ACRONIS Cyber Disaster Recovery Cloud 21.01 Mode d'emploi

Ajouter à Mes manuels
56 Des pages
ACRONIS Cyber Disaster Recovery Cloud 21.01 Mode d'emploi | Fixfr
Cyber Disaster Recovery Cloud
Version 21.01
GUIDE DE L’ADMINISTRATEUR
Révision :26/01/2021
Table des matières
1 À propos de Cyber Disaster Recovery Cloud
1.1 Les fonctionnalités clés
2 Exigences logicielles
4
4
5
2.1 Systèmes d'exploitation pris en charge
5
2.2 Plates-formes de virtualisation prises en charge
5
2.3 Limites
6
3 Créer un plan de protection de reprise d'activité après sinistre
3.0.1 Que faire ensuite
3.1 Paramètres par défaut du serveur de restauration
7
8
8
3.2 Infrastructure du réseau Cloud
11
4 Configuration de la connectivité
13
4.1 Concepts de réseau
13
4.1.1 Accès VPN à distance de point à site
13
4.1.2 Connexion de site à site
14
4.1.3 Mode « sur Cloud uniquement »
20
4.1.4 Suppression automatique d'un environnement client non utilisé sur un site dans le Cloud 21
4.2 Configuration de la connectivité initiale
22
4.2.1 Accès VPN à distance de point à site
22
4.2.2 Connexion de site à site
23
4.2.3 Mode « sur Cloud uniquement »
24
4.3 Gestion du réseau
4.3.1 Gestion des réseaux
25
4.3.2 Gestion des paramètres du matériel VPN
28
4.3.3 Activation et désactivation de la connexion de site à site
29
4.3.4 Configuration du routage local
29
4.3.5 Gestion des paramètres de la connexion de point à site
30
4.3.6 Connexions de point à site actives
30
5 Configuration des serveurs de restauration
5.1 Fonctionnement du basculement et de la restauration automatique
32
32
5.1.1 Basculement et restauration automatique
32
5.1.2 Tester le basculement
33
5.2 Cycle de vie du serveur de restauration
33
5.2.1 Workflow de basculement et de restauration automatique
34
5.2.2 Workflow de basculement test
35
5.3 Création d'un serveur de restauration
2
25
35
5.4 Réalisation d'un basculement test
37
5.5 Réalisation d'un basculement
38
5.5.1 Comment exécuter un basculement des serveurs à l'aide d'un DNS local
40
5.5.2 Comment exécuter un basculement à l'aide d'un serveur DHCP
40
5.6 Réalisation d'une restauration automatique
40
5.7 Travailler avec des sauvegardes chiffrées
42
6 Configuration des serveurs primaires
43
6.1 Création d'un serveur primaire
43
6.2 Opérations sur un serveur primaire
44
7 Gestion des serveurs Cloud
45
8 Sauvegarde des serveurs Cloud
47
9 Orchestration (runbooks)
48
9.1 Pourquoi utiliser des runbooks ?
48
9.2 Création d'un runbook
48
9.2.1 Étapes et actions
49
9.2.2 Paramètres des actions
49
9.2.3 Vérification de l'achèvement
49
9.3 Opérations avec les runbooks
50
9.3.1 Exécution d'un runbook
50
9.3.2 Arrêt de l'exécution d'un runbook
50
9.3.3 Affichage de l'historique d'exécution
50
Glossaire
52
Index
54
3
1 À propos de Cyber Disaster Recovery Cloud
Cyber Disaster Recovery Cloud (DR) : partie de Cyber Protection, qui fournit une reprise d'activité
après sinistre en tant que service (DRaaS). Cyber Disaster Recovery Cloud vous fournit une solution
rapide et stable pour lancer les copies exactes de vos machines sur le site dans le Cloud et basculer la
charge de travail des machines d'origine corrompues vers les serveurs de restauration dans le Cloud,
en cas de catastrophe naturelle ou causée par l'homme.
Vous pouvez définir et configurer la reprise d'activité après sinistre de différentes manières :
l
Créez un plan de protection qui inclut un module de reprise d'activité après sinistre et appliquez-le
à tous vos appareils. Cela permet de définir automatiquement une infrastructure de reprise
d'activité après sinistre par défaut. Voir la section Créer un plan de protection de reprise d'activité
après sinistre.
l
Configurez manuellement l'infrastructure Cloud de reprise d'activité après sinistre et contrôlez
chaque étape. Voir "Configuration des serveurs de restauration" (p. 32)
1.1 Les fonctionnalités clés
l
Gérez le service Cyber Disaster Recovery Cloud depuis une console unique
l
Étendez jusqu'à cinq réseaux locaux au Cloud en utilisant un tunnel VPN sécurisé
l
Établissez une connexion vers le site dans le Cloud sans aucun déploiement de matériel VPN1 (le
mode « sur Cloud uniquement »)
l
Établissez une connexion de point à site vers vos sites locaux et dans le Cloud
l
Protégez vos machines en utilisant des serveurs de restauration dans le Cloud
l
Protégez vos applications et matériels en utilisant des serveurs primaires dans le Cloud
l
Exécutez des opérations automatisées de reprise d'activité après sinistre pour des sauvegardes
chiffrées
l
Réalisez un basculement test dans le réseau isolé
l
Utilisez des runbooks pour lancer l'environnement de production dans le Cloud
1Une machine virtuelle spéciale qui connecte le réseau local et le site dans le Cloud via un tunnel VPN sécurisé. Le
matériel VPN est déployé sur le site local.
4
2 Exigences logicielles
2.1 Systèmes d'exploitation pris en charge
La protection à l'aide d'un serveur de restauration a été testée pour les systèmes d'exploitation
suivants :
l
CentOS 6.6, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6
l
Debian 9
l
Ubuntu 16.04, 18.04
l
Windows Server 2008/2008 R2
l
Windows Server 2012/2012 R2
l
Windows Server 2016 – toutes les options d'installation, sauf Nano Server
l
Windows Server 2019 – toutes les options d'installation, sauf Nano Server
Les systèmes d'exploitation Windows de bureau ne sont pas pris en charge en raison des conditions
générales relatives aux produits Microsoft.
Le logiciel peut fonctionner avec d'autres systèmes d'exploitation Windows ou d'autres distributions
Linux, mais cela n'est pas garanti.
2.2 Plates-formes de virtualisation prises en charge
La protection de machines virtuelles à l'aide d'un serveur de restauration a été testée pour les platesformes de virtualisation suivantes :
l
VMware ESXi 5.1, 5.5, 6.0, 6.5, 6.7, 6.5, 6.7
l
Windows Server 2008 R2 avec Hyper-V
l
Windows Server 2012/2012 R2 avec Hyper-V
l
Windows Server 2016 avec Hyper-V – toutes les options d'installation, excepté Nano Server
l
Windows Server 2019 avec Hyper-V – toutes les options d'installation, excepté Nano Server
l
Microsoft Hyper-V Server 2012/2012 R2
l
Microsoft Hyper-V Server 2016
l
Machines virtuelles basées sur un noyau (KVM)
l
Red Hat Enterprise Virtualization (RHEV) 3.6
l
Red Hat Virtualization (RHV) 4.0
l
Citrix XenServer : 6.5, 7.0, 7.1, 7.2
L'application VPN a été testée pour les plates-formes de virtualisation suivantes :
l
VMware ESXi 5.1, 5.5, 6.0, 6.5, 6.7, 6.5, 6.7
l
Windows Server 2008 R2 avec Hyper-V
l
Windows Server 2012/2012 R2 avec Hyper-V
l
Windows Server 2016 avec Hyper-V – toutes les options d'installation, excepté Nano Server
5
l
Windows Server 2019 avec Hyper-V – toutes les options d'installation, excepté Nano Server
l
Microsoft Hyper-V Server 2012/2012 R2
l
Microsoft Hyper-V Server 2016
Le logiciel peut fonctionner avec d'autres plates-formes de virtualisation ou d'autres versions, mais
cela n'est pas garanti.
2.3 Limites
Les plate-formes et configurations suivantes ne sont pas prises en charge dans Cyber Disaster
Recovery Cloud :
1. Plateformes non prises en charge :
l
Agents pour Virtuozzo
l
macOS
2. Configurations non prises en charge :
Microsoft Windows :
l
Les disques dynamiques ne sont pas pris en charge
l
Les systèmes d'exploitation Windows de bureau ne sont pas pris en charge en raison des
conditions générales relatives aux produits Microsoft.
l
Le service Active Directory avec réplication FRS n'est pas pris en charge
l
Les supports amovibles sans formatage GPT ou MBR (dits « super disquettes ») ne sont pas pris
en charge
Linux :
l
Machines Linux disposant de volumes logiques (LVM) ou de volumes formatés avec le système
de fichiers XFS
l
Système de fichiers sans table de partitions
3. Types de sauvegarde non pris en charge :
l
Les points de récupération de la protection continue des données (CDP) pour Exchange ne sont
pas pris en charge.
Important
Si vous créez un serveur de restauration à partir d'une sauvegarde disposant d'un point de
récupération CDP, lors de la restauration automatique ou lors de la création d'une sauvegarde
d'un serveur de restauration, vous perdrez les données contenues dans le point de
récupération CDP.
l
Les sauvegardes d'investigation ne peuvent pas être utilisées pour créer des serveurs de
restauration.
Un serveur de restauration possède une interface réseau. Si la machine d'origine possède plusieurs
interfaces réseau, une seule est émulée.
Les serveurs Cloud ne sont pas chiffrés.
6
3 Créer un plan de protection de reprise
d'activité après sinistre
Créez un plan de protection qui inclut un module de reprise d'activité après sinistre et appliquez-le à
tous vos périphériques.
Par défaut le module de reprise d'activité après sinistre est désactivé lors de la création d'un nouveau
plan de protection. Après avoir activé la fonctionnalité de reprise d'activité après sinistre et appliqué
le plan à vos machines, un serveur de restauration est créé pour chaque machine protégée. Le
serveur de restauration est créé en mode Veille (machine virtuelle non en cours d'exécution). Le
serveur de restauration est automatiquement dimensionné en fonction du processeur et de la
mémoire RAM de la machine protégée. L'infrastructure du réseau Cloud par défaut est également
créée automatiquement : la passerelle VPN et les réseaux sur le site dans le Cloud auxquels les
serveurs de restauration seront connectés.
Si vous révoquez, supprimez ou désactivez le module de reprise d'activité après sinistre d'un plan de
protection, les serveurs de restauration et les réseaux Cloud ne sont pas automatiquement
supprimés. Vous pouvez retirer manuellement l'infrastructure de reprise d'activité après sinistre, si
nécessaire.
Remarque
l
Il est recommandé de configurer une reprise d'activité après sinistre à l'avance. Vous serez en
mesure d'effectuer le basculement test ou le basculement de la production depuis n'importe quel
point de récupération généré après la création du serveur de restauration pour le périphérique.
Les points de récupération qui ont été générés lorsqu'un périphérique n'a pas été protégé par la
reprise d'activité après sinistre (p. ex., le serveur de restauration n'a pas été créé) ne pourront pas
être utilisés pour le basculement.
l
Un plan de protection de reprise d'activité après sinistre ne peut pas être activé si l'adresse IP d'un
appareil ne peut pas être détectée, par exemple lorsque les machines virtuelles sont sauvegardées
sans agent, et qu'aucune adresse IP ne leur a été assignée.
Pour créer un plan de protection de reprise d'activité après sinistre
1. Dans la console de service, accédez à Périphériques > Tous les périphériques.
2. Sélectionnez les machines que vous souhaitez protéger.
3. Cliquez sur Protection, puis sur Création d'un plan.
Les paramètres par défaut du plan de protection s'affichent.
4. Configurez les options de sauvegarde.
Pour utiliser la fonctionnalité de reprise d'activité après sinistre, le plan doit sauvegarder
l'intégralité de la machine ou uniquement les disques requis pour le démarrage et la fourniture des
services nécessaires à un stockage dans le Cloud.
5. Activez le module de reprise d'activité après sinistre en cliquant à côté du nom du module.
6. Cliquez sur Créer.
Le plan est créé et appliqué à la machine sélectionnée.
7
3.0.1 Que faire ensuite
Vous pouvez modifier la configuration par défaut du serveur de restauration. Pour plus
l
d'informations, voir "Configuration des serveurs de restauration" (p. 32).
Vous pouvez modifier la configuration de mise en réseau par défaut. Pour plus d'informations, voir
l
"Configuration de la connectivité" (p. 13).
Vous pouvez en savoir plus à propos des paramètres par défaut du serveur de restauration et de
l
l'infrastructure de réseau Cloud.
3.1 Paramètres par défaut du serveur de restauration
Lorsque vous créez et appliquez un plan de protection de reprise d'activité après sinistre, un serveur
de restauration est créé avec des paramètres par défaut. Un serveur de restauration est créé
seulement s'il n'existe pas. Les serveurs de restauration existants ne sont pas modifiés ou recréés.
Un serveur de restauration est une machine virtuelle qui est une copie du périphérique sélectionné
dans le Cloud. Pour chacun des périphériques sélectionnés, un serveur de restauration avec les
paramètres par défaut sera créé en mode Veille (machine virtuelle non exécutée).
Vous pouvez modifier la configuration ultérieurement en allant dans Périphériques > Tous les
périphériques, sélectionnez un périphérique, cliquez sur Reprise d'activité après sinistre, puis
modifiez les paramètres du serveur.
Serveur de restauration
Défaut
paramètre
valeur
CPU et RAM
auto
Description
Nombre de
processeurs
virtuels et la
quantité de
mémoire RAM
pour le serveur
de restauration.
Les paramètres
par défaut seront
automatiquement
déterminés en
fonction du
processeur du
périphérique et
de la
configuration de
la mémoire RAM.
8
Réseau dans le Cloud
auto
Le serveur Cloud
auquel le serveur
sera connecté.
Pour plus de
détails sur la
configuration des
réseaux dans le
Cloud, voir
"Infrastructure du
réseau Cloud" (p.
11).
Adresse IP en réseau de production
auto
Adresse IP que le
serveur aura
dans le réseau de
production. Par
défaut, l'adresse
IP de la machine
d'origine est
sélectionnée.
Adresse IP test
activ
Cela vous
permettra de
tester un
basculement
dans le réseau de
test isolé et de
vous connecter
au serveur de
restauration via
RDP ou SSH lors
d'un basculement
test. En mode de
basculement test,
la passerelle VPN
remplace
l'adresse IP de
test par l'adresse
IP de production
au moyen du
protocole NAT. Si
vous n'activez
pas la case à
cocher, la console
sera le seul
moyen d'accéder
au serveur lors
d'un basculement
9
test.
Accès Internet
dsactiv
Cela permettra
au serveur de
restauration
d'accéder à
Internet lors d'un
vrai basculement
ou d'un
basculement test.
Utiliser une adresse publique
activ
Disposer d'une
adresse IP
publique permet
au serveur de
restauration
d'être accessible
depuis Internet
lors d'un
basculement ou
d'un basculement
test. Si vous
n'utilisez pas une
adresse IP
publique, le
serveur sera
disponible
uniquement sur
votre réseau de
production. Pour
utiliser une
adresse IP
publique, vous
devez activer
l'accès Internet.
L'adresse IP
publique
s'affichera une
fois la
configuration
terminée. Les
ports suivants
sont ouverts pour
des connexions
entrantes aux
adresses IP
publiques : TCP :
80, 443, 8088,
10
8443 UDP : 1194
Définir le seuil des objectifs de point de récupération
activ
Le seuil des
objectifs de point
de récupération
(RPO) définit
l'intervalle de
temps maximum
autorisé entre le
dernier point de
récupération
pour un
basculement et
l'heure actuelle.
La valeur peut
être définie entre
15 et 60 minutes,
1 et 24 heures, 1
et 14 jours.
3.2 Infrastructure du réseau Cloud
L'infrastructure du réseau Cloud se compose de la passerelle VPN sur le site dans le Cloud et des
réseaux Cloud auxquels les serveurs de restauration seront connectés.
L'application d'un plan de protection de reprise d'activité après sinistre crée une infrastructure de
réseau Cloud uniquement si elle n'existe pas. Les réseaux Cloud existants ne sont pas modifiés ou
recréés.
Le système vérifie les adresses IP des périphériques et, s'il n'existe pas de réseaux Cloud
correspondant à l'adresse IP, il crée automatiquement les réseaux Cloud appropriés. Si vous disposez
déjà de réseaux Cloud existants où les adresses IP des serveurs de restauration correspondent, ceuxci ne seront ni modifiés ni recréés.
l
Si vous ne disposez pas de réseaux Cloud existants ou si vous définissez une configuration de
reprise d'activité après sinistre pour la première fois, les réseaux Cloud seront créés avec les plages
maximales recommandées par IANA pour un usage privé (10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16) en fonction de votre plage d'adresses IP de périphériques. Vous pouvez
restreindre l'accès réseau en modifiant le masque de réseau.
l
Si vous avez des périphériques sur plusieurs réseaux locaux, le réseau sur le site dans le Cloud peut
devenir un super-ensemble de réseaux locaux. Vous pouvez reconfigurer les réseaux dans la
section Connectivité. Voir la section Gestion des réseaux.
l
Si vous devez configurer la connectivité de site à site, téléchargez le matériel VPN et configurez-le.
Consultez "Connexion de site à site" (p. 23). Assurez-vous que les plages des réseaux Cloud
correspondent aux plages de vos réseaux locaux connectés au matériel VPN.
11
l
Pour modifier la configuration du réseau par défaut, cliquez sur le lien Accéder à Connectivité dans
le module de reprise d'activité après sinistre du plan de protection ou naviguez vers Reprise
d'activité après sinistre > Connectivité.
12
4 Configuration de la connectivité
Cette section explique les concepts de réseau nécessaires pour que vous compreniez comment tout
fonctionne dans Cyber Disaster Recovery Cloud. Vous découvrirez comment configurer différents
types de connectivité vers le site dans le Cloud, selon vos besoins. Enfin, vous découvrirez comment
gérer vos réseaux dans le Cloud et gérer les paramètres du matériel VPN et de la passerelle VPN.
4.1 Concepts de réseau
Cyber Disaster Recovery Cloud vous permet de définir le type de connectivité vers le site dans le
Cloud :
l
Accès VPN à distance de point à site
Un accès VPN à distance de point à site sécurisé vers les charges de travail de votre site cloud et
local provenant de l'extérieur en utilisant votre terminal.
Pour accéder à un site local, ce type de connexion requiert le déploiement d'un matériel VPN vers le
site local.
l
Connexion de site à site
Ce type de connexion requiert le déploiement d'un matériel VPN vers le site local.
Votre site local est connecté au site dans le Cloud au moyen d'un tunnel VPN sécurisé. Ce type de
connexion est adapté en cas de serveurs hautement dépendants sur le site local, tels qu'un serveur
Web et un serveur de bases de données. En cas de basculement partiel, quand l'un de ces serveurs
est recréé sur le site dans le Cloud alors que l'autre reste dans le site local, ils pourront toujours
communiquer entre eux via un tunnel VPN.
Les serveurs Cloud sur le site dans le Cloud sont accessibles via le réseau local, le VPN de point à
site, et les adresses IP publiques (si attribuées).
l
Mode « sur Cloud uniquement »
Ce type de connexion ne nécessite pas de déploiement de matériel VPN sur le site local.
Les réseaux locaux et dans le Cloud sont des réseaux indépendants. Ce type de connexion
implique soit le basculement de tous les serveurs protégés du site local ou le basculement partiel
de serveurs indépendants qui ne nécessitent pas de communiquer avec le site local.
Les serveurs Cloud sur le site dans le Cloud sont accessibles via le VPN de point à site et les
adresses IP publiques (si attribuées).
4.1.1 Accès VPN à distance de point à site
Une connexion point à site sécurisée extérieure en utilisant vos terminaux (comme un ordinateur de
bureau ou un ordinateur portable) vers le site local et dans le Cloud via VPN. Ce type de connexion
peut être utilisé dans les cas suivants :
l
Dans de nombreuses sociétés, les services d'entreprise et les ressources Web ne sont disponibles
que sur le réseau d'entreprise. La connexion de point à site vous permet de vous connecter en
toute sécurité au site local.
13
l
En cas de sinistre, lorsqu'une charge de travail bascule vers le site dans le Cloud et que votre réseau
local est en panne, il se peut que vous deviez accéder directement à vos serveurs Cloud. C'est
possible via la connexion de point à site vers le site dans le Cloud.
Pour la connexion point à site vers le site local, vous devez installer l'appliance VPN sur le site local,
configurer la connexion site à site, puis la connexion point à site vers le site local. Ainsi, vos employés
travaillant à distance auront accès au réseau d'entreprise via le VPN L2.
Le schéma ci-dessous montre le site local, le site dans le Cloud et les communications entre les
serveurs surlignées en vert. Le tunnel VPN L2 relie vos sites locaux et dans le Cloud. Quand un
utilisateur établit une connexion point à site, les communications vers le site local sont réalisées par
l'intermédiaire du site dans le Cloud.
La configuration de point à site utilise des certificats pour authentifier le client VPN. Les autres
identifiants utilisateur servent à l'authentification. Notez que la connexion de point à site vous
permet de vous connecter au site local :
l
Les utilisateurs doivent utiliser leurs identifiants Cyber Cloud pour s'authentifier sur le client VPN.
Ils doivent avoir le rôle utilisateur « Administrateur d’entreprise » ou « Cyberprotection ».
l
Si vous avez régénéré la configuration OpenVPN, vous devez fournir la configuration mise à jour à
tous les utilisateurs qui utilisent la connexion de point à site pour accéder au site dans le Cloud.
4.1.2 Connexion de site à site
Pour comprendre comment le système de réseau fonctionne dans Cyber Disaster Recovery Cloud,
nous examinerons un cas dans lequel vous possédez trois réseaux dotés chacun d'une machine sur le
site local. Vous allez configurer la protection contre un sinistre pour les deux réseaux : le Réseau 10 et
le Réseau 20.
14
Dans le diagramme ci-dessous, vous pouvez voir le site local dans lequel vos machines sont hébergées
ainsi que le site dans le Cloud, où vos serveurs Cloud sont lancés en cas de sinistre. La solution Cyber
Disaster Recovery Cloud vous permet de basculer toute la charge de travail des machines corrompues
du site local vers les serveurs Cloud. Vous pouvez protéger jusqu'à cinq réseaux avec Cyber Disaster
Recovery Cloud.
Pour établir une communication de site à site entre le site local et le site dans le Cloud, une appliance
VPN et une passerelle VPN sont utilisées. Premièrement, lorsque vous commencez à configurer la
connexion de site à site dans votre console de service, la passerelle VPN est automatiquement
déployée sur le site dans le Cloud. Vous devez ensuite déployer le matériel VPN dans votre site local,
ajouter les réseaux à protéger et enregistrer le matériel dans le Cloud. Cyber Disaster Recovery Cloud
crée un réplica de votre réseau local dans le Cloud. Un tunnel VPN sécurisé est établi entre l'appliance
VPN et la passerelle VPN. Il fournit à votre réseau local une extension vers le Cloud. Les réseaux de
production dans le Cloud sont comblés par vos réseaux locaux. Les serveurs locaux et dans le Cloud
peuvent communiquer via le tunnel VPN comme s'ils se trouvaient tous dans le même segment
Ethernet. Le routage est effectué avec votre routeur local.
Pour chaque machine source à protéger, vous devez créer un serveur de restauration dans le site
dans le Cloud. Il reste en mode Veille jusqu'à ce qu'un événement de basculement se produise. Si un
sinistre se produit et que vous lancez un processus de basculement (en mode production), le
serveur de restauration représentant la copie exacte de votre machine protégée est lancé dans le
Cloud. Il se peut que la même adresse IP que celle de la machine source lui soit attribuée, et qu'il soit
15
lancé dans le même segment Ethernet. Vos clients peuvent continuer à travailler avec le serveur, sans
remarquer de changement de fond.
Vous pouvez également lancer un processus de basculement en mode test. Cela signifie que la
machine source fonctionne toujours, et que le serveur de restauration associé doté de la même
adresse IP est lancé en même temps dans le Cloud. Pour éviter les conflits d'adresse IP, un réseau
virtuel spécial est créé dans le réseau test dans le Cloud. Le réseau test est isolé pour éviter la
duplication de l'adresse IP de la machine source dans un segment Ethernet. Pour accéder au serveur
de restauration dans le mode de basculement test, vous devez attribuer l'adresse IP test au serveur
de restauration lorsque vous créez ce dernier.Vous pouvez indiquer d'autres paramètres pour le
serveur de restauration, qui seront pris en compte dans les sections respectives ci-dessous.
Fonctionnement du routage
En cas de connexion site à site établi, le routage entre réseaux Cloud s'effectue avec votre routeur
local. Le serveur VPN n'effectue pas de routage entre des serveurs Cloud situés dans différents
réseaux Cloud. Si un serveur Cloud sur l'un des réseaux souhaite communiquer avec un serveur d'un
autre réseau Cloud, le trafic est acheminé au routeur local sur le site local via le tunnel VPN, le routeur
local l'achemine vers un autre réseau, puis le trafic revient au serveur de destination sur le site Cloud
via le tunnel.
Passerelle VPN
La passerelle VPN est le composant majeur qui permet la communication entre les sites locaux et
dans le Cloud. Il s'agit d'une machine virtuelle dans le Cloud sur laquelle le logiciel spécial est installé et
le réseau spécifiquement installé. La passerelle VPN fournit les fonctions suivantes :
l
Connecte les segments Ethernet de votre réseau local et réseau de production dans le Cloud en
mode L2.
l
Fournit des règles iptables et ebtables.
l
Agit comme routeur et NAT par défaut pour les machines des réseaux de test et de production.
l
Agit comme serveur DHCP. Toutes les machines des réseaux de production et de test doivent
obtenir la configuration réseau (adresses IP, paramètres DNS) via DHCP. À chaque fois, un serveur
Cloud obtiendra la même adresse IP auprès du serveur DHCP. Si vous avez besoin de configurer un
DNS personnalisé, nous vous invitons à contacter l'équipe d'assistance.
l
Agit comme DNS de cachage.
Configuration réseau de la passerelle VPN
La passerelle VPN possède plusieurs interfaces réseau :
l
Une interface externe, connectée à Internet
l
Des interfaces de production, connectées aux réseaux de production
l
Une interface de test, connectée au réseau test
En outre, deux interfaces virtuelles sont ajoutées pour les connexions de point à site et de site à site.
16
Lorsque la passerelle VPN est déployée et initialisée, les ponts sont créés : un pour l'interface externe
et un pour les interfaces client et de production. Bien que le pont client-production et l'interface de
test utilisent les mêmes adresses IP, la passerelle VPN peut router des packages correctement en
utilisant une technique spécifique.
Application VPN
L'appliance VPN est une machine virtuelle dans le site local sur laquelle Linux et le logiciel spécial
sont installés, et la configuration réseau spéciale. Elle permet la communication entre les sites locaux
et dans le Cloud.
Serveurs de restauration
Un serveur de restauration : un réplica de la machine d'origine, basé sur les sauvegardes de
serveur protégées stockées dans le Cloud. Les serveurs de restauration sont utilisés pour remplacer
les charges de travail depuis les serveurs originaux en cas de sinistre.
Lorsque vous créez un serveur de restauration, vous devez préciser les paramètres de réseau
suivants :
l
Réseau Cloud (obligatoire) : un réseau Cloud auquel un serveur de restauration sera connecté.
l
Adresse IP dans le réseau de production (obligatoire) : une adresse IP avec laquelle une
machine virtuelle sera lancée pour un serveur de récupération. Cette adresse est utilisée dans les
réseaux de test et de production. Avant le lancement, la machine virtuelle est configurée de façon à
récupérer l'adresse IP via DHCP.
l
Adresse IP de test (facultatif) : cette adresse IP est nécessaire pour accéder au serveur de
restauration depuis le réseau client-production lors du basculement test, afin d'éviter que l'adresse
IP de test ne soit dupliquée dans le même réseau. Cette adresse IP est différente de l'adresse IP du
réseau de production. Les serveurs du site local peuvent accéder aux serveurs de restauration lors
du basculement test via l'adresse IP de test. L'accès inverse n'est cependant pas disponible. Une
connexion Internet depuis le serveur de restauration dans le réseau de test est disponible si
l'option Connexion Internet a été choisie lors de la création du serveur de restauration.
l
Adresse IP publique (facultatif) : une adresse IP servant à accéder au serveur de restauration
depuis Internet. Si un serveur ne possède pas d'adresse IP publique, vous pouvez y accéder
uniquement depuis le réseau local.
l
Connexion à Internet (facultatif) : elle permet au serveur de restauration d'accéder à Internet
(aussi bien dans les cas de basculement test qu'en production).
Adresse IP publique et de test
Si vous attribuez l'adresse IP publique lors de la création d'un serveur de restauration, il devient
disponible depuis Internet via cette adresse IP. Lorsqu'un paquet provenant d'Internet contient
l'adresse IP publique de destination, la passerelle VPN le remappe à l'adresse IP de production
associée en utilisant NAT, puis l'envoie au serveur de restauration correspondant.
17
Si vous attribuez l'adresse IP de test lors de la création d'un serveur de restauration, il devient
disponible dans le réseau de test via cette adresse IP. Lorsque vous effectuez le basculement test, la
machine d'origine fonctionne toujours pendant que le serveur de restauration doté de la même
adresse IP est lancé en même temps dans le Cloud. Il n'existe aucun conflit d'adresse IP, car le réseau
de test est isolé. Les serveurs de restauration du réseau de test sont accessibles avec leurs adresses IP
de test, qui sont remappées aux adresses IP de production via NAT.
18
Serveurs primaires
Un serveur primaire : une machine virtuelle qui ne possède pas de machine associée sur le site
local, par rapport à un serveur de restauration. Les serveurs primaires servent à protéger une
application au moyen d'une réplication, ou à exécuter divers services auxiliaires (tels qu'un service
Web).
Généralement, un serveur primaire est utilisé pour la réplication des données en temps réel entre des
serveurs exécutant des applications cruciales. Vous configurez vous-même la réplication à l'aide des
outils natifs de l'application. Par exemple, la réplication Active Directory ou la réplication SQL peuvent
être configurées entre les serveurs locaux et le serveur primaire.
Un serveur primaire peut également être inclus dans un groupe AlwaysOn Availability Group (AAG) ou
dans un groupe de disponibilité de la base de données (DAG).
Ces méthodes nécessitent toutes les deux une connaissance approfondie de l'application, ainsi que
les droits d'administrateur correspondants. Un serveur primaire consomme en continu des
ressources de calcul et de l'espace sur le stockage rapide pour reprise d'activité après sinistre. Il
nécessite une maintenance de votre côté : suivi de la réplication, installation des mises à jour
logicielles, sauvegarde.Les avantages sont des RTO et RPO minimales, avec une faible charge sur
l'environnement de production (comparé à la sauvegarde de serveurs entiers dans le Cloud).
Les serveurs primaires sont toujours lancés uniquement dans le réseau de production et possèdent
les paramètres réseau suivants :
19
l
Réseau Cloud (obligatoire) : un réseau Cloud auquel un serveur primaire sera connecté.
l
Adresse IP dans le réseau de production (obligatoire) : une adresse IP que le serveur primaire
aura dans le réseau de production. Par défaut, la première adresse IP gratuite issue de votre réseau
de production est définie.
l
Adresse IP publique (facultatif) : une adresse IP servant à accéder au serveur primaire depuis
Internet. Si un serveur ne possède pas d'adresse IP publique, vous pouvez y accéder uniquement
depuis le réseau local, pas via Internet.
l
Connexion à Internet (facultatif) : permet au serveur primaire d'accéder à Internet.
4.1.3 Mode « sur Cloud uniquement »
Le mode « sur Cloud uniquement » ne nécessite pas de déploiement d'une appliance VPN sur le site
local. Cela implique que vous possédez deux réseaux indépendants : l'un sur le site local, l'autre sur le
site dans le Cloud. Le routage est effectué avec le routeur sur le site dans le Cloud.
Fonctionnement du routage
Si le mode « sur Cloud uniquement » est activé, le routage est effectué avec le routeur sur le site
Cloud, afin que les serveurs des différents réseaux Cloud puissent communiquer les uns avec les
autres.
20
4.1.4 Suppression automatique d'un environnement client non
utilisé sur un site dans le Cloud
Le service Reprise d'activité après sinistre suit l'utilisation de l'environnement client créé à des fins de
reprise après sinistre, et le supprime automatiquement s'il n'est pas utilisé.
Les critères suivants permettent de définir que le locataire client est actif :
l
Au moins un serveur Cloud est actuellement présent, ou un ou plusieurs serveurs Cloud étaient
présents au cours des sept derniers jours.
OU
l
L'option Accès VPN au site local est activée et soit le tunnel VPN site à site est établi, soit des
données en provenance du matériel VPN ont été signalées au cours des 7 derniers jours.
Les autres locataires restants sont considérés comme des locataires inactifs. Par conséquent, pour
ces locataires, le système effectue les opérations suivantes :
21
l
La passerelle VPN est supprimée et toutes les ressources Cloud liées à ce locataire sont également
supprimées
l
L'enregistrement du matériel VPN est annulé
Ces locataires sont ramenés à l'état où aucun type de connectivité n'était encore configuré.
4.2 Configuration de la connectivité initiale
Cette section décrit les scénarios de configuration de la connectivité.
4.2.1 Accès VPN à distance de point à site
Si vous devez vous connecter à distance à votre site local, vous pouvez utiliser la connexion point à
point au site local. Vous pouvez suivre la procédure ci-dessous ou regarder le tutoriel vidéo.
Configuration de la connexion de point à site au site local
1. Dans la console de service, accédez à Reprise d'activité après sinistre > Connectivité.
2. Sélectionnez le cas d'utilisation Accès VPN à distance de point à site et cliquez sur Déployer.
Le système active automatiquement la connexion site à site entre le site local et le site dans le
Cloud et permet l'accès point à site au site local.
3. Déployez l'appliance VPN en cliquant sur Téléchargez et déployez dans le bloc de matériel VPN.
4. Assurez-vous que l'utilisateur qui doit établir la connexion point à point avec le site local dispose
d'un compte utilisateur dans Cyber Cloud. Les autres identifiants utilisateur servent à
l'authentification dans le client VPN. Sinon, créez un compte utilisateur dans Cyber Cloud. Assurezvous que l'utilisateur possède le rôle utilisateur « Administrateur d’entreprise » ou
« Cyberprotection ».
5. Configurer le client OpenVPN :
a. Téléchargez le client OpenVPN depuis l'emplacement suivant
https://openvpn.net/community-downloads/. Versions du client OpenVPN compatibles : 2.4.0
et versions ultérieures.
b. Installez le client OpenVPN sur la machine que vous souhaitez connecter au site local.
c. Cliquez sur Télécharger la configuration pour OpenVPN. Le fichier de configuration est
valide pour les utilisateurs de votre organisation possédant le rôle utilisateur « Administrateur
d'entreprise » ou « Cyberprotection ».
d. Importez la configuration téléchargée dans OpenVPN.
e. Connectez-vous au client OpenVPN grâce aux identifiants utilisateur Cyber Cloud (voir l'étape 4
ci-dessus).
f. [Facultatif] Si l'authentification à deux facteurs est activée pour votre organisation, alors vous
devez fournir le code TOTP unique généré.
Important
Si vous activez l'authentification à deux facteurs pour votre compte, vous devez régénérer le fichier
de configuration et le renouveler pour vos clients OpenVPN existants. Les utilisateurs doivent se
22
reconnecter à Cyber Cloud pour configurer l'authentification à deux facteurs pour leur compte.
Ainsi, votre utilisateur pourra se connecter à des machines sur le site local.
4.2.2 Connexion de site à site
Exigences relatives à l'application VPN
Configuration requise
l
1 processeur
l
1 Go de RAM
l
8 Go d'espace disque
Ports
l
TCP 443 (sortant) : pour la connexion VPN
l
TCP 80 (sortant) : pour la mise à jour automatique de l'application
Assurez-vous que vos pare-feux et les autres composants de votre système de sécurité réseau
autorisent les connexions sur ces ports vers n'importe quelle adresse IP.
Configuration de la connexion de site à site
L'application VPN étend votre réseau local au Cloud via un tunnel VPN sécurisé. Ce type de connexion
est souvent appelé connexion de « site à site » (S2S). Vous pouvez suivre la procédure ci-dessous ou
regarder le tutoriel vidéo.
Pour configurer une connexion via l'application VPN
1. Dans la console de service, accédez à Reprise d'activité après sinistre > Connectivité.
2. Sélectionnez Connexion VPN de site à site, puis cliquez sur Déployer.
Le système commence à déployer la passerelle VPN dans le Cloud. Cela peut prendre un certain
temps. En attendant, vous pouvez passer à l'étape suivante.
Remarque
La passerelle VPN est fournie sans frais supplémentaires. Il sera supprimé si la fonctionnalité de
reprise d'activité après sinistre n'est pas utilisée, c'est-à-dire si aucun serveur primaire ni serveur
de restauration n'est présent dans le Cloud pendant sept jours.
3. Dans le bloc matériel VPN, cliquez sur Télécharger et déployer. En fonction de la plate-forme
de virtualisation que vous utilisez, téléchargez l'application VPN pour VMware vSphere ou
Microsoft Hyper-V.
4. Déployez le matériel et connectez-le aux réseaux de production.
23
Dans vSphere, vérifiez que le mode Promiscuité et l'option Fausses transmissions sont
activés et configurés sur Accepter pour tous les commutateurs virtuels qui connectent le matériel
VPN aux réseaux de production. Pour accéder à ces paramètres, dans vSphere Client, sélectionnez
l'hôte > Résumé > Réseau, puis sélectionnez le commutateur > Modifier les paramètres… >
Sécurité.
Dans Hyper-V, créez une machine virtuelle Génération 1 avec 1 024 Mo de mémoire. Nous vous
recommandons également d'activer la mémoire dynamique pour la machine. Une fois la
machine créée, accédez à Paramètres > Matériel > Adaptateur réseau > Fonctionnalités
avancées et activez la case à cocher Activer l'usurpation des adresses MAC.
5. Démarrez l'application.
6. Ouvrez la console de l'application et connectez-vous à l'aide du nom d'utilisateur et du mot de
passe « admin/admin ».
7. [Facultatif] Modifiez le mot de passe.
8. [Facultatif] Modifiez les paramètres réseau au besoin. Définissez l'interface qui sera utilisée
comme WAN pour la connexion Internet.
9. Enregistrez le matériel dans le service Cyber Protection à l'aide des identifiants de l'administrateur
de l'entreprise.
Ces identifiants ne sont utilisés qu'une seule fois pour récupérer le certificat. L'URL du centre de
données est prédéfinie.
Remarque
Si l'authentification à deux facteurs est configurée pour votre compte, vous serez également
invité à saisir le code TOTP. Si l'authentification à deux facteurs est activée, mais pas configurée
pour votre compte, vous ne pouvez pas enregistrer votre matériel VPN. Vous devez d'abord
accéder à la page de connexion de la console de service et terminer la configuration de
l'authentification à deux facteurs pour votre compte. Pour en savoir plus sur l'authentification à
deux facteurs, accédez au Guide de l'administrateur du portail de gestion.
Une fois la configuration terminée, l'application affiche le statut En ligne. Le matériel se connecte à la
passerelle VPN et commence à communiquer des informations concernant les réseaux de toutes les
interfaces actives au service Cyber Disaster Recovery Cloud. La console de service affiche les
interfaces, en fonction des informations de l'appliance VPN.
4.2.3 Mode « sur Cloud uniquement »
Pour configurer une connexion dans le mode « sur Cloud uniquement »
1. Dans la console de service, accédez à Reprise d'activité après sinistre > Connectivité.
2. Sélectionnez Cloud uniquement and cliquez sur Déployer.
3. En conséquence, la passerelle VPN et le réseau Cloud contenant l'adresse et le masque définis
seront déployés dans le site dans le Cloud.
Pour découvrir comment gérer vos réseaux dans le Cloud et configurer les paramètres de la passerelle
VPN, consultez la section « Gérer les réseaux Cloud ».
24
4.3 Gestion du réseau
Cette section décrit les scénarios de gestion des réseaux.
4.3.1 Gestion des réseaux
Connexion de site à site
Pour ajouter un réseau sur le site local et l'étendre au Cloud
1. Sur le matériel VPN, configurez la nouvelle interface réseau avec le réseau local que vous souhaitez
étendre dans le Cloud.
2. Connectez-vous à la console du matériel VPN.
3. Dans la section Réseau, configurez les paramètres réseau de la nouvelle interface.
Le matériel VPN commence à communiquer des informations concernant les réseaux de toutes les
interfaces actives à Cyber Disaster Recovery Cloud. La console de service affiche les interfaces, en
fonction des informations de l'appliance VPN.
Pour supprimer un réseau étendu au Cloud
1. Connectez-vous à la console du matériel VPN.
2. Dans la section Réseau, sélectionnez l'interface que vous souhaitez supprimer, puis cliquez sur
Effacer les paramètres réseau.
3. Confirmez l'opération.
Par conséquent, l'extension du réseau local au Cloud via un tunnel VPN sécurisé sera arrêtée. Le
réseau fonctionnera en tant que segment Cloud indépendant. Si cette interface est utilisée pour faire
passer le trafic depuis (vers) le site dans le Cloud, toutes vos connexions réseau depuis (vers) le site
dans le Cloud seront déconnectées.
Pour changer les paramètres réseau
25
1. Connectez-vous à la console du matériel VPN.
2. Dans la section Réseau, sélectionnez l'interface que vous souhaitez modifier.
3. Cliquez sur Modifier les paramètres réseau.
4. Sélectionnez l'une des deux options suivantes :
l
Pour une configuration automatique du réseau via DHCP, cliquez sur Utiliser DHCP.
Confirmez l'opération.
l
Pour une configuration manuelle du réseau, cliquez sur Définir une adresse IP statique. Les
paramètres suivants peuvent être modifiés :
o
Adresse IP : adresse IP de l'interface dans le réseau local.
o
Adresse IP de la passerelle VPN : adresse IP spéciale réservée au segment de Cloud du
réseau pour le bon fonctionnement du service Cyber Disaster Recovery Cloud.
l
o
Masque réseau : masque réseau du réseau local.
o
Passerelle par défaut : passerelle par défaut sur le site local.
o
Serveur DNS préféré : serveur DNS principal sur le site local.
o
Serveur DNS alternatif : serveur DNS secondaire sur le site local.
Effectuez les modifications nécessaires et confirmez-les en appuyant sur Entrée.
Mode « sur Cloud uniquement »
Vous pouvez avoir jusqu'à cinq réseaux dans le Cloud.
Pour ajouter un nouveau réseau Cloud
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Sous Site dans le Cloud, cliquez sur Ajouter un réseau dans le Cloud.
3. Définissez les paramètres du réseau Cloud : l'adresse et le masque du réseau. Lorsque vous avez
terminé, cliquez sur Terminé.
En conséquence, le réseau Cloud supplémentaire contenant l'adresse et le masque définis seront
créés dans le site dans le Cloud.
Pour supprimer un réseau Cloud
26
Remarque
Vous ne pouvez pas supprimer un réseau Cloud s'il contient au moins un serveur Cloud.Commencez
par supprimer le serveur Cloud, puis supprimez le réseau.
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Dans Site dans le Cloud, cliquez sur l'adresse réseau que vous souhaitez supprimer.
3. Cliquez sur Supprimer pour confirmer l'opération.
Pour modifier les paramètres réseau
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Dans Site dans le Cloud, cliquez sur l'adresse réseau que vous souhaitez modifier.
3. Cliquez sur Éditer.
4. Définissez l'adresse et le masque du réseau, puis cliquez sur Terminé.
Reconfiguration d'une adresse IP
Pour obtenir de bonnes performances de la reprise d'activité après sinistre, les adresses IP attribuées
aux serveurs locaux et dans le Cloud doivent être cohérentes. S'il existe la moindre incohérence ou
incompatibilité dans les adresses IP, vous verrez le point d'exclamation à côté du réseau
correspondant dans Reprise d'activité après sinistre > Connectivité.
Certains motifs connus d'incohérences d'adresses IP sont répertoriés ci-dessous :
1. Un serveur de restauration a été migré d'un réseau vers un autre, ou le masque du réseau ou le
réseau Cloud a été modifié. En conséquence, les serveurs Cloud possèdent les adresses IP de
réseaux auxquels ils ne sont pas connectés.
2. Le type de connectivité a été basculé de « sans connexion de site à site » à « connexion de site à
site ». En conséquence, un serveur local est placé dans le réseau différent de celui ayant été créé
pour le serveur de restauration dans le site dans le Cloud.
3. Modification des paramètres de réseau suivants sur le site du matériel VPN :
l
Ajout d'une interface via les paramètres du réseau
l
Modification manuelle du masque du réseau via les paramètres de l'interface
l
Modification du masque et de l'adresse du réseau via DHCP
l
Modification manuelle de l'adresse et du masque du réseau via les paramètres de l'interface
l
Modification du masque et de l'adresse du réseau via DHCP
En conséquence des actions répertoriées ci-dessus, le réseau du site dans le Cloud peut devenir un
sous-ensemble ou un super-ensemble du réseau local, ou l'interface du matériel VPN peut
rapporter les mêmes paramètres réseau pour différentes interfaces.
Pour résoudre le problème à l'aide de paramètres réseau
1. Cliquez sur le réseau nécessitant la reconfiguration d'une adresse IP.
Vous verrez une liste des serveurs dans le réseau sélectionné, leur statut et leur adresse IP. Les
serveurs dont les paramètres réseau sont incohérents sont marqués par un point d'exclamation.
27
2. Pour modifier les paramètres réseau d'un serveur, cliquez sur Accéder au serveur. Pour
modifier les paramètres réseau de tous les serveurs en même temps, cliquez sur Modifier dans le
bloc de notification.
3. Modifiez les adresses IP au besoin en les définissant dans les champs Nouvelle adresse IP et
Nouvelle adresse IP test.
4. Lorsque vous avez terminé, cliquez sur Confirmer.
Déplacer des serveurs vers un réseau approprié
Lorsque vous créez un plan de protection de reprise d'activité après sinistre et que vous l'appliquez
aux périphériques sélectionnés, le système vérifie les adresses IP des périphériques et crée
automatiquement des réseaux Cloud s'il n'existe pas de réseaux Cloud correspondant à l'adresse IP.
Par défaut, les réseaux Cloud sont configurés avec les plages maximales recommandées par IANA
pour un usage privé (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Vous pouvez restreindre la taille
de votre réseau en modifiant le masque de réseau.
Dans le cas où les périphériques sélectionnés se trouvaient sur plusieurs réseaux locaux, le réseau sur
le site dans le Cloud peut devenir un super-ensemble de réseaux locaux. Dans ce cas, pour
reconfigurer les réseaux Cloud :
1. Cliquez sur le réseau Cloud qui requiert la reconfiguration de la taille du réseau, puis cliquez sur
Modifier.
2. Reconfigurez la taille du réseau à l'aide des paramètres corrects.
3. Créez les autres réseaux requis.
4. Cliquez sur l'icône de notification à côté du nombre de périphériques connectés au réseau.
5. Cliquez sur Déplacer vers un réseau approprié.
6. Sélectionnez les serveurs que vous souhaitez modifier, puis cliquez sur Modifier.
4.3.2 Gestion des paramètres du matériel VPN
Dans la console de service (Reprise d'activité après sinistre > Connectivité), vous pouvez
effectuer les actions suivantes :
l
Télécharger des fichiers journaux
l
Désinscrire le matériel (si vous devez réinitialiser les paramètres du matériel VPN ou basculer vers le
mode « sur Cloud uniquement »)
Pour accéder à ces paramètres, cliquez sur l'icône i dans le bloc de matériel VPN.
Dans la console du matériel VPN, vous pouvez :
l
Modifier le mot de passe de l'application
l
Afficher/modifier les paramètres réseau et définir l'interface à utiliser comme WAN pour la
connexion Internet
l
Enregistrer/modifier le compte d'enregistrement (en répétant le processus d'enregistrement)
l
Redémarrer le service VPN
28
l
Redémarrer le matériel VPN
l
Exécuter la commande shell Linux (uniquement pour les cas de dépannage avancés)
4.3.3 Activation et désactivation de la connexion de site à site
Vous pouvez activer la connexion de site à site dans les cas suivants :
l
Si vous avez besoin que les serveurs Cloud du site dans le Cloud communiquent avec les serveurs
du site local.
l
Après un basculement vers le Cloud, l'infrastructure est restaurée et vous souhaitez restaurer
automatiquement vos serveurs vers le site local.
Pour activer la connexion de site à site
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Cliquez sur Afficher les propriétés, puis activez l'option Connexion de site à site.
En conséquence, la connexion VPN de site à site est activée entre les sites locaux et dans le Cloud. Le
service Cyber Disaster Recovery Cloud obtient les paramètres réseau à partir du matériel VPN et
étend les réseaux locaux au site dans le Cloud.
Si vous n'avez pas besoin que les serveurs Cloud du site dans le Cloud communiquent avec les
serveurs du site local, vous pouvez désactiver la connexion de site à site.
Pour désactiver la connexion de site à site
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Cliquez sur Afficher les propriétés, puis désactivez l'option Connexion de site à site.
En conséquence, le site local est déconnecté du site dans le Cloud.
4.3.4 Configuration du routage local
En plus d'étendre vos réseaux locaux au Cloud via le matériel VPN, vous pouvez posséder d'autres
réseaux locaux non enregistrés dans le matériel VPN, mais dont les serveurs qu'il contient doivent
communiquer avec les serveurs Cloud. Pour établir la connectivité entre ces serveurs locaux et les
serveurs dans le Cloud, vous devez configurer les paramètres de routage local.
Pour configurer le routage local
1. Accédez à Reprise d'activité après sinistre > Connectivité.
2. Cliquez sur Afficher les propriétés, puis sur Routage local.
3. Indiquez les réseaux locaux dans la notation CIDR.
4. Lorsque vous avez terminé, cliquez sur Enregistrer.
En conséquence, les serveurs des réseaux locaux indiqués pourront communiquer avec les serveurs
dans le Cloud.
29
4.3.5 Gestion des paramètres de la connexion de point à site
Dans la console de service, accédez à Reprise d'activité après sinistre > Connectivité, puis
cliquez sur Afficher les propriétés en haut à droite.
Accès VPN au site local
Cette option est utilisée pour gérer l'accès VPN au site local. Par défaut, elle est activée. Si elle est
désactivée, l'accès point à site au site local ne sera pas autorisé.
Téléchargez la configuration pour OpenVPN
Cela lancera le téléchargement du fichier de configuration pour le client OpenVPN. Ce fichier est
requis pour établir une connexion de point à site vers le site dans le Cloud.
Régénération de la configuration
Vous pouvez générer à nouveau le fichier de configuration pour le client OpenVPN.
Cela est nécessaire dans les cas suivants :
l
Si vous pensez que le fichier de configuration est corrompu.
l
L'authentification à deux facteurs a été activée pour votre compte.
Dès que le fichier de configuration est mis à jour, il n'est plus possible de se connecter à l'aide de
l'ancien fichier de configuration. Veillez à fournir le nouveau fichier aux utilisateurs autorisés à utiliser
la connexion de point à site.
4.3.6 Connexions de point à site actives
Vous pouvez consulter toutes les connexions point à point actives dans Reprise d'activité après
sinistre > Connectivité. Cliquez sur l'icône de la machine sur la ligne bleue Point à site et vous
30
pourrez consulter les informations détaillées sur les connexions point-à-site actives, groupées par
nom d'utilisateur.
31
5 Configuration des serveurs de restauration
Cette section décrit les concepts de basculement et restauration automatique, un cycle de vie de
serveur de restauration, la création d'un serveur de restauration, et les opérations de reprise d'activité
après sinistre.
5.1 Fonctionnement du basculement et de la
restauration automatique
5.1.1 Basculement et restauration automatique
Lorsqu'un serveur de restauration est créé, il reste en mode Veille. La machine virtuelle
correspondante n'existe pas avant que vous ayez lancé le basculement. Avant de lancer le processus
de basculement, vous devez créer au moins une sauvegarde d'image de disque (avec volume
démarrable) de votre machine d'origine.
Lors du lancement du processus de basculement, vous sélectionnez le point de récupération de la
machine d'origine depuis laquelle la machine virtuelle contenant les paramètres prédéfinis est créée.
L'opération de basculement utilise la fonctionnalité « exécution d'une machine virtuelle à partir d'une
sauvegarde ». Le serveur de restauration reçoit l'état de transition Finalisation. Ce processus
implique le transfert des disques virtuels du serveur du stockage de sauvegarde (stockage « à froid »)
vers le stockage pour reprise d'activité après sinistre (stockage « à chaud »). Lors de la finalisation, le
serveur est accessible et opérationnel bien que ses performances soient inférieures à la normale. Une
fois la finalisation terminée, les performances du serveur sont rétablies. L'état du serveur est modifié
en Basculement. La charge de travail est désormais basculée de la machine d'origine vers le serveur
de restauration du site dans le Cloud.
Si le composant de restauration possède un agent de protection, le service de l'agent est interrompu
pour éviter toute interférence (notamment le démarrage d'une sauvegarde ou le signalement de
statuts obsolètes au composant de sauvegarde).
Dans le diagramme ci-dessous, vous pouvez voir les processus de basculement et de restauration
automatique.
32
5.1.2 Tester le basculement
Lors d'un basculement test, une machine virtuelle n'est pas finalisée. Cela signifie que l'agent lit le
contenu des disques virtuels directement depuis la sauvegarde, c.-à-d. qu'il accède aléatoirement aux
différentes parties de la sauvegarde.
5.2 Cycle de vie du serveur de restauration
Dans le diagramme ci-dessous, vous pouvez voir le cycle de vie du serveur de restauration, qui
montre les états permanents et transitoires du serveur. Chaque bloc montre un état du serveur de
restauration, un état de machine virtuelle correspondant, ainsi que les actions pouvant être
entreprises par un utilisateur à ce stade. Chaque flèche correspond à un événement ou une action
utilisateur qui mène à l'état suivant.
33
5.2.1 Workflow de basculement et de restauration automatique
1. Action utilisateur : Créer un serveur de restauration pour la machine à protéger.
2. Mode Veille. La configuration du serveur de restauration est définie, mais la machine virtuelle
correspondante n'est pas prête.
3. Action utilisateur : Le basculement est initié en mode production et le serveur de restauration est
créé depuis le point de restauration sélectionné.
4. Mode Finalisation. Les disques de machine virtuelle sont finalisés à partir du point de
restauration monté vers le stockage hautes performances. Le serveur de restauration est
opérationnel, bien que ses performances soient inférieures à la normale, jusqu'à ce que la
finalisation soit terminée.
5. Événement : La finalisation est réussie.
34
6. Mode Basculement. La charge de travail est basculée de la machine d'origine vers le serveur de
restauration.
7. Actions utilisateur :
l
Lancer une restauration automatique. Par conséquent, le serveur de restauration est éteint et
sauvegardé dans le stockage dans le Cloud.
OU
l
Si un utilisateur annule le basculement, la charge de travail est rebasculée vers la machine
d'origine, et le serveur de restauration revient au mode Veille.
8. Mode Prêt pour la restauration automatique. La sauvegarde du serveur de restauration est
créée. Vous devez restaurer votre serveur local depuis cette sauvegarde à l'aide d'un processus de
restauration ordinaire.
9. Actions utilisateur :
l
Confirmer la restauration automatique. En conséquence, les ressources Cloud ayant été
attribuées au serveur de restauration sont libérées.
OU
l
Annuler la restauration automatique. La restauration automatique est annulée selon vos
souhaits. Le serveur de restauration revient en mode Basculement.
5.2.2 Workflow de basculement test
1. Action utilisateur : Créer un serveur de restauration pour la machine à protéger.
2. Mode Veille. La configuration du serveur de restauration est définie, mais la machine virtuelle
associée n'est pas prête.
3. Action utilisateur : Lancer le test de basculement.
4. Mode Test de basculement. Sous ce mode, une machine virtuelle temporaire est créée à des
fins de test.
5. Action utilisateur : Arrêter le test de basculement.
5.3 Création d'un serveur de restauration
Vous pouvez suivre les instructions ci-dessous ou regarder le tutoriel vidéo.
Prérequis
l
Un plan de protection doit être appliqué à la machine d'origine que vous souhaitez protéger. Ce
plan peut sauvegarder l'intégralité de la machine ou uniquement les disques requis pour le
démarrage et la fourniture des services nécessaires à un stockage dans le Cloud.
l
Vous devez définir au moins un type de connectivité vers le site dans le Cloud.
Pour créer un serveur de restauration
1. Dans l'onglet Toutes les machines , sélectionnez la machine que vous voulez protéger.
2. Cliquez sur Reprise d'activité après sinistre, puis sur Créer un serveur de restauration.
3. Sélectionnez le nombre de cœurs virtuels et la taille de la RAM.
35
Tenez compte des points de calcul à côté de chaque option. Le nombre de points de calcul traduit
le coût horaire de l'exécution du serveur de restauration.
4. Indiquez le serveur Cloud auquel le serveur sera connecté.
5. Indiquez l'adresse IP que le serveur aura dans le réseau de production. Par défaut, l'adresse IP de
la machine d'origine est sélectionnée.
Remarque
Si vous utilisez un serveur DHCP, ajoutez cette adresse IP à la liste d'exclusion du serveur, afin
d'éviter les conflits d'adresse IP.
6. [Facultatif] Activez la case à cocher Adresse IP de test, puis saisissez l'adresse IP.
Cela vous permettra de tester un basculement dans le réseau de test isolé et de vous connecter au
serveur de restauration via RDP ou SSH lors d'un basculement test. En mode de basculement test,
la passerelle VPN remplace l'adresse IP de test par l'adresse IP de production au moyen du
protocole NAT.
Si vous n'activez pas la case à cocher, la console sera le seul moyen d'accéder au serveur lors d'un
basculement test.
Remarque
Si vous utilisez un serveur DHCP, ajoutez cette adresse IP à la liste d'exclusion du serveur afin
d'éviter les conflits d'adresse IP.
Vous pouvez sélectionner l'une des adresses IP proposées ou en saisir une autre.
7. [Facultatif] Activez la case à cocher Accès Internet.
Cela permettra au serveur de restauration d'accéder à Internet lors d'un vrai basculement ou d'un
basculement test.
8. [Facultatif] Définissez le seuil des objectifs de point de récupération.
Le seuil des objectifs de point de récupération définit l'intervalle de temps maximum autorisé
entre le dernier point de récupération pour un basculement et l'heure actuelle. La valeur peut être
définie entre 15 et 60 minutes, 1 et 24 heures, 1 et 14 jours.
9. [Facultatif] Activez la case à cocher Utiliser une adresse IP publique.
Disposer d'une adresse IP publique permet au serveur de restauration d'être accessible depuis
Internet lors d'un basculement ou d'un basculement test. Si vous n'activez pas la case à cocher, le
serveur sera accessible uniquement dans votre réseau de production.
L'option Utiliser une adresse IP publique nécessite que l'option Accès Internet soit activée.
L'adresse IP publique s'affichera une fois la configuration terminée. Les ports suivants sont
ouverts pour des connexions entrantes aux adresses IP publiques :
TCP : 80, 443, 8088, 8443
UDP : 1194
Si vous avez besoin d'ouvrir d'autres ports, contactez l'équipe d'assistance.
10. [Facultatif] Si les sauvegardes de la machine sélectionnée sont chiffrées, vous pouvez indiquer le
mot de passe qui sera automatiquement utilisé lors de la création d'une machine virtuelle pour le
36
serveur de restauration depuis la sauvegarde chiffrée. Cliquez sur Spécifier, puis définissez
l'identifiant et le mot de passe. Par défaut, la liste affiche la sauvegarde la plus récente. Pour
afficher toutes les sauvegardes, sélectionnez Afficher toutes les sauvegardes.
11. [Facultatif] Modifiez le nom du serveur de restauration.
12. [Facultatif] Saisissez une description pour le serveur de restauration.
13. Cliquez sur Créer.
Le serveur de restauration apparaît dans l'onglet Reprise d'activité après sinistre > Serveurs >
Serveurs de restauration de la console de service. Vous pouvez également afficher ses réglages en
sélectionnant la machine d'origine et en cliquant sur Reprise d'activité après sinistre.
5.4 Réalisation d'un basculement test
Un test de basculement consiste à démarrer un serveur de restauration dans un VLAN de test isolé de
votre réseau de production. Vous pouvez tester plusieurs serveurs de restauration simultanément
pour vérifier la manière dont ils interagissent. Dans le réseau de test, les serveurs communiquent à
l'aide de leur adresse IP de production, mais ils ne peuvent pas démarrer de connexions TCP ou UDP
à des machines situées sur votre réseau local.
Bien que le test de basculement soit facultatif, nous vous recommandons d'en exécuter
régulièrement, à une fréquence adéquate pour vous en matière de coût et de sécurité. Une bonne
pratique consiste à créer un runbook (dossier d'exploitation), c'est-à-dire un ensemble d'instructions
décrivant comment lancer l'environnement de production dans le Cloud.
Nous vous recommandons de créer un serveur de restauration à l'avance afin de protéger vos
appareils d'un sinistre. Vous serez en mesure d'effectuer le basculement test depuis n'importe quel
point de restauration généré après la création du serveur de restauration pour l'appareil.
Pour réaliser un basculement test
1. Sélectionnez la machine d'origine ou le serveur de restauration que vous souhaitez tester.
2. Cliquez sur Reprise d’activité après sinistre.
37
La description du serveur de restauration s'ouvre.
3. Cliquez sur Basculement.
4. Sélectionnez le type de basculement Basculement test.
5. Sélectionnez le point de récupération, puis cliquez sur Basculement test.
Quand le serveur de restauration démarre, son état est modifié en Test de basculement.
6. Testez le serveur de restauration à l'aide de l'une des méthodes suivantes :
l
Dans Reprise d'activité après sinistre > Serveurs, sélectionnez le serveur de restauration,
puis cliquez sur Console.
l
Connectez-vous au serveur de restauration via RDP ou SSH, à l'aide de l'IP de production que
vous avez indiquée lors de la création du serveur de restauration. Testez la connexion de
l'intérieur et de l'extérieur du réseau de production (comme décrit dans « Connexion de point à
site »).
l
Exécutez un script au sein du serveur de restauration.
Le script peut vérifier l'écran de connexion, le démarrage des applications, la connexion
Internet, et la capacité d'autres machines à se connecter au serveur de restauration.
l
Si le serveur de restauration a accès à Internet et à une adresse IP publique, vous voudrez peutêtre utiliser TeamViewer.
7. Une fois le test terminé, cliquez sur Arrêter le test.
Le serveur de restauration est arrêté. Toutes les modifications apportées au serveur de
restauration lors du basculement test ne sont pas conservées.
5.5 Réalisation d'un basculement
Un basculement est le processus consistant à déplacer une charge de travail de vos locaux vers le
Cloud. Il s'agit aussi de l'état où la charge de travail reste dans le Cloud.
Lorsque vous démarrez un basculement, le serveur de restauration démarre dans le réseau de
production. Tous les plans de protection sont retirés de la machine d'origine. Un nouveau plan de
protection est automatiquement créé et appliqué au serveur de restauration.
38
Vous devez créer au moins un point de récupération avant de basculer vers un serveur de
restauration.
Une bonne pratique consiste à créer un serveur de restauration à l'avance afin de protéger vos
appareils d'un sinistre. Vous serez en mesure d'effectuer le basculement en production depuis
n'importe quel point de restauration généré après la création du serveur de restauration pour
l'appareil.
Vous pouvez suivre les instructions ci-dessous ou regarder le tutoriel vidéo.
Pour réaliser un basculement
1. Vérifiez que la machine d'origine n'est pas disponible sur le réseau.
2. Dans la console de service, accédez à Reprise d'activité après sinistre > Serveur > Serveurs
de restauration, puis sélectionnez le serveur de restauration.
3. Cliquez sur Basculement.
4. Sélectionnez le type de basculement Basculement de la production.
5. Sélectionnez le point de récupération, puis cliquez sur Commencer le basculement de la
production.
Lorsque le serveur de restauration démarre, son état est modifié en Finalisation, puis, au bout
d'un certain temps, en Basculement. Il est essentiel de comprendre que le serveur est disponible
dans les deux états, malgré l'indicateur de progression tournant. Pour en savoir plus, consultez la
section « Fonctionnement du basculement et de la restauration automatique ».
6. Assurez-vous que le serveur de restauration est démarré en consultant sa console. Cliquez sur
Reprise d'activité après sinistre > Serveurs, sélectionnez le serveur de restauration, puis
cliquez sur Console.
7. Assurez-vous que le serveur de restauration est accessible à l'aide de l'adresse IP de production
que vous avez indiquée lors de la création du serveur de restauration.
Une fois le serveur de restauration finalisé, un nouveau plan de protection est automatiquement créé
et lui est appliqué. Ce plan de protection se base sur le plan de protection utilisé pour créer le serveur
39
de restauration, avec certaines limitations. Dans ce plan, vous ne pouvez modifier que la planification
et les règles de rétention.Pour en savoir plus, consultez « Sauvegarde des serveurs Cloud ».
Si vous souhaitez annuler le basculement, sélectionnez le serveur de restauration, puis cliquez sur
Annuler le basculement. Toutes les modifications apportées à partir du basculement, à l'exception
des sauvegardes du serveur de récupération, seront perdues. Le serveur de restauration repassera à
l'état En attente.
Si vous souhaitez effectuer une restauration automatique, sélectionnez le serveur de restauration,
puis cliquez sur Restauration automatique.
5.5.1 Comment exécuter un basculement des serveurs à l'aide d'un
DNS local
Si vous utilisez des serveurs DNS sur le site local pour convertir les noms de machines, les serveurs de
restauration correspondant aux machines qui dépendent du DNS n'arriveront alors plus à
communiquer après le basculement, car les serveurs DNS utilisés dans le Cloud sont différents. Par
défaut, les serveurs DNS du site dans le Cloud sont utilisés pour les serveurs Cloud nouvellement
créés. Si vous avez besoin d'appliquer des paramètres DNS personnalisés, contactez l'équipe
d'assistance.
5.5.2 Comment exécuter un basculement à l'aide d'un serveur DHCP
Il se peut que le serveur DHCP de votre infrastructure locale se situe sur un hôte Windows ou Linux.
Lorsqu'un tel hôte est basculé vers le site dans le Cloud, un problème de duplication du serveur DHCP
survient, car la passerelle VPN dans le Cloud joue également le rôle de DHCP. Pour résoudre ce
problème, effectuez l'une des actions suivantes :
l
Si seul l'hôte DHCP a été basculé vers le Cloud, mais que les autres serveurs locaux se trouvent
toujours dans le site local, vous devez alors vous connecter à l'hôte DHCP et désactiver le serveur
DHCP qui s'y trouve.Il n'y aura ainsi aucun conflit et seule la passerelle VPN fera office de serveur
DHCP.
l
Si vos serveurs dans le Cloud ont déjà obtenu leurs adresses auprès de l'hôte DHCP, vous devez
alors vous connecter à l'hôte DHCP et désactiver le serveur DHCP qui s'y trouve.Vous devez
également vous connecter aux serveurs Cloud et renouveler le bail DHCP pour attribuer de
nouvelles adresses IP allouées par le bon serveur DHCP (hébergé sur la passerelle VPN).
5.6 Réalisation d'une restauration automatique
Une restauration automatique est un processus consistant à déplacer la charge de travail du Cloud
vers vos locaux.
Pendant ce processus, le serveur déplacé n'est pas disponible. La durée de la fenêtre de maintenance
est à peu près égale à la durée d'une sauvegarde et de la restauration subséquente du serveur.
Pour effectuer une restauration automatique
40
1. Sélectionnez le serveur de restauration en état de basculement.
2. Cliquez sur Restauration automatique.
3. Cliquez sur Préparer la restauration automatique.
Le serveur de restauration sera éteint et sauvegardé vers le stockage sur le Cloud. Attendez que la
sauvegarde se termine.
À cette étape, deux actions sont disponibles : Annuler la restauration automatique et
Confirmer la restauration automatique. Si vous cliquez sur Annuler la restauration
automatique, le serveur de restauration démarrera et le basculement se poursuivra.
4. Restaurez le serveur depuis cette sauvegarde vers du matériel ou vers une machine virtuelle dans
vos locaux.
l
Lors de l'utilisation d'un support de démarrage, procédez comme décrit dans « Restauration de
disques avec un support de démarrage » dans le Guide de l'utilisateur de Cyber Protection.
Assurez-vous de vous connecter dans le Cloud en utilisant le compte pour lequel le serveur est
enregistré, et de sélectionner la sauvegarde la plus récente.
l
Si la machine cible est en ligne ou s'il s'agit d'une machine virtuelle, vous pouvez utiliser la
console de service. Dans l'onglet Stockage de sauvegarde, sélectionnez le stockage dans le
Cloud. Dans Machine à explorer, sélectionnez la machine physique cible ou la machine sur
laquelle s'exécute l'agent, si la machine cible est virtuelle. La machine sélectionnée doit être
enregistrée pour le même compte pour lequel le serveur est enregistré. Trouvez la sauvegarde
la plus récente du serveur, cliquez sur Restaurer la machine entière, puis définissez les
autres paramètres de récupération. Pour obtenir des instructions détaillées, veuillez vous
référer à « Restauration d'une machine virtuelle » dans le Guide de l'utilisateur de
Cyber Protection.
Assurez-vous que la restauration est terminée et que la machine restaurée fonctionne
correctement.
5. Revenez au serveur de restauration dans la console de service, puis cliquez sur Confirmer la
restauration automatique.
41
Le serveur de restauration et le point de récupération sont disponibles pour le prochain
basculement. Pour créer de nouveaux points de récupération, appliquez un plan de protection au
nouveau serveur local.
5.7 Travailler avec des sauvegardes chiffrées
Vous pouvez créer des serveurs de restauration provenant de sauvegardes chiffrées. Pour votre
commodité, vous pouvez définir une application de mot de passe automatique sur une sauvegarde
chiffrée lors du basculement vers un serveur de restauration.
Lors de la création d'un serveur de restauration vous pouvez indiquer le mot de passe à utiliser pour
les opérations automatiques de reprise d'activité après sinistre. Il sera enregistré dans le magasin
d'informations d'identification, un espace de stockage sécurisé des identifiants, que vous pouvez
trouver dans la section Paramètres > Identifiants.
Un identifiant peut être associé à plusieurs sauvegardes.
Pour gérer les mots de passe enregistrés dans le magasin d'informations d'identification
1. Accédez à Paramètres > Identifiants.
2. Pour gérer un identifiant précis, cliquez sur l'icône dans la dernière colonne. Vous pouvez
visualiser les éléments associés à cet identifiant.
l
Pour dissocier la sauvegarde des informations d'identification sélectionnées, cliquez sur l'icône
de la corbeille à côté de la sauvegarde. En conséquence, vous devrez indiquer le mot de passe
manuellement lors du basculement vers le serveur de restauration.
l
Pour modifier les informations d'identification, cliquez sur Modifier, puis indiquez le nom ou le
mot de passe.
l
Pour supprimer les informations d'identification, cliquez sur Supprimer. Veuillez noter que
vous devrez indiquer le mot de passe manuellement lors du basculement vers le serveur de
restauration.
42
6 Configuration des serveurs primaires
Cette section décrit comment créer et gérer vos serveurs primaires.
6.1 Création d'un serveur primaire
Prérequis
l
Vous devez définir au moins un type de connectivité vers le site dans le Cloud.
Pour créer un serveur primaire
1. Accédez à l'onglet Reprise d'activité après sinistre > Serveurs > Serveurs primaires.
2. Cliquez sur Créer.
3. Sélectionnez un modèle pour la nouvelle machine virtuelle.
4. Sélectionnez le nombre de cœurs virtuels et la taille de la RAM.
Soyez attentif aux points de calcul à côté de chaque option. Le nombre de points de calcul traduit
le coût horaire de l'exécution du serveur primaire.
5. [Facultatif] Modifiez la taille du disque virtuel. Si vous avez besoin de plus d'un disque dur, cliquez
sur Ajouter un disque, puis indiquez la taille du nouveau disque. Actuellement, vous ne pouvez
pas ajouter plus de 10 disques pour un serveur primaire.
6. Indiquez le réseau Cloud dans lequel le serveur primaire sera inclus.
7. Indiquez l'adresse IP que le serveur aura dans le réseau de production. Par défaut, la première
adresse IP gratuite issue de votre réseau de production est définie.
Remarque
Si vous utilisez un serveur DHCP, ajoutez cette adresse IP à la liste d'exclusion du serveur, afin
d'éviter les conflits d'adresse IP.
8. [Facultatif] Activez la case à cocher Accès Internet.
Cela permettra au serveur primaire d'accéder à Internet.
9. [Facultatif] Activez la case à cocher Utiliser une adresse IP publique.
Disposer d'une adresse IP publique permet au serveur primaire d'être accessible depuis Internet.
Si vous n'activez pas la case à cocher, le serveur sera accessible uniquement dans votre réseau de
production.
L'adresse IP publique s'affichera une fois la configuration terminée. Les ports suivants sont
ouverts pour des connexions entrantes aux adresses IP publiques :
TCP : 80, 443, 8088, 8443
UDP : 1194
Si vous avez besoin d'ouvrir d'autres ports, contactez l'équipe d'assistance.
10. [Facultatif] Sélectionnez Définir le seuil des objectifs de point de récupération.
43
Le seuil des objectifs de point de récupération (RPO) définit l'intervalle de temps maximum
autorisé entre le dernier point de récupération pour un basculement et l'heure actuelle. La valeur
peut être définie entre 15 et 60 minutes, 1 et 24 heures, 1 et 14 jours.
11. Définissez le nom du serveur primaire.
12. [Facultatif] Indiquez une description pour le serveur primaire.
13. Cliquez sur Créer.
Le serveur primaire devient accessible dans le réseau de production. Vous pouvez gérer le serveur à
l'aide de sa console, de RDP, de SSH ou de TeamViewer.
6.2 Opérations sur un serveur primaire
Le serveur primaire apparaît dans l'onglet Reprise d'activité après sinistre > Serveurs >
Serveurs primaires de la console de service.
Pour démarrer ou arrêter le serveur, cliquez sur Mettre sous tension ou sur Mettre hors tension
dans le volet du serveur primaire.
Pour modifier les paramètres du serveur primaire, arrêtez le serveur, puis cliquez sur Modifier.
Pour appliquer un plan de protection au serveur primaire, sélectionnez-le et cliquez sur Créer dans
l'onglet Plan. Vous verrez un plan de protection prédéfini dans lequel vous ne pouvez modifier que la
planification et les règles de rétention. Pour en savoir plus, consultez « Sauvegarde des serveurs
Cloud ».
44
7 Gestion des serveurs Cloud
Pour gérer les serveurs Cloud, accédez à Reprise d'activité après sinistre > Serveurs. Vous y
verrez deux onglets : Serveurs de restauration et Serveurs primaires. Pour afficher toutes les
colonnes facultatives, cliquez sur l'icône en forme d'engrenage.
Sélectionnez un serveur dans le Cloud pour afficher les informations suivantes le concernant.
Nom de la colonne
Description
Nom
Un nom de serveur Cloud que vous avez défini
Statut
Le statut reflétant le problème le plus grave au sein d'un serveur Cloud (basé sur
les alertes actives)
État
L'état d'un serveur Cloud selon son cycle de vie
État de la MV
L'état de l'alimentation d'une machine virtuelle associée au serveur Cloud
Emplacement actif
L'emplacement où le serveur dans le Cloud est hébergé. Par exemple, Cloud.
Seuil des objectifs
L'intervalle de temps maximum autorisé entre le dernier point de récupération
de point de
pour un basculement et l'heure actuelle. La valeur peut être définie entre 15 et
récupération
60 minutes, 1 et 24 heures, 1 et 14 jours.
Conformité des
La conformité des objectifs de point de récupération (RPO) est le rapport entre les
objectifs de point
RPO réels et le seuil des RPO. La conformité des RPO s'affiche lorsque le seuil des
de récupération
RPO est défini.
Elle est calculée comme suit :
Conformité RPO = RPO réels/Seuil des RPO
où
RPO réels = heure actuelle – heure du dernier point de récupération
États de conformité des RPO
Selon la valeur du rapport entre les RPO réels et le seuil des RPO, les statuts
suivants sont utilisés :
l
Conformité. La conformité des RPO < 1x. Un serveur définit le seuil des RPO.
l
Dépassé. La conformité des RPO <= 2x. Un serveur enfreint le seuil des RPO.
l
Dépassement grave. La conformité des RPO <= 4x. Un serveur enfreint le seuil
de RPO plus de deux fois.
l
Dépassement critique. La conformité des RPO > 4x. Un serveur enfreint le
seuil des RPO plus de quatre fois.
l
En attente (aucune sauvegarde). Le serveur est protégé par le plan de
protection, mais la sauvegarde est en cours de création et n'est pas encore
terminée.
Objectifs de point
45
Le temps passé depuis la création du dernier point de récupération
de récupération
(RPO) réels
Dernier point de
récupération
46
Date et heure auxquelles le dernier point de récupération a été créé
8 Sauvegarde des serveurs Cloud
Les serveurs primaires et de restauration sont sauvegardés par l'agent pour VMware, installé sur le
site dans le Cloud. Dans la version initiale, les fonctionnalités de cette sauvegarde sont quelque peu
restreintes par rapport aux sauvegardes réalisées par des agents locaux. Ces limitations sont
temporaires et disparaîtront dans de prochaines versions.
l
Le seul emplacement de sauvegarde possible est le stockage dans le Cloud.
l
Il n'est pas possible d'appliquer un plan de protection à plusieurs serveurs. Chaque serveur doit
disposer de son propre plan de protection, même si tous les plans de protection ont les mêmes
paramètres.
l
Un seul plan de protection peut être appliqué à un serveur.
l
La sauvegarde reconnaissant les applications n'est pas prise en charge.
l
Le chiffrement n'est pas disponible.
l
Aucune option de sauvegarde n'est disponible.
Lorsque vous supprimez un serveur primaire, ses sauvegardes sont également supprimées.
Un serveur de restauration est sauvegardé uniquement lorsqu'il se trouve en état de basculement. Sa
sauvegarde poursuit la séquence de sauvegarde du serveur d'origine. Lorsqu'une restauration
automatique est effectuée, le serveur d'origine peut poursuivre sa séquence de sauvegarde. Par
conséquent, les sauvegardes du serveur de restauration peuvent uniquement être supprimées
manuellement ou via l'application des règles de rétention. Lorsqu’un serveur de restauration est
supprimé, ses sauvegardes sont toujours conservées.
Remarque
Les plans de protection pour les serveurs dans le Cloud s'exécutent en fonction de l'heure UTC.
47
9 Orchestration (runbooks)
Un runbook est un ensemble d'instructions décrivant comment lancer l'environnement de
production dans le Cloud. Vous pouvez créer des runbooks dans la console de service. Pour accéder à
l'onglet Runbooks, sélectionnez Reprise d'activité après sinistre > Runbooks.
9.1 Pourquoi utiliser des runbooks ?
Les runbooks vous permettent d'effectuer les tâches suivantes :
l
Automatiser le basculement d'un ou plusieurs serveurs
l
Vérifier automatiquement le résultat du basculement en envoyant un ping à l'adresse IP et en
vérifiant la connexion au port que vous spécifiez
l
Définir la séquence d'opérations pour les serveurs exécutant des applications distribuées
l
Inclure des opérations manuelles dans votre workflow
l
Vérifier l'intégrité de votre solution de reprise d'activité après sinistre en exécutant des runbooks
en mode test
9.2 Création d'un runbook
Vous pouvez suivre les instructions ci-dessous ou regarder le tutoriel vidéo.
Pour commencer à créer un runbook, cliquez sur Créer le runbook > Ajouter une étape > Ajouter
une action. Vous pouvez utiliser la fonction de glisser-déposer pour déplacer des actions et des
étapes. N'oubliez pas d'attribuer un nom distinct au runbook. Lors de la création d'un long runbook,
cliquez sur Enregistrer de temps en temps. Quand vous avez terminé, cliquez sur Fermer.
48
9.2.1 Étapes et actions
Un runbook est constitué d'étapes exécutées l'une après l'autre. Une étape est composée d'actions
démarrées simultanément. Une action peut être de différents types :
l
Une opération à effectuer avec un serveur Cloud (Basculer le serveur, Démarrer le serveur,
Arrêter le serveur, Restaurer automatiquement le serveur). Pour définir cette opération,
vous devez sélectionner l'opération, le serveur Cloud et les paramètres de l'opération.
l
Une opération que vous devez décrire verbalement. Une fois l'opération terminée, l'utilisateur doit
cliquer sur le bouton de confirmation pour permettre au runbook de s'exécuter.
l
L'exécution d'un autre runbook. Pour définir cette opération, vous devez sélectionner le runbook.
Un runbook ne peut contenir qu'une seule exécution d'un runbook donné. Par exemple, si vous
avez ajouté l'action « Exécuter le runbook A », vous pouvez ajouter l'action « Exécuter le
runbook B », mais vous ne pouvez pas ajouter une autre action « Exécuter le runbook A ».
Remarque
Dans cette version du produit, l'utilisateur doit réaliser la restauration automatique manuellement.
Un runbook affiche une invite lorsque cette action est requise.
9.2.2 Paramètres des actions
Toutes les opérations avec serveurs Cloud disposent des paramètres suivants :
l
Continuer si l'action a déjà été effectuée (activé par défaut)
Ce paramètre définit le comportement du runbook lorsque l'opération requise a déjà été effectuée
(par exemple, une restauration automatique a déjà été effectuée, ou un serveur est déjà en cours
d'exécution). Lorsqu'il est activé, le runbook affiche un avertissement, puis continue. Lorsqu'il est
désactivé, l'opération et le runbook échouent.
l
Continuer si l'action a échoué (désactivé par défaut)
Ce paramètre définit le comportement du runbook lorsque l'opération requise échoue. Lorsqu'il
est activé, le runbook affiche un avertissement, puis continue. Lorsqu'il est désactivé, l'opération et
le runbook échouent.
9.2.3 Vérification de l'achèvement
Vous pouvez ajouter des vérifications d'achèvement aux actions Basculer le serveur et Démarrer
le serveur, pour vous assurer que le serveur est disponible et fournit les services nécessaires. Si
n'importe quelle vérification échoue, l'action est considérée comme un échec.
l
Ping adresse IP
Le logiciel va procéder au ping de l'adresse IP de production du serveur Cloud jusqu'à ce que le
serveur réponde ou que le délai d'expiration soit dépassé, selon la première éventualité.
l
49
Se connecter au port (443 par défaut)
Le logiciel va essayer de se connecter au serveur Cloud à l'aide de son adresse IP de production et
du port que vous indiquez, jusqu'à ce qu'une connexion soit établie ou que le délai d'expiration
soit dépassé, selon la première éventualité. De cette manière, vous pouvez vérifier la bonne
exécution de l'application qui écoute le port indiqué.
Le délai d'expiration par défaut est de 10 minutes. Vous pouvez le modifier si vous le souhaitez.
9.3 Opérations avec les runbooks
Pour accéder à la liste des opérations, survolez un runbook, puis cliquez sur l'icône en forme de points
de suspension. Lorsqu'un runbook n'est pas en cours d'exécution, les opérations suivantes sont
disponibles :
l
Exécuter
l
Modifier
l
Cloner
l
Supprimer
9.3.1 Exécution d'un runbook
À chaque fois que vous cliquez sur Exécuter, vous êtes invité à saisir les paramètres d'exécution. Ces
paramètres s'appliquent à toutes les opérations de basculement ou de restauration automatique
incluses dans le runbook. Les runbooks indiqués dans les opérations Exécuter le runbook héritent
de ces paramètres du runbook principal.
l
Mode basculement et restauration automatique
Choisissez si vous souhaitez réaliser un basculement test (par défaut) ou un basculement réel
(production). Le mode de restauration automatique correspondra au mode de basculement choisi.
l
Point de récupération en mode basculement
Choisissez le point de récupération le plus récent (par défaut) ou sélectionnez un moment donné
dans le passé. Dans le deuxième cas, les points de récupération situés le plus près avant la date et
l'heure choisis seront sélectionnés pour chaque serveur.
9.3.2 Arrêt de l'exécution d'un runbook
Lors de l'exécution d'un runbook, vous pouvez sélectionner Arrêter dans la liste des opérations. Le
logiciel terminera toutes les actions déjà démarrées, à l'exception de celles qui nécessitent une
intervention de l'utilisateur.
9.3.3 Affichage de l'historique d'exécution
Lorsque vous sélectionnez un runbook dans l'onglet Runbooks, le logiciel affiche les détails du
runbook et son historique d'exécution. Cliquez sur la ligne correspondant à une exécution spécifique
pour afficher le journal d'exécution.
50
51
Glossaire
A
F
Adresse IP publique
Finalisation
Une adresse IP nécessaire pour rendre les
L'état intermédiaire pour le processus de
serveurs Cloud disponibles depuis Internet.
restauration ou de basculement en production
du serveur Cloud. Ce processus implique le
Adresse IP test
Une
adresse
transfert des disques virtuels du serveur du
IP
nécessaire
en
cas
de
basculement test, pour éviter la duplication de
l'adresse IP de production.
Application VPN
stockage de sauvegarde (stockage « à froid »)
vers le stockage pour reprise d'activité après
sinistre (stockage « à chaud »). Lors de la
finalisation,
le
serveur
est
accessible
et
opérationnel bien que ses performances soient
inférieures à la normale.
Une machine virtuelle spéciale qui connecte le
réseau local et le site dans le Cloud via un tunnel
O
VPN sécurisé. Le matériel VPN est déployé sur le
site local.
B
Basculement
Objectif de point de récupération (RPO)
Quantité de données perdues à cause d'une
panne, mesurée en termes de temps à partir
d'une panne ou d'un sinistre programmés. Le
seuil des objectifs de point de récupération
Faire passer la charge de travail ou l'application
définit l'intervalle de temps maximum autorisé
vers le site dans le Cloud en cas de catastrophe
entre le dernier point de récupération pour un
naturelle ou créée par l'homme sur le site local.
basculement et l'heure actuelle.
C
P
Connexion de point à site (P2S)
Passerelle VPN (anciennement serveur VPN
Une connexion VPN sécurisée extérieure en
ou passerelle de connectivité)
utilisant vos terminaux (comme un ordinateur
Une machine virtuelle spéciale qui connecte les
de bureau ou un ordinateur portable) vers le
réseaux du site local et du site dans le Cloud via
site local et dans le Cloud.
un tunnel VPN sécurisé. La passerelle VPN est
déployée dans le site dans le Cloud.
Connexion de site à site (S2S)
Connexion qui étend le réseau local au Cloud via
R
un tunnel VPN sécurisé.
Réseau de production
Le réseau interne étendu au moyen d'une
transmission tunnel VPN, et qui couvre aussi
52
bien les sites locaux et dans le Cloud. Les
exécuter divers services auxiliaires (tels qu'un
serveurs locaux et les serveurs dans le Cloud
service Web).
peuvent communiquer entre eux dans le réseau
de production.
Serveur protégé
Une machine physique ou virtuelle détenue par
Réseau de test
un client, et qui est protégée par le service.
Réseau virtuel isolé, utilisé pour tester le
processus de basculement.
Site dans le Cloud (ou site de RAS)
Site distant hébergé dans le Cloud et servant à
Restauration automatique
exécuter l'infrastructure de restauration, en cas
Le processus de restauration des serveurs vers
de sinistre.
le site local après qu'ils sont passés vers le site
dans le Cloud lors du basculement.
Site local
L'infrastructure locale déployée sur les locaux
Runbook
Scénario
de l'entreprise.
planifié
composé
d'étapes
configurables qui automatisent les actions de
reprise d'activité après sinistre.
S
Serveur Cloud
Référence générale vers un serveur primaire ou
de restauration.
Serveur de restauration
Un réplica en MV de la machine d'origine, basé
sur les sauvegardes de serveur protégées
stockées dans le Cloud. Les serveurs de
restauration sont utilisés pour remplacer les
charges de travail depuis les serveurs originaux
en cas de sinistre.
Serveur primaire
Une machine virtuelle qui ne possède pas de
machine associée sur le site local (tel qu'un
serveur de restauration). Les serveurs primaires
servent à protéger une application ou à
53
Index
Connexion de site à site 14, 23, 25
A
Connexions de point à site actives 30
À propos de Cyber Disaster Recovery Cloud 4
Accès VPN à distance de point à site 13, 22
Accès VPN au site local 30
Activation et désactivation de la connexion de
site à site 29
Création d'un runbook 48
Création d'un serveur de restauration 35
Création d'un serveur primaire 43
Créer un plan de protection de reprise d'activité
après sinistre 7
Adresse IP publique et de test 17
Cycle de vie du serveur de restauration 33
Affichage de l'historique d'exécution 50
D
Application VPN 17
Arrêt de l'exécution d'un runbook 50
Déplacer des serveurs vers un réseau
approprié 28
B
E
Basculement et restauration automatique 32
Étapes et actions 49
C
Comment exécuter un basculement à l'aide d'un
serveur DHCP 40
Exécution d'un runbook 50
Exigences logicielles 5
Exigences relatives à l'application VPN 23
Comment exécuter un basculement des
serveurs à l'aide d'un DNS local 40
Concepts de réseau 13
Configuration de la connectivité 13
Configuration de la connectivité initiale 22
F
Fonctionnement du basculement et de la
restauration automatique 32
Fonctionnement du routage 16, 20
Configuration de la connexion de point à site au
G
site local 22
Configuration de la connexion de site à site 23
Configuration des serveurs de restauration 32
Configuration des serveurs primaires 43
Configuration du routage local 29
Configuration requise 23
Configuration réseau de la passerelle VPN 16
54
Gestion des paramètres de la connexion de
point à site 30
Gestion des paramètres du matériel VPN 28
Gestion des réseaux 25
Gestion des serveurs Cloud 45
Gestion du réseau 25
Pour créer un serveur de restauration 35
I
Infrastructure du réseau Cloud 11
Pour créer un serveur primaire 43
Pour désactiver la connexion de site à site 29
Pour effectuer une restauration
L
Les fonctionnalités clés 4
automatique 40
Pour gérer les mots de passe enregistrés dans le
magasin d'informations
Limites 6
d'identification 42
M
Mode « sur Cloud uniquement » 20, 24, 26
Pour modifier les paramètres réseau 27
Pour réaliser un basculement 39
Pour réaliser un basculement test 37
O
Opérations avec les runbooks 50
Pour résoudre le problème à l'aide de
paramètres réseau 27
Opérations sur un serveur primaire 44
Pour supprimer un réseau Cloud 26
Orchestration (runbooks) 48
Pour supprimer un réseau étendu au Cloud 25
Pourquoi utiliser des runbooks ? 48
P
Prérequis 35, 43
Paramètres des actions 49
Q
Paramètres par défaut du serveur de
restauration 8
Que faire ensuite 8
Passerelle VPN 16
R
Plates-formes de virtualisation prises en
charge 5
Réalisation d'un basculement 38
Ports 23
Réalisation d'un basculement test 37
Pour activer la connexion de site à site 29
Réalisation d'une restauration automatique 40
Pour ajouter un nouveau réseau Cloud 26
Reconfiguration d'une adresse IP 27
Pour ajouter un réseau sur le site local et
Régénération de la configuration 30
l'étendre au Cloud 25
Pour changer les paramètres réseau 25
S
Pour configurer le routage local 29
Sauvegarde des serveurs Cloud 47
Pour configurer une connexion dans le mode «
Serveurs de restauration 17
sur Cloud uniquement » 24
Pour configurer une connexion via l'application
VPN 23
55
Serveurs primaires 19
Suppression automatique d'un environnement
client non utilisé sur un site dans le
Cloud 21
Systèmes d'exploitation pris en charge 5
T
Téléchargez la configuration pour OpenVPN 30
Tester le basculement 33
Travailler avec des sauvegardes chiffrées 42
V
Vérification de l'achèvement 49
W
Workflow de basculement et de restauration
automatique 34
Workflow de basculement test 35
56

Manuels associés