Hyper-V レプリカを計画する

  • 5 分

Windows Server の管理者であるあなたは、セキュリティの考慮事項に加えて、Hyper-V レプリカの構成と設定のオプションを理解しておく必要があります。これにより、Hyper-V レプリカを実装する前に行う必要がある決定を理解できます。

Hyper-V レプリカを計画する

Hyper-V レプリカのデプロイを計画するときは、Hyper-V レプリカの構成で使用されるいくつかのパラメーターを定義する必要があります。 Hyper-V ホスト間のレプリケーションを設定する前に、慎重に計画することが重要です。

Hyper-V レプリカのホストのシナリオ

フェールオーバー クラスター内のノードであるかどうかに関係なく、Hyper-V ホスト間に Hyper-V レプリカを設定できます。 また、Hyper-V ホストが同じ AD DS フォレストのメンバーであるか、または信頼関係がない異なる AD DS フォレストに存在するかにかかわらず、Hyper-V レプリカを設定できます。

Hyper-V レプリカは、次の 4 つの構成で使用できます。

  1. 両方の Hyper-V ホストがスタンドアロン サーバーです。 通常、この構成は、ディザスター リカバリーのみに対応し高可用性ではないため、テストまたは開発のシナリオで使用するのでない限り、推奨されません。

  2. プライマリ ロケーションにある Hyper-V ホストはフェールオーバー クラスター内のノードであり、セカンダリ ロケーションにある Hyper-V ホストはスタンドアロン サーバー上にあります。 多くの環境では、この構成が使用されます。 フェールオーバー クラスターにより、プライマリ ロケーションで実行する VM に高可用性が提供されます。 プライマリ ロケーションで障害が発生した場合でも、セカンダリ ロケーションにある VM のレプリカを使用できます。

  3. 各 Hyper-V ホストは、異なるフェールオーバー クラスター内のノードです。 この構成を使用すると、プライマリ ロケーションで障害が発生した場合、手動でフェールオーバーを実行し、セカンダリ ロケーションから操作を続行できます。

  4. プライマリ ロケーションにある Hyper-V ホストはスタンドアロン サーバーであり、セカンダリ ロケーションにある Hyper-V ホストはフェールオーバー クラスター内のノードです。 技術的には可能ですが、この構成はめったにありません。 通常は、プライマリ ロケーションにある VM を高可用性にする必要があります。 セカンダリ ロケーションにあるそれらのレプリカはオフのままになっており、プライマリ ロケーションで障害が発生するまで使用されません。

レプリケーションの設定

各 VM のレプリケーションを個別に構成する必要があるため、各 VM のレプリケーション ホストでリソースを計画する必要があります。 リソースに加えて、次のレプリケーション設定の構成方法も計画する必要があります。

  • レプリカ サーバー。 IP アドレスは許可されていないため、レプリカ サーバーのコンピューター名または完全修飾ドメイン名 (FQDN) を指定します。 指定した Hyper-V ホストがレプリケーション トラフィックを許可するように構成されていない場合は、ここで構成できます。 レプリカ サーバーがフェールオーバー クラスター内のノードである場合は、Hyper-V レプリカ ブローカー用の接続ポイントの名前または FQDN を入力する必要があります。

  • 接続パラメーター。 レプリカ サーバーにアクセスできる場合は、レプリケーションを有効にするウィザードによって、認証の種類とレプリケーション ポートのフィールドに適切な値が自動的に設定されます。 レプリカ サーバーにアクセスできない場合は、これらのフィールドを手動で構成できます。 レプリカ サーバーへの接続を作成できない場合は、レプリケーションを有効にできないことに注意してください。 [接続パラメーター] ページでは、ネットワーク経由で転送する前にレプリケーション データを圧縮するよう、Hyper-V を構成することもできます。

  • レプリケーション VHD。 既定では、すべての VHD がレプリケートされます。 レプリカ Hyper-V ホストに必要のない VHD がある場合は (たとえば、ページ ファイル格納専用の VHD)、それらをレプリケーションから除外します。 オペレーティング システムまたはアプリケーションが含まれる VHD を除外すると、その VM をレプリカ サーバーで使用できなくなる可能性があることに注意してください。

  • レプリケーションの間隔。 レプリケーションの間隔により、復旧サイトの Hyper-V ホストにデータがレプリケートされる頻度が制御されます。 プライマリ サイトで障害が発生した場合、レプリケーションの間隔が短いほど、より頻繁に変更が復旧サイトにレプリケートされているため、データの損失が少なくなります。 レプリケーションの間隔は、次のいずれかに設定できます。

    • 30 秒
    • 5 分
    • 約 15 分

  • 追加の復旧ポイント。 レプリカ サーバーに送信する回復ポイントの数と種類を構成できます。 既定では、復旧用に最新のポイントのみを保持するオプションが選択されています。これは、親 VHD だけがレプリケートされ、すべての変更がその VHD にマージされることを意味します。 1 時間に作成される復旧ポイントの数を増やし、追加の普及ポイントの数を最大 24 まで設定できます。 ボリューム シャドウ コピー サービス スナップショットの頻度を構成して、プライマリ VM での変更だけでなく、VM のアプリケーション整合性レプリカを保存することができます。

  • 初期レプリケーションの方法とスケジュール。 VM には大きな仮想ディスクがあり、初期レプリケーションに長い時間がかかり、多くのネットワーク トラフィックが発生する可能性があります。 ネットワーク経由で初期コピーをすぐに送信するのが既定のオプションですが、レプリケーションをすぐに行いたくない場合は、特定の時刻に開始するようにスケジュールできます。 初期レプリケーションは必要でも、ネットワーク トラフィックを避けたい場合は、初期コピーを外部のメディアに送信するか、レプリカ サーバー上の既存の VM を使用することができます。 レプリカ サーバーで VM のコピーを復元し、それを初期コピーとして使用する場合は、このオプションを使用します。

注意

Hyper-V レプリカの場合、レプリカ リポジトリとして Microsoft Azure を使用できます。 これにより、管理者は、別のディザスター リカバリー サイトを構築するのではなく Azure を利用できるようになり、関連する管理とコストのオーバーヘッドを避けることができます。

Hyper-V レプリカのセキュリティに関する考慮事項

プライマリおよびレプリカの Hyper-V ホストとの間にネットワーク接続がある場合は、Hyper-V ホストの場所やドメイン メンバーシップに関係なく、Hyper-V ホストで Hyper-V レプリカを設定できます。 Hyper-V ホストが同じ AD DS フォレストに属している必要はありません。

Hyper-V ホストが信頼されていないドメインのメンバーであるときは、証明書ベースの認証を構成することによって、Hyper-V レプリカを実装できます。 Hyper-V レプリカにより、次のレベルでセキュリティが実装されます。

  • Hyper-V により、Hyper-V Administrators という名前のローカル セキュリティ グループが作成されます。 このグループのメンバーとローカル管理者は、Hyper-V レプリカを構成および管理できます。
  • 任意の認証済みサーバーからのレプリケーションを許可するように、または特定のサーバーにレプリケーションを制限するように、レプリカ サーバーを構成することができます。 次の点にご注意ください。
    • プライマリ サーバーの FQDN (例: lon-svr1.contoso.com) を指定するか、ワイルドカード文字とドメインサフィックス (例: *.contoso.com) を使用する必要があります。
    • IP アドレスを使用することはできません。
    • レプリカ サーバーがフェールオーバー クラスター内にある場合、レプリケーションはクラスター レベルで許可されます。
    • 特定のサーバーにレプリケーションを制限する場合は、VM を移動できるサーバーを識別するために使用される信頼グループも指定する必要があります。 たとえば、パートナー組織にディザスター リカバリー サービスを提供する場合、信頼グループによって、ある組織が別の組織のレプリカ コンピューターにアクセスできないようにします。
  • レプリカ Hyper-V ホストでは、Kerberos 認証または証明書ベースの認証を使用して、プライマリ Hyper-V ホストの認証を行うことができます。
    • Kerberos 認証の場合は、両方の Hyper-V ホストが同じ AD DS フォレスト内に存在する必要がありますが、証明書ベースの認証はどのような環境でも使用できます。
    • Kerberos 認証は、暗号化されていない HTTP トラフィックで使用されます。一方、証明書ベースの認証は、暗号化された HTTPS トラフィックで使用されます。
  • Hyper-V レプリカを確立できるのは、Hyper-V ホスト間にネットワーク接続が存在する場合のみです。
  • 必要に応じて、HTTP または HTTPS の Hyper-V レプリカ トラフィックを許可するように、Windows Defender ファイアウォールを構成する必要があります。

ヒント

そのような受信レプリケーション トラフィックを許可するには、Windows Server 上の Hyper-V レプリカ HTTP リスナー (TCP 受信) 用に組み込まれているファイアウォール規則を、プライマリとレプリカの Hyper-V ホスト上で有効にする必要があります。

プライマリ Hyper-V ホストの場合は、フェールオーバー実行後のレプリカ Hyper-V ホストからのレプリケーションの反転を構成するのでない限り、規則を有効にする必要はありません。 その時点で、以前のプライマリ Hyper-V ホストに戻すレプリケーションが必要になる場合があります。 これにより、新しいプライマリ VM で実行された変更を、プライマリ ホスト上の新しいレプリカにレプリケートして戻すことができます。 これを可能にするには、以前のプライマリ Hyper-V ホストで受信ファイアウォール規則を有効にします。