Catoサイトタイプの回復メカニズム

概要

Catoは、サイトとプレゼンス・ポイント(PoP)の間に接続の問題があっても、トラフィックの継続性を維持するように設計されています。 サイトがPoPに接続され、トラフィックはCato Cloud経由でWANに出力されるか、SaaSやインターネットアプリケーションへのアクセスのためにインターネットへ出力されます。 接続の問題が発生した場合、回復力によりエンドユーザーへの影響を最小限に抑えてトラフィックの流れが継続されます。

この記事では、異なるサイトタイプに対するCatoの回復力と、PoP接続の問題が発生したときのトラフィックの動作について説明します。

Cato PoPアーキテクチャ

Cato PoPは、複数の処理サーバーで構成されるクラウドの場所です。 各PoPは、顧客トンネルを処理し、セキュリティサービスを適用し、単一処理ノードに依存せずにトラフィックを転送できるように構築されています。

各PoPノード:

  • 顧客トンネル(DTLSまたはIPsec)を終了します

  • ネットワークトラフィックを処理し転送します

  • ルーティング、最適化、WANとインターネットファイアウォール、IPS、TLSインスペクションなどのセキュリティサービスを含むCatoのソフトウェアスタックをフルで実行します。

このPoPノードベースのアーキテクチャにより、Cato Cloudはインフラ関連の問題の影響を最小限に抑えながら、トラフィック処理とセキュリティ施行を維持できます。

WANとインターネットのためのソケットとvSocketトラフィックの回復力

ソケットとvSocketサイトは、Cato Cloud経由でのサイト間のWAN接続性とSaaSアプリケーションへのトラフィックのためのインターネット接続性を維持するための最も回復力のあるモデルを提供します。 この展開モデルは、データセンタや主要拠点など、トラフィックの継続性と予測可能な回復動作が運用上重要なサイトで設計されています。エンドユーザーは、PoPへの接続の問題が発生した際に最小限の影響を受けるべきです。

PoP接続の問題に対する回復力

サイトがPoPに対して接続の問題を抱えたとき、ソケットは自動的にトラフィックフローを維持するために動作します。管理者の介入は必要ありません。 回復は段階的に処理され、混乱を最小限に抑え、不要なトポロジの変更を避けます。

機能は以下を含みます:

  1. ノードレベルの問題が検出された際には、異なるPoPノードへの自動再接続が行われます

  2. PoPレベルの接続性の問題が続く場合、異なるPoPへの自動フェイルオーバーが行われます

これらの動作は、一時的なPoP接続問題の影響を減少させ、エンドユーザーのトラフィックの継続性を維持するのに役立ちます。 詳しくは、「サイトに対する許容されるSLAと許容されないSLAを理解する」を参照してください。

ラストマイルとISPの回復力

ソケットとvSocketサイトは、ラストマイル接続性を積極的に監視し、Cato Cloudへの安定したトンネルを維持します。 トラフィックステアリングの決定は静的な優先事項ではなく、リアルタイムのリンク状態に基づいています。

機能は以下を含みます:

  1. 各WANリンクの品質と接続メトリックの継続的監視

  2. ISPの冗長性を提供するためのソケットあたり最大4つのWANインターフェースのサポート

  3. 複数のWANリンクの積極的な使用により、可用性と回復力が向上します

このモデルは単一ISPへの依存を減らし、ラストマイルの障害時に回復結果を改善します。

トラフィック固有の回復動作

ソケットは、PoP接続の問題があるとき、WANトラフィックとインターネット向けトラフィックに対して別々の回復ロジックを適用します。 この区別により、PoP接続の喪失がサイト間通信やインターネットアクセスに不必要に影響を与えることはありません。

WANトラフィックに関しては、ソケットはサイト間の接続維持を優先します:

  1. PoPが到達不能な場合、WANトラフィックはオフクラウドDTLSトンネル(WANリカバリー)にリダイレクトされます

  2. 既存のサイト間セッションは、再確立を必要とせず回復パスを介して継続します

インターネットトラフィックに対しては、ソケットは異なる回復パスを適用します:

  1. インターネット向けトラフィックは、ローカルISPに直接ルーティングされます(インターネットリカバリー)

  2. トラフィックはソケットからPoP IPアドレスではなく、ソケットの公開IPアドレスを使用して出力されます

このトラフィック固有の処理により、障害の範囲が制限され、WANとインターネットトラフィックが障害の種類に基づいて個別に回復することが可能になります。

ソケットの回復力のための運用上のベストプラクティス

正しいソケット展開は回復効果に直接影響します。 これらのプラクティスを適用することで、予測可能な動作を確保し、PoP接続の問題が発生した際のユーザーへの影響を最小化できます。

一般的な展開ベストプラクティス

ベストプラクティスは以下を含みます:

  1. 単一プロバイダーへの依存を避けるために、アクティブ/アクティブ設定で最低2つのISPをサイトに展開します

  2. ローカルハードウェア障害に対して保護するためにソケット高度(HA)を使用します

  3. サイトと上流ISPの間の物理パスの多様性を確保します

  4. 特にデータセンタサイトにおいて、WANインターフェースに対して静的公開IPアドレスを設定します

Cato Socket Connection Prerequisites and Known Limitationsを参照してください

WANリカバリーの計画

WANリカバリーは、オフクラウドDTLSトンネルを経由してPoPへの接続を失った際のサイト間接続性を維持します。 迅速な収束と信頼性のある回復動作を確保するためには、安定したWANインターフェース構成が重要です。

ベストプラクティスは以下を含みます:

  1. オフクラウドトンネルの安定性を向上するために、WANリカバリーに参加するWANインターフェースに静的IPアドレスを設定します

    これは特にデータセンタやハブサイトに重要です。

  2. WAN Recovery Tunnelsのステータスを検証するためにCMAでネットワーク > サイトページを使用してください。WANインターフェースまたはルーティングの変更後

詳細情報はWANリカバリーを利用したSocketサイトの回復力を参照してください。

インターネットリカバリーの計画

インターネットリカバリー中、トラフィックはPoPの代わりにソケットから直接インターネットに出力されます。 この動作はSaaSアクセスとIPベースのセキュリティポリシーに影響を与えます。

運用上の考慮は以下を含みます:

  1. インターネットトラフィックはリカバリー中にソケットの公開IPアドレスから送信されます

  2. インターネットリカバリーがアクティブな間、PoPベースの公開IPアドレスは使用されません

  3. 重大なSaaSアプリケーションへのアクセスを維持するために、ソケットの公開IPアドレスを許可リストに追加します

  4. 例えば、アプリケーションがPoP出力を使用する場合、割り当てられたCato IPアドレスとソケットの公開IPアドレスの両方を許可リストに追加します

詳細情報は「Cato Networksのインターネットリカバリーを使用する」を参照してください。

IPsecとクラウド間接続のサイトの回復力

IPsecとクラウド間接続サイトはPoPレベルの冗長性に依存して、PoP接続問題の際のトラフィックの継続性を維持します。 ソケットベースのサイトと異なり、これらのサイトタイプはオフクラウド回復メカニズムを使用しません。 回復力は、Cato Cloudへの冗長接続パスに依存しています。

IPsecサイトの回復力

IPsecサイトは、複数のPoPロケーションにトンネルを確立することで回復力を維持します。 フェイルオーバー動作は、顧客管理型のサードパーティIPsecデバイスの設定と機能によって決定されます。

機能は以下を含みます:

  1. 異なるPoPロケーションへのプライマリとセカンダリトンネルのサポート

  2. デバイスサポートに応じたアクティブ/パッシブまたはアクティブ/アクティブトンネル構成

運用上の考慮は以下を含みます:

  1. 99.999%のSLAは、少なくとも2つの異なるPoPロケーションに接続されているIPsecサイトにのみ保証されます。Cato MSAに定義されています。

  2. IPsecサイトではインターネットリカバリーとWANリカバリーはサポートされていません。 これにより、PoP障害時にはサイト間のWAN接続性が利用できなくなります。

クラウド間接続サイトの回復力

クラウド間接続サイトはプロバイダバックの接続性を利用してCato Cloudに接続します。 回復力は冗長なプロバイダインフラストラクチャとPoP接続を通じて達成されます。

機能は以下を含みます:

  1. プロバイダバックボーンを介した冗長接続性

  2. クラウド間接続設計に基づくアクティブおよびパッシブPoP接続性

運用上の考慮は以下を含みます:

  1. インターネットリカバリーとWANリカバリーはサポートされていません

  2. トラフィックの可用性は、プロバイダSLAと複数のPoPに接続されているサイトに依存します

BGPによるルーティングの回復力

動的ルーティングは、PoP接続の問題とネットワークの変更中にトラフィックの継続性を維持するために重要です。 BGPはサイトが迅速に収束し、経路が変更された場合にトラフィックを継続して転送できるように適応ルーティング動作を提供します。

安定した定義済みのパスのために静的ルーティングを使用することも可能です。

BGPベースのルーティング回復力

BGPは、接続の変更時に経路が学習および撤回される方法を制御し、障害が発生した際に到達可能な経路へトラフィックを自動的に移行させることができます。

機能は以下を含みます:

  1. リアルタイムの到達可能性に基づく動的パス選択

  2. リンク、パス、またはPoP接続の変更中の自動ルート収束

  3. 障害検出時間を短縮するための双方向フォワーディング検出(BFD)のサポート

運用上の考慮は以下を含みます:

  1. BGPはサイトルーターに設定され、Catoのルーティング設定と調整される必要があります

  2. 動的かつ回復力のあるルーティング動作が求められる場合には、BFD付きBGPを使用することをお勧めします。

詳細情報はBGPネイバーのためのBFDの設定を参照してください。

サイトタイプごとの回復メカニズムの概要

以下の表は、サイトとPoPの間に接続の問題があるときに、異なるサイトタイプがどのようにトラフィックの継続性を維持するかを要約しています。 トラフィックがどのように継続して流れ、回復が達成されるかに焦点を当てています。機能の設定の詳細についてではありません。

回復力の側面

ソケットとvSocketサイト

IPsecサイト

クラウドインターコネクトサイト

複数のPoPへの接続

はい

はい

はい

現在のPoPが到達不能な場合、代替PoPへの再接続

はい

はい(サードパーティデバイスの動作に依存します)

はい

PoP接続の問題中のWANトラフィックの回復力

はい(WANリカバリー)

いいえ

いいえ

PoP接続性の問題時のインターネットトラフィックのレジリエンシー

はい (インターネット リカバリーモード)

いいえ

いいえ

PoP接続性の問題時のAlt WANレジリエンシー (MPLS)

はい (Alt WAN Recovery)

いいえ

いいえ

サードパーティデバイスまたはプロバイダの挙動への依存

いいえ

はい

はい

リカバリー時のプラットフォームの挙動

トラフィックがインターネット リカバリーモードまたはWAN Recovery中にPoPをバイパスする場合、特定のプラットフォームサービスが適用されません。

運用上の考慮事項を含む:

  1. セキュリティ検査と脅威防止サービスはオフクラウドトラフィックに適用されません。

  2. PoPへの接続性が再確立されると、PoPベースのサービスは自動的に復元されます。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント