使用 Azure Site Recovery 做好災害復原的準備
在上一個單元中,我們探索了 Azure Site Recovery 的功能。 我們的下一個步驟是在 Azure 環境中準備進行災害復原。
使用組織的商務持續性和災害復原 (BCDR) 方案,我們可逐步執行 Site Recovery 設定,並動態制訂符合組織 BCDR 目標的準備方案。 假設我們在現有解決方案中使用美國西部 Azure 區域,並決定使用美國東部區域進行複寫。
在這裡,我們將探索如何利用 Site Recovery 中的自動化功能來準備災害復原案例。
環境設定
我們需要為後續單元中的練習設定環境。 因為此設定需要數分鐘才能完成,所以,我們將立即開始此程序,接著可以當設定在背景中完成的同時逐步探討部分理論。
注意
如果您想要完成下列設定,但您沒有 Azure 訂用帳戶,或不想使用您的帳戶,則必須在開始之前建立 免費帳戶 。
假設我們在組織中設定兩個 VM。 我們將在美國西部區域設定下列服務,以模擬設定的 VM。
- 虛擬網路
- 兩部 VM
- 儲存體帳戶
我們也會在美國東部設定資源群組。 稍後會將 Site Recovery 設定為使用美國東部區域作為目標環境。
第一步是建立練習環境。 我們將執行指令碼,在 Azure 中建立公司的基礎結構。 指令碼完成之後,我們就有一個虛擬網路、兩部 VM,以及一個用於復原服務保存庫的儲存體帳戶。
使用您的認證登入 Azure 入口網站,然後啟動 Cloud Shell 工作階段。
在 Cloud Shell 工具列中,確定您執行 Bash 工作階段。
使用下列命令來複製 Azure Resource Manager JSON 範本,以建立公司的基礎結構:
curl https://raw.githubusercontent.com/MicrosoftDocs/mslearn-protect-infrastructure-with-azure-site-recovery/master/deploy.json > deploy.json執行下列命令來建立資源群組和公司的基礎結構:
az group create --name east-coast-rg --location eastus2 az group create --name west-coast-rg --location westus2 az deployment group create \ --name asrDeployment \ --template-file deploy.json \ --parameters storageAccounts_asrcache_name=asrcache$RANDOM \ --resource-group west-coast-rg
設定環境最多可能需要五分鐘才能完成。 部署完成後,我們可以繼續進行此單元的其餘部分。
使用 Azure Site Recovery 準備進行災害復原
Site Recovery 會管理及協調 Azure VM 或內部部署機器的 DR 程式。 不過,若要啟用它,我們需要設定數個元件。 我們將需要:
- 新增復原服務保存庫
- 安排目標資源
- 設定輸出網路連線能力
- 在現有的 VM 上設定複寫
什麼是復原服務保存庫?
復原服務保存庫可讓 Site Recovery 完成災害復原複寫。 這些保存庫使用儲存體帳戶來儲存資料備份、VM 組態設定及工作負載。 為了符合 Site Recovery 需求,我們將使用入口網站或 Azure CLI 布建復原服務保存庫。
什麼是目標資源?
目標資源都是在現有資源複寫之後建立的所有 Azure 服務。 在此情節中,美國東部區域 (來源環境) 是建立所有目標資源的地方。 選取目標資源區域時,有幾個考量要注意:
- Site Recovery 複寫的目標資源必須位於不同 Azure 區域。
- 儲存已備份資料的儲存體帳戶,也必須位於與受保護資源不同的區域。
- 目的地區域會建立 VM,且有足夠的資源來符合現有 VM 的大小。
設定輸出網路連線和 URL
Site Recovery 在您要複寫的 VM 上需要輸出連線。
使用 Azure 中建立的 VM 時會自動為您設定必要的網路連線。 不過,當您將內部部署 VM 遷移至 Azure 時,您可能需要更新網路連線能力。
Site Recovery 不支援透過驗證 Proxy 來控制網路連線。 如果組織使用 URL 型防火牆 Proxy 來限制輸出連線,則您必須新增對幾個 URL 的存取。
| URL | 描述 |
|---|---|
| login.microsoftonline.com | 適用於要驗證的 Azure Site Recovery URL |
| *.blob.core.windows.net | 將 VM 資料寫入至來源儲存體帳戶快取 |
| *.hypervrecoverymanager.windowsazure.com | 讓 Site Recovery 與 VM 通訊 |
| *.servicebus.windows.net | 針對來自 VM 的 Site Recovery 監視和診斷資料 |
如果您偏好使用 IP 位址來控制連線能力,則必須為下列各項新增 IP 位址範圍:
- Azure 資料中心
- Site Recovery 端點
更新 Azure VM 根憑證
您要複寫的每部 Azure VM 都必須向 Site Recovery 註冊。 若要讓 VM 註冊,Site Recovery 需要 VM 上安裝的最新根憑證。 在 Windows VM 上,請務必安裝所有最新的 Windows 更新。 在 Linux VM 上更新根憑證的流程隨著不同發行版本而異。 您必須遵循散發者發佈的指引。
設定帳戶權限
Site Recovery 預設使用 Azure 中的角色型存取控制 (RBAC)。 RBAC 啟用細部存取控制,可讓您使用幾個內建的 Site Recovery 角色:
| 角色 | 描述 |
|---|---|
| Site Recovery 參與者 | 對於復原服務保存庫中的 Site Recovery 作業,參與者具有完整權限,適用於災害復原管理員。 |
| Site Recovery 操作員 | 操作員有權限執行及管理 Site Recovery 容錯移轉和容錯回復作業,適用於災害復原操作員。 |
| Site Recovery 讀者 | 讀者具有檢視 Site Recovery 作業的權限,適用於 IT 監視主管。 |
若要在 VM 上啟用複寫,使用者必須有權在虛擬網路和資源群組中建立 VM。
什麼是 Azure 行動服務?
Azure 行動服務必須安裝在將會複寫的每部 VM。 此用戶端適用於 Windows 與 Linux VM,由 Site Recovery 自動安裝及設定。 如果自動安裝失敗,您可以手動安裝服務。
行動服務與 Site Recovery 合作,保持最新的 VM 資料快取。 快取會複寫到目標環境的儲存體帳戶。 如果 Site Recovery 容錯移轉環境,則會使用複寫的資料。