Аварийное восстановление внешнего пула в Skype для бизнеса Server

Для аварийного восстановления Skype для бизнеса Server предлагает связывание пулов с отработкой отказа в случае сбоя одного пула.

Для наиболее надежных вариантов аварийного восстановления в Skype для бизнеса Server разверните пары пулов переднего плана на двух географически распределенных сайтах. У каждого из них должен быть внешний пул, связанный с соответствующим внешним пулом в другом сайте. Оба сайта должны быть активны, а служба резервного копирования должна выполнять репликацию данных в реальном времени для синхронизации пулов. Если вы хотите реализовать связывание внешних пулов, см. статью Развертывание парных интерфейсных пулов для аварийного восстановления в Skype для бизнеса Server.

Если отказывает пул в одном узле, вы можете перевести пользователей из этого пула в резервный пул в другом узле, который предоставляет услуги для всех пользователей в обоих пулах. Для планирования пропускной способности каждый пул должен проектироваться таким образом, чтобы обрабатывать рабочие нагрузки всех пользователей в обоих пулах в случае аварии.

Не существует ограничений на расстояния между двумя центрами обработки данных, которые содержат внешние пулы, связанные друг с другом. Рекомендуется использовать два центра обработки данных в одном регионе мира с высокоскоростными каналами связи между ними.

Наличие двух центров обработки данных в регионах мира возможно, но это может привести к более высокому уровню потери данных в случае аварии в связи с задержкой репликации данных.

При планировании пулов, которые необходимо связать, следует помнить о том, что поддерживаются только следующие связывания.

• Пулы Enterprise Edition можно связывать только с другими пулами Enterprise Edition. Аналогично, пулы Standard Edition можно связать только с другими пулами Standard Edition.

• Физические пулы можно связать только с другими физическими пулами. Аналогично, виртуальные пулы можно связать только с другими виртуальными пулами.

• Связанные между собой пулы должны работать под управлением одной и той же операционной системы.

Ни построитель топологии, ни средство проверки топологии не запрещает связывание двух пулов вопреки этим рекомендациям. Например, построитель топологий позволяет связать пул Enterprise Edition с пулом Standard Edition. Однако эти типы связываний не поддерживаются.

Связи регистратора резервных копий и устройства для обеспечения безопасности филиалов

Помимо обеспечения возможности аварийного восстановления два парных пула служат как резервные регистраторы друг для друга. Каждый пул может быть резервным копированием только для одного другого внешнего пула.

Хотя отношения резервирования между двумя внешними пулами должны быть построены по схеме 1:1 и должны быть симметричными, каждый внешний пул может также быть резервным регистратором для любого количества устройств для обеспечения связи в филиалах.

Следует отметить, что Skype для бизнеса не расширяет поддержку аварийного восстановления для пользователей, размещенных в устройстве для обеспечения связи в филиалах. Если внешний пул, который служит в качестве резервной копии для устройства для обеспечения связи в филиалах, выходит из строя, то пользователи, подключенные к нему, переходят в режим восстановления, даже если пользователи, размещенные во внешнем пуле, переключаются в резервный внешний пул.

Время восстановления при отработке отказа пула и переключении на резервный пул

В соответствии с проектными задачами целевое время восстановления (RTO) для отработки отказа пула и переключения на резервный пул составляет 15–20 минут. Это то время, которое необходимо для отработки отказа после того, как администраторы определили факт аварии и запустили процедуру отработки отказа. Этот срок не включает в себя время, необходимое администраторам для оценки ситуации и принятия решения, а также не включает в себя время, необходимое пользователям для повторного входа после завершения отработки отказа.

В соответствии с проектными задачами целевая точка восстановления (RPO) для отработки отказа пула и переключения на резервный пул составляет 5 минут. Она представляет временную меру данных, которые могут быть потеряны вследствие аварии в связи с задержкой репликации данных службы резервного копирования. Например, если пул отключается в 10:00, а RPO составляет 5 минут, данные, записанные в пул в период с 9:55 по 10:00, могут быть не реплицированы в резервный пул и утеряны.

В настоящем документе для всех значений RTO и RPO предполагается, что два центра обработки данных размещены в одном мировом регионе с высокоскоростным транспортом без задержек между двумя узлами. Эти цифры измеряются для пула с 40 000 одновременно активных пользователей и 200 000 пользователей, включенных для Skype для бизнеса в отношении предварительно определенной пользовательской модели, в которой нет отставания в репликации данных. Они могут изменяться после тестирования производительности и проверки.

Отработка отказа центральным хранилищем управления

Центральное хранилище управления содержит конфигурационные данные для серверов и служб вашего развертывания. Каждое развертывание Skype для бизнеса Server включает в себя одно центральное хранилище управления, которое размещается на внутреннем сервере одного пула переднего плана.

Когда вы устанавливаете связывание пула, в котором размещается центральное хранилище управления, в резервном пуле настраивается резервная база данных центрального хранилища управления. В любой момент одна из двух баз данных центрального хранилища управления становится активной, а другая — резервной. Служба резервного копирования осуществляет репликацию данных из активной базы данных в резервную.

В ходе отработки отказа пула, в котором размещается центральное хранилище управления, вы должны выполнить переключение центрального хранилища управления перед переключением внешнего пула.

После ликвидации аварийной ситуации восстановление размещения центрального хранилища управления не требуется. Центральное хранилище управления может оставаться в пуле, на который вы его переключили.

В соответствии с проектными задачами при отработке отказа для центрального хранилища управления целевое время восстановления (RTO) составляет 5 минут, а целевая точка восстановления (RPO) — 5 минут.

Безопасность спаренных данных пула переднего плана

Служба резервного копирования непрерывно переносит данные пользователей и содержимое конференций между двумя связанными внешними пулами. Данные пользователей содержат пользовательские SIP URI, а также расписания конференций, списки контактов и настройки пользователей. Содержимое конференций включает в себя загрузки Microsoft PowerPoint, а также доски, используемые на конференциях.

Из исходного пула эти данные экспортируются из этого локального хранилища, пакуются, переносятся в целевой пул, где они распаковываются и импортируются в локальное хранилище. Служба резервного копирования предполагает, что канал связи между двумя центрами обработки данных находится в пределах корпоративной сети, защищенной от Интернета. Он не шифрует передаваемые данные между двумя центрами обработки данных и не использует безопасный протокол, такой как HTTPS. Таким образом, возможна атака "человек в середине" со стороны внутреннего персонала в корпоративной сети.

Любое предприятие, которое развертывает Skype для бизнеса Server в нескольких центрах обработки данных и использует функцию аварийного восстановления, должно обеспечить защиту трафика между центрами обработки данных с помощью корпоративной интрасети. Предприятия, которые хотят предотвратить внутренние атаки, должны защитить каналы связи между центрами обработки данных. Это стандартное требование, которое также помогает защитить многие другие типы корпоративных конфиденциальных данных, передаваемых между центрами обработки данных.

Хотя риск атаки "злоумышленник в середине" внутри корпоративной сети существует, он относительно небольшой по сравнению с предоставлением доступа к трафику из Интернета. В частности, пользовательские данные, предоставляемые службой резервного копирования (такие как SIP URI), как правило, доступны всем сотрудникам компании с помощью других средств, таких как глобальная адресная книга или других программных каталогов. Следовательно, необходимо сосредоточить усилия на защите глобальной сети WAN между двумя центрами обработки данных, когда служба резервного копирования используется для копирования данных между двумя связанными пулами.

Снижение рисков безопасности

Существует множество способов повышения безопасности трафика службы резервного копирования. Это может варьироваться от ограничения доступа к центрам обработки данных до защиты транспорта глобальной сети между двумя центрами обработки данных. В большинстве случаев предприятия, развертывающие Skype для бизнеса Server, могут уже иметь необходимую инфраструктуру безопасности. Для предприятий, ищущих рекомендации, корпорация Майкрософт предоставляет решение в качестве примера создания безопасной ИТ-инфраструктуры. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/p/?LinkId=268544.

Мы не подразумеваем, что это единственное решение, и мы не подразумеваем, что это предпочтительное решение для Skype для бизнеса Server. Корпоративным клиентам рекомендуется выбрать решение, которое соответствует их конкретным потребностям, на основе их ИТ-инфраструктуры безопасности. В примере решение Microsoft использует IPSec и групповую политику для изоляции серверов и доменов.

Другим возможным решением является использование IPSec, чтобы обеспечить безопасность данных, отправленных самой службой резервного копирования. При выборе этого метода требуется настроить правила IPSec для протокола SMB для следующих серверов, где пул A и пул B являются двумя связанными внешними пулами.

• Служба SMB (TCP/445) от каждого внешнего сервера в пуле A до хранилища файлов, используемого в пуле B.

• Служба SMB (TCP/445) от каждого внешнего сервера в пуле B до хранилища файлов, используемого в пуле A.

См. также

Развертывание парных интерфейсных пулов для аварийного восстановления в Skype для бизнеса Server