教程:为 Azure VM 设置灾难恢复
本教程介绍如何使用 Azure Site Recovery 为 Azure VM 设置灾难恢复。 在本文中,学习如何:
- 验证 Azure 设置和权限
- 准备要复制的 VM
- 创建恢复服务保管库
- 启用 VM 复制
为 VM 启用复制以设置灾难恢复时,将在 VM 上安装 Site Recovery 出行服务扩展并使用 Azure Site Recovery 注册它。 在复制过程中,系统会将 VM 磁盘写入发送到源区域中的缓存存储帐户。 数据从那里发送到目标区域,并根据数据生成恢复点。 在灾难恢复过程中对 VM 进行故障转移时,将使用恢复点来还原目标区域中的 VM。 详细了解此体系结构。
注意
教程提供了最简单的默认设置的说明。 如果要使用自定义的设置来设置 Azure VM 灾难恢复,请查看这篇文章。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
先决条件
开始本教程前,请执行以下操作:
- 查看支持的区域。
- 需要一个或多个 Azure VM。 验证 Windows 或 Linux VM 是否受支持。
- 查看 VM 计算、存储和网络要求。
- 本教程假定 VM 未加密。 如果要为加密的 VM 设置灾难恢复,请按照本文进行操作。
检查 Azure 设置
检查目标区域中的权限和设置。
检查权限
Azure 帐户需要某些权限才能创建恢复服务保管以及在目标区域中创建 VM。
- 如果你刚刚创建了 Azure 订阅,则你是帐户管理员,无需执行任何其他操作。
- 如果你不是管理员,请联系管理员获取所需的权限。
- Microsoft Entra ID:用于启用复制的应用程序所有者和应用程序开发人员角色。
- 创建保管库:针对订阅的管理员或所有者权限。
- 管理保管库中的 Site Recovery 操作:Site Recovery 参与者内置的 Azure 角色。
- 在目标区域创建 Azure VM:内置参与者虚拟机角色或特定权限,用于:
- 在所选虚拟网络中创建 VM。
- 写入 Azure 存储帐户。
- 写入 Azure 托管磁盘。
验证目标设置
在灾难恢复过程中,从源区域进行故障转移时,将在目标区域中创建 VM。
检查订阅在目标区域中是否有足够的资源。 需要能够创建大小与源区域中的 VM 匹配的 VM。 设置灾难恢复时,Site Recovery 会为目标 VM 选择相同的大小(或尽可能接近的大小)。
准备 VM
确保 VM 具有出站连接和最新的根证书。
设置 VM 连接
要复制的 VM 需要出站网络连接。
注意
Site Recovery 不支持使用身份验证代理来控制网络连接。
URL 的出站连接
如果使用基于 URL 的防火墙代理来控制出站连接,请允许访问以下 URL:
名称 | Azure 中国世纪互联 | 说明 |
---|---|---|
存储 | *.blob.core.chinacloudapi.cn |
允许将数据从 VM 写入源区域中的缓存存储帐户。 |
Microsoft Entra ID | login.chinacloudapi.cn |
向 Site Recovery 服务 URL 提供授权和身份验证。 |
复制 | *.hypervrecoverymanager.windowsazure.cn |
允许 VM 与 Site Recovery 服务进行通信。 |
服务总线 | *.servicebus.chinacloudapi.cn |
允许 VM 写入 Site Recovery 监视和诊断数据。 |
IP 地址范围的出站连接
如果使用网络安全组 (NSG) 来控制连接,请创建基于服务标记的 NSG 规则,这些规则允许这些服务标记(IP 地址组)的 HTTPS 出站连接到端口 443:
标记 | 允许 |
---|---|
存储标记 | 允许将数据从 VM 写入缓存存储帐户。 |
Microsoft Entra ID 标记 | 允许访问对应于 Microsoft Entra ID 的所有 IP 地址。 |
EventsHub 标记 | 允许访问 Site Recovery 监视。 |
AzureSiteRecovery 标记 | 允许在任何区域访问 Site Recovery 服务。 |
GuestAndHybridManagement 标记 | 如果要自动升级在为复制启用的 VM 上运行的 Site Recovery 移动代理,请使用此标记。 |
详细了解所需的标记和标记示例。
Azure 实例元数据服务 (IMDS) 连接
Azure Site Recovery 移动代理使用 Azure 实例元数据服务 (IMDS) 获取虚拟机安全类型。 VM 与 IMDS 之间的通信绝不会离开主机。 确保在使用任何代理时绕过 IP 169.254.169.254
。
验证 VM 证书
检查 VM 是否具有最新的根证书。 否则,由于安全限制,无法使用 Site Recovery 注册 VM。
- Windows VM:在 VM 上安装所有最新的 Windows 更新,使所有受信任的根证书保留在该计算机上。 在离线环境中,请遵循 Windows 更新和证书更新的标准过程。
- Linux VM:按照 Linux 分销商提供的指导,获取最新的受信任的根证书和证书吊销列表 (CRL)。
创建恢复服务保管库
在任何区域中创建恢复服务保管库,但要从中复制 VM 的源区域除外。
登录到 Azure 门户。
在搜索框中,键入“recovery”。 在“服务”下,选择“恢复服务保管库” 。
在“恢复服务保管库”中,选择“添加” 。
在“创建恢复服务保管库”>“基础”中,选择要在其中创建保管库的订阅 。
在“资源组”中,为保管库选择现有的资源组,或创建新的资源组。
在“保管库名称”中,指定一个易记名称以标识该保管库。
在“区域”中,选择要在其中放置保管库的 Azure 区域。 检查支持的区域。
选择“查看 + 创建”。
在“查看 + 创建”中,选择“创建” 。
开始部署保管库。 在通知中跟踪进度。
部署保管库后,选择“固定到仪表板”以保存该保管库,以供快速参考。 选择“转到资源”,打开新的保管库。
启用 Site Recovery
在保管库设置中,选择“启用 Site Recovery”。
启用复制
选择源设置,然后启用 VM 复制。
选择源设置
在保管库 >“Site Recovery”页的“Azure 虚拟机”下,选择“启用复制”。
在“启用复制”页的“源”选项卡下,执行以下操作:
区域:选择当前正在运行 VM 的源 Azure 区域。
订阅:选择 VM 正在运行的订阅。 可以选择与保管库位于同一 Microsoft Entra 租户中的任何订阅。
资源组:从下拉列表中选择所需的资源组。
Azure 虚拟机部署模型:保留默认的“资源管理器”设置。
可用性区域之间的灾难恢复:保留默认的“否”设置。
选择“下一步”。
选择 VM
Site Recovery 检索与所选订阅/资源组关联的 VM。
在“虚拟机”中,选择要为灾难恢复启用的 VM。 最多可以选择 10 个虚拟机。
选择“下一步”。
查看复制设置
在“复制设置”中,查看设置。 Site Recovery 会为目标区域创建默认设置/策略。 出于本教程的目的,我们使用默认设置。
选择“下一页”。
管理
在“管理”中,执行以下操作:
- 在“复制策略”下,
- 复制策略:选择复制策略。 定义恢复点保留期历史记录和应用一致性快照频率的设置。 默认情况下,Site Recovery 创建一个新的复制策略,默认设置为 24 小时的恢复点保留期。
- 复制组:创建复制组将 VM 一起复制,以生成多 VM 一致性的恢复点。 请注意,启用多 VM 一致性可能会影响工作负荷性能。仅当计算机运行相同的工作负荷且你需要跨多个计算机的一致性时,才应使用该设置。
- 在“扩展设置”下,
- 选择“更新设置”和“自动化帐户”。
- 在“复制策略”下,
选择“下一页”。
审阅
在“查看”中查看 VM 设置,然后选择“启用复制”。
启用的 VM 将显示在“保管库”>“复制的项”页上。
后续步骤
在本教程中,为 Azure VM 启用了灾难恢复。 现在,运行灾难恢复演练来检查故障转移是否按预期工作。