Replicare i computer locali usando endpoint privati

  • Articolo

Azure Site Recovery consente di usare collegamento privato di Azure endpoint privati per replicare le macchine locali in una rete virtuale in Azure. L'accesso all'endpoint privato a un insieme di credenziali di ripristino è supportato in tutte le aree commerciali e governative di Azure.

Nota

Gli aggiornamenti automatici non sono supportati per gli endpoint privati. Altre informazioni.

In questa esercitazione apprenderai a:

  • Creare un insieme di credenziali di Servizi di ripristino Backup di Azure per proteggere i computer.
  • Abilitare un'identità gestita per l'insieme di credenziali. Concedere le autorizzazioni necessarie per accedere agli account di archiviazione per abilitare la replica del traffico dall'ambiente locale ai percorsi di destinazione di Azure. L'accesso all'identità gestita per l'archiviazione è necessario per collegamento privato l'accesso all'insieme di credenziali.
  • Apportare modifiche DNS necessarie per gli endpoint privati.
  • Creare e approvare endpoint privati per un insieme di credenziali all'interno di una rete virtuale.
  • Creare endpoint privati per gli account di archiviazione. È possibile continuare a consentire l'accesso pubblico o firewall per l'archiviazione in base alle esigenze. La creazione di un endpoint privato per accedere all'archiviazione non è necessaria per Azure Site Recovery.

Il diagramma seguente illustra il flusso di lavoro di replica per il ripristino di emergenza ibrido con endpoint privati. Non è possibile creare endpoint privati nella rete locale. Per usare i collegamenti privati, è necessario creare una rete virtuale di Azure (denominata rete bypass in questo articolo), stabilire la connettività privata tra l'ambiente locale e la rete di bypass e quindi creare endpoint privati nella rete di bypass. È possibile scegliere qualsiasi forma di connettività privata.

Diagram that shows the architecture for Azure Site Recovery and private endpoints.

Prerequisiti e avvertenze

Prima di iniziare, tenere presente quanto segue:

  • I collegamenti privati sono supportati in Site Recovery 9.35 e versioni successive.
  • È possibile creare endpoint privati solo per i nuovi insiemi di credenziali di Servizi di ripristino che non dispongono di elementi registrati. Pertanto, è necessario creare endpoint privati prima che tutti gli elementi vengano aggiunti all'insieme di credenziali. Per informazioni sui prezzi, vedere collegamento privato di Azure prezzi.
  • Quando si crea un endpoint privato per un insieme di credenziali, l'insieme di credenziali viene bloccato. È possibile accedervi solo da reti con endpoint privati.
  • L'ID Microsoft Entra attualmente non supporta gli endpoint privati. È quindi necessario consentire l'accesso in uscita dalla rete virtuale di Azure protetta agli indirizzi IP e ai nomi di dominio completi necessari per consentire il funzionamento dell'ID Microsoft Entra in un'area. Come applicabile, è anche possibile usare il tag del gruppo di sicurezza di rete "Microsoft Entra ID" e i tag Firewall di Azure per consentire l'accesso a Microsoft Entra ID.
  • Nella rete di bypass sono necessari cinque indirizzi IP in cui si crea l'endpoint privato. Quando si crea un endpoint privato per l'insieme di credenziali, Site Recovery crea cinque collegamenti privati per l'accesso ai relativi microservizi.
  • Nella rete di bypass è necessario un indirizzo IP aggiuntivo per la connettività dell'endpoint privato a un account di archiviazione della cache. È possibile usare qualsiasi metodo di connettività tra l'endpoint locale e l'endpoint dell'account di archiviazione. Ad esempio, è possibile usare Internet o Azure ExpressRoute. Stabilire un collegamento privato è facoltativo. È possibile creare endpoint privati per l'archiviazione solo in account per utilizzo generico v2. Per informazioni sui prezzi per il trasferimento dei dati sugli account Per utilizzo generico v2, vedere Prezzi dei BLOB di pagine di Azure.

Nota

Durante la configurazione degli endpoint privati per proteggere VMware e i computer fisici, sarà necessario installare MySQL nel server di configurazione manualmente. Seguire questa procedura per eseguire l'installazione manuale.

URL consentiti

Quando si usa il collegamento privato con l'esperienza modernizzata per le macchine virtuali VMware, l'accesso pubblico è necessario per alcune risorse. Di seguito sono riportati tutti gli URL da includere nell'elenco elementi consentiti. Se viene usata la configurazione basata su proxy, assicurarsi che il proxy risolva tutti i record CNAME ricevuti durante la ricerca degli URL.

URL Dettagli
portal.azure.com Passare al portale di Azure.
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com 		Per accedere alla sottoscrizione di Azure.
*.microsoftonline.com
*.microsoftonline-p.com 		Creare applicazioni Microsoft Entra per l'appliance per comunicare con Azure Site Recovery.
management.azure.com Usato per le distribuzioni e le operazioni di Azure Resource Manager.
*.siterecovery.windowsazure.com Usato per connettersi ai servizi di Site Recovery.

Assicurarsi che gli URL seguenti siano consentiti e raggiungibili dall'appliance di replica di Azure Site Recovery per la connettività continua, quando si abilita la replica in un cloud per enti pubblici:

URL per Fairfax URL per Mooncake Dettagli
login.microsoftonline.us/*
graph.windows.net 		login.microsoftonline.cn
graph.chinacloudapi.cn		 Per accedere alla sottoscrizione di Azure.
*.portal.azure.us *.portal.azure.cn Passare al portale di Azure.
management.usgovcloudapi.net management.chinacloudapi.cn Creare applicazioni Microsoft Entra per consentire all'appliance di comunicare con il servizio Azure Site Recovery.

Creare e usare endpoint privati per site recovery

Le sezioni seguenti descrivono i passaggi da eseguire per creare e usare endpoint privati per il ripristino del sito nelle reti virtuali.

Nota

È consigliabile seguire questi passaggi nell'ordine indicato. In caso contrario, potrebbe non essere possibile usare endpoint privati nell'insieme di credenziali e potrebbe essere necessario riavviare il processo con un nuovo insieme di credenziali.

Creare un insieme di credenziali di Servizi di ripristino

Un insieme di credenziali di Servizi di ripristino contiene le informazioni di replica dei computer. Viene usato per attivare le operazioni di Site Recovery. Per informazioni su come creare un insieme di credenziali di Servizi di ripristino nell'area di Azure in cui si vuole eseguire il failover in caso di emergenza, vedere Creare un insieme di credenziali di Servizi di ripristino.

Abilitare l'identità gestita per l'insieme di credenziali

Un'identità gestita consente all'insieme di credenziali di accedere agli account di archiviazione. Site Recovery potrebbe dover accedere all'archiviazione di destinazione e agli account di archiviazione cache/log, a seconda dei requisiti. L'accesso alle identità gestite è necessario quando si usa il servizio collegamento privato per l'insieme di credenziali.

  1. Passare all'insieme di credenziali di Servizi di ripristino. Selezionare Identità in Impostazioni:

    Screenshot that shows the identity settings page.

  2. Impostare Stato su Sì e selezionare Salva.

    Viene generato un ID oggetto. L'insieme di credenziali è ora registrato con Microsoft Entra ID.

Creare endpoint privati per l'insieme di credenziali di Servizi di ripristino

Per proteggere i computer nella rete di origine locale, è necessario un endpoint privato per l'insieme di credenziali nella rete di bypass. È possibile creare l'endpoint privato usando collegamento privato Center nel portale di Azure o usando Azure PowerShell.

Per creare un endpoint privato, seguire questa procedura:

  1. Nel portale di Azure selezionare Crea una risorsa.

  2. Cercare collegamento privato in Azure Marketplace.

  3. Selezionare collegamento privato nei risultati della ricerca e nella pagina Backup e Site Recovery selezionare Crea.

    Screenshot that shows searching the Azure portal for Private Link Center.

  4. Nel riquadro sinistro selezionare Endpoint privati. Nella pagina Endpoint privati selezionare Crea per iniziare a creare un endpoint privato per l'insieme di credenziali:

    Screenshot that shows how to create a private endpoint in Private Link Center.

  5. Nella pagina Creare un endpoint privato, nella sezione Dettagli progetto di base>, eseguire le operazioni seguenti:

    1. In Sottoscrizione selezionare Contoso Environment (Ambiente Contoso).
    2. In Gruppo di risorse selezionare un gruppo di risorse esistente o crearne uno nuovo. Ad esempio, ContosoCloudRG.

  6. Nella pagina Crea un endpoint privato, nella sezione Dettagli istanza di base>, eseguire le operazioni seguenti:

    1. In Nomeimmettere un nome descrittivo per identificare l'insieme di credenziali. Ad esempio, ContosoPrivateEP.
    2. Il nome dell'interfaccia di rete viene popolato automaticamente in base alla selezione del nome nel passaggio precedente.
    3. In Area usare l'area usata per la rete di bypass. Ad esempio, (Europa) Regno Unito meridionale.
    4. Seleziona Avanti.

    Screenshot that shows the Basic tab for creating a private endpoint.

  7. Nella sezione Risorsa eseguire le operazioni seguenti:

    1. Nel metodo Connessione ion selezionare il Connessione in una risorsa di Azure nella directory.
    2. In Sottoscrizione selezionare Contoso Environment (Ambiente Contoso).
    3. In Tipo di risorsa per la sottoscrizione selezionata selezionare Microsoft.RecoveryServices/vaults.
    4. Scegliere il nome dell'insieme di credenziali di Servizi di ripristino in Risorsa.
    5. Selezionare AzureSiteRecovery come sotto-risorsa di destinazione.
    6. Seleziona Avanti.

    Screenshot that shows the Resource tab for linking to a private endpoint.

  8. Nella sezione Rete virtuale eseguire le operazioni seguenti:

    1. In Rete virtuale selezionare una rete bypass.
    2. In Subnet specificare la subnet in cui si vuole creare l'endpoint privato.
    3. In Configurazione IP privato mantenere la selezione predefinita.
    4. Seleziona Avanti.

    Screenshot that shows the Virtual network tab for linking to a private endpoint.

  9. Nella sezione DNS eseguire le operazioni seguenti:

    1. Abilitare l'integrazione con una zona DNS privata selezionando .

      Nota

      Se si seleziona , la zona viene collegata automaticamente alla rete di bypass. Questa azione aggiunge anche i record DNS necessari per la risoluzione DNS di nuovi indirizzi IP e nomi di dominio completi creati per l'endpoint privato.

    2. Scegliere una zona DNS esistente o crearne una nuova.

    Assicurarsi di scegliere di creare una nuova zona DNS per ogni nuovo endpoint privato che si connette allo stesso insieme di credenziali. Se si sceglie una zona DNS privata esistente, i record CNAME precedenti vengono sovrascritti. Prima di continuare, vedere Linee guida per l'endpoint privato.

    Se l'ambiente ha un modello hub-spoke, è necessario un solo endpoint privato e una sola zona DNS privata per l'intera configurazione. Ciò è dovuto al fatto che tra tutte le reti virtuali è già abilitato il peering. Per altre informazioni, vedere Integrazione DNS dell'endpoint privato.

    Per creare manualmente la zona DNS privata, seguire la procedura descritta in Creare zone DNS private e aggiungere manualmente i record DNS.

    Screenshot that shows the Configuration tab for configuration of a private endpoint.

  10. Nella sezione Tag è possibile aggiungere tag per l'endpoint privato.

  11. Rivedi e crea. Al termine della convalida, selezionare Crea per creare l'endpoint privato.

Quando viene creato l'endpoint privato, all'endpoint privato vengono aggiunti cinque nomi di dominio completi (FQDN). Questi collegamenti consentono ai computer nella rete locale di accedere, tramite la rete di bypass, a tutti i microservizi di Site Recovery necessari nel contesto dell'insieme di credenziali. È possibile usare lo stesso endpoint privato per la protezione di qualsiasi computer di Azure nella rete di bypass e in tutte le reti con peering.

I cinque nomi di dominio sono formattati in questo modello:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Approvare gli endpoint privati per site recovery

Se si crea l'endpoint privato e si è anche il proprietario dell'insieme di credenziali di Servizi di ripristino, l'endpoint privato creato in precedenza viene approvato automaticamente entro pochi minuti. In caso contrario, il proprietario dell'insieme di credenziali deve approvare l'endpoint privato prima di poterlo usare. Per approvare o rifiutare una connessione endpoint privato richiesta, passare a Connessioni endpoint privati in Impostazioni nella pagina dell'insieme di credenziali di ripristino.

È possibile passare alla risorsa endpoint privato per esaminare lo stato della connessione prima di continuare:

Screenshot that shows the Private endpoint connections page of the vault and the list of connections.

(Facoltativo) Creare endpoint privati per l'account di archiviazione della cache

È possibile usare un endpoint privato per Archiviazione di Azure. La creazione di endpoint privati per l'accesso all'archiviazione è facoltativa per la replica di Azure Site Recovery. Se si crea un endpoint privato per l'archiviazione, è necessario un endpoint privato per l'account di archiviazione cache/log nella rete virtuale bypass.

Nota

Se gli endpoint privati non sono abilitati nell'account di archiviazione, la protezione ha comunque esito positivo. Tuttavia, il traffico di replica transiterebbe tramite Internet agli endpoint pubblici di Azure Site Recovery. Per garantire che i flussi di traffico di replica tramite collegamenti privati, l'account di archiviazione deve essere abilitato con endpoint privati.

Nota

Gli endpoint privati per l'archiviazione possono essere creati solo in account di archiviazione per utilizzo generico v2. Per informazioni sui prezzi, vedere Prezzi dei BLOB di pagine di Azure.

Seguire le indicazioni per la creazione di un'archiviazione privata per creare un account di archiviazione con un endpoint privato. Assicurarsi di selezionare in Integrazione con la zona DNS privata. Selezionare una zona DNS esistente o crearne una nuova.

Concedere le autorizzazioni necessarie all'insieme di credenziali

A seconda della configurazione, potrebbe essere necessario uno o più account di archiviazione nell'area di Azure di destinazione. Concedere quindi le autorizzazioni di identità gestita per tutti gli account di archiviazione cache/log richiesti da Site Recovery. In questo caso, è necessario creare in anticipo gli account di archiviazione necessari.

Prima di abilitare la replica delle macchine virtuali, l'identità gestita dell'insieme di credenziali deve disporre delle autorizzazioni del ruolo seguenti, a seconda del tipo di account di archiviazione.

I passaggi seguenti descrivono come aggiungere un'assegnazione di ruolo all'account di archiviazione. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

  1. Passare all'account di archiviazione.

  2. Seleziona Controllo di accesso (IAM).

  3. Selezionare Aggiungi assegnazione > di ruolo.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Nella scheda Ruolo selezionare uno dei ruoli elencati nell'inizio di questa sezione.

  5. Nella scheda Membri selezionare Identità gestita e quindi selezionare Seleziona membri.

  6. Seleziona la tua sottoscrizione di Azure.

  7. Selezionare Identità gestita assegnata dal sistema, cercare un insieme di credenziali e quindi selezionarla.

  8. Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Oltre a queste autorizzazioni, è necessario consentire l'accesso ai servizi attendibili Microsoft. A tale scopo, effettuare i passaggi seguenti:

  1. Passare a Firewall e reti virtuali.
  2. In Eccezioni selezionare Consenti alle servizi Microsoft attendibili di accedere a questo account di archiviazione.

Proteggere le macchine virtuali

Dopo aver completato le attività precedenti, continuare con la configurazione dell'infrastruttura locale. Continuare completando una delle attività seguenti:

Al termine dell'installazione, abilitare la replica per i computer di origine. Non configurare l'infrastruttura fino a quando non vengono creati gli endpoint privati per l'insieme di credenziali nella rete di bypass.

Creare zone DNS private e aggiungere manualmente record DNS

Se non è stata selezionata l'opzione per l'integrazione con una zona DNS privata quando è stato creato l'endpoint privato per l'insieme di credenziali, seguire la procedura descritta in questa sezione.

Creare una zona DNS privata per consentire al provider di Site Recovery (per i computer Hyper-V) o al server di elaborazione (per i computer VMware/fisici) di risolvere gli FQDN privati in indirizzi IP privati.

  1. Creare una zona DNS privata.

    1. Cercare "zona DNS privata" nella casella di ricerca Tutti i servizi e quindi selezionare DNS privato zona nei risultati:

      Screenshot that shows searching for private dns zone on the new resources page in the Azure portal.

    2. Nella pagina DNS privato zone selezionare il pulsante Aggiungi per iniziare a creare una nuova zona.

    3. Nella pagina Crea zona DNS privata immettere i dettagli necessari. Immettere privatelink.siterecovery.windowsazure.com per il nome della zona DNS privata. È possibile scegliere qualsiasi gruppo di risorse e qualsiasi sottoscrizione.

      Screenshot that shows the Basics tab of the Create Private DNS zone page.

    4. Passare alla scheda Rivedi e crea per esaminare e creare la zona DNS.

    5. Se si usa l'architettura modernizzata per la protezione di computer VMware o fisici, creare anche un'altra zona DNS privata per privatelink.prod.migration.windowsazure.com . Questo endpoint verrà usato da Site Recovery per eseguire l'individuazione dell'ambiente locale.

  2. Per collegare la zona DNS privata alla rete virtuale, seguire questa procedura:

    1. Passare alla zona DNS privata creata nel passaggio precedente e quindi passare a Collegamenti di rete virtuale nel riquadro sinistro. Selezionare Aggiungi.

    2. Immetti i dettagli richiesti. Negli elenchi Sottoscrizione e Rete virtuale selezionare i dettagli corrispondenti alla rete di bypass. Lasciare i valori predefiniti negli altri campi.

      Screenshot that shows the Add virtual network link page.

  3. Aggiungere record DNS.

    Dopo aver creato la zona DNS privata richiesta e l'endpoint privato, è necessario aggiungere record DNS alla zona DNS.

    Nota

    Se si usa una zona DNS privata personalizzata, assicurarsi di creare voci simili, come descritto nel passaggio seguente.

    In questo passaggio è necessario creare voci per ogni FQDN nell'endpoint privato nella zona DNS privata.

    1. Passare alla zona DNS privata e quindi passare alla sezione Panoramica nel riquadro sinistro. Selezionare Set di record per iniziare ad aggiungere record.

    2. Nella pagina Aggiungi set di record aggiungere una voce per ogni nome di dominio completo e indirizzo IP privato come record di tipo A . È possibile ottenere un elenco dei nomi di dominio e degli INDIRIZZI IP completi nella pagina Endpoint privato in Panoramica. Come si può vedere nello screenshot seguente, il primo nome di dominio completo dall'endpoint privato viene aggiunto al set di record nella zona DNS privata.

      Questi nomi di dominio completi corrispondono a questo modello: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com

      Screenshot that shows the Add record set page.

Passaggi successivi

Dopo aver abilitato gli endpoint privati per la replica delle macchine virtuali, vedere questi altri articoli per informazioni aggiuntive e correlate: