نسخ الأجهزة مع نقاط النهاية الخاصة

  • مقالة

يسمح لك Azure Site Recovery باستخدام نقاط نهاية خاصة Azure Private Link لنسخ أجهزتك من داخل شبكة ظاهرية معزولة. يتم دعم وصول نقطة النهاية الخاصة إلى مخزن الاسترداد في جميع مناطق Azure التجارية والحكومية.

تزودك هذه المقالة بإرشادات لتنفيذ الخطوات التالية:

  • قم بإنشاء مخزن Azure Backup Recovery Services لحماية أجهزتك.
  • قم بتمكين هوية مُدارة للمخزن ومنح الأذونات المطلوبة للوصول إلى حسابات تخزين العميل لنسخ نسبة استخدام الشبكة من المصدر إلى المواقع المحددة. يعد الوصول المُدار عبر الهوية للتخزين ضرورياً عند إعداد وصول ارتباط خاص إلى المخزن.
  • قم بإجراء تغييرات DNS المطلوبة لنقاط النهاية الخاصة
  • إنشاء واعتماد نقاط نهاية خاصة لمخزن داخل شبكة ظاهرية
  • قم بإنشاء نقاط نهاية خاصة لحسابات التخزين. يمكنك الاستمرار في السماح بالوصول العام أو المحمي بجدار حماية للتخزين حسب الحاجة. إن إنشاء نقطة نهاية خاصة للوصول إلى التخزين ليس إلزامياً لـ Azure Site Recovery.

يوجد أدناه هيكل مرجعي حول كيفية تغيير سير عمل النسخ المتماثل بنقاط النهاية الخاصة.

Reference architecture for Site Recovery with private endpoints.

المتطلبات الأساسية والمحاذير

  • يمكن إنشاء نقاط النهاية الخاصة فقط لمخازن Recovery Services الجديدة التي لا تحتوي على أي عناصر مسجلة في المخزن. على هذا النحو، يجب إنشاء نقاط النهاية الخاصة قبل إضافة أي عناصر إلى المخزن. راجع بنية تسعير نقاط النهاية الخاصة.
  • عندما يتم إنشاء نقطة نهاية خاصة لمخزن، يتم تأمين المخزن ولا يمكن الوصول إلى من الشبكات بخلاف تلك الشبكات التي تحتوي على نقاط نهاية خاصة.
  • لا يدعم معرف Microsoft Entra حاليا نقاط النهاية الخاصة. على هذا النحو، يجب السماح بوصول عناوين IP وأسماء المجالات المؤهلة بالكامل المطلوبة لمعرف Microsoft Entra للعمل في منطقة ما بالوصول الصادر من الشبكة الآمنة. يمكنك أيضا استخدام علامة مجموعة أمان الشبكة "Azure Active Directory" وعلامات جدار حماية Azure للسماح بالوصول إلى معرف Microsoft Entra، حسب الاقتضاء.
  • مطلوب ما لا يقل عن سبعة عناوين IP في الشبكات الفرعية لكل من أجهزة المصدر وأجهزة الاسترداد. عند إنشاء نقطة نهاية خاصة للمخزن، تقوم Site Recovery بإنشاء خمسة روابط خاصة للوصول إلى خدماتها المصغرة. علاوة على ذلك، عند تمكين النسخ المتماثل، فإنه يضيف ارتباطين خاصين إضافيين لاقتران المنطقة المصدر والهدف.
  • مطلوب عنوان IP إضافي واحد في كل من الشبكة الفرعية للمصدر والاسترداد. عنوان IP هذا مطلوب فقط عندما تحتاج إلى استخدام نقاط نهاية خاصة متصلة بحسابات التخزين المؤقت. لا يمكن إنشاء نقاط النهاية الخاصة للتخزين إلا على نوع General Purpose v2. راجع بنية التسعير لـ نقل البيانات على نوع GPv2.

إنشاء واستخدام نقاط نهاية خاصة لاسترداد الموقع

يتحدث هذا القسم عن الخطوات المتبعة في إنشاء واستخدام نقاط نهاية خاصة لخدمة Azure Site Recovery داخل شبكاتك الظاهرية.

إشعار

يُوصى باتباع هذه الخطوات بنفس التسلسل كما هو مذكور بشدة. قد يؤدي عدم القيام بذلك إلى جعل المخزن غير قادر على استخدام نقاط النهاية الخاصة ومطالبتك بإعادة تشغيل العملية باستخدام مخزن جديد.

أنشئ مخزن خدمات الاسترداد

مخزن خدمات الاسترداد هو كيان يحتوي على معلومات النسخ المتماثل للأجهزة ويتم استخدامه لبدء عمليات Site Recovery. لمزيد من المعلومات، راجع Create a Recovery Services vault.

قم بتمكين الهوية المُدارة للمخزن.

تسمح الهوية المُدارة للمخزن بالوصول إلى حسابات التخزين الخاصة بالعميل. تحتاج Site Recovery إلى الوصول إلى تخزين المصدر والتخزين الهدف وذاكرة التخزين المؤقت/حسابات تخزين السجل وفقاً لمتطلبات السيناريو. يعد الوصول المُدار إلى الهوية أمراً ضرورياً عند استخدام خدمة الروابط الخاصة للمخزن.

  1. انتقل إلى مخزن «خدمات الاسترداد» الخاص بك. حدد Identity ضمن Settings.

    Shows the Azure portal and the Recovery Services page.

  2. تغيير Status إلى On وحدد Save.

  3. يتم إنشاء معرف العنصر للإشارة إلى أن المخزن مسجل الآن مع Microsoft Azure Active Directory.

إنشاء نقاط نهاية خاصة لمخزن «خدمات الاسترداد»

لتمكين كل من تجاوز الفشل وإرجاع الفشل لأجهزة Azure الظاهرية، ستحتاج إلى نقطتي نهاية خاصتين للمخزن. نقطة نهاية خاصة لحماية الأجهزة في شبكة المصدر وأخرى لإعادة حماية الأجهزة الفاشلة في شبكة الاسترداد.

تأكد من إنشاء شبكة ظاهرية للاسترداد في منطقتك المستهدفة وكذلك أثناء عملية الإعداد هذه.

قم بإنشاء أول نقطة نهاية خاصة لمخزنك داخل الشبكة الظاهرية المصدر باستخدام مركز الارتباط الخاص في المدخل أو من خلال Azure PowerShell. قم بإنشاء نقطة النهاية الخاصة الثانية للمخزن داخل شبكة الاسترداد الخاصة بك. فيما يلي خطوات إنشاء نقطة نهاية خاصة في شبكة المصدر. كرر نفس التوجيه لإنشاء نقطة النهاية الخاصة الثانية.

  1. في شريط بحث مدخل Microsoft Azure، ابحث عن وحدد "Private Link". ينقلك هذا الإجراء إلى مركز الارتباط الخاص.

    Shows searching the Azure portal for the Private Link Center.

  2. في شريط التنقل الأيمن، حدد Private Endpoints. بمجرد الوصول إلى صفحة Private Endpoints، حدد +Add لبدء إنشاء نقطة نهاية خاصة للمخزن الخاص بك.

    Shows creating a private endpoint in the Private Link Center.

  3. بمجرد الدخول في تجربة "إنشاء نقطة نهاية خاصة"، ستتم مطالبتك بتحديد تفاصيل إنشاء اتصال نقطة النهاية الخاصة.

    1. Basics: املأ التفاصيل الأساسية لنقاط النهاية الخاصة بك. يجب أن تكون المنطقة هي نفس أجهزة المصدر.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. المورد: تتطلب علامة التبويب هذه أن تذكر مورد النظام الأساسي كخدمة الذي تريد إنشاء اتصالك به. حددMicrosoft.RecoveryServices/vaultsمننوع المورد لاشتراكك المحدد. بعد ذلك، اختر اسم مخزن Recovery Services لـ المورد وعيّن Azure Site Recovery باعتباره المورد الفرعي المستهدف.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Configuration: في التكوين، حدد الشبكة الافتراضية والشبكة الفرعية حيث تريد إنشاء نقطة النهاية الخاصة. هذه الشبكة الظاهرية هي الشبكة التي يوجد بها الجهاز الظاهري. قم بتمكين التكامل مع منطقة DNS الخاصة عن طريق تحديد Yes. اختر منطقة DNS تم إنشاؤها بالفعل أو قم بإنشاء منطقة جديدة. يؤدي تحديد Yes إلى ربط المنطقة تلقائياً بالشبكة الظاهرية المصدر وإضافة سجلات DNS المطلوبة لتحليل DNS لعناوين IP الجديدة وأسماء المجال المؤهلة بالكامل والتي تم إنشاؤها لنقطة النهاية الخاصة.

      تأكد من اختيار إنشاء منطقة DNS جديدة لكل نقطة نهاية خاصة جديدة تتصل بنفس المخزن. إذا اخترت منطقة DNS خاصة موجودة، فسيتم استبدال سجلات CNAME السابقة. راجع Private endpoint guidance قبل المتابعة.

      إذا كانت بيئتك تحتوي على نموذج محوري وموزع، فأنت بحاجة إلى نقطة نهاية خاصة واحدة فقط ومنطقة DNS خاصة واحدة فقط للإعداد بالكامل نظراً لأن جميع الشبكات الظاهرية الخاصة بك قد تم تمكين التناظر بينها بالفعل. لمزيد من المعلومات، راجع تكامل DNS لنقاط النهاية الخاصة.

      لإنشاء منطقة DNS الخاصة يدوياً، اتبع الخطوات الواردة في إنشاء مناطق DNS خاصة وإضافة سجلات DNS يدوياً.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. العلامات: اختيارياً، يمكنك إضافة علامات لنقطة النهاية الخاصة.

    5. مراجعة + إنشاء: عند اكتمال التحقق، حدد Create لإنشاء نقطة نهاية خاصة.

بمجرد إنشاء نقطة النهاية الخاصة، تتم إضافة خمسة أسماء مجالات مؤهلة بالكامل إلى نقطة النهاية الخاصة. تمكّن هذه الروابط الأجهزة الموجودة في الشبكة الظاهرية من الوصول إلى جميع الخدمات المصغرة لاسترداد الموقع المطلوب في سياق المخزن. لاحقاً، عند تمكين النسخ المتماثل، تتم إضافة اسمي مجالين إضافيين مؤهلين بالكامل إلى نفس نقطة النهاية الخاصة.

يتم تنسيق أسماء النطاقات الخمسة بالنمط التالي:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

الموافقة على نقاط النهاية الخاصة لـ Site Recovery

إذا كان المستخدم الذي أنشأ نقطة النهاية الخاصة هو أيضاً مالك مخزن Recovery Services، فإن نقطة النهاية الخاصة التي تم إنشاؤها أعلاه تتم الموافقة عليها تلقائياً في غضون بضع دقائق. خلافاً لذلك، يجب أن يوافق مالك المخزن على نقطة النهاية الخاصة قبل استخدامها. للموافقة على اتصال نقطة نهاية خاصة مطلوب أو رفضه، انتقل إلى Private endpoint connections ضمن "Settings" في صفحة recovery vault.

يمكنك الانتقال إلى مورد نقطة النهاية الخاص لمراجعة حالة الاتصال قبل المتابعة.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

إنشاء نقاط نهاية خاصة (اختياريًا) لحساب تخزين ذاكرة التخزين المؤقت

يمكن استخدام نقطة نهاية خاصة لـ Azure Storage. يعد إنشاء نقاط نهاية خاصة للوصول إلى التخزين اختيارياً للنسخ المتماثل لـ Azure Site Recovery. عند إنشاء نقطة نهاية خاصة للتخزين، تنطبق المتطلبات التالية:

  • أنت بحاجة إلى نقطة نهاية خاصة لحساب تخزين ذاكرة التخزين المؤقت/السجل في الشبكة الظاهرية المصدر.
  • أنت بحاجة إلى نقطة نهاية خاصة ثانية في وقت إعادة حماية الأجهزة الفاشلة في شبكة الاسترداد. نقطة النهاية الخاصة هذه مخصصة لحساب التخزين الجديد الذي تم إنشاؤه في المنطقة المستهدفة.

إشعار

إذا لم يتم تمكين نقاط النهاية الخاصة على حساب التخزين، فستظل الحماية ناجحة. ومع ذلك، ستنتقل حركة مرور النسخ المتماثل إلى نقاط النهاية العامة لاسترداد موقع Azure. لضمان تدفق نسبة استخدام الشبكة للنسخ عبر الارتباطات الخاصة، يجب تمكين حساب التخزين بنقاط النهاية الخاصة.

إشعار

لا يمكن إنشاء نقطة النهاية الخاصة للتخزين إلا على حسابات تخزين General Purpose v2. للحصول على معلومات التسعير، راجع Standard page blob prices.

اتبع إرشادات إنشاء وحدة تخزين خاصة لإنشاء حساب تخزين بنقطة نهاية خاصة. تأكد من تحديد Yes للتكامل مع منطقة DNS الخاصة. حدد منطقة DNS تم إنشاؤها بالفعل أو قم بإنشاء منطقة جديدة.

منح الأذونات المطلوبة إلى المخزن

إذا كانت الأجهزة الظاهرية الخاصة بك تستخدم أقراصاً مُدارة، فأنت بحاجة إلى منح أذونات الهوية المُدارة فقط لحسابات التخزين المؤقت. في حالة استخدام الأجهزة الظاهرية لأقراص غير مُدارة، فأنت بحاجة إلى منح أذونات الهوية المُدارة لحسابات المصدر وذاكرة التخزين المؤقت والتخزين الهدف. في هذه الحالة، تحتاج إلى إنشاء حساب التخزين المستهدف مقدماً.

قبل تمكين النسخ المتماثل للأجهزة الظاهرية، يجب أن يكون للهوية المُدارة للمخزن أذونات الدور التالية اعتماداً على نوع حساب التخزين:

توضح الخطوات التالية كيفية إضافة تعيين دور إلى حسابات التخزين الخاصة بك، واحداً تلو الآخر. للحصول على خطوات تفصيلية، راجع تعيين أدوار Azure باستخدام مدخل Azure.

  1. في مدخل Microsoft Azure، انتقل إلى حساب تخزين ذاكرة التخزين المؤقت الذي أنشأته.

  2. حدد Access control (IAM).

  3. حدد إضافة > إضافة تعيين الدور.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. في علامة التبويب الأدوار، حدد أحد الأدوار المدرجة في بداية هذا القسم.

  5. في علامة التبويب الأعضاء، حدد الهوية المُدارة، ثم حدد تحديد الأعضاء.

  6. حدد اشتراك Azure الخاص بك.

  7. حدد الهوية المدارة المعينة من قبل النظام، وابحث عن مخزن، ثم حدده.

  8. في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.

بالإضافة إلى هذه الأذونات، تحتاج إلى السماح بالوصول إلى خدمات Microsoft الموثوقة. للقيام بذلك، اتبع الخطوات التالية:

  1. انتقل إلى جدران الحماية والشبكات الظاهرية.

  2. في الاستثناءات، حدد السماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين هذا.

حماية أجهزتك الظاهرية

بمجرد اكتمال جميع التكوينات المذكورة أعلاه، استمر في تمكين النسخ المتماثل للأجهزة الظاهرية الخاصة بك. تعمل جميع عمليات استرداد الموقع دون أي خطوات إضافية إذا تم استخدام تكامل DNS أثناء إنشاء نقاط نهاية خاصة على المخزن. ومع ذلك، إذا تم إنشاء مناطق DNS وتكوينها يدوياً، فستحتاج إلى خطوات إضافية لإضافة سجلات DNS محددة في كل من مناطق DNS المصدر والهدف بعد تمكين النسخ المتماثل. للحصول على تفاصيل وخطوات، راجع Create private DNS zones and add DNS records manually.

إنشاء مناطق DNS خاصة وإضافة سجلات DNS يدويًا

إذا لم تحدد خيار التكامل مع منطقة DNS الخاصة في وقت إنشاء نقطة نهاية خاصة للمخزن، فاتبع الخطوات الواردة في هذا القسم.

قم بإنشاء منطقة DNS خاصة واحدة للسماح لوكيل التنقل بحل أسماء المجال المؤهلة بالكامل للرابط الخاص لعناوين IP الخاصة.

  1. قم بإنشاء منطقة DNS خاصة

    1. ابحث عن "Private DNS zone" في شريط البحث All services وحدد "مناطق DNS الخاصة" من القائمة المنسدلة.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. بمجرد الوصول إلى صفحة "Private DNS zones"، حدد الزر +Add لبدء إنشاء منطقة جديدة.

    3. في صفحة "Create private DNS zone"، أدخل التفاصيل المطلوبة. أدخل اسم منطقة DNS الخاصة كـ privatelink.siterecovery.windowsazure.com. يمكنك اختيار أي مجموعة موارد وأي اشتراك لإنشائها.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. تابع إلى علامة التبويب مراجعة + إنشاء لمراجعة وإنشاء منطقة DNS.

  2. ربط منطقة DNS الخاصة بالشبكة الظاهرية الخاصة بك

    يجب الآن ربط مناطق DNS الخاصة التي تم إنشاؤها أعلاه بالشبكة الظاهرية حيث توجد خوادمك حالياً. تحتاج أيضاً إلى ربط منطقة DNS الخاصة بالشبكة الظاهرية المستهدفة مسبقاً.

    1. انتقل إلى منطقة DNS الخاصة التي أنشأتها في الخطوة السابقة وانتقل إلى Virtual network links على الجانب الأيسر من الصفحة. بمجرد الوصول إلى هناك، حدد الزر +Add.

    2. أدخل التفاصيل المطلوبة. يجب ملء حقلي Subscription وVirtual network بالتفاصيل المقابلة للشبكة الظاهرية حيث توجد الخوادم الخاصة بك. يجب ترك الحقول الأخرى دون تغيير.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. إضافة سجلات DNS

    بمجرد إنشاء مناطق DNS الخاصة المطلوبة ونقاط النهاية الخاصة، تحتاج إلى إضافة سجلات DNS إلى مناطق DNS الخاصة بك.

    إشعار

    إذا كنت تستخدم منطقة DNS خاصة مخصصة، فتأكد من إجراء إدخالات مماثلة كما هو موضح أدناه.

    تتطلب هذه الخطوة منك إضافة إدخالات لكل اسم مجال مؤهل بالكامل في نقطة النهاية الخاصة بك في منطقة DNS الخاصة بك.

    1. انتقل إلى منطقة DNS الخاصة وانتقل إلى قسم Overview على الجانب الأيسر من الصفحة. بمجرد الوصول إلى هناك، حدد +Record set لبدء إضافة السجلات.

    2. في صفحة "Add record set" التي تفتح، أضف إدخالاً لكل اسم مجال مؤهل بالكامل وعنوان IP خاص كسجل من النوع A. يمكن الحصول على قائمة أسماء المجالات وعناوين IP المؤهلة بالكامل من صفحة "Private Endpoint" في Overview. كما هو موضح في المثال أدناه، تتم إضافة أول اسم مجال مؤهل بالكامل من نقطة النهاية الخاصة إلى السجل الذي تم تعيينه في منطقة DNS الخاصة.

      تتوافق أسماء المجالات المؤهلة تماماً مع النمط: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    إشعار

    بعد تمكين النسخ المتماثل، يتم إنشاء اسمي مجال مؤهلين بشكل كامل على نقاط النهاية الخاصة في كلا المنطقتين. تأكد من إضافة سجلات DNS لأسماء المجالات المؤهلة بالكامل التي تم إنشاؤها حديثاً أيضاً.

الخطوات التالية

الآن بعد أن قمت بتمكين نقاط النهاية الخاصة للنسخ المتماثل للجهاز الظاهري، راجع هذه الصفحات الأخرى للحصول على معلومات إضافية وذات صلة: