Sobre a rede na recuperação de desastres da máquina virtual do Azure

Este artigo fornece orientação de rede para conectividade de plataforma quando você está replicando máquinas virtuais do Azure de uma região para outra, usando o Azure Site Recovery.

Antes de começar

Saiba como o Site Recovery fornece recuperação de desastres para esse cenário.

Infraestrutura de rede típica

O diagrama a seguir descreve um ambiente típico do Azure, para aplicativos executados em máquinas virtuais do Azure:

Diagrama que descreve um ambiente típico do Azure para aplicativos em execução em máquinas virtuais do Azure.

Se você estiver usando o Azure ExpressRoute ou uma conexão VPN de sua rede local para o Azure, o ambiente será o seguinte:

ambiente do cliente

Normalmente, as redes são protegidas usando firewalls e grupos de segurança de rede (NSGs). As etiquetas de serviço devem ser usadas para controlar a conectividade de rede. Os NSGs devem permitir que várias tags de serviço controlem a conectividade de saída.

Importante

O uso de um proxy autenticado para controlar a conectividade de rede não é suportado pela Recuperação de Site e a replicação não pode ser habilitada.

Nota

  • A filtragem baseada em endereço IP não deve ser executada para controlar a conectividade de saída.
  • Os endereços IP do Azure Site Recovery não devem ser adicionados na tabela de Roteamento do Azure para controlar a conectividade de saída.

Conectividade de saída para URLs

Se você estiver usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita estas URLs de Recuperação de Site:

URL Detalhes
*.blob.core.windows.net Necessário para que os dados possam ser gravados na conta de armazenamento de cache na região de origem a partir da máquina virtual. Se você souber todas as contas de armazenamento em cache para suas máquinas virtuais, poderá permitir o acesso às URLs específicas da conta de armazenamento (por exemplo, cache1.blob.core.windows.net e cache2.blob.core.windows.net) em vez de *.blob.core.windows.net
login.microsoftonline.com Necessário para autorização e autenticação para as URLs do serviço de Recuperação de Site.
*.hypervrecoverymanager.windowsazure.com Necessário para que a comunicação do serviço de Recuperação de Site possa ocorrer a partir da máquina virtual.
*.servicebus.windows.net Necessário para que os dados de monitoramento e diagnóstico da Recuperação de Site possam ser gravados a partir da máquina virtual.
*.vault.azure.net Permite o acesso para habilitar a replicação para máquinas virtuais habilitadas para ADE via portal
*.automation.ext.azure.com Permite habilitar a atualização automática do agente de mobilidade para um item replicado via portal

Conectividade de saída usando tags de serviço

Além de controlar URLs, você também pode usar tags de serviço para controlar a conectividade. Para fazer isso, você deve primeiro criar um Grupo de Segurança de Rede no Azure. Depois de criada, você precisa usar nossas tags de serviço existentes e criar uma regra NSG para permitir o acesso aos serviços do Azure Site Recovery.

As vantagens de usar etiquetas de serviço para controlar a conectividade, quando comparado ao controle de conectividade usando endereços IP, é que não há dependência de um determinado endereço IP para permanecer conectado aos nossos serviços. Nesse cenário, se o endereço IP de um dos nossos serviços mudar, a replicação contínua não será afetada para as suas máquinas. Enquanto isso, uma dependência de endereços IP codificados faz com que o status de replicação se torne crítico e coloque seus sistemas em risco. Além disso, as etiquetas de serviço garantem melhor segurança, estabilidade e resiliência do que os endereços IP codificados.

Ao usar o NSG para controlar a conectividade de saída, essas tags de serviço precisam ser permitidas.

  • Para as contas de armazenamento na região de origem:
    • Crie uma regra NSG baseada em etiqueta de serviço de armazenamento para a região de origem.
    • Permita esses endereços para que os dados possam ser gravados na conta de armazenamento em cache, a partir da máquina virtual.
  • Criar uma regra NSG baseada na etiqueta de serviço Microsoft Entra para permitir o acesso a todos os endereços IP correspondentes ao ID do Microsoft Entra
  • Crie uma regra NSG baseada em tags de serviço do EventsHub para a região de destino, permitindo o acesso ao monitoramento da Recuperação de Site.
  • Crie uma regra NSG baseada em tags do serviço Azure Site Recovery para permitir o acesso ao serviço de Recuperação de Site em qualquer região.
  • Crie uma regra NSG baseada em tags de serviço AzureKeyVault. Isso é necessário apenas para habilitar a replicação de máquinas virtuais habilitadas para ADE via portal.
  • Crie uma regra NSG baseada em tags de serviço GuestAndHybridManagement. Isso é necessário apenas para habilitar a atualização automática do agente de mobilidade para um item replicado via portal.
  • Recomendamos que você crie as regras NSG necessárias em um NSG de teste e verifique se não há problemas antes de criar as regras em um NSG de produção.

Exemplo de configuração NSG

Este exemplo mostra como configurar regras NSG para uma máquina virtual replicar.

  • Se você estiver usando regras NSG para controlar a conectividade de saída, use as regras "Permitir saída HTTPS" para a porta:443 para todos os intervalos de endereços IP necessários.
  • O exemplo presume que o local de origem da máquina virtual é "Leste dos EUA" e o local de destino é "EUA Central".

Regras NSG - Leste dos EUA

  1. Crie uma regra de segurança HTTPS (443) de saída para "Storage.EastUS" no NSG, conforme mostrado na captura de tela a seguir:

    A captura de tela mostra Adicionar regra de segurança de saída para um grupo de segurança de rede para o ponto de armazenamento East U S.

  2. Crie uma regra de segurança HTTPS (443) de saída para "AzureActiveDirectory" no NSG, conforme mostrado na captura de tela a seguir:

    A captura de tela mostra Adicionar regra de segurança de saída para um grupo de segurança de rede para o Microsoft Entra ID.

  3. Semelhante às regras de segurança, crie uma regra de segurança HTTPS (443) de saída para "EventHub.CentralUS" no NSG que corresponde ao local de destino. Isso permite o acesso ao monitoramento de Recuperação de Site.

  4. Crie uma regra de segurança HTTPS (443) de saída para "Azure Site Recovery" no NSG. Isso permite o acesso ao Serviço de Recuperação de Site em qualquer região.

Regras NSG - Central US

Essas regras são necessárias para que a replicação possa ser habilitada da região de destino para a região de origem após o failover:

  1. Crie uma regra de segurança HTTPS (443) de saída para "Storage.CentralUS" no NSG.

  2. Crie uma regra de segurança HTTPS (443) de saída para "AzureActiveDirectory" no NSG.

  3. Semelhante às regras de segurança, crie uma regra de segurança HTTPS (443) de saída para "EventHub.EastUS" no NSG que corresponde ao local de origem. Isso permite o acesso ao monitoramento de Recuperação de Site.

  4. Crie uma regra de segurança HTTPS (443) de saída para "Azure Site Recovery" no NSG. Isso permite o acesso ao Serviço de Recuperação de Site em qualquer região.

Configuração do dispositivo virtual de rede

Se você estiver usando dispositivos virtuais de rede (NVAs) para controlar o tráfego de rede de saída de máquinas virtuais, o dispositivo poderá ser limitado se todo o tráfego de replicação passar pelo NVA. Recomendamos a criação de um ponto de extremidade de serviço de rede em sua rede virtual para "Armazenamento" para que o tráfego de replicação não vá para o NVA.

Criar ponto de extremidade de serviço de rede para armazenamento

Você pode criar um ponto de extremidade de serviço de rede em sua rede virtual para "Armazenamento" para que o tráfego de replicação não saia do limite do Azure.

  • Selecione sua rede virtual do Azure e selecione Pontos de extremidade de serviço.

    ponto final de armazenamento

  • A guia Adicionar e Adicionar pontos de extremidade de serviço é aberta.

  • Selecione Microsoft.Storage em Serviço e as sub-redes necessárias no campo 'Sub-redes' e selecione Adicionar.

Nota

Se você estiver usando uma conta de armazenamento em cache habilitada para firewall ou uma conta de armazenamento de destino, certifique-se de "Permitir serviços confiáveis da Microsoft". Além disso, certifique-se de permitir o acesso a pelo menos uma sub-rede da Vnet de origem.

Túnel forçado

Você pode substituir a rota padrão do sistema do Azure para o prefixo de endereço 0.0.0.0/0 por uma rota personalizada e desviar o tráfego da VM para um dispositivo virtual de rede (NVA) local, mas essa configuração não é recomendada para replicação de Recuperação de Site. Se estiver a utilizar rotas personalizadas, deve criar um ponto de extremidade de serviço de rede virtual na sua rede virtual para "Armazenamento" para que o tráfego de replicação não saia do limite do Azure.

Próximos passos