Makineleri özel uç noktalarla çoğaltma

  • Makale

Azure Site Recovery, makinelerinizi yalıtılmış bir sanal ağın içinden çoğaltmak için Azure Özel Bağlantı özel uç noktaları kullanmanıza olanak tanır. Kurtarma kasasına özel uç nokta erişimi tüm Azure Ticari ve Kamu bölgelerinde desteklenir.

Bu makalede aşağıdaki adımları gerçekleştirmeniz için yönergeler sağlanır:

  • Makinelerinizi korumak için bir Azure Backup Kurtarma Hizmetleri kasası oluşturun.
  • Kasa için yönetilen kimliği etkinleştirin ve kaynaktan hedef konumlara trafiği çoğaltmak için müşteri depolama hesaplarına erişmek için gerekli izinleri verin. Kasaya Özel Bağlantı erişimi ayarlarken depolama için yönetilen kimlik erişimi gereklidir.
  • Özel uç noktalar için gereken DNS değişikliklerini yapma
  • Sanal ağ içindeki bir kasa için özel uç noktalar oluşturma ve onaylama
  • Depolama hesapları için özel uç noktalar oluşturun. Gerektiğinde depolama için genel veya güvenlik duvarı erişimine izin verme işlemine devam edebilirsiniz. Azure Site Recovery için depolamaya erişmek için özel uç nokta oluşturmak zorunlu değildir.

Aşağıda, çoğaltma iş akışının özel uç noktalarla nasıl değiştiğine ilişkin bir başvuru mimarisi yer almaktadır.

Reference architecture for Site Recovery with private endpoints.

Önkoşullar ve uyarılar

  • Özel uç noktalar yalnızca kasaya kayıtlı öğe içermeyen yeni Kurtarma Hizmetleri kasaları için oluşturulabilir. Bu nedenle, kasaya herhangi bir öğe eklenmeden önce özel uç noktaların oluşturulması gerekir. Özel uç noktaların fiyatlandırma yapısını gözden geçirin.
  • Kasa için özel uç nokta oluşturulduğunda kasa kilitlenir ve özel uç noktaları olan ağlar dışındaki ağlardan erişilemez.
  • Microsoft Entra Id şu anda özel uç noktaları desteklememektedir. Bu nedenle, Microsoft Entra Id'nin bir bölgede çalışması için gereken IP'lere ve tam etki alanı adlarına güvenli ağdan giden erişim izni verilmelidir. Ayrıca, uygun olduğu şekilde Microsoft Entra Id'ye erişime izin vermek için "Azure Active Directory" ağ güvenlik grubu etiketini ve Azure Güvenlik Duvarı etiketlerini de kullanabilirsiniz.
  • Hem kaynak makinelerinizin hem de kurtarma makinelerinizin alt ağlarında en az yedi IP adresi gereklidir . Kasa için özel bir uç nokta oluşturduğunuzda, Site Recovery mikro hizmetlere erişmek için beş özel bağlantı oluşturur. Ayrıca, çoğaltmayı etkinleştirdiğinizde, kaynak ve hedef bölge eşleştirmesi için iki özel bağlantı daha ekler.
  • Hem kaynak hem de kurtarma alt ağlarında ek bir IP adresi gereklidir . Bu IP adresi yalnızca önbellek depolama hesaplarına bağlanan özel uç noktaları kullanmanız gerektiğinde gereklidir. Depolama için özel uç noktalar yalnızca Genel Amaçlı v2 türünde oluşturulabilir. GPv2'de veri aktarımı için fiyatlandırma yapısını gözden geçirin.

Site Recovery için özel uç noktaları oluşturma ve kullanma

Bu bölümde, sanal ağlarınızda Azure Site Recovery için özel uç noktaları oluşturma ve kullanma adımları anlatılacaktır.

Dekont

Bu adımları sağlananla aynı sırada izlemeniz kesinlikle önerilir. Bunun yapılmaması kasanın özel uç noktaları kullanamamasına ve işlemi yeni bir kasayla yeniden başlatmanıza neden olabilir.

Kurtarma Hizmetleri kasası oluşturma

Kurtarma hizmetleri kasası, makinelerin çoğaltma bilgilerini içeren ve Site Recovery işlemlerini tetikleme amacıyla kullanılan bir varlıktır. Daha fazla bilgi için bkz . Kurtarma Hizmetleri kasası oluşturma.

Kasa için yönetilen kimliği etkinleştirin.

Yönetilen kimlik, kasanın müşterinin depolama hesaplarına erişmesini sağlar. Site Recovery'nin senaryo gereksinimine bağlı olarak kaynak depolama, hedef depolama ve önbellek/günlük depolama hesaplarına erişmesi gerekir. Kasa için özel bağlantı hizmeti kullanırken yönetilen kimlik erişimi önemlidir.

  1. Kurtarma Hizmetleri kasanıza gidin. Ayarlar altında Kimlik'i seçin.

    Shows the Azure portal and the Recovery Services page.

  2. Durumu Açık olarak değiştirin ve Kaydet'i seçin.

  3. Kasanın artık Azure Active Directory'ye kaydedildiğini belirten bir Nesne Kimliği oluşturulur.

Kurtarma Hizmetleri kasası için özel uç noktalar oluşturma

Azure sanal makinelerinde hem yük devretmeyi hem de yeniden çalışmayı etkinleştirmek için kasa için iki özel uç nokta gerekir. Kaynak ağdaki makinelerin korunması için bir özel uç nokta ve kurtarma ağındaki yük devretmesi yapılan makinelerin yeniden korunması için başka bir özel uç nokta.

Bu kurulum işlemi sırasında hedef bölgenizde de bir kurtarma sanal ağı oluşturduğunuzdan emin olun.

Portaldaki Özel Bağlantı Merkezi'ni kullanarak veya Azure PowerShell aracılığıyla kaynak sanal ağınızda kasanız için ilk özel uç noktayı oluşturun. Kurtarma ağınızdaki kasa için ikinci özel uç noktayı oluşturun. Kaynak ağda özel uç nokta oluşturma adımları aşağıdadır. İkinci özel uç noktayı oluşturmak için aynı kılavuzu yineleyin.

  1. Azure portalı arama çubuğunda "Özel Bağlantı" araması yapın ve seçin. Bu eylem sizi Özel Bağlantı Merkezi'ne götürür.

    Shows searching the Azure portal for the Private Link Center.

  2. Sol gezinti çubuğunda Özel Uç Noktalar'ı seçin. Özel Uç Noktalar sayfasında +Ekle'yi seçerek kasanız için özel uç nokta oluşturmaya başlayın.

    Shows creating a private endpoint in the Private Link Center.

  3. "Özel Uç Nokta Oluştur" deneyimine girdikten sonra, özel uç nokta bağlantınızı oluşturmak için ayrıntıları belirtmeniz gerekir.

    1. Temel bilgiler: Özel uç noktalarınız için temel ayrıntıları doldurun. Bölge, kaynak makinelerle aynı olmalıdır.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Kaynak: Bu sekme, bağlantınızı oluşturmak istediğiniz hizmet olarak platform kaynağından bahsetmenizi gerektirir. Seçtiğiniz aboneliğin Kaynak türünden Microsoft.RecoveryServices/vaults'u seçin. Ardından Kaynak için Kurtarma Hizmetleri kasanızın adını seçin ve Azure Site Recovery'yiHedef alt kaynak olarak ayarlayın.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Yapılandırma: Yapılandırmada, özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı belirtin. Bu sanal ağ, sanal makinenin bulunduğu ağdır. Evet'i seçerek özel DNS bölgesiyle tümleştirmeyi etkinleştirin. Önceden oluşturulmuş bir DNS bölgesi seçin veya yeni bir dns bölgesi oluşturun. Evet'i seçtiğinizde bölge otomatik olarak kaynak sanal ağa bağlanır ve yeni IP'lerin DNS çözümlemesi için gereken DNS kayıtlarını ve özel uç nokta için oluşturulan tam etki alanı adlarını ekler.

      Aynı kasaya bağlanan her yeni özel uç nokta için yeni bir DNS bölgesi oluşturmayı seçtiğinizden emin olun. Mevcut bir özel DNS bölgesi seçerseniz, önceki CNAME kayıtlarının üzerine yazılır. Devam etmeden önce Özel uç nokta kılavuzuna bakın.

      Ortamınızda merkez-uç modeli varsa, tüm sanal ağlarınız arasında eşleme zaten etkinleştirildiğinden, kurulumun tamamı için yalnızca bir özel uç nokta ve yalnızca bir özel DNS bölgesi gerekir. Daha fazla bilgi için bkz . Özel uç nokta DNS tümleştirmesi.

      Özel DNS bölgesini el ile oluşturmak için Özel DNS bölgeleri oluşturma ve DNS kayıtlarını el ile ekleme altındaki adımları izleyin.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Etiketler: İsteğe bağlı olarak, özel uç noktanız için etiketler ekleyebilirsiniz.

    5. Gözden geçir + oluştur: Doğrulama tamamlandığında Oluştur'u seçerek özel uç noktayı oluşturun.

Özel uç nokta oluşturulduktan sonra, özel uç noktaya beş tam etki alanı adı eklenir. Bu bağlantılar, sanal ağdaki makinelerin kasa bağlamında gerekli tüm Site Recovery mikro hizmetlere erişmesini sağlar. Daha sonra çoğaltmayı etkinleştirdiğinizde, aynı özel uç noktaya iki ek tam etki alanı adı eklenir.

Beş etki alanı adı aşağıdaki desenle biçimlendirilir:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Site Recovery için özel uç noktaları onaylama

Özel uç noktayı oluşturan kullanıcı kurtarma hizmetleri kasasının da sahibiyse, yukarıda oluşturulan özel uç nokta birkaç dakika içinde otomatik olarak onaylanır. Aksi takdirde, kasayı kullanmadan önce kasanın sahibi özel uç noktayı onaylamalıdır. İstenen özel uç nokta bağlantısını onaylamak veya reddetmek için kurtarma kasası sayfasındaki "Ayarlar" altındaki Özel uç nokta bağlantıları'na gidin.

Devam etmeden önce bağlantının durumunu gözden geçirmek için özel uç nokta kaynağına gidebilirsiniz.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(İsteğe bağlı) Önbellek depolama hesabı için özel uç noktalar oluşturma

Azure Depolama için özel uç nokta kullanılabilir. Depolama erişimi için özel uç noktalar oluşturmak, Azure Site Recovery çoğaltması için isteğe bağlıdır . Depolama için özel uç nokta oluştururken aşağıdaki gereksinimler geçerlidir:

  • Kaynak sanal ağınızdaki önbellek/günlük depolama hesabı için özel bir uç nokta gerekir.
  • Kurtarma ağındaki yük devretmesi yapılan makinelerin yeniden korunması sırasında ikinci bir özel uç nokta gerekir. Bu özel uç nokta, hedef bölgede oluşturulan yeni depolama hesabına yöneliktir.

Dekont

Depolama hesabında özel uç noktalar etkinleştirilmediyse koruma yine de başarılı olur. Ancak çoğaltma trafiği Azure Site Recovery genel uç noktalarına aktarılır. Özel bağlantılar aracılığıyla çoğaltma trafiği akışlarını sağlamak için depolama hesabının özel uç noktalarla etkinleştirilmesi gerekir.

Dekont

Depolama için özel uç nokta yalnızca Genel Amaçlı v2 depolama hesaplarında oluşturulabilir. Fiyatlandırma bilgileri için bkz . Standart sayfa blob fiyatları.

Özel uç nokta ile bir depolama hesabı oluşturmak için özel depolama oluşturma yönergelerini izleyin. Özel DNS bölgesiyle tümleştirme için Evet'i seçtiğinizden emin olun. Önceden oluşturulmuş bir DNS bölgesi seçin veya yeni bir bölge oluşturun.

Kasaya gerekli izinleri verme

Sanal makineleriniz yönetilen diskler kullanıyorsa, yönetilen kimlik izinlerini yalnızca önbellek depolama hesaplarına vermeniz gerekir. Sanal makinelerin yönetilmeyen diskler kullanıyor olması durumunda, kaynak, önbellek ve hedef depolama hesapları için yönetilen kimlik izinleri vermeniz gerekir. Bu durumda, hedef depolama hesabını önceden oluşturmanız gerekir.

Sanal makinelerin çoğaltılmasını etkinleştirmeden önce, depolama hesabının türüne bağlı olarak kasanın yönetilen kimliğinin aşağıdaki rol izinlerine sahip olması gerekir:

Aşağıdaki adımlarda, depolama hesaplarınıza birer birer rol atamasının nasıl ekleneceği açıklanmaktadır. Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.

  1. Azure portalında, oluşturduğunuz önbellek depolama hesabına gidin.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. Rol ataması ekle'yi > seçin.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Rol sekmesinde, bu bölümün başında listelenen rollerden birini seçin.

  5. Üyeler sekmesinde Yönetilen kimlik'i ve ardından Üye seç'i seçin.

  6. Azure aboneliği seçin.

  7. Sistem tarafından atanan yönetilen kimlik'i seçin, kasayı arayın ve ardından seçin.

  8. Gözden geçirme + atama sekmesinde Gözden geçir + ata’yı seçerek rolü atayın.

Bu izinlere ek olarak, Microsoft güvenilen hizmetlerine erişime izin vermeniz gerekir. Bunu yapmak için aşağıdaki adımları izleyin:

  1. Güvenlik duvarları ve sanal ağlar'a gidin.

  2. Özel Durumlar bölümünde Güvenilen Microsoft hizmetleri bu depolama hesabına erişmesine izin ver'i seçin.

Sanal makinelerinizi koruma

Yukarıdaki tüm yapılandırmalar tamamlandıktan sonra sanal makineleriniz için çoğaltmayı etkinleştirmeye devam edin. Kasada özel uç noktalar oluşturulurken DNS tümleştirmesi kullanıldıysa tüm Site Recovery işlemleri ek adımlar olmadan çalışır. Ancak, DNS bölgeleri el ile oluşturulur ve yapılandırılırsa, çoğaltmayı etkinleştirdikten sonra hem kaynak hem de hedef DNS bölgelerine belirli DNS kayıtlarını eklemek için ek adımlar gerekir. Ayrıntılar ve adımlar için bkz . Özel DNS bölgeleri oluşturma ve DNS kayıtlarını el ile ekleme.

Özel DNS bölgeleri oluşturma ve DNS kayıtlarını el ile ekleme

Kasa için özel uç nokta oluştururken özel DNS bölgesiyle tümleştirme seçeneğini belirlemediyseniz bu bölümdeki adımları izleyin.

Mobility aracısının özel IP'lere özel bağlantı tam etki alanı adlarını çözümlemesine izin vermek için bir özel DNS bölgesi oluşturun.

  1. Özel DNS bölgesi oluşturma

    1. Tüm hizmetler arama çubuğunda "Özel DNS bölge" araması yapın ve açılan listeden "Özel DNS bölgeleri" seçin.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. "Özel DNS bölgeleri" sayfasına girdikten sonra + Ekle düğmesini seçerek yeni bir bölge oluşturmaya başlayın.

    3. "Özel DNS bölgesi oluştur" sayfasında gerekli ayrıntıları doldurun. Özel DNS bölgesinin adını olarak privatelink.siterecovery.windowsazure.comgirin. Oluşturmak için herhangi bir kaynak grubunu ve herhangi bir aboneliği seçebilirsiniz.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. DNS bölgesini gözden geçirmek ve oluşturmak için Gözden Geçir + oluştur sekmesine geçin.

  2. Özel DNS bölgesini sanal ağınıza bağlama

    Yukarıda oluşturulan özel DNS bölgeleri artık sunucularınızın bulunduğu sanal ağa bağlanmalıdır. Ayrıca özel DNS bölgesini önceden hedef sanal ağa bağlamanız gerekir.

    1. Önceki adımda oluşturduğunuz özel DNS bölgesine gidin ve sayfanın sol tarafındaki Sanal ağ bağlantıları'na gidin. Oraya vardığınızda +Ekle düğmesini seçin.

    2. Gerekli ayrıntıları doldurun. Abonelik ve Sanal ağ alanları, sunucularınızın bulunduğu sanal ağın ilgili ayrıntılarıyla doldurulmalıdır. Diğer alanlar olduğu gibi bırakılmalıdır.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. DNS kayıtları ekleme

    Gerekli özel DNS bölgelerini ve özel uç noktaları oluşturduktan sonra DNS bölgelerinize DNS kayıtları eklemeniz gerekir.

    Dekont

    Özel bir özel DNS bölgesi kullanıyorsanız, aşağıda açıklandığı gibi benzer girişlerin yapıldığından emin olun.

    Bu adım, özel uç noktanızdaki her tam etki alanı adı için özel DNS bölgenize girişler yapmanızı gerektirir.

    1. Özel DNS bölgenize gidin ve sayfanın sol tarafındaki Genel Bakış bölümüne gidin. Kayıt eklemeye başlamak için + Kayıt kümesi'ni seçin.

    2. Açılan "Kayıt kümesi ekle" sayfasında, her tam etki alanı adı ve özel IP için bir girdiyi A türü kaydı olarak ekleyin. Tam etki alanı adları ve IP'lerin listesi Genel Bakış'taki "Özel Uç Nokta" sayfasından alınabilir. Aşağıdaki örnekte gösterildiği gibi, özel uç noktadan ilk tam etki alanı adı özel DNS bölgesindeki kayıt kümesine eklenir.

      Bu tam etki alanı adları desenle eşleşir: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Dekont

    Çoğaltmayı etkinleştirdikten sonra, her iki bölgede de özel uç noktalarda iki tam etki alanı adı daha oluşturulur. Yeni oluşturulan bu tam etki alanı adları için DNS kayıtlarını da eklediğinizden emin olun.

Sonraki adımlar

Sanal makine çoğaltmanız için özel uç noktaları etkinleştirdiğinize göre, ek ve ilgili bilgiler için şu diğer sayfalara bakın: