Gépek replikálása privát végpontokkal

  • Cikk
  • 9 perc alatt elolvasható

Az Azure Site Recovery lehetővé teszi Azure Private Link privát végpontok használatát a gépek izolált virtuális hálózaton belüli replikálásához. A helyreállítási tárhoz való privát végponti hozzáférés minden Azure Commercial & Government-régióban támogatott.

Ez a cikk a következő lépések végrehajtására vonatkozó utasításokat tartalmazza:

  • Hozzon létre egy Azure Backup Recovery Services-tárolót a gépek védelméhez.
  • Engedélyezze a tároló felügyelt identitását, és adja meg a szükséges engedélyeket az ügyfél tárfiókjaihoz való hozzáféréshez a forrásból a célhelyekre irányuló forgalom replikálásához. A tárolóhoz való felügyelt identitáshoz való hozzáférésre Private Link tárolóhoz való hozzáférés beállításakor van szükség.
  • A privát végpontokhoz szükséges DNS-módosítások végrehajtása
  • Privát végpontok létrehozása és jóváhagyása egy virtuális hálózaton belüli tárolóhoz
  • Hozzon létre privát végpontokat a tárfiókokhoz. Szükség esetén továbbra is engedélyezheti a nyilvános vagy tűzfalas hozzáférést a tároláshoz. Az Azure Site Recovery esetében nem kötelező privát végpontot létrehozni a tároló eléréséhez.

Az alábbiakban egy referenciaarchitektúra látható a replikációs munkafolyamat privát végpontokkal történő változásáról.

A privát végpontokkal rendelkező Site Recovery referenciaarchitektúrája.

Előfeltételek és kikötések

  • Privát végpontok csak olyan új Recovery Services-tárolókhoz hozhatók létre, amelyekhez nincs regisztrálva elem a tárolóban. Ezért privát végpontokat kell létrehozni, mielőtt bármilyen elemet hozzáad a tárolóhoz. Tekintse át a privát végpontok díjszabási struktúráját.
  • Amikor privát végpontot hoz létre egy tárolóhoz, a tároló zárolva lesz, és nem érhető el a privát végpontokkal rendelkező hálózatokon kívül más hálózatokról.
  • Az Azure Active Directory jelenleg nem támogatja a privát végpontokat. Ezért az Azure Active Directory régióban való működéséhez szükséges IP-címeket és teljes tartományneveket engedélyezni kell a biztonságos hálózatról kimenő hozzáféréshez. Használhatja az "Azure Active Directory" hálózati biztonságicsoport-címkét és Azure Firewall címkéket is az Azure Active Directoryhoz való hozzáférés engedélyezéséhez.
  • A forrásgépek és a helyreállítási gépek alhálózataiban legalább hét IP-cím szükséges. Amikor privát végpontot hoz létre a tárolóhoz, Site Recovery öt privát kapcsolatot hoz létre a mikroszolgáltatásokhoz való hozzáféréshez. Emellett a replikáció engedélyezésekor két további privát kapcsolatot ad hozzá a forrás- és a célrégió párosításhoz.
  • A forrás- és helyreállítási alhálózatokban is szükség van egy további IP-címre. Erre az IP-címre csak akkor van szükség, ha gyorsítótár-tárfiókokhoz csatlakozó privát végpontokat kell használnia. A tároló privát végpontjai csak általános célú v2-típuson hozhatók létre. Tekintse át a GPv2-n történő adatátvitel díjszabási struktúráját.

Privát végpontok létrehozása és használata Site Recovery

Ez a szakasz a privát végpontok Azure-Site Recovery virtuális hálózatokon belüli létrehozásával és használatával kapcsolatos lépéseket ismerteti.

Megjegyzés

Javasoljuk, hogy ezeket a lépéseket a megadott sorrendben kövesse. Ennek elmulasztása azt eredményezheti, hogy a tároló renderelése nem tudja használni a privát végpontokat, és a folyamatot egy új tárolóval kell újraindítania.

Recovery Services-tároló létrehozása

A recovery services-tárolók olyan entitások, amelyek a gépek replikációs adatait tartalmazzák, és Site Recovery műveletek aktiválására szolgálnak. További információ: Recovery Services-tároló létrehozása.

Engedélyezze a felügyelt identitást a tárolóhoz.

A felügyelt identitás lehetővé teszi, hogy a tároló hozzáférjen az ügyfél tárfiókjainak. Site Recovery a forgatókönyv követelményeitől függően hozzá kell férnie a forrástárhoz, a céltárolóhoz és a gyorsítótár-/naplótárfiókokhoz. A felügyelt identitáshoz való hozzáférés elengedhetetlen, ha privát kapcsolati szolgáltatást használ a tárolóhoz.

  1. Nyissa meg a Recovery Services-tárolót. A Beállítások területen válassza az Identitás lehetőséget.

    A Azure Portal és a Helyreállítási szolgáltatások lapot jeleníti meg.

  2. Módosítsa az Állapot beállítástBe állásba , és válassza a Mentés lehetőséget.

  3. Létrejön egy objektumazonosító , amely azt jelzi, hogy a tároló már regisztrálva van az Azure Active Directoryban.

Privát végpontok létrehozása a Recovery Services-tárolóhoz

Az Azure-beli virtuális gépek feladatátvételének és feladat-visszavételének engedélyezéséhez két privát végpontra van szükség a tárolóhoz. Egy privát végpont a forráshálózatban lévő gépek védelméhez, egy másik pedig a helyreállítási hálózatban lévő feladatátvételi gépek ismételt védelméhez.

A beállítási folyamat során győződjön meg arról, hogy a célrégióban is létrehoz egy helyreállítási virtuális hálózatot.

Hozza létre a tároló első privát végpontját a forrás virtuális hálózaton belül a portálon található Private Link Center vagy Azure PowerShell használatával. Hozza létre a tároló második privát végpontját a helyreállítási hálózaton belül. A privát végpont forráshálózatban való létrehozásának lépései a következők. Ismételje meg ugyanezt az útmutatót a második privát végpont létrehozásához.

  1. A Azure Portal keresősávban keresse meg és válassza a "Private Link" lehetőséget. Ez a művelet a Private Link Központba nyitja meg.

    A Private Link Center Azure Portal keresését jeleníti meg.

  2. A bal oldali navigációs sávon válassza a Privát végpontok lehetőséget. A Privát végpontok lapon válassza a +Hozzáadás lehetőséget a privát végpont létrehozásához a tárolóhoz.

    A Private Link Center privát végpontjának létrehozását mutatja be.

  3. A "Privát végpont létrehozása" felületen meg kell adnia a privát végponti kapcsolat létrehozásának részleteit.

    1. Alapismeretek: Adja meg a privát végpontok alapvető adatait. A régiónak meg kell egyeznie a forrásgépekkel.

      Az Alapszintű lap, a projekt részletei, az előfizetés és más kapcsolódó mezők megjelenítése privát végpont létrehozásához a Azure Portal.

    2. Erőforrás: Ehhez a laphoz meg kell említenie azt a szolgáltatásként nyújtott platform típusú erőforrást, amelyhez létre szeretné hozni a kapcsolatot. Válassza a Microsoft lehetőséget. RecoveryServices/vaults a kiválasztott előfizetés erőforrástípusából. Ezután válassza ki a Recovery Services-tároló nevét az erőforráshoz, és állítsa be az Azure Site Recoverya Cél alerőforrásként.

      Megjeleníti az Erőforrás lapot, az erőforrás típusát, az erőforrást és a cél alerőforrás-mezőket a Azure Portal egy privát végponthoz való csatolásához.

    3. Konfiguráció: A konfigurációban adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez a virtuális hálózat az a hálózat, ahol a virtuális gép található. Engedélyezze az integrációt a privát DNS-zónával az Igen lehetőség kiválasztásával. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat. Az Igen lehetőség választása automatikusan összekapcsolja a zónát a forrás virtuális hálózattal, és hozzáadja a privát végponthoz létrehozott új IP-címek ÉS teljes tartománynevek DNS-feloldásához szükséges DNS-rekordokat.

      Győződjön meg arról, hogy új DNS-zónát hoz létre minden olyan új privát végponthoz, amely ugyanahhoz a tárolóhoz csatlakozik. Ha meglévő privát DNS-zónát választ, a rendszer felülírja az előző CNAME rekordokat. A folytatás előtt tekintse meg a privát végpontra vonatkozó útmutatást .

      Ha a környezet küllős modellel rendelkezik, a teljes beállításhoz csak egy privát végpontra és egy privát DNS-zónára van szükség, mivel az összes virtuális hálózat között már engedélyezve van a társviszony-létesítés. További információ: Privát végpont DNS-integrációja.

      A privát DNS-zóna manuális létrehozásához kövesse a Privát DNS-zónák létrehozása és a DNS-rekordok manuális hozzáadása című cikk lépéseit.

      A Konfiguráció lap a privát végpont konfigurálásának hálózati és DNS-integrációs mezőivel a Azure Portal.

    4. Címkék: Igény szerint hozzáadhat címkéket a privát végponthoz.

    5. Tekintse át a + létrehozás: Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

A privát végpont létrehozása után a rendszer öt teljes tartománynevet ad hozzá a privát végponthoz. Ezek a hivatkozások lehetővé teszik, hogy a virtuális hálózat gépei hozzáférjenek az összes szükséges Site Recovery mikroszolgáltatáshoz a tároló környezetében. Később, amikor engedélyezi a replikációt, két további teljes tartománynév lesz hozzáadva ugyanahhoz a privát végponthoz.

Az öt tartománynév a következő mintával van formázva:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Privát végpontok jóváhagyása Site Recovery

Ha a privát végpontot létrehozó felhasználó egyben a Recovery Services-tároló tulajdonosa is, a fent létrehozott privát végpont néhány percen belül automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot a használat előtt. A kért privát végponti kapcsolat jóváhagyásához vagy elutasításához lépjen a Privát végponti kapcsolatok területre a helyreállítási tár oldalán található "Beállítások" területen.

Mielőtt továbblép, a privát végponti erőforrásra lépve áttekintheti a kapcsolat állapotát.

Megjeleníti a tároló privát végponti kapcsolatok oldalát és a Azure Portal lévő kapcsolatok listáját.

(Nem kötelező) Privát végpontok létrehozása a gyorsítótár tárfiókhoz

Az Azure Storage privát végpontja is használható. Az Azure Site Recovery replikációhoz nem kötelező privát végpontokat létrehozni a tárterület-hozzáféréshez. Ha privát végpontot hoz létre a tárolóhoz, a következő követelmények vonatkoznak:

  • A forrás virtuális hálózat gyorsítótár-/naplótárfiókjához privát végpontra van szükség.
  • A helyreállítási hálózaton lévő feladatátvételi gépek ismételt védelmének időpontjában szüksége lesz egy második privát végpontra. Ez a privát végpont a célrégióban létrehozott új tárfiókhoz tartozik.

Megjegyzés

Ha a privát végpontok nincsenek engedélyezve a tárfiókban, a védelem továbbra is sikeres lesz. A replikációs forgalom azonban áthaladna az Azure Site Recovery nyilvános végpontokra. A privát kapcsolatokon keresztüli replikációs forgalom biztosításához a tárfiókot privát végpontokkal kell engedélyezni.

Megjegyzés

A tároló privát végpontja csak általános célú v2-tárfiókokon hozható létre. A díjszabással kapcsolatos információkért lásd: Standard lapblobok árai.

A privát tárterület létrehozásához kövesse az útmutatót egy privát végponttal rendelkező tárfiók létrehozásához. Győződjön meg arról, hogy az Igen lehetőséget választja a privát DNS-zónával való integrációhoz. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat.

A tárolóhoz szükséges engedélyek megadása

Ha a virtuális gépek felügyelt lemezeket használnak, a felügyelt identitás engedélyeit csak a gyorsítótár tárfiókjainak kell megadnia. Ha a virtuális gépek nem felügyelt lemezeket használnak, meg kell adnia a felügyelt identitás engedélyeit a forrás-, a gyorsítótár- és a céltárolófiókokhoz. Ebben az esetben előre létre kell hoznia a cél tárfiókot.

A virtuális gépek replikációjának engedélyezése előtt a tároló felügyelt identitásának a tárfiók típusától függően a következő szerepkör-engedélyekkel kell rendelkeznie:

Az alábbi lépések azt mutatják be, hogyan adhat hozzá szerepkör-hozzárendelést a tárfiókokhoz egyenként. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

  1. A Azure Portal lépjen a Azure SQL Kiszolgáló lapjára.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása >lehetőséget.

    Képernyőkép a Hozzáférés-vezérlés (IAM) lapról, amelyen meg van nyitva a Szerepkör-hozzárendelés hozzáadása menü.

  4. A Szerepkör lapon válassza ki a szakasz elején felsorolt szerepkörök egyikét.

  5. A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kiválasztása lehetőséget.

  6. Válassza ki Azure-előfizetését.

  7. Válassza a Rendszer által hozzárendelt felügyelt identitás lehetőséget, keressen egy tárolót, majd válassza ki.

  8. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

Ezen engedélyek mellett engedélyeznie kell Microsoft megbízható szolgáltatásokhoz való hozzáférést. Ehhez kövesse az alábbi lépéseket:

  1. Lépjen a Tűzfalak és virtuális hálózatok elemre.

  2. A Kivételek területen válassza a Megbízható Microsoft szolgáltatások hozzáférésének engedélyezése ehhez a tárfiókhoz lehetőséget.

A virtuális gépek védelme

A fenti konfigurációk befejezése után folytassa a replikáció engedélyezését a virtuális gépeken. Az Site Recovery összes művelete további lépések nélkül működik, ha DNS-integrációt alkalmaztak privát végpontok létrehozásakor a tárolóban. Ha azonban a DNS-zónákat manuálisan hozza létre és konfigurálja, a replikáció engedélyezése után további lépésekre van szükség, amelyekkel adott DNS-rekordokat adhat hozzá a forrás- és a cél DNS-zónákhoz is. Részletekért és lépésekért lásd: Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása.

Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása

Ha nem adta meg a privát DNS-zónával való integrálás lehetőségét a tároló privát végpontjának létrehozásakor, kövesse az ebben a szakaszban ismertetett lépéseket.

Hozzon létre egy privát DNS-zónát, amellyel a mobilitási ügynök feloldhatja a privát kapcsolat teljes tartománynevét a privát IP-címekhez.

  1. Privát DNS-zóna létrehozása

    1. Keressen rá a "saját DNS zóna" kifejezésre a Minden szolgáltatás keresősávon, és válassza a "saját DNS zónák" lehetőséget a legördülő menüből.

      A

    2. A "saját DNS zónák" lapon kattintson a +Hozzáadás gombra az új zóna létrehozásához.

    3. A "Privát DNS-zóna létrehozása" lapon adja meg a szükséges adatokat. Adja meg a privát DNS-zóna nevét a következőként: privatelink.siterecovery.windowsazure.com. A létrehozáshoz bármelyik erőforráscsoportot és előfizetést kiválaszthatja.

      A Saját DNS zóna létrehozása lap Alapok lapját és a kapcsolódó projektadatokat jeleníti meg a Azure Portal.

    4. A DNS-zóna áttekintéséhez és létrehozásához lépjen a Véleményezés + létrehozás lapra.

  2. Privát DNS-zóna csatolása a virtuális hálózathoz

    A fent létrehozott privát DNS-zónákat most ahhoz a virtuális hálózathoz kell csatlakoztatni, ahol a kiszolgálók jelenleg találhatók. A privát DNS-zónát is előzetesen hozzá kell kapcsolnia a cél virtuális hálózathoz.

    1. Nyissa meg az előző lépésben létrehozott privát DNS-zónát, és navigáljon a lap bal oldalán található virtuális hálózati hivatkozásokra . Ha ott van, válassza a +Hozzáadás gombot.

    2. Adja meg a szükséges adatokat. Az Előfizetés és a Virtuális hálózat mezőket ki kell tölteni annak a virtuális hálózatnak a megfelelő adataival, ahol a kiszolgálók léteznek. A többi mezőnek a következőképpen kell megmaradnia.

      Megjeleníti azt a lapot, amelyen a Azure Portal hivatkozásnévvel, előfizetéssel és kapcsolódó virtuális hálózattal rendelkező virtuális hálózati hivatkozást vehet fel.

  3. DNS-rekordok hozzáadása

    Miután létrehozta a szükséges privát DNS-zónákat és a privát végpontokat, DNS-rekordokat kell hozzáadnia a DNS-zónákhoz.

    Megjegyzés

    Ha egyéni privát DNS-zónát használ, győződjön meg arról, hogy az alábbiakban ismertetett módon hasonló bejegyzések jelennek meg.

    Ehhez a lépéshez a privát végpontban lévő összes teljes tartománynévhez be kell lépnie a privát DNS-zónába.

    1. Nyissa meg a privát DNS-zónát, és lépjen a lap bal oldalán található Áttekintés szakaszra. Ha ott van, válassza a +Rekordkészlet lehetőséget a rekordok hozzáadásának megkezdéséhez.

    2. A megnyíló "Rekordkészlet hozzáadása" lapon adjon hozzá egy bejegyzést minden teljes tartománynévhez és magánhálózati IP-címhez A típusú rekordként. A teljes tartománynevek és IP-címek listája az Áttekintés "Privát végpont" lapján érhető el. Ahogy az alábbi példában látható, a privát végpont első teljes tartományneve hozzá lesz adva a privát DNS-zónában beállított rekordhoz.

      Ezek a teljes tartománynevek megegyeznek a mintával: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      A teljes tartománynév DNS A típusú rekordjának hozzáadására szolgáló lap a Azure Portal privát végpontjára.

    Megjegyzés

    A replikáció engedélyezése után két további teljes tartománynév jön létre a privát végpontokon mindkét régióban. Győződjön meg arról, hogy hozzáadja az újonnan létrehozott teljes tartománynevek DNS-rekordjait is.

Következő lépések

Most, hogy engedélyezte a privát végpontokat a virtuális gép replikációjához, további és kapcsolódó információkért tekintse meg ezeket a további lapokat: