Настройка защиты между локальным центром обработки данных и Azure

  • Статья

 

Область применения: Windows Azure Pack

Настройка защиты выполняется следующим образом.

  1. Prerequisites for on-premises to Azure protection— проверьте все необходимые условия.

  2. Создание хранилища—Создание хранилища in the Azure Site Recovery portal.

  3. Установка и настройка поставщика Site Recovery Azure — скачивание поставщика с портала Azure Site Recovery. Установите и настройте поставщик на сервере VMM в центре обработки данных. Поставщик подключается к серверу на портале Azure Site Recovery.

  4. Добавьте учетную запись хранения Azure— если у вас еще нет учетной записи хранения Azure, то ее можно создать на портале Azure Site Recovery.

  5. Установка агента служб восстановления Azure— скачайте агент. Установите и настройте его на каждом сервере узла Hyper-V, который необходимо защитить.

  6. Настройка параметров облака— настройте параметры защиты для облаков VMM.

  7. Настройка модулей Runbook— настройте и запланируйте один главный модуль Runbook, чтобы установить защиту Azure Site Recovery. Этот главный модуль Runbook, в свою очередь, вызывает ряд других модулей Runbook.

  8. Настройка планов— на локальном сайте включить защиту Azure Site Recovery для общедоступного плана или надстройки.

  9. Действия клиента— чтобы настроить защиту виртуальных машин, клиенты будут использовать портал самообслуживания Azure Pack в следующих целях.

    • Подписка на план или надстройку— клиенты подписываются на план или надстройку для локального сайта, для которого включена защита виртуальных машин.

    • Создание виртуальной машины— клиенты создают виртуальную машину или роль виртуальной машины на локальном сайте в рамках подписки на план.

    • Создание сетей виртуальных машин— клиенты могут создавать виртуальные сети на локальном сайте, чтобы указать способ подключения виртуальных машин реплики к сетям после отработки отказа. Когда клиент создает виртуальную сеть, на сервере VMM настраивается сеть виртуальных машин с теми же параметрами.

  10. Настройка сетевого сопоставления — если клиент создал виртуальные сети, сетевое сопоставление можно настроить между сетями виртуальных машин в основной и целевой сетях Azure. Сопоставление сетей.

    • Гарантирует, что виртуальные машины подключаются к соответствующим сетям виртуальных машин после отработки отказа. Виртуальные машины реплики будут подключены к сети Azure, которая сопоставлена с основой сетью. 

    • Если не настроить сетевое сопоставление, реплицированные виртуальные машины не будут подключаться к сетям виртуальных машин после отработки отказа.

    Сведения о сопоставлении сети.

  11. Обнаружение и репликация виртуальных машин — модули Runbook автоматически определяют подписки на план или надстройку с включенной защитой. Модуль Runbook автоматически включает защиту виртуальных машин в подписках и инициирует начальную репликацию.

  12. Запуск отработки отказа — после завершения первоначальной репликации при необходимости можно запустить тестирование, запланированную или незапланированную отработку отказа.

Создание хранилища

  1. Выполните вход на портале управления Azure. Развернитеслужбы восстановления служб>>данныхSite Recovery Vault. Нажмите кнопку "Создать новое>быстрое создание".

  2. Введите имя для хранилища и выберите географический регион. Дополнительные сведения см. в разделе "Географическая доступность " (https://go.microsoft.com/fwlink/?LinkID=389880).

  3. Щелкните Создать хранилище. Проверьте строку состояния, чтобы убедиться в успешном создании. На главной странице служб восстановления отобразится состояние Активно .

Установка и настройка поставщика Azure Site Recovery

  1. На портале Azure Site Recovery откройте страницу > быстрого запуска, чтобы создать файл ключа регистрации.

  2. Файл ключа создается автоматически. Скачайте его в безопасное и доступное расположение. Например, в общую папку, к которой серверы VMM могут получить доступ. После скачивания потребуется скопировать файл на сервер VMM на каждом сайте. Этот ключ понадобится при настройке параметров поставщика на сервере VMM. Обратите внимание на следующее.

    • После создания ключ действителен в течение 5 дней.

    • Этот ключ можно создать повторно в любое время. Повторное создание переопределяет более старые версии файла, и на каждом сервере VMM потребуется перенастроить поставщик с помощью нового ключа.

  3. На странице Быстрый запуск щелкните Скачать поставщик Microsoft Azure Site Recovery , чтобы скачать последнюю версию файла установки поставщика.

  4. Запустите файл на сервере VMM на локальном сайте. Перед установкой потребуется остановить службу VMM. После этого она будет автоматически перезапущена. При развертывании кластера VMM установите поставщик на активном узле в кластере и зарегистрируйте сервер VMM в хранилище Azure Site Recovery. Затем установите его на другие узлы в кластере.

  5. Вы можете согласиться на получение обновлений в Центре обновления Майкрософт. Если этот параметр включен, то обновления поставщика будут устанавливаться в соответствии с вашей политикой Центра обновления Майкрософт.

  6. После установки поставщика продолжите установку, чтобы зарегистрировать сервер в хранилище. 

  7. На странице Подключение к Интернету укажите, как поставщик, запущенный на VMM-сервере, подключается к Azure Site Recovery по Интернету. Можно выбрать пункт "Не использовать прокси-сервер", чтобы использовать прокси-сервер по умолчанию, настроенный на сервере VMM, если отображается, что сервер VMM подключен, или использовать пользовательский прокси-сервер. Следует отметить следующее.

    • Если прокси-сервер по умолчанию на сервере VMM требует проверки подлинности, следует выбрать пользовательский прокси-сервер. Введите сведения о прокси-сервере по умолчанию и укажите учетные данные.

    • Если нужно использовать пользовательский набор прокси-сервера, настройте его перед установкой поставщика.

    • Исключите следующие адреса из маршрутизации через прокси-сервер:

      • URL-адрес для подключения к Azure Site Recovery: *.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • Обратите внимание, что если необходимо разрешить исходящие подключения к контроллеру домена в Azure, следует разрешить IP-адреса в диапазоне IP-адресов центра обработки данных Azure и протоколы HTTP (80) и HTTPS (443). 

    • Если вы решили использовать пользовательский прокси-сервер, учетная запись запуска от имени VMM (DRAProxyAccount) будет создана автоматически с использованием указанных учетных данных прокси-сервера. Настройте прокси-сервер так, чтобы эта учетная запись могла успешно проходить проверку подлинности.

  8. Выберите в разделе Ключ регистрации то, что скачали из Azure Site Recovery и скопировали на VMM-сервер.

  9. В области Имя хранилища проверьте имя хранилища, в котором будет зарегистрирован сервер.

  10. В поле Имя сервераукажите понятное имя, описывающее сервер VMM в хранилище. В конфигурации кластера укажите имя роли кластера VMM. 

  11. В области Первоначальная синхронизация метаданных облака укажите, требуется ли синхронизировать метаданные для всех облаков сервера VMM с хранилищем. На каждом сервере это действие требуется выполнять только один раз. Если не требуется синхронизировать все облака, можно оставить этот флажок снятым и синхронизировать каждое облако индивидуально в свойствах облака в консоли VMM.

  12. В области Шифрование данных укажите параметры сертификата для шифрования данных для виртуальных машин, которые реплицируются в Azure. Этот параметр не важен, если выполняется репликация с одного локального сайта на другой.

После регистрации метаданные с сервера VMM извлекаются службой Azure Site Recovery. После регистрации можно изменить параметры поставщика на консоли VMM или из командной строки. Дополнительные сведения см. в разделе Изменение параметров поставщика.

Установка агента служб восстановления Azure

  1. На странице Быстрый запуск нажмите ссылку Download Azure Site Recovery Services Agent and install on hosts (Загрузить агент служб восстановления сайтов Azure и установить в узлах), чтобы получить последнюю версию файла установки агента.

  2. Запустите файл установки на каждом сервере узла Hyper-V в облаках VMM и следуйте указаниям мастера.

  3. На странице Проверка необходимых компонентов нажмите кнопку Далее. Все отсутствующие предварительные требования будут установлены автоматически.

  4. На странице "Установка Параметры" укажите место установки агента и выберите расположение кэша, в котором будут храниться метаданные резервной копии. Нажмите Install(Установить).

Настройка параметров облака

  1. На портале Azure Site Recovery откройте вкладку Защищенные элементы в хранилище.

  2. В списке отобразятся облака, синхронизированные с Azure Site Recovery.

  3. Выберите облако, которое требуется защитить, и нажмите кнопку Настройка.

  4. В меню Целевой объектвыберите Microsoft Azure.

  5. В меню Подпискавыберите подписку, связанную с хранилищем Azure, которое вы хотите использовать для хранения виртуальных машин Azure.

  6. В меню Учетная запись хранениявыберите учетную запись хранения, которую необходимо использовать.

  7. В меню Частота копирования укажите частоту синхронизации данных между исходным и целевым расположениями. Значение по умолчанию — пять минут.

  8. В меню Сохранение точек восстановления укажите, нужно ли создать дополнительные точки восстановления (от 0 до 15). Дополнительные точки восстановления содержат один или несколько моментальных снимков: они позволяют восстановить моментальный снимок виртуальной машины на более ранний момент времени.  Если параметр равен нулю, только последняя точка восстановления для первичной виртуальной машины хранится как реплика. Если настроить параметр больше нуля, количество точек восстановления будет создаваться в соответствии с этим значением. Обратите внимание, что для включения нескольких точек восстановления требуется дополнительное хранилище для моментальных снимков, которые хранятся в каждой точке восстановления. По умолчанию точки восстановления создаются каждый час, чтобы каждая точка восстановления содержала данные, накопленные за час.

  9. В поле Частота снимков с согласованием состояния приложений укажите, как часто следует создавать моментальные снимки, соответствующие состоянию приложения. Эти снимки используют службу теневого копирования томов (VSS), чтобы обеспечить соответствие приложений при создании моментального снимка. Примечание. Включение моментальных снимков, соответствующих приложению, влияет на производительность приложений, выполняющихся на исходных виртуальных машинах.

  10. В меню Шифрование хранимых данныхукажите, следует ли шифровать передаваемые реплицированные данные. Можно немедленно начать копирование или выбрать соответствующее время. Репликацию сети рекомендуется планировать в часы наименьшей нагрузки.

Настройка модулей Runbook

Несколько модулей Runbook позволяют настроить защиту виртуальной машины. На локальном сайте планируется и настраивается главный модуль Runbook. Он, в свою очередь, автоматически вызывает другие модули Runbook в соответствии с указанным расписанием.

  1. Скачивание модулей Runbook

  2. Настройка и планирование главного модуля Runbook

В следующей таблице перечислены модули Runbook.

Модуль Runbook

Сведения

Параметры

InvokeAzureSiteRecoveryProtectionJob.ps1

Главный модуль Runbook. Он вызывает другие модули Runbook в следующем порядке.

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

После запуска модуля Runbook регистрации это — единственный модуль Runbook, который необходимо выполнить.

LeaderVMMConnection — не требуется для защиты в Azure

Nonleader/SecondaryVMMConnection— не требуется для защиты в Azure

PrimarySiteAdminConnection— тип актива: подключение; тип подключения: MgmntSvcAdmin;.

PrimaryVmmAdminConnection— тип актива: подключение. Тип подключения: подключение VMM;

RecoverySiteAdminConnection— не требуется для защиты в Azure

RecoverySitePlanSuffix— не требуется для защиты в Azure

Add-AzureSiteRecoverySubscription.ps1

Автоматически добавляет все подписки на планы в первичной метке с включенной службой Azure Site Recovery в планы во вторичную метку.

Параметры задаются в главном модуле Runbook

Add-AzureSiteRecoverySecretTransferKey.ps1 

Синхронизирует ключ шифрования между первичным и вторичным серверами VMM. Этот ключ шифрования создается автоматически при первом запуске Azure Site Recovery. При репликации виртуальных машин клиента во вторичный центр обработки данных связанные сведения о клиенте позволяют клиенту получить доступ к реплицированным виртуальным машинам в случае отработки отказа. Этот ключ используется для шифрования метаданных.

Параметры задаются в главном модуле Runbook

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

Запрашивает все подписки и проверяет, включена ли защита. Затем для каждой подписки запрашиваются все виртуальные машины и включается защита, если для соответствующей подписки включена функция защиты.

Параметры задаются в главном модуле Runbook

Get-WindowsToken.ps1

Другие модули Runbook используют этот модуль Runbook для выполнения командлетов.

None

В данной таблице перечислены модули Runbook.

Скачивание модулей Runbook

  1. Скачайте модули Runbook из Центра скриптов Майкрософт.

  2. Импортируйте и опубликуйте их в следующем порядке:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (главный модуль Runbook)

Настройка и планирование главного модуля Runbook

  1. Вмодулях Runbookслужбы автоматизации> щелкните , чтобы открытьInvokeAzureSiteRecoveryProtectionJob.ps1.

  2. Выберите пункт Расписание , чтобы указать время запуска модуля Runbook. На странице Настройка расписания укажите имя и описание расписания.

  3. В меню Время выберите пункт Ежедневно и укажите время начала.

  4. В меню Укажите значения параметров модулей Runbook укажите параметры модулей Runbook, которые вызываются главным модулем Runbook.

    1. LeaderVMMConnection— не требуется для защиты в Azure

    2. NonLeaderVMMConnection— не требуется для защиты в Azure

    3. PrimarySiteAdminConnection— полное доменное имя компьютера в первичном центре обработки данных под управлением портала администратора Azure Pack и учетные данные администратора. Этот параметр необходим для входа на первичный портал. Укажите имя созданной переменной активов.

    4. PrimaryVmmAdminConnection — полное доменное имя первичного сервера VMM и учетные данные администратора.

    5. RecoverySiteAdminConnection— полное доменное имя компьютера во вторичном центре обработки данных под управлением портала администратора Azure Pack и учетные данные администратора. Не требуется для защиты в Azure.

    6. RecoverySitePlanSuffix— если имя плана в первичном центре обработки данных не содержит суффикс –Recovery , необходимо предоставить текстовый суффикс, чтобы можно было синхронизировать подписки в планах вторичного центра обработки данных. Не требуется для защиты в Azure.

Настройка планов

После настройки параметров облака и модулей Runbook включите в основном локальном центре обработки данных защиту для существующего плана или надстройки. В качестве альтернативы можно создать новый план с включенной защитой.

Включение защиты в плане или надстройке

  1. Чтобы добавить функцию в опубликованный план на портале Azure Pack, щелкните пункт Планы. На вкладке Планы откройте соответствующий план или надстройку на вкладке Надстройки .

  2. В меню Службы плана или Службы надстройки щелкните Облака виртуальных машин. В меню Пользовательские параметры выберите пункт Включить защиту для всех виртуальных машин.

Действия клиента

Чтобы развернуть защиту виртуальных машин, клиентам потребуется выполнить следующие действия.

  1. Подписаться на план или надстройку— после обсуждения требований к защите виртуальных машин, клиенты используют портал самообслуживания Azure Pack, чтобы подписаться на план или надстройку на локальном сайте.

  2. Создание виртуальной машины— клиент создает виртуальную машину или роль виртуальной машины в рамках подписки, связанной с планом или надстройкой. Виртуальная машина создается на связанном облаке VMM. Владелец виртуальной машины — это имя пользователя, создавшего виртуальную машину.

  3. Создание сетей виртуальных машин— на портале самообслуживания Azure Pack клиенты могут при необходимости создавать виртуальные сети на базе логических сетей VMM. Клиенты должны создать виртуальные сети, если они хотят убедиться, что после отработки отказа виртуальные машины реплики будут подключены к соответствующим сетям.

    . Когда клиент создает виртуальную сеть, на связанном облаке VMM создается сеть виртуальных машин с теми же параметрами.

Настройка сетевого сопоставления

После создания сетей виртуальных машин клиентами на портале Azure Site Recovery можно настроить сетевое сопоставление для сопоставления сетей виртуальных машин на основном сайте с сетями в Azure. Эти сопоставления указывают способ подключения виртуальных машин реплики после отработки отказа.

  1. В Azure создайте сеть виртуальных машин с теми же параметрами, которые используются в сети виртуальных машин, автоматически созданной на основном сервере VMM. Затем настройте сетевое сопоставление.

  2. На портале Azure Site Recovery откройте страницу >"Сетевое>сопоставлениересурсов".

  3. Выберите сервер VMM, с которого необходимо сопоставить сети, а затем Azure. На экран будет выведен список исходных сетей и соответствующих им целевых сетей. Для сетей, которые в данный момент не сопоставлены, отобразится пустое значение. Чтобы просмотреть подсети для каждой сети, щелкните значок сведений напротив имен сетей.

  4. Выберите сеть в пункте Сеть источника и щелкните Сопоставить. Служба обнаруживает сети Azure и отображает их. 

  5. Выберите сеть Azure. 

  6. Установите флажок для завершения процесса сопоставления. Запускается задание, отслеживающее ход выполнения сопоставления. Его можно просмотреть на вкладке Задания .

Обнаружение и репликация виртуальных машин

Модуль Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 обнаруживает подписки на планы или надстройки с включенной защитой, а затем включает защиту для виртуальных машин в этих подписках. Это происходит автоматически в соответствии с расписанием модуля Runbook. Никаких действий администратора не требуется.

Запуск отработки отказа

После выполнения первоначальной репликации предстоит запустить отработку отказа следующим образом.

  • Тестовая отработка отказа — выполните, чтобы проверить среду, не влияя на производственную инфраструктуру. Тестовую отработку отказа можно запустить, если клиент запрашивает ее. Инструкции см. в разделе Запуск тестовой отработки отказа.

  • Запланированная отработка отказа — выполните для запланированного обслуживания или в случае неожиданного сбоя. См. раздел Запуск отработки отказа.

  • Незапланированная отработка отказа — запуск для аварийного восстановления из-за незапланированного времени простоя. См. раздел Запуск отработки отказа.

Доступ к реплицированным виртуальным машинам

Отработка отказа с помощью Azure Site Recovery создает виртуальную машину реплики в Azure. После отработки отказа администратор службы может войти на портал Azure с помощью своих учетных данных и получить доступ к виртуальным машинам реплики с портала.  Затем администратор может настроить на виртуальных машинах приложения и порты протокола удаленного рабочего стола для предоставления доступа клиенту. Обратите внимание, что если клиенты получают доступ к виртуальным машинам в центре обработки данных через VPN-подключение, потребуется настроить VPN-подключение между расположением клиента и Azure, чтобы они также могли получить доступ к реплицированным виртуальным машинам через VPN.