Replikowanie maszyn z prywatnymi punktami końcowymi

Usługa Azure Site Recovery umożliwia używanie prywatnych punktów końcowych usługi Azure Private Link do replikowania maszyn z poziomu izolowanej sieci wirtualnej. Dostęp prywatnego punktu końcowego do magazynu odzyskiwania jest obsługiwany we wszystkich regionach komercyjnych i rządowych platformy Azure.

Ten artykuł zawiera instrukcje dotyczące wykonywania następujących kroków:

• Utwórz magazyn usługi Azure Backup Recovery Services, aby chronić maszyny.
• Włącz tożsamość zarządzaną dla skarbca i nadaj wymagane uprawnienia dostępu do kont przechowywania klientów, aby replikować ruch danych ze źródła do lokalizacji docelowych. Dostęp do tożsamości zarządzanej dla magazynu jest niezbędny w przypadku konfigurowania dostępu usługi Private Link do skarbca.
• Wprowadzanie zmian DNS wymaganych dla prywatnych punktów końcowych
• Tworzenie i zatwierdzanie prywatnych końcowych punktów dostępu dla skarbca w sieci wirtualnej
• Utwórz prywatne punkty końcowe dla kont przechowywania. W razie potrzeby możesz nadal zezwalać na publiczny dostęp lub dostęp z zaporą do przechowywania. Tworzenie prywatnego punktu końcowego na potrzeby uzyskiwania dostępu do magazynu nie jest obowiązkowe w przypadku usługi Azure Site Recovery.

Poniżej przedstawiono architekturę referencyjną opisującą, jak zmienia się przepływ pracy replikacji przy użyciu prywatnych punktów końcowych.

Wymagania wstępne i zastrzeżenia

• Prywatne punkty końcowe:
  • Prywatne punkty końcowe można tworzyć tylko dla nowych magazynów usługi Recovery Services, które nie mają żadnych elementów zarejestrowanych w tych magazynach. W związku z tym należy utworzyć prywatne punkty końcowe przed dodaniem jakichkolwiek elementów do skarbca. Przejrzyj strukturę cen dla prywatnych punktów końcowych.
  • Prywatny punkt końcowy dla usługi Recovery Services obsługuje tylko dynamiczne adresy IP. Statyczne adresy IP nie są obsługiwane.
  • Po utworzeniu prywatnego punktu końcowego dla skrytki, skrytka zostaje zablokowana i jest dostępna tylko z sieci, które mają prywatne punkty końcowe.
  • Prywatne punkty końcowe dla magazynu można tworzyć tylko w typie Ogólnego przeznaczenia w wersji 2. Przejrzyj strukturę cenową transferu danych w wersji GPv2.
• Identyfikator Entra firmy Microsoft obecnie nie obsługuje prywatnych punktów końcowych. W związku z tym adresy IP i w pełni kwalifikowane nazwy domen wymagane do działania identyfikatora Entra firmy Microsoft w regionie muszą mieć dozwolony dostęp wychodzący z zabezpieczonej sieci. Możesz również użyć tagu Azure Active Directory sieciowej grupy zabezpieczeń i tagów usługi Azure Firewall, aby umożliwić dostęp do identyfikatora Entra firmy Microsoft zgodnie z wymaganiami.
• Adresy IP:
  • Co najmniej dziewięć adresów IP jest wymaganych w podsieciach maszyn źródłowych i maszyn odzyskiwania. Podczas tworzenia prywatnego punktu końcowego dla skarbca, usługa Site Recovery tworzy pięć prywatnych łączy dla umożliwienia dostępu do swoich mikrousług. Ponadto po włączeniu replikacji dodaje dwa dodatkowe łącza prywatne dla pary regionów źródłowego i docelowego.
  • Jeden dodatkowy adres IP jest wymagany w podsieci źródłowej i podsieci odzyskiwania. Ten adres IP jest wymagany tylko wtedy, gdy trzeba używać prywatnych punktów końcowych łączących się z kontami magazynu pamięci podręcznej.

Tworzenie i używanie prywatnych punktów końcowych dla usługi Site Recovery

W tej sekcji omówiono kroki związane z tworzeniem i używaniem prywatnych punktów końcowych dla usługi Azure Site Recovery w sieciach wirtualnych.

Uwaga

Zdecydowanie zaleca się wykonanie tych kroków w tej samej sekwencji co w podanej kolejności. W przypadku niepowodzenia tej czynności może to spowodować, że magazyn nie będzie mógł korzystać z prywatnych punktów końcowych i będzie wymagać ponownego uruchomienia procesu z nowym magazynem.

Utwórz magazyn usługi „Recovery Services”

Magazyn usługi Recovery Services to jednostka zawierająca informacje o replikacji maszyn i służy do wyzwalania operacji usługi Site Recovery. Aby uzyskać więcej informacji, zobacz Utwórz magazyn usługi Recovery Services.

Włącz tożsamość zarządzaną dla magazynu

Tożsamość zarządzana umożliwia magazynowi uzyskanie dostępu do kont przechowywania klienta. Usługa Site Recovery musi uzyskać dostęp do magazynu źródłowego, magazynu docelowego oraz kont magazynu pamięci podręcznej i dziennika w zależności od wymagań scenariusza. Dostęp do tożsamości zarządzanej jest niezbędny w przypadku korzystania z usługi prywatnych łączy dla skarbca.

1. Przejdź do skrytki usługi Recovery Services. Wybierz pozycję Tożsamość w obszarze Ustawienia.

   

   Uwaga

   Obsługiwana jest tożsamość zarządzana przypisana przez system i użytkownika dla skrytki Recovery Services.

2. Zmień stan na Wł., a następnie wybierz pozycję Zapisz.

3. Wygenerowano identyfikator obiektu (Object ID), wskazując, że magazyn jest teraz zarejestrowany w usłudze Azure Active Directory.

Tworzenie prywatnych punktów końcowych dla magazynu usług odzyskiwania.

Aby włączyć zarówno tryb awaryjny (failover), jak i przywracanie (failback) dla maszyn wirtualnych platformy Azure, musisz mieć dwa prywatne punkty końcowe dla skarbca. Jeden prywatny punkt końcowy do ochrony maszyn w sieci źródłowej, a drugi do ponownej ochrony maszyn, które przeszły failover, w sieci odzyskiwania.

Upewnij się, że podczas tego procesu konfiguracji utworzysz w regionie docelowym sieć wirtualną odzyskiwania.

Uwaga

Obecnie nie można skonfigurować konta automatyzacji do używania prywatnych punktów końcowych na potrzeby automatycznego uaktualniania agenta. Ta konfiguracja wymaga skonfigurowania prywatnego punktu końcowego dla usługi Azure Key Vault, jednak zadania w chmurze z konta usługi Automation nie mogą uzyskiwać dostępu do zasobów platformy Azure zabezpieczonych prywatnymi punktami końcowymi.

Utwórz pierwszy prywatny punkt końcowy dla swojego skarbca wewnątrz źródłowej sieci wirtualnej, używając centrum usługi Private Link w portalu lub za pośrednictwem programu Azure PowerShell. Utwórz drugi prywatny punkt końcowy dla skarbca w sieci odzyskiwania. Poniżej przedstawiono kroki tworzenia prywatnego punktu końcowego w sieci źródłowej. Powtórz te same wskazówki, aby utworzyć drugi prywatny punkt końcowy.

1. Na pasku wyszukiwania w witrynie Azure Portal wyszukaj i wybierz pozycję "Private Link". Ta akcja powoduje przejście do Centrum usługi Private Link.

   

2. Na lewym pasku nawigacyjnym wybierz pozycję Prywatne punkty końcowe. Na stronie Punkty końcowe prywatne wybierz +Dodaj, aby rozpocząć tworzenie prywatnego punktu końcowego dla magazynu.

   

3. W momencie, gdy znajdziesz się w środowisku "Tworzenie prywatnego punktu końcowego", musisz określić szczegóły dotyczące tworzenia połączenia z prywatnym punktem końcowym.

   1. Podstawowe informacje: podaj podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak maszyny źródłowe.

      

   2. Zasób: ta karta wymaga wzmianki o zasobie typu "platforma jako usługa", dla którego chcesz utworzyć połączenie. Wybierz Microsoft.RecoveryServices/vaults z Typ zasobu dla wybranej subskrypcji. Następnie wybierz nazwę sejfu Recovery Services dla zasobu i ustaw Azure Site Recovery jako docelowy zasób podrzędny.

      

   3. Konfiguracja: W konfiguracji określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Ta sieć wirtualna to sieć, w której znajduje się maszyna wirtualna. Włącz integrację z prywatną strefą DNS, wybierając pozycję Tak. Wybierz już utworzoną strefę DNS lub utwórz nową. Wybranie opcji Tak powoduje automatyczne połączenie strefy ze źródłową siecią wirtualną i dodanie rekordów DNS wymaganych do rozpoznawania nowych adresów IP i w pełni kwalifikowanych nazw domen utworzonych dla prywatnego punktu końcowego.

      Upewnij się, że chcesz utworzyć nową strefę DNS dla każdego nowego prywatnego punktu końcowego łączącego się z tym samym magazynem. Jeśli wybierzesz istniejącą prywatną strefę DNS, poprzednie rekordy CNAME zostaną zastąpione. Przed kontynuowaniem, zapoznaj się ze wskazówkami dotyczącymi prywatnego punktu końcowego.

      Jeśli środowisko ma model piasty i szprych, potrzebujesz tylko jednego prywatnego punktu końcowego i tylko jednej prywatnej strefy DNS dla całej konfiguracji, ponieważ wszystkie sieci wirtualne mają już włączoną komunikację równorzędną między nimi. Aby uzyskać więcej informacji, zobacz Integracja usługi DNS prywatnego punktu końcowego.

      Aby ręcznie utworzyć prywatną strefę DNS, wykonaj kroki opisane w temacie Tworzenie prywatnych stref DNS i ręczne dodawanie rekordów DNS.

      

   4. Tagi: opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

   5. Przejrzyj + utwórz: Po zakończeniu walidacji wybierz pozycję Utwórz, aby utworzyć prywatny punkt końcowy.

Po utworzeniu prywatnego punktu końcowego do prywatnego punktu końcowego są dodawane pięć w pełni kwalifikowanych nazw domen. Te linki umożliwiają maszynom w sieci wirtualnej dostęp do wszystkich niezbędnych mikrousług Site Recovery w kontekście magazynu. Później po włączeniu replikacji do tego samego prywatnego punktu końcowego zostaną dodane dwie dodatkowe w pełni kwalifikowane nazwy domen.

Pięć nazw domen jest sformatowanych przy użyciu następującego wzorca:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Zatwierdzanie prywatnych punktów końcowych dla usługi Site Recovery

Jeśli użytkownik tworzący prywatny punkt końcowy jest również właścicielem magazynu usługi Recovery Services, prywatny punkt końcowy utworzony powyżej zostanie automatycznie zatwierdzony w ciągu kilku minut. W przeciwnym razie właściciel magazynu musi zatwierdzić prywatny punkt końcowy, aby można było z niego korzystać. Aby zatwierdzić lub odrzucić żądane połączenie prywatnego punktu końcowego, przejdź do Połączenia punktu końcowego w sekcji "Ustawienia" na stronie skarbca odzyskiwania.

Przed kontynuowaniem możesz przejść do zasobu prywatnego punktu końcowego, aby przejrzeć stan połączenia.

(Opcjonalnie) Utwórz prywatne punkty końcowe dla konta pamięci podręcznej.

Może być używany prywatny punkt końcowy usługi Azure Storage. Tworzenie prywatnych punktów końcowych na potrzeby dostępu do magazynu jest opcjonalne dla replikacji usługi Azure Site Recovery. Podczas tworzenia prywatnego punktu końcowego dla pamięci masowej obowiązują następujące wymagania:

• Potrzebujesz prywatnego punktu końcowego dla konta magazynowania pamięci podręcznej i dziennika na źródłowej sieci wirtualnej.
• W momencie ponownego włączania ochrony maszyn w trybie failover w sieci odzyskiwania potrzebujesz drugiego prywatnego punktu końcowego. Ten prywatny punkt końcowy jest przeznaczony dla nowego konta przechowywania utworzonego w regionie docelowym.

Uwaga

Jeśli prywatne punkty końcowe nie są włączone w koncie magazynowym, ochrona nadal zakończy się pomyślnie. Jednak ruch związany z replikacją będzie przesyłany do publicznych punktów końcowych usługi Azure Site Recovery. Aby zapewnić przepływy ruchu replikacji za pośrednictwem połączeń prywatnych, konto magazynu musi mieć włączone prywatne punkty końcowe.

Prywatny punkt końcowy dla magazynu można utworzyć tylko na kontach magazynu ogólnego przeznaczenia v2. Aby uzyskać informacje o cenach, zobacz ceny standardowych stronicowych obiektów blob.

W przypadku konta magazynu pamięci podręcznej przypisanie prywatnego punktu końcowego (PE) do konta magazynu pamięci podręcznej i dodanie statycznego adresu IP działa poprawnie, jeśli maszyna źródłowa utrzymuje linię sieciową. Nie dotyczy to usługi Site Recovery.

Postępuj zgodnie ze wskazówkami dotyczącymi tworzenia prywatnego magazynu, aby utworzyć konto magazynu z prywatnym punktem końcowym. Upewnij się, że wybierz pozycję Tak , aby zintegrować z prywatną strefą DNS. Wybierz już utworzoną strefę DNS lub utwórz nową.

Udziel wymaganych uprawnień do skarbca

Jeśli maszyny wirtualne korzystają z dysków zarządzanych, musisz przyznać uprawnienia tożsamości zarządzanej tylko do kont magazynu pamięci podręcznej. Jeśli maszyny wirtualne korzystają z dysków niezarządzanych, musisz przyznać uprawnienia tożsamości zarządzanej dla kont magazynowania źródłowego, pamięci podręcznej oraz kont docelowych. W takim przypadku należy utworzyć docelowe konto magazynowe z wyprzedzeniem.

Przed włączeniem replikacji maszyn wirtualnych tożsamość zarządzana skarbca musi mieć następujące uprawnienia roli w zależności od typu konta magazynowego:

• Konta magazynu oparte na usłudze Resource Manager (typ standardowy):
  • Współautor
  • Współautor danych w usłudze Blob Storage
• Konta magazynu oparte na usłudze Resource Manager (typ Premium):
  • Współautor
  • Właściciel danych obiektu blob usługi Storage
• Klasyczne konta przechowywania
  • Współautor konta magazynowego (klasycznego)
  • Rola usługi klasycznego operatora klucza konta magazynu

W poniższych krokach opisano sposób dodawania przypisania roli do kont przechowywania po kolei. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

1. W portalu Azure przejdź do konta usługi pamięci podręcznej, które utworzyłeś.

2. Wybierz pozycję Kontrola dostępu (IAM).

3. Wybierz Dodaj > przypisanie roli.

   

4. Na karcie Rola wybierz jedną z ról wymienionych na początku tej sekcji.

5. Na karcie Członkowie wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Wybierz członków.

6. Wybierz subskrypcję platformy Azure.

7. Wybierz Tożsamość zarządzaną przypisaną przez system, wyszukaj magazyn, a następnie go wybierz.

8. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.

Oprócz tych uprawnień należy zezwolić na dostęp do zaufanych usług firmy Microsoft. W tym celu wykonaj następujące kroki:

1. Przejdź do Zapory i sieci wirtualne.

2. W obszarze Wyjątki wybierz pozycję Zezwalaj zaufanym usługom firmy Microsoft na dostęp do tego konta magazynu.

Ochrona maszyn wirtualnych

Po zakończeniu wszystkich powyższych konfiguracji kontynuuj włączanie replikacji dla maszyn wirtualnych. Wszystkie operacje usługi Site Recovery działają bez dodatkowych kroków, jeśli podczas tworzenia prywatnych punktów końcowych w skarbcu użyto integracji DNS. Jeśli jednak strefy DNS są tworzone ręcznie i skonfigurowane, należy wykonać dodatkowe kroki, aby dodać określone rekordy DNS zarówno w źródłowych, jak i docelowych strefach DNS po włączeniu replikacji. Aby uzyskać szczegółowe informacje i kroki, zobacz Tworzenie prywatnych stref DNS i ręczne dodawanie rekordów DNS.

Ręczne tworzenie prywatnych stref DNS i dodawanie rekordów DNS

Jeśli nie wybrałeś opcji integracji z prywatną strefą DNS podczas tworzenia prywatnego punktu końcowego dla skarbca, postępuj zgodnie z krokami opisanymi w tej sekcji.

Utwórz jedną prywatną strefę DNS, aby umożliwić agentowi mobilności rozpoznawanie w pełni kwalifikowanych nazw domen powiązanych z prywatnymi linkami na prywatne adresy IP.

1. Tworzenie prywatnej strefy DNS

   1. Wyszukaj "Prywatna strefa DNS" na pasku wyszukiwania Wszystkie usługi i wybierz z listy rozwijanej pozycję "Prywatne strefy DNS".

      

   2. Na stronie "prywatne strefy DNS" wybierz przycisk +Dodaj, aby rozpocząć tworzenie nowej strefy.

   3. Na stronie "Tworzenie prywatnej strefy DNS" wypełnij wymagane szczegóły. Wprowadź nazwę prywatnej strefy DNS jako privatelink.siterecovery.windowsazure.com. Możesz wybrać dowolną grupę zasobów i dowolną subskrypcję, aby ją utworzyć.

      

   4. Przejdź do karty Przejrzyj i utwórz, aby przejrzeć i utworzyć strefę DNS.

2. Łączenie prywatnej strefy DNS z siecią wirtualną

   Utworzone powyżej prywatne strefy DNS muszą być teraz połączone z siecią wirtualną, w której obecnie znajdują się serwery. Należy również połączyć prywatną strefę DNS z docelową siecią wirtualną z wyprzedzeniem.

   1. Przejdź do prywatnej strefy DNS utworzonej w poprzednim kroku i przejdź do linków sieci wirtualnej po lewej stronie. Następnie wybierz przycisk +Dodaj .

   2. Wypełnij wymagane szczegóły. Pola Subskrypcja i Sieć wirtualna muszą być wypełnione odpowiednimi szczegółami sieci wirtualnej, w której istnieją serwery. Pozostałe pola muszą być pozostawione w następujący sposób.

      

3. Dodawanie rekordów DNS

   Po utworzeniu wymaganych prywatnych stref DNS i prywatnych punktów końcowych należy dodać rekordy DNS do stref DNS.

   Uwaga

   Jeśli używasz niestandardowej prywatnej strefy DNS, upewnij się, że podobne wpisy zostały wykonane zgodnie z poniższym opisem.

   Ten krok wymaga utworzenia wpisów dla każdej w pełni kwalifikowanej nazwy domeny w twoim prywatnym punkcie końcowym do twojej prywatnej strefy DNS.

   1. Przejdź do prywatnej strefy DNS i przejdź do sekcji Przegląd po lewej stronie. Następnie wybierz pozycję +Zestaw rekordów, aby rozpocząć dodawanie rekordów.

   2. Na stronie "Dodaj zestaw rekordów", która zostanie otwarta, dodaj wpis dla każdej w pełni kwalifikowanej nazwy domeny i prywatnego adresu IP jako rekordu typu A . Listę w pełni kwalifikowanych nazw domen i adresów IP można uzyskać ze strony "Prywatny punkt końcowy" w obszarze Przegląd. Jak pokazano w poniższym przykładzie, pierwsza w pełni kwalifikowana nazwa domeny z prywatnego punktu końcowego jest dodawana do zestawu rekordów w prywatnej strefie DNS.

      Te w pełni kwalifikowane nazwy domen są zgodne ze wzorcem: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      

   Uwaga

   Po włączeniu replikacji na prywatnych punktach końcowych w obu regionach są tworzone jeszcze dwie w pełni kwalifikowane nazwy domen. Upewnij się, że dodano również rekordy DNS dla nowo utworzonych w pełni kwalifikowanych nazw domen. Statyczny adres IP dla prywatnego punktu końcowego usługi Azure Site Recovery nie jest obsługiwany.

Następne kroki

Po włączeniu prywatnych punktów końcowych dla replikacji maszyny wirtualnej zapoznaj się z innymi stronami, aby uzyskać dodatkowe i powiązane informacje:

• Replikowanie maszyn wirtualnych platformy Azure do innego regionu platformy Azure
• Samouczek: konfigurowanie odzyskiwania po awarii dla maszyn wirtualnych platformy Azure