Replikowanie maszyn z prywatnymi punktami końcowymi

  • Artykuł

Usługa Azure Site Recovery umożliwia używanie prywatnych punktów końcowych usługi Azure Private Link do replikowania maszyn z poziomu izolowanej sieci wirtualnej. Dostęp prywatnego punktu końcowego do magazynu odzyskiwania jest obsługiwany we wszystkich regionach komercyjnych i rządowych platformy Azure.

Ten artykuł zawiera instrukcje dotyczące wykonywania następujących kroków:

  • Utwórz magazyn usługi Azure Backup Recovery Services, aby chronić maszyny.
  • Włącz tożsamość zarządzaną dla magazynu i przyznaj wymagane uprawnienia dostępu do kont magazynu klienta w celu replikowania ruchu ze źródła do lokalizacji docelowych. Dostęp do tożsamości zarządzanej dla magazynu jest niezbędny w przypadku konfigurowania dostępu usługi Private Link do magazynu.
  • Wprowadzanie zmian DNS wymaganych dla prywatnych punktów końcowych
  • Tworzenie i zatwierdzanie prywatnych punktów końcowych dla magazynu w sieci wirtualnej
  • Utwórz prywatne punkty końcowe dla kont magazynu. W razie potrzeby możesz nadal zezwalać na publiczny lub zaporowy dostęp do magazynu. Tworzenie prywatnego punktu końcowego na potrzeby uzyskiwania dostępu do magazynu nie jest obowiązkowe w przypadku usługi Azure Site Recovery.

Poniżej przedstawiono architekturę referencyjną dotyczącą zmiany przepływu pracy replikacji przy użyciu prywatnych punktów końcowych.

Reference architecture for Site Recovery with private endpoints.

Wymagania wstępne i zastrzeżenia

  • Prywatne punkty końcowe można tworzyć tylko dla nowych magazynów usługi Recovery Services, które nie mają żadnych elementów zarejestrowanych w magazynie. W związku z tym należy utworzyć prywatne punkty końcowe przed dodaniu wszystkich elementów do magazynu. Przejrzyj strukturę cenową prywatnych punktów końcowych.
  • Po utworzeniu prywatnego punktu końcowego dla magazynu magazyn jest zablokowany i nie jest dostępny z sieci innych niż te sieci, które mają prywatne punkty końcowe.
  • Identyfikator Entra firmy Microsoft obecnie nie obsługuje prywatnych punktów końcowych. W związku z tym adresy IP i w pełni kwalifikowane nazwy domen wymagane do działania identyfikatora Entra firmy Microsoft w regionie muszą mieć dozwolony dostęp wychodzący z zabezpieczonej sieci. Możesz również użyć tagu sieciowej grupy zabezpieczeń "Azure Active Directory" i tagów usługi Azure Firewall, aby umożliwić dostęp do identyfikatora Entra firmy Microsoft zgodnie z wymaganiami.
  • Co najmniej siedem adresów IP jest wymaganych w podsieciach maszyn źródłowych i maszyn odzyskiwania. Podczas tworzenia prywatnego punktu końcowego dla magazynu usługa Site Recovery tworzy pięć linków prywatnych na potrzeby dostępu do jego mikrousług. Ponadto po włączeniu replikacji dodaje ona dwa dodatkowe linki prywatne dla parowania regionu źródłowego i docelowego.
  • Jeden dodatkowy adres IP jest wymagany zarówno w podsieciach źródłowych, jak i odzyskiwania. Ten adres IP jest wymagany tylko wtedy, gdy trzeba używać prywatnych punktów końcowych łączących się z kontami magazynu pamięci podręcznej. Prywatne punkty końcowe dla magazynu można tworzyć tylko w typie Ogólnego przeznaczenia w wersji 2. Przejrzyj strukturę cenową transferu danych w wersji GPv2.

Tworzenie i używanie prywatnych punktów końcowych dla usługi Site Recovery

W tej sekcji omówiono kroki związane z tworzeniem i używaniem prywatnych punktów końcowych dla usługi Azure Site Recovery w sieciach wirtualnych.

Uwaga

Zdecydowanie zaleca się wykonanie tych kroków w tej samej sekwencji co w podanej kolejności. Niepowodzenie tej czynności może prowadzić do tego, że magazyn nie może korzystać z prywatnych punktów końcowych i wymagać ponownego uruchomienia procesu przy użyciu nowego magazynu.

Tworzenie magazynu usługi Recovery Services

Magazyn usługi Recovery Services to jednostka zawierająca informacje o replikacji maszyn i służy do wyzwalania operacji usługi Site Recovery. Aby uzyskać więcej informacji, zobacz Tworzenie magazynu usługi Recovery Services.

Włącz tożsamość zarządzaną dla magazynu.

Tożsamość zarządzana umożliwia magazynowi uzyskanie dostępu do kont magazynu klienta. Usługa Site Recovery musi uzyskać dostęp do źródłowego magazynu, magazynu docelowego i kont magazynu pamięci podręcznej/dziennika w zależności od wymagań scenariusza. Dostęp do tożsamości zarządzanej jest niezbędny w przypadku korzystania z usługi linków prywatnych dla magazynu.

  1. Przejdź do magazynu usługi Recovery Services. Wybierz pozycję Tożsamość w obszarze Ustawienia.

    Shows the Azure portal and the Recovery Services page.

  2. Zmień stan na Wł., a następnie wybierz pozycję Zapisz.

  3. Wygenerowano identyfikator obiektu wskazujący, że magazyn jest teraz zarejestrowany w usłudze Azure Active Directory.

Tworzenie prywatnych punktów końcowych dla magazynu usługi Recovery Services

Aby włączyć zarówno tryb failover, jak i powrót po awarii dla maszyn wirtualnych platformy Azure, musisz mieć dwa prywatne punkty końcowe dla magazynu. Jeden prywatny punkt końcowy ochrony maszyn w sieci źródłowej, a drugi do ponownego włączania ochrony maszyn w trybie failover w sieci odzyskiwania.

Upewnij się, że podczas tego procesu instalacji utworzysz sieć wirtualną odzyskiwania w regionie docelowym.

Utwórz pierwszy prywatny punkt końcowy dla magazynu wewnątrz źródłowej sieci wirtualnej przy użyciu centrum usługi Private Link w portalu lub za pośrednictwem programu Azure PowerShell. Utwórz drugi prywatny punkt końcowy dla magazynu w sieci odzyskiwania. Poniżej przedstawiono kroki tworzenia prywatnego punktu końcowego w sieci źródłowej. Powtórz te same wskazówki, aby utworzyć drugi prywatny punkt końcowy.

  1. Na pasku wyszukiwania w witrynie Azure Portal wyszukaj i wybierz pozycję "Private Link". Ta akcja powoduje przejście do Centrum usługi Private Link.

    Shows searching the Azure portal for the Private Link Center.

  2. Na lewym pasku nawigacyjnym wybierz pozycję Prywatne punkty końcowe. Na stronie Prywatne punkty końcowe wybierz pozycję +Dodaj , aby rozpocząć tworzenie prywatnego punktu końcowego dla magazynu.

    Shows creating a private endpoint in the Private Link Center.

  3. Po utworzeniu prywatnego punktu końcowego w środowisku "Tworzenie prywatnego punktu końcowego" musisz określić szczegóły dotyczące tworzenia połączenia prywatnego punktu końcowego.

    1. Podstawowe informacje: podaj podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak maszyny źródłowe.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Zasób: ta karta wymaga wzmianki o zasobie typu "platforma jako usługa", dla którego chcesz utworzyć połączenie. Wybierz pozycję Microsoft.RecoveryServices/vaults z typu zasobu dla wybranej subskrypcji. Następnie wybierz nazwę magazynu usługi Recovery Services dla pozycji Zasób i ustaw usługę Azure Site Recovery jako docelowy zasób podrzędny.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Konfiguracja: W konfiguracji określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Ta sieć wirtualna to sieć, w której znajduje się maszyna wirtualna. Włącz integrację z prywatną strefą DNS, wybierając pozycję Tak. Wybierz już utworzoną strefę DNS lub utwórz nową. Wybranie opcji Tak powoduje automatyczne połączenie strefy ze źródłową siecią wirtualną i dodanie rekordów DNS wymaganych do rozpoznawania nowych adresów IP i w pełni kwalifikowanych nazw domen utworzonych dla prywatnego punktu końcowego.

      Upewnij się, że chcesz utworzyć nową strefę DNS dla każdego nowego prywatnego punktu końcowego łączącego się z tym samym magazynem. Jeśli wybierzesz istniejącą prywatną strefę DNS, poprzednie rekordy CNAME zostaną zastąpione. Przed kontynuowanie zapoznaj się ze wskazówkami dotyczącymi prywatnego punktu końcowego.

      Jeśli środowisko ma model piasty i szprych, potrzebujesz tylko jednego prywatnego punktu końcowego i tylko jednej prywatnej strefy DNS dla całej konfiguracji, ponieważ wszystkie sieci wirtualne mają już włączoną komunikację równorzędną między nimi. Aby uzyskać więcej informacji, zobacz Integracja usługi DNS prywatnego punktu końcowego.

      Aby ręcznie utworzyć prywatną strefę DNS, wykonaj kroki opisane w temacie Tworzenie prywatnych stref DNS i ręczne dodawanie rekordów DNS.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Tagi: opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

    5. Przejrzyj i utwórz: po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Po utworzeniu prywatnego punktu końcowego do prywatnego punktu końcowego są dodawane pięć w pełni kwalifikowanych nazw domen. Te linki umożliwiają maszynom w sieci wirtualnej uzyskanie dostępu do wszystkich wymaganych mikrousług usługi Site Recovery w kontekście magazynu. Później po włączeniu replikacji do tego samego prywatnego punktu końcowego zostaną dodane dwie dodatkowe w pełni kwalifikowane nazwy domen.

Pięć nazw domen jest sformatowanych przy użyciu następującego wzorca:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Zatwierdzanie prywatnych punktów końcowych dla usługi Site Recovery

Jeśli użytkownik tworzący prywatny punkt końcowy jest również właścicielem magazynu usługi Recovery Services, prywatny punkt końcowy utworzony powyżej zostanie automatycznie zatwierdzony w ciągu kilku minut. W przeciwnym razie właściciel magazynu musi zatwierdzić prywatny punkt końcowy przed jego użyciem. Aby zatwierdzić lub odrzucić żądane połączenie prywatnego punktu końcowego, przejdź do obszaru Połączenia prywatnego punktu końcowego w obszarze "Ustawienia" na stronie magazynu odzyskiwania.

Przed kontynuowaniem możesz przejść do zasobu prywatnego punktu końcowego, aby przejrzeć stan połączenia.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(Opcjonalnie) Tworzenie prywatnych punktów końcowych dla konta magazynu pamięci podręcznej

Może być używany prywatny punkt końcowy usługi Azure Storage. Tworzenie prywatnych punktów końcowych na potrzeby dostępu do magazynu jest opcjonalne dla replikacji usługi Azure Site Recovery. Podczas tworzenia prywatnego punktu końcowego dla magazynu obowiązują następujące wymagania:

  • Potrzebujesz prywatnego punktu końcowego dla konta magazynu pamięci podręcznej/dziennika w źródłowej sieci wirtualnej.
  • W momencie ponownego włączania ochrony maszyn w trybie failover w sieci odzyskiwania potrzebujesz drugiego prywatnego punktu końcowego. Ten prywatny punkt końcowy jest przeznaczony dla nowego konta magazynu utworzonego w regionie docelowym.

Uwaga

Jeśli prywatne punkty końcowe nie są włączone na koncie magazynu, ochrona nadal zakończy się pomyślnie. Jednak ruch związany z replikacją będzie przesyłany do publicznych punktów końcowych usługi Azure Site Recovery. Aby zapewnić przepływy ruchu replikacji za pośrednictwem linków prywatnych, konto magazynu musi być włączone z prywatnymi punktami końcowymi.

Uwaga

Prywatny punkt końcowy magazynu można utworzyć tylko na kontach magazynu ogólnego przeznaczenia w wersji 2 . Aby uzyskać informacje o cenach, zobacz Ceny stronicowych obiektów blob w warstwie Standardowa.

Postępuj zgodnie ze wskazówkami dotyczącymi tworzenia magazynu prywatnego, aby utworzyć konto magazynu z prywatnym punktem końcowym. Upewnij się, że wybierz pozycję Tak , aby zintegrować z prywatną strefą DNS. Wybierz już utworzoną strefę DNS lub utwórz nową.

Udzielanie wymaganych uprawnień do magazynu

Jeśli maszyny wirtualne korzystają z dysków zarządzanych, musisz przyznać uprawnienia tożsamości zarządzanej tylko do kont magazynu pamięci podręcznej. Jeśli maszyny wirtualne korzystają z dysków niezarządzanych, musisz przyznać uprawnienia tożsamości zarządzanej dla kont magazynu źródłowego, pamięci podręcznej i docelowego. W takim przypadku należy utworzyć docelowe konto magazynu z wyprzedzeniem.

Przed włączeniem replikacji maszyn wirtualnych tożsamość zarządzana magazynu musi mieć następujące uprawnienia roli w zależności od typu konta magazynu:

W poniższych krokach opisano sposób dodawania przypisania roli do kont magazynu pojedynczo. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

  1. W witrynie Azure Portal przejdź do utworzonego konta magazynu pamięci podręcznej.

  2. Wybierz pozycję Kontrola dostępu (IAM) .

  3. Wybierz pozycję Dodaj > przypisanie roli.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na karcie Rola wybierz jedną z ról wymienionych na początku tej sekcji.

  5. Na karcie Członkowie wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Wybierz członków.

  6. Wybierz subskrypcję platformy Azure.

  7. Wybierz pozycję Tożsamość zarządzana przypisana przez system, wyszukaj magazyn, a następnie wybierz go.

  8. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.

Oprócz tych uprawnień należy zezwolić na dostęp do zaufanych usług firmy Microsoft. W tym celu wykonaj następujące kroki:

  1. Przejdź do pozycji Zapory i sieci wirtualne.

  2. W obszarze Wyjątki wybierz pozycję Zezwalaj zaufanym usługi firmy Microsoft na dostęp do tego konta magazynu.

Ochrona maszyn wirtualnych

Po zakończeniu wszystkich powyższych konfiguracji kontynuuj włączanie replikacji dla maszyn wirtualnych. Wszystkie operacje usługi Site Recovery działają bez dodatkowych kroków, jeśli integracja DNS została użyta podczas tworzenia prywatnych punktów końcowych w magazynie. Jeśli jednak strefy DNS są tworzone ręcznie i skonfigurowane, należy wykonać dodatkowe kroki, aby dodać określone rekordy DNS zarówno w źródłowych, jak i docelowych strefach DNS po włączeniu replikacji. Aby uzyskać szczegółowe informacje i kroki, zobacz Tworzenie prywatnych stref DNS i ręczne dodawanie rekordów DNS.

Ręczne tworzenie prywatnych stref DNS i dodawanie rekordów DNS

Jeśli nie wybrano opcji integracji z prywatną strefą DNS w momencie tworzenia prywatnego punktu końcowego dla magazynu, wykonaj kroki opisane w tej sekcji.

Utwórz jedną prywatną strefę DNS, aby umożliwić agentowi mobilności rozpoznawanie w pełni kwalifikowanych nazw domen prywatnych na prywatnych adresach IP.

  1. Tworzenie prywatnej strefy DNS

    1. Wyszukaj ciąg "Prywatna strefa DNS zone" na pasku wyszukiwania Wszystkie usługi i wybierz z listy rozwijanej pozycję "Prywatna strefa DNS zones".

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. Na stronie "strefy Prywatna strefa DNS" wybierz przycisk +Dodaj, aby rozpocząć tworzenie nowej strefy.

    3. Na stronie "Tworzenie prywatnej strefy DNS" wypełnij wymagane szczegóły. Wprowadź nazwę prywatnej strefy DNS jako privatelink.siterecovery.windowsazure.com. Możesz wybrać dowolną grupę zasobów i dowolną subskrypcję, aby ją utworzyć.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. Przejdź do karty Przeglądanie + tworzenie , aby przejrzeć i utworzyć strefę DNS.

  2. Łączenie prywatnej strefy DNS z siecią wirtualną

    Utworzone powyżej prywatne strefy DNS muszą być teraz połączone z siecią wirtualną, w której obecnie znajdują się serwery. Należy również połączyć prywatną strefę DNS z docelową siecią wirtualną z wyprzedzeniem.

    1. Przejdź do prywatnej strefy DNS utworzonej w poprzednim kroku i przejdź do linków sieci wirtualnej po lewej stronie. Następnie wybierz przycisk +Dodaj .

    2. Wypełnij wymagane szczegóły. Pola Subskrypcja i Sieć wirtualna muszą być wypełnione odpowiednimi szczegółami sieci wirtualnej, w której istnieją serwery. Pozostałe pola muszą być pozostawione w następujący sposób.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. Dodawanie rekordów DNS

    Po utworzeniu wymaganych prywatnych stref DNS i prywatnych punktów końcowych należy dodać rekordy DNS do stref DNS.

    Uwaga

    Jeśli używasz niestandardowej prywatnej strefy DNS, upewnij się, że podobne wpisy zostały wykonane zgodnie z poniższym opisem.

    Ten krok wymaga wpisów dla każdej w pełni kwalifikowanej nazwy domeny w prywatnym punkcie końcowym w prywatnej strefie DNS.

    1. Przejdź do prywatnej strefy DNS i przejdź do sekcji Przegląd po lewej stronie. Następnie wybierz pozycję +Zestaw rekordów, aby rozpocząć dodawanie rekordów.

    2. Na stronie "Dodaj zestaw rekordów", która zostanie otwarta, dodaj wpis dla każdej w pełni kwalifikowanej nazwy domeny i prywatnego adresu IP jako rekordu typu A . Listę w pełni kwalifikowanych nazw domen i adresów IP można uzyskać ze strony "Prywatny punkt końcowy" w obszarze Przegląd. Jak pokazano w poniższym przykładzie, pierwsza w pełni kwalifikowana nazwa domeny z prywatnego punktu końcowego jest dodawana do zestawu rekordów w prywatnej strefie DNS.

      Te w pełni kwalifikowane nazwy domen są zgodne ze wzorcem: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Uwaga

    Po włączeniu replikacji na prywatnych punktach końcowych w obu regionach są tworzone jeszcze dwie w pełni kwalifikowane nazwy domen. Upewnij się, że dodano również rekordy DNS dla nowo utworzonych w pełni kwalifikowanych nazw domen.

Następne kroki

Po włączeniu prywatnych punktów końcowych dla replikacji maszyny wirtualnej zapoznaj się z innymi stronami, aby uzyskać dodatkowe i powiązane informacje: