使用专用终结点复制本地计算机

Azure Site Recovery 支持使用 Azure 专用链接专用终结点将本地计算机复制到 Azure 中的虚拟网络。 所有 Azure 中国区域都支持专用终结点访问恢复保管库。

注意

专用终结点不支持自动升级。 了解详细信息

在本教程中,你将了解如何执行以下操作:

  • 创建 Azure 备份恢复服务保管库来保护计算机。
  • 为保管库启用托管标识。 授予访问存储帐户所需的权限,以允许将流量从本地复制到 Azure 目标位置。 需要针对存储的托管标识访问权限才可允许专用链接访问保管库。
  • 进行专用终结点所需的 DNS 更改。
  • 为虚拟网络中的保管库创建和批准专用终结点。
  • 为存储帐户创建专用终结点。 你可以根据需要继续允许对存储的公共或防火墙访问。 Azure Site Recovery 不需要创建专用终结点来访问存储。

下图显示了具有专用终结点的混合灾难恢复的复制工作流。 无法在本地网络中创建专用终结点。 要使用专用链接,需要创建 Azure 虚拟网络(在本文中称为“旁路网络”),在本地和旁路网络之间建立专用连接,然后在旁路网络中创建专用终结点。 可以选择任何形式的专用连接。

Diagram that shows the architecture for Azure Site Recovery and private endpoints.

先决条件和注意事项

在开始之前,请注意以下事项:

  • Site Recovery 9.35 及更高版本支持专用链接。
  • 只能为新的恢复服务保管库创建专用终结点,没有任何项已注册到该保管库。 因此,必须在将任何项添加到保管库之前创建专用终结点。 有关定价信息,请参阅 Azure 专用链接定价
  • 为保管库创建专用终结点时,保管库将被锁定。 只能从具有专用终结点的网络进行访问。
  • Microsoft Entra ID 当前不支持专用终结点。 因此,需要允许从安全的 Azure 虚拟网络出站访问 Microsoft Entra ID 在某区域中正常工作所需的 IP 和完全限定的域名。 如果适用,还可使用网络安全组标记“Microsoft Entra ID”和 Azure 防火墙标记来允许访问 Microsoft Entra ID。
  • 在创建专用终结点的旁路网络中,需要五个 IP 地址。 为保管库创建专用终结点时,Site Recovery 会创建五个用于访问其微服务的专用链接。
  • 旁路网络中还需要一个额外的 IP 地址,以便与缓存存储帐户建立专用终结点连接。 可以在本地和存储帐户终结点之间使用任何连接方法。 例如,可以使用 Internet 或 Azure ExpressRoute。 建立专用链接是可选的。 只能在常规用途 v2 帐户上为存储创建专用终结点。 有关常规用途 v2 帐户上数据传输的定价信息,请参阅 Azure 页 Blob 定价

注意

设置专用终结点以保护 VMware 和物理计算机时,需要在配置服务器上手动安装 MySQL。 按照此处的步骤执行手动安装。

将要获得允许的 URL

使用具有 VMware VM 现代化体验的专用链接时,需要对一些资源进行公共访问。 下面是要包括在允许列表中的所有 URL。 如果使用基于代理的配置,请确保代理解析在查找 URL 时收到的任何 CNAME 记录。

URL 详细信息
portal.azure.cn 导航到 Azure 门户。
*.chinacloudapi.cn
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com
用于登录到 Azure 订阅。
*.partner.microsoftonline.cn
*.microsoftonline-p.com
为设备创建 Microsoft Entra 应用程序,以便与 Azure Site Recovery 通信。
management.chinacloudapi.cn 用于 Azure 资源管理器部署和操作。
*.siterecovery.azure.cn 用于连接到 Site Recovery 服务。

当启用到由世纪互联运营的 Azure 的复制时,请确保 Azure Site Recovery 复制设备允许并可访问以下 URL 以实现持续连接:

Fairfax 的 URL Mooncake 的 URL 详细信息
login.microsoftonline.us/*
graph.chinacloudapi.cn
login.microsoftonline.cn
graph.chinacloudapi.cn
用于登录到 Azure 订阅。
*.portal.azure.us *.portal.azure.cn 导航到 Azure 门户。
management.usgovcloudapi.net management.chinacloudapi.cn 为设备创建 Microsoft Entra 应用程序,以便与 Azure Site Recovery 服务通信。

为站点恢复创建和使用专用终结点

以下部分介绍为虚拟网络中的站点恢复创建和使用专用终结点所需的步骤。

注意

建议按所示顺序执行这些步骤。 否则可能无法在保管库中使用专用终结点,并且可能需要使用新保管库重新开始执行该过程。

创建恢复服务保管库

恢复服务保管库包含计算机的复制信息。 它用于触发 Site Recovery 操作。 有关如何在 Azure 区域(要用于在发生灾难时进行故障转移的区域)中创建恢复服务保管库的信息,请参阅创建恢复服务保管库

为保管库启用托管标识

托管标识允许保管库访问存储帐户。 Site Recovery 可能需要访问目标存储和缓存/日志存储帐户,具体取决于你的要求。 对保管库使用专用链接服务时,需要托管标识访问权限。

  1. 转到恢复服务保管库。 在“设置”下选择“标识” :

    Screenshot that shows the identity settings page.

  2. 将“状态”更改为“开”,然后选择“保存” 。

    一个对象 ID 随即生成。 此保管库已向 Microsoft Entra ID 注册。

为恢复服务保管库创建专用终结点

要保护本地源网络中的计算机,需要为旁路网络中的保管库提供一个专用终结点。 可以使用 Azure 门户中的“专用链接中心”或使用 Azure PowerShell 创建专用终结点。

若要创建专用终结点,请执行以下步骤:

  1. Azure 门户中,选择“创建资源”。

  2. 在 Azure 市场中搜索“专用链接”。

  3. 从搜索结果中选择“专用链接”,然后在“备份和站点恢复”页中选择“创建”。

    Screenshot that shows searching the Azure portal for Private Link Center.

  4. 在左侧窗格中,选择“专用终结点”。 在“专用终结点”页上选择“创建”,开始为保管库创建专用终结点:

    Screenshot that shows how to create a private endpoint in Private Link Center.

  5. 在“创建专用终结点”页上的“基本信息”>“项目详细信息”部分下,执行以下操作:

    1. 在“订阅”下,选择“Contoso 环境”。
    2. 资源组中,选择现有资源组或创建新资源组。 例如 ContosoCloudRG。
  6. 在“创建专用终结点”页中的“基本信息”>“实例详细信息”部分下,执行以下操作:

    1. 在“名称” 中,输入一个友好名称以标识此保管库。 例如 ContosoPrivateEP。
    2. “网络接口名称”将根据你在上一步选择的名称自动进行填充。
    3. 在“区域”中,使用用于旁路网络的区域。
    4. 选择下一步

    Screenshot that shows the Basic tab for creating a private endpoint.

  7. 在“资源”部分,执行以下操作:

    1. 在“连接方法”中,选择“连接到目录中的 Azure 资源”。
    2. 在“订阅”中,选择“Contoso 环境”。
    3. 在所选订阅的“资源类型”中,选择“Microsoft.RecoveryServices/vaults”。
    4. 在“资源”下,选择恢复服务保管库的名称。
    5. 选择“AzureSiteRecovery”作为“目标子资源”。
    6. 选择下一步

    Screenshot that shows the Resource tab for linking to a private endpoint.

  8. 在“虚拟网络”部分,执行以下操作:

    1. 在“虚拟网络”下,选择一个旁路网络。
    2. 在“子网”下,指定要在其中创建专用终结点的子网。
    3. 在“专用 IP 配置”下,保留默认选择。
    4. 选择下一步

    Screenshot that shows the Virtual network tab for linking to a private endpoint.

  9. 在“DNS”部分,执行以下操作:

    1. 通过选择“是”启用与专用 DNS 区域的集成。

      注意

      选择“是”会自动将区域链接到旁路网络。 此操作还会添加对新 IP 进行 DNS 解析所需的 DNS 记录,以及为专用终结点创建的完全限定的域名。

    2. 选择现有 DNS 区域或创建一个新区域。

    确保选择为连接到同一保管库的每个新专用终结点创建新的 DNS 区域。 如果选择现有的专用 DNS 区域,将覆盖以前的 CNAME 记录。 在继续操作之前,请参阅专用终结点指南

    如果你的环境具有中心辐射模型,则整个安装过程只需要一个专用终结点和一个专用 DNS 区域。 这是因为所有虚拟网络之间都已启用了对等互连。 有关详细信息,请参阅专用终结点 DNS 集成

    若要手动创建专用 DNS 区域,请按照创建专用 DNS 区域并手动添加 DNS 记录中的步骤操作。

    Screenshot that shows the Configuration tab for configuration of a private endpoint.

  10. 在“标记”部分,可以为专用终结点添加标记。

  11. 查看 + 创建。 完成验证后,选择“创建”以创建专用终结点。

创建专用终结点时,有五个完全限定的域名 (FQDN) 会添加到专用终结点。 这些链接使本地网络中的计算机能够通过旁路网络访问保管库上下文中所有必需的 Site Recovery 微服务。 可以使用同一专用终结点来保护旁路网络和所有对等网络中的任何 Azure 计算机。

这五个域名的格式为:

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.azure.cn

为站点恢复批准专用终结点

如果你创建了专用终结点,并且还是恢复服务保管库的所有者,则你先前创建的专用终结点将在几分钟内自动获得批准。 否则,保管库的所有者必须先批准专用终结点,然后你才能使用该终结点。 要批准或拒绝请求的专用终结点连接,请转到恢复保管库页中“设置”下的“专用终结点连接” 。

在继续操作之前,可以先转到专用终结点资源,查看连接的状态:

Screenshot that shows the Private endpoint connections page of the vault and the list of connections.

(可选)为缓存存储帐户创建专用终结点

可以使用 Azure 存储的专用终结点。 对于 Azure Site Recovery 复制,为存储访问创建专用终结点是可选的。 如果为存储创建专用终结点,则需要为旁路虚拟网络中的缓存/日志存储帐户提供专用终结点。

注意

如果未在存储帐户上启用专用终结点,保护仍会成功。 但是,复制流量会通过 Internet 传输到 Azure Site Recovery 的公共终结点。 为了确保复制流量流经专用链接,存储帐户必须启用专用终结点。

注意

只能在常规用途 v2 存储帐户上为存储创建专用终结点。 有关定价信息,请参阅 Azure 页 Blob 定价

按照创建专用存储的指南操作,创建一个具有专用终结点的存储帐户。 请确保在“与专用 DNS 区域集成”下选择“是” 。 选择现有 DNS 区域或创建一个新区域。

向保管库授予所需的权限

根据设置,可能需要目标 Azure 区域中的一个或多个存储帐户。 接下来,为 Site Recovery 所需的所有缓存/日志存储帐户授予托管标识权限。 在这种情况下,必须提前创建所需的存储帐户。

在启用虚拟机复制之前,保管库的托管标识必须具有以下角色权限,具体取决于存储帐户的类型。

以下步骤介绍如何向存储帐户添加角色分配。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色

  1. 转到存储帐户。

  2. 选择“访问控制 (IAM)”。

  3. 选择“添加”>“添加角色分配”。

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. 在“角色”选项卡上,选择本部分开头列出的其中一个角色。

  5. 在“成员”选项卡上,选择“托管标识”,然后选择“选择成员”。

  6. 选择 Azure 订阅。

  7. 选择“系统分配的托管标识”,搜索保管库,然后选择它。

  8. 在“查看 + 分配”选项卡上,选择“查看 + 分配”,以分配角色 。

除了这些权限之外,你还必须允许对 Microsoft 受信任服务的访问。 为此,请执行下列步骤:

  1. 转到“防火墙和虚拟网络”。
  2. 在“异常”中,选择“允许受信任的 Microsoft 服务访问此存储帐户”。

保护虚拟机

完成上述任务后,继续设置本地基础结构。 继续完成以下任务之一:

设置完成后,为源计算机启用复制。 在旁路网络中创建保管库的专用终结点之前,请勿设置基础结构。

创建专用 DNS 区域并手动添加 DNS 记录

如果在为保管库创建专用终结点时未选择与专用 DNS 区域集成的选项,请按照本节中的步骤操作。

创建一个专用 DNS 区域,允许 Site Recovery 提供程序(对于 Hyper-V 计算机)或进程服务器(对于 VMware/物理计算机)将专用 FQDN 解析为专用 IP。

  1. 创建专用 DNS 区域。

    1. 在“所有服务”搜索框中搜索“专用 DNS 区域”,然后在结果中选择“专用 DNS 区域”:

      Screenshot that shows searching for private dns zone on the new resources page in the Azure portal.

    2. 在“专用 DNS 区域”页上,选择“添加”按钮以开始创建新区域。

    3. 在“创建专用 DNS 区域”页上,输入所需的详细信息。 输入 privatelink.siterecovery.azure.cn 作为专用 DNS 区域的名称。 可以选择任何资源组和任何订阅。

      Screenshot that shows the Basics tab of the Create Private DNS zone page.

    4. 继续选择“查看 + 创建”选项卡,查看并创建 DNS 区域。

    5. 如果使用现代化体系结构保护 VMware 或物理计算机,请同时为 privatelink.prod.migration.azure.cn 创建另一个专用 DNS 区域。 站点恢复将使用此终结点来执行本地环境的发现。

  2. 若要将专用 DNS 区域链接到虚拟网络,请执行以下步骤:

    1. 转到在上一步中创建的专用 DNS 区域,然后转到左侧窗格中的“虚拟网络链接”。 选择“添加”。

    2. 输入必需的详细信息。 在“订阅”和“虚拟网络”列表中,选择与旁路网络相对应的详细信息 。 保留其他字段中的默认值。

      Screenshot that shows the Add virtual network link page.

  3. 添加 DNS 记录。

    现已创建所需的专用 DNS 区域和专用终结点,接下来需要将 DNS 记录添加到 DNS 区域。

    注意

    如果使用的是自定义专用 DNS 区域,请确保使用类似的条目,如以下步骤所述。

    在此步骤中,需要将专用终结点中的每个 FQDN 条目添加到专用 DNS 区域。

    1. 转到专用 DNS 区域,然后转到左侧窗格中的“概述”部分。 选择“记录集”以开始添加记录。

    2. 在“添加记录集”页上,为每个完全限定的域名和专用 IP 添加一个条目,作为“A”类型的记录 。 可以在“概述”中的“专用终结点”页上获得完全限定的域名和 IP 列表 。 如以下屏幕截图中所示,来自专用终结点的第一个完全限定的域名会添加到专用 DNS 区域中的记录集。

      这些完全限定的域名采用以下格式:{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.azure.cn

      Screenshot that shows the Add record set page.

后续步骤

现在,你已为虚拟机复制启用了专用终结点,请参阅其他文章了解其他相关信息: