本文介绍如何使用 Azure Site Recovery 服务设置将 Azure Stack VM 灾难恢复到 Azure。
Site Recovery 有助于实现业务连续性和灾难恢复 (BCDR) 策略。 该服务可确保在出现预期内和意外中断时,VM 工作负载仍然可用。
- Site Recovery 可协调并管理 VM 到 Azure 存储的复制。
- 主站点出现中断时,可使用 Site Recovery 进行到 Azure 的故障转移。
- 进行故障转移时,会根据存储的 VM 数据创建 Azure VM,用户可继续访问在这些 Azure VM 上运行的工作负载。
- 一切恢复正常运行后,可将 Azure VM 故障回复到主站点,然后再次开始复制到 Azure 存储。
在本文中,学习如何:
- 步骤 1:做好复制 Azure Stack VM 的准备。 检查 VM 是否符合 Site Recovery 要求,并准备安装 Site Recovery 移动服务。 此服务安装在要复制的每个 VM 上。
- 步骤 2:设置恢复服务保管库。 为 Site Recovery 设置保管库,并指定要复制的内容。 在保管库中配置和管理 Site Recovery 的组件和操作。
- 步骤 3:设置源复制环境。 设置 Site Recovery 配置服务器。 配置服务器是单个 Azure Stack VM,可运行 Site Recovery 需要的所有组件。 设置配置服务器后,在保管库中进行注册。
- 步骤 4:设置目标复制环境。 选择 Azure 帐户以及要使用的 Azure 存储帐户和网络。 复制期间,VM 数据会复制到 Azure 存储。 进行故障转移后,Azure VM 会加入指定的网络。
- 步骤 5:启用复制。 配置复制设置,启用 VM 复制。 启用复制后,VM 上会安装移动服务。 Site Recovery 执行 VM 的初始复制,然后开始持续复制。
- 步骤 6:运行灾难恢复演练:复制启用并运行后,可运行演练来验证故障转移是否按预期方式工作。 要启动演练,请在 Site Recovery 中运行测试故障转移。 测试故障转移不会对生产环境造成任何影响。
完成这些步骤后,即可按需随时运行到 Azure 的完全故障转移。
| 位置 | 组件 | 详细信息 |
|---|---|---|
| 配置服务器 | 在单个 Azure Stack VM 上运行。 | 在每个订阅中设置配置服务器 VM。 此 VM 运行以下 Site Recovery 组件: - 配置服务器:在本地和 Azure 之间协调通信并管理数据复制。 - 进程服务器:充当复制网关。 它接收复制数据,通过缓存、压缩和加密对其进行优化,然后将数据发送到 Azure 存储。 如果要复制的 VM 超出了下述限制,则可设置单独的独立进程服务器。 了解详细信息。 |
| 移动服务 | 安装在要复制的每个 VM 上。 | 在本文所述步骤中,我们准备了一个帐户,以便复制启用后自动在 VM 上安装移动服务。 如果不想自动安装该服务,则可使用许多其他方法。 了解详细信息。 |
| Azure | 在 Azure 中,你需要一个恢复服务保管库、一个存储帐户和一个虚拟网络。 | 复制的数据存储在存储帐户中。 进行故障转移时,Azure VM 将添加到 Azure 网络。 |
复制按如下方式进行:
- 在保管库中,指定复制源和目标,设置配置服务器,创建复制策略并启用复制。
- 移动服务会安装到计算机(如果已使用推送安装),并且计算机会根据复制策略开始复制。
- 服务器数据的初始副本将复制到 Azure 存储。
- 完成初始复制后,开始将增量更改复制到 Azure。 计算机的受跟踪更改保存在 .hrl 文件中。
- 配置服务器可协调与 Azure(HTTPS 443 出站端口)的复制管理。
- 进程服务器从源计算机接收数据、优化和加密数据,然后将其发送到 Azure 存储(443 出站端口)。
- 复制的计算机与配置服务器通信(HTTPS 443 入站端口,用于复制管理)。 计算机将复制数据发送到进程服务器(HTTPS 9443 入站端口,可修改)。
- 流量通过 Internet 复制到 Azure 存储公共终结点。 也可以使用 Azure ExpressRoute Microsoft 对等互连。 不支持通过站点到站点 VPN 将流量从本地站点复制到 Azure。
下面是设置此方案所需的项。
| 要求 | 详细信息 |
|---|---|
| Azure 订阅帐户 | 如果没有 Azure 订阅,请创建一个试用版订阅。 |
| Azure 帐户权限 | 使用的 Azure 帐户需以下权限: - 创建恢复服务保管库 - 在用于方案的资源组和虚拟网络中创建虚拟机 - 向指定的存储帐户进行写入 请注意: \- 如果创建帐户,则你是自己的订阅的管理员,可以执行所有操作。 - 如果你使用现有订阅并且不是管理员,则需要请求管理员为你分配“所有者”或“参与者”权限。 - 如需更加细化的权限,请查看此文。 |
| Azure Stack VM | 需要租户订阅中的 Azure Stack VM,该 VM 将部署为 Site Recovery 配置服务器。 |
有关物理服务器复制的配置/进程服务器要求
| 组件 | 要求 |
|---|---|
| 硬件设置 | |
| CPU 核心数 | 8 |
| RAM | 16 GB |
| 磁盘数目 | 3,包括操作系统磁盘、进程服务器缓存磁盘和用于故障回复保留驱动器 |
| 可用磁盘空间(进程服务器缓存) | 600 GB |
| 可用磁盘空间(保留磁盘) | 600 GB |
| 软件设置 | |
| 操作系统 | Windows Server 2012 R2 Windows Server 2016 |
| 操作系统区域设置 | 美国英语 |
| Windows Server 角色 | 请勿启用以下角色: - Active Directory 域服务 - Internet Information Services - Hyper-V |
| 组策略 | 请勿启用以下组策略: - 阻止访问命令提示符。 - 阻止访问注册表编辑工具。 - 信任文件附件的逻辑。 - 打开脚本执行。 了解详细信息 |
| IIS | - 无预先存在的默认网站 - 端口 443 上没有预先存在的网站/应用程序侦听 - 启用匿名身份验证 - 启用 FastCGI 设置。 |
| IP 地址类型 | 静态 |
| 访问设置 | |
| MYSQL | MySQL 应安装在配置服务器上。 可以手动安装,或者让 Site Recovery 在部署期间进行安装。 为安装 Site Recovery,请检查计算机是否可以访问 http://cdn.mysql.com/archives/mysql-5.5/mysql-5.5.37-win32.msi 。 |
| URL | 配置服务器需要访问这些 URL(直接或通过代理): Microsoft Entra ID: login.chinacloudapi.cn;*.accesscontrol.chinacloudapi.cn复制数据传输: *.backup.windowsazure.cn复制管理: *.hypervrecoverymanager.windowsazure.cn;https://management.chinacloudapi.cn;*.services.visualstudio.com存储访问: *.blob.core.chinacloudapi.cn时间同步: time.nist.gov;time.windows.com遥测(可选): dc.services.visualstudio.com |
| 防火墙 | 基于 IP 地址的防火墙规则应允许与 Azure URL 通信。 为了简化和限制 IP 范围,建议使用 URL 筛选。 对于由世纪互联运营的 Azure IP: - 允许 Azure IP 范围和服务标记 - 中国云和 HTTPS (443) 端口。 - 允许订阅的 Azure 区域的 IP 地址范围以支持 Microsoft Entra ID、备份、复制和存储所需的 URL。 |
配置/进程服务器大小要求
| CPU | 内存 | 缓存磁盘 | 数据更改率 | 复制的计算机 |
|---|---|---|---|---|
| 8 个 vCPU 2 个套接字 * 4 个内核 @ 2.5 GHz |
16GB | 300 GB | 500 GB 或更少 | < 100 台计算机 |
| 12 个 vCPU 2 个插槽 * 6 个核心 @ 2.5 GHz |
18 GB | 600 GB | 500 GB-1 TB | 100 到 150 台计算机 |
| 16 个 vCPU 2 个插槽 * 8 个核心 @ 2.5 GHz |
32 GB | 1 TB | 1-2 TB | 150 -200 台计算机 |
确保 VM 正在运行的是表中列出的操作系统。
| 操作系统 | 详细信息 |
|---|---|
| 64 位 Windows | Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2(自 SP1 起) |
| Ubuntu | 14.04 LTS 服务器、16.04 LTS 服务器。 查看支持的内核 |
要复制的所有 VM 都必须安装移动服务。 为使进程服务器在复制启用后自动将该服务安装到 VM 上,请验证 VM 设置。
- 需在要启用复制的 VM 与运行进程服务器(默认情况下,此为配置服务器 VM)的计算机之间建立网络连接。
- 在启用复制的计算机上,需要有具有管理员权限的帐户(域或本地)。
- 在设置 Site Recovery 时指定此帐户。 然后,在复制启用后,进程服务器使用此帐户安装移动服务。
- 此帐户仅供 Site Recovery 用于推送安装和移动服务更新。
- 如果使用的不是域帐户,则需在 VM 上禁用远程用户访问控制:
- 在注册表中的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 下,创建 DWORD 值 LocalAccountTokenFilterPolicy 。
- 将值设置为 1。
- 若要在命令提示符下执行此操作,请键入以下命令:REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1。
- 在要复制的 VM 上的 Windows 防火墙中,允许“文件和打印机共享”以及 WMI。
- 若要执行此操作,请运行 wf.msc 打开 Windows 防火墙控制台 。 依次右键单击“入站规则”>“新建规则” 。 选择“预定义”,然后从列表中选择“文件和打印机共享” 。 完成向导,选择以允许连接,然后单击“完成”。
- 对于域计算机,可使用 GPO 来执行此操作。
- 确保 Linux 计算机与进程服务器之间已建立网络连接。
- 在启用了复制的计算机上,需要源 Linux 服务器根用户帐户:
- 在设置 Site Recovery 时指定此帐户。 然后,在复制启用后,进程服务器使用此帐户安装移动服务。
- 此帐户仅供 Site Recovery 用于推送安装和移动服务更新。
- 确保源 Linux 服务器上的 /etc/hosts 文件包含用于将本地主机名映射到所有网络适配器关联的 IP 地址的条目。
- 在要复制的计算机上安装最新的 openssh、openssh-server 和 openssl 包。
- 确保安全外科 (SSH) 已启用且正在端口 22 上运行。
- 在 sshd_config 文件中启用 SFTP 子系统与密码身份验证:
为此,请以根用户身份登录。
在 /etc/ssh/sshd_config 文件中,找到以“PasswordAuthentication”开头的行 。 取消注释该行,并将值更改为 yes。
找到以“Subsystem”开头的行,并取消注释该行 。
重启 sshd 服务。
找到要复制的每台计算机的 IP 地址:
在 Azure Stack 门户中,单击 VM。
在“资源”菜单上,单击“网络接口” 。
记下专用 IP 地址。
在 Azure 门户中,选择“创建资源”>“管理工具”>“备份和站点恢复”。
在“名称” 中,输入一个友好名称以标识此保管库。
在“资源”组中,创建或选择资源组 。 我们将使用 contosoRG 。
在“位置”中,输入 Azure 区域 。 我们将使用“中国北部” 。
若要从仪表板快速访问保管库,请选择“固定到仪表板”>“创建”。
新保管库显示在“仪表板” >“所有资源” 中,以及“恢复服务保管库” 主页上。
在“恢复服务保管库”中,指定保管库名称。 我们将使用 ContosoVMVault 。
在“入门”中,选择“Site Recovery” , 然后选择“准备基础结构” 。
在“保护目标”>“计算机所在位置”中,选择“本地”。
在“要将计算机复制到何处?”中,选择“复制到 Azure” 。
在“计算机是否已虚拟化”中,选择“尚未虚拟化/其他” 。 然后选择“确定”。
设置配置服务器计算机,在保管库中进行注册,并找到要复制的计算机。
单击“准备基础结构”>“源”。
在“准备源”中,单击“+配置服务器” 。
在“添加服务器”中,检查“配置服务器”是否已显示在“服务器类型”中。
下载站点恢复统一安装程序安装文件。
下载保管库注册密钥。 运行统一安装程序时,需要注册密钥。 生成的密钥有效期为 5 天。
若要安装并注册配置服务器,请与要用于配置服务器的 VM 建立 RDP 连接,然后运行统一安装程序。
开始操作之前,请务必将时钟与 VM 上的时间服务器同步。 如果时间与当地时间误差超过五分钟,则安装失败。
现在来安装配置服务器:
运行统一安装程序安装文件。
在“开始之前”中,选择“安装配置服务器和进程服务器” 。
在“第三方软件许可证”中单击“我接受”,下载并安装 MySQL 。
在“注册”中,选择从保管库下载的注册密钥。
在“Internet 设置”中,指定配置服务器上运行的提供程序通过 Internet 连接到 Azure Site Recovery 的方式。 确保已允许所需的 URL。
- 如果想要使用当前已在计算机上设置的代理进行连接,请选择“使用代理服务器连接到 Azure Site Recovery”。
- 如果希望提供程序直接进行连接,请选择“在不使用代理服务器的情况下直接连接到 Azure Site Recovery” 。
- 如果现有代理要求身份验证,或者你想要使用自定义代理进行提供程序连接,请选择“使用自定义代理设置进行连接”,并指定地址、端口和凭据。
在“先决条件检查”设置中运行检查,确保安装可以运行。 如果看到有关全局时间同步检查的警告,请检查系统时钟的时间(“日期和时间”设置)是否与时区相同。
在“MySQL 配置”中,创建用于登录到要安装的 MySQL 服务器实例的凭据。
在“环境详细信息” 中,如果要复制 Azure Stack VM 或物理服务器,请选择“否”。
在“安装位置”中,选择要安装二进制文件和存储缓存的位置。 所选驱动器必须至少有 5 GB 的可用磁盘空间,但我们建议选择至少有 600 GB 可用空间的缓存驱动器。
在网络选择中,首先选择内置进程服务器用于发现的 NIC,将移动服务的安装推送到源计算机上,然后选择配置服务器用来与 Azure 连接的 NIC 。 端口 9443 是用于发送和接收复制流量的默认端口,但可以根据环境的要求修改此端口号。 除了端口 9443 以外,还要打开端口 443,Web 服务器将使用该端口协调复制操作。 请不要使用端口 443 来发送或接收复制流量。
在“摘要”中复查信息,并单击“安装”。 安装完成后,将生成通行短语。 启用复制时需要用到它,因此请复制并将它保存在安全的位置。
注册完成后,服务器会显示在保管库的“设置” >“服务器” 边栏选项卡中。
选择并验证目标资源。
- 在“准备基础结构”>“目标”中,选择要使用的 Azure 订阅。
- 指定目标部署模型。
- Site Recovery 检查是否有一个或多个兼容的 Azure 存储帐户和网络。 如果未找到,则需创建至少一个存储帐户和虚拟网络,方可完成向导。
依次单击“准备基础结构”>“复制设置” 。
在“创建复制策略”中指定策略名称 。
在“RPO 阈值”中,指定恢复点目标 (RPO) 限制 。
- 会根据设置的时间创建复制数据的恢复点。
- 此设置不会影响持续复制。 如果在未创建恢复点的情况下达到阈值限制,则会发出警报。
在“恢复点保留期”中,指定每个恢复点的保留时长 。 可将复制的 VM 恢复到指定的时间窗口中的任何点。
在“应用一致性快照频率”中,指定创建应用程序一致性快照的频率 。
- 应用一致性快照是 VM 内应用数据的时间点快照。
- 卷影复制服务 (VSS) 确保 VM 上的应用在创建快照时处于一致状态。
选择“确定” 以创建策略。
可立即跳过此步骤。 在“部署规划”下拉列表中,单击“是,我已完成” 。
请确保已完成步骤1:准备计算机中的所有任务。 随后请按如下步骤启用复制:
选择“复制应用程序”>“源” 。
在“源”中选择配置服务器 。
在“计算机类型”中,选择“物理计算机” 。
选择进程服务器(配置服务器)。 。
在“目标”中,选择故障转移后要在其中创建 VM 的订阅和资源组 。 选择要用于故障转移的 VM 的部署模型。
选择要在其中存储复制的数据的 Azure 存储帐户。
选择 Azure VM 在故障转移后创建时所要连接的 Azure 网络和子网。
选择“立即为选定的计算机配置”,将网络设置应用到选择保护的所有计算机。 如需为每台计算机单独选择 Azure 网络,请选择“稍后配置” 。
在“物理计算机”中,单击“+物理计算机” 。 指定要复制的每台计算机的名称、IP 地址和 OS 类型。
- 使用计算机的内部 IP 地址。
- 如果指定公共 IP 地址,则复制可能无法按预期进行。
在“属性”>“配置属性”中,选择进程服务器在计算机上自动安装移动服务时使用的帐户 。
在“复制设置”>“配置复制设置”中,检查是否选择了正确的复制策略 。
单击“启用复制” 。
在“设置”>“作业”>“Site Recovery 作业”中,跟踪“启用保护”作业的进度。 在“完成保护” 作业运行之后,计算机就可以进行故障转移了。
备注
为 VM 启用复制后,Site Recovery 会安装移动服务。
可能要等 15 分钟或更长时间,更改才会生效并显示在门户中。
若要监视添加的 VM,请在“配置服务器”>“上次联系时间”中查看上次发现 VM 的时间。 若要添加 VM 而不想要等待计划的发现,请突出显示配置服务器(不要选择它),然后选择“刷新”。
运行到 Azure 的测试故障转移,以确保一切如预期正常运行。 此故障转移不会影响生产环境。
运行测试故障转移前,请验证计算机属性,确保其符合 Azure 要求。 可按如下方式查看和修改属性:
在“受保护的项”中,单击“复制的项”>“VM”。
“复制的项”窗格中具有 VM 信息、运行状况状态和最新可用恢复点的摘要 。 单击“属性” ,查看详细信息。
在“计算”和“网络”设置中,按需修改设置 。
- 可修改 Azure 名称、资源组、目标大小、可用性集和托管的磁盘设置。
- 还可查看和修改网络设置。 其中包括故障转移后 Azure VM 加入的网络/子网,以及将分配给 VM 的 IP 地址。
在“磁盘”中,可查看关于 VM 上的操作系统和数据磁盘的信息 。
运行测试故障转移时需执行下列操作:
运行必备项检查,确保故障转移所需的所有条件都已就绪。
故障转移使用指定的恢复点处理数据:
- 最新处理:计算机故障转移到由 Site Recovery 处理的最新恢复点。 将显示时间戳。 使用此选项时,无需费时处理数据,因此 RTO(恢复时间目标)会较低。
- 最新应用一致:计算机故障转移到最新的应用一致恢复点。
- 自定义:选择用于故障转移的恢复点。
会使用已处理的数据创建 Azure VM。
测试故障转移可自动清理在演练期间创建的 Azure VM。
按如下方式为 VM 运行测试故障转移:
在“受保护的项”>“复制的项”中,单击 VM >“+测试故障转移”。
在本演练中,我们将选择使用“最新处理”恢复点 。
在“测试故障转移”中,选择目标 Azure 网络 。
单击“确定” 开始故障转移。
可通过单击 VM 打开其属性来跟踪进度。 或者,可在保管库名称 >“设置”>“作业”>“Site Recovery 作业”中单击“测试故障转移”作业 。
故障转移完成后,副本 Azure VM 会显示在 Azure 门户 >“虚拟机”中。 检查 VM 大小是否合适、是否已连接到正确的网络且正在运行。
现在应该能够连接到 Azure 中复制的 VM。 了解详细信息。
若要删除在测试故障转移期间创建的 Azure VM,请在 VM 上单击“清理测试故障转移” 。 在“说明”中,保存与测试性故障转移相关联的任何观测结果 。
设置复制后,运行演练以确保一切正常,之后则可按需将计算机故障转移到 Azure。
运行故障转移前,如果要在故障转移后连接 Azure 中的计算机,则可在开始前,准备进行连接。
然后按如下所述运行故障转移:
在受保护的项>复制的项”中,单击计算机 >故障转移。
选择要使用的恢复点。
在“测试故障转移”中,选择目标 Azure 网络 。
选择“在开始故障转移前关闭计算机” 。 选择此设置后,Site Recovery 会在开始故障转移前尝试关闭源计算机。 但即使关机失败,故障转移也仍会继续。
单击“确定” 开始故障转移。 可以在“作业” 页上跟踪故障转移进度。
故障转移完成后,副本 Azure VM 会显示在 Azure 门户 >虚拟机中。 如果打算在故障转移后进行连接,请检查 VM 大小是否合适、是否已连接到正确的网络且正在运行。
验证 VM 后,单击提交完成故障转移 。 这会删除所有可用的恢复点。
警告
请勿取消正在进行的故障转移:在故障转移开始前,停止 VM 复制。 如果取消正在进行的故障转移,故障转移会停止,但 VM 将不再进行复制。
主站点重新启动并运行后,可从 Azure 故障回复到 Azure Stack。 为此,请按照此处列出的步骤操作。
在本文中,我们将 Azure Stack VM 复制到了 Azure。 通过复制,我们运行了灾难恢复演练,以确保到 Azure 的故障转移按预期工作。 本文还介绍了如何运行到 Azure 的完全故障转移,以及到 Azure Stack 的故障回复。
故障回复后,可重新保护 VM 并再次开始将其复制到 Azure。 为此,请重复本文中的步骤。