Azure Site Recovery + PrivateEndpointでVMの東西ディザスタリカバリーを構築する

Azure Site Recoveryは、Azure VMを異なるリージョンにレプリケーションしてディザスタリカバリー構成を取ることができるサービスですが、Private Endpointを使ってよりセキュアな構成を試してみました。公式ページ がとても親切でこの通りにやればできますが、途中どちらのリージョンに作ればいいのか混乱したり、最終的な確認方法が書いてなかったので書き残します。

今回試したのは、東日本リージョンから西日本リージョンへのレプリケーションです。

前提条件

前提条件が重要なので一通り目を通しましょう。
Private Endpointで使う場合は専用のコンテナーが必要だったり、IPアドレスを確保しないといけないなど重要な注意点があります。

構成図

最終的な構成です。Site RecoveryコンテナーとStorage Accountに対してPrivate Endpointを有効にします。

環境構築

Virtual Machines & vNet

・レプリケーション対象のVMとvNetは、東日本リージョンに作成済みであることとします。

Storage Account(キャッシュ)

・キャッシュ用のStorage Accountは、東日本リージョンに作成済みであることとします。

Recovery Serviceコンテナー作成

・手順は 公式ページ を参照ください。注意点としてSite Recoveryは西日本リージョンに作成します。

・作成できたら、[設定]-[Identity]の順に選択し、[システム割り当て済み]の状態をオンにします。後ほど出てくるストレージアカウントに対してロール割り当てをするためのマネージドID設定となります。

Private Endpoint(Site Recovery)作成

・手順は 公式ページ の通りです。プライベートDNSゾーンはこのとき作成しておきます。

Private Endpoint(Storage Account)作成

・手順は 公式ページ の通りです。プライベートDNSゾーンは作成します。

Storage Accountへの権限追加

・事前に作成したStorage Accountの[IAM]を選択します。

・[追加]-[ロールの割り当ての追加]の順に選択します。

・役割に[共同作成者]を選び、選択欄にSite Recoveryコンテナーの名前を入力して選択します。Site RecoveryコンテナーのマネージドIDが有効になっていれば出力されてくるはずです。

・同様に[ストレージBLOBデータ共同作成者]ロールも付与します。

レプリケーション

・Virtual Machinesの左メニューより[ディザスタリカバリー]を選択します。

・ターゲットリージョンを西日本にします。

・ターゲット設定では西日本側のリソースグループ、vNetを指定します。なければ作成します。

・記憶域設定では事前に作成した東日本のストレージアカウントを選択します。

・レプリケーション設定では事前に作成した西日本のRecovery Serviceコンテナーを選択します。

・しばらくして正常にレプリケーションが完了すればOKです。

Private Endpoint経由か確認する

・通信が本当にPrivate Endpoint経由になっているか確認します。(Cent OSで試しています)

・ソースVMにログインして以下ログを開きます。

# view /var/log/AzureRcmCli.log

・プライベートDNS宛ての通信がプライベートIPであればPrivate Endpoint経由になっています。

Connected to xxxxxxxxxxxxxxxxxxx-asr-pod01-rcm1.jpw.privatelink.siterecovery.windowsazure.com (10.x.x.x)

以上、もしよろしければご参考ください。

※掲載内容は個人の見解です。
※会社名、製品名、サービス名等は、各社の登録商標または商標です。