Sobre a rede na recuperação de desastres da VM do Azure

Este artigo fornece orientação de rede para conectividade de plataforma quando você replica VMs do Azure de uma região para outra, usando o Azure Site Recovery.

Antes de começar

Saiba como o Site Recovery fornece recuperação de desastres para esse cenário.

Infraestrutura de rede típica

O diagrama a seguir descreve um ambiente típico do Azure, para aplicativos executados em VMs do Azure:

Diagram that depicts a typical Azure environment for applications running on Azure VMs.

Se você estiver usando o Azure ExpressRoute ou uma conexão VPN de sua rede local para o Azure, o ambiente será o seguinte:

customer-environment

Normalmente, as redes são protegidas usando firewalls e grupos de segurança de rede (NSGs). As etiquetas de serviço devem ser usadas para controlar a conectividade de rede. Os NSGs devem permitir que várias tags de serviço controlem a conectividade de saída.

Importante

O uso de um proxy autenticado para controlar a conectividade de rede não é suportado pela Recuperação de Site e a replicação não pode ser habilitada.

Nota

  • A filtragem baseada em endereço IP não deve ser executada para controlar a conectividade de saída.
  • Os endereços IP do Azure Site Recovery não devem ser adicionados na tabela de Roteamento do Azure para controlar a conectividade de saída.

Conectividade de saída para URLs

Se você estiver usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita estas URLs de Recuperação de Site:

URL Detalhes
*.blob.core.windows.net Necessário para que os dados possam ser gravados na conta de armazenamento de cache na região de origem a partir da VM. Se você souber todas as contas de armazenamento em cache para suas VMs, poderá permitir o acesso às URLs específicas da conta de armazenamento (por exemplo, cache1.blob.core.windows.net e cache2.blob.core.windows.net) em vez de *.blob.core.windows.net
login.microsoftonline.com Necessário para autorização e autenticação para as URLs do serviço de Recuperação de Site.
*.hypervrecoverymanager.windowsazure.com Necessário para que a comunicação do serviço de Recuperação de Site possa ocorrer a partir da VM.
*.servicebus.windows.net Necessário para que os dados de monitoramento e diagnóstico da Recuperação de Site possam ser gravados a partir da VM.
*.vault.azure.net Permite o acesso para habilitar a replicação para máquinas virtuais habilitadas para ADE via portal
*.automation.ext.azure.com Permite habilitar a atualização automática do agente de mobilidade para um item replicado via portal

Conectividade de saída usando tags de serviço

Além de controlar URLs, você também pode usar tags de serviço para controlar a conectividade. Para fazer isso, você deve primeiro criar um Grupo de Segurança de Rede no Azure. Depois de criada, você precisa usar nossas tags de serviço existentes e criar uma regra NSG para permitir o acesso aos serviços do Azure Site Recovery.

As vantagens de usar etiquetas de serviço para controlar a conectividade, quando comparado ao controle de conectividade usando endereços IP, é que não há dependência de um determinado endereço IP para permanecer conectado aos nossos serviços. Nesse cenário, se o endereço IP de um dos nossos serviços mudar, a replicação contínua não será afetada para as suas máquinas. Enquanto isso, a dependência de endereços IP codificados faz com que o status de replicação se torne crítico e coloque seus sistemas em risco. Além disso, as etiquetas de serviço garantem melhor segurança, estabilidade e resiliência do que os endereços IP codificados.

Ao usar o NSG para controlar a conectividade de saída, essas tags de serviço precisam ser permitidas.

  • Para as contas de armazenamento na região de origem:
    • Crie uma regra NSG baseada em etiqueta de serviço de armazenamento para a região de origem.
    • Permita esses endereços para que os dados possam ser gravados na conta de armazenamento em cache, a partir da VM.
  • Criar uma regra NSG baseada na etiqueta de serviço Microsoft Entra para permitir o acesso a todos os endereços IP correspondentes ao ID do Microsoft Entra
  • Crie uma regra NSG baseada em tags do serviço EventsHub para a região de destino, permitindo o acesso ao monitoramento da Recuperação de Site.
  • Crie uma regra NSG baseada em tags do serviço Azure Site Recovery para permitir o acesso ao serviço de Recuperação de Site em qualquer região.
  • Crie uma regra NSG baseada em tags de serviço AzureKeyVault. Isso é necessário apenas para habilitar a replicação de máquinas virtuais habilitadas para ADE via portal.
  • Crie uma regra NSG baseada em tags de serviço GuestAndHybridManagement. Isso é necessário apenas para habilitar a atualização automática do agente de mobilidade para um item replicado via portal.
  • Recomendamos que você crie as regras NSG necessárias em um NSG de teste e verifique se não há problemas antes de criar as regras em um NSG de produção.

Exemplo de configuração NSG

Este exemplo mostra como configurar regras NSG para uma VM replicar.

  • Se você estiver usando regras NSG para controlar a conectividade de saída, use as regras "Permitir saída HTTPS" para a porta:443 para todos os intervalos de endereços IP necessários.
  • O exemplo presume que o local de origem da VM é "Leste dos EUA" e o local de destino é "EUA Central".

Regras NSG - Leste dos EUA

  1. Crie uma regra de segurança HTTPS (443) de saída para "Storage.EastUS" no NSG, conforme mostrado na captura de tela a seguir:

    Screenshot shows Add outbound security rule for a network security group for Storage dot East U S.

  2. Crie uma regra de segurança HTTPS de saída (443) para "AzureActiveDirectory" no NSG, conforme mostrado na captura de tela a seguir:

    Screenshot shows Add outbound security rule for a network security group for Microsoft Entra ID.

  3. Semelhante às regras de segurança, crie uma regra de segurança HTTPS (443) de saída para "EventHub.CentralUS" no NSG que corresponde ao local de destino. Isso permite o acesso ao monitoramento de Recuperação de Site.

  4. Crie uma regra de segurança HTTPS (443) de saída para "Azure Site Recovery" no NSG. Isso permite o acesso ao Serviço de Recuperação de Site em qualquer região.

Regras NSG - Central US

Essas regras são necessárias para que a replicação possa ser habilitada da região de destino para a região de origem após o failover:

  1. Crie uma regra de segurança HTTPS (443) de saída para "Storage.CentralUS" no NSG.

  2. Crie uma regra de segurança HTTPS (443) de saída para "AzureActiveDirectory" no NSG.

  3. Semelhante às regras de segurança, crie uma regra de segurança HTTPS (443) de saída para "EventHub.EastUS" no NSG que corresponde ao local de origem. Isso permite o acesso ao monitoramento de Recuperação de Site.

  4. Crie uma regra de segurança HTTPS (443) de saída para "Azure Site Recovery" no NSG. Isso permite o acesso ao Serviço de Recuperação de Site em qualquer região.

Configuração do dispositivo virtual de rede

Se você estiver usando dispositivos virtuais de rede (NVAs) para controlar o tráfego de rede de saída de VMs, o dispositivo poderá ser limitado se todo o tráfego de replicação passar pelo NVA. Recomendamos a criação de um ponto de extremidade de serviço de rede em sua rede virtual para "Armazenamento" para que o tráfego de replicação não vá para o NVA.

Criar ponto de extremidade de serviço de rede para armazenamento

Você pode criar um ponto de extremidade de serviço de rede em sua rede virtual para "Armazenamento" para que o tráfego de replicação não saia do limite do Azure.

  • Selecione sua rede virtual do Azure e clique em 'Pontos de extremidade de serviço'

    storage-endpoint

  • O separador 'Adicionar' e 'Adicionar pontos finais de serviço' abre-se

  • Selecione 'Microsoft.Storage' em 'Serviço' e as sub-redes necessárias no campo 'Sub-redes' e clique em 'Adicionar'

Nota

Se você estiver usando uma conta de armazenamento em cache habilitada para firewall ou uma conta de armazenamento de destino, certifique-se de "Permitir serviços confiáveis da Microsoft". Além disso, certifique-se de permitir o acesso a pelo menos uma sub-rede da Vnet de origem.

Túnel forçado

Você pode substituir a rota padrão do sistema do Azure para o prefixo de endereço 0.0.0.0/0 por uma rota personalizada e desviar o tráfego da VM para um dispositivo virtual de rede local (NVA), mas essa configuração não é recomendada para replicação de Recuperação de Site. Se você estiver usando rotas personalizadas, deverá criar um ponto de extremidade de serviço de rede virtual em sua rede virtual para "Armazenamento" para que o tráfego de replicação não saia do limite do Azure.

Próximos passos