通过

为 Azure Site Recovery 启用多租户场景

  • 项目

在目标 Azure Stack Hub 上,Azure Site Recovery 服务需要一个 Microsoft Entra ID 应用程序来访问目标订阅中的资源,以复制 VM 和对其进行故障转移。 本文中的步骤仅关注在多租户类型部署中使用 Azure Site Recovery 时的目标 Azure Stack Hub。

这个必需的应用程序是在 Azure Stack Hub 主 Microsoft Entra ID 租户中创建的。 当 Azure Stack Hub 用于多租户场景(即,同一个 Azure Stack Hub 标记上有多个 Microsoft Entra ID 租户作为 Site Recovery 目标),且目标订阅使用的 Microsoft Entra ID 租户不是主租户时,Site Recovery 服务主体必须在目标租户中创建一个服务主体。 除了主目录之外,任何 Microsoft Entra ID 租户都不会自动创建服务主体(在主目录中,它是自动完成的)。 Azure Stack Hub 操作员必须在每个相应的 Microsoft Entra ID 租户上运行此命令,或者将此命令提供给各自的 Microsoft Entra ID 租户管理员,以便他们在各自的 Microsoft Entra ID 租户中运行此命令。

过程概述

整个过程遵循以下步骤:

  1. 标识 Azure Site Recovery 应用程序 ID。
  2. 为 Site Recovery 应用程序启用多租户。
  3. 在每个 Microsoft Entra ID 租户中创建服务主体。
  4. 在 EntraID 租户的每个用户订阅中注册命名空间 Microsoft.DataReplication

标识 Azure Site Recovery 应用程序 ID

第一步是标识 Azure Site Recovery 使用的应用程序 ID。 此 ID 会自动在主目录中配置。 可通过多种方式检索应用程序 ID。

直接标识应用程序 ID

  1. 转到 Azure 门户,选择 Azure Stack Hub 主目录,然后导航到“AAD - 应用程序注册”

  2. 在“所有应用程序”中,搜索“Azure Stack - Site Recovery”:

    显示“所有应用程序”的门户页的屏幕截图。

  3. 应用程序 ID 显示在“概述”页中。

    显示“应用程序 ID”的门户页的屏幕截图。

    注意

    如果同一 Microsoft Entra ID 租户中有多个 Azure Stack Hub 标记,则每个标记都有一个同名的应用程序 ID。 必须找到其应用程序 ID URL 以标记的部署 ID 结尾的那一个。 或者,可以检查“清单”中的“createDateTime”选项卡,其中的时间需要与相应部署的 Site Recovery 安装时间相同。

从主目录中检索应用程序 ID

在用户门户的 Azure Stack Hub 主目录中,检查在其中注册了 Microsoft.DataReplication 命名空间的任何订阅。 在此订阅的访问控制 (IAM) 部分中,找到名为 Azure Stack - Site Recovery 的应用程序。 可以选择应用程序以查看其应用程序 ID。 此委派会自动为主目录完成:

显示订阅属性的门户页的屏幕截图。

使 Site Recovery 应用程序成为多租户

在 Azure 门户中,导航到 Azure Stack Hub 主目录的 Microsoft Entra ID,然后找到“应用程序注册”。 在“所有应用程序”中,搜索“Azure Stack - Site Recovery”或在上一步中标识的“应用程序 ID”。 选择应用程序并转到“身份验证”部分。 选择“任何组织目录中的帐户(任何 Azure AD 目录 - 多租户)”,然后选择“保存”。

显示“身份验证”的门户页的屏幕截图。

创建服务主体

注意

对计划部署 Azure Site Recovery 的每个 Azure Stack Hub 来宾目录执行此步骤。

创建服务主体的过程使用来宾租户 ID(对于每个计划激活 Azure Site Recovery 的相应来宾目录)和之前标识的应用程序 ID。

  1. 登录 Azure:

    az login -t <guest-tenant-id>

  2. 运行以下命令以创建服务主体:

     az ad sp create --id <application-id>

    显示服务主体创建输出的屏幕截图。

注册提供程序

下一步是将 Microsoft.DataReplication 命名空间注册到要用作 Azure Site Recovery 目标订阅的每个 Azure Stack Hub 用户订阅。

注意

如果按照之前的步骤尝试注册此命名空间,可能会失败并显示“部署失败”消息。 在这种情况下,请按照之前的步骤操作,然后尝试重新注册该命名空间。 完成这些步骤后,应该可以成功完成注册。

在 Azure Stack Hub 门户的订阅边栏选项卡中,在“资源提供程序”部分找到 Microsoft.DataReplication,然后选择“注册”。

后续步骤

Azure Site Recovery 概述保护虚拟机