Die Disaster Recovery (DR)-Funktion von SASE Orchestrator verhindert den Verlust gespeicherter Daten und nimmt die SASE Orchestrator-Dienste im Falle eines System- oder Netzwerkausfalls wieder auf.
- Die Wiederherstellungszeit (Recovery Time Objective, RTO) richtet sich daher nach der expliziten Operator-Aktion, eine Heraufstufung der Standby-Instanz auszulösen.
- Das Recovery Point Objective (RPO) ist jedoch unabhängig von der Wiederherstellungszeit im wesentlichen null, da die gesamte Konfiguration sofort repliziert wird. Überwachungsdaten, die während des Ausfalls gesammelt wurden, werden auf den Edges und Gateways zwischengespeichert, bis die Standby-Instanz hochgestuft wird.
Aktiv/Standby-Paar
In einer SASE Orchestrator-DR-Bereitstellung werden zwei identische SASE Orchestrator-Systeme als ein Aktiv/Standby-Paar konfiguriert. Der Operator kann den Zustand der DR-Bereitschaft über die Web-Benutzeroberfläche auf einem der Server anzeigen. Edges und Gateways erkennen beide SASE Orchestrator-Instanzen, während sie jedoch nur von der aktiven SASE Orchestrator-Instanz Konfigurationsänderungen erhalten, senden sie regelmäßig DR-Taktsignale an beide Systeme, um ihre Ansicht beider Server zu melden und den DR-Systemstatus abzufragen. Wenn der Operator ein Failover auslöst, werden die Edges und Gateways über die Änderung ihres nächsten DR-Taktsignalsignals informiert.
DR-Zustände
In der Ansicht eines Operators und der Edges und Gateways verfügt eine SASE Orchestrator-Instanz über einen von vier DR-Zuständen:
DR-Zustand | Beschreibung |
---|---|
Eigenständig (Standalone) | Kein DR konfiguriert. |
Aktiv (Active) | DR wurde konfiguriert und fungiert als primärer SASE Orchestrator-Server. |
Standby | DR wurde konfiguriert und fungiert als inaktiver SASE Orchestrator-Replikatserver. |
Zombie | DR war früher konfiguriert und aktiv, fungiert aber nicht mehr als aktive oder Standby-Instanz. |
Laufzeitvorgang (Run-time Operation)
Wenn DR konfiguriert ist, wird der Standby-Server in einem eingeschränkten Modus ausgeführt und blockiert alle API-Aufrufe mit Ausnahme derer, die sich auf den DR-Zustand und die DR-Taktsignale beziehen. Wenn der Operator ein Failover aufruft, wird die Standby-Instanz heraufgestuft, um als eigenständiger Server vollständig funktionsfähig zu werden. Der zuvor aktive Server geht automatisch in den Zombie-Zustand über, wenn er reagiert und auf der heraufgestuften Standby-Instanz sichtbar ist. Im Zombie-Zustand werden die Verwaltungskonfigurationsdienste blockiert, und alle Kontakte von Edges und Gateways, die nicht auf die neue aktive SASE Orchestrator-Instanz weitergeleitet wurden, werden an den heraufgestuften Server umgeleitet.