Informationen zu Netzwerken für die Notfallwiederherstellung für virtuelle Azure-ComputerAbout networking in Azure VM disaster recovery

Dieser Artikel bietet einen Netzwerkleitfaden für die Replikation und Wiederherstellung von Azure-VMs zwischen verschiedenen Regionen mithilfe von Azure Site Recovery.This article provides networking guidance when you're replicating and recovering Azure VMs from one region to another, using Azure Site Recovery.

VorbereitungBefore you start

Erfahren Sie, wie Site Recovery die Notfallwiederherstellung für dieses Szenario bereitstellt.Learn how Site Recovery provides disaster recovery for this scenario.

Typische NetzwerkinfrastrukturTypical network infrastructure

Das folgende Diagramm zeigt eine typische Azure-Umgebung für Anwendungen, die auf Azure-VMs ausgeführt werden:The following diagram depicts a typical Azure environment, for applications running on Azure VMs:

Kundenumgebung

Wenn Ihr lokales Netzwerk über Azure ExpressRoute oder VPN mit Azure verbunden ist, sieht die Umgebung wie folgt aus:If you're using Azure ExpressRoute or a VPN connection from your on-premises network to Azure, the environment is as follows:

Kundenumgebung

Normalerweise werden Netzwerke durch Firewalls und Netzwerksicherheitsgruppen (NSGs) geschützt.Typically, networks are protected using firewalls and network security groups (NSGs). Firewalls verwenden eine URL- oder IP-basierte Whitelist zum Steuern der Netzwerkkonnektivität.Firewalls use URL or IP-based whitelisting to control network connectivity. NSGs stellen Regeln bereit, die IP-Adressbereiche zum Steuern der Netzwerkkonnektivität verwenden.NSGs provide rules that use IP address ranges to control network connectivity.

Wichtig

Die Verwendung eines authentifizierten Proxys zum Steuern der Netzwerkkonnektivität wird von Site Recovery nicht unterstützt. In diesem Fall kann die Replikation nicht aktiviert werden.Using an authenticated proxy to control network connectivity isn't supported by Site Recovery, and replication can't be enabled.

Ausgehende Konnektivität für URLsOutbound connectivity for URLs

Lassen Sie die folgenden Site Recovery-URLs zu, wenn Sie einen URL-basierten Firewallproxy zum Steuern der ausgehenden Konnektivität verwenden:If you are using a URL-based firewall proxy to control outbound connectivity, allow these Site Recovery URLs:

URLURL DetailsDetails
*.blob.core.windows.net*.blob.core.windows.net Erforderlich, damit Daten in das Cachespeicherkonto in der Quellregion über die VM geschrieben werden können.Required so that data can be written to the cache storage account in the source region from the VM. Wenn Sie alle Cachespeicherkonten für Ihre VMs kennen, können Sie den Zugriff auf die spezifischen Speicherkonten-URLs (z. B. cache1.blob.core.windows.net and cache2.blob.core.windows.net) anstelle von „*.blob.core.windows.net“ zulassen.If you know all the cache storage accounts for your VMs, you can allow access to the specific storage account URLs (Ex: cache1.blob.core.windows.net and cache2.blob.core.windows.net) instead of *.blob.core.windows.net
login.microsoftonline.comlogin.microsoftonline.com Erforderlich für die Autorisierung und Authentifizierung bei den Site Recovery-Dienst-URLs.Required for authorization and authentication to the Site Recovery service URLs.
*.hypervrecoverymanager.windowsazure.com*.hypervrecoverymanager.windowsazure.com Erforderlich, um die Kommunikation mit dem Site Recovery-Dienst über die VM zu ermöglichen.Required so that the Site Recovery service communication can occur from the VM. Sie können die entsprechende Site Recovery-IP verwenden, wenn Ihr Firewallproxy IPs unterstützt.You can use the corresponding 'Site Recovery IP' if your firewall proxy supports IPs.
*.servicebus.windows.net*.servicebus.windows.net Erforderlich, damit die Site Recovery-Überwachungs- und -Diagnosedaten über die VM geschrieben werden können.Required so that the Site Recovery monitoring and diagnostics data can be written from the VM. Sie können die entsprechende Site Recovery-Überwachungs-IP verwenden, wenn Ihr Firewallproxy IPs unterstützt.You can use the corresponding 'Site Recovery Monitoring IP' if your firewall proxy supports IPs.

Ausgehende Konnektivität für IP-AdressbereicheOutbound connectivity for IP address ranges

Wenn Sie einen IP-basierten Firewallproxy oder NSG zum Steuern der ausgehenden Konnektivität verwenden, müssen die folgenden IP-Adressbereiche zugelassen werden.If you are using an IP-based firewall proxy, or NSG to control outbound connectivity, these IP ranges need to be allowed.

  • Alle IP-Adressbereiche, die den Speicherkonten am Quellstandort entsprechen.All IP address ranges that correspond to the storage accounts in source region
    • Erstellen Sie ein Speicherdiensttag basierend auf der NSG-Regel für die Quellregion.Create a Storage service tag based NSG rule for the source region.
    • Lassen Sie diese Adressen zu, damit Daten von der VM in das Cachespeicherkonto geschrieben werden können.Allow these addresses so that data can be written to the cache storage account, from the VM.
  • Erstellen Sie basierend auf der NSG-Regel ein Azure Active Directory-Diensttag (AAD) für den Zugriff auf alle IP-Adressen für AAD.Create a Azure Active Directory (AAD) service tag based NSG rule for allowing access to all IP addresses corresponding to AAD
    • Wenn in Azure Active Directory (AAD) später neue Adressen hinzugefügt werden, müssen Sie neue NSG-Regeln erstellen.If new addresses are added to the Azure Active Directory (AAD) in the future, you need to create new NSG rules.
  • Erstellen Sie eine auf dem EventsHub-Diensttag basierende NSG-Regel für die Zielregion, die den Zugriff auf Site Recovery-Überwachung ermöglicht.Create an EventsHub service tag based NSG rule for the target region, allowing access to Site Recovery monitoring.
  • Erstellen Sie eine auf dem Azure Site Recovery-Diensttag basierende NSG-Regel, um den Zugriff auf den Site Recovery-Dienst in einer beliebigen Region zuzulassen.Create an AzureSiteRecovery service tag based NSG rule for allowing access to Site Recovery service in any region.
  • Wir empfehlen, die erforderlichen NSG-Regeln in einer Test-Netzwerksicherheitsgruppe zu erstellen und sicherzustellen, dass keine Probleme vorliegen, bevor Sie die Regeln in einer Netzwerksicherheitsgruppe in der Produktionsumgebung erstellen.We recommend that you create the required NSG rules on a test NSG, and verify that there are no problems before you create the rules on a production NSG.

Wenn Sie Site Recovery-IP-Adressbereiche verwenden möchten (nicht empfohlen), finden Sie weitere Informationen in der folgenden Tabelle:If you prefer using Site Recovery IP address ranges (not recommended), please refer the below table:

ZielTarget IP-Adressen für Site RecoverySite Recovery IP IP-Adressen zur Site Recovery-ÜberwachungSite Recovery monitoring IP
Asien, OstenEast Asia 52.175.17.13252.175.17.132 13.94.47.6113.94.47.61
Asien, SüdostenSoutheast Asia 52.187.58.19352.187.58.193 13.76.179.22313.76.179.223
Indien, MitteCentral India 52.172.187.3752.172.187.37 104.211.98.185104.211.98.185
Indien (Süden)South India 52.172.46.22052.172.46.220 104.211.224.190104.211.224.190
USA Nord MitteNorth Central US 23.96.195.24723.96.195.247 168.62.249.226168.62.249.226
NordeuropaNorth Europe 40.69.212.23840.69.212.238 52.169.18.852.169.18.8
Europa, WestenWest Europe 52.166.13.6452.166.13.64 40.68.93.14540.68.93.145
East USEast US 13.82.88.22613.82.88.226 104.45.147.24104.45.147.24
USA (Westen)West US 40.83.179.4840.83.179.48 104.40.26.199104.40.26.199
USA Süd MitteSouth Central US 13.84.148.1413.84.148.14 104.210.146.250104.210.146.250
USA (Mitte)Central US 40.69.144.23140.69.144.231 52.165.34.14452.165.34.144
USA (Ost) 2East US 2 52.184.158.16352.184.158.163 40.79.44.5940.79.44.59
Japan, OstenJapan East 52.185.150.14052.185.150.140 138.91.1.105138.91.1.105
Japan, WestenJapan West 52.175.146.6952.175.146.69 138.91.17.38138.91.17.38
Brasilien SüdBrazil South 191.234.185.172191.234.185.172 23.97.97.3623.97.97.36
Australien (Osten)Australia East 104.210.113.114104.210.113.114 191.239.64.144191.239.64.144
Australien, SüdostenAustralia Southeast 13.70.159.15813.70.159.158 191.239.160.45191.239.160.45
Kanada, MitteCanada Central 52.228.36.19252.228.36.192 40.85.226.6240.85.226.62
Kanada, OstenCanada East 52.229.125.9852.229.125.98 40.86.225.14240.86.225.142
USA, Westen-MitteWest Central US 52.161.20.16852.161.20.168 13.78.149.20913.78.149.209
USA, Westen 2West US 2 52.183.45.16652.183.45.166 13.66.228.20413.66.228.204
UK, WestenUK West 51.141.3.20351.141.3.203 51.141.14.11351.141.14.113
UK, SüdenUK South 51.140.43.15851.140.43.158 51.140.189.5251.140.189.52
Vereinigtes Königreich, Süden 2UK South 2 13.87.37.413.87.37.4 13.87.34.13913.87.34.139
Vereinigtes Königreich, NordenUK North 51.142.209.16751.142.209.167 13.87.102.6813.87.102.68
Korea, MitteKorea Central 52.231.28.25352.231.28.253 52.231.32.8552.231.32.85
Korea, SüdenKorea South 52.231.198.18552.231.198.185 52.231.200.14452.231.200.144
Frankreich, MitteFrance Central 52.143.138.10652.143.138.106 52.143.136.5552.143.136.55
Frankreich, SüdenFrance South 52.136.139.22752.136.139.227 52.136.136.6252.136.136.62
Australien, MitteAustralia central 20.36.34.7020.36.34.70 20.36.46.14220.36.46.142
Australien, Mitte 2Australia Central 2 20.36.69.6220.36.69.62 20.36.74.13020.36.74.130
Südafrika, WestenSouth Africa West 102.133.72.51102.133.72.51 102.133.26.128102.133.26.128
Südafrika, NordenSouth Africa North 102.133.160.44102.133.160.44 102.133.154.128102.133.154.128
US Government, VirginiaUS Gov Virginia 52.227.178.11452.227.178.114 23.97.0.19723.97.0.197
US Gov IowaUS Gov Iowa 13.72.184.2313.72.184.23 23.97.16.18623.97.16.186
US Gov ArizonaUS Gov Arizona 52.244.205.4552.244.205.45 52.244.48.8552.244.48.85
US Gov TexasUS Gov Texas 52.238.119.21852.238.119.218 52.238.116.6052.238.116.60
US DoD, OstenUS DoD East 52.181.164.10352.181.164.103 52.181.162.12952.181.162.129
US DoD, MitteUS DoD Central 52.182.95.23752.182.95.237 52.182.90.13352.182.90.133
China, NordenChina North 40.125.202.25440.125.202.254 42.159.4.15142.159.4.151
China, Norden 2China North 2 40.73.35.19340.73.35.193 40.73.33.23040.73.33.230
China, OstenChina East 42.159.205.4542.159.205.45 42.159.132.4042.159.132.40
China, Osten 2China East 2 40.73.118.5240.73.118.52 40.73.100.12540.73.100.125
Deutschland, NordenGermany North 51.116.208.5851.116.208.58 51.116.58.12851.116.58.128
Deutschland, Westen-MitteGermany West Central 51.116.156.17651.116.156.176 51.116.154.19251.116.154.192
Schweiz, WestenSwitzerland West 51.107.231.22351.107.231.223 51.107.154.12851.107.154.128
Schweiz, NordenSwitzerland North 51.107.68.3151.107.68.31 51.107.58.12851.107.58.128
Norwegen, OstenNorway East 51.120.100.6451.120.100.64 51.120.98.12851.120.98.128
Norwegen, WestenNorway West 51.120.220.6551.120.220.65 51.120.218.16051.120.218.160

Beispielkonfiguration für eine NetzwerksicherheitsgruppeExample NSG configuration

Dieses Beispiel zeigt, wie NSG-Regeln für eine zu replizierende VM konfiguriert werden.This example shows how to configure NSG rules for a VM to replicate.

  • Wenn Sie die ausgehende Konnektivität mit NSG-Regeln steuern, verwenden Sie für alle erforderlichen IP-Adressbereiche Regeln zum Zulassen ausgehender HTTPS-Verbindungen für „port:443“.If you're using NSG rules to control outbound connectivity, use "Allow HTTPS outbound" rules to port:443 for all the required IP address ranges.
  • Im Beispiel wird davon ausgegangen, dass der VM-Quellstandort „USA, Osten“ ist und der Zielstandort „USA, Mitte“.The example presumes that the VM source location is "East US" and the target location is "Central US".

NSG-Regeln – USA, OstenNSG rules - East US

  1. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „Storage.EastUS“, wie im Screenshot unten gezeigt.Create an outbound HTTPS (443) security rule for "Storage.EastUS" on the NSG as shown in the screenshot below.

    storage-tag

  2. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureActiveDirectory“, wie im Screenshot unten gezeigt.Create an outbound HTTPS (443) security rule for "AzureActiveDirectory" on the NSG as shown in the screenshot below.

    aad-tag

  3. Erstellen Sie (ähnlich zu den oben erstellten Sicherheitsregeln) eine Sicherheitsregel für ausgehenden HTTPS-Datenverkehr (443) für „EventHub.CentralUS“ für die NSG, die dem Zielstandort entspricht.Similar to above security rules, create outbound HTTPS (443) security rule for "EventHub.CentralUS" on the NSG that correspond to the target location. Dies ermöglicht den Zugriff auf Site Recovery-Überwachung.This allows access to Site Recovery monitoring.

  4. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureSiteRecovery“.Create an outbound HTTPS (443) security rule for "AzureSiteRecovery" on the NSG. Dies ermöglicht den Zugriff auf den Site Recovery-Dienst in jeder beliebigen Region.This allows access to Site Recovery Service in any region.

NSG-Regeln – USA, MitteNSG rules - Central US

Diese Regeln sind erforderlich, damit nach dem Failover die Replikation von der Zielregion zur Quellregion aktiviert werden kann:These rules are required so that replication can be enabled from the target region to the source region post-failover:

  1. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „Storage.CentralUS“.Create an outbound HTTPS (443) security rule for "Storage.CentralUS" on the NSG.

  2. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureActiveDirectory“.Create an outbound HTTPS (443) security rule for "AzureActiveDirectory" on the NSG.

  3. Erstellen Sie (ähnlich zu den oben erstellten Sicherheitsregeln) eine Sicherheitsregel für ausgehenden HTTPS-Datenverkehr (443) für „EventHub.EastUS“ für die NSG, die dem Quellstandort entspricht.Similar to above security rules, create outbound HTTPS (443) security rule for "EventHub.EastUS" on the NSG that correspond to the source location. Dies ermöglicht den Zugriff auf Site Recovery-Überwachung.This allows access to Site Recovery monitoring.

  4. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureSiteRecovery“.Create an outbound HTTPS (443) security rule for "AzureSiteRecovery" on the NSG. Dies ermöglicht den Zugriff auf den Site Recovery-Dienst in jeder beliebigen Region.This allows access to Site Recovery Service in any region.

Konfiguration der virtuellen NetzwerkapplianceNetwork virtual appliance configuration

Wenn Sie virtuelle Netzwerkappliances zur Steuerung des ausgehenden Netzwerkverkehrs von VMs verwenden, wird die Appliance möglicherweise gedrosselt, wenn der gesamte Replikationsdatenverkehr über die virtuelle Netzwerkappliance läuft.If you are using network virtual appliances (NVAs) to control outbound network traffic from VMs, the appliance might get throttled if all the replication traffic passes through the NVA. Es wird empfohlen, einen Netzwerk-Dienstendpunkt in Ihrem virtuellen Netzwerk für „Storage“ zu erstellen, damit der Replikationsdatenverkehr nicht an die virtuelle Netzwerkappliance geleitet wird.We recommend creating a network service endpoint in your virtual network for "Storage" so that the replication traffic does not go to the NVA.

Erstellen eines Netzwerk-Dienstendpunkts für StorageCreate network service endpoint for Storage

Sie können einen Netzwerk-Dienstendpunkt in Ihrem virtuellen Netzwerk für „Storage“ erstellen, damit der Replikationsdatenverkehr die Azure-Grenze nicht überschreitet.You can create a network service endpoint in your virtual network for "Storage" so that the replication traffic does not leave Azure boundary.

  • Wählen Sie Ihre virtuelles Azure-Netzwerk aus, und klicken Sie auf „Dienstendpunkte“.Select your Azure virtual network and click on 'Service endpoints'

    storage-endpoint

  • Klicken Sie auf „Hinzufügen“, und die Registerkarte „Dienstendpunkte hinzufügen“ wird geöffnet.Click 'Add' and 'Add service endpoints' tab opens

  • Wählen Sie unter „Dienst“ die Option „Microsoft.Storage“ und unter dem Feld „Subnetze“ die erforderlichen Subnetze, und klicken Sie auf „Hinzufügen“.Select 'Microsoft.Storage' under 'Service' and the required subnets under 'Subnets' field and click 'Add'

Hinweis

Beschränken Sie nicht den Zugriff des virtuellen Netzwerks auf Ihre für ASR verwendeten Speicherkonten.Do not restrict virtual network access to your storage accounts used for ASR. Sie sollten den Zugriff für „Alle Netzwerke“ zulassen.You should allow access from 'All networks'

TunnelerzwingungForced tunneling

Sie können die Standardsystemroute von Azure für das Adresspräfix 0.0.0.0/0 mit einer benutzerdefinierten Route überschreiben und VM-Datenverkehr auf ein lokales virtuelles Netzwerkgerät umleiten, aber diese Konfiguration wird für die Site Recovery-Replikation nicht empfohlen.You can override Azure's default system route for the 0.0.0.0/0 address prefix with a custom route and divert VM traffic to an on-premises network virtual appliance (NVA), but this configuration is not recommended for Site Recovery replication. Wenn Sie benutzerdefinierte Routen verwenden, sollten Sie einen VNET-Dienstendpunkt in Ihrem virtuellen Netzwerk für „Storage“ erstellen, damit der Replikationsdatenverkehr innerhalb der Azure-Begrenzung bleibt.If you're using custom routes, you should create a virtual network service endpoint in your virtual network for "Storage" so that the replication traffic does not leave the Azure boundary.

Nächste SchritteNext steps