Replicar máquinas com pontos de extremidade privados

  • Artigo

O Azure Site Recovery permite que você use pontos de extremidade privados do Link Privado do Azure para replicar seus computadores de dentro de uma rede virtual isolada. O acesso de ponto de extremidade privado a um cofre de recuperação tem suporte em todas as regiões Comerciais e Governamentais do Azure.

Este artigo fornece instruções para executar as seguintes etapas:

  • Criar um cofre dos Serviços de Recuperação de Backup do Azure para proteger seus computadores.
  • Habilitar uma identidade gerenciada para o cofre e conceder as permissões necessárias para acessar contas de armazenamento do cliente com o objetivo de replicar o tráfego da origem para os locais de destino. O acesso de identidade gerenciada para armazenamento é necessário quando você está configurando o acesso do Link Privado para o cofre.
  • Fazer as alterações de DNS necessárias para pontos de extremidade privados
  • Criar e aprovar pontos de extremidade privados para um cofre dentro de uma rede virtual
  • Criar pontos de extremidade privados para as contas de armazenamento. Você pode continuar permitindo o acesso público ou de firewall para armazenamento, conforme necessário. A criação de um ponto de extremidade privado para acessar o armazenamento não é obrigatória para o Azure Site Recovery.

Veja abaixo uma arquitetura de referência sobre como o fluxo de trabalho de replicação muda com pontos de extremidade privados.

Reference architecture for Site Recovery with private endpoints.

Pré-requisitos e limitações

  • Os pontos de extremidade privados podem ser criados somente para novos cofres de Serviços de Recuperação que não tenham nenhum item registrado no cofre. Por isso, os pontos de extremidade privados devem ser criados antes que todos os itens sejam adicionados ao cofre. Revise a estrutura de preços para pontos de extremidade privados.
  • Quando um ponto de extremidade privado é criado para um cofre, o cofre é bloqueado e só pode ser acessado a partir de redes que tenham pontos de extremidade privados.
  • Atualmente, a ID do Microsoft Entra não dá suporte a pontos de extremidade privados. Dessa forma, os IPs e os nomes de domínio totalmente qualificados necessários para que a ID do Microsoft Entra funcione em uma região precisam ter permissão de acesso de saída da rede protegida. Você também pode usar a marca de grupo de segurança de rede "Azure Active Directory" e as marcas do Firewall do Azure para permitir o acesso à ID do Microsoft Entra, conforme aplicável.
  • Pelo menos sete endereços IP são necessários nas sub-redes das máquinas de origem e das máquinas de recuperação. Quando você cria um ponto de extremidade privado para o cofre, o Site Recovery cria cinco links privados para acessar os microsserviços. Além disso, quando você habilita a replicação, ela adiciona dois links privados extras para o emparelhamento de região de origem e destino.
  • Um endereço IP adicional é necessário nas sub-redes de origem e recuperação. Esse endereço IP é necessário apenas quando você precisa usar pontos de extremidade privados que se conectam a contas de armazenamento em cache. Só é possível criar pontos de extremidade privados para armazenamento no Uso Geral tipo v2. Revise a estrutura de preços para transferência de dados no GPv2.

Criar e usar pontos de extremidade privados para o Site Recovery

Esta seção aborda as etapas envolvidas na criação e no uso de pontos de extremidade privados para o Azure Site Recovery dentro de suas redes virtuais.

Observação

É altamente recomendável seguir estas etapas na mesma sequência sugerida. Se você deixar de seguir as etapas, o cofre que está sendo renderizado poderá não ser capaz de usar os pontos de extremidade privados, e você precisará reiniciar o processo com um novo cofre.

Criar um cofre dos Serviços de Recuperação

O cofre dos serviços de recuperação é uma entidade que contém as informações de replicação dos computadores e é usado para acionar operações do Site Recovery. Para obter mais informações, consulte Criar um cofre dos Serviços de Recuperação.

Habilitar a identidade gerenciada para o cofre.

A identidade gerenciada permite que o cofre tenha acesso às contas de armazenamento do cliente. O Site Recovery precisa acessar o armazenamento de origem, o armazenamento de destino e as contas de armazenamento de cache/log, dependendo do requisito do cenário. O acesso de identidade gerenciada é essencial ao usar o serviço de links privados para o cofre.

  1. Vá até o cofre dos Serviços de Recuperação. Selecione Identidade em Configurações.

    Shows the Azure portal and the Recovery Services page.

  2. Altere o Status para Ativado e selecione Salvar.

  3. Um ID de objeto é gerado indicando que o cofre agora está registrado com o Azure Active Directory.

Criar pontos de extremidade privados para o cofre dos Serviços de Recuperação

Para habilitar o failover e o failback para máquinas virtuais do Azure, serão necessários dois pontos de extremidade privados para o cofre. Um ponto de extremidade privado para a proteção dos computadores que estão na rede de origem e outro para a nova proteção dos computadores com failover que estão na rede de recuperação.

Crie uma rede virtual de recuperação em sua região de destino também durante esse processo de instalação.

Crie o primeiro ponto de extremidade privado para o cofre dentro da rede virtual de origem usando o Centro de Link Privado no portal ou por meio do Azure PowerShell. Crie o segundo ponto de extremidade privado para o cofre dentro da rede de recuperação. Veja a seguir as etapas para criar o ponto de extremidade privado na rede de origem. Repita as mesmas diretrizes para criar o segundo ponto de extremidade privado.

  1. Na barra de pesquisa do portal do Azure, pesquise e escolha "Link Privado". Essa ação leva você ao Centro de Link Privado.

    Shows searching the Azure portal for the Private Link Center.

  2. Na barra de navegação à esquerda, selecione Pontos de extremidade. Na página Pontos de Extremidade Privados, selecione +Adicionar para começar a criar um ponto de extremidade privado para o cofre.

    Shows creating a private endpoint in the Private Link Center.

  3. Dentro da experiência "Criar ponto de extremidade privado", você precisará especificar os detalhes para criar a conexão de ponto de extremidade privado.

    1. Básico: forneça os detalhes básicos para os pontos de extremidade privados. A região deve ser igual à dos computadores de origem.

      Shows the Basic tab, project details, subscription, and other related fields for creating a private endpoint in the Azure portal.

    2. Recurso: nesta guia, você precisa indicar o recurso de plataforma como serviço para o qual quer criar a conexão. Em Tipo de recurso referente à assinatura selecionada, escolha Microsoft.RecoveryServices/vaults. Em seguida, escolha o nome do cofre dos Serviços de Recuperação para Recurso e defina Azure Site Recovery como o Sub-recurso destino.

      Shows the Resource tab, resource type, resource, and target sub-resource fields for linking to a private endpoint in the Azure portal.

    3. Configuração: em configuração, especifique a rede virtual e a sub-rede em que você deseja que o ponto de extremidade privado seja criado. Essa rede virtual é a rede em que a máquina virtual reside. Selecione Sim para habilitar a integração com a zona DNS particular. Escolha uma zona DNS existente ou crie uma nova. Selecionar Sim vincula automaticamente a zona à rede virtual de origem e adiciona os registros DNS necessários para a resolução DNS de novos IPs e nomes de domínio totalmente qualificados criados para o ponto de extremidade privado.

      Não esqueça de optar por criar uma nova zona DNS para cada novo ponto de extremidade privado conectando-se ao mesmo cofre. Se você escolher uma zona DNS privada existente, os registros CNAME anteriores serão substituídos. Antes de continuar, consulte Diretrizes do ponto de extremidade privado.

      Caso o seu ambiente tenha um modelo Hub e spoke, você precisa apenas de um ponto de extremidade privado e de apenas uma zona DNS privada para toda a configuração, já que todas as suas redes virtuais têm o emparelhamento habilitado entre elas. Para saber mais, consulte Integração de DNS do ponto de extremidade privado.

      Para criar manualmente a zona DNS privada, siga as etapas em Criar zonas DNS privadas e adicionar registros DNS manualmente.

      Shows the Configuration tab with networking and DNS integration fields for configuration of a private endpoint in the Azure portal.

    4. Marcas: se quiser, você pode adicionar marcas ao ponto de extremidade privado.

    5. Examinar + criar: depois que a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Quando o ponto de extremidade privado é criado, cinco nomes de domínio totalmente qualificados são adicionados ao ponto de extremidade privado. Esses links permitem que os computadores que residem na rede virtual obtenham acesso a todos os microsserviços necessários do Site Recovery no contexto do cofre. Posteriormente, quando você habilitar a replicação, dois nomes de domínio totalmente qualificados adicionais serão incluídos ao mesmo ponto de extremidade privado.

Os cinco nomes de domínio são formatados com o seguinte padrão:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Aprovar pontos de extremidade privados para o Site Recovery

Se o usuário que cria o ponto de extremidade privado também é o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado acima é aprovado automaticamente em alguns minutos. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes que você o utilize. Para aprovar ou rejeitar uma solicitação de conexão de ponto de extremidade privado, na página do cofre de recuperação, em "Configurações", acesse Conexões de ponto de extremidade privado.

Você pode acessar o recurso de ponto de extremidade privado para examinar o status da conexão antes de continuar.

Shows the private endpoint connections page of the vault and the list of connections in the Azure portal.

(Opcional) Criar pontos de extremidade privados para a conta de armazenamento de cache

É possível usar um ponto de extremidade privado para o armazenamento do Microsoft Azure. A criação de pontos de extremidade privados para acesso ao armazenamento é opcional para a replicação do Azure Site Recovery. Ao criar um ponto de extremidade privado para armazenamento, os seguintes requisitos se aplicam:

  • É necessário ter um ponto de extremidade privado para a conta de armazenamento de cache/log na rede virtual de origem.
  • É necessário ter um segundo ponto de extremidade privado no momento de oferecer a nova proteção aos computadores com failover residentes na rede de recuperação. Esse ponto de extremidade privado é para a nova conta de armazenamento criada na região de destino.

Observação

Se os pontos de extremidade privados não estiverem habilitados na conta de armazenamento, a proteção ainda funciona. No entanto, o tráfego de replicação transitaria para pontos de extremidade públicos do Azure Site Recovery. Para garantir que o tráfego de replicação flua através dos links privados, a conta de armazenamento deve ser habilitada com pontos de extremidade privados.

Observação

Os pontos de extremidade privados de armazenamento podem ser criados somente em contas de armazenamento de Uso Geral v2. Para obter informações sobre preços, consulte Preços de blob de página padrão.

Siga as diretrizes de criação de armazenamento privado para criar uma conta de armazenamento com um ponto de extremidade privado. Escolha Sim para integração com a zona DNS privada. Escolha uma zona DNS existente ou crie uma nova.

Conceder as permissões necessárias ao cofre

Se as suas máquinas virtuais estiverem usando discos gerenciados, você precisará conceder as permissões de identidade gerenciadas somente para as contas de armazenamento de cache. Caso as máquinas virtuais estejam usando discos não gerenciados, você precisará conceder permissões de identidade gerenciadas para contas de armazenamento de origem, de cache e de destino. Nesse caso, crie a conta de armazenamento de destino antes.

Antes de habilitar a replicação de máquinas virtuais, a identidade gerenciada do cofre deve ter as seguintes permissões de função, dependendo do tipo de conta de armazenamento:

As etapas a seguir descrevem como adicionar uma atribuição de função a contas de armazenamento, uma de cada vez. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.

  1. No portal do Azure, navegue até a conta de armazenamento em cache que você criou.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione Adicionar > Adicionar atribuição de função.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na guia Função, selecione uma das funções listadas no início desta seção.

  5. Na guia Membros, selecione Identidade gerenciadae selecione Selecionar membros.

  6. Selecione sua assinatura do Azure.

  7. Selecione Identidade gerenciada atribuída pelo sistema, pesquise um cofre e selecione.

  8. Na guia Examinar + atribuir, selecione Examinar + atribuir para atribuir a função.

Além dessas permissões, você precisa permitir o acesso aos serviços confiáveis da Microsoft. Para fazer isso, siga estas etapas:

  1. Vá para Firewalls e redes virtuais.

  2. Em Exceções, selecione Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento.

Proteger seus computadores virtuais

Depois que todas as configurações acima forem concluídas, continue a habilitar a replicação das máquinas virtuais. Todas as operações do Site Recovery funcionam sem etapas adicionais se a integração de DNS tiver sido usada durante a criação de pontos de extremidade privados no cofre. No entanto, se as zonas DNS forem criadas e configuradas manualmente, você precisará seguir etapas extras para adicionar registros DNS específicos nas zonas DNS de origem e de destino depois de habilitar a replicação. Para obter detalhes e etapas, consulte Criar zonas DNS privadas e adicionar registros DNS manualmente.

Criar zonas DNS privadas e adicionar registros DNS manualmente

Se você não selecionou a opção de integração com a zona DNS privada no momento da criação do ponto de extremidade privado para o cofre, siga as etapas desta seção.

Crie uma zona DNS privada para permitir que o agente de mobilidade resolva nomes de domínio totalmente qualificados de link privado para IPs privados.

  1. Criar uma zona DNS privada

    1. Pesquise "Zona DNS privado" na barra de pesquisa Todos os serviços e escolha "Zonas DNS privados" na lista de resultados.

      Shows searching for 'private dns zone' on new resources page in the Azure portal.

    2. Na página "Zonas DNS privadas", selecione o botão +Adicionar para começar a criar uma zona.

    3. Na página "Criar zona DNS privada", preencha os detalhes necessários. Digite o nome privatelink.siterecovery.windowsazure.com para a zona DNS privada. Você pode escolher qualquer grupo de recursos e qualquer assinatura para criá-la.

      Shows the Basics tab of the Create Private DNS zone page and related project details in the Azure portal.

    4. Continue na guia Examinar + criar para examinar e criar a zona DNS.

  2. Vincule a zona DNS privada à sua rede virtual

    As zonas DNS privadas criadas acima agora devem ser vinculadas à rede virtual em que os servidores estão no momento. Lembre-se de vincular a zona DNS privada à rede virtual de destino com antecedência.

    1. Acesse a zona DNS privada criada na etapa anterior e navegue até Links da rede virtual no lado esquerdo da página. Em seguida, selecione o botão +Adicionar.

    2. Preencha os detalhes necessários. Os campos Assinatura e Rede virtual devem ser preenchidos com os detalhes correspondentes da rede virtual em que o servidor reside. Não altere os outros campos.

      Shows the page to add a virtual network link with the link name, subscription, and related virtual network in the Azure portal.

  3. Adicione os registros DNS

    Depois de criar as zonas DNS privadas necessárias e os pontos de extremidade privados, adicione os registros DNS às suas zonas DNS.

    Observação

    Caso você use uma zona DNS privada personalizada, faça entradas semelhantes conforme explicado abaixo.

    Nesta etapa, você precisará fazer entradas para cada nome de domínio totalmente qualificado em seu ponto de extremidade privado na zona DNS privada.

    1. Acesse a zona DNS privada e navegue até a seção Visão geral no lado esquerdo da página. Em seguida, selecione +Conjunto de registros para começar a adicionar registros.

    2. Na página "Adicionar conjunto de registros", adicione uma entrada para cada nome de domínio totalmente qualificado e IP privado como um registro do tipo A. Você pode obter uma lista de nomes de domínio totalmente qualificados e IPs na página "Ponto de extremidade privado" em Visão Geral. Conforme mostrado no exemplo abaixo, o primeiro nome de domínio totalmente qualificado do ponto de extremidade privado é adicionado ao conjunto de registros na zona DNS privada.

      Esses nomes de domínio totalmente qualificados correspondem ao seguinte padrão: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Shows the page to add a DNS A type record for the fully qualified domain name to the private endpoint in the Azure portal.

    Observação

    Depois de habilitar a replicação, mais dois nomes de domínio totalmente qualificados são criados nos pontos de extremidade privados em ambas as regiões. Adicione os registros DNS para esses nomes de domínio totalmente qualificados recém-criados também.

Próximas etapas

Agora que você habilitou pontos de extremidade privados para a replicação de sua máquina virtual, consulte estas outras páginas para obter informações extras relacionadas a esse tema: