閱讀英文

共用方式為

使用私人端點複寫內部部署電腦

  • 發行項

Azure Site Recovery 可讓您使用 Azure Private Link 私人端點,將內部部署電腦複寫至 Azure 中的虛擬網路。 所有 Azure Commercial 與 Government 區域都支援復原保存庫的私人端點存取。

注意

私人端點不支援自動升級。 深入了解

在本教學課程中,您會了解如何:

  • 建立 Azure 備份復原服務保存庫來保護您的電腦。
  • 啟用保存庫的受控識別。 授與存取儲存體帳戶所需的權限,以啟用從內部部署至 Azure 目標位置的流量複寫。 Private Link 存取保存庫時,需要儲存體的受控識別存取權。
  • 進行私人端點所需的 DNS 變更。
  • 建立並核准虛擬網路內保存庫的私人端點。
  • 建立儲存體帳戶的私人端點。 您可以視需要繼續允許儲存體的公用或防火牆存取。 Azure Site Recovery 不需要建立私人端點來存取儲存體。

下圖顯示具有私人端點的混合式災害復原複寫工作流程。 您無法在內部部署網路中建立私人端點。 若要使用私人連結,您需要建立 Azure 虛擬網路 (在本文中稱為略過網路),建立內部部署與略過網路之間的私人連線,然後在略過網路中建立私人端點。 您可以選擇任何形式的私人連線能力。

顯示 Azure Site Recovery 和私人端點架構的圖表。

必要條件和注意事項

開始之前,請注意下列事項:

  • Site Recovery 9.35 和更新版本支援私人連結。
  • 您只能為新的復原服務保存庫 (尚無任何項目註冊至該保存庫) 建立私人端點。 因此,在將任何項目新增至保存庫之前,您必須先建立私人端點。 如需定價資訊,請參閱 Azure Private Link 定價
  • 當您建立保存庫的私人端點時,保存庫會鎖定。 只能從具有私人端點的網路存取。
  • Microsoft Entra ID 目前不支援私人端點。 因此,您必須允許從受保護的 Azure 虛擬網路到 Microsoft Entra ID 在區域中工作所需 IP 和完整網域名稱的輸出存取。 若適用,您也可以使用網路安全性群組標籤 "Microsoft Entra ID" 和 Azure 防火牆標籤,以允許存取 Microsoft Entra ID。
  • 在您建立私人端點的略過網路中,需要五個 IP 位址。 當您建立保存庫的私人端點時,Site Recovery 會建立五個私人連結來存取其微服務。
  • 略過網路中必須有一個額外的 IP 位址,才能將私人端點連線至快取儲存體帳戶。 您可以在內部部署與儲存體帳戶端點之間使用任何連線方法。 例如,您可以使用網際網路或 Azure ExpressRoute。 建立私人連結是選擇性的。 您可以只在一般用途 v2 帳戶上建立儲存體的私人端點。 如需一般用途 v2 帳戶的資料傳輸定價詳細資訊,請參閱 Azure 分頁 Blob 定價

注意

設定私人端點以保護 VMware 和實體機器時,您必須在設定伺服器上手動安裝 MySQL。 請依照此處的步驟執行手動安裝。

要允許的 URL

針對 VMware VM 使用具有現代化體驗的私人連結時,少數資源需要公用存取。 以下是要包含在允許清單中的所有 URL。 如果使用 Proxy 型設定,請確定 Proxy 會解析在查詢 URL 時所收到的任何 CNAME 記錄。

URL 詳細資料
portal.azure.com 瀏覽至 Azure 入口網站。
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com 		登入您的 Azure 訂用帳戶。
*.microsoftonline.com
*.microsoftonline-p.com 		建立 Microsoft Entra 應用程式,以便設備與 Azure Site Recovery 通訊。
management.azure.com 用於 Azure Resource Manager 部署和作業。
*.siterecovery.windowsazure.com 用於連線至 Site Recovery 服務。

啟用政府雲端的複寫時,請確定 Azure Site Recovery 複寫設備允許且能連線到下列 URL,以進行持續連線:

Fairfax 的 URL Mooncake 的 URL 詳細資料
login.microsoftonline.us/*
graph.windows.net 		login.microsoftonline.cn
graph.chinacloudapi.cn		 登入您的 Azure 訂用帳戶。
*.portal.azure.us *.portal.azure.cn 瀏覽至 Azure 入口網站。
management.usgovcloudapi.net management.chinacloudapi.cn 建立 Microsoft Entra 應用程式,以便設備與 Azure Site Recovery 服務通訊。

針對站台復原建立和使用私人端點

下列各節說明在虛擬網路中建立及使用私人端點進行站台復原時所需採取的步驟。

注意

建議您依照顯示的順序執行這些步驟。 如果不這麼做,您可能無法使用保存庫中的私人端點,而且您可能需要使用新的保存庫來重新啟動該程序。

建立復原服務保存庫

復原服務保存庫包含電腦的複寫資訊。 這是用來觸發 Site Recovery 作業。 如需如何在 Azure 區域 (您想要在發生災害時容錯移轉) 中建立復原服務保存庫的詳細資訊,請參閱建立復原服務保存庫

為保存庫啟用受控識別

受控識別允許保存庫存取您的儲存體帳戶。 視您的需求而定,Site Recovery 可能需要存取目標儲存體和快取/記錄儲存體帳戶。 當您使用保存庫的 Private Link 服務時,需要受控識別存取權。

  1. 移至您的復原服務保存庫。 選取 [設定] 底下的 [身分識別]

    顯示身分識別設定頁面的螢幕擷取畫面。

  2. 將 [狀態] 變更為 [開啟],然後選取 [儲存]

    系統會產生物件識別碼。 保存庫現在已向 Microsoft Entra ID 註冊。

建立復原服務保存庫的私人端點

若要保護內部部署來源網路中的電腦,您在略過網路中需要有一個保存庫的私人端點。 您可以使用 Azure 入口網站中的 Private Link 中心或使用 Azure PowerShell 來建立私人端點。

若要建立私人端點,請遵循下列步驟:

  1. Azure 入口網站中,選取 [建立資源]

  2. 在 Azure Marketplace 中搜尋 [Private Link]

  3. 從搜尋結果中選取 [Private Link],然後在 [備份和 Site Recovery] 頁面中選取 [建立]

    顯示搜尋 Azure 入口網站中的 Private Link 中心的螢幕擷取畫面。

  4. 在左窗格中,選取 [私人端點]。 在 [私人端點] 頁面上,選取 [建立] 以開始建立保存庫的私人端點:

    顯示如何在 Private Link 中心建立私人端點的螢幕擷取畫面。

  5. 在 [建立私人端點] 頁面的 [基本]>[專案詳細資料] 區段下,執行下列動作:

    1. 在 [訂用帳戶] 下,選取 [Contoso 環境]
    2. 在 [資源群組] 中選取現有的資源群組,或建立新的資源群組。 例如 [ContosoCloudR]

  6. 在 [建立私人端點] 頁面的 [基本]>[執行個體詳細資料] 區段下,執行下列動作:

    1. 在 [ 名稱] 中,輸入保存庫的易記識別名稱。 例如 [ContosoPrivateEP]
    2. [網路介面名稱] 會根據您在上一個步驟中選取的名稱自動填入。
    3. 在 [區域] 中使用您用於略過網路的區域。 例如,[(歐洲) 英國南部]
    4. 選取 [下一步]。

    顯示用於建立私人端點的 [基本] 索引標籤的螢幕擷取畫面。

  7. 在 [資源] 區段上,執行下列動作:

    1. 在 [連線方法] 中,選取 [連線到我目錄中的 Azure 資源]
    2. 在 [訂用帳戶] 中,選取 [Contoso 環境]
    3. 在所選取訂用帳戶的 [資源類型] 中,選取 [Microsoft.RecoveryServices/vaults]
    4. 在 [資源] 底下選擇您的復原服務保存庫名稱。
    5. 選取 [AzureSiteRecovery] 作為 [目標子資源]
    6. 選取 [下一步]。

    顯示用於連結至私人端點的 [資源] 索引標籤的螢幕擷取畫面。

  8. 在 [虛擬網路] 區段上,執行下列動作:

    1. 在 [虛擬網路] 區段下,選取略過網路。
    2. 在 [子網路] 下,指定您要在其中建立私人端點的子網路。
    3. 在 [私人 IP 設定] 下,保留預設選取項目。
    4. 選取 [下一步]。

    顯示用於連結至私人端點的 [虛擬網路] 索引標籤的螢幕擷取畫面。

  9. 在 [DNS] 區段上,執行下列動作:

    1. 選取 [是],以啟用與私人 DNS 區域的整合。

      注意

      選取 [是] 會自動將區域連結至略過網路。 此動作也會新增 DNS 記錄,這是針對私人端點所建立新 IP 和完整網域名稱的 DNS 解析所需項目。

    2. 選擇現有的 DNS 區域或建立新的區域。

    請確定您選擇為連線到相同保存庫的每個私人端點建立新的 DNS 區域。 如果您選擇現有的私人 DNS 區域,則會覆寫先前的 CNAME 記錄。 請參閱私人端點指引,再繼續進行操作。

    如果您的環境具有中樞和輪輻模型,則整個設定只需要一個私人端點和一個私人 DNS 區域。 這是因為您的所有虛擬網路都已在兩者之間啟用對等互連。 如需詳細資訊,請參閱私人端點 DNS 整合

    若要手動建立私人 DNS 區域,請遵循手動建立私人 DNS 區域並新增 DNS 記錄中的步驟。

    顯示私人端點設定的 [設定] 索引標籤的螢幕擷取畫面。

  10. 在 [標籤] 區段中,您可以新增私人端點的標籤。

  11. 檢閱 + 建立。 驗證完成時,請選取 [建立] 以建立私人端點。

私人端點建立之後,五個完整網域名稱 (FQDN) 會新增至私人端點。 這些連結可讓內部部署網路中的電腦,透過略過網路來存取保存庫的內容中所有必要 Site Recovery 微服務。 您可以使用相同的私人端點來保護略過網路和所有對等互連網路中的任何 Azure 電腦。

這五個網域名稱會以下列模式格式化:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

針對站台復原核准私人端點

如果您建立私人端點,而且您也是復原服務保存庫的擁有者,您先前建立的私人端點會在幾分鐘內自動核准。 否則,保存庫的擁有者必須先核准私人端點,您才能使用。 若要核准或拒絕要求的私人端點連線,請移至復原保存庫頁面上 [設定] 底下的 [私人端點連線]

您可以先移至私人端點資源來檢查連線狀態,再繼續進行:

顯示保存庫的 [私人端點連線] 頁面和連線清單的螢幕擷取畫面。

(選擇性) 建立快取儲存體帳戶的私人端點

您可以對 Azure 儲存體使用私人端點。 針對 Azure Site Recovery 複寫,建立私人端點以進行儲存體存取是選擇性的。 如果您為儲存體建立私人端點,您在略過虛擬網路中的快取/記錄儲存體帳戶需要私人端點。

注意

如果未在儲存體帳戶上啟用私人端點,保護仍然會成功。 不過,複寫流量會透過網際網路傳輸至 Azure Site Recovery 公用端點。 為了確保複寫流量透過私人連結,必須啟用儲存體帳戶的私人端點。

注意

儲存體的私人端點只能在一般用途 v2 儲存體帳戶上建立。 如需定價資訊,請參閱 Azure 分頁 Blob 定價

遵循建立私人儲存體的指引,建立具有私人端點的儲存體帳戶。 請務必在 [與私人 DNS 區域整合] 下方選取 [是]。 選取現有的 DNS 區域或建立新的區域。

將必要的權限授與保存庫

視您的設定而定,您可能需要在目標 Azure 區域中有一或多個儲存體帳戶。 接下來,針對 Site Recovery 所需的所有快取/記錄儲存體帳戶,授與受控識別權限。 在此情況下,您必須事先建立必要的儲存體帳戶。

在您啟用虛擬機器的複寫之前,保存庫的受控識別必須具有下列角色權限,視儲存體帳戶的類型而定。

下列步驟說明如何將角色指派新增至儲存體帳戶。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

  1. 移至儲存體帳戶。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增] > [新增角色指派]。

    顯示存取控制 (IAM) 頁面的螢幕擷取畫面,其中已開啟 [新增角色指派] 功能表。

  4. 在 [角色] 索引標籤上,選取本節開頭列出的其中一個角色。

  5. 在 [成員] 索引標籤上,選取 [受控識別],然後選取 [選取成員]

  6. 選取 Azure 訂閱。

  7. 選取 [系統指派的受控識別]、搜尋保存庫,然後加以選取。

  8. 在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。

除了這些權限,您必須允許存取 Microsoft 信任的服務。 若要如此做,請執行下列步驟:

  1. 移至 [防火牆與虛擬網路]
  2. 在 [例外狀況] 中,選取 [允許信任的 Microsoft 服務存取此儲存體帳戶]

保護虛擬機器

完成上述工作之後,請繼續設定您的內部部署基礎結構。 繼續完成下列其中一項工作:

完成設定之後,請為您的來源電腦啟用複寫。 在略過網路中建立保存庫的私人端點之前,請勿設定基礎結構。

手動建立私人 DNS 區域並新增 DNS 記錄

如果您在建立保存庫的私人端點時,未選取 [與私人 DNS 區域整合] 選項,請依照本節中的步驟執行。

建立一個私人 DNS 區域,以允許 Site Recovery 提供者 (適用於 Hyper-V 電腦) 或處理序伺服器 (適用於 VMware/實體機器) 將私人 FQDN 解析為私人 IP。

  1. 建立私人 DNS 區域。

    1. 在 [所有服務] 搜尋方塊中搜尋 [私人 DNS 區域],然後在結果中選取 [私人 DNS 區域]

      顯示在 Azure 入口網站中新資源頁面上搜尋私人 DNS 區域的螢幕擷取畫面。

    2. 在 [私人 DNS 區域] 頁面上,選取 [新增] 按鈕以開始建立新的區域。

    3. 在 [建立私人 DNS 區域] 頁面上,輸入必要的詳細資料。 輸入 privatelink.siterecovery.windowsazure.com 作為私人 DNS 區域的名稱。 您可以選擇任何資源群組和任何訂用帳戶。

      顯示 [建立私人 DNS 區域] 頁面 [基本] 索引標籤的螢幕擷取畫面。

    4. 繼續前往 [檢閱 + 建立] 索引標籤,以檢閱和建立 DNS 區域。

    5. 如果您使用現代化結構來保護 VMware 或實體機器,請確保為 privatelink.prod.migration.windowsazure.com 建立另一個私人 DNS 區域。 Site Recovery 會使用此端點來執行內部部署環境的探索。

      重要

      針對 Azure GOV 使用者,請在 DNS 區域中新增 privatelink.prod.migration.windowsazure.us

  2. 若要將私人 DNS 區域連結至您的虛擬網路,請遵循下列步驟:

    1. 移至您在上一個步驟中建立的私人 DNS 區域,然後移至左窗格中的 [虛擬網路連結]。 選取 [新增]。

    2. 輸入必要的詳細資料。 在 [訂用帳戶] 和 [虛擬網路] 清單中,選取對應至略過網路的詳細資料。 在其他欄位中保留預設值。

      顯示 [新增虛擬網路連結] 頁面的螢幕擷取畫面。

  3. 新增 DNS 記錄。

    既然您已經建立必要的私人 DNS 區域和私人端點,您必須將 DNS 記錄新增至 DNS 區域。

    注意

    如果您是使用自訂私人 DNS 區域,請務必建立類似的項目,如下列步驟所述。

    在此步驟中,您必須將私人端點中每個 FQDN 的項目,放入私人 DNS 區域中。

    1. 移至您的私人 DNS 區域,然後移至左窗格中的 [概觀] 區段。 選取 [記錄集] 以開始新增記錄。

    2. 在 [新增記錄集] 頁面上,新增每個完整網域名稱和私人 IP 的項目作為 A 類型記錄。 您可以在 [概觀] 的 [私人端點] 頁面上,取得完整網域名稱和 IP 的清單。 如您在下列螢幕擷取畫面中所見,私人端點的第一個完整網域名稱會新增至私人 DNS 區域中的記錄集。

      這些完整網域名稱符合此模式:{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      顯示 [新增記錄集] 頁面的螢幕擷取畫面。

下一步

既然您已經為虛擬機器複寫啟用私人端點,請參閱下列其他文章,以取得其他相關資訊: