在本地数据中心和 Azure 之间设置保护

  • 项目

 

适用于:Windows Azure Pack

按照下文所述设置保护:

  1. Prerequisites for on-premises to Azure protection— 检查是否一切就位。

  2. 创建保管库—创建保管库 in the Azure Site Recovery portal.

  3. 安装和配置 Azure Site Recovery 提供程序 - 从 Azure Site Recovery 门户下载提供程序。 在数据中心的 VMM 服务器上安装和配置提供程序。 该提供程序将服务器连接到 Azure Site Recovery 门户。

  4. 添加 Azure 存储帐户- 如果尚没有 Azure 存储帐户,可以从 Azure Site Recovery 门户设置一个。

  5. 安装 Azure 恢复服务代理- 下载代理。 在想要保护的每个 HYPER-V 主机服务器上对其进行安装和配置。

  6. 配置云设置— 为 VMM 云配置保护设置。

  7. 设置 Runbook- 配置并调度单个主要 Runbook 以设置 Azure Site Recovery 保护。 而此主要 Runbook 会调用多个其他 Runbook。

  8. 配置计划- 在本地站点上启用对公共计划或附加设备的 Azure Site Recovery 保护。

  9. 租户步骤- 为了设置虚拟机保护,租户将自助服务 Azure 包门户用于:

    • 订阅计划或附加设备- 租户订阅计划或附加启用了虚拟机保护的本地站点。

    • 创建虚拟机- 在计划订阅下,租户在本地站点上创建虚拟机或虚拟机角色。

    • 创建 VM 网络- 租户可在本地站点上创建虚拟网络,以指定在故障转移后副本虚拟机将如何连接到网络。 租户创建虚拟网络时,将在 VMM 服务器上配置具有相同设置的 VM 网络。

  10. 设置网络映射 - 如果租户已创建虚拟网络,则你可以在主 Azure 网络和目标 Azure 网络上的 VM 网络之间设置网络映射。 网络映射:

    • 确保虚拟机在故障转移后连接到合适的 VM 网络。 副本虚拟机将连接到映射到主网的 Azure 网络。 

    • 如果未配置网络映射,则复制的虚拟机在故障转移后将不会连接到任何 VM 网络。

    了解 网络映射

  11. 正在检测和复制虚拟机 - Runbook 会自动检测已启用保护的计划或附加设备订阅。 Runbook 在订阅中自动启用虚拟机的保护并启动初始复制。

  12. 运行故障转移 - 初始复制完成后,你可以根据需要随时运行测试、计划或非计划的故障转移。

创建保管库

  1. 登录到 Azure 管理门户。 展开 Data Services恢复服务>>Site Recovery保管库。 单击“ 新建>快速创建”。

  2. 键入保管库的名称,然后选择地理区域。 有关详细信息,请参阅 地理可用性 (https://go.microsoft.com/fwlink/?LinkID=389880) 。

  3. 单击“创建保管库”。 检查状态栏,确认已成功创建保管库。 它将在恢复服务主页上被列为“活动”

安装并配置 Azure Site Recovery 提供程序

  1. 在 Azure Site Recovery 门户中打开“快速"开始"菜单”页>“生成注册密钥文件”。

  2. 自动生成密钥文件。 请将其下载到一个安全且可访问的位置。 例如,下载到可由 VMM 服务器访问的共享。 下载后,你需要将文件复制到每个站点的 VMM 服务器。 在 VMM 服务器上配置提供程序设置时,你将需要此密钥。 请注意:

    • 密钥生成后,有效期为 5 天。

    • 你可随时重新生成此密钥。 重新生成将覆盖该文件的旧版本,并且你需要使用新密钥重新配置每个 VMM 服务器上的提供程序。

  3. 在“快速启动” 页上,单击“下载 Microsoft Azure Site Recovery 提供程序” 以下载最新版本的提供程序安装文件。

  4. 在本地站点中的 VMM 服务器上运行该文件。 安装前需停止 VMM 服务。 安装后该服务将自动重启。 如果已部署了 VMM 群集,请在群集的活动节点上安装提供程序并在 Azure Site Recovery 保管库中注册 VMM 服务器。 然后在群集的其他节点上安装它。

  5. “Microsoft 更新”中,你可以选择启用更新。 当启用了此设置时,会根据 Microsoft 更新策略自动安装提供程序更新。

  6. 安装提供程序后,继续设置以在保管库中注册服务器。 

  7. 在“Internet 连接”中,指定在 VMM 服务器上运行的提供程序通过 Internet 连接到 Azure Site Recovery 的方式。 你可以选择不使用代理,在 VMM 服务器显示为“已连接”时使用 VMM 服务器上配置的默认代理,或者使用自定义代理服务器。 注意以下事项:

    • 如果 VMM 服务器上的默认代理服务器需要身份验证,则你应选择使用自定义代理服务器。 键入默认代理详细信息并指定凭据。

    • 如果想使用自定义代理服务器,请在安装提供程序之前设置它。

    • 通过代理免除对以下地址进行路由:

      • 用于连接到 Azure Site Recovery 的 URL:*.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • 请注意,如果你需要允许对 Azure 域控制器进行出站连接,请允许 Azure 数据中心 IP 范围中描述的 IP 地址,并允许 HTTP (80) 和 HTTPS (443) 协议。 

    • 如果你选择使用自定义代理,则将使用指定的代理凭据自动创建 VMM 运行方式帐户 (DRAProxyAccount)。 对代理服务器进行配置以便该帐户可以成功通过身份验证。

  8. 在“注册密钥”中,选择你从 Azure Site Recovery 下载并复制到 VMM 服务器的注册密钥。

  9. 在“保管库名称”中,验证要将服务器注册到的保管库。

  10. 在“服务器名称”中,指定一个友好名称以在保管库中标识该 VMM 服务器。 在群集配置中,指定 VMM 群集角色名称。 

  11. “初始云元数据同步”中,选择是否要在 VMM 服务器上与保管库同步所有云的元数据。 此操作在每个服务器上只需执行一次。 如果不希望同步所有云,可以将此设置保留为未选中状态并在 VMM 控制台中的云属性中分别同步各个云。

  12. 在“数据加密”中,指定用于对复制到 Azure 的虚拟机进行数据加密的证书设置。 如果你从一个本地站点复制到另一个本地站点,则此选项无关。

注册后,Azure Site Recovery 将检索 VMM 服务器中的元数据。 注册后,可在 VMM 控制台中更改提供程序设置,也可从命令行中进行更改。 有关详细信息,请参阅 修改提供程序设置

安装 Azure 恢复服务代理

  1. “快速"开始"菜单”页上,单击“下载 Azure Site Recovery 服务代理并在主机上安装”以获取最新版本的代理安装文件。

  2. 在 VMM 云中,在每个 HYPER-V 主机服务器上运行安装文件,并执行向导中的步骤。

  3. “先决条件检查 ”页上,单击“ 下一步”。 将自动安装任何缺少的必备组件。

  4. “安装设置”页上,指定要安装代理的位置,并选择将存储备份元数据的缓存位置。 然后单击“安装”。

配置云设置

  1. 在 Azure Site Recovery 门户中,打开保管库中的“受保护项目” 选项卡。

  2. 与 Azure Site Recovery 同步的云将显示在列表中。

  3. 选择要保护的云,然后单击 “配置”

  4. “目标”中,选择 “Microsoft Azure”

  5. “订阅”中,选择与想要用来存储 Azure 虚拟机的 Azure 存储关联的订阅。

  6. “存储帐户”中,选择想要使用的存储帐户。

  7. “复制频率” 中,指定对源位置和目标位置之间的数据进行同步的频率。 默认值为 5 分钟。

  8. “保留恢复点” 中,指定是否要创建其他恢复点(从 0 到 15)。 其他恢复点包含一个或多个快照,并且它们使你可以从以前的时间点恢复虚拟机的快照。  设置为零时,仅主虚拟机的最新恢复点会存储为副本。 如果你将设置配置为大于零,则将根据此值创建相应数量的恢复点。 请注意,启用多个恢复点需要为在每个恢复点上存储的快照提供额外的存储。 默认情况下,每隔一小时会创建恢复点,因此每个恢复点包含一小时的有用数据。

  9. 在“与应用程序一致的快照的频率”中,指定以何频率创建与应用程序一致的快照。 这些快照使用卷影复制服务 (VSS) 以确保在拍摄快照时应用程序处于一致的状态。 请注意,如果启用了与应用程序一致的快照,它将影响在源虚拟机上运行的应用程序的性能。

  10. “加密存储数据”中,指定是否应对传输的复制数据进行加密存储。 可以指定复制应当立即启动,或者选择一个时间。 我们建议你将网络复制安排在非高峰时段。

设置 Runbook

大量 Runbook 帮助你设置虚拟机保护。 在本地站点上调度和配置主要 Runbook。 反过来,该 Runbook 会根据指定的计划调用其他 Runbook。

  1. 下载 Runbook

  2. 配置和安排主要 Runbook

下表对 Runbook 进行了总结。

Runbook

详细信息

参数

InvokeAzureSiteRecoveryProtectionJob.ps1

主要 Runbook。 它按以下顺序调用其他 Runbook。

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

运行注册 Runbook 后,这是需要运行的唯一 Runbook。

LeaderVMMConnection - 无需保护 Azure

Nonleader/SecondaryVMMConnection- 无需对 Azure 进行保护

PrimarySiteAdminConnection— 资产类型:连接;连接类型:MgmntSvcAdmin;.

PrimaryVmmAdminConnection— 资产类型:连接。 连接类型:VMM 连接;

RecoverySiteAdminConnection- 无需对 Azure 进行保护

RecoverySitePlanSuffix- 无需对 Azure 进行保护

Add-AzureSiteRecoverySubscription.ps1

将启用了 Azure Site Recovery 的主戳中的计划的所有订阅自动添加到辅助戳中的计划。

参数设置在主要 Runbook 中

Add-AzureSiteRecoverySecretTransferKey.ps1 

同步主 VMM 服务器和辅助 VMM 服务器之间的加密密钥。 首次启动 Azure Site Recovery 时自动生成此加密密钥。 租户的虚拟机复制到辅助数据中心时具有与其关联的租户信息,以便租户在发生故障转移时可以访问复制的虚拟机。 此密钥用于加密该元数据。

参数设置在主要 Runbook 中

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

查询所有订阅并检查是否已启用保护。 然后针对每个订阅,它会查询所有虚拟机,并且在匹配的订阅启用了保护时启用保护。

参数设置在主要 Runbook 中

Get-WindowsToken.ps1

此 Runbook 由其他 Runbook 用于运行 Cmdlet。

此表对 Runbook 进行了总结。

下载 Runbook

  1. Microsoft 脚本中心下载 Runbook。

  2. 按以下顺序导入并发布以下各项:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1(主要 Runbook)

配置和安排主要 Runbook

  1. 自动化>Runbook 中 ,单击以打开 InvokeAzureSiteRecoveryProtectionJob.ps1

  2. 单击“计划” 来指定应运行 Runbook 的时间。 在“配置计划” 页上,指定计划名和说明。

  3. 在“时间” 中,依次选择“每天” 和开始时间。

  4. 在“指定 Runbook 参数值” 中,指定在主要 Runbook 调用的 Runbook 中使用的参数:

    1. LeaderVMMConnection- 无需对 Azure 进行保护。

    2. NonLeaderVMMConnection- 无需对 Azure 进行保护

    3. PrimarySiteAdminConnection— 运行 Azure 包管理员门户的主数据中心中的计算机的 FQDN 和管理员凭据。 登录到主门户时需要此参数。 指定你创建的资产变量的名称。

    4. PrimaryVmmAdminConnection — 主 VMM 服务器的 FQDN 和计算机管理员凭据。

    5. RecoverySiteAdminConnection— 运行 Azure 包管理员门户的辅助数据中心中的计算机的 FQDN 和管理员凭据。 无需对 Azure 进行保护。

    6. RecoverySitePlanSuffix— 如果主数据中心的计划名称不具有后缀 –Recovery ,则你需要提供一个文本后缀以便可在辅助数据中心计划上成功同步订阅。 无需对 Azure 进行保护。

配置计划

配置了云设置并且设置了 Runbook 后,在本地主数据中心内对现有计划或附加设备启用保护。 或者,你可以创建一个启用了保护的新计划。

在计划或外接程序上启用保护

  1. 若要将功能添加到 Azure 包门户中的已发布计划,请单击“计划” 。 在“计划” 选项卡上打开相关计划,或者在“外接程序” 选项卡上打开外接程序。

  2. 在“计划服务” 或“外接程序服务” 中,单击“虚拟机云” 。 在“自定义设置” 中,选择“启用对所有虚拟机的保护”

租户步骤

若要部署虚拟机保护,租户将需要:

  1. 注册计划或附加设备- 在与你讨论了其虚拟机保护要求后,租户将订阅使用自助服务 Azure 包门户的本地站点上的计划或附加设备。

  2. 创建虚拟机— 租户在与计划或外接程序关联的订阅下创建虚拟机或虚拟机角色。 在关联的 VMM 云上创建虚拟机。 虚拟机所有者为创建虚拟机的用户的名称。

  3. 创建 VM 网络— 在自助服务 Azure 包门户中,租户可选择基于 VMM 逻辑网络创建虚拟网络。 如果租户想确保在故障转移后其副本虚拟机将连接到合适的网络,则他们应创建虚拟网络。

    . 租户创建虚拟网络时,将在关联的 VMM 云上自动创建具有相同设置的 VM 网络。

设置网络映射

在租户创建了 VM 网络之后,你可以在 Azure Site Recovery 门户中设置网络映射,以将主站点上的 VM 网络映射到 Azure 网络。 这些映射指示故障转移后连接副本虚拟机的方式。

  1. 在 Azure 中创建一个 Azure 网络,该网络的设置与在本地主 VMM 服务器上自动创建的 VM 网络的设置相同。 然后,配置网络映射。

  2. 在 Azure Site Recovery门户中打开“资源”页>网络>映射

  3. 选择想要从其中映射网络的 VMM 服务器,然后选择 Azure。 此时会显示源网络及其关联的目标网络的列表。 对当前未映射的网络显示空值。 若要查看每个网络的子网,单击网络名旁边的信息图标。

  4. 在“源的网络”中选择一个网络,然后单击“映射”。 服务将检测 Azure 网络,并加以显示。 

  5. 选择 Azure 网络。 

  6. 单击复选标记以完成映射过程。 作业开始跟踪映射进度。 在“作业” 选项卡上查看它。

正在检测和复制虚拟机

“Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1” Runbook 检测启用了保护的计划或外接程序的订阅,然后启用这些订阅中的虚拟机保护。 这根据 Runbook 计划自动发生。 不需要任何管理员操作。

运行故障转移

初始复制后,你将如下运行故障转移:

  • 测试故障转移 — 运行以验证环境,并且不影响生产基础结构。 如果租户请求,则你可以运行测试故障转移。 有关说明,请参阅 运行测试故障转移

  • 计划的故障转移 — 针对计划维护或在发生意外中断时运行。 请参阅 运行故障转移

  • 未计划的故障转移 — 针对未计划的停机造成的灾难恢复运行。 请参阅 运行故障转移

访问复制的虚拟机

具有 Azure Site Recovery 的故障转移会在 Azure 中创建副本虚拟机。 故障转移后,服务管理员可以使用其凭据登录到 Azure 门户,并从该门户访问副本虚拟机。  然后,管理员可以在虚拟机上配置应用程序和 RDP 端口,以提供租户访问权限。 请注意,如果租户通过 VPN 连接访问数据中心的虚拟机,你将需要在租户位置和 Azure 之间设置 VPN 连接,以便他们也可以通过 VPN 访问复制的虚拟机。