Architectuur voor herstel na noodgevallen van Azure naar Azure
In dit artikel worden de architectuur, onderdelen en processen beschreven die worden gebruikt bij het implementeren van herstel na noodherstel voor virtuele Azure-machines (VM's) met behulp van de Azure Site Recovery service. Als herstel na noodherstel is ingesteld, repliceren azure-VM's continu naar een andere doelregio. Als er een storing optreedt, kunt u een fail over VM's naar de secundaire regio maken en ze vanaf daar openen. Wanneer alles weer normaal wordt uitgevoerd, kunt u een failback uitvoeren en doorgaan met werken op de primaire locatie.
Architectuuronderdelen
De onderdelen die betrokken zijn bij herstel na noodherstel voor azure-VM's worden samengevat in de volgende tabel.
| Onderdeel | Vereisten |
|---|---|
| VM's in bronregio | Een van de meer Azure-VM's in een ondersteunde bronregio. Op VM's kan elk ondersteund besturingssysteem worden uitgevoerd. |
| Bron-VM-opslag | Azure-VM's kunnen worden beheerd of niet-beheerde schijven hebben die zijn verdeeld over opslagaccounts. Meer informatie over ondersteunde Azure-opslag. |
| Bron-VM-netwerken | Virtuele machines kunnen zich in een of meer subnetten in een virtueel netwerk (VNet) in de bronregio bevinden. Meer informatie over netwerkvereisten. |
| Cacheopslagaccount | U hebt een cacheopslagaccount in het bronnetwerk nodig. Tijdens de replicatie worden VM-wijzigingen opgeslagen in de cache voordat ze naar de doelopslag worden verzonden. Cacheopslagaccounts moeten Standard zijn. Het gebruik van een cache zorgt voor minimale gevolgen voor productietoepassingen die worden uitgevoerd op een VM. Meer informatie over vereisten voor cacheopslag. |
| Doelbronnen | Doelresources worden gebruikt tijdens de replicatie en wanneer er een failover plaatsvindt. Site Recovery kunt de doelresource standaard instellen of u kunt ze maken/aanpassen. Controleer in de doelregio of u VM's kunt maken en of uw abonnement voldoende resources heeft om VM-grootten te ondersteunen die nodig zijn in de doelregio. |
Doelbronnen
Wanneer u replicatie voor een VM inschakelen, Site Recovery u de optie om automatisch doelresources te maken.
| Doelresource | Standaardinstelling |
|---|---|
| Doelabonnement | Hetzelfde als het bronabonnement. |
| Doelresourcegroep | De resourcegroep waar VM's bij horen na een failover. Deze kan zich in elke Azure-regio, met uitzondering van de bronregio, vinden. Site Recovery maakt een nieuwe resourcegroep in de doelregio, met het achtervoegsel 'asr'. |
| Doel-VNet | Het virtuele netwerk (VNet) waarin gerepliceerde VM's zich na een failover bevinden. Er wordt een netwerktoewijzing gemaakt tussen virtuele bron- en doelnetwerken, en vice versa. Site Recovery maakt een nieuw VNet en subnet, met het achtervoegsel 'asr'. |
| Doelopslagaccount | Als de VM geen beheerde schijf gebruikt, is dit het opslagaccount waarin gegevens worden gerepliceerd. Site Recovery maakt een nieuw opslagaccount in de doelregio om het bronopslagaccount te spiegelen. |
| Beheerde replicaschijven | Als de VM gebruikmaakt van een beheerde schijf, zijn dit de beheerde schijven waarop gegevens worden gerepliceerd. Site Recovery maakt replica beheerde schijven in de opslagregio om de bron te spiegelen. |
| Doelbeschikbaarheidssets | Beschikbaarheidsset waarin replicerende VM's zich na een failover bevinden. Site Recovery maakt een beschikbaarheidsset in de doelregio met het achtervoegsel 'asr' voor VM's die zich in een beschikbaarheidsset op de bronlocatie bevinden. Als er een beschikbaarheidsset bestaat, wordt deze gebruikt en wordt er geen nieuwe gemaakt. |
| Doelbeschikbaarheidszones | Als de doelregio beschikbaarheidszones ondersteunt, wijst Site Recovery hetzelfde zonenummer toe als dat in de bronregio wordt gebruikt. |
Doelbronnen beheren
U kunt doelbronnen als volgt beheren:
- U kunt de doelinstellingen wijzigen wanneer u replicatie inschakelen. Houd er rekening mee dat de standaard-SKU voor de doelregio-VM hetzelfde is als de SKU van de bron-VM (of de volgende best beschikbare SKU in vergelijking met de bron-VM-SKU). In de vervolgkeuzelijst worden alleen relevante SKU's van dezelfde familie weergegeven als de bron-VM (Gen 1 of Gen 2).
- U kunt de doelinstellingen wijzigen nadat de replicatie al werkt. Net als bij andere resources, zoals de doelresourcegroep, de doelnaam en andere, kan de doelregio-VM-SKU ook worden bijgewerkt nadat de replicatie wordt uitgevoerd. Een resource die niet kan worden bijgewerkt, is het beschikbaarheidstype (één exemplaar, set of zone). Als u deze instelling wilt wijzigen, moet u replicatie uitschakelen, de instelling wijzigen en vervolgens opnieuw inrichten.
Beleid voor replicatie
Wanneer u Azure VM-replicatie inschakelen, maakt Site Recovery een nieuw replicatiebeleid met de standaardinstellingen die in de tabel worden samengevat.
| Beleidsinstelling | Details | Standaard |
|---|---|---|
| Bewaarperiode van herstelpunt | Hiermee geeft u op hoelang Site Recovery herstelpunten behoudt | 24 uur |
| Frequentie van de app-consistente momentopname | Hoe vaak Site Recovery een app-consistente momentopname maakt. | Om de vier uur |
Replicatiebeleid beheren
U kunt de standaardinstellingen voor replicatiebeleid als volgt beheren en wijzigen:
- U kunt de instellingen wijzigen wanneer u replicatie inschakelen.
- U kunt op elk moment een replicatiebeleid maken en dit vervolgens toepassen wanneer u replicatie inschakelen.
Consistentie van meerdere VM's
Als u wilt dat VM's samen worden gerepliceerd en gedeelde crash-consistente en app-consistente herstelpunten hebben tijdens failover, kunt u deze samenbrengen in een replicatiegroep. Consistentie met meerdere VM's is van invloed op de prestaties van de werkbelasting en mag alleen worden gebruikt voor VM's met workloads die consistentie op alle computers nodig hebben.
Momentopnamen en herstelpunten
Herstelpunten worden gemaakt van momentopnamen van VM-schijven die op een bepaald tijdstip zijn gemaakt. Wanneer u een fail over een VM maakt, gebruikt u een herstelpunt om de VM op de doellocatie te herstellen.
Wanneer er een fout wordt uitgevoerd, willen we er over het algemeen voor zorgen dat de VM begint zonder beschadiging of gegevensverlies, en dat de VM-gegevens consistent zijn voor het besturingssysteem en voor apps die op de VM worden uitgevoerd. Dit is afhankelijk van het type momentopnamen dat is gemaakt.
Site Recovery maakt als volgt momentopnamen:
- Site Recovery maakt standaard crash-consistente momentopnamen van gegevens en app-consistente momentopnamen als u er een frequentie voor opgeeft.
- Herstelpunten worden gemaakt op basis van de momentopnamen en opgeslagen in overeenstemming met de bewaarinstellingen in het replicatiebeleid.
Consistentie
In de volgende tabel worden verschillende typen consistentie uitgelegd.
Crash-consistent
| Beschrijving | Details | Aanbeveling |
|---|---|---|
| Een crash-consistente momentopname legt gegevens vast die op de schijf stonden toen de momentopname werd gemaakt. Er wordt niets in het geheugen opgeslagen. Het bevat het equivalent van de on-disk-gegevens die aanwezig zouden zijn als de VM is vastgelopen of als het netsnoer van de server werd gehaald op het moment dat de momentopname werd gemaakt. Crashconsistent biedt geen garantie voor gegevensconsistentie voor het besturingssysteem of voor apps op de VM. |
Site Recovery maakt standaard elke vijf minuten crash-consistente herstelpunten. Deze instelling kan niet worden gewijzigd. |
Tegenwoordig kunnen de meeste apps goed worden hersteld vanaf crash-consistente punten. Crash-consistente herstelpunten zijn meestal voldoende voor de replicatie van besturingssystemen en apps zoals DHCP-servers en afdrukservers. |
App-consistent
| Beschrijving | Details | Aanbeveling |
|---|---|---|
| App-consistente herstelpunten worden gemaakt vanuit app-consistente momentopnamen. Een app-consistente momentopname bevat alle informatie in een crash-consistente momentopname, plus alle gegevens in het geheugen en transacties die worden uitgevoerd. |
App-consistente momentopnamen gebruiken de Volume Shadow Copy Service (VSS): 1) Azure Site Recovery de methode Copy Only backup (VSS_BT_COPY) gebruikt, waardoor de back-uptijd en het volgnummer van het transactielogboek van Microsoft SQL niet worden gewijzigd 2) Wanneer een momentopname wordt gestart, voert VSS een COPY-on-write-bewerking (COPY-on-write) uit op het volume. 3) Voordat de WORDT UITGEVOERD, informeert VSS elke app op de computer dat de in het geheugen opgeslagen gegevens naar de schijf moeten worden leeg gemaakt. 4) VsS staat vervolgens de app voor back-up/herstel na noodgeval toe (in dit geval Site Recovery) om de momentopnamegegevens te lezen en door te gaan. |
App-consistente momentopnamen worden gemaakt volgens de frequentie die u opgeeft. Deze frequentie moet altijd kleiner zijn dan u hebt ingesteld voor het behouden van herstelpunten. Als u bijvoorbeeld herstelpunten behoudt met de standaardinstelling van 24 uur, moet u de frequentie instellen op minder dan 24 uur. Ze zijn complexer en het duurt langer om ze te voltooien dan crash-consistente momentopnamen. Ze zijn van invloed op de prestaties van apps die worden uitgevoerd op een VM die is ingeschakeld voor replicatie. |
Replicatieproces
Wanneer u replicatie inschakelen voor een Azure-VM, gebeurt het volgende:
- De Site Recovery Mobility-service-extensie wordt automatisch geïnstalleerd op de VM.
- De extensie registreert de virtuele Site Recovery.
- Continue replicatie begint voor de VM. Schrijf schrijfgegevens van de schijf worden onmiddellijk overgedragen naar het cacheopslagaccount op de bronlocatie.
- Site Recovery verwerkt de gegevens in de cache en verzendt deze naar het doelopslagaccount of naar de beheerde replicaschijven.
- Nadat de gegevens zijn verwerkt, worden er elke vijf minuten crash-consistente herstelpunten gegenereerd. App-consistente herstelpunten worden gegenereerd volgens de instelling die is opgegeven in het replicatiebeleid.
Replicatieproces
Connectiviteitsvereisten
De Azure-VM's die u repliceert, hebben uitgaande connectiviteit nodig. Site Recovery heeft nooit binnenkomende connectiviteit met de VM nodig.
Uitgaande connectiviteit (URL's)
Als uitgaande toegang voor VM's wordt beheerd met URL's, staat u deze URL's toe.
| Naam | Commercieel | Overheid | Beschrijving |
|---|---|---|---|
| Storage | *.blob.core.windows.net |
*.blob.core.usgovcloudapi.net |
Hiermee kunnen gegevens van de VM naar het cache-opslagaccount in de bronregio worden geschreven. |
| Azure Active Directory | login.microsoftonline.com |
login.microsoftonline.us |
Verzorgt autorisatie en authenticatie voor de URL’s van Site Recovery. |
| Replicatie | *.hypervrecoverymanager.windowsazure.com |
*.hypervrecoverymanager.windowsazure.com |
Maakt het de VM mogelijk te communiceren met de Site Recovery-service. |
| Service Bus | *.servicebus.windows.net |
*.servicebus.usgovcloudapi.net |
Maakt het de VM mogelijk bewakings- en diagnosegegevens van Site Recovery te schrijven. |
| Key Vault | *.vault.azure.net |
*.vault.usgovcloudapi.net |
Hiermee kunt u replicatie inschakelen voor virtuele ADE-machines via de portal |
| Azure Automation | *.automation.ext.azure.com |
*.azure-automation.us |
Hiermee kunt u automatische upgrade van de Mobility-agent inschakelen voor een gerepliceerd item via de portal |
Uitgaande connectiviteit voor IP-adresbereiken
Sta deze adressen toe om de uitgaande connectiviteit voor VM's te controleren met behulp van IP-adressen. Houd er rekening mee dat de details van de vereisten voor netwerkconnectiviteit te vinden zijn in het technische document over netwerken
Regels voor bronregio's
| Regel | Details | Servicetag |
|---|---|---|
| Uitgaand HTTPS toestaan: poort 443 | Bereik toestaan dat overeenkomt met opslagaccounts in de bronregio | Storage.<region-name> |
| Uitgaand HTTPS toestaan: poort 443 | Allow ranges that correspond to Azure Active Directory (Azure AD) (Bereikbereiken toestaan die overeenkomen met Azure Active Directory (Azure AD) | AzureActiveDirectory |
| Uitgaand HTTPS toestaan: poort 443 | Sta bereiken toe die overeenkomen met Events Hub in de doelregio. | EventsHub.<region-name> |
| Uitgaand HTTPS toestaan: poort 443 | Bereik toestaan dat overeenkomt met Azure Site Recovery | AzureSiteRecovery |
| Uitgaand HTTPS toestaan: poort 443 | Sta bereiken toe die overeenkomen met Azure Key Vault (dit is alleen vereist voor het inschakelen van replicatie van virtuele ADE-machines via de portal) | AzureKeyVault |
| Uitgaand HTTPS toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Automation Controller (dit is alleen vereist voor het inschakelen van automatische upgrade van de Mobility-agent voor een gerepliceerd item via de portal) | GuestAndHybridManagement |
Regels voor doelregio's
| Regel | Details | Servicetag |
|---|---|---|
| Uitgaand HTTPS toestaan: poort 443 | Bereiken toestaan die overeenkomen met opslagaccounts in de doelregio | Storage.<region-name> |
| Uitgaand HTTPS toestaan: poort 443 | Allow ranges that correspond to Azure AD | AzureActiveDirectory |
| Uitgaand HTTPS toestaan: poort 443 | Sta bereik toe dat overeenkomt met Events Hub in de bronregio. | EventsHub.<region-name> |
| Uitgaand HTTPS toestaan: poort 443 | Bereik toestaan dat overeenkomt met Azure Site Recovery | AzureSiteRecovery |
| Uitgaand HTTPS toestaan: poort 443 | Sta bereiken toe die overeenkomen met Azure Key Vault (dit is alleen vereist voor het inschakelen van replicatie van virtuele ADE-machines via de portal) | AzureKeyVault |
| Uitgaand HTTPS toestaan: poort 443 | Bereiken toestaan die overeenkomen met Azure Automation Controller (dit is alleen vereist voor het inschakelen van automatische upgrade van de Mobility-agent voor een gerepliceerd item via de portal) | GuestAndHybridManagement |
Toegang met NSG-regels controleren
Als u de VM-connectiviteit controleert door netwerkverkeer van en naar Azure-netwerken/-subnetten te filteren met behulp van NSG-regels,moet u rekening houden met de volgende vereisten:
- NSG-regels voor de Azure-bronregio moeten uitgaande toegang voor replicatieverkeer toestaan.
- U wordt aangeraden regels te maken in een testomgeving voordat u ze in productie gaat nemen.
- Gebruik servicetags in plaats van afzonderlijke IP-adressen toe te staan.
- Servicetags vertegenwoordigen een groep IP-adres voorvoegsels die samen worden verzameld om de complexiteit bij het maken van beveiligingsregels te minimaliseren.
- Servicetags worden in de tijd automatisch bijgewerkt door Microsoft.
Meer informatie over uitgaande connectiviteit voor Site Recovery en het beheren van connectiviteit met NSG's.
Connectiviteit voor consistentie van meerdere VM's
Als u multi-VM-consistentie inschakelt, communiceren machines in de replicatiegroep met elkaar via poort 20004.
- Zorg ervoor dat de interne communicatie tussen de VM's via poort 20004 niet door een firewall-apparaat wordt geblokkeerd.
- Als u wilt dat Linux VM’s deel uitmaken van een replicatiegroep, zorg er dan voor dat het uitgaande verkeer op poort 20004 handmatig wordt geopend volgens de richtlijnen van de specifieke Linux-versie.
Failoverproces
Wanneer u een failover start, worden de virtuele machines gemaakt in de doelresourcegroep, het virtuele doelnetwerk, het doelsubnet en in de doelbeschikbaarheidsset. Tijdens een failover kunt u elk herstelpunt gebruiken.
Volgende stappen
Repliceer snel een Azure-VM naar een secundaire regio.