deben eliminar las puertas de enlace del portal de socios. Además, si un socio está utilizando la puerta de enlace, el operador no podrá eliminarla. El operador debe esperar hasta que la puerta de enlace esté disponible para poder eliminarla.

Entrega de puerta de enlace de socio

En esta sección se describe el menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off)

El área Propiedades (Properties) de los grupos de puertas de enlace muestra el cuadro de texto Nombre (Name), el cuadro de texto Descripción (Description) y un menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off).

El menú desplegable Entrega de puerta de enlace de socio (Partner Gateway Hand Off) incluye las tres opciones siguientes:


VMware, Inc. 77


Ninguna (None) Se usa cuando las empresas asignadas a este grupo de puertas de enlace no requieren la asignación de puerta de enlace de socio.

Permitir (Allow) Se utiliza cuando el grupo debe admitir la combinación de puertas de enlace de socio y puertas de enlace de nube.

Solo puertas de enlace de socio (Only Partner Gateways)

Se utiliza cuando las instancias de Edge de las empresas no deben estar asignadas a puertas de enlace de nube desde el grupo y solo se asignarán la puerta de enlace 1 y la puerta de enlace 2 que se establecen para la instancia de Edge individual.

Si hace clic en una puerta de enlace específica, se muestran detalles adicionales de la puerta de enlace. Los detalles incluyen propiedades, información de la ubicación y del contacto, los clientes que utilizan la puerta de enlace y los grupos de los que es miembro la puerta de enlace.

Puertas de enlace de socio

Una puerta de enlace puede configurarse como puerta de enlace de socio y puede funcionar como puerta de enlace de socio si forma parte de un grupo de puertas de enlace que permite las puertas de enlace de socio.

Descripción general de las puertas de enlace de socio

Las puertas de enlace de socio pueden configurarse con varias subredes, cada una de las cuales puede configurarse con una entrega de NAT o VLAN. Cada subred también puede configurarse con un coste relativo y con información sobre si el tráfico se debe cifrar o no.

En los ejemplos siguientes se muestran dos casos prácticos para la configuración de las puertas de enlace de socio.

Caso práctico de configuración de puerta de enlace n.º 1Tenga en cuenta la siguiente figura, en la que una puerta de enlace está conectada a través del modo VLAN/VRF a un VRF que no tiene acceso a la red Internet pública. Sin embargo, la puerta de enlace de socio debe poder ponerse en contacto con SD-WAN Orchestrator en la nube pública y debe haber una ruta de acceso para acceder a la nube. SD-WAN Gateway puede aplicar NAT de forma selectiva a determinados tráficos (como la dirección IP de una instancia de SD-WAN Orchestrator o las subredes que se utilizan para acceder a un servidor DNS público) aunque funcione en modo VLAN/VRF.


VMware, Inc. 78

2 1

VMwareSD-WAN Orchestrator

Puerta de enlace deVMware SD-WAN

Edge deVMware SD-WAN

n N.º 1: El tráfico de SD-WAN Orchestrator se enruta a través de direcciones IP a NAT

n N.º 2: El tráfico corporativo se enruta a través de subredes a VLAN/VRF

Caso práctico de configuración de puerta de enlace n.º 2Además, se trata de un caso práctico común para que una puerta de enlace de socio se una a una red corporativa, proporcionando conectividad a sitios heredados. Esta necesidad puede producirse incluso cuando no se convirtieron todos los sitios corporativos. Para este caso práctico, es necesario especificar el tráfico por subred en la puerta de enlace de socio. También se puede configurar cada subred para cifrar el tráfico de red.

El diagrama a continuación muestra un ejemplo en el que solo se cifra el tráfico a los sitios heredados. Si la instancia de SD-WAN Gateway ya está configurada con una subred 0.0.0.0/0 para permitir todo el tráfico (que es una configuración común), todo lo que se necesitará será agregar la subred privada para los sitios heredados y marcarla como cifrada.


VMware, Inc. 79

2 1



Sitio heredado

MPLS

n N.º 1: Subred (por ejemplo, 10.0.0.0/8) definida para sitios heredados y marcada para el cifrado. El tráfico se transmite entre SD-WAN Edge y SD-WAN Gateway a través del túnel de IPsec.

n N.º 2: El tráfico restante se envía sin cifrar a SD-WAN Edge y, a continuación, a su destino final.

Resistencia de la puerta de enlace de socio

La puerta de enlace de socio ofrece resistencia al detectar errores y conmutar por error a una puerta de enlace de socio alternativa. Esto incluye la capacidad de una puerta de enlace de socio para detectar las condiciones de error y para que la infraestructura circundante detecte errores en la propia puerta de enlace.

Tenga en cuenta la siguiente topología de puerta de enlace:


VMware, Inc. 80

1

2

3

Puerta de enlace 1de VMware SD-WAN

Controlador de llamadas 1



En esta figura, se muestran tres zonas de errores distintas:

Zona de errores Componente Descripción

1 Edge de proveedor La instancia de Edge de proveedor es una instancia en la que se puede detectar un error desde el enrutador de Edge de proveedor que hace ping a SD-WAN Gateway o desde SD-WAN Gateway al enrutador de Edge de proveedor.

2 Controlador de llamadas

SD-WAN Gateway debe poder hacer ping al enrutador de Edge de proveedor o al controlador de llamadas para verificar la conectividad.

3 WAN SD-WAN Gateway debe tener un respondedor de ping con estado que responda solo si la zona WAN está disponible.

En la siguiente figura, se muestra un escenario de error típico que se produce entre SD-WAN Gateway y el enrutador de Edge de proveedor, y describe la actividad que se produce.


VMware, Inc. 81

1 2

1: El respondedor de ping con estado no es accesible, por lo que el enrutador de Edge del proveedor enruta el tráfico de a la puerta de enlace de VMware SD-WAN 1.

2: El sondeo de ICMP comienza a caer en el enrutador de PE. Después del umbral, ruta no accesible propagada a Edge de VMware SD-WAN. Edge de VMware SD-WAN dirige automáticamente el tráfico a través de la puerta de enlace de VMware SD-WAN 1.

La llamada puede continuar a través de la puerta de enlace alternativade VMware SD-WAN que usa la red básica del proveedor para seguir conectado al controlador de llamadas 2

Flujo posterior a la conmutación por error






La puerta de enlace de socio también admite costes de ruta configurables para permitir escenarios de error más flexibles. Por último, se requiere un tipo de entrega adicional en la que no se aplican las etiquetas NAT ni VLAN a los paquetes, y simplemente se pasan a través del enrutador de Edge de proveedor.

Sondeos de conmutación por error de ICMP

En esta sección se describen los sondeos de conmutación por error de ICMP.

Para solucionar un error en las zonas n.º 1 o n.º 2 del diagrama de topología de SD-WAN Gateway, SD-WAN Gateway admite la capacidad opcional de enviar sondeos de conmutación por error. Estos sondeos enviarán un ping a una sola dirección IP de destino a la frecuencia especificada. Si se supera el umbral de respuestas de ping perdidas sucesivas, la puerta de enlace marcará las rutas de SD-WAN Gateway como inaccesibles. Mientras las rutas se marquen como inaccesibles debido a este estado de error de sondeo, se seguirán enviando sondeos. Si se supera el mismo umbral para las respuestas de ping sucesivas que se realicen correctamente, SD-WAN Gateway marcará las rutas como accesibles nuevamente.


VMware, Inc. 82

Escenario de ejemplo

Por ejemplo, tenga en cuenta el caso en el que un usuario ha configurado una frecuencia de dos segundos y un umbral de tres.

1 Las instancias de VMware SD-WAN Edges se conectan a la instancia de SD-WAN Gateway principal. La instancia de SD-WAN Gateway principal marca las rutas como accesibles.

2 La instancia de SD-WAN Gateway principal no recibe una respuesta de tres sondeos sucesivos (~6 segundos).

3 La instancia de SD-WAN Gateway principal marca las rutas como inaccesibles y las comunica a todas las instancias de Edge conectadas.

4 Las instancias de Edge comienzan a enrutar el tráfico de SD-WAN Gateway a través de la instancia de SD-WAN Gateway alternativa.

5 Se restaura la conectividad y la instancia de SD-WAN Gateway principal recibe tres respuestas sucesivas de los sondeos.

6 La instancia de SD-WAN Gateway principal marca las rutas como accesibles y las comunica a todas las instancias de Edge conectadas.

7 Las instancias de Edge enrutan el tráfico a través de la instancia de SD-WAN Gateway principal.

Esto podría utilizarse en un escenario de error n.º 1 para hacer ping a una dirección IP en el propio enrutador de la instancia de Edge del proveedor. Esto podría utilizarse en un escenario de error n.º 2 para hacer ping al controlador de llamadas real.

Respondedor de ping con estado

Para solucionar un error en la zona n.º 2 o n.º 3 del diagrama de topología de la puerta de enlace de socio, la instancia de SD-WAN Gateway admite un respondedor de ping con estado opcional. Esto permite la configuración de una dirección IP virtual (que debe ser diferente a la dirección IP de la interfaz) dentro de la instancia de SD-WAN Gateway que, según la configuración, responde siempre a los pings (el servicio de puerta de enlace está en ejecución) o de forma condicional según la conectividad de WAN (la puerta de enlace tiene túneles VPN conectados).

Esto se puede utilizar en caso de error n.º 1 si hace que el enrutador de la instancia de Edge del proveedor haga ping al respondedor de ping, ya que si la instancia de SD-WAN Gateway se vuelve inaccesible, podría provocarse un error en el SLA de IP en el enrutador de la instancia de Edge del proveedor. Esto también se puede utilizar en caso de error n.º 3 haciendo que la instancia de SD-WAN Gateway solo responda si los túneles de VPN están conectados. Esto es similar al comportamiento con BGP (ningún cliente conectado significa ninguna ruta de cliente).


VMware, Inc. 83

1

3

Modo predeterminado: Condicional.Respuesta solo si los túneles de VPN están conectados. Se producirá un error si se pierde la conectividad entre Edge de VMware SD-WAN y la puerta de enlace de VMware SD-WAN.

Modo alternativo: Respuesta siempre. Se producirá un error si se pierde la conectividad entre el enrutador de Edge del proveedor de VMware y la puerta de enlace de VMware SD-WAN.


La puerta de enlace de socio volverá a responder a la solicitud de ICMP del enrutador de la instancia de Edge del proveedor (PE) en función del SLA de IP configurado en el enrutador de PE. El enrutador de PE del respondedor de ping con estado debe configurarse como se muestra a continuación con la información de etiqueta de VLAN adecuada.

!IP-SLA configuration to send ICMP request to gateway virtual IP

ip sla 1

icmp-echo 192.168.10.10 source-ip 192.168.10.1

vrf CUSTOMER1

threshold 1000

timeout 1000

frequency 2

ip sla schedule 1 life forever start-time now

!tracking the IP SLA for its reachability

track 1 ip sla 1 reachability

!all the routes will reachable only when SLA probe succeeds

ip route vrf CUSTOMER1 0.0.0.0 0.0.0.0 192.168.11.101 track 1






VMware, Inc. 84

Advertencias cuando se utiliza el modo de entrega NAT

Cuando se utiliza el modo de entrega NAT, tenga en cuenta las siguientes advertencias:

n Para el modo de entrega de VLAN, la puerta de enlace de socio puede escuchar cualquier IP si se puede acceder al enrutador de PE (incluida la IP de la interfaz). Para el modo de entrega NAT, la puerta de enlace de socio no responderá si la solicitud de ICMP llega a su propia dirección IP de la interfaz (WAN).

n El flujo inverso no se admite en el modo de entrega NAT.

Subredes de copia de seguridad o activas

En esta sección se describe cómo configurar las subredes activas y de copia de seguridad para una puerta de enlace de socio.

Subredes en una puerta de enlace de socio

Las subredes configuradas en una puerta de enlace de socio se introducen como subredes y descripciones opcionales. Se incluye un campo Cost para permitir la ponderación entre las rutas. Las rutas de menor coste tienen preferencia sobre las rutas de coste superior. En la siguiente figura, se muestra la configuración de Cost por subred.



Subred A Subred B

SubredA B

Coste10 20

SubredBA

Coste10 20

Configuración y uso de la puerta de enlace de socio

Si la opción Es puerta de enlace de socio (Is Partner Gateway) está seleccionada para una puerta de enlace, se requiere una configuración adicional:

1 Seleccione la puerta de enlace que será una puerta de enlace de socio y, a continuación, seleccione la casilla de verificación Es puerta de enlace de socio (Is Partner Gateway). Aparecerá una sección Puerta de enlace de socio (Entrega avanzada) (Partner Gateway (Advanced Hand Off)) para la puerta de enlace.


VMware, Inc. 85

En esta sección, puede configurar una o varias subredes que reenviarán el tráfico a la puerta de enlace de socio. Para cada subred, puede seleccionar un tipo de Entrega (Hand Off) (VLAN o NAT) y si el tráfico se cifrará o no. También se pueden introducir la configuración de los respondedores de ping y los sondeos de ICMP y la información de contacto y ubicación de la puerta de enlace.


VMware, Inc. 86

2 Para cada cliente que utilice puertas de enlace de socio, seleccione un grupo de puertas de enlace que contenga la puerta de enlace de socio. Para ello, seleccione un cliente y, a continuación, elija Configurar (Configure) > Empresa (Enterprise).

También puede seleccionar el etiquetado de VLAN para el grupo.

3 Si desea que la puerta de enlace de socio pueda detectar VRF y sea compatible con BGP, vaya a Configurar (Configure) > Cliente (Customer) en la pantalla Grupo de puertas de enlace (Gateway Pool). Consulte Configurar BGP de puerta de enlace para obtener más información sobre la configuración.


VMware, Inc. 87

4 Para cada instancia de Edge de cliente que utilice una puerta de enlace de socio, configure la selección de puerta de enlace de socio para seleccionar Puertas de enlace (Gateways). En primer lugar, seleccione un cliente y, a continuación, seleccione Configurar (Configure) > Instancias de Edge (Edges) y posteriormente Edge.

Página de puertas de enlace

Si hace clic en el vínculo Puertas de enlace (Gateways), todas las puertas de enlace administradas por SD-WAN Orchestrator se mostrarán como una lista con los detalles de las puertas de enlace y como una ubicación en un mapa. Haga clic en una puerta de enlace para mostrar sus detalles.


VMware, Inc. 88

Habilitar modo de puerta de enlace de socio

En la misma página Puerta de enlace (Gateway) Operador (Operator) > Puertas de enlace (Gateways), habilite el modo de puerta de enlace de socio seleccionando la casilla de verificación Puerta de enlace de socio (Partner Gateway). Anule la selección de la casilla de verificación Puerta de enlace de VPN segura (Secure VPN Gateway) (que solo es necesaria si tiene pensado utilizar SD-WAN Gateway para establecer un túnel de IPSec a una instancia de Non VMware SD-WAN Site).


VMware, Inc. 89

n Rutas estáticas (Static Routes): especifique las subredes o las rutas que SD-WAN Gateway debe anunciar a SD-WAN Edge, junto con el modo de entrega y si se debe cifrar o no el tráfico. Esto es global por instancia de SD-WAN Gateway y se aplica a todos los clientes. Con BGP, esta sección se utiliza por lo general solo si hay una subred compartida a la que todos los clientes necesitan acceder y si se requiere la entrega de NAT.

Elimine las subredes no utilizadas de la lista de rutas estáticas anterior si no tiene ninguna subred que deba anunciarse a SD-WAN Edge y tenga la entrega de tipo NAT.

Los parámetros de sondeo de ICMP son opcionales y se recomiendan solo si desea utilizar ICMP para comprobar el estado de SD-WAN Gateway. Con la compatibilidad de BGP en la puerta de enlace de socio, ya no es necesario usar el sondeo de ICMP para la conmutación por error y la convergencia de rutas.

n Sondeo de conmutación por error de ICMP (ICMP Failover Probe): SD-WAN Gateway puede usar el sondeo de ICMP para comprobar la disponibilidad de una IP en particular. Puede notificar a SD-WAN Edge que se conmute por error a la puerta de enlace secundaria si SD-WAN Gateway detecta que no se puede acceder a la IP en particular.

n Respondedor de ICMP habilitado (ICMP Responder Enabled): esto permitirá que SD-WAN Gateway responda al sondeo de ICMP desde el enrutador de salto siguiente cuando sus túneles estén activos.

n Modo=Condicional (Mode=Conditional): SD-WAN Gateway responderá a la solicitud de ICMP solo cuando el servicio esté activo y cuando haya al menos un túnel activo.

n Modo=Siempre (Mode=Always): SD-WAN Gateway siempre responderá a la solicitud de ICMP desde el mismo nivel.

Configurar BGP de puerta de enlace

En esta sección se describe la configuración de BGP de puerta de enlace.


VMware, Inc. 90

Configurar BGP

En esta sección se describe cómo configurar BGP en las puertas de enlace de socio. De forma predeterminada, BGP está habilitado en las puertas de enlace de socio.

Para obtener información sobre BGP para SD-WAN Edge, consulte el apartado Configurar el enrutamiento dinámico con OSPF o BGP, en la Guía de administración.

Nota Se admiten BGP ASN de 4 bytes: como ASN del propio SD-WAN Edge; emparejado con un vecino con ASN de 4 bytes; acepta ASN de 4 bytes en anuncios de rutas

Prioridad de BGP del cliente (comunidad automática)

El área Prioridad de BGP del cliente (Customer BGP Priority) incluye la casilla de verificación Habilitar asignación de comunidad (Enable Community Mapping). Cuando se selecciona, hay dos modos de asignación disponibles para configurar comunidades: Todos los segmentos (All Segments) y Por segmento (Per Segment). Existen dos partes en la comunidad: Comunidad (Community) y Comunidad 2 (Community 2).

Para los proveedores de servicios que implementan un cliente en varios AS BGP y prefieren usar valores de comunidad de BGP para controlar la simetría de ruta de acceso, existe una opción para que asignen los valores de comunidad de BGP automáticamente a los prefijos de derivación en función de los pedidos de preferencia de puerta de enlace de socio para esa derivación. De forma predeterminada, VMware asigna automáticamente los valores de MED BGP para que el prefijo de derivación afecte a la ruta de acceso de BGP y logre la simetría de ruta de acceso, que se aplica a un escenario AS único.

En la siguiente topología, se muestra un ejemplo de este caso práctico.

En la topología anterior, se utilizan varios AS BGP de MPLS, valores de comunidad de BGP y valores de preferencia locales en los PE para lograr la simetría de ruta de acceso. Para la derivación E1, el orden de la puerta de enlace de socio es GW1>GW2, lo que significa que, para el tráfico saliente, se prefiere GW1. Para mantener la simetría de ruta de acceso, GW1 debe asignar un valor de comunidad de 1:110 para que coincida con el mapa de ruta BGP de PE configurado, por lo que la ruta de retorno también preferirá GW1.


VMware, Inc. 91

De forma similar, GW2 necesita asignar un valor de comunidad 1:00 para que coincida con el mapa de ruta BGP de PE configurado, lo que hará que sea menos preferido. Esto se automatizará a través de la función de comunidad automática (introducida en la versión 2.5). Al otorgar valores de comunidad a las prioridades de GW, las puertas de enlace de socio asignarán los valores de comunidad correspondientes a los prefijos de derivación de forma dinámica. Esta configuración se encuentra en el nivel del cliente.

Supervisión

Para ver las puertas de enlace configuradas:

1 Vaya a Supervisar (Monitor) > Servicios de red (Network Services).

2 En la pantalla Servicios de red (Network Services), desplácese hasta el área Estado de vecino BGP (BGP Neighbor State) para ver las puertas de enlace configuradas.

Nota En el menú desplegable Actualizar automáticamente (Auto refresh), puede designar la frecuencia con la que se actualiza automáticamente el área Estado de vecino BGP (BGP Neighbor State) (5, 30, 60 segundos), o bien puede detener la función Actualizar automáticamente (Auto refresh) seleccionando En pausa (Paused) en el menú desplegable.

Control de flujo superpuesto

Todas las rutas se muestran en la tabla Control de flujo superpuesto (Overlay Flow Control). Para cambiar el orden de las salidas de VPN preferidas para una subred determinada, haga clic en el botón Editar (Edit) en la columna Modificar (Modify).

Nombre de columna Descripción

Modificar (Modify) Acceso para editar las configuraciones globales.

Subred (Subnet) La red a la que corresponde esta ruta, junto con una lista de instancias de Edge que aprendieron esta ruta.

Tipo de ruta (Route Type) Los tipos incluyen: BGP, OSPF-O, OSPF-OE2, Estático (Static) y Conectado (Connected).


VMware, Inc. 92


Salidas de VPN preferida (Preferred VPN Exits)

El orden de la salida de VPN.

Última actualización (Last Updated) La fecha y la hora en las que se aprenden las rutas.

Editar configuraciones globales

Para editar configuraciones globales:

1 Haga clic en el botón Editar (Edit) que se encuentra en la parte inferior del área Preferencias de enrutamiento global (Global Routing Preferences) de VRF para abrir el cuadro de diálogo Editar configuraciones globales (Edit Global Configs).

2 En el cuadro de diálogo Editar configuraciones globales (Edit Global Configs), edite el área Marcas de anuncio globales (Global Advertise Flags).

Editar subred

Como opción adicional, puede cambiar el orden de salida de la VPN editando la subred.

Para acceder a este cuadro de diálogo, haga clic en el vínculo Editar (Edit) de la columna Modificar (Modify) en la tabla Control de superposición (Overlay Control).


VMware, Inc. 93

Administrar paquetes de diagnósticos de puerta de enlace

Los ingenieros de soporte técnico de VMware utilizan los paquetes de diagnósticos para solucionar problemas de funcionamiento de VMware. La página web de Paquetes de diagnósticos de puerta de enlace (Gateway Diagnostic Bundles) muestra todos los paquetes de diagnósticos que se han solicitado y permite solicitar nuevos paquetes. Una vez que se crea un paquete, se puede descargar o eliminar cuando ya no se necesite.

Supervisar puertas de enlace

Puede supervisar el estado y los datos de uso de las puertas de enlace disponibles en el portal de operadores.

Para supervisar las puertas de enlace:

Procedimiento

1 En el portal de operadores, haga clic en Puertas de enlace (Gateways).


VMware, Inc. 94

2 La página Puertas de enlace (Gateways) muestra la lista de puertas de enlace disponibles.

3 Haga clic en el vínculo a una puerta de enlace. Se muestran los detalles de la puerta de enlace seleccionada.

4 Haga clic en la pestaña Supervisar (Monitor) para ver los datos de uso de la puerta de enlace seleccionada.

Resultados

La pestaña Supervisar (Monitor) de la puerta de enlace seleccionada muestra los siguientes detalles:

En la parte superior de la página, puede elegir un período de tiempo específico a fin de ver los detalles de la puerta de enlace para la duración seleccionada.

La página muestra una representación gráfica de los detalles de uso de los siguientes parámetros para el período de tiempo de duración seleccionado, junto con los valores mínimo, máximo y promedio.

n Porcentaje de CPU (CPU Percentage): porcentaje de uso de CPU.

n Uso de memoria (Memory Usage): porcentaje de uso de memoria.

n Recuentos de flujos (Flow Counts): recuento de flujos de tráfico.

n Caías de cola de entrega (Handoff Queue Drops): recuento de paquetes descartados debido a una entrega en cola.

n Recuento de túneles (Tunnel Count): recuento de sesiones de túnel.

Desplace el mouse por los gráficos para ver más detalles.


VMware, Inc. 95

Mapas de aplicaciones 14Los Mapas de aplicaciones (Application Maps) son archivos JSON que se componen de varias aplicaciones con definiciones, que se pueden utilizar al crear directivas empresariales.

En el panel Operador (Operator), haga clic en Mapas de aplicaciones (Application Maps) > Acciones (Actions) para realizar las siguientes actividades.

n Cargar mapa de aplicaciones (Upload Application Map): permite cargar el archivo JSON con las aplicaciones y las definiciones. Consulte Cargar mapas de aplicaciones.

n Clonar mapa de aplicaciones (Clone Application Map): crea un nuevo mapa de aplicaciones mediante la clonación de un archivo de mapa de aplicaciones existente. Consulte Clonar mapas de aplicaciones.

n Modificar mapa de aplicaciones (Modify Application Map): permite agregar o actualizar los detalles de la aplicación disponibles en el mapa de aplicaciones seleccionado. Consulte Modificar mapas de aplicaciones.

n Actualizar mapa de aplicaciones (Refresh Application Map): actualiza las definiciones de aplicaciones enumeradas en los mapas de aplicaciones seleccionados. Consulte Actualizar mapa de aplicaciones.

n Insertar mapa de aplicaciones (Push Application Map): envía las actualizaciones más recientes de las definiciones de aplicaciones disponibles en el mapa de aplicaciones a los SD-WAN Edges asociados. Consulte Insertar mapa de aplicaciones.

n Eliminar mapa de aplicaciones (Delete Application Map): elimina los mapas de aplicaciones seleccionados. No se puede eliminar un mapa que se haya asignado a un perfil de operador.


n Cargar mapas de aplicaciones

VMware, Inc. 96

n Clonar mapas de aplicaciones

n Modificar mapas de aplicaciones

n Actualizar mapa de aplicaciones

n Insertar mapa de aplicaciones

Cargar mapas de aplicaciones

VMware proporciona un mapa de aplicaciones inicial con aplicaciones posibles. También puede cargar su archivo JSON con las aplicaciones que se utilizarán en las directivas empresariales.

En el portal de operadores, haga clic en Mapas de aplicaciones (Application Maps).

1 Para cargar un archivo de mapa, haga clic en Cargar mapa de aplicaciones (Upload Application Map) o Acciones (Actions) > Cargar mapa de aplicaciones (Upload Application Map).

2 En la ventana Cargar mapa de aplicaciones (Upload Application Map), seleccione el archivo de mapa de aplicaciones.

Tras validarse el contenido, se carga el archivo.

Puede ver los archivos cargados en la ventana Mapas de aplicaciones (Application Maps) y, si es necesario, puede descargar el archivo.

Para asignar un mapa de aplicaciones a un perfil de operador, consulte Administrar perfiles de operador.

Clonar mapas de aplicaciones

Puede crear un nuevo mapa de aplicaciones mediante la clonación de un mapa de aplicaciones existente.


VMware, Inc. 97


1 Seleccione el mapa de aplicaciones que desea clonar y haga clic en Acciones (Actions) > Clonar mapa de aplicaciones (Clone Application Map).

2 En la ventana Clonar mapa de aplicaciones (Clone Application Map), introduzca un nombre nuevo y una descripción para el mapa de aplicaciones.

3 Haga clic en Clonar (Clone).

Modificar mapas de aplicaciones

Puede agregar o actualizar los detalles de la aplicación disponibles en los mapas de aplicaciones existentes.


1 Seleccione el mapa de aplicaciones que desea actualizar y haga clic en Acciones (Actions) > Modificar mapa de aplicaciones (Modify Application Map) o haga clic en el vínculo del mapa de aplicaciones.

2 El Editor de mapas de aplicaciones (Application Map Editor) muestra la lista de definiciones de aplicaciones disponibles en el archivo de mapa.


VMware, Inc. 98

Seleccione una definición de aplicación y vea información detallada sobre la definición seleccionada. También puede buscar una definición de aplicación, ordenar las definiciones por identificador de aplicación o nombre para mostrar, crear una nueva definición de aplicación o eliminar una definición existente.

3 Para agregar una definición a la lista, haga clic en Agregar nueva (Add New).

4 Para eliminar una definición de la lista, haga clic en Eliminar (Remove).

5 Para modificar los detalles de la definición seleccionada, haga clic en Editar (Edit).

Actualice los detalles, como el nombre, el nombre para mostrar, la descripción, la categoría y los puertos, y haga clic en Listo (Done).

Los identificadores de aplicaciones se definen de la siguiente manera:

Para las versiones anteriores a 3.3.2:

n 0-4999 para aplicaciones de punto por pulgada

n 5000-5999 para aplicaciones de VMware


VMware, Inc. 99

n 6000-6999 para aplicaciones definidas por el usuario

Para las versiones 3.3.2 y posteriores:

n 0-4999 para aplicaciones de punto por pulgada

n 5000-5999 para aplicaciones de VMware

n 6000-9999 para aplicaciones definidas por el usuario

6 En el Editor de mapas de aplicaciones (Application Map Editor), haga clic en Guardar (Save).

Actualizar mapa de aplicaciones

Puede actualizar las definiciones de aplicaciones, administradas por los proveedores de SaaS de terceros, enumerados en el mapa de aplicaciones.


1 Seleccione los mapas de aplicaciones que desea actualizar y haga clic en Acciones (Actions) > Actualizar mapa de aplicaciones (Refresh Application Map).

2 Se abre la página Actualizar mapas de aplicaciones (Refresh Application Maps), que muestra el número de perfiles de operador, clientes e instancias de Edge asociadas con los mapas de aplicaciones seleccionados.

3 Haga clic en Actualizar mapas de aplicaciones (Refresh Application Maps) para actualizar los mapas de aplicaciones seleccionados.

Nota Solo puede actualizar las definiciones de aplicaciones en los mapas de aplicaciones mediante la opción Actualizar (Refresh). Si desea actualizar las instancias de Edge asociadas con las definiciones más recientes, utilice la opción Insertar mapa de aplicaciones.


VMware, Inc. 100

Insertar mapa de aplicaciones

Puede insertar las actualizaciones más recientes de las definiciones de aplicaciones disponibles en los mapas de aplicaciones a las instancias de Edge asociadas.


1 Seleccione el mapa de aplicaciones que desea insertar en las instancias de Edge asociadas y haga clic en Acciones (Actions) > Insertar mapa de aplicaciones (Push Application Map).

2 Se abre la página Insertar mapa de aplicaciones (Push Application Map), que muestra el número de perfiles de operador, clientes e instancias de Edge asociadas con el mapa de aplicaciones seleccionado.

3 Haga clic en Insertar en instancias de Edge (Push to Edges) para actualizar las instancias de Edge con las definiciones de aplicaciones más recientes disponibles en el mapa de aplicaciones seleccionado.

Nota Esta opción envía las definiciones de aplicaciones solo cuando hay actualizaciones disponibles.


VMware, Inc. 101

Personalización de funciones 15SD-WAN Orchestrator consta de funciones de usuario con distintos conjuntos de privilegios. Como superusuario operador, puede asignar una función predefinida a un usuario. La personalización de funciones le permite personalizar el conjunto de privilegios existente para las funciones de los usuarios. La personalización se aplica globalmente a través de Orchestrator.

En el portal de operadores, haga clic en Personalización de funciones (Role Customization). Haga clic en Mostrar privilegios actuales (Show Current Privileges) para ver los privilegios de las funciones de usuario existentes.

Si desea personalizar los privilegios para las funciones, póngase en contacto con el soporte técnico de VMware para plantear sus requisitos. El equipo de soporte técnico proporcionará el paquete personalizado como un archivo JSON y el usuario podrá aplicar la personalización.

n En la ventana Personalización de funciones (Role Customization), haga clic en Cargar paquete (Upload Package). Elija el archivo JSON que recibió del equipo de soporte técnico y cargue el paquete.

n El archivo cargado se muestra en la ventana Paquetes de personalización de funciones (Role Customization Packages).

VMware, Inc. 102

n Puede hacer clic en el vínculo del nombre del paquete para ver los privilegios personalizados.

Los privilegios personalizados se resaltan en un color diferente.

n Para aplicar los privilegios de función personalizados a las funciones de usuario existentes, seleccione el archivo de paquete en la ventana Paquetes de personalización de funciones (Role Customization Packages) y haga clic en Acciones (Actions) > Aplicar paquete (Apply Package).

n Para actualizar el nombre y la descripción de un paquete seleccionado, haga clic en Acciones (Actions) > Modificar paquete (Modify Package).

n Para eliminar un paquete, seleccione el archivo del paquete y haga clic en Acciones (Actions) > Eliminar paquete (Delete Package). No se puede eliminar un paquete si ya está en uso.


VMware, Inc. 103

Licencias de Edge 16SD-WAN Orchestrator proporciona diferentes tipos de licencias para las instancias de Edge. Un operador puede administrar y asignar licencias a socios y clientes empresariales. Los socios pueden asignar tipos de licencia a sus clientes empresariales.

Para habilitar la concesión de licencias de Edge, establezca el valor de la propiedad del sistema session.options.enableEdgeLicensing como Verdadero (True). En el portal de operadores, haga clic en Propiedades del sistema (System Properties) para actualizar el valor de la propiedad.

Las licencias de Edge están disponibles con los siguientes componentes:

Componente Atributos admitidos

Ancho de banda 10 MB, 30 MB, 50 MB, 100 MB, 200 MB, 500 MB, 1 GB, 2 GB, 5 GB, 10 GB

Versiones Standard, Enterprise, Premium

Región América del norte, Europa, Oriente Medio y África, América Latina, Asia Pacífico

Plazo 12 meses, 36 meses, 60 meses

Un operador puede asignar diferentes tipos de licencias de Edge entre los 270 tipos de licencias de disponibles con varias combinaciones.

Para administrar las licencias de Edge para socios, consulte Administrar licencias de Edge para socios.

Para asignar licencias a socios, consulte Crear un nuevo socio.

Para administrar las licencias de Edge para clientes, consulte Administrar licencias de Edge para clientes.

Para asignar licencias a los clientes, consulte Crear un nuevo cliente.

Para ver y generar un informe de los tipos de licencia disponibles, consulte Generar informe de licencias de Edge.


n Administrar licencias de Edge para socios

n Administrar licencias de Edge para clientes

n Generar informe de licencias de Edge

VMware, Inc. 104

Administrar licencias de Edge para socios

Un operador puede administrar las licencias de Edge y asignarlas a los socios.

n En el portal de operadores, haga clic en Administrar socios (Manage Partners).

n Haga clic en el vínculo a un nombre de socio para acceder al portal de socios.

n En el portal de socios, haga clic en Licencias de Edge (Edge Licensing).

n Haga clic en Administrar licencia de Edge (Manage Edge License).

n En la ventana Seleccionar licencias de Edge (Select Edge Licenses), elija las licencias pertinentes según el ancho de banda, el plazo, la edición y la región.

Nota Al seleccionar las licencias, puede elegir una de las siguientes opciones:

n Seleccione solo las versiones Standard.

n Seleccione Enterprise, Premium o ambas. No se puede combinar una versión Standard con las otras versiones.

n Haga clic en Aceptar (OK).

Las licencias seleccionadas se muestran en la ventana Licencias de Edge (Edge Licensing).

Haga clic en Informe (Report) para generar un informe de las licencias junto con las instancias de Edge y los clientes asociados en formato MS Excel.


VMware, Inc. 105

Administrar licencias de Edge para clientes

Un operador puede administrar las licencias de Edge y asignarlas a los clientes.

n En el portal de operadores, haga clic en Administrar clientes (Manage Customers).

n Haga clic en el vínculo a un nombre de cliente para acceder al portal de empresas.

n En el portal de empresas, haga clic en Administración (Administration) > Licencias de Edge (Edge Licensing).

n Haga clic en Administrar licencia de Edge (Manage Edge License).

n En la ventana Seleccionar licencias de Edge (Select Edge Licenses), elija las licencias pertinentes según el ancho de banda, el plazo, la edición y la región.

Nota Al seleccionar las licencias, puede elegir una de las siguientes opciones:

n Seleccione solo las versiones Standard.

n Seleccione Enterprise, Premium o ambas. No se puede combinar una versión Standard con las otras versiones.

n Haga clic en Aceptar (OK).

Las licencias seleccionadas se muestran en la ventana Licencias de Edge (Edge Licensing).


VMware, Inc. 106

Haga clic en Actualizar licencia de Edge (Upgrade Edge License) para actualizar las versiones al siguiente nivel, como se indica a continuación:

n Una versión Standard a una versión Enterprise o Premium.

n Una versión Enterprise a una versión Premium.

Nota No se puede cambiar la versión de un tipo de licencia a la versión anterior.

Haga clic en Informe (Report) para generar un informe de las licencias y las instancias de Edge asociadas en formato MS Excel.

Generar informe de licencias de Edge

Los superusuarios operadores, los operadores estándar, los especialistas de negocio y los operadores de soporte técnico al cliente pueden generar un informe de las licencias de Edge existentes.

En el portal de operadores, desplácese hasta Licencias de Edge (Edge Licensing).

Haga clic en Informe (Report) para generar un informe de las licencias, los socios asociados, los clientes y las instancias de Edge en formato MS Excel.


VMware, Inc. 107

Autenticación de Orchestrator 17La opción de autenticación de Orchestrator le permite establecer los modos de autenticación para los usuarios operadores y empresariales. También puede ver los tokens de API existentes.

En el portal de operadores, haga clic en Autenticación de Orchestrator (Orchestrator Authentication) y seleccione los modos de autenticación en el menú desplegable para los usuarios operadores y empresariales.

A continuación, se muestran los modos de autenticación disponibles. Solo un usuario operador puede habilitar los modos nativo y RADIUS tanto para la autenticación empresarial como del operador. Cualquier usuario operador con permiso de superusuario puede configurar el modo SSO.

n Nativo (Native): el modo de autenticación predeterminado de Orchestrator. Este modo no requiere ninguna configuración.

n RADIUS: el protocolo RADIUS (Servicio de autenticación remota telefónica de usuario) es un protocolo de cliente-servidor que permite que los servidores de acceso remoto se comuniquen con un servidor central. La autenticación RADIUS ofrece una administración centralizada para los usuarios. Para obtener más información, consulte Configurar la autenticación RADIUS (Configure RADIUS Authentication)

VMware, Inc. 108

n SSO: Single Sign-on (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios operadores iniciar sesión en Orchestrator con un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. Para obtener más información, consulte Configurar el inicio de sesión único del operador.

Tokens de API (API Tokens)

Puede acceder a las API de Orchestrator mediante la autenticación basada en token, independientemente del modo de autenticación. Los administradores operadores con permisos adecuados pueden ver los tokens de API emitidos para los usuarios de Orchestrator, incluidos los tokens emitidos para los usuarios de socios y clientes, en esta sección. Si es necesario, un administrador operador puede revocar los tokens de API.

De forma predeterminada, los tokens de API están habilitados. Si desea deshabilitarlos, vaya a Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableApiTokenAuth como Falso (False).

Solo el superusuario operador o el usuario asociado a un token de API pueden revocar el token. Seleccione el token y haga clic en Acciones (Actions) > Revocar (Revoke). Como superusuario operador, puede administrar los tokens de API para los usuarios empresariales. Para crear y descargar los tokens de API, consulte Tokens de API.


n Configurar la autenticación RADIUS (Configure RADIUS Authentication)

n Configurar el inicio de sesión único del operador

Configurar la autenticación RADIUS (Configure RADIUS Authentication)

Puede configurar la autenticación de Orchestrator en modo RADIUS para que el operador y los clientes empresariales inicien sesión en los portales mediante los servidores RADIUS.

Seleccione implementar una de las siguientes opciones en el modo de autenticación RADIUS:

n Servidor de RADIUS único (Single RADIUS Server): comparta el mismo servidor RADIUS entre el operador y el cliente empresarial.

n Servidores de RADIUS independientes (Separate RADIUS Servers): configure un servidor RADIUS para el operador o proveedor de servicios y otro para todos los clientes empresariales.

Para configurar el modo RADIUS, haga clic en Autenticación de Orchestrator (Orchestrator Authentication) en el portal de operadores.

Seleccione el Modo de autenticación (Authentication Mode) como RADIUS para Autenticación de operador (Operator Authentication) y Autenticación de empresa (Enterprise Authentication). Introduzca los detalles correspondientes.


VMware, Inc. 109

Puede introducir o modificar los valores de los campos, excepto el Protocolo (Protocol). El valor de protocolo solo se puede editar en las propiedades del sistema. Edite el protocolo en los campos de valor de vco.operator.authentication.radius para el operador y vco.enterprise.authentication.radius para las empresas.

En lugar de configurar los valores en la página Configurar autenticación (Configure Authentication), también puede definir los valores del servidor RADIUS en las propiedades del sistema. En el portal de operadores, desplácese hasta la página Propiedades del sistema (System Properties) y configure las siguientes propiedades del sistema:

n vco.enterprise.authentication.mode: introduzca el valor como RADIUS para habilitar la autenticación RADIUS para empresas.

n vco.enterprise.authentication.radius: en el campo de valor, edite la plantilla JSON con los detalles del servidor y otros atributos para las empresas.

n vco.operator.authentication.mode: introduzca el valor como RADIUS para habilitar la autenticación RADIUS para los operadores.

n vco.operator.authentication.radius: en el campo de valor, edite la plantilla JSON con los detalles del servidor y otros atributos para los operadores.

Después de definir las propiedades del sistema con los valores pertinentes, haga clic en Autenticación de Orchestrator (Orchestrator Authentication).

El Modo de autenticación (Authentication Mode) se cambia a RADIUS y los campos emergentes con los atributos que ha definido en las propiedades del sistema.


VMware, Inc. 110

Si es necesario, puede modificar los valores en los campos correspondientes. Después de actualizar los campos, haga clic en Guardar cambios (Save Changes).

Configurar el inicio de sesión único del operador

El modo de inicio de sesión único (SSO) se ha agregado recientemente a la pantalla de Autenticación de Orchestrator (Orchestrator Authentication).

Descripción general del inicio de sesión único

SD-WAN Orchestrator admite un nuevo tipo de autenticación de usuario denominado inicio de sesión único (SSO) para todos los tipos de usuarios de Orchestrator: operador, de socio y empresarial.

El inicio de sesión único (SSO) es un servicio de autenticación de usuarios y sesiones que permite a los usuarios de SD-WAN Orchestrator iniciar sesión en SD-WAN Orchestrator con un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. La integración del servicio de SSO con SD-WAN Orchestrator mejora la seguridad de la autenticación para usuarios de SD-WAN Orchestrator y permite a SD-WAN Orchestrator autenticar usuarios desde otros proveedores de identidad (IDP) basados en OpenID Connect (OIDC). Actualmente se admiten los siguientes IDP:

n Okta

n OneLogin

n PingIdentity

n AzureAD

n VMwareCSP

Configurar el inicio de sesión único para el usuario operador

Los usuarios operadores con permiso de superusuario pueden configurar el inicio de sesión único (SSO) en SD-WAN Orchestrator. Para configurar la autenticación de SSO para el usuario operador, realice los pasos de este procedimiento.

Para configurar el inicio de sesión único para un usuario operador:

Requisitos previos

n Asegúrese de tener permiso de superusuario operador.


VMware, Inc. 111

n Antes de configurar la autenticación de SSO en SD-WAN Orchestrator, asegúrese de haber configurado las funciones, los usuarios y la aplicación OIDC (OpenID Connect) para SD-WAN Orchestrator en el sitio web del proveedor de identidades preferido. Para obtener más información, consulte Configurar un IDP para Single Sign On.

Nota La integración de SSO en el nivel de administración del operador de una instancia de Orchestrator alojada en VMware está reservada a los operadores técnicos de VMware SD-WAN. Los socios con acceso de nivel operador de un Orchestrator alojado no tienen la opción de integrarse en un servicio de SSO.

Procedimiento

1 Inicie sesión en la aplicación SD-WAN Orchestrator como superusuario operador.

2 Haga clic en Autenticación de Orchestrator (Orchestrator Authentication).

Aparecerá la pantalla Configurar autenticación (Configure Authentication).

3 En el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.


VMware, Inc. 112

4 En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione el proveedor de identidad (Identity Provider, IDP) preferido que haya configurado para Single Sign On.

Nota Cuando seleccione VMwareCSP como IDP preferido, asegúrese de proporcionar el identificador de la organización con el siguiente formato: /csp/gateway/am/api/orgs/<ID organización completo>.

Al iniciar sesión en la consola de VMware CSP, puede ver el identificador de organización con el que inició sesión haciendo clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

También puede configurar manualmente sus propios IDP seleccionando Otros (Others) en el menú desplegable Plantilla de proveedor de identidad (Identity Provider template).

5 En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (OIDC) para su IDP. Por ejemplo, el formato de la URL de Okta será: https://{oauth-provider-url}/.well-known/openid-configuration

6 La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.

7 En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente proporcionado por el IDP.

8 En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente proporcionado por el IDP, que el cliente utiliza para intercambiar un código de autorización para un token.

9 Para determinar la función del usuario en SD-WAN Orchestrator, seleccione una de las siguientes opciones:

n Usar función predeterminada (Use Default Role): permite al usuario configurar una función estática como predeterminada mediante el cuadro de texto Función predeterminada (Default Role) que aparece al seleccionar esta opción. Las funciones admitidas son: superusuario operador, administrador estándar de operador, soporte técnico de operador y empresa de operador.


VMware, Inc. 113

https://console-stg.cloud.vmware.com/

Nota En una configuración de SSO, si se selecciona la opción Usar función predeterminada (Use Default Role) y se define una función de usuario predeterminada, se asignará a todos los usuarios de SSO la función predeterminada especificada. En lugar de asignar un usuario con la función predeterminada, un superusuario operador puede registrar previamente un usuario específico como usuario no nativo y definir una función de usuario específica mediante la pestaña Usuarios operadores (Operator Users). Para conocer los pasos para configurar un nuevo usuario operador, consulte Crear un nuevo usuario operador.

n Usar funciones de proveedor de identidad (Use Identity Provider Roles): utiliza las funciones configuradas en el IDP.

10 Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en el IDP para devolver las funciones.

11 En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por IDP a cada una de las funciones de SD-WAN Orchestrator, separadas por comas.

Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.

12 Actualice las URL de redireccionamiento permitidas en el sitio web del proveedor de OIDC con la URL de SD-WAN Orchestrator (https://<vco>/login/ssologin/openidCallback).

13 Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.

14 Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) especificada.

El usuario se desplaza al sitio web de IDP y se le permite introducir las credenciales. Tras la verificación de IDP y el redireccionamiento correcto a la devolución de llamada de prueba de SD-WAN Orchestrator, se muestra un mensaje de validación correcto.

Resultados

Se completó la configuración de la autenticación de SSO en SD-WAN Orchestrator.

Pasos siguientes

Capítulo 6 Iniciar sesión en SD-WAN Orchestrator mediante SSO par usuarios operadores


VMware, Inc. 114

Configurar un IDP para Single Sign On

Para habilitar Single Sign On (SSO) en SD-WAN Orchestrator, es necesario configurar un socio de identidad (Identity Partner, IDP) con los detalles de SD-WAN Orchestrator. Actualmente, se admiten los siguientes IDP: Okta, OneLogin, PingIdentity, AzureAD y VMware CSP.

Si desea obtener instrucciones paso a paso para configurar una aplicación de OpenID Connect (OIDC) para SD-WAN Orchestrator en varios IDP, consulte:

n Configurar Okta para Single Sign-On

n Configurar OneLogin para Single Sign-On

n Configurar PingIdentity para Single Sign-On

n Configurar Azure Active Directory para Single Sign On

n Configurar VMware CSP para Single Sign-On

Configurar Okta para Single Sign-On

Para admitir Single Sign On (SSO) basado en OpenID Connect (OIDC) desde Okta, primero debe configurar una aplicación en Okta. Para configurar una aplicación basada en OIDC en Okta para SSO, realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de Okta para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de Okta como usuario administrador.

Se mostrará la pantalla de inicio de Okta.

Nota Si se encuentra en la vista de la consola para desarrolladores, debe cambiar a la vista de la interfaz de usuario clásica. Para ello, seleccione Interfaz de usuario clásica (Classic UI) en la lista desplegable Consola para desarrolladores (Developer Console).


VMware, Inc. 115

https://login.okta.com/

2 Para crear una nueva aplicación:

a En la barra de navegación superior, haga clic en Aplicaciones (Applications) > Agregar aplicación (Add Application).

Se mostrará la pantalla Agregar aplicación (Add Application).

b Haga clic en Crear nueva aplicación (Create New App).

Se abrirá el cuadro de diálogo Crear una nueva integración de aplicaciones (Create a New Application Integration).

c En el menú desplegable Plataforma (Platform), seleccione Web.

d Seleccione OpenID Connect como el método de inicio de sesión y haga clic en Crear (Create).

Se mostrará la pantalla Crear integración con OpenID Connect (Create OpenID Connect Integration).

e En el área Configuración general (General Settings), en el cuadro de texto Nombre de aplicación (Application name), introduzca el nombre de la aplicación.


VMware, Inc. 116

f En el área CONFIGURAR OPENID CONNECT (CONFIGURE OPENID CONNECT), en el cuadro de texto URI de redireccionamiento de inicio de sesión (Login redirect URIs), introduzca la URL de redireccionamiento que utiliza la aplicación SD-WAN Orchestrator como endpoint de devolución de llamada.

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.

g Haga clic en Guardar (Save). Se mostrará la página de la aplicación creada recientemente.


VMware, Inc. 117

h En la pestaña General, haga clic en Editar (Edit), seleccione Actualizar token (Refresh Token) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Guardar (Save).

Anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.

i Haga clic en la pestaña Inicio de sesión (Sign on) y, en el área Token de identificador de OpenID Connect (OpenID Connect ID Token), haga clic en Editar (Edit).

j En el menú desplegable Tipo de notificación de grupos (Groups claim type), seleccione Expresión (Expression). De forma predeterminada, el tipo de notificación grupos se establece en Filtro (Filter).


VMware, Inc. 118

k En el cuadro de texto Expresión de notificación de grupos (Groups claim expression), introduzca el nombre de la notificación que se utilizará en el token y una instrucción de expresión de entrada de Okta que evalúe el token.

l Haga clic en Guardar (Save).

Se configurará la aplicación en IDP. Ahora puede asignar usuarios y grupos de usuarios a la aplicación SD-WAN Orchestrator.


VMware, Inc. 119

3 Para asignar grupos y usuarios a la aplicación SD-WAN Orchestrator:

a Vaya a Aplicación (Application) > Aplicaciones (Applications) y haga clic en el vínculo de la aplicación SD-WAN Orchestrator.

b En la pestaña Asignaciones (Assignments), en el menú desplegable Asignar (Assign), seleccione Asignar a grupos (Assign to Groups) o Asignar a personas (Assign to People).

Se mostrará el cuadro de diálogo Asignar <nombre de la aplicación> a grupos (Assign <Application Name> to Groups) o Asignar <nombre de la aplicación> a personas (Assign <Application Name> to People).

c Haga clic en Asignar (Assign) junto a los usuarios o grupos de usuarios disponibles que desee asignar a la aplicación SD-WAN Orchestrator y haga clic en Listo (Done).

Se mostrarán los usuarios o los grupos de usuarios asignados a la aplicación SD-WAN Orchestrator.

Resultados

Completó la configuración de una aplicación basada en OIDC en Okta para SSO.

Pasos siguientes

Configure Single Sign On en SD-WAN Orchestrator.

Crear un nuevo grupo de usuarios en Okta

Para crear un nuevo grupo de usuarios, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Grupos (Groups).


VMware, Inc. 120

2 Haga clic en Agregar grupo (Add Group).

Se mostrará el cuadro de diálogo Agregar grupo (Add Group).

3 Introduzca el nombre y la descripción del grupo, y haga clic en Guardar (Save).

Crear un nuevo usuario en Okta

Para agregar un usuario nuevo, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Directorio (Directory) > Personas (People).

2 Haga clic en Agregar persona (Add Person).

Se mostrará el cuadro de diálogo Agregar persona (Add Person).

3 Introduzca todos los detalles obligatorios, como el nombre, el apellido y el identificador de correo electrónico del usuario.

4 Si desea establecer la contraseña, seleccione Establecido por usuario (Set by user) en el menú desplegable Contraseña (Password) y habilite Enviar correo electrónico de activación de usuario ahora (Send user activation email now).

5 Haga clic en Guardar (Save).

Se enviará un correo electrónico con un vínculo de activación a su identificador de correo electrónico. Haga clic en el vínculo del correo electrónico para activar su cuenta de usuario de Okta.

Configurar OneLogin para Single Sign-On

Para configurar una aplicación basada en OpenID Connect (OIDC) en OneLogin para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de OneLogin para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de OneLogin como usuario administrador.

Se mostrará la pantalla de inicio de OneLogin.


VMware, Inc. 121

https://app.onelogin.com/login


a En la barra de navegación superior, haga clic en Aplicaciones (Apps) > Agregar aplicaciones (Add Apps).

b En el cuadro de texto Buscar aplicaciones (Find Applications), busque “OpenId Connect” u “oidc” y, a continuación, seleccione la aplicación OpenId Connect (OIDC).

Se mostrará la pantalla Agregar OpenId Connect (Add OpenId Connect (OIDC)).

c En el cuadro de texto Nombre para mostrar (Display Name), introduzca el nombre de la aplicación y haga clic en Guardar (Save).

d En la pestaña Configuración (Configuration), introduzca la URL de redireccionamiento que SD-WAN Orchestrator utiliza como endpoint de devolución de llamada y haga clic en Guardar (Save).

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Autenticación (Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.


VMware, Inc. 122

e En la pestaña Parámetros (Parameters), en OpenId Connect (OIDC), haga doble clic en Grupos (Groups).

Se mostrará la ventana emergente Editar grupos de campos (Edit Field Groups).

f Configure Funciones de usuario (User Roles) con el valor “--No transformar--(salida de valor único)” (--No transform--(Single value output)) para el atributo de envío en grupos y haga clic en Guardar (Save).

g En la pestaña SSO, en el menú desplegable Tipo de aplicación (Application type), seleccione Web.


VMware, Inc. 123

h En el menú desplegable Método de autenticación (Authentication Method), seleccione POST como Endpoint de token (Token Endpoint) y haga clic en Guardar (Save).

Además, anote las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.

i En la pestaña Acceso (Access), elija las funciones a las que se les permitirá iniciar sesión y haga clic en Guardar (Save).

3 Para agregar funciones y usuarios a la aplicación SD-WAN Orchestrator:

a Haga clic en Usuarios (Users) > Usuarios (Users) y seleccione un usuario.

b En la pestaña Aplicación (Application), en el menú desplegable Funciones (Roles) a la izquierda, seleccione la función que se asignará al usuario.

c Haga clic en Guardar usuarios (Save Users).

Resultados

Completó la configuración de una aplicación basada en OIDC en OneLogin para SSO.


VMware, Inc. 124

Pasos siguientes


Crear una nueva función en OneLogin

Para crear una nueva función, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Funciones (Roles).

2 Haga clic en Nueva función (New Role).

3 Introduzca un nombre para la función.

Cuando se configura una función por primera vez, la pestaña Aplicaciones (Applications) muestra todas las aplicaciones del catálogo de la empresa.

4 Haga clic en una aplicación para seleccionarla y haga clic en Guardar (Save) para agregar las aplicaciones seleccionadas a la función.

Crear un nuevo usuario en OneLogin

Para crear un nuevo usuario, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Usuarios (Users) > Usuario nuevo (New User).

Se mostrará la pantalla Usuario nuevo (New User).

2 Introduzca todos los detalles obligatorios, como el nombre, el apellido y el identificador de correo electrónico del usuario, y haga clic en Guardar usuario (Save User).

Configurar PingIdentity para Single Sign-On

Para configurar una aplicación basada en OpenID Connect (OIDC) en PingIdentity para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de PingOne para iniciar sesión.

Nota Actualmente, SD-WAN Orchestrator admite PingOne como socio de identidad (Identity Partner, IDP). Sin embargo, es posible configurar fácilmente cualquier producto PingIdentity compatible con OIDC.

Procedimiento

1 Inicie sesión en la cuenta de PingOne como usuario administrador.

Se mostrará la pantalla de inicio de PingOne.


VMware, Inc. 125

https://admin.pingone.com/web-portal/login


a En la barra de navegación superior, haga clic en Aplicaciones (Applications).

b En la pestaña Mis aplicaciones (My Applications), seleccione OIDC y haga clic en Agregar aplicación (Add Application).

Se abrirá la ventana emergente Agregar aplicación de OIDC (Add OIDC Application).

c Proporcione detalles básicos, como el nombre, una descripción breve y la categoría de la aplicación, y haga clic en Siguiente (Next).

d En CONFIGURACIÓN DE AUTORIZACIÓN (AUTHORIZATION SETTINGS), seleccione Código de autorización (Authorization Code) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Siguiente (Next).

Además, anote la URL de detección y las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en SD-WAN Orchestrator.


VMware, Inc. 126

e En FLUJO DE SSO Y CONFIGURACIÓN DE AUTORIZACIÓN (SSO FLOW AND AUTHORIZATION SETTINGS), proporcione valores válidos para URL de SSO de inicio (Start SSO URL) y URL de redireccionamiento (Redirect URL), y haga clic en Siguiente (Next).

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback. La URL de SSO de inicio tendrá el siguiente formato: https://<vco>/<nombre de dominio>/login/doEnterpriseSsoLogin.

f En CONTRATO DE ATRIBUTO DE PERFIL DE USUARIO PREDETERMINADO (DEFAULT USER PROFILE ATTRIBUTE CONTRACT), haga clic en Agregar atributo (Add Attribute) para agregar atributos de perfil de usuario adicionales.

g En el cuadro de texto Nombre de atributo (Attribute Name), introduzca group_membership. A continuación, seleccione la casilla de verificación Obligatorio (Required) y seleccione Siguiente (Next).

Nota Se requiere el atributo group_membership para recuperar las funciones de PingOne.

h En ÁMBITOS DE CONEXIÓN (CONNECT SCOPES), seleccione los ámbitos que se pueden solicitar para la aplicación SD-WAN Orchestrator durante la autenticación y haga clic en Siguiente (Next).

i En Asignación de atributos (Attribute Mapping), asigne los atributos del repositorio de identidades a las notificaciones disponibles para la aplicación SD-WAN Orchestrator.

Nota Las asignaciones mínimas requeridas para que la integración funcione son: email, given_name, family_name, phone_number, sub y group_membership (asignado a memberOf).

j En Acceso de grupo (Group Access), seleccione todos los grupos de usuarios que deben tener acceso a la aplicación SD-WAN Orchestrator y haga clic en Listo (Done).

La aplicación se agregará a su cuenta y estará disponible en la pantalla Mi aplicación (My Application).

Resultados

Completó la configuración de una aplicación basada en OIDC en PingOne para SSO.

Pasos siguientes


Crear un nuevo grupo de usuarios en PingIdentity

Para crear un nuevo grupo de usuarios, realice los pasos de este procedimiento.


VMware, Inc. 127

Procedimiento

1 Haga clic en Usuarios (Users) > Directorio de usuarios (User Directory).

2 En la pestaña Grupos (Groups), haga clic en Agregar grupo (Add Group).

Se mostrará la pantalla Nuevo grupo (New Group).

3 En el cuadro de texto Nombre (Name), introduzca un nombre para el grupo y haga clic en Guardar (Save).

Crear un nuevo usuario en PingIdentity

Para agregar un usuario nuevo, realice los pasos de este procedimiento.

Procedimiento

1 Haga clic en Usuarios (Users) > Directorio de usuarios (User Directory).

2 En la pestaña Usuarios (Users), haga clic en el menú desplegable Agregar usuarios (Add Users) y seleccione Crear usuario nuevo (Create New User).

Se mostrará la pantalla Usuario (User).

3 Introduzca todos los detalles obligatorios, como el nombre de usuario, la contraseña y el identificador de correo electrónico del usuario.

4 En Pertenencias a grupos (Group Memberships), haga clic en Agregar (Add).

Se mostrará la ventana emergente Agregar pertenencia a grupo (Add Group Membership).

5 Busque y agregue el usuario a un grupo y haga clic en Guardar (Save).

Configurar Azure Active Directory para Single Sign On

Para configurar una aplicación basada en OpenID Connect (OIDC) en Microsoft Azure Active Directory (AzureAD) para Single Sign On (SSO), realice los pasos de este procedimiento.

Requisitos previos

Asegúrese de tener una cuenta de AzureAD para iniciar sesión.

Procedimiento

1 Inicie sesión en la cuenta de Microsoft Azure como usuario administrador.

Se mostrará la pantalla de inicio de Microsoft Azure.


VMware, Inc. 128

https://portal.azure.com/


a Busque y seleccione el servicio Azure Active Directory.

b Vaya a Registro de aplicaciones (App registration) > Nuevo registro (New registration).

Se mostrará la pantalla Registrar una aplicación (Register an application).

c En el campo Nombre (Name), introduzca el nombre de la aplicación SD-WAN Orchestrator.

d En el campo URL de redireccionamiento (Redirect URL), introduzca la URL de redireccionamiento que utiliza la aplicación SD-WAN Orchestrator como endpoint de devolución de llamada.

En la aplicación SD-WAN Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SD-WAN Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.


VMware, Inc. 129

e Haga clic en Registrar (Register).

La aplicación SD-WAN Orchestrator se registrará y se mostrará en las pestañas Todas las aplicaciones (All applications) y Aplicaciones de propiedad (Owned applications). Asegúrese de anotar el identificador de cliente o de aplicación que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.

f Haga clic en Endpoints y copie la URL de configuración de OIDC conocida que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.

g Para crear un secreto de cliente para la aplicación SD-WAN Orchestrator, en la pestaña Aplicaciones de propiedad (Owned applications), haga clic en la aplicación SD-WAN Orchestrator.

h Vaya a Certificados y secretos (Certificates & secrets) > Nuevo secreto de cliente (New client secret).

Se mostrará la pantalla Agregar un secreto de cliente (Add a client secret).

i Proporcione detalles, como la descripción y el valor de caducidad del secreto, y haga clic en Agregar (Add).

Se creará el secreto de cliente para la aplicación. Anote el nuevo valor del secreto de cliente que se utilizará durante la configuración de SSO en SD-WAN Orchestrator.


VMware, Inc. 130

j Para configurar los permisos de la aplicación SD-WAN Orchestrator, haga clic en la aplicación SD-WAN Orchestrator y vaya a Permisos de API (API permissions) > Agregar un permiso (Add a permission).

Se mostrará la pantalla Solicitar permisos de API (Request API permissions).

k Haga clic en Microsoft Graph y seleccione Permisos de aplicación (Application permissions) como el tipo de permiso de su aplicación.

l En Seleccionar permisos (Select permissions), en el menú desplegable Directorio (Directory), seleccione Directory.Read.All y, en el menú desplegable Usuario (User), seleccione User.Read.All.

m Haga clic en Agregar permisos (Add permissions).


VMware, Inc. 131

n Para agregar y guardar funciones en el manifiesto, haga clic en la aplicación SD-WAN Orchestrator y, en la pantalla Descripción general (Overview) de la aplicación, haga clic en Manifiesto (Manifest).

Se abrirá un editor de manifiestos basado en web para editar el manifiesto dentro del portal. De forma opcional, puede seleccionar Descargar (Download) para editar el manifiesto de forma local y, a continuación, puede utilizar Cargar (Upload) para volver a aplicarlo a la aplicación.

o En el manifiesto, busque la matriz appRoles, agregue uno o varios objetos de función como se muestra en el siguiente ejemplo y haga clic en Guardar (Save).

Objetos de función de muestra

{

"allowedMemberTypes": [

"User"

],

"description": "Standard Administrator who will have sufficient privilege to

manage resource",

"displayName": "Standard Admin",

"id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "standard"

},

{

"allowedMemberTypes": [

"User"

],

"description": "Super Admin who will have the full privilege on SD-WAN

Orchestrator",

"displayName": "Super Admin",

"id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",

"isEnabled": true,

"lang": null,

"origin": "Application",

"value": "superuser"

}


VMware, Inc. 132

Nota Asegúrese de establecer id en un valor de GUID generado recientemente.

3 Para asignar grupos y usuarios a la aplicación SD-WAN Orchestrator:

a Vaya a Azure Active Directory > Aplicaciones empresariales (Enterprise applications).

b Busque y seleccione la aplicación SD-WAN Orchestrator.

c Haga clic en Usuarios y grupos (Users and groups), y asigne usuarios y grupos a la aplicación.

d Haga clic en Enviar (Submit).

Resultados

Ha completado la configuración de una aplicación basada en OIDC en AzureAD para SSO.

Pasos siguientes


Crear un nuevo usuario invitado en Azure AD

Para crear un nuevo usuario invitado, realice los pasos de este procedimiento.

Procedimiento

1 Vaya a Azure Active Directory > Usuarios (Users) > Todos los usuarios (All users).

2 Haga clic en Nuevo usuario invitado (New guest user).

Se abrirá la ventana emergente Nuevo usuario invitado (New guest user).


VMware, Inc. 133

3 En el cuadro de texto Dirección de correo electrónico (Email address), introduzca la dirección de correo electrónico del usuario invitado y haga clic en Invitar (Invite).

El usuario invitado recibirá inmediatamente una invitación personalizable con la que podrá iniciar sesión en su panel de acceso.

4 Los usuarios invitados del directorio pueden asignarse a aplicaciones o grupos.

Configurar VMware CSP para Single Sign-On

Si desea configurar VMware Cloud Services Platform (CSP) para Single Sign On (SSO), realice los pasos de este procedimiento.

Procedimiento

1 Inicie sesión en la consola de VMware CSP (entorno de almacenamiento provisional o de producción) con su identificador de cuenta de VMware. Si es un usuario nuevo de VMware Cloud y no dispone de una cuenta de VMware, puede crear una al registrarse. Para obtener más información, consulte la sección Cómo registrarse en VMware CSP en la documentación Uso de VMware Cloud.

2 Póngase en contacto con el proveedor de soporte de VMware para recibir un vínculo de invitación de incorporación a aplicaciones y registrar la aplicación SD-WAN Orchestrator en VMware CSP. Para obtener información sobre cómo ponerse en contacto con el proveedor de soporte, consulte https://kb.vmware.com/s/article/53907 y https://www.vmware.com/support/contacts/us_support.html.

El proveedor de soporte de VMware creará y compartirá una dirección URL de invitación al servicio que se debe canjear en la organización del cliente.

3 Canjee la dirección URL de la invitación al servicio en la organización del cliente existente o cree una nueva organización del cliente mediante los pasos en la pantalla de la interfaz de usuario.

4 Después de canjear la invitación al servicio, al iniciar sesión en la consola de VMware CSP, verá el icono de la aplicación en el área Mis servicios (My Services) de la página VMware Cloud Services.

La organización en la que inició sesión se mostrará debajo de su nombre de usuario en la barra de menús. Anote el identificador de la organización. Para ello, haga clic en su nombre de usuario. Se mostrará una versión abreviada del identificador debajo del nombre de la organización. Haga clic en el identificador para ver el ID de organización completo.

5 Comparta el identificador de organización completo con el proveedor de soporte de VMware y solicite la creación de una aplicación OAuth.

El proveedor de soporte de VMware creará una aplicación OAuth en la consola de VMware CSP y compartirá los detalles de integración de IDP, como el identificador de cliente, el secreto de cliente y la URL de configuración de OIDC conocida.


VMware, Inc. 134

https://console.cloud.vmware.com/csp/gateway/discovery

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf


https://www.vmware.com/support/contacts/us_support.html

https://www.vmware.com/support/contacts/us_support.html

https://console.cloud.vmware.com/csp/gateway/discovery

6 Inicie sesión en la aplicación SD-WAN Orchestrator como usuario superadministrador y configure SSO con los detalles de integración de IDP recibidos como se indica a continuación.

a Haga clic en Administración (Administration) > Configuración del sistema (System Settings).

Se mostrará la pantalla Configuración del sistema (System Settings).

b Haga clic en la pestaña Información general (General Information) y, en el cuadro de texto Dominio (Domain), introduzca el nombre de dominio de su empresa, si aún no se estableció.

Nota Para habilitar la autenticación de SSO para SD-WAN Orchestrator, debe configurar el nombre de dominio de su empresa.

c Haga clic en la pestaña Autenticación (Authentication) y, en el menú desplegable Modo de autenticación (Authentication Mode), seleccione SSO.

d En el menú desplegable Plantilla de proveedor de identidad (Identity Provider template), seleccione VMwareCSP.

e En el cuadro de texto Identificador de organización (Organization Id), introduzca el identificador de la organización con el siguiente formato: /csp/gateway/am/api/orgs/<ID de organización completo>.

f En el cuadro de texto URL de configuración conocida de OIDC (OIDC well-known config URL), introduzca la URL de configuración de OpenID Connect (https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration) para su IDP.

La aplicación de SD-WAN Orchestrator rellenará automáticamente los detalles de endpoint, como el emisor, el endpoint de autorización, el endpoint de token y el endpoint de información del usuario para el IDP.

g En el cuadro de texto Identificador de cliente (Client ID), introduzca el identificador de cliente recibido del proveedor de soporte.

h En el cuadro de texto Secreto de cliente (Client Secret), introduzca el código secreto de cliente recibido del proveedor de soporte.

i Para determinar la función del usuario en SD-WAN Orchestrator, seleccione Usar función predeterminada (Use Default Role) o Usar funciones de proveedor de identidad (Use Identity Provider Roles).


VMware, Inc. 135

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration

j Al seleccionar la opción Usar funciones de proveedor de identidad (Use Identity Provider Roles), en el cuadro de texto Atributo de función (Role Attribute), introduzca el nombre del atributo establecido en VMware CSP para devolver las funciones.

k En el área Asignación de funciones (Role Map), asigne las funciones proporcionadas por VMware CSP a cada una de las funciones de SD-WAN Orchestrator, separadas por comas.

Las funciones de VMware CSP seguirán este formato: external/<UUID de la definición del servicio>/<nombre de función de servicio que se menciona durante la creación de la plantilla de servicio>.

7 Haga clic en Guardar cambios (Save Changes) para guardar la configuración de SSO.

8 Haga clic en Probar configuración (Test Configuration) para validar la configuración de OpenID Connect (OIDC) introducida.

El usuario se desplazará al sitio web de VMware CSP donde podrá introducir las credenciales. Una vez verificado el IDP y obtenida la devolución de llamada de la prueba sobre redireccionamiento correcto a SD-WAN Orchestrator, se mostrará un mensaje de validación correcta.

Resultados

Completó la integración de la aplicación SD-WAN Orchestrator en VMware CSP para SSO. Ahora puede acceder a la aplicación SD-WAN Orchestrator para iniciar sesión en la consola de VMware CSP.

Pasos siguientes

n Dentro de la organización, para administrar los usuarios, agregue usuarios nuevos y asigne la función adecuada a cada usuario. Para obtener más información, consulte la sección Administración de identidades y acceso en la documentación de Uso de VMware Cloud.


VMware, Inc. 136

https://docs.vmware.com/es/VMware-Cloud-services/services/Using-VMware-Cloud-Services.pdf

Actualizar SD-WAN Orchestrator con implementación de la recuperación ante desastres

18Este capítulo incluye los siguientes temas:

n Descripción general de la actualización de SD-WAN Orchestrator

n Actualizar una instancia de Orchestrator

n Recuperación ante desastres de SD-WAN Orchestrator

Descripción general de la actualización de SD-WAN Orchestrator

Para actualizar SD-WAN Orchestrator, se requieren los siguientes pasos.

Para la recuperación ante desastres de SD-WAN Orchestrator, consulte " Configurar la recuperación ante desastres en VMware " y " Actualizar la configuración de recuperación ante desastres ".

1 Paso 1: Prepararse para la actualización de Orchestrator

2 Paso 2: Enviar un anuncio de actualización

3 Paso 3: Continuar con la actualización de SD-WAN Orchestrator

4 Paso 4: Completar la actualización de Orchestrator

Actualizar una instancia de Orchestrator

En esta sección se describe cómo actualizar una instancia de Orchestrator.

Paso 1: Prepararse para la actualización de Orchestrator

Póngase en contacto con el equipo de soporte de VMware SD-WAN by VeloCloud para prepararse para la actualización de SD-WAN Orchestrator tal como se describe en esta sección.

VMware, Inc. 137

Para actualizar SD-WAN Orchestrator:

1 El soporte de VMware SD-WAN by VeloCloud le brindará ayuda para realizar la actualización. Recopile la siguiente información antes de ponerse en contacto con el equipo de soporte.

n Proporcione las versiones actuales y de destino de SD-WAN Orchestrator, por ejemplo: versión actual (ie 2.5.2 GA-20180430), versión de destino (3.3.2 P2).

Nota Para la versión actual, esta información se puede encontrar en la esquina superior derecha de Orchestrator de SD-WAN haciendo clic en el vínculo Ayuda (Help) y eligiendo Acerca de (About).

n Proporcione una captura de pantalla del panel de control de replicación de SD-WAN Orchestrator, como se muestra a continuación.

n Tipo y versión de hipervisor (ie vSphere 6.7)

n Comandos de SD-WAN Orchestrator:

Nota Los comandos se deben ejecutar como raíz (por ejemplo, "sudo <command>" o "sudo-i").

n Diseño de LVM

n pvdisplay -v

n vgdisplay -v

n lvdisplay -v

n df -h

n cat /etc/fstab

n Información de la memoria

n free -m


VMware, Inc. 138

n cat /proc/meminfo

n ps -ef

n top -b -n 2

n Información de la CPU

n cat /proc/cpuinfo

n Copia de /var/log

n tar -czf /store/log-`date +%Y%M%S`.tar.gz --newer-mtime="36 hours ago" /var/log

n Desde la instancia de Orchestrator en espera:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW SLAVE STATUS \G'

n Desde la instancia de Orchestrator activa:

n sudo mysql --defaults-extra-file=/etc/mysql/velocloud.cnf velocloud -e 'SHOW MASTER STATUS \G'

2 Póngase en contacto con el equipo de soporte de VMware SD-WAN Orchestrator en https://kb.vmware.com/s/article/53907 con la información mencionada anteriormente para obtener ayuda con la actualización de SD-WAN Orchestrator.

Paso 2: Enviar un anuncio de actualización

El área Anuncio de actualización (Upgrade Announcement) le permite configurar y enviar un mensaje sobre una próxima actualización. Este mensaje se mostrará a todos los usuarios la próxima vez que inicien sesión en SD-WAN Orchestrator.

Para enviar un anuncio de actualización:

1 En SD-WAN Orchestrator, seleccione Actualización de Orchestrator (Orchestrator Upgrade) en el panel de navegación.

2 En el área Anuncio de actualización (Upgrade Announcement), escriba el mensaje en el cuadro de texto Mensaje de banner (Banner Message).

3 Haga clic en el botón Anunciar actualización de Orchestrator (Announce Orchestrator Upgrade).

Aparecerá un mensaje emergente indicando que ha creado correctamente el anuncio y que el mensaje de banner se muestra en la parte superior de SD-WAN Orchestrator.


VMware, Inc. 139



4 (Opcional) Puede eliminar el anuncio de SD-WAN Orchestrator haciendo clic en el botón Anular anuncio de actualización de Orchestrator (Unannounce Orchestrator Upgrade). Aparecerá un mensaje emergente que indica que se ha anulado correctamente el anuncio de actualización de Orchestrator. Se eliminará el anuncio que aparecía en la parte superior de SD-WAN Orchestrator.

Paso 3: Continuar con la actualización de SD-WAN Orchestrator

Póngase en contacto con el soporte técnico de VMware SD-WAN by VeloCloud en https://kb.vmware.com/s/article/53907 para obtener ayuda con la actualización VMware SD-WAN Orchestrator.

Paso 4: Completar la actualización de Orchestrator

Después de completar la actualización de Orchestrator, haga clic en el botón Completar actualización de Orchestrator (Complete Orchestrator Upgrade). De esta forma, se vuelve a habilitar la aplicación de las actualizaciones de configuración de las instancias de Edge en el nivel global.

Para comprobar que el estado de la actualización se ha completado, ejecute el siguiente comando para mostrar el número de versión correcto de todos los paquetes:

dpkg -l|grep vco

Cuando se inicia sesión como operador, se debe mostrar el mismo número de versión en la esquina inferior derecha de SD-WAN Orchestrator.

Recuperación ante desastres de SD-WAN Orchestrator

En esta sección se describe cómo configurar y actualizar la recuperación ante desastres en SD-WAN Orchestrator.


VMware, Inc. 140



Configurar la recuperación ante desastres en VMware

Para configurar la recuperación ante desastres en SD-WAN Orchestrator:

1 Instale una nueva instancia de SD-WAN Orchestrator cuya versión coincida con la versión de la instancia de VMware que se encuentra actualmente en la instancia de SD-WAN Orchestrator activa.

2 Si es necesario, establezca las siguientes propiedades en la instancia de SD-WAN Orchestrator activa y en espera.

n vco.disasterRecovery.transientErrorToleranceSecs en un valor distinto de cero (de forma predeterminada, 900 segundos en la versión 3.3 y posteriores, cero en las versiones anteriores). Esto evita que se produzcan errores transitorios debido a una actualización del plano de administración de Edge o de la puerta de enlace.

n vco.disasterRecovery.mysqlExpireLogsDays (el valor predeterminado es 1 día). Esta es la cantidad de tiempo que la instancia de SD-WAN Orchestrator activa mantiene los datos de mysql binlog.

3 Configure la propiedad network.public.address en la instancia activa y en espera en la dirección a la que se comunican las instancias de Edge (latidos).

4 Configure la recuperación ante desastres siguiendo el procedimiento habitual de configuración de recuperación ante desastres que se describe en Recuperación ante desastres de SD-WAN Orchestrator.

Actualizar la configuración de recuperación ante desastres

Para actualizar un par de SD-WAN Orchestrator habilitado para la recuperación ante desastres, siga los pasos que se indican a continuación.

Para actualizar un par de VCO habilitado para la recuperación ante desastres:

Nota Si la actualización de SD-WAN Orchestrator es de una versión 2.X a una versión 3.2.X, ejecute dr-standby-schema.sh en modo En espera (Standby) antes de iniciar la actualización.

1 Prepárese para la actualización. Para obtener instrucciones, vaya a Paso 1: Prepararse para la actualización de Orchestrator de la sección titulada Actualizar Orchestrator con una implementación de recuperación ante desastres.

2 Continúe con la actualización de SD-WAN Orchestrator. Para obtener instrucciones, vaya a Paso 3: Continuar con la actualización de SD-WAN Orchestrator de la sección titulada Actualizar Orchestrator con una implementación de recuperación ante desastres.


VMware, Inc. 141

Configurar la recuperación ante desastres de SD-WAN Orchestrator

19En esta sección se describe la recuperación ante desastres para SD-WAN Orchestrator.


n Descripción general de la recuperación ante desastres de SD-WAN Orchestrator

n Configurar la replicación de SD-WAN Orchestrator

n Probar la conmutación por error

n Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator

Descripción general de la recuperación ante desastres de SD-WAN Orchestrator

La función de recuperación ante desastres de SD-WAN Orchestrator (DR) evita la pérdida de datos almacenados y reanuda los servicios de SD-WAN Orchestrator en caso de que se produzca un error en el sistema o en la red.

La recuperación ante desastres de SD-WAN Orchestrator implica configurar un par de instancias de SD-WAN Orchestrator activo/en espera con replicación de datos y un mecanismo de conmutación por error activado manualmente.

n Por lo tanto, el objetivo de tiempo de recuperación (RTO) depende de la acción explícita del operador para activar la promoción del modo de espera.

n El objetivo de punto de recuperación (RPO), sin embargo, es esencialmente cero, independientemente del tiempo de recuperación, ya que toda la configuración se replica de forma instantánea. La supervisión de los datos que se recopilaron durante la interrupción se almacena en caché en las instancias de Edge y las puertas de enlace pendientes de promoción del modo de espera.

Nota La recuperación ante desastres es obligatoria. Para obtener asistencia en relación con licencias y precios, póngase en contacto con el equipo de ventas de VMware.

VMware, Inc. 142

Par activo/en espera

En una implementación de recuperación ante desastres de SD-WAN Orchestrator, dos sistemas SD-WAN Orchestrator idénticos se configuran como un par activo/en espera. El operador puede ver el estado de preparación de la recuperación ante desastres a través de la interfaz de usuario web de cualquiera de los servidores. Las instancias de Edge y las puertas de enlace detectan las dos instancias de SD-WAN Orchestrator y, mientras reciben los cambios de configuración solo desde la instancia de SD-WAN Orchestrator activo, envían periódicamente latidos de recuperación ante desastres a ambos sistemas para notificar su visibilidad de ambos servidores y para consultar el estado del sistema de recuperación ante desastres. Cuando el operador activa una conmutación por error, las instancias de Edge y las puertas de enlace son informadas acerca del cambio en su siguiente latido de recuperación ante desastres.

Estados de recuperación ante desastres

Desde la vista de un operador, y de las instancias de Edge y las puertas de enlace, SD-WAN Orchestrator tiene uno de los cuatro posibles estados de recuperación ante desastres:

Estado de recuperación ante desastres Descripción

Independiente (Standalone) Ninguna DR configurada.

Activo (Active) Recuperación ante desastres configurada, actuando como el servidor de SD-WAN Orchestrator principal.

En espera (Standby) Recuperación ante desastres configurada, actuando como un servidor de SD-WAN Orchestrator de réplica inactiva.

Inerte (Zombie) Recuperación ante desastres anteriormente configurada y activa, pero actualmente sin funcionamiento como activa o en espera.

Operación en tiempo de ejecución

Cuando se configura la recuperación ante desastres, el servidor en espera se ejecuta en modo limitado y bloquea todas las llamadas de API, excepto aquellas relacionadas con el estado de recuperación ante desastres y los latidos de recuperación ante desastres. Cuando el operador invoca una conmutación por error, el modo de espera se promociona para que sea completamente operativo como servidor independiente. El servidor que anteriormente estaba activo se pasa automáticamente a un estado denominado "inerte" si responde y es visible desde el modo de espera promocionado. En el estado inerte, los servicios de configuración de administración se bloquean y cualquier contacto de las instancias de Edge y las puertas de enlace que no se transfieren a las nuevas instancias de SD-WAN Orchestrator activo se redireccionan al servidor promocionado.


VMware, Inc. 143

Configurar la replicación de SD-WAN Orchestrator

Se requieren dos instancias de SD-WAN Orchestrator instaladas para iniciar la replicación.

n El modo de espera seleccionado se coloca en estado STANDBY_CANDIDATE, lo cual permite que lo configure el servidor activo.

n A continuación, el servidor activo recibe la dirección y las credenciales de la instancia en espera, y entra en estado ACTIVE_CONFIGURING.

Cuando STANDBY_CONFIG_RQST pasa de activo a en espera, los dos servidores se sincronizan a través de las transiciones de estado que se muestran a continuación.

Configurar la instancia de Orchestrator en espera

Para configurar la replicación de SD-WAN Orchestrator, realice los siguientes pasos:

1 Haga clic en Replicación (Replication) en el panel de navegación para mostrar la pantalla Replicación de Orchestrator (Orchestrator Replication).

2 Para habilitar la instancia de Orchestrator en espera, seleccione el botón de opción En espera (función de replicación) (Standby (Replication Role)).

3 Haga clic en el botón Habilitar para en espera (Enable for Standby).

Aparece el cuadro de diálogo Proceso de Orchestrator correcto (Orchestrator Success), que indica que Orchestrator se ha habilitado para el modo de espera y que Orchestrator se reiniciará en modo de espera.


VMware, Inc. 144

4 Haga clic en Aceptar (OK).

Después de configurar la instancia de Orchestrator en espera para la replicación, configure la instancia de Orchestrator activa de acuerdo con las instrucciones que aparecen a continuación.

Configurar la instancia de Orchestrator activa

Para configurar una segunda instancia de SD-WAN Orchestrator y que sea la instancia de Orchestrator activa:

1 Haga clic en Replicación (Replication) en el panel de navegación. Aparecerá la pantalla Replicación de Orchestrator (Orchestrator Replication).

2 Seleccione la Función de replicación activa (Active Replication Role).

3 Escriba la Dirección de Orchestrator en espera (Standby Orchestrator Address) y el UUID de Orchestrator en espera (Standby Orchestrator Uuid). La dirección y el UUID de Orchestrator se muestran en la pantalla Orchestrator en espera (Standby Orchestrator).


VMware, Inc. 145

4 Escriba el nombre de usuario y la contraseña del superusuario de Orchestrator que se utilizará para la replicación.

Nota Este superusuario ya debe existir en ambos sistemas.

5 Haga clic en el botón Establecer como activo (Make Active).

Se visualizará la pantalla Orchestrator activo (Active Orchestrator) mostrando el estado actual.

Cuando se complete la configuración, las dos instancias de Orchestrator (en espera y activo) estarán sincronizados.

Orchestrator en espera en sincronización

Puede hacer clic en el vínculo alternar historial (toggle history) para cómo está cada estado.


VMware, Inc. 146

Orchestrator activo en sincronización

Probar la conmutación por error

Los siguientes escenarios de prueba de la conmutación por error representan situaciones forzadas para fines de ejemplo. Puede realizar estas acciones en el área Acciones disponibles (Available Actions) de las pantallas Activo (Active) y En espera (Standby).

Promocionar una instancia de Orchestrator en espera

En esta sección se describe cómo promocionar una instancia de Orchestrator en espera.

Para promocionar una instancia de Orchestrator en espera:

1 Haga clic en el vínculo desbloquear (unlock).

2 Haga clic en el botón Promocionar en espera (Promote Standby) del área Acciones disponibles (Available Actions) en la pantalla de Orchestrator en espera.

Aparece el siguiente cuadro de diálogo, que indica que, cuando se promociona una instancia de Orchestrator en espera, los administradores ya no podrán administrar SD-WAN Orchestrator con la instancia de Orchestrator activa previamente.

3 Haga clic en el botón Aceptar (OK) para promocionar la instancia de Orchestrator en espera.

Aparece otro cuadro de diálogo de mensaje para verificar la solicitud de promoción de la instancia de Orchestrator en espera. Este mensaje aparecerá solo si la instancia de Orchestrator en espera percibe que la instancia de Orchestrator activa tiene un buen estado, lo cual significa que el modo de espera se comunica con los datos activos y duplicados.

4 Haga clic en Aceptar (OK) para promocionar Orchestrator.


VMware, Inc. 147

Aparece un cuadro de diálogo final que indica que la instancia de Orchestrator ya no está en espera y se reiniciará en modo independiente.

Cuando se promociona una instancia de Orchestrator en espera, se reinicia en modo independiente.

Si el modo de espera se puede comunicar con la instancia de Orchestrator activa anteriormente, indicará que Orchestrator debe entrar en estado inerte. En el estado inerte, Orchestrator comunica a sus clientes (instancias de Edge, puertas de enlace, interfaz de usuario/API) que ya no está activo y que deben comunicarse con la instancia de Orchestrator recientemente promocionada. Si el modo de espera promocionado no puede comunicarse con la instancia de Orchestrator activa anteriormente, el operador debe, si es posible, degradar manualmente la instancia de Orchestrator activa anteriormente.

Volver al modo independiente

Para devolver el modo inerte al modo independiente, haga clic en el botón Volver al modo independiente (Return to Standalone Mode) del área Acciones disponibles (Available Actions) de las pantallas Orchestrator activo (Active Orchestrator) o Orchestrator en espera (Standby Orchestrator).


VMware, Inc. 148

Solucionar problemas de recuperación ante desastres de SD-WAN Orchestrator

En esta sección se describen los estados de error del sistema. También se enumeran en la interfaz de usuario, junto con una descripción más detallada del error. Puede obtener más información en el registro de VMware.

Errores recuperables

Los siguientes son errores recuperables que pueden producirse cuando la recuperación ante desastres de SD-WAN Orchestrator llega a un estado de sincronización. Si se corrige el problema que provoca estos errores, SD-WAN Orchestrator la recuperación ante desastres regresará automáticamente al funcionamiento normal.

n FAILURE_SYNCING_FILES

n FAILURE_GET_STANDBY_STATUS

n FAILURE_MYSQL_ACTIVE_STATUS

n FAILURE_MYSQL_STANDBY_STATUS

Errores irrecuperables

Los siguientes errores se pueden producir durante la configuración de la recuperación ante desastres de SD-WAN Orchestrator. La recuperación ante desastres de SD-WAN Orchestrator no se recuperará automáticamente de estos errores.

n FAILURE_ACTIVE_CONFIGURING

n FAILURE_LAUNCHING_STANDBY

n FAILURE_STANDBY_CONFIGURING

n FAILURE_COPYING_DB

n FAILURE_COPYING_FILES

n FAILURE_SYNC_CONFIGURING

n FAILURE_GET_STANDBY_CONFIG

n FAILURE_STANDBY_CANDIDATE

n FAILURE_STANDBY_UNCONFIG

n FAILURE_STANDBY_PROMOTION

n FAILURE_ACTIVE_DEMOTION


VMware, Inc. 149

Administrar acuerdos de usuario 20SD-WAN Orchestrator permite que un superusuario operador cree y administre contratos de licencia para el usuario final.

Solo un superusuario operador puede crear un contrato de licencia para el usuario final.

De forma predeterminada, la opción Acuerdo de usuario (User Agreement) está deshabilitada. Para habilitar esta opción, desplácese hasta Propiedades del sistema (System Properties) en el portal de operadores y establezca el valor de la propiedad del sistema session.options.enableUserAgreements como Verdadero (True).

Además, puede configurar el modo de visualización del acuerdo de usuario definiendo el valor de la propiedad del sistema vco.enterprise.userAgreement.display.mode de la siguiente manera:

n NONE: el acuerdo de usuario no se muestra a ninguno de los usuarios empresariales. Este es el valor predeterminado.

n ALL: el acuerdo de usuario se muestra a todos los usuarios empresariales.

n WITH_MSPS: el acuerdo de usuario se muestran a todos los usuarios empresariales con MSPS.

n WITHOUT_MSPS: el acuerdo de usuario se muestra a todos los usuarios empresariales sin MSPS.

La configuración de pantalla anterior se aplica a todos los clientes administrados por el operador. Como operador, puede sustituir esta configuración para cada cliente empresarial, como se describe en Configurar clientes.

Solo un superusuario empresarial o un superusuario de socio puede aceptar un contrato de licencia, en función de la configuración de la propiedad del sistema.

Para crear y administrar el acuerdo de usuario, desplácese hasta la página Acuerdos de usuario (User Agreements) en el portal de operadores. Haga clic en Acciones (Actions) para realizar lo siguiente:

n Nuevo (New): crea un nuevo contrato de licencia para el usuario final. Consulte también Crear un acuerdo de usuario.

n Clonar (Clone): clona y crea una copia del acuerdo de usuario seleccionado.

n Actualizar (Update): permite modificar los valores del acuerdo de usuario seleccionado.

VMware, Inc. 150

n Eliminar (Delete): elimina los acuerdos de usuario seleccionados.

n Exportar informe de aceptación (Export Acceptance Report): exporta un informe de todos los clientes que han aceptado los acuerdos de usuario a un archivo CSV.


n Crear un acuerdo de usuario

Crear un acuerdo de usuario

Solo los superusuarios operadores pueden crear un nuevo acuerdo de usuario. Puede crear varios acuerdos, pero solo un acuerdo puede estar activo a la vez.

En el portal de operadores, haga clic en Acuerdos de usuario (User Agreements).

1 Haga clic en Nuevo acuerdo de usuario (New User Agreement) o en Acciones (Actions) > Nuevo (New).

2 En la ventana Acuerdo de usuario (User Agreement), introduzca lo siguiente:

n Nombre (Name): introduzca el nombre del cliente.

n Habilitado (Enabled): de forma predeterminada, esta casilla está seleccionada. Si desactiva la casilla de verificación, el acuerdo de usuario está inactivo.

Nota Solo puede haber un acuerdo de usuario activo a la vez. Si tiene varios acuerdos, asegúrese de seleccionar la opción Habilitado (Enabled) solo para el acuerdo que tiene que estar en estado activo y deshabilitar esta opción para los otros acuerdos de usuario.

n Fecha de inicio efectiva (Effective Start Date): introduzca la fecha a partir de la cual se aplicará el acuerdo de usuario.

n Fecha de finalización efectiva (Effective End Date): introduzca la fecha hasta la cual se aplicará el acuerdo de usuario.

n Texto del título del diálogo (Dialog Title Text): introduzca un título para el acuerdo de usuario.


VMware, Inc. 151

n Texto del cuerpo del diálogo (Dialog Body Text): introduzca el texto del acuerdo de usuario descriptivo que estará visible para el cliente.

n Texto del botón del diálogo (Dialog Button Text): introduzca el texto que se mostrará en el botón en el que el cliente debe hacer clic para aceptar el acuerdo.


Los acuerdos se muestran en la página Acuerdos de usuario (User Agreements).

Cuando un superusuario empresarial o de socio se registra en SD-WAN Orchestrator, la ventana del acuerdo de usuario le solicita que acepte el acuerdo. Si los usuarios no aceptan el acuerdo, se cierra automáticamente su sesión.

El operador puede ver el número de clientes que han aceptado el acuerdo en la página Acuerdos de usuario (User Agreements). Los acuerdos aceptados se archivan y no se pueden eliminar.


VMware, Inc. 152

Solucionar problemas de SD-WAN Orchestrator 21En esta sección se describe la solución de problemas de SD-WAN Orchestrator.


n Diagnósticos de Orchestrator

Diagnósticos de Orchestrator

En esta sección se describen los diagnósticos de Orchestrator.

Descripción general de los diagnósticos de SD-WAN Orchestrator

El paquete de diagnósticos de SD-WAN Orchestrator es una recopilación de información de diagnóstico necesaria para que el personal de soporte técnico e ingeniería puedan solucionar los problemas de SD-WAN Orchestrator. Para la instalación local de Orchestrator, los operadores pueden recopilar el paquete de diagnósticos de SD-WAN Orchestrator de la interfaz de usuario de Orchestrator y proporcionarlo al equipo de soporte de VMware para análisis y solución de problemas sin conexión.

Pestaña Paquete de diagnósticos (Diagnostics Bundle)

Los usuarios pueden solicitar y descargar un paquete de diagnósticos en la pestaña Paquete de diagnósticos (Diagnostics Bundle).

Columnas de la pestaña Paquete de diagnósticos (Diagnostics Bundle)

La cuadrícula de la tabla Diagnósticos de Orchestrator (Orchestrator Diagnostics) incluye las siguientes columnas:


Estado de solicitud (Request Status)

Existen dos tipos de solicitudes de estado:

n Completo (Complete)

n En curso (In Progress)

Si un paquete no completó la descarga, se mostrará el estado En curso (In Progress).

Motivo de la generación (Reason for Generation)

El motivo específico que se otorga para generar un paquete de diagnósticos. Haga clic en el botón Solicitar paquete de diagnósticos (Request Diagnostic Bundle) para incluir una descripción del paquete.

Usuario (User) La persona que inició sesión en SD-WAN Orchestrator.

VMware, Inc. 153


Generado (Generated) La fecha y la hora en la que se envió la solicitud del paquete de diagnósticos.

Fecha de limpieza (Cleanup Date)

La Fecha de limpieza (Cleanup Date) predeterminada es tres meses después de la fecha de generación, cuando el paquete se eliminará automáticamente. Si necesita ampliar el período de limpieza, haga clic en el vínculo Fecha de limpieza (Cleanup Date) situado en la columna Fecha de limpieza (Cleanup Date). Para obtener más información, consulte Actualizar la fecha de limpieza.

Solicitar un paquete de diagnósticos

Para solicitar un paquete de diagnósticos:

1 En el panel de navegación de SD-WAN Orchestrator, haga clic en Diagnósticos de Orchestrator (Orchestrator Diagnostics).

2 En la pestaña Solicitar paquete de diagnósticos (Request Diagnostic Bundle), haga clic en el botón Solicitar paquete de diagnósticos (Request Diagnostic Bundle).

3 En el cuadro de diálogo Solicitar paquete de diagnósticos (Request Diagnostic Bundle), introduzca el motivo de la solicitud en el área correspondiente.

4 Haga clic en Enviar (Submit). La solicitud de paquete que creó se muestra en el área de la cuadrícula de la pantalla Paquete de diagnósticos (Diagnostic Bundle) con un estado de En curso (In Progress).

5 Actualice la pantalla para comprobar el estado de la solicitud del paquete de diagnósticos. Cuando el paquete está listo para descargarse, aparece el estado Completo (Complete).


VMware, Inc. 154

Descargar un paquete de diagnósticos

Para descargar un paquete de diagnósticos:

1 Seleccione un paquete de diagnósticos que desee descargar.

2 Haga clic en el botón Acciones (Actions) y seleccione Descargar paquete de diagnósticos (Download Diagnostic Bundle). También puede hacer clic en el vínculo Completo (Complete) para descargar el paquete de diagnósticos.

El paquete de diagnósticos se descarga.

Actualizar la fecha de limpieza

La fecha de limpieza representa la fecha en la que el paquete generado se eliminará automáticamente, que de forma predeterminada es tres meses después de la fecha de generación. Puede cambiar la fecha de limpieza o elegir mantener el paquete de forma indefinida.

Para actualizar la fecha de limpieza:

1 En la columna Fecha de limpieza (Cleanup Date), haga clic en el vínculo Fecha de limpieza (Cleanup Date) del paquete de diagnósticos seleccionado.

2 En el cuadro de diálogo Actualizar fecha de limpieza (Update Cleanup Date), haga clic en el icono de Calendario (Calendar) para cambiar la fecha.

3 También puede optar por mantener el paquete de forma indefinida si marca la casilla de verificación Mantener siempre (Keep Forever).


VMware, Inc. 155

4 Haga clic en Aceptar (OK).

La cuadrícula de la tabla de diagnósticos de Orchestrator se actualiza para reflejar los cambios en la fecha de limpieza.

Pestaña de estadísticas de base de datos

La pestaña Estadísticas de base de datos (Database Statistics) proporciona una vista de acceso de solo lectura de parte de la información de un paquete de diagnósticos.

Si necesita más información, vaya a la pestaña Paquetes de diagnósticos (Diagnostic Bundles), solicite un paquete de diagnósticos y descárguelo localmente. Para obtener más información, consulte Solicitar paquete de diagnósticos (Request Diagnostic Bundle).

La pestaña Estadísticas de base de datos (Database Statistics) muestra la siguiente información:


VMware, Inc. 156

Campo Descripción

Tamaños de base de datos (Database Sizes) Tamaños de las bases de datos de Orchestrator.

Estadísticas de tabla de base de datos (Database Table Statistics)

Detalles estadísticos de todas las tablas de la base de datos de Orchestrator.

Información de almacenamiento de base de datos (Database Storage Info)

Detalles de almacenamiento de las ubicaciones montadas.

Lista de procesos de base de datos (Database Process List) Los 20 registros principales de consultas SQL de larga ejecución.

Variable de estado de base de datos (Database Status Variable)

Las variables de estado del servidor de MySQL.

Variable del sistema de base de datos (Database System Variable)

Variables del sistema del servidor MySQL.

Estado del motor de base de datos (Database Engine Status) El estado del motor InnoDB del servidor MySQL.


VMware, Inc. 157

guía del operador de vmware de sd-wan - vmware sd-wan 3

Documents