[Topic 275815]

Справка Kaspersky SD-WAN

Новые функции

Что нового в каждой версии Kaspersky SD-WAN

Аппаратные и программные требования

Проверьте требования к аппаратным и программным ресурсам

Начало работы

• Развертывание Kaspersky SD-WAN
• Управление инфраструктурой организации
• Управление пользователями и их правами доступа
• Мультитенантность

  
  

Мониторинг и отчеты

• Настройка журналов на устройствах CPE
• Отслеживание информации о пакетах трафика с помощью протокола NetFlow
• Диагностика устройств CPE
• Мониторинг компонентов решения
  
  

Обновление

Обновите Kaspersky SD-WAN с предыдущей версии

Дополнительные возможности

• Управление межсетевым экраном
• Качество обслуживания (QoS)
• Зеркалирование трафика
  
  

Приложения

Получите информацию о Kaspersky SD-WAN из дополнительных руководств

[Topic 237477]

О Kaspersky SD-WAN

Kaspersky SD-WAN используется для построения программно-определяемых глобальных сетей (англ. Software Defined WAN, далее сетей SD-WAN). В таких сетях автоматически определяются маршруты передачи трафика с наименьшей задержкой и наибольшей полосой пропускания. Для маршрутизации трафика применяется технология SDN (Software Defined Networking).

Технология SDN отделает

Построение сети SD-WAN не зависит от транспортных технологий. Вы можете использовать несколько соединений для передачи трафика с учетом требований приложений к пропускной способности и качеству обслуживания. Поддерживаются следующие типы нижележащей сети (англ. underlay network):

• транспортные сети MPLS;
• широкополосные каналы для подключения к интернету;
• арендуемые линии связи;
• беспроводные подключения, в том числе 3G, 4G и LTE;
• спутниковые каналы.

Решение предназначено для операторов связи (англ. service providers), а также организаций с крупной филиальной сетью, и заменяет стандартные маршрутизаторы в распределенных сетях

С помощью Kaspersky SD-WAN вы можете выполнять следующие задачи:

• интеллектуально управлять трафиком;
• автоматически настраивать устройства CPE;
• централизованно управлять компонентами решения с помощью веб-интерфейса;
• выполнять мониторинг сети;
• автоматически реагировать на изменение политик качества обслуживания, чтобы соответствовать требованиям приложений.

На рисунке ниже представлена схема сети SD-WAN, которая построена с помощью решения Kaspersky SD-WAN.

Схема сети SD-WAN

[Topic 249139]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" (https://www.kaspersky.ru) или у компаний-партнеров.

В комплект поставки входят следующие компоненты:

• Архив knaas-installer_<версия> в формате TAR.GZ (далее также архив установки) для развертывания решения.
• Docker-контейнеры для развертывания компонентов Kaspersky SD-WAN:
  • knaas-ctl;
  • knaas-orc;
  • knaas-www;
  • knass-vnfm;
  • knaas-vnfm-proxy;
  • mockpnf.

  Следующие контейнеры вам нужно скачать из общего Docker-репозитория:

  • mariaDB;
  • mongo;
  • redis;
  • syslog-ng;
  • zabbix-proxy-mysql;
  • zabbix-server-mysql;
  • zabbix-web-nginx-mysql.
• Прошивки устройств CPE.
• Файл с текстом Лицензионного соглашения, в котором указано, на каких условиях вы соглашаетесь пользоваться решением.
• Файлы онлайн-справки Kaspersky SD-WAN для обеспечения возможности просмотра документации без подключения к интернету.

Состав комплекта поставки может отличаться в зависимости от региона, в котором распространяется решение.

[Topic 239105]

Аппаратные и программные требования

Kaspersky SD-WAN имеет следующие аппаратные и программные требования:

Требования к аппаратным ресурсам зависят от количества управляемых устройств CPE (см. таблицу ниже). Если требуется подключить более 250 устройств CPE, вам нужно развернуть дополнительные контроллеры. При необходимости рассчитать более точные аппаратные требования для определенной схемы развертывания мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Требования к сторонним решениям

Для развертывания решения необходимы следующие сторонние решения:

• Система мониторинга Zabbix версии 5.0.26 и 6.0.0. Более подробную информацию вы можете получить из официальной документации решения Zabbix.
• Облачная платформа Docker версии 1.5 или выше для развертывания Docker-контейнеров компонентов решения. Более подробную информацию вы можете получить из официальной документации облачной платформы Docker.
• Сервис OpenStreetMap для просмотра топологии транспортных сервисов поверх карты. Если инфраструктура вашей организации не предусматривает выхода в интернет, вы можете использовать офлайн-карты. Офлайн карты занимают дополнительное дисковое пространство:
  • Офлайн-карта (central-fed-district-latest.osm.pbf) занимает около 100 ГБ.
  • Данные для геокодинга занимают около 10 ГБ.

  Более подробную информацию вы можете получить из официальной документации сервиса OpenStreetMap.

Требования к операционным системам

Поддерживаются следующие 64-разрядные операционные системы:

• Ubuntu версии 20.04 LTS и 22.04 LTS.
• Astra Linux версии 1.7 (уровень защищенности: "Орел").
• РЕД ОС 8.

Требования к средам развертывания центральных компонентов решения

Поддерживаются следующие среды развертывания центральных компонентов решения:

• Физические сервера (англ. bare-metal servers):
  • центральный процессор Intel Xeon E5-2600 v2 и выше или аналогичный процессор;
  • IOPS 3000 и выше.
• Среда виртуализации VMWare:
  • версия 7.0 и выше;
  • должен быть установлен агент openvm-tools;
  • IOPS 3000 и выше.
• Среда виртуализации KVM:

  Поддерживается только оригинальная среда виртуализации KVM без дополнительных средств оркестрации.

  • версия ядра 5.15 и выше;
  • должен быть установлен агент qemu-guest-agent;
  • центральный процессор должен работать в режиме host;
  • IOPS 3000 и выше.

Требования к каналам связи между узлами компонентов решения

При развертывании Kaspersky SD-WAN вы можете развернуть несколько узлов компонентов решения. Существуют следующие требования к каналам связи между узлами компонентов решения:

• Требования к каналам связи между узлами контроллера:
  • пропускная способность – 1 Гбит/сек.;
  • RTT (Round Trip Time) – 200 мс;
  • потеря пакетов – 0%.
• Требования к каналам связи между узлами базы данных MongoDB:
  • пропускная способность – 1 Гбит/сек.;
  • RTT – 50 мс;
  • потеря пакетов – 0%.
• Требования к каналам связи между узлами базы данных Redis:
  • пропускная способность – 1 Мбит/сек.;
  • RTT – 50 мс;
  • потеря пакетов – 0%.

Требования к браузерам

Поддерживаются следующие браузеры для работы с веб-интерфейсом оркестратора:

• Google Chrome версии 100 и выше.
• Firefox версии 100 и выше.
• Microsoft Edge версии 100 и выше.
• Opera версии 90 и выше.
• Safari версии 15 и выше.

Требования к системе хранения данных

Вам нужно использовать собственную систему хранения данных для обеспечения отказоустойчивости. Существуют следующие требования к системе хранения данных:

• Поддержка одновременной записи и чтения с нескольких хостов.
• Размер системы хранения данных зависит от размера размещаемых файлов, но не менее 40 ГБ доступного защищенного пространства, поддерживающего дальнейшее расширение.
• Пропускная способность соединения между системой хранения данных и оркестратором должна быть не менее 1 ГБит/с, рекомендуется использовать 10-гигабитный Ethernet или 8-гигабитный FC (Fiber Channel).
• IOPS не менее 250, рекомендуется не менее 400.
• Поддерживаются следующие типы системы хранения данных:
  • NFS.
  • iSCSI.
  • FC.
  • CephFS.
• Система хранения данных должна быть монтирована.
• Поддержка сохранения работоспособности при перезагрузке хоста.

Требования к устройству администратора

Устройство администратора для развертывания решения должно соответствовать следующим требованиям:

• Операционная система:
  • Ubuntu версии 20.04 или 22.04 LTS.
  • РЕД ОС 8.

  Операционная система должна поддерживать доступ в интернет или содержать монтированный образ диска.

• 4 ядра виртуального процессора.
• 8 ГБ оперативной памяти.
• 32 ГБ свободного дискового пространства.
• Имя и пароль учетной записи root на устройстве администратора и виртуальных машинах, на которых вы хотите развернуть компоненты решения, должны совпадать.

Требования к устройствам CPE

Поддерживаются следующие модели устройств CPE:

• KESR-M1-R-5G-2L-W.
• KESR-M2-K-5G-1L-W.
• KESR-M2-K-5G-1S.
• KESR-M3-K-4G-4S.
• KESR-M4-K-2X-1CPU.
• KESR-M4-K-8G-4X-1CPU.
• KESR-M5-K-8G-4X-2CPU.
• KESR-M5-K-8X-2CPU.

Устройства CPE модели KESR основаны на архитектуре процессоров x86 (Intel 80x86) и MIPS (Microprocessor without Interlocked Pipeline Stages).

Специалисты "Лаборатории Касперского" протестировали работоспособность устройств CPE при предоставлении услуги L3 VPN (см. таблицу ниже). На тестируемых устройствах не использовалась технология DPI (Deep Packet Inspection) и было выключено шифрование трафика.

Более подробная информация о характеристиках устройств CPE содержится на официальной странице решения.

Вы можете развертывать устройства uCPE на серверах с архитектурой процессора x86 (Intel 80x86) и ARM 64.

В качестве устройств vCPE можно использовать модель vKESR-M1. Для устройств vCPE поддерживаются следующие среды виртуализации:

• Среда виртуализации VMware версии 7.0 и выше.
• Среда виртуализации KVM с версией ядра 5.15 и выше.

  Поддерживается только оригинальная среда виртуализации KVM без дополнительных средств оркестрации.

Устройства vCPE модели vKESR-M1 имеют следующие технические характеристики:

• Центральный процессор – 2x vCPU. Мы рекомендуем использовать центральный процессор Intel(R) Xeon(R) Gold 5318Y.
• Виртуальная ОЗУ – 512 МБ.
• Жесткий диск – 1024 МБ.

[Topic 239165]

Обеспечение безопасности

Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:

• аутентификация и авторизация пользователей;
• использование безопасных протоколов управления;
• шифрование управляющего трафика;
• безопасное подключение устройств CPE.

Безопасные протоколы управления

Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика компонентам (см. таблицу ниже).

Безопасное подключение устройств CPE

Решение использует следующие механизмы безопасного подключения устройств CPE:

• Обнаружение устройства CPE с помощью идентификатора DPID.
• Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Включено или Выключено. Выключенное устройство CPE необходимо включить, убедившись, что оно установлено на площадке.
• Двухфакторная аутентификация.

Использование виртуальных сетевых функций

Вы можете обеспечить дополнительный уровень безопасности с помощью виртуальных сетевых функций, разворачиваемых в центре обработки данных и/или на

• межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
• защита от атак DDoS (Distributed Denial of Service);
• системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
• антивирус;
• антиспам;
• система фильтрации веб-адресов и контента;
• система защиты от утечек конфиденциальных данных DLP (Data Loss Prevention);
• веб-прокси Secure Web Proxy.

[Topic 248911]

Что нового

В Kaspersky SD-WAN появились следующие возможности и доработки:

• Поддержано централизованное управление межсетевым экраном с использованием шаблонов межсетевого экрана и поддержкой функции DPI. Вы можете выключить или включить использование функции DPI при настройке основных параметров межсетевого экрана и указать марки DPI, чтобы применять правила межсетевого экрана к пакетам трафика приложений.
• Поддержано создание правил DNAT и SNAT при управлении межсетевым экраном для использования механизмов Source Network Address Translation (SNAT), Destination Network Address Translation (DNAT) и Port Address Translation (PAT). Вы можете централизованно управлять этими механизмами с помощью шаблонов межсетевого экрана.
• Поддержано использование 100 виртуальных таблиц маршрутизации (VRF) на устройствах CPE. Вы можете помещать BGP-маршруты в одну из виртуальных таблиц маршрутизации.
• Поддержана установка цепочек сертификатов на устройствах CPE.
• Поддержано отслеживание информации о пакетах трафика с помощью протокола NetFlow версии 1, 5 и 9. Вы можете централизованно управлять протоколом с помощью шаблонов NetFlow.
• Информация о следующих событиях теперь отправляется на указанный вами Syslog-сервер:
  • вход и выход пользователя из веб-интерфейса оркестратора;
  • неправильный ввод пароля пользователем при входе в веб-интерфейс оркестратора;
  • блокировка пользователя, проводящего брутфорс-атаку;
  • попытка входа в веб-интерфейс оркестратора с использованием несуществующей учетной записи.
• Поддержана двухфакторная аутентификация пользователей с использованием алгоритма Time-based-one-time password (TOTP).
• Поддержка обновления Kaspersky SD-WAN с версии 2.1.3 до 2.2.0. Если вы используете версию ниже 2.1.3, вам нужно сначала обновить решение до 2.1.3, после чего до 2.2.0. Сначала необходимо обновить центральные компоненты решения, затем – устройства CPE.
• Добавлен архив установки для быстрого развертывания Kaspersky SD-WAN. При использовании архива установки вы можете изменять элементы веб-интерфейса оркестратора, например отображающийся логотип организации.
• Поддержана отправка уведомлений о событиях и проблемах на устройствах CPE на электронную почту пользователей.
• Поддержана диагностика устройства CPE с помощью следующих утилит:
  • ping;
  • traceroute;
  • tcpdump;
  • iperf;
  • sweep.
• Поддержана версия 6.0.0 системы мониторинга Zabbix.
• Поддержан шаблон OVF для устройств vCPE. Вы можете использовать шаблон OVF, чтобы развернуть на платформе виртуализации VMware и автоматически зарегистрировать устройство vCPE.
• Оптимизация производительности контроллера и устройств CPE.
• Оптимизация восстановления вышедшего из строя узла контроллера.
• Поддержано создание диапазонов IP-адресов и подсетей для устройств CPE (IPAM). Вы можете использовать эти диапазоны для централизованного назначения IPv4-адресов сетевым интерфейсам устройств CPE. Диапазоны IP-адресов можно также использовать для централизованного назначения IPv4-адресов идентификаторам маршрутизатора (англ. router ID) устройств CPE.
• Имена устройств CPE теперь отображаются в системе мониторинга Zabbix.
• Поддержано помещение хостов устройств CPE, VNF и PNF в автоматически созданные группы на сервере Zabbix. Группы соответствуют тенантам, которым назначены VNF, PNF и устройства CPE.
• Поддержана операционная система РЕД ОС 8 для центральных компонентов решения.
• Поддержано изменение пароля пользователями с ролью тенанта.
• Поддержано отображение назначенных IPv4-адресов в таблице сетевых интерфейсов устройства CPE.
• Поддержано создание сетевых интерфейсов для подключения к PPPoE-серверу.
• Поддержана передача multicast-трафика устройствами CPE с помощью протоколов PIM и IGMP.

[Topic 237688]

Архитектура решения

Kaspersky SD-WAN содержит следующие основные компоненты:

• Оркестратор – контролирует инфраструктуру решения, выполняет функции оркестратора NFV (NFVO), а также управляет сетевыми сервисами и распределенными VNFM. Вы можете управлять оркестратором с помощью веб-интерфейса и REST API при использовании внешних северных (англ. northbound) систем.
• Контроллер – централизованно управляет наложенной сетью:
  • строит сетевую топологию;
  • создает транспортные сервисы;
  • управляет устройствами CPE по протоколу OpenFlow;
  • распределяет трафик между соединениями;
  • обеспечивает мониторинг соединений и автоматически переключает трафик на резервное соединение, если основное соединение выходит из строя.

  Для развертывания контроллера вам нужно развернуть физическую сетевую функцию контроллера, которая содержится в архиве установки. Контроллер управляется оркестратором.

• Устройства CPE – устанавливаются на удаленных площадках, передают трафик и образуют SDN-фабрику в виде наложенной сети. Вы можете назначить устройству CPE роль шлюза SD-WAN или стандартного устройства CPE. Шлюзы SD-WAN строят соединения со всеми стандартными устройствами CPE и другими шлюзами SD-WAN. Стандартные устройства CPE строят соединения только со шлюзами SD-WAN. По умолчанию всем устройствам CPE назначена роль стандартных устройств CPE.

  Если вы хотите, чтобы между двумя стандартными устройствами CPE было построено соединение, вам нужно назначить этим стандартным устройствам CPE одинаковый топологический тег. Вы также можете сделать стандартное устройство CPE транзитным, чтобы другие устройства CPE могли строить соединения через это устройство CPE.

• VNFM (Virtual Network Functiion Manager) – управляет жизненным циклом виртуальных сетевых функций с помощью SSH, плейбуков Ansible, скриптов и атрибутов Cloud-init.

При использовании виртуальных сетевых функций в архитектуру входит менеджер виртуальной инфраструктуры (Virtual Infrastructure Manager, далее также VIM), который управляет вычислительными и сетевыми ресурсами, а также ресурсами хранения в рамках инфраструктуры NFV. VIM связывает VNF с помощью виртуальных соединений, подсетей и портов. В качестве VIM используется облачная платформа OpenStack.

Kaspersky SD-WAN имеет распределенную микросервисную архитектуру на основе Docker-контейнеров (см. рисунок ниже). Контроллер может состоять из одного, трех или пяти узлов. Узлы контроллера развертываются на отдельных виртуальных машинах, которые можно запустить на разных аппаратных серверах, чтобы обеспечить отказоустойчивость. Вы можете указать виртуальные машины для развертывания узлов контроллера при развертывании решения.

Архитектура Kaspersky SD-WAN

[Topic 273495]

Развертывание Kaspersky SD-WAN

Вы можете развернуть Kaspersky SD-WAN с помощью архива установки knaas-installer_<информация о версии>, который содержится в комплекте поставки.

Перед выполнением этого сценария вам нужно составить схему развертывания решения. При возникновении проблем с составлением схемы развертывания мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Сценарий развертывания решения состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора компонентами решения

   Обеспечьте сетевую связность между устройством администратора и виртуальными машинами или физическими серверами, на которых вы хотите развернуть компоненты Kaspersky SD-WAN. Если вы планируете развернуть несколько узлов компонентов решения, вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

3. Ручная генерация паролей

   При необходимости вручную сгенерируйте пароли для обеспечения безопасности компонентов Kaspersky SD-WAN и их SSL-сертификатов.

4. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с выбранной схемой развертывания. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях /inventory/external/pnf и /inventory/external/vnf архива установки.

5. Изменение графических элементов веб-интерфейса оркестратора

   При необходимости измените графические элементы веб-интерфейса оркестратора. Например, вы можете изменить изображение, которое отображается на фоне, когда возникает ошибка при входе в веб-интерфейс оркестратора.

6. Развертывание Kaspersky SD-WAN

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть Kaspersky SD-WAN в режиме attended, выполните одно из следующих действий:
      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть Kaspersky SD-WAN в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут развернуты на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или с одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальные машины или физические серверы, после чего заново выполнить команду развертывания.

[Topic 239027]

Резервирование компонентов решения

Развернуть всё | Свернуть всё

О схемах резервирования компонентов решения

Kaspersky SD-WAN поддерживает две схемы развертывания компонентов решения:

• N+1 – вы развертываете два узла компонента решения. Если один узел выходит из строя, работу компонента решения обеспечивает второй узел.
• 2N+1 – вы развертываете несколько узлов компонентов решения. Один узел является основным, а другие – второстепенными. Если основной узел выходит из строя, его место занимает случайно выбранный второстепенный узел. Такая схема резервирования позволяет компонентам решения сохранять работоспособность, даже когда происходит несколько аварий подряд.

В таблице ниже представлены компоненты решения и доступные для них схемы развертывания.

Вы можете указать, сколько узлов развертывается для компонентов решения в конфигурационном файле.

Когда вы настраиваете параметры развертывания узлов базы данных MongoDB или контроллера в соответствии со схемой развертывания 2N+1, последний указанный вами узел становится узлом-арбитром. Узел-арбитр связан с другими узлами и используется для выбора основного узла. Узел, который потерял связь с узлом-арбитром, переходит в режим ожидания. Один из узлов, которые сохранили связь с узлом-арбитром, остается или становится основным узлом. Узел-арбитр не может стать основным узлом и не хранит данные.

Сценарии выхода из строя узлов компонентов решения

На рисунке ниже изображена схема Kaspersky SD-WAN, развернутого на трех виртуальных машинах в центре обработки данных. В схеме используются следующие условные обозначения:

• www – frontend-часть решения;
• orc – оркестратор;
• mongo – база данных MongoDB;
• redis-m – сервер Redis replica;
• redis-s – система Redis Sentinel;
• vnfm-proxy – прокси-менеджер виртуальных сетевых функций;
• vnfm – менеджер виртуальных сетевых функций;
• ctl – контроллер и его база данных;
• zabbix-www – frontend-часть системы мониторинга Zabbix;
• zabbix-proxy – сервер Zabbix-прокси;
• zabbix-srv – сервер Zabbix;
• zabbix-db – база данных системы мониторинга Zabbix;
• syslog – Syslog-сервер.

Пользователи и устройства CPE получают доступ к веб-интерфейсу оркестратора и веб-интерфейсу системы мониторинга Zabbix с помощью виртуального IP-адреса. Виртуальный IP-адрес назначен виртуальной машине 1.

Решение, развернутое на трех виртуальных машинах

В рамках представленной схемы развертывания возможны следующие сценарии аварийных ситуаций:

• Выход из строя виртуальной машины 1 или ее соединения.

  При выходе из строя виртуальной машины 1 или ее соединения решение сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Виртуальный IP-адрес назначается виртуальной машине 2.
  • Узел frontend-части решения www-1 недоступен, www-2 доступен. Веб-интерфейс оркестратора отображается в браузере.
  • Узел оркестратора orc-1 недоступен, orc-2 доступен. Backend-часть решения работает, пользователи могут войти в веб-интерфейс оркестратора и использовать его.
  • Узел базы данных MongoDB mongo-1 недоступен, mongo-2 и mongo-3 доступны, mongo-2 становится основным узлом, так как mongo-3 является узлом-арбитром и не может стать основным узлом. Оркестратор продолжает использовать базу данных MongoDB.
  • Состояние базы данных Redis:
    • Узел сервера Redis replica redis1-m недоступен, redis2-m и redis3-m доступны.
    • Узел системы Redis Sentinel redis1-s недоступен, redis2-s и redis3-s доступны, redis2-s становится основным узлом и случайным образом назначает узел сервера Redis replica redis2-m или redis3-m основным узлом.

    Оркестратор продолжает использовать базу данных Redis.

  • Состояния менеджера виртуальных сетевых функций:
    • Узел прокси-менеджера виртуальных сетевых функций vnfm-proxy-1 недоступен, vnfm-proxy-2 доступен.
    • Узел менеджера виртуальных сетевых функций vnfm-1 недоступен, vnfm-2 доступен.

    SSH-консоли компонентов решения работают.

  • Узел контроллера ctl-1 недоступен, ctl-2 и ctl-3 доступны, ctl-2 становится основным узлом, так как ctl-3 является узлом-арбитром и не может стать основным узлом. Сохраняется сетевая связность между устройствами CPE.
  • Состояние системы мониторинга Zabbix:
    • Узел frontend-части решения zabbix-www-1 недоступен, zabbix-www-2 доступен.
    • Узел сервера Zabbix-прокси zabbix-proxy-1 недоступен, zabbix-proxy-2 доступен.
    • Узел сервера Zabbix zabbix-srv-1 недоступен, zabbix-srv-2 доступен.
    • Узел базы данных системы мониторинга Zabbix zabbix-db-1 недоступен, zabbix-db-2 доступен.

    Система мониторинга Zabbix работает.

• Выход из строя виртуальной машины 2 или 3, или ее соединения.

  При выходе из строя виртуальной машины 2 или 3, или ее соединения узлы компонентов решения, развернутые на виртуальной машине 1, остаются основными и решение сохраняет работоспособность.

• Одновременный выход из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений решение не сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Веб-интерфейс оркестратора не отображается в браузере. Пользователи не могут войти в веб-интерфейс оркестратора и использовать его.
  • Система мониторинга Zabbix прекращает работу.
  • Сохраняется сетевая связность между устройствами CPE и подключенными к ним сетевыми устройствами, трафик продолжает передаваться.
  • Сохраняется сетевая связность в рамках P2P-сервисов и TAP-сервисов.
  • Сохраняется сетевая связность в рамках P2M-сервисов и M2M-сервисов для установленных сессий. Для новых сессий сетевая связность сохраняется, если при создании P2P-сервиса или M2M-сервиса в раскрывающемся списке Режим изучения MAC вы выбрали значение Learn and flood.
  • Устройства CPE используют механизм компенсации реордеринга (англ. reordering) для снижения количества дублированных пакетов на сетевых устройствах, подключенных к этим устройствам CPE.
  • Нагрузка на устройства CPE и сеть SD-WAN возрастает соразмерно количеству устройств CPE и соединений.

  Если соединения восстанавливаются, решение также восстанавливается и продолжает работать в нормальном режиме.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3 происходит потеря конфигурации компонентов решения. Для восстановления конфигурации компонентов решения вы можете обратиться в Kaspersky Professional Services.

• Одновременный выход из строя виртуальных машин 1 и 2.

  При одновременном выходе из строя виртуальных машин 1 и 2 происходит потеря конфигурации компонентов решения без возможности восстановления, так как на виртуальной машине 3 развернуты узлы-арбитры, которые не хранят данные. Для предотвращения такой ситуации мы рекомендуем развертывать базы данных и контроллеры на отдельных виртуальных машинах или физических серверах и делать регулярные резервные копии.

[Topic 274086]

Об архиве установки

Архив установки knaas-installer_<информация о версии> имеет формат TAR и используется для развертывания решения. Вы можете скачать архив установки из корневой директории комплекта поставки. Архив установки имеет следующую структуру:

Мы не рекомендуем изменять системные файлы, так как это может привести к ошибкам при развертывании решения.

• ansible.cfg – системный файл с параметрами Ansible.
• CHANGELOG.md – журнал изменений файлов в формате YAML.
• /docs – документация по использованию архива установки.
• /images – образы компонентов решения.
• /inventory:
  • /external:
    • /pnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде физической сетевой функции.
    • /vnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде виртуальной сетевой функции.
• /generic – общие системные файлы.
• /knaas – системные файлы с плейбуками для развертывания решения.
• /oem – графические элементы по умолчанию веб-интерфейса оркестратора.
• /pnfs – физические сетевые функции для развертывания одного, трех или пяти узлов контроллера.
• README.md – инструкция по развертыванию решения с помощью архива установки.
• requirements.txt – системный файл с требованиями для Python.

[Topic 275281]

О режимах выполнения действий attended, unattended и partially attended

Когда вы выполняете действия на устройстве администратора при развертывании Kaspersky SD-WAN, вам может потребоваться ввести пароль учетной записи root, а также мастер-пароль. Способ введения паролей определяется режимом, в котором вы выполняете действие. Поддерживаются следующие режимы выполнения действий:

• attended – действие выполняется с привлечением сотрудника. При выполнении действия вам нужно вручную ввести пароль учетной записи root и мастер-пароль. Это самый безопасный режим, при использовании которого ни один из паролей не сохраняется на устройстве администратора.
• unattended – действие выполняется без привлечения сотрудника. При выполнении действия пароль учетной записи root и мастер-пароль вводятся автоматически. В этом режиме вы можете проводить автоматизированные тесты.

  Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

• partially attended – действие выполняется с частичным привлечением сотрудника. При выполнении действия вам нужно ввести пароль пользователя root, а мастер-пароль вводится автоматически.

[Topic 273496]

Подготовка устройства администратора

Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

Если при подготовке устройства администратора у вас возникают проблемы, мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Чтобы подготовить устройство администратора:

1. Убедитесь, что устройство администратора соответствует аппаратным и программным требованиям.
2. Убедитесь, что на устройстве администратора и виртуальных машинах или физических серверах, на которых вы хотите развернуть компоненты Kaspersky SD-WAN, используется одинаковая учетная запись root. После развертывания решения вы можете использовать другую учетную запись root на виртуальных машинах или физических серверах.
3. Скачайте архив установки knaas-installer_<информация о версии> из корневой директории комплекта поставки и распакуйте архив установки на устройстве администратора.
4. Перейдите в распакованный архив установки и подготовьте устройство администратора:
   1. Убедитесь, что установлен инструмент управления пакетами pip, выполнив команду:

      python3 -m pip -V

   2. При отсутствии инструмента управления пакетами pip выполните одно из следующих действий:
      • Если на устройстве администратора установлена операционная система Ubuntu, выполните команду:

        apt-get install python3-pip

      • Если на устройстве администратора установлена операционная система РЕД ОС 8, выполните команду:

        yum install python3-pip

   3. Установите инструмент Ansible и его зависимости, выполнив команду:

      python 3 -m pip install -U --user -r requirements.txt

   4. Обновите переменную PATH, выполнив команды:
      1. echo 'export PATH=$PATH:$HOME/.local/bin' >> ~/.bashrc
      2. source ~/.bashrc
   5. Убедитесь, что инструмент Ansible готов к использованию, выполнив команду:

      ansible --version

   6. Установите на устройстве администратора пакеты операционной системы для развертывания Kaspersky SD-WAN, выполнив команду:

      ansible-playbook -K knaas/utilities/toolserver_prepare/bootstrap.yml

      При выполнении команды введите пароль учетной записи root.

   Вам нужно выполнить этот шаг только при изначальном развертывании решения.

5. Убедитесь, что устройство администратора готово к использованию:
   1. Перезагрузите устройство администратора.
   2. Перейдите в распакованный архив установки и запустите автоматическую проверку устройства администратора, выполнив команду:

      ansible-playbook knaas/utilities/pre-flight.yml

6. Если вы планируете развернуть Kaspersky SD-WAN на нескольких виртуальных машинах или физических серверах, выполните следующие действия:
   1. Убедитесь, что на устройстве администратора сгенерированы SSH-ключи. Если SSH-ключи не сгенерированы, сгенерируйте их.
   2. Поместите SSH-ключи на виртуальные машины или физические серверы, выполнив команду:

      ssh-copy-id user@<IP-адрес виртуальной машины или физического сервера>

   Если вы развертываете демонстрационный стенд Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном, пропустите этот шаг.

Устройство администратора будет подготовлено к развертыванию Kaspersky SD-WAN.

[Topic 273591]

Работа с паролями

Безопасность развернутых компонентов Kaspersky SD-WAN обеспечивают пароли. Вы можете сгенерировать пароли вручную. Если вы не генерируете пароли вручную, они генерируются автоматически при развертывании решения.

Пароли содержатся в следующих файлах:

• keystore.yml – пароли компонентов Kaspersky SD-WAN и их SSL-сертификатов.
• vault_password.txt – мастер-пароль.

Мы рекомендуем хранить файлы с паролями в защищенной директории, так как с их помощью злоумышленники могут получить доступ к развернутому решению.

После развертывания сгенерированные пароли автоматически помещаются в Docker-контейнеры компонентов Kaspersky SD-WAN. При взаимодействии друг с другом компоненты решения обмениваются паролями.

[Topic 273556]

Ручная генерация паролей

Чтобы вручную сгенерировать пароли:

1. Создайте директорию /passwords на устройстве администратора. Вам нужно указать путь к созданной директории в блоке external конфигурационного файла с помощью параметра vault_password_dirname.
2. Создайте файл keystore.yml и укажите в нем пароли с помощью следующих параметров:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Создайте файл vault_password.txt и укажите в нем мастер-пароль.
4. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут сгенерированы и зашифрованы.

[Topic 273592]

Изменение паролей

Чтобы изменить пароли:

1. Расшифруйте файл keystore.yml:
   • Если вы хотите расшифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault decrypt --vault-password-file vault_password.txt keystore.yml

   • Если вы хотите расшифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

2. Измените следующие пароли в файле keystore.yml:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут изменены и зашифрованы.

[Topic 273509]

Настройка конфигурационного файла

Вам нужно указать параметры развертывания Kaspersky SD-WAN в конфигурационном файле в формате YAML на устройстве администратора. Путь к конфигурационному файлу необходимо указать при развертывании решения. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях inventory/external/pnf и inventory/external//vnf архива установки.

Конфигурационный файл состоит из двух основных блоков:

• nodes – виртуальные машины или физические серверы для развертывания компонентов Kaspersky SD-WAN. При развертывании решения на виртуальных машинах или физических серверах автоматически генерируются правила iptables для взаимодействия компонентов решения друг с другом.
• external – параметры развертывания Kaspersky SD-WAN.

Мы не рекомендуем изменять значения параметров по умолчанию.

Блок nodes имеет следующую структуру:

Блок external имеет следующую структуру:

Пример конфигурационного файла

[Topic 273937]

Изменение графических элементов веб-интерфейса оркестратора

Чтобы изменить графические элементы веб-интерфейса оркестратора:

1. Настройте frontend-часть решения в блоке www конфигурационного файла.
2. На устройстве администратора перейдите в директорию /oem распакованного архива установки. В этой директории содержатся графические элементы по умолчанию веб-интерфейса оркестратора. Вы можете заменить следующие файлы:
   • favicon.png и favicon.svg ‑ значок, который отображается на вкладке с веб-интерфейсом оркестратора.

     

   • login_logo.svg – значок, который отображается в верхней части окна при входе в веб-интерфейс оркестратора.

     

   • logo_activation.svg ‑ значок, который отображается при автоматической регистрации устройства CPE.

     

   • logo.svg и title.svg ‑ значок и название, которые отображаются в верхней части навигационной панели веб-интерфейса оркестратора.

     

[Topic 287139]

Замена вышедшего из строя узла контроллера

Вы можете развернуть новый узел контроллера для замены узла контроллера, который вышел из строя без возможности восстановления. Если узел контроллера вышел из строя, находясь в кластере с другими узлами, новый узел контроллера будет автоматически добавлен в этот кластер и синхронизирован с существующими узлами.

Перед выполнением этого сценария вам нужно убедиться, что IP-адрес виртуальной машины или физического сервера для развертывания нового узла контроллера совпадает с IP-адресом виртуальной машины или физического сервера, на котором был развернут вышедший из строя узел контроллера. Вы указали IP-адреса виртуальных машин или физических серверов для развертывания узлов контроллера при развертывании решения в блоке ctl конфигурационного файла.

Сценарий замены вышедшего из строя узла контроллера состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания нового узла контроллера. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора, компонентами решения и новым узлом контроллера

   Обеспечьте сетевую связность между устройством администратора, компонентами решения и виртуальной машиной или физическим сервером, на котором вы хотите развернуть новый узел контроллера. Вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

3. Развертывание узла контроллера

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть новый узел контроллера в режиме attended, выполните одно из следующих действий:
      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть узел контроллера в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Новый узел контроллера будет развернут вместо вышедшего из строя узла контроллера. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании узла контроллера возникает проблема сетевой связности с виртуальной машиной или физическим сервером, в консоли устройства администратора отображается ошибка и новый узел контроллера не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальную машину или физический сервер, после чего заново выполнить команду развертывания.

[Topic 274129]

Обновление Kaspersky SD-WAN

Перед обновлением Kaspersky SD-WAN вам нужно убедиться, что ни одно из устройств CPE не имеет статус Ошибка. Вы можете просмотреть статус устройств CPE в таблице устройств CPE. Также перед обновлением Kaspersky SD-WAN мы рекомендуем сделать резервные копии компонентов решения:

• Если вы развернули компоненты решения на виртуальных машинах, вам нужно сделать снимки мгновенного состояния (англ. snapshots) виртуальных машин. После обновления Kaspersky SD-WAN снимки мгновенного состояния виртуальных машин можно удалить. Более подробную информацию о том, как сделать снимки мгновенного состояния виртуальных машин, можно получить из официальной документации сред виртуализации, с помощью которых вы развернули виртуальные машины.
• Если вы развернули компоненты решения на физических серверах, вам нужно сделать резервные копии жестких дисков физических серверов.

Сценарий обновления Kaspersky SD-WAN состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для обновления решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с изменениями, которые были внесены в новую версию Kaspersky SD-WAN. Вы можете просмотреть изменения в корневой директории архива установки в файле CHANGELOG.md.

   При обновлении Kaspersky SD-WAN убедитесь, что вы не потеряли файлы с паролями и SSL-сертификатами.

3. Обновление Kaspersky SD-WAN

   Обновите Kaspersky SD-WAN одним из следующих способов:

   • Если вы хотите обновить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора и сгенерированный мастер-пароль.

   • Если вы хотите обновить решение в режиме partially attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора.

   • Если вы хотите обновить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут обновлены на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном обновлении отобразится в консоли устройства администратора.

Если при обновлении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не обновляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду обновления.

После обновления решения требуется очистить историю команд Bash.

[Topic 274132]

Удаление Kaspersky SD-WAN

Удаление Kaspersky SD-WAN невозможно отменить.

Чтобы удалить Kaspersky SD-WAN,

1. На устройстве администратора перейдите в распакованный архив установки.
2. Удалите Kaspersky SD-WAN одним из следующих способов:
   • Если вы хотите удалить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-teardown.yml

   • Если вы хотите удалить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-teardown.yml

Компоненты Kaspersky SD-WAN будут удалены с виртуальных машин или физических серверов. Сообщение об успешном удалении отобразится в консоли устройства администратора.

Если при удалении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не удаляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду удаления.

[Topic 239565]

Вход и выход из веб-интерфейса оркестратора

Вход в веб-интерфейс оркестратора

Чтобы войти в веб-интерфейс оркестратора:

1. В адресной строке браузера введите IP-адрес виртуальной машины, на которой вы развернули оркестратор. Вы указали IP-адрес виртуальной машины для развертывания оркестратора в блоке orc_<1–2> конфигурационного файла при развертывании решения.
2. На открывшейся странице аутентификации введите имя пользователя и пароль. Пароль должен содержать как минимум одну прописную букву латинского алфавита (A–Z), одну строчную букву (a–z), одну цифру и один специальный символ. Длина пароля: от 8 до 50 символов.
3. Нажмите на кнопку Войти. Если для учетной записи включена двухфакторная аутентификация, выполните следующие действия:
   1. Отсканируйте отобразившийся QR-код физическим или программным аутентификатором, поддерживающим стандарт RFC 6238.
   2. Введите и подтвердите сгенерированный аутентификатором уникальный код.

После успешной аутентификации откроется раздел или подраздел, который вы установили как страницу по умолчанию.

Выход из веб-интерфейса оркестратора

Чтобы выйти из веб-интерфейса оркестратора:

1. В нижней части меню нажмите на значок выхода .
2. В отобразившемся окне подтверждения нажмите на кнопку OK.

Вы выйдете из веб-интерфейса оркестратора.

[Topic 246872]

Лицензирование Kaspersky SD-WAN

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky SD-WAN. При необходимости масштабировать решения вы можете приобрести дополнительные лицензии на программное и аппаратное обеспечение.

[Topic 246870]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу. Текст Лицензионного соглашения на поддерживаемых языках находится в файлах license <код языка>.rtf, входящих в комплект поставки Kaspersky SD-WAN.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с Kaspersky SD-WAN.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения. Сделать это можно одним из следующих способов:

• Инициализировать переменную окружения KNAAS_EULA_AGREED перед запуском Docker-контейнера Kaspersky SD-WAN:

  export KNAAS_EULA_AGREED=yes

  В этом случае при запуске Docker-контейнера Kaspersky SD-WAN нужно передавать переменную окружения KNAAS_EULA_AGREED с помощью опции -e:

  docker run -e KNAAS_EULA_AGREED [OPTIONS] IMAGE [COMMAND] [ARG...]

• Инициализировать переменную окружения KNAAS_EULA_AGREED непосредственно при запуске Docker-контейнера Kaspersky SD-WAN:

  docker run -e KNAAS_EULA_AGREED=yes [OPTIONS] IMAGE [COMMAND] [ARG...]

Если переменная окружения KNAAS_EULA_AGREED не инициализирована или инициализирована со значением no (KNAAS_EULA_AGREED=no), это означает несогласие с условиями Лицензионного соглашения. В этом случае при запуске Docker-контейнера Kaspersky SD-WAN выдается сообщение об ошибке, и Kaspersky SD-WAN не запускается.

[Topic 246869]

О предоставлении данных

В Kaspersky SD-WAN интегрированы следующие сторонние решения:

• система мониторинга Zabbix;
• платформа для создания облачных сервисов и хранилищ OpenStack;
• географические карты OpenStreetMap.

Персональные данные, которые могут поступать в Zabbix, OpenStack или OpenStreetMap в результате интеграции, не отправляются за периметр инфраструктуры организации.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского".

[Topic 240002]

Интерфейс решения

Управление Kaspersky SD-WAN осуществляется с помощью веб-интерфейса оркестратора. Отображающиеся в меню разделы можно использовать для настройки компонентов решения. Когда вы переходите в раздел, отображается дополнительное меню с подразделами в свернутом виде. Вам нужно навести курсор мыши на значок одного из подразделов, чтобы снова развернуть меню. Вы можете нажать на значок разворачивания , чтобы выключить функцию автоматического сворачивания меню.

Поддерживается два варианта веб-интерфейса оркестратора:

• Портал администратора – предоставляет администраторам полный доступ к управлению компонентами решения.
• Портал самообслуживания – предоставляет тенантам доступ к управлению развернутыми для них экземплярами SD-WAN.

Администраторы могут войти на портал самообслуживания тенанта.

Портал администратора

Основное меню портала администратора

Контроллер имеет отдельное меню настройки.

Меню настройки контроллера в портале администратора

Портал самообслуживания

Основное меню портала самообслуживания

Контроллер имеет отдельное меню настройки.

[Topic 251907]

Установка и сброс страницы по умолчанию

Страница по умолчанию – это раздел или подраздел меню, который автоматически отображается после того, как вы входите в веб-интерфейс оркестратора.

Чтобы установить или сбросить страницу по умолчанию:

1. В меню перейдите в раздел или подраздел веб-интерфейса оркестратора, который вы хотите установить как страницу по умолчанию.
2. В нижней части меню нажмите на значок настройки → Сделать страницей по умолчанию.
3. Если вы хотите сбросить страницу по умолчанию, нажмите на значок настройки → Сбросить страницу по умолчанию.

   В верхней части страницы отобразится сообщение Страница по умолчанию сброшена. Страницей по умолчанию станет раздел Обозреватель.

[Topic 248912]

Переключение между светлым и темным режимом веб-интерфейса оркестратора

Чтобы переключиться между светлым и темным режимом веб-интерфейса оркестратора,

в нижней части меню нажмите на значок настройки  → Темная тема или Светлая тема.

[Topic 262120]

Изменение языка веб-интерфейса оркестратора

Веб-интерфейс оркестратора поддерживает английский и русский язык.

Чтобы изменить язык веб-интерфейса оркестратора,

в нижней части меню нажмите на одну из следующих кнопок:

• EN – изменить язык веб-интерфейса оркестратора на английский.
• RU – изменить язык веб-интерфейса оркестратора на русский.

[Topic 270040]

Работа с таблицами компонентов решения

Компоненты решения, такие как пользователи, сетевые интерфейсы и BGP-соседи, отображаются в таблицах. Для работы с таблицами используются следующие элементы:

• Значок настройки , с помощью которого вы можете выполнять следующие действия:
  • Обновить таблицу, нажав на значок настройки → Перезагрузить. Вы также можете обновить таблицу с помощью значка обновления .
  • Сбросить ширину столбцов таблицы до ширины по умолчанию, нажав на значок настройки → Сбросить ширину столбцов.
  • Выбрать, какие столбцы отображаются в таблице. Для этого вам нужно нажать на значок настройки и установить флажки рядом со столбцами, которые вы хотите отобразить.
• Значок поиска , на который вы можете нажать и ввести критерии поиска. После введения критериев поиска в таблице отображаются соответствующие записи.
• Фильтры статуса для отображения записей с выбранным статусом.
• Фильтры времени для отображения записей за выбранный период:
  • Все время;
  • Год;
  • Месяц;
  • Неделя;
  • День.

  Вы можете указать период вручную с помощью полей в верхней части таблицы.

• Кнопка Действия для одновременного выполнения действий с записями, рядом с которыми вы установили флажки. Например, в таблице устройств CPE вы можете одновременно удалить несколько устройств CPE.

Вы можете настроить ширину каждого столбца таблицы с помощью значков в виде трех точек , которые отображаются между именами столбцов.

[Topic 251933]

Переход к API оркестратора

Чтобы перейти к API оркестратора,

в нижней части меню нажмите на кнопку перехода к API .

Откроется список API-команд, доступных для управления оркестратором.

[Topic 266243]

Управление инфраструктурой Kaspersky SD-WAN

Площадки, на которых вы разворачиваете все компоненты Kaspersky SD-WAN, кроме устройств CPE, называются центрами обработки данных (далее также ЦОД). Вам нужно добавить центры обработки данных в веб-интерфейс оркестратора, чтобы управлять контроллерами и VIM, а также указать сервер Zabbix-прокси для настройки мониторинга компонентов решения.

При наличии большого количества центров обработки данных их можно добавить в домены. Доменами называются логические группы, которые объединяют центры обработки данных по определенному признаку, например по географическому расположению. Перед добавлением центров обработки данных вам нужно создать хотя бы один домен. Вы можете перемещать центры обработки данных между доменами.

В каждом центре обработки данных необходимо создать хотя бы одну подсеть управления, чтобы назначать устройствам CPE и виртуальным сетевым функциям IP-адреса, DNS-серверы и статические маршруты.

На рисунке ниже изображена схема организации. Компоненты Kaspersky SD-WAN развернуты в четырех центрах обработки данных (Data centers 1–4). Организация предоставляет решение двум клиентам, для каждого из которых развернут экземпляр SD-WAN. Для развертывания каждого экземпляра SD-WAN используется по два центра обработки данных. Центры обработки данных добавлены в соответствующие клиентам домены (Client 1 domain и Client 2 domain).

Пример организации с доменами и центрами обработки данных

[Topic 271061]

Работа с доменами

Список доменов отображается в разделе Инфраструктура в панели Ресурсы. Под доменами в списке отображаются добавленные в них центры обработки данных.

[Topic 267420]

Создание домена

Чтобы создать домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В верхней части страницы нажмите на кнопку + Домен.
3. В открывшемся окне в поле Имя введите имя домена. Максимальная длина имени: 50 символов.
4. При необходимости в поле Описание введите краткое описание домена. Максимальная длина описания: 100 символов.
5. Нажмите на кнопку Создать.

Домен будет создан и отобразится в панели Ресурсы.

Вы можете добавить в домен центры обработки данных при добавлении центров обработки данных.

[Topic 256064]

Изменение домена

Чтобы изменить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Изменить рядом с доменом, который вы хотите изменить.
3. В открывшемся окне при необходимости измените имя и/или краткое описание домена.
4. Нажмите на кнопку Сохранить.

Домен будет изменен и обновится в панели Ресурсы.

[Topic 256065]

Удаление домена

Перед удалением домена вам нужно удалить центры обработки данных, добавленные в домен.

Удаленные домены невозможно восстановить.

Чтобы удалить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Удалить рядом с доменом, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Домен будет удален и перестанет отображаться в панели Ресурсы.

[Topic 271064]

Работа с центрами обработки данных

Списки центров обработки данных отображаются в разделе Инфраструктура в панели Ресурсы под доменами. Перед добавлением центров обработки данных вам нужно создать хотя бы один домен.

[Topic 267425]

Добавление центра обработки данных

Чтобы добавить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В верхней части страницы нажмите на кнопку + Центр обработки данных.
3. В открывшемся окне в поле Имя введите имя центра обработки данных. Максимальная длина имени: 50 символов.
4. При необходимости в поле Описание введите краткое описание центра обработки данных. Максимальная длина описания: 100 символов.
5. В раскрывающемся списке Домен выберите созданный домен, в который вы хотите добавить центр обработки данных. После добавления центр обработки данных можно переместить в другой домен.
6. Если вы хотите развертывать виртуальные сетевые функции и запускать скрипты на устройствах CPE, в поле VNFM URL введите веб-адрес менеджера виртуальных сетевых функций, к которому подключается оркестратор. Вы можете убедиться в доступности VNFM, нажав на кнопку Проверить соединение.
7. При необходимости в поле Адрес введите адрес центра обработки данных.
8. Нажмите на кнопку Создать.

Центр обработки данных будет добавлен и отобразится в панели Ресурсы.

[Topic 256071]

Изменение центра обработки данных

Чтобы изменить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Изменить рядом с центром обработки данных, который вы хотите изменить.
3. В открывшемся окне при необходимости измените следующие параметры:
   • имя центра обработки данных;
   • краткое описание центра обработки данных;
   • веб-адрес менеджера виртуальных сетевых функций;
   • адрес центра обработки данных.
4. Нажмите на кнопку Сохранить.

Центр обработки данных будет изменен и обновится в панели Ресурсы.

[Topic 256073]

Перемещение центра обработки данных в другой домен

Чтобы переместить центр обработки данных в другой домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Мигрировать рядом с центром обработки данных, который вы хотите переместить в другой домен.
3. В открывшемся окне выберите созданный домен, в который вы хотите переместить центр обработки данных.
4. Нажмите на кнопку Мигрировать.

Центр обработки данных будет перемещен в новый домен и отобразится под новым доменом в панели Ресурсы.

[Topic 256072]

Удаление центра обработки данных

Когда вы удаляете центр обработки данных, вы теряете возможность управлять контроллерами, VIM и подсетями управления. Вы также теряете возможность указать сервер Zabbix-прокси для настройки мониторинга компонентов решения.

Удаленные центры обработки данных невозможно восстановить.

Чтобы удалить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Удалить рядом с центром обработки данных, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Центр обработки данных будет удален и перестанет отображаться в панели Ресурсы.

[Topic 271067]

Работа с подсетями управления

Для отображения таблицы подсетей управления вам нужно в меню перейти в раздел Инфраструктура, нажать на добавленный центр обработки данных и выбрать вкладку IPAM → Подсеть. Информация о подсетях управления отображается в следующих столбцах таблицы:

• Имя – имя подсети управления.
• Тип – тип подсети. Временно поддерживаются только подсети управления.
• CIDR – IPv4-префикс подсети управления.
• Шлюз – IP-адреса шлюзов, которые подсеть управления назначает виртуальным сетевым функциям.
• Диапазон IP – диапазоны IP-адресов, из которых подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям.
• DNS – IPv4-адреса DNS-серверов, которые подсеть управления назначает виртуальным сетевым функциям.
• Статические маршруты – IPv4-адреса источника и назначения статических маршрутов, которые подсеть управления назначает виртуальным сетевым функциям.
• Использование – количество IP-адресов, которые подсеть управления назначила устройствам CPE и виртуальным сетевым функциям.

Таблица устройств CPE и виртуальных сетевых функций, которым подсеть управления назначила IP-адреса, отображается на вкладке Использование. Информация об устройствах CPE и виртуальных сетевых функциях отображается в следующих столбцах таблицы:

• Имя – имя подсети управления, которая назначила устройству CPE или виртуальной сетевой функции IP-адрес.
• IP – IP-адрес, назначенный устройству CPE или виртуальной сетевой функции.
• Имя клиента – имя устройства CPE или виртуальной сетевой функции.
• Тип клиента – информация о том, назначила ли подесть управления IP-адрес устройству CPE или виртуальной сетевой функции:
  • VNF.
  • CPE.
• Тенант – тенант, которому добавлено устройство CPE или назначена виртуальная сетевая функция.

Действия, которые вы можете выполнить с таблицами, описаны в инструкции Работа с таблицами компонентов решения.

[Topic 268342]

Создание подсети управления

Чтобы создать подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы хотите создать подсеть управления. После создания подсеть управления невозможно переместить в другой центр обработки данных.
3. Выберите вкладку IPAM.

   Отобразится таблица подсетей управления.

4. В верхней части страницы нажмите на кнопку + Подсеть.
5. В поле Имя введите имя подсети управления.
6. В раскрывающемся списке Версия IP выберите версию IP-адресов в подсети управления:
   • IPv4. Значение по умолчанию.
   • IPv6.
7. В поле CIDR введите IPv4-префикс подсети управления.
8. Если вы хотите, чтобы подсеть управления назначала виртуальным сетевым функциям указанный шлюз, в поле Шлюз введите IPv4-адрес шлюза.
9. Укажите диапазон IP-адресов, из которого подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям. Для этого в блоке Диапазон IP нажмите на кнопку + Добавить и в отобразившихся полях введите начальное и конечное значения диапазона IP-адресов.

   Диапазон IP-адресов будет указан и отобразится в блоке Диапазон IP. Вы можете указать несколько диапазонов IP-адресов или удалить диапазон IP-адресов. Для удаления диапазона IP-адресов нажмите рядом с ним на значок удаления .

10. Укажите DNS-сервер, который подсеть управления назначает виртуальным сетевым функциям. Для этого в блоке DNS нажмите на кнопку + Добавить и в отобразившемся поле введите IPv4-адрес DNS-сервера.

    DNS-сервер будет указан и отобразится в блоке DNS. Вы можете указать несколько DNS-серверов или удалить DNS-сервер. Для удаления DNS-сервера нажмите рядом с ним на значок удаления .

11. Укажите статический маршрут, который подсеть управления назначает виртуальным сетевым функциям. Для этого в блоке Статические маршруты нажмите на кнопку + Добавить и в отобразившихся полях введите IPv4-адреса источника и назначения статического маршрута.

    Статический маршрут будет указан и отобразится в блоке Статические маршруты. Вы можете указать несколько статических маршрутов или удалить статический маршрут. Для удаления статического маршрута нажмите рядом с ним на значок удаления .

12. Нажмите на кнопку Создать.

Подсеть управления будет создана и отобразится в таблице.

[Topic 256086]

Изменение подсети управления

Чтобы изменить подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы создали подсеть управления.
3. Выберите вкладку IPAM.

   Отобразится таблица подсетей управления.

4. Нажмите на кнопку Управление → Изменить рядом с подсетью управления, которую вы хотите изменить.
5. В открывшемся окне при необходимости измените следующие параметры:
   • имя подсети управления;
   • IPv4-префикс подсети управления;
   • IPv4-адреса шлюзов, которые подсеть управления назначает виртуальным сетевым функциям;
   • диапазоны IP-адресов, из которых подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям;
   • DNS-серверы, которые подсеть управления назначает виртуальным сетевым функциям;
   • статические маршруты, которые подсеть управления назначает виртуальным сетевым функциям.
6. Нажмите на кнопку Сохранить.

Подсеть управления будет изменена и обновится в таблице.

[Topic 256089]

Удаление подсети управления

Удаленные подсети управления невозможно восстановить.

Чтобы удалить подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы создали подсеть управления.
3. Выберите вкладку IPAM.

   Отобразится таблица подсетей управления.

4. Нажмите на кнопку Управление → Удалить рядом с подсетью управления, которую вы хотите удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Подсеть управления будет удалена и перестанет отображаться в таблице.

[Topic 257182]

Работа с контроллерами

Для отображения таблицы контроллеров вам нужно в меню перейти в раздел Инфраструктура, нажать на созданный центр обработки данных и выбрать вкладку Сетевые ресурсы. Информация о контроллерах отображается в следующих столбцах таблицы:

• Имя – имя контроллера.
• Транспортная/сервисная стратегия – используемая
  транспортная стратегия

  Механизм инкапсуляции транспортных сервисов, включающий в себя алгоритм добавления стека меток заголовков пакетов трафика и тип этих меток. Kaspersky SD-WAN временно поддерживает одну транспортную стратегию Generic VNI Swapping Transport.

  .
• Узлы контроллера – IP-адреса узлов контроллера.
• Тип подключения – тип подключения устройств CPE к контроллеру:
  • Unicast.
  • Multicast.
• Статус кластера – статус кластера узлов контроллера:
  • UP – кластер работает в штатном режиме.
  • DEGRADED – при работе кластера возникла ошибка.
  • DOWN – кластер не работает.
• Статус узлов – статус узлов контроллера:
  • Подключен (основной) – узел подключен к контроллеру и является основным в кластере.
  • Подключен (единственный) – узел подключен к контроллеру и является единственным в кластере.
  • Подключен (второстепенный) – узел подключен к контроллеру и является второстепенным в кластере.
  • Отключен – узел не подключен к контроллеру.
  • Не в кластере – узел не добавлен в кластер.
  • Недоступен – узел недоступен.
  • Неизвестно – статус узла неизвестен.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

[Topic 257145]

Изменение контроллера

Чтобы изменить контроллер:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Изменить рядом с контроллером, который вы хотите изменить.
3. В открывшемся окне в поле Имя введите имя контроллера. Диапазон значений: от 1 до 128 символов.
4. При необходимости в поле Описание введите краткое описание контроллера.
5. В поле Установить контроллер на <1>/<3>/<5> серверах выберите количество узлов контроллера.
6. В раскрывающемся списке Тип подключения выберите тип подключения устройств CPE к контроллеру:
   • Unicast.
   • Multicast.
7. Настройте узел контроллера:
   1. В поле Адрес (IP или имя хоста) введите IP-адрес или имя хоста узла контроллера.
   2. В поле gRPC-порт введите номер gRPC-порта узла контроллера.
   3. В поле JGroups-порт введите номер JGroups-порта узла контроллера.
   4. Если вы хотите сделать узел контроллера основным, выберите вариант Основной.

   Вы можете настроить несколько узлов контроллера.

8. Нажмите на кнопку Сохранить.