Включение Hyper-V реплики в отказоустойчивом кластере

Hyper-V Replica помогает защитить ваши нагрузки через репликацию виртуальных машин между узлами Hyper-V под управлением Windows Server. В этой статье объясняется, как включить Hyper-V реплику в отказоустойчивом кластере с помощью Windows Admin Center — режим виртуализации, диспетчер отказоустойчивости кластеров или PowerShell.

Можно реплицировать между кластерами, отдельными хостами или их комбинацией. Если вы используете сертификат для проверки подлинности, между узлами нет зависимостей Active Directory. Отдельные хосты могут быть членами домена или находиться в рабочей группе.

Если вы хотите узнать, как включить реплику Hyper-V на одном узле, см. статью "Включить Hyper-V реплику" на одном узле. Дополнительные сведения о Hyper-V Реплике и ее работе см. в обзоре Hyper-V Реплики.

Предпосылки

Перед началом работы убедитесь, что выполнены следующие предварительные требования:

• У вас есть кластер Hyper-V для получения реплицированной виртуальной машины. У вас также есть другой кластер или один узел, на котором выполняется виртуальная машина, которую требуется реплицировать.

• Определите метод проверки подлинности:

  • Если кластеры и узлы присоединены к тем же или доверенным доменам Active Directory, можно использовать проверку подлинности Kerberos (HTTP).

  • Если кластеры и узлы не присоединены к домену или находятся в ненадежных доменах или вы также хотите использовать шифрование, необходимо использовать проверку подлинности на основе сертификатов (HTTPS). Необходимо установить действительный сертификат на каждом хосте, как для отправки, так и для получения. Сертификат должен отвечать приведенным ниже требованиям.

    • Не истекает срок действия
    • Имеют атрибуты расширенного использования ключей (EKU) для проверки подлинности клиента и сервера и связанный закрытый ключ.
    • Завершите на действительном корневом сертификате.
    • Общее имя субъекта (CN) или альтернативное имя субъекта (SAN) должно совпадать с полностью квалифицированным доменным именем (FQDN) роли Hyper-V Replica Broker, которую вы предоставляете для принимающего кластера. Если вы отправляете виртуальную машину из кластера, вам также нужен сертификат для FQDN роли брокера реплики Hyper-V на каждом основном хосте.

• Сетевое подключение между кластерами и узлами. По умолчанию при использовании проверки подлинности Kerberos репликация использует HTTP через порт 80. При использовании проверки подлинности на основе сертификатов репликация использует HTTPS через порт 443.

• Расположение хранилища в принимающем кластере, доступное всем узлам для хранения реплицированных виртуальных машин.

• Для роли брокера Hyper-V реплики требуется IP-адрес. Убедитесь, что для сети кластера, используемой для управления, есть статический IP-адрес, доступный в подсети, или dhcp доступен в подсети.

• Учетная запись пользователя, имеющая права администратора как на основном, так и на кластерных или хостовых репликах.

• Учетная запись пользователя, который является администратором домена, или предварительная настройка учетной записи компьютера в Active Directory для роли Hyper-V Replica Broker в принимающем кластере. Дополнительные сведения см. в разделе "Подготовка учетной записи для кластеризованной службы или приложения".

Включение роли брокера реплики Hyper-V

Прежде чем реплицировать виртуальные машины в кластер Hyper-V, необходимо включить роль брокера реплики Hyper-V. Вы настраиваете принимающий кластер, а не главный кластер или хост.

Роль брокера реплик Hyper-V в кластере служит как целевой объект для трафика репликации. Он предоставляет одну точку контакта для основного сервера для подключения, даже если виртуальная машина реплики перемещается между узлами в кластере.

Чтобы убедиться, что виртуальная машина может вернуться к оригинальному основному кластеру или узлу после события аварийного переключения, настройте кластеры и узлы как первичной, так и резервной (реплики) конфигурации для репликации.

Используйте Windows Admin Center — режим виртуализации, диспетчер отказоустойчивости кластеров или PowerShell, чтобы включить и настроить роль брокера Hyper-V реплики. Выберите соответствующую вкладку для инструкций.

Windows Admin Center — режим виртуализации

Important

Настройка реплики Hyper-V с помощью режима Windows Admin Center — режим виртуализации в настоящее время находится в режиме предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Дополнительные сведения о режиме виртуализации Windows Admin Center см. в разделе "Центр администрирования Windows — режим виртуализации".

Включение и настройка брокера реплики Hyper-V с помощью режима Windows Admin Center — режим виртуализации:

1. Перейдите по URL-адресу для Windows Admin Center — режим виртуализации и войдите в систему.

2. В области ресурсов выберите кластер, в который нужно реплицировать.

3. В списке средств для кластера выберите "Параметры".

4. В разделе Параметры узла Hyper-V выберите Репликация.

5. Выберите Configure Hyper-V Replica Broker, чтобы открыть область конфигурации брокера.

6. Чтобы получить доступ к клиентской точке доступа, выполните следующие сведения:

   1. В поле Broker Name введите имя, которое вы хотите использовать для брокера реплики Hyper-V. Имя ограничено 15 символами и должно быть уникальным в вашем домене Active Directory.

   2. Для доступных сетей выберите сеть, используемую для брокера, и введите IP-адрес, если DHCP недоступен.

7. Нажмите Далее, чтобы просмотреть сводку, которая показывает имя брокера, IP-адрес и подразделение. Просмотрите сведения и выберите "Настроить".

8. Уведомление подтверждает настройку роли брокера. Дождитесь завершения конфигурации. После завершения страницы параметров репликации отображается имя и состояние брокера.

9. После настройки брокера настройте параметры репликации для кластера. На странице параметров репликации внесите следующие изменения:

   1. Установите флажок Включить этот компьютер как сервер реплики. Имя и состояние брокера отображаются в верхней части страницы.

   2. Для аутентификации и портов установите флажок для метода аутентификации, который хотите использовать: используйте аутентификацию Kerberos (HTTP) или используйте аутентификацию на основе сертификатов (HTTPS). Измените порт, если вы не хотите использовать порты по умолчанию. Если вы используете проверку подлинности на основе сертификатов, выберите "Выбрать ", чтобы выбрать сертификат, соответствующий требованиям.

   3. Для авторизации и хранилища выберите "Разрешить репликацию с любого сервера, прошедшего проверку подлинности", чтобы разрешить серверу-реплике принимать трафик репликации виртуальной машины с любого первичного сервера, который успешно выполняет проверку подлинности, или разрешить репликацию с указанных серверов принимать трафик только с целевых серверов . Для обоих параметров укажите, где должны храниться реплицированные виртуальные жесткие диски. Для кластера это расположение должно быть доступно для всех узлов, например, как общий том кластера (CSV) C:\ClusterStorage\Volume1. Выберите Обзор, чтобы выбрать расположение хранилища.

      Если выбрать разрешить репликацию на указанных серверах, выберите "Добавить ", чтобы указать полное доменное имя основного узла, расположение для хранения файлов реплики и группы доверия.

10. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

11. Убедитесь, что состояние брокера реплики Hyper-V Online перед попыткой репликации виртуальных машин в кластер.

Диспетчер отказоустойчивости кластеров

Чтобы включить и настроить роль кластера Hyper-V Replica Broker с помощью диспетчера отказоустойчивости кластеров:

1. Откройте диспетчер отказоустойчивых кластеров на устройстве, используемом для управления кластером, в который требуется выполнить репликацию, или на одном из узлов в кластере.

2. В левой области разверните пункт с именем кластера, в который нужно выполнить репликацию, а затем выберите Роли.

3. В правой области "Действия" выберите "Настройка роли". Если в Мастере высокой доступности вы увидите Перед началом, нажмите Далее.

4. Для Выбор роли выберите Брокер реплики Hyper-V и нажмите Далее.

   

5. В поле Точка доступа клиента введите имя, которое нужно использовать для брокера Hyper-V реплики, а затем выберите Далее. Название — это NetBIOS имя для роли и ограничено 15 символами. Это имя должно быть уникальным в домене Active Directory.

   

6. Для подтверждения просмотрите сведения и нажмите кнопку "Далее". Настроена роль брокера реплики Hyper-V. Изначально роль пытается получить IP-адрес из DHCP. Этот параметр можно изменить позже, если вы хотите использовать статический IP-адрес. Если DHCP недоступен в подсети, роль не будет подключена, пока не назначьте статический IP-адрес.

7. Просмотрите сводку и нажмите кнопку "Готово". Вы также можете просмотреть журнал действий, выполняемых, выбрав "Просмотреть отчет", который открывается в окне браузера.

8. Вернитесь в панель Roles, щелкните правой кнопкой мыши роль Hyper-V Replica Broker и выберите Параметры репликации.

9. В диалоговом окне конфигурации брокера репликиHyper-V внесите следующие изменения:

   1. Выберите "Включить этот кластер как сервер реплики".

   2. Выберите метод проверки подлинности, который вы хотите использовать, из use Kerberos (HTTP) или use certificate-based Authentication (HTTPS). Измените порт, если вы не хотите использовать порты по умолчанию. Если вы используете проверку подлинности на основе сертификатов, выберите "Выбрать сертификат", а затем вам будет предложено выбрать сертификат, соответствующий требованиям.

   3. Для авторизации и хранилища выберите разрешить репликацию с любого проверенного сервера , чтобы разрешить серверу-реплике принимать трафик репликации виртуальной машины с любого первичного сервера, который успешно проходит проверку подлинности, или разрешить репликацию с указанных серверов принимать трафик только с первичных серверов , которые вы специально выбрали. Для обоих вариантов необходимо указать, где в кластере Hyper-V реплики должны храниться реплицированные виртуальные жесткие диски. Для кластера это расположение должно быть доступно всеми узлами в кластере, например общим томом кластера (CSV)C:\ClusterStorage\Volume1\Replica.

      Если выбрать разрешить репликацию на указанных серверах, нажмите кнопку "Добавить". В разделе "Добавить запись авторизации" укажите полное доменное имя основного узла, расположение для хранения файлов реплики и группы доверия. Группа доверия — это текстовое поле свободной формы, которое можно использовать для группирования первичных серверов. Нажмите ОК.

   4. Нажмите кнопку "ОК ", чтобы сохранить параметры.

   

PowerShell

Чтобы включить и настроить роль кластера брокера Hyper-V с помощью PowerShell, используйте командлеты в модуле FailoverClusters, как показано в следующих примерах. Замените заполнитель <values> собственными значениями.

1. Откройте сеанс PowerShell от имени администратора на одном из узлов в кластере, на который вы хотите выполнить репликацию, или удаленно подключитесь с помощью командлета Enter-PSSession на устройстве, используемом для управления кластером или хостом.

2. Импортируйте модуль FailoverClusters, выполнив следующую команду:

   Import-Module FailoverClusters
   

3. Добавьте роль брокера реплики Hyper-V, выполнив следующие команды. Значением $netbiosName является имя, которое вы хотите использовать для брокера реплики Hyper-V и ограничено 15 символами. Это имя должно быть уникальным в домене Active Directory.

   $netbiosName = "<Hyper-V Broker role name>"
   $clusterNetworkName = "<Cluster network name>" # The name of the cluster network used for management.
   $dhcp = $true # Set to $true to use DHCP, otherwise set to $false to use a static IP address.
   $staticIP = "<IPv4 address>"  # Only used if $DHCP is $false. The IP address must be part of the cluster network subnet.
   
   # Get the name of the cluster network used for management
   $clusterNetwork = Get-ClusterNetwork -Name $clusterNetworkName
   
   # Create the Hyper-V Replica Broker role resources
   Add-ClusterGroup -Name $netbiosName -GroupType VMReplicaBroker
   Add-ClusterResource -Name "Hyper-V Replica Broker $netbiosName" -Group $netbiosName -ResourceType "Virtual Machine Replication Broker"
   Add-ClusterResource -Name "$netbiosName" -Group $netbiosName -ResourceType "Network Name"
   Add-ClusterResource -Name ("IP Address " + $clusterNetwork.Address) -Group $netbiosName -ResourceType "IP Address"
   
   # Configure the IP Address resource
   If ($dhcp -eq $true) {
       Get-ClusterResource -Name ("IP Address " + $clusterNetwork.Address) | Set-ClusterParameter -Multiple @{"Network"=$clusterNetwork.Name;"EnableDhcp"=1} -Create
   }
   Else {
       Get-ClusterResource -Name ("IP Address " + $clusterNetwork.Address) | Set-ClusterParameter -Multiple @{"Network"=$clusterNetwork.Name;"Address"=$staticIP;"SubnetMask"=$clusterNetwork.AddressMask;"EnableDhcp"=0} -Create
   }
   
   # Set the DNS name for the Network Name resource
   Get-ClusterResource -Name $netbiosName | Set-ClusterParameter -Name DnsName -Value $netbiosName
   
   # Add dependencies
   Add-ClusterResourceDependency -Resource $netbiosName ("IP Address " + $clusterNetwork.Address)
   Add-ClusterResourceDependency -Resource "Hyper-V Replica Broker $netbiosName" $netbiosName
   
   # Bring the role online
   Start-ClusterGroup -Name $netbiosName
   

4. Проверьте состояние роли брокера реплики Hyper-V, выполнив следующую команду:

   Get-ClusterGroup | ? GroupType -eq VMReplicaBroker
   

   Ниже приведен пример выходных данных, которые вы увидите. Значение параметра State должно быть Online.

   Name         OwnerNode State
   ----         --------- -----
   cluster01rep host02    Online
   

Включение правил брандмауэра Windows для реплики Hyper-V

Чтобы разрешить репликацию между основными кластерами и узлами реплики, трафик должен пройти через брандмауэр Windows (или любые другие сторонние брандмауэры). При установке роли Hyper-V на каждом узле брандмауэр Windows создает исключения для HTTP (80) и HTTPS (443), но по умолчанию не включает их. Необходимо включить соответствующие правила для всех принимающих хостов.

Правила можно включить с помощью предпочтительного метода управления брандмауэром Windows, например централизованного использования групповой политики или локально на каждом узле с помощью брандмауэра Windows с помощью консоли расширенной безопасности или PowerShell. Дополнительные сведения об управлении брандмауэром Windows и руководствами см. в разделе "Средства брандмауэра Windows".

Правила, необходимые для включения, зависят от метода проверки подлинности, выбранного при настройке роли брокера реплики Hyper-V:

• Включите Hyper-V Replica HTTP Listener (TCP-In) аутентификацию Kerberos (HTTP).
• Включите Hyper-V Replica HTTPS Listener (TCP-In) проверку подлинности на основе сертификатов (HTTPS).

Проверка конфигурации репликации

После включения и настройки Hyper-V реплики и включения соответствующих правил брандмауэра Windows проверьте конфигурацию, чтобы убедиться, что основной кластер или узел могут подключиться к узлу реплики должным образом.

Для проверки подключения можно использовать командлет Test-VMReplicationConnection PowerShell, как показано в следующих примерах. Обязательно замените плейсхолдер <values> собственным.

1. Откройте сеанс PowerShell от имени администратора на одном из узлов, с которых вы хотите выполнить репликацию, или подключитесь удаленно с помощью командлета Enter-PSSession на устройстве, используемом для управления кластером или узлом.

2. Используйте одну из следующих команд:

   • Чтобы проверить подключение к кластеру реплики с помощью проверки подлинности Kerberos, выполните следующую команду:

     Test-VMReplicationConnection -ReplicaServerName '<Hyper-V Broker role FQDN>' -ReplicaServerPort 80 -AuthenticationType Kerberos
     

   • Чтобы проверить подключение к кластеру реплик с помощью проверки подлинности на основе сертификатов, выполните следующую команду. Вам нужен отпечаток допустимого сертификата для Hyper-V Replica на основном сервере или кластере.

     Test-VMReplicationConnection -ReplicaServerName '<Hyper-V Broker role FQDN>' -ReplicaServerPort 443 -AuthenticationType Certificate -CertificateThumbprint AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
     

   Для любой из этих команд, если тест выполнен успешно, вот вывод, который вы должны увидеть:

   The connection to the specified Replica server with the specified parameters was successful.