7.. Générer les fichiers de configuration

Durée estimée : trois jours

Propriétaire du composant utilisable : INV

Profil de compétences : ingénieur de déploiement

La configuration de cellule est requise pour amorcer l'instance Google Distributed Cloud (GDC) sous air gap. Il définit l'ensemble initial d'objets de l'API Distributed Cloud, y compris les périphériques matériels des instances et la configuration réseau.

La configuration de cellule est mise en forme sous la forme d'un ensemble de ressources personnalisées Kubernetes organisées dans un répertoire de fichiers YAML.

Pour exécuter les commandes gdcloud CLI, vous devez créer un répertoire de travail dans le dossier /root et modifier la variable $PATH avec la commande suivante :

PATH=$PATH:/root/WORKING_DIRECTORY

7.1. Présentation

Pour créer une configuration de cellule Distributed Cloud, procédez comme suit :

  1. Vérifiez que vous avez bien reçu le fichier de spécifications de l'appareil : devices.csv.
  2. Vérifiez que vous avez bien reçu le fichier de spécifications des câbles réseau : cables.csv.
  3. Générez le fichier du questionnaire d'informations client (CIQ) : ciq.yaml.
  4. Générez le fichier de secrets de l'instance : secrets.yaml.
  5. Vérifiez que vous avez bien reçu le répertoire des licences d'appareils : licenses/.
  6. Exécutez la commande gdcloud system assets create avec les entrées précédentes pour créer une cellconfig.

Le fichier devices.csv (identification de l'appareil) était auparavant appelé fichier deid.csv. Vous pouvez convertir le fichier précédent au nouveau format à l'aide de la commande gdcloud system assets format-deid.

7.1.1. devices.csv

Le fichier devices.csv spécifie tous les périphériques matériels d'une instance Distributed Cloud. Consultez la documentation devices.csv pour obtenir une description complète du fichier et de son format attendu.

7.1.2. cables.csv

Le fichier cables.csv détaille toutes les connexions entre les appareils matériels d'une instance Distributed Cloud. Pour obtenir une description complète du fichier et de son format attendu, consultez la documentation sur cables.csv.

En fonction des paramètres spécifiés dans ciq, modifiez l'ensemble des connexions de données spécifiées dans le fichier cables.csv.

Commencez par déterminer le nombre de liaisons montantes de données nécessaires :

  • Deux liaisons ascendantes sont requises pour chaque commutateur leaf de bordure (quatre au total) pour que toutes les instances Distributed Cloud puissent se connecter au réseau de données client.
  • Deux liaisons ascendantes sont requises pour chaque commutateur leaf de bordure (quatre au total) si la connectivité à une instance OCIT locale est configurée.
  • Deux liaisons montantes sont requises pour chaque commutateur leaf de bordure (quatre au total) pour la connectivité OIC à distance.

Ensuite, déterminez le nombre de liaisons montantes de gestion requises.

  • Deux liaisons montantes sont requises pour chaque commutateur d'agrégation de gestion (quatre au total) si la connectivité à une instance OIC locale est configurée.
  • Deux liaisons montantes sont requises pour chaque commutateur d'agrégation de gestion (quatre au total) si la connectivité à OCIT distant est configurée.

Par exemple, si l'instance Distributed Cloud actuelle est connectée à un OCIT local, appairée avec d'autres instances Distributed Cloud à l'aide d'interconnexions multizones et également connectée à des instances OCIT distantes, alors :

  • Six liaisons ascendantes sont requises pour chaque commutateur leaf de bordure (12 liaisons ascendantes de données au total).
  • Quatre liaisons ascendantes sont requises pour chaque commutateur d'agrégation de gestion (huit liaisons ascendantes de gestion au total).

Chaque connexion externe se compose de deux câbles qui correspondent à deux lignes dans cables.csv :

  • Un câble relie le commutateur à l'arrière du panneau de brassage dans le même rack que le commutateur. Exemple :
    • 36,kb-ab-aggsw01,Eth1/31,41,kb-ab-ppl01,c4-smf-port1-bk,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),back,kb-ab-aggsw01:Eth1/31<>kb-ab-ppl01:c4-smf-port1-bk
    • Pour cette connexion, le port de l'appareil du panneau de brassage doit comporter le suffixe -bk.
  • Un câble qui relie l'avant du panneau de brassage à un "pseudo"-appareil externe
    • 36,kb-ab-ppl01,c4-smf-port1-ft,41,ext-kb-ab-aggsw01,Eth1/31,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),front,kb-ab-ppl01:c4-smf-port1-ft<>ext-kb-ab-aggsw01:Eth1/31
    • Pour cette connexion, le port de l'appareil du panneau de brassage doit être le même que celui de la première connexion, mais avec le suffixe -ft au lieu du suffixe -bk.
    • Pour cette connexion, le nom du pseudo-appareil externe doit suivre le modèle ext-<name-of-originating-switch>.
    • Pour cette connexion, le port du pseudo-périphérique externe doit correspondre au port d'origine du commutateur.

Comptez le nombre total de connexions de liaison montante requises et assurez-vous que le fichier d'entrée cables.csv contient les spécifications des câbles pour toutes les connexions de liaison montante requises sur les deux commutateurs leaf de bordure et les deux commutateurs d'agrégation de gestion.

Si vous devez ajouter des connexions de liaison montante :

  1. Repérez les ports inutilisés sur les panneaux de brassage.
  2. Ajoutez de nouvelles spécifications de câbles pour les connexions de liaison montante requises.
  3. Installez de nouveaux câbles sur l'instance Distributed Cloud pour les nouvelles connexions de liaison montante.

7.1.3. ciq.yaml

Le fichier ciq.yaml contient tous les détails de l'environnement client nécessaires à la configuration d'une instance Distributed Cloud. Consultez la documentation ciq.yaml pour obtenir une description complète du fichier et de son format attendu.

7.1.4. secrets.yaml

secrets.yaml contient les secrets de l'instance Distributed Cloud. À l'aide des entrées précédentes, générez le modèle de fichier secrets.yaml initial.

gdcloud system assets generate-secrets-template \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --output ./secrets.yaml

Vous devez mettre à jour le secrets.yaml en remplaçant toutes les valeurs TO-BE-FILLED par le mot de passe que vous souhaitez utiliser pour chaque appareil. Sécurisez le mot de passe avec au moins huit caractères.

7.1.5. licenses/

Le répertoire licenses/ contient toutes les licences des composants d'infrastructure matérielle et logicielle d'une instance Distributed Cloud. Consultez la documentation sur les licences pour obtenir une description complète du répertoire et de son format attendu.

7.1.6. Créer une configuration de cellule

À l'aide de toutes les entrées précédentes, créez une cellconfig :

gdcloud system assets create \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --license-dir ./licenses/ \
  --secrets secrets.yaml \
  --output ./output

Pour en savoir plus, consultez le manuel INV-E1001 ou le manuel associé au code d'erreur.

Pour vérifier qu'il n'y a pas de problèmes de commutateurs incorrects, exécutez la commande suivante :

gdcloud system preinstall install --config <cellcfg> --config-file-only

7.2. Problèmes potentiels

7.2.1. Attention à l'ID de cellule dans la configuration de cellule

En résumé : Il arrive que devices.csv ou cables.csv comporte un identifiant de cellule incorrect. Par conséquent, un fichier de configuration de cellule généré contient des noms de ressources incorrects.

Solution de contournement : Vérifiez les fichiers de configuration des cellules pour vous assurer que le préfixe des noms de ressources correspond à celui attendu.

Exemple : Si un identifiant de cellule est ai, tous les noms de ressources doivent commencer par ai-. Si certains d'entre eux ont un préfixe différent, vous devez résoudre ce problème au préalable.

7.2.2. Adresse MAC du pare-feu manquante

En bref : les adresses MAC des pare-feu Palo Alto sont manquantes dans le fichier devices.csv reçu de HPE.

Solution :

Si c'est la première fois, accédez aux appliances Palo Alto avec vos identifiants par défaut.

Si aucun identifiant n'est fourni, suivez ce guide Palo Alto pour configurer les identifiants.

Une fois l'accès obtenu, exécutez la commande suivante pour obtenir les adresses MAC des appareils et les ajouter au fichier devices.csv dans la colonne nic3mac :

show system info

7.2.3. Adresses MAC HSM manquantes

En résumé : les adresses MAC des appareils HSM sont manquantes dans le fichier devices.csv reçu de HPE.

Solution de contournement (pour chaque appareil HSM) :

  1. Connectez-vous à l'appareil via la console série.

  2. Identifiez l'adresse MAC de l'interface réseau de gestion.

    ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))

    L'exemple suivant montre la sortie d'un exemple d'adresse MAC obtenu après l'exécution de la commande :

    ksadmin@ciphertrust:~$ ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))
00:15:b2:b0:3e:80

  3. Modifiez devices.csv et saisissez l'adresse MAC de gestion dans la colonne nic3mac de l'appareil.

  4. Modifiez devices.csv et saisissez mgmt0 dans la colonne nic3_MGMT_port_name de l'appareil.

  5. Identifiez l'adresse MAC de la première interface réseau du plan de données.

    export DATA0_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | head -1); echo ${DATA0_MAC}

  6. Modifiez devices.csv et saisissez l'adresse DATA0_MAC dans la colonne nic1mac de l'appareil.

  7. Modifiez devices.csv et saisissez data0 dans la colonne nic1_Data1_port_name de l'appareil.

  8. Identifiez l'adresse MAC de la deuxième interface réseau du plan de données.

    export DATA1_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | tail -1); echo ${DATA1_MAC}

  9. Modifiez devices.csv et saisissez l'adresse DATA1_MAC dans la colonne nic2mac de l'appareil.

  10. Modifiez devices.csv et saisissez data1 dans la colonne nic2_Data2_port_name de l'appareil.

7.2.4. Numéro de série manquant pour le stockage d'objets

En bref : les numéros de série des appliances de stockage d'objets sont manquants dans le fichier devices.csv reçu de HPE.

Solution de contournement : Si, lors de la génération de la configuration, vous recevez une erreur semblable à serial number () should be alphanumeric during cellcfg validation, faisant référence à un appareil de type xx-ac-objs0n, vous devez récupérer le numéro de série de l'appareil. Vous le trouverez sur l'étiquette coulissante imprimée située en haut de l'appareil. Le numéro de série doit être indiqué dans la colonne serial_number du fichier devices.csv.