在两个本地数据中心之间设置保护

  • 项目

 

适用于:Windows Azure Pack

设置保护,如下所示:

  1. 本地到本地保护的先决条件 - 检查一切是否就绪。

  2. 创建保管库 - 在 Azure Site Recovery 门户中创建保管库。

  3. 安装和配置 Azure Site Recovery 提供程序 - 在每个站点的 VMM 服务器上安装和配置 Azure Site Recovery 提供程序。 该提供程序将服务器连接到 Azure Site Recovery 门户。

  4. 配置云设置 - 为 VMM 云配置保护设置。 包含要保护的虚拟机的云被称为主要云。 包含虚拟机要对其进行复制的 Hyper-V 主机服务器的云被称为辅助云。 每个云都可以用作保护辅助云的主要云,也可以用作受保护的辅助云。 一个云不能即为主要云,又为辅助云。

  5. 设置 Runbook - 配置并调度单个主要 Runbook 以设置 Azure Site Recovery 保护。 而此主要 Runbook 会调用多个其他 Runbook。

  6. 配置计划 - 在主站点上启用对公共计划或附加设备的 Azure Site Recovery 保护,并在辅助站点上创建具有相同设置的私有计划。

  7. 租户步骤 - 为了设置虚拟机保护,租户将自助服务 Azure 包门户用于:

    1. 订阅计划或外接程序— 租户订阅计划或外接启用了虚拟机保护的主数据中心。

    2. 创建虚拟机— 在订阅计划的情况下,租户在主站点上创建虚拟机或虚拟机角色。

    3. 创建 VM 网络- 租户可在主站点上创建虚拟网络以指定副本虚拟机在故障转移后如何连接到网络。 租户创建虚拟网络时,将在主 VMM 服务器上配置具有相同设置的 VM 网络。

  8. 设置网络映射 - 如果租户已创建虚拟网络,则可以在主 VMM 服务器和辅助 VMM 服务器上设置 VM 网络之间的网络映射。 网络映射:

    • 确保虚拟机在故障转移后连接到合适的 VM 网络。 副本虚拟机将连接到映射到主网络的辅助网络。 

    • 最好将副本虚拟机放在 Hyper-V 主机服务器上。 将副本虚拟机放在可访问映射的 VM 网络的主机上。

    如果未配置网络映射,则复制的虚拟机在故障转移后将不会连接到任何 VM 网络。 了解 网络映射

  9. 验证用户帐户 - 你将需要先验证与计划或附加设备订阅关联的用户凭据在主站点和辅助站点上是否有效,然后才可复制虚拟机。

  10. 正在检测和复制虚拟机 - Runbook 会自动检测已启用保护的计划或附加设备订阅。 Runbook 在订阅中自动启用虚拟机的保护并启动初始复制。

  11. 运行故障转移 - 初始复制完成后,你可以根据需要随时运行测试、计划或非计划的故障转移。

创建保管库

  1. 登录到 Azure 管理门户。 展开 Data Services>恢复服务>Site Recovery保管库。 单击“ 新建>快速创建”。

  2. 键入保管库的名称,然后选择地理区域。 有关详细信息,https://go.microsoft.com/fwlink/?LinkID=389880请参阅地理可用性 () 。

  3. 单击“创建保管库”。 检查状态栏,确认已成功创建保管库。 它将在恢复服务主页上被列为“活动”

安装并配置 Azure Site Recovery 提供程序

  1. 在 Azure Site Recovery 门户中打开“快速"开始"菜单”页>,生成注册密钥文件

  2. 自动生成密钥文件。 请将其下载到一个安全且可访问的位置。 例如,下载到可由 VMM 服务器访问的共享。 下载后,你需要将文件复制到每个站点的 VMM 服务器。 在 VMM 服务器上配置提供程序设置时,你将需要此密钥。 请注意:

    • 密钥生成后,有效期为 5 天。

    • 你可随时重新生成此密钥。 重新生成将覆盖该文件的旧版本,并且你需要使用新密钥重新配置每个 VMM 服务器上的提供程序。

  3. 在“快速启动” 页上,单击“下载 Microsoft Azure Site Recovery 提供程序” 以下载最新版本的提供程序安装文件。

  4. 在主数据中心和辅助数据中心的 VMM 服务器上运行此文件。 安装前需停止 VMM 服务。 安装后该服务将自动重启。 如果已部署了 VMM 群集,请在群集的活动节点上安装提供程序并在 Azure Site Recovery 保管库中注册 VMM 服务器。 然后在群集的其他节点上安装它。

  5. “Microsoft 更新”中,你可以选择启用更新。 当启用了此设置时,会根据 Microsoft 更新策略自动安装提供程序更新。

  6. 安装提供程序后,继续设置以在保管库中注册服务器。 

  7. 在“Internet 连接”中,指定在 VMM 服务器上运行的提供程序通过 Internet 连接到 Azure Site Recovery 的方式。 你可以选择不使用代理,在 VMM 服务器显示为“已连接”时使用 VMM 服务器上配置的默认代理,或者使用自定义代理服务器。 注意以下事项:

    • 如果 VMM 服务器上的默认代理服务器需要身份验证,则你应选择使用自定义代理服务器。 键入默认代理详细信息并指定凭据。

    • 如果想使用自定义代理服务器,请在安装提供程序之前设置它。

    • 通过代理免除对以下地址进行路由:

      • 用于连接到 Azure Site Recovery 的 URL:*.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • 请注意,如果你需要允许对 Azure 域控制器进行出站连接,请允许 Azure 数据中心 IP 范围中描述的 IP 地址,并允许 HTTP (80) 和 HTTPS (443) 协议。 

    • 如果你选择使用自定义代理,则将使用指定的代理凭据自动创建 VMM 运行方式帐户 (DRAProxyAccount)。 对代理服务器进行配置以便该帐户可以成功通过身份验证。

  8. 在“注册密钥”中,选择你从 Azure Site Recovery 下载并复制到 VMM 服务器的注册密钥。

  9. 在“保管库名称”中,验证要将服务器注册到的保管库。

  10. 在“服务器名称”中,指定一个友好名称以在保管库中标识该 VMM 服务器。 在群集配置中,指定 VMM 群集角色名称。 

  11. “初始云元数据同步”中,选择是否要在 VMM 服务器上与保管库同步所有云的元数据。 此操作在每个服务器上只需执行一次。 如果不希望同步所有云,可以将此设置保留为未选中状态并在 VMM 控制台中的云属性中分别同步各个云。

  12. 在“数据加密”中,指定用于对复制到 Azure 的虚拟机进行数据加密的证书设置。 如果你从一个本地站点复制到另一个本地站点,则此选项无关。

注册后,Azure Site Recovery 将检索 VMM 服务器中的元数据。 注册后,可在 VMM 控制台中更改提供程序设置,也可从命令行中进行更改。 有关详细信息,请参阅 修改提供程序设置

配置云设置

  1. 在 Azure Site Recovery 门户中,打开保管库中的“受保护项目” 选项卡。

  2. 与 Azure Site Recovery 同步的云将显示在列表中。

  3. 选择要保护的主要云,然后单击“配置”

  4. 在“目标”中,选择“VMM”。

  5. “VMM 服务器”中,选择辅助站点中的 VMM 服务器。

  6. 在“目标云” 中,选择将在源云中用于虚拟机故障转移的辅助云。

  7. “复制频率” 中,指定对源位置和目标位置之间的数据进行同步的频率。 默认值为 5 分钟。

  8. 在“其他恢复点”中,指定是否要创建其他恢复点(从 0-15)。 其他恢复点包含一个或多个快照,并且它们使你可以从以前的时间点恢复虚拟机的快照。  设置为零时,仅主虚拟机的最新恢复点会存储为副本。 如果你将设置配置为大于零,则将根据此值创建相应数量的恢复点。 请注意,启用多个恢复点需要为在每个恢复点上存储的快照提供额外的存储。 默认情况下,每隔一小时会创建恢复点,因此每个恢复点包含一小时的有用数据。

  9. 在“与应用程序一致的快照的频率”中,指定以何频率创建与应用程序一致的快照。 这些快照使用卷影复制服务 (VSS) 以确保在拍摄快照时应用程序处于一致的状态。 请注意,如果启用了与应用程序一致的快照,它将影响在源虚拟机上运行的应用程序的性能。

  10. 在“数据传输压缩”中,指定是否应压缩所传输的复制数据。

  11. 在“身份验证”中,指定如何对主要与恢复 Hyper-V 主机服务器之间的流量进行身份验证。 如果选择 HTTPS,则主机服务器将相互使用服务器证书进行身份验证,并且通信通过 HTTPS 加密。 如果选择 Kerberos,则 Kerberos 票证将用于对主机服务器进行手动身份验证。 默认情况下,端口 8083 和 8084(用于证书)在 Hyper-V 主机服务器上的 Windows 防火墙中将处于打开状态。 请注意,将通过 HTTP 发送通信。 此设置仅适用于在 Windows Server 2012 R2 上运行的 VMM 服务器。

  12. 在“端口” 中,修改希望源主计算机和目标主计算机在其上侦听复制通信的端口号。 例如,如果希望对复制通信应用服务质量 (QoS) 网络带宽限制,可以修改此设置。 确认该端口未被任何其他应用程序使用并且在防火墙设置中已打开。

  13. 在“复制方法” 中,指定在增量数据的常规复制开始前如何处理数据从源位置到目标位置的初始复制:

    • 选择“通过网络”以通过网络复制初始复制数据。 可以指定复制应当立即启动,或者选择一个时间。 我们建议你将网络复制安排在非高峰时段。

    • 选择“脱机”以使用外部媒体执行初始复制。 在源云上指定输出位置,在目标云上指定输入位置。 为虚拟机启用保护时,虚拟硬盘将复制到指定的导出位置。 将其发送到目标站点,并将其复制到导入位置。 系统将导入的信息复制到副本虚拟机。

  14. 选择“删除副本虚拟机”可指定通过在云属性的“虚拟机”选项卡上选择“禁用对虚拟机的保护”选项停止保护虚拟机时,是否应删除副本虚拟机。 启用此设置后,禁用保护时,会从 Azure Site Recovery 中删除该虚拟机,从 VMM 控制台中删除该虚拟机的 Site Recovery 设置,并且会删除副本。

设置 Runbook

大量 Runbook 帮助你设置虚拟机保护。 在主站点上安排和配置主要 Runbook。 反过来,该 Runbook 会根据指定的计划调用其他 Runbook。

  1. 下载 Runbook

  2. 配置和安排主要 Runbook

下表对 Runbook 进行了总结。

Runbook

详细信息

参数

InvokeAzureSiteRecoveryProtectionJob.ps1

主要 Runbook。 它按以下顺序调用其他 Runbook。

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

运行注册 Runbook 后,这是需要运行的唯一 Runbook。

LeaderVMMConnection— 资产类型:连接;连接类型:VMM 连接;

Nonleader/SecondaryVMMConnection— 资产类型:连接;连接类型:VMM 连接;

PrimarySiteAdminConnection— 资产类型:连接;连接类型:MgmntSvcAdmin;.

PrimaryVmmAdminConnection— 资产类型:连接。 连接类型:VMM 连接;

RecoverySiteAdminConnection— 资产类型:连接;连接类型:MgmntSvcAdmin;

RecoverySitePlanSuffix— 可选。 资产类型:连接;连接类型:MgmntSvcAdmin;

Add-AzureSiteRecoverySubscription.ps1

将启用了 Azure Site Recovery 的主戳中的计划的所有订阅自动添加到辅助戳中的计划。

参数设置在主要 Runbook 中

Add-AzureSiteRecoverySecretTransferKey.ps1 

同步主 VMM 服务器和辅助 VMM 服务器之间的加密密钥。 首次启动 Azure Site Recovery 时自动生成此加密密钥。 租户的虚拟机复制到辅助数据中心时具有与其关联的租户信息,以便租户在发生故障转移时可以访问复制的虚拟机。 此密钥用于加密该元数据。

参数设置在主要 Runbook 中

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

查询所有订阅并检查是否已启用保护。 然后针对每个订阅,它会查询所有虚拟机,并且在匹配的订阅启用了保护时启用保护。

参数设置在主要 Runbook 中

Get-WindowsToken.ps1

此 Runbook 由其他 Runbook 用于运行 Cmdlet。

下载 Runbook

  1. Microsoft 脚本中心下载 Runbook。

  2. 按以下顺序导入并发布以下各项:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1(主要 Runbook)

配置和安排主要 Runbook

  1. 自动化>Runbook 中 ,单击以打开 InvokeAzureSiteRecoveryProtectionJob.ps1

  2. 单击“计划” 来指定应运行 Runbook 的时间。 在“配置计划” 页上,指定计划名和说明。

  3. 在“时间” 中,依次选择“每天” 和开始时间。

  4. 在“指定 Runbook 参数值” 中,指定在主要 Runbook 调用的 Runbook 中使用的参数:

    1. LeaderVMMConnection— 运行 VMM 的计算机的 FQDN 和计算机管理员凭据。 指定你创建的资产变量的名称。

    2. NonLeaderVMMConnection— 运行 VMM 的辅助站点上的计算机的 FQDN 和管理员凭据。 指定你创建的资产变量的名称。

    3. PrimarySiteAdminConnection— 运行 Azure 包管理员门户的主数据中心中的计算机的 FQDN 和管理员凭据。 登录到主门户时需要此参数。 指定你创建的资产变量的名称。

    4. PrimaryVmmAdminConnection — 主 VMM 服务器的 FQDN 和计算机管理员凭据。

    5. RecoverySiteAdminConnection— 运行 Azure 包管理员门户的辅助数据中心中的计算机的 FQDN 和管理员凭据。

    6. RecoverySitePlanSuffix— 如果主数据中心的计划名称不具有后缀 –Recovery ,则你需要提供一个文本后缀以便可在辅助数据中心计划上成功同步订阅。

配置计划

配置云设置并设置 Runbook 后,将保护选项添加到计划或外接程序。

  1. 启用保护— 在主数据中心启用现有计划或外接程序的保护。 或者,你可以创建一个启用了保护的新计划。

  2. 在辅助数据中心创建私有计划— 你需要在辅助数据中心手动创建一个具有相同设置的私有计划。

在计划或外接程序上启用保护

  1. 若要将功能添加到 Azure 包门户中的已发布计划,请单击“计划” 。 在“计划” 选项卡上打开相关计划,或者在“外接程序” 选项卡上打开外接程序。

  2. 在“计划服务” 或“外接程序服务” 中,单击“虚拟机云” 。 在“自定义设置” 中,选择“启用对所有虚拟机的保护”

在辅助数据中心创建计划

你需要在辅助站点上手动创建一个具有相同设置的计划。 在该计划就位的情况下, Add-AzureSiteRecoverySubscription.ps1 Runbook 将在辅助站点的匹配计划下自动创建主站点的计划下的订阅。

  1. 若要在 Azure Pack 门户中创建计划,请单击左侧导航窗格中 > 的“计划”新建 > 创建计划。 从“开始创建宿主计划”,创建一个具有与主站点上的计划匹配的设置的计划。

  2. 请注意,计划名称的格式应为 <PrimaryPlanName-text><>。<PrimaryPlanName> 必须是主站点上计划的名称。 建议使用 –Recovery ,因为这是 Add-AzureSiteRecoverySubscription.ps1 Runbook 认可的默认后缀,该 Runbook 自动将主站点上的计划订阅和辅助站点上的私有计划进行同步。 例如:MyPrimaryPlan–Recovery

租户步骤

若要部署虚拟机保护,租户将需要:

  • 注册计划或附加设备- 在与你讨论了其虚拟机保护要求后,租户将使用自助服务 Azure 包门户订阅启用了保护的主站点上的计划或附加设备。

    如果在辅助站点上创建了具有相同设置的计划,则主要 Runbook 将调用 Add-AzureSiteRecoverySubscription.ps1 以在辅助计划下创建租户订阅。

  • 创建虚拟机— 租户在与计划或外接程序关联的订阅下创建虚拟机或虚拟机角色。 在关联的 VMM 云上创建虚拟机。 虚拟机所有者为创建虚拟机的用户的名称。

  • 创建 VM 网络— 在自助服务 Azure 包门户中,租户可选择基于 VMM 逻辑网络创建虚拟网络。 如果租户想确保在故障转移后其副本虚拟机将连接到合适的网络,则他们应创建虚拟网络。

    . 租户创建虚拟网络时,将在关联的 VMM 云上自动创建具有相同设置的 VM 网络。

设置网络映射

在租户创建 VM 网络之后,你可以在 Azure Site Recovery 门户中设置网络映射以将主站点上的 VM 网络映射到辅助站点上的 VM 网络。 这些映射指示故障转移后连接副本虚拟机的方式。

  1. 在辅助站点的 VMM 服务器上创建一个 VM 网络,该网络的设置与主 VMM 服务器上自动创建的 VM 网络的设置相同。 然后,配置网络映射。

  2. 在 Azure Site Recovery门户中打开“资源”页>网络>映射

  3. 选择要映射其中的网络的源 VMM 服务器,然后选择要将网络映射到的目标 VMM 服务器。 此时会显示源网络及其关联的目标网络的列表。 对当前未映射的网络显示空值。 若要查看每个网络的子网,单击网络名旁边的信息图标。

  4. 在“源的网络”中选择一个网络,然后单击“映射”。 服务将检测目标服务器上的 VM 网络并显示它们。 

  5. 选择目标 VMM 服务器上的 VM 网络。 将显示使用源网络的受保护的云。 此时也会显示与用于保护的云关联的可用目标网络。 建议选择对你用于保护的所有云都可用的目标网络。

  6. 单击复选标记以完成映射过程。 作业开始跟踪映射进度。 在“作业” 选项卡上查看它。

验证用户帐户

为了复制虚拟机,订阅的用户凭据必须经由辅助 Windows Azure 包认可:

  • 如果租户使用 Active Directory 进行身份验证,请确保用户凭据得到辅助站点认可。 请注意,主站点和辅助站点必须为同一 Active Directory 林的成员。

  • 如果你使用另一种形式的身份验证,请确保凭据在辅助站点上可用。

正在检测和复制虚拟机

“Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1” Runbook 检测启用了保护的计划或外接程序的订阅,然后启用这些订阅中的虚拟机保护。 这根据 Runbook 计划自动发生。 不需要任何管理员操作。

运行故障转移

初始复制后,你将如下运行故障转移:

  • 测试故障转移 — 运行以验证环境,并且不影响生产基础结构。 如果租户请求,则你可以运行测试故障转移。 有关说明,请参阅 运行测试故障转移

  • 计划的故障转移 — 针对计划维护或在发生意外中断时运行。 请参阅 运行故障转移

  • 未计划的故障转移 — 针对未计划的停机造成的灾难恢复运行。 请参阅 运行故障转移

访问复制的虚拟机

具有 Azure Site Recovery 的故障转移会在辅助站点中创建副本虚拟机,同步订阅信息,并将副本虚拟机链接到相同的客户订阅。 故障转移后,租户可使用与主数据中心相同的凭据登录到辅助数据中心 WAP 门户中的 Azure 门户,并从该门户访问副本虚拟机。  请注意,如果租户通过 VPN 连接访问主数据中心的虚拟机,你将需要在租户位置和辅助数据中心之间设置 VPN 连接,以便他们也可以通过 VPN 访问复制的虚拟机。