7.. Genera file di configurazione

Tempo stimato per il completamento: 3 giorni

Proprietario del componente Operable: INV

Profilo delle competenze: ingegnere del deployment

cellconfig è necessario per eseguire il bootstrap dell'istanza con air gap di Google Distributed Cloud (GDC). Definisce l'insieme iniziale di oggetti API Distributed Cloud, inclusi i dispositivi hardware dell'istanza e la configurazione di rete.

cellconfig è formattato come un insieme di risorse personalizzate Kubernetes organizzate all'interno di una directory di file YAML.

Per eseguire i comandi dell'interfaccia a riga di comando gcloud, devi creare una directory di lavoro nella cartella /root e modificare la variabile $PATH con questo comando:

PATH=$PATH:/root/WORKING_DIRECTORY

7.1. Panoramica

Per creare un file cellconfig di Distributed Cloud, segui questi passaggi:

  1. Verifica la ricezione del file delle specifiche del dispositivo hardware: devices.csv.
  2. Verifica la ricezione del file delle specifiche del cablaggio di rete: cables.csv.
  3. Genera il file del questionario di input del cliente (CIQ): ciq.yaml.
  4. Genera il file dei secret dell'istanza: secrets.yaml.
  5. Verifica la ricezione della directory delle licenze dei dispositivi: licenses/.
  6. Esegui il comando gdcloud system assets create con gli input precedenti per creare un file cellconfig.

Il file devices.csv (identificazione dispositivo) in precedenza era denominato file deid.csv. Puoi convertire il file precedente nel nuovo formato con il comando gdcloud system assets format-deid.

7.1.1. devices.csv

Il file devices.csv specifica tutti i dispositivi hardware in un'istanza Distributed Cloud. Consulta la documentazione di devices.csv per una descrizione completa del file e del suo formato previsto.

7.1.2. cables.csv

Il file cables.csv riporta in dettaglio tutte le connessioni tra i dispositivi hardware in un'istanza Distributed Cloud. Consulta la documentazione di cables.csv per una descrizione completa del file e del suo formato previsto.

A seconda delle impostazioni specificate in ciq, modifica il set di connessioni dati specificato nel file cables.csv.

Innanzitutto, determina il numero di uplink dei dati necessari:

  • Sono necessari due uplink a ogni switch leaf di confine (4 in totale) per tutte le istanze Distributed Cloud per fornire la connettività alla rete di dati del cliente.
  • Se è configurata la connettività a un'istanza OCIT locale, sono necessari due uplink per ogni switch leaf di confine (4 in totale).
  • Sono necessari due uplink a ogni switch leaf di confine (4 in totale) per la connettività OIC remota.

Successivamente, determina il numero di uplink di gestione necessari.

  • Se è configurata la connettività a un'istanza OIC locale, sono necessari due uplink per ogni switch di aggregazione di gestione (4 in totale).
  • Se è configurata la connettività all'OCIT remoto, sono necessari due uplink per ogni switch di aggregazione di gestione (4 in totale).

Ad esempio, se l'istanza Distributed Cloud attuale è connessa a un OCIT locale, è in peering con altre istanze Distributed Cloud utilizzando interconnessioni multizona ed è anche connessa a istanze OCIT remote, allora:

  • Sono necessari 6 uplink per ogni switch leaf di confine (12 uplink di dati in totale)
  • Sono necessari 4 uplink per ogni switch di aggregazione di gestione (8 uplink di gestione in totale)

Ogni connessione esterna è costituita da due cavi che corrispondono a due righe in cables.csv:

  • Un cavo che collega lo switch al retro del patch panel nello stesso rack dello switch. Ad esempio:
    • 36,kb-ab-aggsw01,Eth1/31,41,kb-ab-ppl01,c4-smf-port1-bk,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),back,kb-ab-aggsw01:Eth1/31<>kb-ab-ppl01:c4-smf-port1-bk
    • Per questa connessione, la porta del dispositivo patch panel deve avere il suffisso -bk.
  • Un cavo che collega la parte anteriore del patch panel a un dispositivo esterno "pseudo"
    • 36,kb-ab-ppl01,c4-smf-port1-ft,41,ext-kb-ab-aggsw01,Eth1/31,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),front,kb-ab-ppl01:c4-smf-port1-ft<>ext-kb-ab-aggsw01:Eth1/31
    • Per questa connessione, la porta del dispositivo patch panel deve essere la stessa della porta della prima connessione, ma con il suffisso -ft anziché -bk.
    • Per questa connessione, il nome del dispositivo esterno "pseudo" deve seguire il pattern: ext-<name-of-originating-switch>.
    • Per questa connessione, la porta del dispositivo esterno "pseudo" deve corrispondere alla porta di origine dello switch.

Conta il numero totale di connessioni uplink richieste e assicurati che il file di input cables.csv contenga le specifiche dei cavi per tutte le connessioni uplink richieste sia sugli switch leaf di confine sia sugli switch di aggregazione di gestione.

Se è necessario aggiungere nuove connessioni uplink:

  1. Individua le porte inutilizzate sui pannelli patch.
  2. Aggiungi le nuove specifiche del cavo per le connessioni di uplink richieste.
  3. Installa nuovi cavi sull'istanza Distributed Cloud per le nuove connessioni uplink.

7.1.3. ciq.yaml

Il file ciq.yaml contiene tutti i dettagli dell'ambiente del cliente necessari per configurare un'istanza Distributed Cloud. Consulta la documentazione di ciq.yaml per una descrizione completa del file e del suo formato previsto.

7.1.4. secrets.yaml

secrets.yaml contiene i secret dell'istanza Distributed Cloud. Utilizzando gli input precedenti, genera il modello di file secrets.yaml iniziale.

gdcloud system assets generate-secrets-template \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --output ./secrets.yaml

Devi aggiornare secrets.yaml, sostituendo tutti i valori TO-BE-FILLED con la password che vuoi utilizzare per ogni dispositivo. Proteggi la password con almeno otto caratteri.

7.1.5. licenses/

La directory licenses/ contiene tutte le licenze per i componenti dell'infrastruttura hardware e software di un'istanza Distributed Cloud. Consulta la documentazione sulle licenze per una descrizione completa della directory e del relativo formato previsto.

7.1.6. Crea cellconfig

Utilizzando tutti gli input precedenti, crea un cellconfig:

gdcloud system assets create \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --license-dir ./licenses/ \
  --secrets secrets.yaml \
  --output ./output

Per ulteriori informazioni, consulta la pagina INV-E1001 o il runbook del codice di errore associato.

Per verificare che non ci siano problemi con gli switch errati, esegui:

gdcloud system preinstall install --config <cellcfg> --config-file-only

7.2. Potenziali problemi

7.2.1. Attenzione all'ID cella nella configurazione della cella

TLDR: A volte devices.csv o cables.csv ha un identificatore di cella errato, pertanto un file di configurazione della cella generato contiene nomi di risorse errati.

Soluzione alternativa: controlla i file di configurazione delle celle per assicurarti che il prefisso dei nomi delle risorse corrisponda a quello previsto.

Esempio: se un identificatore di cella è ai, tutti i nomi delle risorse devono iniziare con ai-. Se alcuni hanno un prefisso diverso, si tratta di un problema che devi risolvere in anticipo.

7.2.2. Indirizzo MAC firewall mancante

Riepilogo: gli indirizzi MAC dei firewall Palo Alto non sono presenti nel file devices.csv ricevuto da HPE.

Soluzione alternativa:

Se è la prima volta, accedi agli appliance Palo Alto con le credenziali predefinite.

Se non vengono fornite credenziali, segui questa guida di Palo Alto per configurarle.

Una volta eseguito l'accesso, esegui il comando seguente per ottenere gli indirizzi MAC degli elettrodomestici e aggiungerli al file devices.csv nella colonna nic3mac:

show system info

7.2.3. Indirizzi MAC HSM mancanti

Riepilogo: mancano gli indirizzi MAC dei dispositivi HSM nel file devices.csv ricevuto da HPE.

Soluzione alternativa (per ogni dispositivo HSM):

  1. Accedi al dispositivo tramite la console seriale.

  2. Identifica l'indirizzo MAC dell'interfaccia di rete di gestione.

    ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))

    L'esempio seguente mostra l'output di un indirizzo MAC di esempio ottenuto dopo l'esecuzione del comando:

    ksadmin@ciphertrust:~$ ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))
00:15:b2:b0:3e:80

  3. Modifica devices.csv e inserisci l'indirizzo MAC di gestione nella colonna nic3mac per il dispositivo.

  4. Modifica devices.csv e inserisci mgmt0 nella colonna nic3_MGMT_port_name per il dispositivo.

  5. Identifica l'indirizzo MAC per la prima interfaccia di rete del piano dati.

    export DATA0_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | head -1); echo ${DATA0_MAC}

  6. Modifica devices.csv e inserisci l'indirizzo DATA0_MAC nella colonna nic1mac per il dispositivo.

  7. Modifica devices.csv e inserisci data0 nella colonna nic1_Data1_port_name per il dispositivo.

  8. Identifica l'indirizzo MAC per la seconda interfaccia di rete del piano dati.

    export DATA1_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | tail -1); echo ${DATA1_MAC}

  9. Modifica devices.csv e inserisci l'indirizzo DATA1_MAC nella colonna nic2mac per il dispositivo.

  10. Modifica devices.csv e inserisci data1 nella colonna nic2_Data2_port_name per il dispositivo.

7.2.4. Numero di serie mancante per l'archiviazione di oggetti

Riepilogo: nel file devices.csv ricevuto da HPE mancano i numeri di serie degli appliance di archiviazione oggetti.

Soluzione alternativa: se durante la generazione della configurazione ricevi un errore simile a serial number () should be alphanumeric during cellcfg validation, che fa riferimento a un dispositivo di tipo xx-ac-objs0n, devi recuperare il numero di serie del dispositivo. Puoi trovarlo nell'etichetta estraibile stampata nella parte superiore dell'apparecchio. Il numero di serie deve essere inserito nella colonna serial_number del file devices.csv.