關(guān)于如何在 Azure VM 災(zāi)難恢復(fù)中聯(lián)網(wǎng)

本文提供了使用 Azure Site Recovery 在不同區(qū)域之間復(fù)制和恢復(fù) Azure VM 的網(wǎng)絡(luò)指南。

開始之前

了解 Site Recovery 如何為此方案提供災(zāi)難恢復(fù)。

典型網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)

下圖描繪了 Azure VM 上運(yùn)行的應(yīng)用程序的典型 Azure 環(huán)境：

如果使用 Azure ExpressRoute 或從本地網(wǎng)絡(luò)到 Azure 的 VPN 連接，則環(huán)境如下：

通常，網(wǎng)絡(luò)使用防火墻和網(wǎng)絡(luò)安全組 (NSG) 進(jìn)行保護(hù)。 應(yīng)使用服務(wù)標(biāo)記來控制網(wǎng)絡(luò)連接。 NSG 應(yīng)允許多個(gè)服務(wù)標(biāo)記來控制出站連接。

 重要

Site Recovery 不支持使用經(jīng)過身份驗(yàn)證的代理控制網(wǎng)絡(luò)連接，并且無法啟用復(fù)制。

 備注

• 不應(yīng)執(zhí)行基于 IP 地址的篩選來控制出站連接。

• 不應(yīng)在 Azure 路由表中添加 Azure Site Recovery IP 地址來控制出站連接。

URL 的出站連接

如果使用基于 URL 的防火墻代理來控制出站連接，請(qǐng)?jiān)试S以下 Site Recovery URL：

使用服務(wù)標(biāo)記的出站連接

使用 NSG 來控制出站連接時(shí)，需要允許這些服務(wù)標(biāo)記。

• 對(duì)于源區(qū)域中的存儲(chǔ)帳戶：

• 為源區(qū)域創(chuàng)建基于存儲(chǔ)服務(wù)標(biāo)記的 NSG 規(guī)則。

• 允許這些地址，才能從 VM 將數(shù)據(jù)寫入到緩存存儲(chǔ)帳戶。

• 創(chuàng)建一個(gè)基于 Azure Active Directory (AAD) 服務(wù)標(biāo)記的 NSG 規(guī)則以允許訪問與 AAD 對(duì)應(yīng)的所有 IP 地址

• 為目標(biāo)區(qū)域創(chuàng)建基于 EventsHub 服務(wù)標(biāo)記的 NSG 規(guī)則，這樣就可以訪問 Site Recovery 監(jiān)視功能。

• 創(chuàng)建基于 AzureSiteRecovery 服務(wù)標(biāo)記的 NSG 規(guī)則，以允許訪問任何區(qū)域中的 Site Recovery 服務(wù)。

• 創(chuàng)建基于 AzureKeyVault 服務(wù)標(biāo)記的 NSG 規(guī)則。 僅在通過門戶為支持 ADE 的虛擬機(jī)啟用復(fù)制時(shí)才需要這樣做。

• 創(chuàng)建基于 GuestAndHybridManagement 服務(wù)標(biāo)記的 NSG 規(guī)則。 僅在通過門戶為復(fù)制項(xiàng)啟用移動(dòng)代理自動(dòng)升級(jí)時(shí)才需要這樣做。

• 在生產(chǎn) NSG 中創(chuàng)建所需的 NSG 規(guī)則之前，建議先在測試 NSG 中創(chuàng)建這些規(guī)則，并確保沒有任何問題。

   備注

  在 Azure 中國云上使用服務(wù)標(biāo)記創(chuàng)建出站連接時(shí)，對(duì)于那些“目標(biāo)服務(wù)標(biāo)記”中未顯示的不受支持的服務(wù)標(biāo)記，我們可以使用匹配的終結(jié)點(diǎn) IP 地址創(chuàng)建出站連接，以允許訪問任何區(qū)域中的特定服務(wù)。

  例如，當(dāng) AzureSiteRecovery 服務(wù)標(biāo)記不支持 Azure 中國的特定區(qū)域時(shí)。 我們可以使用匹配的 AzureSiteRecovery 終結(jié)點(diǎn) IP 地址來創(chuàng)建出站連接，以允許訪問任何區(qū)域中的 Site Recovery 服務(wù)。

• 可以在 Azure IP 范圍和服務(wù)標(biāo)記 - 中國云中按服務(wù)標(biāo)記查找所有匹配的終結(jié)點(diǎn) IP 地址。

NSG 配置示例

此示例演示如何為要復(fù)制的 VM 配置 NSG 規(guī)則。

• 如果使用 NSG 規(guī)則控制出站連接，請(qǐng)對(duì)所有必需的 IP 地址范圍使用端口 443 的“允許 HTTPS 出站”規(guī)則。

• 此示例假設(shè) VM 源位置是“中國東部”，目標(biāo)位置是“中國中部”。

NSG 規(guī)則 - 中國東部

1. 在 NSG 上為“Storage”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，如以下屏幕截圖所示。

   

2. 基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，如以下屏幕截圖所示。

   

3. 與上述安全規(guī)則類似，為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，該規(guī)則對(duì)應(yīng)于目標(biāo)位置。 這樣就可以訪問 Site Recovery 監(jiān)視功能。

4. 在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。 這樣就可以在任何區(qū)域訪問 Site Recovery 服務(wù)。

    備注

   如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務(wù)標(biāo)記，則可以為對(duì)應(yīng)于目標(biāo)位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則：

   例如：

NSG 規(guī)則 - 中國北部

必須創(chuàng)建這些規(guī)則，才能在故障轉(zhuǎn)移后啟用從目標(biāo)區(qū)域到源區(qū)域的復(fù)制：

1. 基于 NSG 為“存儲(chǔ)”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。

2. 基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。

3. 與上述安全規(guī)則類似，為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，該規(guī)則對(duì)應(yīng)于源位置。 這樣就可以訪問 Site Recovery 監(jiān)視功能。

4. 在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。 這樣就可以在任何區(qū)域訪問 Site Recovery 服務(wù)。

    備注

   如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務(wù)標(biāo)記，則可以為對(duì)應(yīng)于源位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則：

   例如：

   

   
   

5. 網(wǎng)絡(luò)虛擬設(shè)備配置

6. 如果使用網(wǎng)絡(luò)虛擬設(shè)備 (NVA) 控制來自 VM 的出站網(wǎng)絡(luò)流量，則設(shè)備可能在所有復(fù)制流量通過 NVA 的情況下受到限制。 我們建議在虛擬網(wǎng)絡(luò)中為“存儲(chǔ)”創(chuàng)建一個(gè)網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)，這樣復(fù)制流量就不會(huì)經(jīng)過 NVA。

7. 為存儲(chǔ)創(chuàng)建網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)

8. 可在虛擬網(wǎng)絡(luò)中為“存儲(chǔ)”創(chuàng)建一個(gè)網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)，這樣復(fù)制流量就不會(huì)離開 Azure 邊界。

9. 選擇 Azure 虛擬網(wǎng)絡(luò)并單擊“服務(wù)終結(jié)點(diǎn)”。

   

10. 單擊“添加”，“添加服務(wù)終結(jié)點(diǎn)”選項(xiàng)卡隨即打開

11. 選擇“服務(wù)”下的“Microsoft.Storage”和“子網(wǎng)”字段下的所需子網(wǎng)，并單擊“添加”。

12.  備注

13. 不限制虛擬網(wǎng)絡(luò)對(duì)用于 ASR 的存儲(chǔ)帳戶的訪問權(quán)限。 應(yīng)允許來自“所有網(wǎng)絡(luò)”的訪問

14. 強(qiáng)制隧道

15. 對(duì) 0.0.0.0/0 地址前綴，可將 Azure 默認(rèn)系統(tǒng)路由重寫為自定義路由，并將 VM 流量轉(zhuǎn)換為本地網(wǎng)絡(luò)虛擬設(shè)備 (NVA)，但不建議對(duì) Site Recovery 復(fù)制使用此配置。 如果使用自定義路由，則應(yīng)在虛擬網(wǎng)絡(luò)中為“存儲(chǔ)”創(chuàng)建一個(gè)虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)，這樣復(fù)制流量就不會(huì)離開 Azure 邊界