使用 Azure Site Recovery 为灾难恢复做准备
在上一单元中,我们探讨了 Azure Site Recovery 的功能。 接下来,我们要在 Azure 环境中为灾难恢复做准备。
使用我们组织的业务连续性和灾难恢复 (BCDR) 计划,我们可以运行 Site Recovery 配置,并设置符合组织 BCDR 目标的动态准备计划。 假设我们使用美国西部 Azure 区域承载现有解决方案,并决定使用美国东部区域承载副本。
在此我们将探讨如何利用 Site Recovery 的自动功能来准备灾难恢复方案。
环境设置
我们需要为后续单元中的练习设置环境。 由于此安装需要几分钟时间才能完成,我们将立即开始该过程,并在后台完成配置期间学习一些理论。
注意
如果你想要完成以下设置,但没有 Azure 订阅或不想使用自己的帐户,则需要在开始之前创建一个免费帐户。
假设我们在组织中配置了两个 VM。 我们将在美国西部区域配置以下服务来模拟这两个已配置的 VM。
- 虚拟网络
- 两个 VM
- 存储帐户
我们还将在美国东部配置资源组。 稍后我们会将 Site Recovery 配置为使用美国东部区域作为目标环境。
第一步是创建练习环境。 我们将运行在 Azure 中创建公司基础结构的脚本。 脚本完成后,我们将拥有一个虚拟网络、两个 VM 以及将用于恢复服务保管库的存储帐户。
使用你的凭据登录到 Azure 门户,并启动 Cloud Shell 会话。
在 Cloud Shell 工具栏中,确保正在运行 Bash 会话。
使用以下命令复制 Azure 资源管理器 JSON 模板以创建公司的基础结构:
curl https://raw.githubusercontent.com/MicrosoftDocs/mslearn-protect-infrastructure-with-azure-site-recovery/master/deploy.json > deploy.json运行以下命令,创建资源组和公司的基础结构:
az group create --name east-coast-rg --location eastus2 az group create --name west-coast-rg --location westus2 az deployment group create \ --name asrDeployment \ --template-file deploy.json \ --parameters storageAccounts_asrcache_name=asrcache$RANDOM \ --resource-group west-coast-rg
配置环境最多可能需要 5 分钟时间。 可以继续学习本单元的其余部分,同时等待部署完成。
使用 Azure Site Recovery 进行灾难恢复准备
Site Recovery 可管理和协调用于 Azure VM 或本地计算机的 DR 过程。 但是,我们需要配置多个组件才能启用它。 我们需要:
- 添加恢复服务保管库
- 组织目标资源
- 配置出站网络连接
- 在现有 VM 上设置复制
什么是恢复服务保管库?
恢复服务保管库使 Site Recovery 能够完成灾难恢复复制。 这些保管库使用存储帐户来存储数据备份、VM 配置设置和工作负荷。 若要满足 Site Recovery 的要求,我们需要使用门户或 Azure CLI 预配恢复服务保管库。
什么是目标资源?
目标资源是现有资源复制后创建的所有 Azure 服务。 在此方案中,我们将在美国东部区域(目标环境)创建所有目标资源。 选择目标资源区域时需要牢记几个注意事项:
- Site Recovery 复制的目标资源必须位于与源资源不同的 Azure 区域中。
- 存储备份数据的存储帐户也必须与受保护的资源分处不同的区域。
- 目标区域会创建 VM,并且具有与现有 VM 大小相当的资源。
配置出站网络连接和 URL
Site Recovery 需要你要复制的 VM 上的出站连接。
使用在 Azure 中创建的 VM 时,会自动设置所需的网络连接。 但是,将本地 VM 迁移到 Azure 时,可能需要更新网络连接。
Site Recovery 不支持通过身份验证代理来控制网络连接。 如果你的组织使用基于 URL 的防火墙代理来限制出站连接,你将需要添加对多个 URL 的访问权限。
| URL | 说明 |
|---|---|
| login.microsoftonline.com | 方便 Azure Site Recovery URL 进行身份验证 |
| *.blob.core.windows.net | 用于将 VM 数据写入源存储帐户缓存 |
| *.hypervrecoverymanager.windowsazure.com | 方便 Site Recovery 与 VM 通信 |
| *.servicebus.windows.net | 方便 Site Recovery 监视和诊断来自 VM 的数据 |
如果更喜欢使用 IP 地址控制连接,则需要添加以下对象的 IP 地址范围:
- Azure 数据中心
- Site Recovery 终结点
更新 Azure VM 根证书
要复制的每个 Azure VM 都必须注册到 Site Recovery。 为注册 VM,Site Recovery 需要 VM 上安装的最新根证书。 在 Windows VM 上,需要确保安装所有最新的 Windows 更新。 在 Linux VM 上,更新根证书的过程因分发版本而异。 需遵循分销商发布的指南。
配置帐户权限
Site Recovery 默认在 Azure 中使用基于角色的访问控制 (RBAC)。 RBAC 允许精细化访问控制,并允许使用多个内置 Site Recovery 角色:
| 角色 | 说明 |
|---|---|
| Site Recovery 参与者 | 参与者具有恢复服务保管库中 Site Recovery 操作的完整权限,适合于灾难恢复管理员。 |
| Site Recovery 操作员 | 操作员有权运行和管理 Site Recovery 故障转移和故障回复操作,适合于灾难恢复操作员。 |
| Site Recovery 读取者 | 读者有权查看 Site Recovery 操作,适合于 IT 监视主管。 |
若要在 VM 上启用复制,用户必须具有在虚拟网络和资源组中创建 VM 的权限。
什么是 Azure 移动服务?
要复制的每个 VM 都需要安装 Azure 移动服务。 此客户端适用于 Windows 和 Linux VM,并将由 Site Recovery 自动安装和配置。 如果自动安装失败,可以手动安装该服务。
移动服务与 Site Recovery 联合保留 VM 数据的最新缓存。 缓存将复制到目标环境的存储帐户。 如果 Site Recovery 对环境进行故障转移,将使用复制的数据。