Conexión OpenVPN de sitio a sitio

La disponibilidad de esta característica depende de las cuotas de servicio habilitadas para su cuenta.

Para entender cómo funcionan las redes en Cyber Disaster Recovery Cloud, pensaremos en un caso en el que tiene tres redes, cada una con un equipo en el sitio local. Va a configurar la protección frente a desastres para dos redes, Red 10 y Red 20.

En el siguiente diagrama, puede ver el sitio local donde se alojan sus equipos y el sitio en la nube donde se inician los servidores en la nube en caso de desastre. La solución Cyber Disaster Recovery Cloud le permite realizar una conmutación por error de toda la carga de trabajo de los equipos dañados en el sitio local a los servidores en la nube que se encuentran en la nube. Puede proteger hasta cinco redes con Cyber Disaster Recovery Cloud.

Para establecer una comunicación OpenVPN de sitio a sitio entre el sitio local y el sitio en la nube, se usa un dispositivo VPN y una puerta de enlace de VPN. Cuando comience a configurar la conexión OpenVPN de sitio a sitio en la consola de servicio, se implementará automáticamente la puerta de enlace de VPN en el sitio en la nube. Después, debe implementar el dispositivo VPN en su sitio local, añadir las redes que desea proteger y registrar el dispositivo en la nube. Cyber Disaster Recovery Cloud crea una réplica de su red local en la nube. Se establece un túnel VPN seguro entre el dispositivo VPN y la puerta de enlace de VPN. Permite extender su red local al cloud. Las redes de producción en el cloud están conectadas con sus redes locales. Los servidores locales y en la nube pueden comunicarse mediante este túnel VPN si se encuentran todos en el mismo segmento de Ethernet. La enrutación se realiza con su enrutador local.

Para que cada equipo de origen quede protegido, debe crear un servidor de recuperación en el sitio en la nube. Se queda en estado En espera hasta que sucede un evento de conmutación por error. Si sucede un desastre e inicia un proceso de conmutación por error (en el modo de producción), el servidor de recuperación que representa la copia exacta de su equipo protegido se inicia en la nube. Puede tener la misma dirección IP asignada que el equipo de origen e iniciarse en el mismo segmento de Ethernet. Sus clientes pueden seguir trabajando con el servidor sin notar ningún cambio en segundo plano.

También puede iniciar un proceso de conmutación por error en el modo de prueba. Esto quiere decir que el equipo de origen continúa funcionando y, al mismo tiempo, se inicia en el cloud el servidor de recuperación correspondiente con la misma dirección IP. Para evitar conflictos debido a la dirección IP, se crea una red virtual especial en el cloud, la red de prueba. La red de prueba se aísla para evitar que se duplique la dirección IP del equipo de origen en un segmento de Ethernet. Para acceder al servidor de recuperación en el modo de prueba de conmutación por error, debe asignar la dirección IP de prueba al servidor de recuperación al crearlo. Se pueden especificar otros parámetros para el servidor de recuperación que se tratarán en sus respectivas secciones, a continuación.

Cómo funciona el enrutamiento

Cuando se establece la conexión de sitio a sitio, el enrutamiento entre redes en la nube se realiza con su enrutador local. El servidor VPN no lleva a cabo enrutamientos entre los servidores en la nube localizados en diferentes redes. Si un servidor en la nube de una red quiere comunicarse con un servidor de otra red en la nube, el tráfico pasa a través del túnel VPN del enrutador local del sitio local. Después, el enrutador local lo enruta hacia otra red y vuelve a través del túnel al servidor de destino del sitio en la nube.

Puerta de enlace de VPN

Un componente importante que permite la comunicación entre los sitios local y en el cloud es la puerta de enlace de VPN. Es una máquina virtual en la nube en el que se instala software especial, y la red se configura de forma específica. La puerta de enlace de VPN realiza las siguientes funciones:

  • Conecta los segmentos de Ethernet de su red local y de producción en la nube en el modo L2.
  • Proporciona reglas de tablas de IP y EB.
  • Funciona como enrutador y NAT predeterminados para los equipos en las redes de prueba y producción.

  • Funciona como servidor DHCP. Todos los equipos en las redes de producción y prueba obtienen la configuración de red (direcciones IP, configuración del DNS) por medio de DHCP. Un servidor en la nube obtendrá cada vez la misma dirección IP del servidor DHCP. Si necesita establecer la configuración de DNS personalizada, póngase en contacto con el equipo de soporte técnico.

  • Funciona como DNS para almacenar archivos en la memoria caché.

Configuración de red de la puerta de enlace de VPN

La puerta de enlace de VPN tiene varias interfaces de red:

  • Interfaz externa, conectada a Internet.
  • Interfaces de producción, conectadas a las redes de producción.
  • Interfaz de prueba, conectada a la red de prueba.

Además, se añaden dos interfaces virtuales para las conexiones de punto a sitio y de sitio a sitio.

Cuando se implementa e inicializa la puerta de enlace de VPN, se crean los puentes: uno para la interfaz externa y otro para las interfaces de cliente y producción. Aunque el puente entre cliente y producción y la interfaz de prueba usen las mismas direcciones IP, la puerta de enlace de VPN puede enrutar paquetes correctamente mediante una técnica específica.

Dispositivo VPN

El dispositivo VPN es una máquina virtual en el sitio local en el que se instala Linux, software especial y una configuración de red especial. Permite la comunicación entre los sitios local y en el cloud.

Servidores de recuperación

Servidor de recuperación: réplica del equipo original basada en las copias de seguridad del servidor protegido almacenadas en el cloud. Los servidores de recuperación se utilizan para trasladar cargas de trabajo desde los servidores originales en caso de desastre.

Al crear un servidor de recuperación, debe especificar los siguientes parámetros de red:

  • Red en el cloud (obligatoria): una red en el cloud a la que se conecta un servidor de recuperación.
  • Dirección IP en la red de producción (obligatoria): una dirección IP con la que se inicia un equipo virtual para un servidor de recuperación. Esta dirección se usa tanto para la red de producción como para la de prueba. Antes de iniciar el equipo virtual, este se configura para obtener la dirección IP mediante DHCP.
  • Dirección IP de prueba (opcional): Una dirección IP para acceder a un servidor de recuperación desde la red de cliente-producción durante la prueba de conmutación por error, para evitar que la dirección IP de producción se duplique en la misma red. Esta dirección IP es distinta de la de la red de producción. Los servidores en el sitio local pueden alcanzar el servidor de recuperación durante la prueba de conmutación por error a través de la dirección IP, pero el acceso en la dirección contraria no está disponible. El servidor de recuperación en la red de prueba dispone de acceso a Internet si se seleccionó la opción Acceso a Internet durante la creación de dicho servidor.
  • Dirección IP pública (opcional): Una dirección IP para acceder a un servidor de recuperación desde Internet. Si un servidor no tiene dirección IP pública, solo es alcanzable desde la red local.
  • Acceso a Internet (opcional): permite que un servidor de recuperación acceda a Internet (tanto en el caso de producción como en el de la prueba de conmutación por error).

Dirección IP de prueba y pública

Si asigna la dirección IP pública al crear un servidor de recuperación, este pasará a estar disponible desde Internet a través de dicha dirección IP. Cuando llega un paquete de Internet con la dirección IP pública de destino, la puerta de enlace de VPN la vuelve a asignar a la dirección IP de producción correspondiente mediante NAT y la envía al servidor de recuperación correspondiente.

Si asigna la dirección prueba al crear un servidor de recuperación, este pasará a estar disponible desde la red de prueba a través de dicha dirección IP. Al realizar la prueba de conmutación por error, el equipo de origen continúa funcionando mientras el servidor de recuperación con la misma dirección IP se inicia en la red de prueba en el cloud. No se produce ningún conflicto de dirección IP, ya que la red de prueba está aislada. Se puede acceder a los servidores de recuperación en la red de prueba a través de sus direcciones IP de prueba, que se vuelven a asignar a las direcciones IP de producción mediante NAT.

Servidores principales

Servidor principal: Máquina virtual que no tiene un equipo enlazado en el sitio local, en comparación con un servidor de recuperación. Los servidores principales se utilizan para proteger una aplicación por replicación o para ejecutar varios servicios auxiliares (como un servidor web).

Normalmente, se usa un servidor principal para la replicación de datos en tiempo real en servidores que ejecuten aplicaciones fundamentales. La replicación la configura usted mismo con herramientas nativas de la aplicación. Por ejemplo, la replicación de Active Directory o de SQL se puede configurar entre los servidores locales y el principal.

Como alternativa, un servidor principal se puede incluir en un grupo de disponibilidad AlwaysOn (AGG) o un grupo de disponibilidad de base de datos (DAG).

Ambos métodos requieren un profundo conocimiento de la aplicación y los derechos del administrador. Un servidor principal consume constantemente recursos informáticos y espacio del almacenamiento rápido de recuperación ante desastres. Necesita mantenimiento por su parte, como el control de la replicación, la instalación de actualizaciones de software y la realización de copias de seguridad. Las ventajas son los RPO y RTO mínimos con una carga mínima del entorno de producción (en comparación con la realización de copias de seguridad de servidores completos en la cloud).

Los servidores principales solo se inician en la red de producción y tienen los siguientes parámetros de red:

  • Red en el cloud (obligatoria): una red en el cloud a la que se conecta un servidor principal.
  • Dirección IP en la red de producción (obligatoria): dirección IP que tendrá el servidor principal en la red de producción. La primera dirección IP libre de su red de producción se establece de forma predeterminada.
  • Dirección IP pública (opcional): Una dirección IP para acceder a un servidor principal desde Internet. Si un servidor no tiene dirección IP pública, solo es alcanzable desde la red local y no desde Internet.
  • Acceso a Internet (opcional): permite que el servidor principal tenga acceso a Internet.