نسخ الأجهزة المحلية باستخدام نقاط النهاية الخاصة

  • مقالة
  • قراءة خلال 9 دقائق

يسمح لك استرداد موقع Azure باستخدام نقاط النهاية الخاصة المتعلقة بـ ارتباط Azure الخاص لنسخ أجهزتك المحلية إلى شبكة ظاهرية في Azure. يتم دعم وصول نقطة النهاية الخاصة إلى مخزن استرداد في جميع المناطق الحكومية & التجارية في Azure.

توضح هذه المقالة كيفية إكمال الخطوات التالية:

  • قم بإنشاء مخزن خدمات استرداد النسخ الاحتياطية لـ Azure لحماية أجهزتك.

  • قم بتمكين الهوية المُدارة للمخزن. امنح الأذونات المطلوبة للوصول إلى حسابات التخزين لتمكين النسخ المتماثل لنسبة استخدام الشبكة من المواقع المحلية إلى المواقع المستهدفة في Azure. يلزم الوصول إلى الهوية المدارة للتخزين للوصول إلى الرابط الخاص إلى المخزن.

  • قم بإجراء تغييرات DNS المطلوبة لنقاط النهاية الخاصة.

  • قم بإنشاء واعتماد نقاط نهاية خاصة لمخزن داخل شبكة ظاهرية.

  • قم بإنشاء نقاط نهاية خاصة لحسابات التخزين. يمكنك الاستمرار في السماح بالوصول العام أو المحمي بجدار حماية للتخزين حسب الحاجة. لا يلزم إنشاء نقطة نهاية خاصة للوصول إلى مساحة التخزين لاسترداد موقع Azure.

يوضح الرسم التخطيطي التالي سير عمل النسخ المتماثل للإصلاح بعد كارثة المختلط باستخدام نقاط النهاية الخاصة. لا يمكنك إنشاء نقاط نهاية خاصة في شبكتك المحلية. لاستخدام الارتباطات الخاصة، تحتاج إلى إنشاء شبكة Azure ظاهرية (تسمى شبكة تجاوز في هذه المقالة)، وإنشاء اتصال خاص بين الشبكة المحلية وشبكة التجاوز، ثم إنشاء نقاط نهاية خاصة في شبكة التجاوز. يمكنك اختيار أي شكل من أشكال الاتصال الخاص.

Diagram that shows the architecture for Azure Site Recovery and private endpoints.

المتطلبات الأساسية والمحاذير

  • يتم دعم الروابط الخاصة في استرداد الموقع الإصدار 9.35 والإصدارات الأحدث.
  • يمكنك إنشاء نقاط نهاية خاصة فقط لمخازن خدمات الاسترداد الجديدة التي لا تحتوي على أي عناصر مسجلة فيها. لذلك، يجب عليك إنشاء نقاط نهاية خاصة قبل إضافة أي عناصر إلى المخزن. راجع أسعار الارتباط الخاص في Azure للحصول على معلومات الأسعار.
  • عند إنشاء نقطة نهاية خاصة لمخزن، يتم تأمين المخزن. لا يمكن الوصول إليه إلا من الشبكات التي تحتوي على نقاط نهاية خاصة.
  • لا يدعم Microsoft Azure Active Directory حالياً نقاط النهاية الخاصة. لذلك، تحتاج إلى السماح بالوصول الصادر من شبكة Azure الظاهرية الآمنة إلى عناوين IP وأسماء المجالات المؤهلة بالكامل المطلوبة لـ Azure Active Directory للعمل في منطقة. حسب الاقتضاء، يمكنك أيضاً استخدام علامة مجموعة أمان الشبكة "Azure Active Directory" وعلامات جدار حماية Azure للسماح بالوصول إلى Azure Active Directory.
  • هناك حاجة إلى خمسة عناوين IP في شبكة التجاوز، حيث تقوم بإنشاء نقطة النهاية الخاصة بك. عند إنشاء نقطة نهاية خاصة للمخزن، تقوم خدمة «استرداد الموقع» بإنشاء خمسة ارتباطات خاصة للوصول إلى خدماتها المصغرة.
  • مطلوب عنوان IP إضافي واحد في شبكة التجاوز لاتصال نقطة النهاية الخاصة بحساب تخزين ذاكرة التخزين المؤقت. يمكنك استخدام أي طريقة اتصال بين نقطة نهاية حساب التخزين المحلي ونقطة نهاية حساب التخزين. على سبيل المثال، يمكنك استخدام الإنترنت أو Azure ExpressRoute. قم بإنشاء رابط خاص اختياري. يمكنك إنشاء نقاط نهاية خاصة للتخزين فقط على حسابات General Purpose v2. راجع أسعار Azure Page Blobs للحصول على معلومات حول أسعار نقل البيانات على حسابات الإصدار General Purpose v2.

ملاحظة

أثناء إعداد نقاط النهاية الخاصة لحماية VMware والأجهزة الفعلية، ستحتاج إلى تثبيت MySQL على خادم التكوين يدوياً. عليك متابعة الخطوات هنا لإجراء التثبيت اليدوي.

إنشاء نقاط نهاية خاصة واستخدامها لاسترداد الموقع

تصف الأقسام التالية الخطوات التي تحتاج إلى اتخاذها لإنشاء نقاط نهاية خاصة، واستخدامها لاستعادة الموقع في شبكاتك الظاهرية.

ملاحظة

نوصي باتباع هذه الخطوات بالترتيب الموضح. إذا لم تقم بذلك، فقد لا تتمكن من استخدام نقاط النهاية الخاصة في المخزن، وقد تحتاج إلى إعادة تشغيل العملية باستخدام مخزن جديد.

إنشاء خازنة خدمات الاسترداد

يحتوي مخزن خدمات الاسترداد على معلومات النسخ المتماثل للأجهزة. يتم استخدامه لتشغيل عمليات استرداد الموقع. للحصول على معلومات حول كيفية إنشاء مخزن خدمات الاسترداد في منطقة Azure حيث تريد تجاوز الفشل في حالة وقوع كارثة، راجع إنشاء مخزن لخدمات الاسترداد.

تمكين الهوية المُدارة للمخزن

تسمح الهوية المدارة للمخزن بالوصول إلى حسابات التخزين. قد يحتاج استرداد الموقع إلى الوصول إلى التخزين المستهدف وحسابات التخزين المؤقت/السجل، وفقاً لمتطلباتك. يلزم الوصول إلى الهوية المدارة عند استخدام خدمة الارتباط الخاص بالمخزن.

  1. انتقل إلى مخزن «خدمات الاسترداد» الخاص بك. حدد الهوية ضمن الإعدادات:

    Screenshot that shows the identity settings page.

  2. تغيير Status إلى On وحدد Save.

    يتم إنشاء "معرّف عنصر". تم تسجيل المخزن الآن في Azure Active Directory.

إنشاء نقاط نهاية خاصة لمخزن «خدمات الاسترداد»

لحماية الأجهزة الموجودة في الشبكة المصدر المحلية، ستحتاج إلى نقطة نهاية خاصة واحدة للمخزن في شبكة التجاوز. قم بإنشاء نقطة النهاية الخاصة باستخدام «مركز الارتباط الخاص» في مدخل Azure أو باستخدام Azure PowerShell.

  1. في مربع البحث في مدخل Azure، ابحث عن "ارتباط خاص". حدد الارتباط الخاص للانتقال إلى مركز الارتباطات الخاصة:

    Screenshot that shows searching the Azure portal for Private Link Center.

  2. في الجزء الأيمن، حدد نقاط النهاية الخاصة. في صفحة نقاط النهاية الخاصة، حدد إضافة لبدء إنشاء نقطة نهاية خاصة لمخزنك:

    Screenshot that shows how to create a private endpoint in Private Link Center.

  3. في الصفحة إنشاء نقطة نهاية خاصة، حدد التفاصيل لإنشاء اتصال نقطة النهاية الخاص.

    1. الأساسيات. توفر التفاصيل الأساسية لنقاط النهاية الخاصة بك. استخدم المنطقة التي استخدمتها لشبكة التجاوز:

      Screenshot that shows the Basic tab for creating a private endpoint.

    2. المورّد. في علامة التبويب هذه، تحتاج إلى تحديد مورد النظام الأساسي كخدمة، الذي تريد إنشاء اتصالك به. ضمن نوع المورد للاشتراك المحدد، حدد Microsoft.RecoveryServices/vaults. اختر اسم مخزن «خدمات الاسترداد» ضمن المورد. حدد استرداد موقع Azure كـ مورد فرعي مستهدف.

      Screenshot that shows the Resource tab for linking to a private endpoint.

    3. التكوين. في علامة التبويب هذه، حدد شبكة التجاوز والشبكة الفرعية حيث تريد إنشاء نقطة النهاية الخاصة.

      قم بتمكين التكامل مع منطقة DNS خاصة عن طريق تحديد نعم. اختر منطقة DNS موجودة، أو أنشئ منطقة جديدة. يؤدي تحديد نعم إلى ربط المنطقة تلقائياً بشبكة التجاوز. يضيف هذا الإجراء أيضاً سجلات DNS المطلوبة لدقة DNS لعناوين IP الجديدة وأسماء المجالات المؤهلة بالكامل التي تم إنشاؤها لنقطة النهاية الخاصة.

      تأكد من اختيار إنشاء منطقة DNS جديدة لكل نقطة نهاية خاصة جديدة تتصل بنفس المخزن. إذا اخترت منطقة DNS خاصة موجودة، فسيتم استبدال سجلات CNAME السابقة. راجع إرشادات نقطة النهاية الخاصة قبل المتابعة.

      إذا كانت بيئتك تحتوي على نموذج محوري، فأنت بحاجة إلى نقطة نهاية خاصة واحدة فقط ومنطقة DNS خاصة واحدة فقط للإعداد بأكمله. وذلك لأن جميع شبكاتك الظاهرية لديها بالفعل نظير تم تمكينه بينها. لمزيد من المعلومات، راجع تكامل DNS لنقاط النهاية الخاصة.

      لإنشاء منطقة DNS الخاصة يدويًا، اتبع الخطوات الواردة في إنشاء مناطق DNS خاصة وإضافة سجلات DNS يدويًا.

      Screenshot that shows the Configuration tab for configuration of a private endpoint.

    4. العلامات. اختياريًا، يمكنك إضافة العلامات لنقطة النهاية الخاصة بك.

    5. مراجعة + إنشاء. عند اكتمال التحقق من الصحة، حدد إنشاء لإنشاء نقطة نهاية خاصة.

عند إنشاء نقطة النهاية الخاصة، تتم إضافة خمسة أسماء مجالات مؤهلة بالكامل (FQDNs) إلى نقطة النهاية الخاصة. تمكن هذه الروابط الأجهزة الموجودة في الشبكة المحلية من الوصول، عبر شبكة التجاوز، إلى جميع الخدمات المصغرة المطلوبة لاستعادة الموقع في سياق المخزن. يمكنك استخدام نفس نقطة النهاية الخاصة لحماية أي جهاز Azure في شبكة التجاوز وجميع الشبكات النظيرة.

يتم تنسيق أسماء المجالات الخمسة في هذا النمط:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

الموافقة على نقاط النهاية الخاصة لخدمة «استرداد الموقع»

إذا قمت بإنشاء نقطة النهاية الخاصة وكنت أيضاً مالك مخزن خدمات الاسترداد، تتم الموافقة تلقائياً على نقطة النهاية الخاصة التي أنشأتها مسبقاً في غضون بضع دقائق. وبخلاف ذلك، يجب أن يوافق مالك المخزن على نقطة النهاية الخاصة قبل أن تتمكن من استخدامها. للموافقة على اتصال نقطة نهاية خاصة مطلوب أو رفضه، انتقل إلى اتصالات نقطة النهاية الخاصة ضمن الإعدادات في صفحة مخزن الاسترداد.

يمكنك الانتقال إلى مورد نقطة النهاية الخاص لمراجعة حالة الاتصال قبل المتابعة:

Screenshot that shows the Private endpoint connections page of the vault and the list of connections.

إنشاء نقاط نهاية خاصة (اختياريًا) لحساب تخزين ذاكرة التخزين المؤقت

يمكنك استخدام نقطة نهاية خاصة لـ Azure Storage. يعد إنشاء نقاط نهاية خاصة للوصول إلى التخزين اختياريًا للنسخ المتماثل لاسترداد موقع Azure. إذا قمت بإنشاء نقطة نهاية خاصة للتخزين، فأنت بحاجة إلى نقطة نهاية خاصة لحساب تخزين ذاكرة التخزين المؤقت/السجل في الشبكة الظاهرية للتجاوز.

ملاحظة

إذا لم يتم تمكين نقاط النهاية الخاصة على حساب التخزين، فستظل الحماية ناجحة. ومع ذلك، سيتم نقل نسبة استخدام الشبكة للنسخ المتماثل عبر الإنترنت إلى نقاط النهاية العامة لخدمة استرداد الموقع من Azure. لضمان تدفق نسبة استخدام الشبكة للنسخ المتماثل عبر الارتباطات الخاصة، يجب تمكين حساب التخزين بنقاط النهاية الخاصة.

ملاحظة

يمكن إنشاء نقاط نهاية خاصة للتخزين فقط على حسابات التخزين في General Purpose v2. للحصول على معلومات الأسعار، راجع أسعار Azure Page Blobs.

اتبع الإرشادات الخاصة بإنشاء مساحة تخزين خاصة لإنشاء حساب تخزين باستخدام نقطة نهاية خاصة. تأكد من تحديد نعم ضمن التكامل مع منطقة DNS الخاصة. حدد منطقة DNS موجودة، أو أنشئ منطقة جديدة.

منح الأذونات المطلوبة إلى المخزن

بناءً على الإعداد، قد تحتاج إلى حساب تخزين واحد أو أكثر في منطقة Azure الهدف. بعد ذلك، امنح أذونات الهوية المدارة لجميع حسابات تخزين ذاكرة التخزين المؤقت/السجل المطلوبة بواسطة "استرداد الموقع". في هذه الحالة، يجب عليك إنشاء حسابات التخزين المطلوبة مقدماً.

قبل تمكين النسخ المتماثل للأجهزة الظاهرية، يجب أن يكون للهوية المدارة للمخزن أذونات الدور التالية، استناداً إلى نوع حساب التخزين.

توضح الخطوات التالية كيفية إضافة تعيين دور إلى حساب التخزين الخاص بك. للحصول على خطوات تفصيلية، راجع ⁧⁩تعيين أدوار Azure باستخدام مدخل Microsoft Azure⁧⁩.

  1. انتقل إلى حساب التخزين.

  2. حدد Access control (IAM).

  3. حدد إضافة > إضافة تعيين الدور.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. في علامة التبويب الأدوار، حدد أحد الأدوار المدرجة في بداية هذا القسم.

  5. في علامة التبويب الأعضاء، حدد الهوية المُدارة، ثم حدد تحديد الأعضاء.

  6. حدد الهوية المدارة المعينة من قبل النظام، وابحث عن مخزن، ثم حدده.

  7. في علامة التبويب ⁦⁩مراجعة + تعيين، حدد مراجعة + تعيين⁩ لتعيين الدور.

بالإضافة إلى هذه الأذونات، تحتاج إلى السماح بالوصول إلى خدمات Microsoft الموثوقة. للقيام بذلك، اتبع الخطوات التالية:

  1. انتقل إلى جدران الحماية والشبكات الظاهرية.

  2. في الاستثناءات، حدد السماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين هذا.

حماية أجهزتك الظاهرية

بعد الانتهاء من المهام السابقة، تابع إعداد البنية الأساسية المحلية. عليك المتابعة من خلال إكمال إحدى المهام التالية:

بعد اكتمال الإعداد، قم بتمكين النسخ المتماثل للأجهزة المصدر. لا تقم بإعداد البنية الأساسية إلا بعد إنشاء نقاط النهاية الخاصة للمخزن في شبكة التجاوز.

إنشاء مناطق DNS خاصة وإضافة سجلات DNS يدويًا

إذا لم تحدد خيار التكامل مع منطقة DNS خاصة عند إنشاء نقطة النهاية الخاصة للمخزن، فاتبع الخطوات الواردة في هذا القسم.

قم بإنشاء منطقة DNS خاصة واحدة للسماح لموفر "استرداد الموقع" (لأجهزة Hyper-V) أو خادم العملية (للأجهزة VMware/الأجهزة الفعلية) بحل أسماء المجالات المؤهلة بالكامل الخاصة إلى عناوين IP خاصة.

  1. قم بإنشاء منطقة DNS خاصة

    1. ابحث عن "منطقة DNS خاصة" في مربع البحث كافة الخدمات، ثم حدد منطقة DNS الخاصة في النتائج:

      Screenshot that shows searching for private dns zone on the new resources page in the Azure portal.

    2. في صفحة مناطق DNS الخاصة، حدد الزر إضافة لبدء إنشاء منطقة جديدة.

    3. في الصفحة إنشاء منطقة DNS خاصة، أدخل التفاصيل المطلوبة. أدخل privatelink.siterecovery.windowsazure.com لاسم منطقة DNS الخاصة. يمكنك اختيار أي مجموعة موارد وأي اشتراك.

      Screenshot that shows the Basics tab of the Create Private DNS zone page.

    4. تابع إلى علامة التبويب مراجعة + إنشاء لمراجعة وإنشاء منطقة DNS.

  2. اربط منطقة DNS الخاصة بشبكتك الظاهرية.

    تحتاج الآن إلى ربط منطقة DNS الخاصة التي أنشأتها بالتجاوز.

    1. انتقل إلى منطقة DNS الخاصة التي قمت بإنشائها في الخطوة السابقة، ثم انتقل إلى ارتباطات الشبكة الظاهرية في الجزء الأيمن. حدد ⁧⁩إضافة⁧⁩.

    2. أدخل التفاصيل المطلوبة. في قائمتي الاشتراك والشبكة الظاهرية، حدد التفاصيل التي تتوافق مع شبكة التجاوز. اترك القيم الافتراضية في الحقول الأخرى.

      Screenshot that shows the Add virtual network link page.

  3. إضافة سجلات DNS.

    الآن بعد أن قمت بإنشاء منطقة DNS الخاصة المطلوبة ونقطة النهاية الخاصة، تحتاج إلى إضافة سجلات DNS إلى منطقة DNS.

    ملاحظة

    إذا كنت تستخدم منطقة DNS خاصة مخصصة، فتأكد من إجراء إدخالات مماثلة، كما هو موضح في الخطوة التالية.

    في هذه الخطوة، تحتاج إلى إجراء إدخالات لكل اسم مجال مؤهل بالكامل في نقطة النهاية الخاصة بك في منطقة DNS.

    1. انتقل إلى منطقة DNS لديك، ثم انتقل إلى قسم نظرة عامة في الجزء الأيمن. حدد مجموعة السجلات لبدء إضافة السجلات.

    2. في الصفحة إضافة مجموعة سجلات، أضف إدخالاً لكل اسم مجال مؤهل بالكامل وعنوان IP خاصًا كسجل من النوع أ. يمكنك الحصول على قائمة بأسماء المجالات وعناوين IP المؤهلة بالكامل في صفحة نقطة النهاية الخاصة في نظرة عامة. كما ترى في لقطة الشاشة التالية، تتم إضافة أول اسم مجال مؤهل بالكامل من نقطة النهاية الخاصة إلى السجل الذي تم تعيينه في منطقة DNS الخاصة.

      تتطابق أسماء المجالات المؤهلة بالكامل هذه مع هذا النمط: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Screenshot that shows the Add record set page.

الخطوات التالية

الآن، بعد أن قمت بتمكين نقاط النهاية الخاصة للنسخ المتماثل للجهاز الظاهري، راجع هذه الصفحات الأخرى للحصول على معلومات إضافية وذات صلة: