Architekturmuster für Zerto-Replikationskonnektivität in IBM Cloud
Dieses Architekturmuster erklärt, wie die Zerto-Replikationskonnektivität auf VMware Cloud Foundation für VPC-Instanzen, die auf IBM Cloud VPC laufen, bereitgestellt und konfiguriert wird. Diese Konnektivitätsmuster verwenden eine Kombination aus IBM Cloud nativen Diensten und Netzwerkdiensten, die von VMware NSX® bereitgestellt werden.
Dieses Muster geht davon aus, dass Zerto gemäß den Leitlinien für die konsolidierte Architektur bereitgestellt wird.
Replikationskonnektivität über ein privates Netz
Wenn Sie über ein privates Netzwerk replizieren, muss die VMware Cloud Foundation für VPC-Instanz eine Verbindung zu lokalen oder klassischen VMware®- und Zerto-Installationen herstellen.
Im folgenden Diagramm werden die wichtigsten Schritte zur Konfiguration und Bereitstellung dieses Konnektivitätstyps beschrieben.
Dieses Architekturmuster lässt sich wie folgt zusammenfassen:
- Stellen Sie ein neues oder ein vorhandenes Transit Gateway oder Direct Link bereit, um eine Verbindung mit dem Veeam® Replikationspartnernetzwerk herzustellen.
- Überprüfen Sie, ob das Management-Subnetz und die lokalen VMware- und Zerto-Appliance-Netzwerke kommunizieren können.
- Stellen Sie bei klassischen VMware- und Zerto-Bereitstellungen sicher, dass Sie das Routing in Richtung BCR für die Präfixe oder Subnetze der Virtual Private Cloud (VPC) konfiguriert haben.
- Konfigurieren Sie eine virtuelle Schutzgruppe (VPG) für die Replikation zwischen IBM Cloud und ortsfesten Umgebungen.
Replikationskonnektivität über das Internet
Wenn Sie über ein öffentliches Netzwerk replizieren, muss die VMware Cloud Foundation für VPC-Instanz eine Verbindung zu lokalen VMware- und Zerto-Installationen herstellen. Für diese Konnektivität werden zwei alternative Muster eingeführt.
In diesem ersten alternativen Muster wird die Konnektivität über ein VPC VPNaaS Site-to-Site IPsec VPN hergestellt. Im folgenden Diagramm werden die wichtigsten Schritte zur Konfiguration und Bereitstellung dieses Konnektivitätstyps beschrieben.
Dieses Architekturmuster lässt sich wie folgt zusammenfassen:
- Bereitstellen von VPC VPN as a Service - Site to Site Gateway. Sie können das private NSX-Uplink-Subnetz in der VPC verwenden; viele IP-Adressen sind für das VPN-Gateway verfügbar.
- Richten Sie ein IPsec-VPN zwischen IBM Cloud VPC und Ihren firmeninternen Netzwerken ein. Sie können entweder richtlinienbasierte oder routenbasierte Tunnel verwenden.
- Stellen Sie bei richtlinienbasierten VPN-Tunneln sicher, dass zumindest die Management- und Management-Subnetze der VI-Workload-Domänen in die lokalen Netzwerke einbezogen werden. Erstellen Sie bei routenbasierten Tunneln VPC-Routen zu den lokalen Netzwerken und stellen Sie sicher, dass die lokalen Netzwerke mindestens eine Route zum Management- und Management-Subnetz der VI-Workload-Domänen haben.
- Konfigurieren Sie eine virtuelle Schutzgruppe (VPG) für die Replikation zwischen IBM Cloud und ortsfesten Umgebungen.
Bei diesem zweiten alternativen Muster wird die Konnektivität mithilfe von NSX Tier 0 IPsec VPN und integriertem Routing mit VPC-Netzwerken (VPC-Routen) hergestellt. Im folgenden Diagramm werden die wichtigsten Schritte zur Konfiguration und Bereitstellung dieses Konnektivitätstyps beschrieben.
Dieses Architekturmuster lässt sich wie folgt zusammenfassen:
- Erstellen Sie einen VPN-Endpunkt im Tier 0-Gateway, indem Sie eine der für das öffentliche Tier 0-HA-VIP bereitgestellten freien IP-Adressen verwenden.
- Richten Sie ein IPsec-VPN zwischen IBM Cloud VPC und Ihren firmeninternen Netzwerken ein. Sie können entweder richtlinienbasierte oder routenbasierte Tunnel verwenden.
- Stellen Sie bei richtlinienbasierten VPN-Tunneln sicher, dass zumindest die Management- und Management-Subnetze der VI-Workload-Domänen in die lokalen Netzwerke einbezogen werden. Verwenden Sie bei routenbasierten Tunneln BGP oder erstellen Sie statische Routen im Tier 0-Gateway zu den lokalen Netzwerken und stellen Sie sicher, dass die lokalen Netzwerke über eine Route mindestens zu den Management- und Management-Subnetzen der VI-Workload-Domänen verfügen.
- Erstellen Sie eine VPC-Route zu den lokalen Netzwerken, indem Sie das private HA-VIP von Tier 0 als nächsten Hop verwenden. Diese Route ist erforderlich, damit die Zerto-Komponenten im Management-Subnetz das lokale Netzwerk erreichen können.
- Konfigurieren Sie eine virtuelle Schutzgruppe (VPG) für die Replikation zwischen IBM Cloud und ortsfesten Umgebungen.
Überlegungen zur Zerto-Replikationskonnektivität in IBM Cloud
Wenn Sie dieses Architekturmuster entwerfen oder einsetzen, sollten Sie die folgenden Informationen berücksichtigen:
- Gestalten Sie Ihre Netzwerkflüsse sorgfältig. Weitere Informationen zu Ports und Protokollen finden Sie unter Zerto Netzwerk-Ports und Protokolle.
- Stellen Sie sicher, dass die verwendeten IBM Cloud VPC Sicherheitsgruppen und Firewall-Regeln den Replikationsverkehr zulassen.
- Vergewissern Sie sich, dass die Netze ordnungsgemäß geroutet sind und eventuelle Firewall-Regeln den erforderlichen Datenverkehr sowohl am Quell- als auch am Zielort zulassen.
- Stellen Sie sicher, dass Ihre MTUs von Ende zu Ende übereinstimmen und dass Ihr VPN kürzere innere MTUs über das Internet verarbeiten kann.