2 つのオンプレミスのデータセンター間の保護の設定
適用対象: Azure Pack Windows
次のように保護を設定します。
オンプレミスからオンプレミスへの保護の前提条件 - すべてが整っていることを確認します。
コンテナーを作成する — Azure Site Recovery ポータルでコンテナーを作成します。
Azure Site Recovery プロバイダーをインストールして構成する - 各サイトの VMM サーバーに Azure Site Recovery プロバイダーをインストールして構成します。 プロバイダーは、サーバーを Azure Site Recovery ポータルに接続します。
クラウドの設定を構成する — VMM クラウドの保護設定を構成します。 保護対象の仮想マシンが含まれるクラウドは、プライマリ クラウドと呼ばれます。 仮想マシンのレプリケート先の Hyper-V ホスト サーバーが存在するクラウドは、セカンダリ クラウドと呼ばれます。 各クラウドは、セカンダリ クラウドを保護するプライマリ クラウドとして、または保護されるセカンダリ クラウドとして動作できます。 1 つのクラウドがプライマリとセカンダリの両方になることはできません。
Runbook を設定する — Azure Site Recovery の保護を設定するための単一のマスター Runbook を構成してスケジュールします。 このマスター Runbook からは、他の複数の Runbook が呼び出されます。
プランを構成する — プライマリ サイトにおいて、パブリック プランまたはアドオンで Azure Site Recovery による保護を有効にし、セカンダリ サイトにおいて同じ設定でプライベート プランを作成します。
テナントの手順 — 仮想マシンの保護を設定するため、テナントはセルフサービスの Azure Pack ポータルを使用して次のことを行います。
プランまたはアドオンにサブスクライブする— テナントは、仮想マシンの保護が有効になっているプライマリ データセンターのプランまたはアドオンにサブスクライブします。
仮想マシンを作成する— テナントは、プラン サブスクリプションに基づいてプライマリ サイトで仮想マシンまたは仮想マシン ロールを作成します。
VM ネットワークを作成する— テナントは、プライマリ サイトに仮想ネットワークを作成し、フェールオーバー後にレプリカ仮想マシンがネットワークに接続する方法を指定できます。 テナントが仮想ネットワークを作成すると、同じ設定の VM ネットワークがプライマリ VMM サーバーに構成されます。
ネットワーク マッピングの設定 - テナントが仮想ネットワークを作成している場合は、プライマリ VMM サーバーとセカンダリ VMM サーバー上の VM ネットワーク間のネットワーク マッピングを設定できます。 ネットワーク マッピングを設定すると次のようになります。
フェールオーバー後に、仮想マシンが適切な VM ネットワークに確実に接続されます。 レプリカ仮想マシンは、プライマリ ネットワークにマップされているセカンダリ ネットワークに接続します。
Hyper-V ホスト サーバー上にレプリカ仮想マシンが最適に配置されます。 レプリカ仮想マシンは、マップされた VM ネットワークにアクセスできるホスト上に配置されます。
ネットワーク マッピングを構成しないと、レプリケートされた仮想マシンはフェールオーバー後にどの VM ネットワークにも接続しません。 ネットワーク マッピングについて説明します。
ユーザー アカウントを確認する — 仮想マシンをレプリケートするには、その前に、プランまたはアドオンのサブスクリプションに関連付けられているユーザーの資格情報がプライマリおよびセカンダリ サイトで有効であることを確認する必要があります。
仮想マシンの検出とレプリケート — Runbook は、保護が有効になっているプランまたはアドオンのサブスクリプションを自動的に検出します。 Runbook は、サブスクリプション内の仮想マシンの保護を自動的に有効にして、初期レプリケーションを開始します。
フェールオーバーを実行する — 初期レプリケーション終了後は、必要に応じていつでも、テスト フェールオーバー、計画的フェールオーバー、または非計画的フェールオーバーを実行できます。
コンテナーの作成
Microsoft Azure の管理ポータルにサインインします。 Data ServicesRecovery Services>>Site Recovery Vault を展開します。 [ 新規作成>] クイック作成をクリックします。
コンテナーの名前を入力し、地理的領域を選択します。 詳細については、「 地理的な可用性 (https://go.microsoft.com/fwlink/?LinkID=389880)」を参照してください。
[コンテナーの作成] をクリックします。 ステータス バーで正常に作成されたことを確認します。 Recovery Services のメイン ページで [ アクティブ ] と表示されます。
Azure Site Recovery プロバイダーをインストールして構成する
Azure Site Recovery ポータルで、[クイック スタート] ページの [登録キー ファイルの生成] を>開きます。
キー ファイルが自動的に生成されます。 キー ファイルを安全で使いやすい場所にダウンロードします。 たとえば、VMM サーバーからアクセスできる共有などです。 ダウンロードした後、各サイトの VMM サーバーにファイルをコピーする必要があります。 VMM サーバーでプロバイダーの設定を構成するときに、このキーが必要になります。 次の点に注意してください。
生成したキーは 5 日間有効です。
いつでもこのキーを再生成できます。 再生成すると古いバージョンのファイルはオーバーライドされるので、各 VMM サーバー上のプロバイダーを新しいキーで再構成する必要があります。
[ クイック スタート ] ページで、[ Microsoft Azure Site Recovery プロバイダーのダウンロード ] をクリックして最新バージョンのプロバイダー インストール ファイルをダウンロードします。
プライマリおよびセカンダリ データセンターの VMM サーバーでファイルを実行します。 インストールの前に、VMM サービスを停止する必要があります。 このサービスは後で自動的に再開されます。 VMM クラスターが展開されている場合は、クラスター内のアクティブ ノードにプロバイダーをインストールし、Azure Site Recovery コンテナーに VMM サーバーを登録します。 その後、クラスターの他のノードにインストールします。
[Microsoft Update] で、アップデートの内容を設定できます。 この設定を行うことで、設定した Microsoft Update のポリシーに従って、プロバイダーの有効な更新がインストールされます。
プロバイダーをインストールした後、セットアップを続けて、コンテナーにサーバーを登録します。
[インターネット接続] で、VMM サーバー上で実行されているプロバイダーをインターネット経由で Azure Site Recovery に接続する方法を指定します。 プロキシを使用しないか、VMM サーバーが接続されていると表示される場合は VMM サーバー上に構成される既定のプロキシを使用するか、カスタム プロキシ サーバーを使用するように選択できます。 次のことを考慮してください。
VMM サーバーの既定のプロキシ サーバーが認証を必要とする場合、カスタム プロキシ サーバーを使用するように選択する必要があります。 既定のプロキシの詳細を入力し、資格情報を指定します。
カスタム プロキシ サーバーを使用する場合は、セットアップした後にプロバイダーをインストールしてください。
次のアドレスをプロキシ経由のルーティングから除外する必要があります。
Azure Site Recovery に接続するための URL: *.hypervrecoverymanager.windowsazure.com
*.accesscontrol.windows.net
*.backup.windowsazure.com
*.blob.core.windows.net
*.store.core.windows.net
Azure ドメイン コントローラーへの発信接続を許可する必要がある場合、Azure データセンターの IP 範囲に関する説明に記載されている IP アドレスを許可し、HTTP (80) と HTTPS (443) プロトコルを許可します。
カスタム プロキシの使用を選択した場合は、指定したプロキシ資格情報を使用して、VMM の RunAs アカウント (DRAProxyAccount) が自動的に作成されます。 このアカウントが正しく認証されるようにプロキシ サーバーを構成します。
[登録キー] で、Azure Site Recovery からダウンロードし、VMM サーバーにコピーしたものを選択します。
[コンテナー名] で、サーバーを登録するコンテナーを確認します。
[サーバー名] に、コンテナーで VMM サーバーを識別する表示名を入力します。 クラスター構成で、VMM クラスターのロール名を指定します。
[初期クラウド メタデータの同期] で、VMM サーバー上のすべてのクラウドのメタデータをコンテナーと同期するかどうかを選択します。 この操作は、各サーバーで 1 回のみ実行する必要があります。 すべてのクラウドを同期したくない場合は、この設定をオフのままにして、VMM コンソールのクラウドのプロパティで各クラウドを個別に同期できます。
[データの暗号化] は、Azure にレプリケートする仮想マシンのデータ暗号化の証明書設定を指定します。 オンプレミスのサイトから別のオンプレミスのサイトにレプリケートする場合、このオプションは無効です。
登録後に、VMM サーバーからのメタデータが、Azure Site Recovery によって取得されます。 登録後、プロバイダーの設定は VMM コンソールまたはコマンド ラインから変更できます。 詳細については、「 プロバイダーの設定の変更」を参照してください。
クラウドの設定を構成する
Azure Site Recovery ポータルで、コンテナーの [ 保護された項目 ] タブを開きます。
Azure Site Recovery と同期されたクラウドが一覧に表示されます。
保護対象のプライマリ クラウドを選択し、[ 続行] をクリックします。
[ターゲット] で [VMM] を選択します。
[VMM サーバー] で、セカンダリ サイトの VMM サーバーを選択します。
[ ターゲット クラウド] で、ソース クラウド内の仮想マシンのフェールオーバーに使用するセカンダリ クラウドを選択します。
[ コピーの頻度 ] で、ソースとターゲットの場所の間でデータを同期する頻度を指定します。 既定値は 5 分です。
[追加の復旧ポイント] で、追加の復旧ポイント (0 ~ 15) を作成するかどうかを指定します。 追加の復旧ポイントには、1 つ以上のスナップショットが含まれ、以前の時点から仮想マシンのスナップショットを復旧できます。 ゼロに設定すると、プライマリ仮想マシンの最新の復旧ポイントのみがレプリカとして格納されます。 0 より大きい値に設定すると、その値に応じた数の復旧ポイントが作成されます。 複数の復旧ポイントを有効にすると、各復旧ポイントで格納されるスナップショット用に追加のストレージが必要になります。 既定では、1 時間ごとに復旧ポイントが作成されるため、各復旧ポイントで 1 時間分のデータが格納されます。
[アプリケーション整合性スナップショットの頻度] に、アプリケーション整合性スナップショットを作成する頻度を指定します。 これらのスナップショットでは、ボリューム シャドウ コピー サービス (VSS) を使用して、スナップショットの作成時にアプリケーションが整合性のある状態になるようにします。 アプリケーション整合性スナップショットを有効にすると、ソースの仮想マシンで実行するアプリケーションのパフォーマンスに影響があります。
[データ転送の圧縮]で、転送されるレプリケート済みデータを圧縮するかどうかを指定します。
[認証] で、プライマリと復旧の Hyper-V ホスト サーバー間でトラフィックを認証する方法を指定します。 HTTPS を選択すると、これらのホスト サーバーはサーバー証明書を使用して相互に認証します。また、トラフィックは HTTPS で暗号化されます。 Kerberos を選択すると、ホスト サーバーの相互認証で Kerberos チケットが使用されます。 既定では、Hyper-V ホスト サーバーの Windows ファイアウォールで、ポート 8083 と 8084 (認証用) が開きます。 トラフィックは HTTP 経由で送信されます。 この設定は、Windows Server 2012 R2 上で実行されている VMM サーバーのみに該当します。
[ ポート] で、ソースとターゲットのホスト コンピューターでレプリケーションのトラフィックをリッスンするポート番号を変更します。 たとえば、レプリケーション トラフィックにサービス品質 (QoS) ネットワーク帯域幅スロットルを適用する場合などに、設定を変更します。 ポートが他のアプリケーションで使用されていないことと、ファイアウォール設定で開いていることを確認します。
[ レプリケーション方法] では、差分データの定期的なレプリケーションを開始する前に、ソースからターゲットの場所に対するデータの初期レプリケーションを処理する方法を指定します。
初期レプリケーションのデータをネットワーク経由でコピーするには、[ネットワーク経由] を選択します。 コピーを直ちに開始することも、実行時刻を選択することもできます。 ネットワークを使用してレプリケーションを行う場合は、ピーク時間帯を避けて初期レプリケーションをスケジュールすることをお勧めします。
外部メディアを使用して初期レプリケーションを実行するには、[オフライン] を選択します。 ソース クラウドのエクスポートの場所とターゲット クラウドのインポートの場所を指定します。 仮想マシンの保護を有効にすると、指定されたエクスポート場所に仮想ハード ディスクがコピーされます。 それをターゲット サイトに送信して、インポート場所にコピーします。 インポートされた情報はレプリカ仮想マシンに自動的にコピーされます。
クラウド プロパティの [仮想マシン] タブの [仮想マシンの保護の無効化] を選択して仮想マシンの保護を停止する場合は、[レプリカ仮想マシンの削除] を選択して、レプリカ仮想マシンが削除されるように指定します。 この設定を有効にすると、保護を無効にしたときに、仮想マシンの Azure Site Recovery からの削除、VMM コンソールでの仮想マシンの Site Recovery 設定の削除、レプリカの削除が行われます。
Runbook を設定する
仮想マシンの保護の設定に役立つ Runbook がいくつかあります。 プラマリ サイトでは、マスター Runbook をスケジュールおよび構成します。 マスター Runbook は、指定されたスケジュールに従って他の Runbook を自動的に呼び出します。
Runbook をダウンロードする
マスター Runbook を構成およびスケジュールする
次の表に Runbook をまとめます。
Runbook |
説明 |
パラメーター |
---|---|---|
InvokeAzureSiteRecoveryProtectionJob.ps1 |
マスター Runbook。 以下の Runbook をこの順序で呼び出します。
登録 Runbook を実行した後は、この Runbook だけを実行する必要があります。 |
LeaderVMMConnection— アセット タイプ: 接続。接続タイプ: VMM 接続。 Nonleader/SecondaryVMMConnection— アセット タイプ: 接続。接続タイプ: VMM 接続。 PrimarySiteAdminConnection— アセット タイプ: 接続。接続タイプ: MgmntSvcAdmin。 PrimaryVmmAdminConnection— アセット タイプ: 接続。 接続タイプ: VMM 接続。 RecoverySiteAdminConnection— アセット タイプ: 接続。接続タイプ: MgmntSvcAdmin。 RecoverySitePlanSuffix— オプション。 アセット タイプ: 接続。接続タイプ: MgmntSvcAdmin。 |
Add-AzureSiteRecoverySubscription.ps1 |
Azure Site Recovery が有効なプライマリ スタンプ内のプランのすべてのサブスクリプションを、セカンダリ スタンプ内のプランに自動的に追加します。 |
パラメーターはマスター Runbook で設定されます |
Add-AzureSiteRecoverySecretTransferKey.ps1 |
プライマリ VMM サーバーとセカンダリ VMM サーバーの間で暗号化キーを同期します。 この暗号化キーは、Azure Site Recovery を初めて開始したときに自動的に生成されます。 テナントの仮想マシンがセカンダリ データセンターにレプリケートされるとき、関連付けられているテナント情報を保持しているので、フェールオーバーが発生したときに、テナントはレプリケートされた仮想マシンにアクセスできます。 このキーは、そのメタデータの暗号化に使用されます。 |
パラメーターはマスター Runbook で設定されます |
InvokeAzureSiteRecoveryManageVmProtectionJob.ps1 |
すべてのサブスクリプションを照会し、保護が有効かどうかを確認します。 その後、各サブスクリプションについて、すべての仮想マシンを照会し、一致するサブスクリプションで保護が有効になっている場合は保護を有効にします。 |
パラメーターはマスター Runbook で設定されます |
Get-WindowsToken.ps1 |
この Runbook は、コマンドレットを実行するために他の Runbook によって使用されます。 |
なし |
Runbook をダウンロードする
Microsoft スクリプト センターから Runbook をダウンロードします。
これらを次の順序でインポートして公開します。
Get-WindowsToken.ps1
Add-AzureSiteRecoverySubscription.ps1
Add-AzureSiteRecoverySecretTransferKey.ps1
Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1
Invoke-AzureSiteRecoveryProtectionJob.ps1 (マスター Runbook)
マスター Runbook を構成およびスケジュールする
Automation>Runbook でクリックしてInvokeAzureSiteRecoveryProtectionJob.ps1を開きます。
[ スケジュール ] をクリックし、Runbook を実行する時期を指定します。 [ スケジュールの構成 ] ページで、スケジュールの名前と説明を指定します。
[ 時間 ] で [ 毎日 ] を選択し、開始時刻を選択します。
[ Runbook パラメーター値の指定 ] で、マスター Runbook によって呼び出される Runbook 全体で使用されるパラメーターを指定します。
LeaderVMMConnection— VMM を実行するコンピューターの FQDN と、コンピューター管理者の資格情報。 作成したアセット変数の名前を指定します。
NonLeaderVMMConnection— VMM を実行するセカンダリ サイトのコンピューターの FQDN と、管理者の資格情報。 作成したアセット変数の名前を指定します。
PrimarySiteAdminConnection— Azure Pack 管理者ポータルを実行するプライマリ データセンター内のコンピューターの FQDN と、管理者の資格情報。 このパラメーターは、プライマリ ポータルへのログオンに必要です。 作成したアセット変数の名前を指定します。
PrimaryVmmAdminConnection — プライマリ VMM サーバーの FQDN と、コンピューター管理者の資格情報。
RecoverySiteAdminConnection— Azure Pack 管理者ポータルを実行するセカンダリ データセンター内のコンピューターの FQDN と、管理者の資格情報。
RecoverySitePlanSuffix— プライマリ データセンターのプランの名前にサフィックス –Recovery がない場合、サブスクリプションがセカンダリ データセンターのプランと正常に同期できるように、テキスト サフィックスを指定する必要があります。
プランを構成する
クラウドの設定を構成して Runbook を設定した後、保護オプションをプランまたはアドオンに追加します。
保護を有効にする— プライマリ データセンターで、既存のプランまたはアドオンの保護を有効にします。 別の方法として、保護が有効になっている新しいプランを作成できます。
セカンダリ データセンターにプライベート プランを作成する— セカンダリ データセンターに同じ設定でプライベート プランを手動で作成する必要があります。
プランまたはアドオンで保護を有効にする
Azure Pack ポータルで発行されたプランに機能を追加するには、[ プラン] をクリックします。 [ プラン ] タブで関連するプランを開くか、または [ アドオン ] タブでアドオンを開きます。
[ プラン サービス ] または [ アドオン サービス ] で、[ 仮想マシン クラウド] をクリックします。 [ カスタム設定 ] で、[ すべての仮想マシンの保護を有効にする] を選択します。
セカンダリ データセンターでプランを作成する
セカンダリ サイトで同じ設定を使用してプランを手動で作成する必要があります。 このプランを作成すると、 Add-AzureSiteRecoverySubscription.ps1 Runbook によって、プライマリ サイトのプランのサブスクリプションが、セカンダリ サイトの一致するプランに自動的に作成されます。
Azure Pack ポータルでプランを作成するには、左側のナビゲーション ウィンドウの [プランの新規作成>] > をクリックします。 [ホスティング プランの作成] から、プライマリ サイトのプランと一致する設定でプランを作成します。
プラン名は PrimaryPlanName-text>< 形式<である必要があることに注意してください>。<PrimaryPlanName> は、プライマリ サイト上のプランの名前である必要があります。 –Recovery を使用することをお勧めします。これは、プライマリ サイトのプランのサブスクリプションとセカンダリ サイトのプライベート プランを自動的に同期する Add-AzureSiteRecoverySubscription.ps1 Runbook によって認識される既定のサフィックスです。 たとえば、MyPrimaryPlan–Recovery
テナントの手順
仮想マシンの保護を展開するには、テナントで以下のことを行う必要があります。
プランまたはアドオンにサインアップする— 仮想マシンの保護要件をユーザーと話し合った後、テナントは、セルフサービスの Azure Pack ポータルを使用して、保護が有効になっているプライマリ サイトのプランまたはアドオンにサブスクライブします。
同じ設定のプランがセカンダリ サイトに作成されている場合、マスター Runbook は Add-AzureSiteRecoverySubscription.ps1 を呼び出して、セカンダリ プランにテナント サブスクリプションを作成します。
仮想マシンを作成する— テナントは、プランまたはアドオンと関連付けられたサブスクリプションに基づいて、仮想マシンまたは仮想マシン ロールを作成します。 関連付けられた VMM クラウドに仮想マシンが作成されます。 仮想マシンの所有者は、仮想マシンを作成したユーザーの名前です。
VM ネットワークを作成する— セルフサービスの Azure Pack ポータルで、テナントは、必要に応じて、VMM 論理ネットワークに基づいて仮想ネットワークを作成できます。 テナントは、フェールオーバー後にレプリカ仮想マシンが適切なネットワークに確実に接続されるようにする場合は、仮想ネットワークを作成する必要があります。
. テナントが仮想ネットワークを作成すると、同じ設定の VM ネットワークが関連付けられた VMM クラウドに自動的に作成されます。
ネットワーク マッピングを設定する
テナントが VM ネットワークを作成した後、ユーザーは、Azure Site Recovery ポータルでネットワーク マッピングを設定して、プライマリ サイトの VM ネットワークをセカンダリ サイトの VM ネットワークにマップできます。 これらのマッピングは、フェールオーバー後のレプリカ仮想マシンの接続方法を示しています。
セカンダリ サイトの VMM サーバーに、プライマリ VMM サーバーに自動的に作成された VM ネットワークと同じ設定の VM ネットワークを作成します。 その後、ネットワーク マッピングを構成します。
Azure Site Recovery ポータルで、[リソース] ページ>の [ネットワーク>マップ] を開きます。
ネットワークをマップするソース VMM サーバーを選択し、次に、ネットワークがマップされるターゲット VMM サーバーを選択します。 ソース ネットワークとそれに関連付けられたターゲット ネットワークの一覧が表示されます。 現在マップされていないネットワークについては、空白の値が表示されます。 各ネットワークのサブネットを表示するには、ネットワーク名の横にある情報アイコンをクリックします。
[ソース側のネットワーク] でいずれかのネットワークを選択し、[マップ] をクリックします。 サービスによってターゲット サーバー上の VM ネットワークが検出され、表示されます。
ターゲット VMM サーバー上の VM ネットワークを選択します。 ソース ネットワークを使用する保護対象のクラウドが表示されます。 保護に使用するクラウドに関連付けられている使用可能なターゲット ネットワークも表示されます。 保護に使用しているすべてのクラウドで使用できるターゲット ネットワークを選択することをお勧めします。
チェック マークをクリックして、マッピング処理を完了します。 ジョブが開始され、マッピングの進行状況を追跡します。 [ ジョブ ] タブで進行状況を確認します。
ユーザー アカウントを確認する
仮想マシンをレプリケートするには、サブスクリプションのユーザー資格情報が、セカンダリ Windows Azure Pack によって認識される必要があります。
テナントが Active Directory を使用して認証する場合は、ユーザーの資格情報がセカンダリ サイトによって認識されることを確認します。 プライマリ サイトとセカンダリ サイトが同じ Active Directory フォレストのメンバーである必要があることに注意してください。
別の認証方法を使用している場合は、資格情報がセカンダリ サイトで使用できることを確認します。
仮想マシンの検出とレプリケート
Runbook Invoke-AzureSiteRecoveryManageVmProtectionJob.ps1 は、保護が有効になっているプランまたはアドオンのサブスクリプションを検出し、これらのサブスクリプションの仮想マシンに対して保護を有効にします。 これは、Runbook のスケジュール設定に従って自動的に行われます。 管理者によるアクションは必要ありません。
フェールオーバーの実行
初期レプリケーションの後、次のようにしてフェールオーバーを実行します。
テスト フェールオーバー — 運用インフラストラクチャに影響を与えることなく、実行して環境を検証します。 テナントが要求した場合は、テスト フェールオーバーを実行できます。 方法については、「 テスト フェールオーバーの実行」を参照してください。
計画的フェールオーバー — 計画的な保守または予期していない停止が発生した場合に実行します。 フェールオーバーの実行に関するページを参照してください。
非計画的フェールオーバー — 計画されていないダウンタイムによる障害回復のために実行します。 フェールオーバーの実行に関するページを参照してください。
レプリケートされた仮想マシンにアクセスする
Azure Site Recovery でのフェールオーバーでは、セカンダリ サイトにレプリカ仮想マシンが作成され、サブスクリプション情報が同期されて、レプリカ仮想マシンが同じカスタマー サブスクリプションにリンクされます。 フェールオーバーの後、テナントは、プライマリ データセンターと同じ資格情報を使用してセカンダリ データセンター WAP ポータルの Azure ポータルにログオンし、ポータルからレプリカ仮想マシンにアクセスできます。 テナントが VPN 接続経由でプライマリ データセンターの仮想マシンにアクセスする場合は、レプリケートされた仮想マシンにも VPN 経由でアクセスできるように、テナントの場所とセカンダリ データセンターの間に VPN 接続をセットアップする必要があることに注意してください。