Arquitectura de recuperación ante desastres de Azure a Azure
En este artículo se describen la arquitectura, loc componentes y los procesos que se usan al implementar la recuperación ante desastres de máquinas virtuales de Azure mediante el servicio Azure Site Recovery. Con la configuración de la recuperación ante desastres, las máquinas virtuales de Azure se replican continuamente en una región de destino diferente. Si se produce una interrupción, puede conmutar por error las máquinas virtuales en la región secundaria y acceder a ellas desde allí. Cuando todo se ejecute con normalidad de nuevo, puede realizar la conmutación por recuperación y seguir trabajando en la ubicación principal.
Componentes de la arquitectura
En la tabla siguiente se resumen los componentes implicados en la recuperación ante desastres para las máquinas virtuales de Azure.
| Componente | Requisitos |
|---|---|
| Máquinas virtuales de la región de origen | Una de más máquinas virtuales de Azure en una región de origen compatible. Las máquinas virtuales pueden ejecutar cualquier sistema operativo compatible. |
| Almacenamiento de la máquina virtual de origen | Las máquinas virtuales de Azure se pueden administrar o tienen discos no administrados distribuidos entre cuentas de almacenamiento. Aprenda sobre el almacenamiento de Azure compatible. |
| Redes de máquinas virtuales de origen | Las máquinas virtuales pueden encontrarse en una o varias subredes de una red virtual (VNet) en la región de origen. Más información sobre los requisitos de las redes. |
| Cuenta de almacenamiento en caché | Necesita una cuenta de almacenamiento de caché en la red de origen. Durante la replicación, los cambios de la máquina virtual se almacenan en la memoria caché antes de enviarse al almacenamiento de destino. Esto garantiza que las aplicaciones de producción que se ejecutan en la máquina virtual resulten mínimamente afectadas. Más información acerca de los requisitos de almacenamiento en caché. |
| Recursos de destino | Los recursos de destino se utilizan durante la replicación y al producirse una conmutación por error. Site Recovery puede configurar el recurso de destino de forma predeterminada o, si lo prefiere, puede crearlo usted o personalizarlo. En la región de destino, compruebe que puede crear máquinas virtuales y que la suscripción tiene suficientes recursos para admitir los tamaños de máquina virtual necesarios en la región de destino. |
Recursos de destino
Al habilitar la replicación para una máquina virtual, Site Recovery ofrece la opción de crear automáticamente los recursos de destino.
| Recurso de destino | Configuración predeterminada |
|---|---|
| Suscripción de destino | Igual que en la suscripción de origen. |
| Grupo de recursos de destino | El grupo de recursos a los que pertenecen las máquinas virtuales después de la conmutación por error. Puede encontrarse en cualquier región de Azure, excepto en la de origen. Site Recovery crea un nuevo grupo de recursos en la región de destino con el sufijo "asr". |
| Red virtual de destino | Red virtual en la que se encuentran las máquinas virtuales replicadas después de la conmutación por error. Se crea una asignación de red entre las redes virtuales de origen y de destino y viceversa. Site Recovery crea una red virtual y una subred con el sufijo "asr". |
| Cuenta de almacenamiento de destino | Si la máquina virtual no usa un disco administrado, esta es la cuenta de almacenamiento donde se replican los datos. Site Recovery crea una cuenta de almacenamiento en la región de destino para reflejar la cuenta de almacenamiento de origen. |
| Discos administrados de réplica | Si la máquina virtual usa un disco administrado, se trata de los discos administrados donde se replican los datos. Site Recovery crea discos administrados de réplica en la región de almacenamiento que reflejan la de origen. |
| Conjuntos de disponibilidad de destino | Donde se encuentran las máquinas virtuales replicadas tras la conmutación por error. Site Recovery crea un conjunto de disponibilidad en la región de destino con el sufijo "asr" para las máquinas virtuales que se encuentran en un conjunto de disponibilidad en la ubicación de origen. Si existe un conjunto de disponibilidad, se usa y no se crea otro. |
| Zonas de disponibilidad de destino | Si la región de destino admite zonas de disponibilidad, Site Recovery asigna el mismo número de zona que se use en la región de origen. |
Administración de los recursos de destino
Puede administrar los recursos de destino como sigue:
- Puede modificar la configuración de destino al habilitar la replicación. Tenga en cuenta que la SKU predeterminada para la máquina virtual de la región de destino es la misma que la SKU de la máquina virtual de origen (o la siguiente SKU mejor disponible en comparación con la SKU de máquina virtual de origen). La lista desplegable solo muestra las SKU pertinentes de la misma familia que la máquina virtual de origen (Gen 1 o Gen 2).
- Puede modificar la configuración de destino con la replicación en curso. Al igual que otros recursos, como el grupo de recursos de destino y el nombre de destino, entre otros, la SKU de VM de la región de destino también puede actualizarse una vez que la replicación está en curso. Un recurso, que no se puede actualizar es el tipo de disponibilidad (instancia única, conjunto o zona). Para cambiar esta configuración debe deshabilitar la replicación, modificar la configuración y volver a habilitarla.
Directiva de replicación
Al habilitar la replicación de máquinas virtuales de Azure, Site Recovery crea de forma predeterminada una directiva de replicación con la configuración predeterminada que se resume en la tabla.
| Configuración de la directiva | Detalles | Valor predeterminado |
|---|---|---|
| Retención de punto de recuperación | Especifica el tiempo que Site Recovery conserva los puntos de recuperación. | Un día |
| Frecuencia de las instantáneas coherentes con la aplicación | La frecuencia con la que Site Recovery toma una instantánea coherente con la aplicación. | Cero horas (deshabilitada) |
Administración de las directivas de replicación
Puede administrar y modificar la configuración de las directivas de replicación predeterminada de la manera siguiente:
- Puede modificar la configuración al habilitar la replicación.
- Puede crear una directiva de replicación en cualquier momento y aplicarla al habilitar la replicación.
Nota:
Un período de retención de punto de recuperación alto puede tener una implicación en el costo de almacenamiento, ya que quizás se deban guardar más puntos de recuperación.
Coherencia con múltiples máquinas virtuales
Si desea que varias máquinas se repliquen al mismo tiempo y estas comparten puntos de recuperación coherentes frente a bloqueos y coherentes con la aplicación al conmutar por error, puede reunirlas en un grupo de replicación. La coherencia entre varias máquinas virtuales afecta al rendimiento de la carga de trabajo y solo debe usarse para las que ejecuten cargas de trabajo que necesiten coherencia en todas las máquinas.
Instantáneas y puntos de recuperación
Los puntos de recuperación se crean a partir de instantáneas de los discos de máquina virtual tomadas en un momento determinado. Al conmutar por error una máquina virtual se usa un punto de recuperación para restaurarla en la ubicación de destino.
Al conmutar por error, normalmente queremos garantizar que la máquina virtual empieza sin daños ni pérdida de datos y que los datos de la máquina virtual son coherentes para el sistema operativo y para las aplicaciones que se ejecutan en ella. Esto depende del tipo de instantánea realizada.
Site Recovery toma instantáneas como sigue:
- Site Recovery toma instantáneas coherentes frente a bloqueos de datos de forma predeterminada e instantáneas coherentes con la aplicación si especifica una frecuencia para ello.
- Los puntos de recuperación se crean a partir de las instantáneas y se almacenan según la configuración de retención establecida en la directiva de replicación.
Coherencia
La siguiente tabla explica los diferentes tipos de coherencia.
Coherente frente a bloqueos
| Descripción | Detalles | Recomendación |
|---|---|---|
| Una instantánea coherente frente a bloqueos captura los datos que estaban en el disco cuando se tomó la instantánea. No incluye nada de la memoria. Contiene el equivalente de los datos de disco que estuvieran presentes si se bloqueó la máquina virtual o se extrajo el cable de alimentación del servidor en el momento en que se tomara la instantánea. Un punto de recuperación coherente frente a bloqueos no garantiza la coherencia de datos para el sistema operativo o las aplicaciones de la máquina virtual. |
Site Recovery crea puntos de recuperación coherentes frente a bloqueos cada cinco minutos de forma predeterminada. No se puede modificar esta configuración. |
Hoy en día, la mayoría de las aplicaciones se pueden recuperar bien a partir de instantáneas coherentes frente a bloqueos. Los puntos de recuperación coherentes con bloqueos son suficientes para la replicación de sistemas operativos y aplicaciones como servidores DHCP y servidores de impresión. |
Coherente con la aplicación
| Descripción | Detalles | Recomendación |
|---|---|---|
| Se crean puntos de recuperación coherentes con la aplicación a partir de instantáneas coherentes con la aplicación. Una instantánea consistente entre aplicaciones contiene toda la información en una instantánea consistente entre bloqueos, además de todos los datos en memoria y las transacciones en curso. |
Las instantáneas coherentes con la aplicación usan el servicio Volume Shadow Copy (VSS): 1) Azure Site Recovery usa el método de copia de seguridad de solo copia (VSS_BT_COPY), que no cambia la hora de la copia de seguridad ni el número de secuencia del registro de transacciones de Microsoft SQL. 2) Cuando se inicia una instantánea, VSS realiza una operación de copia en escritura (COW) en el volumen. 3) Antes de realizar la operación COW, VSS informa a todas las aplicaciones de la máquina que deben vaciar los datos en memoria en el disco. 4) A continuación, VSS permite que la aplicación de recuperación ante desastres/copia de seguridad (en este caso, Site Recovery) lea los datos de la instantánea y continúe. |
Se toman instantáneas coherentes con la aplicación de acuerdo con la frecuencia que especifique. Esta frecuencia debe ser siempre menor que la establecida para retención de los puntos de recuperación. Por ejemplo, si retiene puntos de recuperación con la configuración predeterminada de 24 horas, debe establecer la frecuencia en menos de 24 horas. Son más complejas y tardan más tiempo en completarse que las instantáneas coherentes frente a bloqueos. Afectan el rendimiento de las aplicaciones que se ejecutan en la máquina virtual habilitada para la replicación. |
Proceso de replicación
Al habilitar la replicación para una máquina virtual de Azure, ocurre lo siguiente:
- La extensión Mobility Service de Site Recovery se instala automáticamente en la máquina virtual.
- La extensión registra la máquina virtual con Site Recovery.
- Comienza la replicación continua para la máquina virtual. Las escrituras en disco se transfieren inmediatamente a la cuenta de almacenamiento en caché de la ubicación de origen.
- Site Recovery procesa los datos en la caché y los envía a la cuenta de almacenamiento de destino o a los discos administrados de réplica.
- Una vez procesados los datos, se generan puntos de recuperación coherentes frente a bloqueos cada cinco minutos. Los puntos de recuperación coherentes con la aplicación se generan según la configuración especificada en la directiva de replicación.
Proceso de replicación
Requisitos de conectividad
Las máquinas virtuales de Azure que replique necesitan conectividad de salida. Site Recovery no necesita nunca conectividad de entrada a la máquina virtual.
Conectividad de salida (direcciones URL)
Si se controla el acceso de salida para las máquinas virtuales con direcciones URL, debe permitir las siguientes.
| Nombre | Comercial | Gobierno | Descripción |
|---|---|---|---|
| Storage | *.blob.core.windows.net |
*.blob.core.usgovcloudapi.net |
Permite que los datos se puedan escribir desde la máquina virtual a la cuenta de almacenamiento de caché en la región de origen. |
| Microsoft Entra ID | login.microsoftonline.com |
login.microsoftonline.us |
Proporciona autorización y autenticación de las direcciones URL del servicio Site Recovery. |
| Replicación | *.hypervrecoverymanager.windowsazure.com |
*.hypervrecoverymanager.windowsazure.us |
Permite que la máquina virtual se comunique con el servicio Site Recovery. |
| Azure Service Bus | *.servicebus.windows.net |
*.servicebus.usgovcloudapi.net |
Permite que la máquina virtual escriba los datos de diagnóstico y supervisión de Site Recovery. |
| Key Vault | *.vault.azure.net |
*.vault.usgovcloudapi.net |
Permite el acceso para habilitar la replicación de máquinas virtuales habilitadas para ADE a través del portal. |
| Azure Automation | *.automation.ext.azure.com |
*.azure-automation.us |
Permite habilitar la actualización automática del agente de movilidad para un elemento replicado a través del portal |
Conectividad de salida para rangos de direcciones IP
Para controlar la conectividad de salida para máquinas virtuales con direcciones IP, permita estas direcciones. Tenga en cuenta que los detalles de los requisitos de conectividad de red se pueden encontrar en notas del producto sobre redes.
Reglas de la región de origen
| Regla | Detalles | Etiqueta de servicio |
|---|---|---|
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan a las cuentas de almacenamiento en la región de origen. | Almacenamiento.<nombre-región> |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que se corresponden a Microsoft Entra ID | AzureActiveDirectory |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan al centro de eventos en la región de destino. | EventHub.<region-name> |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan a Azure Site Recovery. | AzureSiteRecovery |
| Permitir HTTPS de salida: puerto 443 | Permite los rangos correspondientes a Azure Key Vault (esto solo es necesario para habilitar la replicación de máquinas virtuales habilitadas para ADE a través del portal). | AzureKeyVault |
| Permitir HTTPS de salida: puerto 443 | Permite los rangos correspondientes al controlador de Azure Automation (esto solo es necesario para habilitar la actualización automática del agente de movilidad para un elemento replicado a través del portal). | GuestAndHybridManagement |
Reglas de la región de destino
| Regla | Detalles | Etiqueta de servicio |
|---|---|---|
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan a las cuentas de almacenamiento en la región de destino. | Almacenamiento.<nombre-región> |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que se corresponden a Microsoft Entra ID | AzureActiveDirectory |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan al centro de eventos en la región de origen. | EventHub.<region-name> |
| Permitir HTTPS de salida: puerto 443 | Permitir rangos que correspondan a Azure Site Recovery. | AzureSiteRecovery |
| Permitir HTTPS de salida: puerto 443 | Permite los rangos correspondientes a Azure Key Vault (esto solo es necesario para habilitar la replicación de máquinas virtuales habilitadas para ADE a través del portal). | AzureKeyVault |
| Permitir HTTPS de salida: puerto 443 | Permite los rangos correspondientes al controlador de Azure Automation (esto solo es necesario para habilitar la actualización automática del agente de movilidad para un elemento replicado a través del portal). | GuestAndHybridManagement |
Control del acceso con reglas de grupo de seguridad de red
Si controla la conectividad de máquina virtual filtrando el tráfico de red hacia y desde redes o subredes de Azure mediante Reglas de grupo de seguridad de red , tenga en cuenta los siguientes requisitos:
- Las reglas del grupo de seguridad de red para la región de Azure de origen deben permitir el acceso saliente para el tráfico de replicación.
- Se recomienda crear reglas en un entorno de prueba antes de pasar a producción.
- Use etiquetas de servicio en lugar de permitir direcciones IP individuales.
- Las etiquetas de servicio representan un grupo de prefijos de direcciones IP que ayudan a reducir la complejidad de la creación de reglas de seguridad.
- Microsoft actualiza periódica y automáticamente las etiquetas de servicio.
Obtenga más información sobre conectividad saliente para Site Recovery y Controlar la conectividad con grupos de seguridad de red.
Conectividad para la coherencia entre varias máquinas virtuales
Si habilita la coherencia entre varias máquinas virtuales, las máquinas del grupo de replicación se comunican entre sí a través del puerto 20004.
- Asegúrese de que no haya ningún dispositivo de firewall que bloquee la comunicación interna entre las máquinas virtuales a través del puerto 20004.
- Si desea que las máquinas virtuales de Linux formen parte de un grupo de replicación, asegúrese de que el tráfico saliente en el puerto 20004 se abra manualmente según las instrucciones de la versión específica de Linux.
Proceso de conmutación por error
Cuando se inicia una conmutación por error, las máquinas virtuales se crean en el grupo de recursos de destino, la red virtual de destino, la subred de destino y el conjunto de disponibilidad de destino. Durante una conmutación por error, puede usar cualquier punto de recuperación.
Pasos siguientes
- Replicación rápida de una máquina virtual de Azure a una región secundaria.