本文提供了使用 Azure Site Recovery 在不同區(qū)域之間復制和恢復 Azure VM 的網(wǎng)絡指南�����。
本文提供了使用 Azure Site Recovery 在不同區(qū)域之間復制和恢復 Azure VM 的網(wǎng)絡指南。
開始之前
了解 Site Recovery 如何為此方案提供災難恢復��。
典型網(wǎng)絡基礎結(jié)構(gòu)
下圖描繪了 Azure VM 上運行的應用程序的典型 Azure 環(huán)境:
如果使用 Azure ExpressRoute 或從本地網(wǎng)絡到 Azure 的 VPN 連接,則環(huán)境如下:
通常�����,網(wǎng)絡使用防火墻和網(wǎng)絡安全組 (NSG) 進行保護�。 應使用服務標記來控制網(wǎng)絡連接。 NSG 應允許多個服務標記來控制出站連接��。
重要
Site Recovery 不支持使用經(jīng)過身份驗證的代理控制網(wǎng)絡連接��,并且無法啟用復制����。
備注
URL 的出站連接
如果使用基于 URL 的防火墻代理來控制出站連接�����,請允許以下 Site Recovery URL:
使用服務標記的出站連接
使用 NSG 來控制出站連接時,需要允許這些服務標記�����。
對于源區(qū)域中的存儲帳戶:
創(chuàng)建一個基于 Azure Active Directory (AAD) 服務標記的 NSG 規(guī)則以允許訪問與 AAD 對應的所有 IP 地址
為目標區(qū)域創(chuàng)建基于 EventsHub 服務標記的 NSG 規(guī)則�,這樣就可以訪問 Site Recovery 監(jiān)視功能���。
創(chuàng)建基于 AzureSiteRecovery 服務標記的 NSG 規(guī)則���,以允許訪問任何區(qū)域中的 Site Recovery 服務�。
創(chuàng)建基于 AzureKeyVault 服務標記的 NSG 規(guī)則。 僅在通過門戶為支持 ADE 的虛擬機啟用復制時才需要這樣做���。
創(chuàng)建基于 GuestAndHybridManagement 服務標記的 NSG 規(guī)則�����。 僅在通過門戶為復制項啟用移動代理自動升級時才需要這樣做����。
在生產(chǎn) NSG 中創(chuàng)建所需的 NSG 規(guī)則之前,建議先在測試 NSG 中創(chuàng)建這些規(guī)則��,并確保沒有任何問題�。
備注
在 Azure 中國云上使用服務標記創(chuàng)建出站連接時,對于那些“目標服務標記”中未顯示的不受支持的服務標記�,我們可以使用匹配的終結(jié)點 IP 地址創(chuàng)建出站連接,以允許訪問任何區(qū)域中的特定服務����。
例如,當 AzureSiteRecovery 服務標記不支持 Azure 中國的特定區(qū)域時��。 我們可以使用匹配的 AzureSiteRecovery 終結(jié)點 IP 地址來創(chuàng)建出站連接��,以允許訪問任何區(qū)域中的 Site Recovery 服務����。
NSG 配置示例
此示例演示如何為要復制的 VM 配置 NSG 規(guī)則���。
NSG 規(guī)則 - 中國東部
在 NSG 上為“Storage”創(chuàng)建出站 HTTPS (443) 安全規(guī)則���,如以下屏幕截圖所示��。
基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則���,如以下屏幕截圖所示���。
與上述安全規(guī)則類似�,為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則�����,該規(guī)則對應于目標位置���。 這樣就可以訪問 Site Recovery 監(jiān)視功能。
在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。 這樣就可以在任何區(qū)域訪問 Site Recovery 服務�����。
備注
如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務標記����,則可以為對應于目標位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則:
例如:
NSG 規(guī)則 - 中國北部
必須創(chuàng)建這些規(guī)則�,才能在故障轉(zhuǎn)移后啟用從目標區(qū)域到源區(qū)域的復制:
基于 NSG 為“存儲”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。
基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。
與上述安全規(guī)則類似�����,為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則����,該規(guī)則對應于源位置��。 這樣就可以訪問 Site Recovery 監(jiān)視功能�����。
在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則����。 這樣就可以在任何區(qū)域訪問 Site Recovery 服務�����。
備注
如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務標記��,則可以為對應于源位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則:
例如:
網(wǎng)絡虛擬設備配置
如果使用網(wǎng)絡虛擬設備 (NVA) 控制來自 VM 的出站網(wǎng)絡流量�����,則設備可能在所有復制流量通過 NVA 的情況下受到限制�。 我們建議在虛擬網(wǎng)絡中為“存儲”創(chuàng)建一個網(wǎng)絡服務終結(jié)點�,這樣復制流量就不會經(jīng)過 NVA。
為存儲創(chuàng)建網(wǎng)絡服務終結(jié)點
可在虛擬網(wǎng)絡中為“存儲”創(chuàng)建一個網(wǎng)絡服務終結(jié)點��,這樣復制流量就不會離開 Azure 邊界。
選擇 Azure 虛擬網(wǎng)絡并單擊“服務終結(jié)點”����。
單擊“添加”,“添加服務終結(jié)點”選項卡隨即打開
選擇“服務”下的“Microsoft.Storage”和“子網(wǎng)”字段下的所需子網(wǎng)�,并單擊“添加”。
備注
不限制虛擬網(wǎng)絡對用于 ASR 的存儲帳戶的訪問權(quán)限�����。 應允許來自“所有網(wǎng)絡”的訪問
強制隧道
對 0.0.0.0/0 地址前綴���,可將 Azure 默認系統(tǒng)路由重寫為自定義路由�����,并將 VM 流量轉(zhuǎn)換為本地網(wǎng)絡虛擬設備 (NVA)�,但不建議對 Site Recovery 復制使用此配置���。 如果使用自定義路由�����,則應在虛擬網(wǎng)絡中為“存儲”創(chuàng)建一個虛擬網(wǎng)絡服務終結(jié)點��,這樣復制流量就不會離開 Azure 邊界
立即登錄�����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Microsoft�����,本站不擁有所有權(quán)����,不承擔相關(guān)法律責任��。文章內(nèi)容系作者個人觀點�����,不代表快出海對觀點贊同或支持��。如有侵權(quán)���,請聯(lián)系管理員(zzx@kchuhai.com)刪除��!
閩公網(wǎng)安備 35010202001226號
