關(guān)于如何在 Azure VM 災(zāi)難恢復(fù)中聯(lián)網(wǎng)

來源： Microsoft

作者：Microsoft

時間：2021-08-10

本文提供了使用 Azure Site Recovery 在不同區(qū)域之間復(fù)制和恢復(fù) Azure VM 的網(wǎng)絡(luò)指南。

開始之前

了解 Site Recovery 如何為此方案提供災(zāi)難恢復(fù)。

典型網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)

下圖描繪了 Azure VM 上運(yùn)行的應(yīng)用程序的典型 Azure 環(huán)境：

該圖描繪了 Azure VM 上運(yùn)行的應(yīng)用程序的典型 Azure 環(huán)境。

如果使用 Azure ExpressRoute 或從本地網(wǎng)絡(luò)到 Azure 的 VPN 連接，則環(huán)境如下：

客戶環(huán)境

通常，網(wǎng)絡(luò)使用防火墻和網(wǎng)絡(luò)安全組 (NSG) 進(jìn)行保護(hù)。應(yīng)使用服務(wù)標(biāo)記來控制網(wǎng)絡(luò)連接。 NSG 應(yīng)允許多個服務(wù)標(biāo)記來控制出站連接。

重要

Site Recovery 不支持使用經(jīng)過身份驗證的代理控制網(wǎng)絡(luò)連接，并且無法啟用復(fù)制。

備注

不應(yīng)執(zhí)行基于 IP 地址的篩選來控制出站連接。
不應(yīng)在 Azure 路由表中添加 Azure Site Recovery IP 地址來控制出站連接。

URL 的出站連接

如果使用基于 URL 的防火墻代理來控制出站連接，請允許以下 Site Recovery URL：

微信圖片_20210810150513.png

使用服務(wù)標(biāo)記的出站連接

使用 NSG 來控制出站連接時，需要允許這些服務(wù)標(biāo)記。

對于源區(qū)域中的存儲帳戶：

為源區(qū)域創(chuàng)建基于存儲服務(wù)標(biāo)記的 NSG 規(guī)則。
允許這些地址，才能從 VM 將數(shù)據(jù)寫入到緩存存儲帳戶。

創(chuàng)建一個基于 Azure Active Directory (AAD) 服務(wù)標(biāo)記的 NSG 規(guī)則以允許訪問與 AAD 對應(yīng)的所有 IP 地址
為目標(biāo)區(qū)域創(chuàng)建基于 EventsHub 服務(wù)標(biāo)記的 NSG 規(guī)則，這樣就可以訪問 Site Recovery 監(jiān)視功能。
創(chuàng)建基于 AzureSiteRecovery 服務(wù)標(biāo)記的 NSG 規(guī)則，以允許訪問任何區(qū)域中的 Site Recovery 服務(wù)。
創(chuàng)建基于 AzureKeyVault 服務(wù)標(biāo)記的 NSG 規(guī)則。僅在通過門戶為支持 ADE 的虛擬機(jī)啟用復(fù)制時才需要這樣做。
創(chuàng)建基于 GuestAndHybridManagement 服務(wù)標(biāo)記的 NSG 規(guī)則。僅在通過門戶為復(fù)制項啟用移動代理自動升級時才需要這樣做。
在生產(chǎn) NSG 中創(chuàng)建所需的 NSG 規(guī)則之前，建議先在測試 NSG 中創(chuàng)建這些規(guī)則，并確保沒有任何問題。
備注
在 Azure 中國云上使用服務(wù)標(biāo)記創(chuàng)建出站連接時，對于那些“目標(biāo)服務(wù)標(biāo)記”中未顯示的不受支持的服務(wù)標(biāo)記，我們可以使用匹配的終結(jié)點 IP 地址創(chuàng)建出站連接，以允許訪問任何區(qū)域中的特定服務(wù)。
例如，當(dāng) AzureSiteRecovery 服務(wù)標(biāo)記不支持 Azure 中國的特定區(qū)域時。我們可以使用匹配的 AzureSiteRecovery 終結(jié)點 IP 地址來創(chuàng)建出站連接，以允許訪問任何區(qū)域中的 Site Recovery 服務(wù)。

微信圖片_20210810150845.png

可以在 Azure IP 范圍和服務(wù)標(biāo)記 - 中國云中按服務(wù)標(biāo)記查找所有匹配的終結(jié)點 IP 地址。

NSG 配置示例

此示例演示如何為要復(fù)制的 VM 配置 NSG 規(guī)則。

如果使用 NSG 規(guī)則控制出站連接，請對所有必需的 IP 地址范圍使用端口 443 的“允許 HTTPS 出站”規(guī)則。
此示例假設(shè) VM 源位置是“中國東部”，目標(biāo)位置是“中國中部”。

NSG 規(guī)則 - 中國東部

在 NSG 上為“Storage”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，如以下屏幕截圖所示。
基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，如以下屏幕截圖所示。
與上述安全規(guī)則類似，為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，該規(guī)則對應(yīng)于目標(biāo)位置。這樣就可以訪問 Site Recovery 監(jiān)視功能。
在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。這樣就可以在任何區(qū)域訪問 Site Recovery 服務(wù)。
備注
如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務(wù)標(biāo)記，則可以為對應(yīng)于目標(biāo)位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則：
例如：

微信圖片_20210810150916.png

NSG 規(guī)則 - 中國北部

必須創(chuàng)建這些規(guī)則，才能在故障轉(zhuǎn)移后啟用從目標(biāo)區(qū)域到源區(qū)域的復(fù)制：

基于 NSG 為“存儲”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。
基于 NSG 規(guī)則為“AzureActiveDirectory”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。
與上述安全規(guī)則類似，為 NSG 上的“EventHub”創(chuàng)建出站 HTTPS (443) 安全規(guī)則，該規(guī)則對應(yīng)于源位置。這樣就可以訪問 Site Recovery 監(jiān)視功能。
在 NSG 上為“AzureSiteRecovery”創(chuàng)建出站 HTTPS (443) 安全規(guī)則。這樣就可以在任何區(qū)域訪問 Site Recovery 服務(wù)。
備注
如果 Azure 中國的特定區(qū)域不支持 AzureSiteRecovery 服務(wù)標(biāo)記，則可以為對應(yīng)于源位置的 Site Recovery IP 創(chuàng)建出站 HTTPS (443) 安全規(guī)則：
例如：
網(wǎng)絡(luò)虛擬設(shè)備配置
如果使用網(wǎng)絡(luò)虛擬設(shè)備 (NVA) 控制來自 VM 的出站網(wǎng)絡(luò)流量，則設(shè)備可能在所有復(fù)制流量通過 NVA 的情況下受到限制。我們建議在虛擬網(wǎng)絡(luò)中為“存儲”創(chuàng)建一個網(wǎng)絡(luò)服務(wù)終結(jié)點，這樣復(fù)制流量就不會經(jīng)過 NVA。
為存儲創(chuàng)建網(wǎng)絡(luò)服務(wù)終結(jié)點
可在虛擬網(wǎng)絡(luò)中為“存儲”創(chuàng)建一個網(wǎng)絡(luò)服務(wù)終結(jié)點，這樣復(fù)制流量就不會離開 Azure 邊界。
選擇 Azure 虛擬網(wǎng)絡(luò)并單擊“服務(wù)終結(jié)點”。
單擊“添加”，“添加服務(wù)終結(jié)點”選項卡隨即打開
選擇“服務(wù)”下的“Microsoft.Storage”和“子網(wǎng)”字段下的所需子網(wǎng)，并單擊“添加”。
備注
不限制虛擬網(wǎng)絡(luò)對用于 ASR 的存儲帳戶的訪問權(quán)限。應(yīng)允許來自“所有網(wǎng)絡(luò)”的訪問
強(qiáng)制隧道
對 0.0.0.0/0 地址前綴，可將 Azure 默認(rèn)系統(tǒng)路由重寫為自定義路由，并將 VM 流量轉(zhuǎn)換為本地網(wǎng)絡(luò)虛擬設(shè)備 (NVA)，但不建議對 Site Recovery 復(fù)制使用此配置。如果使用自定義路由，則應(yīng)在虛擬網(wǎng)絡(luò)中為“存儲”創(chuàng)建一個虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點，這樣復(fù)制流量就不會離開 Azure 邊界