7.. Gere ficheiros de configuração

Tempo estimado até à conclusão: 3 dias

Proprietário do componente acionável: INV

Perfil de competências: engenheiro de implementação

A cellconfig é necessária para iniciar a instância isolada do Google Distributed Cloud (GDC). Define o conjunto inicial de objetos da API Distributed Cloud, incluindo dispositivos de hardware de instâncias e configuração de rede.

O cellconfig está formatado como um conjunto de recursos personalizados do Kubernetes que estão organizados num diretório de ficheiros YAML.

Para executar comandos da CLI gdcloud, tem de criar um diretório de trabalho na pasta /root e alterar a variável $PATH com o seguinte comando:

PATH=$PATH:/root/WORKING_DIRECTORY

7.1. Vista geral

Para criar uma cellconfig da Distributed Cloud, siga estes passos:

  1. Verifique a receção do ficheiro de especificação do dispositivo de hardware: devices.csv.
  2. Verifique a receção do ficheiro de especificação da cablagem de rede: cables.csv.
  3. Gere o ficheiro do questionário de entrada do cliente (CIQ): ciq.yaml.
  4. Gere o ficheiro de segredos da instância: secrets.yaml.
  5. Verifique a receção do diretório de licenças de dispositivos: licenses/.
  6. Execute o comando gdcloud system assets create com as entradas anteriores para criar uma cellconfig.

O ficheiro devices.csv (identificação do dispositivo) era anteriormente denominado ficheiro deid.csv. Pode converter o ficheiro anterior para o novo formato de ficheiro com o comando gdcloud system assets format-deid.

7.1.1. devices.csv

O ficheiro devices.csv especifica todos os dispositivos de hardware numa instância da nuvem distribuída. Consulte a documentação devices.csv para uma descrição completa do ficheiro e do formato esperado.

7.1.2. cables.csv

O ficheiro cables.csv detalha todas as ligações entre os dispositivos de hardware numa instância da nuvem distribuída. Consulte a documentação de cables.csv para ver uma descrição completa do ficheiro e do formato esperado.

Consoante as definições especificadas no ciq, modifique o conjunto de associações de dados especificado no ficheiro cables.csv.

Primeiro, determine o número de carregamentos de dados necessários:

  • São necessários 2 uplinks para cada comutador de folha de limite (4x no total) para que todas as instâncias da Distributed Cloud forneçam conetividade à rede de dados do cliente.
  • São necessárias 2 ligações de uplink a cada comutador de folha de limite (4 no total) se a conetividade a uma instância OCIT local estiver configurada.
  • São necessários 2 uplinks para cada comutador de folha de limite (4x no total) para a conetividade OIC remota.

Em seguida, determine o número de uplinks de gestão necessários.

  • São necessários 2 uplinks para cada comutador de agregação de gestão (4x no total) se a conetividade a uma instância OIC local estiver configurada.
  • São necessários 2 uplinks para cada comutador de agregação de gestão (4x no total) se a conetividade ao OCIT remoto estiver configurada.

Por exemplo, se a instância do Distributed Cloud atual estiver ligada a um OCIT local, estiver em peering com outras instâncias do Distributed Cloud através de interconexões multizona e também estiver ligada a instâncias do OCIT remotas, então:

  • São necessários 6 uplinks para cada comutador de folha de limite (12 uplinks de dados no total)
  • São necessários 4 uplinks para cada comutador de agregação de gestão (8 uplinks de gestão no total)

Cada ligação externa consiste em dois cabos que correspondem a duas linhas em cables.csv:

  • Um cabo que liga o comutador à parte posterior do painel de ligações no mesmo rack que o comutador. Por exemplo:
    • 36,kb-ab-aggsw01,Eth1/31,41,kb-ab-ppl01,c4-smf-port1-bk,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),back,kb-ab-aggsw01:Eth1/31<>kb-ab-ppl01:c4-smf-port1-bk
    • Para esta ligação, a porta do dispositivo do painel de remendos tem de ter o sufixo -bk.
  • Um cabo que liga a parte frontal do painel de ligações a um dispositivo externo "pseudo"
    • 36,kb-ab-ppl01,c4-smf-port1-ft,41,ext-kb-ab-aggsw01,Eth1/31,(1) R8T17A + (1) R8S79A,(1) QSFP-100G-CWDM4-S + (1) F92ERQ1Q1SNM001,1 meter,,SMF,flag,Right,Link to Customer Border 05 (100G),front,kb-ab-ppl01:c4-smf-port1-ft<>ext-kb-ab-aggsw01:Eth1/31
    • Para esta ligação, a porta do dispositivo do painel de remendos tem de ser igual à porta na primeira ligação, mas com o sufixo -ft em vez do sufixo -bk.
    • Para esta ligação, o nome do dispositivo externo "pseudo" tem de seguir o padrão: ext-<name-of-originating-switch>.
    • Para esta ligação, a porta do dispositivo externo "pseudo" tem de corresponder à porta de origem no comutador.

Conte o número total de ligações de uplink necessárias e certifique-se de que o ficheiro de entrada cables.csv contém as especificações dos cabos para todas as ligações de uplink necessárias nos comutadores leaf de fronteira e nos comutadores de agregação de gestão.

Se for necessário adicionar novas associações de carregamento:

  1. Localize as portas não usadas nos painéis de ligação.
  2. Adicione novas especificações de cabos para as ligações de uplink necessárias.
  3. Instale novos cabos na instância da Distributed Cloud para as novas ligações de uplink.

7.1.3. ciq.yaml

O ficheiro ciq.yaml contém todos os detalhes do ambiente do cliente necessários para configurar uma instância da Distributed Cloud. Consulte a documentação ciq.yaml para ver uma descrição completa do ficheiro e do respetivo formato esperado.

7.1.4. secrets.yaml

O ficheiro secrets.yaml contém os segredos da instância da nuvem distribuída. Com as entradas anteriores, gere o modelo de ficheiro secrets.yaml inicial.

gdcloud system assets generate-secrets-template \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --output ./secrets.yaml

Tem de atualizar o ficheiro secrets.yaml, substituindo todos os valores TO-BE-FILLED pela palavra-passe que quer usar para cada dispositivo. Proteja a palavra-passe com, pelo menos, oito carateres.

7.1.5. licenses/

O diretório licenses/ contém todas as licenças dos componentes de infraestrutura de hardware e software de uma instância da nuvem distribuída. Consulte a documentação de licenças para ver uma descrição completa do diretório e do respetivo formato esperado.

7.1.6. Crie uma cellconfig

Com todas as entradas anteriores, crie um cellconfig:

gdcloud system assets create \
  --devices ./devices.csv \
  --cables ./cables.csv \
  --ciq ./ciq.yaml \
  --license-dir ./licenses/ \
  --secrets secrets.yaml \
  --output ./output

Para mais informações, consulte o manual de procedimentos do erro INV-E1001 ou do código de erro associado.

Para verificar se existem problemas com comutadores incorretos, execute o seguinte comando:

gdcloud system preinstall install --config <cellcfg> --config-file-only

7.2. Potenciais problemas

7.2.1. Tenha cuidado com o ID da célula na configuração da célula

TLDR: por vezes, devices.csv ou cables.csv tem um identificador de célula incorreto. Por conseguinte, um ficheiro de configuração de célula gerado contém nomes de recursos incorretos.

Solução alternativa: verifique os ficheiros de configuração das células para se certificar de que o prefixo dos nomes dos recursos corresponde ao esperado.

Exemplo: se um identificador de célula for ai, todos os nomes de recursos têm de começar por ai-. Se alguns deles tiverem um prefixo diferente, trata-se de um problema que tem de corrigir previamente.

7.2.2. Endereço MAC da firewall em falta

Resumo: os endereços MAC das firewalls da Palo Alto estão em falta no ficheiro devices.csv recebido da HPE.

Alternativa:

Se for a primeira vez, aceda aos dispositivos Palo Alto com as suas credenciais predefinidas.

Se não forem fornecidas credenciais, siga este guia da Palo Alto para configurar as credenciais.

Depois de aceder, execute o seguinte comando para obter os endereços MAC dos aparelhos e adicioná-los ao ficheiro devices.csv na coluna nic3mac:

show system info

7.2.3. Faltam endereços MAC do HSM

TLDR: os endereços MAC dos dispositivos HSM estão em falta no ficheiro devices.csv recebido da HPE.

Solução alternativa (para cada dispositivo HSM):

  1. Inicie sessão no dispositivo através da consola de série.

  2. Identifique o endereço MAC da interface de rede de gestão.

    ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))

    O exemplo seguinte mostra o resultado de um exemplo de endereço MAC obtido após a execução do comando:

    ksadmin@ciphertrust:~$ ip -brief link \
    | grep --color=never '^e' \
    | grep -v DOWN \
    | grep -o -E --color=none '([0-9A-Fa-f]{2}:){5}[0-9A-Fa-f]{2}' \
    | grep -vf <(nmcli \
        | grep i40e \
        | cut -d "," -f 2 \
        | sed -e 's/^[[:space:]]*//' \
        | sed 's/[A-Z]/\L&/g'))
00:15:b2:b0:3e:80

  3. Edite devices.csv e introduza o endereço MAC de gestão na coluna nic3mac para o dispositivo.

  4. Edite devices.csv e introduza mgmt0 na coluna nic3_MGMT_port_name para o dispositivo.

  5. Identifique o endereço MAC da primeira interface de rede do plano de dados.

    export DATA0_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | head -1); echo ${DATA0_MAC}

  6. Edite devices.csv e introduza o endereço DATA0_MAC na coluna nic1mac do dispositivo.

  7. Edite devices.csv e introduza data0 na coluna nic1_Data1_port_name para o dispositivo.

  8. Identifique o endereço MAC da segunda interface de rede do plano de dados.

    export DATA1_MAC=$(nmcli | grep i40e | cut -d "," -f 4 \
  | sed 's/port//g' \
  | sed -e 's/^[[:space:]]*//' \
  | sed 's/[A-Z]/\L&/g' \
  | sed 's/.\{2\}/&:/g' \
  | sed 's/:$//g' \
  | sort | tail -1); echo ${DATA1_MAC}

  9. Edite devices.csv e introduza o endereço DATA1_MAC na coluna nic2mac do dispositivo.

  10. Edite devices.csv e introduza data1 na coluna nic2_Data2_port_name para o dispositivo.

7.2.4. Número de série em falta para o armazenamento de objetos

TLDR: o número de série dos dispositivos de armazenamento de objetos está em falta no ficheiro devices.csv recebido da HPE.

Solução alternativa: se, ao gerar a configuração, receber um erro semelhante a serial number () should be alphanumeric during cellcfg validation, referente a um dispositivo do tipo xx-ac-objs0n, tem de recuperar o número de série do dispositivo. Pode encontrá-lo na etiqueta deslizante impressa presente na parte superior do aparelho. O número de série tem de ser colocado na coluna serial_number do ficheiro devices.csv.