Acerca de las redes para la recuperación ante desastres de máquinas virtuales de AzureAbout networking in Azure VM disaster recovery

En este artículo se proporciona la guía de redes cuando se van a replicar y recuperar máquinas virtuales de Azure de una región a otra, mediante Azure Site Recovery.This article provides networking guidance when you're replicating and recovering Azure VMs from one region to another, using Azure Site Recovery.

Antes de comenzarBefore you start

Obtenga información sobre cómo Site Recovery proporciona recuperación ante desastres para este escenario.Learn how Site Recovery provides disaster recovery for this scenario.

Infraestructura de red típicaTypical network infrastructure

El siguiente diagrama representa el entorno de Azure típico para aplicaciones que se ejecutan en máquinas virtuales de Azure:The following diagram depicts a typical Azure environment, for applications running on Azure VMs:

Entorno de cliente

Si usa Azure ExpressRoute o una conexión VPN desde su red local a Azure, el entorno tendrá este aspecto:If you're using Azure ExpressRoute or a VPN connection from your on-premises network to Azure, the environment is as follows:

Entorno de cliente

Normalmente, los clientes protegen sus redes mediante firewalls y grupos de seguridad de red (NSG).Typically, networks are protected using firewalls and network security groups (NSGs). Los firewalls usan la inclusión en lista blanca basada en direcciones URL o IP para controlar la conectividad de red.Firewalls use URL or IP-based whitelisting to control network connectivity. Los NSG proporcionan reglas que usan intervalos de direcciones IP para controlar la conectividad de red.NSGs provide rules that use IP address ranges to control network connectivity.

Importante

Site Recovery no admite el uso de un proxy autenticado para controlar la conectividad de red y la replicación no se podrá habilitar.Using an authenticated proxy to control network connectivity isn't supported by Site Recovery, and replication can't be enabled.

Conectividad de salida para las direcciones URLOutbound connectivity for URLs

Si usa un proxy de firewall basado en la dirección URL para controlar la conectividad de salida, admita estas direcciones URL de Site Recovery:If you are using a URL-based firewall proxy to control outbound connectivity, allow these Site Recovery URLs:

URLURL DetallesDetails
*.blob.core.windows.net*.blob.core.windows.net Se requiere para que los datos se puedan escribir en la cuenta de almacenamiento de la caché en la región de origen de la máquina virtual.Required so that data can be written to the cache storage account in the source region from the VM. Si conoce todas las cuentas de almacenamiento en caché de las máquinas virtuales, puede permitir el acceso a las direcciones URL de las cuentas de almacenamiento específicas (por ejemplo, cache1.blob.core.windows.net y cache2.blob.core.windows.net) en lugar de *.blob.core.windows.netIf you know all the cache storage accounts for your VMs, you can allow access to the specific storage account URLs (Ex: cache1.blob.core.windows.net and cache2.blob.core.windows.net) instead of *.blob.core.windows.net
login.microsoftonline.comlogin.microsoftonline.com Se requiere para la autorización y la autenticación de las direcciones URL del servicio Site Recovery.Required for authorization and authentication to the Site Recovery service URLs.
*.hypervrecoverymanager.windowsazure.com*.hypervrecoverymanager.windowsazure.com Se requiere para la comunicación del servicio Site Recovery desde la máquina virtual.Required so that the Site Recovery service communication can occur from the VM.
*.servicebus.windows.net*.servicebus.windows.net Se requiere para que se puedan escribir datos de supervisión y diagnóstico de Site Recovery desde la máquina virtual.Required so that the Site Recovery monitoring and diagnostics data can be written from the VM.
*.vault.azure.net*.vault.azure.net Permite el acceso para habilitar la replicación de máquinas virtuales habilitadas para ADE a través del portal.Allows access to enable replication for ADE-enabled virtual machines via portal
*.automation.ext.azure.com*.automation.ext.azure.com Permite habilitar la actualización automática del agente de movilidad para un elemento replicado a través del portal.Allows enabling auto-upgrade of mobility agent for a replicated item via portal

Conectividad saliente mediante etiquetas de servicioOutbound connectivity using Service Tags

Si utiliza un grupo de seguridad de red para controlar la conectividad de salida, deben permitirse estas etiquetas de servicio.If you are using an NSG to control outbound connectivity, these service tags need to be allowed.

  • Para las cuentas de almacenamiento en la región de origen:For the storage accounts in source region:
    • Cree una regla de NSG basada en la etiqueta del servicio Storage para la región de origen.Create a Storage service tag based NSG rule for the source region.
    • Permita estas direcciones para que los datos se puedan escribir en la cuenta de almacenamiento en caché, desde la máquina virtual.Allow these addresses so that data can be written to the cache storage account, from the VM.
  • Cree una regla de grupos de seguridad de red basada en la etiqueta de servicio de Azure Active Directory (AAD) para permitir el acceso a todas las direcciones IP correspondientes a AAD.Create a Azure Active Directory (AAD) service tag based NSG rule for allowing access to all IP addresses corresponding to AAD
  • Cree una regla de NSG basada en una etiqueta de servicio EventsHub para la región de destino, lo que permite el acceso a la supervisión de Site Recovery.Create an EventsHub service tag based NSG rule for the target region, allowing access to Site Recovery monitoring.
  • Cree una regla de NSG basada en una etiqueta de servicio AzureSiteRecovery para permitir el acceso al servicio Site Recovery en cualquier región.Create an AzureSiteRecovery service tag based NSG rule for allowing access to Site Recovery service in any region.
  • Cree una regla de NSG basada en una etiqueta de servicio de AzureKeyVault.Create an AzureKeyVault service tag based NSG rule. Esto solo es necesario para habilitar la replicación de máquinas virtuales habilitadas para ADE a través del portal.This is required only for enabling replication of ADE-enabled virtual machines via portal.
  • Cree una regla de NSG basada en una etiqueta de servicio de GuestAndHybridManagement.Create a GuestAndHybridManagement service tag based NSG rule. Esto es necesario solo para habilitar la actualización automática del agente de movilidad para un elemento replicado a través del portal.This is required only for enabling auto-upgrade of mobility agent for a replicated item via portal.
  • Se recomienda crear las reglas de NSG necesarias en un grupo NSG de NSG de prueba y comprobar que no haya ningún problema antes de crear las reglas en un grupo de NSG de producción.We recommend that you create the required NSG rules on a test NSG, and verify that there are no problems before you create the rules on a production NSG.

Configuración de NSG de ejemploExample NSG configuration

En este ejemplo se muestra cómo configurar reglas de NSG para la replicación de una máquina virtual.This example shows how to configure NSG rules for a VM to replicate.

  • Si usa reglas de NSG para controlar la conectividad de salida, utilice reglas para permitir el tráfico HTTPS de salida al puerto 443 para todos los intervalos de direcciones IP necesarios.If you're using NSG rules to control outbound connectivity, use "Allow HTTPS outbound" rules to port:443 for all the required IP address ranges.
  • En el ejemplo se supone que la ubicación de origen de la máquina virtual es "Este de EE. UU." y la ubicación de destino es "Centro de EE. UU".The example presumes that the VM source location is "East US" and the target location is "Central US".

Reglas de NSG: este de EE. UU.NSG rules - East US

  1. Cree una regla de seguridad HTTPS (443) de salida para "Storage.EastUS" en el NSG tal y como se muestra en la captura de pantalla siguiente.Create an outbound HTTPS (443) security rule for "Storage.EastUS" on the NSG as shown in the screenshot below.

    storage-tag

  2. Cree una regla de seguridad HTTPS (443) de salida para "AzureActiveDirectory" en el NSG tal y como se muestra en la captura de pantalla siguiente.Create an outbound HTTPS (443) security rule for "AzureActiveDirectory" on the NSG as shown in the screenshot below.

    aad-tag

  3. De forma similar a las reglas de seguridad anteriores, cree una regla de seguridad HTTPS (443) de salida para ""EventHub.CentralUS" en el NSG que corresponda a la ubicación de destino.Similar to above security rules, create outbound HTTPS (443) security rule for "EventHub.CentralUS" on the NSG that correspond to the target location. Esto permite el acceso a la supervisión de Site Recovery.This allows access to Site Recovery monitoring.

  4. Cree una regla de seguridad HTTPS (443) de salida para "AzureSiteRecovery" en el NSG.Create an outbound HTTPS (443) security rule for "AzureSiteRecovery" on the NSG. Esto permite el acceso al servicio Site Recovery en cualquier región.This allows access to Site Recovery Service in any region.

Reglas de NSG: centro de EE. UU.NSG rules - Central US

Estas reglas son necesarias para que la replicación se pueda habilitar de la región de destino a la región de origen con posterioridad a la conmutación por error:These rules are required so that replication can be enabled from the target region to the source region post-failover:

  1. Cree una regla de seguridad HTTPS (443) de salida saliente para "Storage.CentralUS" en el NSG.Create an outbound HTTPS (443) security rule for "Storage.CentralUS" on the NSG.

  2. Cree una regla de seguridad HTTPS (443) de salida para "AzureActiveDirectory" en el NSG.Create an outbound HTTPS (443) security rule for "AzureActiveDirectory" on the NSG.

  3. De forma similar a las reglas de seguridad anteriores, cree una regla de seguridad HTTPS (443) de salida para "EventHub.EastUS" en el NSG que corresponda a la ubicación de origen.Similar to above security rules, create outbound HTTPS (443) security rule for "EventHub.EastUS" on the NSG that correspond to the source location. Esto permite el acceso a la supervisión de Site Recovery.This allows access to Site Recovery monitoring.

  4. Cree una regla de seguridad HTTPS (443) de salida para "AzureSiteRecovery" en el NSG.Create an outbound HTTPS (443) security rule for "AzureSiteRecovery" on the NSG. Esto permite el acceso al servicio Site Recovery en cualquier región.This allows access to Site Recovery Service in any region.

Configuración de la aplicación virtual de redNetwork virtual appliance configuration

Si usa aplicaciones virtuales de red (NVA) para controlar el tráfico de red saliente de las máquinas virtuales, el dispositivo podría verse limitado si todo el tráfico de replicación pasa a través de la NVA.If you are using network virtual appliances (NVAs) to control outbound network traffic from VMs, the appliance might get throttled if all the replication traffic passes through the NVA. Se recomienda crear un punto de conexión de servicio de red en la red virtual de "Storage" para que el tráfico de replicación no se dirija a la NVA.We recommend creating a network service endpoint in your virtual network for "Storage" so that the replication traffic does not go to the NVA.

Crear el punto de conexión de servicio de red de StorageCreate network service endpoint for Storage

Puede crear un punto de conexión de servicio de red en la red virtual de "Storage" para que el tráfico de replicación no sobrepase el límite de Azure.You can create a network service endpoint in your virtual network for "Storage" so that the replication traffic does not leave Azure boundary.

  • Seleccione la red virtual de Azure y haga clic en "Puntos de conexión de servicio".Select your Azure virtual network and click on 'Service endpoints'

    storage-endpoint

  • Haga clic en "Agregar" y se abrirá la pestaña "Agregar extremos del servicio".Click 'Add' and 'Add service endpoints' tab opens

  • Seleccione "Microsoft.Storage" en "Servicio", elija las subredes necesarias en el campo "Subredes" y haga clic en "Agregar".Select 'Microsoft.Storage' under 'Service' and the required subnets under 'Subnets' field and click 'Add'

Nota

No restrinja el acceso de red virtual a las cuentas de almacenamiento que usa para ASR.Do not restrict virtual network access to your storage accounts used for ASR. Debe permitir el acceso desde todas las redes.You should allow access from 'All networks'

Tunelización forzadaForced tunneling

Puede invalidar la ruta del sistema predeterminada de Azure para el prefijo de dirección 0.0.0.0/0 con una ruta personalizada y desviar el tráfico de la máquina virtual a una aplicación virtual de red (NVA) local, pero esta configuración no se recomienda para la replicación de Site Recovery.You can override Azure's default system route for the 0.0.0.0/0 address prefix with a custom route and divert VM traffic to an on-premises network virtual appliance (NVA), but this configuration is not recommended for Site Recovery replication. Si va a usar rutas personalizadas, debe crear un punto de conexión de servicio de red virtual en su red virtual de "Storage" para que el tráfico de replicación no salga de los límites de Azure.If you're using custom routes, you should create a virtual network service endpoint in your virtual network for "Storage" so that the replication traffic does not leave the Azure boundary.

Pasos siguientesNext steps