为本地 VMware VM 设置到 Azure 的灾难恢复 - 新式

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

本文介绍如何使用新式 VMware/物理计算机保护体验启用本地 VMware VM 的复制,以便能够灾难恢复到 Azure。

有关如何在 Azure Site Recovery 经典版中设置灾难恢复的信息,请参阅教程

这是本系列的第二个教程,演示如何为本地 VMware VM 设置到 Azure 的灾难恢复。 在上一篇教程中,我们已准备本地 Azure Site Recovery 复制设备,以便能够灾难恢复到 Azure。

在本教程中,你将了解如何执行以下操作:

  • 设置源复制设置。
  • 设置复制目标。
  • 为 VMware VM 启用复制。

入门

VMware 到 Azure 的复制包括以下过程:

准备 Azure 帐户

若要创建并注册 Azure Site Recovery 复制设备,需要具有以下权限的帐户:

  • Azure 订阅的参与者或所有者权限。
  • Microsoft Entra 应用的注册权限。
  • Azure 订阅上用于创建 Key Vault 的所有者或参与者以及用户访问管理员权限,在无代理 VMware 迁移期间使用。

如果刚刚创建了免费的 Azure 帐户,那你就是订阅的所有者。 如果你不是订阅所有者,请与所有者合作,获取所需权限。

使用以下步骤分配所需权限:

  1. 在 Azure 门户中,搜索“订阅”,然后在“服务”下选择“订阅”搜索框,搜索所需的 Azure 订阅 。

  2. 在“订阅页”上,选择已在其中创建恢复服务保管库的订阅。

  3. 在“订阅”中,选择“访问控制(IAM)”>“检查访问权限”。 在“检查访问权限”中,搜索相关的用户帐户。

  4. 在“添加角色分配”中,选择“添加”,再选择参与者或所有者角色,然后选择帐户 。 然后选择“保存”。

  5. 若要注册 Azure Site Recovery 复制设备,你的 Azure 帐户需要具有注册 Microsoft Entra 应用的权限。

按照以下步骤分配所需权限

  1. 在 Azure 门户中,导航到“Microsoft Entra ID”>“用户”>“用户设置”。 在“用户设置”中,验证 Microsoft Entra 用户是否可注册应用程序(默认情况下设置为“是”)。

  2. 如果“应用注册”设置为“否”,则须请求租户/全局管理员分配所需权限。 租户/全局管理员必须将应用程序注册角色分配到帐户才能允许注册 Microsoft Entra 应用。

向保管库授予所需的权限

还需要将托管标识权限授予缓存存储帐户。 可以提前创建存储帐户,并使用该帐户启用复制。

根据存储帐户的类型,确保存在以下角色权限:

为自动发现准备帐户

Site Recovery 需要访问 VMware 服务器,才能够:

  • 自动发现 VM。 至少需要一个只读帐户。
  • 安排复制、故障转移和故障回复。 你需要一个可以运行诸如创建和删除磁盘、打开 VM 等操作的帐户。

按如下所述创建此帐户:

  1. 若要使用专用帐户,请 vCenter 级别创建一个角色。 为该角色指定一个名称,例如 Azure_Site_Recovery 。
  2. 为该角色分配下表中汇总的权限。
  3. 在 vCenter 服务器或 vSphere 主机上创建一个用户。 向该用户分配角色。

VMware 帐户权限

任务 角色/权限 详细信息
VM 发现 至少一个只读用户

数据中心对象 -> 传播到子对象,角色=只读
在数据中心级别分配的对数据中心内所有对象具有访问权限的用户。

要限制访问权限,请在选中“传播到子对象”的情况下将“无访问权”角色分配给子对象(vSphere 主机、数据存储、VM 和网络) 。
完全复制、故障转移、故障回复 创建一个拥有所需权限的角色 (Azure_Site_Recovery),然后将该角色分配到 VMware 用户或组

数据中心对象 –> 传播到子对象,角色=Azure_Site_Recovery

数据存储 -> 分配空间、浏览数据存储、低级别文件操作、删除文件、更新虚拟机文件

网络 -> 网络分配

资源 -> 将 VM 分配到资源池、迁移已关机的 VM、迁移已开机的 VM

任务 -> 创建任务、更新任务

虚拟机 -> 配置

虚拟机 -> 交互 -> 回答问题、设备连接、配置 CD 媒体、配置软盘媒体、关闭电源、打开电源、安装 VMware 工具

虚拟机 -> 清单 -> 创建、注册、取消注册

虚拟机 -> 预配 -> 允许虚拟机下载、允许虚拟机文件上传

虚拟机 -> 快照 -> 删除快照、创建快照、还原快照。
在数据中心级别分配的对数据中心内所有对象具有访问权限的用户。

要限制访问权限,请在选中“传播到子对象”的情况下将“无访问权”角色分配给子对象(vSphere 主机、数据存储、VM 和网络) 。

准备基础结构 - 设置 Azure Site Recovery 复制设备

你需要在本地环境中设置 Azure Site Recovery 复制设备,用于传输移动代理通信。

复制设备

启用 VMware VM 复制

将 Azure Site Recovery 复制设备添加到保管库后,便可开始保护计算机。

确保满足存储和网络的先决条件

请按照下列步骤启用复制:

  1. 在“入门”部分下,选择“Site Recovery” 。 在 VMware 部分下,单击“启用复制(新式)”。

  2. 选择要通过 Azure Site Recovery 保护的计算机类型。

    备注

    在新式版本中,仅支持虚拟机。

    选择源计算机

  3. 选择计算机类型后,选择已添加到 Azure Site Recovery 复制设备的 vCenter 服务器,该复制设备已在此保管库中注册。

  4. 搜索源计算机名称以对其进行保护。 若要查看所选的计算机,请选择“选定的资源”。

  5. 选择 VM 列表后,选择“下一步”继续设置源。 在这里,请选择复制设备和 VM 凭据。 这些凭据将用于通过 Azure Site Recovery 复制设备在计算机上推送移动代理,以完成 Azure Site Recovery 的启用。 确保准确选择凭据。

    备注

    对于 Linux OS,请确保提供根凭据。 对于 Windows OS,应添加具有管理员权限的用户帐户。 这些凭据将用于在启用复制操作期间将移动服务推送到源计算机上。

    源设置

  6. 选择“下一步”以提供目标区域属性。 默认选择保管库订阅和保管库资源组。 你可以选择想选的订阅和资源组。 将来执行故障转移时,源计算机会被部署到此订阅和资源组中。

    目标属性

  7. 接下来,你可以选择一个现有的 Azure 网络或新建一个目标网络,以供在故障转移期间使用。 如果选择“新建”,系统会将你重定向到“创建虚拟网络上下文”边栏选项卡,并要求你提供地址空间和子网详细信息。 系统将在上一步所选的目标订阅和目标资源组中创建此网络。

  8. 然后,请提供测试故障转移网络详细信息。

    备注

    请确保测试故障转移网络与故障转移网络有所不同。 这是为了确保在实际灾难发生时,可随时使用故障转移网络。

  9. 选择存储。

    • 缓存存储帐户:现在,请选择缓存存储帐户,Azure Site Recovery 将该帐户用于暂存,也就是在将更改写入托管磁盘之前缓存和存储日志。

      默认情况下,Azure Site Recovery 将创建一个新的 LRS v1 类型的存储帐户,用于在保管库中首次启用复制操作。 对于后续操作,将重复使用相同的缓存存储帐户。

    • 托管磁盘

      默认情况下,在 Azure 中创建的是标准 HDD 托管磁盘。 你可以通过选择“自定义”来自定义托管磁盘的类型。 根据业务需求选择磁盘类型。 确保根据源计算机磁盘的 IOPS 选择适当的磁盘类型。 有关定价信息,请参阅此处的托管磁盘定价文档。

      注意

      如果在启用复制之前手动安装了移动服务,则可以在磁盘级别更改托管磁盘的类型。 另外,在计算机级别默认可选择一种托管磁盘类型

  10. 根据需要创建新的复制策略。

    默认复制策略在保管库下创建,默认禁用 3 天的恢复点保持期和应用一致性恢复点。 可以创建新的复制策略,或者根据 RPO 要求修改现有的复制策略。

    • 选择“新建”。

    • 输入名称。

    • 输入“保持期(天)”的值。 可以输入 0 到 15 范围内的任何值。

    • 请根据需要启用应用一致性频率,并按业务需求输入“应用一致性快照频率(小时)”的值。

    • 选择“确定”来保存策略。

    将创建该策略,并用于保护所选的源计算机。

  11. 选择复制策略后,选择“下一步”。 查看源属性和目标属性。 选择“启用复制”以启动操作。

    站点恢复

    创建了一个作业来启用所选计算机的复制。 若要跟踪进度,请导航到恢复服务保管库中的 Site Recovery 作业。

设备选择

  • 你可以选择在保管库注册的任何 Azure Site Recovery 复制设备,以保护计算机。
  • 如果复制设备处于非关键状态,则可以将其用于前向和后向保护操作。 它不应影响复制的性能。

后续步骤

启用复制以后,运行灾难恢复演练,确保一切正常。