Развертывание Kaspersky SD-WAN

Вы можете развернуть Kaspersky SD-WAN с помощью архива установки knaas-installer_<информация о версии>, который содержится в комплекте поставки.

Перед выполнением этого сценария вам нужно составить схему развертывания решения. При возникновении проблем с составлением схемы развертывания мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Сценарий развертывания решения состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора компонентами решения

   Обеспечьте сетевую связность между устройством администратора и виртуальными машинами или физическими серверами, на которых вы хотите развернуть компоненты Kaspersky SD-WAN. Если вы планируете развернуть несколько узлов компонентов решения, вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

3. Ручная генерация паролей

   При необходимости вручную сгенерируйте пароли для обеспечения безопасности компонентов Kaspersky SD-WAN и их SSL-сертификатов.

4. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с выбранной схемой развертывания. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях /inventory/external/pnf и /inventory/external/vnf архива установки.

5. Изменение графических элементов веб-интерфейса оркестратора

   При необходимости измените графические элементы веб-интерфейса оркестратора. Например, вы можете изменить изображение, которое отображается на фоне, когда возникает ошибка при входе в веб-интерфейс оркестратора.

6. Развертывание Kaspersky SD-WAN

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть Kaspersky SD-WAN в режиме attended, выполните одно из следующих действий:
      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть Kaspersky SD-WAN в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут развернуты на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или с одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальные машины или физические серверы, после чего заново выполнить команду развертывания.

Резервирование компонентов решения

Развернуть всё | Свернуть всё

О схемах резервирования компонентов решения

Kaspersky SD-WAN поддерживает две схемы развертывания компонентов решения:

• N+1 – вы развертываете два узла компонента решения. Если один узел выходит из строя, работу компонента решения обеспечивает второй узел.
• 2N+1 – вы развертываете несколько узлов компонентов решения. Один узел является основным, а другие – второстепенными. Если основной узел выходит из строя, его место занимает случайно выбранный второстепенный узел. Такая схема резервирования позволяет компонентам решения сохранять работоспособность, даже когда происходит несколько аварий подряд.

В таблице ниже представлены компоненты решения и доступные для них схемы развертывания.

Вы можете указать, сколько узлов развертывается для компонентов решения в конфигурационном файле.

Когда вы настраиваете параметры развертывания узлов базы данных MongoDB или контроллера в соответствии со схемой развертывания 2N+1, последний указанный вами узел становится узлом-арбитром. Узел-арбитр связан с другими узлами и используется для выбора основного узла. Узел, который потерял связь с узлом-арбитром, переходит в режим ожидания. Один из узлов, которые сохранили связь с узлом-арбитром, остается или становится основным узлом. Узел-арбитр не может стать основным узлом и не хранит данные.

Сценарии выхода из строя узлов компонентов решения

На рисунке ниже изображена схема Kaspersky SD-WAN, развернутого на трех виртуальных машинах в центре обработки данных. В схеме используются следующие условные обозначения:

• www – frontend-часть решения;
• orc – оркестратор;
• mongo – база данных MongoDB;
• redis-m – сервер Redis replica;
• redis-s – система Redis Sentinel;
• vnfm-proxy – прокси-менеджер виртуальных сетевых функций;
• vnfm – менеджер виртуальных сетевых функций;
• ctl – контроллер и его база данных;
• zabbix-www – frontend-часть системы мониторинга Zabbix;
• zabbix-proxy – сервер Zabbix-прокси;
• zabbix-srv – сервер Zabbix;
• zabbix-db – база данных системы мониторинга Zabbix;
• syslog – Syslog-сервер.

Пользователи и устройства CPE получают доступ к веб-интерфейсу оркестратора и веб-интерфейсу системы мониторинга Zabbix с помощью виртуального IP-адреса. Виртуальный IP-адрес назначен виртуальной машине 1.

Решение, развернутое на трех виртуальных машинах

В рамках представленной схемы развертывания возможны следующие сценарии аварийных ситуаций:

• Выход из строя виртуальной машины 1 или ее соединения.

  При выходе из строя виртуальной машины 1 или ее соединения решение сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Виртуальный IP-адрес назначается виртуальной машине 2.
  • Узел frontend-части решения www-1 недоступен, www-2 доступен. Веб-интерфейс оркестратора отображается в браузере.
  • Узел оркестратора orc-1 недоступен, orc-2 доступен. Backend-часть решения работает, пользователи могут войти в веб-интерфейс оркестратора и использовать его.
  • Узел базы данных MongoDB mongo-1 недоступен, mongo-2 и mongo-3 доступны, mongo-2 становится основным узлом, так как mongo-3 является узлом-арбитром и не может стать основным узлом. Оркестратор продолжает использовать базу данных MongoDB.
  • Состояние базы данных Redis:
    • Узел сервера Redis replica redis1-m недоступен, redis2-m и redis3-m доступны.
    • Узел системы Redis Sentinel redis1-s недоступен, redis2-s и redis3-s доступны, redis2-s становится основным узлом и случайным образом назначает узел сервера Redis replica redis2-m или redis3-m основным узлом.

    Оркестратор продолжает использовать базу данных Redis.

  • Состояния менеджера виртуальных сетевых функций:
    • Узел прокси-менеджера виртуальных сетевых функций vnfm-proxy-1 недоступен, vnfm-proxy-2 доступен.
    • Узел менеджера виртуальных сетевых функций vnfm-1 недоступен, vnfm-2 доступен.

    SSH-консоли компонентов решения работают.

  • Узел контроллера ctl-1 недоступен, ctl-2 и ctl-3 доступны, ctl-2 становится основным узлом, так как ctl-3 является узлом-арбитром и не может стать основным узлом. Сохраняется сетевая связность между устройствами CPE.
  • Состояние системы мониторинга Zabbix:
    • Узел frontend-части решения zabbix-www-1 недоступен, zabbix-www-2 доступен.
    • Узел сервера Zabbix-прокси zabbix-proxy-1 недоступен, zabbix-proxy-2 доступен.
    • Узел сервера Zabbix zabbix-srv-1 недоступен, zabbix-srv-2 доступен.
    • Узел базы данных системы мониторинга Zabbix zabbix-db-1 недоступен, zabbix-db-2 доступен.

    Система мониторинга Zabbix работает.

• Выход из строя виртуальной машины 2 или 3, или ее соединения.

  При выходе из строя виртуальной машины 2 или 3, или ее соединения узлы компонентов решения, развернутые на виртуальной машине 1, остаются основными и решение сохраняет работоспособность.

• Одновременный выход из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений решение не сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Веб-интерфейс оркестратора не отображается в браузере. Пользователи не могут войти в веб-интерфейс оркестратора и использовать его.
  • Система мониторинга Zabbix прекращает работу.
  • Сохраняется сетевая связность между устройствами CPE и подключенными к ним сетевыми устройствами, трафик продолжает передаваться.
  • Сохраняется сетевая связность в рамках P2P-сервисов и TAP-сервисов.
  • Сохраняется сетевая связность в рамках P2M-сервисов и M2M-сервисов для установленных сессий. Для новых сессий сетевая связность сохраняется, если при создании P2P-сервиса или M2M-сервиса в раскрывающемся списке Режим изучения MAC вы выбрали значение Learn and flood.
  • Устройства CPE используют механизм компенсации реордеринга (англ. reordering) для снижения количества дублированных пакетов на сетевых устройствах, подключенных к этим устройствам CPE.
  • Нагрузка на устройства CPE и сеть SD-WAN возрастает соразмерно количеству устройств CPE и соединений.

  Если соединения восстанавливаются, решение также восстанавливается и продолжает работать в нормальном режиме.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3 происходит потеря конфигурации компонентов решения. Для восстановления конфигурации компонентов решения вы можете обратиться в Kaspersky Professional Services.

• Одновременный выход из строя виртуальных машин 1 и 2.

  При одновременном выходе из строя виртуальных машин 1 и 2 происходит потеря конфигурации компонентов решения без возможности восстановления, так как на виртуальной машине 3 развернуты узлы-арбитры, которые не хранят данные. Для предотвращения такой ситуации мы рекомендуем развертывать базы данных и контроллеры на отдельных виртуальных машинах или физических серверах и делать регулярные резервные копии.

Об архиве установки

Архив установки knaas-installer_<информация о версии> имеет формат TAR и используется для развертывания решения. Вы можете скачать архив установки из корневой директории комплекта поставки. Архив установки имеет следующую структуру:

Мы не рекомендуем изменять системные файлы, так как это может привести к ошибкам при развертывании решения.

• ansible.cfg – системный файл с параметрами Ansible.
• CHANGELOG.md – журнал изменений файлов в формате YAML.
• /docs – документация по использованию архива установки.
• /images – образы компонентов решения.
• /inventory:
  • /external:
    • /pnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде физической сетевой функции.
    • /vnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде виртуальной сетевой функции.
• /generic – общие системные файлы.
• /knaas – системные файлы с плейбуками для развертывания решения.
• /oem – графические элементы по умолчанию веб-интерфейса оркестратора.
• /pnfs – физические сетевые функции для развертывания одного, трех или пяти узлов контроллера.
• README.md – инструкция по развертыванию решения с помощью архива установки.
• requirements.txt – системный файл с требованиями для Python.

О режимах выполнения действий attended, unattended и partially attended

Когда вы выполняете действия на устройстве администратора при развертывании Kaspersky SD-WAN, вам может потребоваться ввести пароль учетной записи root, а также мастер-пароль. Способ введения паролей определяется режимом, в котором вы выполняете действие. Поддерживаются следующие режимы выполнения действий:

• attended – действие выполняется с привлечением сотрудника. При выполнении действия вам нужно вручную ввести пароль учетной записи root и мастер-пароль. Это самый безопасный режим, при использовании которого ни один из паролей не сохраняется на устройстве администратора.
• unattended – действие выполняется без привлечения сотрудника. При выполнении действия пароль учетной записи root и мастер-пароль вводятся автоматически. В этом режиме вы можете проводить автоматизированные тесты.

  Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

• partially attended – действие выполняется с частичным привлечением сотрудника. При выполнении действия вам нужно ввести пароль пользователя root, а мастер-пароль вводится автоматически.

Подготовка устройства администратора

Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

Если при подготовке устройства администратора у вас возникают проблемы, мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Чтобы подготовить устройство администратора:

1. Убедитесь, что устройство администратора соответствует аппаратным и программным требованиям.
2. Убедитесь, что на устройстве администратора и виртуальных машинах или физических серверах, на которых вы хотите развернуть компоненты Kaspersky SD-WAN, используется одинаковая учетная запись root. После развертывания решения вы можете использовать другую учетную запись root на виртуальных машинах или физических серверах.
3. Скачайте архив установки knaas-installer_<информация о версии> из корневой директории комплекта поставки и распакуйте архив установки на устройстве администратора.
4. Перейдите в распакованный архив установки и подготовьте устройство администратора:
   1. Убедитесь, что установлен инструмент управления пакетами pip, выполнив команду:

      python3 -m pip -V

   2. При отсутствии инструмента управления пакетами pip выполните одно из следующих действий:
      • Если на устройстве администратора установлена операционная система Ubuntu, выполните команду:

        apt-get install python3-pip

      • Если на устройстве администратора установлена операционная система РЕД ОС 8, выполните команду:

        yum install python3-pip

   3. Установите инструмент Ansible и его зависимости, выполнив команду:

      python 3 -m pip install -U --user -r requirements.txt

   4. Обновите переменную PATH, выполнив команды:
      1. echo 'export PATH=$PATH:$HOME/.local/bin' >> ~/.bashrc
      2. source ~/.bashrc
   5. Убедитесь, что инструмент Ansible готов к использованию, выполнив команду:

      ansible --version

   6. Установите на устройстве администратора пакеты операционной системы для развертывания Kaspersky SD-WAN, выполнив команду:

      ansible-playbook -K knaas/utilities/toolserver_prepare/bootstrap.yml

      При выполнении команды введите пароль учетной записи root.

   Вам нужно выполнить этот шаг только при изначальном развертывании решения.

5. Убедитесь, что устройство администратора готово к использованию:
   1. Перезагрузите устройство администратора.
   2. Перейдите в распакованный архив установки и запустите автоматическую проверку устройства администратора, выполнив команду:

      ansible-playbook knaas/utilities/pre-flight.yml

6. Если вы планируете развернуть Kaspersky SD-WAN на нескольких виртуальных машинах или физических серверах, выполните следующие действия:
   1. Убедитесь, что на устройстве администратора сгенерированы SSH-ключи. Если SSH-ключи не сгенерированы, сгенерируйте их.
   2. Поместите SSH-ключи на виртуальные машины или физические серверы, выполнив команду:

      ssh-copy-id user@<IP-адрес виртуальной машины или физического сервера>

   Если вы развертываете демонстрационный стенд Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном, пропустите этот шаг.

Устройство администратора будет подготовлено к развертыванию Kaspersky SD-WAN.

Работа с паролями

Безопасность развернутых компонентов Kaspersky SD-WAN обеспечивают пароли. Вы можете сгенерировать пароли вручную. Если вы не генерируете пароли вручную, они генерируются автоматически при развертывании решения.

Пароли содержатся в следующих файлах:

• keystore.yml – пароли компонентов Kaspersky SD-WAN и их SSL-сертификатов.
• vault_password.txt – мастер-пароль.

Мы рекомендуем хранить файлы с паролями в защищенной директории, так как с их помощью злоумышленники могут получить доступ к развернутому решению.

После развертывания сгенерированные пароли автоматически помещаются в Docker-контейнеры компонентов Kaspersky SD-WAN. При взаимодействии друг с другом компоненты решения обмениваются паролями.

Ручная генерация паролей

Чтобы вручную сгенерировать пароли:

1. Создайте директорию /passwords на устройстве администратора. Вам нужно указать путь к созданной директории в блоке external конфигурационного файла с помощью параметра vault_password_dirname.
2. Создайте файл keystore.yml и укажите в нем пароли с помощью следующих параметров:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Создайте файл vault_password.txt и укажите в нем мастер-пароль.
4. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут сгенерированы и зашифрованы.

Изменение паролей

Чтобы изменить пароли:

1. Расшифруйте файл keystore.yml:
   • Если вы хотите расшифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault decrypt --vault-password-file vault_password.txt keystore.yml

   • Если вы хотите расшифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

2. Измените следующие пароли в файле keystore.yml:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль использует оркестратор.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут изменены и зашифрованы.

Настройка конфигурационного файла

Вам нужно указать параметры развертывания Kaspersky SD-WAN в конфигурационном файле в формате YAML на устройстве администратора. Путь к конфигурационному файлу необходимо указать при развертывании решения. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях inventory/external/pnf и inventory/external//vnf архива установки.

Конфигурационный файл состоит из двух основных блоков:

• nodes – виртуальные машины или физические серверы для развертывания компонентов Kaspersky SD-WAN. При развертывании решения на виртуальных машинах или физических серверах автоматически генерируются правила iptables для взаимодействия компонентов решения друг с другом.
• external – параметры развертывания Kaspersky SD-WAN.

Мы не рекомендуем изменять значения параметров по умолчанию.

Блок nodes имеет следующую структуру:

Блок external имеет следующую структуру:

Пример конфигурационного файла

Изменение графических элементов веб-интерфейса оркестратора

Чтобы изменить графические элементы веб-интерфейса оркестратора:

1. Настройте frontend-часть решения в блоке www конфигурационного файла.
2. На устройстве администратора перейдите в директорию /oem распакованного архива установки. В этой директории содержатся графические элементы по умолчанию веб-интерфейса оркестратора. Вы можете заменить следующие файлы:
   • favicon.png и favicon.svg ‑ значок, который отображается на вкладке с веб-интерфейсом оркестратора.

     

   • login_logo.svg – значок, который отображается в верхней части окна при входе в веб-интерфейс оркестратора.

     

   • logo_activation.svg ‑ значок, который отображается при автоматической регистрации устройства CPE.

     

   • logo.svg и title.svg ‑ значок и название, которые отображаются в верхней части навигационной панели веб-интерфейса оркестратора.

     

Замена вышедшего из строя узла контроллера

Вы можете развернуть новый узел контроллера для замены узла контроллера, который вышел из строя без возможности восстановления. Если узел контроллера вышел из строя, находясь в кластере с другими узлами, новый узел контроллера будет автоматически добавлен в этот кластер и синхронизирован с существующими узлами.

Перед выполнением этого сценария вам нужно убедиться, что IP-адрес виртуальной машины или физического сервера для развертывания нового узла контроллера совпадает с IP-адресом виртуальной машины или физического сервера, на котором был развернут вышедший из строя узел контроллера. Вы указали IP-адреса виртуальных машин или физических серверов для развертывания узлов контроллера при развертывании решения в блоке ctl конфигурационного файла.

Сценарий замены вышедшего из строя узла контроллера состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания нового узла контроллера. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора, компонентами решения и новым узлом контроллера

   Обеспечьте сетевую связность между устройством администратора, компонентами решения и виртуальной машиной или физическим сервером, на котором вы хотите развернуть новый узел контроллера. Вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

3. Развертывание узла контроллера

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть новый узел контроллера в режиме attended, выполните одно из следующих действий:
      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть узел контроллера в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как при использовании этого режима злоумышленникам наиболее легко перехватить ваши пароли.

      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Новый узел контроллера будет развернут вместо вышедшего из строя узла контроллера. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании узла контроллера возникает проблема сетевой связности с виртуальной машиной или физическим сервером, в консоли устройства администратора отображается ошибка и новый узел контроллера не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальную машину или физический сервер, после чего заново выполнить команду развертывания.

Обновление Kaspersky SD-WAN

Перед обновлением Kaspersky SD-WAN вам нужно убедиться, что ни одно из устройств CPE не имеет статус Ошибка. Вы можете просмотреть статус устройств CPE в таблице устройств CPE. Также перед обновлением Kaspersky SD-WAN мы рекомендуем сделать резервные копии компонентов решения:

• Если вы развернули компоненты решения на виртуальных машинах, вам нужно сделать снимки мгновенного состояния (англ. snapshots) виртуальных машин. После обновления Kaspersky SD-WAN снимки мгновенного состояния виртуальных машин можно удалить. Более подробную информацию о том, как сделать снимки мгновенного состояния виртуальных машин, можно получить из официальной документации сред виртуализации, с помощью которых вы развернули виртуальные машины.
• Если вы развернули компоненты решения на физических серверах, вам нужно сделать резервные копии жестких дисков физических серверов.

Сценарий обновления Kaspersky SD-WAN состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для обновления решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с изменениями, которые были внесены в новую версию Kaspersky SD-WAN. Вы можете просмотреть изменения в корневой директории архива установки в файле CHANGELOG.md.

   При обновлении Kaspersky SD-WAN убедитесь, что вы не потеряли файлы с паролями и SSL-сертификатами.

3. Обновление Kaspersky SD-WAN

   Обновите Kaspersky SD-WAN одним из следующих способов:

   • Если вы хотите обновить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора и сгенерированный мастер-пароль.

   • Если вы хотите обновить решение в режиме partially attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора.

   • Если вы хотите обновить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут обновлены на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном обновлении отобразится в консоли устройства администратора.

Если при обновлении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не обновляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду обновления.

После обновления решения требуется очистить историю команд Bash.

Удаление Kaspersky SD-WAN

Удаление Kaspersky SD-WAN невозможно отменить.

Чтобы удалить Kaspersky SD-WAN,

1. На устройстве администратора перейдите в распакованный архив установки.
2. Удалите Kaspersky SD-WAN одним из следующих способов:
   • Если вы хотите удалить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-teardown.yml

   • Если вы хотите удалить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-teardown.yml

Компоненты Kaspersky SD-WAN будут удалены с виртуальных машин или физических серверов. Сообщение об успешном удалении отобразится в консоли устройства администратора.

Если при удалении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не удаляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду удаления.