نسخ الأجهزة مع نقاط النهاية الخاصة

  • مقالة
  • قراءة خلال 10 دقائق

يسمح لك Azure Site Recovery باستخدام نقاط نهاية خاصة Azure Private Link لنسخ أجهزتك من داخل شبكة ظاهرية معزولة. يتم دعم وصول نقطة النهاية الخاصة إلى مخزن استرداد في جميع المناطق الحكومية & التجارية في Azure.

تزودك هذه المقالة بإرشادات لتنفيذ الخطوات التالية:

  • قم بإنشاء مخزن Azure Backup Recovery Services لحماية أجهزتك.
  • قم بتمكين هوية مُدارة للمخزن ومنح الأذونات المطلوبة للوصول إلى حسابات تخزين العميل لنسخ نسبة استخدام الشبكة من المصدر إلى المواقع المحددة. يعد الوصول المُدار عبر الهوية للتخزين ضرورياً عند إعداد وصول ارتباط خاص إلى المخزن.
  • قم بإجراء تغييرات DNS المطلوبة لنقاط النهاية الخاصة
  • إنشاء واعتماد نقاط نهاية خاصة لمخزن داخل شبكة ظاهرية
  • قم بإنشاء نقاط نهاية خاصة لحسابات التخزين. يمكنك الاستمرار في السماح بالوصول العام أو المحمي بجدار حماية للتخزين حسب الحاجة. إن إنشاء نقطة نهاية خاصة للوصول إلى التخزين ليس إلزامياً لـ Azure Site Recovery.

يوجد أدناه هيكل مرجعي حول كيفية تغيير سير عمل النسخ المتماثل بنقاط النهاية الخاصة.

Reference architecture for Site Recovery with private endpoints.

المتطلبات الأساسية والمحاذير

  • يمكن إنشاء نقاط النهاية الخاصة فقط لمخازن Recovery Services الجديدة التي لا تحتوي على أي عناصر مسجلة في المخزن. على هذا النحو، يجب إنشاء نقاط النهاية الخاصة قبل إضافة أي عناصر إلى المخزن. راجع بنية تسعير نقاط النهاية الخاصة.
  • عندما يتم إنشاء نقطة نهاية خاصة لمخزن، يتم تأمين المخزن ولا يمكن الوصول إلى من الشبكات بخلاف تلك الشبكات التي تحتوي على نقاط نهاية خاصة.
  • لا يدعم Microsoft Azure Active Directory حالياً نقاط النهاية الخاصة. على هذا النحو، يجب السماح لعناوين IP وأسماء المجالات المؤهلة بالكامل المطلوبة لـ Microsoft Azure Active Directory بالعمل في منطقة بالوصول الخارجي من الشبكة المؤمنة. يمكنك أيضاً استخدام علامة مجموعة أمان الشبكة "Azure Active Directory" وعلامات Azure Firewall للسماح بالوصول إلى Microsoft Azure Active Directory، حسب الاقتضاء.
  • مطلوب ما لا يقل عن سبعة عناوين IP في الشبكات الفرعية لكل من أجهزة المصدر وأجهزة الاسترداد. عند إنشاء نقطة نهاية خاصة للمخزن، تقوم Site Recovery بإنشاء خمسة روابط خاصة للوصول إلى خدماتها المصغرة. علاوة على ذلك، عند تمكين النسخ المتماثل، فإنه يضيف ارتباطين خاصين إضافيين لاقتران المنطقة المصدر والهدف.
  • مطلوب عنوان IP إضافي واحد في كل من الشبكة الفرعية للمصدر والاسترداد. عنوان IP هذا مطلوب فقط عندما تحتاج إلى استخدام نقاط نهاية خاصة متصلة بحسابات التخزين المؤقت. لا يمكن إنشاء نقاط النهاية الخاصة للتخزين إلا على نوع General Purpose v2. راجع بنية التسعير لـ نقل البيانات على نوع GPv2.

إنشاء واستخدام نقاط نهاية خاصة لاسترداد الموقع

يتحدث هذا القسم عن الخطوات المتبعة في إنشاء واستخدام نقاط نهاية خاصة لخدمة Azure Site Recovery داخل شبكاتك الظاهرية.

ملاحظة

يُوصى باتباع هذه الخطوات بنفس التسلسل كما هو مذكور بشدة. قد يؤدي عدم القيام بذلك إلى جعل المخزن غير قادر على استخدام نقاط النهاية الخاصة ومطالبتك بإعادة تشغيل العملية باستخدام مخزن جديد.

إنشاء خازنة خدمات الاسترداد

مخزن خدمات الاسترداد هو كيان يحتوي على معلومات النسخ المتماثل للأجهزة ويتم استخدامه لبدء عمليات Site Recovery. لمزيد من المعلومات، راجع Create a Recovery Services vault.

قم بتمكين الهوية المُدارة للمخزن.

تسمح الهوية المُدارة للمخزن بالوصول إلى حسابات التخزين الخاصة بالعميل. تحتاج Site Recovery إلى الوصول إلى تخزين المصدر والتخزين الهدف وذاكرة التخزين المؤقت/حسابات تخزين السجل وفقاً لمتطلبات السيناريو. يعد الوصول المُدار إلى الهوية أمراً ضرورياً عند استخدام خدمة الروابط الخاصة للمخزن.

  1. انتقل إلى مخزن Recovery Services الخاص بك. حدد Identity ضمن Settings.

    Shows the Azure portal and the Recovery Services page.

  2. تغيير Status إلى On وحدد Save.

  3. يتم إنشاء معرف العنصر للإشارة إلى أن المخزن مسجل الآن مع Microsoft Azure Active Directory.

إنشاء نقاط نهاية خاصة لمخزن Recovery Services

لتمكين كل من تجاوز الفشل وإرجاع الفشل لأجهزة Azure الظاهرية، ستحتاج إلى نقطتي نهاية خاصتين للمخزن. نقطة نهاية خاصة لحماية الأجهزة في شبكة المصدر وأخرى لإعادة حماية الأجهزة الفاشلة في شبكة الاسترداد.

تأكد من إنشاء شبكة ظاهرية للاسترداد في منطقتك المستهدفة وكذلك أثناء عملية الإعداد هذه.

قم بإنشاء أول نقطة نهاية خاصة لمخزنك داخل الشبكة الظاهرية المصدر باستخدام مركز الارتباط الخاص في المدخل أو من خلال Azure PowerShell. قم بإنشاء نقطة النهاية الخاصة الثانية للمخزن داخل شبكة الاسترداد الخاصة بك. فيما يلي خطوات إنشاء نقطة نهاية خاصة في شبكة المصدر. كرر نفس التوجيه لإنشاء نقطة النهاية الخاصة الثانية.

  1. في شريط بحث مدخل Microsoft Azure، ابحث عن وحدد "Private Link". ينقلك هذا الإجراء إلى مركز الارتباط الخاص.

    Shows searching the Azure portal for the Private Link Center.

  2. في شريط التنقل الأيمن، حدد Private Endpoints. بمجرد الوصول إلى صفحة Private Endpoints، حدد +Add لبدء إنشاء نقطة نهاية خاصة للمخزن الخاص بك.

    Shows creating a private endpoint in the Private Link Center.

  3. بمجرد الدخول في تجربة "إنشاء نقطة نهاية خاصة"، ستتم مطالبتك بتحديد تفاصيل إنشاء اتصال نقطة النهاية الخاصة.

    1. Basics: املأ التفاصيل الأساسية لنقاط النهاية الخاصة بك. يجب أن تكون المنطقة هي نفس أجهزة المصدر.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. المورد: تتطلب علامة التبويب هذه أن تذكر مورد النظام الأساسي كخدمة الذي تريد إنشاء اتصالك به. حددMicrosoft.RecoveryServices/vaultsمننوع المورد لاشتراكك المحدد. بعد ذلك، اختر اسم مخزن Recovery Services لـ المورد وعيّن Azure Site Recovery باعتباره المورد الفرعي المستهدف.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Configuration: في التكوين، حدد الشبكة الافتراضية والشبكة الفرعية حيث تريد إنشاء نقطة النهاية الخاصة. هذه الشبكة الظاهرية هي الشبكة التي يوجد بها الجهاز الظاهري. قم بتمكين التكامل مع منطقة DNS الخاصة عن طريق تحديد Yes. اختر منطقة DNS تم إنشاؤها بالفعل أو قم بإنشاء منطقة جديدة. يؤدي تحديد Yes إلى ربط المنطقة تلقائياً بالشبكة الظاهرية المصدر وإضافة سجلات DNS المطلوبة لتحليل DNS لعناوين IP الجديدة وأسماء المجال المؤهلة بالكامل والتي تم إنشاؤها لنقطة النهاية الخاصة.

      تأكد من اختيار إنشاء منطقة DNS جديدة لكل نقطة نهاية خاصة جديدة تتصل بنفس المخزن. إذا اخترت منطقة DNS خاصة موجودة، فسيتم استبدال سجلات CNAME السابقة. راجع Private endpoint guidance قبل المتابعة.

      إذا كانت بيئتك تحتوي على نموذج محوري وموزع، فأنت بحاجة إلى نقطة نهاية خاصة واحدة فقط ومنطقة DNS خاصة واحدة فقط للإعداد بالكامل نظراً لأن جميع الشبكات الظاهرية الخاصة بك قد تم تمكين التناظر بينها بالفعل. لمزيد من المعلومات، راجع Private endpoint DNS integration.

      لإنشاء منطقة DNS الخاصة يدوياً، اتبع الخطوات الواردة في إنشاء مناطق DNS خاصة وإضافة سجلات DNS يدوياً.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. العلامات: اختيارياً، يمكنك إضافة علامات لنقطة النهاية الخاصة.

    5. مراجعة + إنشاء: عند اكتمال التحقق، حدد Create لإنشاء نقطة نهاية خاصة.

بمجرد إنشاء نقطة النهاية الخاصة، تتم إضافة خمسة أسماء مجالات مؤهلة بالكامل إلى نقطة النهاية الخاصة. تمكّن هذه الروابط الأجهزة الموجودة في الشبكة الظاهرية من الوصول إلى جميع الخدمات المصغرة لاسترداد الموقع المطلوب في سياق المخزن. لاحقاً، عند تمكين النسخ المتماثل، تتم إضافة اسمي مجالين إضافيين مؤهلين بالكامل إلى نفس نقطة النهاية الخاصة.

يتم تنسيق أسماء النطاقات الخمسة بالنمط التالي:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

الموافقة على نقاط النهاية الخاصة لـ Site Recovery

إذا كان المستخدم الذي أنشأ نقطة النهاية الخاصة هو أيضاً مالك مخزن Recovery Services، فإن نقطة النهاية الخاصة التي تم إنشاؤها أعلاه تتم الموافقة عليها تلقائياً في غضون بضع دقائق. خلافاً لذلك، يجب أن يوافق مالك المخزن على نقطة النهاية الخاصة قبل استخدامها. للموافقة على اتصال نقطة نهاية خاصة مطلوب أو رفضه، انتقل إلى Private endpoint connections ضمن "Settings" في صفحة recovery vault.

يمكنك الانتقال إلى مورد نقطة النهاية الخاص لمراجعة حالة الاتصال قبل المتابعة.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

إنشاء نقاط نهاية خاصة (اختيارياً) لحساب تخزين ذاكرة التخزين المؤقت

يمكن استخدام نقطة نهاية خاصة لـ Azure Storage. يعد إنشاء نقاط نهاية خاصة للوصول إلى التخزين اختيارياً للنسخ المتماثل لـ Azure Site Recovery. عند إنشاء نقطة نهاية خاصة للتخزين، تنطبق المتطلبات التالية:

  • أنت بحاجة إلى نقطة نهاية خاصة لحساب تخزين ذاكرة التخزين المؤقت/السجل في الشبكة الظاهرية المصدر.
  • أنت بحاجة إلى نقطة نهاية خاصة ثانية في وقت إعادة حماية الأجهزة الفاشلة في شبكة الاسترداد. نقطة النهاية الخاصة هذه مخصصة لحساب التخزين الجديد الذي تم إنشاؤه في المنطقة المستهدفة.

ملاحظة

إذا لم يتم تمكين نقاط النهاية الخاصة على حساب التخزين، فستظل الحماية ناجحة. ومع ذلك، ستنتقل حركة مرور النسخ المتماثل إلى نقاط النهاية العامة لاسترداد موقع Azure. لضمان تدفق نسبة استخدام الشبكة للنسخ عبر الارتباطات الخاصة، يجب تمكين حساب التخزين بنقاط النهاية الخاصة.

ملاحظة

لا يمكن إنشاء نقطة النهاية الخاصة للتخزين إلا على حسابات تخزين General Purpose v2. للحصول على معلومات التسعير، راجع Standard page blob prices.

اتبع إرشادات إنشاء وحدة تخزين خاصة لإنشاء حساب تخزين بنقطة نهاية خاصة. تأكد من تحديد Yes للتكامل مع منطقة DNS الخاصة. حدد منطقة DNS تم إنشاؤها بالفعل أو قم بإنشاء منطقة جديدة.

منح الأذونات المطلوبة إلى المخزن

إذا كانت الأجهزة الظاهرية الخاصة بك تستخدم أقراصاً مُدارة، فأنت بحاجة إلى منح أذونات الهوية المُدارة فقط لحسابات التخزين المؤقت. في حالة استخدام الأجهزة الظاهرية لأقراص غير مُدارة، فأنت بحاجة إلى منح أذونات الهوية المُدارة لحسابات المصدر وذاكرة التخزين المؤقت والتخزين الهدف. في هذه الحالة، تحتاج إلى إنشاء حساب التخزين المستهدف مقدماً.

قبل تمكين النسخ المتماثل للأجهزة الظاهرية، يجب أن يكون للهوية المُدارة للمخزن أذونات الدور التالية اعتماداً على نوع حساب التخزين:

توضح الخطوات التالية كيفية إضافة تعيين دور إلى حسابات التخزين الخاصة بك، واحداً تلو الآخر. للحصول على خطوات تفصيلية، راجع ⁧⁩تعيين أدوار Azure باستخدام مدخل Microsoft Azure⁧⁩.

  1. في مدخل Microsoft Azure، انتقل إلى صفحة Microsoft SQL Server.

  2. حدد Access control (IAM).

  3. حدد Add > Add role assignment.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. في علامة التبويب Roles، حدد أحد الأدوار المدرجة في بداية هذا القسم.

  5. في علامة التبويب Members، حدد Managed identity، ثم حدد Select members.

  6. حدد System-assigned managed identity، وابحث عن مخزن، ثم حدده.

  7. في علامة التبويب ⁦⁩مراجعة + تعيين، حدد مراجعة + تعيين⁩ لتعيين الدور.

بالإضافة إلى هذه الأذونات، تحتاج إلى السماح بالوصول إلى خدمات Microsoft الموثوقة. للقيام بذلك، اتبع الخطوات التالية:

  1. انتقل إلى Firewalls and virtual networks.

  2. في Exceptions، حدد Allow trusted Microsoft services to access this storage account.

حماية الأجهزة الظاهرية الخاصة بك

بمجرد اكتمال جميع التكوينات المذكورة أعلاه، استمر في تمكين النسخ المتماثل للأجهزة الظاهرية الخاصة بك. تعمل جميع عمليات استرداد الموقع دون أي خطوات إضافية إذا تم استخدام تكامل DNS أثناء إنشاء نقاط نهاية خاصة على المخزن. ومع ذلك، إذا تم إنشاء مناطق DNS وتكوينها يدوياً، فستحتاج إلى خطوات إضافية لإضافة سجلات DNS محددة في كل من مناطق DNS المصدر والهدف بعد تمكين النسخ المتماثل. للحصول على تفاصيل وخطوات، راجع Create private DNS zones and add DNS records manually.

إنشاء مناطق DNS خاصة وأضف سجلات DNS يدوياً

إذا لم تحدد خيار التكامل مع منطقة DNS الخاصة في وقت إنشاء نقطة نهاية خاصة للمخزن، فاتبع الخطوات الواردة في هذا القسم.

قم بإنشاء منطقة DNS خاصة واحدة للسماح لوكيل التنقل بحل أسماء المجال المؤهلة بالكامل للرابط الخاص لعناوين IP الخاصة.

  1. إنشاء منطقة DNS خاصة

    1. ابحث عن "Private DNS zone" في شريط البحث All services وحدد "مناطق DNS الخاصة" من القائمة المنسدلة.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. بمجرد الوصول إلى صفحة "Private DNS zones"، حدد الزر +Add لبدء إنشاء منطقة جديدة.

    3. في صفحة "Create private DNS zone"، أدخل التفاصيل المطلوبة. أدخل اسم منطقة DNS الخاصة كـ privatelink.siterecovery.windowsazure.com. يمكنك اختيار أي مجموعة موارد وأي اشتراك لإنشائها.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. تابع إلى علامة التبويب Review + create لمراجعة وإنشاء منطقة DNS.

  2. ربط منطقة DNS الخاصة بالشبكة الظاهرية الخاصة بك

    يجب الآن ربط مناطق DNS الخاصة التي تم إنشاؤها أعلاه بالشبكة الظاهرية حيث توجد خوادمك حالياً. تحتاج أيضاً إلى ربط منطقة DNS الخاصة بالشبكة الظاهرية المستهدفة مسبقاً.

    1. انتقل إلى منطقة DNS الخاصة التي أنشأتها في الخطوة السابقة وانتقل إلى Virtual network links على الجانب الأيسر من الصفحة. بمجرد الوصول إلى هناك، حدد الزر +Add.

    2. أدخل التفاصيل المطلوبة. يجب ملء حقلي Subscription وVirtual network بالتفاصيل المقابلة للشبكة الظاهرية حيث توجد الخوادم الخاصة بك. يجب ترك الحقول الأخرى دون تغيير.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. إضافة سجلات DNS

    بمجرد إنشاء مناطق DNS الخاصة المطلوبة ونقاط النهاية الخاصة، تحتاج إلى إضافة سجلات DNS إلى مناطق DNS الخاصة بك.

    ملاحظة

    إذا كنت تستخدم منطقة DNS خاصة مخصصة، فتأكد من إجراء إدخالات مماثلة كما هو موضح أدناه.

    تتطلب هذه الخطوة منك إضافة إدخالات لكل اسم مجال مؤهل بالكامل في نقطة النهاية الخاصة بك في منطقة DNS الخاصة بك.

    1. انتقل إلى منطقة DNS الخاصة وانتقل إلى قسم Overview على الجانب الأيسر من الصفحة. بمجرد الوصول إلى هناك، حدد +Record set لبدء إضافة السجلات.

    2. في صفحة "Add record set" التي تفتح، أضف إدخالاً لكل اسم مجال مؤهل بالكامل وعنوان IP خاص كسجل من النوع A. يمكن الحصول على قائمة أسماء المجالات وعناوين IP المؤهلة بالكامل من صفحة "Private Endpoint" في Overview. كما هو موضح في المثال أدناه، تتم إضافة أول اسم مجال مؤهل بالكامل من نقطة النهاية الخاصة إلى السجل الذي تم تعيينه في منطقة DNS الخاصة.

      تتوافق أسماء المجالات المؤهلة تماماً مع النمط: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    ملاحظة

    بعد تمكين النسخ المتماثل، يتم إنشاء اسمي مجال مؤهلين بشكل كامل على نقاط النهاية الخاصة في كلا المنطقتين. تأكد من إضافة سجلات DNS لأسماء المجالات المؤهلة بالكامل التي تم إنشاؤها حديثاً أيضاً.

الخطوات التالية

الآن بعد أن قمت بتمكين نقاط النهاية الخاصة للنسخ المتماثل للجهاز الظاهري، راجع هذه الصفحات الأخرى للحصول على معلومات إضافية وذات صلة: