Plánování repliky Technologie Hyper-V

  • 5 min

Jako správce Windows Serveru musíte kromě bezpečnostních aspektů porozumět možnostem konfigurace a nastavení repliky Hyper-V, abyste pochopili rozhodnutí, která je potřeba udělat před implementací Hyper-V repliky.

Plánování repliky Technologie Hyper-V

Při plánování nasazení repliky Hyper-V je nutné definovat několik parametrů použitých v konfiguraci repliky Hyper-V. Pečlivé plánování je důležité před nastavením replikace mezi hostiteli Hyper-V.

scénáře hostitele repliky Hyper-V

Repliku Hyper-V můžete nastavit mezi hostiteli Hyper-V bez ohledu na to, jestli jsou uzly v clusteru s podporou převzetí služeb při selhání. Můžete také nastavit Hyper-V repliku bez ohledu na to, jestli jsou hostitelé Hyper-V členy stejné doménové struktury služby AD DS nebo jsou v různých doménových strukturách služby AD DS bez jakéhokoli vztahu důvěryhodnosti mezi nimi.

Repliku Hyper-V můžete použít v následujících čtyřech konfiguracích:

  1. Oba Hyper-V hostitelé jsou samostatné servery. Tato konfigurace obvykle není upřednostňovanou možností, pokud se nepoužívá ve scénářích testování nebo vývoje, protože zahrnuje pouze zotavení po havárii a ne vysokou dostupnost.

  2. Hostitel Hyper-V v primárním umístění je uzel v clusteru s podporou převzetí služeb při selhání a Hyper-V hostitel v sekundárním umístění je na samostatném serveru. Tato konfigurace se používá v mnoha prostředích. Cluster s podporou převzetí služeb při selhání poskytuje vysokou dostupnost pro spouštění virtuálních počítačů v primárním umístění. Pokud dojde k havárii v primárním umístění, replika virtuálních počítačů je stále dostupná v sekundárním umístění.

  3. Každý hostitel Hyper-V je uzel v jiném clusteru s podporou převzetí služeb při selhání. Pokud dojde k havárii v primárním umístění, můžete při této konfiguraci provést ruční převzetí služeb při selhání a pokračovat v operacích ze sekundárního umístění.

  4. Hostitel Hyper-V v primárním umístění je samostatný server a Hyper-V hostitel v sekundárním umístění je uzel v clusteru s podporou převzetí služeb při selhání. I když je tato konfigurace technicky možná, tato konfigurace je vzácná. Obvykle chcete, aby virtuální počítače v primárním umístění byly vysoce dostupné. Jejich repliky v sekundární lokalitě zůstanou vypnuté a nepoužívají se, dokud nedojde k havárii v primárním umístění.

Nastavení replikace

Vzhledem k tomu, že musíte pro každý virtuální počítač nakonfigurovat replikaci jednotlivě, musíte pro každý virtuální počítač naplánovat prostředky na hostitelích replikace. Kromě prostředků musíte také naplánovat konfiguraci následujících nastavení replikace:

  • Server repliky. Zadejte název počítače nebo plně kvalifikovaný název domény (FQDN) serveru repliky, protože IP adresa není povolená. Pokud zadaný hostitel Hyper-V není nakonfigurovaný tak, aby povoloval provoz replikace, můžete ho nakonfigurovat tady. Pokud je server repliky uzlem v clusteru s podporou převzetí služeb při selhání, měli byste zadat název nebo plně kvalifikovaný název domény spojovacího bodu pro zprostředkovatele repliky Hyper-V.

  • Parametry připojení. Pokud je server repliky přístupný, Průvodce povolením replikace automaticky naplní pole typu ověřování a portu replikace příslušnými hodnotami. Pokud server repliky není přístupný, můžete tato pole nakonfigurovat ručně. Mějte na paměti, že nebudete moct povolit replikaci, pokud nemůžete vytvořit připojení k serveru repliky. Na stránce Parametry připojení můžete také nakonfigurovat Hyper-V tak, aby před přenosem dat replikace přes síť komprimovali data replikace.

  • Virtuální pevné disky replikace. Ve výchozím nastavení se replikují všechny virtuální pevné disky. Pokud některé virtuální pevné disky nejsou na hostiteli repliky Hyper-V (například virtuální pevný disk vyhrazený pro ukládání stránkových souborů), vylučte je z replikace. Mějte na paměti, že vyloučení virtuálních pevných disků, které obsahují operační systémy nebo aplikace, může vést k nepoužitelnému virtuálnímu počítači na serveru repliky.

  • Frekvence replikace. Frekvence replikace určuje, jak často se data replikují do hostitele Hyper-V v lokalitě pro obnovení. Pokud dojde k havárii v primární lokalitě, kratší četnost replikace znamená menší ztrátu dat, protože změny se replikují do lokality pro obnovení častěji. Frekvenci replikace můžete nastavit na jednu z následujících možností:

    • 30 sekund
    • 5 minut
    • 15 minut

  • Další body obnovení Můžete nakonfigurovat počet a typy bodů obnovení, které se mají odeslat na server repliky. Ve výchozím nastavení je vybraná možnost zachovat pouze nejnovější bod pro obnovení, což znamená, že se replikuje pouze nadřazený virtuální pevný disk a všechny změny se sloučí do tohoto virtuálního pevného disku. Můžete vytvořit více hodinových bodů obnovení a nastavit počet dalších bodů obnovení na maximálně 24. Četnost snímků služby Stínová kopie svazku můžete nakonfigurovat tak, aby ukládaly repliky konzistentní vzhledem k aplikacím pro virtuální počítač, a ne jenom změny v primárním virtuálním počítači.

  • Metoda a plán počáteční replikace Virtuální počítače mají velké virtuální disky a počáteční replikace může trvat dlouhou dobu a způsobit velké množství síťového provozu. I když výchozí možností je okamžité odeslání počáteční kopie přes síť, pokud nechcete okamžitou replikaci, můžete ji naplánovat tak, aby se spustila v konkrétní době. Pokud chcete počáteční replikaci, ale chcete se vyhnout síťovému provozu, můžete se rozhodnout odeslat počáteční kopii na externí médium nebo použít existující virtuální počítač na serveru repliky. Tuto možnost použijte, pokud jste obnovili kopii virtuálního počítače na serveru repliky a chcete ji použít jako počáteční kopii.

Poznámka:

Hyper-V Replika umožňuje používat Microsoft Azure jako úložiště replik. Díky tomu můžou správci využívat Azure místo nutnosti sestavovat samostatnou lokalitu pro zotavení po havárii a vyhnout se související režijním nákladům na správu a náklady.

Aspekty zabezpečení repliky Hyper-V

Repliku Hyper-V můžete nastavit s hostitelem Hyper-V bez ohledu na jeho umístění a členství v doméně a zajistit tak síťové připojení k primárním hostitelům a hostitelům Hyper-V repliky. Hyper-V hostitelé nemusí být součástí stejné doménové struktury SLUŽBY AD DS.

Repliku Hyper-V můžete implementovat, když jsou hostitelé Hyper-V členy nedůvěryhodných domén konfigurací ověřování na základě certifikátů. Hyper-V Replika implementuje zabezpečení na následujících úrovních:

  • Hyper-V vytvoří místní skupinu zabezpečení s názvem Hyper-V Administrators. Členové této skupiny a místních správců mohou konfigurovat a spravovat repliku Hyper-V.
  • Server repliky můžete nakonfigurovat tak, aby umožňoval replikaci z jakéhokoli ověřeného serveru nebo omezil replikaci na konkrétní servery. Mějte na paměti, že:
    • Pro primární server (například lon-svr1.contoso.com) musíte zadat plně kvalifikovaný název domény nebo použít zástupný znak s příponou domény (například *.contoso.com).
    • Použití IP adres není povolené.
    • Pokud je server repliky v clusteru s podporou převzetí služeb při selhání, je replikace povolená na úrovni clusteru.
    • Pokud omezíte replikaci na konkrétní servery, musíte také zadat skupinu důvěryhodnosti, která se používá k identifikaci serverů, ve kterých se může virtuální počítač přesunout. Pokud například poskytnete služby zotavení po havárii partnerským organizacím, skupina vztahů důvěryhodnosti zabrání jedné organizaci v získání přístupu k počítačům repliky jiné organizace.
  • Hostitel repliky Hyper-V může ověřit primárního hostitele Hyper-V pomocí ověřování kerberos nebo ověřování založeného na certifikátech:
    • Ověřování protokolem Kerberos vyžaduje, aby oba hostitelé Hyper-V byly ve stejné doménové struktuře SLUŽBY AD DS, zatímco ověřování na základě certifikátů můžete použít v jakémkoli prostředí.
    • Ověřování protokolem Kerberos se používá s přenosy HTTP, které nejsou šifrované, zatímco ověřování na základě certifikátů se používá s přenosy HTTPS, které jsou šifrované.
  • Repliku Hyper-V můžete vytvořit jenom v případě, že mezi hostiteli Hyper-V existuje síťové připojení.
  • Bránu firewall v programu Windows Defender byste měli podle potřeby nakonfigurovat tak, aby povolovali provoz http nebo HTTPS Hyper-V repliky.

Tip

Aby bylo možné povolit takový příchozí provoz replikace, mělo by být na primárním hostiteli a hostitelích Hyper-V repliky povolené integrované pravidlo brány firewall pro Hyper-V naslouchací proces HTTP repliky (TCP-In) repliky na Windows Serveru.

U primárního hostitele Hyper-V není nutné pravidlo povolit, pokud po provedení převzetí služeb při selhání nenakonfigurujete zpětnou replikaci z hostitele Hyper-V repliky. V tomto okamžiku může být vyžadována replikace zpět na bývalého primárního hostitele Hyper-V. To umožňuje změnám provedeným na novém primárním virtuálním počítači replikovat zpět na novou repliku na tom, co je primárním hostitelem. Aby to bylo možné, povolte příchozí pravidla brány firewall na bývalém primárním hostiteli Hyper-V.