Condividi tramite

Progettazione del ripristino di emergenza

  • Articolo

rete WAN virtuale consente di aggregare, connettere, gestire centralmente e proteggere tutte le distribuzioni globali. Le distribuzioni globali possono includere qualsiasi combinazione di rami diversi, Point-of-Presence (PoP), utenti privati, uffici, reti virtuali di Azure e altre distribuzioni multi-cloud. È possibile usare SD-WAN, VPN da sito a sito, VPN da punto a sito ed ExpressRoute per connettere i diversi siti a un hub virtuale. Se si dispone di più hub virtuali, tutti gli hub saranno connessi in mesh completa in una distribuzione di rete WAN virtuale standard.

Questo articolo illustra come progettare diversi tipi di opzioni di connettività di rete come servizio supportate da rete WAN virtuale per il ripristino di emergenza.

Opzioni di connettività di rete come servizio di rete WAN virtuale

rete WAN virtuale supporta le opzioni di connettività back-end seguenti:

  • Connettività utente remoto
  • Vpn da sito a sito/succursale/SD-WAN/da sito a sito
  • Connettività privata (peering privato ExpressRoute)

Per ognuna di queste opzioni di connettività, rete WAN virtuale distribuisce un set separato di istanze del gateway all'interno di un hub virtuale.

Intrinsecamente, rete WAN virtuale è progettato per offrire una soluzione di aggregazione di rete a disponibilità elevata di livello vettore. Per la disponibilità elevata, rete WAN virtuale crea un'istanza di più istanze quando ognuno di questi diversi tipi di gateway viene distribuito con in un hub rete WAN virtuale. Per altre informazioni sulla disponibilità elevata di ExpressRoute, vedere Progettazione per la disponibilità elevata con ExpressRoute.

Con il gateway VPN da punto a sito, il numero minimo di istanze distribuite è due. Con il gateway VPN da punto a sito, si sceglie la capacità di velocità effettiva aggregata dei gateway da punto a sito e viene eseguito automaticamente il provisioning di più istanze. È possibile scegliere la capacità di aggregazione in base al numero di client o utenti che si intende connettere all'hub virtuale. Dal punto di vista della connettività client, le istanze del gateway VPN da punto a sito sono nascoste dietro il nome di dominio completo (FQDN) del gateway.

Per il gateway VPN da sito a sito, due istanze del gateway vengono distribuite all'interno di un hub virtuale. Ogni istanza del gateway viene distribuita con un proprio set di indirizzi IP pubblici e privati. La schermata seguente mostra gli indirizzi IP associati alle due istanze di una configurazione del gateway VPN da sito a sito di esempio. In altre parole, le due istanze forniscono due endpoint di tunnel indipendenti per stabilire la connettività VPN da sito a sito dai rami. Per ottimizzare la disponibilità elevata, vedere Selezione del percorso di Azure tra più collegamenti ISP.

Screenshot che mostra una configurazione del gateway da sito a sito da sito a sito N.

Ottimizzare la disponibilità elevata dell'architettura di rete è un primo passaggio fondamentale per la continuità aziendale e il ripristino di emergenza.Maximizing the high-availability of your network architecture is a key first step for Business Continuity and Disaster Recovery (BCDR). Nel resto di questo articolo, come indicato in precedenza, andiamo oltre la disponibilità elevata e esaminiamo come progettare la rete di connettività rete WAN virtuale per BCDR.

Necessità di una progettazione del ripristino di emergenza

Il disastro può colpire in qualsiasi momento, ovunque. L'emergenza può verificarsi in un'area o in una rete del provider di servizi, all'interno di una rete del provider di servizi o all'interno di una rete locale. L'impatto regionale di un servizio cloud o di rete a causa di determinati fattori come calamità naturali, errori umani, guerra, terrorismo, configurazione errata sono difficili da escludere. Per garantire la continuità delle applicazioni aziendali critiche, è quindi necessario avere una progettazione del ripristino di emergenza. Per una progettazione completa del ripristino di emergenza, è necessario identificare tutte le dipendenze che potrebbero non riuscire nel percorso di comunicazione end-to-end e creare ridondanza non sovrapposta per ogni dipendenza.

Indipendentemente dal fatto che le applicazioni cruciali vengano eseguite in un'area di Azure, in locale o in qualsiasi altro luogo, è possibile usare un'altra area di Azure come sito di failover. Gli articoli seguenti illustrano il ripristino di emergenza dalle applicazioni e dalle prospettive di accesso front-end:

Problemi relativi all'uso della connettività ridondante

Quando si interconnette lo stesso set di reti usando più di una connessione, si introducono percorsi paralleli tra le reti. I percorsi paralleli, se non elaborati correttamente, potrebbero causare il routing asimmetrico. Se nel percorso sono presenti entità con stato (ad esempio NAT, firewall), il routing asimmetrico potrebbe bloccare il flusso del traffico. In genere, tramite la connettività privata non sono presenti entità con stato, ad esempio NAT o Firewall. Pertanto, il routing asimmetrico sulla connettività privata non blocca necessariamente il flusso del traffico.

Tuttavia, se si bilancia il carico del traffico tra percorsi paralleli con ridondanza geografica, si riscontrano prestazioni di rete incoerenti a causa della differenza nel percorso fisico delle connessioni parallele. È quindi necessario considerare le prestazioni del traffico di rete sia durante lo stato stabile (stato non di errore) che uno stato di errore come parte della progettazione del ripristino di emergenza.

Accedere alla ridondanza della rete

La maggior parte dei servizi SD-WAN (soluzioni gestite o altro) fornisce la connettività di rete tramite più tipi di trasporto (ad esempio Internet broadband, MPLS, LTE). Per proteggersi dagli errori di rete del trasporto, scegliere la connettività su più reti di trasporto. Per uno scenario utente domestico, è possibile prendere in considerazione l'uso della rete mobile come backup per la connettività di rete a banda larga.

Se la connettività di rete su un tipo di trasporto diverso non è possibile, scegliere la connettività di rete tramite più provider di servizi. Se si ottiene la connettività tramite più provider di servizi, assicurarsi che i provider di servizi mantengano reti di accesso indipendenti non sovrapposte.

Considerazioni sulla connettività degli utenti remoti

La connettività utente remota viene stabilita usando una VPN da punto a sito tra un dispositivo finale e una rete. In seguito a un errore di rete, il dispositivo finale si ritirerà e tenterà di riabilitare il tunnel VPN. Pertanto, per la VPN da punto a sito, la progettazione del ripristino di emergenza deve mirare a ridurre al minimo il tempo di ripristino dopo un errore. La ridondanza di rete seguente consente di ridurre al minimo il tempo di ripristino. A seconda dell'importanza delle connessioni, è possibile scegliere alcune o tutte queste opzioni.

  • Accedere alla ridondanza della rete (descritta in precedenza).
  • Gestione dell'hub virtuale ridondante per la terminazione VPN da punto a sito. Quando si dispone di più hub virtuali con gateway da punto a sito, la rete WAN virtuale fornisce un elenco di profili globale che elenca tutti gli endpoint da punto a sito. Con il profilo globale, i dispositivi finali possono connettersi all'hub virtuale più vicino disponibile che offre le migliori prestazioni di rete. Se tutte le distribuzioni di Azure si trovano in una singola area e i dispositivi finali che si connettono si trovano in prossimità dell'area, è possibile avere hub virtuali ridondanti all'interno dell'area. Se la distribuzione e i dispositivi finali vengono distribuiti in più aree, è possibile distribuire l'hub virtuale con gateway da punto a sito in ogni area selezionata. rete WAN virtuale dispone di una gestione traffico predefinita che seleziona automaticamente l'hub migliore per la connettività utente remota.

Il diagramma seguente illustra il concetto di gestione dell'hub virtuale ridondante con il rispettivo gateway da punto a sito all'interno di un'area.

Diagramma dell'aggregazione da punto a sito multi-hub.

Nel diagramma precedente, le linee verdi solide mostrano le connessioni VPN da punto a sito primarie e le linee gialle tratteggiate mostrano le connessioni di backup stand-by. Il profilo globale da punto a sito della rete WAN virtuale seleziona le connessioni primarie e di backup in base alle prestazioni di rete. Per altre informazioni sul profilo globale, vedere Scaricare un profilo globale per i client VPN utente .

Considerazioni sulla VPN da sito a sito

Si consideri ora l'esempio di connessione VPN da sito a sito illustrata nel diagramma seguente per la discussione. Per stabilire una connessione VPN da sito a sito con tunnel attivi-attivi a disponibilità elevata, vedere Esercitazione: Creare una connessione da sito a sito con Azure rete WAN virtuale.

Diagramma della connessione di un ramo locale alla rete WAN virtuale tramite P P da sito a sito.

Nota

Per una facile comprensione dei concetti illustrati nella sezione, non viene ripetuta la discussione sulla funzionalità a disponibilità elevata del gateway VPN da sito a sito che consente di creare due tunnel in due endpoint diversi per ogni collegamento VPN configurato. Tuttavia, durante la distribuzione di una delle architetture suggerite nella sezione, ricordarsi di configurare due tunnel per ognuno dei collegamenti stabiliti.

Per proteggersi da errori di VPN Customer Premises Equipment (CPE) in un sito di succursale, è possibile configurare collegamenti VPN paralleli a un gateway VPN da dispositivi CPE paralleli nel sito di succursale. Oltre a proteggere da errori di rete di un provider di servizi dell'ultimo miglio alla succursale, è possibile configurare collegamenti VPN diversi su una rete del provider di servizi diversa. Il diagramma seguente mostra più collegamenti VPN provenienti da due CPE diversi di un sito di succursale che termina nello stesso gateway VPN.

Diagramma delle connessioni da sito a sito V N ridondanti a un sito di succursale.

È possibile configurare fino a quattro collegamenti a un sito di succursale da un gateway VPN dell'hub virtuale. Durante la configurazione di un collegamento a un sito di succursale, è possibile identificare il provider di servizi e la velocità effettiva associata al collegamento. Quando si configurano collegamenti paralleli tra un sito di succursale e un hub virtuale, il gateway VPN per impostazione predefinita bilancia il carico del traffico tra i collegamenti paralleli. Il bilanciamento del carico del traffico sarebbe basato su Equal-Cost Multi-Path (ECMP) in base al flusso.

La topologia a più collegamenti protegge dagli errori del dispositivo CPE e da un errore di rete del provider di servizi nella posizione locale del ramo. Inoltre, per proteggersi da tempi di inattività di un gateway VPN-gateway dell'hub virtuale, la topologia multi-hub multi-link può essere utile. Il diagramma seguente illustra la topologia, in cui più hub virtuali sono configurati in un'istanza di rete WAN virtuale all'interno di un'area:

Diagramma delle connessioni da sito a sito da sito a sito multi-hub da sito A N a un sito di succursale.

Nella topologia precedente, poiché la latenza all'interno dell'area di Azure sulla connessione tra gli hub è insignificante, è possibile usare tutte le connessioni VPN da sito a sito tra l'ambiente locale e i due hub virtuali in stato attivo-attivo distribuendo le reti virtuali spoke tra gli hub. Per impostazione predefinita, nella topologia il traffico tra una rete virtuale locale e una rete virtuale spoke attraversa direttamente l'hub virtuale a cui è connessa la rete virtuale spoke durante lo stato stabile e usa un altro hub virtuale come backup solo durante uno stato di errore. Il traffico attraversa l'hub connesso direttamente nello stato stabile, perché le route BGP annunciate dall'hub direttamente connesso avrebbero percorso AS più breve rispetto all'hub di backup.

La topologia multi-hub multi-link consente di proteggere e garantire la continuità aziendale dalla maggior parte degli scenari di errore. Tuttavia, se un errore irreversibile arresta l'intera area di Azure, è necessaria una topologia a più aree per resistere all'errore.

La topologia a più aree protegge anche da un errore irreversibile di un'intera area, oltre alle protezioni offerte dalla topologia multi-hub multi-link illustrata in precedenza. Il diagramma seguente illustra la topologia a più aree a più collegamenti. Gli hub virtuali in un'area diversa possono essere configurati nella stessa istanza di rete WAN virtuale.

Diagramma delle connessioni da sito a sito da sito a sito N a un sito di succursale.

Dal punto di vista della progettazione del traffico, è necessario prendere in considerazione una differenza sostanziale tra la presenza di hub ridondanti all'interno di un'area e la presenza dell'hub di backup in un'area diversa. La differenza è la latenza risultante dalla distanza fisica tra le aree primarie e secondarie. Pertanto, è possibile distribuire le risorse del servizio a stato stabile nell'area più vicina agli utenti del ramo o agli utenti finali e usare l'area remota esclusivamente per il backup.

Se le sedi locali dei rami sono distribuite in due o più aree di Azure, la topologia multi-link multi-area sarà più efficace nella distribuzione del carico e nell'ottenere un'esperienza di rete migliore durante lo stato stabile. Il diagramma seguente illustra la topologia a più aree con più collegamenti con rami in aree diverse. In questo scenario, la topologia fornirà anche un'efficace continuità aziendale ripristino di emergenza (BCDR).

Diagramma delle connessioni da sito a sito da sito a sito N da sito a sito a siti multi-succursale.

Considerazioni su ExpressRoute

Le considerazioni sul ripristino di emergenza per il peering privato ExpressRoute sono descritte in Progettazione per il ripristino di emergenza con il peering privato ExpressRoute. Come indicato nell'articolo, i concetti descritti in tale articolo si applicano equamente ai gateway ExpressRoute creati all'interno di un hub virtuale. L'uso di un hub virtuale ridondante all'interno dell'area, come illustrato nel diagramma seguente, è l'unico miglioramento della topologia consigliato per le considerazioni sulla rete da piccola a media locale.

Diagramma della connettività ExpresssRoute multi-hub.

Nel diagramma precedente, ExpressRoute 2 viene terminato in un gateway ExpressRoute separato all'interno di un secondo hub virtuale all'interno dell'area.

Passaggi successivi

In questo articolo sono stati illustrati rete WAN virtuale progettazione del ripristino di emergenza. Gli articoli seguenti illustrano il ripristino di emergenza dalle applicazioni e dalle prospettive di accesso front-end:

Per creare una connettività da punto a sito a rete WAN virtuale, vedere Esercitazione: Creare una connessione VPN utente con Azure rete WAN virtuale. Per creare una connettività da sito a sito a rete WAN virtuale vedere Esercitazione: Creare una connessione da sito a sito con Azure rete WAN virtuale. Per associare un circuito ExpressRoute a rete WAN virtuale, vedere Esercitazione: Creare un'associazione ExpressRoute con Azure rete WAN virtuale.