Over netwerken in herstel na noodherstel voor Azure-VM's
In dit artikel vindt u richtlijnen voor netwerken wanneer u Azure-VM's repliceert en herstelt van de ene regio naar de andere, met behulp van Azure Site Recovery.
Voordat u begint
Meer informatie over Site Recovery herstel na noodherstel biedt voor dit scenario.
Typische netwerkinfrastructuur
In het volgende diagram wordt een typische Azure-omgeving weergegeven voor toepassingen die worden uitgevoerd op azure-VM's:
Als u een Azure ExpressRoute of een VPN-verbinding van uw on-premises netwerk naar Azure gebruikt, ziet de omgeving er als volgt uit:
Netwerken worden doorgaans beveiligd met behulp van firewalls en netwerkbeveiligingsgroepen (NSG's). Servicetags moeten worden gebruikt om de netwerkconnectiviteit te bepalen. NSG's moeten verschillende servicetags toestaan om uitgaande connectiviteit te controleren.
Belangrijk
Het gebruik van een geverifieerde proxy voor het beheer van de netwerkconnectiviteit wordt niet ondersteund door Site Recovery en replicatie kan niet worden ingeschakeld.
Notitie
- Filteren op basis van IP-adressen mag niet worden uitgevoerd om uitgaande connectiviteit te controleren.
- Azure Site Recovery IP-adressen mogen niet worden toegevoegd in de Azure-routeringstabel om uitgaande connectiviteit te bepalen.
Uitgaande connectiviteit voor URL's
Als u een op URL gebaseerde firewallproxy gebruikt om de uitgaande connectiviteit te beheren, staat u deze url'Site Recovery toe:
| URL | Details |
|---|---|
| *.blob.core.windows.net | Vereist zodat gegevens vanuit de VM naar het cacheopslagaccount in de bronregio kunnen worden geschreven. Als u alle cacheopslagaccounts voor uw VM's kent, kunt u toegang verlenen tot de specifieke opslagaccount-URL's (bijvoorbeeld cache1.blob.core.windows.net en cache2.blob.core.windows.net) in plaats van *.blob.core.windows.net |
| login.microsoftonline.com | Vereist voor autorisatie en verificatie voor Site Recovery service-URL's. |
| *.hypervrecoverymanager.windowsazure.com | Vereist, zodat de Site Recovery servicecommunicatie kan plaatsvinden vanaf de VM. |
| *.servicebus.windows.net | Vereist zodat de Site Recovery bewakings- en diagnostische gegevens kunnen worden geschreven vanaf de VM. |
| *.vault.azure.net | Hiermee kunt u replicatie inschakelen voor virtuele ADE-machines via de portal |
| *.automation.ext.azure.com | Hiermee kunt u automatische upgrade van de Mobility-agent inschakelen voor een gerepliceerd item via de portal |
Uitgaande connectiviteit met behulp van servicetags
Naast het beheren van URL's kunt u ook servicetags gebruiken om de connectiviteit te beheren. Als u dit wilt doen, moet u eerst een netwerkbeveiligingsgroep maken in Azure. Nadat u deze hebt gemaakt, moet u onze bestaande servicetags gebruiken en een NSG-regel maken om toegang tot Azure Site Recovery verlenen.
De voordelen van het gebruik van servicetags voor het beheren van connectiviteit, in vergelijking met het beheren van connectiviteit met BEHULP van IP-adressen, is dat er geen harde afhankelijkheid van een bepaald IP-adres is om verbonden te blijven met onze services. Als in een dergelijk scenario het IP-adres van een van onze services wordt gewijzigd, wordt de lopende replicatie niet beïnvloed voor uw computers. Terwijl een afhankelijkheid van in code gecodeerde IP-adressen ervoor zorgt dat de replicatiestatus kritiek wordt en uw systemen in gevaar komen. Bovendien zorgen servicetags voor betere beveiliging, stabiliteit en tolerantie dan in code gecodeerde IP-adressen.
Tijdens het gebruik van NSG om de uitgaande connectiviteit te controleren, moeten deze servicetags worden toegestaan.
- Voor de opslagaccounts in de bronregio:
- Maak een Storage op servicetags gebaseerde NSG-regel voor de bronregio.
- Sta deze adressen toe zodat gegevens vanuit de VM naar het cacheopslagaccount kunnen worden geschreven.
- Maak een Azure Active Directory (AAD) NSG-regel op basis van servicetags voor het toestaan van toegang tot alle IP-adressen die overeenkomen met AAD
- Maak een op tags gebaseerde NSG-regel voor eventsHub-service voor de doelregio, zodat toegang tot Site Recovery bewaking.
- Maak een op tags gebaseerde NSG-regel voor de AzureSiteRecovery-service om toegang tot Site Recovery service in elke regio toe te staan.
- Maak een op tags gebaseerde NSG-regel voor de AzureKeyVault-service. Dit is alleen vereist voor het inschakelen van replicatie van virtuele ADE-machines via de portal.
- Maak een op tags gebaseerde NSG-regel voor de Service GuestAndHybridManagement. Dit is alleen vereist voor het inschakelen van automatische upgrade van de Mobility-agent voor een gerepliceerd item via de portal.
- U wordt aangeraden de vereiste NSG-regels te maken op een test-NSG en te controleren of er geen problemen zijn voordat u de regels op een productie-NSG maakt.
Voorbeeld van NSG-configuratie
In dit voorbeeld ziet u hoe u NSG-regels configureert voor een VM die moet worden gerepliceerd.
- Als u NSG-regels gebruikt om de uitgaande connectiviteit te beheren, gebruikt u regels voor uitgaand HTTPS-verkeer toestaan voor poort:443 voor alle vereiste IP-adresbereiken.
- In het voorbeeld wordt ervan uitgegaan dat de VM-bronlocatie 'VS - oost' is en dat de doellocatie 'VS - centraal' is.
NSG-regels - VS - oost
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'Storage. EastUS op de NSG, zoals wordt weergegeven in de onderstaande schermopname.
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'AzureActiveDirectory' op de NSG, zoals wordt weergegeven in de onderstaande schermopname.
Net als bij bovenstaande beveiligingsregels maakt u een uitgaande HTTPS-beveiligingsregel (443) voor EventHub.CentralUS op de NSG die overeenkomt met de doellocatie. Hiermee krijgt u toegang tot Site Recovery bewaking.
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'AzureSiteRecovery' op de NSG. Hiermee krijgt u toegang tot Site Recovery Service in elke regio.
NSG-regels - VS - centraal
Deze regels zijn vereist zodat replicatie na failover kan worden ingeschakeld vanuit de doelregio naar de bronregio:
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'Storage. CentralUS' op de NSG.
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'AzureActiveDirectory' op de NSG.
Net als bij bovenstaande beveiligingsregels maakt u een uitgaande HTTPS-beveiligingsregel (443) voor EventHub.EastUS op de NSG die overeenkomt met de bronlocatie. Hiermee krijgt u toegang tot Site Recovery bewaking.
Maak een uitgaande HTTPS-beveiligingsregel (443) voor 'AzureSiteRecovery' op de NSG. Hiermee krijgt u toegang tot Site Recovery Service in elke regio.
Configuratie van virtueel netwerkapparaat
Als u virtuele netwerkapparaten (NVA's) gebruikt om uitgaand netwerkverkeer van VM's te beheren, kan het apparaat worden beperkt als al het replicatieverkeer via de NVA passeert. U wordt aangeraden een netwerkservice-eindpunt in uw virtuele netwerk te maken voor 'Storage', zodat het replicatieverkeer niet naar de NVA gaat.
Een netwerkservice-eindpunt maken voor Storage
U kunt een netwerkservice-eindpunt in uw virtuele netwerk maken voor 'Storage', zodat het replicatieverkeer de Azure-grens niet verlaat.
Selecteer uw virtuele Azure-netwerk en klik op Service-eindpunten
Klik op Toevoegen en het tabblad Service-eindpunten toevoegen wordt geopend
Selecteer Microsoft. Storage onder Service en de vereiste subnetten onder het veld Subnetten en klik op Toevoegen
Notitie
Als u een cacheopslagaccount of doelopslagaccount met een firewall gebruikt, controleert u of u Vertrouwde toegang Microsoft-services'. Zorg er ook voor dat u toegang toestaat tot ten minste één subnet van het bron-Vnet.
Geforceerde tunneling
U kunt de standaardsysteemroute van Azure voor het adresvoorvoegsel 0.0.0.0/0 overschrijven met een aangepaste route en VM-verkeer om leiden naar een virtueel on-premises netwerkapparaat (NVA), maar deze configuratie wordt niet aanbevolen voor Site Recovery-replicatie. Als u aangepaste routes gebruikt, moet u een service-eindpunt voor een virtueel netwerk in uw virtuele netwerk maken voor Storage, zodat het replicatieverkeer de Azure-grens niet verlaat.
Volgende stappen
- Begin met het beveiligen van uw workloads door virtuele Azure-machines te repliceren.
- Meer informatie over het bewaren van IP-adressen voor failover van virtuele Azure-machines.
- Meer informatie over herstel na noodherstel van virtuele Azure-machines met ExpressRoute.