通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 政府区域和公共区域之间移动 Azure 虚拟机

  • 项目

你可能需要在 Azure 政府区域和公共区域之间移动 IaaS 虚拟机,以提高现有虚拟机的可用性、提高可管理性或满足治理方面的需求,详情请参见此处

除了使用 Azure Site Recovery 服务来管理和协调本地计算机和 Azure 虚拟机的灾难恢复以实现业务连续性和灾难恢复 (BCDR) 以外,你还可以使用 Site Recovery 来管理以另一个区域为目的地的 Azure 虚拟机移动。

本教程介绍如何使用 Azure Site Recovery 在 Azure 政府区域与公共区域之间移动 Azure 虚拟机。 但也同样适用于在分属不同地理集群的区域对之间移动虚拟机的情况。 本教程介绍如何执行下列操作:

  • 验证先决条件
  • 准备源虚拟机
  • 准备目标区域
  • 将数据复制到目标区域
  • 测试配置
  • 执行移动
  • 丢弃源区域中的资源

重要

本教程介绍如何在 Azure 政府区域和公共区域之间移动 Azure 虚拟机,以及如何在 Azure 虚拟机的常规灾难恢复解决方案不支持的区域对之间移动 Azure 虚拟机。 如果源和目标区域对受支持,请参阅此文档进行移动。 如果要求通过将可用性集中的虚拟机移动到其他区域中的特定可用性区域来提高可用性,请参阅此处的教程。

重要

不建议使用此方法在不支持的区域对之间配置 DR,因为定义这些对时要考虑到数据延迟,这对于 DR 方案至关重要。

验证先决条件

注意

请确保了解此方案的体系结构和组件。 此体系结构将用于通过将 VM 视为物理服务器的方式来移动 Azure 虚拟机

  • 查看所有组件的支持要求

  • 请确保想要复制的服务器符合 Azure VM 要求

  • 准备一个帐户用于在要复制的每个服务器上自动安装移动服务。

  • 故障转移到 Azure 中的目标区域后,无法直接执行故障回复到源区域。 必须再次将复制设置回目标。

验证 Azure 帐户权限

确保 Azure 帐户有权将虚拟机复制到 Azure。

设置 Azure 网络

设置目标 Azure 网络

  • 在故障转移后创建 Azure 虚拟机时,会将这些虚拟机置于此网络中。
  • 该网络应位于与恢复服务保管库相同的区域

设置 Azure 存储帐户

设置 Azure 存储帐户

  • Site Recovery 将本地计算机复制到 Azure 存储。 发生故障转移后,将在存储中创建 Azure 虚拟机。
  • 存储帐户必须位于与恢复服务保管库相同的区域。

准备源虚拟机

准备一个帐户用于安装移动服务

必须在要复制的每个服务器上安装 Mobility Service。 为服务器启用复制后,Site Recovery 会自动安装此服务。 若要自动安装,需要准备一个由 Site Recovery 用于访问服务器的帐户。

  • 可以使用域或本地帐户
  • 对于 Windows 虚拟机,如果不使用域帐户,请在本地计算机上禁用远程用户访问控制。 为此,请在注册表中的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 下添加值为 1 的 DWORD 项 LocalAccountTokenFilterPolicy
  • 若要添加注册表项以禁用 CLI 中的设置,请键入:REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1.
  • 对于 Linux,该帐户应是源 Linux 服务器上的根。

准备目标区域

  1. 验证 Azure 订阅是否允许在用于灾难恢复的目标区域中创建虚拟机。 请联系支持部门,启用所需配额。

  2. 确保订阅有足够的资源来支持大小与源虚拟机匹配的虚拟机。 如果使用 Site Recovery 将数据复制到目标,Site Recovery 会为目标虚拟机选择相同的大小或尽可能接近的大小。

  3. 确保为源网络布局中标识的每个组件创建目标资源。 只有这样,才能确保在直接转换到目标区域之后,虚拟机具有源中的所有功能和特性。

    注意

    当你为源虚拟机启用复制时,Azure Site Recovery 会自动发现和创建虚拟网络,你也可以预先创建网络,并将其分配给用户流中的虚拟机以启用复制。 但是,需要在目标区域中手动创建其他任何资源。

    请参阅以下文档,根据源虚拟机配置创建最常用的相关网络资源。

    对于其他任何网络组件,请参阅网络文档

  4. 若要在最终转接到目标区域之前测试配置,请在目标区域中手动创建非生产网络。 这可以尽量减少对生产造成的干扰,也是建议的做法。

将数据复制到目标区域

以下步骤引导你使用 Azure Site Recovery 将数据复制到目标区域。

在除了源区域之外的任意区域中创建保管库。

  1. 登录到 Azure 门户>恢复服务
  2. 单击“创建资源”>“管理工具”>“备份和 Site Recovery”。
  3. 在“名称” 中,指定友好名称 ContosoVMVault。 如果有多个订阅,请选择合适的一个。
  4. 创建资源组 ContosoRG
  5. 指定 Azure 区域。 若要查看受支持的区域,请参阅 Azure Site Recovery 定价详细信息中的“地域可用性”。
  6. 在“恢复服务保管库”中,单击“概述”>“ContosoVMVault”>“+复制”
  7. 选择“到 Azure”>“未虚拟化/其他”。

对配置服务器进行相关设置以发现虚拟机。

对配置服务器进行相关设置,将其注册到保管库中,并发现虚拟机。

  1. 单击“Site Recovery” >“准备基础结构” >“源” 。

  2. 如果尚未准备好配置服务器,可以使用“添加配置服务器”选项。

  3. 在“添加服务器”中,检查“配置服务器”是否已显示在“服务器类型”中。

  4. 下载站点恢复统一安装程序安装文件。

  5. 下载保管库注册密钥。 运行统一安装程序时需要用到此密钥。 生成的密钥有效期为 5 天。

    “添加服务器”页面的屏幕截图。

在保管库中注册配置服务器

开始之前,请执行以下操作:

验证时间准确性

在配置服务器计算机上,确保将系统时钟与时间服务器进行同步。 它应与之匹配。 如果它提前或落后 15 分钟,安装程序可能会失败。

验证连接性

确保计算机可以根据你的环境访问这些 URL:

名称 商用 URL 政府 URL 说明
Microsoft Entra ID login.microsoftonline.com login.microsoftonline.us 用于访问控制和标识管理。
备份 *.backup.windowsazure.com *.backup.windowsazure.us 用于复制数据传输和协调。
复制 *.hypervrecoverymanager.windowsazure.com *.hypervrecoverymanager.windowsazure.us 用于复制管理操作和协调。
存储 *.blob.core.windows.net *.blob.core.usgovcloudapi.net 用于访问存储所复制数据的存储帐户。
遥测(可选) dc.services.visualstudio.com dc.services.visualstudio.com 用于遥测。
时间同步 time.windows.com time.nist.gov 用于检查所有部署中的系统时间与全球时间之间的时间同步。

基于 IP 地址的防火墙规则应允许通过 HTTPS (443) 端口与上面列出的所有 Azure URL 进行通信。 为了简化和限制 IP 范围,建议进行 URL 筛选。

  • 商用 IP:允许 Azure 数据中心 IP 范围和 HTTPS (443) 端口。 允许订阅的 Azure 区域的 IP 地址范围以支持 Microsoft Entra ID、备份、复制和存储 URL。
  • 政府 IP - 允许所有 USGov 区域(弗吉尼亚州、德克萨斯州、亚利桑那州和爱荷华州)的 Azure 政府数据中心 IP 范围和 HTTPS (443) 端口,以支持 Microsoft Entra ID、备份、复制和存储 URL。

运行安装程序

以本地管理员身份运行统一安装程序,安装配置服务器。 进程服务器和主目标服务器也默认安装在配置服务器上。

  1. 运行统一安装程序安装文件。

  2. 在“开始之前”中,选择“安装配置服务器和进程服务器” 。

    统一设置中“开始之前”屏幕的屏幕截图。

  3. 在“第三方软件许可证”中单击“我接受”,下载并安装 MySQL 。

    统一设置中“第三方软件许可”屏幕的屏幕截图。

  4. 在“注册”中,选择从保管库下载的注册密钥。

    统一设置中“注册”屏幕的屏幕截图。

  5. 在“Internet 设置”中,指定配置服务器上运行的提供程序通过 Internet 连接到 Azure Site Recovery 的方式。 确保已允许所需的 URL。

    • 如果想要使用当前已在计算机上设置的代理进行连接,请选择“使用代理服务器连接到 Azure Site Recovery”。
    • 如果希望提供程序直接进行连接,请选择“在不使用代理服务器的情况下直接连接到 Azure Site Recovery” 。
    • 如果现有代理要求身份验证,或者你想要使用自定义代理进行提供程序连接,请选择“使用自定义代理设置进行连接”,并指定地址、端口和凭据。 统一设置中“Internet 设置”屏幕的屏幕截图。

  6. 在“先决条件检查”设置中运行检查,确保安装可以运行。 如果看到有关全局时间同步检查的警告,请检查系统时钟的时间(“日期和时间”设置)是否与时区相同。

    统一设置中“必备项检查”屏幕的屏幕截图。

  7. 在“MySQL 配置”中,创建用于登录到要安装的 MySQL 服务器实例的凭据。

    统一设置中“MySQL 配置”屏幕的屏幕截图。

  8. 在“环境详细信息” 中,如果要复制 Azure Stack VM 或物理服务器,请选择“否”。

  9. 在“安装位置”中,选择要安装二进制文件和存储缓存的位置。 所选驱动器必须至少有 5 GB 的可用磁盘空间,但我们建议选择至少有 600 GB 可用空间的缓存驱动器。

    统一设置中“安装位置”屏幕的屏幕截图。

  10. 网络选择中,首先选择内置进程服务器用于发现的 NIC,将移动服务的安装推送到源计算机上,然后选择配置服务器用来与 Azure 连接的 NIC 。 端口 9443 是用于发送和接收复制流量的默认端口,但可以根据环境的要求修改此端口号。 除了端口 9443 以外,还要打开端口 443,Web 服务器将使用该端口协调复制操作。 请不要使用端口 443 来发送或接收复制流量。

    统一设置中“网络选择”屏幕的屏幕截图。

  11. 在“摘要”中复查信息,并单击“安装”。 安装完成后,将生成通行短语。 启用复制时需要用到它,因此请复制并将它保存在安全的位置。

    统一设置中“摘要”屏幕的屏幕截图。

注册完成后,服务器将显示在保管库的“设置”>“服务器”边栏选项卡中 。

注册完成后,配置服务器会显示在保管库的“设置”>“服务器”页中。

配置复制的目标设置

选择并验证目标资源。

  1. 单击“准备基础结构” >“目标” ,并选择要使用的 Azure 订阅。

  2. 在“目标设置”选项卡中,执行以下操作:

    1. 在“订阅”下,选择要使用的 Azure 订阅。
    2. 在“故障转移后部署模型”下,指定目标部署模型。

  3. Site Recovery 检查是否有一个或多个兼容的 Azure 存储帐户和网络。 “目标设置”页面的屏幕截图。

创建复制策略

  1. 若要创建新的复制策略,请单击“Site Recovery 基础结构” >“复制策略” >“+ 复制策略” 。
  2. 在“创建复制策略” 中指定策略名称。
  3. 在“RPO 阈值”中,指定恢复点目标 (RPO) 限制 。 此值指定创建数据恢复点的频率。 如果连续复制超出此限制,将生成警报。
  4. 在“恢复点保留期”中,指定每个恢复点的保留期时长(以小时为单位) 。 复制的虚拟机可以恢复到一个时间段内的任何时间点。 复制到高级存储的计算机最多支持 24 小时的保留期,复制到标准存储的计算机最多支持 72 小时的保留期。
  5. 在“应用一致性快照频率”中,指定创建包含应用程序一致性快照的恢复点的频率(以分钟为单位)。 单击“确定”创建该策略。 “复制策略”页面的屏幕截图。

此策略自动与配置服务器关联。 默认情况下会自动创建一个匹配策略以用于故障回复。 例如,如果复制策略是 rep-policy,则创建故障回复策略 rep-policy-failback 。 从 Azure 启动故障回复之前,不会使用此策略。

启用复制

  • 启用复制后,Site Recovery 会安装移动服务。
  • 为服务器启用复制后,可能要等 15 分钟或更长时间,更改才会生效并显示在门户中。

  1. 单击“复制应用程序”>“源”。

  2. 在“源”中选择配置服务器。

  3. 在“计算机类型”中,选择“物理计算机” 。

  4. 选择进程服务器(配置服务器)。 然后单击“确定” 。

  5. 在“目标”中,选择要在故障转移后创建 Azure 虚拟机的订阅和资源组。 选择要在 Azure 中使用的部署模型(经典或资源管理)。

  6. 选择要用于复制数据的 Azure 存储帐户。

  7. 选择在故障转移后创建 Azure 虚拟机时,虚拟机要连接到的 Azure 网络和子网。

  8. 选择“立即为选定的计算机配置” ,将网络设置应用到选择保护的所有计算机。 选择“稍后配置”以选择每个计算机的 Azure 网络。

  9. 在“物理计算机”中,单击“+物理计算机” 。 指定名称和 IP 地址。 选择要复制的计算机的操作系统。 发现和列出服务器需要几分钟的时间。

    警告

    你需要输入要移动的 Azure 虚拟机的 IP 地址

  10. 在“属性”>“配置属性”中,选择进程服务器在计算机上自动安装移动服务时使用的帐户。

  11. 在“复制设置”>“配置复制设置”中,检查是否选择了正确的复制策略。

  12. 单击“启用复制”。 可以在“设置”>“作业”>“Site Recovery 作业”中,跟踪“启用保护”作业的进度。 在“完成保护”作业运行之后,计算机就可以进行故障转移了。

若要监视添加的服务器,可在“配置服务器”>“上次联系位置”查看上次发现服务器的时间。 若要添加计算机而不想要等待计划的发现时间,请突出显示配置服务器(不要单击它),并单击“刷新” 。

测试配置

  1. 导航到保管库,在“设置”>“复制的项”中,单击要移到目标区域的虚拟机,然后单击“+测试故障转移”图标。

  2. 在“测试故障转移” 中,选择要用于故障转移的恢复点:

    • 最新处理:将虚拟机故障转移到 Site Recovery 服务处理的最新恢复点。 将显示时间戳。 使用此选项时,无需费时处理数据,因此 RTO(恢复时间目标)会较低
    • 最新的应用一致:此选项会将所有虚拟机故障转移到最新的应用一致恢复点。 将显示时间戳。
    • 自定义:选择任何恢复点。

  3. 选择要将 Azure 虚拟机移动到的目标 Azure 虚拟网络,以测试配置。

    重要

    建议为测试故障转移使用单独的 Azure 虚拟机网络,而不是在启用复制时设置的最终要将虚拟机移动到的生产网络。

  4. 若要开始测试移动,请单击“确定”。 若要跟踪进度,请单击相应虚拟机以打开其属性。 或者,可以在保管库名称 >“设置”>“作业”>“Site Recovery 作业”中单击“测试故障转移”作业。

  5. 故障转移完成后,副本 Azure 虚拟机会显示在 Azure 门户 >“虚拟机”中。 请确保虚拟机正在运行、大小适当且连接到合适的网络。

  6. 如果要删除在移动测试过程中创建的虚拟机,请在复制的项上单击“清理测试故障转移”。 在“说明”中,记录并保存与测试关联的任何观测结果。

执行移到目标区域的操作并确认。

  1. 导航到保管库,在“设置”>“复制的项”中单击虚拟机,然后单击“故障转移”。
  2. 在“故障转移” 中,选择“最新” 。
  3. 选择“在开始故障转移前关闭计算机”。 Site Recovery 将尝试在触发故障转移之前关闭源虚拟机。 即使关机失败,故障转移也仍会继续。 可以在“作业”页上跟踪故障转移进度。
  4. 该作业完成后,请检查虚拟机是否按预期显示在目标 Azure 区域中。
  5. 在“复制的项”中,右键单击相应的虚拟机 >“提交”。 这会完成移到目标区域的过程。 请等待提交作业完成。

丢弃源区域中的资源

  • 导航到相应虚拟机。 单击“禁用复制” 。 这会停止复制虚拟机的数据的过程。

    重要

    只有执行此步骤才能避免 ASR 复制产生费用。

如果你不打算重复使用任何源资源,请继续执行下一组步骤。

  1. 继续删除在准备源虚拟机的步骤 4 中列出的、位于源区域内的所有相关网络资源
  2. 删除源区域中的相应存储帐户。

后续步骤

在本教程中,你将 Azure 虚拟机移动到了其他 Azure 区域。 接下来,可以为移动的虚拟机配置灾难恢复: