使用私人端點複製電腦

  • 發行項

Azure Site Recovery 可讓您使用 Azure Private Link 私人端點,從隔離的虛擬網路內複寫您的機器。 所有 Azure Commercial 與 Government 區域都支援復原保存庫的私人端點存取。

本文提供您執行下列步驟的指示:

  • 建立 Azure 備份復原服務保存庫來保護您的電腦。
  • 啟用保存庫的受控識別,並授與存取客戶儲存體帳戶所需的許可權,以將流量從來源複寫到目標位置。 當您設定 Private Link 對保存庫的存取權時,需要儲存體的受控識別存取權。
  • 進行私人端點所需的 DNS 變更
  • 建立並核准虛擬網路內保存庫的私人端點
  • 建立儲存體帳戶的私人端點。 您可以視需要繼續允許儲存體的公用或防火牆存取。 Azure Site Recovery 不一定要建立私人端點來存取儲存體。

以下是複寫工作流程如何與私人端點進行變更的參考架構。

Reference architecture for Site Recovery with private endpoints.

必要條件和注意事項

  • 您只能為新的復原服務保存庫 (尚無任何項目註冊至該保存庫) 建立私人端點。 因此,在 將任何專案新增至保存庫之前,必須先建立私人端點。 檢查 私人端點的定價結構。
  • 為保存庫建立私人端點時,保存庫會被鎖定,而且 無法從具有私人端點的網路以外的網路存取
  • Microsoft Entra ID 目前不支援私人端點。 因此,Microsoft Entra ID 在區域中運作所需的 IP 和完整網域名稱,必須允許來自受保護網路的輸出存取。 您也可以使用網路安全性群組標籤 "Azure Active Directory" 和 Azure 防火牆標籤,以允許存取 Microsoft Entra ID。
  • 來源電腦和復原電腦的子網中至少需要七個 IP 位址。 當您建立保存庫的私人端點時,Site Recovery 會建立五個私人連結來存取其微服務。 此外,當您啟用複寫時,它會針對來源和目的地區域配對新增兩個額外的私人連結。
  • 來源和復原子網中都需要一個額外的 IP 位址。 只有當您需要使用連接至快取儲存體帳戶的私人端點時,才需要此 IP 位址。 儲存體的私人端點只能在一般用途 v2 儲存體帳戶上建立。 請參閱 GPv2 上資料傳輸的定價結構。

建立和使用 Site Recovery 的私人端點

本節將討論在您的虛擬網路內建立和使用私人端點以進行 Azure Site Recovery 所需的步驟。

注意

強烈建議您依照所提供的相同順序來遵循這些步驟。 若未這麼做,可能會導致系統轉譯保存庫,而無法使用私人端點,且需要您以新的保存庫重新開機處理常式。

建立復原服務保存庫

復原服務保存庫是一個實體,其中包含機器的複寫資訊,可用來觸發 Site Recovery 操作。 如需詳細資訊,請參閱 建立復原服務保存庫

為保存庫啟用受控識別

受控識別可讓保存庫取得客戶的儲存體帳戶存取權。 視案例需求而定,Site Recovery 需要存取來源儲存體、目標儲存體和快取/記錄儲存體帳戶。 當您使用私人連結服務作為保存庫時,受控識別存取是不可或缺的。

  1. 移至您的復原服務保存庫。 選取 [設定] 底下的 [身分識別]

    Shows the Azure portal and the Recovery Services page.

  2. 將 [狀態] 變更為 [開啟],然後選取 [儲存]

  3. 系統會產生物件識別碼,表示保存庫現在已向 Azure Active Directory 註冊。

建立復原服務保存庫的私人端點

若要啟用 Azure 虛擬機器的容錯移轉和容錯回復,您將需要兩個保存庫的私人端點。 一個私人端點,可保護來源網路中的機器,而另一個私人端點用於復原網路中的容錯移轉機器重新保護。

確定您在此設定過程中也會在目的地區域中建立復原虛擬網路。

使用入口網站中的 Private Link 中心或透過 Azure PowerShell,在來源虛擬網路內建立保存庫的第一個私人端點。 在您的復原網路內建立保存庫的第二個私人端點。 以下是在來源網路中建立私人端點的步驟。 重複相同的指引,以建立第二個私人端點。

  1. 在 Azure 入口網站搜尋列中,搜尋並選取 [Private Link]。 此動作會帶您前往 Private Link Center。

    Shows searching the Azure portal for the Private Link Center.

  2. 在左側導覽列上,選取 [ 私人端點]。 在 [私人端點] 頁面上,選取 [+ 新增] 以開始建立保存庫的私人端點。

    Shows creating a private endpoint in the Private Link Center.

  3. 一旦進入「建立私人端點」體驗,您就必須指定建立私人端點連線的詳細資料。

    1. 基本:填寫私人端點的基本詳細資料。 此區域應該與來源電腦相同。

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. 資源:此索引標籤會要求您提及您要建立連線的平台即服務資源。 從所選訂用帳戶的資源類型,選取 Microsoft.RecoveryServices/vaults。 然後,選擇 資源 的復原服務保存庫名稱,並將 Azure Site Recovery 設定為 目標子資源

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. 設定:在設定中指定要建立私人端點的虛擬網路和子網路。 此虛擬網路是存在虛擬機器的網路。 選取 [是],以啟用與私人 DNS 區域的整合。 選擇已經建立的 DNS 區域,或建立一個新的。 選取 [是] 會自動將區域連結至來源虛擬網路,並新增 DNS 解析所需的 DNS 記錄,以供針對私人端點建立的新 IP 和完整功能變數名稱。

      請確定您選擇為連線到相同保存庫的每個私人端點建立新的 DNS 區域。 如果您選擇現有的私人 DNS 區域,則會覆寫先前的 CNAME 記錄。 請參閱私人端點指引,再繼續進行操作。

      如果您的環境具有中樞和輪輻模型,則整個安裝只需要一個私人端點和一個私人 DNS 區域,因為所有虛擬網路都已在兩者之間啟用對等互連。 如需詳細資訊,請參閱私人端點 DNS 整合

      若要手動建立私人 DNS 區域,請遵循手動建立私人 DNS 區域並新增 DNS 記錄中的步驟。

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. 標記:您可以選擇性地新增私人端點的標記。

    5. 檢查 + 建立:當驗證完成時,請選取 [建立] 以建立私人端點。

私人端點建立之後,五個完整網域名稱會新增至私人端點。 這些連結可讓虛擬網路中的機器取得保存庫內容中所有必要 Site Recovery 微服務的存取權。 稍後,當您啟用複寫時,會將兩個額外的完整功能變數名稱新增至相同的私人端點。

五個功能變數名稱會以下列模式格式化:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

針對站台復原核准私人端點

如果建立私人端點的使用者也是復原服務保存庫的擁有者,就會在幾分鐘內自動核准上面建立的私人端點。 否則,保存庫的擁有者必須先核准私人端點,您才能使用。 若要核准或拒絕要求的私人端點連線,請移至復原保存庫頁面上 [設定] 底下的 [私人端點連線]

您可以先移至私人端點資源來檢查線上狀態,再繼續進行。

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(選擇性) 建立快取儲存體帳戶的私人端點

您可以使用 Azure 儲存體的私人端點。 針對 Azure Site Recovery 複寫,建立私人端點以進行儲存體存取是選擇性的。 建立儲存體的私人端點時,適用下列需求:

  • 您必須要有來源虛擬網路中快取/記錄儲存體帳戶的私人端點。
  • 在復原網路中容錯移轉的機器重新保護時,您需要第二個私人端點。 此私人端點適用於在目的地區域中建立的新儲存體帳戶。

注意

如果未在儲存體帳戶上啟用私人端點,保護仍然會成功。 不過,複寫流量會傳輸至 Azure Site Recovery 公用端點。 為了確保複寫流量透過私人連結,必須啟用儲存體帳戶的私人端點。

注意

儲存體的私人端點只能在 一般用途 v2 儲存體帳戶上建立。 如需定價資訊,請參閱標準分頁 Blob 價格

遵循建立私人儲存體的指引,建立具有私人端點的儲存體帳戶。 請務必選取 [是] ,以與私人 DNS 區域整合。 選擇已經建立的 DNS 區域,或建立一個新的。

將必要的權限授與保存庫

如果您的虛擬機器使用受控磁片,您只需要將受控識別許可權授與快取儲存體帳戶。 如果虛擬機器使用非受控磁碟,您必須將來源、快取和目標儲存體帳戶的受控識別權限授與受控識別。 在此情況下,您需要事先建立目標儲存體帳戶。

在您啟用虛擬機器的複寫之前,保存庫的受控識別必須具有下列角色權限,視儲存體帳戶的類型而定。

下列步驟說明如何將角色指派新增至儲存體帳戶,一次一個。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

  1. 在 Azure 入口網站中,瀏覽至您建立的快取儲存體帳戶。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增] > [新增角色指派]。

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. 在 [角色] 索引標籤上,選取本節開頭列出的其中一個角色。

  5. 在 [成員] 索引標籤上,選取 [受控識別],然後選取 [選取成員]

  6. 選取 Azure 訂閱。

  7. 選取 [系統指派的受控識別]、搜尋保存庫,然後加以選取。

  8. 在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。

除了這些權限,您必須允許存取 Microsoft 信任的服務。 若要如此做,請執行下列步驟:

  1. 移至 [防火牆與虛擬網路]

  2. 在 [例外狀況] 中,選取 [允許信任的 Microsoft 服務存取此儲存體帳戶]

保護虛擬機器

完成上述所有設定之後,請繼續為您的虛擬機器啟用複寫。 如果在保存庫上建立私人端點時使用了 DNS 整合,則所有的 Site Recovery 作業都能運作,而不需要任何額外的步驟。 但是,如果是手動建立和設定 DNS 區域,則在啟用複寫之後,您需要額外的步驟,以在來源和目標 DNS 區域中新增特定的 DNS 記錄。 如需詳細資訊和步驟,請參閱 建立私人 dns 區域和手動新增 DNS 記錄

手動建立私人 DNS 區域並新增 DNS 記錄

如果您在建立保存庫的私人端點時未選取 [與私人 DNS 區域整合] 選項,請依照本節中的步驟執行。

建立一個私人 DNS 區域,讓行動代理程式能夠將私人連結的完整功能變數名稱解析為私人 Ip。

  1. 建立私人 DNS 區域

    1. 所有服務搜尋列中搜尋「私人 DNS 區域」,然後從下拉式清單中選取 [私人 DNS 區域]。

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. 在 [私人 DNS 區域] 頁面上,選取 [+ 新增] 按鈕以開始建立新的區域。

    3. 在 [建立私人 DNS 區域] 頁面上,填寫必要的詳細資料。 輸入私人 DNS 區域的名稱,如 privatelink.siterecovery.windowsazure.com 所示。 您可以選擇任何資源群組和任何訂用帳戶來建立它。

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. 繼續前往 [檢閱 + 建立] 索引標籤,以檢閱和建立 DNS 區域。

  2. 將私人 DNS 區域連結至您的虛擬網路

    上述建立的私人 DNS 區域現在必須連結到您的伺服器目前所在的虛擬網路。 您也需要事先將私人 DNS 區域連結至目標虛擬網路。

    1. 移至您在上一個步驟中建立的私人 DNS 區域,然後瀏覽至頁面左側的虛擬網路連結。 一旦出現,請選取 [+ 新增] 按鈕。

    2. 填寫必要的詳細資料。 [ 用帳戶] 和 [ 虛擬網路 ] 欄位必須填入伺服器所在之虛擬網路的對應詳細資料。 其他欄位必須保持原樣。

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. 新增 DNS 記錄

    一旦您已經建立必要的私人 DNS 區域和私人端點,您必須將 DNS 記錄新增至 DNS 區域。

    注意

    如果您使用自訂的私人 DNS 區域,請確定您已建立類似的專案,如下所述。

    此步驟會要求您將私人端點中的每個完整功能變數名稱輸入至私人 DNS 區域。

    1. 移至您的私人 DNS 區域,然後流覽至頁面左側的 [ 總覽 ] 區段。 然後選取 [+ 記錄集] 以開始新增記錄。

    2. 在開啟的 [新增記錄集] 頁面中,將每個完整功能變數名稱和私人 IP 的專案新增為類型記錄。 完整功能變數名稱和 Ip 的清單可從概觀中的「私人端點」頁面取得。 如下列範例所示,私人端點的第一個完整功能變數名稱會新增至私人 DNS 區域中的記錄集。

      這些完整網域名稱符合此模式:{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    注意

    啟用複寫之後,會在兩個區域的私人端點上建立兩個完整的完整功能變數名稱。 確定您也為這些新建立的完整功能變數名稱新增 DNS 記錄。

下一步

既然您已經為虛擬機器複寫啟用私人端點,請參閱下列其他頁面,以取得其他相關資訊: