Connessione Open VPN da sito a sito

La disponibilità della funzionalità dipende dalle quote di servizio abilitate per l'account.

Per comprendere il funzionamento della rete in Cyber Disaster Recovery Cloud, verrà considerata una situazione in cui sono presenti tre reti, ognuna con un sistema nel sito locale. Nell'esempio verrà configurata la protezione per le due reti, che denomineremo Rete 10 e Rete 20.

Il diagramma sottostante mostra il sito locale che ospita i sistemi e il sito cloud in cui vengono avviati i server cloud in caso di emergenza.

Cyber Disaster Recovery Cloud consente di eseguire il failover di tutti i workload dei sistemi danneggiati nel sito locale sui server cloud nel cloud.

È possibile aggiungere e gestire un massimo di 23 reti nel cloud.

Per stabilire una connessione Open VPN da sito a sito tra i siti locali e cloud vengono utilizzati un'appliance VPN e un gateway VPN.

Quando si avvia la configurazione della connessione Open VPN da sito a sito nella console di Cyber Protect, il gateway VPN viene distribuito automaticamente nel sito cloud.

Dopo il deployment del gateway VPN, è necessario eseguire le operazioni seguenti:

  • Distribuire l'appliance VPN nel sito locale.
  • Aggiungere le reti da proteggere.
  • Registrare l'appliance VPN nel cloud.

Cyber Disaster Recovery Cloud crea una replica della rete locale nel cloud. Viene stabilito un tunnel VPN sicuro tra l'appliance VPN e il gateway VPN. Questo tunnel VPN fornisce l'estensione della rete locale nel cloud. Le reti di produzione nel cloud vengono collegate alle reti locali. I server locali e cloud comunicano tramite questo tunnel VPN come se si trovassero tutti nello stesso segmento Ethernet. Il routing viene eseguito dal router locale.

È necessario creare un server di ripristino nel sito cloud per ogni sistema di origine da proteggere. Tale server rimane in modalità Standby fino a quando non si verifica un evento di failover. In caso di emergenza, se si avvia il processo di failover in modalità di produzione, il server di ripristino che rappresenta la copia esatta del sistema protetto viene avviato nel cloud. A tale server può essere assegnato lo stesso indirizzo IP del sistema di origine e potrà essere avviato nello stesso segmento Ethernet. Il server potrà essere utilizzato come sempre, senza che gli utenti notino alcun cambiamento.

È inoltre possibile avviare un processo di failover in modalità di prova. In questa modalità, il sistema di origine resta in funzione e, al contempo, il rispettivo il server di ripristino con lo stesso indirizzo IP viene avviato nel cloud. Per evitare conflitti tra indirizzi IP, nel cloud viene creata una rete virtuale speciale, definita rete di prova. Tale rete è isolata per evitare la duplicazione dell'indirizzo IP del sistema di origine in un segmento Ethernet. Per accedere al server di ripristino in modalità failover di prova, è necessario assegnare l'Indirizzo IP di prova al server di ripristino al momento della sua creazione. È inoltre possibile specificare altri parametri del server di ripristino.

Come funziona il routing

Nel caso in cui venga stabilita una connessione da sito a sito, il routing tra le reti cloud viene eseguito con il router locale. Il server VPN non esegue il routing tra i server cloud posizionati in reti cloud diverse. Se il server cloud di una rete deve comunicare con un server di un'altra rete cloud, il traffico passa nel tunnel VPN verso il router locale presso il sito locale. A quel punto, il router locale effettua il routing verso un'altra rete e torna attraverso il tunnel al server di destinazione sul sito in cloud.

Gateway VPN

Il principale componente che abilita la comunicazione tra i siti locali e cloud è il gateway VPN. Si tratta di una virtual machine nel cloud, nella quale è installato un software speciale, con una configurazione di rete specifica. Il gateway VPN ha le funzioni seguenti:

  • Connette il segmento Ethernet della rete locale e della rete di produzione al cloud, in modalità L2.
  • Fornisce le regole iptables e ebtables.
  • Funge da router predefinito e da NAT per i sistemi nelle reti di prova e di produzione.
  • Funge da server DHCP. Tutti i sistemi nelle reti di produzione e prova ottengono la configurazione di rete (indirizzi IP, impostazioni DNS) tramite DHCP. Un dato server cloud ottiene sempre lo stesso indirizzo IP dal server DHCP. Nel caso in cui sia necessario configurare impostazioni DNS personalizzate, contattare il supporto tecnico.
  • Funge da DNS di caching.

Configurazione di rete del gateway VPN

Il gateway VPN presenta diverse interfacce di rete:

  • Interfaccia esterna, connessa a Internet
  • Interfacce di produzione, connesse alle reti di produzione
  • Interfaccia di prova, connessa alla rete di prova

Inoltre, si aggiungono due interfacce virtuali per le connessioni da punto a sito e da sito a sito.

Quando il gateway VPN viene distribuito e inizializzato, vengono creati i bridge: uno per l'interfaccia esterna e uno per le interfacce del client e di produzione. Sebbene il bridge client-produzione e l'interfaccia di prova utilizzino gli stessi indirizzi IP, il gateway VPN può instradare correttamente i pacchetti utilizzando uno specifico metodo.

Appliance VPN

L'appliance VPN è una virtual machine nel sito locale, nella quale è installato Linux e un software speciale, con una specifica configurazione di rete. Consente la comunicazione tra i siti locali e cloud.