設定兩個內部部署資料中心之間的保護

 

適用於: Windows Azure Pack

您可用下列方式設定保護:

  1. 內部部署對內部部署保護的先決條件 - 確認一切準備就緒。

  2. 建立保存庫 - 在 Azure Site Recovery 入口網站中建立保存庫。

  3. 安裝及設定 Azure Site Recovery Provider - 在每個網站的 VMM 伺服器上安裝及設定 Azure Site Recovery Provider。 Provider 會將伺服器連接至 Azure Site Recovery 入口網站。

  4. 進行雲端設定 - 設定 VMM 雲端的保護設定。 此雲端包含您要保護的虛擬機器,又稱為主要雲端。 包含虛擬機器將複寫之目標 Hyper-V 主機伺服器的雲端,稱為次要雲端。 每個雲端都可當做保護次要雲端的主要雲端,或當做受保護的次要雲端。 但雲端不可同時為主要和次要。

  5. 設定 Runbook - 您可以設定及排程一個主要 Runbook 來設定 Azure Site Recovery 保護。 這個主要 Runbook 會接著叫用一些其他的 Runbook。

  6. 設定方案 - 您可以在主要網站上為公用方案或附加元件啟用 Azure Site Recovery 保護,並以相同的設定,在次要網站上建立一個私用方案。

  7. 租用戶步驟 - 為設定虛擬機器保護,租用戶會使用自助 Azure Pack 入口網站:

    1. 訂閱方案或附加元件 – 租用戶可訂閱主要資料中心內已啟用虛擬機器保護的方案或附加元件。

    2. 建立虛擬機器 – 租用戶可在方案訂用帳戶下,於主要網站上建立虛擬機器或虛擬機器角色。

    3. 建立 VM 網路 – 租用戶可在主要網站上建立虛擬網路,以指定複本虛擬機器在容錯移轉之後連接至網路的方式。 當租用戶建立虛擬網路時,系統會在主要 VMM 伺服器上使用相同設定來設定 VM 網路。

  8. 設定網路對應 - 若租用戶已有建立虛擬網路,您可以設定主要與次要 VMM 伺服器上之 VM 網路間的網路對應。 網路對應:

    • 確保虛擬機器會在容錯移轉之後連接至適當的 VM 網路。 複本虛擬機器會連接到與主要網路相對應的次要網路。 

    • 在理想情況下,請將複本虛擬機器置於 Hyper-V 主機伺服器上。 複本虛擬機器會置於可存取對應之 VM 網路的主機上。

    如果您未設定網路對應,則複寫的虛擬機器將不會在容錯移轉之後連接至任何 VM 網路。 請參閱網路對應 (英文)。

  9. 確認使用者帳戶 - 您必須確認方案或附加元件訂用帳戶所關聯的使用者認證,可以在主要及次要網站上使用,才可複寫虛擬機器。

  10. 偵測及複寫虛擬機器 - Runbook 會自動偵測啟用了保護的方案或附加元件訂用帳戶。 Runbook 會對訂用帳戶中的虛擬機器自動啟用保護,並啟始初始複寫。

  11. 執行容錯移轉 - 初始複寫完成之後,您可以隨時執行測試及計劃中或非計劃中的容錯移轉。

  1. 登入 Azure 管理入口網站。 展開 [Data Services] > [Recovery Services] > [Site Recovery 保存庫]。 按一下 [建立新項目] > [快速建立]。

  2. 輸入保存庫的名稱,然後選取地理區域。 如需詳細資訊,請參閱各地區上市情況 (http://go.microsoft.com/fwlink/?LinkID=389880)。

  3. 按一下 [建立保存庫]。 檢查狀態列,確認已成功建立。 保存庫會在主要復原服務頁面上列為 [作用中]。

  1. 在 Azure Site Recovery 入口網站中,開啟 [快速入門] 頁面 > [產生註冊金鑰檔]。

  2. 系統會自動產生金鑰檔。 請將檔案下載到安全且可存取的位置。 例如,下載到 VMM 伺服器可存取的共用資料夾。 下載後,您必須將檔案複製到每個網站上的 VMM 伺服器。 當您在 VMM 伺服器上進行 Provider 設定時,會需要這個金鑰。 請注意:

    • 金鑰在產生後 5 天內有效。

    • 您可以隨時重新產生這個金鑰。 重新產生會覆寫舊版檔案,因此您必須使用新的金鑰重新設定每部 VMM 伺服器上的 Provider。

  3. 在 [快速入門] 頁面上,按一下 [下載 Microsoft Azure Site Recovery Provider] 下載最新版的 Provider 安裝檔案。

  4. 在主要和次要資料中心之 VMM 伺服器上,執行檔案。 您必須停止 VMM 服務,再進行安裝。 安裝後,系統會自動重新啟動服務。 如果部署 VMM 叢集,請在叢集的作用中節點上安裝 Provider,並在 Azure Site Recovery 保存庫中註冊 VMM 伺服器。 然後將它安裝在叢集的其他節點上。

  5. 您可以在 [Microsoft Update] 中選擇接收更新。 啟用這項設定時,系統會根據您的 Microsoft Update 原則安裝 Provider 更新。

  6. 安裝 Provider 之後,請繼續執行安裝程式,以在保存庫中註冊伺服器。 

  7. 在 [網際網路連線] 中,指定在 VMM 伺服器上執行的 Provider 如何透過網際網路連接至 Azure Site Recovery。 您可以選擇不使用 Proxy,在 VMM 顯示為已連接時使用 VMM 伺服器上設定的預設 Proxy,或使用自訂 Proxy 伺服器。 請注意下列事項:

    • 如果 VMM 伺服器上的預設 Proxy 伺服器需要驗證,則您應該選擇使用自訂 Proxy 伺服器。 輸入預設 Proxy 詳細資料,然後指定認證。

    • 如果您要使用自訂 Proxy 伺服器,請先進行設定,再安裝 Provider。

    • 避免下列位址透過 Proxy 路由傳送:

      • 連接到 Azure Site Recovery 的 URL:*.hypervrecoverymanager.windowsazure.com

      • *.accesscontrol.windows.net

      • *.backup.windowsazure.com

      • *.blob.core.windows.net 

      • *.store.core.windows.net 

    • 請注意,如有需要允許對 Azure 網域控制站的連出連線,請允許 Azure Datacenter IP 範圍中所述的 IP 位址,以及允許 HTTP (80) 與 HTTPS (443) 通訊協定。 

    • 如果您選擇使用自訂 Proxy,系統會使用指定的 Proxy 認證自動建立 VMM RunAs 帳戶 (DRAProxyAccount)。 設定 Proxy 伺服器,使這個帳戶可成功進行驗證。

  8. 在 [註冊金鑰] 中,選取您從 Azure Site Recovery 下載並複製到 VMM 伺服器的金鑰。

  9. 在 [保存庫名稱] 中,確認要註冊伺服器的保存庫。

  10. 在 [伺服器名稱] 中,指定用來識別保存庫中 VMM 伺服器的易記名稱。 在叢集組態中,指定 VMM 叢集角色名稱。 

  11. 在 [初始雲端中繼資料同步] 中,選取是否要將 VMM 伺服器上所有雲端的中繼資料與保存庫進行同步處理。 這個動作只需要在每部伺服器上進行一次。 如果您不想同步處理所有雲端,您可以取消核取這項設定,再於 VMM 主控台的雲端屬性中,個別同步處理每個雲端。

  12. 在 [資料加密] 中,針對複寫至 Azure 的虛擬機器,指定用於資料加密的憑證設定。 如果您要從一個內部部署網站複寫至另一個內部部署網站,則與這個選項無關。

註冊後,Azure Site Recovery 會從 VMM 伺服器擷取中繼資料。 註冊後,您可以在 VMM 主控台中,或從命令列變更 Provider 設定。 如需詳細資訊,請參閱修改 Provider 設定 (英文)。

  1. 在 Azure Site Recovery 入口網站中,開啟保存庫中的 [受保護項目] 索引標籤。

  2. 與 Azure Site Recovery 同步處理的雲端會顯示在清單中。

  3. 選取您要保護的主要雲端,然後按一下 [設定]。

  4. 在 [目標] 中,選取 [VMM]。

  5. 在 [VMM 伺服器] 中,選取次要網站中的 VMM 伺服器。

  6. 在 [目標雲端] 中,選取要對來源雲端中虛擬機器進行容錯移轉所使用的次要雲端。

  7. 在 [複製頻率] 中,指定應該在來源和目標位置之間同步處理資料的頻率。 預設值為 5 分鐘。

  8. 在 [其他復原點] 中,指定是否要建立其他復原點 (從 0-15)。 其他復原點包含一或多個快照,可讓您復原先前某個時間點的虛擬機器快照。  設為零時,只會將最近復原點的主要虛擬機器儲存為複本。 如果您設定大於零的設定,則會根據這個值建立復原點數目。 請注意,啟用多個復原點需要額外的儲存空間,以容納在每個復原點儲存的快照。 預設會每小時建立一次復原點,因此每個復原點會包含一小時的資料量。

  9. 在 [應用程式一致快照的頻率] 中,指定建立應用程式一致快照的頻率。 這些快照使用磁碟區陰影複製服務 (VSS),以確保擷取快照時,應用程式處於一致的狀態。 請注意,如果啟用應用程式一致快照,則會影響來源虛擬機器上執行的應用程式效能。

  10. 在 [資料傳輸壓縮] 中,指定是否應該壓縮傳輸的複寫資料。

  11. 在 [驗證] 中,指定如何驗證主要和復原 Hyper-V 主機伺服器之間的流量。 如果選取 HTTPS,主機伺服器會使用伺服器憑證相互驗證,並透過 HTTPS 加密流量。 如果選取 Kerberos,主機伺服器會使用 Kerberos 票證相互驗證。 預設會在 Hyper-V 主機伺服器上的 Windows 防火牆中開啟連接埠 8083 和 8084 (適用於憑證)。 請注意,流量會透過 HTTP 傳送。 這項設定只與在 Windows Server 2012 R2 上執行的 VMM 伺服器相關。

  12. 在 [連接埠] 中,修改來源和目標主機電腦要用來接聽複寫流量的連接埠號碼。 例如,如果您要套用複寫流量的服務品質 (QoS) 網路頻寬節流處理,您可以修改設定。 檢查沒有任何其他應用程式正在使用該連接埠,並且已在防火牆設定中開啟該連接埠。

  13. 在 [複寫方法] 中,指定在開始進行差異資料的一般複寫之前,如何處理從來源到目標位置的資料初始複寫:

    • 選取 [透過網路] 可透過網路複製初始複寫資料。 您可以指定複製應立即啟動,或選取一個時間。 建議您將網路複寫排定在離峰時段進行。

    • 選取 [離線] 可使用外部媒體執行初始複寫。 您可以在來源雲端上指定匯出位置,並在目標雲端上指定匯入位置。 當您啟用虛擬機器的保護時,系統會將虛擬硬碟複製到指定的匯出位置。 您可以將其傳送至目標網站,再複製到匯入位置。 系統會將匯入的資訊複製到複本虛擬機器。

  14. 選取 [刪除複本虛擬機器],以指定當您在雲端屬性的 [虛擬機器] 索引標籤上,選取 [停用虛擬機器的保護] 選項停止保護虛擬機器時,應該刪除複本虛擬機器。 啟用這項設定時,如果您停用保護,則會從 Azure Site Recovery 中移除虛擬機器、在 VMM 主控台中移除虛擬機器的 Site Recovery 設定,並刪除複本。

某些 Runbook 可協助您設定虛擬機器保護。 您可以在主要網站上排程及設定主要 Runbook。 它會接著根據指定的排程自動叫用其他 Runbook。

  1. 下載 Runbook

  2. 設定及排程主要 Runbook

下表摘要說明這些 Runbook。

Runbook

詳細資料

參數

InvokeAzureSiteRecoveryProtectionJob.ps1

主要 Runbook。 它會依下列順序叫用其他 Runbook。

  1. Add-AzureSiteRecoveryRecoverySubscription.ps1

  2. Add-AzureSiteRecoverySecretTransferKey

  3. AzureSiteRecoveryManageVMProtectionJob.ps1

  4. Get-WindowsToken.ps1

在您執行註冊 Runbook 之後,這是您唯一需要執行的 Runbook。

LeaderVMMConnection – 資產類型:連線;連線類型:VMM 連線;

Nonleader/SecondaryVMMConnection – 資產類型:連線;連線類型:VMM 連線;

PrimarySiteAdminConnection – 資產類型:連線;連線類型:MgmntSvcAdmin;。

PrimaryVmmAdminConnection – 資產類型:連線。 連線類型:VMM 連線;

RecoverySiteAdminConnection – 資產類型:連線;連線類型:MgmntSvcAdmin;

RecoverySitePlanSuffix – 選擇性。 資產類型:連線;連線類型:MgmntSvcAdmin;

Add-AzureSiteRecoverySubscription.ps1

自動將主要戳記中已啟用 Azure Site Recovery 之方案的所有訂用帳戶,加入次要戳記中的方案。

已設定主要 Runbook 中的參數

Add-AzureSiteRecoverySecretTransferKey.ps1 

同步處理主要和次要 VMM 伺服器之間的加密金鑰。 這個加密金鑰會在第一次啟動 Azure Site Recovery 時自動產生。 當租用戶的虛擬機器複寫至次要資料中心時,這些虛擬機器會具有相關聯租用戶的資訊,可供租用戶在進行容錯移轉時存取複寫的虛擬機器。 這個金鑰可用來加密該中繼資料。

已設定主要 Runbook 中的參數

InvokeAzureSiteRecoveryManageVmProtectionJob.ps1

查詢所有訂用帳戶,並檢查是否已啟用保護。 然後它會針對每個訂用帳戶查詢所有虛擬機器,並在相符的訂用帳戶已啟用保護時啟用保護。

已設定主要 Runbook 中的參數

Get-WindowsToken.ps1

其他 Runbook 可使用這個 Runbook 來執行 Cmdlet。

  1. Microsoft 指令碼中心下載 Runbook。

  2. 依下列順序匯入及發行 Runbook:

    1. Get-WindowsToken.ps1

    2. Add-AzureSiteRecoverySubscription.ps1

    3. Add-AzureSiteRecoverySecretTransferKey.ps1

    4. Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1

    5. Invoke-AzureSiteRecoveryProtectionJob.ps1 (主要 Runbook)

  1. 在 [自動化] > [Runbook] 中,按一下以開啟 InvokeAzureSiteRecoveryProtectionJob.ps1

  2. 按一下 [排程],指定應何時執行 Runbook。 在 [設定排程] 頁面上,指定排程名稱和描述。

  3. 在 [時間] 中,選取 [每日],然後選取開始時間。

  4. 在 [指定 Runbook 參數值] 中,指定主要 Runbook 叫用之不同 Runbook 所使用的參數:

    1. LeaderVMMConnection – 執行 VMM 之電腦的 FQDN,以及電腦系統管理員認證。 指定您建立之資產變數的名稱。

    2. NonLeaderVMMConnection – 次要網站上執行 VMM 之電腦的 FQDN,以及系統管理員認證。 指定您建立之資產變數的名稱。

    3. PrimarySiteAdminConnection – 主要資料中心內執行 Azure 套件系統管理員入口網站之電腦的 FQDN,以及系統管理員認證。 需要這個參數才能登入主要入口網站。 指定您建立之資產變數的名稱。

    4. PrimaryVmmAdminConnection – 主要 VMM 伺服器的 FQDN,以及電腦系統管理員認證。

    5. RecoverySiteAdminConnection – 次要資料中心內執行 Azure 套件系統管理員入口網站之電腦的 FQDN,以及系統管理員認證。

    6. RecoverySitePlanSuffix – 如果主要資料中心的方案名稱字尾不是 -Recovery,則您必須提供字尾,才能在次要資料中心方案上成功同步處理訂用帳戶。

當您進行雲端設定並設定 Runbook 之後,即會將保護選項加入方案或附加元件。

  1. 啟用保護 – 在主要資料中心內,啟用現有方案或附加元件的保護。 或者,您可以建立啟用保護的新方案。

  2. 在次要資料中心內建立私用方案 – 您必須在次要資料中心內使用相同設定手動建立私用方案。

  1. 若要將功能加入 Azure 套件入口網站中已發行的方案,請按一下 [方案]。 在 [方案] 索引標籤上開啟相關的方案,或在 [附加元件] 索引標籤上開啟附加元件。

  2. 在 [方案服務] 或 [附加元件服務] 中,按一下 [虛擬機器雲端]。 在 [自訂設定] 中,選取 [啟用所有虛擬機器的保護]。

您必須在次要網站上使用相同設定手動建立方案。 建立這個方案之後,系統會在次要網站上的相符方案下,使用 Add-AzureSiteRecoverySubscription.ps1 Runbook 自動建立主要網站上之方案下的訂用帳戶。

  1. 若要在 Azure Pack 入口網站中建立方案,請在左導覽窗格中,按一下 [方案] > [新增] > [建立方案]。 從 [建立虛擬主機方案],使用符合主要網站上之方案的設定來建立方案。

  2. 請注意,方案名稱的格式應為 <主要方案名稱>-<文字>。<主要方案名稱 > 必須是主要網站上之方案的名稱。 建議使用 -Recovery,因為這是 Add-AzureSiteRecoverySubscription.ps1 Runbook 辨識的預設字尾,該 Runbook 會自動同步處理主要網站上之方案和次要網站上之私用方案的訂用帳戶。 例如:MyPrimaryPlan-Recovery

若要部署虛擬機器保護,租用戶必須:

  • 註冊方案或附加元件 - 當租用戶與您討論過他們的虛擬機器保護需求之後,他們會使用自助 Azure Pack 入口網站,訂閱啟用有保護之主要網站上的方案或附加元件。

    若在次要網站上以相同的設定建立了方案,主要 Runbook 會叫用 Add-AzureSiteRecoverySubscription.ps1,以在次要方案下建立租用戶訂用帳戶。

  • 建立虛擬機器 – 租用戶可在與方案或附加元件相關聯的訂用帳戶下,建立虛擬機器或虛擬機器角色。 虛擬機器會在相關聯的 VMM 雲端上建立。 虛擬機器擁有者是建立虛擬機器的使用者名稱。

  • 建立 VM 網路 – 在自助 Azure 套件入口網站中,租用戶可選擇性地根據 VMM 邏輯網路建立虛擬網路。 如果租用戶想確定其複本虛擬機器在容錯移轉之後會連接至適當的網路,便應該建立虛擬網路。

    。 當租用戶建立虛擬網路時,系統會在相關聯的 VMM 雲端上使用相同設定自動建立 VM 網路。

在租用戶建立 VM 網路之後,您可以在 Azure Site Recovery 入口網站中設定網路對應,將主要網站上的 VM 網路對應至次要網站上的 VM 網路。 這些對應會指出虛擬機器在容錯移轉之後的連接方式。

  1. 在次要網站的 VMM 伺服器上,使用與在主要 VMM 伺服器上自動建立之 VM 網路相同的設定,來建立 VM 網路。 然後設定網路對應。

  2. 在 Azure Site Recovery 入口網站中,開啟 [資源] 頁面 > [網路] > [對應]。

  3. 選取您要對應網路的來源 VMM 伺服器,然後選取要對應網路的目標 VMM 伺服器。 來源網路及其相關聯的目標網路清單會隨即顯示。 目前未對應的網路則會顯示空白值。 若要檢視每個網路的子網路,請按一下網路名稱旁的資訊圖示。

  4. 在 [來源網路] 中選取網路,然後按一下 [對應]。 此服務會偵測目標伺服器上的 VM 網路並加以顯示。 

  5. 選取目標 VMM 伺服器上的 VM 網路。 這會顯示使用來源網路的受保護雲端。 此外也會顯示與用於保護之雲端相關聯的可用目標網路。 建議您選取用於保護之所有雲端皆可使用的目標網路。

  6. 按一下核取記號完成對應程序。 即會啟動一個工作,以追蹤對應進度。 您可以在 [工作] 索引標籤上檢視進度。

次要 Windows Azure 套件必須能夠辨識訂用帳戶的使用者認證,才能複寫虛擬機器:

  • 如果租用戶使用 Active Directory 進行驗證,請確定次要網站可辨識使用者認證。 請注意,主要和次要網站必須是同一個 Active Directory 樹系的成員。

  • 如果您使用另一種驗證格式,請確定次要網站上可以使用認證。

Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 會偵測已啟用保護之方案或附加元件的訂用帳戶,然後對這些訂用帳戶中的虛擬機器啟用保護。 這會依 Runbook 排程自動進行。 系統管理員不需要採取任何動作。

初始複寫之後,您將依照下列方式執行容錯移轉:

  • 測試容錯移轉 – 執行時,可在不影響生產基礎結構的情況下驗證環境。 您可以在租用戶要求下執行測試容錯移轉。 如需相關指示,請參閱執行測試容錯移轉

  • 規劃的容錯移轉 – 規劃維護或發生未預期的中斷時執行。 請參閱執行容錯移轉

  • 未規劃的容錯移轉 – 因未規劃的停機而發生嚴重損壞修復時執行。 請參閱執行容錯移轉

使用 Azure Site Recovery 進行容錯移轉會在次要網站中建立複本虛擬機器、同步處理訂用帳戶資訊,並將複本虛擬機器連結至相同的客戶訂用帳戶。 容錯移轉之後,租用戶可以使用與登入主要資料中心所使同的同一份認證,登入次要資料中心 WAP 入口網站上的 Azure 入口網站,並從該入口網站存取複本虛擬機器。  請注意,若租用戶透過 VPN 連線存取主要資料中心內的虛擬機器,便須設定租用戶位置與次要資料中心之間的 VPN 連線,如此租用戶才能透過 VPN 存取複寫的虛擬機器。


顯示: