Přesun šifrovaných virtuálních počítačů Azure napříč oblastmi
Azure Resource Mover pomáhá přesouvat prostředky Azure mezi oblastmi Azure. Tento článek popisuje, jak pomocí nástroje Azure Resource Mover přesunout šifrované virtuální počítače Azure do jiné oblasti Azure.
Šifrované virtuální počítače je možné popsat takto:
- Virtuální počítače s povoleným šifrováním disků Azure Disk Encryption Další informace najdete v tématu Vytvoření a šifrování virtuálního počítače s Windows pomocí webu Azure Portal.
- Virtuální počítače, které používají klíče spravované zákazníkem (CMK) pro šifrování neaktivních uložených dat nebo šifrování na straně serveru. Další informace najdete v tématu Použití webu Azure Portal k povolení šifrování na straně serveru s klíči spravovanými zákazníkem pro spravované disky.
V tomto kurzu se naučíte:
- Přesun šifrovaných virtuálních počítačů Azure a jejich závislých prostředků do jiné oblasti Azure
Poznámka:
Kurzy ukazují nejrychlejší cestu k vyzkoušení scénáře a tam, kde je to možné, používají výchozí možnosti.
Přihlášení k Azure
Pokud nemáte předplatné Azure, vytvořte si před zahájením a přihlášením k webu Azure Portal bezplatný účet.
Požadavky
Než začnete, ověřte následující:
Požadavek | Detaily |
---|---|
Oprávnění předplatného | Ujistěte se, že máte v předplatném přístup vlastníka , který obsahuje prostředky, které chcete přesunout. Proč potřebuji přístup vlastníka? Při prvním přidání prostředku pro konkrétní zdrojový a cílový pár v předplatném Azure vytvoří Resource Mover spravovanou identitu přiřazenou systémem, dříve označovanou jako Identita spravované služby (MSI). Tato identita je důvěryhodná pro předplatné. Před vytvořením identity a jejím přiřazením požadovaných rolí (přispěvatel a správce uživatelských přístupů ve zdrojovém předplatném) potřebuje účet, který použijete k přidání prostředků, oprávnění vlastníka v předplatném. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného. |
Podpora virtuálních počítačů | Ujistěte se, že jsou virtuální počítače, které chcete přesunout, podporovány následujícím způsobem: |
Požadavky na trezor klíčů (Azure Disk Encryption) | Pokud máte pro virtuální počítače povolené azure Disk Encryption, potřebujete trezor klíčů ve zdrojových i cílových oblastech. Další informace najdete v tématu Vytvoření trezoru klíčů. Pro trezory klíčů ve zdrojových a cílových oblastech potřebujete tato oprávnění: |
Sada šifrování disků (šifrování na straně serveru pomocí CMK) | Pokud používáte virtuální počítače s šifrováním na straně serveru, které používá CMK, potřebujete sadu šifrování disků ve zdrojových i cílových oblastech. Další informace najdete v tématu Vytvoření sady šifrování disku. Pokud používáte modul hardwarového zabezpečení (klíče HSM) pro klíče spravované zákazníkem, nepodporuje se přesun mezi oblastmi. |
Kvóta cílové oblasti | Předplatné potřebuje dostatečnou kvótu pro vytvoření prostředků, které přesouváte v cílové oblasti. Pokud kvótu nemá, požádejte o další limity. |
Poplatky za cílovou oblast | Ověřte ceny a poplatky, které jsou přidružené k cílové oblasti, do které virtuální počítače přesouváte. Použijte cenovou kalkulačku. |
Ověření oprávnění v trezoru klíčů
Pokud přesouváte virtuální počítače s povoleným službou Azure Disk Encryption, musíte spustit skript. Uživatelé, kteří skript spustí, by k tomu měli mít příslušná oprávnění. Informace o požadovaných oprávněních najdete v následující tabulce. Možnosti pro změnu oprávnění najdete tak, že přejdete do trezoru klíčů na webu Azure Portal. V části Nastavení vyberte Zásady přístupu.
Pokud uživatelská oprávnění nejsou nastavená, vyberte Přidat zásadu přístupu a zadejte oprávnění. Pokud už má uživatelský účet zásadu, v části Uživatel nastavte oprávnění podle pokynů v následující tabulce.
Virtuální počítače Azure, které používají Azure Disk Encryption, můžou mít následující varianty a budete muset nastavit oprávnění podle příslušných komponent. Virtuální počítače můžou mít:
- Výchozí možnost, ve které je disk šifrovaný jenom tajnými kódy.
- Přidání zabezpečení, které používá šifrovací klíč klíče (KEK)
Trezor klíčů zdrojové oblasti
Pro uživatele, kteří skript spustí, nastavte oprávnění pro následující komponenty:
Komponenta | Požadovaná oprávnění |
---|---|
Tajné kódy | Získat Vyberte Operace správy tajných kódů tajných kódů>a vyberte Získat. |
Klíče Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy. |
Získání a dešifrování Vyberte operace správy klíčů klíčových oprávnění>a vyberte Získat. V kryptografických operacích vyberte Dešifrovat. |
Trezor klíčů cílové oblasti
Na kartě Zásady přístupu se ujistěte, že je povolená služba Azure Disk Encryption pro šifrování svazku.
Pro uživatele, kteří skript spustí, nastavte oprávnění pro následující komponenty:
Komponenta | Požadovaná oprávnění |
---|---|
Tajné kódy | Nastavit Vyberte Operace správy tajných kódů oprávnění>a vyberte Nastavit. |
Klíče Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy. |
Získání, vytvoření a šifrování Vyberte operace správy klíčů oprávnění klíče>a vyberte Získat a vytvořit. V kryptografických operacích vyberte Šifrovat. |
Kromě předchozích oprávnění musíte v cílovém trezoru klíčů přidat oprávnění pro identitu spravovaného systému, kterou nástroj Resource Mover používá pro přístup k prostředkům Azure vaším jménem.
Přidání oprávnění k identitě spravovaného systému
Pokud chcete přidat oprávnění pro identitu spravovaného systému (MSI), postupujte takto:
V části Nastavení vyberte Přidat zásady přístupu.
V části Vybrat objekt zabezpečení vyhledejte MSI. Název MSI je
movecollection-<sourceregion>-<target-region>-<metadata-region>
.Pro MSI přidejte následující oprávnění:
Komponenta Požadovaná oprávnění Tajné kódy Získat a zobrazit seznam
Vyberte operace správy tajných kódů tajných kódů>a vyberte Získat a zobrazit seznam.Klíče
Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy.Získat a zobrazit seznam
Vyberte operace správy klíčů klíčových oprávnění>a vyberte Získat a vypsat.
Zkopírování klíčů do cílového trezoru klíčů
Zkopírujte šifrovací tajné kódy a klíče ze zdrojového trezoru klíčů do cílového trezoru klíčů pomocí poskytnutého skriptu.
Pokud chcete zkopírovat klíče ze zdrojového trezoru klíčů do cílového trezoru klíčů, postupujte takto:
- Spusťte skript v PowerShellu. Doporučujeme používat nejnovější verzi PowerShellu.
- Konkrétně skript vyžaduje tyto moduly:
- Az.Compute
- Az.KeyVault (verze 3.0.0)
- Az.Accounts (verze 2.2.3)
Skript spustíte takto:
Otevřete skript na GitHubu.
Zkopírujte obsah skriptu do místního souboru a pojmenujte ho Copy-keys.ps1.
Spusťte skript.
Přihlaste se k portálu Azure.
V části Uživatelské vstupy vyberte zdrojové předplatné, skupinu prostředků, zdrojový virtuální počítač, cílové umístění a cílové trezory pro šifrování disků a klíčů.
Ke spuštění skriptu použijte tlačítko Vybrat.
Po dokončení skriptu se zobrazí zpráva s oznámením, že kopírování klíčů bylo úspěšné.
Příprava virtuálních počítačů
Při přípravě virtuálních počítačů na přesun postupujte takto:
- Jakmile zkontrolujete, jestli virtuální počítače splňují požadavky, ujistěte se, že jsou virtuální počítače, které chcete přesunout, zapnuté. Všechny disky virtuálních počítačů, které chcete mít k dispozici v cílové oblasti, musí být připojené a inicializované na virtuálním počítači.
- Pokud chcete zajistit, aby virtuální počítače měly nejnovější důvěryhodné kořenové certifikáty a aktualizovaný seznam odvolaných certifikátů (CRL), postupujte takto:
- Na virtuálních počítačích s Windows nainstalujte nejnovější aktualizace Windows.
- Na virtuálních počítačích s Linuxem postupujte podle pokynů distributora, aby počítače měly nejnovější certifikáty a CRL.
- Pokud chcete povolit odchozí připojení z virtuálních počítačů, udělejte jednu z těchto věcí:
- Pokud k řízení odchozího připojení používáte proxy brány firewall na základě adresy URL, povolte přístup k adresám URL.
- Pokud k řízení odchozího připojení používáte pravidla skupiny zabezpečení sítě (NSG), vytvořte tato pravidla značek služeb.
Vyberte prostředky, které chcete přesunout.
V libovolné ze skupin prostředků ve zdrojové oblasti, kterou vyberete, můžete vybrat libovolný podporovaný typ prostředku. Prostředky můžete přesunout do cílové oblasti, která je ve stejném předplatném jako zdrojová oblast. Pokud chcete předplatné změnit, můžete to udělat po přesunu prostředků.
Pokud chcete vybrat prostředky, postupujte takto:
Na webu Azure Portal vyhledejte nástroj pro přesun prostředků. V části Služby vyberte Azure Resource Mover.
V podokně Přehled služby Azure Resource Mover vyberte Přesunout mezi oblastmi.
Na kartě Přesunout zdroje a cíl prostředků>postupujte takto:
- Vyberte zdrojové předplatné a oblast.
- V části Cíl vyberte oblast, do které chcete virtuální počítače přesunout, a pak vyberte Další.
Na kartě Prostředky, které chcete přesunout, vyberte možnost Vybrat prostředky a otevřete novou kartu se seznamem dostupných virtuálních počítačů.
Na kartě Vybrat prostředky vyberte virtuální počítače, které chcete přesunout. Jak je uvedeno v části Vybrat prostředky, které chcete přesunout , můžete přidat pouze prostředky, které jsou pro přesun podporovány.
Poznámka:
V tomto kurzu vyberete virtuální počítač, který používá šifrování na straně serveru (rayne-vm) s klíčem spravovaným zákazníkem a virtuální počítač s povoleným šifrováním disků (rayne-vm-ade).
Vyberte Hotovo.
Vyberte kartu Zdroje, které chcete přesunout , a vyberte Další.
Vyberte kartu Revize a zkontrolujte nastavení zdroje a cíle.
Vyberte Pokračovat a začněte přidávat prostředky.
Vyberte ikonu oznámení a sledujte průběh. Po úspěšném dokončení procesu vyberte v podokně Oznámení možnost Přidat prostředky pro přesun.
Po výběru oznámení zkontrolujte prostředky na stránce Napříč oblastmi .
Poznámka:
- Prostředky, které přidáte, se umístí do stavu Čeká na přípravu .
- Skupina prostředků pro virtuální počítače se přidá automaticky.
- Pokud upravíte položky konfigurace cíle tak, aby používaly prostředek, který již v cílové oblasti existuje, je stav prostředku nastaven na Čeká na potvrzení, protože pro něj není nutné zahájit přesun.
- Pokud chcete odebrat přidaný prostředek, metoda, kterou použijete, závisí na tom, kde se nacházíte v procesu přesunu. Další informace najdete v tématu Správa kolekcí přesunů a skupin prostředků.
Řešení závislostí
Pokud chcete vyřešit závislosti před přesunutím, postupujte takto:
Závislosti se po přidání ověřují na pozadí. Pokud se zobrazí tlačítko Ověřit závislosti , vyberte ho a aktivujte ruční ověření.
Proces ověření začíná.
Pokud jsou nalezeny závislosti, vyberte Přidat závislosti.
V podokně Přidat závislosti ponechte výchozí možnost Zobrazit všechny závislosti.
- Zobrazit všechny závislosti iteruje všemi přímými a nepřímými závislostmi prostředku. Například u virtuálního počítače se zobrazí síťová karta, virtuální síť, skupiny zabezpečení sítě (NSG) atd.
- Zobrazit pouze závislosti první úrovně zobrazuje pouze přímé závislosti. Například pro virtuální počítač zobrazuje síťovou kartu, ale ne virtuální síť.
Vyberte závislé prostředky, které chcete přidat, a vyberte Přidat závislosti.
Závislosti se po přidání automaticky ověří na pozadí. Pokud se zobrazí možnost Ověřit závislosti , vyberte ji a aktivujte ruční ověření.
Přiřazení cílových prostředků
Cílové prostředky, které jsou přidružené k šifrování, musíte přiřadit ručně.
Pokud přesouváte virtuální počítač s povoleným službou Azure Disk Encryption, trezor klíčů ve vaší cílové oblasti se zobrazí jako závislost. Pokud přesouváte virtuální počítač s šifrováním na straně serveru, který používá sady CMK, zobrazí se jako závislost sada šifrování disku v cílové oblasti.
Vzhledem k tomu, že tento kurz ukazuje přesun virtuálního počítače s povoleným šifrováním disků Azure a který používá klíč CMK, zobrazí se cílový trezor klíčů i sada šifrování disků jako závislosti.
Pokud chcete cílové prostředky přiřadit ručně, postupujte takto:
V položce nastavení šifrování disku vyberte prostředek, který není přiřazený ve sloupci Konfigurace cíle.
V nastavení konfigurace vyberte sadu šifrování cílového disku a vyberte Uložit změny.
Můžete uložit a ověřit závislosti pro prostředek, který upravujete, nebo můžete uložit jenom změny a ověřit vše, co upravujete najednou.
Po přidání cílového prostředku se stav sady šifrování disku změní na Potvrzení čekající na přesunutí.
V položce trezoru klíčů vyberte Prostředek, který není přiřazený ve sloupci Konfigurace cíle. V části Nastavení konfigurace vyberte cílový trezor klíčů a uložte provedené změny.
V této fázi se stav šifrování disku a trezoru klíčů změní na Čeká na potvrzení přesunutí.
Pokud chcete potvrdit a dokončit proces přesunu pro šifrovací prostředky, postupujte takto:
- V části Napříč oblastmi vyberte prostředek (sada šifrování disků nebo trezor klíčů) a vyberte Potvrdit přesunutí.
- V části Přesunout prostředky vyberte Potvrdit.
Poznámka:
Po potvrzení přesunu se stav prostředku změní na Čeká na odstranění zdroje.
Příprava prostředků k přesunu
Teď, když se přesunou šifrovací prostředky a zdrojová skupina prostředků, můžete se připravit na přesun dalších prostředků, jejichž aktuální stav čeká na přípravu.
V podokně Napříč oblastmi znovu ověřte přesun a vyřešte všechny problémy.
Pokud chcete před zahájením přesunu upravit nastavení cíle, vyberte odkaz ve sloupci Konfigurace cíle pro prostředek a upravte nastavení. Pokud upravíte nastavení cílového virtuálního počítače, cílová velikost virtuálního počítače by neměla být menší než velikost zdrojového virtuálního počítače.
U prostředků se stavem Připravit čekající na přesunutí vyberte Připravit.
V podokně Připravit prostředky vyberte Připravit.
- Během přípravy se na virtuální počítače nainstaluje agent mobility Azure Site Recovery, který je replikuje.
- Data virtuálního počítače se pravidelně replikují do cílové oblasti. To nemá vliv na zdrojový virtuální počítač.
- Přesun prostředků generuje šablony ARM pro ostatní zdrojové prostředky.
Zahájení přesunu
Teď, když jste připravili prostředky, můžete zahájit přesun.
V podokně Napříč oblastmi vyberte prostředky, jejichž stav je Zahájit přesunutí čekající, a vyberte Zahájit přesun.
V podokně Přesunout prostředky vyberte Zahájit přesun.
Sledujte průběh přesunu na panelu oznámení.
- U virtuálních počítačů se repliky virtuálních počítačů vytvářejí v cílové oblasti. Zdrojový virtuální počítač se vypne a dojde k výpadku (obvykle minut).
- Resource Mover znovu vytvoří další prostředky pomocí připravených šablon ARM. Obvykle nedochází k výpadkům.
- Po přesunutí prostředků se jejich stav změní na Potvrzení přesunutí čekajícího na dokončení.
Zahodit nebo potvrdit přesunutí
Po počátečním přesunu se můžete rozhodnout, jestli chcete přesunutí potvrdit nebo zahodit.
- Zahodit: Přesunutí můžete zahodit, pokud ho testujete a nechcete zdrojový prostředek skutečně přesunout. Když přesun zahodíte, vrátí se prostředek, aby se zahájil stav čekající na přesunutí.
- Potvrzení: Potvrzení dokončí přesun do cílové oblasti. Po potvrzení zdrojového prostředku se jeho stav změní na Čeká na odstranění zdroje a můžete se rozhodnout, jestli ho chcete odstranit.
Zahodit přesun
Přesunutí zahodíte takto:
- V podokně Napříč oblastmi vyberte prostředky, jejichž stav čeká na potvrzení přesunutí, a vyberte Zahodit přesunutí.
- V podokně Zahodit přesunutí vyberte Zahodit.
- Sledujte průběh přesunu na panelu oznámení.
Poznámka:
Jakmile prostředky zahodíte, stav virtuálního počítače se změní na Zahájení čekajícího přesunu.
Potvrzení přesunutí
Chcete-li dokončit proces přesunutí, potvrďte přesunutí následujícím způsobem:
V podokně Napříč oblastmi vyberte prostředky, jejichž stav je Čekající na potvrzení přesunutí, a vyberte Potvrdit přesunutí.
V podokně Prostředky potvrzení vyberte Potvrdit.
Sledujte průběh potvrzení na panelu oznámení.
Poznámka:
- Po potvrzení přesunu přestanou virtuální počítače replikovat. Potvrzení nemá vliv na zdrojový virtuální počítač.
- Proces potvrzení nemá vliv na zdrojové síťové prostředky.
- Po potvrzení přesunu se stav prostředků změní na Čeká na odstranění zdroje.
Konfigurace nastavení po přesunutí
Po přesunutí můžete nakonfigurovat následující nastavení:
- Služba mobility se z virtuálních počítačů neodinstaluje automaticky. Odinstalujte ho ručně nebo ho ponechte, pokud chcete server přesunout znovu.
- Po přesunu upravte pravidla řízení přístupu na základě role (RBAC) Azure.
Odstranění zdrojových prostředků po potvrzení
Po přesunutí můžete volitelně odstranit prostředky ve zdrojové oblasti.
- V podokně Napříč oblastmi vyberte každý zdrojový prostředek, který chcete odstranit, a vyberte Odstranit zdroj.
- V nástroji Odstranit zdroj zkontrolujte, co chcete odstranit, a do možnosti Potvrdit odstranění zadejte ano.
Upozornění
Akce je nevratná, proto pečlivě zkontrolujte!
- Po zadání ano vyberte Odstranit zdroj.
Poznámka:
Na portálu Přesun prostředků nemůžete odstranit skupiny prostředků, trezory klíčů ani instance SQL Serveru. Každý z jednotlivých prostředků musíte odstranit na stránce vlastností každého prostředku.
Odstranění prostředků, které jste vytvořili pro přesun
Po přesunutí můžete ručně odstranit kolekci přesunů a prostředky Site Recovery, které jste vytvořili během tohoto procesu.
- Kolekce přesunutí je ve výchozím nastavení skrytá. Abyste ho viděli, musíte zapnout skryté prostředky.
- Úložiště mezipaměti má zámek, který je potřeba odstranit, aby bylo možné ho odstranit.
Pokud chcete odstranit prostředky, postupujte takto:
Vyhledejte prostředky ve skupině
RegionMoveRG-<sourceregion>-<target-region>
prostředků .Zkontrolujte, že všechny virtuální počítače a další zdrojové prostředky ve zdrojové oblasti byly přesunuty nebo odstraněny. Tento krok zajistí, že je nepoužívají žádné nevyřízené prostředky.
Odstraňte prostředky:
- Přesunout název kolekce:
movecollection-<sourceregion>-<target-region>
- Název účtu úložiště mezipaměti:
resmovecache<guid>
- Název trezoru:
ResourceMove-<sourceregion>-<target-region>-GUID
- Přesunout název kolekce:
Další kroky
Přečtěte si další informace o přesunu databází Azure SQL a elastických fondů do jiné oblasti.