Die Disaster Recovery (DR)-Funktion von SD-WAN Orchestrator verhindert den Verlust gespeicherter Daten und nimmt die SD-WAN Orchestrator-Dienste im Falle eines System- oder Netzwerkausfalls wieder auf.
- Die Wiederherstellungszeit (Recovery Time Objective, RTO) richtet sich daher nach der expliziten Operator-Aktion, eine Heraufstufung der Standby-Instanz auszulösen.
- Das Recovery Point Objective (RPO) ist jedoch unabhängig von der Wiederherstellungszeit im wesentlichen null, da die gesamte Konfiguration sofort repliziert wird. Überwachungsdaten, die während des Ausfalls gesammelt wurden, werden auf den Edges und Gateways zwischengespeichert, bis die Standby-Instanz hochgestuft wird.
Aktiv/Standby-Paar
In einer SD-WAN Orchestrator-DR-Bereitstellung werden zwei identische SD-WAN Orchestrator-Systeme als ein Aktiv/Standby-Paar konfiguriert. Der Operator kann den Zustand der DR-Bereitschaft über die Web-Benutzeroberfläche auf einem der Server anzeigen. Edges und Gateways erkennen beide SD-WAN Orchestrator-Instanzen, während sie jedoch nur von der aktiven SD-WAN Orchestrator-Instanz Konfigurationsänderungen erhalten, senden sie regelmäßig DR-Taktsignale an beide Systeme, um ihre Ansicht beider Server zu melden und den DR-Systemstatus abzufragen. Wenn der Operator ein Failover auslöst, werden die Edges und Gateways über die Änderung ihres nächsten DR-Taktsignalsignals informiert.
DR-Zustände
In der Ansicht eines Operators und der Edges und Gateways verfügt eine SD-WAN Orchestrator-Instanz über einen von vier DR-Zuständen:
| DR-Zustand | Beschreibung |
|---|---|
| Eigenständig (Standalone) | Kein DR konfiguriert. |
| Aktiv | DR wurde konfiguriert und fungiert als primärer SD-WAN Orchestrator-Server. |
| Standby | DR wurde konfiguriert und fungiert als inaktiver SD-WAN Orchestrator-Replikatserver. |
| Zombie | DR war früher konfiguriert und aktiv, fungiert aber nicht mehr als aktive oder Standby-Instanz. |
Laufzeitvorgang
Wenn DR konfiguriert ist, wird der Standby-Server in einem eingeschränkten Modus ausgeführt und blockiert alle API-Aufrufe mit Ausnahme derer, die sich auf den DR-Zustand und die DR-Taktsignale beziehen. Wenn der Operator ein Failover aufruft, wird die Standby-Instanz heraufgestuft, um als eigenständiger Server vollständig funktionsfähig zu werden. Der zuvor aktive Server geht automatisch in den Zombie-Zustand über, wenn er reagiert und auf der heraufgestuften Standby-Instanz sichtbar ist. Im Zombie-Zustand werden die Verwaltungskonfigurationsdienste blockiert, und alle Kontakte von Edges und Gateways, die nicht auf die neue aktive SD-WAN Orchestrator-Instanz weitergeleitet wurden, werden an den heraufgestuften Server umgeleitet.
