O sítích v zotavení po havárii virtuálního počítače Azure
Tento článek poskytuje pokyny k síti při replikaci a obnovování virtuálních počítačů Azure z jedné oblasti do druhé pomocí Azure Site Recovery.
Než začnete
Přečtěte si, jak Site Recovery poskytuje zotavení po havárii pro Tento scénář.
Typická síťová infrastruktura
Následující diagram znázorňuje typické prostředí Azure pro aplikace běžící na virtuálních počítačích Azure:
Pokud používáte Azure ExpressRoute nebo připojení VPN z vaší místní sítě do Azure, prostředí je následující:
Sítě jsou obvykle chráněné pomocí bran firewall a skupin zabezpečení sítě (skupin zabezpečení sítě). Pro řízení připojení k síti byste měli použít značky služby. Skupin zabezpečení sítě by mělo umožňovat řízení odchozího připojení pro několik značek služeb.
Důležité
Použití ověřeného proxy serveru k řízení připojení k síti není v Site Recovery podporováno a replikaci nelze povolit.
Poznámka
- Pro řízení odchozího připojení by se nemělo provádět filtrování na základě IP adresy.
- Pro řízení odchozího připojení by se neměly přidávat IP adresy Azure Site Recovery do směrovací tabulky Azure.
Odchozí připojení pro adresy URL
Pokud k řízení odchozího připojení používáte proxy server brány firewall založený na adrese URL, povolte tyto adresy URL Site Recovery:
| Adresa URL | Podrobnosti |
|---|---|
| *.blob.core.windows.net | Vyžaduje se, aby se data mohla zapsat do účtu úložiště mezipaměti ve zdrojové oblasti z virtuálního počítače. Pokud znáte všechny účty úložiště mezipaměti pro vaše virtuální počítače, můžete přístup k určitým adresám URL účtu úložiště (např.: cache1.blob.core.windows.net a cache2.blob.core.windows.net) zpřístupnit místo *. blob.core.windows.net |
| login.microsoftonline.com | Vyžaduje se pro autorizaci a ověřování adres URL služby Site Recovery. |
| *.hypervrecoverymanager.windowsazure.com | Vyžaduje se, aby na virtuálním počítači mohla probíhat komunikace služby Site Recovery. |
| *.servicebus.windows.net | Požadováno, aby se z virtuálního počítače mohla zapisovat data monitorování Site Recovery a diagnostická data. |
| *.vault.azure.net | Umožňuje přístup k povolení replikace pro virtuální počítače s podporou ADE přes portál. |
| *. automation.ext.azure.com | Umožňuje povolit automatický upgrade agenta mobility pro replikovanou položku prostřednictvím portálu. |
Odchozí připojení pomocí značek služeb
Kromě řídicích adres URL můžete k řízení připojení použít taky značky služby. V takovém případě budete muset nejprve vytvořit skupinu zabezpečení sítě v Azure. Po vytvoření budete muset použít naše existující značky služby a vytvořit pravidlo NSG, které umožní přístup k Azure Site Recovery službám.
Výhody použití značek služeb k řízení připojení, ve srovnání s řízením připojení pomocí IP adres, znamená, že na konkrétní IP adrese nebude žádná pevná závislost, která by měla zůstat připojená k našim službám. V takovém případě, pokud se změní IP adresa jedné z našich služeb, nebude mít tato probíhající replikace vliv na vaše počítače. Závislost na pevně kódovaných IP adresách způsobí, že se stav replikace stane kritickým a že vaše systémy budou ohroženy. Značky služeb navíc zajistí lepší zabezpečení, stabilitu a odolnost než pevně kódované IP adresy.
Při použití NSG k řízení odchozího připojení je potřeba tyto značky služeb povolit.
- Pro účty úložiště ve zdrojové oblasti:
- vytvořte pravidlo NSG založené na značce služby Storage pro zdrojovou oblast.
- Povolte tyto adresy, aby bylo možné do účtu úložiště mezipaměti zapsat data z virtuálního počítače.
- vytvořit pravidlo NSG založené na značce služby Azure Active Directory (AAD) pro povolení přístupu ke všem IP adresám, které odpovídají AAD
- Vytvořte pravidlo NSG na základě značky služby EventsHub pro cílovou oblast a umožněte přístup Site Recovery monitorování.
- Vytvořte pravidlo NSG na základě značek služby AzureSiteRecovery, které umožní přístup k Site Recovery službě v libovolné oblasti.
- Vytvořte pravidlo NSG na základě značek služby AzureKeyVault. To se vyžaduje jenom pro povolení replikace virtuálních počítačů s podporou ADE přes portál.
- Vytvořte pravidlo NSG na základě značek služby GuestAndHybridManagement. To se vyžaduje jenom pro povolení automatického upgradu agenta mobility pro replikovanou položku prostřednictvím portálu.
- Doporučujeme, abyste vytvořili požadovaná pravidla NSG na NSG testu a ověřili, že neexistují žádné problémy předtím, než vytvoříte pravidla na produkčním NSG.
Příklad konfigurace NSG
Tento příklad ukazuje, jak nakonfigurovat NSG pravidla pro replikaci virtuálního počítače.
- Pokud používáte pravidla NSG k řízení odchozího připojení, použijte pravidla "povolení odchozího přenosu HTTPS" na port: 443 pro všechny požadované rozsahy IP adres.
- V příkladu se předpokládá, že umístění zdroje virtuálního počítače je "Východní USA" a cílové umístění je "Střed USA".
Pravidla NSG – Východní USA
Vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro Storage. EastUS "na NSG, jak je znázorněno na snímku obrazovky níže.
Vytvořte pravidlo zabezpečení odchozího HTTPS (443) pro "Azureactivedirectory selhala" na NSG, jak je znázorněno na snímku obrazovky níže.
Podobně jako u výše uvedených pravidel zabezpečení vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro "EventHub. CentralUS" v NSG, které odpovídá cílovému umístění. To umožňuje přístup k Site Recovery monitorování.
Vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro AzureSiteRecovery na NSG. To umožňuje přístup ke službě Site Recovery v libovolné oblasti.
Pravidla NSG – Střed USA
Tato pravidla jsou nutná, aby bylo možné replikaci z cílové oblasti do zdrojové oblasti po převzetí služeb při selhání povolit.
Vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro Storage. CentralUS "na NSG.
Vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro Azureactivedirectory selhala na NSG.
Podobně jako u výše uvedených pravidel zabezpečení vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro "EventHub. EastUS" v NSG, které odpovídá umístění zdroje. To umožňuje přístup k Site Recovery monitorování.
Vytvořte odchozí pravidlo zabezpečení HTTPS (443) pro AzureSiteRecovery na NSG. To umožňuje přístup ke službě Site Recovery v libovolné oblasti.
Konfigurace síťového virtuálního zařízení
Pokud k řízení odchozího síťového provozu z virtuálních počítačů používáte síťová virtuální zařízení (síťová virtuální zařízení), může se zařízení omezovat, pokud se veškerý provoz replikace projde přes síťové virtuální zařízení. doporučujeme vytvořit koncový bod síťové služby ve vaší virtuální síti pro "Storage", aby provoz replikace nepřešel do síťové virtuální zařízení.
Vytvoření koncového bodu síťové služby pro Storage
v rámci virtuální sítě můžete vytvořit koncový bod síťové služby pro "Storage", aby provoz replikace neopouští hranice Azure.
Vyberte svou virtuální síť Azure a klikněte na koncové body služby.
Otevře se karta přidat a přidat koncové body služby.
Vyberte Microsoft. Storage pod položkou služba a požadované podsítě v poli podsítě a klikněte na přidat.
Poznámka
pokud používáte účet úložiště mezipaměti s povolenou bránou firewall nebo cílový účet úložiště, zajistěte, abyste povolili důvěryhodné služby Microsoft. Také se ujistěte, že máte povolený přístup k alespoň jedné podsíti zdrojové virtuální sítě.
Vynucené tunelování
Výchozí systémovou trasu Azure pro předponu adresy 0.0.0.0/0 můžete přepsat vlastní trasou a přesměrováním provozu virtuálního počítače do místního síťového virtuálního zařízení (síťové virtuální zařízení), ale tato konfigurace se nedoporučuje pro Site Recovery replikaci. pokud používáte vlastní trasy, měli byste ve virtuální síti vytvořit koncový bod služby virtuální sítě pro "Storage", aby provoz replikace neopouští hranice Azure.
Další kroky
- Začněte chránit své úlohy replikací virtuálních počítačů Azure.
- Další informace o uchovávání IP adres pro převzetí služeb při selhání virtuálního počítače Azure
- Přečtěte si další informace o zotavení po havárii virtuálních počítačů Azure pomocí ExpressRoute.