オンプレミスのデータセンターと Azure の間の保護の設定

  • [アーティクル]

 

適用対象: Azure Pack Windows

次のように保護を設定します。

  1. Prerequisites for on-premises to Azure protection— すべてが満たされていることを確認します。

  2. コンテナーを作成する—コンテナーを作成する in the Azure Site Recovery portal.

  3. Azure Site Recovery プロバイダーをインストールして構成する - Azure Site Recovery ポータルからプロバイダーをダウンロードします。 データセンターの VMM サーバーにプロバイダーをインストールして構成します。 プロバイダーは、サーバーを Azure Site Recovery ポータルに接続します。

  4. Azure ストレージ アカウントを追加する - Azure ストレージ アカウントがまだない場合は、Azure Site Recovery ポータルから設定できます。

  5. Azure Recovery Services エージェントをインストールする— エージェントをダウンロードします。 保護する各 Hyper-V ホスト サーバーでエージェントをインストールして構成します。

  6. クラウドの設定を構成する— VMM クラウドの保護設定を構成します。

  7. Runbook を設定する— Azure Site Recovery の保護を設定するための単一のマスター Runbook を構成してスケジュールします。 このマスター Runbook からは、他の複数の Runbook が呼び出されます。

  8. プランを構成する— オンプレミスのサイト上で、パブリック プランまたはアドオンの Azure Site Recovery 保護を有効にします。

  9. テナントの手順— 仮想マシンの保護を設定するために、テナントは、セルフサービスの Azure Pack ポータルを使用して次のことを行います。

    • プランまたはアドオンをサブスクライブする - テナントは、仮想マシン保護が有効になっているオンプレミス サイトのプランまたはアドオンをサブスクライブします。

    • 仮想マシンを作成する - テナントは、プラン サブスクリプションの下で、オンプレミス サイトに仮想マシンまたは仮想マシンの役割を作成します。

    • VM ネットワークの作成 - テナントは、オンプレミス サイトに仮想ネットワークを作成して、フェールオーバー後にレプリカ仮想マシンをネットワークに接続する方法を指定できます。 テナントが仮想ネットワークを作成すると、同じ設定の VM ネットワークが VMM サーバーに構成されます。

  10. ネットワーク マッピングを設定 する — テナントが仮想ネットワークを作成した場合は、プライマリ Azure ネットワークとターゲット Azure ネットワーク上の VM ネットワーク間のネットワーク マッピングを設定できます。 ネットワーク マッピングを設定すると次のようになります。

    • フェールオーバー後に、仮想マシンが適切な VM ネットワークに確実に接続されます。 レプリカ仮想マシンは、プライマリ ネットワークにマップされている Azure ネットワークに接続します。 

    • ネットワーク マッピングを構成しないと、レプリケートされた仮想マシンはフェールオーバー後にどの VM ネットワークにも接続しません。

    ネットワーク マッピングについて説明します。

  11. 仮想マシンの検出とレプリケート — Runbook は、保護が有効になっているプランまたはアドオンのサブスクリプションを自動的に検出します。 Runbook は、サブスクリプション内の仮想マシンの保護を自動的に有効にして、初期レプリケーションを開始します。

  12. フェールオーバーを実行する — 初期レプリケーション終了後は、必要に応じていつでも、テスト フェールオーバー、計画的フェールオーバー、または非計画的フェールオーバーを実行できます。

コンテナーの作成

  1. Microsoft Azure の管理ポータルにサインインします。 Data ServicesRecovery Services>>Site Recovery Vault を展開します。 [ 新規作成>] クイック作成をクリックします。

  2. コンテナーの名前を入力し、地理的領域を選択します。 詳細については、「 地理的な可用性 (https://go.microsoft.com/fwlink/?LinkID=389880)」を参照してください。

  3. [コンテナーの作成] をクリックします。 ステータス バーで正常に作成されたことを確認します。 Recovery Services のメイン ページで [ アクティブ ] と表示されます。

Azure Site Recovery プロバイダーをインストールして構成する

  1. Azure Site Recovery ポータルで、[クイック スタート] ページの [登録キー ファイルの生成] を>開きます。

  2. キー ファイルが自動的に生成されます。 キー ファイルを安全で使いやすい場所にダウンロードします。 たとえば、VMM サーバーからアクセスできる共有などです。 ダウンロードした後、各サイトの VMM サーバーにファイルをコピーする必要があります。 VMM サーバーでプロバイダーの設定を構成するときに、このキーが必要になります。 次の点に注意してください。

    • 生成したキーは 5 日間有効です。

    • いつでもこのキーを再生成できます。 再生成すると古いバージョンのファイルはオーバーライドされるので、各 VMM サーバー上のプロバイダーを新しいキーで再構成する必要があります。

  3. [ クイック スタート ] ページで、[ Microsoft Azure Site Recovery プロバイダーのダウンロード ] をクリックして最新バージョンのプロバイダー インストール ファイルをダウンロードします。

  4. オンプレミスのサイトの VMM サーバー上のファイルを実行します。 インストールの前に、VMM サービスを停止する必要があります。 このサービスは後で自動的に再開されます。 VMM クラスターが展開されている場合は、クラスター内のアクティブ ノードにプロバイダーをインストールし、Azure Site Recovery コンテナーに VMM サーバーを登録します。 その後、クラスターの他のノードにインストールします。

  5. [Microsoft Update] で、アップデートの内容を設定できます。 この設定を行うことで、設定した Microsoft Update のポリシーに従って、プロバイダーの有効な更新がインストールされます。

  6. プロバイダーをインストールした後、セットアップを続けて、コンテナーにサーバーを登録します。 

  7. [インターネット接続] で、VMM サーバー上で実行されているプロバイダーをインターネット経由で Azure Site Recovery に接続する方法を指定します。 プロキシを使用しないか、VMM サーバーが接続されていると表示される場合は VMM サーバー上に構成される既定のプロキシを使用するか、カスタム プロキシ サーバーを使用するように選択できます。 次のことを考慮してください。

    • VMM サーバーの既定のプロキシ サーバーが認証を必要とする場合、カスタム プロキシ サーバーを使用するように選択する必要があります。 既定のプロキシの詳細を入力し、資格情報を指定します。

    • カスタム プロキシ サーバーを使用する場合は、セットアップした後にプロバイダーをインストールしてください。

    • 次のアドレスをプロキシ経由のルーティングから除外する必要があります。

      • Azure Site Recovery に接続するための URL: *.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • Azure ドメイン コントローラーへの発信接続を許可する必要がある場合、Azure データセンターの IP 範囲に関する説明に記載されている IP アドレスを許可し、HTTP (80) と HTTPS (443) プロトコルを許可します。 

    • カスタム プロキシの使用を選択した場合は、指定したプロキシ資格情報を使用して、VMM の RunAs アカウント (DRAProxyAccount) が自動的に作成されます。 このアカウントが正しく認証されるようにプロキシ サーバーを構成します。

  8. [登録キー] で、Azure Site Recovery からダウンロードし、VMM サーバーにコピーしたものを選択します。

  9. [コンテナー名] で、サーバーを登録するコンテナーを確認します。

  10. [サーバー名] に、コンテナーで VMM サーバーを識別する表示名を入力します。 クラスター構成で、VMM クラスターのロール名を指定します。 

  11. [初期クラウド メタデータの同期] で、VMM サーバー上のすべてのクラウドのメタデータをコンテナーと同期するかどうかを選択します。 この操作は、各サーバーで 1 回のみ実行する必要があります。 すべてのクラウドを同期したくない場合は、この設定をオフのままにして、VMM コンソールのクラウドのプロパティで各クラウドを個別に同期できます。

  12. [データの暗号化] は、Azure にレプリケートする仮想マシンのデータ暗号化の証明書設定を指定します。 オンプレミスのサイトから別のオンプレミスのサイトにレプリケートする場合、このオプションは無効です。

登録後に、VMM サーバーからのメタデータが、Azure Site Recovery によって取得されます。 登録後、プロバイダーの設定は VMM コンソールまたはコマンド ラインから変更できます。 詳細については、「 プロバイダーの設定の変更」を参照してください。

Azure Recovery Services エージェントをインストールする

  1. [クイック スタート] ページで、[Azure Site Recovery Services エージェントをダウンロードしてホストにインストールする] をクリックし、エージェント インストール ファイルの最新版を取得します。

  2. VMM クラウド内の各 Hyper-V ホスト サーバー上でインストール ファイルを実行し、ウィザードに従って操作します。

  3. [前提条件の確認] ページで [次へ] をクリックします。 不足している前提条件があると自動的にインストールされます。

  4. [インストール設定] ページで、エージェントをインストールする場所を指定し、バックアップ メタデータを格納するキャッシュの場所を選択します。 その後、 [インストール] をクリックします。

クラウドの設定を構成する

  1. Azure Site Recovery ポータルで、コンテナーの [ 保護された項目 ] タブを開きます。

  2. Azure Site Recovery と同期されたクラウドが一覧に表示されます。

  3. 保護するクラウドを選択し、[ 構成] をクリックします。

  4. [ターゲット] で、[Microsoft Azure] を選択します。

  5. [ サブスクリプション] で、Azure 仮想マシンの格納に使用する Azure ストレージに関連付けられているサブスクリプションを選択します。

  6. Storage アカウントで、使用するストレージ アカウントを選択します。

  7. [ コピーの頻度 ] で、ソースとターゲットの場所の間でデータを同期する頻度を指定します。 既定値は 5 分です。

  8. [ 復旧ポイントの保持] で、追加の復旧ポイントを作成するかどうかを指定します (0 から 15)。 追加の復旧ポイントには、1 つ以上のスナップショットが含まれ、以前の時点から仮想マシンのスナップショットを復旧できます。  ゼロに設定すると、プライマリ仮想マシンの最新の復旧ポイントのみがレプリカとして格納されます。 0 より大きい値に設定すると、その値に応じた数の復旧ポイントが作成されます。 複数の復旧ポイントを有効にすると、各復旧ポイントで格納されるスナップショット用に追加のストレージが必要になります。 既定では、1 時間ごとに復旧ポイントが作成されるため、各復旧ポイントで 1 時間分のデータが格納されます。

  9. [アプリケーション整合性スナップショットの頻度] に、アプリケーション整合性スナップショットを作成する頻度を指定します。 これらのスナップショットでは、ボリューム シャドウ コピー サービス (VSS) を使用して、スナップショットの作成時にアプリケーションが整合性のある状態になるようにします。 アプリケーション整合性スナップショットを有効にすると、ソースの仮想マシンで実行するアプリケーションのパフォーマンスに影響があります。

  10. [Storage データの暗号化] で、転送されるレプリケートされたデータを暗号化として格納するかどうかを指定します。 コピーを直ちに開始することも、実行時刻を選択することもできます。 ネットワークを使用してレプリケーションを行う場合は、ピーク時間帯を避けて初期レプリケーションをスケジュールすることをお勧めします。

Runbook を設定する

仮想マシンの保護の設定に役立つ Runbook がいくつかあります。 オンプレミスのサイトでは、マスター Runbook をスケジュールおよび構成します。 マスター Runbook は、指定されたスケジュールに従って他の Runbook を自動的に呼び出します。

  1. Runbook をダウンロードする

  2. マスター Runbook を構成およびスケジュールする

次の表に Runbook をまとめます。

Runbook

説明

パラメーター

InvokeAzureSiteRecoveryProtectionJob.ps1

マスター Runbook。 以下の Runbook をこの順序で呼び出します。

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

登録 Runbook を実行した後は、この Runbook だけを実行する必要があります。

LeaderVMMConnection - Azure への保護には必要ありません

Nonleader/SecondaryVMMConnection - Azure への保護には必要ありません

PrimarySiteAdminConnection— アセット タイプ: 接続。接続タイプ: MgmntSvcAdmin。

PrimaryVmmAdminConnection— アセット タイプ: 接続。 接続タイプ: VMM 接続。

RecoverySiteAdminConnection - Azure への保護には必要ありません

RecoverySitePlanSuffix - Azure への保護には必要ありません

Add-AzureSiteRecoverySubscription.ps1

Azure Site Recovery が有効なプライマリ スタンプ内のプランのすべてのサブスクリプションを、セカンダリ スタンプ内のプランに自動的に追加します。

パラメーターはマスター Runbook で設定されます

Add-AzureSiteRecoverySecretTransferKey.ps1 

プライマリ VMM サーバーとセカンダリ VMM サーバーの間で暗号化キーを同期します。 この暗号化キーは、Azure Site Recovery を初めて開始したときに自動的に生成されます。 テナントの仮想マシンがセカンダリ データセンターにレプリケートされるとき、関連付けられているテナント情報を保持しているので、フェールオーバーが発生したときに、テナントはレプリケートされた仮想マシンにアクセスできます。 このキーは、そのメタデータの暗号化に使用されます。

パラメーターはマスター Runbook で設定されます

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

すべてのサブスクリプションを照会し、保護が有効かどうかを確認します。 その後、各サブスクリプションについて、すべての仮想マシンを照会し、一致するサブスクリプションで保護が有効になっている場合は保護を有効にします。

パラメーターはマスター Runbook で設定されます

Get-WindowsToken.ps1

この Runbook は、コマンドレットを実行するために他の Runbook によって使用されます。

なし

この表は、Runbook をまとめたものです。

Runbook をダウンロードする

  1. Microsoft スクリプト センターから Runbook をダウンロードします。

  2. これらを次の順序でインポートして公開します。

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (マスター Runbook)

マスター Runbook を構成およびスケジュールする

  1. Automation>Runbook でクリックしてInvokeAzureSiteRecoveryProtectionJob.ps1を開きます。

  2. [ スケジュール ] をクリックし、Runbook を実行する時期を指定します。 [ スケジュールの構成 ] ページで、スケジュールの名前と説明を指定します。

  3. [ 時間 ] で [ 毎日 ] を選択し、開始時刻を選択します。

  4. [ Runbook パラメーター値の指定 ] で、マスター Runbook によって呼び出される Runbook 全体で使用されるパラメーターを指定します。

    1. LeaderVMMConnection - Azure への保護には必要ありません。

    2. NonLeaderVMMConnection - Azure への保護には必要ありません

    3. PrimarySiteAdminConnection— Azure Pack 管理者ポータルを実行するプライマリ データセンター内のコンピューターの FQDN と、管理者の資格情報。 このパラメーターは、プライマリ ポータルへのログオンに必要です。 作成したアセット変数の名前を指定します。

    4. PrimaryVmmAdminConnection — プライマリ VMM サーバーの FQDN と、コンピューター管理者の資格情報。

    5. RecoverySiteAdminConnection— Azure Pack 管理者ポータルを実行するセカンダリ データセンター内のコンピューターの FQDN と、管理者の資格情報。 Azure の保護には必要ありません。

    6. RecoverySitePlanSuffix— プライマリ データセンターのプランの名前にサフィックス –Recovery がない場合、サブスクリプションがセカンダリ データセンターのプランと正常に同期できるように、テキスト サフィックスを指定する必要があります。 Azure の保護には必要ありません。

プランを構成する

クラウド設定を構成し、Runbook を設定した後、オンプレミスのプライマリ データ センターで、既存のプランまたはアドオンの保護を有効にします。 別の方法として、保護が有効になっている新しいプランを作成できます。

プランまたはアドオンで保護を有効にする

  1. Azure Pack ポータルで発行されたプランに機能を追加するには、[ プラン] をクリックします。 [ プラン ] タブで関連するプランを開くか、または [ アドオン ] タブでアドオンを開きます。

  2. [ プラン サービス ] または [ アドオン サービス ] で、[ 仮想マシン クラウド] をクリックします。 [ カスタム設定 ] で、[ すべての仮想マシンの保護を有効にする] を選択します。

テナントの手順

仮想マシンの保護を展開するには、テナントで以下のことを行う必要があります。

  1. プランまたはアドオンにサインアップする - 仮想マシン保護の要件について話し合うと、テナントはセルフサービス Azure Pack ポータルを使用するオンプレミス サイトでプランまたはアドオンをサブスクライブします。

  2. 仮想マシンを作成する— テナントは、プランまたはアドオンと関連付けられたサブスクリプションに基づいて、仮想マシンまたは仮想マシン ロールを作成します。 関連付けられた VMM クラウドに仮想マシンが作成されます。 仮想マシンの所有者は、仮想マシンを作成したユーザーの名前です。

  3. VM ネットワークを作成する— セルフサービスの Azure Pack ポータルで、テナントは、必要に応じて、VMM 論理ネットワークに基づいて仮想ネットワークを作成できます。 テナントは、フェールオーバー後にレプリカ仮想マシンが適切なネットワークに確実に接続されるようにする場合は、仮想ネットワークを作成する必要があります。

    . テナントが仮想ネットワークを作成すると、同じ設定の VM ネットワークが関連付けられた VMM クラウドに自動的に作成されます。

ネットワーク マッピングを設定する

テナントが VM ネットワークを作成した後、ユーザーは、Azure Site Recovery ポータルでネットワーク マッピングを設定して、プライマリ サイトの VM ネットワークを Azure ネットワークにマップできます。 これらのマッピングは、フェールオーバー後のレプリカ仮想マシンの接続方法を示しています。

  1. Azure で、オンプレミスの VMM サーバーに自動的に作成された VM ネットワークと同じ設定の VM ネットワークを作成します。 その後、ネットワーク マッピングを構成します。

  2. Azure Site Recovery ポータルで、[リソース] ページ>の [ネットワーク>マップ] を開きます。

  3. マップするネットワークが存在する VMM サーバーと Azure を選択します。 ソース ネットワークとそれに関連付けられたターゲット ネットワークの一覧が表示されます。 現在マップされていないネットワークについては、空白の値が表示されます。 各ネットワークのサブネットを表示するには、ネットワーク名の横にある情報アイコンをクリックします。

  4. [ソース側のネットワーク] でいずれかのネットワークを選択し、[マップ] をクリックします。 サービスによって Azure ネットワークが検出され、表示されます。 

  5. Azure ネットワークを選択します。 

  6. チェック マークをクリックして、マッピング処理を完了します。 ジョブが開始され、マッピングの進行状況を追跡します。 [ ジョブ ] タブで進行状況を確認します。

仮想マシンの検出とレプリケート

Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 は、保護が有効になっているプランまたはアドオンのサブスクリプションを検出し、これらのサブスクリプションの仮想マシンに対して保護を有効にします。 これは、Runbook のスケジュール設定に従って自動的に行われます。 管理者によるアクションは必要ありません。

フェールオーバーの実行

初期レプリケーションの後、次のようにしてフェールオーバーを実行します。

  • テスト フェールオーバー — 運用インフラストラクチャに影響を与えることなく、実行して環境を検証します。 テナントが要求した場合は、テスト フェールオーバーを実行できます。 方法については、「 テスト フェールオーバーの実行」を参照してください。

  • 計画的フェールオーバー — 計画的な保守または予期していない停止が発生した場合に実行します。 フェールオーバーの実行に関するページを参照してください。

  • 非計画的フェールオーバー — 計画されていないダウンタイムによる障害回復のために実行します。 フェールオーバーの実行に関するページを参照してください。

レプリケートされた仮想マシンにアクセスする

Azure Site Recovery によるフェールオーバーでは、Azure にレプリカ仮想マシンが作成されます。 フェールオーバー後、サービス管理者は、自分の資格情報を使用して Azure ポータルにログオンし、ポータルからレプリカ仮想マシンにアクセスできます。  管理者は、テナント アクセスを提供するために、仮想マシンでアプリケーションおよび RDP ポートを構成できます。 テナントが VPN 接続経由でデータセンターの仮想マシンにアクセスする場合は、レプリケートされた仮想マシンにも VPN 経由でアクセスできるように、テナントの場所と Azure の間に VPN 接続をセットアップする必要があることに注意してください。