Mereplikasi mesin dengan titik akhir privat

  • Artikel

Azure Site Recovery memungkinkan Anda menggunakan titik akhir privat Azure Private Link untuk mereplikasi mesin Anda dari dalam virtual network yang terisolasi. Akses titik akhir privat ke vault pemulihan didukung di semua wilayah Azure Commercial & Government.

Artikel ini menyediakan instruksi bagi Anda untuk melakukan langkah-langkah berikut:

  • Buat vault Azure Backup Recovery Services untuk melindungi komputer Anda.
  • Aktifkan identitas terkelola untuk brankas dan berikan izin yang diperlukan untuk mengakses akun penyimpanan pelanggan untuk mereplikasi lalu lintas dari sumber ke lokasi target. Akses identitas terkelola untuk penyimpanan diperlukan saat Anda menyiapkan akses Private Link ke brankas.
  • Membuat perubahan DNS diperlukan untuk titik akhir privat
  • Membuat dan menyetujui titik akhir privat untuk brankas di dalam virtual network
  • Buat endpoint pribadi untuk akun penyimpanan. Anda dapat terus mengizinkan akses publik atau firewall untuk penyimpanan sesuai kebutuhan. Pembuatan titik akhir privat untuk mengakses penyimpanan tidak wajib untuk Azure Site Recovery.

Di bawah ini adalah arsitektur referensi tentang bagaimana alur kerja replikasi berubah dengan titik akhir privat.

Reference architecture for Site Recovery with private endpoints.

Prasyarat dan peringatan

  • Titik akhir privat hanya dapat dibuat untuk brankas Layanan Pemulihan baru yang tidak memiliki item yang terdaftar di brankas. Dengan demikian, titik akhir privat harus dibuat sebelum item ditambahkan ke kubah. Tinjau struktur harga untuk titik akhir pribadi.
  • Saat titik akhir privat dibuat untuk brankas, brankas dikunci dan tidak dapat diakses dari jaringan selain jaringan yang memiliki titik akhir privat.
  • ID Microsoft Entra saat ini tidak mendukung titik akhir privat. Dengan demikian, IP dan nama domain yang sepenuhnya memenuhi syarat yang diperlukan agar ID Microsoft Entra berfungsi di wilayah perlu diizinkan akses keluar dari jaringan aman. Anda juga dapat menggunakan tag grup keamanan jaringan "Azure Active Directory" dan tag Azure Firewall untuk mengizinkan akses ke ID Microsoft Entra, sebagaimana berlaku.
  • Setidaknya diperlukan tujuh alamat IP di subnet mesin sumber dan mesin pemulihan Anda. Saat Anda membuat titik akhir privat untuk brankas, Site Recovery membuat lima tautan privat untuk akses ke layanan mikronya. Selanjutnya, ketika Anda mengaktifkan replikasi, akan ditambahkan dua tautan pribadi tambahan untuk pemasangan wilayah sumber dan target.
  • Satu alamat IP tambahan diperlukan di subnet sumber dan pemulihan. Alamat IP ini hanya diperlukan ketika Anda perlu menggunakan titik akhir privat yang terhubung ke akun penyimpanan cache. Titik akhir privat untuk penyimpanan hanya dapat dibuat pada jenis General Purpose v2. Tinjau struktur harga untuk transfer data di GPv2.

Membuat dan menggunakan titik akhir privat untuk Site Recovery

Bagian ini berbicara tentang langkah-langkah yang terlibat dalam pembuatan dan penggunaan titik akhir privat untuk Azure Site Recovery di dalam virtual network Anda.

Catatan

Sangat disarankan agar Anda mengikuti langkah-langkah ini dalam urutan yang sama seperti yang disediakan. Kegagalan untuk melakukannya dapat menyebabkan brankas dirender sehingga tidak dapat menggunakan titik akhir pribadi dan mengharuskan Anda memulai ulang proses dengan brankas baru.

Buat brankas Recovery Services

Brankas layanan pemulihan adalah entitas yang berisi informasi replikasi mesin dan digunakan untuk memicu operasi Site Recovery. Untuk informasi selengkapnya, lihat Membuat brankas Layanan Pemulihan.

Aktifkan identitas terkelola untuk brankas.

Identitas terkelola memungkinkan brankas untuk mendapatkan akses ke akun penyimpanan pelanggan. Site Recovery perlu mengakses penyimpanan sumber, penyimpanan target, dan akun penyimpanan singgahan / log tergantung pada persyaratan skenario. Akses identitas terkelola sangat penting saat Anda menggunakan layanan tautan pribadi untuk brankas.

  1. Buka vault Layanan Pemulihan Anda. Pilih Identitas di bawah Pengaturan.

    Shows the Azure portal and the Recovery Services page.

  2. Ubah Status menjadi Aktif dan pilih Simpan.

  3. ID Objek yang dihasilkan menunjukkan bahwa brankas sekarang terdaftar di Azure Active Directory.

Membuat titik akhir privat untuk brankas Layanan Pemulihan

Untuk mengaktifkan failover dan failback untuk mesin virtual Azure, Anda memerlukan dua titik akhir privat untuk brankas. Satu titik akhir privat untuk perlindungan mesin di jaringan sumber dan yang lain untuk reproteksi mesin failover dalam jaringan pemulihan.

Pastikan Anda juga membuat virtual network pemulihan di wilayah target Anda selama proses penyiapan ini.

Buat titik akhir privat pertama untuk brankas Anda di dalam virtual network sumber Anda menggunakan Private Link di portal atau melalui Azure PowerShell. Buat titik akhir privat kedua untuk brankas di dalam jaringan pemulihan Anda. Berikut ini adalah langkah-langkah untuk membuat titik akhir privat di jaringan sumber. Ulangi panduan yang sama untuk membuat titik akhir privat kedua.

  1. Di bilah pencarian portal Microsoft Azure, cari dan pilih "Private Link". Tindakan ini membawa Anda ke Pusat Private Link.

    Shows searching the Azure portal for the Private Link Center.

  2. Di bilah navigasi kiri, pilih Titik Akhir Privat. Setelah berada di halaman Titik Akhir Privat, pilih +Tambahkan untuk mulai membuat titik akhir privat untuk brankas Anda.

    Shows creating a private endpoint in the Private Link Center.

  3. Setelah berada dalam pengalaman "Buat Titik Akhir Privat", Anda diharuskan menentukan detail untuk membuat koneksi titik akhir privat Anda.

    1. Dasar: Isi detail dasar untuk titik akhir privat Anda. Wilayah harus sama dengan mesin sumber.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Sumber Daya: Tab ini mengharuskan Anda untuk menyebutkan sumber daya platform sebagai layanan yang ingin Anda buat koneksinya. Pilih Microsoft.RecoveryServices/vaults dari tipe sumber daya untuk langganan yang Anda pilih. Lalu, pilih nama brankas Layanan Pemulihan Anda untuk Sumber daya dan tetapkan Azure Site Recovery sebagai sub-sumber daya Target.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Konfigurasi: Dalam konfigurasi, tentukan jaringan virtual dan subnet tempat Anda ingin membuat titik akhir privat. Ini adalah jaringan virtual di mana mesin virtual berada. Aktifkan integrasi dengan zona DNS pribadi dengan memilih Ya. Pilih zona DNS yang sudah dibuat atau buat zona DNS baru. PilihYa secara otomatis menautkan zona ke virtual network sumber dan menambahkan catatan DNS yang diperlukan untuk resolusi DNS IP baru serta nama domain yang sepenuhnya memenuhi syarat yang dibuat untuk titik akhir privat.

      Pastikan Anda memilih untuk membuat zona DNS baru untuk setiap titik akhir privat baru yang tersambung ke brankas yang sama. Jika Anda memilih zona DNS privat yang sudah ada, data CNAME sebelumnya akan ditimpa. Lihat Panduan titik akhir privat sebelum Anda melanjutkan.

      Jika lingkungan Anda memiliki hub dan model spoke, Anda hanya memerlukan satu titik akhir privat dan hanya satu zona DNS privat untuk seluruh pengaturan karena semua virtual network Anda sudah mengaktifkan peering di antara mereka. Untuk informasi selengkapnya, lihat Integrasi DNS titik akhir privat.

      Untuk membuat zona DNS privat secara manual, ikuti langkah-langkah dalam Membuat zona DNS privat dan menambahkan rekaman DNS secara manual.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Tag: Secara opsional, Anda dapat menambahkan tag untuk titik akhir privat Anda.

    5. Tinjau + buat: Ketika validasi selesai, pilih Buat untuk membuat titik akhir privat.

Setelah titik akhir privat dibuat, lima nama domain yang sepenuhnya memenuhi syarat ditambahkan ke titik akhir privat. Tautan ini memungkinkan mesin di virtual network untuk mendapatkan akses ke semua layanan mikro Site Recovery yang diperlukan dalam konteks brankas. Kemudian, ketika Anda mengaktifkan replikasi, dua nama domain tambahan yang sepenuhnya memenuhi syarat ditambahkan ke titik akhir privat yang sama.

Lima nama domain diformat dengan pola berikut:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Menyetujui titik akhir privat untuk Site Recovery

Jika pengguna yang membuat titik akhir privat juga merupakan pemilik brankas Layanan Pemulihan, titik akhir privat yang dibuat di atas disetujui secara otomatis dalam beberapa menit. Jika tidak, pemilik brankas harus menyetujui titik akhir privat sebelum Anda menggunakannya. Untuk menyetujui atau menolak koneksi titik akhir privat yang diminta, buka Koneksi titik akhir privat di bagian "Pengaturan" pada halaman brankas pemulihan.

Anda bisa pergi ke sumber daya titik akhir privat untuk meninjau status koneksi sebelum melanjutkan.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(Opsional) Membuat titik akhir privat untuk akun penyimpanan cache

Titik akhir privat ke Azure Storage dapat digunakan. Membuat titik akhir privat untuk akses penyimpanan bersifat opsional untuk replikasi Azure Site Recovery. Saat membuat titik akhir privat untuk penyimpanan, persyaratan berikut ini berlaku:

  • Anda memerlukan titik akhir privat untuk akun penyimpanan cache/log di virtual network sumber Anda.
  • Anda memerlukan titik akhir privat kedua pada saat reproteksi mesin failover dalam jaringan pemulihan. Titik akhir privat ini untuk akun penyimpanan baru yang dibuat di wilayah target.

Catatan

Jika titik akhir privat tidak diaktifkan di akun penyimpanan, perlindungan akan tetap berhasil. Namun, lalu lintas replikasi akan transit ke titik akhir publik Azure Site Recovery. Untuk memastikan alur lalu lintas replikasi melalui link privat, akun penyimpanan harus diaktifkan dengan titik akhir privat.

Catatan

Titik akhir privat untuk penyimpanan hanya dapat dibuat pada akun penyimpanan General Purpose v2. Untuk informasi harga, lihat Harga blob halaman standar.

Ikuti panduan untuk membuat penyimpanan privat untuk membuat akun penyimpanan dengan titik akhir privat. Pastikan untuk memilih Ya untuk mengintegrasi dengan zona DNS privat. Pilih zona DNS yang sudah dibuat atau buat zona DNS baru.

Memberikan izin yang diperlukan untuk brankas

Jika mesin virtual Anda menggunakan disk terkelola, Anda perlu memberikan izin identitas terkelola hanya ke akun penyimpanan cache. Jika mesin virtual menggunakan disk yang tidak dikelola, Anda perlu memberikan izin identitas terkelola untuk akun penyimpanan sumber, cache, dan target. Dalam hal ini, Anda perlu membuat akun penyimpanan target terlebih dahulu.

Sebelum mengaktifkan replikasi mesin virtual, identitas terkelola brankas harus memiliki izin peran berikut tergantung pada jenis akun penyimpanan:

Langkah-langkah berikut ini menjelaskan cara menambahkan penetapan peran ke akun penyimpanan Anda, satu per satu. Untuk langkah-langkah mendetail, lihat Menetapkan peran Azure menggunakan portal Azure.

  1. Di portal Azure, navigasikan ke akun penyimpanan cache yang Anda buat.

  2. Pilih Kontrol Akses (IAM) .

  3. Pilih Tambahkan > Tambahkan penetapan peran.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Pada tab Peran, pilih salah satu peran yang tercantum di awal bagian ini.

  5. Pada tab Anggota, pilih Identitas terkelola, kemudian pilih Pilih anggota.

  6. Pilih langganan Azure Anda.

  7. Pilih Identitas terkelola yang ditetapkan sistem, cari brankas, lalu pilih.

  8. Di tab Tinjau + tetapkan, pilih Tinjau + tetapkan untuk menetapkan peran.

Selain izin ini, Anda juga harus mengizinkan akses ke layanan tepercaya Microsoft. Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Buka Firewall dan jaringan virtual.

  2. Di Pengecualian, pilih Izinkan layanan Microsoft tepercaya mengakses akun penyimpanan ini.

Proteksi komputer virtual Anda

Setelah semua konfigurasi di atas selesai, lanjutkan dengan mengaktifkan replikasi untuk mesin virtual Anda. Semua operasi Pemulihan Situs berfungsi tanpa langkah tambahan jika integrasi DNS digunakan saat membuat titik akhir privat di brankas. Namun, jika zona DNS dibuat dan dikonfigurasi secara manual, Anda memerlukan langkah tambahan untuk menambahkan catatan DNS tertentu di zona DNS sumber dan target setelah mengaktifkan replikasi. Untuk detail dan langkah-langkahnya, lihat Membuat zona DNS privat dan menambahkan rekaman DNS secara manual.

Membuat zona DNS privat dan menambahkan rekaman DNS secara manual

Jika Anda tidak memilih opsi untuk berintegrasi dengan zona DNS privat pada saat membuat titik akhir privat untuk brankas, ikuti langkah-langkah di bagian ini.

Buat satu zona DNS privat untuk memungkinkan agen mobilitas menyelesaikan tautan privat nama domain yang sepenuhnya memenuhi syarat ke IP privat.

  1. Membuat zona DNS privat

    1. Cari "Zona DNS Privat" di bilah pencarian Semua layanan dan pilih "Zona DNS Privat" dari menu drop-down.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. Setelah berada di halaman "Zona DNS Privat", pilih tombol+Tambahkan untuk mulai membuat zona baru.

    3. Pada halaman "Buat zona DNS privat", isi detail yang diperlukan. Masukkan nama zona DNS privat sebagai privatelink.siterecovery.windowsazure.com . Anda dapat memilih grup sumber daya dan langganan apa pun untuk membuatnya.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. Lanjutkan ke tab Tinjau + buat untuk meninjau dan membuat zona DNS.

  2. Menautkan zona DNS privat ke virtual network Anda

    Zona DNS privat yang dibuat di atas sekarang harus ditautkan ke virtual network tempat server Anda saat ini berada. Anda juga perlu menautkan zona DNS privat ke virtual network target terlebih dahulu.

    1. Masuk ke zona DNS privat yang Anda buat di langkah sebelumnya dan navigasi ke link virtual network di sisi kiri halaman. Setelah berada di sana, pilih tombol +Tambahkan.

    2. Isi detail yang diperlukan. Bidang Langganan dan Virtual network harus diisi dengan detail virtual network yang sesuai di mana server Anda berada. Bidang lainnya harus dibiarkan apa adanya.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. Menampilkan rekaman DNS

    Setelah Anda membuat zona DNS privat yang diperlukan dan titik akhir privat, Anda perlu menambahkan rekaman DNS ke zona DNS Anda.

    Catatan

    Jika Anda menggunakan zona DNS privat kustom, pastikan bahwa entri serupa dibuat seperti yang dibahas di bawah ini.

    Langkah ini mengharuskan Anda membuat entri untuk setiap nama domain yang sepenuhnya memenuhi syarat di titik akhir pribadi Anda ke zona DNS privat Anda.

    1. Masuk ke zona DNS privat Anda dan navigasikan ke bagian Gambaran Umum di sisi kiri halaman. Setelah di sana, pilih +Kumpulan rekaman untuk mulai menambahkan rekaman.

    2. Di halaman "Tambahkan kumpulan catatan" yang terbuka, tambahkan entri untuk setiap nama domain dan IP pribadi yang sepenuhnya memenuhi syarat sebagai rekaman jenis. Daftar nama domain dan IP yang sepenuhnya memenuhi syarat dapat diperoleh dari halaman "Titik Akhir Privat" di Ikhtisar. Seperti yang ditunjukkan dalam contoh di bawah ini, nama domain pertama yang sepenuhnya memenuhi syarat dari titik akhir privat ditambahkan ke kumpulan catatan di zona DNS privat.

      Nama domain yang sepenuhnya memenuhi syarat ini cocok dengan pola: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Catatan

    Setelah Anda mengaktifkan replikasi, dua nama domain yang sepenuhnya memenuhi syarat dibuat pada titik akhir privat di kedua wilayah. Pastikan Anda menambahkan rekaman DNS untuk nama domain yang baru dibuat sepenuhnya memenuhi syarat ini juga.

Langkah berikutnya

Sekarang setelah Anda mengaktifkan titik akhir privat untuk replikasi mesin virtual Anda, lihat halaman lain ini untuk informasi tambahan dan terkait: