Helyszíni gépek replikálása privát végpontok használatával
Az Azure Site Recovery lehetővé teszi, hogy az Azure Private Link privát végpontjaival replikálja a helyszíni gépeket egy Azure-beli virtuális hálózatra. A helyreállítási tárhoz való privát végpont-hozzáférés minden Azure Commercial & Government régióban támogatott.
Feljegyzés
A privát végpontok esetében az automatikus frissítések nem támogatottak. További információ.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Hozzon létre egy Azure Backup Recovery Services-tárolót a gépek védelméhez.
- Felügyelt identitás engedélyezése a tárolóhoz. Adja meg a tárfiókokhoz való hozzáféréshez szükséges engedélyeket a helyszíni és az Azure-beli célhelyek közötti forgalom replikációjának engedélyezéséhez. A tárolóhoz való privát kapcsolathoz való hozzáféréshez felügyelt identitás-hozzáférés szükséges a tárolóhoz.
- Végezze el a privát végpontokhoz szükséges DNS-módosításokat.
- Privát végpontok létrehozása és jóváhagyása egy virtuális hálózaton belüli tárolóhoz.
- Hozzon létre privát végpontokat a tárfiókokhoz. Szükség esetén továbbra is engedélyezheti a nyilvános vagy tűzfalas hozzáférést a tároláshoz. Az Azure Site Recovery esetében nincs szükség privát végpont létrehozására a tároló eléréséhez.
Az alábbi ábra a hibrid vészhelyreállítás replikációs munkafolyamatát mutatja be privát végpontokkal. A helyszíni hálózaton nem hozhat létre privát végpontokat. A privát kapcsolatok használatához létre kell hoznia egy Azure-beli virtuális hálózatot ( ebben a cikkben megkerülő hálózatot ), privát kapcsolatot kell létesítenie a helyszíni és a megkerülő hálózat között, majd létre kell hoznia privát végpontokat a megkerülő hálózaton. A privát kapcsolatok bármely formáját kiválaszthatja.
Előfeltételek és kikötések
Mielőtt hozzákezd, jegyezze fel a következőket:
- A Privát hivatkozások a Site Recovery 9.35-ös és újabb verzióiban támogatottak.
- Privát végpontokat csak olyan új Recovery Services-tárolókhoz hozhat létre, amelyekhez nincs regisztrálva elem. Ezért privát végpontokat kell létrehoznia, mielőtt bármilyen elemet hozzáad a tárolóhoz. Díjszabási információkért tekintse meg az Azure Private Link díjszabását .
- Amikor privát végpontot hoz létre egy tárolóhoz, a tároló zárolva lesz. Csak privát végpontokkal rendelkező hálózatokról érhető el.
- A Microsoft Entra ID jelenleg nem támogatja a privát végpontokat. Ezért engedélyeznie kell a biztonságos Azure-beli virtuális hálózatról az IP-címekhez való kimenő hozzáférést, valamint azokat a teljes tartományneveket, amelyek szükségesek ahhoz, hogy a Microsoft Entra ID egy régióban működjön. A hálózati biztonsági csoport "Microsoft Entra ID" címkéje és az Azure Firewall címkéi is használhatók a Microsoft Entra-azonosítóhoz való hozzáférés engedélyezéséhez.
- Öt IP-címre van szükség a megkerülő hálózaton, ahol a privát végpontot hozza létre. Amikor privát végpontot hoz létre a tárolóhoz, a Site Recovery öt privát hivatkozást hoz létre a mikroszolgáltatásokhoz való hozzáféréshez.
- A gyorsítótár-tárfiókhoz való privát végpontkapcsolathoz további IP-cím szükséges a megkerülő hálózaton. Bármilyen kapcsolati módszert használhat a helyszíni és a tárfiók végpontja között. Használhatja például az internetet vagy az Azure ExpressRoute-ot. A privát kapcsolat létrehozása nem kötelező. Privát végpontokat csak általános célú v2-fiókokban hozhat létre a tárterülethez. Az Általános célú v2-fiókok adatátviteli díjszabásáról az Azure Page Blobs díjszabásában olvashat.
Feljegyzés
Miközben privát végpontokat állít be a VMware és a fizikai gépek védelmére, manuálisan kell telepítenie a MySQL-t a konfigurációs kiszolgálóra. A manuális telepítés végrehajtásához kövesse az itt leírt lépéseket.
Engedélyezendő URL-címek
Ha a privát kapcsolatot modernizált felülettel használja A VMware virtuális gépekhez, nyilvános hozzáférésre van szükség néhány erőforráshoz. Az alábbiakban az engedélyezési lista összes URL-címét meg kell adni. Ha proxyalapú konfigurációt használ, győződjön meg arról, hogy a proxy feloldja a kapott CNAME rekordokat az URL-címek keresésekor.
URL-cím | Részletek |
---|---|
portal.azure.com | Lépjen az Azure Portalra. |
*.windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com |
Az Azure-előfizetésbe való bejelentkezéshez. |
*.microsoftonline.com *.microsoftonline-p.com |
Microsoft Entra-alkalmazások létrehozása a berendezéshez az Azure Site Recoveryvel való kommunikációhoz. |
management.azure.com |
Az Azure Resource Manager üzemelő példányaihoz és műveleteihez használatos. |
*.siterecovery.windowsazure.com |
A Site Recovery-szolgáltatásokhoz való csatlakozáshoz használatos. |
Győződjön meg arról, hogy a következő URL-címek engedélyezettek és elérhetők az Azure Site Recovery replikációs berendezésről a folyamatos kapcsolat érdekében, amikor engedélyezi a replikációt egy kormányzati felhőbe:
A Fairfax URL-címe | A Mooncake URL-címe | Részletek |
---|---|---|
login.microsoftonline.us/* graph.windows.net |
login.microsoftonline.cn graph.chinacloudapi.cn |
Az Azure-előfizetésbe való bejelentkezéshez. |
*.portal.azure.us |
*.portal.azure.cn |
Lépjen az Azure Portalra. |
management.usgovcloudapi.net |
management.chinacloudapi.cn |
Microsoft Entra-alkalmazásokat hozhat létre a berendezéshez az Azure Site Recovery szolgáltatással való kommunikációhoz. |
Privát végpontok létrehozása és használata a site recoveryhez
A következő szakaszok ismertetik a privát végpontok virtuális hálózatokban való létrehozásához és használatához szükséges lépéseket.
Feljegyzés
Javasoljuk, hogy kövesse az alábbi lépéseket a megjelenített sorrendben. Ha nem, előfordulhat, hogy nem tud privát végpontokat használni a tárolóban, és előfordulhat, hogy újra kell indítania a folyamatot egy új tárolóval.
Helyreállítási tár létrehozása
A Helyreállítási tár tartalmazza a gépek replikációs adatait. A Site Recovery-műveletek aktiválására szolgál. Ha tudni szeretné, hogyan hozhat létre helyreállítási tárat abban az Azure-régióban, ahol katasztrófa esetén feladatátvételt szeretne végezni, olvassa el a Recovery Services-tároló létrehozása című témakört.
A tároló felügyelt identitásának engedélyezése
A felügyelt identitás lehetővé teszi a tároló számára a tárfiókok elérését. Előfordulhat, hogy a Site Recoverynek a követelményektől függően hozzá kell férnie a céltár- és gyorsítótár-/naplótárfiókokhoz. Felügyelt identitáshoz való hozzáférésre van szükség, ha a privát kapcsolat szolgáltatást használja a tárolóhoz.
Nyissa meg a Recovery Services-tárolót. Válassza ki az identitást a Gépház alatt:
Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.
Létre kell hozni egy objektumazonosítót. A tároló regisztrálva lett a Microsoft Entra-azonosítóval.
Privát végpontok létrehozása a Recovery Services-tárolóhoz
A helyszíni forráshálózatban lévő gépek védelméhez egy privát végpontra lesz szüksége a tárolóhoz a megkerülő hálózaton. A privát végpontot a Private Link Center használatával hozhatja létre az Azure Portalon vagy az Azure PowerShell használatával.
Privát végpont létrehozásához kövesse az alábbi lépéseket:
Az Azure Portalon válassza az Erőforrás létrehozása elemet.
Keressen rá az Azure Marketplace-en privát hivatkozásra.
Válassza a Privát hivatkozás lehetőséget a keresési eredmények közül, majd a Biztonsági mentés és a Site Recovery lapon válassza a Létrehozás lehetőséget.
A bal oldali panelen válassza a Privát végpontok lehetőséget. A Privát végpontok lapon válassza a Létrehozás lehetőséget a tároló privát végpontjának létrehozásához:
A Privát végpont létrehozása lap Alapszintű>projekt részletei szakaszában tegye a következőket:
- Az Előfizetés csoportban válassza a Contoso Environment lehetőséget.
- Az Erőforráscsoportban válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Például: ContosoCloudRG.
A Privát végpont létrehozása lap Alapszintű>példány részletei szakaszában tegye a következőket:
- A Név mezőben adjon meg egy, a tárolót azonosító rövid nevet. Például ContosoPrivateEP.
- A hálózati adapter neve automatikusan ki lesz töltve az előző lépésben megadott név alapján.
- A régióban használja az áthidaló hálózathoz használt régiót. Például ( Európa) Az Egyesült Királyság déli régiója.
- Válassza a Tovább lehetőséget.
Az Erőforrás szakaszban tegye a következőket:
- A Csatlakozás ion metódusban válassza ki a címtáramban lévő Azure-erőforrás Csatlakozás.
- Az Előfizetésben válassza a Contoso Environment lehetőséget.
- A kiválasztott előfizetés erőforrástípusában válassza a Microsoft.RecoveryServices/vaultok lehetőséget.
- Válassza ki a Recovery Services-tároló nevét az Erőforrás területen.
- Válassza az AzureSiteRecovery lehetőséget cél-alerőforrásként.
- Válassza a Tovább lehetőséget.
A Virtuális hálózat szakaszban tegye a következőket:
- A Virtuális hálózat területen válasszon ki egy megkerülő hálózatot.
- Az Alhálózat területen adja meg azt az alhálózatot, ahol létre szeretné hozni a privát végpontot.
- A Privát IP-konfiguráció csoportban tartsa meg az alapértelmezett beállítást.
- Válassza a Tovább lehetőséget.
A DNS szakaszban tegye a következőket:
- Engedélyezze az integrációt egy privát DNS-zónával az Igen gombra kattintva.
Feljegyzés
Az Igen lehetőség választása automatikusan összekapcsolja a zónát a megkerülő hálózathoz. Ez a művelet az új IP-címek DNS-feloldásához szükséges DNS-rekordokat és a privát végponthoz létrehozott teljes tartományneveket is hozzáadja.
- Válasszon ki egy meglévő DNS-zónát, vagy hozzon létre egy újat.
Győződjön meg arról, hogy új DNS-zónát hoz létre minden olyan új privát végponthoz, amely ugyanahhoz a tárolóhoz csatlakozik. Ha meglévő privát DNS-zónát választ, a rendszer felülírja az előző CNAME rekordokat. A folytatás előtt tekintse meg a privát végpontra vonatkozó útmutatást .
Ha a környezet egy küllős és egy küllős modellel rendelkezik, a teljes beállításhoz csak egy privát végpontra és egy privát DNS-zónára van szükség. Ennek az az oka, hogy az összes virtuális hálózat között már engedélyezve van a társviszony-létesítés. További információ: Privát végpont DNS-integrációja.
A privát DNS-zóna manuális létrehozásához kövesse a privát DNS-zónák létrehozása és a DNS-rekordok manuális hozzáadása című témakörben leírt lépéseket.
- Engedélyezze az integrációt egy privát DNS-zónával az Igen gombra kattintva.
A Címkék szakaszban címkéket adhat hozzá a privát végponthoz.
Tekintse át és hozza létre. Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
A privát végpont létrehozásakor a rendszer öt teljes tartománynevet (FQDN- t) ad hozzá a privát végponthoz. Ezek a hivatkozások lehetővé teszik a helyszíni hálózatban lévő gépek számára, hogy a megkerülő hálózaton keresztül elérjék a tároló környezetében található összes szükséges Site Recovery-mikroszolgáltatást. Ugyanazt a privát végpontot használhatja a megkerülő hálózaton és az összes társhálózaton lévő Azure-gép védelméhez.
Az öt tartománynév ebben a mintában van formázva:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
Privát végpontok jóváhagyása a site recoveryhez
Ha létrehozza a privát végpontot, és Ön is a Recovery Services-tároló tulajdonosa, a korábban létrehozott privát végpont néhány percen belül automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot, mielőtt használhatja. A kért privát végpontkapcsolat jóváhagyásához vagy elutasításához nyissa meg a privát végpontkapcsolatokat a helyreállítási tár lapján Gépház alatt.
A folytatás előtt a privát végpont erőforrására léphet, hogy áttekintse a kapcsolat állapotát:
(Nem kötelező) Privát végpontok létrehozása a gyorsítótár-tárfiókhoz
Privát végpontot használhat az Azure Storage-hoz. Az Azure Site Recovery-replikáció esetében nem kötelező privát végpontokat létrehozni a táreléréshez. Ha privát végpontot hoz létre a tároláshoz, szüksége lesz egy privát végpontra a gyorsítótár-/naplótárfiókhoz a megkerülő virtuális hálózaton.
Feljegyzés
Ha a privát végpontok nincsenek engedélyezve a tárfiókban, a védelem továbbra is sikeres lesz. A replikációs forgalom azonban az interneten keresztül haladna át az Azure Site Recovery nyilvános végpontjaira. A privát kapcsolatokon keresztüli replikációs forgalom biztosításához a tárfiókot privát végpontokkal kell engedélyezni.
Feljegyzés
A tároló privát végpontjai csak általános célú v2-tárfiókokon hozhatók létre. A díjszabással kapcsolatos információkért tekintse meg az Azure Page Blobs díjszabását.
Kövesse az útmutatást a privát tárterület létrehozásához egy privát végponttal rendelkező tárfiók létrehozásához. Mindenképpen válassza az Igen lehetőséget az Integrálás privát DNS-zónával csoportban. Válasszon ki egy meglévő DNS-zónát, vagy hozzon létre egy újat.
A tárolóhoz szükséges engedélyek megadása
A beállítástól függően szükség lehet egy vagy több tárfiókra a cél Azure-régióban. Ezután adja meg a felügyelt identitás engedélyeit a Site Recovery által igényelt összes gyorsítótár-/naplótárfiókhoz. Ebben az esetben előre létre kell hoznia a szükséges tárfiókokat.
A virtuális gépek replikálásának engedélyezése előtt a tároló felügyelt identitásának a tárfiók típusától függően a következő szerepkör-engedélyekkel kell rendelkeznie.
- Resource Manager-alapú tárfiókok (Standard típus):
- Resource Manager-alapú tárfiókok (Prémium típus):
- Klasszikus tárfiókok:
Az alábbi lépések bemutatják, hogyan adhat hozzá szerepkör-hozzárendelést a tárfiókhoz. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Nyissa meg a tárfiókot.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelés hozzáadása > lehetőséget.
A Szerepkör lapon válassza ki a szakasz elején felsorolt szerepkörök egyikét.
A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.
Válassza ki az Azure-előfizetését.
Válassza ki a rendszer által hozzárendelt felügyelt identitást, keressen egy tárolót, majd jelölje ki.
A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.
Ezen engedélyek mellett engedélyeznie kell a Microsoft megbízható szolgáltatásaihoz való hozzáférést. Ehhez kövesse az alábbi lépéseket:
- Nyissa meg a tűzfalakat és a virtuális hálózatokat.
- A Kivételek területen válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez.
Virtuális gépek védelme
Az előző feladatok elvégzése után folytassa a helyszíni infrastruktúra beállításával. Folytassa a következő feladatok egyikének elvégzésével:
- Konfigurációs kiszolgáló üzembe helyezése VMware-hez és fizikai gépekhez
- A Hyper-V-környezet beállítása replikációhoz
A telepítés befejezése után engedélyezze a replikációt a forrásgépeken. Ne állítsa be az infrastruktúrát, amíg a tároló privát végpontjai létre nem jönnek a megkerülő hálózaton.
Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása
Ha nem adta meg a privát DNS-zónával való integrálás lehetőségét a tároló privát végpontjának létrehozásakor, kövesse az ebben a szakaszban leírt lépéseket.
Hozzon létre egy privát DNS-zónát, amellyel a Site Recovery-szolgáltató (Hyper-V-gépekhez) vagy a folyamatkiszolgáló (VMware/fizikai gépek esetén) fel tudja oldani a magánhálózati teljes tartományneveket a magánhálózati IP-címekre.
Hozzon létre egy privát DNS-zónát.
Keresse meg a privát DNS-zónát a Minden szolgáltatás keresőmezőjében, majd válassza saját DNS zónát az eredmények között:
A saját DNS zónák lapon kattintson a Hozzáadás gombra egy új zóna létrehozásához.
A Privát DNS-zóna létrehozása lapon adja meg a szükséges adatokat. Adja meg privatelink.siterecovery.windowsazure.com a privát DNS-zóna nevét. Bármelyik erőforráscsoportot és előfizetést kiválaszthatja.
A DNS-zóna áttekintéséhez és létrehozásához lépjen a Véleményezés + létrehozás lapra.
Ha modern architektúrát használ a VMware- vagy fizikai gépek védelméhez, győződjön meg arról, hogy egy másik privát DNS-zónát hoz létre privatelink.prod.migration.windowsazure.com. Ezt a végpontot használja a Site Recovery a helyszíni környezet felderítésének végrehajtásához.
Fontos
Azure GOV-felhasználók esetén adja hozzá
privatelink.prod.migration.windowsazure.us
a DNS-zónához.
A privát DNS-zóna és a virtuális hálózat összekapcsolásához kövesse az alábbi lépéseket:
Nyissa meg az előző lépésben létrehozott privát DNS-zónát, majd lépjen a bal oldali panel virtuális hálózati hivatkozásaira . Válassza a Hozzáadás lehetőséget.
Adja meg a szükséges adatokat. Az előfizetési és virtuális hálózati listákban válassza ki az áthidaló hálózatnak megfelelő részleteket. A többi mezőben hagyja meg az alapértelmezett értékeket.
DNS-rekordok hozzáadása.
Most, hogy létrehozta a szükséges privát DNS-zónát és a privát végpontot, DNS-rekordokat kell hozzáadnia a DNS-zónához.
Feljegyzés
Ha egyéni privát DNS-zónát használ, mindenképpen végezzen hasonló bejegyzéseket az alábbi lépésben leírtak szerint.
Ebben a lépésben a privát végpont minden teljes tartománynevét be kell illesztenie a privát DNS-zónába.
Nyissa meg a privát DNS-zónát, majd lépjen a bal oldali panel Áttekintés szakaszára. Rekordok hozzáadásának megkezdéséhez válassza a Rekordhalmaz lehetőséget .
A Rekordhalmaz hozzáadása lapon adjon hozzá egy bejegyzést minden teljes tartománynévhez és privát IP-címhez A típusú rekordként. A teljes tartománynevek és IP-címek listáját az Áttekintés privát végpont lapján találja. Ahogy az alábbi képernyőképen látható, a rendszer hozzáadja a privát végpont első teljes tartománynevét a privát DNS-zónában beállított rekordhoz.
Ezek a teljes tartománynevek megfelelnek a következő mintának:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com
Következő lépések
Most, hogy engedélyezte a privát végpontokat a virtuális gép replikációjához, további és kapcsolódó információkért tekintse meg az alábbi cikkeket: