Поделиться через

Сведения о сети в аварийном восстановлении виртуальных машин Azure

  • Статья

В этой статье содержатся рекомендации по сетевому подключению к платформе при репликации виртуальных машин Azure из одного региона в другой с помощью Azure Site Recovery.

Перед началом работы

Узнайте, как Site Recovery обеспечивает аварийное восстановление для этого сценария.

Обычная сетевая инфраструктура

На следующей схеме показана типичная среда Azure для приложений, работающих на виртуальных машинах Azure:

Схема, на которой показана типичная среда Azure для приложений, работающих на виртуальных машинах Azure.

Если вы используете Azure ExpressRoute или VPN-подключение из локальной сети в Azure, среда выглядит следующим образом.

Среда клиента

Как правило, сети защищаются с помощью брандмауэров или групп безопасности сети (NSG). Для управления подключением к сети следует использовать служебные теги. Группы безопасности сети должны позволять нескольким сервисным тегам управлять исходящим подключением.

Внимание

Если для управления сетевым подключением используется прокси-сервер, прошедший аутентификацию, эта функция не поддерживается Site Recovery, а репликацию включить невозможно.

Примечание.

  • Фильтрацию на основе IP-адреса не следует выполнять для управления исходящим подключением.
  • IP-адреса Azure Site Recovery не следует добавлять в таблицу маршрутизации Azure для управления исходящим подключением.

Исходящие подключения для URL-адресов

Если вы используете прокси-сервер брандмауэра на основе URL-адресов для управления исходящим подключением, разрешите следующие URL-адреса Site Recovery:

URL-адрес Сведения
*.blob.core.windows.net Требуется, чтобы данные можно было записать в учетную запись хранения кэша в исходном регионе из виртуальной машины. Если вы знаете все учетные записи хранения кэша для виртуальных машин, вы можете разрешить доступ к определенным URL-адресам учетной записи хранения (например, cache1.blob.core.windows.net и cache2.blob.core.windows.net) вместо *.blob.core.windows.net
login.microsoftonline.com Требуется для авторизации и проверки подлинности URL-адресов службы Site Recovery.
*.hypervrecoverymanager.windowsazure.com Требуется, чтобы связь службы Site Recovery происходила с виртуальной машины.
*.servicebus.windows.net Требуется, чтобы данные мониторинга и диагностика Site Recovery можно записывать с виртуальной машины.
*.vault.azure.net Разрешает доступ для включения репликации для виртуальных машин с поддержкой ADE через портал
*.automation.ext.azure.com Позволяет включить автоматическое обновление агента мобильности для реплицированного элемента с помощью портала

Исходящее соединение с использованием сервисных тегов

Помимо управления URL-адресами, можно также использовать теги службы, чтобы управлять подключением. Для этого необходимо сначала создать группу безопасности сети в Azure. После создания необходимо использовать существующие теги службы и создать правило NSG, чтобы разрешить доступ к службам Azure Site Recovery.

Преимущества использования тегов служб для управления подключением, по сравнению с контролем подключения с помощью IP-адресов, заключается в том, что нет жесткой зависимости от определенного IP-адреса, чтобы оставаться подключенными к нашим службам. В таком сценарии, если IP-адрес одной из наших служб изменяется, то текущая репликация не влияет на компьютеры. В то время как зависимость от жестко закодированных IP-адресов приводит к тому, что состояние репликации становится критически важным и ставит под угрозу системы. Кроме того, теги служб обеспечивают лучшую безопасность, стабильность и устойчивость, чем жесткие закодированные IP-адреса.

При использовании NSG для управления исходящим подключением эти служебные теги должны быть разрешены.

  • Для учетных записей хранения в исходном регионе:
    • Создайте правило NSG на основе тега службы хранилища для исходного региона.
    • Разрешите эти адреса, чтобы данные могли быть записаны в учетную запись хранения кэша с виртуальной машины.
  • Создание правила NSG на основе тега службы Microsoft Entra для предоставления доступа ко всем IP-адресам, соответствующим идентификатору Microsoft Entra
  • Создайте правило NSG на основе тегов службы EventsHub для целевого региона, предоставляя доступ к мониторингу Site Recovery.
  • Создайте правило NSG на основе тегов службы Azure Site Recovery для предоставления доступа к службе Site Recovery в любом регионе.
  • Создайте правило NSG на основе тегов службы AzureKeyVault. Это требуется только для включения репликации виртуальных машин с поддержкой ADE через портал.
  • Создайте правило NSG на основе тегов службы GuestAndHybridManagement. Это необходимо только для включения автоматического обновления агента мобильности для реплицированного элемента через портал.
  • Мы советуем создать необходимые правила NSG в тестовой группе безопасности сети и проверить наличие проблем, прежде чем создавать правила для рабочей группы безопасности.

Конфигурация примера группы безопасности сети

В этом примере показано, как настроить правила NSG для репликации виртуальной машины.

  • При использовании правил NSG для управления исходящими подключениями используйте правило "Разрешить исходящие подключения по HTTPS" через порт 443 для всех необходимых диапазонов IP-адресов.
  • В примере предполагается, что расположение источника виртуальной машины — "Восточная часть США", а целевое расположение — "Центральная часть США".

Правила NSG. Восточная часть США

  1. Создайте правило безопасности HTTPS (443) исходящего трафика для storage.EastUS в NSG, как показано на следующем снимке экрана:

    На снимке экрана показано Добавление правила безопасности исходящего трафика для группы безопасности сети для Storage dot East U S.

  2. Создайте правило безопасности HTTPS (443) для AzureActiveDirectory на NSG, как показано на следующем снимке экрана:

    Снимок экрана: добавление правила безопасности исходящего трафика для группы безопасности сети для идентификатора Microsoft Entra.

  3. Как и в правилах безопасности, создайте правило безопасности HTTPS (443) для EventHub.CentralUS в NSG, соответствующее целевому расположению. Это позволяет получить доступ к мониторингу Site Recovery.

  4. Создайте правило безопасности ДЛЯ исходящего трафика HTTPS (443) для Azure Site Recovery в NSG. Это позволяет получить доступ к Site Recovery Service в любом регионе.

Правила NSG. Центральная часть США

Эти правила необходимы, чтобы включить репликацию из целевого в исходный регион после отработки отказа:

  1. Создайте правило безопасности исходящих подключений HTTPS (443) для Storage.CentralUS в NSG.

  2. Создайте правило безопасности исходящих подключений HTTPS (443) для AzureActiveDirectory в NSG.

  3. Как и в правилах безопасности, создайте правило безопасности HTTPS (443) для EventHub.EastUS в NSG, соответствующее исходному расположению. Это позволяет получить доступ к мониторингу Site Recovery.

  4. Создайте правило безопасности ДЛЯ исходящего трафика HTTPS (443) для Azure Site Recovery в NSG. Это позволяет получить доступ к Site Recovery Service в любом регионе.

Настройка виртуального сетевого модуля

Если вы используете сетевые виртуальные устройства (NVA) для управления исходящим сетевым трафиком с виртуальных машин, устройство может регулироваться, если весь трафик репликации проходит через NVA. Мы рекомендуем создать конечную точку службы сети в виртуальной сети для хранилища, чтобы трафик репликации не передавался в виртуальный сетевой модуль.

Создание конечной точки сетевой службы для хранилища

Вы можете создать конечную точку сетевой службы в виртуальной сети для хранилища, чтобы трафик репликации не покидал границы Azure.

  • Выберите виртуальную сеть Azure и выберите конечные точки службы.

    Конечная точка хранилища

  • Откроется вкладка "Добавить и добавить конечные точки службы".

  • Выберите Microsoft.Storage в разделе "Служба " и обязательные подсети в поле "Подсети" и нажмите кнопку "Добавить".

Примечание.

Если вы используете учетную запись хранения кэша или целевую учетную запись хранения брандмауэра, убедитесь, что вы разрешаете доверенные службы Майкрософт. Кроме того, убедитесь, что разрешен доступ по меньшей мере к одной подсети исходной виртуальной сети.

Принудительное туннелирование

Вы можете переопределить системный маршрут Azure по умолчанию для префикса адреса 0.0.0.0/0 с помощью настраиваемого маршрута и перенаправить трафик виртуальной машины на локальное сетевое виртуальное устройство (NVA), но эта конфигурация не рекомендуется для репликации Site Recovery. Если вы используете настраиваемые маршруты, необходимо создать конечную точку службы виртуальной сети в виртуальной сети для хранилища, чтобы трафик репликации не покидал границу Azure.

Следующие шаги