Projekt odzyskiwania po awarii

  • Artykuł

Virtual WAN umożliwia agregowanie, łączenie, centralne zarządzanie i zabezpieczanie wszystkich wdrożeń globalnych. Wdrożenia globalne mogą obejmować dowolne kombinacje różnych gałęzi, punkt-of-presence (PoP), prywatnych użytkowników, biur, sieci wirtualnych platformy Azure i innych wdrożeń w wielu chmurach. Do połączenia różnych lokacji z koncentratorem wirtualnym można użyć sieci SD-WAN, sieci VPN typu lokacja-lokacja, sieci VPN typu punkt-lokacja i usługi ExpressRoute. Jeśli masz wiele koncentratorów wirtualnych, wszystkie koncentratory będą połączone w pełnej siatce w standardowym Virtual WAN wdrożeniu.

W tym artykule przyjrzyjmy się sposobom tworzenia architektury różnych typów opcji łączności sieci jako usługi, które Virtual WAN obsługują odzyskiwanie po awarii.

Opcje łączności sieci jako usługi Virtual WAN

Virtual WAN obsługuje następujące opcje łączności zaplecza:

  • Łączność użytkowników zdalnych
  • Branch/Office/SD-WAN/Site-to-site VPN
  • Łączność prywatna (prywatna komunikacja równorzędna usługi ExpressRoute)

Dla każdej z tych opcji łączności Virtual WAN wdraża oddzielny zestaw wystąpień bramy w koncentratonie wirtualnym.

Z natury Virtual WAN jest przeznaczona do oferowania rozwiązania agregacji sieci wysokiej dostępności. Aby uzyskać wysoką dostępność, Virtual WAN tworzy wystąpienie wielu wystąpień, gdy każdy z tych różnych typów bram jest wdrażany w centrum Virtual WAN. Aby dowiedzieć się więcej na temat wysokiej dostępności usługi ExpressRoute, zobacz Projektowanie pod kątem wysokiej dostępności za pomocą usługi ExpressRoute.

W przypadku bramy sieci VPN typu punkt-lokacja minimalna liczba wdrożonych wystąpień to dwie. W przypadku bramy sieci VPN typu punkt-lokacja wybierasz zagregowaną pojemność przepływności bram punkt-lokacja, a wiele wystąpień jest automatycznie aprowizowanych. Możesz wybrać zagregowaną pojemność zgodnie z liczbą klientów lub użytkowników, z którymi zamierzasz nawiązać połączenie z koncentratorem wirtualnym. Z punktu widzenia łączności klienta wystąpienia bramy sieci VPN typu punkt-lokacja są ukryte za w pełni kwalifikowaną nazwą domeny (FQDN) bramy.

W przypadku bramy sieci VPN typu lokacja-lokacja dwa wystąpienia bramy są wdrażane w koncentratonie wirtualnym. Każde wystąpienie bramy jest wdrażane przy użyciu własnego zestawu publicznych i prywatnych adresów IP. Poniższy zrzut ekranu przedstawia adresy IP skojarzone z dwoma wystąpieniami przykładowej konfiguracji bramy sieci VPN typu lokacja-lokacja. Innymi słowy, dwa wystąpienia zapewniają dwa niezależne punkty końcowe tunelu do ustanawiania łączności sieci VPN typu lokacja-lokacja z gałęzi. Aby zmaksymalizować wysoką dostępność, zobacz Wybór ścieżki platformy Azure w wielu linkach usługodawców internetowych.

Zrzut ekranu przedstawiający przykładową konfigurację bramy P N typu lokacja-lokacja.

Maksymalizacja wysokiej dostępności architektury sieci jest kluczowym pierwszym krokiem dla ciągłości działania i odzyskiwania po awarii (BCDR). W pozostałej części tego artykułu, jak opisano wcześniej, przejdźmy poza wysoką dostępność i omówimy sposób tworzenia architektury sieci łączności Virtual WAN dla bcDR.

Potrzeba projektowania odzyskiwania po awarii

Awaria może uderzać w dowolnym momencie w dowolnym miejscu. Awaria może wystąpić w regionach lub sieci dostawcy usług w chmurze w sieci dostawcy usług lub w sieci lokalnej. Regionalny wpływ usługi w chmurze lub sieci ze względu na pewne czynniki, takie jak naturalne katastrofy, błędy ludzkie, wojna, terroryzm, błędy, błędy konfiguracji są trudne do wykluczenia. Aby zapewnić ciągłość aplikacji o znaczeniu krytycznym dla działania firmy, musisz mieć projekt odzyskiwania po awarii. Aby uzyskać kompleksowy projekt odzyskiwania po awarii, należy zidentyfikować wszystkie zależności, które mogą zakończyć się niepowodzeniem w kompleksowej ścieżce komunikacyjnej i utworzyć nadmiarowość nienakładającą się dla każdej zależności.

Niezależnie od tego, czy uruchamiasz aplikacje o znaczeniu krytycznym w regionie świadczenia usługi Azure, lokalnie czy w innym miejscu, możesz użyć innego regionu platformy Azure jako lokacji trybu failover. Następujące artykuły obejmują odzyskiwanie po awarii z aplikacji i perspektyw dostępu frontonu:

Wyzwania związane z używaniem nadmiarowej łączności

Po połączeniu tego samego zestawu sieci przy użyciu więcej niż jednego połączenia należy wprowadzić ścieżki równoległe między sieciami. Ścieżki równoległe, gdy nie są prawidłowo zaprojektowane, mogą prowadzić do routingu asymetrycznego. Jeśli masz jednostki stanowe (na przykład TRANSLATOR adresów sieciowych, zaporę) w ścieżce, routing asymetryczny może blokować przepływ ruchu. Zazwyczaj za pośrednictwem łączności prywatnej nie będziesz mieć ani nie napotkać jednostek stanowych, takich jak translator adresów sieciowych lub zapór. W związku z tym routing asymetryczny za pośrednictwem łączności prywatnej nie musi blokować przepływu ruchu.

Jednak w przypadku równoważenia obciążenia ruchu między geograficznie nadmiarowymi ścieżkami równoległymi wydajność sieci byłaby niespójna ze względu na różnicę w ścieżce fizycznej połączeń równoległych. Dlatego musimy rozważyć wydajność ruchu sieciowego zarówno w stanie stabilnym (stan braku awarii), jak i stan awarii w ramach naszego projektu odzyskiwania po awarii.

Uzyskiwanie dostępu do nadmiarowości sieci

Większość usług SD-WAN (rozwiązania zarządzane lub w inny sposób) zapewnia łączność sieciową za pośrednictwem wielu typów transportu (na przykład szerokopasmowych internetowych, MPLS, LTE). Aby chronić przed awariami sieci transportowej, wybierz łączność przez więcej niż jedną sieć transportową. W przypadku scenariusza użytkownika macierzystego można rozważyć użycie sieci komórkowej jako kopii zapasowej dla łączności szerokopasmowej.

Jeśli łączność sieciowa za pośrednictwem innego typu transportu nie jest możliwa, wybierz łączność sieciową za pośrednictwem więcej niż jednego dostawcy usług. Jeśli uzyskujesz łączność za pośrednictwem więcej niż jednego dostawcy usług, upewnij się, że dostawcy usług utrzymują nie nakładające się niezależne sieci dostępu.

Zagadnienia dotyczące łączności użytkowników zdalnych

Łączność użytkownika zdalnego jest ustanawiana przy użyciu sieci VPN typu punkt-lokacja między urządzeniem końcowym a siecią. Po awarii sieci urządzenie końcowe upuści i spróbuje ponownie oszacować tunel VPN. W związku z tym w przypadku sieci VPN typu punkt-lokacja projekt odzyskiwania po awarii powinien mieć na celu zminimalizowanie czasu odzyskiwania po awarii. Następująca nadmiarowość sieci pomoże zminimalizować czas odzyskiwania. W zależności od tego, jak krytyczne są połączenia, można wybrać niektóre lub wszystkie te opcje.

  • Uzyskaj dostęp do nadmiarowości sieci (omówionej powyżej).
  • Zarządzanie nadmiarowym koncentratorem wirtualnym na potrzeby kończenia połączenia sieci VPN typu punkt-lokacja. Jeśli masz wiele koncentratorów wirtualnych z bramami punkt-lokacja, sieć VWAN udostępnia profil globalny zawierający listę wszystkich punktów końcowych punkt-lokacja. Dzięki profilowi globalnemu urządzenia końcowe mogą łączyć się z najbliższym dostępnym koncentratorem wirtualnym, który zapewnia najlepszą wydajność sieci. Jeśli wszystkie wdrożenia platformy Azure znajdują się w jednym regionie, a urządzenia końcowe, które łączą się w pobliżu regionu, możesz mieć nadmiarowe koncentratory wirtualne w regionie. Jeśli wdrożenie i urządzenia końcowe są rozmieszczone w wielu regionach, możesz wdrożyć koncentrator wirtualny z bramą typu punkt-lokacja w każdym z wybranych regionów. Virtual WAN ma wbudowanego menedżera ruchu, który automatycznie wybiera najlepsze centrum łączności użytkowników zdalnych.

Na poniższym diagramie przedstawiono koncepcję zarządzania nadmiarowym koncentratorem wirtualnym przy użyciu odpowiedniej bramy punkt-lokacja w regionie.

Diagram agregacji punkt-lokacja z wieloma koncentratorami.

Na powyższym diagramie stałe zielone linie pokazują podstawowe połączenia sieci VPN typu punkt-lokacja, a kropkowane żółte linie pokazują połączenia rezerwowe. Profil globalny punkt-lokacja sieci VWAN wybiera połączenia podstawowe i zapasowe na podstawie wydajności sieci. Aby uzyskać więcej informacji na temat profilu globalnego, zobacz Pobieranie profilu globalnego dla klientów sieci VPN użytkownika .

Zagadnienia dotyczące sieci VPN typu lokacja-lokacja

Rozważmy przykładowe połączenie sieci VPN typu lokacja-lokacja pokazane na poniższym diagramie na potrzeby naszej dyskusji. Aby ustanowić połączenie sieci VPN typu lokacja-lokacja z tunelami o wysokiej dostępności aktywne-aktywne, zobacz Samouczek: tworzenie połączenia lokacja-lokacja przy użyciu usługi Azure Virtual WAN.

Diagram przedstawiający łączenie gałęzi lokalnej z siecią wirtualną za pośrednictwem sieci V N typu lokacja-lokacja.

Uwaga

Aby łatwo zrozumieć pojęcia omówione w sekcji, nie powtarzamy dyskusji na temat funkcji wysokiej dostępności bramy sieci VPN typu lokacja-lokacja, która umożliwia utworzenie dwóch tuneli do dwóch różnych punktów końcowych dla każdego skonfigurowanego linku sieci VPN. Jednak podczas wdrażania dowolnej z sugerowanych architektur w sekcji pamiętaj, aby skonfigurować dwa tunele dla każdego ustanowionego linku.

Aby chronić przed awariami sprzętu klienta sieci VPN (CPE) w lokacji oddziału, można skonfigurować równoległe łącza sieci VPN do bramy sieci VPN z równoległych urządzeń CPE w lokacji gałęzi. Dodatkowo, aby chronić przed awariami sieci dostawcy usług o ostatniej mili w oddziale, można skonfigurować różne łącza sieci VPN za pośrednictwem innej sieci dostawcy usług. Na poniższym diagramie przedstawiono wiele łączy sieci VPN pochodzących z dwóch różnych procesorów CPU lokacji gałęzi kończących się na tej samej bramie sieci VPN.

Diagram nadmiarowych połączeń typu lokacja-lokacja -lokacja N z lokacją gałęzi.

Można skonfigurować maksymalnie cztery łącza do lokacji gałęzi z bramy sieci VPN koncentratora wirtualnego. Podczas konfigurowania linku do lokacji gałęzi można zidentyfikować dostawcę usług i szybkość przepływności skojarzona z linkiem. Podczas konfigurowania równoległych łączy między lokacją gałęzi a koncentratorem wirtualnym brama sieci VPN domyślnie równoważy obciążenie ruchu między łączami równoległym. Równoważenie obciążenia ruchu byłoby zgodne z Equal-Cost Wielościeżkową (ECMP) na podstawie przepływu.

Topologia wielu łączy chroni przed awariami urządzeń CPE i awarią sieci dostawcy usług w lokalizacji lokalnej gałęzi. Ponadto, aby chronić przed wszelkimi przestojami bramy sieci VPN koncentratora wirtualnego, topologia z wieloma połączeniami z wieloma koncentratorami pomoże. Na poniższym diagramie przedstawiono topologię, w której skonfigurowano wiele koncentratorów wirtualnych w ramach wystąpienia Virtual WAN w regionie:

Diagram połączeń typu lokacja-lokacja-lokacja między lokacjami z lokacją gałęzi.

W powyższej topologii, ponieważ opóźnienie wewnątrz regionu platformy Azure w połączeniu między koncentratorami jest nieistotne, można użyć wszystkich połączeń sieci VPN typu lokacja-lokacja między środowiskiem lokalnym a dwoma koncentratorami wirtualnymi w stanie aktywny-aktywny przez rozłożenie sieci wirtualnych szprych w centrach. W topologii domyślnie ruch między lokalną i szprychą sieci wirtualnej przechodzi bezpośrednio przez koncentrator wirtualny, do którego sieć wirtualna szprychy jest połączona w stanie stałym i używa innego koncentratora wirtualnego jako kopii zapasowej tylko podczas stanu awarii. Ruch przechodziłby przez bezpośrednio połączone centrum w stanie stabilnym, ponieważ trasy protokołu BGP anonsowane przez bezpośrednio połączone centrum miałyby krótszą ścieżkę AS w porównaniu z koncentratorem kopii zapasowych.

Topologia wielu łączy z wieloma koncentratorami chroniłaby i zapewniała ciągłość działania w większości scenariuszy awarii. Jeśli jednak awaria katastrofalna spowoduje usunięcie całego regionu świadczenia usługi Azure, potrzebujesz topologii obejmującej wiele regionów, aby wytrzymać awarię.

Topologia z wieloma linkami w wielu regionach chroni przed nawet katastrofalną awarią całego regionu, oprócz ochrony oferowanych przez topologię wielodostępną, którą omówiliśmy wcześniej. Na poniższym diagramie przedstawiono topologię wielowierszową z wieloma regionami. Koncentratory wirtualne w innym regionie można skonfigurować w ramach tego samego wystąpienia Virtual WAN.

Diagram połączeń typu lokacja-lokacja-lokacja między lokacjami z lokacją gałęzi.

Z punktu widzenia inżynierii ruchu należy wziąć pod uwagę jedną istotną różnicę między posiadaniem nadmiarowych centrów w regionie a posiadaniem centrum kopii zapasowych w innym regionie. Różnica polega na opóźnieniu wynikającym z odległości fizycznej między regionami podstawowymi i pomocniczymi. W związku z tym możesz chcieć wdrożyć zasoby usługi o stałym stanie w regionie znajdującym się najbliżej gałęzi/użytkowników końcowych i używać regionu zdalnego wyłącznie do tworzenia kopii zapasowych.

Jeśli lokalizacje oddziałów lokalnych są rozłożone wokół dwóch lub większej liczby regionów świadczenia usługi Azure, topologia wielu regionów byłaby bardziej efektywna w rozprzestrzenianiu obciążenia i uzyskiwaniu lepszego środowiska sieciowego podczas stałego stanu. Na poniższym diagramie przedstawiono topologię wielu regionów z gałęziami w różnych regionach. W takim scenariuszu topologia dodatkowo zapewni efektywną ciągłość działania odzyskiwania po awarii (BCDR).

Diagram połączeń typu lokacja-lokacja-lokacja między lokacjami między lokacjami z wieloma lokacjami.

Zagadnienia dotyczące usługi ExpressRoute

Zagadnienia dotyczące odzyskiwania po awarii dla prywatnej komunikacji równorzędnej usługi ExpressRoute zostały omówione w temacie Projektowanie na potrzeby odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute. Jak wspomniano w artykule, pojęcia opisane w tym artykule dotyczą równie bram usługi ExpressRoute utworzonych w ramach koncentratora wirtualnego. Użycie nadmiarowego koncentratora wirtualnego w regionie, jak pokazano na poniższym diagramie, jest jedynym ulepszeniem topologii zalecanym w przypadku zagadnień dotyczących sieci lokalnej od małych do średnich.

Diagram połączenia usługi Expresss Route z wieloma koncentratorami.

Na powyższym diagramie usługa ExpressRoute 2 jest przerywana w oddzielnej bramie usługi ExpressRoute w ramach drugiego koncentratora wirtualnego w regionie.

Następne kroki

W tym artykule omówiliśmy projekt odzyskiwania po awarii Virtual WAN. Następujące artykuły obejmują odzyskiwanie po awarii z aplikacji i perspektyw dostępu frontonu:

Aby utworzyć łączność punkt-lokacja z Virtual WAN, zobacz Samouczek: tworzenie połączenia sieci VPN użytkownika przy użyciu usługi Azure Virtual WAN. Aby utworzyć łączność lokacja-lokacja z Virtual WAN zobacz Samouczek: tworzenie połączenia lokacja-lokacja przy użyciu usługi Azure Virtual WAN. Aby skojarzyć obwód usługi ExpressRoute z Virtual WAN, zobacz Samouczek: tworzenie skojarzenia usługi ExpressRoute przy użyciu usługi Azure Virtual WAN.