Integre o ExpressRoute com a recuperação de desastres para máquinas virtuais do Azure
Este artigo descreve como integrar o Azure ExpressRoute com o Azure Site Recovery, quando você configura a recuperação de desastres para máquinas virtuais do Azure em uma região secundária do Azure.
O Site Recovery permite a recuperação de desastres de máquinas virtuais do Azure replicando dados de máquina virtual do Azure para o Azure.
- Se as máquinas virtuais do Azure usarem discos gerenciados do Azure, os dados da máquina virtual serão replicados para um disco gerenciado replicado na região secundária.
- Se as máquinas virtuais do Azure não usarem discos gerenciados, os dados da máquina virtual serão replicados para uma conta de armazenamento do Azure.
- Os pontos de extremidade de replicação são públicos, mas o tráfego de replicação para máquinas virtuais do Azure não atravessa a Internet.
O ExpressRoute permite que você estenda redes locais para a nuvem do Microsoft Azure por meio de uma conexão privada, facilitada por um provedor de conectividade. Se você tiver a Rota Expressa configurada, ela se integrará à Recuperação de Site da seguinte maneira:
- Durante a replicação entre regiões do Azure: o tráfego de replicação para a recuperação de desastres da máquina virtual do Azure está apenas no Azure e a Rota Expressa não é necessária ou usada para replicação. No entanto, se você estiver se conectando de um site local às máquinas virtuais do Azure no site primário do Azure, há muitos problemas a serem observados ao configurar a recuperação de desastres para essas máquinas virtuais do Azure.
- Failover entre regiões do Azure: quando ocorrem interrupções, você faz failover de máquinas virtuais do Azure da região principal para a secundária do Azure. Depois de fazer failover para uma região secundária, há muitas etapas a serem executadas para acessar as máquinas virtuais do Azure na região secundária usando a Rota Expressa.
Antes de começar
Antes de começar, certifique-se de que compreende os seguintes conceitos:
- Circuitos de Rota Expressa
- Domínios de roteamento de Rota Expressa
- Localizações da Rota Expressa.
- Arquitetura de replicação de máquina virtual do Azure
- Como configurar a replicação para máquinas virtuais do Azure.
- Como fazer failover de máquinas virtuais do Azure.
Recomendações gerais
Para obter práticas recomendadas e garantir RTOs (Recovery Time Objetives, objetivos de tempo de recuperação) eficientes para recuperação de desastres, recomendamos que você faça o seguinte ao configurar a Recuperação de Site para integração com a Rota Expressa:
- Provisione componentes de rede antes do failover para uma região secundária:
- Quando você habilita a replicação para máquinas virtuais do Azure, o Site Recovery pode implantar automaticamente recursos de rede usando as configurações de rede de origem. Por exemplo, redes, sub-redes e gateways na região do Azure de destino.
- O Site Recovery não pode configurar automaticamente recursos de rede, como gateways VNet.
- Recomendamos que você provisione esses recursos de rede extras antes do failover. Um pequeno tempo de inatividade está associado a essa implantação e pode afetar o tempo de recuperação geral, se você não o levou em conta durante o planejamento da implantação.
- Execute exercícios regulares de recuperação de desastres:
- Um teste valida a sua estratégia de replicação sem perda de dados ou tempo de inatividade e não afeta o seu ambiente de produção. Ele ajuda a evitar problemas de configuração de última hora que podem afetar negativamente o RTO.
- Quando você executa um failover de teste para o drill, recomendamos usar uma rede de máquina virtual do Azure separada em vez da rede padrão configurada durante a replicação.
- Use espaços de endereço IP diferentes se você tiver um único circuito de Rota Expressa.
- Recomendamos que você use um espaço de endereço IP diferente para a rede virtual de destino. Isso evita problemas ao estabelecer conexões durante interrupções regionais.
- Se não for possível usar um espaço de endereçamento separado, execute o failover do teste de drill de recuperação de desastres em uma rede de teste separada com endereços IP diferentes. Não é possível conectar duas VNets com espaço de endereço IP sobreposto ao mesmo circuito de Rota Expressa.
Replicar máquinas virtuais do Azure ao usar a Rota Expressa
Se você quiser configurar a replicação para máquinas virtuais do Azure em um site primário e estiver se conectando a essas máquinas virtuais a partir do seu site local pela Rota Expressa, aqui está o que você precisa fazer:
- Habilite a replicação para cada máquina virtual do Azure.
- Opcionalmente, deixe o Site Recovery configurar a rede:
- Quando você configura e habilita a replicação, o Site Recovery configura redes, sub-redes e sub-redes de gateway na região do Azure de destino para corresponder às da região de origem. O Site Recovery também mapeia entre as redes virtuais de origem e de destino.
- Se você não quiser que o Site Recovery faça isso automaticamente, crie os recursos de rede do lado de destino antes de habilitar a replicação.
- Crie outros elementos de rede:
- A Recuperação de Site não cria tabelas de rotas, gateways de rede virtual, conexões de gateway de rede virtual, emparelhamento de rede virtual ou outros recursos e conexões de rede na região secundária.
- Você precisa criar esses elementos de rede extras na região secundária, a qualquer momento, antes de executar um failover da região primária.
- Você pode usar planos de recuperação e scripts de automação para configurar e conectar esses recursos de rede.
- Se você tiver um dispositivo virtual de rede (NVA) implantado para controlar o fluxo de tráfego de rede:
- A rota de sistema padrão do Azure para replicação de máquina virtual do Azure é 0.0.0.0/0.
- Normalmente, as implantações de NVA também definem uma rota padrão (0.0.0.0/0) que força o tráfego de saída da Internet a fluir através do NVA. A rota padrão é usada quando nenhuma outra configuração de rota específica pode ser encontrada.
- Nesse caso, o NVA pode estar sobrecarregado se todo o tráfego de replicação passar pelo NVA.
- A mesma limitação também se aplica ao usar rotas padrão para rotear todo o tráfego da máquina virtual do Azure para implantações locais.
- Nesse cenário, recomendamos que você crie um ponto de extremidade de serviço de rede em sua rede virtual para o serviço Microsoft.Storage, para que o tráfego de replicação não saia do limite do Azure.
Exemplo de replicação
Em implantações empresariais típicas, as cargas de trabalho são distribuídas em várias redes virtuais do Azure com um hub central para conectividade local e de Internet. Essa configuração geralmente usa uma topologia hub-and-spoke com a Rota Expressa.
- Região. Os aplicativos são implantados na região do Azure Ásia Oriental.
- Falou vNets. Os aplicativos são implantados em duas vNets faladas:
- Fonte vNet1: 10.1.0.0/24.
- Fonte vNet2: 10.2.0.0/24.
- Cada rede virtual spoke está conectada ao Hub vNet.
- Hub vNet. Há um hub vNet Source Hub vNet: 10.10.10.0/24.
- Este hub vNet atua como o gatekeeper.
- Todas as comunicações entre sub-redes passam por este hub.
- Sub-redes Hub vNet. O hub vNet tem duas sub-redes:
- Sub-rede NVA: 10.10.10.0/25. Esta sub-rede contém um NVA (10.10.10.10).
- Sub-rede do gateway: 10.10.10.128/25. Essa sub-rede contém um gateway de Rota Expressa conectado a uma conexão de Rota Expressa que roteia para o site local por meio de um domínio de roteamento de emparelhamento privado.
- O datacenter local tem uma conexão de circuito de Rota Expressa por meio de uma borda de parceiro na Região Administrativa Especial de Hong Kong.
- Todo o roteamento é controlado por meio de tabelas de rotas do Azure (UDR).
- Todo o tráfego de saída entre vNets ou para o datacenter local é roteado através do NVA.
Configurações de emparelhamento de hub e spoke
Spoke para hub
Direção | Definição | Distrito |
---|---|---|
Spoke para hub | Permitir endereço de rede virtual | Ativado(a) |
Spoke para hub | Permitir tráfego encaminhado | Ativado(a) |
Spoke para hub | Permitir o trânsito do gateway | Desativado |
Spoke para hub | Usar remover gateways | Ativado(a) |
Hub para spoke
Direção | Definição | Distrito |
---|---|---|
Hub para spoke | Permitir endereço de rede virtual | Ativado(a) |
Hub para spoke | Permitir tráfego encaminhado | Ativado(a) |
Hub para spoke | Permitir o trânsito do gateway | Ativado(a) |
Hub para spoke | Usar remover gateways | Desativado |
Exemplos de passos
Em nosso exemplo, o seguinte deve acontecer ao habilitar a replicação para máquinas virtuais do Azure na rede de origem:
- Você habilita a replicação para uma máquina virtual.
- O Site Recovery cria vNets de réplica, sub-redes e sub-redes de gateway na região de destino.
- O Site Recovery cria mapeamentos entre as redes de origem e as redes de destino de réplica que cria.
- Você cria manualmente gateways de rede virtual, conexões de gateway de rede virtual, emparelhamento de rede virtual ou quaisquer outros recursos ou conexões de rede.
Failover de máquinas virtuais do Azure ao usar a Rota Expressa
Depois de falhar as máquinas virtuais do Azure na região do Azure de destino usando o Site Recovery, você poderá acessá-las usando o emparelhamento privado da Rota Expressa.
- Você precisa conectar o ExpressRoute à vNet de destino com uma nova conexão. A conexão de Rota Expressa existente não é transferida automaticamente.
- A maneira como você configura sua conexão de Rota Expressa com a vNet de destino depende da topologia da Rota Expressa.
Acesso com dois circuitos
Dois circuitos com dois locais de emparelhamento
Essa configuração ajuda a proteger os circuitos da Rota Expressa contra desastres regionais. Se o local de emparelhamento principal ficar inativo, as conexões poderão continuar a partir do outro local.
- O circuito conectado ao ambiente de produção é geralmente o principal. O circuito secundário normalmente tem menor largura de banda, que pode ser aumentada se ocorrer um desastre.
- Após o failover, você pode estabelecer conexões do circuito secundário da Rota Expressa para a vNet de destino. Como alternativa, você pode ter conexões configuradas e prontas em caso de desastre, para reduzir o tempo geral de recuperação.
- Com conexões simultâneas com vNets primário e de destino, certifique-se de que seu roteamento local use apenas o circuito secundário e a conexão após o failover.
- Os vNets de origem e destino podem receber novos endereços IP, ou manter os mesmos, após o failover. Em ambos os casos, as conexões secundárias podem ser estabelecidas antes do failover.
Dois circuitos com um único local de emparelhamento
Essa configuração ajuda a proteger contra falhas do circuito primário da Rota Expressa, mas não se o único local de emparelhamento da Rota Expressa ficar inativo, afetando ambos os circuitos.
- Você pode ter conexões simultâneas do datacenter local para o vNEt de origem com o circuito primário e para o vNet de destino com o circuito secundário.
- Com conexões simultâneas com o primário e o destino, certifique-se de que o roteamento local use apenas o circuito secundário e a conexão após o failover.
- Não é possível conectar ambos os circuitos à mesma vNet quando os circuitos são criados no mesmo local de emparelhamento.
Acesso com um único circuito
Nesta configuração, há apenas um circuito de rota expressa. Embora o circuito tenha uma conexão redundante no caso de um cair, um circuito de rota única não fornecerá resiliência se sua região de emparelhamento cair. Tenha em atenção que:
- Se a região do Azure de destino não estiver no mesmo local que a origem, você precisará habilitar o ExpressRoute Premium se estiver usando um único circuito de Rota Expressa. Saiba mais sobre os locais da Rota Expressa e os preços da Rota Expressa.
- Não é possível conectar vNets de origem e de destino simultaneamente ao circuito se o mesmo espaço de endereço IP for usado na região de destino. Neste cenário:
- Desconecte a conexão do lado da origem e estabeleça a conexão do lado do destino. Essa alteração de conexão pode ser executada por script como parte de um plano de recuperação de site. Note-se que:
- Em uma falha regional, se a região primária estiver inacessível, a operação de desconexão poderá falhar. Isso pode afetar a criação de conexão com a região de destino.
- Se você criou a conexão na região de destino e a região primária se recupera mais tarde, você pode enfrentar quedas de pacotes se duas conexões simultâneas tentarem se conectar ao mesmo espaço de endereço.
- Para evitar isso, encerre a conexão principal imediatamente.
- Após o failback da máquina virtual para a região primária, a conexão primária pode ser estabelecida novamente, depois que você desconectar a conexão secundária.
- Desconecte a conexão do lado da origem e estabeleça a conexão do lado do destino. Essa alteração de conexão pode ser executada por script como parte de um plano de recuperação de site. Note-se que:
- Se um espaço de endereço diferente for usado na vNet de destino, você poderá se conectar simultaneamente às vNets de origem e de destino a partir do mesmo circuito de Rota Expressa.
Exemplo de failover
Em nosso exemplo, estamos usando a seguinte topologia:
- Dois circuitos ExpressRoute diferentes em dois locais de emparelhamento diferentes.
- Retenha endereços IP privados para as máquinas virtuais do Azure após o failover.
- A região de recuperação de destino é o Azure Sudeste Asiático.
- Uma conexão de circuito de Rota Expressa secundária é estabelecida através de uma borda de parceiro em Cingapura.
Para obter uma topologia simples que usa um único circuito de Rota Expressa, com o mesmo endereço IP após failover, revise este artigo.
Exemplos de passos
Para automatizar a recuperação neste exemplo, veja o que você precisa fazer:
Siga as etapas para configurar a replicação.
Faça failover das máquinas virtuais do Azure, com essas etapas extras durante ou após o failover.
a. Crie o Gateway de Rota Expressa do Azure na VNet do hub da região de destino. Isso é necessário para conectar o hub de destino vNet ao circuito ExpressRoute.
b. Crie a conexão do hub de destino vNet para o circuito ExpressRoute de destino.
c. Configure os emparelhamentos de VNet entre o hub da região de destino e as redes virtuais faladas. As propriedades de emparelhamento na região de destino são as mesmas da região de origem.
d. Configure as UDRs na VNet do hub e as duas VNets faladas.
- As propriedades dos UDRs do lado de destino são as mesmas do lado de origem ao usar os mesmos endereços IP.
- Com diferentes endereços IP de destino, os UDRs devem ser modificados de acordo.
As etapas acima podem ser roteirizadas como parte de um plano de recuperação. Dependendo da conectividade do aplicativo e dos requisitos de tempo de recuperação, as etapas acima também podem ser concluídas antes de iniciar o failover.
Após a recuperação
Depois de recuperar as máquinas virtuais e concluir a conectividade, o ambiente de recuperação é o seguinte.
Próximos passos
Saiba mais sobre como usar planos de recuperação para automatizar o failover de aplicativos.