Replicación de máquinas locales mediante puntos de conexión privados

Azure Site Recovery permite usar puntos de conexión privados de Azure Private Link para replicar máquinas locales en una red virtual de Azure. El acceso de puntos de conexión privados a un almacén de recuperación se admite en todas las regiones comerciales y de administración pública de Azure.

Nota:

Las actualizaciones automáticas no se admiten para puntos de conexión privados. Más información.

En este tutorial aprenderá a:

• Crear un almacén de Recovery Services de Azure Backup para proteger sus máquinas.
• Habilitar una identidad administrada para el almacén. Conceda los permisos necesarios para acceder a las cuentas de almacenamiento con el fin de habilitar la replicación del tráfico desde las ubicaciones locales a las de destino de Azure. Para que Private Link acceda al almacén, se necesita el acceso a la identidad administrada para el almacenamiento.
• Realizar cambios en el DNS que son necesarios para los puntos de conexión privados.
• Crear y aprobar puntos de conexión privados para un almacén que esté en una red virtual.
• Crear puntos de conexión privados para las cuentas de almacenamiento. Puede seguir permitiendo el acceso público o con firewall para el almacenamiento según sea necesario. Azure Site Recovery no necesita que se cree ningún punto de conexión privado para acceder al almacenamiento.

En el diagrama siguiente se muestra el flujo de trabajo de la replicación en una recuperación ante desastres híbrida con puntos de conexión privados. No se pueden crear puntos de conexión privados en una red local. Para usar vínculos privados es preciso crear una red virtual de Azure (que en este artículo se denomina red de derivación), establecer la conectividad privada entre el entorno local y la red de derivación y, seguidamente, crear puntos de conexión privados en la red de derivación. Puede elegir cualquier forma de conectividad privada.

Requisitos previos y advertencias

Antes de comenzar, tenga en cuenta lo siguiente:

• Los vínculos privados se admiten tanto en Site Recovery 9.35 como en las versiones posteriores.
• Solo se pueden crear puntos de conexión privados para almacenes de Recovery Services nuevos que no tengan elementos registrados. Por lo tanto, debe crear puntos de conexión privados antes de añadir cualquier elemento al almacén. Para más información sobre los precios, consulte Precios de Azure Private Link.
• Cuando se crea un punto de conexión privado para un almacén, el almacén se bloquea. Solo se puede acceder a él desde aquellas redes que tengan puntos de conexión privados.
• Microsoft Entra ID no admite actualmente puntos de conexión privados. Por lo tanto, es necesario permitir el acceso saliente desde la red virtual Azure segura a las IP y nombres de dominio completamente calificados que se requieren para que Microsoft Entra ID funcione en una región. Según corresponda, también puede utilizar la etiqueta de grupo de seguridad de red "Microsoft Entra ID" y las etiquetas Azure Firewall para permitir el acceso a Microsoft Entra ID.
• Se necesitan cinco direcciones IP en la red de derivación en la que se crea el punto de conexión privado. Cuando se crea un punto de conexión privado para el almacén, Site Recovery crea cinco vínculos privados para el acceso a sus microservicios.
• Se requiere una dirección IP adicional en la red de derivación para la conectividad de los puntos de conexión privados a una cuenta de almacenamiento en caché. Puede usar cualquier método de conectividad entre el entorno local y su punto de conexión de la cuenta de almacenamiento. Por ejemplo, puede usar Internet o Azure ExpressRoute. El establecimiento de un vínculo privado es opcional. Solo se pueden crear puntos de conexión privados para el almacenamiento en cuentas De uso general v2. Para más información sobre los precios de la transferencia de datos en cuentas De uso general v2, consulte los precios de blobs en páginas de Azure.

Nota:

Al configurar puntos de conexión privados para proteger máquinas físicas y de VMware, deberá instalar MySQL en el servidor de configuración manualmente. Siga estos pasos para realizar la instalación manual.

Direcciones URL que se van a permitir

Al usar el vínculo privado con experiencia modernizada para máquinas virtuales de VMware, se necesita acceso público para algunos recursos. A continuación se muestran todas las direcciones URL que se incluirán en la lista de permitidos. Si se usa la configuración basada en proxy, asegúrese de que el proxy resuelve los registros CNAME recibidos mientras busca las direcciones URL.

URL	Detalles
portal.azure.com	Vaya a Azure Portal.
*.windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com	Para iniciar sesión en la suscripción de Azure.
*.microsoftonline.com *.microsoftonline-p.com	Cree aplicaciones Microsoft Entra para que el dispositivo se comunique con Azure Site Recovery.
management.azure.com	Se usa para implementaciones y operaciones de Azure Resource Manager.
*.siterecovery.windowsazure.com	Se usa para conectarse a servicios de Site Recovery.

Al habilitar la replicación en una nube gubernamental, asegúrese de que se permiten las siguientes direcciones URL y que se puede acceder a ellas desde el dispositivo de replicación de Azure Site Recovery para obtener una conectividad continua:

Dirección URL de Fairfax	Dirección URL de Mooncake	Detalles
login.microsoftonline.us/* graph.windows.net	login.microsoftonline.cn graph.chinacloudapi.cn	Para iniciar sesión en la suscripción de Azure.
*.portal.azure.us	*.portal.azure.cn	Vaya a Azure Portal.
management.usgovcloudapi.net	management.chinacloudapi.cn	Cree aplicaciones Microsoft Entra para que el dispositivo se comunique con el servicio Azure Site Recovery.

Creación y uso de puntos de conexión privados para la recuperación del sitio

En las secciones siguientes se describen los pasos que hay que dar para crear y usar puntos de conexión privados para la recuperación del sitio en las redes virtuales.

Nota:

Se recomienda seguir estos pasos en el orden que se indica. Si no lo hace, es posible que no pueda usar puntos de conexión privados en el almacén y que tenga que reiniciar el proceso con un nuevo almacén.

Creación de un almacén de Recovery Services

Los almacenes de Recovery Services contienen la información de replicación de las máquinas. Se usan para desencadenar las operaciones de Site Recovery. Para más información sobre cómo crear un almacén de Recovery Services en la región de Azure en la que desea realizar la conmutación por error si se produce un desastre, consulte Creación de un almacén de Recovery Services.

Habilitación de la identidad administrada del almacén

Las identidades administradas permiten a los almacenes acceder a las cuentas de almacenamiento. En función de los requisitos, es posible que Site Recovery tenga que acceder a las cuentas de almacenamiento de destino y de almacenamiento en caché/registro. El acceso a la identidad administrada es necesario cuando se usa el servicio Private Link para el almacén.

1. Vaya al almacén de Recovery Services. Seleccione Identidad en Configuración:

   

2. Cambie el Estado a Activado y seleccione Guardar.

   Se genera un identificador de objeto. El almacén ya está registrado en Microsoft Entra ID.

Creación de puntos de conexión privados para el almacén de Recovery Services

Para proteger las máquinas de la red de origen local, necesitará un punto de conexión privado para el almacén en la red de derivación. Puede crear el punto de conexión privado mediante Private Link Center en Azure Portal o Azure PowerShell.

Para crear un punto de conexión privado, siga estos pasos:

1. En Azure Portal, haga clic en Crear un recurso.

2. Busque Private Link en Azure Marketplace.

3. Seleccione Private Link en los resultados de la búsqueda y, en la página Backup y Site Recovery, haga clic en Crear.

   

4. En el panel izquierdo, seleccione Puntos de conexión privados. En la página Puntos de conexión privados, seleccione Crear para empezar a crear un punto de conexión privado para el almacén:

   

5. En la página Creación de un punto de conexión privado, en la sección Aspectos básicos>Detalles del proyecto, haga lo siguiente:

   1. En Suscripción, seleccione Entorno de Contoso.
   2. En Grupo de recursos, seleccione un grupo de recursos existente o cree uno nuevo. Por ejemplo, ContosoCloudRG.

6. En la página Creación de un punto de conexión privado, en la sección Aspectos básicos>Detalles de la instancia, haga lo siguiente:

   1. En Nombre, escriba un nombre descriptivo para identificar el almacén. Por ejemplo, ContosoPrivateEP.
   2. El Nombre de la interfaz de red se rellena automáticamente en función de la selección de nombre en el paso anterior.
   3. En Región, use la región que usó para la red de omisión. Por ejemplo, (Europa) Sur de Reino Unido.
   4. Seleccione Next (Siguiente).

   

7. En la sección Recurso, haga lo siguiente:

   1. En Método de conexión, seleccione Conectarse a un recurso Azure en mi directorio.
   2. En Suscripción, seleccione Entorno de Contoso.
   3. En Tipo de recurso para la suscripción que ha seleccionado, seleccione Microsoft.RecoveryServices/vaults.
   4. Elija el nombre del almacén de Recovery Services en Recurso.
   5. Seleccione AzureSiteRecovery en Subrecurso de destino.
   6. Seleccione Next (Siguiente).

   

8. En la sección Red virtual, haga lo siguiente:

   1. En Red virtual, seleccione una red de omisión.
   2. En Subred, especifique la subred en la que quiere que se cree el punto de conexión privado.
   3. En Configuración de IP privada, conserve la selección predeterminada.
   4. Seleccione Next (Siguiente).

   

9. En la sección DNS, haga lo siguiente:

   1. Habilite la integración en una zona DNS privada, seleccione Sí.

      Nota

      Si selecciona Sí, la zona se vincula automáticamente a la red de derivación. Esta acción también agrega los registros DNS necesarios para la resolución DNS de nuevas direcciones IP y nombres de dominio completos creados para el punto de conexión privado.

   2. Elija una zona DNS existente o cree una.

   Asegúrese de elegir crear una nueva zona DNS para cada nuevo punto de conexión privado que se conecta al mismo almacén. Si elige una zona DNS privada existente, se sobrescriben los registros CNAME anteriores. Consulte la guía de los puntos de conexión privados antes de continuar.

   Si su entorno tiene un modelo del tipo hub-and-spoke, solo necesita un punto de conexión privado y solo una zona DNS privada para toda la instalación, ya que todas las redes virtuales ya tienen habilitado el emparejamiento entre ellas. Para obtener más información, consulte Integración de DNS de punto de conexión privado.

   Para crear manualmente la zona DNS privada, siga los pasos descritos en Creación de una zona DNS privada y adición de registros DNS manualmente.

   

10. En la sección Etiquetas, puede agregar etiquetas para el punto de conexión privado.

11. Revisar y crear. Al finalizar la validación, seleccione Crear para crear el punto de conexión privado.

Una vez creado el punto de conexión privado, se agregan cinco nombres de dominio completos (FQDN) al punto de conexión privado. Estos vínculos permiten a las máquinas de la red local acceder a todos los microservicios de Site Recovery necesarios en el contexto del almacén a través de la red de derivación. Se puede usar el mismo punto de conexión privado para la protección de cualquier máquina de Azure tanto en la red de derivación como en todas las redes emparejadas.

Para dar formato a los cinco nombres de dominio se usa este patrón:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Aprobación de puntos de conexión privados para la recuperación del sitio

Si crea el punto de conexión privado y también es el propietario del almacén de Recovery Services, el punto de conexión privado que creó anteriormente se aprueba automáticamente a los pocos minutos. De no ser así, el propietario del almacén debe aprobar el punto de conexión privado para poder usarlo. Para aprobar o rechazar una conexión de punto de conexión privado solicitada, vaya a Conexiones de punto de conexión privado en Configuración en la página del almacén de recuperación.

Puede ir al recurso de punto de conexión privado para examinar el estado de la conexión antes de continuar:

(Opcional) Creación de puntos de conexión privados para la cuenta de almacenamiento de caché

Puede usar un punto de conexión privado a Azure Storage. La creación de puntos de conexión privados para el acceso al almacenamiento es opcional para la replicación de Azure Site Recovery. Si crea un punto de conexión privado para el almacenamiento, necesita un punto de conexión privado para la cuenta de almacenamiento en caché o registro en la red virtual de derivación.

Nota:

Aunque no estén habilitados los puntos de conexión privados en la cuenta de almacenamiento, la protección se seguirá aplicando. Sin embargo, el tráfico de replicación pasaría a través de Internet hacia los puntos de conexión públicos de Azure Site Recovery. Para asegurarse de que el tráfico de replicación fluye a través de vínculos privados, la cuenta de almacenamiento debe estar habilitada con puntos de conexión privados.

Nota:

Los puntos de conexión privados para el almacenamiento solo se pueden crear en cuentas de almacenamiento del tipo De uso general v2. Para más información sobre los precios, consulte Precios de blobs en páginas de Azure.

Para crear una cuenta de almacenamiento con un punto de conexión privado, siga la guía para crear almacenamiento privado. Asegúrese de seleccionar Sí en Integrar con la zona DNS privada. Seleccione una zona DNS existente o cree una.

Concesión de los permisos necesarios para el almacén

En función de la configuración, es posible que necesite una o varias cuentas de almacenamiento en la región de Azure de destino. A continuación, conceda a la identidad administrada permisos para todas las cuentas de almacenamiento en caché o registro necesarias para Site Recovery. En este caso, debe crear de antemano las cuentas de almacenamiento necesarias.

Para poder habilitar la replicación de máquinas virtuales, la identidad administrada del almacén debe tener los siguientes permisos de rol, en función del tipo de cuenta de almacenamiento.

• Cuentas de almacenamiento basadas en Resource Manager (tipo Estándar):
  • Colaborador
  • Colaborador de datos de blobs de almacenamiento
• Cuentas de almacenamiento basadas en Resource Manager (tipo Premium):
  • Colaborador
  • Propietario de datos de blobs de almacenamiento
• Cuentas de almacenamiento clásicas:
  • Colaborador de cuentas de almacenamiento clásico
  • Rol de servicio de operador de claves de cuentas de almacenamiento clásicas

En los pasos siguientes se describe cómo agregar una asignación de roles a la cuenta de almacenamiento. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

1. Vaya a la cuenta de almacenamiento.

2. Seleccione Access Control (IAM) .

3. Seleccione Agregar > Agregar asignación de roles.

   

4. En la pestaña Rol, seleccione uno de los roles enumerados al principio de esta sección.

5. En la pestaña Miembros, seleccione Identidad administrada y, a continuación, seleccione Seleccionar miembros.

6. Seleccione su suscripción a Azure.

7. Seleccione Identidad administrada asignada por el sistema, busque un almacén y selecciónelo.

8. En la pestaña Revisión y asignación, seleccione Revisión y asignación para asignar el rol.

Además de estos permisos, debe permitir el acceso a los servicios de confianza de Microsoft. Para hacerlo, siga estos pasos:

1. Vaya a Firewalls y redes virtuales.
2. En Excepciones, seleccione Permitir que los servicios Microsoft de confianza accedan a esta cuenta de almacenamiento.

Protección de las máquinas virtuales

Tras finalizar las tareas anteriores, continúe con la configuración de la infraestructura local. Para continuar, complete una de las siguientes tareas:

• Implementación de un servidor de configuración para VMware y de las máquinas físicas
• Configuración del entorno de Hyper-V para la replicación

Tras completar la configuración, habilite la replicación de las máquinas de origen. No configure la infraestructura hasta que se creen los puntos de conexión privados para el almacén en la red de derivación.

Creación de una zona DNS privada y adición de registros DNS manualmente

Si no seleccionó la opción de integración en una zona DNS privada al crear el punto de conexión privado para el almacén, siga los pasos de esta sección.

Cree una zona DNS privada para que el proveedor de Site Recovery (en el caso de máquinas de Hyper-V) o el servidor de procesos (en el caso de VMware o máquinas físicas) puedan resolver los nombres de dominio completos privados en direcciones IP privadas.

1. Cree una zona DNS privada.

   1. Busque Zona DNS privada en el cuadro de búsqueda Todos los servicios y, después, seleccione Zona DNS privada en los resultados:

      

   2. En la página Zonas DNS privadas, seleccione el botón Agregar para empezar a crear una zona.

   3. En la página Crear una zona DNS privada, escriba los detalles necesarios. Escriba privatelink.siterecovery.windowsazure.com como nombre de la zona DNS privada. Puede elegir cualquier grupo de recursos y cualquier suscripción.

      

   4. Vaya a la pestaña Revisar y crear para revisar y crear la zona DNS.

   5. Si usa la arquitectura modernizada para la protección de máquinas físicas o VMware, asegúrese de crear también otra zona DNS privada para privatelink.prod.migration.windowsazure.com. Este punto de conexión lo usará Site Recovery para realizar la detección del entorno local.

      Importante

      Para los usuarios de Azure GOV, agregue privatelink.prod.migration.windowsazure.us en la zona DNS.

2. Para vincular la zona DNS privada a la red virtual, siga estos pasos:

   1. Vaya a la zona DNS privada que creó en el paso anterior y, después, a Vínculos de la red virtual en el panel de la izquierda. Seleccione Agregar.

   2. Escriba los detalles necesarios. En las listas Suscripción y Red virtual, seleccione los detalles correspondientes a la red de derivación. Deje los valores predeterminados en los demás campos.

      

3. Agregue registros DNS.

   Ahora que ha creado la zona DNS privada necesaria y el punto de conexión privado, debe agregar los registros DNS a la zona DNS.

   Nota:

   Si utiliza una zona DNS privada personalizada, asegúrese de crear entradas similares, como se describe en el siguiente paso.

   En este paso, necesita crear entradas para cada nombre de dominio completo del punto de conexión privado en su zona DNS privada.

   1. Vaya a su zona DNS privada y, después, a la sección Información general del panel de la izquierda. Seleccione Conjunto de registros para empezar a agregar registros.

   2. En la página Agregar conjunto de registros, agregue una entrada para cada nombre de dominio completo y una dirección IP privada como un registro de tipo A. En la página Punto de conexión privado en Información general, puede obtener una lista de los nombres de dominio completos y de las direcciones IP. Como se puede ver en la siguiente captura de pantalla, el primer nombre de dominio completo del punto de conexión privado se agrega al conjunto de registros de la zona DNS privada.

      Estos nombres de dominio completos coinciden con este patrón: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      

Pasos siguientes

Ahora que ha habilitado los puntos de conexión privados para la replicación de máquinas virtuales, consulte estos otros artículos para obtener información adicional y relacionada:

• Implementación de un servidor de configuración local.
• Configuración de la recuperación ante desastres de máquinas virtuales de Hyper-V locales en Azure.