Dela via

Replikera lokala maskiner genom att använda privata ändpunkter

Azure Site Recovery låter dig använda Azure Private Link privata slutpunkter för att replikera dina lokala maskiner till ett virtuellt nätverk i Azure. Åtkomst via privata slutpunkter till ett återställningsvalv stöds i alla kommersiella och statliga regioner i Azure.

Anteckning

Automatiska uppgraderingar stöds inte för privata ändpunkter. Läs mer.

Följande diagram visar replikationsarbetsflödet för hybridkatastrofåterställning med privata slutpunkter. Du kan inte skapa privata slutpunkter i ditt lokala nätverk. För att använda privata länkar måste du skapa ett Azure virtuellt nätverk (kallat bypass network i denna artikel), etablera privat anslutning mellan det lokala nätverket och bypass-nätverket, och sedan skapa privata slutpunkter i bypass-nätverket. Du kan välja vilken form av privat anslutning som helst.

Diagram som visar arkitekturen för Azure Site Recovery och privata slutpunkter.

Förutsättningar och varningar

Innan du börjar, notera följande:

  • Privata länkar stöds i Site Recovery 9.35 och senare.
  • Du kan skapa privata slutpunkter endast för nya Recovery Services-valv som inte har några poster registrerade. Du måste därför skapa privata ändpunkter innan några objekt läggs till i valvet. Se Azure Private Link-prissättning för prisinformation.
  • Privat slutpunkt för Recovery Services stöder endast dynamiska IP-adresser. Statiska IP-adresser stöds inte.
  • När du skapar en privat slutpunkt för ett valv blir valvet låst. Det kan endast nås från nätverk som har privata slutpunkter.
  • Microsoft Entra ID stöder för närvarande inte privata slutpunkter. Så du måste tillåta utgående åtkomst från det säkrade Azure-virtuella nätverket till IP-adresser och fullständigt kvalificerade domännamn som krävs för att Microsoft Entra ID ska fungera i en region. Om tillämpligt kan du också använda nätverkssäkerhetsgruppens tagg "Microsoft Entra ID" och Azure Firewall-taggar för att tillåta åtkomst till Microsoft Entra ID.
  • Fem IP-adresser krävs i kringgångsnätverket där du skapar din privata slutpunkt. När du skapar en privat slutpunkt för valvet, skapar Site Recovery fem privata länkar för åtkomst till dess mikrotjänster.
  • För privata slutpunktsanslutningar till ett cachelagringskonto krävs en ytterligare IP-adress i förbikopplingsnätverket. Du kan använda vilken anslutningsmetod som helst mellan den lokala platsen och din lagringskontoändpunkt. Du kan till exempel använda Internet eller Azure ExpressRoute. Att upprätta en privat länk är valfritt. Du kan skapa privata slutpunkter för lagring endast på General Purpose v2-konton. Se Priser för Azure Page Blobs för information om priser för dataöverföring på konton för generell användning v2.

Anteckning

När du konfigurerar privata slutpunkter för att skydda VMware och fysiska maskiner behöver du installera MySQL manuellt på konfigurationsservern. Följ stegen här för att utföra den manuella installationen.

URL:er som ska tillåtas

När du använder den privata länken med moderniserad upplevelse för VMware-virtuella maskiner, behövs offentlig åtkomst för några resurser. Nedan följer alla URL:er som ska inkluderas i tillåtelselistan. Om proxybaserad konfiguration används, ska du kontrollera att proxyn hanterar eventuella CNAME-poster som tagits emot när URL:erna letas upp.

URL Detaljer
portal.azure.com Navigera till Azure-portalen.
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com 		För att logga in på ditt Azure-abonnemang.
*.microsoftonline.com
*.microsoftonline-p.com 		Skapa Microsoft Entra-appar för att apparaten ska kunna kommunicera med Azure Site Recovery.
management.azure.com Används för distributioner och operationer med Azure Resource Manager.
*.siterecovery.windowsazure.com Används för att ansluta till Site Recovery-tjänster.

Se till att följande URL:er är tillåtna och åtkomliga från Azure Site Recovery replikeringsenhet för kontinuerlig anslutning, när replikering till ett statligt moln aktiveras.

URL för Fairfax URL för Mooncake Detaljer
login.microsoftonline.us/*
graph.windows.net 		login.microsoftonline.cn
graph.chinacloudapi.cn		 För att logga in på ditt Azure-abonnemang.
*.portal.azure.us *.portal.azure.cn Navigera till Azure-portalen.
management.usgovcloudapi.net management.chinacloudapi.cn Skapa Microsoft Entra-applikationer för att enheten ska kunna kommunicera med Azure Site Recovery-tjänsten.

Skapa och använd privata slutpunkter för webbplatsåterställning

I följande avsnitt beskrivs de steg du behöver vidta för att skapa och använda privata slutpunkter för platsåterställning i dina virtuella nätverk.

Anteckning

Vi rekommenderar att du följer dessa steg i den visade ordningen. Om du inte gör det, kanske du inte kan använda privata ändpunkter i valvet och kan behöva starta om processen med ett nytt valv.

Skapa ett återställningstjänstvalv

En Recovery Services-valv innehåller information om maskinernas replikering. Den används för att utlösa Site Recovery-åtgärder. Information om hur du skapar ett Recovery Services-valv i Azure-regionen där du vill redundansväxla om det uppstår en katastrof finns i Skapa ett Recovery Services-valv.

Aktivera den hanterade identiteten för valvet

En hanterad identitet gör det möjligt för valvet att få åtkomst till dina lagringskonton. Site Recovery kan behöva komma åt mållagringen och cache-/logglagringskontona, beroende på dina krav. Åtkomst till hanterad identitet krävs när du använder valvets Private Link-tjänst.

  1. Gå till ditt återställningstjänsternas valv. Välj Identitet under Inställningar:

    Skärmbild som visar sidan identitetsinställningar.

  2. Ändra Status till och välj Spara.

    Ett objekt-ID genereras. Valvet är nu registrerat med Microsoft Entra ID.

Skapa privata ändpunkter för återställningstjänsternas valv

För att skydda maskinerna i det lokala källnätverket behöver du en privat slutpunkt för valvet i förbikopplingsnätverket. Du kan skapa den privata slutpunkten med hjälp av Private Link Center i Azure-portalen eller med hjälp av Azure PowerShell.

För att skapa en privat slutpunkt, följ dessa steg:

  1. I Azure-portalen väljer du Skapa en resurs.

  2. Sök i Azure Marketplace efter Private link.

  3. Välj Private Link från sökresultaten och på sidan för Backup och Site Recovery, välj Create.

    Skärmbild som visar sökning i Azure-portalen för Private Link Center.

  4. I den vänstra panelen, välj Private endpoints. På sidan Privata slutpunkter, välj Skapa för att börja skapa en privat slutpunkt för ditt valv.

    Skärmdump som visar hur man skapar en privat slutpunkt i Private Link Center.

  5. På sidan Skapa en privat slutpunkt gör du följande under avsnittet Grundläggande>projektinformation :

    1. Under kategorin Subscription välj Contoso Environment.
    2. I Resursgrupp väljer du en befintlig resursgrupp eller skapar en ny. Till exempel ContosoCloudRG.

  6. På sidan Skapa en privat slutpunkt, under avsnittet Grundläggande>Instansdetaljer, gör följande:

    1. I Namn, ange ett tydligt namn för att identifiera valvet. Till exempel ContosoPrivateEP.
    2. Nätverksgränssnittets namn fylls i automatiskt baserat på ditt namnval i det föregående steget.
    3. I Region, använd den region du använde för bypass-nätverket. Till exempel (Europa) Storbritannien, södra.
    4. Välj Nästa.

    Skärmdump som visar fliken Grundläggande för att skapa en privat slutpunkt.

  7. På avsnittet Resurs, gör följande:

    1. I Anslutningsmetod, välj Anslut till en Azure-resurs i min katalog.
    2. I Subscription, välj Contoso Environment.
    3. I Resurstyp för din valda prenumeration, välj Microsoft.RecoveryServices/vaults.
    4. Välj namnet på recovery services-valvet under Resurs.
    5. Välj AzureSiteRecovery som målunderresurs.
    6. Välj Nästa.

    Skärmdump som visar Resursfliken för att länka till en privat slutpunkt.

  8. På avsnittet Virtuellt nätverk, gör följande:

    1. Under Virtuellt nätverk, välj ett förbikopplingsnätverk.
    2. Under Subnet, ange det undernät där du vill att den privata slutpunkten ska skapas.
    3. Under Privat IP-konfiguration behåller du standardvalet.
    4. Välj Nästa.

    Skärmbild som visar fliken Virtuellt nätverk för länkning till en privat slutpunkt.

  9. DNS-sektionen, gör följande:

    1. Aktivera integration med en privat DNS-zon genom att välja Ja.

      Anteckning

      Genom att välja Ja länkas zonen automatiskt till förbikopplingsnätverket. Den här åtgärden lägger också till DNS-poster som krävs för DNS-upplösning av nya IP-adresser och fullt kvalificerade domännamn som har skapats för den privata slutpunkten.

    2. Välj en befintlig DNS-zon eller skapa en ny.

    Se till att du väljer att skapa en ny DNS-zon för varje nytt privat slutpunkt som ansluter till samma valv. Om du väljer en befintlig privat DNS-zon skrivs de tidigare CNAME-posterna över. Se vägledning för privat slutpunkt innan du fortsätter.

    Om din miljö har en nav- och ekermodell behöver du bara en privat slutpunkt och endast en privat DNS-zon för hela installationen. Detta beror på att alla dina virtuella nätverk redan har aktiverad peering mellan dem. För mer information, se Private endpoint DNS integration.

    För att manuellt skapa den privata DNS-zonen, följ stegen i Skapa privata DNS-zoner och lägg till DNS-poster manuellt.

    Skärmdump som visar konfigurationsfliken för konfigurationen av en privat slutpunkt.

  10. På avsnittet Taggar kan du lägga till taggar för din privata slutpunkt.

  11. Granska + skapa. När valideringen är klar, välj Skapa för att skapa den privata slutpunkten.

När den privata slutpunkten skapas, läggs fem fullständigt kvalificerade domännamn (FQDN) till den privata slutpunkten. Dessa länkar gör det möjligt för maskinerna i det lokala nätverket att via förbikopplingsnätverket få tillgång till alla nödvändiga Site Recovery-mikrotjänster i valvets sammanhang. ** Du kan använda samma privata slutpunkt för att skydda vilken Azure-maskin som helst i bypass-nätverket och alla sammanlänkade nätverk.

De fem domännamnen är formaterade enligt detta mönster:

{Vault-ID}-asr-pod01-{type}.{target-geo-code}.privatelink.siterecovery.windowsazure.com

Godkänn privata ändpunkter för sajtåterställning

Om du skapar den privata slutpunkten och du också är ägare till Recovery Services-valvet, godkänns den privata slutpunkten som du skapade tidigare automatiskt inom några minuter. Annars måste ägaren av valvet godkänna den privata ändpunkten innan du kan använda den. För att godkänna eller avvisa en begärd privat slutpunktanslutning, gå till Privata slutpunktanslutningar under Inställningar på återställningsvalvssidan.

Du kan gå till den privata ändpunktsresursen för att granska statusen för anslutningen innan du fortsätter.

Skärmdump som visar sidan för privata slutpunktanslutningar i valvet och listan över anslutningar.

(Valfritt) Skapa privata ändpunkter för cachelagringskontot

Du kan använda en privat slutpunkt för Azure Storage. Att skapa privata slutpunkter för åtkomst till lagring är valfritt för replikering med Azure Site Recovery. Om du skapar en privat slutpunkt för lagring behöver du en privat slutpunkt för cache-/logglagringskontot i ditt virtuella nätverk för undantag.

Anteckning

Om privata slutpunkter inte är aktiverade på lagringskontot skulle skyddet ändå lyckas. Replikeringstrafiken skulle dock passera via internet till allmänna ändpunkter för Azure Site Recovery. För att säkerställa att replikeringstrafik flödar via privata länkar måste lagringskontot aktiveras med privata slutpunkter.

Anteckning

Privata slutpunkter för lagring kan skapas endast på General Purpose v2-lagringskonton. För prisinformation, se priser för Azure Page Blobs.

Följ anvisningarna för att skapa privat lagring för att skapa ett lagringskonto med en privat slutpunkt. Se till att välja Ja under Integrera med privat DNS-zon. Välj en befintlig DNS-zon eller skapa en ny.

Bevilja nödvändiga behörigheter till valvet

Beroende på din konfiguration kan du behöva ett eller flera lagringskonton i den målade Azure-regionen. Bevilja sedan de hanterade identitetsbehörigheterna för alla cache-/logglagringskonton som krävs av Site Recovery. I det här fallet måste du skapa de nödvändiga lagringskontona i förväg.

Innan du aktiverar replikering av virtuella maskiner måste den hanterade identiteten för valvet ha följande rollbehörigheter, beroende på typen av lagringskonto.

Följande steg beskriver hur du lägger till en rolltilldelning till ditt lagringskonto. För detaljerade steg, se Tilldela Azure-roller med Azure-portalen.

  1. Gå till lagringskontot.

  2. Välj Åtkomstkontroll (IAM).

  3. Välj Lägg till > Lägg till rolltilldelning.

    Skärmbild som visar sidan Åtkomstkontroll (IAM) med menyn Lägg till rolltilldelning öppen.

  4. På fliken Roller väljer du en av de roller som listas i början av den här sektionen.

  5. På fliken Medlemmar väljer du Hantera identitet, och sedan väljer du Välj medlemmar.

  6. Välj din Azure-prenumeration.

  7. Välj systemtilldelad hanterad identitet, sök efter ett valv, och välj det sedan.

  8. På fliken Granska + tilldela, välj Granska + tilldela för att tilldela rollen.

Förutom dessa behörigheter måste du tillåta åtkomst till Microsofts betrodda tjänster. För att göra detta, följ dessa steg:

  1. Gå till brandväggar och virtuella nätverk.
  2. I Undantag, välj Tillåt betrodda Microsoft-tjänster att komma åt detta lagringskonto.

Skydda dina virtuella maskiner

Efter att du har avslutat de föregående uppgifterna, fortsätt med installationen av din lokala infrastruktur. Fortsätt genom att utföra någon av följande uppgifter:

När installationen är klar, aktivera replikering för dina källmaskiner. Konfigurera inte infrastrukturen förrän de privata slutpunkterna för valvet har skapats i förbikopplingsnätverket.

Skapa privata DNS-zoner och lägg till DNS-poster manuellt

Om du inte valde alternativet att integrera med en privat DNS-zon när du skapade den privata slutpunkten för valvet, följ stegen i den här sektionen.

Skapa en privat DNS-zon för att låta Site Recovery-leverantören (för Hyper-V-maskiner) eller Process Server (för VMware/fysiska maskiner) lösa privata FQDN till privata IP-adresser.

  1. Skapa en privat DNS-zon.

    1. Sök efter privat DNS-zon i sökrutan Alla tjänster och välj sedan Privat DNS-zon i resultaten:

      Skärmdump som visar sökning efter privat DNS-zon på den nya resurssidan i Azure-portalen.

    2. På sidan för Privata DNS-zoner väljer du knappen Lägg till för att börja skapa en ny zon.

    3. På sidan Skapa privat DNS-zon, ange de nödvändiga uppgifterna. Ange privatelink.siterecovery.windowsazure.com som namnet på den privata DNS-zonen. Du kan välja vilken resursgrupp och vilken prenumeration som helst.

      Skärmdump som visar fliken Grunder i sidan Skapa privat DNS-zon.

    4. Fortsätt till fliken Granska + skapa för att granska och skapa DNS-zonen.

    5. Om du använder moderniserad arkitektur för skydd av VMware- eller fysiska datorer måste du skapa en annan privat DNS-zon för privatelink.prod.migration.windowsazure.com. Den här slutpunkten används av Site Recovery för att utföra identifieringen av den lokala miljön.

      Viktigt

      För användare av Azure GOV, lägg till privatelink.prod.migration.windowsazure.us i DNS-zonen.

  2. För att länka den privata DNS-zonen till ditt virtuella nätverk, följ dessa steg:

    1. Gå till den privata DNS-zon som du skapade i föregående steg och gå sedan till Länkar till virtuellt nätverk i den vänstra rutan. Välj Lägg till.

    2. Ange nödvändig information. I listan Prenumeration och Virtuellt nätverk väljer du information som motsvarar förbikopplingsnätverket. Lämna standardvärdena i de andra fälten.

      Skärmdump som visar sidan Lägg till virtuell nätverkslänk.

  3. Lägg till DNS-poster.

    Nu när du har skapat den nödvändiga privata DNS-zonen och den privata slutpunkten, måste du lägga till DNS-poster i din DNS-zon.

    Anteckning

    Om du använder en anpassad privat DNS-zon bör du göra liknande poster enligt beskrivningen i följande steg.

    I det här steget måste du göra poster för varje FQDN i din privata slutpunkt i din privata DNS-zon.

    1. Gå till din privata DNS-zon och gå sedan till avsnittet Översikt i den vänstra panelen. Välj Record set för att börja lägga till poster.

    2. På sidan Lägg till postset, lägg till en post för varje fullständigt kvalificerat domännamn och privat IP som en A-typ post. Du kan få en lista över de fullständigt kvalificerade domännamnen och IP-adresserna på sidan Private Endpoint under Översikt. Som du kan se i följande skärmdump, läggs det första fullständigt kvalificerade domännamnet från den privata ändpunkten till i postuppsättningen i den privata DNS-zonen.

      Dessa fullt kvalificerade domännamn matchar detta mönster: {Vault-ID}-asr-pod01-{type}.{target-geo-code}.siterecovery.windowsazure.com

      Skärmdump som visar sidan Lägg till postuppsättning.

Nästa steg

Nu när du har aktiverat privata slutpunkter för replikering av virtuella datorer kan du läsa följande andra artiklar för ytterligare och relaterad information: