Поделиться через

Настройка защиты между двумя локальными центрами обработки данных

  • Статья

 

Область применения: Windows Пакет Azure

Настройка защиты выполняется следующим образом.

  1. Необходимые условия для локальной защиты — убедитесь, что все включено.

  2. Создание хранилища — создайте хранилище на портале Azure Site Recovery.

  3. Установка и настройка поставщика Site Recovery Azure — установка и настройка поставщика Site Recovery Azure на сервере VMM на каждом сайте. Поставщик подключается к серверу на портале Azure Site Recovery.

  4. Настройка параметров облака — настройте параметры защиты для облаков VMM. Защищаемое облако, в котором находятся виртуальные машины, называется основным облаком. Облако, содержащее сервер узла Hyper-V, на котором будут реплицироваться виртуальные машины, называется вторичным облаком. Каждое облако может действовать как основное облако, защищающее вторичное облако, или как защищенное вторичное облако. Облако не может быть одновременно первичным и вторичным.

  5. Настройка модулей Runbook — настройте и запланируйте один главный модуль Runbook, чтобы установить защиту Azure Site Recovery. Этот главный модуль Runbook, в свою очередь, вызывает ряд других модулей Runbook.

  6. Настройка планов — включите на первичном сайте защиту Azure Site Recovery в открытом плане или надстройке и создайте частный план с теми же параметрами на вторичном сайте.

  7. Действия клиента — чтобы настроить защиту виртуальных машин, клиенты будут использовать портал самообслуживания Azure Pack в следующих целях.

    1. Подписка на план или надстройку— клиенты подписываются на план или надстройку первичного центра обработки данных, для которого включена защита виртуальных машин.

    2. Создание виртуальной машины— клиенты создают виртуальную машину или роль виртуальной машины на первичном сайте в рамках подписки на план.

    3. Создание сетей виртуальных машин— клиенты могут создавать виртуальные сети на первичном сайте, чтобы указать способ подключения виртуальных машин реплики к сетям после отработки отказа. Когда клиент создает виртуальную сеть, на первичном сервере VMM настраивается сеть виртуальных машин с теми же параметрами.

  8. Настройка сетевого сопоставления — если клиент создал виртуальные сети, можно настроить сетевое сопоставление между сетями виртуальных машин на основных и вторичных серверах VMM. Сопоставление сетей.

    • Гарантирует, что виртуальные машины подключаются к соответствующим сетям виртуальных машин после отработки отказа. Виртуальные машины реплики будут подключены к вторичной сети, которая сопоставлена с первичной. 

    • Оптимально размещает виртуальные машины реплики на серверах узла Hyper-V. Виртуальные машины реплики будет размещаться на узлах, которые имеют доступ к сопоставленным сетям виртуальных машин.

    Если не настроить сетевое сопоставление, реплицированные виртуальные машины не будут подключаться к сетям виртуальных машин после отработки отказа. Сведения о сопоставлении сети.

  9. Проверка учетных записей пользователей — прежде чем выполнять репликацию виртуальных машин, необходимо убедиться, что учетные данные пользователя, связанные с подпиской на план или надстройку, допустимы на первичном и вторичном сайтах.

  10. Обнаружение и репликация виртуальных машин — модули Runbook автоматически определяют подписки на план или надстройку с включенной защитой. Модуль Runbook автоматически включает защиту виртуальных машин в подписках и инициирует начальную репликацию.

  11. Запуск отработки отказа — после завершения первоначальной репликации при необходимости можно запустить тестирование, запланированную или незапланированную отработку отказа.

Создание хранилища

  1. Выполните вход на портале управления Azure. Развернитеслужбы восстановления служб>>данныхSite Recovery Vault. Нажмите кнопку "Создать новое>быстрое создание".

  2. Введите имя для хранилища и выберите географический регион. Дополнительные сведения см. в разделе "Географическая доступность " (https://go.microsoft.com/fwlink/?LinkID=389880).

  3. Щелкните Создать хранилище. Проверьте строку состояния, чтобы убедиться в успешном создании. На главной странице служб восстановления отобразится состояние Активно .

Установка и настройка поставщика Azure Site Recovery

  1. На портале Azure Site Recovery откройте страницу > быстрого запуска, чтобы создать файл ключа регистрации.

  2. Файл ключа создается автоматически. Скачайте его в безопасное и доступное расположение. Например, в общую папку, к которой серверы VMM могут получить доступ. После скачивания потребуется скопировать файл на сервер VMM на каждом сайте. Этот ключ понадобится при настройке параметров поставщика на сервере VMM. Обратите внимание на следующее.

    • После создания ключ действителен в течение 5 дней.

    • Этот ключ можно создать повторно в любое время. Повторное создание переопределяет более старые версии файла, и на каждом сервере VMM потребуется перенастроить поставщик с помощью нового ключа.

  3. На странице Быстрый запуск щелкните Скачать поставщик Microsoft Azure Site Recovery , чтобы скачать последнюю версию файла установки поставщика.

  4. Запустите файл на серверах VMM в первичном и вторичном центрах обработки данных. Перед установкой потребуется остановить службу VMM. После этого она будет автоматически перезапущена. При развертывании кластера VMM установите поставщик на активном узле в кластере и зарегистрируйте сервер VMM в хранилище Azure Site Recovery. Затем установите его на другие узлы в кластере.

  5. Вы можете согласиться на получение обновлений в Центре обновления Майкрософт. Если этот параметр включен, то обновления поставщика будут устанавливаться в соответствии с вашей политикой Центра обновления Майкрософт.

  6. После установки поставщика продолжите установку, чтобы зарегистрировать сервер в хранилище. 

  7. На странице Подключение к Интернету укажите, как поставщик, запущенный на VMM-сервере, подключается к Azure Site Recovery по Интернету. Можно выбрать пункт "Не использовать прокси-сервер", чтобы использовать прокси-сервер по умолчанию, настроенный на сервере VMM, если отображается, что сервер VMM подключен, или использовать пользовательский прокси-сервер. Следует отметить следующее.

    • Если прокси-сервер по умолчанию на сервере VMM требует проверки подлинности, следует выбрать пользовательский прокси-сервер. Введите сведения о прокси-сервере по умолчанию и укажите учетные данные.

    • Если нужно использовать пользовательский набор прокси-сервера, настройте его перед установкой поставщика.

    • Исключите следующие адреса из маршрутизации через прокси-сервер:

      • URL-адрес для подключения к Azure Site Recovery: *.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • Обратите внимание, что если необходимо разрешить исходящие подключения к контроллеру домена в Azure, следует разрешить IP-адреса в диапазоне IP-адресов центра обработки данных Azure и протоколы HTTP (80) и HTTPS (443). 

    • Если вы решили использовать пользовательский прокси-сервер, учетная запись запуска от имени VMM (DRAProxyAccount) будет создана автоматически с использованием указанных учетных данных прокси-сервера. Настройте прокси-сервер так, чтобы эта учетная запись могла успешно проходить проверку подлинности.

  8. Выберите в разделе Ключ регистрации то, что скачали из Azure Site Recovery и скопировали на VMM-сервер.

  9. В области Имя хранилища проверьте имя хранилища, в котором будет зарегистрирован сервер.

  10. В поле Имя сервераукажите понятное имя, описывающее сервер VMM в хранилище. В конфигурации кластера укажите имя роли кластера VMM. 

  11. В области Первоначальная синхронизация метаданных облака укажите, требуется ли синхронизировать метаданные для всех облаков сервера VMM с хранилищем. На каждом сервере это действие требуется выполнять только один раз. Если не требуется синхронизировать все облака, можно оставить этот флажок снятым и синхронизировать каждое облако индивидуально в свойствах облака в консоли VMM.

  12. В области Шифрование данных укажите параметры сертификата для шифрования данных для виртуальных машин, которые реплицируются в Azure. Этот параметр не важен, если выполняется репликация с одного локального сайта на другой.

После регистрации метаданные с сервера VMM извлекаются службой Azure Site Recovery. После регистрации можно изменить параметры поставщика на консоли VMM или из командной строки. Дополнительные сведения см. в разделе Изменение параметров поставщика.

Настройка параметров облака

  1. На портале Azure Site Recovery откройте вкладку Защищенные элементы в хранилище.

  2. В списке отобразятся облака, синхронизированные с Azure Site Recovery.

  3. Выберите первичное облако, которое требуется защитить, и нажмите кнопку Настройка.

  4. В разделе Цель выберите VMM.

  5. В области Сервер VMM выберите сервер VMM на вторичном сайте.

  6. В меню Целевое облаковыберите вторичное облако, которое будет использоваться для отработки отказа виртуальных машин в исходном облаке.

  7. В меню Частота копирования укажите частоту синхронизации данных между исходным и целевым расположениями. Значение по умолчанию — пять минут.

  8. В поле Дополнительные точки восстановления укажите, следует ли создавать дополнительные точки восстановления (от 0 до 15). Дополнительные точки восстановления содержат один или несколько моментальных снимков: они позволяют восстановить моментальный снимок виртуальной машины на более ранний момент времени.  Если параметр равен нулю, только последняя точка восстановления для первичной виртуальной машины хранится как реплика. Если настроить параметр больше нуля, количество точек восстановления будет создаваться в соответствии с этим значением. Обратите внимание, что для включения нескольких точек восстановления требуется дополнительное хранилище для моментальных снимков, которые хранятся в каждой точке восстановления. По умолчанию точки восстановления создаются каждый час, чтобы каждая точка восстановления содержала данные, накопленные за час.

  9. В поле Частота снимков с согласованием состояния приложений укажите, как часто следует создавать моментальные снимки, соответствующие состоянию приложения. Эти снимки используют службу теневого копирования томов (VSS), чтобы обеспечить соответствие приложений при создании моментального снимка. Примечание. Включение моментальных снимков, соответствующих приложению, влияет на производительность приложений, выполняющихся на исходных виртуальных машинах.

  10. В поле Сжатие данных при передачеукажите, требуется ли сжимать передаваемые реплицированные данные.

  11. В поле Проверка подлинности укажите способ проверки подлинности трафика между основным сервером Hyper-V и серверами восстановления Hyper-V. При выборе HTTPS серверы узла будут осуществлять взаимную проверку подлинности с помощью сертификата сервера, а трафик будет шифроваться по HTTPS. При выборе Kerberos для взаимной проверки подлинности серверов узла будет использоваться билет Kerberos. По умолчанию порт 8083 и 8084 (для сертификатов) будет открыт в брандмауэре Windows на серверах узлов Hyper-V. Обратите внимание, что трафик будет отправляться по протоколу HTTP. Этот параметр действителен только для серверов VMM с системой Windows Server 2012 R2.

  12. В поле Портизмените номер порта, на котором требуется прослушивание трафика репликации исходным и целевым компьютерами узла. Например, этот параметр можно изменить, если вы хотите применять регулирование полосы пропускания качества обслуживания (QoS) для трафика репликации. Убедитесь, что порт не используется другим приложением и что он открыт в настройках брандмауэра.

  13. Перед запуском обычной репликации дельта-данных в меню Метод репликацииукажите, как будет обрабатываться первоначальная репликация данных из исходного в целевое расположение.

    • Выберите По сети для копирования данных начальной репликации по сети. Можно немедленно начать копирование или выбрать соответствующее время. Репликацию сети рекомендуется планировать в часы наименьшей нагрузки.

    • Выберите В автономном режиме, чтобы начальная репликация выполнялась с помощью внешних носителей. Укажите расположение экспорта в исходном облаке и расположение импорта в целевом облаке. При включении защиты для виртуальной машины виртуальный жесткий диск копируется в указанное расположение экспорта. Вы отправляете его на целевой сайт и копируете в расположение импорта. Система копирует импортированные сведения на виртуальные машины реплики.

  14. Установите флажок Удалить реплику виртуальной машины, чтобы указать, что реплика виртуальной машины должна быть удалена, если вы останавливаете защиту виртуальную машину с помощью флажка Отключить защиту для виртуальной машины на вкладке Виртуальные машины свойств облака. Когда этот параметр включен, то при отключении защиты виртуальная машина удаляется из Azure Site Recovery, параметры Site Recovery для виртуальной машины удаляются из консоли VMM, также удаляется реплика.

Настройка модулей Runbook

Несколько модулей Runbook позволяют настроить защиту виртуальной машины. На первичном сайте планируется и настраивается главный модуль Runbook. Он, в свою очередь, автоматически вызывает другие модули Runbook в соответствии с указанным расписанием.

  1. Скачивание модулей Runbook

  2. Настройка и планирование главного модуля Runbook

В следующей таблице перечислены модули Runbook.

Модуль Runbook

Сведения

Параметры

InvokeAzureSiteRecoveryProtectionJob.ps1

Главный модуль Runbook. Он вызывает другие модули Runbook в следующем порядке.

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

После запуска модуля Runbook регистрации это — единственный модуль Runbook, который необходимо выполнить.

LeaderVMMConnection— тип актива: подключение; тип подключения: подключение VMM;

Nonleader/SecondaryVMMConnection— тип актива: подключение; тип подключения: подключение VMM;

PrimarySiteAdminConnection— тип актива: подключение; тип подключения: MgmntSvcAdmin;.

PrimaryVmmAdminConnection— тип актива: подключение. Тип подключения: подключение VMM;

RecoverySiteAdminConnection— тип актива: подключение; тип подключения: MgmntSvcAdmin;

RecoverySitePlanSuffix— необязательно. Тип актива: подключение; тип подключения: MgmntSvcAdmin;

Add-AzureSiteRecoverySubscription.ps1

Автоматически добавляет все подписки на планы в первичной метке с включенной службой Azure Site Recovery в планы во вторичную метку.

Параметры задаются в главном модуле Runbook

Add-AzureSiteRecoverySecretTransferKey.ps1 

Синхронизирует ключ шифрования между первичным и вторичным серверами VMM. Этот ключ шифрования создается автоматически при первом запуске Azure Site Recovery. При репликации виртуальных машин клиента во вторичный центр обработки данных связанные сведения о клиенте позволяют клиенту получить доступ к реплицированным виртуальным машинам в случае отработки отказа. Этот ключ используется для шифрования метаданных.

Параметры задаются в главном модуле Runbook

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

Запрашивает все подписки и проверяет, включена ли защита. Затем для каждой подписки запрашиваются все виртуальные машины и включается защита, если для соответствующей подписки включена функция защиты.

Параметры задаются в главном модуле Runbook

Get-WindowsToken.ps1

Другие модули Runbook используют этот модуль Runbook для выполнения командлетов.

None

Скачивание модулей Runbook

  1. Скачайте модули Runbook из Центра скриптов Майкрософт.

  2. Импортируйте и опубликуйте их в следующем порядке:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (главный модуль Runbook)

Настройка и планирование главного модуля Runbook

  1. Вмодулях Runbookслужбы автоматизации> щелкните, чтобы открыть InvokeAzureSiteRecoveryProtectionJob.ps1.

  2. Выберите пункт Расписание , чтобы указать время запуска модуля Runbook. На странице Настройка расписания укажите имя и описание расписания.

  3. В меню Время выберите пункт Ежедневно и укажите время начала.

  4. В меню Укажите значения параметров модулей Runbook укажите параметры модулей Runbook, которые вызываются главным модулем Runbook.

    1. LeaderVMMConnection— полное доменное имя компьютера под управлением VMM и учетные данные администратора компьютера. Укажите имя созданной переменной активов.

    2. NonLeaderVMMConnection— полное доменное имя компьютера на вторичном сайте под управлением VMM и учетные данные администратора. Укажите имя созданной переменной активов.

    3. PrimarySiteAdminConnection— полное доменное имя компьютера в первичном центре обработки данных под управлением портала администратора Azure Pack и учетные данные администратора. Этот параметр необходим для входа на первичный портал. Укажите имя созданной переменной активов.

    4. PrimaryVmmAdminConnection — полное доменное имя первичного сервера VMM и учетные данные администратора.

    5. RecoverySiteAdminConnection— полное доменное имя компьютера во вторичном центре обработки данных под управлением портала администратора Azure Pack и учетные данные администратора.

    6. RecoverySitePlanSuffix— если имя плана в первичном центре обработки данных не содержит суффикс –Recovery , необходимо предоставить текстовый суффикс, чтобы можно было синхронизировать подписки в планах вторичного центра обработки данных.

Настройка планов

После настройки параметров облака и модулей Runbook добавьте параметр защиты в планы или надстройки.

  1. Включение защиты— включите защиту в первичном центре обработки данных для существующего плана или надстройки. В качестве альтернативы можно создать новый план с включенной защитой.

  2. Создание частного плана во вторичном центре обработки данных— необходимо вручную создать частный план с теми же параметрами во вторичном центре обработки данных.

Включение защиты в плане или надстройке

  1. Чтобы добавить функцию в опубликованный план на портале Azure Pack, щелкните пункт Планы. На вкладке Планы откройте соответствующий план или надстройку на вкладке Надстройки .

  2. В меню Службы плана или Службы надстройки щелкните Облака виртуальных машин. В меню Пользовательские параметры выберите пункт Включить защиту для всех виртуальных машин.

Создание плана во вторичном центре обработки данных

Необходимо вручную создать план с теми же параметрами на вторичном сайте. С помощью этого плана модуль Runbook Add-AzureSiteRecoverySubscription.ps1 автоматически создаст подписки в плане на первичном сайте в рамках соответствующего плана на вторичном сайте.

  1. Чтобы создать план на портале Azure Pack, щелкните "Планы" в левой области > навигации "Создать > план". В разделе "Создание плана размещения" создайте план с параметрами, соответствующими плану на первичном сайте.

  2. Обратите внимание, что имя плана должно быть в формате <PrimaryPlanName-text>><.< PrimaryPlanName> должен быть именем плана на первичном сайте. Рекомендуется использовать –Recovery , так как это суффикс по умолчанию, распознаваемый модулем Runbook Add-AzureSiteRecoverySubscription.ps1, который автоматически синхронизирует подписки для планов на первичном сайте с частными планами на вторичном сайте. Пример. MyPrimaryPlan–Recovery

Действия клиента

Чтобы развернуть защиту виртуальных машин, клиентам потребуется выполнить следующие действия.

  • Подписаться на план или надстройку— после обсуждения требований к защите виртуальных машин, клиенты используют портал самообслуживания Azure Pack, чтобы подписаться на план или надстройку на первичном сайте с включенной защитой.

    Если план с теми же параметрами был создан на вторичном сайте, главный модуль Runbook вызывает Add-AzureSiteRecoverySubscription.ps1 для создания подписки клиента во вторичном плане.

  • Создание виртуальной машины— клиент создает виртуальную машину или роль виртуальной машины в рамках подписки, связанной с планом или надстройкой. Виртуальная машина создается на связанном облаке VMM. Владелец виртуальной машины — это имя пользователя, создавшего виртуальную машину.

  • Создание сетей виртуальных машин— на портале самообслуживания Azure Pack клиенты могут при необходимости создавать виртуальные сети на базе логических сетей VMM. Клиенты должны создать виртуальные сети, если они хотят убедиться, что после отработки отказа виртуальные машины реплики будут подключены к соответствующим сетям.

    . Когда клиент создает виртуальную сеть, на связанном облаке VMM создается сеть виртуальных машин с теми же параметрами.

Настройка сетевого сопоставления

После создания сетей виртуальных машин клиентами на портале Azure Site Recovery можно настроить сетевое сопоставление для сопоставления сетей виртуальных машин на первичном сайте с сетями виртуальных машин на вторичном сайте. Эти сопоставления указывают способ подключения виртуальных машин реплики после отработки отказа.

  1. На сервере VMM вторичного сайта создайте сеть виртуальных машин с теми же параметрами, которые используются в сети виртуальных машин, автоматически созданной на первичном сервере VMM. Затем настройте сетевое сопоставление.

  2. На портале Azure Site Recovery откройте страницу >"Сеть ресурсов>".

  3. Выберите исходный сервер VMM, с которого требуется выполнять сопоставление сетей, а затем целевой сервер VMM, на котором будут сопоставляться сети. На экран будет выведен список исходных сетей и соответствующих им целевых сетей. Для сетей, которые в данный момент не сопоставлены, отобразится пустое значение. Чтобы просмотреть подсети для каждой сети, щелкните значок сведений напротив имен сетей.

  4. Выберите сеть в пункте Сеть источника и щелкните Сопоставить. Служба обнаруживает сети виртуальных машин на целевом сервере и отображает их. 

  5. Выберите сеть виртуальных машин на целевом сервере VMM. Отобразятся защищенные облака, которые используют исходную сеть. Также отображаются доступные целевые сети, связанные с облаками, используемыми для защиты. Рекомендуется выбрать целевую сеть, которая доступна для всех облаков, используемых для защиты.

  6. Установите флажок для завершения процесса сопоставления. Запускается задание, отслеживающее ход выполнения сопоставления. Его можно просмотреть на вкладке Задания .

Проверка учетных записей пользователей

Для репликации виртуальных машин вторичный Microsoft Azure Pack должен распознать учетные данные пользователя.

  • Если клиент выполняет проверку подлинности с помощью Active Directory, убедитесь, что вторичный сайт распознает учетные данные пользователя. Обратите внимание, что первичный и вторичный сайты должны входить в один лес Active Directory.

  • Если используется другая форма проверки подлинности, убедитесь, что учетные данные доступны на вторичном сайте.

Обнаружение и репликация виртуальных машин

Модуль Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 обнаруживает подписки на планы или надстройки с включенной защитой, а затем включает защиту для виртуальных машин в этих подписках. Это происходит автоматически в соответствии с расписанием модуля Runbook. Никаких действий администратора не требуется.

Запуск отработки отказа

После выполнения первоначальной репликации предстоит запустить отработку отказа следующим образом.

  • Тестовая отработка отказа — выполните, чтобы проверить среду, не влияя на производственную инфраструктуру. Тестовую отработку отказа можно запустить, если клиент запрашивает ее. Инструкции см. в разделе Запуск тестовой отработки отказа.

  • Запланированная отработка отказа — выполните для запланированного обслуживания или в случае неожиданного сбоя. См. раздел Запуск отработки отказа.

  • Незапланированная отработка отказа — запуск для аварийного восстановления из-за незапланированного времени простоя. См. раздел Запуск отработки отказа.

Доступ к реплицированным виртуальным машинам

Отработка отказа с помощью Azure Site Recovery создает виртуальную машину реплики на вторичном сайте, синхронизирует сведения о подписке и связывает виртуальную машину реплики с той же подпиской клиента. После отработки отказа клиент может войти на портал Azure на портале WAP вторичного центра обработки данных с помощью тех же учетных данных, которые использовались в первичном центре обработки данных, и получить доступ к виртуальным машинам реплики с портала.  Обратите внимание, что если клиенты получают доступ к виртуальным машинам в первичном центре обработки данных через VPN-подключение, потребуется настроить VPN-подключение между расположением клиента и вторичным центром обработки данных, чтобы они также могли получить доступ к реплицированным виртуальным машинам через VPN.