Connexion OpenVPN de site à site

La disponibilité de cette fonctionnalité dépend des quotas de service activés pour votre compte.

Pour comprendre comment le système de réseau fonctionne dans Cyber Disaster Recovery Cloud, nous examinerons un cas dans lequel vous possédez trois réseaux dotés chacun d'une machine sur le site local. Vous allez configurer la protection contre un sinistre pour les deux réseaux : le Réseau 10 et le Réseau 20.

Dans le diagramme ci-dessous, vous pouvez voir le site local dans lequel vos ordinateurs sont hébergés ainsi que le site dans le Cloud, où vos serveurs Cloud sont lancés en cas de sinistre. La solution Cyber Disaster Recovery Cloud vous permet de basculer toute la charge de travail des ordinateurs corrompus du site local vers les serveurs Cloud. Vous pouvez protéger jusqu'à cinq réseaux dans le Cloud avec Cyber Disaster Recovery Cloud.

Pour établir une communication OpenVPN de site à site entre le site local et le site dans le Cloud, une appliance VPN et une passerelle VPN sont utilisées. Lorsque vous commencez à configurer la connexion OpenVPN de site à site dans la console de service, la passerelle VPN est automatiquement déployée sur le site dans le Cloud. Vous devez ensuite déployer le matériel VPN dans votre site local, ajouter les réseaux à protéger et enregistrer le matériel dans le Cloud. Cyber Disaster Recovery Cloud crée un réplica de votre réseau local dans le Cloud. Un tunnel VPN sécurisé est établi entre l'appliance VPN et la passerelle VPN. Il fournit à votre réseau local une extension vers le Cloud. Les réseaux de production dans le Cloud sont comblés par vos réseaux locaux. Les serveurs locaux et dans le Cloud peuvent communiquer via ce tunnel VPN comme s'ils se trouvaient tous dans le même segment Ethernet. Le routage est effectué avec votre routeur local.

Pour chaque machine source à protéger, vous devez créer un serveur de restauration dans le site dans le Cloud. Il reste en mode Veille jusqu'à ce qu'un événement de basculement se produise. Si un sinistre se produit et que vous lancez un processus de basculement (en mode production), le serveur de restauration représentant la copie exacte de votre machine protégée est lancé dans le Cloud. Il se peut que la même adresse IP que celle de la machine source lui soit attribuée, et qu'il soit lancé dans le même segment Ethernet. Vos clients peuvent continuer à travailler avec le serveur, sans remarquer de changement de fond.

Vous pouvez également démarrer un processus de basculement en mode test. Cela signifie que la machine source fonctionne toujours, et que le serveur de restauration associé doté de la même adresse IP est lancé en même temps dans le Cloud. Pour éviter les conflits d'adresse IP, un réseau virtuel spécial est créé dans le réseau test dans le Cloud. Le réseau test est isolé pour éviter la duplication de l'adresse IP de la machine source dans un segment Ethernet. Pour accéder au serveur de restauration en mode de basculement test, vous devez affecter l'adresse IP test au serveur de restauration lorsque vous créez ce dernier.Vous pouvez indiquer d'autres paramètres pour le serveur de restauration, qui seront pris en compte dans les sections respectives ci-dessous.

Fonctionnement du routage

Lorsqu'une connexion de site à site est établie, le routage entre réseaux Cloud s'effectue avec votre routeur local. Le serveur VPN n'effectue pas de routage entre des serveurs Cloud situés dans différents réseaux Cloud. Si un serveur Cloud sur l'un des réseaux souhaite communiquer avec un serveur d'un autre réseau Cloud, le trafic est acheminé au routeur local sur le site local via le tunnel VPN, le routeur local l'achemine vers un autre réseau, puis le trafic revient au serveur de destination sur le site Cloud via le tunnel.

Passerelle VPN

La passerelle VPN est le composant majeur qui permet la communication entre les sites locaux et dans le Cloud. Il s'agit d'une machine virtuelle dans le Cloud sur laquelle le logiciel spécial est installé et le réseau spécifiquement configuré. La passerelle VPN possède les fonctions suivantes :

  • Connecte les segments Ethernet de votre réseau local et de votre réseau de production dans le Cloud en mode couche 2.
  • Fournit des règles iptables et ebtables.
  • Agit comme routeur et NAT par défaut pour les ordinateurs des réseaux de test et de production.

  • Agit comme serveur DHCP. Toutes les machines des réseaux de production et de test doivent obtenir la configuration réseau (adresses IP, paramètres DNS) via DHCP. À chaque fois, un serveur Cloud obtiendra la même adresse IP auprès du serveur DHCP. Si vous avez besoin de configurer un DNS personnalisé, nous vous invitons à contacter l'équipe d'assistance.

  • Agit comme DNS de mise en cache.

Configuration réseau de la passerelle VPN

La passerelle VPN possède plusieurs interfaces réseau :

  • Une interface externe, connectée à Internet
  • Des interfaces de production, connectées aux réseaux de production
  • Une interface de test, connectée au réseau test

Par ailleurs, deux interfaces virtuelles sont ajoutées pour les connexions de point à site et de site à site.

Lorsque la passerelle VPN est déployée et initialisée, les ponts sont créés : un pour l'interface externe et un pour les interfaces client et de production. Bien que le pont client-production et l'interface de test utilisent les mêmes adresses IP, la passerelle VPN peut router des packages correctement en utilisant une technique spécifique.

Application VPN

L'appliance VPN est une machine virtuelle dans le site local sur laquelle Linux et le logiciel spécial sont installés, et qui dispose d'une configuration réseau spéciale. Il permet la communication entre les sites locaux et dans le Cloud.

Serveurs de restauration

Un serveur de restauration : un réplica de la machine d'origine, basé sur les sauvegardes de serveur protégées stockées dans le Cloud. Les serveurs de restauration sont utilisés pour remplacer les charges de travail depuis les serveurs originaux en cas de sinistre.

Lorsque vous créez un serveur de restauration, vous devez préciser les paramètres de réseau suivants :

  • Réseau Cloud (obligatoire) : un réseau Cloud auquel un serveur de restauration sera connecté.
  • Adresse IP dans le réseau de production (obligatoire) : une adresse IP avec laquelle une machine virtuelle sera lancée pour un serveur de récupération. Cette adresse est utilisée dans les réseaux de test et de production. Avant le lancement, la machine virtuelle est configurée de façon à récupérer l'adresse IP via DHCP.
  • Adresse IP de test (facultatif) : une adresse IP est nécessaire pour accéder au serveur de restauration depuis le réseau client-production lors du basculement test, afin d'éviter que l'adresse IP de test ne soit dupliquée dans le même réseau. Cette adresse IP est différente de l'adresse IP du réseau de production. Les serveurs du site local peuvent accéder aux serveurs de restauration lors du basculement test via l'adresse IP de test. L'accès inverse n'est cependant pas disponible. Une connexion Internet depuis le serveur de restauration dans le réseau de test est disponible si l'option Connexion Internet a été choisie lors de la création du serveur de restauration.
  • Adresse IP publique (facultatif) : une adresse IP permettant d'accéder au serveur de restauration depuis Internet. Si un serveur ne possède pas d'adresse IP publique, vous pouvez y accéder uniquement depuis le réseau local.
  • Connexion à Internet (facultatif) : elle permet au serveur de restauration d'accéder à Internet (aussi bien dans les cas de basculement test qu'en production).

Adresse IP publique et de test

Si vous affectez l'adresse IP publique lors de la création d'un serveur de restauration, celui-ci devient disponible depuis Internet via cette adresse IP. Lorsqu'un paquet provenant d'Internet contient l'adresse IP publique de destination, la passerelle VPN le remappe à l'adresse IP de production associée en utilisant NAT, puis l'envoie au serveur de restauration correspondant.

Si vous affectez l'adresse IP de test lors de la création d'un serveur de restauration, celui-ci devient disponible dans le réseau de test via cette adresse IP. Lorsque vous effectuez le basculement test, la machine d'origine fonctionne toujours pendant que le serveur de restauration doté de la même adresse IP est lancé en même temps dans le Cloud. Il n'existe aucun conflit d'adresse IP, car le réseau de test est isolé. Les serveurs de restauration du réseau de test sont accessibles avec leur adresse IP de test, qui est remappée aux adresses IP de production via NAT.

Serveurs primaires

Un serveur primaire : une machine virtuelle qui ne possède pas d'ordinateur associé sur le site local, par rapport à un serveur de restauration. Les serveurs primaires servent à protéger une application par réplication, ou à exécuter divers services auxiliaires (tels qu'un serveur Web).

Généralement, un serveur primaire est utilisé pour la réplication des données en temps réel entre des serveurs exécutant des applications cruciales. Vous configurez vous-même la réplication à l'aide des outils natifs de l'application. Par exemple, la réplication Active Directory ou la réplication SQL peuvent être configurées entre les serveurs locaux et le serveur primaire.

Un serveur primaire peut également être inclus dans un groupe AlwaysOn Availability Group (AAG) ou dans un groupe de disponibilité de la base de données (DAG).

Ces méthodes nécessitent toutes les deux une connaissance approfondie de l'application, ainsi que les droits d'administrateur correspondants. Un serveur primaire consomme en continu des ressources de calcul et de l'espace sur le stockage rapide pour reprise d'activité après sinistre. Il nécessite une maintenance de votre côté : suivi de la réplication, installation des mises à jour logicielles et sauvegarde. Les avantages sont des RTO et RPO minimales, avec une faible charge sur l'environnement de production (comparé à la sauvegarde de serveurs entiers dans le Cloud).

Les serveurs primaires sont toujours lancés uniquement dans le réseau de production et possèdent les paramètres réseau suivants :

  • Réseau Cloud (obligatoire) : un réseau Cloud auquel un serveur primaire sera connecté.
  • Adresse IP dans le réseau de production (obligatoire) : une adresse IP que le serveur primaire aura dans le réseau de production. Par défaut, la première adresse IP gratuite issue de votre réseau de production est définie.
  • Adresse IP publique (facultatif) : une adresse IP permettant d'accéder au serveur primaire depuis Internet. Si un serveur ne possède pas d'adresse IP publique, vous pouvez y accéder uniquement depuis le réseau local, pas via Internet.
  • Connexion à Internet (facultatif) : permet au serveur primaire d'accéder à Internet.