Para efetuar o provisionamento Zero Touch o device precisa estar corretamente licenciado, a licença é sempre atrelada ao e-mail de uma empresa e a um UUID, este passo é fundamental pois a aprovação e confirmação do provisionamento é enviada por e-mail, além disso, pois todo provisionamento é vinculado ao UUID de um appliance.
Além disso, para que o Zero Touch provisioning funcione, é obrigatório possuir um link válido configurado de modo a atingir o portal de licenças da Blockbit de forma a validar esse licenciamento.
Antes de você configurar um provisionamento é necessário ter criado um Device Template ou um Policy Package para adicionar ao device durante o provisionamento.
Como as políticas do GSM que estiverem no header tem prioridade sob as do UTM, É recomendável que ao criar um policy package para ser usada no provisionamento, que elas sejam criadas no footer por segurança para que elas não sobrescrevam permissões importantes das políticas do UTM.
Network - Traffic Shaping, caso contrário, a política não funcionará.
Ao efetuar um deploy utilizando uma política que use QoS, será necessário ativar a interface WAN emAtravés do botão “Create Device” é possível criar um novo dispositivo para provisionamento. Para acessar, siga os passos a seguir:
1. Clique na opção “Create Device”;
Provisioning – Create Device
2. A janela "Device" é composta da aba "General", "Network" e "Certificate". Ao adicionar um device para provisionamento preencha os campos com as configurações do device, basicamente como se fosse instalar um UTM normalmente. Complete os campos, conforme demonstrado a seguir:
Create Device – Device - General
- Name: Nome do Device. Ex.: Provisioned Device;
- Company: Define o nome da empresa. Ex.: Blockbit;
- User Admin: Insira o mesmo usuário administrador que foi cadastrado durante a instalação do UTM. Ex.: admin;
- Password: Insira a senha cadastrada durante a instalação do UTM. Esta senha precisa ter no mínimo oito caracteres, conter letras maiúsculas, minúsculas e caracteres especiais. Ex.: q1W@e3R$;
- Device Template: Através deste campo, é possível adicionar os template criados em Device Template para este device;
- Policy Package: Através deste campo, é possível adicionar os pacotes de política criados em Policy Package para este device;
- UUID: Digitar o código de identificação única do UTM, ele pode ser localizado no Dashboard - System no widget license;
- Description: Descrição do Device. Ex.: Provisioned Device Settings.
3. Após preencher os campos na guia "Geral", preencha os campos na guia "Rede", conforme mostrado abaixo:
Create Device – Device - Network
- Hostname: Define o Hostname. Pode ser qualquer um desde que esteja conforme padrão FQDN - Fully Qualified Domain Name. Ex.: GSM;
- Language: Seleciona o idioma padrão. Ex.: English;
- Timezone: Seleciona o fuso horário. Ex.: America/Sao_Paulo;
- Gateway: Define a rota padrão da rede. Ex.: 176.16.102.1;
- Suffix DNS: Determina o domínio da rede. Ex.: blockbit.com;
- DNS Server: Define o servidor DNS da rede ou da internet. Ex.: 176.16.102.161;
- NTP Server 1: Define o servidor de sincronização de relógio. Ex.: a.ntp.br;
- ETH[
- Endereço IP: Informar para qual endereço de rede será aplicado as configurações;
- Máscara de Rede: Informar qual será a máscara de rede;
- Zona de rede: Determine qual será a Zona de Rede. Por padrão, as opções padrão são: LAN, WAN e DMZ;
- DHCP Server[ ]: Ative essa caixa de checagem para distribuir os endereços IP na medida em que os dispositivos da rede solicitarem conexão;
]: Ative as interfaces de rede desejadas marcando a caixa de checagem;
Caso seja definido um IP na porta eth0, ao realizar o provisionamento do UTM, a mudança do IP será aplicada substituindo o DHCP, sendo assim necessário que o usuário acesse o IP definido na porta 98.
4. Após completar os campos da aba "Network", complete os campos da aba "Certificate", conforme demonstrado a seguir:
Create Device – Device - Certificate
- Country: Define o país. Ex.: BR;
- State: Define o estado. Ex.: Sao Paulo;
- City: Define a cidade. Ex.: Sao Paulo;
- Organization: Define o nome da empresa. Ex.: Blockbit;
- E-mail: Define o e-mail do administrador. Ex.: user@blockbit;
- Organizational Unit: Define o departamento. Ex.: QA;
- Expires (years): Define o tempo de validade do certificado. Ex.: 10;
- Hostname: Define o FQDN para o certificado. Ex.: utm.blockbit.com.
5. Para salvar as alterações clique em Save[ ], caso contrário, clique em Cancel[ ] para fechar a janela.
Successfully saved
Ao salvar as configurações, um e-mail de confirmação será enviado para o endereço que estiver cadastrado no Portal de Licenças da Blockbit. Será necessário clicar no link que aparecerá no corpo do e-mail para de fato iniciar o provisionamento propriamente dito.
Provisioning - E-mail de confirmação
Um e-mail de confirmação será enviado ao autorizar o provisionamento, conforme demonstrado abaixo:
Provisioning - Confirmação do provisionamento
É possível acompanhar o progresso do provisionamento através da coluna Status e Progress na aba de Provisioning do GSM, conforme demonstrado abaixo:
Provisioning - Progresso do provisionamento
Também é possível ver o andamento do provisionamento pela própria interface do UTM que será provisionado. Conforme demonstrado na imagem a seguir:
Provisioning - Provisionamento em andamento
Esta tela será exibida em português ou inglês de acordo com as configurações do navegador do usuário.
Caso o provisionamento seja concluído com sucesso, será feito um redirecionamento automático para a tela de login ocorrerá, como demonstrado abaixo:
Provisioning - Redirecionamento
Ao ser direcionado à tela de Login, provavelmente não será possível acessar o sistema imediatamente graças a finalização das configurações de provisionamento, aguarde até o acesso ter sido liberado. Durante esta etapa é extremamente importante não desligar o device. Caso as configurações ainda estejam sendo efetuadas, uma notificação será exibida bloqueando o acesso ao tentar efetuar login. Para ter uma visão mais precisa a respeito do progresso do provisionamento, cheque a coluna Status e Progress na aba de Provisioning do GSM.
aba de Provisioning do GSM para ter uma visão mais precisa do progresso do procedimento. Caso haja uma queda de energia durante qualquer momento do provisioning, é recomendável remover o provisionamento que foi feito no GSM, acessar o CLI e utilizar o comando rewizard no appliance, de modo que o provisionamento seja reiniciado desde o passo inicial e também para reiniciar todas as configurações de instalação que serão efetuadas no UTM.
ATENÇÃO: Ao efetuar o Zero Touch provisioning, NÃO desligue o device antes de conseguir de fato se logar no UTM. Verifique a coluna Status e Progress naCaso o provisionamento seja efetuado com sucesso, o device será exibido na aba Inventory, da mesma forma que um device vinculado manualmente.
Provisioning - Device movida para aba Inventory
Ao finalizar o Zero Touch Provisioning com sucesso, o UTM estará também automaticamente com a licença validada, sendo administrado pelo GSM em Central Management, com o deploy das Device Templates e Policy Packages definidas no GSM aplicadas.
Após terminar de configurar o Zero Touch Provisioning, caso necessite enviar logs para o GSM, acesse no UTM o menu Settings, opção Administration, aba Central Management, marque a caixa de checagem Enable Manager [ ] e configure o campo Manager Address com o IP do logger do GSM.
Caso o provisionamento não seja concluído com sucesso, surgirá um painel com dois botões:
Provisioning - Configure Provisioning
Caso o provisionamento não ocorra porque o DNS não consegue prover um caminho válido até o Portal de Licenças da Blockbit, clique no botão [
] de modo que o painel ilustrado abaixo seja exibido, nele é possível configurar um IP válido de modo que o UTM consiga efetuar o licenciamento corretamente.Provisioning - Add a valid IP
Através da opção [página de configuração do Wizard do UTM.
] é possível efetuar a configuração manualmente, ao selecionar esta opção você será direcionado para o Wizard padrão. Isso também ocorrerá caso a licença tenha vencido ou expirado, o usuário será notificado e direcionado para o Wizard normal. Para mais informações a respeito de como configurá-lo, vide aCaso seja necessário utilizar o comando rewizard em uma máquina que já foi provisionada, primeiramente é necessário remover ela da aba Inventory do GSM.
Feito isso, será necessário criar um novo provisionamento para a máquina que passou pelo rewizard.
Após estes passos, o processo é o mesmo.
Para mais informações a respeito das colunas da aba Provisioning clique neste link para mais informações a respeito de provisionamento em lote, consulte esta página.