Materiale sussidiario del servizio di rete per la replica delle macchine virtuali di AzureNetworking guidance for replicating Azure virtual machines

Nota

La replica di Site Recovery per le macchine virtuali di Azure è attualmente in anteprima.Site Recovery replication for Azure virtual machines is currently in preview.

In questo articolo si illustra nel dettaglio il materiale sussidiario del servizio di rete per Azure Site Recovery quando si esegue la replica e il ripristino delle macchine virtuali di Azure da un'area ad un'altra area.This article details the networking guidance for Azure Site Recovery when you're replicating and recovering Azure virtual machines from one region to another region. Per altre informazioni sui requisiti di Azure Site Recovery, vedere l'articolo sui prerequisiti.For more about Azure Site Recovery requirements, see the prerequisites article.

Architettura di Site RecoverySite Recovery architecture

Site Recovery fornisce un modo semplice per replicare le applicazioni in esecuzione nelle macchine virtuali di Azure in un'altra area di Azure in modo che possano essere ripristinate in caso di interruzione nell'area primaria.Site Recovery provides a simple and easy way to replicate applications running on Azure virtual machines to another Azure region so that they can be recovered if there is a disruption in the primary region. Altre informazioni su questo scenario e sull'architettura di Site Recovery.Learn more about this scenario and Site Recovery architecture.

Infrastruttura della rete in usoYour network infrastructure

Il diagramma seguente illustra l'ambiente tipico di Azure per un'applicazione in esecuzione nelle macchine virtuali di Azure:The following diagram depicts the typical Azure environment for an application running on Azure virtual machines:

customer-environment

Se si usa Azure ExpressRoute o una connessione VPN da una rete locale ad Azure, l'ambiente è simile al seguente:If you are using Azure ExpressRoute or a VPN connection from an on-premises network to Azure, the environment looks like this:

customer-environment

In genere, i clienti proteggono le proprie reti usando firewall e/o gruppi di sicurezza di rete.Typically, customers protect their networks using firewalls and/or network security groups (NSGs). I firewall possono usare elenchi basati su URL o su IP consentiti per controllare la connettività di rete.The firewalls can use either URL-based or IP-based whitelisting for controlling network connectivity. I NSGs consentono le regole per usare intervalli IP per controllare la connettività di rete.NSGs allow rules for using IP ranges to control network connectivity.

Importante

Se si usa un proxy autenticato per controllare la connettività di rete, esso non è supportato e non è possibile abilitare la replica di Site Recovery.If you are using an authenticated proxy to control network connectivity, it is not supported, and Site Recovery replication cannot be enabled.

Le sezioni seguenti illustrano le modifiche alla connettività in uscita di rete che sono richieste dalle macchine virtuali di Azure per consentire alla replica di Site Recovery di funzionare.The following sections discuss the network outbound connectivity changes that are required from Azure virtual machines for Site Recovery replication to work.

Connettività in uscita per gli URL di Azure Site RecoveryOutbound connectivity for Azure Site Recovery URLs

Se si usa qualsiasi proxy firewall basato su URL per controllare la connettività in uscita, assicurarsi di inserire nell'elenco dei consentiti questi URL del servizio di Azure Site Recovery richiesti:If you are using any URL-based firewall proxy to control outbound connectivity, be sure to whitelist these required Azure Site Recovery service URLs:

URLURL ScopoPurpose
.blob.core.windows.net.blob.core.windows.net Richiesto in modo che i dati possano essere scritti nell'account di archiviazione della cache nell'area di origine dalla macchina virtuale.Required so that data can be written to the cache storage account in the source region from the VM.
login.microsoftonline.comlogin.microsoftonline.com Richiesto per l'autorizzazione e l'autenticazione negli URL del servizio Site Recovery.Required for authorization and authentication to the Site Recovery service URLs.
.hypervrecoverymanager.windowsazure.com.hypervrecoverymanager.windowsazure.com Richiesto in modo che la comunicazione del servizio di Site Recovery possa verificarsi dalla macchina virtuale.Required so that the Site Recovery service communication can occur from the VM.
.servicebus.windows.net.servicebus.windows.net Richiesto in modo che il monitoraggio e i dati di diagnostica di Site Recovery possano essere scritti dalla macchina virtuale.Required so that the Site Recovery monitoring and diagnostics data can be written from the VM.

Connettività in uscita per gli intervalli IP di Azure Site RecoveryOutbound connectivity for Azure Site Recovery IP ranges

Nota

Per creare automaticamente le regole NSG richieste nel gruppo di sicurezza di rete, è possibile scaricare e usare questo script.To automatically create the required NSG rules on the network security group, you can download and use this script.

Importante

  • È consigliabile creare le regole NSG richieste in un gruppo di sicurezza di rete di test e verificare che non siano presenti problemi prima di creare le regole in un gruppo di sicurezza di rete di produzione.We recommend that you create the required NSG rules on a test network security group and verify that there are no problems before you create the rules on a production network security group.
  • Per creare il numero di regole NSG richiesto, verificare che la sottoscrizione sia consentita.To create the required number of NSG rules, ensure that your subscription is whitelisted. Contattare il supporto tecnico per aumentare il limite delle regole NSG nella sottoscrizione.Contact support to increase the NSG rule limit in your subscription.

Se si usa qualsiasi proxy firewall basato su IP o le regole NSG per controllare la connettività in uscita, è necessario che i seguenti intervalli IP siano consentiti, a seconda dei percorsi di origine e destinazione delle macchine virtuali:If you are using any IP-based firewall proxy or NSG rules to control outbound connectivity, the following IP ranges need to be whitelisted, depending on the source and target locations of the virtual machines:

  • Tutti gli intervalli IP che corrispondono alla posizione di origine.All IP ranges that correspond to the source location. (è possibile scaricare gli intervalli IP). L'elenco consentito è richiesto in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.(You can download the IP ranges.) Whitelisting is required so that data can be written to the cache storage account from the VM.

  • Tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 di Office 365.All IP ranges that correspond to Office 365 authentication and identity IP V4 endpoints.

    Nota

    Se in futuro i nuovi IP vengono aggiunti agli intervalli IP di Office 365, è necessario creare nuove regole NSG.If new IPs get added to Office 365 IP ranges in the future, you need to create new NSG rules.

  • IP dell'endpoint di servizio di Site Recovery (disponibili in un file XML), che variano a seconda della posizione di destinazione:Site Recovery service endpoint IPs (available in an XML file), which depend on your target location:

    Posizione di destinazioneTarget location IP del servizio Site RecoverySite Recovery service IPs IP di monitoraggio di Site RecoverySite Recovery monitoring IP
    Asia orientaleEast Asia 52.175.17.13252.175.17.132 13.94.47.6113.94.47.61
    Asia sudorientaleSoutheast Asia 52.187.58.19352.187.58.193 13.76.179.22313.76.179.223
    India centraleCentral India 52.172.187.3752.172.187.37 104.211.98.185104.211.98.185
    India meridionaleSouth India 52.172.46.22052.172.46.220 104.211.224.190104.211.224.190
    Stati Uniti centro-settentrionaliNorth Central US 23.96.195.24723.96.195.247 168.62.249.226168.62.249.226
    Europa settentrionaleNorth Europe 40.69.212.23840.69.212.238 52.169.18.852.169.18.8
    Europa occidentaleWest Europe 52.166.13.6452.166.13.64 40.68.93.14540.68.93.145
    Stati Uniti orientaliEast US 13.82.88.22613.82.88.226 104.45.147.24104.45.147.24
    Stati Uniti occidentaliWest US 40.83.179.4840.83.179.48 104.40.26.199104.40.26.199
    Stati Uniti centro-meridionaliSouth Central US 13.84.148.1413.84.148.14 104.210.146.250104.210.146.250
    Stati Uniti centraliCentral US 40.69.144.23140.69.144.231 52.165.34.14452.165.34.144
    Stati Uniti orientali 2East US 2 52.184.158.16352.184.158.163 40.79.44.5940.79.44.59
    Giappone orientaleJapan East 52.185.150.14052.185.150.140 138.91.1.105138.91.1.105
    Giappone occidentaleJapan West 52.175.146.6952.175.146.69 138.91.17.38138.91.17.38
    Brasile meridionaleBrazil South 191.234.185.172191.234.185.172 23.97.97.3623.97.97.36
    Australia orientaleAustralia East 104.210.113.114104.210.113.114 191.239.64.144191.239.64.144
    Australia sudorientaleAustralia Southeast 13.70.159.15813.70.159.158 191.239.160.45191.239.160.45
    Canada centraleCanada Central 52.228.36.19252.228.36.192 40.85.226.6240.85.226.62
    Canada orientaleCanada East 52.229.125.9852.229.125.98 40.86.225.14240.86.225.142
    Stati Uniti centro-occidentaliWest Central US 52.161.20.16852.161.20.168 13.78.149.20913.78.149.209
    Stati Uniti occidentali 2West US 2 52.183.45.16652.183.45.166 13.66.228.20413.66.228.204
    Regno Unito occidentaleUK West 51.141.3.20351.141.3.203 51.141.14.11351.141.14.113
    Regno Unito meridionaleUK South 51.140.43.15851.140.43.158 51.140.189.5251.140.189.52
    Regno Unito meridionale 2UK South 2 13.87.37.413.87.37.4 13.87.34.13913.87.34.139
    Regno Unito settentrionaleUK North 51.142.209.16751.142.209.167 13.87.102.6813.87.102.68
    Corea centraleKorea Central 52.231.28.25352.231.28.253 52.231.32.8552.231.32.85
    Corea meridionaleKorea South 52.231.298.18552.231.298.185 52.231.200.14452.231.200.144

Configurazione NSG di esempioSample NSG configuration

In questa sezione vengono illustrati i passaggi per configurare regole NSG in modo che la replica di Site Recovery possa funzionare in una macchina virtuale.This section explains the steps to configure NSG rules so that Site Recovery replication can work on a virtual machine. Se si usano regole NSG per controllare la connettività in uscita, usare le regole "Allow HTTPS outbound" (Consenti HTTPS in uscita) per tutti gli intervalli IP richiesti.If you are using NSG rules to control outbound connectivity, use "Allow HTTPS outbound" rules for all the required IP ranges.

Nota

Per creare automaticamente le regole NSG richieste nel gruppo di sicurezza di rete, è possibile scaricare e usare questo script.To automatically create the required NSG rules on the network security group, you can download and use this script.

Ad esempio, se la posizione di origine della macchina virtuale è "Stati Uniti orientali" e la posizione di destinazione della replica è "Stati Uniti centrali", seguire i passaggi descritti nelle due sezioni successive.For example, if your VM's source location is "East US" and your replication target location is "Central US," follow the steps in the next two sections.

Importante

  • È consigliabile creare le regole NSG richieste in un gruppo di sicurezza di rete di test e verificare che non siano presenti problemi prima di creare le regole in un gruppo di sicurezza di rete di produzione.We recommend that you create the required NSG rules on a test network security group and verify that there are no problems before you create the rules on a production network security group.
  • Per creare il numero di regole NSG richiesto, verificare che la sottoscrizione sia consentita.To create the required number of NSG rules, ensure that your subscription is whitelisted. Contattare il supporto tecnico per aumentare il limite delle regole NSG nella sottoscrizione.Contact support to increase the NSG rule limit in your subscription.

Regole NSG nel gruppo di sicurezza di rete degli Stati Uniti orientaliNSG rules on the East US network security group

  • Creare regole che corrispondano agli intervalli IP degli Stati Uniti orientali.Create rules that correspond to East US IP ranges. Queste regole sono richieste in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.This is required so that data can be written to the cache storage account from the VM.

  • Creare regole per tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 Office 365.Create rules for all IP ranges that correspond to Office 365 authentication and identity IP V4 endpoints.

  • Creare regole che corrispondano alla posizione di destinazione:Create rules that correspond to the target location:

    PosizioneLocation IP del servizio Site RecoverySite Recovery service IPs IP di monitoraggio di Site RecoverySite Recovery monitoring IP
    Stati Uniti centraliCentral US 40.69.144.23140.69.144.231 52.165.34.14452.165.34.144

Regole NSG nel gruppo di sicurezza di rete degli Stati Uniti centraliNSG rules on the Central US network security group

Queste regole sono necessarie in modo che la replica possa essere abilitata dall'area di destinazione all'area di origine dopo il failover:These rules are required so that replication can be enabled from the target region to the source region post-failover:

  • Regole che corrispondono agli intervalli IP degli Stati Uniti centrali.Rules that correspond to Central US IP ranges. Queste regole sono richieste in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.These are required so that data can be written to the cache storage account from the VM.

  • Regole per tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 di Office 365.Rules for all IP ranges that correspond to Office 365 authentication and identity IP V4 endpoints.

  • Regole che corrispondono alla posizione di origine:Rules that correspond to the source location:

    PosizioneLocation IP del servizio Site RecoverySite Recovery service IPs IP di monitoraggio di Site RecoverySite Recovery monitoring IP
    Stati Uniti orientaliEast US 13.82.88.22613.82.88.226 104.45.147.24104.45.147.24

Linee guida per la configurazione di ExpressRoute/VPN esistente da Azure in localeGuidelines for existing Azure-to-on-premises ExpressRoute/VPN configuration

Se si dispone di una connessione VPN o ExpressRoute tra il locale e la posizione di origine in Azure, seguire le linee guida in questa sezione.If you have an ExpressRoute or VPN connection between on-premises and the source location in Azure, follow the guidelines in this section.

Configurazione del tunneling forzatoForced tunneling configuration

Secondo una diffusa configurazione personalizzata si definisce una route predefinita (0.0.0.0/0) che forza il traffico Internet in uscita a fluire attraverso la posizione locale.A common customer configuration is to define a default route (0.0.0.0/0) that forces outbound Internet traffic to flow through the on-premises location. Ciò non è consigliabile.We do not recommend this. Il traffico della replica e la comunicazione del servizio Site Recovery non devono allontanarsi dal limite di Azure.The replication traffic and Site Recovery service communication should not leave the Azure boundary. La soluzione consiste nell'aggiungere route definite dall'utente (UDR) per questi intervalli IP in modo che il traffico della replica non finisca locale.The solution is to add user-defined routes (UDRs) for these IP ranges so that the replication traffic doesn’t go on-premises.

Connettività tra la posizione di destinazione e quella localeConnectivity between the target and on-premises location

Seguire queste linee guida per le connessioni tra la posizione di destinazione e la posizione locale:Follow these guidelines for connections between the target location and the on-premises location:

  • Se l'applicazione deve connettersi alle macchine locali o se sono presenti client che si connettono all'applicazione dal locale tramite VPN/ExpressRoute, verificare di disporre di almeno una connessione da sito a sito tra l'area di Azure di destinazione e il data center locale.If your application needs to connect to the on-premises machines or if there are clients that connect to the application from on-premises over VPN/ExpressRoute, ensure that you have at least a site-to-site connection between your target Azure region and the on-premises datacenter.

  • Se si prevede molto traffico tra l'area di Azure di destinazione e il data center locale, è necessario creare un'altra connessione ExpressRoute tra l'area di Azure di destinazione e il data center locale.If you expect a lot of traffic to flow between your target Azure region and the on-premises datacenter, you should create another ExpressRoute connection between the target Azure region and the on-premises datacenter.

  • Se si desidera mantenere gli IP per le macchine virtuali dopo il failover, mantenere la connessione da sito a sito/ExpressRoute dell'area di destinazione in uno stato di disconnessione.If you want to retain IPs for the virtual machines after they fail over, keep the target region's site-to-site/ExpressRoute connection in a disconnected state. Ciò garantisce che non si generi conflitto di intervalli tra gli intervalli IP dell'area di origine e gli intervalli IP dell'area di destinazione.This is to make sure there is no range clash between the source region's IP ranges and target region's IP ranges.

Procedure consigliate per la configurazione di ExpressRouteBest practices for ExpressRoute configuration

Seguire queste procedure consigliate per la configurazione di ExpressRoute:Follow these best practices for ExpressRoute configuration:

  • È necessario creare un circuito ExpressRoute nelle aree di origine e in quelle di destinazione.You need to create an ExpressRoute circuit in both the source and target regions. È quindi necessario creare una connessione tra:Then you need to create a connection between:

    • La rete virtuale di origine e il circuito ExpressRoute.The source virtual network and the ExpressRoute circuit.
    • La rete virtuale di destinazione e il circuito ExpressRoute.The target virtual network and the ExpressRoute circuit.
  • Come parte dello standard ExpressRoute, è possibile creare circuiti nella stessa area geopolitica.As part of ExpressRoute standard, you can create circuits in the same geopolitical region. Per creare i circuiti ExpressRoute in diverse aree geopolitiche, è necessaria la presenza di Azure ExpressRoute Premium, il che comporta un costo incrementaleTo create ExpressRoute circuits in different geopolitical regions, Azure ExpressRoute Premium is required, which involves an incremental cost. (se si sta già usando ExpressRoute Premium, non sono previsti costi aggiuntivi). Per altre informazioni, vedere il documento sulle posizioni di ExpressRoute e i prezzi di ExpressRoute.(If you are already using ExpressRoute Premium, there is no extra cost.) For more details, see the ExpressRoute locations document and ExpressRoute pricing.

  • È consigliabile usare diversi intervalli IP nelle aree di origine e di destinazione.We recommend that you use different IP ranges in source and target regions. Il circuito ExpressRoute non sarà in grado di connettersi a due reti virtuali di Azure degli stessi intervalli IP nello stesso momento.The ExpressRoute circuit won't be able to connect with two Azure virtual networks of the same IP ranges at the same time.

  • È possibile creare reti virtuali con gli stessi intervalli IP in entrambe le aree e quindi creare circuiti ExpressRoute in entrambe le aree.You can create virtual networks with the same IP ranges in both regions and then create ExpressRoute circuits in both regions. Nel caso di un evento di failover, disconnettere il circuito dalla rete virtuale di origine e connettersi al circuito nella rete virtuale di destinazione.In the case of a failover event, disconnect the circuit from the source virtual network, and connect the circuit in the target virtual network.

    Importante

    Se l'area primaria è completamente inattiva, l'operazione di disconnessione può avere esito negativo.If the primary region is completely down, the disconnect operation can fail. Ciò impedirà alla rete virtuale di destinazione di ottenere la connettività di ExpressRoute.That will prevent the target virtual network from getting ExpressRoute connectivity.

Passaggi successiviNext steps

Iniziare a proteggere i carichi di lavoro replicando le macchine virtuali di Azure.Start protecting your workloads by replicating Azure virtual machines.