Contrail Service Orchestration Bausteine

Administratoren

CSO verwendet ein hierarchisches, domänenbasiertes Administrations-Framework. Nach der CSO-Installation heißt der erste Administrator standardmäßig cspadmin . Dieser Administrator wird auch als Global Service Provider (SP)-Administrator bezeichnet. Dieser SP-Administrator hat vollen Lese- und Schreibzugriff auf die gesamte CSO-Plattform von der globalen Domäne aus. In CSOaaS ist die Rolle cspadmin für Juniper Networks reserviert. Der SP-Administrator kann andere Administratoren und Betreiber erstellen, bearbeiten und löschen, die rollenbasierten Zugriffssteuerungen (RBAC) unterliegen und ihnen Berechtigungen für die verschiedenen Objekte in CSO zuweisen.

Die nächste Administratorebene ist der Betriebs- oder OpCo-Administrator. In CSOaaS ist der OpCo-Administrator die höchste Administratorstufe, die Abonnenten von Managed Service Providern zur Verfügung steht. Der erste Administrator für eine bestimmte OpCo wird vom SP-Administrator erstellt. Dieser Benutzer verfügt über vollständige Administratorrechte innerhalb einer OpCo-Domäne. In einer CSO-On-Premises-Installation kann ein OpCo als regionalspezifischer Service Provider innerhalb des globalen Service Providers betrachtet werden. Der OpCo-Administrator kann andere Administratoren und Betreiber innerhalb der OpCo-Domäne und ihrer Mandanten erstellen, kann sich jedoch nicht auf Elemente der globalen Domäne oder auf die Domäne anderer OpCos auswirken. Bei der erfolgreichen Anmeldung durch den OpCo-Administrator werden sie im Administrationsportal ihrer OpCo gespeichert.

Die andere Administratorebene ist der Mandantenadministrator. Dieser Administrator hat vollen Zugriff auf alle Objekte innerhalb eines einzelnen Mandanten und kann andere Administrator- und Betreiberbenutzer innerhalb dieses Mandanten erstellen. Die Anmeldung des Mandantenadministrators platziert sie im Kundenportal für diesen Mandanten.

Es gibt auch OpCo- und Mandantenbetreiberbenutzer. Betreiberbenutzer werden von Administratoren in ihrer jeweiligen Domain erstellt. Standardmäßig haben Betreiber schreibgeschützten Zugriff auf die Elemente in ihrer Domäne.

Dies ist in Tabelle 1 zusammengefasst:

Tabelle 1: Zuordnung von Benutzern zu Portalen und Domains
Benutzer	Portal	Zugriff	Domäne
cspadmin	Verwaltung	Lesen/Schreiben	Globalen
OpCo-Administrator	Verwaltung	Lesen/Schreiben	eigene OpCo-Domain
OpCo-Betreiber	Verwaltung	Nur lesen	eigene OpCo-Domain
Mandantenadministrator	Kunde	Lesen/Schreiben	eigene Mandantendomäne
Mandantenbetreiber	Kunde	Nur lesen	eigene Mandantendomäne

Domänen

Jede CSO-Installation unterstützt eine einzige globale Domäne, auf die der SP-Administrator zugreifen kann. Für CSOaaS ist diese Domäne für Abonnenten nicht zugänglich.

Innerhalb der globalen Domain kann es mehrere OpCo-Domänen geben. In der CSO-On-Premises-Installation entsprechen diese Domänen den regionalen Service Providern oder einem beliebigen Schema, das Sie zur Aufteilung der Administrativen Verantwortlichkeiten verwenden. Eine einfachere Administrative Einrichtung kann sich für eine einzige OpCo-Domäne entscheiden. Für CSOaaS entspricht jede OpCo-Domäne einem einzelnen Managed Service Provider-Abonnenten.

In jeder OpCo-Domäne befinden sich die Mandantendomänen. Dies sind die einzelnen Unternehmen, deren WAN-Konnektivität verwaltet wird. Für die CSO-On-Premises-Installation sind diese Mandanten die Kunden entweder des regionalen Service Providers oder des globalen Service Providers. Für CSOaaS können diese Mandanten Kunden eines Managed Service Providers sein, der CSOaaS abonniert, oder die Mandanten können direkt CSOaaS-Abonnenten sein.

Portale

CSO bietet ein Verwaltungsportal für Serviceanbieter und OpCos zur Verwaltung ihrer jeweiligen Domains sowie ein Kundenportal für Mandanten zur Verwaltung ihrer jeweiligen Domains. Der Zugriff auf ein beliebiges Portal in einer bestimmten Domain wird durch die Anmelderechte eines Benutzers gesteuert. Wenn Ihre Anmeldung keinen Zugriff auf das Administrationsportal gewährt, können Sie keine Elemente dieses Portals einsehen oder darauf zugreifen.

Administrationsportale ermöglichen die Erstellung und Erstellung weiterer übergeordneter Objekte, die Mandanten innerhalb der Kundenportale nutzen.

Kundenportale bieten Mandantenzugriff auf eine Teilmenge der Objekte, die in Verwaltungsportalen vorhanden sind. Ein OpCo-Administrator kann auf das Kundenportal für einen Mandanten zugreifen, indem er auf den Mandantenlink auf der Seite Mandanten im Verwaltungsportal klicken.

Mieter

CSO verwendet das Mandantenelement, um einen Kunden logisch von einem anderen zu trennen. Ein OpCo-Administrator erstellt einen Mandanten, der jeden Kunden repräsentiert, für den er Netzwerkservices bereitstellt.

Mithilfe von RBAC und anderen Mitteln wie virtuelle Routing- und Weiterleitungsinstanzen (VRF) innerhalb des Netzwerks hält CSO alle Mandanten- und OpCo-Objekte innerhalb ihres eigenen Raums ummauert. Dazu gehört letztendlich auch der Datenverkehr, der die Kundennetzwerke durchquert. Kein einzelner Mandant, seine Administratoren, Betreiber oder Kunden können die Objekte eines anderen Mandanten oder Kunden sehen oder mit ihnen interagieren. Mandanten können auf beliebige Weise benannt werden, die für den Sp- oder OpCo-Administrator am sinnvollsten ist.

Points of Presence (POPs)

Ein POP ist ein physischer Standort, normalerweise am Netzwerk-Edge des Anbieters, der als Abgrenzungs- oder Austauschpunkt zwischen zwei oder mehr Netzwerken fungiert. POPs werden in SD-WAN-Bereitstellungen verwendet, um Netzwerkzugriff und Netzwerkservices näher an den Benutzern zu lokalisieren, die sie benötigen. Je nach Bedarf und Verfügbarkeit können bei jedem POP unterschiedliche Netzwerkservices und unterschiedliche Verbindungsarten angeboten werden.

In CSO bricht der Mandantendatenverkehr in der Regel aus dem Mandanten-Overlay-Netzwerk in das Provider-Underlay-Netzwerk oder internet. Der SP- oder OpCo-Administrator ist für das Erstellen des POP und das Hinzufügen von PE-Routern und Provider-Hub-Geräten zu diesem POP verantwortlich. Sobald ein Provider-Hub-Gerät hinzugefügt wurde, wird das Gerät für die Verwendung in einem Mandantennetzwerk ausgewählt. POPs können auf beliebige Weise benannt werden, die für den Sp- oder OpCo-Administrator am sinnvollsten ist.

Provider-Hub

Der Sp- oder OpCo-Administrator fügt den Provider-Hub zum POP hinzu. Der Provider-Hub kann eine oder beide der folgenden Rollen haben:

OAM: Ein OAM-Hub befindet sich logisch zwischen den CPEs und der CSO-Installation. Seine Rolle besteht darin, OAM-Datenverkehr von CSO zu empfangen und in sicheren Tunneln an die CPE-Zielgeräte weiterzuleiten. In der anderen Richtung empfängt der OAM-Hub OAM-Datenverkehr von CPE-Geräten in sicheren Tunneln und leitet ihn an CSO weiter. Diese Rolle ist nur in einer CSO-Bereitstellung vor Ort vorhanden. In CSOaaS ist diese Rolle Teil des bereitgestellten Service.
DATEN: Für Mandantendaten, der innerhalb des Mandantennetzwerks verbleibt, fungiert der Daten-Hub als Transit-Hub für den Standort-zu-Standort-Datenverkehr. Für Mandantendatenverkehr, der für das Provider-Netzwerk bestimmt ist, fungiert der Data Hub als Abgrenzungspunkt zwischen dem Overlay-Mandantennetzwerk und dem Underlay-Provider-Netzwerk. Der Provider Data Hub ist optional für Mandanten mit eigenen Daten-Hubs für Unternehmen. Wenn ein Mandant über einen Unternehmensdaten-Hub sowie einen zugewiesenen Provider-Daten-Hub verfügt, fungiert der zugewiesene Provider-Daten-Hub als Backup.

Nachdem der Provider Hub zum POP hinzugefügt wurde, kann der Sp- oder OpCo-Administrator den Provider Hub-Standort einem Mandanten zuordnen.

Websites

Bevor CSO das Overlay-Mandantennetzwerk aufbauen kann, muss CSO alle Standorte in diesem Netzwerk kennen. Ein Standort kann ein Provider-Hub-Standort, ein Enterprise-Hub-Standort, ein On-Premises-Spoke-Standort oder ein Cloud-Spoke-Standort sein (Tabelle 2).

Tabelle 2: Standorttypen nach Bereitstellung
Verfügbare Standorttypen	Hinzugefügt von	Verwendet	Servicehinweise
On-Premises-Spoke	Der Mandantenadministrator fügt die lokale Spoke-Site hinzu.	Geräte der NFX- oder SRX-Serie werden an Zweigstellenstandorten entweder in einer Hub-and-Spoke- oder Full-Mesh-Topologie platziert.	Ein On-Premises-Spoke verfügt über die folgenden Funktionen: SRX-Serie Die Services Gateways der SRX300-Serie unterstützen ADSL- und LTE-Schnittstellen. Die Services Gateways der SRX1500- und SRX300-Serie unterstützen PPPoE auf WAN-Ethernet-Schnittstellen. Geräte der SRX-Serie, die als On-Premises-Spoke-Geräte bereitgestellt werden, können keine VNF-basierten Netzwerkservices hosten. NFX-Serie Geräte der NFX-Serie, die als On-Premises-Spoke-Geräte verwendet werden, unterstützen ADSL-, VDSL- und LTE-Zugriffslinks, die auch für ZTP verwendet werden können. Die DSL-Zugangslinks ermöglichen die Konfiguration von PPPoE. Ab CSO-Version 4.0 können LTE-Zugriffslinks als primäre DATEN-, OAM- oder DATA_OAM-Links verwendet werden. Geräte der NFX-Serie unterstützen PPPoE auf WAN-Ethernet-Schnittstellen. Unterstützt lokale Breakouts bei Verwendung einer dynamischen Mesh-Topologie. Hinweis: ZTP mit einer xDSL-Schnittstelle funktioniert nicht, wenn die Verbindung PPPoE ist. Wenn die Verbindung überbrückt wird und DHCP verwendet, funktioniert ZTP auf xDSL-Schnittstellen.
Cloud-Spoke	Der Mandantenadministrator fügt die Cloud-Spoke-Site hinzu.	vSRX in der Amazon Web Services (AWS) Virtual Private Cloud (VPC) eines Mandanten platziert	Ein Cloud-Spoke verfügt über die folgenden Funktionen: Firewalls und UTM-Services sind verfügbar, um die Ressourcen des Kunden in einer AWS VPC zu schützen. Konnektivität zwischen VPC-Ressourcen und lokalen Standorten. WAN_0, WAN_1 und LAN-Schnittstellen müssen in der VPC vordefiniert sein. Zwei elastische IP-Adressen müssen in der VPC reserviert werden, um sie später an WAN-Schnittstellen anfügen zu können. VPC sollte erstellt und an ein Internet-Gateway angeschlossen werden. Nur eine Hub-and-Spoke-Topologie wird unterstützt. Der Hub muss auf seinen WAN-Schnittstellen über öffentliche IP-Adressen verfügen. Der Hub-WAN-Schnittstellentyp sollte während des Onboardings als Internet festgelegt werden.
Provider-Hub	Der SP- oder OpCo-Administrator fügt Provider-Hub-Standorte für einen Mandanten hinzu. Das Hinzufügen eines Provider-Hub-Standorts bedeutet, ein vorhandenes Provider-Hub-Gerät mit dem Mandanten zu verknüpfen. Dazu wechselt der SP- oder OpCo-Administrator zum Kundenportal für den Mandanten und fügt den Provider-Hub-Standort hinzu, indem er den POP und das Provider Hub-Gerät aus der Liste der verfügbaren POPs und Provider-Hub-Geräte auswählt. Der Name des Provider-Hub-Standorts wird automatisch auf den Namen des ausgewählten Provider-Hub-Geräts festgelegt.	Geräte der SRX-Serie spielen in einer Service Provider-Cloud eine zentrale Rolle. Die Hub-Geräte richten mit den Spoke-Standorten IPSec-Tunnel ein. Provider-Hub-Geräte sind durch die Verwendung von VRF-Instanzen, die auf ihnen konfiguriert sind, mandantenübergreifend (gemeinsam an mehreren Standorten).	Ein Provider-Hub verfügt über die folgenden Funktionen: Bevor ein Provider-Hub-Standort hinzugefügt werden kann, muss das Provider-Hub-Gerät erstellt werden. Für CSOaaS kann nur der OpCo-Administrator Provider-Data Hub-Standorte hinzufügen. Für die dynamische Mesh-Topologie ist ein Hub-Gerät erforderlich. Lokale Breakouts werden auf Provider-Hub-Standorten nicht unterstützt.
Enterprise Hub	Der Mandantenadministrator fügt den Enterprise-Hub-Standort hinzu.	Bietet zusätzliche hubähnliche Funktionen für einen normalen Spoke-Standort.	Ein Enterprise Hub verfügt über die folgenden Funktionen: Kann sich wie eine normale Spoke verhalten. Dient als Ankerpunkt für Spokes für die dynamische VPN-Erstellung. Bietet eine zentrale Breakout-Option vor Ort. Kann eine Datencenter-Abteilung hosten. Kann BGP- und OSPF-Routen vom LAN-seitigen L3-Gerät importieren, um ein dynamisches LAN-Segment für Datencenter zu erstellen. Automatisches Mesh mit anderen Enterprise-Hubs, die zum selben Mandanten gehören. Regelmäßige Spoke-Standorte können für die Verknüpfung mit Unternehmens-Hubs zugewiesen werden. Unterstützt lokale, zentrale und Cloud-Breakout-Profile mit absichtsbasierten Regeln für eine granularere Breakout-Steuerung.

Topologien

CSO unterstützt die folgenden Netzwerktopologien:

Standalone Topology — Diese Topologie ist eine Topologie, in der die Kunden oder Nutzer von Netzdiensten voneinander getrennt bleiben, ohne dass sie untereinander kommunizieren können, wie bei der NGFW-Lösung. Die NGFW-Lösung bietet Remote-Standortsicherheit mit Firewall-Geräten der nächsten Generation der SRX-Serie (Abbildung 1).

Abbildung 1: Eigenständige NGFW
Hub–and–Spoke Topology — Diese Topologie wird für SD-WAN-Bereitstellungen unterstützt. Der gesamte Datenverkehr, einschließlich Spoke-to-Spoke-Datenverkehr, läuft durch den Hub-Standort.

Abbildung 2 zeigt das Hub-and-Spoke-Konzept.

Abbildung 2: Hub-and-Spoke-Topologie
Dynamic Mesh Topology — Diese Topologie wird für SD-WAN-Bereitstellungen unterstützt. Abbildung 3 zeigt ein Beispiel für eine dynamische Mesh-Topologie, bei der der Datenverkehr direkt von jedem Standort zu jedem Standort fließen kann. Site-to-Site-Tunnel werden dynamisch basierend auf den Schwellenwerten für den Datenverkehr erstellt, wodurch Ressourcen eingespart und die Gesamtleistung verbessert wird. Mesh-Tags werden verwendet, um zu bestimmen, welche Standorte miteinander verbunden werden können.

Abbildung 3: Dynamische Mesh-Topologie

Virtual Route Reflector (VRR)

Der VRR ist Teil des SD-WAN-Controllers von CSO. Sie ist eine der virtuellen Maschinen, die während des Installationsprozesses bereitgestellt und installiert wird. Um das für die SD-WAN-Bereitstellung erforderliche Routing zu erleichtern, erstellt der VRR Overlay-BGP-Sitzungen mit CPE-Spokes und Hub-Geräten über die für die OAM-Funktion vorgesehene Underlay-Schnittstelle. Diese Auswahl treffen Sie mit dem Site-Workflow konfigurieren für das Standort-Onboarding. Abbildung 4 veranschaulicht das Konzept des VRR

Abbildung 4: VRR-Überblick VRR Overview

SLA-basierte Lenkungsprofile und -richtlinien

CSO ermöglicht die Erstellung von SLA-basierten Lenkungsprofilen, die den SD-WAN-Richtlinienabsichten für das Datenverkehrsmanagement in einer SD-WAN-Bereitstellung zugeordnet werden können. Die Profile sind so konzipiert, dass sie den Datenverkehr auf der Grundlage von SLA-Parametern wie Paketverlust, Round Trip Time (rtt) und Jitter-Schwellenwerten zu einem bestimmten WAN-Link leiten. SLA-Lenkprofile werden für globale Anwendungsdatenverkehrstypen für alle Mandanten erstellt. Ein SLA-Profil besteht aus einer Reihe konfigurierbarer Einschränkungen, die im Administrationsportal definiert werden können.

Sie können Folgendes festlegen:

Pfadpräferenz für jeden Verbindungspfad von Standort zu Standort
Pfadpräferenz für jeden Verbindungspfad von Standort zu Hub
Schwellenwertparameter für den Durchsatz
Schwellenwertparameter für Paketverluste
Schwellenwertparameter für Latenzzeiten
Schwellenwertparameter für Jitter
Class-of-Service für verschiedene Arten von Datenverkehr
Geschwindigkeitsbegrenzer zur Steuerung von Upstream- und Downstream-Datenverkehrsraten und Burst-Größen

Sobald das Steering-Profil vorhanden ist, kann eine absichtsbasierte SD-WAN-Richtlinie erstellt werden, die dieses Profil auf bestimmte Standorte oder Abteilungen und auf bestimmte Arten von Anwendungsdatenverkehr wie SSH und HTTP anwendet.

Hinweis:

Beim Erstellen eines SLA-Profils müssen Sie entweder die Pfadpräferenz oder einen der SLA-Parameter festlegen. Beide Felder können nicht gleichzeitig leer gelassen werden.

Weitere Informationen finden Sie in der Übersicht über SLA-Profile und SD-WAN-Richtlinien .

Pfadbasierte Lenkungsprofile

Pfadbasierte Lenkprofile sind eine vereinfachte Möglichkeit, den globalen Anwendungsverkehr auf einen bestimmten WAN-Pfad zu lenken. Mit diesen Profilen müssen Sie keine SLA-Parameter konfigurieren. Sie müssen nur angeben, welchen verfügbaren Pfad ein bestimmter Datenverkehrstyp nehmen soll. Genau wie bei SLA-Lenkprofilen können Sie Geschwindigkeitsbegrenzungsparameter für diese Profile festlegen. Sie müssen diese Profile auch einer SLA-Richtlinie zuweisen, bevor sie in Kraft treten.

Absichtsbasierte Firewall-Richtlinien

CSO, auf das über das Kundenportal zugegriffen wird, stellt Firewall-Richtlinien als absichtsbasierte Richtlinien dar. Firewall-Richtlinien bieten Sicherheitsfunktionen, indem sie Absichten für den Datenverkehr durchsetzen, der ein Gerät passiert. Der Datenverkehr wird basierend auf der Aktion zulässig oder abgelehnt, die als Firewall-Richtlinienabsicht definiert ist. Wenn Sie beabsichtigen, HTTP-basierten Datenverkehr von Social-Media-Websites zu blockieren, aber HTTP-basierten Datenverkehr von Microsoft Outlook zulassen, können Sie dazu eine Absichtsrichtlinie erstellen.

Weitere Informationen finden Sie unter Firewall-Richtlinienübersicht .

Software-Image-Management

Über das CSO-Verwaltungsportal können SP-Administratoren (cspadmin) Gerätesoftware-Images und VNF-Bilder auf die Seite Resources > Images hochladen. Der cspadmin-Benutzer in einer lokalen CSO-Bereitstellung kann Geräte-Images für unterstützte Geräte der SRX-Serie (einschließlich vSRX), Geräte der NFX-Serie und Geräte der EX-Serie hochladen.

Für CSOaaS kann ein OpCo-Administrator die Bilder sehen, die von Juniper Networks in CSO hochgeladen wurden. Er oder sie kann auch hochgeladene Geräte-Images auf CPE-Geräten und Zugriffs-Switches der EX-Serie inszenieren und bereitstellen.

AUF DIESER SEITE