关于如何在 Azure VM 灾难恢复中联网

本文提供了使用 Azure Site Recovery 在不同区域之间复制和恢复 Azure VM 的网络指南。

开始之前

了解 Site Recovery 如何为此方案提供灾难恢复。

典型网络基础结构

下图描绘了 Azure VM 上运行的应用程序的典型 Azure 环境:

该图描绘了 Azure VM 上运行的应用程序的典型 Azure 环境。

如果使用 Azure ExpressRoute 或从本地网络到 Azure 的 VPN 连接,则环境如下:

客户环境

通常,网络使用防火墙和网络安全组 (NSG) 进行保护。 应使用服务标记来控制网络连接。 NSG 应允许多个服务标记来控制出站连接。

重要

Site Recovery 不支持使用经过身份验证的代理控制网络连接,并且无法启用复制。

备注

  • 不应执行基于 IP 地址的筛选来控制出站连接。
  • 不应在 Azure 路由表中添加 Azure Site Recovery IP 地址来控制出站连接。

URL 的出站连接

如果使用基于 URL 的防火墙代理来控制出站连接,请允许以下 Site Recovery URL:

URL 详细信息
*.blob.core.chinacloudapi.cn 必需,以便从 VM 将数据写入到源区域中的缓存存储帐户。 如果知道 VM 的所有缓存存储帐户,则可允许访问特定的存储帐户 URL(例如:cache1.blob.core.chinacloudapi.cn 和 cache2.blob.core.chinacloudapi.cn)而不允许访问 *.blob.core.chinacloudapi.cn
login.chinacloudapi.cn 对于 Site Recovery 服务 URL 的授权和身份验证而言是必需的。
*.hypervrecoverymanager.windowsazure.cn 必需,以便从 VM 进行 Site Recovery 服务通信。
*.servicebus.chinacloudapi.cn 必需,以便从 VM 写入 Site Recovery 监视和诊断数据。
*.vault.azure.cn 允许访问,以便通过门户为支持 ADE 的虚拟机启用复制
*.azure-automation.cn 允许通过门户为复制项启用移动代理自动升级

使用服务标记的出站连接

使用 NSG 来控制出站连接时,需要允许这些服务标记。

  • 对于源区域中的存储帐户:

    • 为源区域创建基于存储服务标记的 NSG 规则。
    • 允许这些地址,才能从 VM 将数据写入到缓存存储帐户。
  • 创建一个基于 Azure Active Directory (AAD) 服务标记的 NSG 规则以允许访问与 AAD 对应的所有 IP 地址

  • 为目标区域创建基于 EventsHub 服务标记的 NSG 规则,这样就可以访问 Site Recovery 监视功能。

  • 创建基于 AzureSiteRecovery 服务标记的 NSG 规则,以允许访问任何区域中的 Site Recovery 服务。

  • 创建基于 AzureKeyVault 服务标记的 NSG 规则。 仅在通过门户为支持 ADE 的虚拟机启用复制时才需要这样做。

  • 创建基于 GuestAndHybridManagement 服务标记的 NSG 规则。 仅在通过门户为复制项启用移动代理自动升级时才需要这样做。

  • 在生产 NSG 中创建所需的 NSG 规则之前,建议先在测试 NSG 中创建这些规则,并确保没有任何问题。

    备注

    在 Azure 中国云上使用服务标记创建出站连接时,对于那些“目标服务标记”中未显示的不受支持的服务标记,我们可以使用匹配的终结点 IP 地址创建出站连接,以允许访问任何区域中的特定服务。

    例如,当 AzureSiteRecovery 服务标记不支持 Azure 中国的特定区域时。 我们可以使用匹配的 AzureSiteRecovery 终结点 IP 地址来创建出站连接,以允许访问任何区域中的 Site Recovery 服务。

    Target Site Recovery IP Site Recovery 监视 IP
    中国东部 42.159.205.45 42.159.132.40
    中国北部 40.125.202.254 42.159.4.151
    中国东部 2 40.73.118.52 40.73.100.125
    中国北部 2 40.73.35.193 40.73.33.230

    可以在 Azure IP 范围和服务标记 - 中国云中按服务标记查找所有匹配的终结点 IP 地址。

NSG 配置示例

此示例演示如何为要复制的 VM 配置 NSG 规则。

  • 如果使用 NSG 规则控制出站连接,请对所有必需的 IP 地址范围使用端口 443 的“允许 HTTPS 出站”规则。
  • 此示例假设 VM 源位置是“中国东部”,目标位置是“中国中部”。

NSG 规则 - 中国东部

  1. 在 NSG 上为“Storage”创建出站 HTTPS (443) 安全规则,如以下屏幕截图所示。

    屏幕截图,其中显示了“为存储点美国东部的网络安全组添加出站安全规则”。

  2. 基于 NSG 规则为“AzureActiveDirectory”创建出站 HTTPS (443) 安全规则,如以下屏幕截图所示。

    屏幕截图,其中显示了“为 Azure A D 的网络安全组添加出站安全规则”。

  3. 与上述安全规则类似,为 NSG 上的“EventHub”创建出站 HTTPS (443) 安全规则,该规则对应于目标位置。 这样就可以访问 Site Recovery 监视功能。

  4. 在 NSG 上为“AzureSiteRecovery”创建出站 HTTPS (443) 安全规则。 这样就可以在任何区域访问 Site Recovery 服务。

    备注

    如果 Azure 中国的特定区域不支持 AzureSiteRecovery 服务标记,则可以为对应于目标位置的 Site Recovery IP 创建出站 HTTPS (443) 安全规则:

    例如:

    位置 Site Recovery IP 地址 Site Recovery 监视 IP 地址
    中国北部 40.125.202.254 42.159.4.151

    site-recovery-ip-address

NSG 规则 - 中国北部

必须创建这些规则,才能在故障转移后启用从目标区域到源区域的复制:

  1. 基于 NSG 为“存储”创建出站 HTTPS (443) 安全规则。

  2. 基于 NSG 规则为“AzureActiveDirectory”创建出站 HTTPS (443) 安全规则。

  3. 与上述安全规则类似,为 NSG 上的“EventHub”创建出站 HTTPS (443) 安全规则,该规则对应于源位置。 这样就可以访问 Site Recovery 监视功能。

  4. 在 NSG 上为“AzureSiteRecovery”创建出站 HTTPS (443) 安全规则。 这样就可以在任何区域访问 Site Recovery 服务。

    备注

    如果 Azure 中国的特定区域不支持 AzureSiteRecovery 服务标记,则可以为对应于源位置的 Site Recovery IP 创建出站 HTTPS (443) 安全规则:

    例如:

    位置 Site Recovery IP 地址 Site Recovery 监视 IP 地址
    中国东部 42.159.205.45 42.159.132.40

网络虚拟设备配置

如果使用网络虚拟设备 (NVA) 控制来自 VM 的出站网络流量,则设备可能在所有复制流量通过 NVA 的情况下受到限制。 我们建议在虚拟网络中为“存储”创建一个网络服务终结点,这样复制流量就不会经过 NVA。

为存储创建网络服务终结点

可在虚拟网络中为“存储”创建一个网络服务终结点,这样复制流量就不会离开 Azure 边界。

  • 选择 Azure 虚拟网络并单击“服务终结点”。

    storage-endpoint

  • 单击“添加”,“添加服务终结点”选项卡随即打开

  • 选择“服务”下的“Microsoft.Storage”和“子网”字段下的所需子网,并单击“添加”。

备注

不限制虚拟网络对用于 ASR 的存储帐户的访问权限。 应允许来自“所有网络”的访问

强制隧道

对 0.0.0.0/0 地址前缀,可将 Azure 默认系统路由重写为自定义路由,并将 VM 流量转换为本地网络虚拟设备 (NVA),但不建议对 Site Recovery 复制使用此配置。 如果使用自定义路由,则应在虚拟网络中为“存储”创建一个虚拟网络服务终结点,这样复制流量就不会离开 Azure 边界。

后续步骤