使用 Azure Policy 设置 Azure Site Recovery
本文介绍如何使用 Azure Policy 为资源设置 Azure Site Recovery。 Azure Policy 有助于在 Azure 资源上执行某些业务规则,并评估这些资源的合规性。
使用 Azure Policy 进行灾难恢复
Site Recovery 可帮助你在发生计划内或计划外的区域性故障时保持应用程序的正常运行。 通过 Azure 门户大规模地在计算机上启用 Site Recovery 可能很有难度。 Azure Policy 可帮助你大规模启用复制,而无需借助任何脚本。
借助内置的 Azure Policy 功能,可以通过门户针对特定订阅或资源组批量启用 Site Recovery。 为订阅或资源组创建灾难恢复 (DR) 策略后,添加到那些订阅或资源组的所有新虚拟机 (VM) 都将自动为其启用 Site Recovery。 对于资源组中已存在的所有虚拟机,你可以通过使用名为“修正”(详细信息见下文)的进程来启用 Site Recovery。
注意
范围用于确定对哪些资源或资源组强制执行策略分配。 此策略的范围可以是订阅级别,也可以是资源组级别。
先决条件
请查看以下关于 Azure Site Recovery 策略支持的支持对照表:
方案 支持声明 托管磁盘 支持。 OS 磁盘的大小应为 1 GB 到 4 TB。 数据磁盘的大小应为 1 GB 到 32 TB。 非托管磁盘 不支持 多个磁盘 每个 VM 最多支持 100 个磁盘 临时磁盘 不支持 超级磁盘 不支持 可用性集 支持 可用性区域 支持 已启用 Azure 磁盘加密的 VM 不支持 邻近放置组 (PPG) 支持。 如果源 VM 位于 PPG 内,则策略将通过在源 PPG 上追加“-asr”来创建 PPG,并将其用于 DR/次要区域的故障转移。 PPG 和可用性集中的 VM 不支持 已启用客户管理的密钥 (CMK) 的磁盘 不支持 存储空间直通 (S2D) 群集 不支持 虚拟机规模集 不支持 将映像作为 Azure Site Recovery 配置服务器的 VM 不支持 关闭 VM 不支持。 必须打开 VM,策略才能对其发挥作用。 Azure 资源管理器部署模型 支持 经典部署模型 不支持 区域到区域 DR 支持 与 Azure 默认应用的其他策略(如果有)的互操作性 支持 专用终结点 不支持 跨订阅 不支持
注意
如果在策略范围内创建了不支持的 VM,则不会启用 Site Recovery。
创建策略分配
若要为内置 Azure Site Recovery 策略(为订阅或资源组中的所有新创建的 VM 启用复制)创建策略分配,请执行以下操作:
在 Azure 门户中转到“Azure Policy”。
选择“Azure Policy”页左侧的“分配”。 “分配”是指将策略分配在特定范围中运行。
在“策略 - 分配”页的顶部选择“分配策略”。
在“分配策略”页上,通过依次选择省略号、订阅和(可选)资源组来设置“范围”信息。 然后使用“范围”页底部的“选择”按钮。
注意
还可选择将一些资源组从策略分配中排除,方法是在“排除”下选择它们。 如果需要将策略分配给订阅中除少数几个资源组之外的所有资源组,此功能将非常有用。
通过选择“策略定义”旁边的省略号打开“策略定义选取器”。 搜索“灾难恢复”或“站点恢复”。 可找到名为“通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复”的内置策略。 选择它,然后单击“选择”。
系统会在“分配名称”中自动填充所选的策略名称,但你也可以更改它。 如果计划将多个 Azure Site Recovery 策略分配到同一范围,这可能会很有帮助。
选择“下一步”,为策略配置 Azure Site Recovery 属性。
配置目标设置和属性
你正在创建用于启用 Azure Site Recovery 的策略。 现在,配置目标设置和属性:
转到“分配策略”工作流中的“参数”选项卡。 清除“仅显示需要输入或评审的参数”。 这些参数如下所示:
为这些参数选择适当的值:
源区域:输入将应用此策略的虚拟机的源区域。
注意
此策略将应用于策略范围中属于源区域的所有虚拟机。 将不包含源区域中不存在的虚拟机。
目标区域:输入要复制源虚拟机数据的位置。 Site Recovery 提供客户可复制到的目标区域列表。 如果要在区域中启用区域到区域复制,请选择与“源区域”值相同的区域。
目标资源组:输入所有复制的虚拟机所属的资源组。 默认情况下,Site Recovery 会在目标区域中创建一个新的资源组,
保管库资源组:输入恢复服务保管库所在的资源组。
恢复服务保管库:这是一个可保护范围内所有 VM 的保管库。 策略可根据需要代表你创建新的保管库。
恢复虚拟网络(可选):选择目标区域中要用于恢复虚拟机的现有虚拟网络。 如果需要,策略也可为你创建新的虚拟网络。
目标可用性区域(可选):输入虚拟机将进行故障转移的目标区域的可用性区域。
缓存存储帐户(可选):Azure Site Recovery 使用存储帐户来缓存源区域中复制的数据。 请选择所选帐户。 如果无需考虑任何特殊注意事项,则可以选择默认缓存存储帐户。
注意
在选择缓存存储帐户之前,请先查看支持对照表中的缓存存储帐户限制。
标记名称(可选):可将标记应用于复制的 VM,以逻辑方式将这些 VM 组织成某个分类。 每个标记均由名称/值对组成。 例如,输入“环境”。
标记值(可选):可以使用此字段输入标记值。 例如,输入“Production”。
标记类型(可选):可以通过选择“标记类型 = 包含”,使用标记将 VM 添加为策略分配的一部分。 此类型可确保仅具有标签(通过“标签名称”和“标签值”字段提供)的 VM 包含在策略分配中。
或者,也可以选择“标签类型 = 排除”。 此类型可确保从策略分配中排除具有标签(通过“标签名称”和“标签值”字段提供)的 VM。
如未选择标签,则为策略分配选择整个资源组和/或订阅。
效果:启用或禁用策略执行。 选择“DeployIfNotExists”以在创建策略后尽快启用策略。
选择“下一步”以决定修正任务。
配置修正和其他属性
你已配置 Azure Site Recovery 的目标属性。 但是,此策略将仅对策略范围中新创建的虚拟机生效。 在策略范围内,预先存在的 VM 上的复制不会自动启用。 可以通过在分配策略后创建修正任务来解决此问题。
创建修正任务并设置其他属性:
在“分配策略”工作流的“修正”选项卡上,选择“创建修正任务”复选框。
Azure Policy 将创建一个托管标识,该标识将拥有所有者权限,可为范围中的资源启用 Azure Site Recovery。
可以在“非合规性消息”选项卡上为策略配置非合规的自定义消息。
选择页面底部的“下一步”或页面顶部的“查看 + 创建”选项卡,转到分配向导的下一部分 。
查看选中的选项,然后在页面底部选择“创建”。
在策略分配后检查 VM 的保护状态
分配策略后,请等待最多 1 小时以启用复制。 随后,转到在策略分配期间选择的恢复服务保管库,并查找复制作业。 你应该能够找到通过此保管库中的策略对其启用了 Site Recovery 的所有 VM。
如果 VM 未以受保护形式显示在保管库中,则可以返回策略分配并尝试修正。
如果 VM 显示为不合规,可能是因为策略评估是在 VM 完全启动并运行之前进行的。 可以选择修复或等待最多 24 小时,让 策略评估订阅/资源组并自动修复。
后续步骤
详细了解如何运行测试故障转移。