Megosztás a következőn keresztül:

Gépek replikálása privát végpontokkal

  • Cikk

Az Azure Site Recovery lehetővé teszi az Azure Private Link privát végpontok használatát a gépek izolált virtuális hálózaton belüli replikálásához. A helyreállítási tárhoz való privát végpont-hozzáférés minden Azure Commercial & Government régióban támogatott.

Ez a cikk a következő lépések végrehajtásához nyújt útmutatást:

  • Hozzon létre egy Azure Backup Recovery Services-tárolót a gépek védelméhez.
  • Engedélyezze a tároló felügyelt identitását, és adja meg a szükséges engedélyeket az ügyfél tárfiókjaihoz való hozzáféréshez a forrásból a célhelyekre irányuló forgalom replikálásához. A tárolóhoz való privát kapcsolathoz való hozzáférés beállításakor felügyelt identitás-hozzáférésre van szükség a tárolóhoz.
  • DNS-módosítások szükségesek a privát végpontokhoz
  • Privát végpontok létrehozása és jóváhagyása egy virtuális hálózaton belüli tárolóhoz
  • Hozzon létre privát végpontokat a tárfiókokhoz. Szükség esetén továbbra is engedélyezheti a nyilvános vagy tűzfalas hozzáférést a tároláshoz. Az Azure Site Recovery esetében nem kötelező privát végpont létrehozása a tárterület eléréséhez.

Az alábbiakban egy referenciaarchitektúra látható, amely bemutatja, hogyan változik a replikációs munkafolyamat privát végpontokkal.

A Site Recovery referenciaarchitektúrája privát végpontokkal.

Előfeltételek és kikötések

  • Privát végpontok csak olyan új Recovery Services-tárolókhoz hozhatók létre, amelyeken nincs regisztrálva elem a tárolóban. Ezért a privát végpontokat létre kell hozni, mielőtt bármilyen elemet hozzáadnak a tárolóhoz. Tekintse át a privát végpontok díjszabási struktúráját.
  • Amikor privát végpontot hoz létre egy tárolóhoz, a tároló zárolva van, és nem érhető el a privát végpontokkal rendelkező hálózatoktól eltérő hálózatokról.
  • A Microsoft Entra ID jelenleg nem támogatja a privát végpontokat. Ezért a Microsoft Entra ID régióban való működéséhez szükséges IP-címeket és teljes tartományneveket engedélyezni kell a biztonságos hálózatról való kimenő hozzáféréshez. Az "Azure Active Directory" hálózati biztonsági csoport címkéje és az Azure Firewall-címkék is használhatók a Microsoft Entra-azonosítóhoz való hozzáférés engedélyezéséhez.
  • A forrásgépek és a helyreállítási gépek alhálózataiban legalább hét IP-cím szükséges . Amikor privát végpontot hoz létre a tárolóhoz, a Site Recovery öt privát hivatkozást hoz létre a mikroszolgáltatásokhoz való hozzáféréshez. Emellett a replikáció engedélyezésekor két további privát hivatkozást ad hozzá a forrás- és célrégió-párosításhoz.
  • A forrás- és helyreállítási alhálózatokban is szükség van egy további IP-címre. Erre az IP-címre csak akkor van szükség, ha gyorsítótár-tárfiókokhoz csatlakozó privát végpontokat kell használnia. A tároló privát végpontjai csak általános célú v2-típussal hozhatók létre. Tekintse át a GPv2-n történő adatátvitel díjszabási struktúráját.

Privát végpontok létrehozása és használata a Site Recoveryhez

Ez a szakasz az Azure Site Recovery privát végpontok virtuális hálózatokon belüli létrehozásának és használatának lépéseit ismerteti.

Feljegyzés

Erősen ajánlott, hogy ezeket a lépéseket a megadott sorrendben hajtsa végre. Ennek elmulasztása azt eredményezheti, hogy a tároló nem tud privát végpontokat használni, és új tárolóval kell újraindítania a folyamatot.

Helyreállítási tár létrehozása

A helyreállítási tár egy olyan entitás, amely a gépek replikációs adatait tartalmazza, és a Site Recovery-műveletek aktiválására szolgál. További információ: Recovery Services-tároló létrehozása.

Engedélyezze a felügyelt identitást a tárolóhoz.

A felügyelt identitás lehetővé teszi a tároló számára az ügyfél tárfiókjainak elérését. A Site Recoverynek a forgatókönyv követelményeitől függően hozzá kell férnie a forrástárolóhoz, a céltárolóhoz és a gyorsítótár-/naplótárfiókokhoz. A felügyelt identitáshoz való hozzáférés elengedhetetlen, ha privát kapcsolati szolgáltatást használ a tárolóhoz.

  1. Nyissa meg a Recovery Services-tárolót. Válassza az Identitás lehetőséget a Beállítások területen.

    Az Azure Portal és a Recovery Services lap megjelenítése.

  2. Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.

  3. A rendszer létrehoz egy objektumazonosítót , amely azt jelzi, hogy a tároló regisztrálva van az Azure Active Directoryban.

Privát végpontok létrehozása a Recovery Services-tárolóhoz

Az Azure-beli virtuális gépek feladatátvételének és feladat-visszavételének engedélyezéséhez két privát végpontra lesz szüksége a tárolóhoz. Egy privát végpont a forráshálózatban lévő gépek védelméhez, egy másik pedig a helyreállítási hálózaton lévő feladatátvételi gépek ismételt védelméhez.

A beállítási folyamat során győződjön meg arról, hogy helyreállítási virtuális hálózatot is létrehoz a célrégióban.

Hozza létre a tároló első privát végpontját a forrás virtuális hálózaton belül a portál Privát kapcsolatközpontja vagy az Azure PowerShell használatával. Hozza létre a második privát végpontot a tárolóhoz a helyreállítási hálózaton belül. Az alábbiakban a privát végpont forráshálózatban való létrehozásának lépéseit követjük. Ismételje meg ugyanezt az útmutatást a második privát végpont létrehozásához.

  1. Az Azure Portal keresősávján keresse meg és válassza a "Privát hivatkozás" lehetőséget. Ez a művelet a Privát kapcsolat központba viszi.

    Az Azure Portalon a Private Link Centerben való keresés látható.

  2. A bal oldali navigációs sávon válassza a Privát végpontok lehetőséget. A Privát végpontok lapon válassza a +Hozzáadás lehetőséget a privát végpont létrehozásához a tárolóhoz.

    Egy privát végpont létrehozását mutatja be a Private Link Centerben.

  3. A "Privát végpont létrehozása" felületen meg kell adnia a privát végpontkapcsolat létrehozásának részleteit.

    1. Alapismeretek: Adja meg a privát végpontok alapadatait. A régiónak meg kell egyeznie a forrásgépekkel.

      Az Alapszintű lap, a projekt részletei, az előfizetés és más kapcsolódó mezők megjelenítése privát végpont létrehozásához az Azure Portalon.

    2. Erőforrás: Ehhez a laphoz meg kell említenie azt a szolgáltatásként használható platformerőforrást, amelyhez létre szeretné hozni a kapcsolatot. Válassza ki a Microsoft.RecoveryServices/-tárolókat a kiválasztott előfizetés erőforrástípusából . Ezután válassza ki az erőforráshoz tartozó Recovery Services-tároló nevét, és állítsa be az Azure Site Recoveryt cél-alerőforrásként.

      Megjeleníti az Erőforrás lapot, az erőforrástípust, az erőforrást és a cél-alerőforrás-mezőket az Azure Portal privát végpontjaihoz való csatoláshoz.

    3. Konfiguráció: Konfigurációban adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez a virtuális hálózat az a hálózat, ahol a virtuális gép jelen van. Engedélyezze az integrációt a privát DNS-zónával az Igen gombra kattintva. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat. Az Igen beállítás automatikusan összekapcsolja a zónát a forrás virtuális hálózattal, és hozzáadja a privát végponthoz létrehozott új IP-címek ÉS teljes tartománynevek DNS-feloldásához szükséges DNS-rekordokat.

      Győződjön meg arról, hogy új DNS-zónát hoz létre minden olyan új privát végponthoz, amely ugyanahhoz a tárolóhoz csatlakozik. Ha meglévő privát DNS-zónát választ, a rendszer felülírja az előző CNAME rekordokat. A folytatás előtt tekintse meg a privát végpont útmutatását .

      Ha a környezet központi és küllős modellel rendelkezik, csak egy privát végpontra és egyetlen privát DNS-zónára van szüksége a teljes beállításhoz, mivel az összes virtuális hálózata között már engedélyezve van a társviszony-létesítés. További információ: Privát végpont DNS-integrációja.

      A privát DNS-zóna manuális létrehozásához kövesse a privát DNS-zónák létrehozása és a DNS-rekordok manuális hozzáadása című témakörben leírt lépéseket.

      A Konfiguráció lap az Azure Portalon található privát végpont konfigurálásának hálózati és DNS-integrációs mezőit jeleníti meg.

    4. Címkék: Igény szerint hozzáadhat címkéket a privát végponthoz.

    5. Áttekintés + létrehozás: Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

A privát végpont létrehozása után a rendszer öt teljes tartománynevet ad hozzá a privát végponthoz. Ezek a hivatkozások lehetővé teszik, hogy a virtuális hálózat gépei hozzáférjenek a tároló környezetében található összes szükséges Site Recovery-mikroszolgáltatáshoz. Később, amikor engedélyezi a replikációt, két további teljes tartománynév lesz hozzáadva ugyanahhoz a privát végponthoz.

Az öt tartománynév a következő mintával van formázva:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Privát végpontok jóváhagyása a Site Recoveryhez

Ha a privát végpontot létrehozó felhasználó a Recovery Services-tároló tulajdonosa is, a fent létrehozott privát végpont néhány percen belül automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot a használat előtt. A kért privát végpontkapcsolat jóváhagyásához vagy elutasításához lépjen a Privát végpontok kapcsolatok elemre a helyreállítási tár oldalán található "Beállítások" területen.

A privát végpont erőforrására lépve áttekintheti a kapcsolat állapotát a folytatás előtt.

Megjeleníti a tároló privát végpontkapcsolatok oldalát és az Azure Portalon található kapcsolatok listáját.

(Nem kötelező) Privát végpontok létrehozása a gyorsítótár-tárfiókhoz

Használhat privát végpontot az Azure Storage-ba. Az Azure Site Recovery-replikáció esetében nem kötelező privát végpontokat létrehozni a táreléréshez. Privát végpont létrehozásakor a következő követelmények vonatkoznak:

  • Magánvégpontra van szüksége a forrás virtuális hálózat gyorsítótár-/naplótárfiókjához.
  • A helyreállítási hálózat feladatátvételi gépeinek újravédésekor szüksége van egy második privát végpontra. Ez a privát végpont a célrégióban létrehozott új tárfiókhoz tartozik.

Feljegyzés

Ha a privát végpontok nincsenek engedélyezve a tárfiókban, a védelem továbbra is sikeres lesz. A replikációs forgalom azonban át lenne menő az Azure Site Recovery nyilvános végpontjaira. A privát kapcsolatokon keresztüli replikációs forgalom biztosításához a tárfiókot privát végpontokkal kell engedélyezni.

Feljegyzés

A tárterület privát végpontja csak általános célú v2-tárfiókokon hozható létre. A díjszabással kapcsolatos információkért tekintse meg a Standard lapblobok árait.

A privát tárterület létrehozásához kövesse az útmutatást egy privát végponttal rendelkező tárfiók létrehozásához. Győződjön meg arról, hogy az Igen lehetőséget választja a privát DNS-zónával való integrációhoz. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat.

A tárolóhoz szükséges engedélyek megadása

Ha a virtuális gépek felügyelt lemezeket használnak, a felügyelt identitásengedélyeket csak a gyorsítótár tárfiókjainak kell megadnia. Ha a virtuális gépek nem felügyelt lemezeket használnak, meg kell adnia a felügyelt identitásengedélyeket a forrás-, gyorsítótár- és céltárfiókokhoz. Ebben az esetben előre létre kell hoznia a céltárfiókot.

A virtuális gépek replikálásának engedélyezése előtt a tároló felügyelt identitásának a tárfiók típusától függően a következő szerepkör-engedélyekkel kell rendelkeznie:

Az alábbi lépések azt mutatják be, hogyan adhat hozzá szerepkör-hozzárendelést a tárfiókokhoz egyenként. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

  1. Az Azure Portalon keresse meg a létrehozott gyorsítótár-tárfiókot.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása > lehetőséget.

    Képernyőkép a Hozzáférés-vezérlés (IAM) lapról, amelyen meg van nyitva a Szerepkör-hozzárendelés hozzáadása menü.

  4. A Szerepkör lapon válassza ki a szakasz elején felsorolt szerepkörök egyikét.

  5. A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.

  6. Válassza ki az Azure-előfizetését.

  7. Válassza ki a rendszer által hozzárendelt felügyelt identitást, keressen egy tárolót, majd jelölje ki.

  8. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

Ezen engedélyek mellett engedélyeznie kell a Microsoft megbízható szolgáltatásaihoz való hozzáférést. Ehhez kövesse az alábbi lépéseket:

  1. Nyissa meg a tűzfalakat és a virtuális hálózatokat.

  2. A Kivételek területen válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez.

Virtuális gépek védelme

A fenti konfigurációk befejezése után folytassa a replikáció engedélyezését a virtuális gépeken. Az összes Site Recovery-művelet további lépések nélkül működik, ha a DNS-integrációt magánvégpontok létrehozásakor használták a tárolóban. Ha azonban a DNS-zónák manuálisan vannak létrehozva és konfigurálva, további lépésekre van szükség a dns-rekordok forrás- és cél DNS-zónákban való hozzáadásához a replikáció engedélyezése után. További részletekért és lépésekért lásd: Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása.

Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása

Ha nem adta meg a privát DNS-zónával való integrálás lehetőségét a tároló privát végpontjának létrehozásakor, kövesse az ebben a szakaszban leírt lépéseket.

Hozzon létre egy privát DNS-zónát, amellyel a mobilitási ügynök feloldhatja a teljes tartományneveket a magánhálózati IP-címekhez.

  1. Privát DNS-zóna létrehozása

    1. Keressen rá a "saját DNS zóna" kifejezésre a Minden szolgáltatás keresősávjában, és válassza a "saját DNS zónák" lehetőséget a legördülő menüből.

      A

    2. A "saját DNS zónák" lapon kattintson a +Hozzáadás gombra az új zóna létrehozásához.

    3. A "Privát DNS-zóna létrehozása" lapon adja meg a szükséges adatokat. Adja meg a privát DNS-zóna nevét.privatelink.siterecovery.windowsazure.com A létrehozáshoz bármilyen erőforráscsoportot és előfizetést választhat.

      Az Azure Portalon a Create saját DNS zónalap Alapismeretek lapja és a kapcsolódó projektadatok láthatók.

    4. A DNS-zóna áttekintéséhez és létrehozásához lépjen a Véleményezés + létrehozás lapra.

  2. Privát DNS-zóna csatolása a virtuális hálózathoz

    A fent létrehozott privát DNS-zónákat hozzá kell kapcsolni ahhoz a virtuális hálózathoz, ahol a kiszolgálók jelenleg találhatók. A privát DNS-zónát is hozzá kell kapcsolnia a cél virtuális hálózathoz.

    1. Lépjen az előző lépésben létrehozott privát DNS-zónára, és keresse meg a lap bal oldalán található virtuális hálózati hivatkozásokat . Ha ott van, válassza a +Hozzáadás gombot.

    2. Adja meg a szükséges adatokat. Az Előfizetés és a Virtuális hálózat mezőket ki kell tölteni annak a virtuális hálózatnak a megfelelő adataival, ahol a kiszolgálók léteznek. A többi mezőnek a következőképpen kell lennie.

      Megjeleníti a hivatkozást, az előfizetést és a kapcsolódó virtuális hálózatot tartalmazó virtuális hálózati hivatkozást az Azure Portalon.

  3. DNS-rekordok hozzáadása

    Miután létrehozta a szükséges privát DNS-zónákat és a privát végpontokat, DNS-rekordokat kell hozzáadnia a DNS-zónákhoz.

    Feljegyzés

    Ha egyéni privát DNS-zónát használ, győződjön meg arról, hogy az alábbiakban ismertetett módon hasonló bejegyzések jelennek meg.

    Ehhez a lépéshez be kell illesztenie a privát végpont minden teljes tartománynevét a privát DNS-zónába.

    1. Nyissa meg a privát DNS-zónát, és keresse meg a lap bal oldalán található Áttekintés szakaszt. Ha ott van, válassza a +Rekordkészlet lehetőséget a rekordok hozzáadásának megkezdéséhez.

    2. A megnyíló "Rekordhalmaz hozzáadása" lapon adjon hozzá egy bejegyzést minden teljes tartománynévhez és privát IP-címhez A típusú rekordként. A teljes tartománynevek és IP-címek listája az Áttekintés "Privát végpont" lapján érhető el. Ahogy az alábbi példában látható, a rendszer hozzáadja a privát végpont első teljes tartománynevét a privát DNS-zónában beállított rekordhoz.

      Ezek a teljes tartománynevek megegyeznek a mintával: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      A teljes tartománynév DNS A típusú rekordjának az Azure Portal privát végponthoz való hozzáadására szolgáló lap.

    Feljegyzés

    A replikáció engedélyezése után két további teljes tartománynév jön létre mindkét régió privát végpontján. Győződjön meg arról, hogy az újonnan létrehozott teljes tartománynevekHEZ is hozzáadja a DNS-rekordokat.

Következő lépések

Most, hogy engedélyezte a privát végpontokat a virtuális gép replikációjához, további és kapcsolódó információkért tekintse meg az alábbi lapokat: