Integrace ExpressRoute s zotavením po havárii pro virtuální počítače Azure

Tento článek popisuje, jak integrovat Azure ExpressRoute s Azure Site Recovery při nastavování zotavení po havárii pro virtuální počítače Azure do sekundární oblasti Azure.

Site Recovery umožňuje zotavení po havárii virtuálních počítačů Azure replikací dat virtuálních počítačů Azure do Azure.

• Pokud virtuální počítače Azure používají spravované disky Azure, replikují se data virtuálních počítačů na replikovaný spravovaný disk v sekundární oblasti.
• Pokud virtuální počítače Azure nepoužívají spravované disky, data virtuálních počítačů se replikují do účtu úložiště Azure.
• Koncové body replikace jsou veřejné, ale provoz replikace pro virtuální počítače Azure neprochází přes internet.

ExpressRoute umožňuje rozšířit místní sítě do cloudu Microsoft Azure přes privátní připojení, které usnadňuje poskytovatel připojení. Pokud jste nakonfigurovali ExpressRoute, integruje se s Site Recovery následujícím způsobem:

• Během replikace mezi oblastmi Azure: Provoz replikace pro zotavení po havárii virtuálního počítače Azure je pouze v Rámci Azure a ExpressRoute není potřeba ani se nepoužívá pro replikaci. Pokud se ale připojujete z místní lokality k virtuálním počítačům Azure v primární lokalitě Azure, při nastavování zotavení po havárii pro tyto virtuální počítače Azure existuje mnoho problémů.
• Převzetí služeb při selhání mezi oblastmi Azure: Při výpadku převezmete služby při selhání virtuálních počítačů Azure z primární do sekundární oblasti Azure. Po převzetí služeb při selhání do sekundární oblasti je potřeba provést mnoho kroků pro přístup k virtuálním počítačům Azure v sekundární oblasti pomocí ExpressRoute.

Než začnete

Než začnete, ujistěte se, že rozumíte následujícím konceptům:

• Okruhy ExpressRoute
• Domény směrování ExpressRoute
• Umístění ExpressRoute
• Architektura replikace virtuálních počítačů Azure
• Jak nastavit replikaci pro virtuální počítače Azure
• Jak převzít služby při selhání virtuálních počítačů Azure

Obecná doporučení

Osvědčeným postupem a zajištění efektivních časových cílů obnovení (RTO) pro zotavení po havárii doporučujeme, abyste při nastavování Site Recovery na integraci s ExpressRoute provedli následující kroky:

• Zřízení síťových komponent před převzetím služeb při selhání do sekundární oblasti:
  • Když povolíte replikaci pro virtuální počítače Azure, Site Recovery může automaticky nasadit síťové prostředky, jako jsou sítě, podsítě a brány v cílové oblasti Azure, na základě nastavení zdrojové sítě.
  • Site Recovery nemůže automaticky nastavit síťové prostředky, jako jsou brány virtuální sítě.
  • Před převzetím služeb při selhání doporučujeme zřídit tyto další síťové prostředky. K tomuto nasazení je přidružený malý výpadek a může to mít vliv na celkovou dobu obnovení, pokud jste ji během plánování nasazení nezapomněli.
• Spusťte pravidelné postupy zotavení po havárii:
  • Postup ověří vaši strategii replikace bez ztráty dat, bez výpadku a bez dopadu na vaše produkční prostředí. Pomáhá vyhnout se problémům s konfigurací za poslední minutu, které můžou nepříznivě ovlivnit RTO.
  • Při spuštění testovacího převzetí služeb při selhání pro přechod k podrobnostem doporučujeme použít samostatnou síť virtuálních počítačů Azure místo výchozí sítě, která je nastavená při povolení replikace.
• Pokud máte jeden okruh ExpressRoute, použijte různé adresní prostory IP adres.
  • Pro cílovou virtuální síť doporučujeme použít jiný adresní prostor IP adres. Tím se zabrání problémům při navazování připojení během oblastních výpadků.
  • Pokud nemůžete použít samostatný adresní prostor, nezapomeňte spustit testovací převzetí služeb při selhání testu zotavení po havárii v samostatné testovací síti s různými IP adresami. Nemůžete připojit dvě virtuální sítě s překrývajícím se adresními prostory IP adres ke stejnému okruhu ExpressRoute.

Replikace virtuálních počítačů Azure při použití ExpressRoute

Pokud chcete nastavit replikaci pro virtuální počítače Azure v primární lokalitě a připojujete se k těmto virtuálním počítačům z místní lokality přes ExpressRoute, musíte udělat toto:

1. Povolte replikaci pro každý virtuální počítač Azure.
2. Volitelně nechte Site Recovery nastavit sítě:
   • Když nakonfigurujete a povolíte replikaci, Site Recovery nastaví sítě, podsítě a podsítě brány v cílové oblasti Azure tak, aby odpovídaly sítím ve zdrojové oblasti. Site Recovery také mapuje mezi zdrojovými a cílovými virtuálními sítěmi.
   • Pokud nechcete, aby to Site Recovery udělal automaticky, vytvořte před povolením replikace síťové prostředky na straně cíle.
3. Vytvořte další síťové prvky:
   • Site Recovery nevytváří směrovací tabulky, brány virtuální sítě, připojení brány virtuální sítě, partnerský vztah virtuálních sítí ani jiné síťové prostředky a připojení v sekundární oblasti.
   • Před spuštěním převzetí služeb při selhání z primární oblasti je potřeba tyto další síťové prvky vytvořit v sekundární oblasti.
   • K nastavení a propojení těchto síťových prostředků můžete použít plány obnovení a automatizační skripty.
4. Pokud máte síťové virtuální zařízení nasazené pro řízení toku síťového provozu:
   • Výchozí systémová trasa Azure pro replikaci virtuálních počítačů Azure je 0.0.0.0/0.
   • Nasazení síťového virtuálního zařízení obvykle definují také výchozí trasu (0.0.0.0.0/0), která vynutí průchod odchozího internetového provozu přes síťové virtuální zařízení. Výchozí trasa se použije, když nenajdete žádnou jinou konkrétní konfiguraci trasy.
   • Pokud ano, může být síťové virtuální zařízení přetížené, pokud veškerý provoz replikace prochází přes síťové virtuální zařízení.
   • Stejné omezení platí také při použití výchozích tras pro směrování veškerého provozu virtuálních počítačů Azure do místních nasazení.
   • V tomto scénáři doporučujeme vytvořit ve virtuální síti koncový bod síťové služby pro službu Microsoft.Storage, aby provoz replikace neopustoval hranice Azure.

Příklad replikace

Podniková nasazení mají obvykle úlohy rozdělené mezi několik virtuálních sítí Azure s centrem centrálního připojení pro externí připojení k internetu a k místním lokalitám. Hvězdicová topologie se obvykle používá společně s ExpressRoute.

• Oblast. Aplikace se nasazují v oblasti Azure Východní Asie.
• Paprskové virtuální sítě. Aplikace se nasazují ve dvou paprskových virtuálních sítích:
  • Zdrojová virtuální síť 1: 10.1.0.0/24.
  • Zdrojová virtuální síť 2: 10.2.0.0/24.
  • Každá paprsková virtuální síť je připojená k virtuální síti centra.
• Virtuální síť centra K dispozici je virtuální síť source hubu centra vNet: 10.10.10.0/24.
  • Tato virtuální síť centra funguje jako vrátný.
  • Veškerá komunikace mezi podsítěmi prochází tímto centrem.
    • Podsítě virtuální sítě centra. Virtuální síť centra má dvě podsítě:
    • Podsíť síťového virtuálního zařízení: 10.10.10.0/25. Tato podsíť obsahuje síťové virtuální zařízení (10.10.10.10).
    • Podsíť brány: 10.10.10.128/25. Tato podsíť obsahuje bránu ExpressRoute připojenou k připojení ExpressRoute, které směruje do místní lokality prostřednictvím domény směrování privátního partnerského vztahu.
• Místní datacentrum má připojení okruhu ExpressRoute prostřednictvím partnerského hraničního zařízení v Hongkongu Special Správa istrative Region.
• Veškeré směrování se řídí směrovacími tabulkami Azure (UDR).
• Veškerý odchozí provoz mezi virtuálními sítěmi nebo do místního datacentra se směruje přes síťové virtuální zařízení.

Nastavení partnerského vztahu hvězdicové architektury

Od paprsku k centru

Směr	Nastavení	Kraj
Od paprsku k centru	Povolit adresu virtuální sítě	Povoleno
Od paprsku k centru	Povolit přesměrovaný provoz	Povoleno
Od paprsku k centru	Povolit průchod bránou	Disabled
Od paprsku k centru	Použití odebrání bran	Povoleno

Od centra k paprsku

Směr	Nastavení	Kraj
Od centra k paprsku	Povolit adresu virtuální sítě	Povoleno
Od centra k paprsku	Povolit přesměrovaný provoz	Povoleno
Od centra k paprsku	Povolit průchod bránou	Povoleno
Od centra k paprsku	Použití odebrání bran	Disabled

Příklad kroků

V našem příkladu by se při povolování replikace virtuálních počítačů Azure ve zdrojové síti mělo stát následující:

1. Povolíte replikaci pro virtuální počítač.
2. Site Recovery vytvoří virtuální sítě replik, podsítě a podsítě brány v cílové oblasti.
3. Site Recovery vytvoří mapování mezi zdrojovými sítěmi a cílovými sítěmi repliky, které vytvoří.
4. Brány virtuální sítě, připojení brány virtuální sítě, partnerský vztah virtuálních sítí nebo jakékoli jiné síťové prostředky nebo připojení ručně vytvoříte.

Převzetí služeb při selhání virtuálních počítačů Azure při použití ExpressRoute

Po selhání virtuálních počítačů Azure do cílové oblasti Azure pomocí Site Recovery k nim můžete přistupovat pomocí privátního partnerského vztahu ExpressRoute.

• K cílové virtuální síti je potřeba připojit ExpressRoute pomocí nového připojení. Stávající připojení ExpressRoute se nepřenese automaticky.
• Způsob, jakým nastavíte připojení ExpressRoute k cílové virtuální síti, závisí na vaší topologii ExpressRoute.

Přístup se dvěma okruhy

Dva okruhy se dvěma umístěními peeringu

Tato konfigurace pomáhá chránit okruhy ExpressRoute před regionálními haváriemi. Pokud dojde k výpadku primárního umístění partnerského vztahu, můžou připojení pokračovat z jiného umístění.

• Okruh připojený k produkčnímu prostředí je obvykle primární. Sekundární okruh má obvykle nižší šířku pásma, což se dá zvýšit, pokud dojde k havárii.
• Po převzetí služeb při selhání můžete navázat připojení ze sekundárního okruhu ExpressRoute k cílové virtuální síti. Případně můžete mít připojení nastavená a připravená v případě havárie, abyste snížili celkovou dobu obnovení.
• Při souběžných připojeních k primárním i cílovým virtuálním sítím se ujistěte, že místní směrování používá pouze sekundární okruh a připojení po převzetí služeb při selhání.
• Zdrojové a cílové virtuální sítě můžou po převzetí služeb při selhání přijímat nové IP adresy nebo zachovat stejné ip adresy. V obou případech je možné před převzetím služeb při selhání navázat sekundární připojení.

Dva okruhy s jedním umístěním partnerského vztahu

Tato konfigurace pomáhá chránit před selháním primárního okruhu ExpressRoute, ale ne v případě výpadku jednoho umístění partnerského vztahu ExpressRoute, což má vliv na oba okruhy.

• Můžete mít souběžná připojení z místního datacentra ke zdrojové sadě vNEt s primárním okruhem a k cílové virtuální síti se sekundárním okruhem.
• Při souběžných připojeních k primárnímu a cílovému serveru se ujistěte, že místní směrování používá pouze sekundární okruh a připojení po převzetí služeb při selhání.
• Při vytváření okruhů ve stejném umístění partnerského vztahu nemůžete oba okruhy připojit ke stejné virtuální síti.

Přístup pomocí jednoho okruhu

V této konfiguraci je pouze jeden okruh ExpressRoute. I když má okruh redundantní připojení pro případ, že dojde k výpadku jednoho okruhu trasy, nebude poskytovat odolnost, pokud vaše oblast partnerského vztahu přestane fungovat. Poznámky:

• Pokud cílová oblast Azure není ve stejném umístění jako zdroj, musíte povolit ExpressRoute Premium, pokud používáte jeden okruh ExpressRoute. Přečtěte si o umístěních ExpressRoute a cenách ExpressRoute.
• Pokud se v cílové oblasti používá stejný adresní prostor IP adres, nemůžete k okruhu připojit zdrojové a cílové virtuální sítě současně. V tomto scénáři:
  • Odpojte připojení na straně zdroje a pak nastavte cílové připojení na straně. Tuto změnu připojení je možné skriptovat jako součást plánu obnovení Site Recovery. Všimněte si, že:
    • Pokud je primární oblast nepřístupná, může operace odpojení selhat. To může mít vliv na vytvoření připojení k cílové oblasti.
    • Pokud jste vytvořili připojení v cílové oblasti a primární oblast se později obnoví, může dojít k výpadkům paketů, pokud se dvě souběžná připojení pokusí připojit ke stejnému adresního prostoru.
    • Pokud tomu chcete zabránit, ukončete primární připojení okamžitě.
    • Po navrácení služeb po obnovení virtuálního počítače do primární oblasti je možné po odpojení sekundárního připojení znovu navázat primární připojení.
• Pokud se v cílové virtuální síti používá jiný adresní prostor, můžete se současně připojit ke zdrojové a cílové virtuální síti ze stejného okruhu ExpressRoute.

Příklad převzetí služeb při selhání

V našem příkladu používáme následující topologii:

• Dva různé okruhy ExpressRoute ve dvou různých umístěních peeringu
• Po převzetí služeb při selhání zachovejte privátní IP adresy pro virtuální počítače Azure.
• Cílová oblast obnovení je Azure SouthEast Asia.
• Sekundární připojení okruhu ExpressRoute je vytvořeno prostřednictvím partnerské hraniční sítě v Singapuru.

V případě jednoduché topologie, která používá jeden okruh ExpressRoute se stejnou IP adresou po převzetí služeb při selhání, si projděte tento článek.

Příklad kroků

Pokud chcete v tomto příkladu automatizovat obnovení, musíte udělat toto:

1. Podle pokynů nastavte replikaci.

2. Převzetí služeb při selhání virtuálních počítačů Azure s využitím těchto dalších kroků během převzetí služeb při selhání nebo po nich.

   a. Vytvořte bránu Azure ExpressRoute ve virtuální síti centra cílové oblasti. Je potřeba připojit virtuální síť cílového centra k okruhu ExpressRoute.

   b. Vytvořte připojení z virtuální sítě cílového centra k cílovému okruhu ExpressRoute.

   c. Nastavte partnerské vztahy virtuálních sítí mezi hvězdicovými virtuálními sítěmi cílové oblasti. Vlastnosti partnerského vztahu v cílové oblasti jsou stejné jako vlastnosti ve zdrojové oblasti.

   d. Nastavte trasy definované uživatelem ve virtuální síti centra a dvě paprskové virtuální sítě.

   • Vlastnosti trasy definované uživatelem na cílové straně jsou stejné jako vlastnosti na zdrojové straně při použití stejných IP adres.
   • U různých cílových IP adres by se trasy definované uživatelem měly odpovídajícím způsobem upravit.

Výše uvedené kroky je možné skriptovat jako součást plánu obnovení. V závislosti na požadavcích na připojení aplikace a dobu obnovení je možné před spuštěním převzetí služeb při selhání dokončit i výše uvedené kroky.

Po obnovení

Po obnovení virtuálních počítačů a dokončení připojení je prostředí pro obnovení následující.

Další kroky

Přečtěte si další informace o použití plánů obnovení k automatizaci převzetí služeb při selhání aplikací.