Helyszíni gépek replikálása privát végpontok használatával

  • Cikk

Az Azure Site Recovery lehetővé teszi, hogy az Azure Private Link privát végpontjaival replikálja a helyszíni gépeket egy Azure-beli virtuális hálózatra. A helyreállítási tárhoz való privát végpont-hozzáférés minden Azure Commercial & Government régióban támogatott.

Feljegyzés

A privát végpontok esetében az automatikus frissítések nem támogatottak. További információ.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Hozzon létre egy Azure Backup Recovery Services-tárolót a gépek védelméhez.
  • Felügyelt identitás engedélyezése a tárolóhoz. Adja meg a tárfiókokhoz való hozzáféréshez szükséges engedélyeket a helyszíni és az Azure-beli célhelyek közötti forgalom replikációjának engedélyezéséhez. A tárolóhoz való privát kapcsolathoz való hozzáféréshez felügyelt identitás-hozzáférés szükséges a tárolóhoz.
  • Végezze el a privát végpontokhoz szükséges DNS-módosításokat.
  • Privát végpontok létrehozása és jóváhagyása egy virtuális hálózaton belüli tárolóhoz.
  • Hozzon létre privát végpontokat a tárfiókokhoz. Szükség esetén továbbra is engedélyezheti a nyilvános vagy tűzfalas hozzáférést a tároláshoz. Az Azure Site Recovery esetében nincs szükség privát végpont létrehozására a tároló eléréséhez.

Az alábbi ábra a hibrid vészhelyreállítás replikációs munkafolyamatát mutatja be privát végpontokkal. A helyszíni hálózaton nem hozhat létre privát végpontokat. A privát kapcsolatok használatához létre kell hoznia egy Azure-beli virtuális hálózatot ( ebben a cikkben megkerülő hálózatot ), privát kapcsolatot kell létesítenie a helyszíni és a megkerülő hálózat között, majd létre kell hoznia privát végpontokat a megkerülő hálózaton. A privát kapcsolatok bármely formáját kiválaszthatja.

Az Azure Site Recovery és a privát végpontok architektúráit bemutató ábra.

Előfeltételek és kikötések

Mielőtt hozzákezd, jegyezze fel a következőket:

  • A Privát hivatkozások a Site Recovery 9.35-ös és újabb verzióiban támogatottak.
  • Privát végpontokat csak olyan új Recovery Services-tárolókhoz hozhat létre, amelyekhez nincs regisztrálva elem. Ezért privát végpontokat kell létrehoznia, mielőtt bármilyen elemet hozzáad a tárolóhoz. Díjszabási információkért tekintse meg az Azure Private Link díjszabását .
  • Amikor privát végpontot hoz létre egy tárolóhoz, a tároló zárolva lesz. Csak privát végpontokkal rendelkező hálózatokról érhető el.
  • A Microsoft Entra ID jelenleg nem támogatja a privát végpontokat. Ezért engedélyeznie kell a biztonságos Azure-beli virtuális hálózatról az IP-címekhez való kimenő hozzáférést, valamint azokat a teljes tartományneveket, amelyek szükségesek ahhoz, hogy a Microsoft Entra ID egy régióban működjön. A hálózati biztonsági csoport "Microsoft Entra ID" címkéje és az Azure Firewall címkéi is használhatók a Microsoft Entra-azonosítóhoz való hozzáférés engedélyezéséhez.
  • Öt IP-címre van szükség a megkerülő hálózaton, ahol a privát végpontot hozza létre. Amikor privát végpontot hoz létre a tárolóhoz, a Site Recovery öt privát hivatkozást hoz létre a mikroszolgáltatásokhoz való hozzáféréshez.
  • A gyorsítótár-tárfiókhoz való privát végpontkapcsolathoz további IP-cím szükséges a megkerülő hálózaton. Bármilyen kapcsolati módszert használhat a helyszíni és a tárfiók végpontja között. Használhatja például az internetet vagy az Azure ExpressRoute-ot. A privát kapcsolat létrehozása nem kötelező. Privát végpontokat csak általános célú v2-fiókokban hozhat létre a tárterülethez. Az Általános célú v2-fiókok adatátviteli díjszabásáról az Azure Page Blobs díjszabásában olvashat.

Feljegyzés

Miközben privát végpontokat állít be a VMware és a fizikai gépek védelmére, manuálisan kell telepítenie a MySQL-t a konfigurációs kiszolgálóra. A manuális telepítés végrehajtásához kövesse az itt leírt lépéseket.

Engedélyezendő URL-címek

Ha a privát kapcsolatot modernizált felülettel használja A VMware virtuális gépekhez, nyilvános hozzáférésre van szükség néhány erőforráshoz. Az alábbiakban az engedélyezési lista összes URL-címét meg kell adni. Ha proxyalapú konfigurációt használ, győződjön meg arról, hogy a proxy feloldja a kapott CNAME rekordokat az URL-címek keresésekor.

URL-cím Részletek
portal.azure.com Lépjen az Azure Portalra.
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com 		Az Azure-előfizetésbe való bejelentkezéshez.
*.microsoftonline.com
*.microsoftonline-p.com 		Microsoft Entra-alkalmazások létrehozása a berendezéshez az Azure Site Recoveryvel való kommunikációhoz.
management.azure.com Az Azure Resource Manager üzemelő példányaihoz és műveleteihez használatos.
*.siterecovery.windowsazure.com A Site Recovery-szolgáltatásokhoz való csatlakozáshoz használatos.

Győződjön meg arról, hogy a következő URL-címek engedélyezettek és elérhetők az Azure Site Recovery replikációs berendezésről a folyamatos kapcsolat érdekében, amikor engedélyezi a replikációt egy kormányzati felhőbe:

A Fairfax URL-címe A Mooncake URL-címe Részletek
login.microsoftonline.us/*
graph.windows.net 		login.microsoftonline.cn
graph.chinacloudapi.cn		 Az Azure-előfizetésbe való bejelentkezéshez.
*.portal.azure.us *.portal.azure.cn Lépjen az Azure Portalra.
management.usgovcloudapi.net management.chinacloudapi.cn Microsoft Entra-alkalmazásokat hozhat létre a berendezéshez az Azure Site Recovery szolgáltatással való kommunikációhoz.

Privát végpontok létrehozása és használata a site recoveryhez

A következő szakaszok ismertetik a privát végpontok virtuális hálózatokban való létrehozásához és használatához szükséges lépéseket.

Feljegyzés

Javasoljuk, hogy kövesse az alábbi lépéseket a megjelenített sorrendben. Ha nem, előfordulhat, hogy nem tud privát végpontokat használni a tárolóban, és előfordulhat, hogy újra kell indítania a folyamatot egy új tárolóval.

Helyreállítási tár létrehozása

A Helyreállítási tár tartalmazza a gépek replikációs adatait. A Site Recovery-műveletek aktiválására szolgál. Ha tudni szeretné, hogyan hozhat létre helyreállítási tárat abban az Azure-régióban, ahol katasztrófa esetén feladatátvételt szeretne végezni, olvassa el a Recovery Services-tároló létrehozása című témakört.

A tároló felügyelt identitásának engedélyezése

A felügyelt identitás lehetővé teszi a tároló számára a tárfiókok elérését. Előfordulhat, hogy a Site Recoverynek a követelményektől függően hozzá kell férnie a céltár- és gyorsítótár-/naplótárfiókokhoz. Felügyelt identitáshoz való hozzáférésre van szükség, ha a privát kapcsolat szolgáltatást használja a tárolóhoz.

  1. Nyissa meg a Recovery Services-tárolót. Válassza ki az identitást a Gépház alatt:

    Képernyőkép az identitásbeállítások oldalról.

  2. Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.

    Létre kell hozni egy objektumazonosítót. A tároló regisztrálva lett a Microsoft Entra-azonosítóval.

Privát végpontok létrehozása a Recovery Services-tárolóhoz

A helyszíni forráshálózatban lévő gépek védelméhez egy privát végpontra lesz szüksége a tárolóhoz a megkerülő hálózaton. A privát végpontot a Private Link Center használatával hozhatja létre az Azure Portalon vagy az Azure PowerShell használatával.

Privát végpont létrehozásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon válassza az Erőforrás létrehozása elemet.

  2. Keressen rá az Azure Marketplace-en privát hivatkozásra.

  3. Válassza a Privát hivatkozás lehetőséget a keresési eredmények közül, majd a Biztonsági mentés és a Site Recovery lapon válassza a Létrehozás lehetőséget.

    Képernyőkép az Azure Portalon a Private Link Centerben való keresésről.

  4. A bal oldali panelen válassza a Privát végpontok lehetőséget. A Privát végpontok lapon válassza a Létrehozás lehetőséget a tároló privát végpontjának létrehozásához:

    A Privát kapcsolatközpontban privát végpont létrehozását bemutató képernyőkép.

  5. A Privát végpont létrehozása lap Alapszintű>projekt részletei szakaszában tegye a következőket:

    1. Az Előfizetés csoportban válassza a Contoso Environment lehetőséget.
    2. Az Erőforráscsoportban válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Például: ContosoCloudRG.

  6. A Privát végpont létrehozása lap Alapszintű>példány részletei szakaszában tegye a következőket:

    1. A Név mezőben adjon meg egy, a tárolót azonosító rövid nevet. Például ContosoPrivateEP.
    2. A hálózati adapter neve automatikusan ki lesz töltve az előző lépésben megadott név alapján.
    3. A régióban használja az áthidaló hálózathoz használt régiót. Például ( Európa) Az Egyesült Királyság déli régiója.
    4. Válassza a Tovább lehetőséget.

    A privát végpont létrehozásához használt Alapszintű lap képernyőképe.

  7. Az Erőforrás szakaszban tegye a következőket:

    1. A Csatlakozás ion metódusban válassza ki a címtáramban lévő Azure-erőforrás Csatlakozás.
    2. Az Előfizetésben válassza a Contoso Environment lehetőséget.
    3. A kiválasztott előfizetés erőforrástípusában válassza a Microsoft.RecoveryServices/vaultok lehetőséget.
    4. Válassza ki a Recovery Services-tároló nevét az Erőforrás területen.
    5. Válassza az AzureSiteRecovery lehetőséget cél-alerőforrásként.
    6. Válassza a Tovább lehetőséget.

    Képernyőkép az Erőforrás lapról a privát végponthoz való csatoláshoz.

  8. A Virtuális hálózat szakaszban tegye a következőket:

    1. A Virtuális hálózat területen válasszon ki egy megkerülő hálózatot.
    2. Az Alhálózat területen adja meg azt az alhálózatot, ahol létre szeretné hozni a privát végpontot.
    3. A Privát IP-konfiguráció csoportban tartsa meg az alapértelmezett beállítást.
    4. Válassza a Tovább lehetőséget.

    Képernyőkép a virtuális hálózat lapról a privát végponthoz való csatoláshoz.

  9. A DNS szakaszban tegye a következőket:

    1. Engedélyezze az integrációt egy privát DNS-zónával az Igen gombra kattintva.

      Feljegyzés

      Az Igen lehetőség választása automatikusan összekapcsolja a zónát a megkerülő hálózathoz. Ez a művelet az új IP-címek DNS-feloldásához szükséges DNS-rekordokat és a privát végponthoz létrehozott teljes tartományneveket is hozzáadja.

    2. Válasszon ki egy meglévő DNS-zónát, vagy hozzon létre egy újat.

    Győződjön meg arról, hogy új DNS-zónát hoz létre minden olyan új privát végponthoz, amely ugyanahhoz a tárolóhoz csatlakozik. Ha meglévő privát DNS-zónát választ, a rendszer felülírja az előző CNAME rekordokat. A folytatás előtt tekintse meg a privát végpontra vonatkozó útmutatást .

    Ha a környezet egy küllős és egy küllős modellel rendelkezik, a teljes beállításhoz csak egy privát végpontra és egy privát DNS-zónára van szükség. Ennek az az oka, hogy az összes virtuális hálózat között már engedélyezve van a társviszony-létesítés. További információ: Privát végpont DNS-integrációja.

    A privát DNS-zóna manuális létrehozásához kövesse a privát DNS-zónák létrehozása és a DNS-rekordok manuális hozzáadása című témakörben leírt lépéseket.

    A privát végpont konfigurációjának Konfiguráció lapját bemutató képernyőkép.

  10. A Címkék szakaszban címkéket adhat hozzá a privát végponthoz.

  11. Tekintse át és hozza létre. Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

A privát végpont létrehozásakor a rendszer öt teljes tartománynevet (FQDN- t) ad hozzá a privát végponthoz. Ezek a hivatkozások lehetővé teszik a helyszíni hálózatban lévő gépek számára, hogy a megkerülő hálózaton keresztül elérjék a tároló környezetében található összes szükséges Site Recovery-mikroszolgáltatást. Ugyanazt a privát végpontot használhatja a megkerülő hálózaton és az összes társhálózaton lévő Azure-gép védelméhez.

Az öt tartománynév ebben a mintában van formázva:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Privát végpontok jóváhagyása a site recoveryhez

Ha létrehozza a privát végpontot, és Ön is a Recovery Services-tároló tulajdonosa, a korábban létrehozott privát végpont néhány percen belül automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot, mielőtt használhatja. A kért privát végpontkapcsolat jóváhagyásához vagy elutasításához nyissa meg a privát végpontkapcsolatokat a helyreállítási tár lapján Gépház alatt.

A folytatás előtt a privát végpont erőforrására léphet, hogy áttekintse a kapcsolat állapotát:

Képernyőkép a tároló Privát végpont kapcsolatok lapjáról és a kapcsolatok listájáról.

(Nem kötelező) Privát végpontok létrehozása a gyorsítótár-tárfiókhoz

Privát végpontot használhat az Azure Storage-hoz. Az Azure Site Recovery-replikáció esetében nem kötelező privát végpontokat létrehozni a táreléréshez. Ha privát végpontot hoz létre a tároláshoz, szüksége lesz egy privát végpontra a gyorsítótár-/naplótárfiókhoz a megkerülő virtuális hálózaton.

Feljegyzés

Ha a privát végpontok nincsenek engedélyezve a tárfiókban, a védelem továbbra is sikeres lesz. A replikációs forgalom azonban az interneten keresztül haladna át az Azure Site Recovery nyilvános végpontjaira. A privát kapcsolatokon keresztüli replikációs forgalom biztosításához a tárfiókot privát végpontokkal kell engedélyezni.

Feljegyzés

A tároló privát végpontjai csak általános célú v2-tárfiókokon hozhatók létre. A díjszabással kapcsolatos információkért tekintse meg az Azure Page Blobs díjszabását.

Kövesse az útmutatást a privát tárterület létrehozásához egy privát végponttal rendelkező tárfiók létrehozásához. Mindenképpen válassza az Igen lehetőséget az Integrálás privát DNS-zónával csoportban. Válasszon ki egy meglévő DNS-zónát, vagy hozzon létre egy újat.

A tárolóhoz szükséges engedélyek megadása

A beállítástól függően szükség lehet egy vagy több tárfiókra a cél Azure-régióban. Ezután adja meg a felügyelt identitás engedélyeit a Site Recovery által igényelt összes gyorsítótár-/naplótárfiókhoz. Ebben az esetben előre létre kell hoznia a szükséges tárfiókokat.

A virtuális gépek replikálásának engedélyezése előtt a tároló felügyelt identitásának a tárfiók típusától függően a következő szerepkör-engedélyekkel kell rendelkeznie.

Az alábbi lépések bemutatják, hogyan adhat hozzá szerepkör-hozzárendelést a tárfiókhoz. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

  1. Nyissa meg a tárfiókot.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása > lehetőséget.

    Képernyőkép a Hozzáférés-vezérlés (IAM) lapról, amelyen meg van nyitva a Szerepkör-hozzárendelés hozzáadása menü.

  4. A Szerepkör lapon válassza ki a szakasz elején felsorolt szerepkörök egyikét.

  5. A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.

  6. Válassza ki az Azure-előfizetését.

  7. Válassza ki a rendszer által hozzárendelt felügyelt identitást, keressen egy tárolót, majd jelölje ki.

  8. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

Ezen engedélyek mellett engedélyeznie kell a Microsoft megbízható szolgáltatásaihoz való hozzáférést. Ehhez kövesse az alábbi lépéseket:

  1. Nyissa meg a tűzfalakat és a virtuális hálózatokat.
  2. A Kivételek területen válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez.

Virtuális gépek védelme

Az előző feladatok elvégzése után folytassa a helyszíni infrastruktúra beállításával. Folytassa a következő feladatok egyikének elvégzésével:

A telepítés befejezése után engedélyezze a replikációt a forrásgépeken. Ne állítsa be az infrastruktúrát, amíg a tároló privát végpontjai létre nem jönnek a megkerülő hálózaton.

Privát DNS-zónák létrehozása és DNS-rekordok manuális hozzáadása

Ha nem adta meg a privát DNS-zónával való integrálás lehetőségét a tároló privát végpontjának létrehozásakor, kövesse az ebben a szakaszban leírt lépéseket.

Hozzon létre egy privát DNS-zónát, amellyel a Site Recovery-szolgáltató (Hyper-V-gépekhez) vagy a folyamatkiszolgáló (VMware/fizikai gépek esetén) fel tudja oldani a magánhálózati teljes tartományneveket a magánhálózati IP-címekre.

  1. Hozzon létre egy privát DNS-zónát.

    1. Keresse meg a privát DNS-zónát a Minden szolgáltatás keresőmezőjében, majd válassza saját DNS zónát az eredmények között:

      Képernyőkép a privát DNS-zónák kereséséről az Azure Portal új erőforrásoldalán.

    2. A saját DNS zónák lapon kattintson a Hozzáadás gombra egy új zóna létrehozásához.

    3. A Privát DNS-zóna létrehozása lapon adja meg a szükséges adatokat. Adja meg privatelink.siterecovery.windowsazure.com a privát DNS-zóna nevét. Bármelyik erőforráscsoportot és előfizetést kiválaszthatja.

      Képernyőkép a Create saját DNS zone page Alapjai lapjáról.

    4. A DNS-zóna áttekintéséhez és létrehozásához lépjen a Véleményezés + létrehozás lapra.

    5. Ha modern architektúrát használ a VMware- vagy fizikai gépek védelméhez, győződjön meg arról, hogy egy másik privát DNS-zónát hoz létre privatelink.prod.migration.windowsazure.com. Ezt a végpontot használja a Site Recovery a helyszíni környezet felderítésének végrehajtásához.

      Fontos

      Azure GOV-felhasználók esetén adja hozzá privatelink.prod.migration.windowsazure.us a DNS-zónához.

  2. A privát DNS-zóna és a virtuális hálózat összekapcsolásához kövesse az alábbi lépéseket:

    1. Nyissa meg az előző lépésben létrehozott privát DNS-zónát, majd lépjen a bal oldali panel virtuális hálózati hivatkozásaira . Válassza a Hozzáadás lehetőséget.

    2. Adja meg a szükséges adatokat. Az előfizetési és virtuális hálózati listákban válassza ki az áthidaló hálózatnak megfelelő részleteket. A többi mezőben hagyja meg az alapértelmezett értékeket.

      Képernyőkép a Virtuális hálózat hozzáadása hivatkozás oldalról.

  3. DNS-rekordok hozzáadása.

    Most, hogy létrehozta a szükséges privát DNS-zónát és a privát végpontot, DNS-rekordokat kell hozzáadnia a DNS-zónához.

    Feljegyzés

    Ha egyéni privát DNS-zónát használ, mindenképpen végezzen hasonló bejegyzéseket az alábbi lépésben leírtak szerint.

    Ebben a lépésben a privát végpont minden teljes tartománynevét be kell illesztenie a privát DNS-zónába.

    1. Nyissa meg a privát DNS-zónát, majd lépjen a bal oldali panel Áttekintés szakaszára. Rekordok hozzáadásának megkezdéséhez válassza a Rekordhalmaz lehetőséget .

    2. A Rekordhalmaz hozzáadása lapon adjon hozzá egy bejegyzést minden teljes tartománynévhez és privát IP-címhez A típusú rekordként. A teljes tartománynevek és IP-címek listáját az Áttekintés privát végpont lapján találja. Ahogy az alábbi képernyőképen látható, a rendszer hozzáadja a privát végpont első teljes tartománynevét a privát DNS-zónában beállított rekordhoz.

      Ezek a teljes tartománynevek megfelelnek a következő mintának: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Képernyőkép a Rekordhalmaz hozzáadása lapról.

Következő lépések

Most, hogy engedélyezte a privát végpontokat a virtuális gép replikációjához, további és kapcsolódó információkért tekintse meg az alábbi cikkeket: