Репликация локальных компьютеров с помощью частных конечных точек
Azure Site Recovery позволяет использовать частные конечные точки Приватного канала Azure для репликации локальных компьютеров в виртуальную сеть в Azure. Доступ к хранилищу восстановления в частной конечной точке поддерживается во всех регионах Azure для коммерческих и государственных организаций.
Примечание.
Автоматическое обновление не поддерживается для частных конечных точек. Подробнее.
В этом руководстве описано следующее:
- Создание хранилища Служб восстановления Azure Backup для защиты компьютеров.
- Включение управляемого удостоверения для хранилища. Предоставьте разрешения, необходимые для доступа к учетным записям хранения, чтобы включить репликацию трафика из локальной среды в целевые расположения Azure. Доступ к управляемым удостоверениям для хранилища необходим для доступа к хранилищу через Приватный канал.
- Внесение в DNS изменений, необходимых для частных конечных точек.
- Создание и утверждение частных конечных точек для хранилища в виртуальной сети.
- Создание частных конечных точек для учетных записей хранения. При необходимости можно разрешить общий доступ к хранилищу или доступ через брандмауэр. Создание частной конечной точки для доступа к хранилищу не обязательно для Azure Site Recovery.
На следующей схеме показан рабочий процесс репликации для гибридного аварийного восстановления с использованием частных конечных точек. В локальной сети нельзя создавать частные конечные точки. Чтобы использовать приватные каналы, необходимо создать виртуальную сеть Azure (в этой статье она называется сетью обхода), установить частное подключение между локальной средой и сетью обхода, а затем создать частные конечные точки в сети обхода. Для частного подключения можно выбрать любую форму.
Предварительные требования и пояснения
Перед началом работы обратите внимание на следующее:
- Приватные каналы поддерживаются в Site Recovery 9.35 и более поздней версии.
- Частные конечные точки можно создавать только для новых хранилищ Служб восстановления, которые не содержат зарегистрированных в них элементов. Поэтому необходимо создать частные конечные точки перед добавлением элементов в хранилище. Сведения о ценах см. в разделе Цены Приватного канала Azure.
- Когда для хранилища создается частная конечная точка, оно блокируется. Доступ к такому хранилищу можно получить только из сетей с частными конечными точками.
- Идентификатор Microsoft Entra в настоящее время не поддерживает частные конечные точки. Поэтому необходимо разрешить исходящий доступ из защищенной виртуальной сети Azure к IP-адресам и полным доменным именам, необходимым для работы идентификатора Microsoft Entra в регионе. Как применимо, можно также использовать тег группы безопасности сети "Идентификатор Microsoft Entra ID" и Брандмауэр Azure теги, чтобы разрешить доступ к идентификатору Microsoft Entra.
- Сеть обхода, в которой создается частная конечная точка, должна содержать пять IP-адресов. При создании частной конечной точки для хранилища Site Recovery создает пять приватных каналов для доступа к своим микрослужбам.
- В сети обхода требуется один дополнительный IP-адрес для подключения частной конечной точки к учетной записи хранения кэша. Вы можете использовать любой способ подключения между локальной средой и конечной точкой учетной записи хранения. Например, можно использовать канал Интернет или Azure ExpressRoute. Устанавливать приватный канал необязательно. Частные конечные точки для хранилища можно создавать только в учетных записях общего назначения версии 2. Подробнее о ценах за передачу данных в учетных записях общего назначения версии 2 см. в разделе Цены на страничные BLOB-объекты Azure.
Примечание.
При настройке частных конечных точек для защиты VMware и физических компьютеров необходимо установить MySQL на сервере конфигурации вручную. Следуйте этим инструкциям, чтобы выполнить установку вручную.
Разрешенные URL-адреса
При использовании приватного канала с обновленным интерфейсом для виртуальных машин VMware для нескольких ресурсов требуется общедоступный доступ. Ниже приведены все URL-адреса, которые будут включены в список разрешений. Если используется конфигурация на основе прокси-сервера, убедитесь, что прокси-сервер разрешает все записи CNAME, полученные при поиске URL-адресов.
URL-адрес | Сведения |
---|---|
portal.azure.com | Перейдите на портал Azure. |
*.windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com |
Чтобы войти в вашу подписку Azure. |
*.microsoftonline.com *.microsoftonline-p.com |
Создайте приложения Microsoft Entra для устройства для взаимодействия с Azure Site Recovery. |
management.azure.com |
Используется для развертываний и операций Azure Resource Manager. |
*.siterecovery.windowsazure.com |
Используется для подключения к службам Site Recovery. |
Убедитесь, что следующие URL-адреса разрешены и доступны из устройства репликации Azure Site Recovery для непрерывного подключения при включении репликации в облако для государственных организаций:
URL-адрес для Fairfax | URL-адрес для Mooncake | Сведения |
---|---|---|
login.microsoftonline.us/* graph.windows.net |
login.microsoftonline.cn graph.chinacloudapi.cn |
Чтобы войти в вашу подписку Azure. |
*.portal.azure.us |
*.portal.azure.cn |
Перейдите на портал Azure. |
management.usgovcloudapi.net |
management.chinacloudapi.cn |
Создайте приложения Microsoft Entra для устройства для взаимодействия со службой Azure Site Recovery. |
Создание и использование частных конечных точек для восстановления сайта
В следующих разделах описаны действия, которые необходимо предпринять, чтобы создать и использовать частные конечные точки для восстановления сайтов в виртуальных сетях.
Примечание.
Рекомендуется выполнить эти действия в указанном порядке. В противном случае вы не сможете использовать частные конечные точки в хранилище и вам может потребоваться перезапустить процесс с новым хранилищем.
Создание хранилища Служб восстановления
Хранилище Служб восстановления содержит сведения о репликации компьютеров. Оно используется для активации операций Site Recovery. Сведения о создании хранилища Служб восстановления в регионе Azure, в котором вы хотите выполяить отработку отказа в случае аварии, см. в статье Создание хранилища Служб восстановления.
Включение управляемого удостоверения для хранилища
Управляемое удостоверение обеспечивает хранилищу доступ к учетным записям хранения. Site Recovery может потребоваться доступ к целевому хранилищу и учетным записям хранения кэша или журнала в зависимости от ваших требований. Доступ к управляемым удостоверениям важен при использовании службы приватных каналов для хранилища.
Перейдите в хранилище Служб восстановления. Выберите пункт Удостоверение в разделе Параметры.
Измените Состояние на Вкл и нажмите кнопку Сохранить.
Будет создан идентификатор объекта. Теперь хранилище зарегистрировано в идентификаторе Microsoft Entra.
Создание частных конечных точек для хранилища Служб восстановления
Для защиты компьютеров в исходной локальной сети вам потребуется одна частная конечная точка для хранилища в сети обхода. Частную конечную точку можно создать с помощью центра Приватный канал в портал Azure или с помощью Azure PowerShell.
Чтобы создать частную конечную точку, выполните следующие действия.
На портале Azure выберите Создать ресурс.
Выполните поиск по приватной ссылке в Azure Marketplace.
Выберите Приватный канал из результатов поиска, а на странице "Резервное копирование и Site Recovery" нажмите кнопку "Создать".
В области слева выберите Частные конечные точки. На странице "Частные конечные точки" выберите "Создать", чтобы начать создание частной конечной точки для хранилища:
На странице "Создание частной конечной точки" в разделе "Основные>сведения о проекте" сделайте следующее:
- В разделе "Подписка" выберите "Среда Contoso".
- В разделе Группа ресурсов создайте группу ресурсов или выберите имеющуюся. Например, ContosoCloudRG.
На странице "Создание частной конечной точки" в разделе "Основные сведения о экземпляре>" сделайте следующее:
- В поле Имявведите понятное имя для идентификации хранилища. Например, ContosoPrivateEP.
- Имя сетевого интерфейса заполняется автоматически на основе выбранного имени на предыдущем шаге.
- В регионе используйте регион, используемый для обходной сети. Например, (Европа) Южная Великобритания.
- Выберите Далее.
В разделе "Ресурс" выполните следующие действия.
- В методе подключения выберите "Подключиться к ресурсу Azure" в моем каталоге.
- В подписке выберите "Среда Contoso".
- В поле "Тип ресурса" для выбранной подписки выберите Microsoft.RecoveryServices/vaults.
- Выберите имя хранилища Служб восстановления в разделе Ресурс.
- Выберите AzureSiteRecovery в качестве целевого подресурса.
- Выберите Далее.
В разделе виртуальная сеть выполните следующие действия.
- В разделе "Виртуальная сеть" выберите сеть обхода.
- В подсети укажите подсеть, в которой должна быть создана частная конечная точка.
- В конфигурации частного IP-адреса сохраните выбор по умолчанию.
- Выберите Далее.
В разделе DNS выполните следующие действия.
- Включите интеграцию с частной зоной DNS, выбрав Да.
Примечание.
Если выбрать Да, зона будет автоматически связана с сетью обхода. Это действие также добавляет записи DNS, необходимые для DNS-разрешения новых IP-адресов и полных доменных имен, созданных для частной конечной точки.
- Выберите существующую зону DNS или создайте новую.
Убедитесь, что выбрано создание новой зоны DNS для каждой новой частной конечной точки, подключенной к тому же хранилищу. При выборе существующей частной зоны DNS предыдущие записи CNAME будут переопределены. Прежде чем продолжить, ознакомьтесь с руководством по частной конечной точке.
Если сети в вашей среде используют звездообразную топологию, вам потребуется только одна частная конечная точка и только одна частная зона DNS для всей структуры. Так происходит потому, что между всеми вашими виртуальными сетями уже включен пиринг. Подробнее см. в статье Интеграция DNS с частной конечной точкой.
Чтобы вручную создать частную зону DNS, выполните действия, описанные в статье Создание частных зон DNS и добавление записей DNS вручную.
- Включите интеграцию с частной зоной DNS, выбрав Да.
В разделе "Теги" можно добавить теги для частной конечной точки.
Проверить и создать. По завершении проверки выберите Создать, чтобы создать частную конечную точку.
К созданной частной конечной точке добавляются пять полных доменных имен. Эти каналы позволяют компьютерам в локальной сети получить доступ через сеть обхода ко всем необходимым микрослужбам Site Recovery в контексте хранилища. Одну и ту же частную конечную точку можно использовать для защиты любой виртуальной машины Azure в сети обхода и во всех сетях, между которыми включен пиринг.
Эти пять доменных имен представлены в следующем формате:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
Утверждение частных конечных точек для восстановления сайта
Если вы создаете частную конечную точку, а также являетесь владельцем хранилища Служб восстановления, то ранее созданная частная конечная точка будет автоматически утверждена в течение нескольких минут. В противном случае владелец хранилища должен утвердить частную конечную точку, прежде чем ей можно будет пользоваться. Чтобы утвердить или отклонить запрошенное подключение к частной конечной точке, откройте Подключения к частной конечной точке в разделе Параметры на странице хранилища восстановления.
Прежде чем продолжить, можно открыть ресурс частной конечной точки и проверить состояние подключения.
(Дополнительно) Создание частных конечных точек для учетной записи хранения кэша
Вы можете использовать частную конечную точку в службе хранилища Azure. Для репликации Azure Site Recovery не обязательно создавать частные конечные точки для доступа к хранилищу. Если вы создаете частную конечную точку для хранилища, вам потребуется частная конечная точка для учетной записи хранения кэша или журнала в виртуальной сети обхода.
Примечание.
Даже если в учетной записи хранения не активированы частные конечные точки, защита все равно успешной. Однако трафик репликации будет передаваться через Интернет в общедоступные конечные точки Azure Site Recovery. Чтобы обеспечить передачу трафика репликации по приватным каналам, необходимо включить частные конечные точки в учетной записи хранения.
Примечание.
Частные конечные точки для хранилища можно создать только в учетных записях хранения общего назначения версии 2. Сведения о ценах см. на странице Цены на страничные BLOB-объекты Azure.
Следуйте указаниям по созданию частного хранилища, чтобы создать учетную запись хранения с частной конечной точкой. Обязательно выберите Да в разделе Интеграция с частной зоной DNS. Выберите существующую зону DNS или создайте новую.
Предоставление требуемых разрешений хранилищу
В зависимости от настроек вам может потребоваться одна или несколько учетных записей хранения в целевом регионе Azure. Затем предоставьте разрешения на использование управляемого удостоверения всем учетным записям хранения кэша и журнала, необходимым для Site Recovery. В этом случае нужно заранее создать требуемые учетные записи хранения.
Перед включением репликации виртуальных машин управляемое удостоверение хранилища должно иметь следующие разрешения роли в зависимости от типа учетной записи хранения.
- Учетные записи хранения на основе Resource Manager (стандартный тип):
- Учетные записи хранения на основе Resource Manager (тип Premium):
- Классические учетные записи хранения:
Следующие шаги описывают, как добавлять назначение ролей в учетные записи хранения. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Перейдите в учетную запись хранения.
Выберите Управление доступом (IAM).
Выберите "Добавить" > "Добавить назначение ролей".
На вкладке Роли выберите одну из ролей, перечисленных в начале этого раздела.
На вкладке "Участники" выберите "Управляемое удостоверение" и нажмите "Выбрать участников".
Выберите свою подписку Azure.
Выберите "Управляемое удостоверение, назначаемое системой", найдите хранилище и выберите его.
Чтобы назначить роль, на вкладке Проверка и назначение выберите Проверка и назначение.
Помимо этих разрешений необходимо также разрешить доступ доверенным службам Microsoft. Для этого выполните следующие шаги:
- Перейдите в раздел Брандмауэры и виртуальные сети.
- В разделе "Исключения" выберите "Разрешить доверенным службам Microsoft доступ к этой учетной записи хранения".
Защита виртуальных машин
После завершения предыдущих задач продолжайте настройку локальной инфраструктуры. Для этого выполните одну из следующих задач:
- Развертывание сервера конфигурации для VMware и физических серверов
- Настройка среды Hyper-V для репликации
После завершения установки включите репликацию для исходных компьютеров. Не устанавливайте инфраструктуру до тех пор, пока не будут созданы частные конечные точки для хранилища в сети обхода.
Создание частных зон DNS и добавление записей DNS вручную
Если при создании частной конечной точки для хранилища вы не выбрали параметр для интеграции с частной зоной DNS, выполните действия, описанные в этом разделе.
Создайте одну частную зону DNS, чтобы разрешить поставщику Site Recovery (для компьютеров Hyper-V) или серверу обработки (для виртуальных машин VMware или физических компьютеров) разрешать частные полные доменные имена в частные IP-адреса.
Создайте частную зону DNS.
Найдите частную зону DNS в поле поиска "Все службы", а затем выберите Частная зона DNS зону в результатах:
На странице Частные зоны DNS нажмите кнопку Добавить, чтобы начать создание зоны.
На странице Создание частной зоны DNS введите необходимые сведения. Укажите privatelink.siterecovery.windowsazure.com в качестве имени частной зоны DNS. Вы можете выбрать любую группу ресурсов и любую подписку.
Откройте вкладку Просмотр и создание, чтобы проверить и создать зону DNS.
Если вы используете модернизацию архитектуры для защиты VMware или физических компьютеров, убедитесь, что для privatelink.prod.migration.windowsazure.com будет создана другая частная зона DNS. Эта конечная точка используется Site Recovery для обнаружения локальной среды.
Внимание
Для пользователей Azure GOV добавьте
privatelink.prod.migration.windowsazure.us
в зону DNS.
Чтобы связать частную зону DNS с виртуальной сетью, выполните следующие действия.
Откройте частную зону DNS, созданную на предыдущем этапе, и выберите раздел Ссылки на виртуальные сети в области слева. Выберите Добавить.
Введите требуемую информацию. В списках Подписка и Виртуальная сеть выберите сведения, которые соответствуют сети обхода. Оставьте в остальных полях значения по умолчанию.
Добавьте записи DNS.
Когда необходимые частные зоны DNS и частные конечные точки будут созданы, потребуется добавить записи DNS в зоны DNS.
Примечание.
Если вы используете пользовательскую частную зону DNS, обязательно сделайте аналогичные записи, как описано в следующем шаге.
На этом этапе в частной зоне DNS необходимо сделать записи для каждого полного доменного имени в частной конечной точке.
Перейдите к частной зоне DNS, а затем — к разделу Обзор в области слева. Выберите Набор записей, чтобы начать добавление записей.
На открывшейся странице Добавление набора записей добавьте запись для каждого полного доменного имени и частного IP-адреса в виде записи типа A. Список полных доменных имен и IP-адресов находится на странице Частная конечная точка в разделе Обзор. Как показано на приведенном ниже снимке экрана, первое полное доменное имя из частной конечной точки добавляется в набор записей в частной зоне DNS.
Эти полные доменные имена соответствуют шаблону:
{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com
Следующие шаги
Теперь, когда вы включили частные конечные точки для репликации виртуальных машин, ознакомьтесь с другими статьями, чтобы получить дополнительные и связанные сведения.