教程:为 Azure VM 设置灾难恢复
本教程介绍如何使用 Azure Site Recovery 为 Azure VM 设置灾难恢复。 在本文中,学习如何:
- 验证 Azure 设置和权限
- 准备要复制的 VM
- 创建恢复服务保管库
- 启用 VM 复制
为 VM 启用复制以设置灾难恢复时,将在 VM 上安装 Site Recovery 出行服务扩展并使用 Azure Site Recovery 注册它。 在复制过程中,系统会将 VM 磁盘写入发送到源区域中的缓存存储帐户。 数据从那里发送到目标区域,并根据数据生成恢复点。 在灾难恢复过程中对 VM 进行故障转移时,将使用恢复点来还原目标区域中的 VM。 详细了解此体系结构。
备注
教程提供了最简单的默认设置的说明。 如果要使用自定义的设置来设置 Azure VM 灾难恢复,请查看这篇文章。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
开始本教程前,请执行以下操作:
- 查看支持的区域。
- 需要一个或多个 Azure VM。 验证 Windows 或 Linux VM 是否受支持。
- 查看 VM 计算、存储和网络要求。
- 本教程假定 VM 未加密。 如果要为加密的 VM 设置灾难恢复,请按照本文进行操作。
检查目标区域中的权限和设置。
Azure 帐户需要某些权限才能创建恢复服务保管以及在目标区域中创建 VM。
- 如果你刚刚创建了 Azure 订阅,则你是帐户管理员,无需执行任何其他操作。
- 如果你不是管理员,请联系管理员获取所需的权限。
- Microsoft Entra ID:用于启用复制的应用程序所有者和应用程序开发人员角色。
- 创建保管库:针对订阅的管理员或所有者权限。
- 管理保管库中的 Site Recovery 操作:Site Recovery 参与者内置的 Azure 角色。
- 在目标区域创建 Azure VM:内置参与者虚拟机角色或特定权限,用于:
- 在所选虚拟网络中创建 VM。
- 写入 Azure 存储帐户。
- 写入 Azure 托管磁盘。
在灾难恢复过程中,从源区域进行故障转移时,将在目标区域中创建 VM。
检查订阅在目标区域中是否有足够的资源。 需要能够创建大小与源区域中的 VM 匹配的 VM。 设置灾难恢复时,Site Recovery 会为目标 VM 选择相同的大小(或尽可能接近的大小)。
确保 VM 具有出站连接和最新的根证书。
要复制的 VM 需要出站网络连接。
备注
Site Recovery 不支持使用身份验证代理来控制网络连接。
如果使用基于 URL 的防火墙代理来控制出站连接,请允许访问以下 URL:
| 名称 | Azure 中国世纪互联 | 说明 |
|---|---|---|
| 存储 | *.blob.core.chinacloudapi.cn |
允许将数据从 VM 写入源区域中的缓存存储帐户。 |
| Microsoft Entra ID | login.chinacloudapi.cn |
向 Site Recovery 服务 URL 提供授权和身份验证。 |
| 复制 | *.hypervrecoverymanager.windowsazure.cn |
允许 VM 与 Site Recovery 服务进行通信。 |
| 服务总线 | *.servicebus.chinacloudapi.cn |
允许 VM 写入 Site Recovery 监视和诊断数据。 |
如果使用网络安全组 (NSG) 来控制连接,请创建基于服务标记的 NSG 规则,这些规则允许这些服务标记(IP 地址组)的 HTTPS 出站连接到端口 443:
| 标记 | 允许 |
|---|---|
| 存储标记 | 允许将数据从 VM 写入缓存存储帐户。 |
| Microsoft Entra ID 标记 | 允许访问对应于 Microsoft Entra ID 的所有 IP 地址。 |
| EventsHub 标记 | 允许访问 Site Recovery 监视。 |
| AzureSiteRecovery 标记 | 允许在任何区域访问 Site Recovery 服务。 |
| GuestAndHybridManagement 标记 | 如果要自动升级在为复制启用的 VM 上运行的 Site Recovery 移动代理,请使用此标记。 |
详细了解所需的标记和标记示例。
Azure Site Recovery 移动代理使用 Azure 实例元数据服务 (IMDS) 获取虚拟机安全类型。 VM 与 IMDS 之间的通信绝不会离开主机。 确保在使用任何代理时绕过 IP 169.254.169.254。
检查 VM 是否具有最新的根证书。 否则,由于安全限制,无法使用 Site Recovery 注册 VM。
- Windows VM:在 VM 上安装所有最新的 Windows 更新,使所有受信任的根证书保留在该计算机上。 在离线环境中,请遵循 Windows 更新和证书更新的标准过程。
- Linux VM:按照 Linux 分销商提供的指导,获取最新的受信任的根证书和证书吊销列表 (CRL)。
在任何区域中创建恢复服务保管库,但要从中复制 VM 的源区域除外。
登录到 Azure 门户。
在搜索框中,键入“recovery”。 在“服务”下,选择“恢复服务保管库” 。
在“恢复服务保管库”中,选择“添加” 。
在“创建恢复服务保管库”>“基础”中,选择要在其中创建保管库的订阅 。
在“资源组”中,为保管库选择现有的资源组,或创建新的资源组。
在“保管库名称”中,指定一个易记名称以标识该保管库。
在“区域”中,选择要在其中放置保管库的 Azure 区域。 检查支持的区域。
选择“查看 + 创建”。
在“查看 + 创建”中,选择“创建” 。
开始部署保管库。 在通知中跟踪进度。
部署保管库后,选择“固定到仪表板”以保存该保管库,以供快速参考。 选择“转到资源”,打开新的保管库。
在保管库设置中,选择“启用 Site Recovery”。
选择源设置,然后启用 VM 复制。
在保管库 >“Site Recovery”页的“Azure 虚拟机”下,选择“启用复制”。
在“启用复制”页的“源”选项卡下,执行以下操作:
区域:选择当前正在运行 VM 的源 Azure 区域。
订阅:选择 VM 正在运行的订阅。 可以选择与保管库位于同一 Microsoft Entra 租户中的任何订阅。
资源组:从下拉列表中选择所需的资源组。
Azure 虚拟机部署模型:保留默认的“资源管理器”设置。
可用性区域之间的灾难恢复:保留默认的“否”设置。
选择“下一步”。
Site Recovery 检索与所选订阅/资源组关联的 VM。
在“虚拟机”中,选择要为灾难恢复启用的 VM。 最多可以选择 10 个虚拟机。
选择“下一步”。
在“复制设置”中,查看设置。 Site Recovery 会为目标区域创建默认设置/策略。 出于本教程的目的,我们使用默认设置。
选择“下一页”。
在“管理”中,执行以下操作:
- 在“复制策略”下,
- 复制策略:选择复制策略。 定义恢复点保留期历史记录和应用一致性快照频率的设置。 默认情况下,Site Recovery 创建一个新的复制策略,默认设置为 24 小时的恢复点保留期。
- 复制组:创建复制组将 VM 一起复制,以生成多 VM 一致性的恢复点。 请注意,启用多 VM 一致性可能会影响工作负荷性能。仅当计算机运行相同的工作负荷且你需要跨多个计算机的一致性时,才应使用该设置。
- 在“扩展设置”下,
- 选择“更新设置”和“自动化帐户”。
- 选择“更新设置”和“自动化帐户”。
- 在“复制策略”下,
选择“下一页”。
在“查看”中查看 VM 设置,然后选择“启用复制”。
启用的 VM 将显示在“保管库”>“复制的项”页上。
在本教程中,为 Azure VM 启用了灾难恢复。 现在,运行灾难恢复演练来检查故障转移是否按预期工作。