Materiale sussidiario del servizio di rete per la replica delle macchine virtuali di Azure

Nota

La replica di Site Recovery per le macchine virtuali di Azure è attualmente in anteprima.

In questo articolo si illustra nel dettaglio il materiale sussidiario del servizio di rete per Azure Site Recovery quando si esegue la replica e il ripristino delle macchine virtuali di Azure da un'area ad un'altra area. Per altre informazioni sui requisiti di Azure Site Recovery, vedere l'articolo sui prerequisiti.

Architettura di Site Recovery

Site Recovery fornisce un modo semplice per replicare le applicazioni in esecuzione nelle macchine virtuali di Azure in un'altra area di Azure in modo che possano essere ripristinate in caso di interruzione nell'area primaria. Altre informazioni su questo scenario e sull'architettura di Site Recovery.

Infrastruttura della rete in uso

Il diagramma seguente illustra l'ambiente tipico di Azure per un'applicazione in esecuzione nelle macchine virtuali di Azure:

customer-environment

Se si usa Azure ExpressRoute o una connessione VPN da una rete locale ad Azure, l'ambiente è simile al seguente:

customer-environment

In genere, i clienti proteggono le proprie reti usando firewall e/o gruppi di sicurezza di rete. I firewall possono usare elenchi basati su URL o su IP consentiti per controllare la connettività di rete. I NSGs consentono le regole per usare intervalli IP per controllare la connettività di rete.

Importante

Se si usa un proxy autenticato per controllare la connettività di rete, esso non è supportato e non è possibile abilitare la replica di Site Recovery.

Le sezioni seguenti illustrano le modifiche alla connettività in uscita di rete che sono richieste dalle macchine virtuali di Azure per consentire alla replica di Site Recovery di funzionare.

Connettività in uscita per gli URL di Azure Site Recovery

Se si usa qualsiasi proxy firewall basato su URL per controllare la connettività in uscita, assicurarsi di inserire nell'elenco dei consentiti questi URL del servizio di Azure Site Recovery richiesti:

URL Scopo
*.blob.core.windows.net Richiesto in modo che i dati possano essere scritti nell'account di archiviazione della cache nell'area di origine dalla macchina virtuale.
login.microsoftonline.com Richiesto per l'autorizzazione e l'autenticazione negli URL del servizio Site Recovery.
*.hypervrecoverymanager.windowsazure.com Richiesto in modo che la comunicazione del servizio di Site Recovery possa verificarsi dalla macchina virtuale.
*.servicebus.windows.net Richiesto in modo che il monitoraggio e i dati di diagnostica di Site Recovery possano essere scritti dalla macchina virtuale.

Connettività in uscita per gli intervalli IP di Azure Site Recovery

Nota

Per creare automaticamente le regole NSG richieste nel gruppo di sicurezza di rete, è possibile scaricare e usare questo script.

Importante

  • È consigliabile creare le regole NSG richieste in un gruppo di sicurezza di rete di test e verificare che non siano presenti problemi prima di creare le regole in un gruppo di sicurezza di rete di produzione.
  • Per creare il numero di regole NSG richiesto, verificare che la sottoscrizione sia consentita. Contattare il supporto tecnico per aumentare il limite delle regole NSG nella sottoscrizione.

Se si usa qualsiasi proxy firewall basato su IP o le regole NSG per controllare la connettività in uscita, è necessario che i seguenti intervalli IP siano consentiti, a seconda dei percorsi di origine e destinazione delle macchine virtuali:

  • Tutti gli intervalli IP che corrispondono alla posizione di origine. (è possibile scaricare gli intervalli IP). L'elenco consentito è richiesto in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.

  • Tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 di Office 365.

    Nota

    Se in futuro i nuovi IP vengono aggiunti agli intervalli IP di Office 365, è necessario creare nuove regole NSG.

  • IP dell'endpoint di servizio di Site Recovery (disponibili in un file XML), che variano a seconda della posizione di destinazione:

    Posizione di destinazione IP del servizio Site Recovery IP di monitoraggio di Site Recovery
    Asia orientale 52.175.17.132 13.94.47.61
    Asia sudorientale 52.187.58.193 13.76.179.223
    India centrale 52.172.187.37 104.211.98.185
    India meridionale 52.172.46.220 104.211.224.190
    Stati Uniti centro-settentrionali 23.96.195.247 168.62.249.226
    Europa settentrionale 40.69.212.238 52.169.18.8
    Europa occidentale 52.166.13.64 40.68.93.145
    Stati Uniti orientali 13.82.88.226 104.45.147.24
    Stati Uniti occidentali 40.83.179.48 104.40.26.199
    Stati Uniti centro-meridionali 13.84.148.14 104.210.146.250
    Stati Uniti centrali 40.69.144.231 52.165.34.144
    Stati Uniti orientali 2 52.184.158.163 40.79.44.59
    Giappone orientale 52.185.150.140 138.91.1.105
    Giappone occidentale 52.175.146.69 138.91.17.38
    Brasile meridionale 191.234.185.172 23.97.97.36
    Australia orientale 104.210.113.114 191.239.64.144
    Australia sudorientale 13.70.159.158 191.239.160.45
    Canada centrale 52.228.36.192 40.85.226.62
    Canada orientale 52.229.125.98 40.86.225.142
    Stati Uniti centro-occidentali 52.161.20.168 13.78.149.209
    Stati Uniti occidentali 2 52.183.45.166 13.66.228.204
    Regno Unito occidentale 51.141.3.203 51.141.14.113
    Regno Unito meridionale 51.140.43.158 51.140.189.52
    Regno Unito meridionale 2 13.87.37.4 13.87.34.139
    Regno Unito settentrionale 51.142.209.167 13.87.102.68
    Corea centrale 52.231.28.253 52.231.32.85
    Corea meridionale 52.231.298.185 52.231.200.144

Configurazione NSG di esempio

In questa sezione vengono illustrati i passaggi per configurare regole NSG in modo che la replica di Site Recovery possa funzionare in una macchina virtuale. Se si usano regole NSG per controllare la connettività in uscita, usare le regole "Allow HTTPS outbound" (Consenti HTTPS in uscita) per tutti gli intervalli IP richiesti.

Nota

Per creare automaticamente le regole NSG richieste nel gruppo di sicurezza di rete, è possibile scaricare e usare questo script.

Ad esempio, se la posizione di origine della macchina virtuale è "Stati Uniti orientali" e la posizione di destinazione della replica è "Stati Uniti centrali", seguire i passaggi descritti nelle due sezioni successive.

Importante

  • È consigliabile creare le regole NSG richieste in un gruppo di sicurezza di rete di test e verificare che non siano presenti problemi prima di creare le regole in un gruppo di sicurezza di rete di produzione.
  • Per creare il numero di regole NSG richiesto, verificare che la sottoscrizione sia consentita. Contattare il supporto tecnico per aumentare il limite delle regole NSG nella sottoscrizione.

Regole NSG nel gruppo di sicurezza di rete degli Stati Uniti orientali

  • Creare regole che corrispondano agli intervalli IP degli Stati Uniti orientali. Queste regole sono richieste in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.

  • Creare regole per tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 Office 365.

  • Creare regole che corrispondano alla posizione di destinazione:

    Posizione IP del servizio Site Recovery IP di monitoraggio di Site Recovery
    Stati Uniti centrali 40.69.144.231 52.165.34.144

Regole NSG nel gruppo di sicurezza di rete degli Stati Uniti centrali

Queste regole sono necessarie in modo che la replica possa essere abilitata dall'area di destinazione all'area di origine dopo il failover:

  • Regole che corrispondono agli intervalli IP degli Stati Uniti centrali. Queste regole sono richieste in modo che i dati possano essere scritti nell'account di archiviazione della cache dalla macchina virtuale.

  • Regole per tutti gli intervalli IP che corrispondono agli endpoint di autenticazione e identità IP V4 di Office 365.

  • Regole che corrispondono alla posizione di origine:

    Posizione IP del servizio Site Recovery IP di monitoraggio di Site Recovery
    Stati Uniti orientali 13.82.88.226 104.45.147.24

Linee guida per la configurazione di ExpressRoute/VPN esistente da Azure in locale

Se si dispone di una connessione VPN o ExpressRoute tra il locale e la posizione di origine in Azure, seguire le linee guida in questa sezione.

Configurazione del tunneling forzato

Secondo una diffusa configurazione personalizzata si definisce una route predefinita (0.0.0.0/0) che forza il traffico Internet in uscita a fluire attraverso la posizione locale. Ciò non è consigliabile. Il traffico della replica e la comunicazione del servizio Site Recovery non devono allontanarsi dal limite di Azure. La soluzione consiste nell'aggiungere route definite dall'utente (UDR) per questi intervalli IP in modo che il traffico della replica non finisca locale.

Connettività tra la posizione di destinazione e quella locale

Seguire queste linee guida per le connessioni tra la posizione di destinazione e la posizione locale:

  • Se l'applicazione deve connettersi alle macchine locali o se sono presenti client che si connettono all'applicazione dal locale tramite VPN/ExpressRoute, verificare di disporre di almeno una connessione da sito a sito tra l'area di Azure di destinazione e il data center locale.

  • Se si prevede molto traffico tra l'area di Azure di destinazione e il data center locale, è necessario creare un'altra connessione ExpressRoute tra l'area di Azure di destinazione e il data center locale.

  • Se si desidera mantenere gli IP per le macchine virtuali dopo il failover, mantenere la connessione da sito a sito/ExpressRoute dell'area di destinazione in uno stato di disconnessione. Ciò garantisce che non si generi conflitto di intervalli tra gli intervalli IP dell'area di origine e gli intervalli IP dell'area di destinazione.

Procedure consigliate per la configurazione di ExpressRoute

Seguire queste procedure consigliate per la configurazione di ExpressRoute:

  • È necessario creare un circuito ExpressRoute nelle aree di origine e in quelle di destinazione. È quindi necessario creare una connessione tra:

    • La rete virtuale di origine e il circuito ExpressRoute.
    • La rete virtuale di destinazione e il circuito ExpressRoute.
  • Come parte dello standard ExpressRoute, è possibile creare circuiti nella stessa area geopolitica. Per creare i circuiti ExpressRoute in diverse aree geopolitiche, è necessaria la presenza di Azure ExpressRoute Premium, il che comporta un costo incrementale (se si sta già usando ExpressRoute Premium, non sono previsti costi aggiuntivi). Per altre informazioni, vedere il documento sulle posizioni di ExpressRoute e i prezzi di ExpressRoute.

  • È consigliabile usare diversi intervalli IP nelle aree di origine e di destinazione. Il circuito ExpressRoute non sarà in grado di connettersi a due reti virtuali di Azure degli stessi intervalli IP nello stesso momento.

  • È possibile creare reti virtuali con gli stessi intervalli IP in entrambe le aree e quindi creare circuiti ExpressRoute in entrambe le aree. Nel caso di un evento di failover, disconnettere il circuito dalla rete virtuale di origine e connettersi al circuito nella rete virtuale di destinazione.

    Importante

    Se l'area primaria è completamente inattiva, l'operazione di disconnessione può avere esito negativo. Ciò impedirà alla rete virtuale di destinazione di ottenere la connettività di ExpressRoute.

Passaggi successivi

Iniziare a proteggere i carichi di lavoro replicando le macchine virtuali di Azure.