La funzionalità di ripristino di emergenza (disaster recovery) di SASE Orchestrator previene la perdita dei dati archiviati e riprende i servizi di SASE Orchestrator in caso di errore di sistema o di rete.

Il ripristino di emergenza di SASE Orchestrator implica la configurazione di una coppia di SASE Orchestrator attivo/standby con replica dei dati e un meccanismo di failover attivato manualmente.
  • L'obiettivo di tempo di ripristino (RTO), pertanto, dipende dall'azione esplicita da parte dell'operatore che attiva manualmente la promozione dell'unità di standby.
  • L'obiettivo punto di ripristino (RPO), tuttavia, è essenzialmente zero, indipendentemente dal tempo di recupero, perché tutte le configurazioni vengono replicate istantaneamente. Il monitoraggio dei dati che sarebbero stati raccolti durante l'interruzione viene memorizzato nella cache negli Edge e nei gateway in attesa della promozione dell'unità di standby.
Nota: Il ripristino di emergenza è obbligatorio. Per conoscere licenze e prezzi, contattare il servizio commerciale di VMware.

Coppia attivo/standby

In una distribuzione di ripristino di emergenza di SASE Orchestrator, due sistemi di SASE Orchestrator identici sono configurati come coppia attivo/standby. L'operatore può visualizzare lo stato della disponibilità del ripristino di emergenza tramite l'interfaccia Web su uno dei server. Gli Edge e i gateway sono consapevoli della presenza di entrambe le istanze di SASE Orchestrator e, mentre ricevono le modifiche di configurazione solo dall'SASE Orchestrator attivo, inviano periodicamente heartbeat di ripristino di emergenza a entrambi i sistemi per segnalare che sono in grado di rilevare i due server e per interrogare lo stato del sistema di ripristino di emergenza. Quando l'operatore attiva un failover, gli Edge e i gateway vengono informati della modifica nel successivo heartbeat del ripristino di emergenza.

Stati del ripristino di emergenza

Dalla prospettiva di un operatore e di Edge e gateway, un SASE Orchestrator può trovarsi in uno dei quattro stati di ripristino di emergenza:

Stato ripristino di emergenza Descrizione
Autonomo (Standalone) Nessun ripristino di emergenza configurato.
Attivo (Active) Ripristino di emergenza configurato, operante come server SASE Orchestrator primario.
Standby Ripristino di emergenza configurato, operante come server SASE Orchestrator di replica inattivo.
Zombie Ripristino di emergenza precedentemente configurato e attivo, ma non operante come attivo o in standby.

Funzionamento in fase di esecuzione

Quando il ripristino di emergenza è configurato, il server di standby è in esecuzione in modalità limitata, bloccando tutte le chiamate API a eccezione di quelle relative allo stato del ripristino di emergenza e agli heartbeat previsti dal ripristino di emergenza. Quando l'operatore richiama un failover, il server in standby viene promosso per diventare completamente operativo come server autonomo. Il server che era in precedenza attivo viene automaticamente portato in uno stato definito "Zombie" se è in grado di rispondere ed è visibile dal server di standby promosso. Nello stato di zombie, i servizi di configurazione gestione sono bloccati e qualsiasi contatto da Edge e gateway che non hanno effettuato la transizione al nuovo server SASE Orchestrator attivo viene reindirizzato al server promosso.

disaster-recovery-replica-and-status