KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente Acronis? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Acronis - Disaster Recovery: Connessione Open VPN da sito a sito

Nota: La disponibilità della funzionalità dipende dalle quote di servizio abilitate per l'account.

Per comprendere il funzionamento della rete in Cyber Disaster Recovery Cloud, verrà considerata una situazione in cui sono presenti tre reti, ognuna con un sistema nel sito locale. Nell'esempio verrà configurata la protezione per le due reti, che denomineremo Rete 10 e Rete 20.

Il diagramma sottostante mostra il sito locale che ospita i sistemi e il sito cloud in cui vengono avviati i server cloud in caso di emergenza.

La soluzione Cyber Disaster Recovery Cloud consente di eseguire il failover di tutti i workload dei sistemi danneggiati nel sito locale sui server cloud nel cloud. È possibile proteggere un massimo di 23 reti con Cyber Disaster Recovery Cloud.

Cloud-vpn-vpn-002

Per stabilire una comunicazione Open VPN da sito a sito tra i siti locali e cloud vengono utilizzati un'appliance VPN e un gateway VPN. Quando si avvia la configurazione della connessione Open VPN da sito a sito nella console del servizio, il gateway VPN viene distribuito automaticamente nel sito cloud. Successivamente, è necessario distribuire l'appliance VPN nel sito locale, aggiungere le reti da proteggere e registrare l'appliance nel cloud. Cyber Disaster Recovery Cloud crea una replica della rete locale nel cloud. Tra l'appliance VPN e il gateway VPN viene stabilito un tunnel VPN sicuro. che rappresenta l'estensione della rete locale nel cloud. Viene eseguito il bridging tra le reti di produzione nel cloud e le reti locali. I server locali e nel cloud possono comunicare tramite questo tunnel VPN come se fossero tutti nello stesso segmento Ethernet. Viene avviato il routing con il router locale.

Banner

È necessario creare un server di ripristino nel sito cloud per ogni macchina di origine da proteggere. Tale server rimane in modalità Standby fino a quando non si verifica un evento di failover. In caso di emergenza, se si avvia il processo di failover in modalità di produzione, il server di ripristino che rappresenta la copia esatta del sistema protetto viene avviato nel cloud. A tale server può essere assegnato lo stesso indirizzo IP del sistema di origine e potrà essere avviato nello stesso segmento Ethernet. Il server potrà essere utilizzato come sempre, senza che gli utenti notino alcun cambiamento.

È inoltre possibile avviare un processo di failover in modalità di prova. In questa modalità, la macchina di origine resta in funzione e al contempo rispettivo il server di ripristino, con lo stesso indirizzo IP, viene avviato nel cloud. Per evitare conflitti tra indirizzi IP, nel cloud viene creata una rete virtuale speciale, definita rete di prova. Tale rete è isolata per evitare la duplicazione dell'indirizzo IP della macchina di origine in un segmento Ethernet. Per accedere al server di ripristino in modalità failover di prova, è necessario assegnare l'Indirizzo IP di prova al server di ripristino al momento della sua creazione.Gli altri parametri del server di ripristino che è possibile specificare vengono illustrati nelle rispettive sezioni, più avanti.

Come funziona il routing

Nel caso in cui venga stabilita una connessione da sito a sito, il routing tra le reti cloud viene eseguito con il router locale. Il server VPN non esegue il routing tra i server cloud posizionati in reti cloud diverse. Se il server cloud di una rete deve comunicare con un server di un'altra rete cloud, il traffico passa nel tunnel VPN verso il router locale presso il sito locale. A quel punto, il router locale effettua il routing verso un'altra rete e torna attraverso il tunnel al server di destinazione sul sito in cloud.

Gateway VPN

Il principale componente che consente la comunicazione tra i siti locali e cloud è il gateway di VPN. Si tratta di una virtual machine nel cloud, nella quale è installato un software speciale, con una configurazione di rete specifica. Il gateway VPN offre le seguenti funzioni:

  • Connette il segmento Ethernet della rete locale e della rete di produzione al cloud, in modalità L2.
  • Fornisce le regole iptables e ebtables.
  • Funge da router predefinito e da NAT per i sistemi nelle reti di prova e di produzione.
  • Funge da server DHCP. Tutti i sistemi nelle reti di produzione e prova ottengono la configurazione di rete (indirizzi IP, impostazioni DNS) tramite DHCP. Un dato server cloud ottiene sempre lo stesso indirizzo IP dal server DHCP. Nel caso in cui sia necessario configurare impostazioni DNS personalizzate, contattare il supporto tecnico.

  • Funge da DNS di caching.

Configurazione di rete del gateway VPN

Il gateway VPN presenta diverse interfacce di rete:

  • Interfaccia esterna, connessa a Internet
  • Interfacce di produzione, connesse alle reti di produzione
  • Interfaccia di prova, connessa alla rete di prova

Inoltre, si aggiungono due interfacce virtuali per le connessioni da punto a sito e da sito a sito.

Quando il gateway VPN viene distribuito e inizializzato, vengono creati i bridge: uno per l'interfaccia esterna e uno per le interfacce del client e di produzione. Sebbene il bridge client-produzione e l'interfaccia di prova utilizzino gli stessi indirizzi IP, il gateway VPN può instradare correttamente i pacchetti utilizzando uno specifico metodo.

Banner

Appliance VPN

L'appliance VPN è una virtual machine nel sito locale, nella quale è installato Linux e un software speciale, con una specifica configurazione di rete. Consente la comunicazione tra i siti locali e cloud.

Server di ripristino

Un server di ripristino è una replica virtuale del sistema di origine, basato sui backup dei server protetti archiviati nel cloud. I server di ripristino sono utilizzati per trasferire i carichi di lavoro dai server originali in caso di emergenza.

Durante la creazione di un server di ripristino è necessario specificare i seguenti parametri di rete:

  • Rete cloud (necessario): una rete cloud alla quale viene connesso il server di ripristino.
  • Indirizzo IP nella rete di produzione (necessario): un indirizzo IP con il quale viene avviata la macchina virtuale per un server di ripristino. Tale indirizzo è usato sia nella rete di produzione che in quella di prova. Prima dell'avvio, la macchina virtuale viene configurata per l'acquisizione dell'indirizzo IP tramite DHCP.
  • Indirizzo IP di prova (facoltativo): un indirizzo IP utilizzato per accedere a un server di ripristino dalla rete client-produzione durante il failover di prova, per impedire che l'indirizzo IP di produzione venga duplicato sulla stessa rete. Questo indirizzo IP è diverso da quello della rete di produzione. I server del sito locale possono raggiungere i server di ripristino durante il failover di prova tramite l'indirizzo IP di prova, mentre l'accesso nella direzione contraria non è disponibile. L'accesso a Internet dal server di ripristino della rete di prova è disponibile se l'opzione Accesso Internet è stata selezionata durante la creazione del server di ripristino.
  • Indirizzo IP pubblico (facoltativo): un indirizzo IP utilizzato per accedere a un server di ripristino da Internet. Se il server non dispone di un indirizzo IP pubblico, potrà essere raggiunto solo dalla rete locale.
  • Accesso Internet (facoltativo): consente a un server di ripristino di accedere a Internet (sia in produzione sia nel failover di prova).

Assegnazione indirizzo IP di prova

Se durante la creazione del server di ripristino viene assegnato un indirizzo IP pubblico, il server di ripristino sarà disponibile da Internet tramite tale indirizzo IP. Quando un pacchetto proveniente da Internet arriva con l'indirizzo IP pubblico di destinazione, il gateway VPN lo associa nuovamente al rispettivo indirizzo IP di produzione utilizzando NAT, quindi lo invia al server di ripristino corrispondente.

Cloud-open-vpn-vpn-003

Se durante la creazione del server di ripristino viene assegnato un indirizzo IP di prova, il server di ripristino sarà disponibile nella rete di prova tramite tale indirizzo IP. Quando si esegue il failover di prova, il sistema di origine resta in funzione mentre il server di ripristino con lo stesso indirizzo IP viene avviato nella rete di prova nel cloud. Non si verifica alcun conflitto tra indirizzi IP poiché la rete di prova è isolata. I server di ripristino della rete di prova sono raggiungibili tramite i propri indirizzi IP di prova, che vengono riassociati agli indirizzi IP di produzione tramite NAT.

Cloud-sito-vpn

Per ulteriori informazioni sulle reti Open VPN da sito a sito, consultare Appendice A. Open VPN da sito a sito - Informazioni aggiuntive.

Server primari

Un server primario è una virtual machine che, rispetto al server di ripristino, non dispone di un sistema connesso nel sito locale. I server primari sono utilizzati per proteggere un’applicazione tramite replica, o per eseguire diversi servizi ausiliari, ad esempio un server web.

In genere, un server primario viene utilizzato per la replica dei dati in tempo reale tra i server che eseguono le principali applicazioni. La replica viene configurata dall'utente, che a tal fine utilizza gli strumenti propri dell'applicazione. Ad esempio, è possibile configurare la replica di Active Directory o di SQL tra i server locali e il server primario.

In alternativa, è possibile includere un server primario in un gruppo di disponibilità AlwaysOn o in un gruppo di disponibilità dei database.

Entrambi questi metodi richiedono un'approfondita conoscenza dell'applicazione e i diritti di amministrazione sulla stessa. Un server primario consuma costantemente le risorse di elaborazione e lo spazio per l'archivio di ripristino di emergenza rapido. La manutenzione richiesta sul lato utente prevede il monitoraggio della replica, l'installazione degli aggiornamenti software e il backup. Tra i vantaggi, offre la riduzione degli obiettivi RPO e RTO e un carico minimo sull'ambiente di produzione, rispetto al backup dei server completi nel cloud.

I server primari sono avviati sempre ed esclusivamente nella rete di produzione e presentano i seguenti parametri di rete:

  • Rete cloud (necessario): una rete cloud alla quale viene connesso il server primario.
  • Indirizzo IP nella rete di produzione (necessario): un indirizzo IP assegnato al server primario nella rete di produzione. Per impostazione predefinita, viene configurato il primo indirizzo IP libero della rete di produzione.
  • Indirizzo IP pubblico (facoltativo): un indirizzo IP utilizzato per accedere a un server primario da Internet. Se il server non dispone di un indirizzo IP pubblico, potrà essere raggiunto solo dalla rete locale e non da Internet.
  • Accesso Internet (facoltativo): consente a un server primario di accedere a Internet.