Mecanismos de Recuperação para Tipos de Site Cato

Visão geral

Cato é projetado para manter a continuidade do tráfego mesmo quando há um problema de conectividade entre um site e um PoP. Os sites se conectam aos PoPs, e o tráfego então sai para a WAN sobre a Nuvem Cato ou para a Internet para acesso a SaaS e aplicações de Internet. A resiliência garante que, quando houver um problema de conectividade, os fluxos de tráfego continuem com impacto mínimo ou nenhum para os usuários finais.

Este artigo explica como Cato alcança resiliência para diferentes tipos de sites e como o tráfego se comporta durante problemas de conectividade com PoP.

Arquitetura de PoP Cato

Um PoP Cato é uma localização na nuvem composta por vários servidores de processamento. Cada PoP é construído para lidar com túneis de clientes, aplicar serviços de segurança e encaminhar tráfego sem depender de um único nó de processamento.

Cada nó PoP:

  • Encerra túneis de clientes (DTLS ou IPsec)

  • Processa e encaminha tráfego de rede

  • Executa a pilha completa de software Cato, incluindo roteamento, otimização e serviços de segurança, como Firewall WAN e Internet, IPS e inspeção TLS, e assim por diante

Esta arquitetura baseada em nó PoP permite que a Nuvem Cato mantenha o processamento de tráfego e a aplicação de segurança enquanto minimiza o impacto de problemas relacionados à infraestrutura.

Resiliência de Tráfego de Socket e vSocket para WAN e Internet

Sites de Socket e vSocket fornecem o modelo mais resiliente para manter a conectividade WAN entre sites sobre a Nuvem Cato e a conectividade de Internet para tráfego para aplicações SaaS. Este modelo de implantação é projetado para sites onde a continuidade do tráfego e o comportamento de recuperação previsível são operacionalmente críticos, como centros de dados e locais primários de filial, e onde os usuários finais devem experimentar impacto mínimo quando há um problema de conectividade para um PoP.

Resiliência para Problemas de Conectividade com PoP

Quando um site tem um problema de conectividade com um PoP, o Socket automaticamente trabalha para manter os fluxos de tráfego com interrupção mínima, sem intervenção do administrador. A recuperação é feita progressivamente para minimizar a interrupção e evitar mudanças desnecessárias de topologia.

As capacidades incluem:

  1. Reconexão automática para um nó PoP diferente quando um problema ao nível do nó é detectado

  2. Failover automático para um PoP diferente quando problemas de conectividade ao nível do PoP persistem

Esses comportamentos reduzem o impacto de problemas de conectividade transitória com PoP e ajudam a manter a continuidade do tráfego para usuários finais. Para mais informações, veja Understanding Acceptable and Unacceptable SLA for Sites.

Resiliência de Última Milha e ISP

Sites de Socket e vSocket monitoram ativamente a conectividade de última milha para manter túneis estáveis com a Nuvem Cato. As decisões de direcionamento de tráfego são baseadas em condições de link em tempo real em vez de preferências estáticas.

As capacidades incluem:

  1. Monitoramento contínuo de métricas de qualidade e conectividade em cada link WAN

  2. Suporte para até quatro interfaces WAN por Socket para fornecer redundância ISP

  3. Uso ativo de múltiplos links WAN para melhorar a disponibilidade e a resiliência

Este modelo reduz a dependência de um único ISP e melhora os resultados de recuperação durante falhas de última milha.

Comportamento de Recuperação Específico de Tráfego

Sockets aplicam lógica de recuperação separada para tráfego WAN e tráfego destinado à internet quando há um problema de conectividade com PoP. Esta distinção garante que a perda de conectividade com PoP não impacte, desnecessariamente, a comunicação site-a-site ou acesso à internet.

Para tráfego WAN, o Socket prioriza a manutenção da conectividade entre sites:

  1. O tráfego WAN é redirecionado para túneis DTLS fora da nuvem (Recuperação da WAN) quando o PoP está inacessível.

  2. Sessões existentes de site-a-site continuam no caminho de recuperação sem requerer reestabelecimento

Para tráfego de Internet, o Socket aplica um caminho de recuperação diferente:

  1. Tráfego destinado à internet é roteado diretamente para o ISP local (Recuperação de Internet)

  2. O tráfego sai do Socket usando o endereço IP público do Socket em vez do endereço IP do PoP

Este tratamento específico de tráfego limita o escopo de interrupções e permite que o tráfego WAN e o tráfego de Internet se recuperem independentemente com base no tipo de interrupção.

Melhores Práticas Operacionais para Resiliência de Socket

A implantação correta de Socket impacta diretamente a eficácia da recuperação. Aplicar essas práticas ajuda a garantir comportamento previsível e impacto mínimo para os usuários durante problemas de conectividade com PoP.

Melhores Práticas de Implantação Geral

As melhores práticas incluem:

  1. Implemente pelo menos dois ISPs por site em uma configuração ativo/ativo para evitar dependência de fornecedor único

  2. Use Alta Disponibilidade (HA) do Socket para proteger contra falhas de hardware local

  3. Assegure diversidade de caminho físico entre o site e os ISPs upstream

  4. Configure endereços IP públicos estáticos para interfaces WAN, especialmente para sites de centro de dados

Para mais informações, veja Cato Socket Connection Prerequisites and Known Limitations

Planejando para Recuperação WAN

A Recuperação WAN mantém a conectividade site-a-site quando um site perde conectividade com o PoP roteando tráfego WAN através de túneis DTLS fora da nuvem. Uma configuração de interface WAN estável é crítica para assegurar rápida convergência e comportamento de recuperação confiável.

As melhores práticas incluem:

  1. Configure endereços IP estáticos nas interfaces WAN que participam da Recuperação WAN para melhorar a estabilidade do túnel fora da nuvem

    Isso é especialmente importante para centros de dados e sites de hub.

  2. Use a página Rede > Sites no CMA para verificar o status dos Túneis de Recuperação WAN após mudanças de interface WAN ou roteamento

Para mais informações, consulte Resiliência do Site com Recuperação WAN.

Planejando para Recuperação de Internet

Durante a Recuperação de Internet, o tráfego sai diretamente para a Internet a partir do Socket, em vez do PoP. Este comportamento afeta o acesso ao SaaS e políticas de segurança baseadas em IP.

As considerações operacionais incluem:

  1. O tráfego de Internet tem como origem o endereço IP público do Socket durante a recuperação

  2. Os endereços IP públicos baseados em PoP não são usados enquanto a Recuperação de Internet está ativa

  3. Permitir lista de endereços IP públicos do Socket para aplicações SaaS críticas para manter o acesso

  4. Por exemplo, se aplicações também usarem saída PoP, permitir lista de ambos o endereço IP Cato alocado e o endereço IP público do Socket

Para mais informações, veja Using Cato Networks' Internet Recovery.

Resiliência de Site IPsec e Interconexão de Nuvem

Sites IPsec e Interconexão de Nuvem dependem de redundância ao nível do PoP para manter a continuidade do tráfego durante problemas de conectividade com PoP. Diferente de sites baseados em Socket, esses tipos de sites não usam mecanismos de recuperação fora da nuvem. A resiliência depende de caminhos de conectividade redundantes na Nuvem Cato.

Resiliência de Site IPsec

Sites IPsec mantêm a resiliência estabelecendo túneis para múltiplas localizações PoP. O comportamento de failover é determinado pela configuração e capacidades do dispositivo IPsec de terceiros gerenciado pelo cliente.

As capacidades incluem:

  1. Suporte para túneis primários e secundários para diferentes localizações PoP

  2. Configurações de túnel Ativo/Passivo ou ativo/ativo, dependendo do suporte do dispositivo

As considerações operacionais incluem:

  1. Um SLA de 99,999% é garantido apenas para sites IPsec conectados a pelo menos duas localizações PoP diferentes, conforme definido no MSA Cato

  2. A Recuperação de Internet e a Recuperação WAN não são suportadas para sites IPsec. Isso significa que a conectividade WAN entre sites está indisponível durante interrupções de PoP

Resiliência de Site de Interconexão de Nuvem

Sites de Interconexão de Nuvem usam conectividade apoiada por provedores para a Nuvem Cato. A resiliência é alcançada por meio de infraestrutura de provedor redundante e conectividade com PoP.

As capacidades incluem:

  1. Conectividade redundante sobre a espinha dorsal do provedor

  2. Conectividade ativa e passiva com PoP baseada no design de interconexão de nuvem

As considerações operacionais incluem:

  1. A Recuperação de Internet e a Recuperação WAN não são suportadas

  2. A disponibilidade do tráfego depende do SLA do provedor e do site estar conectado a múltiplos PoPs

Resiliência de Roteamento com BGP

O roteamento dinâmico é crítico para manter a continuidade do tráfego durante problemas de conectividade com PoP e mudanças de rede. O BGP fornece comportamento de roteamento adaptativo que permite que sites convirjam rapidamente e continuem encaminhando tráfego quando os caminhos mudam.

Também é possível usar roteamento estático para caminhos estáveis e predefinidos.

Resiliência de Roteamento Baseada em BGP

O BGP controla como as rotas são aprendidas e retiradas durante mudanças de conectividade, permitindo que o tráfego mude automaticamente para caminhos acessíveis quando ocorrem falhas.

As capacidades incluem:

  1. Seleção dinâmica de caminho baseada em alcançabilidade em tempo real

  2. Convergência automática de rota durante mudanças de link, caminho ou conectividade com PoP

  3. Suporte para Detecção de Encaminhamento Bidirecional (BFD) para reduzir o tempo de detecção de falhas

As considerações operacionais incluem:

  1. O BGP deve ser configurado no roteador do site e coordenado com as configurações de roteamento Cato

  2. Recomendamos usar BGP com BFD onde comportamento de roteamento dinâmico e resiliente é requerido.

Para mais informações, veja Configuring BFD for BGP Neighbors.

Resumo de Mecanismos de Recuperação por Tipo de Site

A tabela a seguir resume como diferentes tipos de sites mantêm a continuidade do tráfego quando há um problema de conectividade entre um site e um PoP. O foco é no que o tráfego continua a fluir e como é alcançada a recuperação, não nos detalhes de configuração de funcionalidade.

Aspeto de Resiliência

Sites de Socket e vSocket

Sites IPsec

Sites de Interconexão de Nuvem

Conexão com múltiplos PoPs

Sim

Sim

Sim

Reconexão para um PoP alternativo quando o PoP atual está inacessível

Sim

Sim (depende do comportamento do dispositivo de terceiros)

Sim

Resiliência do tráfego WAN durante problemas de conectividade com PoP

Sim (Recuperação WAN)

Não

Não

Resiliência do tráfego de Internet durante problemas de conectividade com PoP

Sim (Recuperação de Internet)

Não

Não

Resiliência do ALT WAN (MPLS) durante problemas de conectividade do PoP

Sim (Recuperação ALT WAN)

Não

Não

Dependência do comportamento de dispositivo ou provedor de terceiros

Não

Sim

Sim

Comportamento da Plataforma Durante a Recuperação

Quando o tráfego ignora o PoP durante a recuperação da Internet ou a recuperação do WAN, certos serviços da plataforma não são aplicados.

As considerações operacionais incluem:

  1. Serviços de inspeção de segurança e prevenção de ameaças não são aplicados ao tráfego fora da nuvem

  2. Os serviços baseados em PoP são restaurados automaticamente quando a conectividade com o PoP é restabelecida

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário