Dela via

Replikera maskiner med privata nätverksändpunkter

Azure Site Recovery möjliggör för dig att använda privata slutpunkter med Azure Private Link för att replikera dina maskiner inifrån ett isolerat virtuellt nätverk. Privat slutpunktåtkomst till en återställningsvalv stöds i alla kommersiella och statliga Azure-regioner.

Den här artikeln ger instruktioner för att utföra följande steg:

  • Skapa ett Azure Backup Recovery Services valv för att skydda dina maskiner.
  • Aktivera en hanterad identitet för valvet och tilldela de nödvändiga rättigheterna för att få åtkomst till kundernas lagringskonton för att replikera trafik från käll- till måladestinationer. Hanterad identitetsåtkomst för lagring är nödvändig när du ställer in Private Link-åtkomst till valvet.
  • Gör de DNS-ändringar som krävs för privata slutpunkter
  • Skapa och godkänn privata ändpunkter för ett valv i ett virtuellt nätverk
  • Skapa privata ändpunkter för lagringskonton. Du kan fortsätta att tillåta offentlig eller brandväggsbegränsad åtkomst för lagring efter behov. Det är inte obligatoriskt att skapa en privat slutpunkt för att få tillgång till lagring i Azure Site Recovery.

Följande är en referensarkitektur för hur replikeringsarbetsflödet förändras med privata ändpunkter.

Referensarkitektur för Site Recovery med privata slutpunkter.

Förutsättningar och varningar

  • Privata slutpunkter:
    • Privata ändpunkter kan endast skapas för nya Recovery Services-valv som inte har några objekt registrerade till valvet. Således måste privata slutpunkter skapas innan några objekt läggs till i valvet. Gå igenom prissättningsstrukturen för privata ändpunkter.
    • Privat slutpunkt för Recovery Services stöder endast dynamiska IP-adresser. Statiska IP-adresser stöds inte.
    • När en privat slutpunkt skapas för ett valv, låses valvet ner och är inte tillgängligt från andra nätverk än de som har privata slutpunkter.
    • Privata ändpunkter för lagring kan endast skapas på typen General Purpose v2. Granska prisstrukturen för datatransfer på GPv2.
  • Microsoft Entra-ID stöder för närvarande inte privata slutpunkter. IP-adresser och fullständigt kvalificerade domännamn som krävs för att Microsoft Entra ID ska fungera i en region måste få tillåtelse att ha utgående åtkomst från det säkrade nätverket. Du kan också använda nätverkssäkerhetsgruppstaggen Azure Active Directory och Azure Firewall-taggar för att tillåta åtkomst till Microsoft Entra ID, när så är tillämpligt.
  • IP-adresser:
    • Minst nio IP-adresser krävs i delnäten för både dina källmaskiner och dina återställningsmaskiner. När du skapar en privat slutpunkt för valvet, skapar Site Recovery fem privata länkar för att ge åtkomst till sina mikrotjänster. När du aktiverar replikeringen läggs det till två ytterligare privata länkar för parningen av källa- och målområde.
    • Ett ytterligare IP-adress krävs i både källa och återställnings subnät. Denna IP-adress behövs endast när du behöver använda privata slutpunkter som ansluter till cachelagringskonton.

Skapa och använda privata ändpunkter för Site Recovery

Detta avsnitt handlar om stegen som ingår i att skapa och använda privata slutpunkter för Azure Site Recovery inom dina virtuella nätverk.

Anteckning

Det är starkt rekommenderat att du följer dessa steg i samma ordning som de ges. Underlåtenhet att göra detta kan leda till att valvet inte kan använda privata ändpunkter och kräva att du startar om processen med ett nytt valv.

Skapa ett återställningstjänstsvalv

Ett återställningstjänstvalv är en enhet som innehåller replikationsinformation om maskiner och används för att initiera återställningsoperationer på plats. För mer information, se Create a Recovery Services vault.

Aktivera den hanterade identiteten för valvet

En hanterad identitet tillåter valvet att få tillgång till kundens lagringskonton. Site Recovery måste ha tillgång till källagring, mållagring och cache-/loggningslagringskonton beroende på scenariokravet. Hanterad identitetsåtkomst är avgörande när du använder tjänsten för privata länkar till valvet.

  1. Gå till ditt återställningstjänsternas valv. Välj Identitet under Inställningar.

    Visar Azure-portalen och återställningstjänstsidan.

    Anteckning

    System- och användartilldelad administrerad identitet stöds i Recovery Services-valv.

  2. Ändra Status till och välj Spara.

  3. En Objekt-ID genereras vilket indikerar att valvet nu är registrerat hos Azure Active Directory.

Skapa privata ändpunkter för Recovery Services-valvet

För att möjliggöra både failover och failback för virtuella maskiner i Azure behöver du två privata slutpunkter för valvet. Ett privat slutpunkt för skydd av maskiner i källnätverket och en annan för återställande av failover-maskiner i återställningsnätverket.

Se till att du skapar ett återställningsvirtuellt nätverk i din målregion också under den här installationsprocessen.

Anteckning

För närvarande kan du inte konfigurera ett Automation-konto för att använda privata slutpunkter för automatisk agentuppgradering. Den här konfigurationen kräver att du konfigurerar en privat slutpunkt för valvet, men automationskontots molnjobb kan inte komma åt Azure-resurser som skyddas med privata slutpunkter.

Skapa den första privata slutpunkten för ditt valv inom ditt ursprungs virtuella nätverk genom att använda Private Link Center i portalen eller via Azure PowerShell. Skapa den andra privata slutpunkten för valvet i ditt återhämtningsnätverk. Följande är stegen för att skapa den privata slutpunkten i källnätverket. Upprepa samma vägledning för att skapa den andra privata slutpunkten.

  1. I sökfältet i Azure-portalen, sök efter och välj "Private Link". Denna åtgärd tar dig till Private Link Center.

    Visar sökning i Azure-portalen för Private Link Center.

  2. I det vänstra navigeringsfältet väljer du Privata slutpunkter. När du är på sidan Private Endpoints, välj +Lägg till för att börja skapa en privat slutpunkt för ditt valv.

    Visar hur man skapar en privat slutpunkt i Private Link Center.

  3. När du är i upplevelsen "Skapa Privat Slutpunkt", måste du ange detaljer för att skapa din privata slutpunktanslutning.

    1. Grunder: Fyll i de grundläggande detaljerna för dina privata slutpunkter. Regionen bör vara densamma som källmaskinerna.

      Visar fliken Grundläggande, projektinformation, prenumeration och andra relaterade fält för att skapa en privat slutpunkt i Azure-portalen.

    2. Resurs: Den här fliken kräver att du anger vilken plattform-som-en-tjänst-resurs du vill skapa anslutningen för. Välj Microsoft.RecoveryServices/vaults från Resurstyp för din valda prenumeration. Sedan, välj namnet på din Recovery Services-valv för Resurs och ange Azure Site Recovery som målunderresurs.

      Visar fälten Resursflik, resurstyp, resurs och målunderresurs för länkning till en privat slutpunkt i Azure-portalen.

    3. Konfiguration: I konfigurationen, ange det virtuella nätverket och delnätet där du vill att den privata ändpunkten ska skapas. Det här virtuella nätverket är det nätverk där den virtuella datorn finns. Aktivera integration med privat DNS-zon genom att välja Ja. Välj en redan skapad DNS-zon eller skapa en ny. Att välja Ja länkar automatiskt zonen till det ursprungliga virtuella nätverket och lägger till de DNS-poster som krävs för DNS-upplösning av nya IP-adresser och fullständigt kvalificerade domännamn som skapas för den privata ändpunkten.

      Se till att du väljer att skapa en ny DNS-zon för varje ny privat slutpunkt som ansluter till samma valv. Om du väljer en befintlig privat DNS-zon skrivs de tidigare CNAME-posterna över. Se Private endpoint guidance innan du fortsätter.

      Om din miljö har en nav- och eker-modell, behöver du endast en privat slutpunkt och endast en privat DNS-zon för hela uppsättningen eftersom alla dina virtuella nätverk redan har aktiverat peering mellan dem. För mer information, se Integration av privata slutpunkt DNS.

      För att skapa den privata DNS-zonen manuellt, följ stegen i Skapa privata DNS-zoner och lägg till DNS-poster manuellt.

      Visar fliken Konfiguration med fält för nätverks- och DNS-integration för konfiguration av en privat slutpunkt i Azure-portalen.

    4. Taggar: Du kan också lägga till taggar för din privata slutpunkt.

    5. Granska + skapa: När valideringen är klar, välj Skapa för att skapa den privata slutpunkten.

När den privata slutpunkten har skapats läggs fem fullständigt kvalificerade domännamn till i den privata slutpunkten. Dessa länkar gör det möjligt för maskinerna i det virtuella nätverket att få tillgång till alla nödvändiga Site Recovery-mikrotjänster inom ramen för valvet. Senare, när du aktiverar replikeringen, läggs ytterligare två fullständigt kvalificerade domännamn till i samma privata slutpunkt.

De fem domännamnen är formaterade med följande mönster:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Godkänn privata ändpunkter för platsåterställning

Om användaren som skapar den privata slutpunkten också är ägare till Recovery Services-valvet godkänns den privata slutpunkten som skapades ovan automatiskt inom några minuter. Annars måste valvets ägare godkänna den privata slutpunkten innan du kan använda den. Om du vill godkänna eller avvisa en begärd privat slutpunktsanslutning går du till Privata slutpunktsanslutningar under "Inställningar" på sidan återställningsvalv.

Du kan gå till den privata slutpunktsresursen för att granska anslutningens status innan du fortsätter.

Visar sidan för privata slutpunktsanslutningar i valvet och listan över anslutningar i Azure-portalen.

(Valfritt) Skapa privata slutpunkter för cachelagringskontot

En privat slutpunkt till Azure Storage kan användas. Att skapa privata ändpunkter för lagringsåtkomst är valfritt för Azure Site Recovery-replikering. När du skapar en privat slutpunkt för lagring tillämpas följande krav:

  • Du behöver en privat slutpunkt för cache-/logglagringskontot i ditt källvirtuala nätverk.
  • Du behöver en andra privat slutpunkt vid tidpunkten för återprofilering av de överförda maskinerna i återställningsnätverket. Denna privata slutpunkt är för det nya lagringskonto som skapats i målets region.

Anteckning

Om privata slutpunkter inte är aktiverade på lagringskontot, skulle skyddet fortfarande lyckas. Däremot skulle replikeringstrafiken övergå till Azure Site Recoverys offentliga slutpunkter. För att säkerställa att replikeringstrafik går via privata länkar måste lagringskontot aktiveras med privata slutpunkter.

Privat slutpunkt för lagring kan bara skapas på General Purpose v2 lagringskonton. För prisinformation, se Standardpriser för sidblobbar.

För Cache Storage-kontot fungerar det korrekt att tilldela en Privat Endpoint (PE) till cachelagringskontot och lägga till en statisk IP om källmaskinen behåller en nätverkets siktlinje. Det här gäller inte för Site Recovery.

Följ vägledning för skapande av privat lagring för att skapa ett lagringskonto med privat slutpunkt. Se till att välja Ja för integrering med en privat DNS-zon. Välj en redan skapad DNS-zon eller skapa en ny.

Bevilja erforderliga behörigheter till valvet

Om dina virtuella maskiner använder hanterade diskar behöver du ge den hanterade identiteten behörighet endast till cache-lagringskontona. Om de virtuella datorerna använder ohanterade diskar måste du bevilja de hanterade identitetsbehörigheterna för käll-, cache- och mållagringskonton. I det här fallet måste du skapa det målkonton för lagring i förväg.

Innan replikering av virtuella maskiner aktiveras måste valvets hanterade identitet ha följande rollbehörigheter beroende på typen av lagringskonto:

Följande steg beskriver hur du lägger till en rolltilldelning till dina lagringskonton, ett i taget. För detaljerade steg, se Tilldela Azure-roller med hjälp av Azure-portalen.

  1. I Azure-portalen navigerar du till det cachelagringskonto du skapade.

  2. Välj Åtkomstkontroll (IAM).

  3. Välj Lägg till > Lägg till rolltilldelning.

    Skärmdump som visar åtkomstkontroll (IAM)-sidan med menyn för att lägga till rolltilldelning öppen.

  4. På fliken Roll väljer du en av rollerna som finns listade i början av det här avsnittet.

  5. På fliken Medlemmar, välj Hanterad identitet, och välj sedan Välj medlemmar.

  6. Välj din Azure-prenumeration.

  7. Välj Systemtilldelad hanterad identitet, sök efter ett valv och välj sedan det.

  8. På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.

Förutom dessa behörigheter måste du tillåta åtkomst till Microsofts betrodda tjänster. Gör det genom att följa dessa steg:

  1. Gå till brandväggar och virtuella nätverk.

  2. I Undantag väljer du Tillåt betrodda Microsoft-tjänster att få åtkomst till detta lagringskonto.

Skydda dina virtuella maskiner

När alla ovanstående konfigurationer har slutförts fortsätter du med att aktivera replikering för dina virtuella datorer. Alla Site Recovery-operationer fungerar utan några extra steg om DNS-integrering användes vid skapandet av privata ändpunkter på valvet. Men om DNS-zonerna är manuellt skapade och konfigurerade, behöver du ytterligare steg för att lägga till specifika DNS-poster i både käll- och mål-DNS-zonerna efter att ha aktiverat replikeringen. Mer information och steg finns i Skapa privata DNS-zoner och lägg till DNS-poster manuellt.

Skapa privata DNS-zoner och lägg till DNS-poster manuellt

Om du inte valde alternativet att integrera med en privat DNS-zon när du skapade en privat slutpunkt för valvet följer du stegen i det här avsnittet.

Skapa en privat DNS-zon för att tillåta mobilitetsagenten att lösa privatlänkens fullständigt kvalificerade domännamn till privata IP:er.

  1. Skapa en privat DNS-zon

    1. Sök efter "Privat DNS-zon" i sökfältet Alla tjänster och välj "Privata DNS-zoner" från rullgardinsmenyn.

      Visar sökning efter 'privat DNS-zon' på sidan för nya resurser i Azure-portalen.

    2. När du befinner dig på sidan "Privata DNS-zoner" väljer du knappen +Lägg till för att börja skapa en ny zon.

    3. På sidan "Skapa privat DNS-zon" fyller du i de obligatoriska uppgifterna. Ange namnet på den privata DNS-zonen som privatelink.siterecovery.windowsazure.com. Du kan välja vilken resursgrupp och prenumeration som helst för att skapa den.

      Visar fliken Grundläggande på sidan Skapa privat DNS-zon och relaterade projektuppgifter i Azure-portalen.

    4. Fortsätt till fliken Granska + skapa för att granska och skapa DNS-zonen.

  2. Länka privat DNS-zon till ditt virtuella nätverk

    De privata DNS-zoner som skapats ovan måste nu länkas till det virtuella nätverk där dina servrar för närvarande befinner sig. Du måste också länka den privata DNS-zonen till det målsatta virtuella nätverket i förväg.

    1. Gå till den privata DNS-zonen som du skapade i föregående steg och navigera till Virtuella nätverkslänkar på vänster sida av sidan. När du är där, välj knappen +Lägg till.

    2. Fyll i de obligatoriska uppgifterna. Fälten för prenumeration och virtuellt nätverk måste fyllas i med motsvarande information om det virtuella nätverket där dina servrar finns. De andra fälten måste lämnas som de är.

      Visar sidan för att lägga till en virtuell nätverkslänk med länknamn, prenumeration och relaterat virtuellt nätverk i Azure-portalen.

  3. Lägg till DNS-poster

    När du har skapat de nödvändiga privata DNS-zonerna och de privata ändpunkterna, behöver du lägga till DNS-poster i dina DNS-zoner.

    Anteckning

    Om du använder en anpassad privat DNS-zon, se till att liknande poster görs enligt vad som diskuteras nedan.

    Detta steg kräver att du gör poster för varje fullständigt kvalificerat domännamn i din privata slutpunkt i din privata DNS-zon.

    1. Gå till din privata DNS-zon och navigera till avsnittet Översikt på vänster sida av sidan. Väl där, välj +Record set för att börja lägga till poster.

    2. På sidan "Lägg till postuppsättning" som öppnas, lägg till en post för varje fullständigt kvalificerat domännamn och privat IP som en A-typ post. Listan över fullständigt kvalificerade domännamn och IP-adresser kan erhållas från sidan "Privat slutpunkt" i Översikt. Som visas i exemplet nedan läggs det första fullständigt kvalificerade domännamnet från den privata slutpunkten till i postuppsättningen i den privata DNS-zonen.

      Dessa fullständigt kvalificerade domännamn matchar mönstret: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

      Visar sidan för att lägga till en DNS A-typ post för det fullständigt kvalificerade domännamnet till den privata slutpunkten i Azure-portalen.

    Anteckning

    När du aktiverar replikering skapas två ytterligare fullständigt kvalificerade domännamn på de privata ändpunkterna i båda regionerna. Se till att du också lägger till DNS-poster för dessa nyss skapade fullständigt kvalificerade domännamn. Statisk IP för privat slutpunkt för Azure Site Recovery stöds inte.

Nästa steg

Nu när du har aktiverat privata slutpunkter för din virtuella maskinreplikering, se dessa andra sidor för ytterligare och relaterad information: