Два ЦОД — одна IT-инфраструктура: живая миграция сервисов и единый периметр безопасности
Построили оверлейную сетевую фабрику между двумя ЦОД: 800+ виртуальных серверов мигрируют между площадками прозрачно — без остановки, без смены IP и без изменения политик безопасности. Check Point Dual Site, IPS/IDS, Anti-DDoS и WAF
О ПРОЕКТЕ
Два корпоративных ЦОД в активно-активном режиме
Два корпоративных центра обработки данных, работающих в активно-активном режиме. Более 800 виртуальных серверов распределены между площадками и обеспечивают работу всех операционных систем компании в режиме 24/7. До модернизации каждая площадка работала в собственной изолированной сети — миграция сервисов между ЦОД требовала остановки и перенастройки
ЗАДАЧИ ПРОЕКТА
Что необходимо было реализовать
До проекта каждый ЦОД работал в своей изолированной сети, и перенос виртуального сервера между площадками означал остановку, смену сетевых параметров и повторный запуск. Цель — объединить два ЦОД в единое сетевое пространство с прозрачной миграцией и общими политиками безопасности:
ВЫЗОВЫ
Два изолированных ЦОД — две изолированные сети
Главная сложность была не в количестве площадок, а в том, что активно-активная работа двух ЦОД принципиально невозможна без единой сетевой фабрики и согласованных политик безопасности. Любой перенос сервиса в такой схеме превращался в инцидент
Жёсткая привязка к площадке
Сервисы были связаны с физическим ЦОД — перенос требовал смены адресации и остановки
Разные политики безопасности
У каждого ЦОД были собственные правила периметровой защиты, что мешало унификации
Окно обслуживания на каждый перенос
Плановая миграция занимала окно обслуживания, аварийная — приводила к простою
Защита веб-приложений и API
WAF и Anti-DDoS должны работать одинаково для сервиса независимо от его текущего размещения
ХОД РАБОТЫ
Как объединили
Объединение двух ЦОД в единое сетевое пространство требовало не только новой сетевой фабрики, но и согласованной модели безопасности. Команда вела работу параллельными треками — сеть и защита поднимались синхронно:
Оверлейная фабрика между ЦОД
Развёрнут оверлей, создающий единое L2/L3-пространство поверх двух физически разделённых ЦОД. Виртуальные серверы получили возможность работать независимо от физического расположения площадки
Прозрачная миграция ВМ
Настроена живая миграция между площадками без остановки сервисов и без изменения IP-адресации. Нагрузка распределяется между ЦОД одновременно — отказ одного из них не прерывает работу сервисов
Check Point Dual Site и защита приложений
Развёрнут Check Point в режиме Dual Site с единым набором политик для обоих ЦОД. Многоуровневая защита — IPS/IDS, Anti-DDoS и WAF — работает непрерывно и не зависит от того, где физически размещён сервис
РЕЗУЛЬТАТЫ
Два физически разделённых ЦОД работают как единая IT-инфраструктура
Живая миграция без простоя
Сервисы мигрируют между ЦОД без остановки и без изменения IP — прозрачно для пользователей и приложений
Активно-активная нагрузка
Оба ЦОД работают под нагрузкой одновременно — отказ одной площадки не останавливает инфраструктуру
Единые политики безопасности
Check Point Dual Site применяет общий набор правил к обоим ЦОД — сервис не теряет защиту при миграции
Многоуровневая защита приложений
IPS/IDS, Anti-DDoS и WAF работают непрерывно для веб-сервисов и API независимо от их расположения
Полная изоляция сегментов
Сегментация на уровне фабрики сохраняется в обоих ЦОД — трафик между средами контролируется политиками
Поддержка 24/7
Круглосуточный мониторинг сетевой фабрики и средств защиты с реагированием на инциденты
Итог
Два ЦОД стали единой управляемой инфраструктурой с прозрачной миграцией сервисов и общим периметром безопасности
Сервисы перемещаются между площадками без остановки и без смены IP-адресации, политика безопасности едина для обоих ЦОД, а отказ одной из площадок не прерывает работу инфраструктуры. Многоуровневая защита от вторжений, DDoS-атак и угроз на уровне приложений работает непрерывно