Поделиться через

Репликация компьютеров с частными конечными точками

Azure Site Recovery позволяет использовать частные конечные точки Приватного канала Azure для репликации компьютеров из изолированной виртуальной сети. Доступ к хранилищу восстановления в частной конечной точке поддерживается во всех регионах Azure для коммерческих и государственных организаций.

В этой статье приведены инструкции по выполнению следующих действий.

  • Создание хранилища Служб восстановления Azure Backup для защиты компьютеров.
  • Включите управляемое удостоверение для хранилища ключей и предоставьте необходимые разрешения для доступа к клиентским учетным записям хранения, чтобы реплицировать трафик из исходных в целевые расположения. Доступ к управляемому удостоверению для хранилища необходим при настройке доступа Private Link к хранилищу.
  • Внесение изменений DNS, необходимых для частных конечных точек
  • Создание и утверждение частных конечных точек для хранилища в виртуальной сети
  • Создайте частные конечные точки для учетных записей хранения. При необходимости можно разрешить общий доступ к хранилищу или доступ через брандмауэр. Создание частной конечной точки для доступа к хранилищу не является обязательным для Azure Site Recovery.

Ниже приведена эталонная архитектура по изменению рабочего процесса репликации с помощью частных конечных точек.

Эталонная архитектура Site Recovery с частными конечными точками.

Предварительные требования и пояснения

  • Частные конечные точки:
    • Частные конечные точки можно создавать только для новых хранилищ служб восстановления, у которых нет элементов, зарегистрированных в хранилище. Таким образом, частные конечные точки необходимо создать перед добавлением элементов в хранилище. Просмотрите структуру ценообразования для частных конечных точек.
    • Частная конечная точка для служб восстановления поддерживает только динамические IP-адреса. Статические IP-адреса не поддерживаются.
    • Если для хранилища создается частная конечная точка, хранилище заблокировано и недоступно из сетей, отличных от сетей с частными конечными точками.
    • Частные конечные точки для хранилища можно создавать только в типе общего назначения версии 2. Просмотрите структуру ценообразования для передачи данных в GPv2.
  • Microsoft Entra ID в настоящее время не поддерживает частные конечные точки. Таким образом, IP-адреса и полные доменные имена, которые необходимы для работы Microsoft Entra ID в регионе, должны иметь разрешен исходящий доступ из защищенной сети. Вы также можете использовать тег Azure Active Directory группы безопасности сети и теги брандмауэра Azure для предоставления доступа к идентификатору Microsoft Entra, как применимо.
  • IP-адреса:
    • В подсетях исходных компьютеров и компьютеров восстановления требуются по крайней мере девять IP-адресов. При создании частной конечной точки для хранилища Site Recovery создает пять приватных каналов для доступа к своим микрослужбам. Кроме того, при включении репликации он добавляет два дополнительных частных канала для связывания исходного и целевого регионов.
    • В исходной и подсети восстановления требуется один дополнительный IP-адрес. Этот IP-адрес необходим только в том случае, если необходимо использовать частные конечные точки, подключающиеся к учетным записям хранения кэша.

Создание и использование частных конечных точек для Site Recovery

В этом разделе рассматриваются действия, связанные с созданием и использованием частных конечных точек для Azure Site Recovery в виртуальных сетях.

Замечание

Настоятельно рекомендуется выполнить эти действия в той же последовательности, что и предоставлено. Неудача в выполнении этого может привести к тому, что хранилище не сможет использовать закрытые конечные точки, и вам потребуется перезапустить процесс с новым хранилищем.

Создайте хранилище для служб восстановления

Хранилище служб восстановления — это сущность, содержащая сведения о репликации компьютеров и используемая для активации операций Site Recovery. Дополнительные сведения см. в разделе "Создание хранилища служб восстановления".

Включите управляемое удостоверение для хранилища

Управляемое удостоверение позволяет хранилищу получать доступ к учетным записям хранения клиента. Site Recovery должен получить доступ к исходному хранилищу, целевому хранилищу и учетным записям хранения кэша или журнала в зависимости от требования сценария. Использование управляемой идентификации необходимо в случае применения службы частных ссылок для хранилища данных.

  1. Перейдите в хранилище Служб восстановления. Выберите Идентификация в разделе настройки.

    Отображает портал Azure и страницу служб восстановления.

    Замечание

    Назначенное системой управляемое удостоверение, назначаемое пользователем, поддерживается для хранилища служб восстановления.

  2. Измените Состояние на Вкл и нажмите кнопку Сохранить.

  3. Создается идентификатор объекта, указывающий, что хранилище теперь зарегистрировано в Azure Active Directory.

Создание частных конечных точек для хранилища Служб восстановления

Чтобы включить как отработку отказа, так и возврат к предыдущему состоянию для виртуальных машин Azure, потребуется две частные конечные точки для хранилища. Одна частная конечная точка для защиты компьютеров в исходной сети и другая для повторной защиты восстановленных после сбоя компьютеров в сети восстановления.

Убедитесь, что вы создаете виртуальную сеть восстановления в целевом регионе в ходе этого процесса настройки.

Замечание

В настоящее время нельзя настроить учетную запись автоматизации для использования частных конечных точек для автоматического обновления агентов. Эта конфигурация требует, чтобы была настроена частная конечная точка для хранилища; тем не менее, задачи облачных учетных записей автоматизации не могут получить доступ к ресурсам Azure, защищенным частными конечными точками.

Создать первую частную конечную точку для хранилища в исходной виртуальной сети с помощью Центра частной связи на портале или с помощью Azure PowerShell. Создайте вторую частную конечную точку для хранилища внутри вашей сети восстановления. Ниже приведены действия по созданию частной конечной точки в исходной сети. Повторите то же руководство, чтобы создать вторую частную конечную точку.

  1. В строке поиска портала Azure найдите и выберите "Private Link". Это действие перенаправляет вас в Центр приватной ссылки.

    Показывает поиск в портале Azure для Центра частных соединений.

  2. На панели навигации слева выберите частные конечные точки. На странице "Частные конечные точки" выберите +Добавить, чтобы начать создание частной конечной точки для вашего хранилища.

    Демонстрирует создание приватной конечной точки в Центре приватной связи.

  3. При использовании интерфейса «Создание частной конечной точки» необходимо указать детали для создания подключения к вашей частной конечной точке.

    1. Основныесведения. Укажите основные данные для частных конечных точек. Регион должен совпадать с исходными компьютерами.

      Отображает вкладку

    2. Ресурс. На этой вкладке необходимо указать ресурс платформы как службы, для которого необходимо создать подключение. Выберите Microsoft.RecoveryServices/vaults из типа ресурса для выбранной подписки. Затем выберите имя хранилища служб восстановления для ресурса и задайте Azure Site Recovery в качестве целевого подресурса.

      Отображает вкладку

    3. Конфигурация. В разделе конфигурации укажите виртуальную сеть и подсеть, в которых необходимо создать частную конечную точку. Эта виртуальная сеть — это сеть, в которой присутствует виртуальная машина. Включите интеграцию с частной зоной DNS, нажав кнопку "Да". Выберите уже созданную зону DNS или создайте новую. При выборе "Да" зона автоматически связывается с исходной виртуальной сетью и добавляются необходимые записи DNS для разрешения новых IP-адресов и полных доменных имен, созданных для частной конечной точки.

      Убедитесь, что выбрано создание новой зоны DNS для каждой новой частной конечной точки, подключенной к тому же хранилищу. При выборе существующей частной зоны DNS предыдущие записи CNAME будут переопределены. Прежде чем продолжить, ознакомьтесь с руководством по частным конечным точкам.

      Если в вашей среде есть центральная и периферийная модель, вам потребуется только одна частная конечная точка и только одна частная зона DNS для всей настройки, так как все виртуальные сети уже включили пиринг между ними. Подробнее см. в статье Интеграция DNS с частной конечной точкой.

      Чтобы вручную создать частную зону DNS, выполните действия, описанные в статье Создание частных зон DNS и добавление записей DNS вручную.

      Отображает вкладку

    4. Теги. При необходимости можно добавить теги для частной конечной точки.

    5. Проверка и создание. После завершения проверки нажмите кнопку "Создать ", чтобы создать частную конечную точку.

После создания частной конечной точки к ней добавляются пять полных доменных имен. Эти ссылки позволяют компьютерам в виртуальной сети получать доступ ко всем необходимым микрослужбам Site Recovery в контексте хранилища. Позже, при включении репликации, в ту же частную конечную точку добавляются два дополнительных полных доменных имени.

Пять доменных имен форматируются следующим образом:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Утверждение частных конечных точек для Site Recovery

Если пользователь, создающий частную конечную точку, также является владельцем хранилища служб восстановления, частная конечная точка, созданная выше, автоматически утверждена в течение нескольких минут. В противном случае владелец хранилища должен утвердить частную конечную точку до того, как вы сможете её использовать. Чтобы утвердить или отклонить запрошенное подключение к частной конечной точке, перейдите к подключениям частной конечной точки в разделе "Параметры" на странице хранилища восстановления.

Перед продолжением можно перейти к ресурсу частной конечной точки, чтобы просмотреть состояние подключения.

Отображает страницу подключений к частной конечной точке хранилища и список подключений на портале Azure.

(Дополнительно) Создание частных конечных точек для учетной записи хранения кэша

Можно использовать частную конечную точку в службе хранилища Azure. Создание частных конечных точек для доступа к хранилищу является необязательным для репликации Azure Site Recovery. При создании частной конечной точки для хранилища применяются следующие требования:

  • Вам нужна частная конечная точка для учетной записи хранения кэша и журнала в исходной виртуальной сети.
  • Во время переключения машин на повторную защиту в сети восстановления требуется второй частный конечный узел. Эта частная конечная точка предназначена для новой учетной записи хранения, созданной в целевом регионе.

Замечание

Если в учетной записи хранения не активированы частные конечные точки, защита все равно будет успешной. Однако трафик репликации передается в общедоступные конечные точки Azure Site Recovery. Чтобы обеспечить передачу трафика репликации по приватным каналам, необходимо включить частные конечные точки в учетной записи хранения.

Частная конечная точка для хранилища может быть создана только в учетных записях хранения общего назначения версии 2 . Сведения о ценах см. в разделе Стандартные цены на страничные BLOB-объекты.

Для учетной записи хранения кэша назначение частной конечной точки (PE) и правильное добавление статического IP-адреса работают правильно, если исходная машина поддерживает сетевое прямое соединение. Это не относится к Site Recovery.

Следуйте инструкциям по созданию частного хранилища, чтобы создать учетную запись хранения с частной конечной точкой. Убедитесь, что необходимо выбрать "Да" для интеграции с частной зоной DNS. Выберите уже созданную зону DNS или создайте новую.

Предоставьте требуемые разрешения хранилищу

Если виртуальные машины используют управляемые диски, необходимо предоставить разрешения управляемого удостоверения только учетным записям хранения кэша. Если виртуальные машины используют неуправляемые диски, необходимо предоставить разрешения управляемого удостоверения для исходных, кэшированных и целевых учетных записей хранения. В этом случае необходимо заранее создать целевую учетную запись хранения.

Перед включением репликации виртуальных машин управляемое удостоверение для хранилища должно обладать следующими разрешениями ролей в зависимости от типа учетной записи хранения.

Ниже описано, как добавить назначение ролей в учетные записи хранения по одному за раз. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

  1. На портале Azure перейдите к созданной учетной записи хранения кэша.

  2. Выберите Управление доступом (IAM).

  3. Выберите Добавить > Добавить назначение ролей.

    Снимок экрана: страница

  4. На вкладке Роли выберите одну из ролей, перечисленных в начале этого раздела.

  5. На вкладке "Члены" выберите "Управляемая идентификация", затем выберите "Выбрать членов".

  6. Выберите подписку Azure.

  7. Выберите "Управляемое удостоверение, назначаемое системой", найдите хранилище и выберите его.

  8. На вкладке Проверка и назначение выберите пункт Проверка и назначение, чтобы назначить роль.

Помимо этих разрешений необходимо также разрешить доступ доверенным службам Microsoft. Для этого выполните следующие действия.

  1. Перейдите в раздел Брандмауэры и виртуальные сети.

  2. В разделе "Исключения" выберите "Разрешить доверенным службам Microsoft доступ к этой учетной записи хранения".

Защита виртуальных машин

После завершения всех указанных выше конфигураций перейдите к включению репликации для виртуальных машин. Все операции Site Recovery работают без каких-либо дополнительных шагов, если интеграция DNS использовалась при создании частных конечных точек в хранилище. Однако если зоны DNS создаются вручную и настроены, необходимо добавить определенные записи DNS как в исходные, так и в целевые зоны DNS после включения репликации. Дополнительные сведения и действия см. в разделе "Создание частных зон DNS" и добавление записей DNS вручную.

Создание частных зон DNS и добавление записей DNS вручную

Если вы не выбрали параметр интеграции с частной зоной DNS во время создания частной конечной точки для хранилища, выполните действия, описанные в этом разделе.

Создайте одну частную зону DNS, чтобы агент мобильности мог разрешать полные доменные имена (FQDN) приватного соединения к частным IP-адресам.

  1. Создание частной зоны DNS

    1. Найдите "Частная зона DNS" в строке поиска "Все службы " и выберите "Частные зоны DNS" в раскрывающемся списке.

      Отображает поиск частной зоны DNS на новой странице ресурсов на портале Azure.

    2. На странице "Частные зоны DNS" нажмите кнопку +Добавить , чтобы начать создание новой зоны.

    3. На странице "Создание частной зоны DNS" введите необходимые сведения. Введите имя частной зоны DNS в качестве privatelink.siterecovery.windowsazure.com. Вы можете выбрать любую группу ресурсов и любую подписку, чтобы создать ее.

      Отображает вкладку

    4. Откройте вкладку Просмотр и создание, чтобы проверить и создать зону DNS.

  2. Связывание частной зоны DNS с виртуальной сетью

    Теперь частные зоны DNS, созданные выше, должны быть связаны с виртуальной сетью, в которой находятся серверы. Кроме того, необходимо заранее связать частную зону DNS с целевой виртуальной сетью.

    1. Перейдите в частную зону DNS, созданную на предыдущем шаге, и перейдите по ссылкам виртуальной сети в левой части страницы. После этого нажмите кнопку +Добавить .

    2. Укажите необходимые сведения. Поля подписки и виртуальной сети должны быть заполнены соответствующими сведениями о виртуальной сети, в которой находятся серверы. Остальные поля должны оставаться как есть.

      Отображает страницу для добавления ссылки виртуальной сети с именем, подпиской и связанной виртуальной сетью на портале Azure.

  3. Добавление записей DNS

    Создав необходимые частные зоны DNS и частные конечные точки, необходимо добавить записи DNS в зоны DNS.

    Замечание

    Если вы используете настраиваемую частную зону DNS, убедитесь, что аналогичные записи сделаны, как описано ниже.

    На этом шаге необходимо внести записи для каждого полного доменного имени вашей частной конечной точки в вашу частную зону DNS.

    1. Перейдите в частную зону DNS и перейдите в раздел "Обзор " в левой части страницы. После этого нажмите кнопку +Запись , чтобы начать добавление записей.

    2. На открывающейся странице "Добавление набора записей" добавьте запись для каждого полного доменного имени и частного IP-адреса в качестве записи типа A . Список полных доменных имен и IP-адресов можно получить на странице "Частная конечная точка" в обзоре. Как показано в приведенном ниже примере, первое полное доменное имя из частной конечной точки добавляется в набор записей в частной зоне DNS.

      Эти полные доменные имена соответствуют шаблону: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Отображает страницу для добавления записи типа DNS A для полного доменного имени в частную конечную точку на портале Azure.

    Замечание

    После включения репликации на частных конечных точках в обоих регионах создаются еще два полностью определенные доменные имена. Убедитесь, что вы также добавите записи DNS для этих только что созданных полностью квалифицированных доменных имен. Статический IP-адрес для частной конечной точки Azure Site Recovery не поддерживается.

Дальнейшие шаги

Теперь, когда вы включили частные конечные точки для репликации виртуальной машины, ознакомьтесь с другими страницами для получения дополнительных и связанных сведений:

  • Last updated on