設定兩個內部部署資料中心之間的保護

  • 發行項

 

適用于:Windows Azure Pack

您可用下列方式設定保護:

  1. 內部部署到內部部署保護的必要條件- 檢查一切是否就緒。

  2. 建立保存庫 - 在 Azure Site Recovery 入口網站中建立保存庫。

  3. 安裝和設定 Azure Site Recovery 提供者— 在每個月臺的 VMM 伺服器上安裝和設定 Azure Site Recovery 提供者。 Provider 會將伺服器連接至 Azure Site Recovery 入口網站。

  4. 進行雲端設定 - 設定 VMM 雲端的保護設定。 此雲端包含您要保護的虛擬機器,又稱為主要雲端。 包含虛擬機器將複寫之目標 Hyper-V 主機伺服器的雲端,稱為次要雲端。 每個雲端都可當做保護次要雲端的主要雲端,或當做受保護的次要雲端。 但雲端不可同時為主要和次要。

  5. 設定 Runbook - 您可以設定及排程一個主要 Runbook 來設定 Azure Site Recovery 保護。 這個主要 Runbook 會接著叫用一些其他的 Runbook。

  6. 設定方案 - 您可以在主要網站上為公用方案或附加元件啟用 Azure Site Recovery 保護,並以相同的設定,在次要網站上建立一個私用方案。

  7. 租用戶步驟 - 為設定虛擬機器保護,租用戶會使用自助 Azure Pack 入口網站:

    1. 訂閱方案或附加元件– 租用戶可訂閱主要資料中心內已啟用虛擬機器保護的方案或附加元件。

    2. 建立虛擬機器– 租用戶可在方案訂用帳戶下,於主要網站上建立虛擬機器或虛擬機器角色。

    3. 建立 VM 網路– 租用戶可在主要網站上建立虛擬網路,以指定複本虛擬機器在容錯移轉之後連接至網路的方式。 當租用戶建立虛擬網路時,系統會在主要 VMM 伺服器上使用相同設定來設定 VM 網路。

  8. 設定網路對應 — 如果租使用者已建立虛擬網路,您可以在主要和次要 VMM 伺服器上設定 VM 網路之間的網路對應。 網路對應:

    • 確保虛擬機器會在容錯移轉之後連接至適當的 VM 網路。 複本虛擬機器會連接到與主要網路相對應的次要網路。 

    • 在理想情況下,請將複本虛擬機器置於 Hyper-V 主機伺服器上。 複本虛擬機器會置於可存取對應之 VM 網路的主機上。

    如果您未設定網路對應,則複寫的虛擬機器將不會在容錯移轉之後連接至任何 VM 網路。 閱讀 網路對應

  9. 確認使用者帳戶 - 您必須確認方案或附加元件訂用帳戶所關聯的使用者認證,可以在主要及次要網站上使用,才可複寫虛擬機器。

  10. 偵測及複寫虛擬機器 - Runbook 會自動偵測啟用了保護的方案或附加元件訂用帳戶。 Runbook 會對訂用帳戶中的虛擬機器自動啟用保護,並啟始初始複寫。

  11. 執行容錯移轉 - 初始複寫完成之後,您可以隨時執行測試及計劃中或非計劃中的容錯移轉。

建立保存庫

  1. 登入 Azure 管理入口網站。 展開[資料服務復原服務>>Site Recovery保存庫]。 按一下[建立新的>快速建立]。

  2. 輸入保存庫的名稱,然後選取地理區域。 如需詳細資訊, https://go.microsoft.com/fwlink/?LinkID=389880 請參閱地理可用性 () 。

  3. 按一下 [建立保存庫]。 檢查狀態列,確認已成功建立。 保存庫會在主要復原服務頁面上列為 [作用中]

安裝及設定 Azure Site Recovery Provider

  1. 在 Azure Site Recovery入口網站中,開啟 [快速啟動] 頁面 >[產生註冊金鑰檔案]。

  2. 系統會自動產生金鑰檔。 請將檔案下載到安全且可存取的位置。 例如,下載到 VMM 伺服器可存取的共用資料夾。 下載後,您必須將檔案複製到每個網站上的 VMM 伺服器。 當您在 VMM 伺服器上進行 Provider 設定時,會需要這個金鑰。 請注意:

    • 金鑰在產生後 5 天內有效。

    • 您可以隨時重新產生這個金鑰。 重新產生會覆寫舊版檔案,因此您必須使用新的金鑰重新設定每部 VMM 伺服器上的 Provider。

  3. 在 [快速入門] 頁面上,按一下 [下載 Microsoft Azure Site Recovery Provider] 下載最新版的 Provider 安裝檔案。

  4. 在主要和次要資料中心之 VMM 伺服器上,執行檔案。 您必須停止 VMM 服務,再進行安裝。 安裝後,系統會自動重新啟動服務。 如果部署 VMM 叢集,請在叢集的作用中節點上安裝 Provider,並在 Azure Site Recovery 保存庫中註冊 VMM 伺服器。 然後將它安裝在叢集的其他節點上。

  5. 在 [Microsoft Updates] 中,您可以選擇進行更新。 啟用這項設定時,會根據您的 Microsoft Update 原則來安裝提供者更新。

  6. 安裝 Provider 之後,請繼續執行安裝程式,以在保存庫中註冊伺服器。 

  7. 在 [網際網路連線] 中,指定在 VMM 伺服器上執行的「提供者」如何透過網際網路與「Azure 站台復原」連接。 您可以選擇不使用 Proxy,在 VMM 顯示為已連接時使用 VMM 伺服器上設定的預設 Proxy,或使用自訂 Proxy 伺服器。 請注意:

    • 如果 VMM 伺服器上的預設 Proxy 伺服器需要驗證,則您應該選擇使用自訂 Proxy 伺服器。 輸入預設 Proxy 詳細資料,然後指定認證。

    • 如果您要使用自訂 Proxy 伺服器,請先進行設定,再安裝 Provider。

    • 避免下列位址透過 Proxy 路由傳送:

      • 連接到 Azure Site Recovery 的 URL:*.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net

      • *.store.core.windows.net

    • 請注意,如有需要允許對 Azure 網域控制站的連出連線,請允許 Azure Datacenter IP 範圍中所述的 IP 位址,以及允許 HTTP (80) 與 HTTPS (443) 通訊協定。 

    • 如果您選擇使用自訂 Proxy,系統會使用指定的 Proxy 認證自動建立 VMM RunAs 帳戶 (DRAProxyAccount)。 設定 proxy 伺服器,讓此帳戶可以成功進行驗證。

  8. 在 [註冊金鑰] 中,選取從「Azure 站台復原」下載並複製到 VMM 伺服器的金鑰。

  9. 在 [保存庫名稱] 中,確認要註冊伺服器的保存庫。

  10. 在 [伺服器名稱] 中,指定保存庫中 VMM 伺服器的易記識別名稱。 在叢集設定中,指定 VMM 叢集角色名稱。 

  11. 在 [初始雲端中繼資料同步] 中,選取是否要對保存庫和 VMM 伺服器上所有雲端的中繼資料進行同步處理。 這個動作只需要在每個伺服器上進行一次。 如果不要同步所有雲端,您可以取消核取這項設定,再於 VMM 主控台的雲端屬性中個別同步每個雲端。

  12. 在 [資料加密] 中,為複寫至 Azure 的虛擬機器指定資料加密的憑證設定。 如果您要從一個內部部署網站複寫至另一個內部部署網站,則與這個選項無關。

註冊後,Azure Site Recovery 即可從 VMM 伺服器擷取中繼資料。 註冊後,您可以在 VMM 主控台中,或從命令列變更 Provider 設定。 如需詳細資訊,請參閱 修改 Provider 設定(英文)。

進行雲端設定

  1. 在 Azure Site Recovery 入口網站中,開啟保存庫中的 [受保護項目] 索引標籤。

  2. 與 Azure Site Recovery 同步處理的雲端會顯示在清單中。

  3. 選取您要保護的主要雲端,然後按一下 [設定]

  4. 在 [目標] 中,選取 [VMM]

  5. 在 [VMM 伺服器] 中,選取次要站台中的 VMM 伺服器。

  6. 在 [目標雲端] 中,選取要對來源雲端中虛擬機器進行容錯移轉所使用的次要雲端。

  7. 在 [複製頻率] 中,指定應該在來源和目標位置之間同步處理資料的頻率。 預設為五分鐘。

  8. [其他復原點] 中,指定是否要建立其他復原點 (0 到 15)。 其他復原點包含一或多個快照,可讓您復原先前某個時間點的虛擬機器快照。  設為零時,只會將最近復原點的主要虛擬機器儲存為複本。 如果您設定大於零的設定,則會根據這個值建立復原點數目。 請注意,啟用多個復原點需要額外的儲存體給儲存在每個復原點的快照集。 根據預設,每個小時都會建立復原點,所以每個復原點都包含一小時有價值的資料。

  9. 在 [應用程式一致快照的頻率] 中,指定建立應用程式一致快照的頻率。 這些快照使用磁碟區陰影複製服務 (VSS),以確保擷取快照時,應用程式處於一致的狀態。 請注意,如果您啟用應用程式一致快照,它會影響在來源虛擬機器上執行的應用程式效能。

  10. 在 [資料傳輸壓縮] 中,指定是否應該將傳輸的已複寫資料壓縮。

  11. [驗證] 中,指定如何驗證主要與 Hyper-V 復原主機伺服器之間的流量。 如果選取 HTTPS,主機伺服器會使用伺服器憑證相互驗證,並透過 HTTPS 加密流量。 如果選取 Kerberos,主機伺服器會使用 Kerberos 票證相互驗證。 根據預設,連接埠 8083 和 8084 (用於憑證) 將在 Hyper-V 主機伺服器上的 Windows 防火牆中開啟。 請注意,流量會透過 HTTP 傳送。 這項設定只與在 Windows Server 2012 R2 上執行的 VMM 伺服器相關。

  12. 在 [連接埠] 中,修改來源和目標主機電腦要用來接聽複寫流量的連接埠號碼。 例如,如果您想要將服務品質 (QoS) 網路頻寬節流套用於複寫流量,您可能會修改設定。 檢查任何其他應用程式都沒有使用連接埠,且連接埠已在防火牆設定中開啟。

  13. 在 [複寫方法] 中,指定在開始進行差異資料的一般複寫之前,如何處理從來源到目標位置的資料初始複寫:

    • 選取 [透過網路],可透過您的網路複製初始複寫資料。 您可以指定立即開始複製,或是選取開始複製的時間。 建議您將網路複寫排定在離峰時段進行。

    • 選取 [離線] 可使用外部媒體執行初始複寫。 您可以在來源雲端上指定匯出位置,並在目標雲端上指定匯入位置。 對虛擬機器啟用保護時,虛擬硬碟會複製到指定的匯出位置。 您需將它送到目標站台,再將它複製到匯入位置。 系統會將匯入的資訊複製到複本虛擬機器。

  14. 選取 [刪除複本虛擬機器],指定如果您在雲端內容的 [虛擬機器] 索引標籤上選取 [停用對虛擬機器的保護] 選項,因而停止保護虛擬機器,則應該刪除複本虛擬機器。 如果啟用這項設定,當您停用保護時,便會從 Azure Site Recovery 中移除虛擬機器、在 VMM 主控台中移除虛擬機器的 Site Recovery 設定,並刪除複本。

設定 Runbook

某些 Runbook 可協助您設定虛擬機器保護。 您可以在主要網站上排程及設定主要 Runbook。 它會接著根據指定的排程自動叫用其他 Runbook。

  1. 下載 Runbook

  2. 設定及排程主要 Runbook

下表摘要說明這些 Runbook。

Runbook

詳細資料

參數

InvokeAzureSiteRecoveryProtectionJob.ps1

主要 Runbook。 它會依下列順序叫用其他 Runbook。

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

在您執行註冊 Runbook 之後,這是您唯一需要執行的 Runbook。

LeaderVMMConnection– 資產類型:連線;連線類型:VMM 連線;

Nonleader/SecondaryVMMConnection– 資產類型:連線;連線類型:VMM 連線;

PrimarySiteAdminConnection– 資產類型:連線;連線類型:MgmntSvcAdmin;。

PrimaryVmmAdminConnection– 資產類型:連線。 連線類型:VMM 連線;

RecoverySiteAdminConnection– 資產類型:連線;連線類型:MgmntSvcAdmin;

RecoverySitePlanSuffix– 選擇性。 資產類型:連線;連線類型:MgmntSvcAdmin;

Add-AzureSiteRecoverySubscription.ps1

自動將主要戳記中已啟用 Azure Site Recovery 之方案的所有訂用帳戶,加入次要戳記中的方案。

已設定主要 Runbook 中的參數

Add-AzureSiteRecoverySecretTransferKey.ps1 

同步處理主要和次要 VMM 伺服器之間的加密金鑰。 這個加密金鑰會在第一次啟動 Azure Site Recovery 時自動產生。 當租用戶的虛擬機器複寫至次要資料中心時,這些虛擬機器會具有相關聯租用戶的資訊,可供租用戶在進行容錯移轉時存取複寫的虛擬機器。 這個金鑰可用來加密該中繼資料。

已設定主要 Runbook 中的參數

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

查詢所有訂用帳戶,並檢查是否已啟用保護。 然後它會針對每個訂用帳戶查詢所有虛擬機器,並在相符的訂用帳戶已啟用保護時啟用保護。

已設定主要 Runbook 中的參數

Get-WindowsToken.ps1

其他 Runbook 可使用這個 Runbook 來執行 Cmdlet。

None

下載 Runbook

  1. Microsoft 指令碼中心下載 Runbook。

  2. 依下列順序匯入及發行 Runbook:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (主要 Runbook)

設定及排程主要 Runbook

  1. [自動化>Runbook] 中,按一下以開啟InvokeAzureSiteRecoveryProtectionJob.ps1

  2. 按一下 [排程] ,指定應何時執行 Runbook。 在 [設定排程] 頁面上,指定排程名稱和描述。

  3. 在 [時間] 中,選取 [每日] ,然後選取開始時間。

  4. 在 [指定 Runbook 參數值] 中,指定主要 Runbook 叫用之不同 Runbook 所使用的參數:

    1. LeaderVMMConnection– 執行 VMM 之電腦的 FQDN,以及電腦系統管理員認證。 指定您建立之資產變數的名稱。

    2. NonLeaderVMMConnection– 次要網站上執行 VMM 之電腦的 FQDN,以及系統管理員認證。 指定您建立之資產變數的名稱。

    3. PrimarySiteAdminConnection– 主要資料中心內執行 Azure 套件系統管理員入口網站之電腦的 FQDN,以及系統管理員認證。 需要這個參數才能登入主要入口網站。 指定您建立之資產變數的名稱。

    4. PrimaryVmmAdminConnection – 主要 VMM 伺服器的 FQDN,以及電腦系統管理員認證。

    5. RecoverySiteAdminConnection– 次要資料中心內執行 Azure 套件系統管理員入口網站之電腦的 FQDN,以及系統管理員認證。

    6. RecoverySitePlanSuffix– 如果主要資料中心的方案名稱字尾不是 -Recovery ,則您必須提供字尾,才能在次要資料中心方案上成功同步處理訂用帳戶。

設定方案

當您進行雲端設定並設定 Runbook 之後,即會將保護選項加入方案或附加元件。

  1. 啟用保護– 在主要資料中心內,啟用現有方案或附加元件的保護。 或者,您可以建立啟用保護的新方案。

  2. 在次要資料中心內建立私用方案– 您必須在次要資料中心內使用相同設定手動建立私用方案。

啟用方案或附加元件的保護

  1. 若要將功能加入 Azure 套件入口網站中已發行的方案,請按一下 [方案] 。 在 [方案] 索引標籤上開啟相關的方案,或在 [附加元件] 索引標籤上開啟附加元件。

  2. 在 [方案服務] 或 [附加元件服務] 中,按一下 [虛擬機器雲端] 。 在 [自訂設定] 中,選取 [啟用所有虛擬機器的保護]

在次要資料中心內建立方案

您必須在次要網站上使用相同設定手動建立方案。 建立這個方案之後,系統會在次要網站上的相符方案下,使用 Add-AzureSiteRecoverySubscription.ps1 Runbook 自動建立主要網站上之方案下的訂用帳戶。

  1. 若要在 Azure Pack 入口網站中建立方案,請按一下左側導覽窗格中 > 的 [新增 > 建立方案]。 從 [建立虛擬主機方案],使用符合主要網站上之方案的設定來建立方案。

  2. 請注意,計畫名稱的格式應該是< PrimaryPlanName-text ><> 。<PrimaryPlanName > 必須是主要網站上的方案名稱。 建議使用 -Recovery ,因為這是 Add-AzureSiteRecoverySubscription.ps1 Runbook 辨識的預設字尾,該 Runbook 會自動同步處理主要網站上之方案和次要網站上之私用方案的訂用帳戶。 例如:MyPrimaryPlan-Recovery

租用戶步驟

若要部署虛擬機器保護,租用戶必須:

  • 註冊方案或附加元件- 當租用戶與您討論過他們的虛擬機器保護需求之後,他們會使用自助 Azure Pack 入口網站,訂閱啟用有保護之主要網站上的方案或附加元件。

    若在次要網站上以相同的設定建立了方案,主要 Runbook 會叫用 Add-AzureSiteRecoverySubscription.ps1,以在次要方案下建立租用戶訂用帳戶。

  • 建立虛擬機器– 租用戶可在與方案或附加元件相關聯的訂用帳戶下,建立虛擬機器或虛擬機器角色。 虛擬機器會在相關聯的 VMM 雲端上建立。 虛擬機器擁有者是建立虛擬機器的使用者名稱。

  • 建立 VM 網路– 在自助 Azure 套件入口網站中,租用戶可選擇性地根據 VMM 邏輯網路建立虛擬網路。 如果租用戶想確定其複本虛擬機器在容錯移轉之後會連接至適當的網路,便應該建立虛擬網路。

    . 當租用戶建立虛擬網路時,系統會在相關聯的 VMM 雲端上使用相同設定自動建立 VM 網路。

設定網路對應

在租用戶建立 VM 網路之後,您可以在 Azure Site Recovery 入口網站中設定網路對應,將主要網站上的 VM 網路對應至次要網站上的 VM 網路。 這些對應會指出虛擬機器在容錯移轉之後的連接方式。

  1. 在次要網站的 VMM 伺服器上,使用與在主要 VMM 伺服器上自動建立之 VM 網路相同的設定,來建立 VM 網路。 然後設定網路對應。

  2. 在 Azure Site Recovery入口網站中,開啟[資源]頁面 >[網路>對應]。

  3. 選取您想要從其中對應網路的來源 VMM 伺服器,然後選取對應網路的目標 VMM 伺服器。 隨即會顯示來源網路的清單和與其相關聯的目標網路。 目前未對應的網路則會顯示空白值。 若要檢視每個網路的子網路,請按一下網路名稱旁的資訊圖示。

  4. [來源的網路] 中選取網路,然後按一下 [對應]。 服務會偵測目標伺服器上的 VM 網路並加以顯示。 

  5. 選取目標 VMM 伺服器上的 VM 網路。 這會顯示使用來源網路的受保護雲端。 同時也會顯示與用於保護之雲端相關聯的可用目標網路。 建議您選取用於保護之所有雲端皆可使用的目標網路。

  6. 按一下打勾記號完成對應程序。 隨即有個工作啟動來追蹤對應程序。 您可以在 [工作] 索引標籤上檢視進度。

確認使用者帳戶

次要 Windows Azure 套件必須能夠辨識訂用帳戶的使用者認證,才能複寫虛擬機器:

  • 如果租用戶使用 Active Directory 進行驗證,請確定次要網站可辨識使用者認證。 請注意,主要和次要網站必須是同一個 Active Directory 樹系的成員。

  • 如果您使用另一種驗證格式,請確定次要網站上可以使用認證。

偵測及複寫虛擬機器

Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 會偵測已啟用保護之方案或附加元件的訂用帳戶,然後對這些訂用帳戶中的虛擬機器啟用保護。 這會依 Runbook 排程自動進行。 系統管理員不需要採取任何動作。

執行容錯移轉

初始複寫之後,您將依照下列方式執行容錯移轉:

  • 測試容錯移轉 – 執行時,可在不影響生產基礎結構的情況下驗證環境。 您可以在租用戶要求下執行測試容錯移轉。 如需相關指示,請參閱 執行測試容錯移轉

  • 規劃的容錯移轉 – 規劃維護或發生未預期的中斷時執行。 請參閱 執行容錯移轉

  • 未規劃的容錯移轉 – 因未規劃的停機而發生嚴重損壞修復時執行。 請參閱 執行容錯移轉

存取複寫的虛擬機器

使用 Azure Site Recovery 進行容錯移轉會在次要網站中建立複本虛擬機器、同步處理訂用帳戶資訊,並將複本虛擬機器連結至相同的客戶訂用帳戶。 容錯移轉之後,租用戶可以使用與登入主要資料中心所使同的同一份認證,登入次要資料中心 WAP 入口網站上的 Azure 入口網站,並從該入口網站存取複本虛擬機器。  請注意,若租用戶透過 VPN 連線存取主要資料中心內的虛擬機器,便須設定租用戶位置與次要資料中心之間的 VPN 連線,如此租用戶才能透過 VPN 存取複寫的虛擬機器。