О сети в аварийном восстановлении виртуальной машины Azure

  • Статья

В этой статье предоставлены указания по организации сети для возможности подключения платформы при репликации виртуальных машин Azure из одного региона в другой с помощью Azure Site Recovery.

Перед началом работы

Узнайте, как Site Recovery обеспечивает аварийное восстановление для этого сценария.

Обычная сетевая инфраструктура

На следующей схеме показана типичная среда Azure для приложения, работающего на виртуальных машинах Azure:

Diagram that depicts a typical Azure environment for applications running on Azure VMs.

Если вы используете Azure ExpressRoute или VPN-подключение из локальной сети в Azure, среда выглядит следующим образом.

customer-environment

Как правило, сети защищаются с помощью брандмауэров или групп безопасности сети (NSG). Для управления подключением к сети следует использовать служебные теги. Группы безопасности сети должны позволять нескольким сервисным тегам управлять исходящим подключением.

Важно!

Если для управления сетевым подключением используется прокси-сервер, прошедший аутентификацию, эта функция не поддерживается Site Recovery, а репликацию включить невозможно.

Примечание.

  • Фильтрацию на основе IP-адреса не следует выполнять для управления исходящим подключением.
  • IP-адреса Azure Site Recovery не следует добавлять в таблицу маршрутизации Azure для управления исходящим подключением.

Исходящие подключения для URL-адресов

Если вы используете прокси-сервер брандмауэра на основе URL-адресов для управления исходящим подключением, разрешите следующие URL-адреса Site Recovery:

URL-адрес Сведения
*.blob.core.windows.net Это необходимо, чтобы данные можно было записать в учетную запись хранения кэша в исходном регионе из виртуальной машины. Если вы знаете все учетные записи кэш-хранилища для своих виртуальных машин, вы можете разрешить доступ к определенным URL-адресам учетных записей хранилища (например, cache1.blob.core.windows.net и cache2.blob.core.windows.net) вместо *.blob.core.windows.net
login.microsoftonline.com Требуется для авторизации и проверки подлинности URL-адресов службы Site Recovery.
*.hypervrecoverymanager.windowsazure.com Требуется для обмена данными между службой Site Recovery и виртуальной машиной.
*.servicebus.windows.net Необходимые для записи данные наблюдения и диагностики Site Recovery из виртуальной машины.
*.vault.azure.net Разрешает доступ для включения репликации для виртуальных машин с поддержкой ADE через портал
*.automation.ext.azure.com Позволяет включить автоматическое обновление агента мобильности для реплика заданного элемента с помощью портала

Исходящее соединение с использованием сервисных тегов

Помимо управления URL-адресами, можно также использовать теги службы, чтобы управлять подключением. Для этого необходимо сначала создать группу безопасности сети в Azure. После создания необходимо использовать существующие теги службы и создать правило NSG, чтобы разрешить доступ к службам Azure Site Recovery.

Преимущества использования тегов служб для управления подключением по сравнению с контролем подключения с помощью IP-адресов заключается в том, что нет жесткой зависимости от определенного IP-адреса, чтобы оставаться подключенными к нашим службам. В таком сценарии, если IP-адрес одного из наших служб изменяется, то текущее реплика не влияет на компьютеры. В то время как зависимость от жестко закодированных IP-адресов приводит к тому, что состояние реплика tion становится критически важным и ставит системы под угрозу. Кроме того, теги служб обеспечивают лучшую безопасность, стабильность и устойчивость, чем жесткие закодированные IP-адреса.

При использовании NSG для управления исходящим подключением эти служебные теги должны быть разрешены.

  • Для учетных записей хранения в исходном регионе:
    • Создайте правило NSG на основе тега службы хранилища для исходного региона.
    • Разрешите эти адреса, чтобы данные можно было записать в учетную запись хранения кэша с виртуальной машины.
  • Создание правила NSG на основе тега службы Microsoft Entra для предоставления доступа ко всем IP-адресам, соответствующим идентификатору Microsoft Entra
  • Создайте правило NSG на основе тегов службы EventsHub для целевого региона, предоставляя доступ к мониторингу Site Recovery.
  • Создайте правило NSG на основе тегов службы Azure Site Recovery для предоставления доступа к службе Site Recovery в любом регионе.
  • Создайте правило NSG на основе тегов службы AzureKeyVault. Это требуется только для включения репликации виртуальных машин с поддержкой ADE через портал.
  • Создайте правило NSG на основе тегов службы GuestAndHybridManagement. Это необходимо только для включения автоматического обновления агента мобильности для реплика элемента через портал.
  • Мы советуем создать необходимые правила NSG в тестовой группе безопасности сети и проверить наличие проблем, прежде чем создавать правила для рабочей группы безопасности.

Конфигурация примера группы безопасности сети

В этом примере показано, как настроить правила NSG для репликации виртуальной машины.

  • При использовании правил NSG для управления исходящими подключениями используйте правило "Разрешить исходящие подключения по HTTPS" через порт 443 для всех необходимых диапазонов IP-адресов.
  • В этом примере предполагается, что исходное расположение виртуальной машины — "Восточная часть США", а конечное — "Центральная часть США".

Правила NSG. Восточная часть США

  1. Создайте правило безопасности для исходящего трафика HTTPS (443) для служба хранилища. EastUS" на NSG, как показано на следующем снимке экрана:

    Screenshot shows Add outbound security rule for a network security group for Storage dot East U S.

  2. Создайте правило безопасности HTTPS (443) для AzureActiveDirectory на NSG, как показано на следующем снимке экрана:

    Screenshot shows Add outbound security rule for a network security group for Microsoft Entra ID.

  3. Как и в правилах безопасности, создайте правило безопасности HTTPS (443) для EventHub.CentralUS в NSG, соответствующее целевому расположению. Это позволяет получить доступ к мониторингу Site Recovery.

  4. Создайте правило безопасности ДЛЯ исходящего трафика HTTPS (443) для Azure Site Recovery в NSG. Это позволяет получить доступ к Site Recovery Service в любом регионе.

Правила NSG. Центральная часть США

Эти правила необходимы, чтобы включить репликацию из целевого в исходный регион после отработки отказа:

  1. Создайте правило безопасности исходящих подключений HTTPS (443) для Storage.CentralUS в NSG.

  2. Создайте правило безопасности исходящих подключений HTTPS (443) для AzureActiveDirectory в NSG.

  3. Как и в правилах безопасности, создайте правило безопасности HTTPS (443) для EventHub.EastUS в NSG, соответствующее исходному расположению. Это позволяет получить доступ к мониторингу Site Recovery.

  4. Создайте правило безопасности ДЛЯ исходящего трафика HTTPS (443) для Azure Site Recovery в NSG. Это позволяет получить доступ к Site Recovery Service в любом регионе.

Настройка виртуального сетевого модуля

Если вы используете виртуальные сетевые (модуль) (NVA) для управления исходящим сетевым трафиком с виртуальных машин, (модуль) может получить регулирование, если весь трафик реплика tion проходит через NVA. Мы рекомендуем создать конечную точку службы сети в виртуальной сети для хранилища, чтобы трафик репликации не передавался в виртуальный сетевой модуль.

Создание конечной точки сетевой службы для хранилища

Вы можете создать конечную точку сетевой службы в виртуальной сети для служба хранилища, чтобы трафик реплика tion не покидал границу Azure.

  • Выберите виртуальную сеть Azure и щелкните "Конечные точки службы".

    storage-endpoint

  • Нажмите кнопку "Добавить", и откроется вкладка "Добавить конечные точки службы".

  • Выберите Microsoft.Storage в разделе "Служба" и соответствующие подсети в поле "Подсети", а потом нажмите кнопку "Добавить".

Примечание.

Если вы используете учетную запись хранения кэша или целевую учетную запись хранения брандмауэра, убедитесь, что вы разрешаете доверенные службы Майкрософт. Кроме того, убедитесь, что разрешен доступ по меньшей мере к одной подсети исходной виртуальной сети.

Принудительное туннелирование

Вы можете переопределить системный маршрут Azure по умолчанию для префикса адреса 0.0.0.0/0 с помощью настраиваемого маршрута и перенаправить трафик виртуальной машины в виртуальную виртуальную (модуль) локальной сети (NVA), но эта конфигурация не рекомендуется для реплика site Recovery. Если вы используете пользовательские маршруты, необходимо создать конечную точку службы виртуальной сети в виртуальной сети для "служба хранилища", чтобы трафик реплика tion не покидал границу Azure.

Следующие шаги