Replikera lokala datorer med hjälp av privata slutpunkter

Med Azure Site Recovery kan du använda Azure Private Link privata slutpunkter för att replikera dina lokala datorer till ett virtuellt nätverk i Azure. Åtkomst till privata slutpunkter till ett återställningsvalv stöds i alla Azure Commercial & Government-regioner.

Anteckning

Automatiska uppgraderingar stöds inte för privata slutpunkter. Läs mer.

I den här artikeln beskrivs hur du utför följande steg:

  • Skapa ett Azure Backup Recovery Services-valv för att skydda dina datorer.

  • Aktivera en hanterad identitet för valvet. Bevilja de behörigheter som krävs för att få åtkomst till lagringskontona för att aktivera replikering av trafik från lokala platser till Azure-målplatser. Hanterad identitetsåtkomst för lagring krävs för Private Link åtkomst till valvet.

  • Gör DNS-ändringar som krävs för privata slutpunkter.

  • Skapa och godkänn privata slutpunkter för ett valv i ett virtuellt nätverk.

  • Skapa privata slutpunkter för lagringskontona. Du kan fortsätta att tillåta offentlig eller brandväggsbaserad åtkomst för lagring efter behov. Att skapa en privat slutpunkt för åtkomst till lagring krävs inte för Azure Site Recovery.

Följande diagram visar replikeringsarbetsflödet för hybrid haveriberedskap med privata slutpunkter. Du kan inte skapa privata slutpunkter i ditt lokala nätverk. Om du vill använda privata länkar måste du skapa ett virtuellt Azure-nätverk (kallas för ett förbikopplingsnätverk i den här artikeln), upprätta privat anslutning mellan det lokala nätverket och förbikopplingsnätverket och sedan skapa privata slutpunkter i förbikopplingsnätverket. Du kan välja vilken form av privat anslutning som helst.

Diagram som visar arkitekturen för Azure Site Recovery och privata slutpunkter.

Krav och varningar

  • Privata länkar stöds i Site Recovery 9.35 och senare.
  • Du kan bara skapa privata slutpunkter för nya Recovery Services-valv som inte har några objekt registrerade för dem. Därför måste du skapa privata slutpunkter innan några objekt läggs till i valvet. Prisinformation finns i Azure Private Link prissättning.
  • När du skapar en privat slutpunkt för ett valv låses valvet. Den kan endast nås från nätverk som har privata slutpunkter.
  • Azure Active Directory stöder för närvarande inte privata slutpunkter. Därför måste du tillåta utgående åtkomst från det skyddade virtuella Azure-nätverket till IP-adresser och fullständigt kvalificerade domännamn som krävs för att Azure Active Directory ska fungera i en region. I tillämpliga fall kan du också använda taggen "Azure Active Directory" för nätverkssäkerhetsgrupp och Azure Firewall taggar för att tillåta åtkomst till Azure Active Directory.
  • Fem IP-adresser krävs i förbikopplingsnätverket där du skapar din privata slutpunkt. När du skapar en privat slutpunkt för valvet skapar Site Recovery fem privata länkar för åtkomst till dess mikrotjänster.
  • Ytterligare en IP-adress krävs i förbikopplingsnätverket för privat slutpunktsanslutning till ett cachelagringskonto. Du kan använda valfri anslutningsmetod mellan den lokala miljön och slutpunkten för lagringskontot. Du kan till exempel använda Internet eller Azure ExpressRoute. Det är valfritt att upprätta en privat länk. Du kan bara skapa privata slutpunkter för lagring på Generell användning v2-konton. Se Prissättning för Azure-sidblobar för information om priser för dataöverföring på Generell användning v2-konton.

Anteckning

När du konfigurerar privata slutpunkter för att skydda VMware och fysiska datorer måste du installera MySQL på konfigurationsservern manuellt. Följ stegen här för att utföra den manuella installationen.

Skapa och använda privata slutpunkter för webbplatsåterställning

I följande avsnitt beskrivs de steg du behöver vidta för att skapa och använda privata slutpunkter för webbplatsåterställning i dina virtuella nätverk.

Anteckning

Vi rekommenderar att du följer de här stegen i den ordning som visas. Om du inte gör det kanske du inte kan använda privata slutpunkter i valvet och du kan behöva starta om processen med ett nytt valv.

skapar ett Recovery Services-valv

Ett Recovery Services-valv innehåller datorernas replikeringsinformation. Den används för att utlösa Site Recovery åtgärder. Information om hur du skapar ett Recovery Services-valv i Den Azure-region där du vill redundansväxla vid ett haveri finns i Skapa ett Recovery Services-valv.

Aktivera den hanterade identiteten för valvet

Med en hanterad identitet kan valvet komma åt dina lagringskonton. Site Recovery kan behöva komma åt mållagrings- och cachelagringskontona/logglagringskontona, beroende på dina behov. Åtkomst till hanterad identitet krävs när du använder Private Link-tjänsten för valvet.

  1. Gå till Recovery Services-valvet. Välj Identitet under Inställningar:

    Skärmbild som visar sidan med identitetsinställningar.

  2. Ändra Status till och välj Spara.

    Ett objekt-ID genereras. Valvet har nu registrerats med Azure Active Directory.

Skapa privata slutpunkter för Recovery Services-valvet

För att skydda datorerna i det lokala källnätverket behöver du en privat slutpunkt för valvet i förbikopplingsnätverket. Skapa den privata slutpunkten med hjälp av Private Link Center i Azure Portal eller med hjälp av Azure PowerShell.

  1. I sökrutan Azure Portal söker du efter "private link". Välj Private Link för att gå till Private Link Center:

    Skärmbild som visar sökning i Azure Portal efter Private Link Center.

  2. I den vänstra rutan väljer du Privata slutpunkter. På sidan Privata slutpunkter väljer du Lägg till för att börja skapa en privat slutpunkt för valvet:

    Skärmbild som visar hur du skapar en privat slutpunkt i Private Link Center.

  3. På sidan Skapa en privat slutpunkt anger du information för att skapa din privata slutpunktsanslutning.

    1. Grunderna. Ange grundläggande information för dina privata slutpunkter. Använd den region som du använde för att kringgå nätverket:

      Skärmbild som visar fliken Grundläggande för att skapa en privat slutpunkt.

    2. Resurs. På den här fliken måste du ange den plattform som en tjänst-resurs som du vill skapa anslutningen för. Under Resurstyp för din valda prenumeration väljer du Microsoft.RecoveryServices/vaults. Välj namnet på ditt Recovery Services-valv under Resurs. Välj Azure Site Recovery som underresurs för Mål.

      Skärmbild som visar fliken Resurs för länkning till en privat slutpunkt.

    3. Konfiguration. På den här fliken anger du det förbikopplingsnätverk och undernät där du vill att den privata slutpunkten ska skapas.

      Aktivera integrering med en privat DNS-zon genom att välja Ja. Välj en befintlig DNS-zon eller skapa en ny. Om du väljer Ja länkas zonen automatiskt till förbikopplingsnätverket. Den här åtgärden lägger också till DE DNS-poster som krävs för DNS-matchning av nya IP-adresser och fullständigt kvalificerade domännamn som skapats för den privata slutpunkten.

      Se till att du väljer att skapa en ny DNS-zon för varje ny privat slutpunkt som ansluter till samma valv. Om du väljer en befintlig privat DNS-zon skrivs de tidigare CNAME-posterna över. Se Vägledning för privat slutpunkt innan du fortsätter.

      Om din miljö har en hubb- och ekermodell behöver du bara en privat slutpunkt och bara en privat DNS-zon för hela installationen. Det beror på att peering redan är aktiverat för alla dina virtuella nätverk. Mer information finns i DNS-integrering för privat slutpunkt.

      Om du vill skapa den privata DNS-zonen manuellt följer du stegen i Skapa privata DNS-zoner och lägger till DNS-poster manuellt.

      Skärmbild som visar fliken Konfiguration för konfiguration av en privat slutpunkt.

    4. Taggar. Du kan också lägga till taggar för din privata slutpunkt.

    5. Granska + skapa. När valideringen är klar väljer du Skapa för att skapa den privata slutpunkten.

När den privata slutpunkten skapas läggs fem fullständigt kvalificerade domännamn (FQDN) till i den privata slutpunkten. Med de här länkarna kan datorerna i det lokala nätverket komma åt alla nödvändiga Site Recovery mikrotjänster i valvets kontext via förbikopplingsnätverket. Du kan använda samma privata slutpunkt för att skydda alla Azure-datorer i förbikopplingsnätverket och alla peer-kopplade nätverk.

De fem domännamnen är formaterade i det här mönstret:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

Godkänn privata slutpunkter för webbplatsåterställning

Om du skapar den privata slutpunkten och även är ägare till Recovery Services-valvet godkänns den privata slutpunkt som du skapade tidigare automatiskt inom några minuter. Annars måste valvets ägare godkänna den privata slutpunkten innan du kan använda den. Om du vill godkänna eller avvisa en begärd privat slutpunktsanslutning går du till Privata slutpunktsanslutningar under Inställningar på sidan återställningsvalv.

Du kan gå till den privata slutpunktsresursen för att granska anslutningens status innan du fortsätter:

Skärmbild som visar sidan Privata slutpunktsanslutningar i valvet och listan över anslutningar.

(Valfritt) Skapa privata slutpunkter för cachelagringskontot

Du kan använda en privat slutpunkt till Azure Storage. Det är valfritt att skapa privata slutpunkter för lagringsåtkomst för Azure Site Recovery replikering. Om du skapar en privat slutpunkt för lagring behöver du en privat slutpunkt för cache-/logglagringskontot i ditt kringgå virtuella nätverk.

Anteckning

Om privata slutpunkter inte är aktiverade på lagringskontot skulle skyddet fortfarande lyckas. Replikeringstrafiken överförs dock via Internet till Azure Site Recovery offentliga slutpunkter. För att säkerställa replikeringstrafikflöden via privata länkar måste lagringskontot vara aktiverat med privata slutpunkter.

Anteckning

Privata slutpunkter för lagring kan endast skapas på Generell användning v2-lagringskonton. Prisinformation finns i Prissättning för Azure Page Blobs.

Följ anvisningarna för att skapa privat lagring för att skapa ett lagringskonto med en privat slutpunkt. Se till att välja Ja under Integrera med privat DNS-zon. Välj en befintlig DNS-zon eller skapa en ny.

Bevilja nödvändiga behörigheter till valvet

Beroende på din konfiguration kan du behöva ett eller flera lagringskonton i azure-målregionen. Bevilja sedan de hanterade identitetsbehörigheterna för alla cache-/logglagringskonton som krävs av Site Recovery. I det här fallet måste du skapa de nödvändiga lagringskontona i förväg.

Innan du aktiverar replikering av virtuella datorer måste valvets hanterade identitet ha följande rollbehörigheter, beroende på typen av lagringskonto.

Följande steg beskriver hur du lägger till en rolltilldelning i ditt lagringskonto. Detaljerade steg finns i Tilldela Azure-roller med hjälp av Azure Portal.

  1. Gå till lagringskontot.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg till lägg till > rolltilldelning.

    Skärmbild som visar sidan Åtkomstkontroll (IAM) med menyn Lägg till rolltilldelning öppen.

  4. På fliken Roll väljer du en av rollerna som visas i början av det här avsnittet.

  5. På fliken Medlemmar väljer du Hanterad identitet och sedan Välj medlemmar.

  6. Välj din Azure-prenumeration.

  7. Välj Systemtilldelad hanterad identitet, sök efter ett valv och välj det.

  8. På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.

Utöver dessa behörigheter måste du tillåta åtkomst till Microsofts betrodda tjänster. Det gör du på följande sätt:

  1. Gå till Brandväggar och virtuella nätverk.

  2. I Undantag väljer du Tillåt betrodda Microsoft-tjänster att komma åt det här lagringskontot.

Skydda dina virtuella datorer

När du har slutfört föregående uppgifter fortsätter du med konfigurationen av din lokala infrastruktur. Fortsätt genom att utföra någon av följande uppgifter:

När installationen är klar aktiverar du replikering för källdatorerna. Konfigurera inte infrastrukturen förrän de privata slutpunkterna för valvet har skapats i förbikopplingsnätverket.

Skapa privata DNS-zoner och lägg till DNS-poster manuellt

Om du inte valde alternativet att integrera med en privat DNS-zon när du skapade den privata slutpunkten för valvet följer du stegen i det här avsnittet.

Skapa en privat DNS-zon så att Site Recovery-providern (för Hyper-V-datorer) eller processervern (för VMware/fysiska datorer) kan matcha privata FQDN till privata IP-adresser.

  1. Skapa en privat DNS-zon.

    1. Sök efter "privat DNS-zon" i sökrutan Alla tjänster och välj sedan Privat DNS zon i resultatet:

      Skärmbild som visar sökning efter privat DNS-zon på sidan nya resurser i Azure Portal.

    2. På sidan Privat DNS zoner väljer du knappen Lägg till för att börja skapa en ny zon.

    3. På sidan Skapa privat DNS-zon anger du nödvändig information. Ange privatelink.siterecovery.windowsazure.com för namnet på den privata DNS-zonen. Du kan välja valfri resursgrupp och valfri prenumeration.

      Skärmbild som visar fliken Grundläggande på sidan Skapa Privat DNS zon.

    4. Fortsätt till fliken Granska + skapa för att granska och skapa DNS-zonen.

  2. Länka den privata DNS-zonen till ditt virtuella nätverk.

    Nu måste du länka den privata DNS-zon som du skapade till förbikopplingen.

    1. Gå till den privata DNS-zon som du skapade i föregående steg och gå sedan till Virtuella nätverkslänkar i den vänstra rutan. Välj Lägg till.

    2. Ange nödvändig information. I listorna Prenumeration och Virtuellt nätverk väljer du information som motsvarar förbikopplingsnätverket. Lämna standardvärdena i övriga fält.

      Skärmbild som visar länksidan Lägg till virtuellt nätverk.

  3. Lägg till DNS-poster.

    Nu när du har skapat den privata DNS-zon som krävs och den privata slutpunkten måste du lägga till DNS-poster i DNS-zonen.

    Anteckning

    Om du använder en anpassad privat DNS-zon måste du göra liknande poster enligt beskrivningen i följande steg.

    I det här steget måste du göra poster för varje FQDN i din privata slutpunkt i din privata DNS-zon.

    1. Gå till din privata DNS-zon och gå sedan till avsnittet Översikt i den vänstra rutan. Välj Postuppsättning för att börja lägga till poster.

    2. På sidan Lägg till postuppsättning lägger du till en post för varje fullständigt kvalificerat domännamn och privat IP som en A-typpost . Du kan hämta en lista över fullständigt kvalificerade domännamn och IP-adresser på sidan Privat slutpunkt i Översikt. Som du ser i följande skärmbild läggs det första fullständigt kvalificerade domännamnet från den privata slutpunkten till i postuppsättningen i den privata DNS-zonen.

      Dessa fullständigt kvalificerade domännamn matchar det här mönstret: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Skärmbild som visar sidan Lägg till postuppsättning.

Nästa steg

Nu när du har aktiverat privata slutpunkter för replikering av virtuella datorer kan du läsa följande andra artiklar för ytterligare och relaterad information: