Replicar máquinas com terminais privados

O Azure Site Recovery permite que você use pontos de extremidade privados do Azure Private Link para replicar suas máquinas de dentro de uma rede virtual isolada. O acesso de ponto de extremidade privado a um cofre de recuperação é suportado em todas as regiões do Azure Commercial & Government.

Este artigo fornece instruções para você executar as seguintes etapas:

• Crie um cofre dos Serviços de Recuperação de Backup do Azure para proteger suas máquinas.
• Habilite uma identidade gerenciada para o cofre e conceda as permissões necessárias para acessar contas de armazenamento do cliente para replicar o tráfego dos locais de origem para os locais de destino. O acesso de identidade gerenciada para armazenamento é necessário quando você está configurando o acesso de Link Privado ao cofre.
• Fazer alterações de DNS necessárias para pontos de extremidade privados
• Criar e aprovar pontos de extremidade privados para um cofre dentro de uma rede virtual
• Crie pontos de extremidade privados para as contas de armazenamento. Você pode continuar a permitir acesso público ou protegido por firewall para armazenamento, conforme necessário. A criação de um ponto de extremidade privado para acessar o armazenamento não é obrigatória para o Azure Site Recovery.

Abaixo está uma arquitetura de referência sobre como o fluxo de trabalho de replicação muda com pontos de extremidade privados.

Pré-requisitos e advertências

• Os pontos de extremidade privados só podem ser criados para novos cofres dos Serviços de Recuperação que não tenham nenhum item registrado no cofre. Como tal, os pontos de extremidade privados devem ser criados antes que quaisquer itens sejam adicionados ao cofre. Analise a estrutura de preços para terminais privados.
• Quando um ponto de extremidade privado é criado para um cofre, o cofre é bloqueado e não é acessível a partir de redes diferentes daquelas que têm pontos de extremidade privados.
• O Microsoft Entra ID atualmente não oferece suporte a pontos de extremidade privados. Como tal, IPs e nomes de domínio totalmente qualificados necessários para que o Microsoft Entra ID funcione em uma região precisam ter permissão de acesso de saída da rede segura. Você também pode usar a marca de grupo de segurança de rede "Azure Ative Directory" e as tags do Firewall do Azure para permitir o acesso à ID do Microsoft Entra, conforme aplicável.
• Pelo menos sete endereços IP são necessários nas sub-redes das máquinas de origem e das máquinas de recuperação. Quando você cria um ponto de extremidade privado para o cofre, o Site Recovery cria cinco links privados para acesso aos seus microsserviços. Além disso, quando você habilita a replicação, ela adiciona dois links privados adicionais para o emparelhamento da região de origem e da região de destino.
• Um endereço IP adicional é necessário nas sub-redes de origem e de recuperação. Esse endereço IP é necessário somente quando você precisa usar pontos de extremidade privados que se conectam a contas de armazenamento em cache. Os pontos de extremidade privados para armazenamento só podem ser criados no tipo v2 de uso geral. Analise a estrutura de preços para transferência de dados no GPv2.

Criando e usando pontos de extremidade privados para Recuperação de Site

Esta seção fala sobre as etapas envolvidas na criação e uso de pontos de extremidade privados para o Azure Site Recovery dentro de suas redes virtuais.

Nota

É altamente recomendável que você siga essas etapas na mesma sequência fornecida. Se isso não for feito, o cofre poderá ficar impossibilitado de usar pontos de extremidade privados e exigir que você reinicie o processo com um novo cofre.

Criar um cofre dos Serviços de Recuperação

Um cofre de serviços de recuperação é uma entidade que contém as informações de replicação de máquinas e é usada para disparar operações de Recuperação de Site. Para obter mais informações, consulte Criar um cofre dos Serviços de Recuperação.

Habilite a identidade gerenciada para o cofre.

Uma identidade gerenciada permite que o cofre obtenha acesso às contas de armazenamento do cliente. O Site Recovery precisa acessar o armazenamento de origem, o armazenamento de destino e as contas de armazenamento de cache/log, dependendo do requisito do cenário. O acesso gerenciado à identidade é essencial quando você usa o serviço de links privados para o cofre.

1. Vá para o cofre dos Serviços de Recuperação. Selecione Identidade em Configurações.

   

2. Altere o Status para Ativado e selecione Salvar.

3. Uma ID de objeto é gerada indicando que o cofre agora está registrado no Azure Ative Directory.

Criar pontos de extremidade privados para o cofre dos Serviços de Recuperação

Para habilitar o failover e o failback para máquinas virtuais do Azure, você precisará de dois pontos de extremidade privados para o cofre. Um ponto de extremidade privado para a proteção de máquinas na rede de origem e outro para a reproteção de máquinas com failover na rede de recuperação.

Certifique-se de criar uma rede virtual de recuperação em sua região de destino também durante esse processo de configuração.

Crie o primeiro ponto de extremidade privado para seu cofre dentro da rede virtual de origem usando o Centro de Link Privado no portal ou por meio do Azure PowerShell. Crie o segundo ponto de extremidade privado para o cofre dentro da sua rede de recuperação. A seguir estão as etapas para criar o ponto de extremidade privado na rede de origem. Repita a mesma orientação para criar o segundo ponto de extremidade privado.

1. Na barra de pesquisa do portal do Azure, procure e selecione "Link Privado". Esta ação leva-o para o Private Link Center.

   

2. Na barra de navegação esquerda, selecione Pontos de extremidade privados. Uma vez na página Pontos de extremidade privados, selecione +Adicionar para começar a criar um ponto de extremidade privado para seu cofre.

   

3. Uma vez na experiência "Criar ponto de extremidade privado", é necessário especificar detalhes para criar sua conexão de ponto de extremidade privado.

   1. Noções básicas: preencha os detalhes básicos dos seus endpoints privados. A região deve ser a mesma das máquinas de origem.

      

   2. Recurso: esta guia requer que você mencione o recurso de plataforma como serviço para o qual deseja criar sua conexão. Selecione Microsoft.RecoveryServices/vaults no Tipo de recurso para sua assinatura selecionada. Em seguida, escolha o nome do seu cofre dos Serviços de Recuperação para Recurso e defina o Azure Site Recovery como o subrecurso de destino.

      

   3. Configuração: Na configuração, especifique a rede virtual e a sub-rede onde você deseja que o ponto de extremidade privado seja criado. Esta rede virtual é a rede onde a máquina virtual está presente. Habilite a integração com a zona DNS privada selecionando Sim. Escolha uma zona DNS já criada ou crie uma nova. Selecionar Sim vincula automaticamente a zona à rede virtual de origem e adiciona os registros DNS necessários para a resolução DNS de novos IPs e nomes de domínio totalmente qualificados criados para o ponto de extremidade privado.

      Certifique-se de que opta por criar uma nova zona DNS para cada novo ponto de extremidade privado que se liga ao mesmo cofre. Se você escolher uma zona DNS privada existente, os registros CNAME anteriores serão substituídos. Consulte Orientação de ponto final privado antes de continuar.

      Se o seu ambiente tiver um modelo de hub and spoke, você precisará apenas de um ponto de extremidade privado e apenas uma zona DNS privada para toda a configuração, uma vez que todas as suas redes virtuais já têm o emparelhamento habilitado entre elas. Para obter mais informações, consulte Integração DNS de ponto de extremidade privado.

      Para criar manualmente a zona DNS privada, siga as etapas em Criar zonas DNS privadas e adicione registros DNS manualmente.

      

   4. Tags: Opcionalmente, você pode adicionar tags para seu ponto de extremidade privado.

   5. Rever + criar: Quando a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Depois que o ponto de extremidade privado é criado, cinco nomes de domínio totalmente qualificados são adicionados ao ponto de extremidade privado. Esses links permitem que as máquinas na rede virtual obtenham acesso a todos os microsserviços de Recuperação de Site necessários no contexto do cofre. Mais tarde, quando você habilita a replicação, dois nomes de domínio totalmente qualificados adicionais são adicionados ao mesmo ponto de extremidade privado.

Os cinco nomes de domínio são formatados com o seguinte padrão:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Aprovar pontos de extremidade privados para Recuperação de Site

Se o usuário que cria o ponto de extremidade privado também for o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado acima será aprovado automaticamente em poucos minutos. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes de usá-lo. Para aprovar ou rejeitar uma conexão de ponto de extremidade privada solicitada, vá para Conexões de ponto de extremidade privado em "Configurações" na página do cofre de recuperação.

Você pode ir para o recurso de ponto de extremidade privado para revisar o status da conexão antes de continuar.

(Opcional) Criar pontos de extremidade privados para a conta de armazenamento em cache

Um ponto de extremidade privado para o Armazenamento do Azure pode ser usado. A criação de pontos de extremidade privados para acesso ao armazenamento é opcional para a replicação do Azure Site Recovery. Ao criar um ponto de extremidade privado para armazenamento, os seguintes requisitos se aplicam:

• Você precisa de um ponto de extremidade privado para a conta de armazenamento de cache/log em sua rede virtual de origem.
• Você precisa de um segundo ponto de extremidade privado no momento da reproteção das máquinas de failover na rede de recuperação. Este ponto de extremidade privado é para a nova conta de armazenamento criada na região de destino.

Nota

Se os pontos de extremidade privados não estiverem habilitados na conta de armazenamento, a proteção ainda será bem-sucedida. No entanto, o tráfego de replicação transitaria para pontos de extremidade públicos do Azure Site Recovery. Para garantir fluxos de tráfego de replicação por meio de links privados, a conta de armazenamento deve ser habilitada com pontos de extremidade privados.

Nota

O ponto de extremidade privado para armazenamento só pode ser criado em contas de armazenamento de uso geral v2 . Para obter informações sobre preços, consulte Preços de blob de página padrão.

Siga as orientações para a criação de armazenamento privado para criar uma conta de armazenamento com ponto de extremidade privado. Certifique-se de selecionar Sim para integração com a zona DNS privada. Selecione uma zona DNS já criada ou crie uma nova.

Conceder as permissões necessárias ao cofre

Se suas máquinas virtuais estiverem usando discos gerenciados, você precisará conceder as permissões de identidade gerenciada somente para as contas de armazenamento em cache. Caso as máquinas virtuais estejam usando discos não gerenciados, você precisará conceder as permissões de identidade gerenciada para contas de armazenamento de origem, cache e destino. Nesse caso, você precisa criar a conta de armazenamento de destino com antecedência.

Antes de habilitar a replicação de máquinas virtuais, a identidade gerenciada do cofre deve ter as seguintes permissões de função, dependendo do tipo de conta de armazenamento:

• Contas de armazenamento baseadas no Resource Manager (Tipo padrão):
  • Contribuinte
  • Contribuidor de Dados de Blobs de Armazenamento
• Contas de armazenamento baseadas no Resource Manager (Tipo Premium):
  • Contribuinte
  • Proprietário dos Dados do Armazenamento de Blobs
• Contas de armazenamento clássicas:
  • Colaborador da Conta de Armazenamento Clássica
  • Função de Serviço de Operador de Chave da Conta de Armazenamento Clássica

As etapas a seguir descrevem como adicionar uma atribuição de função às suas contas de armazenamento, uma de cada vez. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

1. No portal do Azure, navegue até a conta de armazenamento de cache que você criou.

2. Selecione Controlo de acesso (IAM) .

3. Selecione Adicionar > atribuição de função.

   

4. Na guia Função, selecione uma das funções listadas no início desta seção.

5. No separador Membros, selecione Identidade gerida e, em seguida, selecione Selecionar membros.

6. Selecione a subscrição do Azure.

7. Selecione Identidade gerenciada atribuída ao sistema, procure um cofre e selecione-o.

8. No separador Rever + atribuir, selecione Rever + atribuir para atribuir a função.

Além dessas permissões, você precisa permitir o acesso aos serviços confiáveis da Microsoft. Para o fazer, siga estes passos:

1. Vá para Firewalls e redes virtuais.

2. Em Exceções, selecione Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento.

Proteja suas máquinas virtuais

Quando todas as configurações acima estiverem concluídas, continue habilitando a replicação para suas máquinas virtuais. Todas as operações de Recuperação de Site funcionam sem etapas adicionais se a integração DNS tiver sido usada durante a criação de pontos de extremidade privados no cofre. No entanto, se as zonas DNS forem criadas e configuradas manualmente, você precisará de etapas adicionais para adicionar registros DNS específicos nas zonas DNS de origem e de destino depois de habilitar a replicação. Para obter detalhes e etapas, consulte Criar zonas DNS privadas e adicionar registros DNS manualmente.

Criar zonas DNS privadas e adicionar registos DNS manualmente

Se você não selecionou a opção para integrar com a zona DNS privada no momento da criação do ponto de extremidade privado para o cofre, siga as etapas nesta seção.

Crie uma zona DNS privada para permitir que o agente de mobilidade resolva nomes de domínio totalmente qualificados de link privado para IPs privados.

1. Criar uma zona DNS privada

   1. Procure por "Zona DNS privada" na barra de pesquisa Todos os serviços e selecione "Zonas DNS privadas" na lista suspensa.

      

   2. Uma vez na página "Zonas DNS privadas", selecione o botão +Adicionar para começar a criar uma nova zona.

   3. Na página "Criar zona DNS privada", preencha os detalhes necessários. Digite o nome da zona DNS privada como privatelink.siterecovery.windowsazure.com. Você pode escolher qualquer grupo de recursos e qualquer assinatura para criá-lo.

      

   4. Continue para a guia Revisar + criar para revisar e criar a zona DNS.

2. Vincular a zona DNS privada à sua rede virtual

   As zonas DNS privadas criadas acima agora devem estar vinculadas à rede virtual onde seus servidores estão atualmente. Você também precisa vincular a zona DNS privada à rede virtual de destino com antecedência.

   1. Vá para a zona DNS privada que você criou na etapa anterior e navegue até Links de rede virtual no lado esquerdo da página. Uma vez lá, selecione o botão +Adicionar .

   2. Preencha os dados necessários. Os campos Subscrição e Rede virtual devem ser preenchidos com os detalhes correspondentes da rede virtual onde existem os servidores. Os outros campos devem ser deixados como estão.

      

3. Adicionar registos DNS

   Depois de criar as zonas DNS privadas necessárias e os pontos de extremidade privados, você precisa adicionar registros DNS às suas zonas DNS.

   Nota

   Caso você esteja usando uma zona DNS privada personalizada, certifique-se de que entradas semelhantes sejam feitas conforme discutido abaixo.

   Esta etapa requer que você faça entradas para cada nome de domínio totalmente qualificado em seu ponto de extremidade privado em sua zona DNS privada.

   1. Vá para sua zona DNS privada e navegue até a seção Visão geral no lado esquerdo da página. Uma vez lá, selecione +Conjunto de registros para começar a adicionar registros.

   2. Na página "Adicionar conjunto de registros" que é aberta, adicione uma entrada para cada nome de domínio totalmente qualificado e IP privado como um registro do tipo A . A lista de nomes de domínio e IPs totalmente qualificados pode ser obtida na página "Ponto de extremidade privado" em Visão geral. Como mostrado no exemplo abaixo, o primeiro nome de domínio totalmente qualificado do ponto de extremidade privado é adicionado ao conjunto de registros na zona DNS privada.

      Estes nomes de domínio totalmente qualificados correspondem ao padrão: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      

   Nota

   Depois de habilitar a replicação, mais dois nomes de domínio totalmente qualificados são criados nos pontos de extremidade privados em ambas as regiões. Certifique-se de adicionar os registros DNS para esses nomes de domínio totalmente qualificados recém-criados também. Não há suporte para IP estático para o ponto de extremidade privado do Azure Site Recovery.

Próximos passos

Agora que você habilitou pontos de extremidade privados para sua replicação de máquina virtual, consulte estas outras páginas para obter informações adicionais e relacionadas:

• Replicar VMs do Azure para outra região do Azure
• Tutorial: Configurar a recuperação de desastres para VMs do Azure