[Topic 275815]

Справка Kaspersky SD-WAN

Новые функции

Что нового в каждой версии Kaspersky SD-WAN

Аппаратные и программные требования

Проверьте требования к аппаратным и программным ресурсам

Начало работы

• Развертывание Kaspersky SD-WAN
• Управление инфраструктурой организации
• Управление пользователями и их правами доступа
• Мультитенантность

  
  

Мониторинг и отчеты

• Настройка журналов на устройствах CPE
• Отслеживание информации о пакетах трафика с помощью протокола NetFlow
• Диагностика устройств CPE
• Мониторинг компонентов решения
  
  

Обновление

Обновите Kaspersky SD-WAN с предыдущей версии

Дополнительные возможности

• Управление межсетевым экраном
• Качество обслуживания (QoS)
• Зеркалирование трафика
  
  

Приложения

Получите информацию о Kaspersky SD-WAN из дополнительных руководств

В начало

[Topic 237477]

О Kaspersky SD-WAN

Kaspersky SD-WAN используется для построения программно-определяемых глобальных сетей (англ. Software Defined WAN, далее сетей SD-WAN). В сетях SD-WAN автоматически определяются маршруты передачи трафика с наименьшей задержкой и наибольшей полосой пропускания. Для маршрутизации трафика применяется технология SDN (Software Defined Networking).

Технология SDN отделяет

(англ. control plane) от (англ. data plane) и позволяет управлять сетевой инфраструктурой с помощью (через веб-интерфейс или API). Благодаря отделению плоскости управления от плоскости передачи данных становится возможной виртуализация сетевых функций (англ. Network Function Virtualization, далее также NFV), в рамках которой сетевые функции, такие как межсетевые экраны, маршрутизаторы и балансировщики нагрузки, развертываются на стандартном оборудовании. Виртуализация сетевых функций в решении соответствует стандартам спецификации NFV MANO (NFV Management and Network Orchestration) Европейского института по стандартизации в области телекоммуникаций (англ. European Telecommunications Standards Institute, ETSI).

Построение сети SD-WAN не зависит от транспортных технологий. Вы можете использовать несколько соединений для передачи трафика с учетом требований приложений к пропускной способности и качеству обслуживания. Поддерживаются следующие типы нижележащей сети (англ. underlay network):

• транспортные сети MPLS;
• широкополосные каналы для подключения к интернету;
• арендуемые линии связи;
• беспроводные подключения, в том числе 3G, 4G и LTE;
• спутниковые каналы.

Решение предназначено для операторов связи (англ. service providers), а также организаций с крупной филиальной сетью, и заменяет стандартные маршрутизаторы в распределенных сетях

(далее устройства CPE).

С помощью Kaspersky SD-WAN вы можете выполнять следующие задачи:

• интеллектуально управлять трафиком;
• автоматически настраивать устройства CPE;
• централизованно управлять компонентами решения с помощью веб-интерфейса;
• выполнять мониторинг сети;
• автоматически реагировать на изменение политик качества обслуживания, чтобы соответствовать требованиям приложений.

На рисунке ниже представлена схема сети SD-WAN, которая построена с помощью решения Kaspersky SD-WAN.

testtest

Схема сети SD-WAN

В этом разделе справки Комплект поставки Аппаратные и программные требования Обеспечение безопасности Что нового

В начало

[Topic 249139]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" (https://www.kaspersky.ru) или у компаний-партнеров.

В комплект поставки входят следующие компоненты:

• Архив knaas-installer_<информация о версии> в формате TAR.GZ (далее также архив установки) для развертывания решения.
• Docker-контейнеры для развертывания компонентов Kaspersky SD-WAN:
  • knaas-ctl;
  • knaas-orc;
  • knaas-www;
  • knass-vnfm;
  • knaas-vnfm-proxy;
  • mockpnf.

  Следующие контейнеры вам нужно скачать из общего Docker-репозитория:

  • mariaDB;
  • mongo;
  • redis;
  • syslog-ng;
  • zabbix-proxy-mysql;
  • zabbix-server-mysql;
  • zabbix-web-nginx-mysql.
• Прошивки устройств CPE.
• Файл с текстом Лицензионного соглашения, в котором указано, на каких условиях вы соглашаетесь пользоваться решением.
• Файлы онлайн-справки Kaspersky SD-WAN для обеспечения возможности просмотра документации без подключения к интернету.

Состав комплекта поставки может отличаться в зависимости от региона, в котором распространяется решение.

В начало

[Topic 239105]

Аппаратные и программные требования

Kaspersky SD-WAN имеет следующие аппаратные и программные требования:

Требования к аппаратным ресурсам зависят от количества управляемых устройств CPE (см. рекомендуемые схемы развертывания ниже). При необходимости рассчитать более точные аппаратные требования для определенной схемы развертывания мы рекомендуем обратиться в Службу технической поддержки "Лаборатории Касперского".

1. Рекомендуемые вычислительные ресурсы для компонентов решения версии 2.4 и выше.

Ниже приведены поддерживаемые спецификации экземпляров оркестратора Kaspersky SD-WAN (ORC), контроллера Kaspersky SD-WAN (CTL), компонента мониторинга (MON) и утилиты Kaspersky Deployment Toolkit (KDT) при условии использования идентичных компонентов и версий ПО.

1.1. Оркестратор SD-WAN

Таблица 1. Определения типов экземпляров ORC

* Процессор без Hyper-Threading. Рекомендации:

• Xeon Silver 4314 для экземпляров с типом Small ORC.
• Xeon Gold 5318Y или Gold 5418Y или выше для экземпляров с типом Medium ORC.
• Xeon Gold 6414U или Gold 6438Y+ или выше для экземпляров с типом Large ORC.

**SSD

1.2. Контроллер SD-WAN

Таблица 2.Определения типов экземпляров CTL

* Процессор без Hyper-Threading. Рекомендации:

• Xeon Silver 4314 для экземпляров с типом Small CTL.
• Xeon Gold 5318Y или Gold 5418Y или выше для экземпляров с типом Medium CTL.
• Xeon Gold 6414U или Gold 6438Y+ или выше для экземпляров с типом Large CTL.

**SSD

1.3. Компонент мониторинга SD-WAN

Таблица 3. Определения типов экземпляров MON

* Процессор без Hyper-Threading. Рекомендации:

• Xeon Silver 4309Y для экземпляров с типом Small MON.
• Xeon Gold 5318Y или Gold 5418Y или выше для экземпляров с типом Medium MON.
• Xeon Gold 6414U или Gold 6438Y+ или выше для экземпляров с типом Large MON.

**SSD, RAID 10

1.4. SD-WAN All-in-One

Экземпляр типа SD-WAN All-in-One (AIO, "все-в-одном") включает в себя следующие компоненты администрирования: оркестратор Kaspersky SD-WAN (ORC), контроллер Kaspersky SD-WAN (CTL) и компонент мониторинга Kaspersky SD-WAN (MON). Поддерживаются следующие спецификации экземпляров:

Таблица 4. Определения типов экземпляров AIO

1.5. Хост для развертывания SD-WAN

Для развертывания и обновления управляющих компонентов решения по схемам "Высокая доступность" (High Availability) и "Распределенное развертывание" (Distributed Deployment) требуется выделенный хост с Kaspersky Deployment Toolkit (KDT).

Таблица 5. Определения типов экземпляров KDT

* Процессор без Hyper-Threading. Рекомендации:

• Xeon Silver 4309Y для экземпляров с типом KDT.

**SSD

2. Схемы развертывания системы администрирования

2.1. Автономное развертывание

Схема автономного развертывания системы администрирования Kaspersky SD-WAN предназначена только для демонстрационных целей и не рекомендуется для использования в продуктовой среде.

2.2. Развертывание с высокой доступностью (High Availability Deployment)

Для развертывания системы администрирования Kaspersky SD-WAN по схеме с высокой доступностью (High Availability, HA) требуется три экземпляра AIO (HA3). Аппаратные характеристики экземпляров приведены в таблице 4. В таблице ниже приведены рекомендации по масштабированию при развертывании по схеме HA3.

Таблица 6. Характеристики экземпляров для развертывания по схеме HA3

2.3. Распределенное развертывание (Distributed Deployment)

Для развертывания системы администрирования Kaspersky SD-WAN по схеме распределенного развертывания требуется три выделенных экземпляра ORC, три выделенных экземпляра CTL, три выделенных экземпляра MON и один хост KDT.

Таблица 7. Характеристики экземпляров для развертывания

3. Требования к сторонним решениям

Для развертывания Kaspersky SD-WAN необходимы следующие сторонние решения:

• Система мониторинга Zabbix версии 5.0.26 и 6.0.0. Более подробную информацию вы можете получить из официальной документации решения Zabbix.
• Облачная платформа Docker версии 1.5 или выше для развертывания Docker-контейнеров компонентов решения. Более подробную информацию вы можете получить из официальной документации облачной платформы Docker.
• Сервис OpenStreetMap для просмотра топологии транспортных сервисов поверх карты. Если инфраструктура вашей организации не предусматривает выхода в интернет, вы можете использовать офлайн-карты. Офлайн карты занимают дополнительное дисковое пространство:
  • офлайн-карта (central-fed-district-latest.osm.pbf) занимает около 100 ГБ;
  • данные для геокодинга занимают около 10 ГБ.

  Более подробную информацию вы можете получить из официальной документации сервиса OpenStreetMap.

Требования к операционным системам

Поддерживаются следующие 64-разрядные операционные системы:

• Ubuntu версии 22.04 LTS.
• Astra Linux версии 1.7 (уровень защищенности: "Орел").
• РЕД ОС 7.3 "МУРОМ".

Требования к каналам связи между узлами компонентов решения

При развертывании Kaspersky SD-WAN вы можете развернуть несколько узлов компонентов решения. Существуют следующие требования к каналам связи между узлами компонентов решения:

• Требования к каналам связи между узлами контроллера:
  • пропускная способность – 1 Гбит/сек.;
  • RTT (Round Trip Time) – не более 200 мс;
  • потеря пакетов – 0%.
• Требования к каналам связи между узлами базы данных MongoDB:
  • пропускная способность – 1 Гбит/сек.;
  • RTT – не более 50 мс;
  • потеря пакетов – 0%.
• Требования к каналам связи между узлами базы данных Redis:
  • пропускная способность – 1 Мбит/сек.;
  • RTT – не более 50 мс;
  • потеря пакетов – 0%.

Требования к браузерам

Поддерживаются следующие браузеры для работы с веб-интерфейсом оркестратора:

• Google Chrome версии 100 и выше.
• Firefox версии 100 и выше.
• Microsoft Edge версии 100 и выше.
• Opera версии 90 и выше.
• Safari версии 15 и выше.

Операционная система:

Ubuntu версии 20.04 или 22.04 LTS.

РЕД ОС 8.

Операционная система должна поддерживать доступ в интернет или содержать монтированный образ диска.

4 ядра виртуального процессора.

8 ГБ оперативной памяти.

32 ГБ свободного дискового пространства.

Имя и пароль учетных записей root должны совпадать на устройстве администратора и виртуальных машинах или физических серверах, на которых вы хотите развернуть компоненты решения. //Скрыл, потом удалим или перепишем

Требования к устройствам CPE

Поддерживаются следующие модели устройств CPE:

• KESR-M1-R-5G-2L-W.
• KESR-M2-K-5G-1L-W.
• KESR-M2-K-5G-1S.
• KESR-M3-K-4G-4S.
• KESR-M4-K-2X-1CPU.
• KESR-M4-K-8G-4X-1CPU.
• KESR-M5-K-8G-4X-2CPU.
• KESR-M5-K-8X-2CPU.

Устройства CPE модели KESR основаны на архитектурах процессоров x86 (Intel 80x86) и MIPS (Microprocessor without Interlocked Pipeline Stages).

На устройствах CPE модели KESR M3–M5 установлены сетевые карты компании Intel, совместимые с SFP-трансиверами компании Intel. Более подробную информацию о поддерживаемых SFP-трансиверах можно получить с помощью инструмента Intel Product Compatibility Tool (на территории Российской Федерации ссылка доступна только через VPN). При работе с инструментом Intel Product Compatibility Tool вам нужно выбрать одну из следующих категорий продукта:

• 500 Series – для просмотра SFP-трансиверов, совместимых с устройствами CPE модели KESR M3.
• 700 Series – для просмотра SFP-трансиверов, совместимых с устройствами CPE моделей KESR M4–M5.

Специалисты "Лаборатории Касперского" протестировали работоспособность устройств CPE при предоставлении услуги L3 VPN (см. таблицу ниже). На тестируемых устройствах не использовалась технология DPI (Deep Packet Inspection) и было выключено шифрование трафика.

Более подробная информация о характеристиках устройств CPE содержится на официальной странице решения.

Вы можете развертывать устройства uCPE на серверах с архитектурами процессоров x86 (Intel 80x86) и ARM64.

Требования к устройствам vCPE

В комплекте поставки содержатся следующие прошивки для развертывания устройств vCPE:

• vKESR-M1.
• vKESR-M2.
• vKESR-M3.
• vKESR-M4.

Для устройств vCPE поддерживаются следующие среды виртуализации:

• Среда виртуализации VMware версии 7.0 и выше.
• Среда виртуализации KVM с версией ядра 5.15 и выше.

  Поддерживается только оригинальная среда виртуализации KVM без дополнительных средств оркестрации.

Требования к виртуальным ресурсам для развертывания устройств vCPE описаны в таблице ниже.

При обновлении Kaspersky SD-WAN с версии 2.2 до 2.3 вам нужно привести ранее развернутые устройства vCPE к текущим требованиям, после чего вы сможете обновить устройства vCPE, используя прошивки vKESR-M1–5.

В начало

[Topic 239165]

Обеспечение безопасности

Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях передачи данных, управления сетью и оркестрации. Степень безопасности всего решения определяется степенью безопасности каждой из этих плоскостей, а также защищенностью взаимодействия между ними. В каждой плоскости происходят следующие процессы:

• аутентификация и авторизация пользователей;
• использование безопасных протоколов управления;
• шифрование управляющего трафика;
• безопасное подключение устройств CPE.

Безопасные протоколы управления

Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика компонентам (см. таблицу ниже).

Безопасное подключение устройств CPE

Решение использует следующие механизмы безопасного подключения устройств CPE:

• Обнаружение устройств CPE с помощью идентификаторов DPID (datapath identifier).
• Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Включено или Выключено. Выключенное устройство CPE необходимо включить, убедившись, что оно установлено на площадке.
• Двухфакторная аутентификация.

Использование виртуальных сетевых функций

Вы можете обеспечить дополнительный уровень безопасности с помощью виртуальных сетевых функций, развертываемых в центре обработки данных и/или на

. Например, трафик может быть направлен от устройства CPE к виртуальной сетевой функции, которая работает как межсетевой экран или прокси-сервер. Виртуальные сетевые функции могут выполнять следующие функции защиты сети SD-WAN:

• межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
• защита от атак DDoS (Distributed Denial of Service);
• системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
• антивирус;
• антиспам;
• система фильтрации веб-адресов и контента;
• система защиты от утечек конфиденциальных данных DLP (Data Loss Prevention);
• веб-прокси Secure Web Proxy.

В начало

[Topic 248911]

Что нового

В Kaspersky SD-WAN появились следующие возможности и доработки:

• Поддержана интеграция с Kaspersky KSC/OSMP (с некоторыми ограничениями; см. раздел Известные ограничения ниже).
• Улучшено масштабирование CPE на кластер контроллеров благодаря архитектуре Active-Active Multi-Master.
• Добавлена поддержка правил маршрутизации на основе политик (Policy-based Routing).
• Поддержано статическое резервирование DHCP.
• Добавлена возможность связности CPE с контроллером и оркестратором через порт LAN.
• Добавлена поддержка BGP для дополнительных таблиц маршрутизации VRF.
• Добавлена возможность сброса CPE до параметров по умолчанию с помощью кнопки (для моделей KESR M1-M3).
• Улучшен графический интерфейс оркестратора за счет замены модальных окон на боковые.
• Улучшен механизм Link State Control благодаря асинхронному оповещению контроллера об отказе или восстановлении туннельных соединений.
• В метаданные прошивки добавлен ее тип (OVS/SWOS).
• Индикация состояния связности с контроллером/оркестратором с помощью лампочки на панели CPE (только для специальных исполнений устройств).
• Резервирование выдачи MAC адресов для overlay-интерфейсов.
• Добавлен механизм приоритизации пакетов OpenFlow.
• Оптимизирован просмотр туннелей между CPE и контроллерами за счет отображения полной информации о соединениях, включая топологические признаки NAT и WAN Disjoint.
• Метрика маршрута для сетевых интерфейсов с псевдонимами sdwan0 – sdwan3 назначается автоматически: наибольший приоритет имеет интерфейс sdwan0, наименьший – sdwan3. При этом значение Метрика маршрута заблокировано для изменений вручную у интерфейсов с псевдонимами sdwan0 – sdwan9.

Известные ограничения

Kaspersky SD-WAN имеет следующие ограничения:

• Ограничения при интеграции решения с Kaspersky KSC/OSMP:
  • доступно только для новых инсталляций;
  • не поддерживается ssh-консоль;
  • не поддерживается vnc-консоль.
• Правила межсетевого экрана не работают в созданных пользователями виртуальных таблицах маршрутизации.
• При изменении статических маршрутов перезагружается демон FRR.
• Потоки NetFlow не распределяются по сетевым интерфейсам.

В начало

[Topic 237688]

Архитектура решения

Kaspersky SD-WAN содержит следующие основные компоненты:

• Оркестратор

  Контролирует инфраструктуру решения, выполняет функции оркестратора NFV (NFVO), а также управляет сетевыми сервисами и распределенными менеджерами VNF (VNFM). Вы можете управлять оркестратором с помощью веб-интерфейса и REST API при использовании внешних северных (англ. northbound) систем.

• Контроллер

  Централизованно управляет наложенной сетью:

  • строит сетевую топологию;
  • создает транспортные сервисы;
  • управляет устройствами CPE по протоколу OpenFlow;
  • распределяет трафик между соединениями;
  • обеспечивает мониторинг соединений и автоматически переключает трафик на резервное соединение, если основное соединение выходит из строя.

  Для развертывания контроллера вам нужно развернуть физическую сетевую функцию контроллера, которая содержится в архиве установки. Контроллер управляется оркестратором.

• Устройства CPE

  Устанавливаются на удаленных площадках, передают трафик и образуют SDN-фабрику в виде наложенной сети. Вы можете назначить устройству CPE роль шлюза SD-WAN или стандартного устройства CPE. Шлюзы SD-WAN строят соединения со всеми стандартными устройствами CPE и другими шлюзами SD-WAN. Стандартные устройства CPE строят соединения только со шлюзами SD-WAN. По умолчанию всем устройствам CPE назначена роль стандартных устройств CPE.

  Если вы хотите, чтобы между двумя стандартными устройствами CPE было построено соединение, вам нужно назначить им одинаковый топологический тег. Вы можете сделать стандартное устройство CPE транзитным, чтобы другие устройства CPE могли строить через него соединения.

• VNFM (Virtual Network Function Manager)

  Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, плейбуков Ansible, скриптов и атрибутов Cloud-init.

При использовании виртуальных сетевых функций в архитектуру решения входит менеджер виртуальной инфраструктуры (Virtual Infrastructure Manager, далее также VIM), который управляет вычислительными и сетевыми ресурсами, а также ресурсами хранения в рамках инфраструктуры NFV. VIM связывает виртуальные сетевые функции с помощью виртуальных соединений, подсетей и портов. В качестве VIM используется облачная платформа OpenStack.

Kaspersky SD-WAN имеет распределенную микросервисную архитектуру на основе Docker-контейнеров (см. рисунок ниже). Контроллер может состоять из одного, трех или пяти узлов. Узлы контроллера можно развернуть на отдельных виртуальных машинах или физических серверах, чтобы обеспечить отказоустойчивость. Вы можете указать виртуальные машины или физические сервера для развертывания узлов контроллера при развертывании решения в блоке ctl конфигурационного файла.

Архитектура Kaspersky SD-WAN

В начало

[Topic 273495]

Развертывание Kaspersky SD-WAN

Вы можете развернуть Kaspersky SD-WAN с помощью архива установки knaas-installer_<информация о версии>, который содержится в комплекте поставки. Перед выполнением этого сценария вам нужно составить схему развертывания решения. При возникновении проблем с составлением схемы развертывания мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Сценарий развертывания решения состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора компонентами решения

   Обеспечьте сетевую связность между устройством администратора и виртуальными машинами или физическими серверами, на которых вы хотите развернуть компоненты Kaspersky SD-WAN. Если вы планируете развернуть несколько узлов компонентов решения, вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

   Виртуальные машины или физические серверы необходимо развернуть в доверенном сетевом сегменте, чтобы избежать компрометации передаваемого трафика.

3. Ручная генерация паролей

   При необходимости вручную сгенерируйте пароли для обеспечения безопасности компонентов Kaspersky SD-WAN и их SSL-сертификатов.

4. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с выбранной схемой развертывания. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях /inventory/external/pnf и /inventory/external/vnf архива установки.

5. Изменение графических элементов веб-интерфейса оркестратора

   При необходимости измените графические элементы веб-интерфейса оркестратора. Например, вы можете изменить изображение, которое отображается на фоне, когда возникает ошибка при входе в веб-интерфейс оркестратора.

6. Развертывание Kaspersky SD-WAN

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть Kaspersky SD-WAN в режиме attended, выполните одно из следующих действий:
      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть Kaspersky SD-WAN в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как в противном случае злоумышленники могут перехватить ваши пароли.

      • Если вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут развернуты на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или с одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальные машины или физические серверы, после чего заново выполнить команду развертывания.

В этом разделе Резервирование компонентов решения Об архиве установки О режимах выполнения действий attended, unattended и partially attended Подготовка устройства администратора Работа с паролями Настройка конфигурационного файла Изменение графических элементов веб-интерфейса оркестратора Замена вышедшего из строя узла контроллера Обновление Kaspersky SD-WAN Удаление Kaspersky SD-WAN

См. также Сценарий: развертывание виртуальной сетевой функции Сценарий: развертывание физической сетевой функции

В начало

[Topic 239027]

Резервирование компонентов решения

Развернуть всё | Свернуть всё

О схемах резервирования компонентов решения

Kaspersky SD-WAN поддерживает две схемы развертывания компонентов решения:

• N+1 – вы развертываете два узла компонента решения. Если один узел выходит из строя, работу компонента решения обеспечивает второй узел.
• 2N+1 – вы развертываете несколько узлов компонентов решения. Один узел является основным, а другие – второстепенными. Если основной узел выходит из строя, его место занимает случайно выбранный второстепенный узел. Такая схема резервирования позволяет компонентам решения сохранять работоспособность, даже когда происходит несколько аварий подряд.

В таблице ниже представлены компоненты решения и доступные для них схемы развертывания.

Вы можете указать, сколько узлов развертывается для компонентов решения в конфигурационном файле.

Когда вы настраиваете параметры развертывания узлов базы данных MongoDB или контроллера в соответствии со схемой развертывания 2N+1, последний указанный вами узел становится узлом-арбитром. Узел-арбитр связан с другими узлами и используется для выбора основного узла. Узел, который потерял связь с узлом-арбитром, переходит в режим ожидания. Один из узлов, которые сохранили связь с узлом-арбитром, остается или становится основным узлом. Узел-арбитр не может стать основным узлом и не хранит данные.

Сценарии выхода из строя узлов компонентов решения

На рисунке ниже изображена схема Kaspersky SD-WAN, развернутого на трех виртуальных машинах в центре обработки данных. В схеме используются следующие условные обозначения:

• www – frontend-часть решения;
• orc – оркестратор;
• mongo – база данных MongoDB;
• redis-m – сервер Redis replica;
• redis-s – система Redis Sentinel;
• vnfm-proxy – прокси-менеджер виртуальных сетевых функций;
• vnfm – менеджер виртуальных сетевых функций;
• ctl – контроллер и его база данных;
• zabbix-www – frontend-часть системы мониторинга Zabbix;
• zabbix-proxy – сервер Zabbix-прокси;
• zabbix-srv – сервер Zabbix;
• zabbix-db – база данных системы мониторинга Zabbix;
• syslog – Syslog-сервер.

Пользователи и устройства CPE получают доступ к веб-интерфейсу оркестратора и веб-интерфейсу системы мониторинга Zabbix с помощью виртуального IP-адреса. Виртуальный IP-адрес назначен виртуальной машине 1.

Решение, развернутое на трех виртуальных машинах

В рамках представленной схемы развертывания возможны следующие сценарии аварийных ситуаций:

• Выход из строя виртуальной машины 1 или ее соединения.

  При выходе из строя виртуальной машины 1 или ее соединения решение сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Виртуальный IP-адрес назначается виртуальной машине 2.
  • Узел frontend-части решения www-1 недоступен, www-2 доступен. Веб-интерфейс оркестратора отображается в браузере.
  • Узел оркестратора orc-1 недоступен, orc-2 доступен. Backend-часть решения работает, пользователи могут войти в веб-интерфейс оркестратора и использовать его.
  • Узел базы данных MongoDB mongo-1 недоступен, mongo-2 и mongo-3 доступны, mongo-2 становится основным узлом, так как mongo-3 является узлом-арбитром и не может стать основным узлом. Оркестратор продолжает использовать базу данных MongoDB.
  • Состояние базы данных Redis:
    • Узел сервера Redis replica redis1-m недоступен, redis2-m и redis3-m доступны.
    • Узел системы Redis Sentinel redis1-s недоступен, redis2-s и redis3-s доступны, redis2-s становится основным узлом и случайным образом назначает узел сервера Redis replica redis2-m или redis3-m основным узлом.

    Оркестратор продолжает использовать базу данных Redis.

  • Состояния менеджера виртуальных сетевых функций:
    • Узел прокси-менеджера виртуальных сетевых функций vnfm-proxy-1 недоступен, vnfm-proxy-2 доступен.
    • Узел менеджера виртуальных сетевых функций vnfm-1 недоступен, vnfm-2 доступен.

    SSH-консоли компонентов решения работают.

  • Узел контроллера ctl-1 недоступен, ctl-2 и ctl-3 доступны, ctl-2 становится основным узлом, так как ctl-3 является узлом-арбитром и не может стать основным узлом. Сохраняется сетевая связность между устройствами CPE.
  • Состояние системы мониторинга Zabbix:
    • Узел frontend-части решения zabbix-www-1 недоступен, zabbix-www-2 доступен.
    • Узел сервера Zabbix-прокси zabbix-proxy-1 недоступен, zabbix-proxy-2 доступен.
    • Узел сервера Zabbix zabbix-srv-1 недоступен, zabbix-srv-2 доступен.
    • Узел базы данных системы мониторинга Zabbix zabbix-db-1 недоступен, zabbix-db-2 доступен.

    Система мониторинга Zabbix работает.

• Выход из строя виртуальной машины 2 или 3, или ее соединения.

  При выходе из строя виртуальной машины 2 или 3, или ее соединения узлы компонентов решения, развернутые на виртуальной машине 1, остаются основными и решение сохраняет работоспособность.

• Одновременный выход из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений решение не сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:

  • Веб-интерфейс оркестратора не отображается в браузере. Пользователи не могут войти в веб-интерфейс оркестратора и использовать его.
  • Система мониторинга Zabbix прекращает работу.
  • Сохраняется сетевая связность между устройствами CPE и подключенными к ним сетевыми устройствами, трафик продолжает передаваться.
  • Сохраняется сетевая связность в рамках P2P-сервисов и TAP-сервисов.
  • Сохраняется сетевая связность в рамках P2M-сервисов и M2M-сервисов для установленных сессий. Для новых сессий сетевая связность сохраняется, если при создании P2P-сервиса или M2M-сервиса в раскрывающемся списке Режим изучения MAC вы выбрали значение Learn and flood.
  • Устройства CPE используют механизм компенсации реордеринга (англ. reordering) для снижения количества дублированных пакетов на сетевых устройствах, подключенных к устройствам CPE.
  • Нагрузка на устройства CPE и сеть SD-WAN возрастает соразмерно количеству устройств CPE и соединений.

  Если соединения восстанавливаются, решение также восстанавливается и продолжает работать в нормальном режиме.

  При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3 происходит потеря конфигурации компонентов решения. Для восстановления конфигурации компонентов решения вы можете обратиться в Kaspersky Professional Services.

• Одновременный выход из строя виртуальных машин 1 и 2.

  При одновременном выходе из строя виртуальных машин 1 и 2 происходит потеря конфигурации компонентов решения без возможности восстановления, так как на виртуальной машине 3 развернуты узлы-арбитры, которые не хранят данные. Для предотвращения такой ситуации мы рекомендуем развертывать базы данных и контроллеры на отдельных виртуальных машинах или физических серверах и делать регулярные резервные копии.

В начало

[Topic 274086]

Об архиве установки

Архив установки knaas-installer_<информация о версии> имеет формат TAR и используется для развертывания решения. Вы можете скачать архив установки из корневой директории комплекта поставки. Архив установки имеет следующую структуру:

Мы не рекомендуем изменять системные файлы, так как это может привести к ошибкам при развертывании решения.

• ansible.cfg – системный файл с параметрами Ansible.
• CHANGELOG.md – журнал изменений файлов в формате YAML.
• /docs – документация по использованию архива установки.
• /images – образы компонентов решения.
• /inventory:
  • /external:
    • /pnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде физической сетевой функции.
    • /vnf – примеры конфигурационных файлов для типовых схем развертывания решения с контроллером в виде виртуальной сетевой функции.
• /generic – общие системные файлы.
• /knaas – системные файлы с плейбуками для развертывания решения.
• /oem – графические элементы по умолчанию веб-интерфейса оркестратора.
• /pnfs – физические сетевые функции для развертывания одного, трех или пяти узлов контроллера.
• README.md – инструкция по развертыванию решения с помощью архива установки.
• requirements.txt – системный файл с требованиями для Python.

См. также Настройка конфигурационного файла Сценарий: развертывание экземпляра SD-WAN для тенанта

В начало

[Topic 275281]

О режимах выполнения действий attended, unattended и partially attended

Когда вы выполняете действия на устройстве администратора при развертывании Kaspersky SD-WAN, вам может потребоваться ввести пароль учетной записи root, а также мастер-пароль. Способ введения паролей определяется режимом, в котором вы выполняете действие. Поддерживаются следующие режимы выполнения действий:

• attended – действие выполняется с привлечением сотрудника. При выполнении действия вам нужно вручную ввести пароль учетной записи root и мастер-пароль. Это самый безопасный режим, при использовании которого ни один из паролей не сохраняется на устройстве администратора.
• unattended – действие выполняется без привлечения сотрудника. При выполнении действия пароль учетной записи root и мастер-пароль вводятся автоматически. В этом режиме вы можете проводить автоматизированные тесты.

  Мы рекомендуем использовать этот режим только в доверенной среде, так как в противном случае злоумышленники могут перехватить ваши пароли.

• partially attended – действие выполняется с частичным привлечением сотрудника. При выполнении действия вам нужно ввести пароль пользователя root, а мастер-пароль вводится автоматически.

См. также Работа с паролями

В начало

[Topic 273496]

Подготовка устройства администратора

Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

Если при подготовке устройства администратора у вас возникают проблемы, мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского".

Чтобы подготовить устройство администратора:

1. Убедитесь, что устройство администратора соответствует аппаратным и программным требованиям.
2. Убедитесь, что на устройстве администратора и виртуальных машинах или физических серверах, на которых вы хотите развернуть компоненты Kaspersky SD-WAN, используется одинаковая учетная запись root. После развертывания решения вы можете использовать другую учетную запись root на виртуальных машинах или физических серверах.
3. Скачайте архив установки knaas-installer_<информация о версии> из корневой директории комплекта поставки и распакуйте архив установки на устройстве администратора.
4. Перейдите в распакованный архив установки и подготовьте устройство администратора:
   1. Убедитесь, что установлен инструмент управления пакетами pip, выполнив команду:

      python3 -m pip -V

   2. При отсутствии инструмента управления пакетами pip выполните одно из следующих действий:
      • Если на устройстве администратора установлена операционная система Ubuntu, выполните команду:

        apt-get install python3-pip

      • Если на устройстве администратора установлена операционная система РЕД ОС 8, выполните команду:

        yum install python3-pip

   3. Установите инструмент Ansible и его зависимости, выполнив команду:

      python 3 -m pip install -U --user -r requirements.txt

   4. Обновите переменную PATH, выполнив команды:
      1. echo 'export PATH=$PATH:$HOME/.local/bin' >> ~/.bashrc
      2. source ~/.bashrc
   5. Убедитесь, что инструмент Ansible готов к использованию, выполнив команду:

      ansible --version

   6. Установите на устройстве администратора пакеты операционной системы для развертывания Kaspersky SD-WAN, выполнив команду:

      ansible-playbook -K knaas/utilities/toolserver_prepare/bootstrap.yml

      При выполнении команды введите пароль учетной записи root.

   Вам нужно выполнить этот шаг только при изначальном развертывании решения.

5. Убедитесь, что устройство администратора готово к использованию:
   1. Перезагрузите устройство администратора.
   2. Перейдите в распакованный архив установки и запустите автоматическую проверку устройства администратора, выполнив команду:

      ansible-playbook knaas/utilities/pre-flight.yml

6. Если вы планируете развернуть Kaspersky SD-WAN на нескольких виртуальных машинах или физических серверах, выполните следующие действия:
   1. Убедитесь, что на устройстве администратора сгенерированы SSH-ключи. Если SSH-ключи не сгенерированы, сгенерируйте их.
   2. Поместите SSH-ключи на виртуальные машины или физические серверы, выполнив команду:

      ssh-copy-id user@<IP-адрес виртуальной машины или физического сервера>

   Если вы развертываете демонстрационный стенд Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном, пропустите этот шаг.

Устройство администратора будет подготовлено к развертыванию Kaspersky SD-WAN.

См. также Замена вышедшего из строя узла контроллера Обновление Kaspersky SD-WAN Удаление Kaspersky SD-WAN

В начало

[Topic 273591]

Работа с паролями

Безопасность развернутых компонентов Kaspersky SD-WAN обеспечивают пароли. Вы можете сгенерировать пароли вручную. Если вы не генерируете пароли вручную, они генерируются автоматически при развертывании решения.

Пароли содержатся в следующих файлах:

• keystore.yml – пароли компонентов Kaspersky SD-WAN и их SSL-сертификатов.
• vault_password.txt – мастер-пароль.

Мы рекомендуем хранить файлы с паролями в защищенной директории, так как с их помощью злоумышленники могут получить доступ к развернутому решению.

После развертывания сгенерированные пароли автоматически помещаются в Docker-контейнеры компонентов Kaspersky SD-WAN. При взаимодействии друг с другом компоненты решения обмениваются паролями.

В этом разделе Ручная генерация паролей Изменение паролей

В начало

[Topic 273556]

Ручная генерация паролей

Чтобы вручную сгенерировать пароли:

1. Создайте директорию /passwords на устройстве администратора. Вам нужно указать путь к созданной директории в блоке external конфигурационного файла с помощью параметра vault_password_dirname.
2. Создайте файл keystore.yml и укажите в нем пароли с помощью следующих параметров:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль используется оркестратором.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Создайте файл vault_password.txt и укажите в нем мастер-пароль.
4. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут сгенерированы и зашифрованы.

См. также О режимах выполнения действий attended, unattended и partially attended Замена вышедшего из строя узла контроллера

В начало

[Topic 273592]

Изменение паролей

Чтобы изменить пароли:

1. Расшифруйте файл keystore.yml:
   • Если вы хотите расшифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault decrypt --vault-password-file vault_password.txt keystore.yml

   • Если вы хотите расшифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

2. Измените следующие пароли в файле keystore.yml:
   • ZABBIX_DB_SECRET – Root-пароль базы данных системы мониторинга Zabbix.
   • MONGO_ADMIN_SECRET – пароль администратора базы данных MongoDB.
   • MONGO_USER_SECRET – пароль пользователя базы данных MongoDB. Этот пароль используется оркестратором.
   • CTL_CERT_SECRET – пароль SSL-сертификата контроллера.
   • ORC_CERT_SECRET – пароль SSL-сертификата оркестратора.
   • ORC_ENC_SECRET – пароль для шифрования конфиденциальных данных в базе данных MongoDB. Минимальная длина: 32 символа.
   • VNFM_CERT_SECRET – пароль SSL-сертификата VNFM.

   Мы рекомендуем убедиться, что длина всех паролей, кроме пароля, указанного с помощью параметра ORC_ENC_SECRET, составляет хотя бы 16 символов.

3. Зашифруйте файл keystore.yml:
   • Если вы хотите зашифровать файл keystore.yml в режиме attended, выполните команду:

     ansible-vault encrypt --ask-vault-pass keystore.yml

   • Если вы хотите зашифровать файл keystore.yml в режиме unattended, выполните команду:

     ansible-vault encrypt --vault-password-file vault_password.txt keystore.yml

Пароли будут изменены и зашифрованы.

В начало

[Topic 273509]

Настройка конфигурационного файла

Вам нужно указать параметры развертывания Kaspersky SD-WAN в конфигурационном файле в формате YAML на устройстве администратора. Путь к конфигурационному файлу необходимо указать при развертывании решения. Вы можете использовать примеры конфигурационных файлов для типовых схем развертывания, которые содержатся в директориях inventory/external/pnf и inventory/external/vnf архива установки.

Конфигурационный файл состоит из двух основных блоков:

• nodes – виртуальные машины или физические серверы для развертывания компонентов Kaspersky SD-WAN. При развертывании решения на виртуальных машинах или физических серверах автоматически генерируются правила iptables для взаимодействия компонентов решения друг с другом.
• external – параметры развертывания Kaspersky SD-WAN.

Мы не рекомендуем изменять значения параметров по умолчанию.

Блок nodes имеет следующую структуру:

Блок external имеет следующую структуру:

Пример конфигурационного файла

См. также Подготовка устройства администратора Замена вышедшего из строя узла контроллера Обновление Kaspersky SD-WAN Сценарий: развертывание экземпляра SD-WAN для тенанта

В начало

[Topic 273937]

Изменение графических элементов веб-интерфейса оркестратора

Чтобы изменить графические элементы веб-интерфейса оркестратора:

1. Настройте frontend-часть решения в блоке www конфигурационного файла.
2. На устройстве администратора перейдите в директорию /oem распакованного архива установки. В этой директории содержатся графические элементы по умолчанию веб-интерфейса оркестратора. Вы можете заменить следующие файлы:
   • favicon.png и favicon.svg ‑ значок, который отображается на вкладке с веб-интерфейсом оркестратора.

     

   • login_logo.svg – значок, который отображается в верхней части окна при входе в веб-интерфейс оркестратора.

     

   • logo_activation.svg ‑ значок, который отображается при автоматической регистрации устройства CPE.

     

   • logo.svg и title.svg ‑ значок и название, которые отображаются в верхней части навигационной панели веб-интерфейса оркестратора.

     

См. также Интерфейс решения

В начало

[Topic 287139]

Замена вышедшего из строя узла контроллера

Вы можете развернуть новый узел контроллера для замены узла контроллера, который вышел из строя без возможности восстановления. Если узел контроллера вышел из строя, находясь в кластере с другими узлами, новый узел контроллера будет автоматически добавлен в этот кластер и синхронизирован с существующими узлами.

Перед выполнением этого сценария вам нужно убедиться, что IP-адрес виртуальной машины или физического сервера для развертывания нового узла контроллера совпадает с IP-адресом виртуальной машины или физического сервера, на котором был развернут вышедший из строя узел контроллера. Вы указали IP-адреса виртуальных машин или физических серверов для развертывания узлов контроллера при развертывании решения в блоке ctl конфигурационного файла.

Сценарий замены вышедшего из строя узла контроллера состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для развертывания нового узла контроллера. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Обеспечение сетевой связности между устройством администратора, компонентами решения и новым узлом контроллера

   Обеспечьте сетевую связность между устройством администратора, компонентами решения и виртуальной машиной или физическим сервером, на котором вы хотите развернуть новый узел контроллера. Вам нужно убедиться, что каналы связи между виртуальными машинами или физическими серверами соответствуют аппаратным и программным требованиям.

   Виртуальную машину или физический сервер необходимо развернуть в доверенном сетевом сегменте, чтобы избежать компрометации передаваемого трафика.

3. Развертывание узла контроллера

   Выполните следующие действия на устройстве администратора:

   1. Примите Лицензионное соглашение, выполнив команду:

      export KNAAS_EULA_AGREED="true"

   2. Перейдите в распакованный архив установки.
   3. Если вы хотите развернуть новый узел контроллера в режиме attended, выполните одно из следующих действий:
      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

        При выполнении команды введите пароль учетной записи root и сгенерированный мастер-пароль.

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-install.yml

   4. Если вы хотите развернуть новый узел контроллера в режиме unattended, выполните одно из следующих действий:

      Мы рекомендуем использовать этот режим только в доверенной среде, так как в противном случае злоумышленники могут перехватить ваши пароли.

      • Если при развертывании решения вы сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

      • Если при развертывании решения вы не сгенерировали вручную пароли, выполните команду:

        ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-install.yml

Новый узел контроллера будет развернут вместо вышедшего из строя узла контроллера. Сообщение об успешном развертывании отобразится в консоли устройства администратора.

Если при развертывании узла контроллера возникает проблема сетевой связности с виртуальной машиной или физическим сервером, в консоли устройства администратора отображается ошибка и новый узел контроллера не развертывается. В этом случае вам нужно восстановить сетевую связность, очистить виртуальную машину или физический сервер, после чего заново выполнить команду развертывания.

См. также О режимах выполнения действий attended, unattended и partially attended

В начало

[Topic 274129]

Обновление Kaspersky SD-WAN

ФУНКЦИОНАЛЬНОСТЬ ОБНОВЛЕНИЙ (ВКЛЮЧАЯ ОБНОВЛЕНИЯ АНТИВИРУСНЫХ СИГНАТУР И ОБНОВЛЕНИЯ КОДОВОЙ БАЗЫ), А ТАКЖЕ ФУНКЦИОНАЛЬНОСТЬ KSN МОГУТ БЫТЬ НЕДОСТУПНЫ В ПРОГРАММНОМ ОБЕСПЕЧЕНИИ НА ТЕРРИТОРИИ США.

Перед обновлением Kaspersky SD-WAN вам нужно убедиться, что ни одно из устройств CPE не имеет статус Ошибка. Вы можете посмотреть статус устройств CPE в таблице устройств CPE. Также мы рекомендуем сделать резервные копии компонентов решения:

• Если вы развернули компоненты решения на виртуальных машинах, вам нужно сделать снимки мгновенного состояния (англ. snapshots) виртуальных машин. После обновления Kaspersky SD-WAN снимки мгновенного состояния виртуальных машин можно удалить. Более подробную информацию о том, как сделать снимки мгновенного состояния виртуальных машин, можно получить из официальной документации сред виртуализации, с помощью которых вы развернули виртуальные машины.
• Если вы развернули компоненты решения на физических серверах, вам нужно сделать резервные копии жестких дисков физических серверов. При использовании RAID-контроллера (Redundant Array of Independent Disks) информацию о том, как сделать резервные копии жестких дисков вы можете получить из официальной документации производителя RAID-контроллера.

Сценарий обновления Kaspersky SD-WAN состоит из следующих этапов:

1. Подготовка устройства администратора

   Подготовьте устройство администратора для обновления решения. Устройство администратора может быть локальной или удаленной виртуальной машиной, а также персональным компьютером. При развертывании демонстрационного стенда Kaspersky SD-WAN в соответствии со схемой развертывания все-в-одном в качестве устройства администратора необходимо использовать виртуальную машину.

2. Настройка конфигурационного файла

   Настройте конфигурационный файл в соответствии с изменениями, которые были внесены в новую версию Kaspersky SD-WAN. Вы можете посмотреть изменения в корневой директории архива установки в файле CHANGELOG.md.

   При обновлении Kaspersky SD-WAN убедитесь, что вы не потеряли файлы с паролями и SSL-сертификатами.

3. Принятие лицензионного соглашениы

   Примите Лицензионное соглашение, выполнив команду:

   export KNAAS_EULA_AGREED="true"

4. Обновление Kaspersky SD-WAN

   Обновите Kaspersky SD-WAN одним из следующих способов:

   • Если вы хотите обновить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --ask-vault-pass knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора и сгенерированный мастер-пароль.

   • Если вы хотите обновить решение в режиме partially attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

     При выполнении команды введите пароль учетной записи root на устройстве администратора.

   • Если вы хотите обновить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" --vault-password-file ./passwords/vault_password.txt knaas/knaas-install.yml

Компоненты Kaspersky SD-WAN будут обновлены на виртуальных машинах или физических серверах, которые вы указали в конфигурационном файле. Сообщение об успешном обновлении отобразится в консоли устройства администратора.

Если при обновлении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не обновляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду обновления.

После обновления решения требуется очистить историю команд Bash.

См. также О режимах выполнения действий attended, unattended и partially attended

В начало

[Topic 274132]

Удаление Kaspersky SD-WAN

Удаление Kaspersky SD-WAN невозможно отменить.

Чтобы удалить Kaspersky SD-WAN,

1. На устройстве администратора перейдите в распакованный архив установки.
2. Удалите Kaspersky SD-WAN одним из следующих способов:
   • Если вы хотите удалить решение в режиме attended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -K knaas/knaas-teardown.yml

   • Если вы хотите удалить решение в режиме unattended, выполните команду:

     ansible-playbook -i inventory/generic -e "@<путь к конфигурационному файлу>" -e "@inventory/external/images.yml" -e "ansible_become_password=yourSudoPassword" knaas/knaas-teardown.yml

Компоненты Kaspersky SD-WAN будут удалены с виртуальных машин или физических серверов. Сообщение об успешном удалении отобразится в консоли устройства администратора.

Если при удалении компонентов решения возникает проблема сетевой связности с одной из виртуальных машин или одним из физических серверов, в консоли устройства администратора отображается ошибка и решение не удаляется. В этом случае вам нужно восстановить сетевую связность, после чего заново выполнить команду удаления.

См. также О режимах выполнения действий attended, unattended и partially attended

В начало

[Topic 239565]

Вход и выход из веб-интерфейса оркестратора

Вход в веб-интерфейс оркестратора

Чтобы войти в веб-интерфейс оркестратора:

1. В адресной строке браузера введите один из следующих IP-адресов:
   • Если вы хотите войти на портал администратора, введите IP-адрес виртуальной машины или физического сервера, на котором вы развернули оркестратор или frontend-часть решения. Вы указали IP-адрес виртуальной машины или физического сервера для развертывания оркестратора и frontend-части решения в блоках orc_<1–2> и www_<1–2> конфигурационного файла при развертывании решения. Вы также можете ввести виртуальный IP-адрес оркестратора.
   • Если вы хотите войти на портал самообслуживания, введите IP-адрес, который вам предоставил администратор платформы.
2. На открывшейся странице аутентификации введите имя пользователя и пароль. Пароль должен содержать как минимум одну прописную букву латинского алфавита (A–Z), одну строчную букву (a–z), одну цифру и один специальный символ. Длина пароля: от 8 до 50 символов.
3. Нажмите на кнопку Войти. Если для учетной записи включена двухфакторная аутентификация, выполните следующие действия:
   1. Отсканируйте отобразившийся QR-код физическим или программным аутентификатором, поддерживающим стандарт RFC 6238.
   2. Введите и подтвердите сгенерированный аутентификатором уникальный код.

После успешной аутентификации откроется раздел или подраздел, который вы установили как страницу по умолчанию.

Выход из веб-интерфейса оркестратора

Чтобы выйти из веб-интерфейса оркестратора:

1. В нижней части меню нажмите на значок выхода .
2. В отобразившемся окне подтверждения нажмите на кнопку OK.

Вы выйдете из веб-интерфейса оркестратора.

В начало

[Topic 246872]

Лицензирование Kaspersky SD-WAN

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky SD-WAN. При необходимости масштабировать решения вы можете приобрести дополнительные лицензии на программное и аппаратное обеспечение.

В этом разделе справки О Лицензионном соглашении О предоставлении данных

В начало

[Topic 246870]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу. Текст Лицензионного соглашения на поддерживаемых языках находится в файлах license <код языка>.rtf, входящих в комплект поставки Kaspersky SD-WAN.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с Kaspersky SD-WAN.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения. Сделать это можно одним из следующих способов:

• Инициализировать переменную окружения KNAAS_EULA_AGREED перед запуском Docker-контейнера Kaspersky SD-WAN:

  export KNAAS_EULA_AGREED=yes

  В этом случае при запуске Docker-контейнера Kaspersky SD-WAN нужно передавать переменную окружения KNAAS_EULA_AGREED с помощью опции -e:

  docker run -e KNAAS_EULA_AGREED [OPTIONS] IMAGE [COMMAND] [ARG...]

• Инициализировать переменную окружения KNAAS_EULA_AGREED непосредственно при запуске Docker-контейнера Kaspersky SD-WAN:

  docker run -e KNAAS_EULA_AGREED=yes [OPTIONS] IMAGE [COMMAND] [ARG...]

Если переменная окружения KNAAS_EULA_AGREED не инициализирована или инициализирована со значением no (KNAAS_EULA_AGREED=no), это означает несогласие с условиями Лицензионного соглашения. В этом случае при запуске Docker-контейнера Kaspersky SD-WAN выдается сообщение об ошибке, и Kaspersky SD-WAN не запускается.

В начало

[Topic 246869]

О предоставлении данных

В Kaspersky SD-WAN интегрированы следующие сторонние решения:

• система мониторинга Zabbix;
• платформа для создания облачных сервисов и хранилищ OpenStack;
• географические карты OpenStreetMap.

Персональные данные, которые могут поступать в Zabbix, OpenStack или OpenStreetMap в результате интеграции, не отправляются за периметр инфраструктуры организации.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского".

В начало

[Topic 240002]

Интерфейс решения

Управление Kaspersky SD-WAN осуществляется с помощью веб-интерфейса оркестратора. Отображающиеся в меню разделы можно использовать для настройки компонентов решения. Когда вы переходите в раздел, отображается дополнительное меню с подразделами в свернутом виде. Вам нужно навести курсор мыши на значок одного из подразделов, чтобы снова развернуть меню. Вы можете нажать на значок разворачивания , чтобы выключить функцию автоматического сворачивания меню.

Поддерживается два варианта веб-интерфейса оркестратора:

• Портал администратора – предоставляет администраторам полный доступ к управлению компонентами решения.
• Портал самообслуживания – предоставляет тенантам доступ к управлению развернутыми для них экземплярами SD-WAN.

Администраторы могут войти на портал самообслуживания тенанта.

Портал администратора

Меню портала администратора изображено на рисунке ниже.

Меню портала администратора

Контроллер имеет отдельное меню настройки (см рисунок ниже).

Меню настройки контроллера на портале администратора

Портал самообслуживания

Меню портала самообслуживания изображено на рисунке ниже.

Меню портала самообслуживания

Контроллер имеет отдельное меню настройки (см. рисунок ниже).

В этом разделе справки Установка и сброс страницы по умолчанию Переключение между светлым и темным режимом веб-интерфейса оркестратора Изменение языка веб-интерфейса оркестратора Работа с таблицами компонентов решения

В начало

[Topic 251907]

Установка и сброс страницы по умолчанию

Страница по умолчанию – это раздел или подраздел меню, который автоматически отображается после того, как вы входите в веб-интерфейс оркестратора.

Чтобы установить или сбросить страницу по умолчанию:

1. В меню перейдите в раздел или подраздел веб-интерфейса оркестратора, который вы хотите установить как страницу по умолчанию.
2. В нижней части меню нажмите на значок настройки → Сделать страницей по умолчанию.
3. Если вы хотите сбросить страницу по умолчанию, нажмите на значок настройки → Сбросить страницу по умолчанию.

   В верхней части страницы отобразится сообщение Страница по умолчанию сброшена. Страницей по умолчанию станет раздел Обозреватель.

В начало

[Topic 248912]

Переключение между светлым и темным режимом веб-интерфейса оркестратора

Чтобы переключиться между светлым и темным режимом веб-интерфейса оркестратора,

в нижней части меню нажмите на значок настройки  → Темный режим или Светлый режим.

В начало

[Topic 262120]

Изменение языка веб-интерфейса оркестратора

Веб-интерфейс оркестратора поддерживает английский и русский язык.

Чтобы изменить язык веб-интерфейса оркестратора,

в нижней части меню нажмите на одну из следующих кнопок:

• EN – изменить язык веб-интерфейса оркестратора на английский.
• RU – изменить язык веб-интерфейса оркестратора на русский.

В начало

[Topic 270040]

Работа с таблицами компонентов решения

Компоненты решения, такие как пользователи, сетевые интерфейсы и BGP-соседи, отображаются в таблицах. Для работы с таблицами используются следующие элементы:

• Значок настройки , с помощью которого вы можете выполнять следующие действия:
  • Обновить таблицу, нажав на значок настройки → Перезагрузить. Вы также можете обновить таблицу с помощью значка обновления .
  • Сбросить ширину столбцов таблицы до ширины по умолчанию, нажав на значок настройки → Сбросить ширину столбцов.
  • Выбрать, какие столбцы отображаются в таблице. Для этого вам нужно нажать на значок настройки и установить флажки рядом со столбцами, которые вы хотите отобразить.
• Значок поиска , на который вы можете нажать и ввести критерии поиска. После введения критериев поиска в таблице отображаются соответствующие записи.
• Фильтры статуса для просмотра записей с выбранным статусом.
• Фильтры времени для просмотра записей за выбранный период:
  • Все время;
  • Год;
  • Месяц;
  • Неделя;
  • День.

  Вы можете указать период вручную с помощью полей в верхней части таблицы.

• Кнопка Действия для одновременного выполнения действий с записями, рядом с которыми вы установили флажки. Например, в таблице устройств CPE вы можете одновременно удалить несколько устройств CPE.

Вы можете настроить ширину каждого столбца таблицы с помощью значков в виде трех точек , которые отображаются между именами столбцов.

В начало

[Topic 251933]

Переход к API оркестратора

Чтобы перейти к API оркестратора,

1. В меню перейдите в раздел Система.

   По умолчанию выбрана вкладка Мониторинг, на которой отображаются параметры подключения к серверу Zabbix.

2. Выберите вкладку API.

Откроется список API-команд, доступных для управления оркестратором.

В начало

[Topic 266243]

Управление инфраструктурой Kaspersky SD-WAN

Площадки, на которых вы развертываете все компоненты Kaspersky SD-WAN, кроме устройств CPE, называются центрами обработки данных (далее также ЦОД). Вам нужно добавить центры обработки данных в веб-интерфейс оркестратора, чтобы управлять контроллерами и VIM, а также указать сервер Zabbix-прокси для настройки мониторинга компонентов решения.

При наличии большого количества центров обработки данных их можно добавить в домены. Доменами называются логические группы, которые объединяют центры обработки данных по определенному признаку, например по географическому расположению. Перед добавлением центров обработки данных вам нужно создать хотя бы один домен. Вы можете перемещать центры обработки данных между доменами.

В каждом центре обработки данных необходимо создать хотя бы одну подсеть управления, чтобы назначать устройствам CPE и виртуальным сетевым функциям IP-адреса, DNS-серверы и статические маршруты.

На рисунке ниже изображена схема организации. Компоненты Kaspersky SD-WAN развернуты в четырех центрах обработки данных. Организация предоставляет решение двум клиентам, для каждого из которых развернут экземпляр SD-WAN. Для развертывания каждого экземпляра SD-WAN используется по два центра обработки данных. Центры обработки данных добавлены в соответствующие клиентам домены.

Пример организации с доменами и центрами обработки данных

В этом разделе справки Работа с доменами Работа с центрами обработки данных Работа с подсетями управления Работа с контроллерами Работа с VIM

В начало

[Topic 271061]

Работа с доменами

Вы можете просмотреть список доменов в разделе Инфраструктура в панели Ресурсы. Под доменами в списке отображаются добавленные в них центры обработки данных.

В этом разделе Создание домена Изменение домена Удаление домена

В начало

[Topic 267420]

Создание домена

Чтобы создать домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В верхней части страницы нажмите на кнопку + Домен.
3. В открывшемся окне в поле Имя введите имя домена. Максимальная длина имени: 50 символов.
4. При необходимости в поле Описание введите краткое описание домена. Максимальная длина описания: 100 символов.
5. Нажмите на кнопку Создать.

Домен будет создан и отобразится в панели Ресурсы.

Вы можете добавить в домен центры обработки данных при добавлении центров обработки данных.

В начало

[Topic 256064]

Изменение домена

Чтобы изменить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Изменить рядом с доменом, который вы хотите изменить.
3. В открывшемся окне при необходимости измените имя и/или краткое описание домена.
4. Нажмите на кнопку Сохранить.

Домен будет изменен и обновится в панели Ресурсы.

В начало

[Topic 256065]

Удаление домена

Перед удалением домена вам нужно удалить центры обработки данных, добавленные в домен.

Удаленные домены невозможно восстановить.

Чтобы удалить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Удалить рядом с доменом, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Домен будет удален и перестанет отображаться в панели Ресурсы.

В начало

[Topic 271064]

Работа с центрами обработки данных

Списки центров обработки данных отображаются в разделе Инфраструктура в панели Ресурсы под доменами. Перед добавлением центров обработки данных вам нужно создать хотя бы один домен.

В этом разделе Добавление центра обработки данных Изменение центра обработки данных Перемещение центра обработки данных в другой домен Удаление центра обработки данных

В начало

[Topic 267425]

Добавление центра обработки данных

Чтобы добавить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В верхней части страницы нажмите на кнопку + Центр обработки данных.
3. В открывшемся окне в поле Имя введите имя центра обработки данных. Максимальная длина имени: 50 символов.
4. При необходимости в поле Описание введите краткое описание центра обработки данных. Максимальная длина описания: 100 символов.
5. В раскрывающемся списке Домен выберите созданный домен, в который вы хотите добавить центр обработки данных. После добавления центр обработки данных можно переместить в другой домен.
6. Если вы хотите развертывать виртуальные сетевые функции и запускать скрипты на устройствах CPE, в поле VNFM URL введите веб-адрес менеджера виртуальных сетевых функций, к которому подключается оркестратор. Вы можете убедиться в доступности VNFM, нажав на кнопку Проверить соединение.
7. При необходимости в поле Расположение введите адрес центра обработки данных.
8. Нажмите на кнопку Создать.

Центр обработки данных будет добавлен и отобразится в панели Ресурсы.

См. также Сценарий: развертывание экземпляра SD-WAN для тенанта

В начало

[Topic 256071]

Изменение центра обработки данных

Чтобы изменить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Изменить рядом с центром обработки данных, который вы хотите изменить.
3. В открывшемся окне при необходимости измените следующие параметры:
   • имя центра обработки данных;
   • краткое описание центра обработки данных;
   • веб-адрес менеджера виртуальных сетевых функций;
   • адрес центра обработки данных.
4. Нажмите на кнопку Сохранить.

Центр обработки данных будет изменен и обновится в панели Ресурсы.

В начало

[Topic 256073]

Перемещение центра обработки данных в другой домен

Чтобы переместить центр обработки данных в другой домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Мигрировать рядом с центром обработки данных, который вы хотите переместить в другой домен.
3. В открывшемся окне выберите созданный домен, в который вы хотите переместить центр обработки данных.
4. Нажмите на кнопку Мигрировать.

Центр обработки данных будет перемещен в новый домен и отобразится под новым доменом в панели Ресурсы.

В начало

[Topic 256072]

Удаление центра обработки данных

Когда вы удаляете центр обработки данных, вы теряете возможность управлять контроллерами, VIM и подсетями управления в рамках центра обработки данных. Вы также теряете возможность указать сервер Zabbix-прокси для настройки мониторинга компонентов решения.

Удаленные центры обработки данных невозможно восстановить.

Чтобы удалить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы нажмите на значок настройки → Удалить рядом с центром обработки данных, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Центр обработки данных будет удален и перестанет отображаться в панели Ресурсы.

В начало

[Topic 271067]

Работа с подсетями управления

Для просмотра таблицы подсетей управления вам нужно в меню перейти в раздел Инфраструктура, нажать на добавленный центр обработки данных и выбрать вкладку IPAM. Информация о подсетях управления отображается в следующих столбцах таблицы:

• Имя – имя подсети управления.
• Тип – тип подсети. Временно поддерживаются только подсети управления.
• CIDR – IPv4-префикс подсети управления.
• Шлюз – IP-адреса шлюзов, которые подсеть управления назначает виртуальным сетевым функциям.
• Диапазон IP – диапазоны IP-адресов, из которых подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям.
• DNS – IPv4-адреса DNS-серверов, которые подсеть управления назначает виртуальным сетевым функциям.
• Статические маршруты – IPv4-адреса источника и назначения статических маршрутов, которые подсеть управления назначает виртуальным сетевым функциям.
• Использование – количество IP-адресов, которые подсеть управления назначила устройствам CPE и виртуальным сетевым функциям.

Вы можете посмотреть таблицу устройств CPE и виртуальных сетевых функций, которым подсеть управления назначила IP-адреса. Для этого выберите вкладку Использование. Информация об устройствах CPE и виртуальных сетевых функциях отображается в следующих столбцах таблицы:

• Имя – имя подсети управления, которая назначила устройству CPE или виртуальной сетевой функции IP-адрес.
• IP – IP-адрес, назначенный устройству CPE или виртуальной сетевой функции.
• Имя клиента – имя устройства CPE или виртуальной сетевой функции.
• Тип клиента – информация о том, назначила ли подесть управления IP-адрес устройству CPE или виртуальной сетевой функции:
  • VNF.
  • CPE.
• Тенант – тенант, которому добавлено устройство CPE или назначена виртуальная сетевая функция.

Действия, которые вы можете выполнить с таблицами, описаны в инструкции Работа с таблицами компонентов решения.

В этом разделе Создание подсети управления Изменение подсети управления Удаление подсети управления

В начало

[Topic 268342]

Создание подсети управления

Чтобы создать подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы хотите создать подсеть управления. После создания подсеть управления невозможно переместить в другой центр обработки данных.
3. Выберите вкладку IPAM.

   По умолчанию выбрана вкладка Подсеть, на которой отображается таблица подсетей управления.

4. В верхней части страницы нажмите на кнопку + Подсеть.
5. В поле Имя введите имя подсети управления.
6. В раскрывающемся списке Версия IP выберите версию IP-адресов в подсети управления:
   • IPv4. Это значение выбрано по умолчанию.
   • IPv6.
7. В поле CIDR введите IPv4-префикс подсети управления.
8. Если вы хотите, чтобы подсеть управления назначала виртуальным сетевым функциям указанный шлюз, в поле Шлюз введите IPv4-адрес шлюза.
9. Укажите диапазон IP-адресов, из которого подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям. Для этого в блоке Диапазон IP нажмите на кнопку + Добавить и в отобразившихся полях введите начальное и конечное значения диапазона IP-адресов.

   Диапазон IP-адресов будет указан и отобразится в блоке Диапазон IP. Вы можете указать несколько диапазонов IP-адресов и удалить диапазоны IP-адресов. Для удаления диапазона IP-адресов нажмите рядом с ним на значок удаления .

10. Укажите DNS-сервер, который подсеть управления назначает виртуальным сетевым функциям. Для этого в блоке DNS нажмите на кнопку + Добавить и в отобразившемся поле введите IPv4-адрес DNS-сервера.

    DNS-сервер будет указан и отобразится в блоке DNS. Вы можете указать несколько DNS-серверов и удалить DNS-серверы. Для удаления DNS-сервера нажмите рядом с ним на значок удаления .

11. Укажите статический маршрут, который подсеть управления назначает виртуальным сетевым функциям. Для этого в блоке Статические маршруты нажмите на кнопку + Добавить и в отобразившихся полях введите IPv4-адреса источника и назначения статического маршрута.

    Статический маршрут будет указан и отобразится в блоке Статические маршруты. Вы можете указать несколько статических маршрутов и удалить статические маршруты. Для удаления статического маршрута нажмите рядом с ним на значок удаления .

12. Нажмите на кнопку Создать.

Подсеть управления будет создана и отобразится в таблице.

В начало

[Topic 256086]

Изменение подсети управления

Чтобы изменить подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы создали подсеть управления.
3. Выберите вкладку IPAM.

   По умолчанию выбрана вкладка Подсеть, на которой отображается таблица подсетей управления.

4. Нажмите на кнопку Управление → Изменить рядом с подсетью управления, которую вы хотите изменить.
5. В открывшемся окне при необходимости измените следующие параметры:
   • имя подсети управления;
   • IPv4-префикс подсети управления;
   • IPv4-адреса шлюзов, которые подсеть управления назначает виртуальным сетевым функциям;
   • диапазоны IP-адресов, из которых подсеть управления назначает IP-адреса устройствам CPE и виртуальным сетевым функциям;
   • DNS-серверы, которые подсеть управления назначает виртуальным сетевым функциям;
   • статические маршруты, которые подсеть управления назначает виртуальным сетевым функциям.
6. Нажмите на кнопку Сохранить.

Подсеть управления будет изменена и обновится в таблице.

В начало

[Topic 256089]

Удаление подсети управления

Удаленные подсети управления невозможно восстановить.

Чтобы удалить подсеть управления:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. В панели Ресурсы выберите созданный домен, после чего выберите добавленный центр обработки данных, в котором вы создали подсеть управления.
3. Выберите вкладку IPAM.

   По умолчанию выбрана вкладка Подсеть, на которой отображается таблица подсетей управления.

4. Нажмите на кнопку Управление → Удалить рядом с подсетью управления, которую вы хотите удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Подсеть управления будет удалена и перестанет отображаться в таблице.

В начало

[Topic 257182]

Работа с контроллерами

Для просмотра таблицы контроллеров вам нужно в меню перейти в раздел Инфраструктура, нажать на созданный центр обработки данных и выбрать вкладку Сетевые ресурсы. Информация о контроллерах отображается в следующих столбцах таблицы:

• Имя – имя контроллера.
• Транспортная/сервисная стратегия – используемая
  транспортная стратегия

  Механизм инкапсуляции транспортных сервисов, включающий в себя алгоритм добавления стека меток заголовков пакетов трафика и тип этих меток. Kaspersky SD-WAN временно поддерживает одну транспортную стратегию Generic VNI Swapping Transport.

  .
• Узлы контроллера – IP-адреса узлов контроллера.
• Тип подключения – тип подключения устройств CPE к контроллеру:
  • Unicast.
  • Multicast.
• Статус кластера – статус кластера узлов контроллера:
  • Работает – кластер работает в штатном режиме.
  • Ошибка – при работе кластера возникла ошибка.
  • Не работает – кластер не работает.
• Статус узлов – статус узлов контроллера:
  • Основной – узел подключен к контроллеру и является основным в кластере.
  • Единственный – узел подключен к контроллеру и является единственным в кластере.
  • Второстепенный – узел подключен к контроллеру и является второстепенным в кластере.
  • Отключен – узел не подключен к контроллеру.
  • Не в кластере – узел не добавлен в кластер.
  • Недоступен – узел недоступен.
  • Неизвестно – статус узла неизвестен.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

В этом разделе Изменение контроллера Перезагрузка контроллера Восстановление параметров контроллера Включение и выключение режима обслуживания на контроллере Удаление контроллера Работа со свойствами контроллера Просмотр информации об узлах контроллера

В начало

[Topic 257145]

Изменение контроллера

Чтобы изменить контроллер:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Изменить рядом с контроллером, который вы хотите изменить.
3. В открывшемся окне в поле Имя введите имя контроллера. Диапазон значений: от 1 до 128 символов.
4. При необходимости в поле Описание введите краткое описание контроллера.
5. В поле Установить контроллер на <1>/<3>/<5> серверах выберите количество узлов контроллера.
6. В раскрывающемся списке Тип подключения выберите тип подключения устройств CPE к контроллеру:
   • Unicast.
   • Multicast.
7. Настройте узел контроллера:
   1. В поле IP-адрес или имя хоста введите IP-адрес или имя хоста узла контроллера.
   2. В поле gRPC-порт введите номер gRPC-порта узла контроллера.
   3. В поле JGroups-порт введите номер JGroups-порта узла контроллера.
   4. Если вы хотите сделать узел контроллера основным, выберите вариант Основной.

   Вы можете настроить несколько узлов контроллера.

8. Нажмите на кнопку Сохранить.

Контроллер будет изменен и обновится в таблице.

В начало

[Topic 257150]

Перезагрузка контроллера

При перезагрузке контроллера его свойства сбрасываются до значений по умолчанию. Это может помочь устранить ошибки.

Чтобы перезагрузить контроллер:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Перезагрузить рядом с контроллером, который вы хотите перезагрузить.
3. В открывшемся окне подтверждения нажмите на кнопку Перезагрузить.

Контроллер будет перезагружен.

В начало

[Topic 257178]

Восстановление параметров контроллера

Вы можете скачать файл с параметрами контроллера, которые вы указали в меню настройки контроллера. Например, файл содержит параметры транспортных сервисов и качества обслуживания. При необходимости параметры контроллера можно восстановить с помощью скачанного файла.

Чтобы восстановить параметры контроллера:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Скачать резервный файл рядом с контроллером, файл с параметрами которого вы хотите скачать.

   На ваше локальное устройство сохранится файл с параметрами контроллера в формате YAML.

3. Нажмите на кнопку Управление → Восстановить рядом с контроллером, параметры которого вы хотите восстановить.
4. В открывшемся окне укажите путь к скачанному файлу с параметрами контроллера.
5. Нажмите на кнопку Восстановить.

Контроллер будет восстановлен с параметрами, соответствующими файлу с параметрами контроллера.

В начало

[Topic 280747]

Включение и выключение режима обслуживания на контроллере

Вы можете включить режим обслуживания на контроллере при проведении работ, связанных с сетью SD-WAN, чтобы минимизировать влияние контроллера на участки сети SD-WAN, на которых не ведутся работы. В режиме обслуживания контроллер следит за состоянием сети SD-WAN, но не выполняет никаких действий при изменении параметров сети SD-WAN. Например, в режиме обслуживания контроллер не перестраивает соединения и пути, не переписывает MAC-адреса сервисных интерфейсов и не изменяет транспортные сервисы.

Когда вы выключаете режим обслуживания, контроллер выполняет действия, связанные с изменениями, которые вы внесли в параметры сети SD-WAN.

Чтобы включить или выключить режим обслуживания на контроллере:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Выполните одно из следующих действий:
   • Если вы хотите включить режим обслуживания на контроллере, нажмите рядом с ним на кнопку Управление → Включить режим ТО.
   • Если вы хотите выключить режим обслуживания на контроллере, нажмите рядом с ним на кнопку Управление → Выключить режим ТО.

Режим обслуживания будет включен или выключен на контроллере.

В начало

[Topic 257181]

Удаление контроллера

Удаленные контроллеры невозможно восстановить.

Чтобы удалить контроллер:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Удалить рядом с контроллером, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Контроллер будет удален и перестанет отображаться в таблице.

В начало

[Topic 245521]

Работа со свойствами контроллера

Свойства регулируют работу контроллера. Каждое свойство имеет метод изменения, определяющий, можно ли изменить значение свойства, и в какой момент изменение вступает в силу. Существуют следующие методы изменения:

• Read-only – свойство невозможно изменить.
• Reload – при изменении свойства оркестратор отправляет новое значение в базу данных контроллера. Новое значение вступает в силу после перезагрузки контроллера.

  Значение свойства, которое находится в базе данных, но еще не вступило в силу, называется планируемым значением. Вы можете удалить планируемое значение до перезагрузки контроллера, чтобы сохранить текущее значение.

• Runtime – при изменении свойства новое значение сразу вступает в силу.

Изменение свойств может привести к нестабильной работе контроллера, поэтому мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского" перед началом работы со свойствами.

Вы можете посмотреть таблицу всех или только изменяемых свойств контроллера:

• Для просмотра таблицы всех свойств контроллера вам нужно в меню перейти в раздел Инфраструктура, нажать на добавленный центр обработки данных, выбрать вкладку Сетевые ресурсы и нажать на кнопку Управление → Свойства рядом с контроллером.
• Для просмотра таблицы изменяемых свойств контроллера вам нужно в меню перейти в раздел Инфраструктура, нажать на добавленный центр обработки данных, выбрать вкладку Сетевые ресурсы, нажать на кнопку Управление → Свойства рядом с контроллером и выбрать вкладку Изменяемые свойства.

Информация о свойствах контроллера отображается в следующих столбцах таблицы:

• Метод изменения – метод изменения свойства.
• Свойство – имя свойства.
• Текущее значение – текущее значение свойства.
• Планируемое значение – планируемое значение свойства. Этот столбец отображается только на вкладке Изменяемые свойства.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

В этом разделе Описание изменяемых свойств контроллера Изменение свойства контроллера Удаление запланированных значений свойств контроллера Сброс свойств контроллера до значений по умолчанию

В начало

[Topic 271891]

Описание изменяемых свойств контроллера

Изменение свойств может привести к нестабильной работе контроллера, поэтому мы рекомендуем обратиться в техническую поддержку "Лаборатории Касперского" перед началом работы со свойствами.

В начало