Подключение к виртуальным машинам Azure после отработки отказа локальной среды

  • Статья

В этой статье описывается, как настроить подключение, чтобы можно было успешно подключиться к виртуальным машинам Azure после отработки отказа.

Когда настроено аварийное восстановление локальных виртуальных машин (ВМ) и физических серверов в Azure, Azure Site Recovery запускает репликацию компьютеров в Azure. Затем при возникновении сбоев можно перенести выполнение приложений с локального узла в Azure. При отработке отказа Site Recovery создает виртуальные машины Azure, используя реплицированные локальные данные. В рамках планирования аварийного восстановления необходимо выяснить, как после отработки отказа подключиться к приложениям, работающим на этих виртуальных машинах Azure.

В этой статье раскрываются следующие темы:

  • Подготовка локальных компьютеров перед отработкой отказа.
  • Подготовка ВМ Azure после отработки отказа.
  • Сохранение IP-адресов для ВМ Azure после отработки отказа.
  • Назначение новых IP-адресов для ВМ Azure после отработки отказа.

Подготовка локальных компьютеров

Чтобы обеспечить подключение к виртуальным машинам Azure, следует подготовить локальные компьютеры перед отработкой отказа.

Подготовка компьютеров с Windows

На локальных компьютерах с Windows выполните следующие действия:

  1. Настройте параметры Windows. При этом следует устранить любые статические постоянные маршруты или прокси-серверы WinHTTP, настроить SAN политику диска как OnlineAll. Следуйте этим инструкциям.

  2. Убедитесь, что эти службы работают.

  3. Включите удаленный рабочий стол (RDP), чтобы разрешить установку удаленных подключений к локальному компьютеру. Сведения о включении RDP с помощью PowerShell см. в этой статье.

  4. Чтобы получить доступ к ВМ Azure через Интернет после обработки отказа, в брандмауэре Windows на локальном компьютере разрешите протоколы TCP и UDP в общем профиле и установите RDP в качестве разрешенного приложения для всех профилей.

  5. Если вы хотите получить доступ к ВМ Azure через VPN типа "сеть — сеть" после обработки отказа, в брандмауэре Windows на локальном компьютере разрешите RDP для частного профиля и профиля домена. Ознакомьтесь со сведениями о разрешении трафика RDP на этой странице.

  6. Прежде чем запустить процесс обработки отказа убедитесь, что на локальной ВМ нет ожидающих установки обновлений Windows. В противном случае установка этих обновлений на ВМ Azure может начаться после обработки отказа, и вы не сможете войти в нее до завершения установки.

Подготовка компьютеров с Linux

На локальных компьютерах с Linux выполните следующие действия:

  1. Настройте автоматический запуск службы SSH при загрузке системы (если он еще не настроен).
  2. Убедитесь, что правила брандмауэра разрешают SSH-подключение.

Настройка ВМ Azure после отработки отказа

После отработки отказа выполните следующие действия на созданных ВМ Azure.

  1. Чтобы подключиться к виртуальной машине через Интернет, назначьте ей общедоступный IP-адрес. Для виртуальной машины Azure нельзя указывать общедоступный IP-адрес, ранее используемый для локального компьютера. Подробнее
  2. Убедитесь, что правила группы безопасности сети (NSG) на виртуальной машине разрешают входящие подключения к порту RDP или SSH.
  3. Перейдите в раздел Диагностика загрузки, чтобы просмотреть сведения о виртуальной машине.

Примечание.

Служба "Бастион Azure" предоставляет закрытый доступ по RDP и SSH к виртуальным машинам Azure. Ознакомьтесь с дополнительными сведениями об этой службе.

Настройка общедоступного IP-адреса

В качестве альтернативы назначению общедоступного IP-адреса для ВМ Azure вручную можно назначить адрес во время отработки отказа с помощью скрипта или модуля Runbook службы автоматизации Azure в плане восстановления Site Recovery или настроить маршрутизацию на уровне DNS с помощью диспетчера трафика Azure. Дополнительные сведения о настройке общедоступного адреса.

Назначение внутреннего адреса

Чтобы задать внутренний IP-адрес виртуальной машины Azure после отработки отказа, можно использовать несколько вариантов:

  • Сохранить тот же IP-адрес. На ВМ Azure можно использовать тот же IP-адрес, который был выделен для локального компьютера.
  • Использование другого IP-адреса. Для ВМ Azure можно использовать другой IP-адрес.

Использование тех же IP-адресов

Site Recovery позволяет сохранить те же IP-адреса при отработке отказа с перегрузкой в Azure. При сохранении IP-адреса можно избежать возможных проблем с сетью после отработки отказа, но при этом возникают сложности.

  • Если целевая ВМ Azure использует тот же IP-адрес или подсеть, что и локальный узел, невозможно связать их, используя VPN-подключение типа "сеть — сеть" или ExpressRoute, из-за перекрытия адреса. Подсети должны быть уникальны.
  • После отработки отказа вам потребуется подключение из локальной среды в Azure, чтобы приложения были доступны на ВМ Azure. Azure не поддерживает растянутые виртуальные ЛС, поэтому, если вы хотите сохранить IP-адреса, необходимо перевести IP-пространство в Azure путем отработки отказа всей подсети вместе с локальным компьютером.
  • Отработка отказа подсети гарантирует, что конкретная подсеть не может быть доступна одновременно в локальной среде и в Azure.

Для сохранения IP-адресов необходимо выполнить следующие действия:

  • В свойствах "Вычисления и сети" для реплицированного элемента задайте для параметра сеть и IP-адресация целевой ВМ Azure зеркальное отображение параметров локального компьютера.
  • Подсети должны управляться как часть процесса аварийного восстановления. Виртуальная сеть Azure должна соответствовать локальной сети, и после этого необходимо изменить сетевые маршруты отработки отказа, чтобы они отражали, что подсеть перемещена в Azure, а также показывали новые расположения IP-адресов.

Пример отработки отказа

Давайте рассмотрим пример.

  • Вымышленная организация Woodgrove Bank размещает свои бизнес-приложения в локальной среде, а мобильные приложения — в Azure.
  • Они подключаются из локальной среды в Azure через VPN типа "сеть — сеть".
  • В Woodgrove используется Site Recovery для репликации локальных компьютеров в Azure.
  • Локальные приложения используют жестко запрограммированные IP-адреса, поэтому им нужно сохранить те же самые IP-адреса в Azure.
  • Локальные компьютеры, на которых запущены приложения, работают в трех подсетях:
    • 192.168.1.0/24
    • 192.168.2.0/24
    • 192.168.3.0/24
  • Их приложения, работающие в Azure, находятся в сети Azure виртуальной сети Azure в двух подсетях:
    • 172.16.1.0/24
    • 172.16.2.0/24

Для того, чтобы сохранить адреса, принято следующее решение.

  1. При включении репликации указывается, что компьютеры должны реплицироваться в сеть Azure.

  2. Создана сеть восстановления в Azure. Эта виртуальная сеть дублирует подсеть 192.168.1.0/24 из локальной сети.

  3. Компания Woodgrove настраивает Подключение "виртуальная сеть — виртуальная сеть" между двумя сетями.

    Примечание.

    В зависимости от требований приложения, подключение между виртуальными сетями можно настроить до отработки отказа, как выполняемый вручную шаг/сценарий или модуль Runbook службы автоматизации Azure в плане восстановления Site Recovery или после завершения отработки отказа.

  4. Перед отработкой отказа в свойствах компьютера в Site Recovery они задают целевому IP-адресу адрес локального компьютера, как описано в следующей процедуре.

  5. После отработки отказа создаются ВМ Azure с тем же IP-адресом. Woodgrove подключается из сети Azure к виртуальной сети восстановления с помощью пиринга виртуальных сетей (с включенным транзитным подключением).

  6. В локальной среде Woodgrove необходимо вносить изменения в сеть, включая изменение маршрутов для отражения того факта, что подсеть 192.168.1.0/24 перенесена в Azure.

Инфраструктура до отработки отказа

Before subnet failover

Инфраструктура после отработки отказа

After subnet failover

Настройка параметров целевой сети

Перед отработкой отказа следует задать параметры сети и IP-адрес целевой ВМ Azure.

  1. В хранилище служб восстановления в разделе >Реплицированные элементы выберите локальный компьютер.
  2. На странице Вычисление и сеть для этого компьютера нажмите кнопку Изменить, чтобы настроить параметры сети и адаптера для целевой ВМ Azure.
  3. В окне Свойства сети выберите целевую сеть, в которой будет размещена ВМ Azure при ее создании после отработки отказа.
  4. В окне Сетевые интерфейсы настройте сетевые адаптеры в целевой сети. По умолчанию Site Recovery отображает все сетевые адаптеры, обнаруженные на локальном компьютере.
    • В поле Целевой тип сетевого интерфейса для каждого сетевого адаптера можно задать значение Основной, Дополнительный или Не создавать, если в целевой сети не нужен конкретный сетевой адаптер. Один сетевой адаптер должен быть установлен в качестве основного для отработки отказа. Обратите внимание, что изменение целевой сети влияет на все сетевые карты для ВМ Azure.
    • Щелкните имя сетевого адаптера, чтобы указать подсеть, в которой будет развернута ВМ Azure.
    • Измените Dynamic на частный IP-адрес, который нужно назначить для целевой ВМ Azure. Если IP-адрес не указан, Site Recovery назначит сетевому интерфейсу следующий доступный IP-адрес из подсети при отработке отказа.
    • Узнайте больше об управлении сетевыми адаптерами для отработки отказа локальной среды с перегрузкой в Azure.

Получение новых IP-адресов

В этом сценарии после отработки отказа ВМ получит новый IP-адрес. Чтобы настроить новый IP-адрес для ВМ, созданной после отработки отказа, следуйте приведенным ниже инструкциям.

  1. Откройте Реплицированные элементы.

  2. Выберите нужную виртуальную машину Azure.

  3. Откройте Вычисления и сеть и нажмите Изменить.

    Customize the failover networking configurations.

  4. Чтобы изменить параметры сети для отработки отказа, нажмите Изменить рядом с сетевым адаптером, который хотите настроить. На следующей открывшейся странице укажите соответствующий предварительно созданный IP-адрес в области для тестовой обработки отказов и производственной обработки отказов.

    Edit the NIC configuration.

  5. Нажмите ОК.

Site Recovery теперь будет учитывать эти параметры и обеспечит подключение ВМ после обработки отказа к выбранному ресурсу с использованием соответствующего IP-адреса, если он доступен в диапазоне целевых IP-адресов. В этом случае нет необходимости при обработке отказа переносить всю подсеть. Для обновления записей на компьютере, для которого выполнена отработка отказа, требуется обновление DNS, чтобы он перенаправлял на новый IP-адрес ВМ.

Следующие шаги

Узнайте, как выполнять репликацию локальных Active Directory и DNS в Azure.