🕌

Azure Site Recovery(Azure to Azure シナリオ)の通信を制御する

Tsubasa Nomura

2023/04/27に公開

Azure

tech

TL;DR

Azure Site Recovery を使用する際の Azure to Azure シナリオにおける通信をアクセス制御し、可能な限り環境を閉域化する方法を紹介します。
※ Key Vault は Azure Disk Encryption の利用時のみで必要なため本記事では詳しく触れません。

Azure Site Recovery に必要な通信要件

Azure Site Recovery の展開、レプリケーションには、複数のコンポーネントが関係しており、それに応じた通信要件があります。通信要件は以下のドキュメントにまとまっています。

これらの接続を絵にすると以下のようになります。

Azure Site Recovery を使用するには上記サービスへの通信経路を何らかの方法で確保しなければなりません。
これらのサービスへの通信は、主にインターネット、サービスエンドポイント、プライベートエンドポイントの3つの方法があります。
ただし、サービスによって対応している方法が異なるためそれぞれ組み合わせて使う必要があります。

接続パターン

パターン1: Azure Firewall/NSG を使う
(全ての通信をインターネットを経由する)

※便宜上インターネットと書いていますが、Microsoft のバックボーンの外部に通信することはありません。

Azure の場合、仮想マシンからインターネット方向への接続は既定で許可されています。そのため、Azure Site Recovery の対象とするだけで設定は完了します。
ただし、可能な限り不要なアウトバウンド接続を減らしたい(ホワイトリストで接続先を許可したい)場合は、それぞれのサービスの FQDN もしくは IP アドレスを、Azure Firewall 等のアプライアンスや NSG にホワイトリストに追加する必要があります。

接続要件を満たすために FQDN ベースで接続を許可する場合、Azure Firewall 等のアプライアンスを使用できます。その場合、送信方向の接続許可として通信要件にある FQDN を指定します。
一方で NSG の場合 FQDN は利用できませんが、サービスタグが利用できます。

それぞれの FQDN とサービスタグは以下の通りです。

サービス	URL	サービスタグ
ストレージアカウント	*.blob.core.windows.net	Storage.<ソースリージョン>
Azure Active Directory	login.microsoftonline.com	AzureActiveDirectory
Site Recovery	*.hypervrecoverymanager.windowsazure.com	AzureSiteRecovery
Event Hub	*.servicebus.windows.net	EventHub.<ターゲットリージョン>
Automation	*.automation.ext.azure.com	GuestAndHybridManagement
Key Vault	*.vault.azure.net	AzureKeyVault

尚、ストレージアカウントへの通信(レプリケーションのトラフィック) をインターネットに直接通信させるのではなく、 Azure Firewall 等のアプライアンスを経由することは大容量のトラフィックを処理することとなるため推奨されません。
ストレージアカウントについては次のパターンで説明するサービスエンドポイントを使用するか、UDR でインターネットに直接通信させます。

以下は NSG で設定した際の構成図です。

以下は Azure Firewall で設定した際の構成図です。ストレージアカウントへの通信は UDR を使用しています。

パターン2 : サービスエンドポイントを使う

続いて、サービスエンドポイントを使う方法です。サービスエンドポイントは、対応しているサービスが限定されているものの、リソースに対するアクセス元を特定のサブネットに限定することができます。また、BGP のルートよりも優先される特徴があります。

ルートの選択の仕組みについては以下のドキュメントを参照してください。

Azure Site Recovery で利用されるサービスで、サービスエンドポイントがサポートされているサービスは、ストレージアカウント、Azure Active Directory、Event Hub、Key Vault です。
以下はサブネットのサービスエンドポイントの設定例です。

以下はストレージアカウントをサービスエンドポイントを使用した場合の構成例です。
※ アクセス制御を Azure Firewall を使用していますが NSG でも同様です。

上記構成のように、Azure Firewall でアクセス制御も可能ですが、UDR で直接インターネットに通信させることもできます。
以下はルートテーブルの設定例です。172.27.2.4 は Azure Firewall のプライベート IP アドレスです。

パターン3 : プライベートエンドポイントを使う

プライベートエンドポイントを使うとリソースへの通信の宛先はプライベート IP アドレスになります。
プライベートエンドポイントがサポートされているサービスは、Azure Site Recovery とストレージアカウントです(Key Vault も利用できますがここでは触れません)。

Azure Site Recovery でプライベートエンドポイントを利用する場合、ターゲットリージョン(フェールオーバー先のリージョン)に対してもプライベートエンドポイントを作成する必要があります。また複数のプライベート IP アドレスが必要になります。
構成が複雑になるため、サービスエンドポイントを使用することも検討しましょう。

プライベートエンドポイントは Site Recovery コンテナの作成後、登録済みの項目が無い状態の時のみ設定できます。他にも前提条件や注意事項があるため、以下のドキュメントを十分に確認してください。

プライベートエンドポイントを使用してマシンをレプリケートする

特に、キャッシュストレージアカウントをプライベートエンドポイント接続にする際は、以下の追加作業が必要になります。

キャッシュストレージアカウントを汎用v2にする(ストレージアカウントへのプライベートエンドポイントを有効にする場合)
Site Recovery コンテナーのマネージド ID を有効にする
キャッシュストレージアカウントへマネージド ID の IAM を割り当てる

サービスエンドポイントと同様に、プライベートエンドポイントがサポートされていないサービスは、インターネットに直接通信させます。

以下はプライベートエンドポイントを使用した場合の構成例です。

シナリオ例

強制トンネリング下での設定

オンプレミス環境とのハイブリッド接続を前提としたもう少し複雑なシナリオを考えてみます。

要件

ExpressRoute で強制トンネリングを使用する
インターネットへの通信はオンプレミスを経由する
Azure のサービスを稼働させるための必要な通信(Azure Site Recovery で必要な通信)は Azure からインターネットへ直接通信させる
構成を複雑にしないためにサービスエンドポイントを利用する

構成

要件から、アクセス経路の設定は以下のようにします。UDR で利用できるサービスタグは、NSG のサービスタグと同じです。
NSG は必須ではない(UDR で経路は出来ておりアクセス制御は要件に応じた設定を行う)ので適宜設定します。

サービス	アクセス経路の設定方法
ストレージアカウント	サービスエンドポイント
Azure Active Directory	UDR(to Internet)
Site Recovery	UDR(to Internet)
Event Hub	UDR(to Internet)
Automation	UDR(to Internet)
Key Vault	UDR(to Internet)

強制トンネリング下における設定について、ドキュメントではストレージアカウントへの通信については仮想アプライアンスを経由することを推奨していません。サービスエンドポイントもしくはプライベートエンドポイントを利用します。

Azure VM ディザスターリカバリーのネットワークについて

0.0.0.0/0 アドレスプレフィックスの Azure の既定のシステムルートをカスタムルートでオーバーライドし、VM トラフィックをオンプレミスネットワーク仮想アプライアンス (NVA) に転送することもできますが、この構成は Site Recovery レプリケーションにはお勧めしません。カスタムルートを使用している場合、レプリケーショントラフィックが Azure 境界から外に出ないように、"ストレージ" 用の仮想ネットワーク内に仮想ネットワークサービスエンドポイントを作成することをお勧めします。

全体の構成は以下のようになります。Site Recovery に関する通信以外は赤線の経路でインターネットへ通信します。
※正確には Site Recovery 以外に Azure Active Directory の通信が必要な場合も、赤線は通らずにAzure から直接インターネットへ通信します。

トラブルシューティング

失敗したジョブは Site Recovery ジョブ から確認できます。まずはどのジョブでどのようなエラーが出ているか確認します。それぞれの項目をクリックすると、詳細なエラー内容を確認できます。

続いてトラブルシューティングのページを確認しましょう。恐らくほとんどのケースはこのドキュメントを確認することで解決できます。

エラーメッセージ : Site Recovery の構成に失敗しました(エラー ID: 151192)

このエラーIDは、Azure AD への通信が出来ない場合に発生します。
アクセス制御(Azure Firewall / NSG)でアクセス許可をするか、UDR で直接インターネットへ接続に通信できるように設定します。

エラーメッセージ : Site Recovery の構成に失敗しました(エラー ID: 151072)

このエラーIDは、Site Recovery のエンドポイントへ通信できない場合に発生します。
アクセス制御(Azure Firewall / NSG)でアクセス許可をするか、UDR で直接インターネットへ接続に通信できるように設定します。

状態が"最初の回復ポイントを待っています"のまま進まない場合

ストレージアカウントへのアクセスが出来ない可能性があります。アクセス制御、サービスエンドポイント、プライベートエンドポイントの設定を確認します。

"モビリティサービスをインストールしてターゲットを準備しています" で失敗している場合

原因はさまざまありますが、名前解決できていない可能性があります。
特にプライベートエンドポイントを使用しているときは、Private DNS Zone に正しくレコードが登録されていること、仮想ネットワークにリンクされていることを確認します。

以下はゾーンの登録例です。

登録するレコードは以下のドキュメントに記載されています。{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com のようなレコードを登録します。

ログ

Windows においては、以下のディレクトリにログが出力されています。

C:\ProgramData\ASRSetupLogs
- モビリティエージェントインストール時のログです
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.RecoveryServices.SiteRecovery.Windows
- Site Recovery 用の拡張のログです。

Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。