Share via

Olağanüstü durum kurtarma tasarımı

  • Makale

Sanal WAN tüm genel dağıtımlarınızı toplamanıza, bağlanmanıza, merkezi olarak yönetmenize ve güvenlik altına almanızı sağlar. Genel dağıtımlarınız farklı dalların, İletişim Noktasının (PoP), özel kullanıcıların, ofislerin, Azure sanal ağlarının ve diğer çok bulutlu dağıtımların birleşimlerini içerebilir. Farklı sitelerinizi bir sanal hub'a bağlamak için SD-WAN, siteden siteye VPN, noktadan siteye VPN ve ExpressRoute kullanabilirsiniz. Birden çok sanal hub'larınız varsa tüm hub'lar standart bir Sanal WAN dağıtımında tam ağ ile bağlanır.

Bu makalede, olağanüstü durum kurtarma için Sanal WAN tarafından desteklenen farklı türlerdeki hizmet olarak ağ bağlantı seçeneklerinin mimarisini oluşturmayı inceleyelim.

Sanal WAN hizmet olarak ağ bağlantı seçenekleri

Sanal WAN aşağıdaki arka uç bağlantı seçeneklerini destekler:

  • Uzak kullanıcı bağlantısı
  • Şube/Office/SD-WAN/Siteden siteye VPN
  • Özel bağlantı (ExpressRoute özel eşleme)

Bu bağlantı seçeneklerinin her biri için Sanal WAN bir sanal hub içinde ayrı ağ geçidi örnekleri kümesi dağıtır.

doğal olarak, Sanal WAN operatör sınıfı yüksek kullanılabilir ağ toplama çözümü sunmak için tasarlanmıştır. Yüksek kullanılabilirlik için Sanal WAN, bu farklı ağ geçidi türlerinin her biri bir Sanal WAN hub'ına dağıtıldığında birden çok örneğin örneğini oluşturur. ExpressRoute yüksek kullanılabilirliği hakkında daha fazla bilgi edinmek için bkz. ExpressRoute ile yüksek kullanılabilirlik için tasarlama.

Noktadan siteye VPN ağ geçidi ile dağıtılan örnek sayısı alt sınır ikidir. Noktadan siteye VPN ağ geçidi ile noktadan siteye ağ geçitlerinin toplam aktarım hızı kapasitesini seçersiniz ve birden çok örnek sizin için otomatik olarak sağlanır. Sanal hub'a bağlanmak istediğiniz istemci veya kullanıcı sayısına göre toplam kapasiteyi seçersiniz. İstemci bağlantısı açısından bakıldığında noktadan siteye VPN ağ geçidi örnekleri ağ geçidinin Tam Etki Alanı Adı'nın (FQDN) arkasına gizlenir.

Siteden siteye VPN ağ geçidi için ağ geçidinin iki örneği bir sanal hub içinde dağıtılır. Ağ geçidi örneğinin her biri kendi genel ve özel IP adresleri kümesiyle dağıtılır. Aşağıdaki ekran görüntüsünde, örnek bir siteden siteye VPN ağ geçidi yapılandırmasının iki örneğiyle ilişkili IP adresleri gösterilir. Başka bir deyişle, iki örnek, dallarınızdan siteden siteye VPN bağlantısı kurmak için iki bağımsız tünel uç noktası sağlar. Yüksek kullanılabilirliği en üst düzeye çıkarmak için bkz. Birden çok ISS bağlantısında Azure yolu seçimi.

Siteden siteye V P N ağ geçidi yapılandırmasını gösteren ekran görüntüsü.

Ağ mimarinizin yüksek kullanılabilirliğini en üst düzeye çıkarmak, İş Sürekliliği ve Olağanüstü Durum Kurtarma (BCDR) için önemli bir ilk adımdır. Bu makalenin geri kalanında, daha önce belirtildiği gibi, yüksek kullanılabilirlik düzeyinin ötesine geçelim ve BCDR için Sanal WAN bağlantı ağınızı nasıl tasarlaytığınızı tartışalım.

Olağanüstü durum kurtarma tasarımı gereksinimi

Olağanüstü durum her zaman, her yerde saldırabilir. Olağanüstü durum bulut sağlayıcısı bölgelerinde veya ağlarında, hizmet sağlayıcısı ağında veya şirket içi ağda oluşabilir. Doğal felaket, insan hataları, savaş, terörizm, yanlış yapılandırma gibi belirli faktörlerden dolayı bulutun veya ağ hizmetinin bölgesel etkileri elenmek zordur. Bu nedenle, iş açısından kritik uygulamalarınızın sürekliliği için olağanüstü durum kurtarma tasarımına sahip olmanız gerekir. Kapsamlı bir olağanüstü durum kurtarma tasarımı için, uçtan uca iletişim yolunuzda başarısız olabilecek tüm bağımlılıkları belirlemeniz ve bağımlılığın her biri için çakışmayan yedeklilik oluşturmanız gerekir.

Görev açısından kritik uygulamalarınızı bir Azure bölgesinde, şirket içinde veya başka bir yerde çalıştırmanıza bakılmaksızın, yük devretme siteniz olarak başka bir Azure bölgesi kullanabilirsiniz. Aşağıdaki makaleler, uygulamalardan ve ön uç erişim perspektiflerinden olağanüstü durum kurtarmayı ele alır:

Yedekli bağlantı kullanmanın zorlukları

Aynı ağ kümesini birden fazla bağlantı kullanarak birbirine bağladığınızda, ağlar arasında paralel yollar eklersiniz. Paralel yollar, düzgün bir şekilde tasarlanmadığında asimetrik yönlendirmeye yol açabilir. Yolda durum bilgisi olan varlıklarınız (örneğin NAT, güvenlik duvarı) varsa, asimetrik yönlendirme trafik akışını engelleyebilir. Genellikle, özel bağlantı üzerinden NAT veya Güvenlik Duvarları gibi durum bilgisi olan varlıklara sahip olmaz veya bu varlıklarla karşılaşmazsınız. Bu nedenle, özel bağlantı üzerinden asimetrik yönlendirme trafik akışını mutlaka engellemez.

Ancak coğrafi olarak yedekli paralel yollarda trafiğin yükünü dengelerseniz, paralel bağlantıların fiziksel yolundaki fark nedeniyle tutarsız ağ performansıyla karşılaşırsınız. Bu nedenle hem kararlı durum (hata olmayan durum) sırasında hem de olağanüstü durum kurtarma tasarımımızın bir parçası olarak hata durumu sırasında ağ trafiği performansını göz önünde bulundurmamız gerekir.

Ağ yedekliliğine erişme

Çoğu SD-WAN hizmeti (yönetilen çözümler veya başka bir şekilde), birden çok aktarım türü (örneğin, İnternet geniş bant, MPLS, LTE) üzerinden ağ bağlantısı sağlar. Aktarım ağı hatalarına karşı koruma sağlamak için birden fazla aktarım ağı üzerinden bağlantıyı seçin. Bir ev kullanıcısı senaryosunda, mobil ağı geniş bant ağ bağlantısı için yedek olarak kullanmayı düşünebilirsiniz.

Farklı aktarım türü üzerinden ağ bağlantısı mümkün değilse, birden fazla hizmet sağlayıcısı aracılığıyla ağ bağlantısını seçin. Birden fazla hizmet sağlayıcısı aracılığıyla bağlantı alıyorsanız, hizmet sağlayıcılarının çakışmayan bağımsız erişim ağlarını koruduğundan emin olun.

Uzak kullanıcı bağlantısında dikkat edilmesi gerekenler

Uzak kullanıcı bağlantısı, bir son cihaz ile bir ağ arasında noktadan siteye VPN kullanılarak kurulur. Bir ağ hatasının ardından uç cihaz düşer ve VPN tünelini yeniden tahmin etmeye çalışır. Bu nedenle noktadan siteye VPN için olağanüstü durum kurtarma tasarımınız bir hatanın ardından kurtarma süresini en aza indirmeyi hedeflemelidir. Aşağıdaki ağ yedekliliği, kurtarma süresini en aza indirmeye yardımcı olur. Bağlantıların ne kadar kritik olduğunu bağlı olarak bu seçeneklerin bazılarını veya tümünü seçebilirsiniz.

  • Erişim ağ yedekliliği (yukarıda açıklandı).
  • Noktadan siteye VPN sonlandırma için yedekli sanal hub'ı yönetme. Noktadan siteye ağ geçitlerine sahip birden çok sanal hub'ına sahip olduğunuzda VWAN, noktadan siteye tüm uç noktaları listeleyen genel profil sağlar. Genel profille, uç cihazlarınız en iyi ağ performansını sunan kullanılabilir en yakın sanal hub'a bağlanabilir. Tüm Azure dağıtımlarınız tek bir bölgedeyse ve bağlanan son cihazlar bölgeye yakınsa, bölge içinde yedekli sanal hub'larınız olabilir. Dağıtımınız ve son cihazlarınız birden çok bölgeye yayılmışsa, seçtiğiniz her bölgede noktadan siteye ağ geçidi ile sanal hub'ı dağıtabilirsiniz. Sanal WAN, uzak kullanıcı bağlantısı için otomatik olarak en iyi hub'ı seçen yerleşik bir trafik yöneticisine sahiptir.

Aşağıdaki diyagramda, yedekli sanal hub'ı bölge içinde ilgili noktadan siteye ağ geçidiyle yönetme kavramı gösterilmektedir.

Çok hub'lı noktadan siteye toplama diyagramı.

Yukarıdaki diyagramda, düz yeşil çizgiler birincil noktadan siteye VPN bağlantılarını, noktalı sarı çizgiler ise stand-by yedekleme bağlantılarını gösterir. VWAN noktadan siteye genel profili, ağ performansına göre birincil ve yedekleme bağlantılarını seçer. Genel profille ilgili daha fazla bilgi için bkz. Kullanıcı VPN istemcileri için genel profil indirme.

Siteden siteye VPN ile ilgili dikkat edilmesi gerekenler

Tartışmamız için aşağıdaki diyagramda gösterilen siteden siteye VPN bağlantısını ele alalım. Yüksek kullanılabilir etkin-etkin tünellerle siteden siteye VPN bağlantısı kurmak için bkz. Öğretici: Azure Sanal WAN kullanarak Siteden Siteye bağlantı oluşturma.

Siteden siteye V P N aracılığıyla şirket içi dalını sanal wan'a bağlama diyagramı.

Not

bölümünde açıklanan kavramların kolay anlaşılması için, yapılandırdığınız her VPN bağlantısı için iki farklı uç noktaya iki tünel oluşturmanıza olanak tanıyan siteden siteye VPN ağ geçidinin yüksek kullanılabilirlik özelliğinin tartışmasını tekrarlayacağız. Ancak, bölümünde önerilen mimarilerden herhangi birini dağıtırken, oluşturduğunuz her bağlantı için iki tünel yapılandırmayı unutmayın.

Bir şube sitesinde VPN Müşteri Şirket İçi Donanım (CPE) hatalarına karşı koruma sağlamak için, şube sitesindeki paralel CPE cihazlarından bir VPN ağ geçidine paralel VPN bağlantıları yapılandırabilirsiniz. Şubeye son kilometre hizmet sağlayıcısının ağ hatalarına karşı koruma sağlamak için farklı hizmet sağlayıcısı ağı üzerinden farklı VPN bağlantıları yapılandırabilirsiniz. Aşağıdaki diyagramda, aynı VPN ağ geçidinde sonlandıran bir dal sitesinin iki farklı CPE'sinden kaynaklanan birden çok VPN bağlantısı gösterilmektedir.

Bir dal sitesine yedekli siteden siteye V P N bağlantılarının diyagramı.

Sanal merkez VPN ağ geçidinden bir dal sitesine en çok dört bağlantı yapılandırabilirsiniz. Bir dal sitesine bağlantı yapılandırırken, bağlantıyla ilişkili hizmet sağlayıcısını ve aktarım hızınızı tanımlayabilirsiniz. Bir dal sitesi ile sanal merkez arasında paralel bağlantılar yapılandırdığınızda, VPN ağ geçidi varsayılan olarak paralel bağlantılar arasında trafiğin yükünü dengeler. Trafiğin yük dengelemesi, akış başına Equal-Cost Çoklu Yol'a (ECMP) göre olacaktır.

Çok bağlantılı topoloji, CPE cihaz hatalarına ve şirket içi dal konumunda bir hizmet sağlayıcısı ağ hatasına karşı koruma sağlar. Ayrıca, bir sanal merkez VPN ağ geçidinin kapalı kalma süresine karşı koruma sağlamak için çok hub'lı çoklu bağlantı topolojisi yardımcı olabilir. Aşağıdaki diyagramda, birden çok sanal hub'ın bir bölgedeki Sanal WAN örneği altında yapılandırıldığı topoloji gösterilmektedir:

Bir dal sitesine çok merkezli siteden siteye V P N bağlantılarının diyagramı.

Yukarıdaki topolojide, hub'lar arasındaki bağlantı üzerinde Azure-bölge içi gecikme süresi önemsiz olduğundan, uç sanal ağları hub'lar arasında dağıtarak şirket içi ile etkin-etkin durumdaki iki sanal hub arasındaki tüm siteden siteye VPN bağlantılarını kullanabilirsiniz. Topolojide varsayılan olarak şirket içi ile uç sanal ağı arasındaki trafik, sabit durum sırasında uç VNET'in bağlı olduğu sanal hub'dan doğrudan geçer ve başka bir sanal hub'ı yalnızca hata durumunda yedek olarak kullanır. Doğrudan bağlı hub tarafından tanıtılan BGP yollarının yedekleme hub'ına kıyasla daha kısa AS yolu olacağından trafik doğrudan bağlı hub'dan sabit durumda geçiş yapar.

Çok merkezli çok bağlantılı topoloji, hata senaryolarının çoğuna karşı iş sürekliliğini korur ve sağlar. Ancak, yıkıcı bir hata azure bölgesinin tamamını yerle bir ederse, hataya dayanmak için 'çok bölgeli çoklu bağlantı topolojisi' gerekir.

Çok bölgeli çok bağlantılı topoloji, daha önce ele aldığımız çok merkezli çoklu bağlantı topolojisi tarafından sunulan korumalara ek olarak tüm bölgenin yıkıcı hatalarına bile karşı koruma sağlar. Aşağıdaki diyagramda çok bölgeli çoklu bağlantı topolojisi gösterilmektedir. Farklı bölgedeki sanal hub'lar aynı Sanal WAN örneği altında yapılandırılabilir.

Bir dal sitesine çok bölgeli siteden siteye V P N bağlantılarının diyagramı.

Trafik mühendisliği açısından bakıldığında, bir bölgede yedek hub'lara sahip olmak ile yedekleme hub'ının farklı bir bölgede olması arasındaki önemli bir farkı dikkate almanız gerekir. Fark, birincil ve ikincil bölgeler arasındaki fiziksel uzaklıktan kaynaklanan gecikme süresidir. Bu nedenle, dalınıza/son kullanıcılarınıza en yakın bölgede kararlı durum hizmeti kaynaklarınızı dağıtmak ve uzak bölgeyi yalnızca yedekleme için kullanmak isteyebilirsiniz.

Şirket içi dal konumlarınız iki veya daha fazla Azure bölgesine yayılmışsa, çok bölgeli çoklu bağlantı topolojisi yükün yayılmasında ve kararlı durum sırasında daha iyi bir ağ deneyimi elde edilmesinde daha etkili olacaktır. Aşağıdaki diyagramda, farklı bölgelerdeki dallarla çok bölgeli çoklu bağlantı topolojisi gösterilmektedir. Böyle bir senaryoda topoloji ayrıca etkili İş Sürekliliği Olağanüstü Durum Kurtarma (BCDR) sağlar.

Çok dallı sitelere çok bölgeli siteden siteye V P N bağlantılarının diyagramı.

ExpressRoute ile ilgili dikkat edilmesi gerekenler

ExpressRoute özel eşlemesi için olağanüstü durum kurtarma konuları ExpressRoute özel eşlemesi ile olağanüstü durum kurtarma için tasarlama bölümünde ele alınmaktadır. Makalede belirtildiği gibi, bu makalede açıklanan kavramlar bir sanal hub içinde oluşturulan ExpressRoute ağ geçitleri için de geçerlidir. Aşağıdaki diyagramda gösterildiği gibi, bölge içinde yedekli bir sanal hub kullanmak, Küçük ve orta ölçekli şirket içi ağ konuları için önerilen tek topoloji geliştirmesidir.

Çok hub'lı Expresss Route bağlantısının diyagramı.

Yukarıdaki diyagramda ExpressRoute 2, bölge içindeki ikinci bir sanal hub'daki ayrı bir ExpressRoute ağ geçidinde sonlandırılır.

Sonraki adımlar

Bu makalede Sanal WAN olağanüstü durum kurtarma tasarımı hakkında konuştuk. Aşağıdaki makaleler, uygulamalardan ve ön uç erişim perspektiflerinden olağanüstü durum kurtarmayı ele alır:

Sanal WAN noktadan siteye bağlantı oluşturmak için bkz. Öğretici: Azure Sanal WAN kullanarak Kullanıcı VPN bağlantısı oluşturma. Sanal WAN için siteden siteye bağlantı oluşturmak için bkz. Öğretici: Azure Sanal WAN kullanarak Siteden Siteye bağlantı oluşturma. ExpressRoute bağlantı hattını Sanal WAN ilişkilendirmek için bkz. Öğretici: Azure Sanal WAN kullanarak ExpressRoute ilişkilendirmesi oluşturma.