High Availability

Aujourd’hui, presque toutes les organisations cherchent à faire fonctionner leurs systèmes avec la plus grande disponibilité possible. La continuité du service est essentielle, et pour y parvenir, il est nécessaire de disposer d’architectures capables de garantir qu’en cas de défaillance, tout continuera de fonctionner sans interruption. Cependant, toutes les entreprises n’abordent pas ce défi de la même manière.

Certaines optent pour des configurations actif/passif, en acceptant que la moitié de leurs ressources reste en attente, sans traiter de trafic de manière habituelle. En contrepartie, elles bénéficient de la tranquillité d’esprit de savoir que si l’équipement actif tombe en panne, le passif pourra absorber toute la charge sans difficulté. D’autres organisations préfèrent des architectures actif/actif dans lesquelles chaque appareil fonctionne par exemple à 50 %. Cela permet d’exploiter plus efficacement les ressources, mais implique une plus grande complexité.

Nous allons maintenant passer en revue différentes architectures de haute disponibilité selon le fabricant et la manière dont elles sont mises en œuvre dans la pratique.

Fortinet FortiGate permet de configurer des clusters de haute disponibilité en modes actif/passif ou actif/actif. L’option la plus courante est la première, où les deux pare-feux partagent la même adresse IP, tout en conservant chacun leur propre adresse MAC. Il n’existe pas d’adresses IP individuelles par nœud plus une IP flottante ; au lieu de cela, une seule adresse IP est gérée de manière coordonnée par les deux appareils. Cette approche rend la configuration très simple et extrêmement robuste. Pour la plupart des déploiements, c’est l’une des solutions les plus pratiques et efficaces.

 

Fortinet FortiGate Actif-Passif

Les répartiteurs de charge F5 BIG-IP prennent également en charge des configurations actif/passif ou actif/actif, mais avec une différence notable : chaque nœud dispose de sa propre adresse IP, en plus d’une adresse IP flottante utilisée exclusivement par l’équipement actif. Au niveau 2, le comportement est similaire à celui de Fortinet FortiGate : chaque nœud possède sa propre adresse MAC, ainsi qu’une adresse MAC virtuelle utilisée par le nœud actif. Ce modèle est très intuitif, surtout si vous avez l’habitude de travailler avec des protocoles comme VRRP.

F5 BIG-IP HA

Ces dernières années, des architectures de haute disponibilité plus avancées et plus flexibles ont émergé, comme celles proposées par VMware avec AVI/NSX ALB. Elles permettent des configurations N+M, voire N+0, où les Virtual Services sont répliqués sur plusieurs Service Engines. Cette approche rappelle un RAID 5, dans lequel la parité est répartie entre plusieurs disques. En pratique, les services peuvent être distribués plus efficacement entre différents Service Engines, ce qui permet une meilleure utilisation des ressources globales et réduit les points de défaillance uniques.

VMware AVI N+M

Nous ne pouvons pas conclure ce tour d’horizon sans mentionner l’architecture MNHA (MultiNode High Availability) des pare-feux Juniper SRX. Cette approche permet d’exécuter plusieurs nœuds simultanément en mode actif, où tous les équipements conservent un plan de contrôle actif, tandis que le plan de données peut être actif ou en secours selon la configuration. Il s’agit d’une architecture avancée et très puissante, capable de répartir efficacement l’utilisation des ressources, bien qu’elle soit plus complexe que les solutions traditionnelles.

Legacy Chassis Cluster – to – MNHA architecture

Quelle architecture de haute disponibilité utilisez-vous habituellement ? Préférez-vous la simplicité de l’actif/passif ou vous tournez-vous vers des modèles plus distribués comme N+0 ou MNHA ? Partagez votre expérience dans les commentaires !