7.. Generar archivos de configuración

Tiempo estimado para completarse: 3 días

Propietario del componente operable: INV

Perfil de habilidades: ingeniero de implementaciones

Se necesita el archivo cellconfig para iniciar la instancia aislada de Google Distributed Cloud (GDC). Define el conjunto inicial de objetos de la API Distributed Cloud, incluidos los dispositivos de hardware de la instancia y la configuración de red.

La configuración de la celda tiene el formato de un conjunto de recursos personalizados de Kubernetes que se organizan en un directorio de archivos YAML.

Para ejecutar comandos de la CLI de gdcloud, debes crear un directorio de trabajo en la carpeta /root y cambiar la variable $PATH con el siguiente comando:

PATH=$PATH:/root/WORKING_DIRECTORY

7.1. Información general

Para crear un archivo cellconfig de Distributed Cloud, sigue estos pasos:

  1. Verifica que has recibido el archivo de especificaciones del dispositivo de hardware: devices.csv.
  2. Verifica que se ha recibido el archivo de especificaciones del cableado de red: cables.csv.
  3. Genera un archivo de cuestionario de información del cliente (CIQ): ciq.yaml.
  4. Genera el archivo de secretos de la instancia: secrets.yaml.
  5. Verifica que has recibido el directorio de licencias de dispositivo: licenses/.
  6. Ejecuta el comando gdcloud system assets create con las entradas anteriores para crear un archivo cellconfig.

El archivo devices.csv (identificación de dispositivo) se conocía anteriormente como archivo deid.csv. Puedes convertir el archivo anterior al nuevo formato con el comando gdcloud system assets format-deid.

7.1.1. devices.csv

El archivo devices.csv especifica todos los dispositivos de hardware de una instancia de Distributed Cloud. Consulta la documentación de devices.csv para obtener una descripción completa del archivo y su formato esperado.

7.1.2. cables.csv

El archivo cables.csv incluye todos los detalles de las conexiones entre los dispositivos de hardware de una instancia de Distributed Cloud. Consulta la documentación de cables.csv para obtener una descripción completa del archivo y su formato.

En función de los ajustes especificados en el archivo ciq, modifique el conjunto de conexiones de datos especificado en el archivo cables.csv.

Primero, determina el número de enlaces de datos necesarios:

  • Se requieren dos enlaces ascendentes en cada switch de hoja de borde (cuatro en total) para que todas las instancias de Distributed Cloud proporcionen conectividad a la red de datos del cliente.
  • Se necesitan dos enlaces ascendentes a cada switch de hoja de borde (cuatro en total) si se configura la conectividad a una instancia de OCIT local.
  • Se necesitan dos enlaces ascendentes a cada switch de hoja de borde (cuatro en total) para la conectividad OIC remota.

A continuación, determina el número de enlaces ascendentes de gestión que se necesitan.

  • Se necesitan dos enlaces ascendentes a cada switch de agregación de gestión (cuatro en total) si se configura la conectividad a una instancia de OIC local.
  • Se requieren dos enlaces ascendentes a cada switch de agregación de gestión (cuatro en total) si se configura la conectividad con OCIT remoto.

Por ejemplo, si la instancia de Distributed Cloud actual está conectada a un OCIT local, está emparejada con otras instancias de Distributed Cloud mediante interconexiones multizona y también está conectada a instancias de OCIT remotas, ocurrirá lo siguiente:

  • Se necesitan 6 enlaces ascendentes a cada switch de hoja de borde (12 enlaces ascendentes de datos en total).
  • Se necesitan 4 enlaces ascendentes a cada switch de agregación de gestión (8 enlaces ascendentes de gestión en total).

Cada conexión externa consta de dos cables que corresponden a dos filas en cables.csv:

  • Un cable que conecta el conmutador con la parte posterior del panel de conexiones en el mismo rack que el conmutador. Por ejemplo:
    • 36,kb-ab-aggsw01,Eth1/31,41,kb-ab-ppl01,c4-smf-port1-bk,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),back,kb-ab-aggsw01:Eth1/31<>kb-ab-ppl01:c4-smf-port1-bk
    • En esta conexión, el puerto del dispositivo del panel de conexiones debe tener el sufijo -bk.
  • Un cable que conecta la parte frontal del panel de conexión con un dispositivo externo "pseudo".
    • 36,kb-ab-ppl01,c4-smf-port1-ft,41,ext-kb-ab-aggsw01,Eth1/31,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),front,kb-ab-ppl01:c4-smf-port1-ft<>ext-kb-ab-aggsw01:Eth1/31
    • Para esta conexión, el puerto del dispositivo del panel de conexiones debe ser el mismo que el de la primera conexión, pero con el sufijo -ft en lugar del sufijo -bk.
    • Para esta conexión, el nombre del dispositivo externo "pseudo" debe seguir el patrón ext-<name-of-originating-switch>.
    • Para esta conexión, el puerto del dispositivo externo "pseudo" debe coincidir con el puerto de origen del conmutador.

Cuenta el número total de conexiones de enlace ascendente necesarias y asegúrate de que el archivo de entrada cables.csv contenga las especificaciones de los cables de todas las conexiones de enlace ascendente necesarias en ambos conmutadores de hoja de borde y en ambos conmutadores de agregación de gestión.

Si es necesario añadir nuevas conexiones de enlace ascendente:

  1. Localiza los puertos que no se estén usando en los paneles de conexión.
  2. Añade las nuevas especificaciones de los cables para las conexiones de enlace ascendente necesarias.
  3. Instala cables nuevos en la instancia de Distributed Cloud para las nuevas conexiones de enlace ascendente.

7.1.3. ciq.yaml

El archivo ciq.yaml contiene todos los detalles del entorno del cliente necesarios para configurar una instancia de Distributed Cloud. Consulta la documentación de ciq.yaml para obtener una descripción completa del archivo y su formato esperado.

7.1.4. secrets.yaml

El secrets.yaml contiene los secretos de la instancia de Distributed Cloud. Con las entradas anteriores, genera la plantilla inicial del archivo secrets.yaml.

gdcloud system assets generate-secrets-template \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --output ./secrets.yaml

Debes actualizar el secrets.yaml y sustituir todos los valores de TO-BE-FILLED por la contraseña que quieras usar en cada dispositivo. Protege la contraseña con al menos ocho caracteres.

7.1.5. licenses/

El directorio licenses/ contiene todas las licencias de los componentes de infraestructura de hardware y software de una instancia de Distributed Cloud. Consulta la documentación sobre licencias para obtener una descripción completa del directorio y su formato esperado.

7.1.6. Crear cellconfig

Con todas las entradas anteriores, crea un objeto CellConfig:

gdcloud system assets create \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --license-dir ./licenses/ \
  --secrets secrets.yaml \
  --output ./output

Para obtener más información, consulta el manual de INV-E1001 o el código de error asociado.

Para comprobar que no hay problemas con los interruptores incorrectos, ejecuta el siguiente comando:

gdcloud system preinstall install --config <cellcfg> --config-file-only

7.2. Posibles problemas

7.2.1. Precaución con el ID de celda en la configuración de la celda

Resumen: A veces, devices.csv o cables.csv tienen un identificador de celda incorrecto, por lo que el archivo de configuración de celda generado contiene nombres de recursos incorrectos.

Solución alternativa: comprueba los archivos de configuración de las celdas para asegurarte de que el prefijo de los nombres de los recursos corresponde al esperado.

Por ejemplo, si el identificador de una celda es ai, todos los nombres de recursos deben empezar por ai-. Si alguno de ellos tiene un prefijo diferente, es un problema que debes solucionar antes.

7.2.2. Falta la dirección MAC del cortafuegos

Resumen: Faltan las direcciones MAC de los firewalls de Palo Alto en el archivo devices.csv recibido de HPE.

Solución:

Si es la primera vez, accede a los dispositivos Palo Alto con tus credenciales predeterminadas.

Si no se proporcionan credenciales, sigue esta guía de Palo Alto para configurarlas.

Una vez que hayas accedido, ejecuta el siguiente comando para obtener las direcciones MAC de los dispositivos y añadirlas al archivo devices.csv en la columna nic3mac:

show system info

7.2.3. Faltan las direcciones MAC del HSM

Resumen: Faltan las direcciones MAC de los dispositivos HSM en el archivo devices.csv recibido de HPE.

Solución alternativa (para cada dispositivo HSM):

  1. Inicia sesión en el dispositivo a través de la consola serie.

  2. Identifica la dirección MAC de la interfaz de red de gestión.

    ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))

    En el siguiente ejemplo se muestra el resultado de una dirección MAC de muestra obtenida después de ejecutar el comando:

    ksadmin@ciphertrust:~$ ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))
00:15:b2:b0:3e:80

  3. Edita devices.csv e introduce la dirección MAC de gestión en la columna nic3mac del dispositivo.

  4. Edita devices.csv e introduce mgmt0 en la columna nic3_MGMT_port_name del dispositivo.

  5. Identifica la dirección MAC de la primera interfaz de red del plano de datos.

    export DATA0_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | head -1); echo ${DATA0_MAC}

  6. Edita devices.csv e introduce la dirección DATA0_MAC en la columna nic1mac del dispositivo.

  7. Edita devices.csv e introduce data0 en la columna nic1_Data1_port_name del dispositivo.

  8. Identifica la dirección MAC de la segunda interfaz de red del plano de datos.

    export DATA1_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | tail -1); echo ${DATA1_MAC}

  9. Edita devices.csv e introduce la dirección DATA1_MAC en la columna nic2mac del dispositivo.

  10. Edita devices.csv e introduce data1 en la columna nic2_Data2_port_name del dispositivo.

7.2.4. Falta el número de serie del almacenamiento de objetos

Resumen: Faltan los números de serie de los dispositivos de almacenamiento de objetos en el archivo devices.csv recibido de HPE.

Solución alternativa: Si, al generar la configuración, recibes un error similar a serial number () should be alphanumeric during cellcfg validation, que hace referencia a un dispositivo de tipo xx-ac-objs0n, debes recuperar el número de serie del dispositivo. Puedes encontrarlo en la etiqueta impresa que se desliza y que está en la parte superior del electrodoméstico. El número de serie debe introducirse en la columna serial_number del archivo devices.csv.