Condividi tramite

Replicare la macchine con endpoint privati

  • Articolo

Azure Site Recovery consente di usare gli endpoint privati di collegamento privato di Azure per replicare le macchine dall'interno di una rete virtuale isolata. L'accesso all'endpoint privato a un insieme di credenziali di ripristino è supportato in tutte le aree commerciali e governative di Azure.

Questo articolo fornisce istruzioni per eseguire la procedura seguente:

  • Creare un insieme di credenziali di Servizi di ripristino di Backup di Azure per proteggere le macchine.
  • Abilitare un'identità gestita per l'insieme di credenziali e concedere le autorizzazioni necessarie per accedere agli account di archiviazione dei clienti e replicare il traffico dall'origine alle posizioni di destinazione. L'accesso alle identità gestite per l'archiviazione è necessario quando si configura l'accesso di collegamento privato all'insieme di credenziali.
  • Apportare modifiche DNS necessarie per gli endpoint privati
  • Creare e approvare endpoint privati per un insieme di credenziali all'interno di una rete virtuale
  • Creare endpoint privati per gli account di archiviazione. È possibile continuare a consentire l'accesso pubblico o firewall per l'archiviazione in base alle esigenze. La creazione di un endpoint privato per l'accesso all'archiviazione non è obbligatoria per Azure Site Recovery.

Di seguito è riportata un'architettura di riferimento su come cambia il flusso di lavoro di replica con gli endpoint privati.

Architettura di riferimento per Site Recovery con endpoint privati.

Prerequisiti e avvertenze

  • È possibile creare endpoint privati solo per i nuovi insiemi di credenziali di Servizi di ripristino che non dispongono di elementi registrati. Di conseguenza, gli endpoint privati devono essere creati prima che gli elementi vengano aggiunti all'insieme di credenziali. Esaminare la struttura dei prezzi per gli endpoint privati.
  • Quando viene creato un endpoint privato per un insieme di credenziali, l'insieme di credenziali viene bloccato e non è accessibile da reti diverse da quelle con endpoint privati.
  • Microsoft Entra ID attualmente non supporta gli endpoint privati. Di conseguenza, agli indirizzi IP e ai nomi di dominio completi necessari per il funzionamento di Microsoft Entra ID in un'area deve essere consentito l'accesso in uscita dalla rete protetta. È anche possibile usare il tag del gruppo di sicurezza di rete "Azure Active Directory" e i tag di Firewall di Azure per consentire l'accesso a Microsoft Entra ID, se applicabile.
  • Nelle subnet dei computer di origine e dei computer di ripristino sono necessari almeno sette indirizzi IP. Quando si crea un endpoint privato per l'insieme di credenziali, Site Recovery crea cinque collegamenti privati per l'accesso ai relativi microservizi. Inoltre, quando si abilita la replica, vengono aggiunti due collegamenti privati aggiuntivi per l'associazione di aree di origine e di destinazione.
  • È necessario un indirizzo IP aggiuntivo sia nelle subnet di origine che in quella di ripristino. Questo indirizzo IP è necessario solo quando bisogna usare gli endpoint privati che si connettono agli account di archiviazione della cache. Gli endpoint privati per l'archiviazione possono essere creati solo nel tipo Utilizzo generico v2. Esaminare la struttura dei prezzi per il trasferimento dei dati in GPv2.

Creazione e uso di endpoint privati per Site Recovery

Questa sezione illustra i passaggi necessari per la creazione e l'uso di endpoint privati per Azure Site Recovery all'interno delle reti virtuali.

Nota

È consigliabile seguire questi passaggi nella stessa sequenza specificata. In caso contrario, il rendering dell'insieme di credenziali potrebbe non essere in grado di usare endpoint privati e richiedere di riavviare il processo con un nuovo insieme di credenziali.

Creare un insieme di credenziali di Servizi di ripristino

Un insieme di credenziali di Servizi di ripristino è un'entità che contiene le informazioni di replica dei computer e viene usata per attivare le operazioni di Site Recovery. Per altre informazioni, vedere Creare un insieme di credenziali di Servizi di ripristino.

Abilita l’identità gestita per l'insieme di credenziali.

Un'identità gestita consente all'insieme di credenziali di accedere agli account di archiviazione del cliente. Site Recovery deve accedere all'archiviazione di origine, all'archiviazione di destinazione e agli account di archiviazione cache/log a seconda dei requisiti dello scenario. L'accesso alle identità gestite è essenziale quando si usa il servizio collegamenti privati per l'insieme di credenziali.

  1. Passare all'insieme di credenziali di Servizi di ripristino. In Impostazioni, selezionare Identità.

    Mostra il portale di Azure e la pagina Servizi di ripristino.

  2. Modificare lo Stato in On e selezionare Salva.

  3. Viene generato un ID oggetto che indica che l'insieme di credenziali è ora registrato con Azure Active Directory.

Creare endpoint privati per l'insieme di credenziali di Servizi di ripristino

Per abilitare sia il failover che il failback per le macchine virtuali di Azure, sono necessari due endpoint privati per l'insieme di credenziali. Un endpoint privato per la protezione dei computer nella rete di origine e un altro per la riprotezione dei computer di cui è stato eseguito il failover nella rete di ripristino.

Assicurarsi di creare una rete virtuale di ripristino anche nell'area di destinazione durante questo processo di installazione.

Creare il primo endpoint privato per l'insieme di credenziali all'interno della rete virtuale di origine usando il Centro collegamento privato nel portale o tramite Azure PowerShell. Creare il secondo endpoint privato per l'insieme di credenziali all'interno della rete di ripristino. Di seguito sono riportati i passaggi per creare l'endpoint privato nella rete di origine. Ripetere le stesse indicazioni per creare il secondo endpoint privato.

  1. Nella barra di ricerca del portale di Azure cercare e selezionare "Collegamento privato". Questa azione consente di visualizzare il Centro collegamento privato.

    Mostra la ricerca nel portale di Azure per il Centro collegamento privato.

  2. Sulla barra di spostamento a sinistra selezionare Endpoint privati. Nella pagina Endpoint privati, selezionare +Aggiungi per iniziare a creare un endpoint privato per l'insieme di credenziali.

    Mostra la creazione di un endpoint privato nel Centro collegamento privato.

  3. Nell'esperienza "Crea endpoint privato", è necessario specificare i dettagli per la creazione della connessione all'endpoint privato.

    1. Informazioni di base: specificare i dettagli di base per gli endpoint privati. L'area deve corrispondere alle macchine di origine.

      Mostra la scheda Informazioni di base, i dettagli del progetto, la sottoscrizione e altri campi correlati per la creazione di un endpoint privato nel portale di Azure.

    2. Risorsa: questa scheda richiede di menzionare la risorsa platform-as-a-service per cui si vuole creare la connessione. Selezionare Microsoft.RecoveryServices/vaults nel Tipo di risorsa per la sottoscrizione selezionata. Scegliere quindi il nome dell'insieme di credenziali di Servizi di ripristino per Risorsa e impostare Azure Site Recovery come sotto-risorsa di destinazione.

      Mostra la scheda Risorsa, il tipo di risorsa, la risorsa e i campi delle sotto-risorse di destinazione per il collegamento a un endpoint privato nel portale di Azure.

    3. Configurazione: nella configurazione specificare la rete virtuale e la subnet in cui si vuole creare l'endpoint privato. Questa rete virtuale è la rete in cui è presente la macchina virtuale. Abilitare l'integrazione con una zona DNS privata selezionando . Scegliere una zona DNS già creata o crearne una nuova. Se si seleziona , la zona viene collegata automaticamente alla rete virtuale di origine e vengono aggiunti i record DNS necessari per la risoluzione DNS dei nuovi indirizzi IP e i nomi di dominio completi creati per l'endpoint privato.

      Assicurarsi di scegliere di creare una nuova zona DNS per ogni nuovo endpoint privato che si connette allo stesso insieme di credenziali. Se si sceglie una zona DNS privata esistente, i record CNAME precedenti vengono sovrascritti. Prima di continuare, consultare Linee guida per l'endpoint privato.

      Se l'ambiente ha un modello hub-spoke, è necessario un solo endpoint privato e una sola zona DNS privata per l'intera configurazione, perché tra tutte le reti virtuali è già abilitato il peering. Per altre informazioni, vedere integrazione DNS dell’endpoint privato.

      Per creare manualmente la zona DNS privata, seguire la procedura descritta in Creare zone DNS private e aggiungere manualmente i record DNS.

      Mostra la scheda Configurazione con i campi di integrazione di rete e DNS per la configurazione di un endpoint privato nel portale di Azure.

    4. Tag: facoltativamente, è possibile aggiungere tag per l'endpoint privato.

    5. Rivedi e crea: al termine della convalida, selezionare Crea per creare l'endpoint privato.

Quando viene creato l'endpoint privato, a tale endpoint vengono aggiunti cinque nomi di dominio completi (FQDN). Questi collegamenti consentono alle macchine nella rete virtuale di ottenere l'accesso a tutti i microservizi di Site Recovery necessari nel contesto dell'insieme di credenziali. Successivamente, quando si abilita la replica, vengono aggiunti due nomi di dominio completi aggiuntivi allo stesso endpoint privato.

I cinque nomi di dominio vengono formattati con il modello seguente:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Approvare gli endpoint privati per Site Recovery

Se l'utente che crea l'endpoint privato è anche il proprietario dell'insieme di credenziali di Servizi di ripristino, l'endpoint privato creato in precedenza viene approvato automaticamente entro pochi minuti. In caso contrario, il proprietario dell'insieme di credenziali deve approvare l'endpoint privato prima di usarlo. Per approvare o rifiutare una connessione endpoint privato richiesta, passare a Connessioni endpoint privati in "Impostazioni" nella pagina dell'insieme di credenziali di ripristino.

È possibile passare alla risorsa endpoint privato per esaminare lo stato della connessione prima di continuare.

Mostra la pagina delle connessioni endpoint privato dell'insieme di credenziali e dell'elenco di connessioni, nel portale di Azure.

(Facoltativo) Creare endpoint privati per l'account di archiviazione della cache

È possibile usare un endpoint privato in Archiviazione di Azure. La creazione di endpoint privati per l'accesso all'archiviazione è facoltativa per la replica di Azure Site Recovery. Quando si crea un endpoint privato per l'archiviazione, si applicano i requisiti seguenti:

  • È necessario un endpoint privato per l'account di archiviazione cache/log nella rete virtuale di origine.
  • È necessario un secondo endpoint privato al momento della riprotezione delle macchine con failover nella rete di ripristino. Questo endpoint privato è destinato al nuovo account di archiviazione creato nell'area di destinazione.

Nota

Se gli endpoint privati non sono abilitati nell'account di archiviazione, la protezione ha comunque esito positivo. Tuttavia, il traffico di replica transiterebbe verso gli endpoint pubblici di Azure Site Recovery. Per garantire i flussi di traffico di replica tramite collegamenti privati, l'account di archiviazione deve essere abilitato con endpoint privati.

Nota

L'endpoint privato per l'archiviazione può essere creato solo in account di archiviazione per utilizzo generico v2. Per informazioni sui prezzi, vederePrezzi standard dei BLOB di pagine.

Seguire le indicazioni per la creazione di un'archiviazione privata per creare un account di archiviazione con endpoint privato. Assicurarsi di selezionare per l'integrazione con la zona DNS privata. Selezionare una zona DNS già creata o crearne una nuova.

Concedere le autorizzazioni necessarie all'insieme di credenziali

Se le macchine virtuali usano dischi gestiti, è necessario concedere le autorizzazioni di identità gestita solo agli account di archiviazione della cache. Nel caso in cui le macchine virtuali usino dischi non gestiti, è necessario concedere le autorizzazioni di identità gestita per gli account di archiviazione di origine, cache e di destinazione. In questo caso, è necessario creare in anticipo l'account di archiviazione di destinazione.

Prima di abilitare la replica delle macchine virtuali, l'identità gestita dell'insieme di credenziali deve disporre delle autorizzazioni di ruolo seguenti, a seconda del tipo di account di archiviazione:

I passaggi seguenti descrivono come aggiungere un'assegnazione di ruolo all'account di archiviazione, uno alla volta. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

  1. Nel portale di Azure, passare all'account di archiviazione della cache creato.

  2. Seleziona Controllo di accesso (IAM).

  3. Selezionare Aggiungi > Aggiungi assegnazione di ruolo.

    Screenshot che mostra la pagina Controllo di accesso (IAM) con il menu Aggiungi assegnazione di ruolo aperto.

  4. Nella scheda Ruolo, selezionare uno dei ruoli elencati nell'inizio di questa sezione.

  5. Nella scheda Membri selezionare Identità gestita e quindi Seleziona membri.

  6. Seleziona la tua sottoscrizione di Azure.

  7. Selezionare Identità gestita assegnata dal sistema, cercare un insieme di credenziali e quindi selezionarla.

  8. Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Oltre a queste autorizzazioni, è necessario consentire l'accesso ai servizi attendibili Microsoft. A tale scopo, effettuare i passaggi seguenti:

  1. Passare a firewall e reti virtuali.

  2. In Eccezioni, selezionare Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione.

Proteggere le macchine virtuali

Al termine di tutte le configurazioni precedenti, continuare con l'abilitazione della replica per le macchine virtuali. Tutte le operazioni di Site Recovery funzionano senza altri passaggi, se è stata usata l'integrazione DNS durante la creazione di endpoint privati nell'insieme di credenziali. Tuttavia, se le zone DNS vengono create e configurate manualmente, sono necessari passaggi aggiuntivi per aggiungere record DNS specifici nelle zone DNS di origine e di destinazione dopo aver abilitato la replica. Per informazioni dettagliate e passaggi, vedere Creare zone DNS private e aggiungere manualmente record DNS.

Creare zone DNS private e aggiungere manualmente record DNS

Se non è stata selezionata l'opzione per l'integrazione con una zona DNS privata quando è stato creato l'endpoint privato per l'insieme di credenziali, seguire la procedura descritta in questa sezione.

Creare una zona DNS privata per consentire all'agente di mobilità di risolvere i nomi di dominio completi del collegamento privato agli indirizzi IP privati.

  1. Creare una zona DNS privato

    1. Cercare "zona DNS privata" nella barra di ricerca Tutti i servizi e selezionare "Zone DNS private" nell'elenco a discesa.

      Mostra la ricerca della

    2. Nella pagina "zone DNS privato", selezionare il pulsante +Aggiungi per iniziare a creare una nuova zona.

    3. Nella pagina "Crea zona DNS privata", immettere i dettagli necessari. Immettere il nome della zona DNS privata come privatelink.siterecovery.windowsazure.com. È possibile scegliere qualsiasi gruppo di risorse e qualsiasi sottoscrizione per crearla.

      Mostra la scheda Informazioni di base della pagina Crea zona DNS privata e i dettagli del progetto correlati nel portale di Azure.

    4. Passare alla scheda Rivedi e crea per esaminare e creare la zona DNS.

  2. Collegare la zona DNS privata alla rete virtuale

    Le zone DNS private create in precedenza devono ora essere collegate alla rete virtuale in cui sono attualmente presenti i server. È anche necessario collegare in anticipo la zona DNS privata alla rete virtuale di destinazione.

    1. Passare alla zona DNS privata creata nel passaggio precedente e passare a Collegamenti di rete virtuale sul lato sinistro della pagina. Al termine, selezionare il pulsante +Aggiungi.

    2. Compilare i dettagli obbligatori. I campi Sottoscrizione e Rete virtuale devono essere compilati con i dettagli corrispondenti della rete virtuale in cui sono presenti i server. Gli altri campi devono essere lasciati così come sono.

      Visualizza la pagina per aggiungere un collegamento di rete virtuale con il nome del collegamento, la sottoscrizione e la rete virtuale correlata nel portale di Azure.

  3. Aggiungere record DNS

    Dopo aver creato le zone DNS private e gli endpoint privati richiesti, è necessario aggiungere record DNS alle zone DNS.

    Nota

    Nel caso in cui si usi una zona DNS privata personalizzata, assicurarsi che vengano effettuate voci simili come illustrato di seguito.

    Questo passaggio richiede di creare voci per ogni nome di dominio completo nell'endpoint privato nella zona DNS privata.

    1. Passare alla zona DNS privata e passare alla sezione Panoramica sul lato sinistro della pagina. Una volta raggiunta la sezione, selezionare +Set di record per iniziare ad aggiungere record.

    2. Nella pagina "Aggiungi set di record" che si apre, aggiungere una voce per ogni nome di dominio completo e indirizzo IP privato come record di tipo A. L'elenco dei nomi di dominio e degli INDIRIZZI IP completi può essere ottenuto dalla pagina "Endpoint privato" in Panoramica. Come illustrato nell'esempio seguente, il primo nome di dominio completo dell'endpoint privato viene aggiunto al set di record nella zona DNS privata.

      Questi nomi di dominio completi corrispondono al modello: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Mostra la pagina per aggiungere un record di tipo DNS A per il nome di dominio completo all'endpoint privato nel portale di Azure.

    Nota

    Dopo aver abilitato la replica, vengono creati altri due nomi di dominio completi negli endpoint privati in entrambe le aree. Assicurarsi di aggiungere anche i record DNS per questi nomi di dominio completi appena creati. L'indirizzo IP statico per l'endpoint privato di Azure Site Recovery non è supportato.

Passaggi successivi

Dopo aver abilitato gli endpoint privati per la replica delle macchine virtuali, vedere queste altre pagine per informazioni aggiuntive e correlate: