Architectuur voor herstel na noodgevallen van Azure naar Azure
In dit artikel worden de architectuur, onderdelen en processen beschreven die worden gebruikt bij het implementeren van herstel na noodgevallen voor virtuele Azure-machines (VM's) met behulp van de Azure Site Recovery-service . Met het instellen van herstel na noodgevallen worden Virtuele Azure-machines continu gerepliceerd naar een andere doelregio. Als er een storing optreedt, kunt u een failover uitvoeren van VM's naar de secundaire regio en deze daar openen. Wanneer alles weer normaal wordt uitgevoerd, kunt u een failback uitvoeren en doorgaan met werken op de primaire locatie.
Architectuuronderdelen
De onderdelen die betrokken zijn bij herstel na noodgevallen voor Azure-VM's, worden samengevat in de volgende tabel.
| Onderdeel | Vereisten |
|---|---|
| VM's in bronregio | Een van meer Virtuele Azure-machines in een ondersteunde bronregio. VM's kunnen elk ondersteund besturingssysteem uitvoeren. |
| Bron-VM-opslag | Virtuele Azure-machines kunnen worden beheerd of niet-beheerde schijven verspreid over opslagaccounts. Meer informatie over ondersteunde Azure-opslag. |
| Bron-VM-netwerken | VM's kunnen zich in een of meer subnetten in een virtueel netwerk (VNet) in de bronregio bevinden. Meer informatie over netwerkvereisten. |
| Cacheopslagaccount | U hebt een cacheopslagaccount in het bronnetwerk nodig. Tijdens de replicatie worden VM-wijzigingen opgeslagen in de cache voordat ze naar de doelopslag worden verzonden. Het gebruik van een cache zorgt voor minimale impact op productietoepassingen die worden uitgevoerd op een VIRTUELE machine. Meer informatie over de vereisten voor cacheopslag. |
| Doelbronnen | Doelresources worden gebruikt tijdens de replicatie en wanneer er een failover plaatsvindt. Site Recovery kan standaard doelresources instellen of u kunt ze maken/aanpassen. Controleer in de doelregio of u VM's kunt maken en of uw abonnement voldoende resources heeft om VM-grootten te ondersteunen die nodig zijn in de doelregio. |
Doelbronnen
Wanneer u replicatie voor een VIRTUELE machine inschakelt, biedt Site Recovery u de mogelijkheid om automatisch doelresources te maken.
| Doelresource | Standaardinstelling |
|---|---|
| Doelabonnement | Hetzelfde als het bronabonnement. |
| Doelresourcegroep | De resourcegroep waartoe vm's behoren na een failover. Deze kan zich in elke Azure-regio bevinden, behalve de bronregio. Site Recovery maakt een nieuwe resourcegroep in de doelregio, met een asr-achtervoegsel. |
| Doel-VNet | Het virtuele netwerk (VNet) waarin gerepliceerde VM's zich bevinden na een failover. Er wordt een netwerktoewijzing gemaakt tussen virtuele bron- en doelnetwerken en omgekeerd. Site Recovery maakt een nieuw VNet en subnet met het achtervoegsel 'asr'. |
| Doelopslagaccount | Als de virtuele machine geen beheerde schijf gebruikt, is dit het opslagaccount waarnaar gegevens worden gerepliceerd. Site Recovery maakt een nieuw opslagaccount in de doelregio om het bronopslagaccount te spiegelen. |
| Beheerde replicaschijven | Als de virtuele machine een beheerde schijf gebruikt, zijn dit de beheerde schijven waarnaar gegevens worden gerepliceerd. Site Recovery maakt beheerde replicaschijven in de opslagregio om de bron te spiegelen. |
| Doelbeschikbaarheidssets | Beschikbaarheidsset waarin replicerende VM's zich na een failover bevinden. Site Recovery maakt een beschikbaarheidsset in de doelregio met het achtervoegsel 'asr', voor VM's die zich in een beschikbaarheidsset op de bronlocatie bevinden. Als er een beschikbaarheidsset bestaat, wordt deze gebruikt en wordt er geen nieuwe gemaakt. |
| Doelbeschikbaarheidszones | Als de doelregio beschikbaarheidszones ondersteunt, wijst Site Recovery hetzelfde zonenummer toe als dat in de bronregio wordt gebruikt. |
Doelresources beheren
U kunt doelbronnen als volgt beheren:
- U kunt doelinstellingen wijzigen terwijl u replicatie inschakelt. Houd er rekening mee dat de standaard-SKU voor de doelregio-VM hetzelfde is als de SKU van de bron-VM (of de eerstvolgende best beschikbare SKU in vergelijking met de bron-VM-SKU). In de vervolgkeuzelijst worden alleen relevante SKU's van dezelfde familie weergegeven als de bron-VM (Gen 1 of Gen 2).
- U kunt de doelinstellingen wijzigen nadat de replicatie al werkt. Net als andere resources, zoals de doelresourcegroep, de doelnaam en andere, kan de VM-SKU van de doelregio ook worden bijgewerkt nadat de replicatie wordt uitgevoerd. Een resource, die niet kan worden bijgewerkt, is het beschikbaarheidstype (één exemplaar, set of zone). Als u deze instelling wilt wijzigen, moet u replicatie uitschakelen, de instelling wijzigen en vervolgens opnieuw inschakelen.
Beleid voor replicatie
Wanneer u Azure VM-replicatie inschakelt, maakt Site Recovery een nieuw replicatiebeleid met de standaardinstellingen die standaard in de tabel worden samengevat.
| Beleidsinstelling | DETAILS | Standaard |
|---|---|---|
| Bewaarperiode van herstelpunt | Hiermee geeft u op hoe lang Site Recovery herstelpunten bewaart. | Eén dag |
| Frequentie van de app-consistente momentopname | Hoe vaak Site Recovery een app-consistente momentopname maakt. | Nul uur (uitgeschakeld) |
Replicatiebeleid beheren
U kunt de instellingen van standaardreplicatiebeleid als volgt beheren en wijzigen:
- U kunt de instellingen wijzigen terwijl u replicatie inschakelt.
- U kunt op elk gewenst moment een replicatiebeleid maken en dit toepassen wanneer u replicatie inschakelt.
Notitie
Een hoge bewaarperiode voor herstelpunten kan een implicatie hebben voor de opslagkosten, omdat er mogelijk meer herstelpunten moeten worden opgeslagen.
Consistentie van meerdere VM's
Als u wilt dat VM's samen worden gerepliceerd en gedeelde crashconsistente en app-consistente herstelpunten bij failover hebben, kunt u deze samen verzamelen in een replicatiegroep. Consistentie met meerdere VM's heeft invloed op de workloadprestaties en mag alleen worden gebruikt voor VM's waarop workloads worden uitgevoerd die consistentie op alle computers nodig hebben.
Momentopnamen en herstelpunten
Herstelpunten worden gemaakt op basis van momentopnamen van VM-schijven die op een bepaald tijdstip zijn gemaakt. Wanneer u een failover uitvoert voor een virtuele machine, gebruikt u een herstelpunt om de VM op de doellocatie te herstellen.
Wanneer u een failover uitvoert, willen we er over het algemeen voor zorgen dat de VIRTUELE machine begint zonder beschadiging of gegevensverlies en dat de VM-gegevens consistent zijn voor het besturingssysteem en voor apps die worden uitgevoerd op de VIRTUELE machine. Dit is afhankelijk van het type momentopnamen dat is gemaakt.
Site Recovery maakt als volgt momentopnamen:
- Site Recovery maakt standaard crashconsistente momentopnamen van gegevens en app-consistente momentopnamen als u een frequentie voor deze momentopnamen opgeeft.
- Herstelpunten worden gemaakt op basis van de momentopnamen en opgeslagen in overeenstemming met de bewaarinstellingen in het replicatiebeleid.
Consistentie
In de volgende tabel worden verschillende typen consistentie uitgelegd.
Crashconsistent
| Beschrijving | DETAILS | Aanbeveling |
|---|---|---|
| Een crashconsistente momentopname legt gegevens vast die zich op de schijf bevinden toen de momentopname werd gemaakt. Het bevat niets in het geheugen. Het bevat het equivalent van de on-disk-gegevens die aanwezig zouden zijn als de virtuele machine vastliep of het netsnoer van de server werd gehaald op het moment dat de momentopname werd gemaakt. Een crashconsistente garandeert geen gegevensconsistentie voor het besturingssysteem of voor apps op de VIRTUELE machine. |
Site Recovery maakt standaard om de vijf minuten crashconsistente herstelpunten. Deze instelling kan niet worden gewijzigd. |
Tegenwoordig kunnen de meeste apps goed herstellen van crashconsistente punten. Crashconsistente herstelpunten zijn voldoende voor de replicatie van besturingssystemen en apps zoals DHCP-servers en afdrukservers. |
Appconsistent
| Beschrijving | DETAILS | Aanbeveling |
|---|---|---|
| App-consistente herstelpunten worden gemaakt op basis van app-consistente momentopnamen. Een app-consistente momentopname bevat alle informatie in een crashconsistente momentopname, plus alle gegevens in het geheugen en transacties die worden uitgevoerd. |
App-consistente momentopnamen maken gebruik van de Volume Shadow Copy Service (VSS): 1) Azure Site Recovery maakt gebruik van de methode Alleen back-up kopiëren (VSS_BT_COPY), waarmee de back-uptijd van het transactielogboek van Microsoft SQL en het volgnummer 2 niet wordt gewijzigd) Wanneer een momentopname wordt gestart, voert VSS een copy-on-write-bewerking (COW) uit op het volume. 3) Voordat de COW wordt uitgevoerd, informeert VSS elke app op de computer dat deze de geheugen-residente gegevens naar de schijf moet leegmaken. 4) VSS staat de back-up-/noodherstel-app (in dit geval Site Recovery) toe om de momentopnamegegevens te lezen en door te gaan. |
App-consistente momentopnamen worden gemaakt volgens de frequentie die u opgeeft. Deze frequentie moet altijd kleiner zijn dan u instelt voor het behouden van herstelpunten. Als u bijvoorbeeld herstelpunten behoudt met behulp van de standaardinstelling van 24 uur, moet u de frequentie instellen op minder dan 24 uur. Ze zijn complexer en duren langer om te voltooien dan crashconsistente momentopnamen. Ze zijn van invloed op de prestaties van apps die worden uitgevoerd op een VM die is ingeschakeld voor replicatie. |
Replicatieproces
Wanneer u replicatie inschakelt voor een Virtuele Azure-machine, gebeurt het volgende:
- De Site Recovery Mobility-service-extensie wordt automatisch geïnstalleerd op de virtuele machine.
- De extensie registreert de VIRTUELE machine bij Site Recovery.
- Continue replicatie begint voor de VIRTUELE machine. Schijfschrijfbewerkingen worden onmiddellijk overgebracht naar het cacheopslagaccount op de bronlocatie.
- Site Recovery verwerkt de gegevens in de cache en verzendt deze naar het doelopslagaccount of naar de beheerde replicaschijven.
- Nadat de gegevens zijn verwerkt, worden crashconsistente herstelpunten om de vijf minuten gegenereerd. App-consistente herstelpunten worden gegenereerd volgens de instelling die is opgegeven in het replicatiebeleid.
Replicatieproces
vereisten voor Verbinding maken iviteit
De Azure-VM's die u repliceert, hebben uitgaande connectiviteit nodig. Site Recovery heeft nooit binnenkomende connectiviteit met de virtuele machine nodig.
Uitgaande connectiviteit (URL's)
Als uitgaande toegang voor VM's wordt beheerd met URL's, staat u deze URL's toe.
| Naam | Commercieel | Overheid | Beschrijving |
|---|---|---|---|
| Storage | *.blob.core.windows.net |
*.blob.core.usgovcloudapi.net |
Hiermee kunnen gegevens van de VM naar het cache-opslagaccount in de bronregio worden geschreven. |
| Microsoft Entra ID | login.microsoftonline.com |
login.microsoftonline.us |
Verzorgt autorisatie en authenticatie voor de URL’s van Site Recovery. |
| Replicatie | *.hypervrecoverymanager.windowsazure.com |
*.hypervrecoverymanager.windowsazure.us |
Maakt het de VM mogelijk te communiceren met de Site Recovery-service. |
| Service Bus | *.servicebus.windows.net |
*.servicebus.usgovcloudapi.net |
Maakt het de VM mogelijk bewakings- en diagnosegegevens van Site Recovery te schrijven. |
| Key Vault | *.vault.azure.net |
*.vault.usgovcloudapi.net |
Staat toegang toe om replicatie in te schakelen voor virtuele ADE-machines via de portal |
| Azure Automation | *.automation.ext.azure.com |
*.azure-automation.us |
Hiermee kunt u autoupgrade van mobility-agent inschakelen voor een gerepliceerd item via de portal |
Uitgaande connectiviteit voor IP-adresbereiken
Sta deze adressen toe om uitgaande connectiviteit voor VM's met behulp van IP-adressen te beheren. Houd er rekening mee dat details van de vereisten voor netwerkconnectiviteit te vinden zijn in het technisch document over netwerken.
Bronregioregels
| Regel | DETAILS | Servicetag |
|---|---|---|
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met opslagaccounts in de bronregio | Opslag.<regionaam> |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Microsoft Entra-id | AzureActiveDirectory |
| HTTPS uitgaand toestaan: poort 443 | Sta bereiken toe die overeenkomen met Events Hub in de doelregio. | EventHub.<regionaam> |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Site Recovery | AzureSiteRecovery |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Key Vault (dit is alleen vereist voor het inschakelen van replicatie van virtuele ADE-machines via de portal) | AzureKeyVault |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met de Azure Automation-controller (dit is alleen vereist voor het inschakelen van automatische upgrade van de Mobility-agent voor een gerepliceerd item via de portal) | GuestAndHybridManagement |
Doelregioregels
| Regel | DETAILS | Servicetag |
|---|---|---|
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met opslagaccounts in de doelregio | Opslag.<regionaam> |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Microsoft Entra-id | AzureActiveDirectory |
| HTTPS uitgaand toestaan: poort 443 | Sta bereiken toe die overeenkomen met Events Hub in de bronregio. | EventHub.<regionaam> |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Site Recovery | AzureSiteRecovery |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Key Vault (dit is alleen vereist voor het inschakelen van replicatie van virtuele ADE-machines via de portal) | AzureKeyVault |
| HTTPS uitgaand toestaan: poort 443 | Bereiken toestaan die overeenkomen met de Azure Automation-controller (dit is alleen vereist voor het inschakelen van automatische upgrade van de Mobility-agent voor een gerepliceerd item via de portal) | GuestAndHybridManagement |
Toegang beheren met regels voor netwerkbeveiligingsgroepen
Als u vm-connectiviteit beheert door netwerkverkeer naar en van Azure-netwerken/subnetten te filteren met behulp van regels voor netwerkbeveiligingsgroepen, moet u rekening houden met de volgende vereisten:
- Regels voor netwerkbeveiligingsgroepen voor de Azure-bronregio moeten uitgaande toegang voor replicatieverkeer toestaan.
- U wordt aangeraden regels te maken in een testomgeving voordat u ze in productie neemt.
- Gebruik servicetags in plaats van afzonderlijke IP-adressen toe te staan.
- Servicetags vertegenwoordigen een groep IP-adresvoorvoegsels die samen zijn verzameld om de complexiteit bij het maken van beveiligingsregels te minimaliseren.
- Microsoft werkt servicetags automatisch bij in de loop van de tijd.
Meer informatie over uitgaande connectiviteit voor Site Recovery en het beheren van connectiviteit met netwerkbeveiligingsgroepen.
Verbinding maken iviteit voor consistentie met meerdere VM's
Als u multi-VM-consistentie inschakelt, communiceren machines in de replicatiegroep met elkaar via poort 20004.
- Zorg ervoor dat er geen firewallapparaat is dat de interne communicatie tussen de VM's via poort 20004 blokkeert.
- Als u wilt dat Linux VM’s deel uitmaken van een replicatiegroep, zorg er dan voor dat het uitgaande verkeer op poort 20004 handmatig wordt geopend volgens de richtlijnen van de specifieke Linux-versie.
Failoverproces
Wanneer u een failover start, worden de VM's gemaakt in de doelresourcegroep, het virtuele doelnetwerk, het doelsubnet en in de doel-beschikbaarheidsset. Tijdens een failover kunt u elk herstelpunt gebruiken.
Volgende stappen
- Snel een Virtuele Azure-machine repliceren naar een secundaire regio.