Compartilhar via

Replicar computadores locais usando pontos de extremidade privados

  • Artigo

O Azure Site Recovery permite que você use pontos de extremidade privados do Link Privado do Azure para replicar seus computadores locais para uma rede virtual no Azure. O acesso de ponto de extremidade privado a um cofre de recuperação tem suporte em todas as regiões Comerciais e Governamentais do Azure.

Observação

Não há suporte para atualizações automáticas para pontos de extremidade privados. Saiba mais.

Neste tutorial, você aprenderá como:

  • Criar um cofre dos Serviços de Recuperação de Backup do Azure para proteger seus computadores.
  • Habilitar uma identidade gerenciada para o cofre. Conceda as permissões necessárias para acessar as contas de armazenamento para habilitar a replicação de tráfego local para os locais de destino do Azure. O acesso de identidade gerenciada para armazenamento é necessário para acessar o Link Privado para o cofre.
  • Fazer as alterações de DNS necessárias para os pontos de extremidade privados.
  • Criar e aprovar pontos de extremidade privados para um cofre dentro de uma rede virtual.
  • Criar pontos de extremidade privados para as contas de armazenamento. Você pode continuar permitindo o acesso público ou de firewall para armazenamento, conforme necessário. Não é obrigatório criar um ponto de extremidade privado no Azure Site Recovery para acessar o armazenamento.

O diagrama a seguir mostra o fluxo de trabalho da replicação para a recuperação de desastre híbrida com pontos de extremidade privados. Você não pode criar pontos de extremidade privados em sua rede local. Para usar links privados, você precisa criar uma rede virtual do Azure (chamada de rede de bypass neste artigo), estabelecer uma conectividade privada entre o local e a rede de bypass e, em seguida, criar pontos de extremidade privados na rede de bypass. Você pode escolher qualquer forma de conectividade privada.

Diagrama que mostra a arquitetura do Azure Site Recovery e dos pontos de extremidade privados.

Pré-requisitos e limitações

Antes de começar, observe o seguinte:

  • Links privados são compatíveis na versão do Site Recovery 9.35 e posteriores.
  • Você pode criar pontos de extremidade privados somente para novos cofres dos Serviços de Recuperação que não têm nenhum item registrado neles. Ou seja, você precisa criar pontos de extremidade privados antes que qualquer item seja adicionado ao cofre. Consulte Preços do Link Privado do Azure para saber mais sobre preços.
  • Ao criar um ponto de extremidade privado para um cofre, o cofre é bloqueado. Ele pode ser acessado somente por redes que têm pontos de extremidade privados.
  • Atualmente, a ID do Microsoft Entra não dá suporte aos pontos de extremidade privados. Portanto, você precisa permitir o acesso de saída da rede virtual protegida do Azure para IPs e nomes de domínio totalmente qualificados necessários para que a ID do Microsoft Entra funcione em uma região. Conforme aplicável, você também pode usar a marca de grupo de segurança de rede "Microsoft Entra ID" e as marcas do Firewall do Azure para permitir o acesso à ID do Microsoft Entra.
  • São necessários cinco endereços de IP na rede de bypass onde o ponto de extremidade privado é criado. Quando você cria um ponto de extremidade privado para o cofre, o Site Recovery cria cinco links privados para acessar os microsserviços.
  • Um endereço IP adicional é necessário na rede de bypass para a conectividade de ponto de extremidade privado para uma conta de armazenamento em cache. Você pode usar qualquer método de conectividade entre o local e o ponto de extremidade da conta de armazenamento. Por exemplo, você pode usar a internet ou o Azure ExpressRoute. A criação de um link privado é opcional. Você pode criar pontos de extremidade privados para armazenar somente contas de Uso Geral v2. Consulte Preços de Blobs de Página do Azure para saber mais sobre os preços para transferência de dados em contas de Uso Geral v2.

Observação

Ao configurar pontos de extremidade privados para proteger computadores VMware e físicos, será necessário instalar o MySQL no servidor de configuração manualmente. Siga as etapas aqui para executar a instalação manual.

URLs a serem permitidas

Quando o link privado é usado com a experiência modernizada para VMs do VMware, o acesso público é necessário para alguns recursos. Veja abaixo todas as URLs a serem incluídas na lista de permitidos. Se a configuração baseada em proxy for usada, verifique se o proxy resolve todos os registros CNAME recebidos ao procurar as URLs.

URL Detalhes
portal.azure.com Navegue até o portal do Azure.
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com 		Para entrar em sua assinatura do Azure.
*.microsoftonline.com
*.microsoftonline-p.com 		Crie aplicativos do Microsoft Entra para o dispositivo para se comunicar com o Azure Site Recovery.
management.azure.com Usado para implantações e operações do Azure Resource Manager.
*.siterecovery.windowsazure.com Usado para se conectar a serviços do Site Recovery.

Verifique se as seguintes URLs foram permitidas e podem ser alcançadas pelo dispositivo de replicação do Azure Site Recovery para manter a conectividade contínua ao habilitar a replicação para uma nuvem governamental:

URL para Fairfax URL para Mooncake Detalhes
login.microsoftonline.us/*
graph.windows.net 		login.microsoftonline.cn
graph.chinacloudapi.cn		 Para entrar em sua assinatura do Azure.
*.portal.azure.us *.portal.azure.cn Navegue até o portal do Azure.
management.usgovcloudapi.net management.chinacloudapi.cn Crie aplicativos do Microsoft Entra para o dispositivo para se comunicar com o serviço do Azure Site Recovery.

Criar e usar pontos de extremidade privados para a recuperação de site

As seções a seguir descrevem as etapas que você precisa executar para criar e usar os pontos de extremidade privados para a recuperação de site em suas redes virtuais.

Observação

Recomendamos que você siga estas etapas na ordem descrita. Caso contrário, talvez não consiga usar os pontos de extremidade privados no cofre e seja necessário recomeçar o processo com um novo cofre.

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação contém as informações de replicação dos computadores. Ele é usado para disparar as operações do Site Recovery. Para saber mais sobre como criar um cofre dos Serviços de Recuperação na região do Azure onde você deseja fazer failover, caso ocorra um desastre, consulte Criar um cofre dos Serviços de Recuperação.

Habilitar a identidade gerenciada para o cofre

A identidade gerenciada permite que o cofre acesse suas contas de armazenamento. O Site Recovery pode precisar acessar o armazenamento de destino e as contas de armazenamento de cache/log, dependendo de seus requisitos. O acesso da identidade gerenciada é necessário quando você está usando o serviço de Link Privado para o cofre.

  1. Vá até o cofre dos Serviços de Recuperação. Selecione Identidade em Configurações:

    Captura de tela que mostra a página de configurações de identidade.

  2. Altere o Status para Ativado e selecione Salvar.

    Uma ID de objeto é gerada. O cofre agora está registrado com a ID do Microsoft Entra.

Criar pontos de extremidade privados para o cofre dos Serviços de Recuperação

Para proteger os computadores na rede local de origem, você precisa de um ponto de extremidade privado para o cofre na rede de bypass. Você pode criar o ponto de extremidade privado usando o Centro de Link Privado no portal do Azure ou usando o Azure PowerShell.

Para criar um ponto de extremidade privado, siga estas etapas:

  1. No portal do Azure, selecione Criar um recurso.

  2. Pesquise o Link privado no Azure Marketplace.

  3. Selecione Link Privado nos resultados da pesquisa e, na página Backup e Site Recovery, selecione Criar.

    Captura de tela que mostra a pesquisa no portal do Azure para o Centro de Link Privado.

  4. No painel esquerdo, selecione Pontos de extremidade privados. Na página Pontos de extremidade privados, selecione Criar para começar a criar um ponto de extremidade privado para o cofre:

    Captura de tela que mostra como criar um ponto de extremidade privado no Centro de Link Privado.

  5. Na página Criar ponto de extremidade privado, na seção Detalhes básicos> doprojeto, faça o seguinte:

    1. Em Assinatura, selecione Ambiente da Contoso.
    2. No Grupo de recursos, selecione um grupo de recursos existente ou crie um. Por exemplo, ContosoCloudRG.

  6. Na página Criar ponto de extremidade privado, na seção Detalhes Básicos>Detalhes da instância, faça o seguinte:

    1. Em Nome, digite um nome amigável para identificar o cofre. Por exemplo, ContosoPrivateEP.
    2. O Nome do Adaptador de Rede é preenchido automaticamente com base na escolha de nome na etapa anterior.
    3. Em Região, use a região utilizada para a rede de bypass. Por exemplo, (Europa) Sul do Reino Unido.
    4. Selecione Avançar.

    Captura de tela que mostra a guia Noções básicas para criar um ponto de extremidade privado.

  7. Na seção Recurso, faça o seguinte:

    1. Em Método de conexão, selecione Conectar-se a um recurso do Azure no meu diretório.
    2. Em Assinatura, selecione Ambiente da Contoso.
    3. Em Tipo de recurso para a assinatura selecionada, selecione Microsoft.RecoveryServices/cofres.
    4. Escolha o nome do cofre dos Serviços de Recuperação em Recurso.
    5. Selecione Azure Site Recovery como o Sub-recurso de destino.
    6. Selecione Avançar.

    Captura de tela que mostra a guia Recurso para vinculação a um ponto de extremidade privado.

  8. Na seção Rede Virtual, faça o seguinte:

    1. Em Rede virtual, selecione uma rede de bypass.
    2. Em Sub-rede, especifique a sub-rede onde você quer que o ponto de extremidade privado seja criado.
    3. Em Configuração de IP privado, mantenha a seleção padrão.
    4. Selecione Avançar.

    Captura de tela que mostra a guia Rede virtual para vincular a um ponto de extremidade privado.

  9. Na seção DNS, faça o seguinte:

    1. Habilite a integração com uma zona DNS privada selecionando Sim.

      Observação

      Se você selecionar Sim, a zona é vinculada automaticamente à rede de bypass. Esta ação também adiciona os registros DNS necessários para a resolução de DNS de novos IPs e nomes de domínio totalmente qualificados criados para o ponto de extremidade privado.

    2. Escolha uma zona DNS existente ou crie uma nova.

    Não esqueça de optar por criar uma nova zona DNS para cada novo ponto de extremidade privado conectando-se ao mesmo cofre. Se você escolher uma zona DNS privada existente, os registros CNAME anteriores serão substituídos. Consulte Diretrizes do ponto de extremidade privado antes de continuar.

    Se o seu ambiente tiver um modelo hub e spoke, você precisa apenas de um ponto de extremidade privado e apenas uma zona DNS privada para toda a configuração. Isso ocorre porque todas as suas redes virtuais já têm o emparelhamento habilitado entre elas. Para saber mais, consulte Integração de DNS do ponto de extremidade privado.

    Para criar manualmente a zona DNS privada, siga as etapas em Criar zonas DNS privadas e adicionar registros DNS manualmente.

    Captura de tela que mostra a guia Configuração para configuração de um ponto de extremidade privado.

  10. Na seção Marcas, você pode adicionar marcas ao seu ponto de extremidade privado.

  11. Examinar + criar. Depois que a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Quando o ponto de extremidade privado é criado, cinco FQDNs (nomes de domínio totalmente qualificados) são adicionados ao ponto de extremidade privado. Estes links permitem que os computadores na rede local acessem, por meio da rede de bypass, todos os microsserviços necessários do Site Recovery no contexto do cofre. Você pode usar o mesmo ponto de extremidade privado para a proteção de qualquer computador do Azure na rede de bypass e todas as redes emparelhadas.

Os cinco nomes de domínio são formatados neste padrão:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Aprovar pontos de extremidade privados para a recuperação de site

Se você criar o ponto de extremidade privado e também for o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado anteriormente é automaticamente aprovado em alguns minutos. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes que você possa usá-lo. Para aprovar ou rejeitar uma solicitação de conexão de ponto de extremidade privada, acesse Conexões de ponto de extremidade privado em Configurações na página cofre de recuperação.

Antes de continuar, você pode até o recurso de ponto de extremidade privado para examinar o status da conexão:

Captura de tela que mostra a página Conexões de ponto de extremidade privada do cofre e a lista de conexões.

(Opcional) Criar pontos de extremidade privados para a conta de armazenamento de cache

Você pode usar um ponto de extremidade privado para o Armazenamento do Microsoft Azure. A criação de pontos de extremidade privados para acesso ao armazenamento é opcional para a replicação de Azure Site Recovery. Se criar um ponto de extremidade privado para armazenamento, você precisa de um ponto de extremidade privado para a conta de armazenamento de log/cache em sua rede virtual de bypass.

Observação

Se os pontos de extremidade privados não estiverem habilitados na conta de armazenamento, a proteção ainda funciona. No entanto, o tráfego de replicação funcionaria via internet para os pontos de extremidade públicos do Azure Site Recovery. Para garantir que o tráfego de replicação flua através dos links privados, a conta de armazenamento deve ser habilitada com pontos de extremidade privados.

Observação

Os pontos de extremidade privados para armazenamento podem ser criados somente em contas de armazenamento de Uso Geral v2. Para obter informações sobre preços, confira Preços de Blob de Páginas do Azure.

Siga as diretrizes para criar o armazenamento privado para criar uma conta de armazenamento com um ponto de extremidade privado. Confira se você selecionou Sim em Integrar com a zona DNS privada. Escolha uma zona DNS existente ou crie uma nova.

Conceder as permissões necessárias ao cofre

Dependendo da sua configuração, você precisa criar uma ou mais contas de armazenamento na região do Azure de destino. Em seguida, conceda as permissões de identidade gerenciada para todas as contas de armazenamento de cache/log exigidas pelo Site Recovery. Neste caso, você deve criar com antecedência, todas as contas de armazenamento necessárias.

Antes de habilitar a replicação de máquinas virtuais, dependendo do tipo de conta de armazenamento, a identidade gerenciada do cofre deve ter as seguintes permissões de função.

As etapas a seguir descrevem como adicionar uma atribuição de função às suas contas de armazenamento. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.

  1. Acesse a conta de armazenamento.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione Adicionar > Adicionar atribuição de função.

    Captura de tela que mostra a página Controle de Acesso (IAM) com o menu Adicionar atribuição de função aberto.

  4. Na guia Função, selecione uma das funções listadas no início desta seção.

  5. Na guia Membros, selecione Identidade gerenciadae selecione Selecionar membros.

  6. Selecione sua assinatura do Azure.

  7. Selecione Identidade gerenciada atribuída pelo sistema, pesquise um cofre e selecione.

  8. Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.

Além dessas permissões, você precisa permitir o acesso aos serviços confiáveis da Microsoft. Para fazer isso, siga estas etapas:

  1. Vá para Firewalls e redes virtuais.
  2. Em Exceções, selecione Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento.

Proteger seus computadores virtuais

Depois de concluir as tarefas anteriores, continue com a configuração da sua infraestrutura local. Continue concluindo uma das seguintes tarefas:

Após a conclusão da instalação, habilite a replicação para os computadores de origem. Não configure a infraestrutura até que os pontos de extremidade privados para o cofre sejam criados na rede de bypass.

Criar zonas DNS privadas e adicionar registros DNS manualmente

Se você não selecionou a opção de integração com uma zona DNS privada quando criou o ponto de extremidade privado para o cofre, siga as etapas nesta seção.

Crie uma zona DNS privada para permitir que o provedor do Site Recovery (para computadores Hyper-V) ou o Servidor de Processo (para VMware/computadores físicos) resolva FQDNs privados para IPs privados.

  1. Crie uma zona DNS privada.

    1. Pesquise zona DNS privada na caixa de pesquisa Todos os serviços e selecione zona DNS privada nos resultados:

      Captura de tela que mostra a pesquisa de zona DNS privada na página Novos recursos no portal do Azure.

    2. Na página Zonas DNS privado, selecione o botão Adicionar para começar a criar uma nova zona.

    3. Na página Criar zona DNS privada, insira os detalhes necessários. Digite privatelink.siterecovery.windowsazure.com no nome da zona DNS privada. Você pode escolher qualquer grupo de recursos e qualquer assinatura.

      Captura de tela que mostra a guia Noções básicas da página Criar Zona DNS privado.

    4. Continue na guia Examinar + criar para examinar e criar a zona DNS.

    5. Se você estiver usando a arquitetura modernizada para proteger computadores VMware ou Físicos, certifique-se de criar outra zona DNS privada para privatelink.prod.migration.windowsazure.com. Esse ponto de extremidade é usado pelo Site Recovery para executar a descoberta do ambiente local.

      Importante

      Para usuários do Azure GOV, adicione privatelink.prod.migration.windowsazure.us na zona DNS.

  2. Para vincular a zona DNS privada à sua rede virtual, siga estas etapas:

    1. Vá para a zona DNS privada que você criou na etapa anterior e, depois vá até Links de rede virtual no painel esquerdo. Selecione Adicionar.

    2. Insira os detalhes necessários. Nas listas Assinatura e Rede virtual, selecione os detalhes que correspondem à rede de bypass. Deixe os valores padrão nos outros campos.

      Captura de tela que mostra a página Adicionar link de rede virtual.

  3. Adicionar registros DNS.

    Depois de criar a zona DNS privada e o ponto de extremidade privado, você precisa adicionar os registros DNS à sua zona DNS.

    Observação

    Se estiver usando uma zona DNS privada personalizada, não esqueça de fazer as mesmas entradas, conforme descrito na etapa a seguir.

    Nesta etapa você precisa fazer as entradas para cada FQDN em seu ponto de extremidade privado da sua zona DNS privada.

    1. Vá até a zona DNS privada e depois até a seção Visão geral no painel esquerdo. Selecione Conjunto de registros para começar a adicionar os registros.

    2. Na página Adicionar conjunto de registros, adicione uma entrada para cada nome de domínio totalmente qualificado e IP privado como UM tipo de registro. Você pode obter uma lista de nomes de domínio totalmente qualificados e IPs na página Ponto de extremidade privado em Visão Geral. Como se pode ver na captura de tela a seguir, o primeiro nome de domínio totalmente qualificado do ponto de extremidade privado é adicionado ao conjunto de registros na zona DNS privada.

      Esses nomes de domínio totalmente qualificados correspondem ao seguinte padrão: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Captura de tela que mostra a página Adicionar conjunto de registros.

Próximas etapas

Depois de habilitar os pontos de extremidade privados para a replicação de sua máquina virtual, consulte estes outros artigos para obter informações adicionais e relacionadas: