Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menyediakan panduan jaringan untuk konektivitas platform saat Anda mereplikasi komputer virtual Azure dari satu wilayah ke wilayah lain, menggunakan Azure Site Recovery.
Sebelum Anda mulai
Pelajari bagaimana Site Recovery menyediakan pemulihan bencana untuk skenario ini.
Infrastruktur jaringan umum
Diagram berikut menggambarkan lingkungan Azure yang khas, untuk aplikasi yang berjalan di komputer virtual Azure:
Jika Anda menggunakan Azure ExpressRoute atau koneksi VPN dari jaringan lokal Anda ke Azure, lingkungannya adalah sebagai berikut:
Biasanya, jaringan dilindungi menggunakan firewall dan kelompok keamanan jaringan (NSG). Tag layanan harus digunakan untuk mengontrol konektivitas jaringan. NSG perlu memungkinkan beberapa tag layanan agar dapat mengendalikan konektivitas keluar.
Important
Menggunakan proksi terautentikasi untuk mengontrol konektivitas jaringan tidak didukung oleh Site Recovery, dan replikasi tidak dapat diaktifkan.
Note
- Pemfilteran berbasis alamat IP tidak boleh dilakukan untuk mengontrol konektivitas keluar.
- Alamat IP Azure Site Recovery tidak boleh ditambahkan dalam tabel Perutean Azure untuk mengontrol konektivitas keluar.
Konektivitas keluar untuk URL
Jika Anda menggunakan proksi firewall berbasis URL untuk mengontrol konektivitas keluar, izinkan URL Site Recovery ini:
| URL | Details |
|---|---|
| *.blob.core.windows.net | Diperlukan agar data dapat ditulis ke akun penyimpanan cache di wilayah sumber dari komputer virtual. Jika Anda mengetahui semua akun penyimpanan cache untuk komputer virtual Anda, Anda dapat mengizinkan akses ke URL akun penyimpanan tertentu (Misalnya: cache1.blob.core.windows.net dan cache2.blob.core.windows.net) alih-alih *.blob.core.windows.net |
| login.microsoftonline.com | Diperlukan untuk otorisasi dan autentikasi ke URL layanan Site Recovery. |
| *.hypervrecoverymanager.windowsazure.com | Diperlukan agar komunikasi layanan Site Recovery dapat terjadi dari komputer virtual. |
| *.servicebus.windows.net | Diperlukan agar data pemantauan dan diagnostik Site Recovery dapat ditulis dari komputer virtual. |
| *.vault.azure.net | Memungkinkan akses untuk mengaktifkan replikasi untuk komputer virtual berkemampuan ADE melalui portal |
| *.automation.ext.azure.com | Memungkinkan pengaktifan pembaruan otomatis agen mobilitas untuk item yang direplikasi melalui portal |
Konektivitas ke luar dengan menggunakan Tag Layanan
Selain mengontrol URL, Anda juga dapat menggunakan tag layanan untuk mengontrol konektivitas. Untuk melakukannya, Anda harus terlebih dahulu membuat Kelompok Keamanan Jaringan di Azure. Setelah dibuat, Anda perlu menggunakan tag layanan kami yang ada dan membuat aturan NSG untuk mengizinkan akses ke layanan Azure Site Recovery.
Keuntungan menggunakan tag layanan untuk mengontrol konektivitas, jika dibandingkan dengan mengontrol konektivitas menggunakan alamat IP, adalah bahwa tidak ada dependensi keras pada alamat IP tertentu untuk tetap terhubung ke layanan kami. Dalam skenario seperti itu, jika alamat IP salah satu layanan kami berubah, maka replikasi yang sedang berlangsung tidak terpengaruh untuk komputer Anda. Ketergantungan pada alamat IP yang dikodekan secara hardcode menyebabkan status replikasi menjadi kritis dan membahayakan sistem Anda. Selain itu, tag layanan memastikan keamanan, stabilitas, dan ketahanan yang lebih baik daripada alamat IP yang dikodekan secara permanen.
Saat menggunakan NSG untuk mengontrol konektivitas keluar, tag layanan ini perlu diizinkan.
- Untuk akun penyimpanan di wilayah sumber:
- Buat aturan NSG berbasis tag layanan Penyimpanan untuk wilayah sumber.
- Izinkan alamat ini sehingga data dapat ditulis ke akun penyimpanan cache, dari komputer virtual.
- Membuat aturan NSG berbasis tag layanan Microsoft Entra untuk memungkinkan akses ke semua alamat IP yang sesuai dengan ID Microsoft Entra
- Buat aturan NSG berbasis tag layanan Events Hub untuk wilayah target, yang memungkinkan akses ke pemantauan Site Recovery.
- Buat aturan NSG berbasis tag layanan Azure Site Recovery untuk mengizinkan akses ke layanan Site Recovery di wilayah mana pun.
- Buat aturan NSG berbasis tag layanan AzureKeyVault. Ini diperlukan hanya untuk mengaktifkan replikasi komputer virtual berkemampuan ADE melalui portal.
- Buat aturan NSG berbasis tag layanan GuestAndHybridManagement. Ini hanya diperlukan untuk mengaktifkan autoupgrade agen mobilitas bagi item yang direplikasi melalui portal.
- Kami menyarankan Anda untuk membuat aturan NSG yang diperlukan pada NSG pengujian dan memastikan tidak ada masalah sebelum membuat aturan tersebut pada NSG produksi.
Contoh konfigurasi NSG
Contoh ini menunjukkan cara mengonfigurasi aturan NSG agar komputer virtual dapat direplikasi.
- Jika Anda menggunakan aturan NSG untuk mengontrol konektivitas keluar, gunakan aturan "Izinkan HTTPS keluar" ke port:443 untuk semua rentang alamat IP yang diperlukan.
- Contohnya berasumsi bahwa lokasi sumber komputer virtual adalah "US Timur" dan lokasi targetnya adalah "US Tengah".
Aturan NSG - US Timur
Buat aturan keamanan HTTPS keluar (443) untuk "Storage.EastUS" pada NSG seperti yang ditunjukkan pada cuplikan layar berikut:
Buat aturan keamanan HTTPS keluar (443) untuk "AzureActiveDirectory" pada NSG seperti yang ditunjukkan pada cuplikan layar berikut:
Mirip dengan aturan keamanan, buat aturan keamanan HTTPS keluar (443) untuk "EventHub.CentralUS" pada NSG yang sesuai dengan lokasi target. Ini memungkinkan akses ke pemantauan Site Recovery.
Buat aturan keamanan HTTPS keluar (443) untuk "Azure Site Recovery" di NSG. Ini memungkinkan akses ke Layanan Site Recovery di wilayah mana pun.
Aturan NSG - Amerika Serikat Tengah
Aturan ini diperlukan agar replikasi dapat diaktifkan dari wilayah target ke wilayah sumber pasca-failover:
Buat aturan keamanan HTTPS keluar (443) untuk "Storage.CentralUS" di NSG.
Buat aturan keamanan HTTPS keluar (443) untuk "AzureActiveDirectory" di NSG.
Mirip dengan aturan keamanan, buat aturan keamanan HTTPS keluar (443) untuk "EventHub.EastUS" pada NSG yang sesuai dengan lokasi sumber. Ini memungkinkan akses ke pemantauan Site Recovery.
Buat aturan keamanan untuk lalu lintas keluar HTTPS (443) di "Azure Site Recovery" pada NSG. Ini memungkinkan akses ke Layanan Site Recovery di wilayah mana pun.
Konfigurasi perangkat virtual jaringan
Jika Anda menggunakan appliance virtual jaringan (NVA) untuk mengontrol lalu lintas jaringan keluar dari komputer virtual, appliance mungkin akan dibatasi jika semua lalu lintas replikasi melewati NVA. Sebaiknya buat titik akhir layanan jaringan di jaringan virtual Anda untuk "Penyimpanan" sehingga lalu lintas replikasi tidak masuk ke NVA.
Membuat titik akhir layanan jaringan untuk Penyimpanan
Anda dapat membuat titik akhir layanan jaringan di jaringan virtual Anda untuk "Penyimpanan" sehingga lalu lintas replikasi tidak meninggalkan batas Azure.
Pilih jaringan virtual Azure Anda dan pilih Titik akhir layanan.
Pilih tab Tambahkan dan Tambahkan titik akhir layanan terbuka.
Pilih Microsoft.Storage di bawah Layanan dan subnet yang diperlukan di bawah bidang 'Subnet' dan pilih Tambahkan.
Note
Jika Anda menggunakan akun penyimpanan cache yang diaktifkan firewall atau akun penyimpanan target, pastikan Anda 'Izinkan layanan Microsoft tepercaya'. Selain itu, pastikan Anda mengizinkan akses ke setidaknya satu subnet Vnet sumber.
Penerowongan paksa
Anda dapat mengganti rute sistem default Azure untuk prefiks alamat 0.0.0.0/0 dengan rute kustom dan mengalihkan lalu lintas VM ke appliance virtual jaringan lokal (NVA), tetapi konfigurasi ini tidak disarankan untuk replikasi Site Recovery. Jika Anda menggunakan rute kustom, Anda harus membuat titik akhir layanan jaringan virtual di jaringan virtual Anda untuk "Penyimpanan" sehingga lalu lintas replikasi tidak meninggalkan batas Azure.
Langkah selanjutnya
- Mulai lindungi beban kerja Anda dengan mereplikasi komputer virtual Azure.
- Pelajari selengkapnya tentang retensi alamat IP untuk failover mesin virtual Azure.
- Pelajari selengkapnya tentang pemulihan bencana komputer virtual Azure dengan ExpressRoute.