使用 CSP 从 VMware 灾难恢复到 Azure 的多租户支持概述

Azure Site Recovery 支持适用于租户订阅的多租户环境。 它还支持适用于租户订阅的多租户,这些租户订阅通过 Azure 云解决方案提供商 (CSP) 计划创建和管理。

本文提供了实现和管理多租户 VMware 到 Azure 复制的概述。

多租户环境

有三种主要的多租户模型:

  • 共享托管服务提供程序 (HSP) :合作伙伴拥有物理基础结构,并使用共享资源(vCenter、数据中心、物理存储等)在同一基础结构上托管多个租户的 VM。 合作伙伴可以提供灾难恢复管理作为托管服务,租户也可以拥有灾难恢复作为自助解决方案。

  • 专用托管服务提供程序:合作伙伴拥有物理基础结构,但使用专用资源(多个 vCenter、物理数据存储等)在单独的基础结构上托管每个租户的 VM。 合作伙伴可以提供灾难恢复管理作为托管服务,租户也可以拥有它作为自助解决方案。

  • 托管服务提供程序 (MSP) :客户拥有托管 VM 的物理基础结构,合作伙伴提供灾难恢复启用和管理功能。

共享托管服务提供程序 (HSP)

另外两种方案也属于共享托管方案,并使用相同的原则。 共享托管指南结尾对其中的差异进行了说明。

在多租户方案中,基本的要求是必须隔离租户。 不允许一个租户观察到另一个租户托管的内容。 在由合作伙伴管理的环境中,此要求不那么重要,而在自助服务环境中,此要求相当重要。 本文假定租户隔离是必需的。

下图显示了此体系结构。

Shared HSP with one vCenter

使用一个 vCenter 服务器的共享托管

在该图中,每个客户都有一个单独的管理服务器。 此配置限制租户访问特定于租户的 VM,实现了租户隔离。 VMware VM 复制使用配置服务器以发现 VM 和安装代理。 相同原则也适用于多租户环境,只是增加了“使用 vCenter 访问控制限制 VM 发现”这一规定。

数据隔离要求表示所有敏感的基础结构信息(例如访问凭据)始终不能披露给租户。 因此,建议将管理服务器的所有组件交由合作伙伴全权控制。 管理服务器组件包括:

  • 配置服务器
  • 进程服务器
  • 主目标服务器

单独的横向扩展进程服务器也受合作伙伴的控制。

配置服务器帐户

在多租户方案中,每个配置服务器使用两个帐户:

  • vCenter 访问帐户:此帐户用于发现租户 VM。 它分配有 vCenter 访问权限。 为了避免访问泄漏,建议合作伙伴在配置工具中自行输入这些凭据。

  • 虚拟机访问帐户:此帐户用于通过自动推送在租户 VM 上安装移动服务代理。 它通常为域帐户,可以由租户提供给合作伙伴,也可以是由合作伙伴直接管理的帐户。 如果不希望将详细信息直接与合作伙伴共享,租户可以通过在有限时间访问配置服务器时输入凭据。 或者,在合作伙伴的帮助下,手动安装移动服务代理。

vCenter 帐户要求

使用已向其分配了特定角色的帐户对配置服务器进行配置。

  • 角色分配需应用到每个 vCenter 对象的 vCenter 访问帐户,不能传播到子对象。 此配置可确保租户隔离,因为传播访问权限可能会导致意外访问其他对象。

    The Propagate to Child Objects option

  • 替代方法是将用户帐户和角色分配给数据中心对象,再将其传播到子对象。 然后,针对每个不允许特定租户访问的对象(例如属于其他租户的 VM),为帐户分配“无访问权限”角色。 此配置很繁琐。 它会意外公开访问控制,因为系统会自动为每个新建的子对象授予从父对象继承的访问权限。 因此,建议使用第一种方法。

创建 vCenter 帐户

  1. 通过克隆预定义的“只读”角色创建新角色,然后为其提供一个方便的名称(例如此示例中显示的 Azure_Site_Recovery)。

  2. 将以下权限分配给该角色:

    • 数据存储:分配空间、浏览数据存储、降低文件操作级别、删除文件、更新虚拟机文件

    • 网络:网络分配

    • 资源:将 VM 分配到资源池、迁移关闭的 VM、迁移打开的 VM

    • 任务:创建任务、更新任务

    • VM - 配置:全部

    • VM - 交互> 回答问题、设备连接、配置 CD 介质、配置软盘介质、关机、开机、VMware 工具安装

    • VM - 清单> 从现有项创建、新建、注册、注销

    • VM - 预配> 允许虚拟机下载、允许虚拟机文件上传

    • VM - 快照管理> 删除快照

      The Edit Role dialog box

  3. 将访问级别分配给各种对象的 vCenter 帐户(在租户配置服务器中使用),如下所示:

Object 角色 备注
vCenter 只读 需要获取 vCenter 访问权限来管理不同对象时,才需要此项。 如果不需要将此帐户提供给租户,或者不需要使用此帐户在 vCenter 进行任何管理操作,则可删除此权限。
数据中心 Azure_Site_Recovery
主机和主机群集 Azure_Site_Recovery 请再次确保访问权限为对象级别,使得在故障转移之前和故障回复之后,只有那些可供访问的主机才有租户 VM。
数据存储和数据存储群集 Azure_Site_Recovery 与前相同。
网络 Azure_Site_Recovery
管理服务器 Azure_Site_Recovery 包括对 CS 计算机外部的所有组件(CS、PS 和 MT)的访问权限。
租户 VM Azure_Site_Recovery 确保特定租户的任何新租户 VM 也会获得此访问权限,否则无法通过 Azure 门户发现这些 VM。

vCenter 帐户访问现已完成。 此步骤可满足完成故障回复操作的最低权限要求。 这些访问权限也可与现有策略结合使用。 只需修改现有权限集,包括前面详述的步骤 2 中的角色权限即可。

仅故障转移

要将灾难恢复操作限制到仅故障转移(即没有故障回复功能),可使用之前的过程,但会出现以下异常:

  • 仅将 Read-Only 角色分配给该账户,而没有将 Azure_Site_Recovery 角色分配给 vCenter 访问帐户 。 此权限集允许 VM 复制和故障转移,不允许故障回复。
  • 前述进程中的所有其他内容保留原样。 每个权限仍然只在对象级别分配,不传播到子对象,以便确保租户隔离并限制 VM 发现。

将资源部署到租户订阅

  1. 在 Azure 门户中,按照常规过程创建资源组,然后部署恢复服务保管库。

  2. 下载保管库注册密钥。

  3. 使用保管库注册密钥为租户注册 CS。

  4. 为两个访问帐户输入凭据,一个是用于访问 vCenter 服务器的帐户,另一个是用于访问 VM 的帐户。

    Manager configuration server accounts

在保管库中注册服务器

  1. 在 Azure 门户中,在之前创建的保管库中,使用你创建的 vCenter 帐户将 vCenter 服务器注册到配置服务器。
  2. 按照常规过程完成 Site Recovery 的“准备基础结构”过程。
  3. VM 现在可以进行复制了。 在“复制”>“选择虚拟机”中验证是否仅显示了该租户的 VM。

专用托管解决方案

如下图所示,专用托管解决方案中的体系结构差异在于,每个租户的基础结构是专为该租户设置的。

Diagram that shows the architectural difference in a dedicated hosting solution is that each tenant's infrastructure is set up for that tenant only.
多个 vCenter 的专用托管方案

托管服务解决方案

如下图所示,托管服务解决方案中的体系结构差异在于,每个租户的基础结构在物理上也是与其他租户的基础结构分隔开的。 当租户拥有基础结构但需解决方案提供商管理灾难恢复时,通常使用此方案。

architecture-shared-hsp
多个 vCenter 的托管服务方案

后续步骤