ACRONIS Cyber Disaster Recovery Cloud 23.06 Manuel utilisateur

Cyber Disaster Recovery

Cloud

23.06

R É V I S I O N  : 1 9 / 0 7 / 2 0 2 3

Guide de l’administrateur

Table des matières

À propos de Cyber Disaster Recovery Cloud 5

Les fonctionnalités clés 5

Exigences logicielles 6

Systèmes d'exploitation pris en charge 6

Plates-formes de virtualisation prises en charge 6

Limites 7

Version d'évaluation Cyber Disaster Recovery Cloud 9

Points de calcul 10

Créer un plan de protection de reprise d'activité après sinistre 11

Que faire ensuite 12

Modification des paramètres par défaut du serveur de restauration 12

Infrastructure du réseau Cloud 14

Configuration de la connectivité 15

Concepts de réseau 15

Mode «sur Cloud uniquement» 16

Connexion OpenVPN de site à site 17

ConnexionVPN IPsec multi-site 23

Accès VPN à distance de point à site 24

Suppression automatique des environnements clients non utilisés sur un site dans le Cloud 25

Configuration de la connectivité initiale 26

Configuration du mode «sur Cloud uniquement» 26

Configuration OpenVPN de site à site 26

Configuration d'un VPN IPsec multi-site 28

Recommandations pour la disponibilité des services de domaine ActiveDirectory 34

Configuration de l'accès VPN à distance de point à site 35

Gestion du réseau 36

Gestion des réseaux 36

Gestion des paramètres du matériel VPN 40

Réinstallation de la passerelle VPN 40

Activation et désactivation de la connexion de site à site 41

Basculement du type de connexion de site à site 41

Réaffectation d'adressesIP 43

Configuration de serveursDNS personnalisés 43

Suppression de serveurs DNS personnalisés 44

Téléchargement d'adressesMAC 45

2

Configuration du routage local 45

Autoriser le traficDHCP via un VPN de couche2 46

Gestion des paramètres de la connexion de point à site 46

Connexions de point à site actives 47

Utilisation des journaux 48

Dépannage de la configuration VPNIPsec 50

Configuration des serveurs de restauration 54

Création d'un serveur de restauration 54

Fonctionnement du basculement 56

Basculement de la production 56

Tester le basculement 58

Basculement test automatisé 58

Réalisation d'un basculement test 58

Basculement test automatisé 60

Réalisation d'un basculement 61

Fonctionnement de la restauration automatique 64

Restauration automatique sur une machine virtuelle cible 65

Exécution d'une restauration automatique vers une machine virtuelle 67

Restauration automatique vers une machine physique cible 70

Exécution d'une restauration automatique vers une machine physique 71

Travailler avec des sauvegardes chiffrées 72

Opérations réalisées avec les machines virtuelles MicrosoftAzure 73

Configuration des serveurs primaires 74

Création d'un serveur primaire 74

Opérations sur un serveur primaire 76

Gestion des serveurs Cloud 77

Règles de pare-feu pour les serveurs Cloud 79

Définition de règles de pare-feu pour les serveurs Cloud 79

Vérification des activités de pare-feu dans le Cloud 82

Sauvegarde des serveurs Cloud 83

Orchestration (runbooks) 84

Pourquoi utiliser des runbooks? 84

Création d'un runbook 84

Étapes et actions 85

Paramètres des actions 85

Vérification de l'achèvement 86

Opérations avec les runbooks 86

3

Exécution d'un runbook 87

Arrêt de l'exécution d'un runbook 87

Affichage de l'historique d'exécution 87

OpenVPN de site à site – Informations complémentaires 89

Glossaire 96

Index 98

4

À propos de Cyber Disaster Recovery Cloud

Cyber Disaster Recovery Cloud (DR): partie de Cyber Protection, qui fournit une reprise d'activité

après sinistre en tant que service (DRaaS). Cyber Disaster Recovery Cloud vous fournit une solution

rapide et stable pour lancer les copies exactes de vos machines sur le site dans le Cloud et basculer

la charge de travail des machines d'origine corrompues vers les serveurs de restauration dans le

Cloud, en cas de catastrophe naturelle ou causée par l'homme.

Vous pouvez définir et configurer la reprise d'activité après sinistre de différentes manières:

lCréez un plan de protection qui inclut un module de reprise d'activité après sinistre et appliquez-

le à tous vos appareils. Cela permet de définir automatiquement une infrastructure de reprise

d'activité après sinistre par défaut. Voir la section Créer un plan de protection de reprise d'activité

après sinistre.

lConfigurez manuellement l'infrastructure Cloud de reprise d'activité après sinistre et contrôlez

chaque étape. Consultez "Configuration des serveurs de restauration" (p. 54).

Les fonctionnalités clés

Remarque

Certaines fonctionnalités peuvent nécessiter une licence supplémentaire, en fonction du modèle de

gestion de licences appliqué.

lGérez le service Cyber Disaster Recovery Cloud depuis une console unique

lÉtendez jusqu'à 23réseaux locaux au Cloud à l'aide d'un tunnel VPN sécurisé

lÉtablissez une connexion vers le site dans le Cloud sans aucun déploiement de matériel VPN1 (le

mode «sur Cloud uniquement»)

lÉtablissez une connexion de point à site vers vos sites locaux et dans le Cloud

lProtégez vos machines en utilisant des serveurs de restauration dans le Cloud

lProtégez vos applications et matériels en utilisant des serveurs primaires dans le Cloud

lExécutez des opérations automatisées de reprise d'activité après sinistre pour des sauvegardes

chiffrées

lRéalisez un basculement test dans le réseau isolé

lUtilisez des runbooks pour lancer l'environnement de production dans le Cloud

1Une machine virtuelle spéciale qui connecte le réseau local et le site dans le Cloud via un tunnel VPN sécurisé. Le

matériel VPN est déployé sur le site local.

5

Exigences logicielles

Systèmes d'exploitation pris en charge

La protection à l'aide d'un serveur de restauration a été testée pour les systèmes d'exploitation

suivants:

lCentOS 6.6, 7.x, 8.x

lDebian 9.x, 10.x, 11.x

lRed Hat Enterprise Linux 6.6, 7.x, 8.x

lUbuntu 16.04, 18.04, 20.x, 21.x

lOracle Linux 7.3 and 7.9 with Unbreakable Enterprise Kernel

lWindows Server 2008 R2

lWindows Server 2012/2012 R2

lWindows Server 2016 – toutes les options d'installation, excepté Nano Server

lWindows Server 2019 – toutes les options d'installation, excepté Nano Server

lWindows Server 2022 – toutes les options d'installation, excepté Nano Server

Les systèmes d'exploitation Windows de bureau ne sont pas pris en charge en raison des conditions

générales relatives aux produits Microsoft.

Le logiciel peut fonctionner avec d'autres systèmes d'exploitation Windows ou d'autres distributions

Linux, mais cela n'est pas garanti.

Remarque

La protection à l'aide d'un serveur de restauration a été testée pour les machines virtuelles

MicrosoftAzure avec les systèmes d'exploitation suivants.

lWindows Server 2008 R2

lWindows Server 2012/2012 R2

lWindows Server 2016 – toutes les options d'installation, excepté Nano Server

lWindows Server 2019 – toutes les options d'installation, excepté Nano Server

lWindows Server 2022 – toutes les options d'installation, excepté Nano Server

lUbuntuServer20.04 LTS - Gen2 (Canonical) Pour plus d'informations sur l'accès à la console du

serveur de restauration, consultez l'article https://kb.acronis.com/content/71616.

Plates-formes de virtualisation prises en charge

La protection de machines virtuelles à l'aide d'un serveur de restauration a été testée pour les

plates-formes de virtualisation suivantes:

6

lVMware ESXi 5.1, 5.5, 6.0, 6.5, 6.7, 7.0

lWindows Server 2008 R2 avec Hyper-V

lWindows Server 2012/2012 R2 avec Hyper-V

lWindows Server 2016 avec Hyper-V – toutes les options d'installation, excepté Nano Server

lWindows Server 2019 avec Hyper-V – toutes les options d'installation, excepté Nano Server

lWindowsServer2022 avec Hyper-V– toutes les options d'installation, excepté Nano Server

lMicrosoft Hyper-V Server 2012/2012 R2

lMicrosoft Hyper-V Server 2016

lMachines virtuelles basées sur un noyau (KVM) — Invités entièrement virtualisés (HVM)

uniquement. Les invités paravirtualisés (PV) ne sont pas pris en charge.

lRed Hat Enterprise Virtualization (RHEV) 3.6

lRed Hat Virtualization (RHV) 4.0

lCitrix XenServer: 6.5, 7.0, 7.1, 7.2

L'application VPN a été testée pour les plates-formes de virtualisation suivantes:

lVMware ESXi 5.1, 5.5, 6.0, 6.5, 6.7

lWindows Server 2008 R2 avec Hyper-V

lWindows Server 2012/2012 R2 avec Hyper-V

lWindows Server 2016 avec Hyper-V – toutes les options d'installation, excepté Nano Server

lWindows Server 2019 avec Hyper-V – toutes les options d'installation, excepté Nano Server

lWindowsServer2022 avec Hyper-V– toutes les options d'installation, excepté Nano Server

lMicrosoft Hyper-V Server 2012/2012 R2

lMicrosoft Hyper-V Server 2016

Le logiciel peut fonctionner avec d'autres plates-formes de virtualisation ou d'autres versions, mais

cela n'est pas garanti.

Limites

Les plate-formes et configurations suivantes ne sont pas prises en charge dans Cyber Disaster

Recovery Cloud:

1. Plateformes non prises en charge:

lAgents pour Virtuozzo

lmacOS

2. Configurations non prises en charge:

Microsoft Windows

7

lLes disques dynamiques ne sont pas pris en charge

lLes systèmes d'exploitation Windows de bureau ne sont pas pris en charge en raison des

conditions générales relatives aux produits Microsoft.

lLe service Active Directory avec réplication FRS n'est pas pris en charge

lLes supports amovibles sans formatage GPT ou MBR (dits «super disquettes») ne sont pas

pris en charge

Linux

lSystèmes de fichiers sans table de partition

lLes charges de travail Linux qui sont sauvegardées avec un agent d'un SE invité et dont les

volumes ont les configurations LogicalVolumeManager avancées suivantes: volumes agrégés

par bandes, volumes en miroir, volumes RAID0, RAID4, RAID5, RAID6 ou RAID10.

Remarque

Les ressources ayant plusieurs systèmes d'exploitation installés ne sont pas prises en charge.

3. Types de sauvegarde non pris en charge:

lLes points de reprise de la protection continue des données (CDP) sont incompatibles.

Important

Si vous créez un serveur de restauration à partir d'une sauvegarde disposant d'un point de

récupération CDP, lors de la restauration automatique ou lors de la création d'une

sauvegarde d'un serveur de restauration, vous perdrez les données contenues dans le point

de récupération CDP.

lLes sauvegardes d'investigation ne peuvent pas être utilisées pour créer des serveurs de

restauration.

Un serveur de restauration possède une interface réseau. Si la machine d'origine possède plusieurs

interfaces réseau, une seule est émulée.

Les serveurs Cloud ne sont pas chiffrés.

8

Version d'évaluation Cyber Disaster Recovery

Cloud

Vous pouvez utiliser une version d'évaluation de Acronis Cyber Disaster Recovery Cloud pendant

30jours. Dans ce cas, la reprise d'activité après sinistre a les limites suivantes:

lVous ne pouvez utiliser que 100points de calcul. Pour plus d'informations sur les points de calcul,

consultez Compute-points.htm.

lVous ne pouvez utiliser que 1To de stockage inactif Acronis pour le stockage des sauvegardes.

lAucun accès à l'Internet public pour les serveurs primaires et de reprise. Vous ne pouvez pas

attribuer d'adressesIP aux serveurs.

lLe VPN multisite Ipsec n'est pas disponible.

9

Points de calcul

Dans la reprise d'activité après sinistre, les points de calcul sont utilisés pour les serveurs primaires

et les serveurs de restauration pendant le basculement en environnement de test et en

environnement de production. Les points de calcul reflètent les ressources de calcul utilisées pour

l'exécution des serveurs (machines virtuelles) dans le cloud.

La consommation des points de calcul pendant la reprise d'activité après sinistre dépend des

paramètres du serveur et de la durée pendant laquelle le serveur se trouve dans l'état de

basculement. Plus le serveur est puissant et plus cette période est longue, plus le nombre de points

de calcul consommés est élevé. Et plus le nombre de points de calcul consommés est élevé, plus le

prix que vous payez est important.

Vous trouverez dans le tableau ci-dessous huitdifférents types de serveurs dans le Cloud: Vous

pouvez modifier les types de serveurs dans l'onglet Détails.

Type CPU RAM Points de calcul

F1 1vCPU 2 Go 1

F2 1vCPU 4Go 2

F3 2vCPU 8Go 4

F4 4vCPU 16Go 8

F5 8vCPU 32Go 16

F6 16vCPU 64Go 32

F7 16vCPU 128Go 64

F8 16vCPU 256Go 128

Grâce aux informations du tableau, vous pouvez estimer facilement le nombre de points de calcul

consommés par un serveur (machine virtuelle).

Par exemple, si vous souhaitez protéger avec la reprise d'activité après sinistre une machine

virtuelle comportant 4vCPU* de 16Go de mémoire RAM et une machine virtuelle comportant

2vCPU avec 8Go de mémoire RAM, la première machine virtuelle consomme 8points de calcul par

heure et la seconde machine virtuelle, 4points de calcul par heure. Si les deux machines virtuelles

se trouvent dans une situation de basculement, la consommation totale est de 12points de calcul

par heure, soit 288points de calcul pour la journée complète (12points de calcul x 24heures =

288points de calcul).

*vCPU fait référence à un processeur (CPU) physique affecté à une machine virtuelle et dépendant

de l'heure.

10

Créer un plan de protection de reprise

d'activité après sinistre

Créez un plan de protection qui inclut un module de reprise d'activité après sinistre et appliquez-le à

tous vos terminaux.

Par défaut, lors de la création d'un plan de protection, le module de reprise d'activité après sinistre

est désactivé. Une fois que vous avez activé la fonctionnalité de reprise d'activité après sinistre et

appliqué le plan à vos terminaux, l'infrastructure réseau dans le cloud est créée et se compose

notamment d'un serveur de restauration pour chaque terminal protégé. Le serveur de restauration est

une machine virtuelle dans le Cloud qui est une copie du terminal sélectionné. Pour chacun des

terminaux sélectionnés, un serveur de restauration avec les paramètres par défaut est créé en

mode Veille (machine virtuelle non exécutée). Le serveur de restauration est automatiquement

dimensionné en fonction du processeur et de la mémoire RAM du terminal protégé. L'infrastructure

du réseau Cloud par défaut est également créée automatiquement: la passerelle VPN et les réseaux

sur le site dans le Cloud auxquels les serveurs de restauration seront connectés.

Si vous révoquez, supprimez ou désactivez le module de reprise d'activité après sinistre d'un plan

de protection, les serveurs de restauration et les réseaux cloud ne sont pas automatiquement

supprimés. Vous pouvez retirer manuellement l'infrastructure de reprise d'activité après sinistre, si

nécessaire.

Remarque

lUne fois que vous aurez configuré la reprise d'activité après sinistre, vous serez en mesure

d'effectuer un basculement test ou un basculement de la production depuis n'importe quel point

de reprise généré après la création du serveur de restauration pour le terminal. Les points de

reprise qui ont été générés avant qu'un terminal ne soit protégé par la reprise d'activité après

sinistre (p. ex., avant que le serveur de restauration ne soit créé) ne pourront pas être utilisés

pour le basculement.

lUn plan de protection de reprise d'activité après sinistre ne peut pas être activé si l'adresseIP

d'un terminal ne peut pas être détectée. Par exemple lorsque des machines virtuelles sont

sauvegardées sans agent, et qu'aucune adresseIP ne leur a été affectée.

lLorsque vous appliquez un plan de protection, les mêmes réseaux et adressesIP sont attribués

au site dans le Cloud. La connectivité VPN IPsec nécessite que les segments réseau du site local

et du site dans le Cloud ne se chevauchent pas. Si une connectivité VPN IPsec multi-site est

configurée et que vous appliquez un plan de protection ultérieurement à un ou plusieurs

terminaux, vous devez en plus mettre à jour les réseaux Cloud et réaffecter les adressesIP des

serveurs Cloud. Pour plus d'informations, voir "Réaffectation d'adressesIP" (p. 43).

Pour créer un plan de protection de reprise d'activité après sinistre

1. Dans la console de service, accédez à Périphériques> Tous les périphériques.

2. Sélectionnez les machines que vous souhaitez protéger.

11

3. Cliquez sur Protection, puis sur Création d'un plan.

Les paramètres par défaut du plan de protection s'affichent.

4. Configurez les options de sauvegarde.

Pour utiliser la fonctionnalité de reprise d'activité après sinistre, le plan doit sauvegarder

l'intégralité de la machine ou uniquement les disques requis pour le démarrage et la fourniture

des services nécessaires à un stockage dans le Cloud.

5. Activez le module de reprise d'activité après sinistre en cliquant à côté du nom du module.

6. Cliquez sur Créer.

Le plan est créé et appliqué aux ordinateurs sélectionnés.

Que faire ensuite

lVous pouvez modifier la configuration par défaut du serveur de restauration. Pour plus

d'informations, voir "Configuration des serveurs de restauration" (p. 54).

lVous pouvez modifier la configuration de mise en réseau par défaut. Pour plus d'informations,

voir "Configuration de la connectivité" (p. 15).

lVous pouvez en apprendre plus à propos des paramètres par défaut du serveur de restauration

et de l'infrastructure de réseau Cloud. Pour plus d'informations, voir "Modification des

paramètres par défaut du serveur de restauration" (p. 12) et "Infrastructure du réseau Cloud" (p.

14).

Modification des paramètres par défaut du serveur de

restauration

Lorsque vous créez et appliquez un plan de protection de reprise d'activité après sinistre, un

serveur de restauration est créé avec des paramètres par défaut. Vous pouvez modifier ces

paramètres par défaut ultérieurement.

Remarque

Un serveur de restauration est créé seulement s'il n'existe pas. Les serveurs de restauration

existants ne sont pas modifiés ni recréés.

Pour modifier les paramètres par défaut du serveur de restauration

1. Accédez à Périphériques> Tous les périphériques.

2. Sélectionnez un terminal, puis cliquez sur Reprise d'activité après sinistre.

3. Modifiez les paramètres par défaut du serveur de restauration.

Ces paramètres sont décrits dans le tableau suivant:

Serveur de

restauration

paramètre

Défaut

valeur

Description

12

CPU et RAM auto Nombre de processeurs virtuels et la quantité de

mémoire RAM pour le serveur de restauration. Les

paramètres par défaut seront automatiquement

déterminés en fonction du processeur du

périphérique et de la configuration de la mémoire

RAM.

Réseau dans le

Cloud

auto Le serveur Cloud auquel le serveur sera connecté.

Pour plus de détails sur la configuration des

réseaux dans le Cloud, voir Infrastructure de

réseau Cloud.

Adresse IP en

réseau de

production

auto Adresse IP que le serveur aura dans le réseau de

production. Par défaut, l'adresse IP de la machine

d'origine est sélectionnée.

Adresse IP test dsactiv Cela vous permettra de tester un basculement

dans le réseau de test isolé et de vous connecter

au serveur de restauration via RDP ou SSH lors

d'un basculement test. En mode de basculement

test, la passerelle VPN remplace l'adresse IP de

test par l'adresse IP de production au moyen du

protocole NAT. Si vous n'activez pas la case à

cocher, la console sera le seul moyen d'accéder au

serveur lors d'un basculement test.

Accès Internet activ Cela permettra au serveur de restauration

d'accéder à Internet lors d'un vrai basculement ou

d'un basculement test. Par défaut, le port TCP 25

est refusé pour les connexions sortantes.

Utiliser une

adresse publique

dsactiv Disposer d'une adresse IP publique permet au

serveur de restauration d'être accessible depuis

Internet lors d'un basculement ou d'un

basculement test. Si vous n'utilisez pas une

adresse IP publique, le serveur sera disponible

uniquement sur votre réseau de production. Pour

utiliser une adresse IP publique, vous devez activer

l'accès Internet. L'adresseIP publique s'affichera

une fois la configuration terminée. Par défaut, le

port TCP 443 est ouvert pour les connexions

entrantes.

Définir le seuil des

objectifs de point

de récupération

dsactiv Le seuil des objectifs de point de récupération

(RPO) définit l'intervalle de temps maximum

autorisé entre le dernier point de récupération

pour un basculement et l'heure actuelle. La valeur

peut être définie entre 15 et 60minutes, 1 et

24heures, 1 et 14jours.

13

Infrastructure du réseau Cloud

L'infrastructure du réseau Cloud se compose de la passerelle VPN sur le site dans le Cloud et des

réseaux Cloud auxquels les serveurs de restauration seront connectés.

Remarque

L'application d'un plan de protection de reprise d'activité après sinistre crée une infrastructure de

réseau Cloud uniquement si elle n'existe pas. Les réseaux Cloud existants ne sont pas modifiés ni

recréés.

Le système vérifie les adressesIP des terminaux et, s'il n'existe pas de réseaux Cloud correspondant

à l'adresse IP, crée automatiquement les réseaux Cloud qui conviennent. Si vous disposez déjà de

réseaux Cloud existants où les adresses IP des serveurs de restauration correspondent, ceux-ci ne

seront ni modifiés ni recréés.

lSi vous ne disposez pas de réseaux Cloud existants ou si vous définissez une configuration de

reprise d'activité après sinistre pour la première fois, les réseaux Cloud seront créés avec les

plages maximales recommandées par IANA pour un usage privé (10.0.0.0/8, 172.16.0.0/12,

192.168.0.0/16) en fonction de votre plage d'adresses IP de périphériques. Vous pouvez

restreindre l'accès réseau en modifiant le masque de réseau.

lSi vous avez des périphériques sur plusieurs réseaux locaux, le réseau sur le site dans le Cloud

peut devenir un super-ensemble de réseaux locaux. Vous pouvez reconfigurer les réseaux dans

la section Connectivité. Consultez "Gestion des réseaux" (p. 36).

lSi vous devez configurer la connectivité OpenVPN de site à site, téléchargez l'appliance VPN et

configurez-la. Consultez "Configuration OpenVPN de site à site" (p. 26). Assurez-vous que les

plages des réseaux Cloud correspondent aux plages de vos réseaux locaux connectés au matériel

VPN.

lPour modifier la configuration du réseau par défaut, cliquez sur le lien Accéder à Connectivité

dans le module de reprise d'activité après sinistre du plan de protection ou accédez à Reprise

d'activité après sinistre> Connectivité.

14

Configuration de la connectivité

Cette section explique les concepts de réseau nécessaires pour que vous compreniez comment tout

fonctionne dans Cyber Disaster Recovery Cloud. Vous découvrirez comment configurer différents

types de connectivité vers le site dans le Cloud, selon vos besoins. Enfin, vous découvrirez comment

gérer vos réseaux dans le Cloud et gérer les paramètres du matériel VPN et de la passerelle VPN.

Concepts de réseau

Remarque

Certaines fonctionnalités peuvent nécessiter une licence supplémentaire, en fonction du modèle de

gestion de licences appliqué.

Cyber Disaster Recovery Cloud vous permet de définir les types suivants de connectivité au site

dans le Cloud:

lMode «sur Cloud uniquement»

Ce type de connexion ne nécessite pas de déploiement de matériel VPN sur le site local.

Les réseaux locaux et dans le Cloud sont des réseaux indépendants. Ce type de connexion

implique soit le basculement de tous les serveurs protégés du site local ou le basculement partiel

de serveurs indépendants qui ne nécessitent pas de communiquer avec le site local.

Les serveurs Cloud sur le site dans le Cloud sont accessibles via le VPN de point à site et les

adresses IP publiques (si attribuées).

lConnexion OpenVPN de site à site

Ce type de connexion requiert le déploiement d'un matériel VPN vers le site local.

La connexion OpenVPN de site à site vous permet d'étendre vos réseaux au Cloud et de

conserver les adressesIP.

Votre site local est connecté au site dans le Cloud au moyen d'un tunnel VPN sécurisé. Ce type de

connexion est adapté en cas de serveurs hautement dépendants sur le site local, tels qu'un

serveur Web et un serveur de bases de données. En cas de basculement partiel, quand l'un de

ces serveurs est recréé sur le site dans le Cloud alors que l'autre reste dans le site local, ils

pourront toujours communiquer entre eux via un tunnel VPN.

Les serveurs Cloud sur le site dans le Cloud sont accessibles via le réseau local, le VPN de point à

site, et les adresses IP publiques (si attribuées).

lConnexion VPN IPsec multi-site

Ce type de connexion nécessite un terminal VPN local compatible avec le protocole IPsecIKEv2.

Lorsque vous commencez à configurer la connexion VPN IPsec multi-site, Cyber Disaster

Recovery Cloud crée automatiquement une passerelle VPN Cloud avec une adresseIP publique.

Avec le VPN IPsec multi-site, vos sites locaux sont connectés au site dans le Cloud au moyen d'un

tunnel VPN IPsec sécurisé.

15

Ce type de connexion est adapté aux scénarios de reprise d'activité après sinistre lorsque vous

disposez d'un ou plusieurs sites locaux hébergeant des charges de travail critiques ou de services

qui dépendent étroitement les uns des autres.

En cas de basculement partiel de l'un des serveurs, le serveur est recréé sur le site dans le Cloud

alors que les autres sont conservés dans le site local. Ils pourront toutefois toujours

communiquer entre eux via un tunnel VPN IPsec.

En cas de basculement partiel de l'un des sites locaux, les autres sites locaux restent

opérationnels et pourront toujours communiquer entre eux via un tunnel VPN IPsec.

lAccès VPN à distance de point à site

Un accès VPN à distance de point à site sécurisé vers les charges de travail de votre site Cloud et

local provenant de l'extérieur en utilisant votre terminal.

Pour accéder à un site local, ce type de connexion requiert le déploiement d'un matériel VPN vers

le site local.

Mode «sur Cloud uniquement»

Le mode «sur Cloud uniquement» ne nécessite pas de déploiement d'une appliance VPN sur le site

local. Cela implique que vous possédez deuxréseaux indépendants: l'un sur le site local, l'autre sur

le site dans le Cloud. Le routage est effectué avec le routeur sur le site dans le Cloud.

Fonctionnement du routage

Si le mode «sur Cloud uniquement» est activé, le routage est effectué avec le routeur sur le site

Cloud, afin que les serveurs des différents réseaux Cloud puissent communiquer les uns avec les

autres.

16

Connexion OpenVPN de site à site

Remarque

La disponibilité de cette fonctionnalité dépend des quotas de service activés pour votre compte.

Pour comprendre comment le système de réseau fonctionne dans Cyber Disaster Recovery Cloud,

nous examinerons un cas dans lequel vous possédez troisréseaux dotés chacun d'une machine sur

le site local. Vous allez configurer la protection contre un sinistre pour les deuxréseaux: le

Réseau10 et le Réseau 20.

Dans le diagramme ci-dessous, vous pouvez voir le site local dans lequel vos ordinateurs sont

hébergés ainsi que le site dans le Cloud, où vos serveurs Cloud sont lancés en cas de sinistre.

La solution Cyber Disaster Recovery Cloud vous permet de basculer toute la charge de travail des

ordinateurs corrompus du site local vers les serveurs Cloud. Vous pouvez protéger jusqu'à

23réseaux dans le cloud avec Cyber Disaster Recovery Cloud.

17

Pour établir une communication OpenVPN de site à site entre le site local et le site dans le Cloud,

une appliance VPN et une passerelle VPN sont utilisées. Lorsque vous commencez à configurer la

connexion OpenVPN de site à site dans la console de service, la passerelle VPN est

automatiquement déployée sur le site dans le Cloud. Vous devez ensuite déployer le matériel VPN

dans votre site local, ajouter les réseaux à protéger et enregistrer le matériel dans le Cloud. Cyber

Disaster Recovery Cloud crée un réplica de votre réseau local dans le Cloud. Un tunnel VPN sécurisé

est établi entre l'appliance VPN et la passerelle VPN. Il fournit à votre réseau local une extension

vers le Cloud. Les réseaux de production dans le Cloud sont comblés par vos réseaux locaux. Les

serveurs locaux et dans le Cloud peuvent communiquer via ce tunnel VPN comme s'ils se trouvaient

tous dans le même segment Ethernet. Le routage est effectué avec votre routeur local.

Pour chaque machine source à protéger, vous devez créer un serveur de restauration dans le site

dans le Cloud. Il reste en mode Veille jusqu'à ce qu'un événement de basculement se produise. Si

un sinistre se produit et que vous lancez un processus de basculement (en mode production), le

serveur de restauration représentant la copie exacte de votre machine protégée est lancé dans le

Cloud. Il se peut que la même adresseIP que celle de la machine source lui soit attribuée, et qu'il

soit lancé dans le même segment Ethernet. Vos clients peuvent continuer à travailler avec le

serveur, sans remarquer de changement de fond.

Vous pouvez également démarrer un processus de basculement en mode test. Cela signifie que la

machine source fonctionne toujours, et que le serveur de restauration associé doté de la même

adresse IP est lancé en même temps dans le Cloud. Pour éviter les conflits d'adresse IP, un réseau

virtuel spécial est créé dans le réseau test dans le Cloud. Le réseau test est isolé pour éviter la

18

duplication de l'adresse IP de la machine source dans un segment Ethernet. Pour accéder au

serveur de restauration en mode de basculement test, vous devez affecter l'adresseIP test au

serveur de restauration lorsque vous créez ce dernier. Vous pouvez indiquer d'autres paramètres

pour le serveur de restauration, qui seront pris en compte dans les sections respectives ci-dessous.

Fonctionnement du routage

Lorsqu'une connexion de site à site est établie, le routage entre réseaux Cloud s'effectue avec votre

routeur local. Le serveurVPN n'effectue pas de routage entre des serveurs Cloud situés dans

différents réseaux Cloud. Si un serveur Cloud sur l'un des réseaux souhaite communiquer avec un

serveur d'un autre réseau Cloud, le trafic est acheminé au routeur local sur le site local via le tunnel

VPN, le routeur local l'achemine vers un autre réseau, puis le trafic revient au serveur de destination

sur le site Cloud via le tunnel.

Passerelle VPN

La passerelle VPN est le composant majeur qui permet la communication entre les sites locaux et

dans le Cloud. Il s'agit d'une machine virtuelle dans le Cloud sur laquelle le logiciel spécial est installé

et le réseau spécifiquement configuré. La passerelleVPN possède les fonctions suivantes:

lConnecte les segments Ethernet de votre réseau local et de votre réseau de production dans le

Cloud en mode couche2.

lFournit des règles iptables et ebtables.

lAgit comme routeur et NAT par défaut pour les ordinateurs des réseaux de test et de production.

lAgit comme serveur DHCP. Toutes les machines des réseaux de production et de test doivent

obtenir la configuration réseau (adressesIP, paramètres DNS) via DHCP. À chaque fois, un

serveur Cloud obtiendra la même adresseIP auprès du serveur DHCP. Si vous avez besoin de

configurer un DNS personnalisé, nous vous invitons à contacter l'équipe d'assistance.

lAgit comme DNS de mise en cache.

Configuration réseau de la passerelle VPN

La passerelle VPN possède plusieurs interfaces réseau:

lUne interface externe, connectée à Internet

lDes interfaces de production, connectées aux réseaux de production

lUne interface de test, connectée au réseau test

Par ailleurs, deux interfaces virtuelles sont ajoutées pour les connexions de point à site et de site à

site.

Lorsque la passerelle VPN est déployée et initialisée, les ponts sont créés: un pour l'interface

externe et un pour les interfaces client et de production. Bien que le pont client-production et

l'interface de test utilisent les mêmes adresses IP, la passerelle VPN peut router des packages

correctement en utilisant une technique spécifique.

19

Application VPN

L'applianceVPN est une machine virtuelle dans le site local sur laquelle Linux et le logiciel spécial

sont installés, et qui dispose d'une configuration réseau spéciale. Il permet la communication entre

les sites locaux et dans le Cloud.

Serveurs de restauration

Un serveur de restauration: un réplica de la machine d'origine, basé sur les sauvegardes de

serveur protégées stockées dans le Cloud. Les serveurs de restauration sont utilisés pour remplacer

les charges de travail depuis les serveurs originaux en cas de sinistre.

Lorsque vous créez un serveur de restauration, vous devez préciser les paramètres de réseau

suivants:

lRéseau Cloud (obligatoire): un réseau Cloud auquel un serveur de restauration sera connecté.

lAdresse IP dans le réseau de production (obligatoire): une adresse IP avec laquelle une

machine virtuelle sera lancée pour un serveur de récupération. Cette adresse est utilisée dans les

réseaux de test et de production. Avant le lancement, la machine virtuelle est configurée de façon

à récupérer l'adresse IP via DHCP.

lAdresseIP de test (facultatif): une adresseIP est nécessaire pour accéder au serveur de

restauration depuis le réseau client-production lors du basculement test, afin d'éviter que

l'adresseIP de test ne soit dupliquée dans le même réseau. Cette adresse IP est différente de

l'adresse IP du réseau de production. Les serveurs du site local peuvent accéder aux serveurs de

restauration lors du basculement test via l'adresse IP de test. L'accès inverse n'est cependant pas

disponible. Une connexion Internet depuis le serveur de restauration dans le réseau de test est

disponible si l'option Connexion Internet a été choisie lors de la création du serveur de

restauration.

lAdresse IP publique (facultatif): une adresse IP permettant d'accéder au serveur de

restauration depuis Internet. Si un serveur ne possède pas d'adresse IP publique, vous pouvez y

accéder uniquement depuis le réseau local.

lConnexion à Internet (facultatif): elle permet au serveur de restauration d'accéder à Internet

(aussi bien dans les cas de basculement test qu'en production).

Adresse IP publique et de test

Si vous affectez l'adresseIP publique lors de la création d'un serveur de restauration, celui-ci devient

disponible depuis Internet via cette adresseIP. Lorsqu'un paquet provenant d'Internet contient

l'adresse IP publique de destination, la passerelle VPN le remappe à l'adresse IP de production

associée en utilisant NAT, puis l'envoie au serveur de restauration correspondant.

20

La page charge ...

ACRONIS Cyber Disaster Recovery Cloud 23.06 Manuel utilisateur

ACRONIS Cyber Disaster Recovery Cloud 23.06 Manuel utilisateur

Documents connexes

Autres documents