Delen via

Beveiliging instellen tussen een on-premises datacenter en Azure

  • Artikel

 

Van toepassing op: Windows Azure Pack

Stel de beveiliging als volgt in:

  1. Vereisten voor on-premises naar Azure-beveiliging: controleer of alles aanwezig is.

  2. Een kluis maken: maak een kluis in de Azure Site Recovery-portal.

  3. De Azure Site Recovery-provider installeren en configureren: download de provider vanuit de Azure Site Recovery-portal. U installeert en configureert de provider op de VMM-server in het datacenter. De provider verbindt de server met de Azure Site Recovery-portal.

  4. Voeg een Azure-opslagaccount toe. Als u nog geen Azure-opslagaccount hebt, kunt u er een instellen vanuit de Azure Site Recovery-portal.

  5. Installeer de Azure Recovery Services-agent: download de agent. U installeert en configureert deze op elke Hyper-V-hostserver die u wilt beveiligen.

  6. Cloudinstellingen configureren: beveiligingsinstellingen configureren voor VMM-clouds.

  7. De runbooks instellen: configureer en plan één hoofdrunbook om Azure Site Recovery-beveiliging in te stellen. Dit hoofdrunbook roept op zijn beurt een aantal andere runbooks aan.

  8. Plannen configureren: on-premises site waarmee u Azure Site Recovery-beveiliging inschakelt voor een openbaar plan of een invoegtoepassing.

  9. Tenantstappen: als u tenants voor beveiliging van virtuele machines wilt instellen, gebruikt u de selfservice-Azure Pack-portal om:

    • Abonneren op het plan of de invoegtoepassing: tenants abonneren zich op een plan of invoegtoepassing op de on-premises site waarop beveiliging van virtuele machines is ingeschakeld.

    • Een virtuele machine maken: tenants maken een virtuele machine of virtuele-machinerol op de on-premises site, onder het abonnement.

    • VM-netwerken maken: tenants kunnen virtuele netwerken maken op een on-premises site om op te geven hoe replica-VM's na een failover met netwerken worden verbonden. Wanneer een tenant een virtueel netwerk maakt, wordt een VM-netwerk met dezelfde instellingen geconfigureerd op de VMM-server.

  10. Netwerktoewijzing instellen : als de tenant virtuele netwerken heeft gemaakt, kunt u netwerktoewijzing instellen tussen VM-netwerken in de primaire en doelnetwerken van Azure. Netwerktoewijzing:

    • Zorgt ervoor dat virtuele machines zijn verbonden met de juiste VM-netwerken na een failover. Virtuele replicamachines maken verbinding met een Azure-netwerk dat is toegewezen aan het primaire netwerk. 

    • Als u geen netwerktoewijzing configureert, worden gerepliceerde virtuele machines na een failover niet verbonden met VM-netwerken.

    Meer informatie over netwerktoewijzing.

  11. Virtuele machines detecteren en repliceren : de runbooks detecteren automatisch plannen of invoegtoepassingsabonnementen waarvoor beveiliging is ingeschakeld. Met het runbook wordt automatisch beveiliging ingeschakeld voor virtuele machines in de abonnementen en wordt de initiële replicatie gestart.

  12. Voer een failover uit : nadat de initiële replicatie is voltooid, kunt u een test, geplande of niet-geplande failover uitvoeren wanneer dat nodig is.

Een kluis maken

  1. Meld u aan bij de Azure Management Portal. Vouw Data Services>Recovery Services>Site Recovery Vault uit. Klik op Nieuwe>snelle maken maken.

  2. Typ een naam voor de kluis en selecteer de geografische regio. Zie Geografische beschikbaarheid (https://go.microsoft.com/fwlink/?LinkID=389880) voor meer informatie.

  3. Klik op Kluis maken. Controleer de statusbalk om te bevestigen dat deze is gemaakt. Deze wordt weergegeven als Actief op de hoofdpagina van Recovery Services.

De Azure Site Recovery-provider installeren en configureren

  1. Open in de Azure Site Recovery-portal het pagina > Snelle Startmenu registratiesleutelbestand genereren.

  2. Het sleutelbestand wordt automatisch gegenereerd. Download het naar een veilige en toegankelijke locatie. Bijvoorbeeld voor een share die toegankelijk is voor de VMM-servers. Na het downloaden moet u het bestand naar de VMM-server op elke site kopiëren. U hebt deze sleutel nodig wanneer u de providerinstellingen op de VMM-server configureert. Opmerking:

    • Nadat u de sleutel hebt gegenereerd, is deze vijf dagen geldig.

    • U kunt deze sleutel op elk gewenst moment opnieuw genereren. Door oudere versies van het bestand opnieuw te genereren, moet u de provider opnieuw configureren op elke VMM-server met de nieuwe sleutel.

  3. Klik op de pagina Snel Startmenu op Microsoft Azure Site Recovery Provider downloaden om de nieuwste versie van het providerinstallatiebestand te downloaden.

  4. Voer het bestand uit op de VMM-server op de on-premises site. U moet de VMM-service stoppen voordat de installatie wordt uitgevoerd. Het wordt daarna automatisch opnieuw opgestart. Als een VMM-cluster is geïmplementeerd, installeert u de provider op een actief knooppunt in het cluster en registreert u de VMM-server in de Azure Site Recovery-kluis. Installeer deze vervolgens op andere knooppunten in het cluster.

  5. U kunt zich in Microsoft Update aanmelden voor updates. Als deze instelling is ingeschakeld, worden Provider-updates geïnstalleerd volgens uw beleid voor Microsoft Update.

  6. Nadat de provider is geïnstalleerd, gaat u door met de installatie om de server in de kluis te registreren. 

  7. Geef in de internetverbinding op hoe de provider die wordt uitgevoerd op de VMM-server verbinding maakt met Azure Site Recovery via internet. U kunt ervoor kiezen om geen proxy te gebruiken, om de standaardproxy te gebruiken die is geconfigureerd op de VMM-server als de VMM-server wordt weergegeven als verbonden of om een aangepaste proxyserver te gebruiken. Houd rekening met het volgende:

    • Als voor de standaardproxyserver op de VMM-server verificatie is vereist, moet u ervoor kiezen om een aangepaste proxyserver te gebruiken. Typ de standaardproxydetails en geef referenties op.

    • Als u een aangepaste proxyserver wilt gebruiken, stelt u deze in voordat u de provider installeert.

    • Sluit de volgende adressen uit van routering via de proxy:

      • De URL voor het maken van verbinding met de Azure-Site Recovery: *.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • Als u uitgaande verbindingen met een Azure-domeincontroller wilt toestaan, staat u de IP-adressen toe die worden beschreven in IP-bereiken van Azure Datacenter en staat u de HTTP-protocollen (80) en HTTPS (443) toe. 

    • Als u ervoor kiest om een aangepaste proxy te gebruiken, wordt automatisch een VMM RunAs-account (DRAProxyAccount) gemaakt met behulp van de opgegeven proxyreferenties. Configureer de proxyserver zodanig dat dit account kan worden geverifieerd.

  8. Geef in Registratiesleutel aan dat u hebt gedownload vanuit Azure Site Recovery en hebt gekopieerd naar de VMM-server.

  9. Controleer in kluisnaam de kluis waarin de server wordt geregistreerd.

  10. Geef in Servernaam een beschrijvende naam op om de VMM-server in de kluis te identificeren. Geef in een clusterconfiguratie de VMM-clusterrolnaam op. 

  11. Selecteer in eerste synchronisatie van cloudmetagegevens of u metagegevens wilt synchroniseren voor alle clouds op de VMM-server met de kluis. Deze actie hoeft op elke server slechts één keer te worden uitgevoerd. Als u niet alle clouds wilt synchroniseren, laat u deze instelling uitgeschakeld en synchroniseert u elke cloud afzonderlijk in de cloudeigenschappen in de VMM-console.

  12. Geef in Gegevensversleuteling certificaatinstellingen op voor gegevensversleuteling voor virtuele machines die repliceren naar Azure. Deze optie is niet relevant als u repliceert van de ene on-premises site naar de andere.

Na de registratie worden door Azure Site Recovery metagegevens van de VMM-server opgehaald. Na de registratie kunt u de providerinstellingen wijzigen in de VMM-console of vanaf de opdrachtregel. Zie Providerinstellingen wijzigen voor meer informatie.

De Azure Recovery Services-agent installeren

  1. Klik op de pagina Snelle Startmenu op Azure Site Recovery Services-agent downloaden en installeren op hosts om de nieuwste versie van het agentinstallatiebestand te verkrijgen.

  2. Voer het installatiebestand uit op elke Hyper-V-hostserver in de VMM-clouds en volg de wizard.

  3. Klik op de pagina Controle van vereisten op Volgende. Ontbrekende vereiste onderdelen worden automatisch geïnstalleerd.

  4. Geef op de pagina Installatie Instellingen op waar u de agent wilt installeren en selecteer de cachelocatie waarin de metagegevens van de back-up worden opgeslagen. Klik vervolgens op Installeren.

Cloudinstellingen configureren

  1. Open in azure Site Recovery portal het tabblad Beveiligde items in de kluis.

  2. De clouds die zijn gesynchroniseerd met Azure Site Recovery worden weergegeven in de lijst.

  3. Selecteer de cloud die u wilt beveiligen en klik op Configureren.

  4. Selecteer Microsoft Azure in Doel.

  5. Selecteer in Abonnement het abonnement dat is gekoppeld aan de Azure-opslag die u wilt gebruiken om virtuele Azure-machines op te slaan.

  6. Selecteer in Storage Account het opslagaccount dat u wilt gebruiken.

  7. Geef in kopieerfrequentie op hoe vaak gegevens moeten worden gesynchroniseerd tussen bron- en doellocaties. De standaardwaarde is vijf minuten.

  8. Geef in Herstelpunten behouden op of u extra herstelpunten wilt maken (van 0-15). Aanvullende herstelpunten bevatten een of meer momentopnamen en u kunt hiermee een momentopname van een virtuele machine herstellen vanaf een eerder tijdstip.  Met een instelling van nul wordt alleen het meest recente herstelpunt voor een primaire virtuele machine opgeslagen als replica. Als u een instelling groter dan nul configureert, wordt het aantal herstelpunten gemaakt in overeenstemming met deze waarde. Houd er rekening mee dat voor het inschakelen van meerdere herstelpunten extra opslag is vereist voor de momentopnamen die op elk herstelpunt worden opgeslagen. Standaard worden herstelpunten elk uur gemaakt, zodat elk herstelpunt de gegevens van een uur bevat.

  9. Geef in Frequentie van toepassingsconsistente momentopnamen op hoe vaak toepassingsconsistente momentopnamen moeten worden gemaakt. Deze momentopnamen maken gebruik van Volume Shadow Copy Service (VSS) om ervoor te zorgen dat toepassingen een consistente status hebben wanneer de momentopname wordt gemaakt. Als u toepassingsconsistente momentopnamen inschakelt, is dit van invloed op de prestaties van de toepassingen die via de virtuele bronmachines worden uitgevoerd.

  10. Geef in Encrypt Storage Data op of gerepliceerde gegevens die worden overgedragen, moeten worden opgeslagen als versleuteld. U kunt opgeven dat de kopie onmiddellijk moet worden gestart of een tijd moet selecteren. U wordt aangeraden netwerkreplicatie te plannen tijdens daluren.

Runbooks instellen

Een aantal runbooks helpt u bij het instellen van beveiliging van virtuele machines. Op de on-premises site plant en configureert u het hoofdrunbook. Op zijn beurt worden de andere runbooks automatisch aangeroepen volgens de opgegeven planning.

  1. De runbooks downloaden

  2. Het hoofdrunbook configureren en plannen

De runbooks worden samengevat in de volgende tabel.

Runbook

Details

Parameters

InvokeAzureSiteRecoveryProtectionJob.ps1

Het hoofdrunbook. De andere runbooks worden in deze volgorde aangeroepen.

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

Nadat u het registratierunbook hebt uitgevoerd, is dit het enige runbook dat u moet uitvoeren.

LeaderVMMConnection: niet vereist voor beveiliging naar Azure

Nonleader/SecondaryVMMConnection: niet vereist voor beveiliging naar Azure

PrimarySiteAdminConnection— Assettype: Verbinding; Verbindingstype: MgmntSvcAdmin;.

PrimaryVmmAdminConnection— Assettype: Verbinding. Verbindingstype: VMM-verbinding;

RecoverySiteAdminConnection: niet vereist voor beveiliging naar Azure

RecoverySitePlanSuffix: niet vereist voor beveiliging naar Azure

Add-AzureSiteRecoverySubscription.ps1

Voegt automatisch alle abonnementen voor abonnementen toe in de primaire stempel waarvoor Azure Site Recovery ingeschakeld voor de plannen in de secundaire stempel.

Parameters worden ingesteld in het hoofdrunbook

Add-AzureSiteRecoverySecretTransferKey.ps1 

Synchroniseert de versleutelingssleutel tussen de primaire en secundaire VMM-servers. Deze versleutelingssleutel wordt automatisch gegenereerd wanneer Azure Site Recovery wordt gestart. Wanneer de virtuele machines van een tenant worden gerepliceerd naar het secundaire datacenter, hebben ze tenantgegevens die eraan zijn gekoppeld, zodat een tenant toegang heeft tot de gerepliceerde virtuele machines wanneer er een failover plaatsvindt. Deze sleutel wordt gebruikt om die metagegevens te versleutelen.

Parameters worden ingesteld in het hoofdrunbook

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

Voert een query uit op alle abonnementen en controleert of beveiliging is ingeschakeld. Vervolgens wordt voor elk abonnement een query uitgevoerd op alle virtuele machines en wordt beveiliging ingeschakeld als het overeenkomende abonnement beveiliging heeft ingeschakeld.

Parameters worden ingesteld in het hoofdrunbook

Get-WindowsToken.ps1

Dit runbook wordt gebruikt door de andere runbooks om cmdlets uit te voeren.

Geen

In deze tabel worden de runbooks samengevat.

De runbooks downloaden

  1. Download de runbooks vanuit het Microsoft Script Center.

  2. Importeer en publiceer ze in de volgende volgorde:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (het hoofdrunbook)

Het hoofdrunbook configureren en plannen

  1. Klik in Automation>Runbooks om InvokeAzureSiteRecoveryProtectionJob.ps1te openen.

  2. Klik op Planning om op te geven wanneer het runbook moet worden uitgevoerd. Geef op de pagina Planning configureren een planningsnaam en beschrijving op.

  3. Selecteer Dagelijks in Tijd en selecteer een begintijd.

  4. Geef in Geef de runbookparameterwaarden de parameters op die worden gebruikt in de runbooks die worden aangeroepen door het hoofdrunbook:

    1. LeaderVMMConnection: niet vereist voor beveiliging naar Azure.

    2. NonLeaderVMMConnection: niet vereist voor beveiliging naar Azure

    3. PrimarySiteAdminConnection: FQDN van de computer in het primaire datacenter waarop de Azure Pack-beheerdersportal en de beheerdersreferenties worden uitgevoerd. Deze parameter is nodig voor aanmelding bij de primaire portal. Geef de naam op van de assetvariabele die u hebt gemaakt.

    4. PrimaryVmmAdminConnection — FQDN van de primaire VMM-server en de referenties van de computerbeheerder.

    5. RecoverySiteAdminConnection: FQDN van de computer in het secundaire datacenter waarop de Azure Pack-beheerdersportal en de beheerdersreferenties worden uitgevoerd. Niet vereist voor beveiliging naar Azure.

    6. RecoverySitePlanSuffix: als de naam van een plan in het primaire datacenter niet het achtervoegsel heeft , moet u een tekstachtervoegsel opgeven, zodat de abonnementen kunnen worden gesynchroniseerd in de secundaire datacenterplannen. Niet vereist voor beveiliging naar Azure.

Plannen configureren

Nadat u cloudinstellingen hebt geconfigureerd en de runbooks hebt ingesteld, schakelt u in het on-premises primaire datacenter beveiliging in voor een bestaand plan of invoegtoepassing. U kunt ook een nieuw plan maken met beveiliging ingeschakeld.

Beveiliging inschakelen voor een plan of invoegtoepassing

  1. Als u de mogelijkheid wilt toevoegen aan een gepubliceerd plan in de Azure Pack-portal, klikt u op Plannen. Open op het tabblad Plannen het relevante plan of open de invoegtoepassing op het tabblad Invoegtoepassingen .

  2. Klik in Plan Services of invoegtoepassingsservices op Virtuele-machineclouds. Selecteer in Aangepaste InstellingenBeveiliging inschakelen voor alle virtuele machines.

Tenantstappen

Als u tenants voor beveiliging van virtuele machines wilt implementeren, moet u het volgende doen:

  1. Meld u aan voor een plan of invoegtoepassing. Nadat u de beveiligingsvereisten voor virtuele machines met u hebt besproken, abonneren tenants zich op het plan of de invoegtoepassing op de on-premises site die gebruikmaakt van de selfservice-Azure Pack-portal.

  2. Een virtuele machine maken: een tenant maakt een virtuele machine of rol van virtuele machine onder het abonnement dat is gekoppeld aan het plan of de invoegtoepassing. De virtuele machine wordt gemaakt in de bijbehorende VMM-cloud. De eigenaar van de virtuele machine is de naam van de gebruiker die de virtuele machine heeft gemaakt.

  3. VM-netwerken maken: in de selfservice Azure Pack-portal kunnen de tenants optioneel virtuele netwerken maken op basis van logische VMM-netwerken. Tenants moeten virtuele netwerken maken als ze er zeker van willen zijn dat na een failover hun virtuele replicamachines worden verbonden met de juiste netwerken.

    . Wanneer een tenant een virtueel netwerk maakt, wordt er automatisch een VM-netwerk met dezelfde instellingen gemaakt in de bijbehorende VMM-cloud.

Netwerktoewijzing instellen

Nadat tenants VM-netwerken hebben gemaakt, kunt u in azure Site Recovery portal netwerktoewijzing instellen om VM-netwerken op de primaire site toe te wijzen aan Azure-netwerken. Deze toewijzingen geven aan hoe virtuele replicamachines zijn verbonden na een failover.

  1. Maak in Azure een Azure-netwerk met dezelfde instellingen als het VM-netwerk dat automatisch is gemaakt op de on-premises primaire VMM-server. Configureer vervolgens netwerktoewijzing.

  2. Open in de Azure Site Recovery-portal de pagina >Netwerktoewijzing>van resources.

  3. Selecteer de VMM-server waaruit u netwerken wilt toewijzen en vervolgens Azure. De lijst met bronnetwerken en de bijbehorende doelnetwerken worden weergegeven. Er wordt een lege waarde weergegeven voor netwerken die momenteel niet zijn toegewezen. Als u de subnetten voor elk netwerk wilt weergeven, klikt u op het informatiepictogram naast de netwerknamen.

  4. Selecteer een netwerk in Netwerk op bron en klik vervolgens op Kaart. De service detecteert de Azure-netwerken en geeft deze weer. 

  5. Selecteer een Azure-netwerk. 

  6. Klik op het vinkje om het toewijzingsproces te voltooien. Een taak begint met het bijhouden van de voortgang van de toewijzing. Bekijk deze op het tabblad Taken .

Virtuele machines detecteren en repliceren

Het runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 detecteert abonnementen voor abonnementen of invoegtoepassingen waarvoor beveiliging is ingeschakeld en schakelt vervolgens beveiliging in voor virtuele machines in die abonnementen. Dit gebeurt automatisch in overeenstemming met runbookplanning. Er is geen beheerdersactie vereist.

Een failover uitvoeren

Na de initiële replicatie voert u als volgt failovers uit:

  • Testfailover: voer deze uit om de omgeving te controleren zonder dat dit van invloed is op de productie-infrastructuur. U kunt een testfailover uitvoeren als de tenant deze aanvraagt. Zie Een testfailover uitvoeren voor instructies.

  • Geplande failover: voer uit voor gepland onderhoud of als er een onverwachte storing optreedt. Zie Een failover uitvoeren.

  • Niet-geplande failover: uitvoeren voor herstel na noodgevallen vanwege ongeplande en uitvaltijd. Zie Een failover uitvoeren.

Gerepliceerde virtuele machines openen

Failover met Azure Site Recovery maakt de virtuele replicamachine in Azure. Na een failover kan de servicebeheerder zich aanmelden bij de Azure Portal met zijn of haar referenties en toegang krijgen tot de virtuele replicamachines vanuit de portal.  De adminstrator kan vervolgens toepassings- en RDP-poorten configureren op de virtuele machines om tenanttoegang te bieden. Houd er rekening mee dat als tenants toegang hebben tot virtuele machines in het datacenter via een VPN-verbinding, u VPN-connectiviteit moet instellen tussen de tenantlocatie en azure, zodat ze ook toegang hebben tot de gerepliceerde virtuele machines via VPN.