Azure Site Recoveryは、Azure VMを異なるリージョンにレプリケーションしてディザスタリカバリー構成を取ることができるサービスですが、Private Endpointを使ってよりセキュアな構成を試してみました。
公式ページ がとても親切でこの通りにやればできますが、途中どっちのリージョンに作ればいいのか混乱したり、最終的な確認方法が書いてなかったので書き残します。
今回試したのは、東日本リージョンから西日本リージョンへのレプリケーションです。
前提条件
前提条件 が重要なので一通り目を通しましょう。
Private Endpointで使う場合は専用のコンテナーが必要だったり、IPアドレスを確保しないといけないなど重要な注意点があります。
構成図
最終的な構成です。Site RecoveryコンテナーとStorage Accountに対してPrivate Endpointを有効にします。
環境構築
Virtual Machines & vNet
- レプリケーション対象のVMとvNetは、東日本リージョンに作成済みであることとします。
Storage Account(キャッシュ)
- キャッシュ用のStorage Accountは、東日本リージョンに作成済みであることとします。
Recovery Serviceコンテナー作成
-
手順は 公式ページ を参照ください。注意点としてSite Recoveryは西日本リージョンに作成します。
-
作成できたら、[設定]-[Identity]の順に選択し、[システム割り当て済み]の状態をオンにします。後ほど出てくるストレージアカウントに対してロール割り当てをするためのマネージドID設定となります。
Private Endpoint(Site Recovery)作成
- 手順は 公式ページ の通りです。プライベートDNSゾーンはこのとき作成しておきます。
Private Endpoint(Storage Account)作成
- 手順は 公式ページ の通りです。プライベートDNSゾーンは作成します。
Storage Accountへの権限追加
-
事前に作成したStorage Accountの[IAM]を選択します。
-
[追加]-[ロールの割り当ての追加]の順に選択します。
-
役割に[共同作成者]を選び、選択欄にSite Recoveryコンテナーの名前を入力して選択します。Site RecoveryコンテナーのマネージドIDが有効になっていれば出力されてくるはずです。
-
同様に[ストレージBLOBデータ共同作成者]ロールも付与します。
レプリケーション
-
Virtual Machinesの左メニューより[ディザスタリカバリー]を選択します。
-
ターゲットリージョンを西日本にします。
-
ターゲット設定では西日本側のリソースグループ、vNetを指定します。なければ作成します。
-
記憶域設定では事前に作成した東日本のストレージアカウントを選択します。
-
レプリケーション設定では事前に作成した西日本のRecovery Serviceコンテナーを選択します。
-
しばらくして正常にレプリケーションが完了すればOKです。
Private Endpoint経由か確認する
-
通信が本当にPrivate Endpoint経由になっているか確認します。(Cent OSで試しています)
-
ソースVMにログインして以下ログを開きます。
# view /var/log/AzureRcmCli.log
- プライベートDNS宛ての通信がプライベートIPであればPrivate Endpoint経由になっています。
Connected to xxxxxxxxxxxxxxxxxxx-asr-pod01-rcm1.jpw.privatelink.siterecovery.windowsazure.com (10.x.x.x)
以上