Om nätverk i haveriberedskap för virtuella Azure-datorer
Den här artikeln innehåller nätverksvägledning när du replikerar och återställer virtuella Azure-datorer från en region till en annan med hjälp av Azure Site Recovery.
Innan du börjar
Lär dig hur Site Recovery tillhandahåller haveriberedskap för det här scenariot.
Vanlig nätverksinfrastruktur
Följande diagram visar en typisk Azure-miljö för program som körs på virtuella Azure-datorer:
Om du använder Azure ExpressRoute eller en VPN-anslutning från ditt lokala nätverk till Azure ser miljön ut så här:
Vanligtvis skyddas nätverk med hjälp av brandväggar och nätverkssäkerhetsgrupper (NSG:er). Tjänsttaggar ska användas för att styra nätverksanslutningen. NSG:er bör tillåta flera tjänsttaggar för att styra utgående anslutningar.
Viktigt
Att använda en autentiserad proxy för att styra nätverksanslutningen stöds inte av Site Recovery och replikering kan inte aktiveras.
Anteckning
- IP-adressbaserad filtrering bör inte utföras för att styra utgående anslutningar.
- Azure Site Recovery IP-adresser ska inte läggas till i Azure Routing-tabellen för att styra utgående anslutningar.
Utgående anslutning för webbadresser
Om du använder en URL-baserad brandväggsproxy för att styra utgående anslutningar, tillåt följande Site Recovery URL:er:
| URL | Information |
|---|---|
| *.blob.core.windows.net | Krävs för att data ska kunna skrivas till cachelagringskontot i källregionen från den virtuella datorn. Om du känner till alla cachelagringskonton för dina virtuella datorer kan du tillåta åtkomst till de specifika url:erna för lagringskontot (till exempel cache1.blob.core.windows.net och cache2.blob.core.windows.net) i stället för *.blob.core.windows.net |
| login.microsoftonline.com | Krävs för auktorisering och autentisering till Site Recovery url:er. |
| *.hypervrecoverymanager.windowsazure.com | Krävs så att Site Recovery kan ske från den virtuella datorn. |
| *.servicebus.windows.net | Krävs för att Site Recovery övervaknings- och diagnostikdata kan skrivas från den virtuella datorn. |
| *.vault.azure.net | Tillåter åtkomst för att aktivera replikering för ADE-aktiverade virtuella datorer via portalen |
| *.automation.ext.azure.com | Tillåter automatisk uppgradering av mobilitetsagenten för ett replikerat objekt via portalen |
Utgående anslutning med tjänsttaggar
Förutom att kontrollera URL:er kan du även använda tjänsttaggar för att styra anslutningen. För att göra det måste du först skapa en nätverkssäkerhetsgrupp i Azure. När du har skapat den måste du använda våra befintliga tjänsttaggar och skapa en NSG-regel för att tillåta åtkomst Azure Site Recovery tjänster.
Fördelarna med att använda tjänsttaggar för att kontrollera anslutningen, jämfört med att kontrollera anslutningar med IP-adresser, är att det inte finns något hårt beroende av en viss IP-adress för att fortsätta vara ansluten till våra tjänster. I ett sådant scenario, om IP-adressen för en av våra tjänster ändras, påverkas inte den pågående replikeringen för dina datorer. Ett beroende till hårdkodade IP-adresser gör att replikeringsstatusen blir kritisk och ut sätter dina system i riskzonen. Dessutom ger tjänsttaggar bättre säkerhet, stabilitet och återhämtning än hårdkodade IP-adresser.
När du använder NSG för att styra utgående anslutningar måste dessa tjänsttaggar tillåtas.
- För lagringskontona i källregionen:
- Skapa en Storage tjänsttaggbaserad NSG-regel för källregionen.
- Tillåt dessa adresser så att data kan skrivas till cachelagringskontot från den virtuella datorn.
- Skapa en Azure Active Directory (AAD)-tjänsttaggbaserad NSG-regel för att tillåta åtkomst till alla IP-adresser som motsvarar AAD
- Skapa en taggbaserad NSG-regel för EventsHub-tjänsten för målregionen, vilket ger åtkomst till Site Recovery övervakning.
- Skapa en taggbaserad NSG-regel för AzureSiteRecovery-tjänsten för att tillåta åtkomst Site Recovery tjänst i alla regioner.
- Skapa en taggbaserad NSG-regel för AzureKeyVault-tjänsten. Detta krävs endast för att aktivera replikering av ADE-aktiverade virtuella datorer via portalen.
- Skapa en taggbaserad NSG-regel för tjänsten GuestAndHybridManagement. Detta krävs endast för att aktivera automatisk uppgradering av mobilitetsagenten för ett replikerat objekt via portalen.
- Vi rekommenderar att du skapar de NSG-regler som krävs på en NSG-test och kontrollerar att det inte finns några problem innan du skapar reglerna på en NSG för produktion.
Exempel på NSG-konfiguration
Det här exemplet visar hur du konfigurerar NSG-regler för en virtuell dator att replikera.
- Om du använder NSG-regler för att styra utgående anslutningar använder du regler för "Tillåt utgående HTTPS" till port:443 för alla ip-adressintervall som krävs.
- Exemplet förutsätter att källplatsen för den virtuella datorn är "USA, östra" och målplatsen är "USA, centrala".
NSG-regler – USA, östra
Skapa en utgående HTTPS-säkerhetsregel (443) för "Storage. EastUS" på NSG enligt skärmbilden nedan.
Skapa en utgående HTTPS-säkerhetsregel (443) för "AzureActiveDirectory" på NSG enligt skärmbilden nedan.
På samma sätt som med ovanstående säkerhetsregler skapar du en utgående HTTPS-säkerhetsregel (443) för "EventHub.CentralUS" på den NSG som motsvarar målplatsen. Detta ger åtkomst till Site Recovery övervakning.
Skapa en utgående HTTPS-säkerhetsregel (443) för "AzureSiteRecovery" på NSG:n. Detta ger åtkomst till Site Recovery tjänst i vilken region som helst.
NSG-regler – USA, centrala
De här reglerna krävs så att replikering kan aktiveras från målregionen till källregionen efter redundans:
Skapa en utgående HTTPS-säkerhetsregel (443) för "Storage. CentralUS" på NSG.
Skapa en utgående HTTPS-säkerhetsregel (443) för "AzureActiveDirectory" på NSG:n.
På samma sätt som med ovanstående säkerhetsregler skapar du en utgående HTTPS-säkerhetsregel (443) för "EventHub.EastUS" på den NSG som motsvarar källplatsen. Detta ger åtkomst till Site Recovery övervakning.
Skapa en utgående HTTPS-säkerhetsregel (443) för "AzureSiteRecovery" på NSG:n. Detta ger åtkomst till Site Recovery tjänst i vilken region som helst.
Konfiguration av virtuell nätverksinstallation
Om du använder virtuella nätverksinstallationer (NVA) för att styra utgående nätverkstrafik från virtuella datorer kan installationen begränsas om all replikeringstrafik passerar genom DEN virtuella nätverksinstallationen. Vi rekommenderar att du skapar en nätverkstjänstslutpunkt i ditt virtuella nätverk för "Storage" så att replikeringstrafiken inte går till den virtuella nätverksadministratören.
Skapa nätverkstjänstslutpunkt för Storage
Du kan skapa en nätverkstjänstslutpunkt i ditt virtuella nätverk för "Storage" så att replikeringstrafiken inte lämnar Azure-gränsen.
Välj ditt virtuella Azure-nätverk och klicka på Tjänstslutpunkter
Klicka på Lägg till så öppnas fliken Lägg till tjänstslutpunkter
Välj Microsoft. Storage under "Tjänst" och de nödvändiga undernäten under fältet "Undernät" och klicka på Lägg till
Anteckning
Om du använder ett brandväggsaktiverad cachelagringskonto eller mållagringskonto ser du till att "Tillåt betrodda Microsoft-tjänster". Kontrollera också att du tillåter åtkomst till minst ett undernät för det virtuella källnätverket.
Tvingad tunneltrafik
Du kan åsidosätta Azures standardsystemväg för adressprefixet 0.0.0.0/0 med en anpassad väg och omdirigera VM-trafik till en lokal virtuell nätverksinstallation (NVA), men den här konfigurationen rekommenderas inte för Site Recovery-replikering. Om du använder anpassade vägar bör du skapa en tjänstslutpunkt för virtuellt nätverk i ditt virtuella nätverk för "Storage" så att replikeringstrafiken inte lämnar Azure-gränsen.
Nästa steg
- Börja skydda dina arbetsbelastningar genom att replikera virtuella Azure-datorer.
- Läs mer om kvarhållning av IP-adresser för redundans för virtuella Azure-datorer.
- Läs mer om haveriberedskap för virtuella Azure-datorer med ExpressRoute.