Skip to main content
NetApp Solutions
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

TR-4755 :使用 Azure NetApp Files ( anf )和 Azure VMware 解決方案( AVS )進行災難恢復

貢獻者

在雲端區域之間使用區塊層級複寫進行災難恢復、是一種彈性且具成本效益的方法、可保護工作負載免受站台中斷和資料毀損事件(例如勒索軟體)的影響。

作者: NetApp 解決方案工程公司 Niyaz Mohamed

總覽

透過 Azure NetApp Files ( anf )跨區域磁碟區複寫、在 Azure VMware 解決方案( AVS ) SDDC 站台上執行的 VMware 工作負載、使用 Azure NetApp Files 磁碟區做為主要 AVS 站台上的 NFS 資料存放區、可複寫至目標恢復區域中的指定次要 AVS 站台。

災難恢復協調器( DRO )(一種具有 UI 的指令碼化解決方案)可用於無縫恢復從一個 AVS SDDC 複製到另一個 AVS SDDC 的工作負載。DRO 會中斷複寫對等關係、然後將目的地磁碟區掛載為資料存放區、透過 VM 註冊至 AVS 、將其自動還原至 NSS-T 上的網路對應(包含在所有 AVS 私有雲中)。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

先決條件和一般建議

  • 建立複寫對等關係、確認您已啟用跨區域複寫。請參閱 "為 Azure NetApp Files 建立 Volume 複寫"

  • 您必須在來源與目標 Azure VMware 解決方案私有雲之間設定 ExpressRoute Global Reach 。

  • 您必須擁有可存取資源的服務主體。

  • 支援下列拓撲:主要 AVS 站台到次要 AVS 站台。

  • 設定 "複寫" 根據業務需求和資料變更率、適當排程每個 Volume 。

註 不支援串聯和扇入及扇出拓撲。

快速入門

部署 Azure VMware 解決方案

"Azure VMware解決方案" ( AVS )是混合雲服務、可在 Microsoft Azure 公有雲中提供功能完整的 VMware SDDC 。AVS是第一方的解決方案、由Microsoft完全管理及支援、並由VMware驗證、使用Azure基礎架構。因此、客戶可取得 VMware ESXi 來進行運算虛擬化、 vSAN 用於超融合式儲存設備、而 NSX 則用於網路和安全性、同時還能充分利用 Microsoft Azure 的全球知名度、領先同級的資料中心設施、以及鄰近豐富的原生 Azure 服務與解決方案生態系統。Azure VMware解決方案SDDC與Azure NetApp Files VMware解決方案的結合、可提供最佳效能、並將網路延遲降至最低。

若要在 Azure 上設定 AVS 私有雲、請遵循本中的步驟 "連結" 適用於 NetApp 文件及本文件 "連結" 適用於 Microsoft 文件。 以最小組態設定的導向照明環境可用於 DR 用途。 此設定僅包含支援關鍵應用程式的核心元件、而且在發生容錯移轉時、它可以橫向擴充和啟動更多主機來承受大量負載。

註 在初始版本中、 DRO 支援現有的 AVS SDDC 叢集。隨需建立SDDC將於即將推出的版本中提供。

配置和配置 Azure NetApp Files

"Azure NetApp Files" 是一項高效能、企業級的計量檔案儲存服務。請依照本文件中的步驟進行 "連結" 將 Azure NetApp Files 配置為 NFS 資料存放區、以最佳化 AVS 私有雲部署。

為 Azure NetApp Files 資料存放區磁碟區建立 Volume 複寫

第一步是設定所需資料存放區磁碟區的跨區域複寫、從 AVS 主要站台到 AVS 次要站台、並提供適當的頻率和保留。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

請依照本文件中的步驟進行 "連結" 建立複寫對等關係來設定跨區域複寫。目的地容量集區的服務層級可與來源容量集區的服務層級相符。不過、在這種特定的使用案例中、您可以選擇標準服務層級、然後再選擇 "修改服務層級" 發生真正的災難或災難恢復模擬時。

註 跨區域複寫關係是先決條件、必須事先建立。

DRO安裝

若要開始使用 DRO 、請在指定的 Azure 虛擬機器上使用 Ubuntu 作業系統、並確保您符合先決條件。然後安裝套件。

  • 先決條件: *

  • 可存取資源的服務主體。

  • 請確定來源和目的地 SDDC 和 Azure NetApp Files 執行個體有適當的連線。

  • 如果您使用DNS名稱、則應該已有DNS解析。否則、請使用 vCenter 的 IP 位址。

  • 作業系統需求: *

  • Ubuntu 焦點 20.04 ( LTS )下列套件必須安裝在指定的代理程式虛擬機器上:

  • Docker

  • Docker - 撰寫

  • JqChange docker.sock 此新權限: sudo chmod 666 /var/run/docker.sock

註 deploy.sh 指令碼會執行所有必要的先決條件。

步驟如下:

  1. 在指定的虛擬機器上下載安裝套件:

    git clone https://github.com/NetApp/DRO-Azure.git
    註 代理程式必須安裝在次要 AVS 站台區域、或安裝在主要 AVS 站台區域、但必須安裝在 SDDC 以外的另一個 AZ 。
  2. 解壓縮套件、執行部署指令碼、然後輸入主機 IP (例如、 10.10.10.10)。

    tar xvf draas_package.tar
    Navigate to the directory and run the deploy script as below:
    sudo sh deploy.sh
  3. 使用下列認證存取 UI :

    • 使用者名稱: admin

    • 密碼: admin

      此圖顯示輸入 / 輸出對話方塊或表示寫入內容

DRO組態

正確設定 Azure NetApp Files 和 AVS 之後、您可以開始設定 DRO 、將工作負載從主要 AVS 站台自動恢復到次要 AVS 站台。NetApp 建議在次要 AVS 站台部署 DRO 代理程式、並設定 ExpressRoute 閘道連線、以便 DRO 代理程式能透過網路與適當的 AVS 和 Azure NetApp Files 元件進行通訊。

第一步是新增認證。DRO 需要權限才能探索 Azure NetApp Files 和 Azure VMware 解決方案。您可以建立和設定 Azure Active Directory ( AD )應用程式、並取得 DRO 所需的 Azure 認證、將必要的權限授予 Azure 帳戶。您必須將服務主體繫結至 Azure 訂閱、並指派具有相關必要權限的自訂角色。當您新增來源和目的地環境時、系統會提示您選取與服務主體相關的認證。您必須先將這些認證新增至 DRO 、才能按一下新增站台。

若要執行此作業、請完成下列步驟:

  1. 在支援的瀏覽器中開啟 DRO 、並使用預設的使用者名稱和密碼 /admin/admin)。您可以使用變更密碼選項、在第一次登入後重設密碼。

  2. 在 DRO 主控台的右上角、按一下 * 設定 * 圖示、然後選取 * 認證 * 。

  3. 按一下新增認證、然後依照精靈中的步驟進行。

  4. 若要定義認證、請輸入有關授與必要權限的 Azure Active Directory 服務主體的資訊:

    • 認證名稱

    • 租戶 ID

    • 用戶端ID

    • 用戶端機密

    • 訂閱 ID

      建立 AD 應用程式時、您應該已擷取此資訊。

  5. 確認新認證的詳細資料、然後按一下新增認證。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

    新增認證之後、現在是探索主要和次要 AVS 站台( vCenter 和 Azure NetApp Files 儲存帳戶)並將其新增至 DRO 的時候了。若要新增來源和目的地站台、請完成下列步驟:

  6. 移至 * 探索 * 標籤。

  7. 按一下 * 新增站台 * 。

  8. 新增下列主要 AVS 站台(在主控台中指定為 * 來源 * )。

    • SDDC vCenter

    • Azure NetApp Files 儲存帳戶

  9. 新增下列次要 AVS 站台(在主控台中指定為 * 目的地 * )。

    • SDDC vCenter

    • Azure NetApp Files 儲存帳戶

      此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  10. 按一下 * 來源 * 、 * 輸入易記的網站名稱、然後選取連接器、即可新增網站詳細資料。然後按一下 * 繼續 * 。

    註 為了進行示範、本文件涵蓋新增來源網站。
  11. 更新 vCenter 詳細資料。若要這麼做、請從主 AVS SDDC 的下拉式清單中選取認證、 Azure 區域和資源群組。

  12. DRO 會列出區域內所有可用的 SDDC 。從下拉式清單中選取指定的私有雲 URL 。

  13. 輸入 cloudadmin@vsphere.local 使用者認證。您可以從 Azure Portal 存取此功能。請遵循本文件中所述的步驟 "連結"。完成後、按一下 * 繼續 * 。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  14. 選取 Azure 資源群組和 NetApp 帳戶、以選取來源儲存詳細資料( anf )。

  15. 按一下 * 建立站台 * 。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

一旦新增、 DRO 會執行自動探索、並顯示從來源站台到目的地站台的具有對應跨區域複本的 VM 。DRO 會自動偵測虛擬機器所使用的網路和區段、並填入這些網路和區段。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

下一步是將所需的虛擬機器分組為其功能群組、做為資源群組。

資源群組

新增平台之後、將您要恢復的虛擬機器分組到資源群組中。DRO資源群組可讓您將一組相依的虛擬機器分組至邏輯群組、其中包含開機順序、開機延遲、以及可在恢復時執行的選用應用程式驗證。

若要開始建立資源群組、請按一下 * 建立新資源群組 * 功能表項目。

  1. 存取 * 資源群組 * 、然後按一下 * 建立新資源群組 * 。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  2. 在 [ 新資源群組 ] 下,從下拉式清單中選取來源網站,然後按一下 [ 建立 ] 。

  3. 提供資源群組詳細資料、然後按一下 * 繼續 * 。

  4. 使用搜尋選項選取適當的 VM 。

  5. 為所有選取的 VM 選取 * 開機順序 * 和 * 開機延遲 * (秒)。選取每個虛擬機器並設定其優先順序、以設定開機順序的順序。所有虛擬機器的預設值為 3 。選項如下:

    • 第一部要開機的虛擬機器

    • 預設

    • 最後一部要開機的虛擬機器

      此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  6. 按一下「建立資源群組」。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

複寫計畫

您必須制定計畫、以便在發生災難時恢復應用程式。從下拉式清單中選取來源和目的地 vCenter 平台、選擇要納入此計畫的資源群組、並包含應用程式還原和開機方式的分組(例如、網域控制站、層級 1 、層級 2 等)。計畫通常也稱為藍圖。若要定義恢復計畫、請瀏覽至複寫計畫索引標籤、然後按一下 * 新增複寫計畫 * 。

若要開始建立複寫計畫、請完成下列步驟:

  1. 瀏覽至 * 複寫計畫 * 、然後按一下 * 建立新複寫計畫 * 。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  2. 在 * 新的複寫計畫 * 上、選取來源站台、相關的 vCenter 、目的地站台及相關的 vCenter 、以提供計畫名稱並新增還原對應。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  3. 恢復對應完成後、選取 * 叢集對應 * 。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  4. 選擇*資源群組詳細資料*、然後按一下*繼續*。

  5. 設定資源群組的執行順序。此選項可讓您在存在多個資源群組時、選取作業順序。

  6. 完成後、請將網路對應設定為適當的區段。這些區段應已在次要 AVS 叢集上進行佈建、若要將 VM 對應至這些區段、請選取適當的區段。

  7. 資料存放區對應會根據虛擬機器的選擇自動選取。

    註 跨區域複寫( CRR )位於磁碟區層級。因此、位於各自磁碟區上的所有 VM 都會複寫到 CRR 目的地。請務必選取屬於資料存放區一部分的所有 VM 、因為只會處理屬於複寫計畫一部分的虛擬機器。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  8. 在 VM 詳細資料下、您可以選擇性地調整 VM CPU 和 RAM 參數的大小。當您將大型環境恢復到較小的目標叢集、或是在執行災難恢復測試時、而不需要佈建一對一實體 VMware 基礎架構、這項功能將會非常有幫助。此外、也可修改資源群組中所有選定虛擬機器的開機順序和開機延遲(秒)。如果您在資源群組開機順序選擇期間所選取的項目需要任何變更、則還有其他選項可修改開機順序。根據預設、會使用在資源群組選擇期間所選的開機順序、但在此階段可以執行任何修改。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

  9. 按一下 * 建立複寫計畫 * 。建立複寫計畫之後、您可以根據需求來執行容錯移轉、測試容錯移轉或移轉選項。

    此圖顯示輸入 / 輸出對話方塊或表示寫入內容

在容錯移轉和測試容錯移轉選項期間、會使用最新的快照、或是從時間點快照中選取特定的快照。如果您面臨勒索軟體等毀損事件、而最近的複本已經遭到入侵或加密、則時間點選項可能非常有用。DRO 會顯示所有可用的時間點。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

若要使用複寫計畫中指定的組態觸發容錯移轉或測試容錯移轉,您可以按一下 * 容錯移轉 * 或 * 測試容錯移轉 * 。您可以在工作功能表中監控複寫計畫。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

觸發容錯移轉後、可在次要站台 AVS SDDC vCenter ( VM 、網路和資料存放區)中看到復原的項目。依預設、 VM 會還原至 Workload 資料夾。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

可在複寫計畫層級觸發容錯回復。在測試容錯移轉時、可使用「切紙」選項來回復變更並移除新建立的磁碟區。與容錯移轉相關的容錯回復是兩個步驟的程序。選取複寫計畫、然後選取 * 反轉資料同步 * 。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

完成此步驟後、觸發容錯回復、以移回主要 AVS 站台。

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

此圖顯示輸入 / 輸出對話方塊或表示寫入內容

從 Azure 入口網站、我們可以看到對應至次要站台 AVS SDDC 的適當磁碟區、其複寫健全狀況已中斷、成為讀取 / 寫入磁碟區。在測試容錯移轉期間、DRO不會對應目的地或複本磁碟區。相反地、它會建立所需跨區域複寫快照的新磁碟區、並將該磁碟區公開為資料存放區、這會消耗容量集區的額外實體容量、並確保來源磁碟區不會遭到修改。值得注意的是、複寫工作可在災難恢復測試或分類工作流程期間繼續進行。此外、此程序可確保在發生錯誤或恢復毀損的資料時、能夠清除恢復作業、而不會有銷毀複本的風險。

勒索軟體恢復

從勒索軟體中恢復可能是一項艱鉅的任務。具體而言、 IT 組織可能很難找出安全的回報點、一旦確定、如何確保恢復的工作負載受到保護、免受重複發生的攻擊(例如、睡眠惡意軟體或易受攻擊的應用程式)。

DRO 可讓組織從任何可用的時間點恢復、藉此解決這些疑慮。然後工作負載會恢復至功能正常且隔離的網路、以便應用程式能夠彼此運作並進行通訊、但不會暴露於任何南北流量中。此程序可讓安全團隊安全地進行鑑識、並識別任何隱藏或睡眠中的惡意軟體。

結論

Azure NetApp Files 與 Azure VMware 災難恢復解決方案提供下列優點:

  • 運用高效且靈活的 Azure NetApp Files 跨區域複寫功能。

  • 利用快照保留功能、恢復到任何可用的時間點。

  • 完全自動化所有必要步驟、從儲存、運算、網路和應用程式驗證步驟中恢復數百至數千個 VM 。

  • 工作負載恢復採用「從最近的快照建立新磁碟區」程序、不會操控複寫的磁碟區。

  • 避免磁碟區或快照上的資料毀損風險。

  • 避免災難恢復測試工作流程中的複寫中斷。

  • 利用災難恢復資料和雲端運算資源來執行災難恢復以外的工作流程、例如開發 / 測試、安全測試、修補程式和升級測試、以及補救測試。

  • CPU 和 RAM 最佳化可讓您恢復至較小的運算叢集、進而降低雲端成本。