Skip to main content
NetApp Solutions
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

TR-4955:《使用Azure NetApp Files (ANF)和Azure VMware解决方案 (AVS)进行灾难恢复》

贡献者

在云中的各个区域之间使用块级复制进行灾难恢复、是一种具有故障恢复能力且经济高效的方法、可以保护工作负载免受站点中断和数据损坏事件(例如勒索软件)的影响。

作者:Niyaz Mohamed、NetApp解决方案工程部

概述

通过Azure NetApp Files (ANF)跨区域卷复制、可以将在Azure VMware解决方案 (AVS) SDDC站点上使用Azure NetApp Files 卷作为主AVS站点上的NFS数据存储库运行的VMware工作负载复制到目标恢复区域中的指定二级AVS站点。

灾难恢复编排程序(Disaster Recovery Orchestrator、DRO)(一种具有UI的脚本解决方案)可用于无缝恢复从一个AVS SDDC复制到另一个AVS SDDC的工作负载。DRO可通过中断复制对等关系、然后将目标卷挂载为数据存储库、通过向AVS注册VM、直接在NSX-T (包括在所有AVS私有云中)上映射网络来自动恢复。

图中显示了输入/输出对话框或表示已写入内容

前提条件和一般建议

  • 通过创建复制对等来验证是否已启用跨区域复制。请参见 "为Azure NetApp Files 创建卷复制"

  • 您必须在源Azure VMware解决方案 私有云和目标Azure VMware私有云之间配置ExpressRoute全局范围。

  • 您必须具有可访问资源的服务主体。

  • 支持以下拓扑:主AVS站点到辅AVS站点。

  • 根据业务需求和数据更改率为每个卷适当配置 "复制"计划。

备注 不支持级联和扇入及扇出拓扑。

入门

部署Azure VMware解决方案

"Azure VMware 解决方案" (AVS)是一种混合云服务、可在Microsoft Azure公共云中提供功能全面的VMware SDDC。AVS是由Microsoft全面管理和支持并经过VMware验证的第一方解决方案 、它使用Azure基础架构。因此、客户可以获得用于计算虚拟化的VMware ESXi、用于超融合存储的vSAN以及用于网络连接和安全的NSX、同时充分利用Microsoft Azure的全球影响力、同类领先的数据中心设施以及与丰富的原生Azure服务和解决方案生态系统的邻近性。Azure VMware解决方案 SDDC与Azure NetApp Files 相结合、可提供最佳性能、同时将网络延迟降至最低。

要在Azure上配置AVS私有云、请按照中的步骤进行操作 "链接。" 适用于NetApp文档和本 "链接。" 了解Microsoft文档。 采用最低配置设置的指示灯环境可用于灾难恢复。 此设置仅包含支持关键应用程序的核心组件、并且可以横向扩展并生成更多主机、以便在发生故障转移时承担大部分负载。

备注 在初始版本中、DRO支持现有AVS SDDC集群。即将发布的版本将提供按需创建SDDC的功能。

配置和配置Azure NetApp Files

"Azure NetApp Files" 是一种高性能的企业级计量文件存储服务。按照中的步骤进行操作 "链接。" 配置Azure NetApp Files 并将其配置为NFS数据存储库、以优化AVS私有云部署。

为Azure NetApp Files提供支持的数据存储库卷创建卷复制

第一步是使用适当的频率和保留值为所需的数据存储库卷设置从AVS主站点到AVS二级站点的跨区域复制。

图中显示了输入/输出对话框或表示已写入内容

按照中的步骤进行操作 "链接。" 通过创建复制对等来设置跨区域复制。目标容量池的服务级别可以与源容量池的服务级别匹配。但是、对于此特定使用情形、您可以选择标准服务级别、然后选择 "修改服务级别" 发生实际灾难或灾难恢复模拟时。

备注 跨区域复制关系是前提条件、必须事先创建。

DRO安装

要开始使用DRO、请在指定的Azure虚拟机上使用Ubuntu操作系统、并确保满足前提条件。然后安装软件包。

前提条件:

  • 可以访问资源的服务主体。

  • 确保与源和目标SDDC以及Azure NetApp Files 实例建立了适当的连接。

  • 如果使用的是DNS名称、则应进行DNS解析。否则、请使用vCenter的IP地址。

操作系统要求:

  • Ubuntu Focal 20.04 (LTS)指定的代理虚拟机上必须安装以下软件包:

  • Docker

  • Docker—编写

  • JqChange docker.sock 对此新权限: sudo chmod 666 /var/run/docker.sock

备注 deploy.sh 脚本会执行所有必需的前提条件。

步骤如下:

  1. 在指定虚拟机上下载安装包:

    git clone https://github.com/NetApp/DRO-Azure.git
    备注 代理必须安装在二级AVS站点区域或主AVS站点区域中、其AZ不能与SDDC相同。
  2. 解压缩软件包、运行部署脚本、然后输入主机IP (例如、 10.10.10.10)。

    tar xvf draas_package.tar
    Navigate to the directory and run the deploy script as below:
    sudo sh deploy.sh
  3. 使用以下凭据访问UI:

    • 用户名: admin

    • 密码: admin

      图中显示了输入/输出对话框或表示已写入内容

DRO配置

正确配置Azure NetApp Files 和AVS后、您可以开始配置DRO、以便自动将工作负载从主AVS站点恢复到二级AVS站点。NetApp建议在二级AVS站点中部署DRO代理并配置ExpressRoute网关连接、以便DRO代理可以通过网络与相应的AVS和Azure NetApp Files 组件进行通信。

第一步是添加凭据。DRO需要具有发现Azure NetApp Files 和Azure VMware解决方案 的权限。您可以通过创建和设置Azure Active Directory (AD)应用程序以及获取DRO所需的Azure凭据来为Azure帐户授予所需权限。您必须将服务主体绑定到Azure订阅、并为其分配具有所需相关权限的自定义角色。添加源和目标环境时、系统会提示您选择与服务主体关联的凭据。您需要先将这些凭据添加到DRO、然后才能单击添加新站点。

要执行此操作、请完成以下步骤:

  1. 在支持的浏览器中打开DRO、并使用默认用户名和密码 /admin/admin)。首次登录后、可以使用更改密码选项重置密码。

  2. 在DRO控制台的右上角,单击*Settings*图标,然后选择*凭 据*。

  3. 单击Add New凭据、然后按照向导中的步骤进行操作。

  4. 要定义凭据、请输入有关授予所需权限的Azure Active Directory服务主体的信息:

    • 凭据名称

    • 租户ID

    • 客户端 ID

    • 客户端密钥

    • 订阅ID

      创建AD应用程序时、您应已捕获此信息。

  5. 确认有关新凭据的详细信息、然后单击添加凭据。

    图中显示了输入/输出对话框或表示已写入内容

    添加凭据后、即可发现主AVS站点和二级AVS站点(vCenter和Azure NetApp Files 存储帐户)并将其添加到DRO中。要添加源站点和目标站点、请完成以下步骤:

  6. 转到*Discover (发现)*选项卡。

  7. 单击*添加新站点*。

  8. 添加以下主AVS站点(在控制台中指定为*Source*)。

    • SDDC vCenter

    • Azure NetApp Files 存储帐户

  9. 添加以下二级AVS站点(在控制台中指定为*目标*)。

    • SDDC vCenter

    • Azure NetApp Files 存储帐户

      图中显示了输入/输出对话框或表示已写入内容

  10. 通过单击*源*添加站点详细信息,输入友好的站点名称,然后选择连接器。然后单击 * 继续 * 。

    备注 为了便于演示、本文档将介绍如何添加源站点。
  11. 更新vCenter详细信息。为此、请从主AVS SDDC的下拉列表中选择凭据、Azure区域和资源组。

  12. DRO列出了该区域内的所有可用SDDC。从下拉列表中选择指定的私有云URL。

  13. 输入 cloudadmin@vsphere.local 用户凭据。可从Azure门户访问此内容。请按照本中所述的步骤进行操作 "链接。"。完成后,单击*继续*。

    图中显示了输入/输出对话框或表示已写入内容

  14. 通过选择Azure资源组和NetApp帐户、选择源存储详细信息(ANF)。

  15. 单击*创建站点*。

    图中显示了输入/输出对话框或表示已写入内容

添加后、DRO将执行自动发现、并显示具有从源站点到目标站点的相应跨区域副本的VM。DRO会自动检测VM使用的网络和网段并将其填充。

图中显示了输入/输出对话框或表示已写入内容

下一步是将所需的VM作为资源组分组到其功能组中。

资源分组

添加平台后、将要恢复的VM分组到资源组中。使用DRO资源组、您可以将一组依赖虚拟机分组到逻辑组中、这些逻辑组包含启动顺序、启动延迟以及可在恢复时执行的可选应用程序验证。

要开始创建资源组,请单击*Create New Resource Group*菜单项。

  1. 访问*Resource Group*ps并单击*Create New Resource Group*。

    图中显示了输入/输出对话框或表示已写入内容

  2. 在“新建资源组”下,从下拉列表中选择源站点,然后单击*Create*。

  3. 提供资源组详细信息,然后单击*Continue*。

  4. 使用搜索选项选择适当的VM。

  5. 为所有选定虚拟机选择*引导顺序*和*引导延迟*(秒)。通过选择每个虚拟机并设置其优先级来设置启动顺序。所有虚拟机的默认值均为3。选项如下:

    • 要启动的第一个虚拟机

    • Default

    • 要启动的最后一个虚拟机

      图中显示了输入/输出对话框或表示已写入内容

  6. 单击*创建资源组*。

    图中显示了输入/输出对话框或表示已写入内容

复制计划

您必须制定在发生灾难时恢复应用程序的计划。从下拉列表中选择源和目标vCenter平台、选择要包含在此计划中的资源组、同时还包括应用程序应如何还原和启动的分组(例如、域控制器、第1层、第2层等)。计划通常也称为蓝图。要定义恢复计划,请导航到“复制计划”选项卡,然后单击*New Replication Plan*。

要开始创建复制计划、请完成以下步骤:

  1. 导航到*复制计划*,然后单击*创建新复制计划*。

    图中显示了输入/输出对话框或表示已写入内容

  2. 在*New Replication Plan*上,为该计划提供一个名称,并通过选择源站点、关联的vCenter、目标站点和关联的vCenter来添加恢复映射。

    图中显示了输入/输出对话框或表示已写入内容

  3. 恢复映射完成后,选择*Cluster Mapping*。

    图中显示了输入/输出对话框或表示已写入内容

  4. 选择*资源组详细信息*、然后单击*继续*。

  5. 设置资源组的执行顺序。使用此选项可以选择存在多个资源组时的操作顺序。

  6. 完成后、将网络映射设置为相应的网段。区块应已在二级AVS集群上配置、要将虚拟机映射到这些区块、请选择适当的区块。

  7. 系统会根据所选虚拟机自动选择数据存储库映射。

    备注 跨区域复制(CRR)在卷级别进行。因此、驻留在相应卷上的所有VM都会复制到CRR目标。请确保选择属于数据存储库的所有虚拟机、因为只会处理属于复制计划的虚拟机。

    图中显示了输入/输出对话框或表示已写入内容

  8. 在VM详细信息下、您可以选择调整VM CPU和RAM参数的大小。如果您要将大型环境恢复到较小的目标集群、或者在执行灾难恢复测试时无需配置一对一物理VMware基础架构、则此功能非常有用。此外、还可以修改资源组中所有选定VM的启动顺序和启动延迟(秒)。如果需要对您在资源组引导顺序选择期间选择的内容进行任何更改,则还可以使用一个附加选项来修改引导顺序。默认情况下、系统会使用在资源组选择期间选择的引导顺序、但在此阶段可以执行任何修改。

    图中显示了输入/输出对话框或表示已写入内容

  9. 单击*创建复制计划*。创建复制计划后,您可以根据需要执行故障转移、测试故障转移或迁移选项。

    图中显示了输入/输出对话框或表示已写入内容

在故障转移和测试故障转移选项期间、将使用最新的快照、或者可以从时间点快照中选择特定快照。如果您正面临勒索软件等损坏事件、其中最新副本已被泄露或加密、则时间点选项非常有用。DRO显示所有可用的时间点。

图中显示了输入/输出对话框或表示已写入内容

要使用复制计划中指定的配置触发故障转移或测试故障转移,可以单击*Failover或*Test Failover。您可以在任务菜单中监控复制计划。

图中显示了输入/输出对话框或表示已写入内容

触发故障转移后、可以在二级站点AVS SDDC vCenter (VM、网络和数据存储库)中看到恢复的项目。默认情况下、VM会恢复到工作负载文件夹。

图中显示了输入/输出对话框或表示已写入内容

可以在复制计划级别触发故障恢复。如果发生测试故障转移、可使用拆卸选项回滚更改并删除新创建的卷。与故障转移相关的故障恢复过程分为两步。选择复制计划并选择*反向数据同步*。

图中显示了输入/输出对话框或表示已写入内容

完成此步骤后、触发故障恢复以移回主AVS站点。

图中显示了输入/输出对话框或表示已写入内容

图中显示了输入/输出对话框或表示已写入内容

从Azure门户中、我们可以看到、已将作为读/写卷映射到二级站点AVS SDDC的相应卷的复制运行状况已断开。在测试故障转移期间、DRO不会映射目标卷或副本卷。相反、它会为所需的跨区域复制快照创建一个新卷、并将该卷公开为数据存储库、这样会占用容量池中的额外物理容量、并确保源卷不会被修改。值得注意的是、复制作业可以在灾难恢复测试或鉴别工作流期间继续运行。此外、此过程还可确保在发生错误或恢复损坏的数据时、可以清除恢复、而不会造成副本被销毁的风险。

勒索软件恢复

从勒索软件中恢复可能是一项艰巨的任务。具体而言、IT组织可能难以确定安全返回点、以及在确定安全返回点后、如何确保恢复的工作负载不会再次受到攻击(例如、恶意软件休眠或通过易受攻击的应用程序)。

DRO允许组织从任何可用时间点进行恢复、从而解决了这些问题。然后、工作负载将恢复到正常运行但又孤立的网络、以便应用程序可以正常运行并相互通信、但不会受到任何南北流量的影响。此过程为安全团队提供了一个安全的地方来进行取证并识别任何隐藏或休眠的恶意软件。

结论

Azure NetApp Files 和Azure VMware灾难恢复解决方案 为您提供以下优势:

  • 利用高效且有弹性的Azure NetApp Files 跨区域复制。

  • 通过保留快照恢复到任何可用时间点。

  • 完全自动执行所有必要步骤、以便从存储、计算、网络和应用程序验证步骤中恢复成百上千个VM。

  • 工作负载恢复利用"从最新快照创建新卷"过程、但不会处理复制的卷。

  • 避免卷或快照上的任何数据损坏风险。

  • 在灾难恢复测试工作流期间避免复制中断。

  • 将灾难恢复数据和云计算资源用于灾难恢复之外的工作流、例如开发/测试、安全测试、修补和升级测试以及修复测试。

  • CPU和RAM优化支持恢复到较小的计算集群、有助于降低云成本。

从何处查找追加信息

要了解有关本文档中所述信息的更多信息,请查看以下文档和 / 或网站: