Механизмы восстановления для типов сайтов Cato

Обзор

Cato разработан для поддержания непрерывности трафика, даже если возникает проблема с подключением между сайтом и точкой присутствия (PoP). Сайты подключаются к точкам присутствия (PoP), и затем трафик либо выходит на WAN через Cato Cloud, либо в Интернет для доступа к облачным и интернет-приложениям. Устойчивость гарантирует, что когда возникает проблема с подключением, потоки трафика продолжают течь с минимальным или отсутствием воздействия на конечных пользователей.

Эта статья объясняет, как Cato обеспечивает устойчивость для различных типов сайтов и как ведет себя трафик в случае проблем с подключением PoP.

Архитектура PoP Cato

PoP Cato — это облачное местоположение, состоящее из нескольких серверов обработки. Каждый PoP построен для управления клиентскими туннелями, применения услуг безопасности и передачи трафика без зависимости от одного узла обработки.

Каждый узел PoP:

  • Завершает клиентские туннели (DTLS или IPsec)

  • Обрабатывает и передает сетевой трафик

  • Запускает полный стек программного обеспечения Cato, включая маршрутизацию, оптимизацию и услуги безопасности, такие как WAN и интернет-файрвол, IPS и инспекция TLS и так далее.

Такая архитектура на базе узлов PoP позволяет Cato Cloud поддерживать обработку трафика и применение безопасности, минимизируя воздействие проблем, связанных с инфраструктурой.

Устойчивость трафика сокетов и vSocket для WAN и Интернета

Сайты сокетов и vSocket предоставляют наименее уязвимую модель для поддержания связи WAN между сайтами через Cato Cloud и подключения к Интернету для трафика к облачным приложениям. Эта модель развертывания предназначена для сайтов, где непрерывность трафика и предсказуемое поведение восстановления операционно критичны, таких как дата-центры и основные отделения, и где конечные пользователи должны испытывать минимальное воздействие, когда возникает проблема с подключением к PoP.

Устойчивость при проблемах с подключением PoP

Когда у сайта возникает проблема с подключением к PoP, Socket автоматически работает, чтобы поддерживать потоки трафика с минимальным нарушением, без вмешательства администратора. Восстановление осуществляется постепенно, чтобы минимизировать нарушения и избегать лишних изменений топологии.

Возможности включают:

  1. Автоматическое переподключение к другому узлу PoP, когда обнаружена проблема на уровне узла.

  2. Автоматическое переключение на другой PoP, когда проблемы с подключением на уровне PoP продолжаются.

Эти действия снижают воздействие временных проблем с подключением PoP и помогают поддерживать непрерывность трафика для конечных пользователей. Для получения дополнительной информации см. Понимание приемлемых и неприемлемых SLA для сайтов.

Устойчивость последней мили и интернет-провайдера

Сайты сокетов и vSocket активно мониторят подключение последней мили, чтобы поддерживать стабильные туннели к Cato Cloud. Решения о перенаправлении трафика основываются на условиях связи в реальном времени, а не на статических настройках.

Возможности включают:

  1. Постоянный мониторинг качества и метрик подключения на каждом WAN-канале

  2. Поддержка до четырех WAN-интерфейсов на Socket для обеспечения резервирования интернет-провайдера

  3. Активное использование нескольких WAN-каналов для улучшения доступности и устойчивости

Эта модель снижает зависимость от одного интернет-провайдера и улучшает результаты восстановления при сбоях последней мили.

Поведение восстановления трафика

Сокеты применяют отдельную логику восстановления для WAN-трафика и трафика, направленного в Интернет, когда возникает проблема с подключением PoP. Это различие гарантирует, что потеря подключения PoP не оказывает ненужного воздействия на межсайтовую связь или доступ в Интернет.

Для WAN-трафика Socket приоритизирует поддержание подключения между сайтами:

  1. WAN-трафик перенаправляется на «off-cloud» туннели DTLS (восстановление WAN), когда PoP недоступен

  2. Существующие межсайтовые сеансы продолжаются по пути восстановления без необходимости переустановки

Для интернет-трафика Socket применяет другой путь восстановления:

  1. Трафик, направленный в Интернет, маршрутизируется напрямую к локальному интернет-провайдеру (восстановление интернета)

  2. Трафик выходит из Socket, используя общедоступный IP-адрес Socket, вместо IP-адреса PoP

Эта обработка, специфичная для трафика, ограничивает масштабы сбоев и позволяет WAN и интернет-трафику восстанавливаться независимо в зависимости от типа сбоя.

Операционные лучшие практики для устойчивости сокетов

Правильное развертывание Socket напрямую влияет на эффективность восстановления. Применение этих практик помогает обеспечить предсказуемое поведение и минимальное воздействие на пользователей во время проблем с подключением PoP.

Общие лучшие практики развертывания

Лучшие практики включают:

  1. Развертывайте не менее двух интернет-провайдеров на сайт в активной/активной конфигурации, чтобы избежать зависимости от одного провайдера.

  2. Используйте высокую доступность Socket (HA) для защиты от локальных аппаратных сбоев

  3. Обеспечьте физическое разнообразие путей между сайтом и входящими интернет-провайдерами

  4. Настройте статические общедоступные IP-адреса для WAN-интерфейсов, особенно для сайтов дата-центров

Для получения дополнительной информации, см. Cato Socket Connection Prerequisites and Known Limitations

Планирование восстановления WAN

Восстановление WAN поддерживает подключение между сайтами, когда сайт теряет подключение к PoP, маршрутизируя WAN-трафик по «off-cloud» туннелям DTLS. Стабильная конфигурация WAN-интерфейсов критически важна для обеспечения быстрого схода и надежного поведения восстановления.

Лучшие практики включают:

  1. Настройте статические IP-адреса на WAN-интерфейсах, участвующих в восстановлении WAN, чтобы улучшить стабильность туннелей «off-cloud»

    Это особенно важно для дата-центров и узловых сайтов.

  2. Используйте страницу Сеть > Сайты в CMA, чтобы проверить статус WAN Recovery Tunnels после изменений в WAN-интерфейсе или маршрутизации.

Для получения дополнительной информации см. устойчивость сайтa с восстановлением WAN.

Планирование восстановления интернета

Во время восстановления интернета трафик выходит напрямую в интернет из Socket, вместо PoP. Это поведение влияет на доступ к облачным приложениям и IP-основные политики безопасности.

Операционные соображения включают:

  1. Интернет-трафик исходит из общедоступного IP-адреса Socket во время восстановления.

  2. IP-адреса на основе PoP не используются, пока восстановление интернета активно.

  3. Добавьте в белый список общедоступный IP-адрес Socket для критически важных облачных приложений, чтобы сохранить доступ.

  4. Например, если приложения также используют PoP для выхода, добавьте в белый список и выделенный IP-адрес Cato, и общедоступный IP-адрес Socket.

Для получения дополнительной информации см. Использование режима восстановления интернета Cato Networks.

Устойчивость сайта IPsec и облачное взаимосоединение

Сайты IPsec и облачного взаимосоединения полагаются на избыточность на уровне PoP для поддержания непрерывности трафика в случае проблем с подключением PoP. В отличие от сайтов на базе Socket, эти типы сайтов не используют механизмы восстановления "off-cloud". Устойчивость зависит от избыточных путей подключения к Cato Cloud.

Устойчивость сайтов IPsec

Сайты IPsec поддерживают устойчивость, устанавливая туннели к нескольким местоположениям PoP. Поведение переключения определяется конфигурацией и возможностями управляемого клиентом стороннего устройства IPsec.

Возможности включают:

  1. Поддержка основных и вторичных туннелей к различным местоположениям PoP

  2. Конфигурации туннелей активный/пассивный или активный/активный, в зависимости от поддержки устройств

Операционные соображения включают:

  1. SLA 99.999% гарантируется только для сайтов IPsec, подключенных как минимум к двум различным местоположениям PoP, как определено в Cato MSA.

  2. Восстановление интернета и восстановление WAN не поддерживаются для сайтов IPsec. Это означает, что подключение WAN между сайтами недоступно во время сбоев PoP.

Устойчивость сайта облачного взаимосоединения

Сайты облачного взаимосоединения используют предоставленное провайдером подключение к Cato Cloud. Устойчивость достигается через избыточную инфраструктуру провайдеров и подключение PoP.

Возможности включают:

  1. Избыточное подключение по сети провайдера

  2. Активное и пассивное подключение PoP на основе дизайна облачного взаимосоединения

Операционные соображения включают:

  1. Восстановление интернета и восстановление WAN не поддерживаются.

  2. Доступность трафика зависит от SLA провайдера и подключения сайта к нескольким PoP.

Устойчивость маршрутизации с BGP

Динамическая маршрутизация критически важна для поддержания непрерывности трафика в случае проблем с подключением PoP и изменений в сети. BGP обеспечивает адаптивное маршрутное поведение, позволяющее сайтам быстро сходиться и продолжать передачу трафика, когда пути изменяются.

Также возможно использование статической маршрутизации для стабильных, предопределенных путей.

Устойчивость маршрутизации на основе BGP

BGP контролирует, как маршруты изучаются и отменяются при изменениях подключения, позволяя трафику автоматически переключаться на доступные пути при сбоях.

Возможности включают:

  1. Динамический выбор пути на основе доступности в реальном времени

  2. Автоматическое схождение маршрута при изменениях подключения по каналам, путям или PoP

  3. Поддержка двустороннего обнаружения пересылки (BFD) для сокращения времени обнаружения сбоев

Операционные соображения включают:

  1. BGP должен быть настроен на маршрутизаторе сайта и согласован с настройками маршрутизации Cato

  2. Мы рекомендуем использовать BGP с BFD, где требуется динамическое и устойчивое маршрутное поведение.

Для получения дополнительной информации см. Настройка BFD для соседей BGP.

Сводка механизмов восстановления по типу сайта

Следующая таблица резюмирует, как различные типы сайтов поддерживают непрерывность трафика, когда возникает проблема с подключением между сайтом и PoP. Основное внимание уделяется тому, какой трафик продолжает течь и как достигается восстановление, а не деталям конфигурации функций.

Аспект устойчивости

Сайты сокетов и vSocket

Сайты IPsec

Сайты облачного взаимосоединения

Подключение к нескольким PoP

Да

Да

Да

Переподключение к альтернативному PoP, если текущий PoP недоступен

Да

Да (зависит от поведения устройства стороннего поставщика)

Да

Устойчивость WAN-трафика при проблемах с подключением PoP

Да (восстановление WAN)

Нет

Нет

Резервирование интернет-трафика при проблемах соединения с PoP

Да (Режим восстановления)

Нет

Нет

Резервирование ALT WAN (MPLS) при проблемах соединения с PoP

Да (Восстановление ALT WAN)

Нет

Нет

Зависимость от поведения сторонних устройств или провайдеров

Нет

Да

Да

Поведение платформы в процессе восстановления

Когда трафик обходит PoP во время режима восстановления Интернета или WAN, определенные платформенные услуги не применяются.

Операционные соображения включают:

  1. Услуги инспекции безопасности и предотвращения угроз не применяются к трафику вне облака

  2. Услуги, зависящие от PoP, восстанавливаются автоматически, когда соединение с PoP восстанавливается

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев