Azure VM olağanüstü durum kurtarma 'da ağ iletişimi hakkında
Bu makalede, Azure VM 'lerini bir bölgeden diğerine çoğaltırken ve kurtarırken, Azure Site Recoverykullanarak Ağ Kılavuzu sağlanmaktadır.
Başlamadan önce
Site Recovery Bu senaryoiçin olağanüstü durum kurtarma nasıl sağladığını öğrenin.
Tipik ağ altyapısı
Aşağıdaki diyagramda, Azure VM 'lerde çalışan uygulamalar için tipik bir Azure ortamı gösterilmektedir:
Azure ExpressRoute veya şirket içi ağınızdan Azure 'a bir VPN bağlantısı kullanıyorsanız, ortam aşağıdaki gibidir:
Genellikle, ağlar güvenlik duvarları ve ağ güvenlik grupları (NSG 'ler) kullanılarak korunur. Ağ bağlantısını denetlemek için hizmet etiketleri kullanılmalıdır. NSG 'ler, giden bağlantıyı denetlemek için çeşitli hizmet etiketlerinin kullanılmasına izin verir.
Önemli
Ağ bağlantısını denetlemek için kimliği doğrulanmış bir proxy kullanmak Site Recovery tarafından desteklenmez ve çoğaltma etkinleştirilemez.
Not
- Giden bağlantıyı denetlemek için IP adresi tabanlı filtreleme gerçekleştirilmemelidir.
- Giden bağlantıyı denetlemek için Azure Site Recovery IP adresleri Azure yönlendirme tablosuna eklenmemelidir.
URL'ler için giden bağlantı
Giden bağlantıyı denetlemek için URL tabanlı bir güvenlik duvarı proxy 'si kullanıyorsanız, bu Site Recovery URL 'Lerine izin verin:
| URL | Ayrıntılar |
|---|---|
| *.blob.core.windows.net | Verilerin, VM 'den kaynak bölgedeki önbellek depolama hesabına yazılabilmeleri için gereklidir. Sanal makinelerinize yönelik tüm önbellek depolama hesaplarını biliyorsanız, *. blob.core.windows.net yerine belirli depolama hesabı URL 'Lerine (örn: cache1.blob.core.windows.net ve cache2.blob.core.windows.net) erişime izin verebilirsiniz |
| login.microsoftonline.com | Site Recovery hizmeti URL 'Lerinde yetkilendirme ve kimlik doğrulaması için gereklidir. |
| *.hypervrecoverymanager.windowsazure.com | Site Recovery hizmeti iletişiminin sanal makineden gerçekleşebilmesi için gereklidir. |
| *.servicebus.windows.net | Site Recovery izleme ve tanılama verilerinin VM 'den yazılabilmesini sağlamak için gereklidir. |
| *.vault.azure.net | Portal aracılığıyla ADE özellikli sanal makineler için çoğaltmayı etkinleştirme erişimine izin verir |
| *. automation.ext.azure.com | Portal aracılığıyla çoğaltılan bir öğe için Mobility aracısının otomatik olarak yükseltilmelerini olanaklı bir şekilde etkinleştirir |
Hizmet etiketlerini kullanarak giden bağlantı
URL 'Leri denetleme dışında, bağlantıyı denetlemek için hizmet etiketlerini de kullanabilirsiniz. Bunu yapmak için önce Azure 'da bir ağ güvenlik grubu oluşturmanız gerekir. Oluşturulduktan sonra, Azure Site Recovery hizmetlerine erişime izin vermek için mevcut hizmet etiketlerinizi kullanmanız ve bir NSG kuralı oluşturmanız gerekir.
Bağlantıyı denetlemek için hizmet etiketlerini kullanmanın avantajları, IP adreslerini kullanarak bağlantı denetimi ile karşılaştırıldığında, hizmetlerimize bağlı kalmak için belirli bir IP adresi üzerinde hiçbir sabit bağımlılık olmayacaktır. Böyle bir senaryoda, hizmetlerimizden birinin IP adresi değişirse, makinelerinizde devam eden çoğaltma bundan etkilenmez. Ancak, sabit kodlanmış IP adreslerine bir bağımlılık, çoğaltma durumunun kritik hale gelmesine ve sistemlerinizi riske koymasına neden olur. Ayrıca, hizmet etiketleri, sabit kodlanmış IP adreslerinden daha iyi güvenlik, kararlılık ve dayanıklılık sağlar.
Giden bağlantıyı denetlemek için NSG kullanılırken, bu hizmet etiketlerine izin verilmesi gerekir.
- Kaynak bölgesindeki depolama hesapları için:
- kaynak bölge için Depolama bir hizmet etiketi tabanlı nsg kuralı oluşturun.
- Bu adreslere, verilerin VM 'den önbellek depolama hesabına yazılabilmeleri için izin verin.
- AAD karşılık gelen tüm ıp adreslerine erişime izin vermek için Azure Active Directory (AAD) bir hizmet etiketi tabanlı nsg kuralı oluşturun
- Hedef bölge için Site Recovery izlemeye erişime izin veren bir EventsHub hizmeti etiketi tabanlı NSG kuralı oluşturun.
- Herhangi bir bölgedeki Site Recovery hizmetine erişime izin vermek için bir Azuresterecoçok hizmet etiketi tabanlı NSG kuralı oluşturun.
- AzureKeyVault Service etiketi tabanlı bir NSG kuralı oluşturun. Bu, yalnızca Portal aracılığıyla ADE özellikli sanal makinelerin çoğaltılmasını etkinleştirmek için gereklidir.
- GuestAndHybridManagement hizmeti etiketi tabanlı NSG kuralı oluşturun. Bu yalnızca Portal aracılığıyla çoğaltılan bir öğe için Mobility aracısının otomatik yükseltmesini etkinleştirmek için gereklidir.
- Gerekli NSG kurallarını bir test NSG üzerinde oluşturmanızı ve bir üretim NSG 'de kuralları oluşturmadan önce hiçbir sorun olmadığını doğrulamanızı öneririz.
Örnek NSG yapılandırması
Bu örnek, bir VM 'nin yinelenmesi için NSG kurallarının nasıl yapılandırılacağını gösterir.
- Giden bağlantıyı denetlemek için NSG kuralları kullanıyorsanız, tüm gerekli IP adresi aralıkları için bağlantı noktası: 443 ' e Izin ver (HTTPS giden) kuralları ' nı kullanın.
- Örnek, VM kaynak konumunun "Doğu ABD" ve hedef konumun "Orta ABD" olduğunu varsayar.
NSG kuralları-Doğu ABD
"Depolama için giden HTTPS (443) güvenlik kuralı oluşturun. Aşağıdaki ekran görüntüsünde gösterildiği gibi NSG 'de EastUS.
Aşağıdaki ekran görüntüsünde gösterildiği gibi NSG 'de "AzureActiveDirectory" için giden HTTPS (443) güvenlik kuralı oluşturun.
Yukarıdaki güvenlik kurallarına benzer şekilde, hedef konuma karşılık gelen NSG 'de "EventHub. Merkezileştirus" için giden HTTPS (443) güvenlik kuralı oluşturun. Bu, Site Recovery izlemeye erişim sağlar.
NSG 'de "Azuresterecovery" için giden bir HTTPS (443) güvenlik kuralı oluşturun. Bu, herhangi bir bölgedeki Site Recovery hizmetine erişim sağlar.
NSG kuralları-Orta ABD
Bu kurallar, çoğaltmanın hedef bölgeden kaynak bölgeye yük devretme sonrası etkinleştirilebilmesi için gereklidir:
"Depolama için giden HTTPS (443) güvenlik kuralı oluşturun. NSG 'de "merkezileştirme".
NSG 'de "AzureActiveDirectory" için giden HTTPS (443) güvenlik kuralı oluşturun.
Yukarıdaki güvenlik kurallarına benzer şekilde, kaynak konuma karşılık gelen NSG 'de "EventHub. EastUS" için giden HTTPS (443) güvenlik kuralı oluşturun. Bu, Site Recovery izlemeye erişim sağlar.
NSG 'de "Azuresterecovery" için giden bir HTTPS (443) güvenlik kuralı oluşturun. Bu, herhangi bir bölgedeki Site Recovery hizmetine erişim sağlar.
Ağ sanal gereç yapılandırması
VM 'lerden giden ağ trafiğini denetlemek için ağ sanal gereçlerini (NVA 'lar) kullanıyorsanız, tüm çoğaltma trafiği NVA üzerinden geçerse gereç azalmasıyla karşılaşabilirsiniz. çoğaltma trafiğinin nva 'ya gitmemesi için "Depolama" için sanal ağınızda bir ağ hizmeti uç noktası oluşturmanız önerilir.
Depolama için ağ hizmeti uç noktası oluşturma
çoğaltma trafiğinin Azure sınırından çıkmadan, "Depolama" için sanal ağınızda bir ağ hizmeti uç noktası oluşturabilirsiniz.
Azure Sanal ağınızı seçin ve ' hizmet uç noktaları ' seçeneğine tıklayın
' Ekle ' seçeneğine tıklayın ve ' hizmet uç noktaları Ekle ' sekmesi açılır
' Microsoft ' ı seçin. ' hizmet ' altında ' Depolama ' ve ' alt ağlar ' alanı altında gerekli alt ağlar ' ekle ' seçeneğine tıklayın.
Not
güvenlik duvarı etkin önbellek depolama hesabı veya hedef depolama hesabı kullanıyorsanız, ' güvenilen Microsoft hizmetleri izin ver '' i doğrulayın. Ayrıca, kaynak VNET 'in en az bir alt ağına erişime izin verdiğinizden emin olun.
Zorlamalı tünel oluşturma
Özel bir rota ile 0.0.0.0/0 adres ön eki için Azure 'un varsayılan sistem yolunu geçersiz KıLABILIR ve VM trafiğini şirket içi ağ sanal gerecine (NVA) yönlendirebilirsiniz, ancak bu yapılandırma Site Recovery çoğaltma için önerilmez. özel yollar kullanıyorsanız, çoğaltma trafiğinin Azure sınırından ayrılmaması için "Depolama" için sanal ağınızda bir sanal ağ hizmeti uç noktası oluşturmanız gerekir.
Sonraki adımlar
- Azure sanal makinelerini çoğaltarakiş yüklerinizi korumaya başlayın.
- Azure sanal makine yük devretmesi için IP adresi saklama hakkında daha fazla bilgi edinin.
- ExpressRoute Ile Azure sanal makinelerininolağanüstü durum kurtarması hakkında daha fazla bilgi edinin.