Replikace počítačů s privátními koncovými body

  • Článek

Azure Site Recovery umožňuje používat privátní koncové body služby Azure Private Link k replikaci počítačů z izolované virtuální sítě. Přístup k privátnímu koncovému bodu trezoru obnovení se podporuje ve všech oblastech Azure Commercial &Government.

Tento článek obsahuje pokyny k provedení následujících kroků:

  • Vytvořte trezor služby Azure Backup Recovery Services pro ochranu vašich počítačů.
  • Povolte spravovanou identitu trezoru a udělte požadovaná oprávnění pro přístup k účtům úložiště zákazníka pro replikaci provozu ze zdroje do cílových umístění. Přístup ke spravované identitě pro úložiště je nutný, když nastavujete přístup služby Private Link k trezoru.
  • Provedení změn DNS požadovaných pro privátní koncové body
  • Vytvoření a schválení privátních koncových bodů pro trezor uvnitř virtuální sítě
  • Vytvořte privátní koncové body pro účty úložiště. Podle potřeby můžete dál povolit veřejný přístup k úložišti nebo přístup přes bránu firewall. Vytvoření privátního koncového bodu pro přístup k úložišti není pro Azure Site Recovery povinné.

Níže najdete referenční architekturu týkající se toho, jak se pracovní postup replikace mění s privátními koncovými body.

Reference architecture for Site Recovery with private endpoints.

Požadavky a upozornění

  • Privátní koncové body je možné vytvořit jenom pro nové trezory služby Recovery Services, které nemají v trezoru zaregistrované žádné položky. Privátní koncové body se proto musí vytvořit před tím, než se do trezoru přidají všechny položky. Zkontrolujte cenovou strukturu privátních koncových bodů.
  • Když se pro trezor vytvoří privátní koncový bod, trezor se uzamkne a nebude přístupný z jiných sítí, než jsou sítě s privátními koncovými body.
  • ID Microsoft Entra v současné době nepodporuje privátní koncové body. Ip adresy a plně kvalifikované názvy domén vyžadované k tomu, aby ID Microsoft Entra fungovalo v určité oblasti, musí mít povolený odchozí přístup ze zabezpečené sítě. Můžete také použít značku skupiny zabezpečení sítě Azure Active Directory a značky služby Azure Firewall pro povolení přístupu k ID Microsoft Entra podle potřeby.
  • Vpodch Když pro trezor vytvoříte privátní koncový bod, Site Recovery vytvoří pět privátních propojení pro přístup k jeho mikroslužbám. Navíc když povolíte replikaci, přidá dvě další privátní propojení pro párování zdrojové a cílové oblasti.
  • Ve zdrojových i obnovovacích podsítích se vyžaduje jedna další IP adresa. Tato IP adresa se vyžaduje jenom v případě, že potřebujete používat privátní koncové body, které se připojují k účtům úložiště mezipaměti. Privátní koncové body pro úložiště je možné vytvořit pouze pro obecné účely verze 2. Zkontrolujte cenovou strukturu přenosu dat v GPv2.

Vytváření a používání privátních koncových bodů pro Site Recovery

Tato část popisuje kroky spojené s vytvářením a používáním privátních koncových bodů pro Azure Site Recovery ve vašich virtuálních sítích.

Poznámka:

Důrazně doporučujeme postupovat podle těchto kroků ve stejné sekvenci jako v zadaném pořadí. Pokud to neuděláte, může dojít k tomu, že se vygenerovaný trezor nevykreslí, nebudete moct používat privátní koncové body a vyžadovat restartování procesu s novým trezorem.

Vytvoření trezoru služby Recovery Services

Trezor služby Recovery Services je entita, která obsahuje informace o replikaci počítačů a slouží k aktivaci operací Site Recovery. Další informace najdete v tématu Vytvoření trezoru služby Recovery Services.

Povolte spravovanou identitu trezoru.

Spravovaná identita umožňuje trezoru získat přístup k účtům úložiště zákazníka. Site Recovery potřebuje přístup ke zdrojovému úložišti, cílovému úložišti a účtům úložiště mezipaměti a protokolů v závislosti na požadavku na scénář. Přístup ke spravované identitě je nezbytný, když pro trezor používáte službu privátních propojení.

  1. Přejděte do trezoru služby Recovery Services. V části Nastavení vyberte Identitu.

    Shows the Azure portal and the Recovery Services page.

  2. Změňte stav na Zapnuto a vyberte Uložit.

  3. Vygeneruje se ID objektu, které znamená, že trezor je teď zaregistrovaný ve službě Azure Active Directory.

Vytvoření privátních koncových bodů pro trezor služby Recovery Services

Pokud chcete povolit převzetí služeb při selhání i navrácení služeb po obnovení pro virtuální počítače Azure, budete pro trezor potřebovat dva privátní koncové body. Jeden privátní koncový bod pro ochranu počítačů ve zdrojové síti a druhý pro opětovnou ochranu počítačů, u kterých došlo k převzetí služeb při selhání v síti pro obnovení.

Během tohoto procesu nastavení se ujistěte, že ve své cílové oblasti vytvoříte virtuální síť pro obnovení.

Vytvořte první privátní koncový bod pro váš trezor ve zdrojové virtuální síti pomocí centra Private Link na portálu nebo prostřednictvím Azure PowerShellu. Vytvořte druhý privátní koncový bod pro trezor uvnitř vaší sítě pro obnovení. Následuje postup vytvoření privátního koncového bodu ve zdrojové síti. Opakováním stejných pokynů vytvořte druhý privátní koncový bod.

  1. Na panelu hledání na webu Azure Portal vyhledejte a vyberte Private Link. Tato akce vás provede centrem služby Private Link.

    Shows searching the Azure portal for the Private Link Center.

  2. Na levém navigačním panelu vyberte privátní koncové body. Jakmile budete na stránce Privátní koncové body, vyberte +Přidat a začněte vytvářet privátní koncový bod pro váš trezor.

    Shows creating a private endpoint in the Private Link Center.

  3. Jakmile budete v prostředí Vytvořit privátní koncový bod, budete muset zadat podrobnosti pro vytvoření připojení privátního koncového bodu.

    1. Základy: Vyplňte základní podrobnosti pro vaše privátní koncové body. Oblast by měla být stejná jako zdrojové počítače.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Prostředek: Tato karta vyžaduje, abyste zmínili prostředek platformy jako služby, pro který chcete vytvořit připojení. Jako typ prostředku pro vybrané předplatné vyberte Microsoft.RecoveryServices/vaults. Pak zvolte název trezoru služby Recovery Services pro prostředek a nastavte Azure Site Recovery jako cílový dílčí prostředek.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Konfigurace: V konfiguraci zadejte virtuální síť a podsíť, ve které chcete privátní koncový bod vytvořit. Tato virtuální síť je síť, ve které se nachází virtuální počítač. Povolte integraci s privátní zónou DNS tak, že vyberete Ano. Zvolte již vytvořenou zónu DNS nebo vytvořte novou zónu. Výběrem možnosti Ano se zóna automaticky pro propojení se zdrojovou virtuální sítí přidá záznamy DNS, které jsou potřeba pro překlad NOVÝCH IP adres a plně kvalifikovaných názvů domén vytvořených pro privátní koncový bod.

      Ujistěte se, že se rozhodnete vytvořit novou zónu DNS pro každý nový privátní koncový bod, který se připojuje ke stejnému trezoru. Pokud zvolíte existující privátní zónu DNS, přepíšou se předchozí záznamy CNAME. Než budete pokračovat, přečtěte si pokyny k privátnímu koncovému bodu.

      Pokud má vaše prostředí hvězdicový model, potřebujete jenom jeden privátní koncový bod a jenom jednu privátní zónu DNS pro celé nastavení, protože všechny virtuální sítě už mezi nimi mají povolený partnerský vztah. Další informace najdete v tématu Integrace DNS privátního koncového bodu.

      Pokud chcete privátní zónu DNS vytvořit ručně, postupujte podle kroků v části Vytvoření privátních zón DNS a přidejte záznamy DNS ručně.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Značky: Volitelně můžete přidat značky pro privátní koncový bod.

    5. Zkontrolovat a vytvořit: Po dokončení ověření vyberte Vytvořit a vytvořte privátní koncový bod.

Po vytvoření privátního koncového bodu se do privátního koncového bodu přidá pět plně kvalifikovaných názvů domén. Tyto odkazy umožňují počítačům ve virtuální síti získat přístup ke všem požadovaným mikroslužbám Site Recovery v kontextu trezoru. Později, když povolíte replikaci, přidají se do stejného privátního koncového bodu dva další plně kvalifikované názvy domén.

Pět názvů domén je formátováno následujícím vzorem:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Schválení privátních koncových bodů pro Site Recovery

Pokud je uživatel, který vytváří privátní koncový bod, také vlastníkem trezoru služby Recovery Services, privátní koncový bod vytvořený výše se automaticky schválí během několika minut. Jinak musí vlastník trezoru schválit privátní koncový bod, než ho použijete. Pokud chcete schválit nebo odmítnout požadované připojení privátního koncového bodu, přejděte na připojení privátního koncového bodu v části "Nastavení" na stránce trezoru obnovení.

Než budete pokračovat, můžete přejít k prostředku privátního koncového bodu a zkontrolovat stav připojení.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(Volitelné) Vytvoření privátních koncových bodů pro účet úložiště mezipaměti

Je možné použít privátní koncový bod pro Službu Azure Storage. Vytváření privátních koncových bodů pro přístup k úložišti je volitelné pro replikaci Azure Site Recovery. Při vytváření privátního koncového bodu pro úložiště platí následující požadavky:

  • Potřebujete privátní koncový bod pro účet úložiště mezipaměti nebo protokolu ve zdrojové virtuální síti.
  • V době opětovné ochrany počítačů s převzetím služeb při selhání v síti pro obnovení potřebujete druhý privátní koncový bod. Tento privátní koncový bod je určený pro nový účet úložiště vytvořený v cílové oblasti.

Poznámka:

Pokud nejsou pro účet úložiště povolené privátní koncové body, ochrana by stále byla úspěšná. Provoz replikace by ale přecháděl do veřejných koncových bodů Azure Site Recovery. Aby se zajistilo, že provoz replikace prochází privátními propojeními, musí být účet úložiště povolený s privátními koncovými body.

Poznámka:

Privátní koncový bod pro úložiště je možné vytvořit pouze v účtech úložiště pro obecné účely v2 . Informace o cenách najdete v tématu Standardní ceny objektů blob stránky.

Podle pokynů k vytvoření privátního úložiště vytvořte účet úložiště s privátním koncovým bodem. Ujistěte se, že chcete vybrat možnost Ano pro integraci s privátní zónou DNS. Vyberte již vytvořenou zónu DNS nebo vytvořte novou zónu.

Udělení požadovaných oprávnění trezoru

Pokud vaše virtuální počítače používají spravované disky, musíte udělit oprávnění spravované identity jenom účtům úložiště mezipaměti. V případě, že virtuální počítače používají nespravované disky, musíte udělit oprávnění spravované identity pro účty zdrojového úložiště, mezipaměti a cílového úložiště. V takovém případě musíte předem vytvořit cílový účet úložiště.

Před povolením replikace virtuálních počítačů musí mít spravovaná identita trezoru následující oprávnění role v závislosti na typu účtu úložiště:

Následující kroky popisují, jak přidat přiřazení role k účtům úložiště po jednom. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

  1. Na webu Azure Portal přejděte k účtu úložiště mezipaměti, který jste vytvořili.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat > přiřazení role.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na kartě Role vyberte jednu z rolí uvedených na začátku této části.

  5. Na kartě Členové vyberte Spravovaná identita a pak vyberte Vybrat členy.

  6. Vyberte své předplatné Azure.

  7. Vyberte spravovanou identitu přiřazenou systémem, vyhledejte trezor a pak ji vyberte.

  8. Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.

Kromě těchto oprávnění musíte povolit přístup k důvěryhodným službám Microsoftu. Postup je následující:

  1. Přejděte do bran firewall a virtuálních sítí.

  2. Ve výjimkách vyberte Povolit důvěryhodným služby Microsoft přístup k tomuto účtu úložiště.

Ochrana virtuálních počítačů

Po dokončení všech výše uvedených konfigurací pokračujte povolením replikace pro vaše virtuální počítače. Všechny operace Site Recovery fungují bez dalších kroků, pokud se při vytváření privátních koncových bodů v trezoru použila integrace DNS. Pokud jsou ale zóny DNS ručně vytvořené a nakonfigurované, budete po povolení replikace potřebovat další kroky k přidání konkrétních záznamů DNS do zdrojových i cílových zón DNS. Podrobnosti a kroky najdete v tématu Vytvoření privátních zón DNS a ruční přidání záznamů DNS.

Vytvoření privátních zón DNS a ruční přidání záznamů DNS

Pokud jste při vytváření privátního koncového bodu pro trezor nevybrali možnost integrace s privátní zónou DNS, postupujte podle kroků v této části.

Vytvořte jednu privátní zónu DNS, která agentu mobility umožní přeložit plně kvalifikované názvy domén privátního propojení na privátní IP adresy.

  1. Vytvoření privátní zóny DNS

    1. Na panelu hledání Všech služeb vyhledejte "Privátní DNS zónu" a v rozevíracím seznamu vyberte "Privátní DNS zóny".

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. Jakmile na stránce "Privátní DNS zón" vyberte tlačítko +Přidat a začněte vytvářet novou zónu.

    3. Na stránce Vytvořit privátní zónu DNS vyplňte požadované podrobnosti. Zadejte název privátní zóny DNS jako privatelink.siterecovery.windowsazure.com. Můžete zvolit libovolnou skupinu prostředků a jakékoli předplatné, které chcete vytvořit.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. Pokračujte na kartu Zkontrolovat a vytvořit , abyste zkontrolovali a vytvořili zónu DNS.

  2. Propojení privátní zóny DNS s virtuální sítí

    Privátní zóny DNS vytvořené výše musí být nyní propojeny s virtuální sítí, kde jsou vaše servery aktuálně. Také je potřeba předem propojit privátní zónu DNS s cílovou virtuální sítí.

    1. Přejděte do privátní zóny DNS, kterou jste vytvořili v předchozím kroku, a přejděte na odkazy virtuální sítě na levé straně stránky. Potom vyberte tlačítko +Přidat .

    2. Vyplňte požadované podrobnosti. Pole Předplatné a virtuální síť musí být vyplněna odpovídajícími podrobnostmi virtuální sítě, ve které jsou vaše servery. Ostatní pole musí být ponechána tak, jak je.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. Přidání záznamů DNS

    Po vytvoření požadovaných privátních zón DNS a privátních koncových bodů musíte do zón DNS přidat záznamy DNS.

    Poznámka:

    Pokud používáte vlastní privátní zónu DNS, ujistěte se, že jsou podobné položky provedeny, jak je popsáno níže.

    Tento krok vyžaduje, abyste v privátním koncovém bodu v privátním koncovém bodu do zóny privátního DNS udělali záznamy pro každý plně kvalifikovaný název domény.

    1. Přejděte do privátní zóny DNS a přejděte do části Přehled na levé straně stránky. Jakmile tam vyberete +Sada záznamů, začněte přidávat záznamy.

    2. Na stránce Přidat sadu záznamů, která se otevře, přidejte položku pro každý plně kvalifikovaný název domény a privátní IP adresu jako záznam typu A . Seznam plně kvalifikovaných názvů domén a IP adres lze získat ze stránky Privátní koncový bod v části Přehled. Jak je znázorněno v následujícím příkladu, první plně kvalifikovaný název domény z privátního koncového bodu se přidá do sady záznamů v zóně privátního DNS.

      Tyto plně kvalifikované názvy domén odpovídají vzoru: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Poznámka:

    Po povolení replikace se na privátních koncových bodech v obou oblastech vytvoří dva plně kvalifikované názvy domén. Ujistěte se, že přidáte záznamy DNS pro tyto nově vytvořené plně kvalifikované názvy domén.

Další kroky

Teď, když jste povolili privátní koncové body pro replikaci virtuálního počítače, najdete další a související informace na těchto dalších stránkách: