Hyper-V Replica 幫助你保護工作負載,透過在運行 Windows Server 的 Hyper-V 主機之間複製虛擬機(VM)。 本文說明如何在故障轉移叢集上啟用 Hyper-V Replica。
你可以在叢集間、單一主機之間複製,或兩者結合。 如果你用憑證來驗證,主機之間就不會依賴 Active Directory。 單一主機可以是網域成員,也可以是工作群組成員。
如果你想了解如何在單一主機上啟用 Hyper-V 副本,請參見 「在單一主機上啟用 Hyper-V 副本」。 欲了解更多關於 Hyper-V 複製品及其運作方式,請參閱 Hyper-V 複製品概覽。
先決條件
開始之前,請確定您符合下列必要條件:
你有一個 Hyper-V 叢集來接收複製的虛擬機。 你還有另一個叢集或單一主機在執行你想複製的虛擬機。
決定認證方式:
如果你的叢集和主機連接到相同或受信任的 Active Directory 網域,你可以使用 Kerberos (HTTP) 認證。
如果你的叢集和主機沒有加入網域,或屬於不受信任的網域,或你也想使用加密,就必須使用憑證式(HTTPS)認證。 你需要在每台主機上安裝有效的憑證,無論是發送端還是接收端。 憑證必須符合下列需求:
- 不會過期
- 同時擁有用戶端與伺服器認證增強金鑰使用(EKU)屬性及相關的私鑰。
- 在有效的根憑證處終止。
- 主體通用名稱(CN)或主體替代名稱(SAN)必須與你為接收叢集提供的 Hyper-V 副本代理角色的完全限定網域名稱(FQDN)相符。 如果你從叢集傳送虛擬機,還需要在每個主主機上取得 Hyper-V 副本代理角色 FQDN 的憑證。
叢集與主機之間的網路連線。 預設情況下,如果你使用 Kerberos 認證,複製會使用 HTTP 透過 80 埠。 如果你使用憑證驗證,複製則使用 443 埠的 HTTPS。
接收叢集上的一個儲存位置,所有節點都可以用來存放複製的虛擬機。
Hyper-V 副本代理商的角色需要一個 IP 位址。 確保用於管理的叢集網路中,您在子網中有可供使用的靜態 IP 地址,或子網路上有可用的 DHCP。
一個擁有主叢集與副本叢集或主機管理員權限的使用者帳號。
可以是具有網域管理員權限的使用者帳號,或在 Active Directory 中預先建立一個電腦帳號,用於接收叢集的 Hyper-V Replica Broker 角色。 欲了解更多資訊,請參閱 叢集服務或應用程式的預置帳號。
啟用 Hyper-V 複本代理角色
在你能將虛擬機複製到 Hyper-V 叢集之前,你需要啟用 Hyper-V 副本代理者角色。 你是設定接收端叢集,而不是主要叢集或主機。
Hyper-V 複製代理程式是一個叢集角色,作為複製流量的目標。 它提供一個單一的聯絡點,讓主伺服器能夠連線,即使副本虛擬機在叢集中的節點間移動。
為了確保在故障轉移事件後,可以讓虛擬機回傳到原始的主要叢集或主機,請同時設定主叢集和副本叢集,以及用於複寫的主機。
請使用 Failover Cluster Manager 或 PowerShell 來啟用並設定 Hyper-V 副本代理角色。 請選擇相關標籤以取得說明。
使用 Failover Cluster Manager 啟用並設定 Hyper-V 副本代理叢集角色:
在你用來管理想要複製的叢集的裝置上開啟 故障轉移叢集管理器 ,或是在叢集中的某個節點上。
在左側窗格,展開你想複製的叢集名稱,然後選擇 角色。
在右側 的動作 選區,選擇 設定角色。 在 高可用性精靈中,如果你看到 「開始前」,請選擇 「下一步」。
選擇 角色時,選擇 Hyper-V 副本經紀人,然後選擇 下一步。
對於 用戶端接取點,輸入您想用來為 Hyper-V 複本經紀人的名稱,然後選擇 下一步。 該名稱作為 NetBIOS 角色的名稱,且限制為 15 個字元。 這個名稱必須在你的 Active Directory 網域中是唯一的。
確認時,請先檢視資訊,然後選擇「下一頁」。 Hyper-V 副本代理角色已設定好。 最初,該角色嘗試從 DHCP 取得 IP 位址。 如果你想用靜態 IP 位址,之後可以更改這個設定。 如果子網路上沒有 DHCP,角色要等你指定靜態 IP 位址才會上線。
查看摘要,然後選擇完成。 您也可以透過選擇 「檢視報告」查看執行的操作日誌,該視窗會在瀏覽器視窗中開啟。
回到 角色 選區,右鍵點擊新的 Hyper-V 副本經紀人 角色,然後選擇 複製設定。
在 Hyper-V 副本代理設定 對話框中,請做出以下變更:
勾選 「啟用此叢集作為副本伺服器」的選項。
請勾選您想使用的驗證方法,請參考 Use Kerberos (HTTP) 或 Use certificate-based Authentication(HTTPS)。 如果你不想用預設埠,就換個埠。 如果你使用基於憑證的認證,請選擇「 選擇憑證」,然後會提示你選擇符合需求的憑證。
在 授權與儲存方面,選擇允許從 任何已認證的伺服器複製 ,讓複本伺服器能接受來自任何成功認證的主要伺服器的虛擬機複製流量,或允許從 指定伺服器 複製,只接受你特別選擇的主要伺服器的流量。 這兩種方式都需要指定複製的 VHD 應該存放在複本 Hyper-V 叢集的位置。 作為叢集的一部分,該位置必須可供叢集內所有節點存取,例如位於
C:\ClusterStorage\Volume1\Replica的叢集共享卷 (CSV)。如果你選擇 允許從指定伺服器複製,請選擇 新增。 在 「新增授權條目」中,指定主要主機的 FQDN、存放複本檔案的位置,以及信任群組。 信任群組是一個自由形式的文字欄位,可以用來分組主要伺服器。 請選擇 [確定]。
選取 [確定 ] 以儲存您的設定。
啟用 Windows 防火牆規則以適用於 Hyper-V 複本
為了允許主叢集與副本叢集及主機間的複寫,流量必須通過 Windows 防火牆(或其他第三方防火牆)。 當你在每台主機上安裝 Hyper-V 角色時,Windows 防火牆會為 HTTP(80)和 HTTPS(443)建立例外,但預設不會啟用它們。 你需要為所有接收的主機啟用適當的規則。
你可以透過你偏好的管理 Windows 防火牆方式來啟用這些規則,例如集中使用群組政策,或是透過 Windows 防火牆搭配 Advanced Security 主控台或 PowerShell 在每個節點本地啟用。 欲了解更多管理 Windows 防火牆及操作指南,請參閱 Windows 防火牆工具。
你需要啟用的規則取決於你設定 Hyper-V 副本經紀人角色時所選擇的認證方式:
- 啟用
Hyper-V Replica HTTP Listener (TCP-In)Kerberos (HTTP) 認證。 - 啟用
Hyper-V Replica HTTPS Listener (TCP-In)憑證基礎(HTTPS)認證。
測試複製設定
啟用並設定 Hyper-V 複本功能,並啟用相應的 Windows 防火牆規則後,測試該設定,以確保主叢集或主機可以如預期地連接到複製主機。
你可以使用 PowerShell cmdlet Test-VMReplicationConnection 來測試連線,如以下範例所示。 請務必將佔位元取代為您自己的佔位元 <values> 。
以管理員身份在你想複製的主機上開啟 PowerShell 會話,或是用你用來管理叢集或主機的裝置上使用 Enter-PSSession 指令碼遠端連線。
請使用以下範例指令之一:
要測試使用 Kerberos 認證連接複本叢集,請執行以下指令:
Test-VMReplicationConnection -ReplicaServerName '<Hyper-V Broker role FQDN>' -ReplicaServerPort 80 -AuthenticationType Kerberos要測試使用憑證式認證與副本叢集的連線,請執行以下指令。 你需要在主主機或叢集上取得用於 Hyper-V Replica 的有效憑證的指紋。
Test-VMReplicationConnection -ReplicaServerName '<Hyper-V Broker role FQDN>' -ReplicaServerPort 443 -AuthenticationType Certificate -CertificateThumbprint AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
對於這兩個範例指令,如果測試成功,你會看到以下輸出:
The connection to the specified Replica server with the specified parameters was successful.