Replikera datorer med privata slutpunkter

  • Artikel

Med Azure Site Recovery kan du använda privata Azure Private Link-slutpunkter för att replikera dina datorer inifrån ett isolerat virtuellt nätverk. Privat slutpunktsåtkomst till ett återställningsvalv stöds i alla Azure Commercial & Government-regioner.

Den här artikeln innehåller instruktioner för hur du utför följande steg:

  • Skapa ett Azure Backup Recovery Services-valv för att skydda dina datorer.
  • Aktivera en hanterad identitet för valvet och ge de behörigheter som krävs för att få åtkomst till kundlagringskonton för att replikera trafik från källa till målplatser. Åtkomst till hanterad identitet för lagring krävs när du konfigurerar Private Link-åtkomst till valvet.
  • Gör DNS-ändringar som krävs för privata slutpunkter
  • Skapa och godkänna privata slutpunkter för ett valv i ett virtuellt nätverk
  • Skapa privata slutpunkter för lagringskontona. Du kan fortsätta att tillåta offentlig eller brandväggsbaserad åtkomst för lagring efter behov. Det är inte obligatoriskt att skapa en privat slutpunkt för åtkomst till lagring för Azure Site Recovery.

Nedan visas en referensarkitektur för hur replikeringsarbetsflödet ändras med privata slutpunkter.

Reference architecture for Site Recovery with private endpoints.

Förutsättningar och varningar

  • Privata slutpunkter kan bara skapas för nya Recovery Services-valv som inte har några objekt registrerade i valvet. Därför måste privata slutpunkter skapas innan några objekt läggs till i valvet. Granska prisstrukturen för privata slutpunkter.
  • När en privat slutpunkt skapas för ett valv är valvet låst och är inte tillgängligt från andra nätverk än de nätverk som har privata slutpunkter.
  • Microsoft Entra-ID stöder för närvarande inte privata slutpunkter. Därför måste IP-adresser och fullständigt kvalificerade domännamn som krävs för att Microsoft Entra-ID ska fungera i en region tillåtas utgående åtkomst från det skyddade nätverket. Du kan också använda taggen "Azure Active Directory" och Azure Firewall-taggar för att tillåta åtkomst till Microsoft Entra-ID, i förekommande fall.
  • Minst sju IP-adresser krävs i undernäten för både källdatorerna och återställningsdatorerna. När du skapar en privat slutpunkt för valvet skapar Site Recovery fem privata länkar för åtkomst till dess mikrotjänster. När du aktiverar replikeringen lägger den dessutom till ytterligare två privata länkar för käll- och målregionpareringen.
  • Ytterligare en IP-adress krävs i både käll- och återställningsundernäten. Den här IP-adressen behövs bara när du behöver använda privata slutpunkter som ansluter till cachelagringskonton. Privata slutpunkter för lagring kan bara skapas av typen Generell användning v2. Granska prisstrukturen för dataöverföring på GPv2.

Skapa och använda privata slutpunkter för Site Recovery

I det här avsnittet beskrivs stegen för att skapa och använda privata slutpunkter för Azure Site Recovery i dina virtuella nätverk.

Kommentar

Vi rekommenderar starkt att du följer de här stegen i samma sekvens som du angav. Om du inte gör det kan det leda till att valvet inte kan använda privata slutpunkter och kräva att du startar om processen med ett nytt valv.

Skapa ett Recovery Services-valv

Ett Recovery Services-valv är en entitet som innehåller replikeringsinformation för datorer och används för att utlösa Site Recovery-åtgärder. Mer information finns i Skapa ett Recovery Services-valv.

Aktivera den hanterade identiteten för valvet.

Med en hanterad identitet kan valvet få åtkomst till kundens lagringskonton. Site Recovery måste ha åtkomst till källlagrings-, mållagrings- och cachelagringskontona beroende på scenariokravet. Åtkomst till hanterad identitet är viktigt när du använder tjänsten private links för valvet.

  1. Gå till Recovery Services-valvet. Välj Identitet under Inställningar.

    Shows the Azure portal and the Recovery Services page.

  2. Ändra Status till och välj Spara.

  3. Ett objekt-ID genereras som anger att valvet nu är registrerat med Azure Active Directory.

Skapa privata slutpunkter för Recovery Services-valvet

För att aktivera både redundans och återställning efter fel för virtuella Azure-datorer behöver du två privata slutpunkter för valvet. En privat slutpunkt för skydd av datorer i källnätverket och en annan för återaktivering av rediger över datorer i återställningsnätverket.

Se till att du även skapar ett virtuellt återställningsnätverk i målregionen under den här konfigurationsprocessen.

Skapa den första privata slutpunkten för valvet i ditt virtuella källnätverk med hjälp av Private Link Center i portalen eller via Azure PowerShell. Skapa den andra privata slutpunkten för valvet i återställningsnätverket. Följande är stegen för att skapa den privata slutpunkten i källnätverket. Upprepa samma vägledning för att skapa den andra privata slutpunkten.

  1. I sökfältet i Azure-portalen söker du efter och väljer "Private Link". Den här åtgärden tar dig till Private Link Center.

    Shows searching the Azure portal for the Private Link Center.

  2. I det vänstra navigeringsfältet väljer du Privata slutpunkter. På sidan Privata slutpunkter väljer du +Lägg till för att börja skapa en privat slutpunkt för valvet.

    Shows creating a private endpoint in the Private Link Center.

  3. När du har skapat en privat slutpunkt måste du ange information för att skapa din privata slutpunktsanslutning.

    1. Grunderna: Fyll i grundläggande information för dina privata slutpunkter. Regionen ska vara samma som källdatorerna.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Resurs: På den här fliken måste du nämna den plattform som en tjänst-resurs som du vill skapa anslutningen för. Välj Microsoft.RecoveryServices/valv från resurstypen för din valda prenumeration. Välj sedan namnet på ditt Recovery Services-valv för Resurs och ange Azure Site Recovery som underresurs för mål.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Konfiguration: Ange det virtuella nätverket och undernätet där du vill att den privata slutpunkten ska skapas i konfigurationen. Det här virtuella nätverket är det nätverk där den virtuella datorn finns. Aktivera integrering med privat DNS-zon genom att välja Ja. Välj en DNS-zon som redan har skapats eller skapa en ny. Om du väljer Ja länkar zonen automatiskt till det virtuella källnätverket och lägger till de DNS-poster som krävs för DNS-matchning av nya IP-adresser och fullständigt kvalificerade domännamn som skapats för den privata slutpunkten.

      Se till att du väljer att skapa en ny DNS-zon för varje ny privat slutpunkt som ansluter till samma valv. Om du väljer en befintlig privat DNS-zon skrivs de tidigare CNAME-posterna över. Läs vägledningen för privat slutpunkt innan du fortsätter.

      Om din miljö har en hubb- och ekermodell behöver du bara en privat slutpunkt och bara en privat DNS-zon för hela konfigurationen eftersom alla dina virtuella nätverk redan har peering aktiverat mellan dem. Mer information finns i DNS-integrering med privata slutpunkter.

      Om du vill skapa den privata DNS-zonen manuellt följer du stegen i Skapa privata DNS-zoner och lägger till DNS-poster manuellt.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Taggar: Du kan också lägga till taggar för din privata slutpunkt.

    5. Granska + skapa: När valideringen är klar väljer du Skapa för att skapa den privata slutpunkten.

När den privata slutpunkten har skapats läggs fem fullständigt kvalificerade domännamn till i den privata slutpunkten. Med de här länkarna kan datorerna i det virtuella nätverket få åtkomst till alla nödvändiga Site Recovery-mikrotjänster i kontexten för valvet. Senare, när du aktiverar replikeringen, läggs ytterligare två fullständigt kvalificerade domännamn till i samma privata slutpunkt.

De fem domännamnen är formaterade med följande mönster:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Godkänna privata slutpunkter för Site Recovery

Om användaren som skapar den privata slutpunkten också är ägare till Recovery Services-valvet godkänns den privata slutpunkten som skapades ovan automatiskt inom några minuter. Annars måste valvets ägare godkänna den privata slutpunkten innan du kan använda den. Om du vill godkänna eller avvisa en begärd privat slutpunktsanslutning går du till Privata slutpunktsanslutningar under "Inställningar" på sidan för återställningsvalvet.

Du kan gå till den privata slutpunktsresursen för att granska anslutningens status innan du fortsätter.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(Valfritt) Skapa privata slutpunkter för cachelagringskontot

En privat slutpunkt till Azure Storage kan användas. Det är valfritt att skapa privata slutpunkter för lagringsåtkomst för Azure Site Recovery-replikering. När du skapar en privat slutpunkt för lagring gäller följande krav:

  • Du behöver en privat slutpunkt för cache-/logglagringskontot i ditt virtuella källnätverk.
  • Du behöver en andra privat slutpunkt vid tidpunkten för återaktivering av skyddet av redigerare i återställningsnätverket. Den här privata slutpunkten är för det nya lagringskontot som skapats i målregionen.

Kommentar

Om privata slutpunkter inte är aktiverade på lagringskontot skulle skyddet fortfarande lyckas. Replikeringstrafiken skulle dock skickas till offentliga Slutpunkter för Azure Site Recovery. För att säkerställa replikeringstrafikflöden via privata länkar måste lagringskontot vara aktiverat med privata slutpunkter.

Kommentar

Privat slutpunkt för lagring kan bara skapas på ett lagringskonton för generell användning v2 . Prisinformation finns i Standardpriser för sidblob.

Följ riktlinjerna för att skapa privat lagring för att skapa ett lagringskonto med en privat slutpunkt. Se till att välja Ja för integrering med privat DNS-zon. Välj en DNS-zon som redan har skapats eller skapa en ny.

Bevilja nödvändiga behörigheter till valvet

Om dina virtuella datorer använder hanterade diskar måste du endast bevilja den hanterade identiteten behörighet till cachelagringskontona. Om de virtuella datorerna använder ohanterade diskar måste du bevilja de hanterade identitetsbehörigheterna för käll-, cache- och mållagringskonton. I det här fallet måste du skapa mållagringskontot i förväg.

Innan du aktiverar replikering av virtuella datorer måste den hanterade identiteten för valvet ha följande rollbehörigheter beroende på typen av lagringskonto:

Följande steg beskriver hur du lägger till en rolltilldelning till dina lagringskonton, en i taget. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

  1. I Azure-portalen navigerar du till det cachelagringskonto som du skapade.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg till lägg till > rolltilldelning.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. På fliken Roll väljer du en av rollerna som visas i början av det här avsnittet.

  5. På fliken Medlemmar väljer du Hanterad identitet och väljer sedan Välj medlemmar.

  6. Välj din Azure-prenumerationen.

  7. Välj Systemtilldelad hanterad identitet, sök efter ett valv och välj det.

  8. På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.

Utöver dessa behörigheter måste du tillåta åtkomst till Microsofts betrodda tjänster. Följ stegen nedan:

  1. Gå till Brandväggar och virtuella nätverk.

  2. I Undantag väljer du Tillåt betrodda Microsoft-tjänster att komma åt det här lagringskontot.

Skydda dina virtuella datorer

När alla ovanstående konfigurationer har slutförts fortsätter du med att aktivera replikering för dina virtuella datorer. Alla Site Recovery-åtgärder fungerar utan några ytterligare steg om DNS-integrering användes när privata slutpunkter skapades i valvet. Men om DNS-zonerna skapas och konfigureras manuellt behöver du ytterligare steg för att lägga till specifika DNS-poster i både käll- och mål-DNS-zoner när replikeringen har aktiverats. Mer information och steg finns i Skapa privata DNS-zoner och lägg till DNS-poster manuellt.

Skapa privata DNS-zoner och lägg till DNS-poster manuellt

Om du inte valde alternativet att integrera med en privat DNS-zon när du skapade en privat slutpunkt för valvet följer du stegen i det här avsnittet.

Skapa en privat DNS-zon så att mobilitetsagenten kan matcha fullständiga domännamn med privat länk till privata IP-adresser.

  1. Skapa en privat DNS-zon

    1. Sök efter "Privat DNS zon" i sökfältet Alla tjänster och välj "Privat DNS zoner" i listrutan.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. På sidan "Privat DNS zoner" väljer du knappen +Lägg till för att börja skapa en ny zon.

    3. På sidan "Skapa privat DNS-zon" fyller du i nödvändig information. Ange namnet på den privata DNS-zonen som privatelink.siterecovery.windowsazure.com. Du kan välja valfri resursgrupp och valfri prenumeration för att skapa den.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. Fortsätt till fliken Granska + skapa för att granska och skapa DNS-zonen.

  2. Länka den privata DNS-zonen till ditt virtuella nätverk

    De privata DNS-zoner som skapades ovan måste nu vara länkade till det virtuella nätverk där servrarna för närvarande finns. Du måste också länka den privata DNS-zonen till det virtuella målnätverket i förväg.

    1. Gå till den privata DNS-zon som du skapade i föregående steg och gå till Länkar till virtuellt nätverk till vänster på sidan. När du är där väljer du knappen +Lägg till .

    2. Fyll i nödvändig information. Fälten Prenumeration och Virtuellt nätverk måste fyllas i med motsvarande information om det virtuella nätverk där servrarna finns. De andra fälten måste vara kvar som de är.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. Lägga till DNS-poster

    När du har skapat nödvändiga privata DNS-zoner och privata slutpunkter måste du lägga till DNS-poster i dina DNS-zoner.

    Kommentar

    Om du använder en anpassad privat DNS-zon kontrollerar du att liknande poster görs enligt beskrivningen nedan.

    Det här steget kräver att du gör poster för varje fullständigt kvalificerat domännamn i din privata slutpunkt i din privata DNS-zon.

    1. Gå till din privata DNS-zon och gå till avsnittet Översikt till vänster på sidan. När du är där väljer du +Postuppsättning för att börja lägga till poster.

    2. På sidan "Lägg till postuppsättning" som öppnas lägger du till en post för varje fullständigt kvalificerat domännamn och en privat IP-adress som en A-typpost . Listan över fullständigt kvalificerade domännamn och IP-adresser kan hämtas från sidan "Privat slutpunkt" i Översikt. Som du ser i exemplet nedan läggs det första fullständigt kvalificerade domännamnet från den privata slutpunkten till i posten som angetts i den privata DNS-zonen.

      Dessa fullständigt kvalificerade domännamn matchar mönstret: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Kommentar

    När du har aktiverat replikering skapas ytterligare två fullständigt kvalificerade domännamn på de privata slutpunkterna i båda regionerna. Se till att du även lägger till DNS-posterna för dessa nyligen skapade fullständigt kvalificerade domännamn.

Nästa steg

Nu när du har aktiverat privata slutpunkter för replikering av virtuella datorer kan du läsa följande andra sidor för ytterligare och relaterad information: