Udostępnij za pośrednictwem

Projekt odzyskiwania po awarii

  • Artykuł

Usługa Virtual WAN umożliwia agregowanie, łączenie, centralne zarządzanie i zabezpieczanie wszystkich wdrożeń globalnych. Wdrożenia globalne mogą obejmować dowolne kombinacje różnych gałęzi, punkt obecności (PoP), użytkowników prywatnych, biur, sieci wirtualnych platformy Azure i innych wdrożeń w wielu chmurach. Do łączenia różnych lokacji z koncentratorem wirtualnym można użyć sieci SD-WAN, sieci VPN typu lokacja-lokacja, sieci VPN typu punkt-lokacja i usługi ExpressRoute. Jeśli masz wiele koncentratorów wirtualnych, wszystkie koncentratory będą połączone w pełnej siatce w standardowym wdrożeniu usługi Virtual WAN.

W tym artykule przyjrzyjmy się sposobom tworzenia architektury różnych typów opcji łączności typu sieć jako usługa obsługiwana przez usługę Virtual WAN na potrzeby odzyskiwania po awarii.

Opcje łączności sieci jako usługi wirtualnej sieci WAN

Usługa Virtual WAN obsługuje następujące opcje łączności zaplecza:

  • Łączność użytkowników zdalnych
  • Oddział/Office/SD-WAN/sieć VPN typu lokacja-lokacja
  • Łączność prywatna (prywatna komunikacja równorzędna usługi ExpressRoute)

Dla każdej z tych opcji łączności usługa Virtual WAN wdraża oddzielny zestaw wystąpień bramy w koncentratorze wirtualnym.

Z założenia usługa Virtual WAN została zaprojektowana w celu oferowania rozwiązania agregacji sieci wysokiej klasy przewoźnika. W celu zapewnienia wysokiej dostępności usługa Virtual WAN tworzy wystąpienie wielu wystąpień, gdy każdy z tych różnych typów bram jest wdrażany w koncentratorze usługi Virtual WAN. Aby dowiedzieć się więcej na temat wysokiej dostępności usługi ExpressRoute, zobacz Projektowanie pod kątem wysokiej dostępności za pomocą usługi ExpressRoute.

W przypadku bramy sieci VPN typu punkt-lokacja minimalna liczba wdrożonych wystąpień to dwie. W przypadku bramy sieci VPN typu punkt-lokacja wybierasz zagregowaną pojemność przepływności bram punkt-lokacja, a wiele wystąpień jest automatycznie aprowizowania. Możesz wybrać zagregowaną pojemność zgodnie z liczbą klientów lub użytkowników, z którymi zamierzasz nawiązać połączenie z koncentratorem wirtualnym. Z punktu widzenia łączności klienta wystąpienia bramy sieci VPN typu punkt-lokacja są ukryte za w pełni kwalifikowaną nazwą domeny (FQDN) bramy.

W przypadku bramy sieci VPN typu lokacja-lokacja dwa wystąpienia bramy są wdrażane w koncentratonie wirtualnym. Każde wystąpienie bramy jest wdrażane przy użyciu własnego zestawu publicznych i prywatnych adresów IP. Dwa wystąpienia zapewniają dwa niezależne punkty końcowe tunelu do ustanawiania łączności sieci VPN typu lokacja-lokacja z gałęzi. Aby zmaksymalizować wysoką dostępność, zobacz Wybór ścieżki platformy Azure w wielu linkach usługodawców internetowych.

Maksymalizacja wysokiej dostępności architektury sieci jest kluczowym pierwszym krokiem dla ciągłości działania i odzyskiwania po awarii (BCDR). W pozostałej części tego artykułu, jak opisano wcześniej, przejdźmy poza wysoką dostępność i omówimy sposób tworzenia architektury sieci łączności usługi Virtual WAN na potrzeby bcDR.

Potrzeba projektowania odzyskiwania po awarii

Awaria może uderzać w dowolnym momencie, w dowolnym miejscu. Awaria może wystąpić w regionach lub sieci dostawcy usług w chmurze, w sieci dostawcy usług lub w sieci lokalnej. Regionalny wpływ chmury lub usługi sieciowej z powodu niektórych czynników, takich jak naturalne nieszczęście, błędy ludzkie, wojna, terroryzm, błędy, błędy konfiguracji są trudne do wykluczenia. Aby zapewnić ciągłość aplikacji krytycznych dla działania firmy, musisz mieć projekt odzyskiwania po awarii. Aby uzyskać kompleksowy projekt odzyskiwania po awarii, należy zidentyfikować wszystkie zależności, które mogą zakończyć się niepowodzeniem w kompleksowej ścieżce komunikacyjnej, i utworzyć nadmiarowość nienakładającą się dla każdej zależności.

Niezależnie od tego, czy uruchamiasz aplikacje o znaczeniu krytycznym w regionie świadczenia usługi Azure, lokalnie czy w dowolnym innym miejscu, możesz użyć innego regionu świadczenia usługi Azure jako witryny trybu failover. Następujące artykuły dotyczą odzyskiwania po awarii z aplikacji i perspektyw dostępu frontonu:

Wyzwania związane z używaniem nadmiarowej łączności

Gdy łączysz ten sam zestaw sieci przy użyciu więcej niż jednego połączenia, wprowadzasz równoległe ścieżki między sieciami. Ścieżki równoległe, jeśli nie są prawidłowo zaprojektowane, mogą prowadzić do routingu asymetrycznego. Jeśli masz jednostki stanowe (na przykład TRANSLATOR adresów sieciowych, zaporę) w ścieżce, routing asymetryczny może blokować przepływ ruchu. Zazwyczaj za pośrednictwem łączności prywatnej nie będziesz mieć ani nie napotkać jednostek stanowych, takich jak translator adresów sieciowych lub zapór. W związku z tym routing asymetryczny za pośrednictwem łączności prywatnej nie musi blokować przepływu ruchu.

Jednak w przypadku równoważenia obciążenia ruchu między geograficznie nadmiarowymi ścieżkami równoległymi występuje niespójna wydajność sieci ze względu na różnicę w ścieżce fizycznej połączeń równoległych. Dlatego musimy rozważyć wydajność ruchu sieciowego zarówno podczas stanu stałego (stanu awarii), jak i stanu awarii w ramach projektu odzyskiwania po awarii.

Uzyskiwanie dostępu do nadmiarowości sieci

Większość usług SD-WAN (rozwiązań zarządzanych lub w inny sposób) zapewnia łączność sieciową za pośrednictwem wielu typów transportu (na przykład internetu szerokopasmowego, MPLS, LTE). Aby zapewnić ochronę przed awariami sieci transportowej, wybierz łączność za pośrednictwem więcej niż jednej sieci transportowej. W przypadku scenariusza użytkownika domowego można rozważyć użycie sieci komórkowej jako kopii zapasowej na potrzeby łączności szerokopasmowej.

Jeśli łączność sieciowa za pośrednictwem innego typu transportu nie jest możliwa, wybierz łączność sieciową za pośrednictwem więcej niż jednego dostawcy usług. Jeśli uzyskujesz łączność za pośrednictwem więcej niż jednego dostawcy usług, upewnij się, że dostawcy usług utrzymują nienakładujące się niezależne sieci dostępu.

Zagadnienia dotyczące łączności użytkowników zdalnych

Łączność użytkownika zdalnego jest ustanawiana przy użyciu sieci VPN typu punkt-lokacja między urządzeniem końcowym a siecią. Po awarii sieci urządzenie końcowe usunie i spróbuje ponownie ustanowić tunel VPN. W związku z tym w przypadku sieci VPN typu punkt-lokacja projekt odzyskiwania po awarii powinien mieć na celu zminimalizowanie czasu odzyskiwania po awarii. Następująca nadmiarowość sieciowa pomogłaby zminimalizować czas odzyskiwania. W zależności od tego, jak krytyczne są połączenia, można wybrać niektóre lub wszystkie te opcje.

  • Uzyskaj dostęp do nadmiarowości sieci (omówionej powyżej).
  • Zarządzanie nadmiarowym koncentratorem wirtualnym na potrzeby kończenia żądań sieci VPN typu punkt-lokacja. Jeśli masz wiele koncentratorów wirtualnych z bramami punkt-lokacja, sieć VWAN udostępnia profil globalny zawierający listę wszystkich punktów końcowych punkt-lokacja. Dzięki profilowi globalnemu urządzenia końcowe mogą łączyć się z najbliższym dostępnym koncentratorem wirtualnym, który zapewnia najlepszą wydajność sieci. Jeśli wszystkie wdrożenia platformy Azure znajdują się w jednym regionie, a urządzenia końcowe, które łączą się w pobliżu regionu, możesz mieć nadmiarowe koncentratory wirtualne w regionie. Jeśli wdrożenie i urządzenia końcowe są rozmieszczone w wielu regionach, możesz wdrożyć koncentrator wirtualny z bramą typu punkt-lokacja w każdym z wybranych regionów. Usługa Virtual WAN ma wbudowanego menedżera ruchu, który automatycznie wybiera najlepsze centrum dla łączności użytkowników zdalnych.

Na poniższym diagramie przedstawiono koncepcję zarządzania nadmiarowym koncentratorem wirtualnym przy użyciu odpowiedniej bramy typu punkt-lokacja w regionie.

Diagram agregacji punkt-lokacja z wieloma koncentratorami.

Na powyższym diagramie stałe zielone linie pokazują podstawowe połączenia sieci VPN typu punkt-lokacja, a kropkowane żółte linie pokazują połączenia rezerwowe. Profil globalny punkt-lokacja sieci VWAN wybiera połączenia podstawowe i zapasowe na podstawie wydajności sieci. Aby uzyskać więcej informacji na temat profilu globalnego, zobacz Pobieranie profilu globalnego dla klientów sieci VPN użytkownika.

Zagadnienia dotyczące sieci VPN typu lokacja-lokacja

Rozważmy przykładowe połączenie sieci VPN typu lokacja-lokacja pokazane na poniższym diagramie na potrzeby naszej dyskusji. Aby ustanowić połączenie sieci VPN typu lokacja-lokacja z tunelami o wysokiej dostępności aktywne-aktywne, zobacz Samouczek: tworzenie połączenia lokacja-lokacja przy użyciu usługi Azure Virtual WAN.

Diagram przedstawiający łączenie gałęzi lokalnej z siecią wirtualną za pośrednictwem lokacji-lokacja V P N.

Uwaga

Aby łatwo zrozumieć pojęcia omówione w sekcji, nie powtarzamy dyskusji na temat funkcji wysokiej dostępności bramy sieci VPN typu lokacja-lokacja, która umożliwia utworzenie dwóch tuneli do dwóch różnych punktów końcowych dla każdego skonfigurowanego łącza sieci VPN. Jednak podczas wdrażania dowolnej z sugerowanej architektury w sekcji pamiętaj, aby skonfigurować dwa tunele dla każdego ustanowionego linku.

Aby chronić przed awariami sprzętu lokalnego klienta sieci VPN (CPE) w lokacji oddziału, można skonfigurować równoległe łącza sieci VPN do bramy sieci VPN z równoległych urządzeń CPE w lokacji oddziału. Dodatkowo, aby chronić przed awariami sieci dostawcy usług w ciągu ostatniej mili w oddziale, można skonfigurować różne łącza sieci VPN za pośrednictwem innej sieci dostawcy usług. Na poniższym diagramie przedstawiono wiele linków sieci VPN pochodzących z dwóch różnych cpE lokacji gałęzi kończących się w tej samej bramie sieci VPN.

Diagram nadmiarowych połączeń typu lokacja-lokacja-lokacja Z N z lokacją gałęzi.

Z bramy sieci VPN koncentratora wirtualnego można skonfigurować maksymalnie cztery łącza do lokacji gałęzi. Podczas konfigurowania linku do lokacji gałęzi można zidentyfikować dostawcę usług i szybkość przepływności skojarzona z linkiem. Podczas konfigurowania równoległych łączy między lokacją gałęzi a koncentratorem wirtualnym brama sieci VPN domyślnie równoważy obciążenie ruchem między łączami równoległym. Równoważenie obciążenia ruchu byłoby zgodne z usługą Equal-Cost Multi-Path (ECMP) na podstawie przepływu.

Topologia wielu łączy chroni przed awariami urządzeń CPE i awarią sieci dostawcy usług w lokalizacji lokalnej gałęzi. Ponadto, aby chronić przed wszelkimi przestojami bramy sieci VPN koncentratora wirtualnego, topologia wielowierszowa wielu łączy pomoże. Na poniższym diagramie przedstawiono topologię, w której skonfigurowano wiele koncentratorów wirtualnych w ramach wystąpienia usługi Virtual WAN w regionie:

Diagram połączeń typu lokacja-lokacja-lokacja między lokacjami między lokacjami z lokacją gałęzi.

W powyższej topologii, ponieważ opóźnienie wewnątrz regionu platformy Azure w połączeniu między koncentratorami jest nieistotne, można użyć wszystkich połączeń sieci VPN typu lokacja-lokacja między środowiskiem lokalnym a dwoma koncentratorami wirtualnymi w stanie aktywny-aktywny przez rozłożenie sieci wirtualnych szprych między piastami. W topologii domyślnie ruch między lokalną i szprychą sieci wirtualnej będzie przechodzić bezpośrednio przez koncentrator wirtualny, z którym jest połączona sieć wirtualna szprychy podczas stałego stanu i używać innego koncentratora wirtualnego jako kopii zapasowej tylko podczas stanu awarii. Ruch przechodziłby przez bezpośrednio połączone centrum w stanie stałym, ponieważ trasy protokołu BGP anonsowane przez bezpośrednio połączone centrum miałyby krótszą ścieżkę AS w porównaniu z koncentratorem kopii zapasowych.

Topologia z wieloma koncentratorami chroniłaby i zapewniała ciągłość działania w większości scenariuszy awarii. Jeśli jednak katastrofalna awaria spowoduje usunięcie całego regionu świadczenia usługi Azure, potrzebujesz topologii obejmującej wiele regionów, aby wytrzymać awarię.

Topologia z wieloma linkami w wielu regionach chroni nawet przed katastrofalną awarią całego regionu, oprócz ochrony oferowanej przez topologię z wieloma koncentratorami, którą wcześniej omówiliśmy. Na poniższym diagramie przedstawiono topologię obejmującą wiele regionów. Koncentratory wirtualne w innym regionie można skonfigurować w ramach tego samego wystąpienia usługi Virtual WAN.

Diagram przedstawiający połączenia międzylokacjona-lokacja-lokacja między lokacjami z lokacją oddziału.

Z punktu widzenia inżynierii ruchu należy wziąć pod uwagę jedną znaczącą różnicę między posiadaniem nadmiarowych centrów w regionie a posiadaniem centrum kopii zapasowych w innym regionie. Różnica polega na opóźnieniu wynikającym z odległości fizycznej między regionami podstawowymi i pomocniczymi. W związku z tym możesz chcieć wdrożyć zasoby usługi w stanie stabilnym w regionie znajdującym się najbliżej twojej gałęzi/użytkowników końcowych i użyć regionu zdalnego wyłącznie do tworzenia kopii zapasowych.

Jeśli lokalizacje oddziałów lokalnych są rozmieszczone w co najmniej dwóch regionach świadczenia usługi Azure, topologia obejmująca wiele regionów byłaby bardziej skuteczna w rozłożeniu obciążenia i uzyskaniu lepszego środowiska sieciowego podczas stałego stanu. Na poniższym diagramie przedstawiono topologię z wieloma regionami z gałęziami w różnych regionach. W takim scenariuszu topologia dodatkowo zapewni efektywną ciągłość działania odzyskiwania po awarii (BCDR).

Diagram połączeń typu lokacja-lokacja-lokacja między lokacjami między lokacjami z wieloma oddziałami.

Zagadnienia dotyczące usługi ExpressRoute

Zagadnienia dotyczące odzyskiwania po awarii dla prywatnej komunikacji równorzędnej usługi ExpressRoute zostały omówione w temacie Projektowanie pod kątem odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute. Jak wspomniano w artykule, koncepcje opisane w tym artykule mają równie zastosowanie do bram usługi ExpressRoute utworzonych w koncentratonie wirtualnym. Użycie nadmiarowego koncentratora wirtualnego w regionie, jak pokazano na poniższym diagramie, jest jedynym ulepszeniem topologii zalecanym w przypadku zagadnień dotyczących sieci lokalnej od małych do średnich.

Diagram łączności usługi Express Route z wieloma koncentratorami.

Na powyższym diagramie usługa ExpressRoute 2 jest przerywana w oddzielnej bramie usługi ExpressRoute w ramach drugiego koncentratora wirtualnego w regionie.

Następne kroki

W tym artykule omówiliśmy projekt odzyskiwania po awarii usługi Virtual WAN. Następujące artykuły dotyczą odzyskiwania po awarii z aplikacji i perspektyw dostępu frontonu:

Aby utworzyć łączność punkt-lokacja z usługą Virtual WAN, zobacz Samouczek: tworzenie połączenia sieci VPN użytkownika przy użyciu usługi Azure Virtual WAN. Aby utworzyć łączność typu lokacja-lokacja z usługą Virtual WAN, zobacz Samouczek: tworzenie połączenia lokacja-lokacja przy użyciu usługi Azure Virtual WAN. Aby skojarzyć obwód usługi ExpressRoute z usługą Virtual WAN, zobacz Samouczek: tworzenie skojarzenia usługi ExpressRoute przy użyciu usługi Azure Virtual WAN.