Gépek replikálása privát végpontokkal
Az Azure Site Recovery lehetővé teszi az Azure Private Link privát végpontok használatát a gépek izolált virtuális hálózaton belüli replikálásához. A helyreállítási tárhoz való privát végpont-hozzáférés minden Azure Commercial & Government régióban támogatott.
Ez a cikk a következő lépések végrehajtásához nyújt útmutatást:
- Hozzon létre egy Azure Backup Recovery Services-tárolót a gépek védelméhez.
- Engedélyezze a tároló felügyelt identitását, és adja meg a szükséges engedélyeket az ügyfél tárfiókjaihoz való hozzáféréshez a forrásból a célhelyekre irányuló forgalom replikálásához. A tárolóhoz való privát kapcsolathoz való hozzáférés beállításakor felügyelt identitás-hozzáférésre van szükség a tárolóhoz.
- DNS-módosítások szükségesek a privát végpontokhoz
- Privát végpontok létrehozása és jóváhagyása egy virtuális hálózaton belüli tárolóhoz
- Hozzon létre privát végpontokat a tárfiókokhoz. Szükség esetén továbbra is engedélyezheti a nyilvános vagy tűzfalas hozzáférést a tároláshoz. Az Azure Site Recovery esetében nem kötelező privát végpont létrehozása a tárterület eléréséhez.
Az alábbiakban egy referenciaarchitektúra látható, amely bemutatja, hogyan változik a replikációs munkafolyamat privát végpontokkal.
Előfeltételek és kikötések
- Privát végpontok csak olyan új Recovery Services-tárolókhoz hozhatók létre, amelyeken nincs regisztrálva elem a tárolóban. Ezért a privát végpontokat létre kell hozni, mielőtt bármilyen elemet hozzáadnak a tárolóhoz. Tekintse át a privát végpontok díjszabási struktúráját.
- Amikor privát végpontot hoz létre egy tárolóhoz, a tároló zárolva van, és nem érhető el a privát végpontokkal rendelkező hálózatoktól eltérő hálózatokról.
- A Microsoft Entra ID jelenleg nem támogatja a privát végpontokat. Ezért a Microsoft Entra ID régióban való működéséhez szükséges IP-címeket és teljes tartományneveket engedélyezni kell a biztonságos hálózatról való kimenő hozzáféréshez. Az "Azure Active Directory" hálózati biztonsági csoport címkéje és az Azure Firewall-címkék is használhatók a Microsoft Entra-azonosítóhoz való hozzáférés engedélyezéséhez.
- A forrásgépek és a helyreállítási gépek alhálózataiban legalább hét IP-cím szükséges . Amikor privát végpontot hoz létre a tárolóhoz, a Site Recovery öt privát hivatkozást hoz létre a mikroszolgáltatásokhoz való hozzáféréshez. Emellett a replikáció engedélyezésekor két további privát hivatkozást ad hozzá a forrás- és célrégió-párosításhoz.
- A forrás- és helyreállítási alhálózatokban is szükség van egy további IP-címre. Erre az IP-címre csak akkor van szükség, ha gyorsítótár-tárfiókokhoz csatlakozó privát végpontokat kell használnia. A tároló privát végpontjai csak általános célú v2-típussal hozhatók létre. Tekintse át a GPv2-n történő adatátvitel díjszabási struktúráját.
Privát végpontok létrehozása és használata a Site Recoveryhez
Ez a szakasz az Azure Site Recovery privát végpontok virtuális hálózatokon belüli létrehozásának és használatának lépéseit ismerteti.
Feljegyzés
Erősen ajánlott, hogy ezeket a lépéseket a megadott sorrendben hajtsa végre. Ennek elmulasztása azt eredményezheti, hogy a tároló nem tud privát végpontokat használni, és új tárolóval kell újraindítania a folyamatot.
Helyreállítási tár létrehozása
A helyreállítási tár egy olyan entitás, amely a gépek replikációs adatait tartalmazza, és a Site Recovery-műveletek aktiválására szolgál. További információ: Recovery Services-tároló létrehozása.
Engedélyezze a felügyelt identitást a tárolóhoz.
A felügyelt identitás lehetővé teszi a tároló számára az ügyfél tárfiókjainak elérését. A Site Recoverynek a forgatókönyv követelményeitől függően hozzá kell férnie a forrástárolóhoz, a céltárolóhoz és a gyorsítótár-/naplótárfiókokhoz. A felügyelt identitáshoz való hozzáférés elengedhetetlen, ha privát kapcsolati szolgáltatást használ a tárolóhoz.
Nyissa meg a Recovery Services-tárolót. Válassza az Identitás lehetőséget a Beállítások területen.
Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.
A rendszer létrehoz egy objektumazonosítót , amely azt jelzi, hogy a tároló regisztrálva van az Azure Active Directoryban.
Privát végpontok létrehozása a Recovery Services-tárolóhoz
Az Azure-beli virtuális gépek feladatátvételének és feladat-visszavételének engedélyezéséhez két privát végpontra lesz szüksége a tárolóhoz. Egy privát végpont a forráshálózatban lévő gépek védelméhez, egy másik pedig a helyreállítási hálózaton lévő feladatátvételi gépek ismételt védelméhez.
A beállítási folyamat során győződjön meg arról, hogy helyreállítási virtuális hálózatot is létrehoz a célrégióban.
Hozza létre a tároló első privát végpontját a forrás virtuális hálózaton belül a portál Privát kapcsolatközpontja vagy az Azure PowerShell használatával. Hozza létre a második privát végpontot a tárolóhoz a helyreállítási hálózaton belül. Az alábbiakban a privát végpont forráshálózatban való létrehozásának lépéseit követjük. Ismételje meg ugyanezt az útmutatást a második privát végpont létrehozásához.
Az Azure Portal keresősávján keresse meg és válassza a "Privát hivatkozás" lehetőséget. Ez a művelet a Privát kapcsolat központba viszi.
A bal oldali navigációs sávon válassza a Privát végpontok lehetőséget. A Privát végpontok lapon válassza a +Hozzáadás lehetőséget a privát végpont létrehozásához a tárolóhoz.
A "Privát végpont létrehozása" felületen meg kell adnia a privát végpontkapcsolat létrehozásának részleteit.
Alapismeretek: Adja meg a privát végpontok alapadatait. A régiónak meg kell egyeznie a forrásgépekkel.
Erőforrás: Ehhez a laphoz meg kell említenie azt a szolgáltatásként használható platformerőforrást, amelyhez létre szeretné hozni a kapcsolatot. Válassza ki a Microsoft.RecoveryServices/-tárolókat a kiválasztott előfizetés erőforrástípusából . Ezután válassza ki az erőforráshoz tartozó Recovery Services-tároló nevét, és állítsa be az Azure Site Recoveryt cél-alerőforrásként.
Konfiguráció: Konfigurációban adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez a virtuális hálózat az a hálózat, ahol a virtuális gép jelen van. Engedélyezze az integrációt a privát DNS-zónával az Igen gombra kattintva. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat. Az Igen beállítás automatikusan összekapcsolja a zónát a forrás virtuális hálózattal, és hozzáadja a privát végponthoz létrehozott új IP-címek ÉS teljes tartománynevek DNS-feloldásához szükséges DNS-rekordokat.
Győződjön meg arról, hogy új DNS-zónát hoz létre minden olyan új privát végponthoz, amely ugyanahhoz a tárolóhoz csatlakozik. Ha meglévő privát DNS-zónát választ, a rendszer felülírja az előző CNAME rekordokat. A folytatás előtt tekintse meg a privát végpont útmutatását .
Ha a környezet központi és küllős modellel rendelkezik, csak egy privát végpontra és egyetlen privát DNS-zónára van szüksége a teljes beállításhoz, mivel az összes virtuális hálózata között már engedélyezve van a társviszony-létesítés. További információ: Privát végpont DNS-integrációja.
A privát DNS-zóna manuális létrehozásához kövesse a privát DNS-zónák létrehozása és a DNS-rekordok manuális hozzáadása című témakörben leírt lépéseket.
Címkék: Igény szerint hozzáadhat címkéket a privát végponthoz.
Áttekintés + létrehozás: Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
A privát végpont létrehozása után a rendszer öt teljes tartománynevet ad hozzá a privát végponthoz. Ezek a hivatkozások lehetővé teszik, hogy a virtuális hálózat gépei hozzáférjenek a tároló környezetében található összes szükséges Site Recovery-mikroszolgáltatáshoz. Később, amikor engedélyezi a replikációt, két további teljes tartománynév lesz hozzáadva ugyanahhoz a privát végponthoz.
Az öt tartománynév a következő mintával van formázva:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
Privát végpontok jóváhagyása a Site Recoveryhez
Ha a privát végpontot létrehozó felhasználó a Recovery Services-tároló tulajdonosa is, a fent létrehozott privát végpont néhány percen belül automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot a használat előtt. A kért privát végpontkapcsolat jóváhagyásához vagy elutasításához lépjen a Privát végpontok kapcsolatok elemre a helyreállítási tár oldalán található "Beállítások" területen.
A privát végpont erőforrására lépve áttekintheti a kapcsolat állapotát a folytatás előtt.
(Nem kötelező) Privát végpontok létrehozása a gyorsítótár-tárfiókhoz
Használhat privát végpontot az Azure Storage-ba. Az Azure Site Recovery-replikáció esetében nem kötelező privát végpontokat létrehozni a táreléréshez. Privát végpont létrehozásakor a következő követelmények vonatkoznak:
- Magánvégpontra van szüksége a forrás virtuális hálózat gyorsítótár-/naplótárfiókjához.
- A helyreállítási hálózat feladatátvételi gépeinek újravédésekor szüksége van egy második privát végpontra. Ez a privát végpont a célrégióban létrehozott új tárfiókhoz tartozik.
Feljegyzés
Ha a privát végpontok nincsenek engedélyezve a tárfiókban, a védelem továbbra is sikeres lesz. A replikációs forgalom azonban át lenne menő az Azure Site Recovery nyilvános végpontjaira. A privát kapcsolatokon keresztüli replikációs forgalom biztosításához a tárfiókot privát végpontokkal kell engedélyezni.
Feljegyzés
A tárterület privát végpontja csak általános célú v2-tárfiókokon hozható létre. A díjszabással kapcsolatos információkért tekintse meg a Standard lapblobok árait.
A privát tárterület létrehozásához kövesse az útmutatást egy privát végponttal rendelkező tárfiók létrehozásához. Győződjön meg arról, hogy az Igen lehetőséget választja a privát DNS-zónával való integrációhoz. Válasszon ki egy már létrehozott DNS-zónát, vagy hozzon létre egy újat.
A tárolóhoz szükséges engedélyek megadása
Ha a virtuális gépek felügyelt lemezeket használnak, a felügyelt identitásengedélyeket csak a gyorsítótár tárfiókjainak kell megadnia. Ha a virtuális gépek nem felügyelt lemezeket használnak, meg kell adnia a felügyelt identitásengedélyeket a forrás-, gyorsítótár- és céltárfiókokhoz. Ebben az esetben előre létre kell hoznia a céltárfiókot.
A virtuális gépek replikálásának engedélyezése előtt a tároló felügyelt identitásának a tárfiók típusától függően a következő szerepkör-engedélyekkel kell rendelkeznie:
- Resource Manager-alapú tárfiókok (standard típus):
- Resource Manager-alapú tárfiókok (Prémium típus):
- Klasszikus tárfiókok:
Az alábbi lépések azt mutatják be, hogyan adhat hozzá szerepkör-hozzárendelést a tárfiókokhoz egyenként. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Az Azure Portalon keresse meg a létrehozott gyorsítótár-tárfiókot.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelés hozzáadása > lehetőséget.
A Szerepkör lapon válassza ki a szakasz elején felsorolt szerepkörök egyikét.
A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.
Válassza ki az Azure-előfizetését.
Válassza ki a rendszer által hozzárendelt felügyelt identitást, keressen egy tárolót, majd jelölje ki.
A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.
Ezen engedélyek mellett engedélyeznie kell a Microsoft megbízható szolgáltatásaihoz való hozzáférést. Ehhez kövesse az alábbi lépéseket:
Nyissa meg a tűzfalakat és a virtuális hálózatokat.
A Kivételek területen válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez.
Virtuális gépek védelme
A fenti konfigurációk befejezése után folytassa a replikáció engedélyezését a virtuális gépeken. Az összes Site Recovery-művelet további lépések nélkül működik, ha a DNS-integrációt magánvégpontok létrehozásakor használták a tárolóban. Ha azonban a DNS-zónák manuálisan vannak létrehozva és konfigurálva, további lépésekre van szükség a dns-rekordok forrás- és cél DNS-zónákban való hozzáadásához a replikáció engedélyezése után. További részletekért és lépésekért lásd: Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása.
Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása
Ha nem adta meg a privát DNS-zónával való integrálás lehetőségét a tároló privát végpontjának létrehozásakor, kövesse az ebben a szakaszban leírt lépéseket.
Hozzon létre egy privát DNS-zónát, amellyel a mobilitási ügynök feloldhatja a teljes tartományneveket a magánhálózati IP-címekhez.
Privát DNS-zóna létrehozása
Keressen rá a "saját DNS zóna" kifejezésre a Minden szolgáltatás keresősávjában, és válassza a "saját DNS zónák" lehetőséget a legördülő menüből.
A "saját DNS zónák" lapon kattintson a +Hozzáadás gombra az új zóna létrehozásához.
A "Privát DNS-zóna létrehozása" lapon adja meg a szükséges adatokat. Adja meg a privát DNS-zóna nevét.
privatelink.siterecovery.windowsazure.com
A létrehozáshoz bármilyen erőforráscsoportot és előfizetést választhat.A DNS-zóna áttekintéséhez és létrehozásához lépjen a Véleményezés + létrehozás lapra.
Privát DNS-zóna csatolása a virtuális hálózathoz
A fent létrehozott privát DNS-zónákat hozzá kell kapcsolni ahhoz a virtuális hálózathoz, ahol a kiszolgálók jelenleg találhatók. A privát DNS-zónát is hozzá kell kapcsolnia a cél virtuális hálózathoz.
Lépjen az előző lépésben létrehozott privát DNS-zónára, és keresse meg a lap bal oldalán található virtuális hálózati hivatkozásokat . Ha ott van, válassza a +Hozzáadás gombot.
Adja meg a szükséges adatokat. Az Előfizetés és a Virtuális hálózat mezőket ki kell tölteni annak a virtuális hálózatnak a megfelelő adataival, ahol a kiszolgálók léteznek. A többi mezőnek a következőképpen kell lennie.
DNS-rekordok hozzáadása
Miután létrehozta a szükséges privát DNS-zónákat és a privát végpontokat, DNS-rekordokat kell hozzáadnia a DNS-zónákhoz.
Feljegyzés
Ha egyéni privát DNS-zónát használ, győződjön meg arról, hogy az alábbiakban ismertetett módon hasonló bejegyzések jelennek meg.
Ehhez a lépéshez be kell illesztenie a privát végpont minden teljes tartománynevét a privát DNS-zónába.
Nyissa meg a privát DNS-zónát, és keresse meg a lap bal oldalán található Áttekintés szakaszt. Ha ott van, válassza a +Rekordkészlet lehetőséget a rekordok hozzáadásának megkezdéséhez.
A megnyíló "Rekordhalmaz hozzáadása" lapon adjon hozzá egy bejegyzést minden teljes tartománynévhez és privát IP-címhez A típusú rekordként. A teljes tartománynevek és IP-címek listája az Áttekintés "Privát végpont" lapján érhető el. Ahogy az alábbi példában látható, a rendszer hozzáadja a privát végpont első teljes tartománynevét a privát DNS-zónában beállított rekordhoz.
Ezek a teljes tartománynevek megegyeznek a mintával:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
Feljegyzés
A replikáció engedélyezése után két további teljes tartománynév jön létre mindkét régió privát végpontján. Győződjön meg arról, hogy az újonnan létrehozott teljes tartománynevekHEZ is hozzáadja a DNS-rekordokat.
Következő lépések
Most, hogy engedélyezte a privát végpontokat a virtuális gép replikációjához, további és kapcsolódó információkért tekintse meg az alábbi lapokat:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: