Replikace počítačů s disky s podporou klíčů spravovaných zákazníkem (CMK)
Tento článek popisuje, jak replikovat virtuální počítače Azure se spravovanými disky spravovanými zákazníky (CMK) z jedné oblasti Azure do jiné.
Požadavek
Před povolením replikace pro virtuální počítače se spravovanými disky s podporou CMK musíte vytvořit sadu šifrování disků v cílové oblasti cílového předplatného.
Poznámka:
Azure Site Recovery nepodporuje obměně klíče pro šifrovaný virtuální počítač, když je chráněný. Pokud klíče otočíte, musíte replikaci zakázat a znovu povolit.
Povolení replikace
Pomocí následujícího postupu můžete replikovat počítače s disky s podporou klíčů spravovaných zákazníkem (CMK). Primární oblast Azure je například Východní Asie a sekundární oblast je Jihovýchodní Asie.
Na stránce Site Recovery trezoru >v části Virtuální počítače Azure vyberte Povolit replikaci.
Na stránce Povolit replikaci v části Zdroj proveďte následující kroky:
Oblast: Vyberte oblast Azure, ze které chcete chránit virtuální počítače. Například zdrojové umístění je Východní Asie.
Předplatné: Vyberte předplatné, do kterého patří vaše zdrojové virtuální počítače. Může to být jakékoli předplatné ve stejném tenantovi Microsoft Entra, ve kterém existuje váš trezor služby Recovery Services.
Skupina prostředků: Vyberte skupinu prostředků, do které patří vaše zdrojové virtuální počítače. Všechny virtuální počítače ve vybrané skupině prostředků jsou uvedené pro ochranu v dalším kroku.
Model nasazení virtuálního počítače: Vyberte model nasazení Azure zdrojových počítačů.
Zotavení po havárii mezi zónami dostupnosti: Pokud chcete na virtuálních počítačích provést zónové zotavení po havárii, vyberte Ano .
Vyberte Další.
Ve virtuálních počítačích vyberte každý virtuální počítač, který chcete replikovat. Můžete vybrat pouze počítače, pro které je možné povolit replikaci. Můžete vybrat až deset virtuálních počítačů. Pak vyberte Další.
V nastavení replikace můžete nakonfigurovat následující nastavení:
V části Umístění a skupina prostředků
Cílové umístění: Vyberte umístění, kam se musí replikovat data zdrojového virtuálního počítače. V závislosti na umístění vybraných počítačů vám Site Recovery poskytne seznam vhodných cílových oblastí. Doporučujeme zachovat cílové umístění stejné jako umístění trezoru služby Recovery Services.
Cílové předplatné: Vyberte cílové předplatné použité pro zotavení po havárii. Ve výchozím nastavení bude cílové předplatné stejné jako zdrojové předplatné.
Cílová skupina prostředků: Vyberte skupinu prostředků, do které patří všechny replikované virtuální počítače.
- Ve výchozím nastavení Site Recovery vytvoří v cílové oblasti novou skupinu prostředků s příponou asr v názvu.
- Pokud již skupina prostředků vytvořená službou Site Recovery existuje, použije se znovu.
- Nastavení skupiny prostředků můžete upravit.
- Umístění cílové skupiny prostředků může být libovolná oblast Azure s výjimkou oblasti, ve které jsou zdrojové virtuální počítače hostované.
Poznámka:
Novou cílovou skupinu prostředků můžete vytvořit také výběrem možnosti Vytvořit novou.
V části Síť
Virtuální síť s podporou převzetí služeb při selhání: Vyberte virtuální síť s podporou převzetí služeb při selhání.
Poznámka:
Novou virtuální síť s podporou převzetí služeb při selhání můžete vytvořit také výběrem možnosti Vytvořit novou.
Podsíť převzetí služeb při selhání: Vyberte podsíť převzetí služeb při selhání.
Úložiště: Vyberte Zobrazit/upravit konfiguraci úložiště. Otevře se stránka přizpůsobení nastavení cíle.
- Disk spravovaný replikou: Site Recovery vytvoří v cílové oblasti nové disky spravované replikou, aby zrcadlily spravované disky zdrojového virtuálního počítače se stejným typem úložiště (Standard nebo Premium) jako spravovaný disk zdrojového virtuálního počítače.
- Úložiště mezipaměti: Site Recovery potřebuje další účet úložiště označovaný jako úložiště mezipaměti ve zdrojové oblasti. Všechny změny na zdrojových virtuálních počítačích se před replikací do cílového umístění sledují a odesílají do účtu úložiště mezipaměti.
Možnosti dostupnosti: Vyberte příslušnou možnost dostupnosti pro váš virtuální počítač v cílové oblasti. Pokud skupina dostupnosti vytvořená službou Site Recovery již existuje, použije se znovu. Pokud chcete zobrazit nebo upravit možnosti dostupnosti, vyberte Zobrazit nebo upravit možnosti dostupnosti.
Poznámka:
- Při konfiguracicílových
- Po povolení replikace nemůžete změnit typ dostupnosti – jednu instanci, skupinu dostupnosti nebo zónu dostupnosti. Chcete-li změnit typ dostupnosti, musíte zakázat a povolit replikaci.
Rezervace kapacity: Rezervace kapacity umožňuje zakoupit kapacitu v oblasti obnovení a pak provést převzetí služeb při selhání této kapacity. Můžete buď vytvořit novou skupinu rezervací kapacity, nebo použít existující skupinu. Další informace najdete v tom , jak rezervace kapacity funguje. Pokud chcete změnit nastavení rezervace kapacity, vyberte Zobrazit nebo Upravit přiřazení skupiny rezervací kapacity. Při aktivaci převzetí služeb při selhání se nový virtuální počítač vytvoří ve přiřazené skupině rezervací kapacity.
Nastavení šifrování úložiště: Site Recovery potřebuje, aby se pro repliky a cílové spravované disky používaly sady šifrování disků (DES). Před povolením replikace musíte předem vytvořit sady šifrování disků v cílovém předplatném a cílové oblasti. Ve výchozím nastavení není vybrána sada šifrování disku. Pokud chcete vybrat sadu šifrování disku na zdrojový disk, musíte vybrat konfiguraci zobrazení/úpravy.
Poznámka:
Ujistěte se, že cílový DES existuje ve skupině cílových prostředků a že cílový des má přístup k trezoru klíčů ve stejné oblasti, aby získal přístup k klíči Get, Wrap Key, unwrap Key Vault.
Vyberte Další.
Ve správě udělejte toto:
- V části Zásady replikace
- Zásady replikace: Vyberte zásadu replikace. Definuje nastavení pro historii uchovávání bodů obnovení a frekvenci snímků konzistentních vzhledem k aplikacím. Site Recovery ve výchozím nastavení vytvoří novou zásadu replikace s výchozím nastavením 24 hodin pro uchovávání bodů obnovení.
- Skupina replikace: Vytvořte replikační skupinu pro replikaci virtuálních počítačů dohromady a vygenerujte body obnovení konzistentní s více virtuálními počítači. Mějte na paměti, že povolení konzistence více virtuálních počítačů může mít vliv na výkon úloh a mělo by se použít pouze v případě, že počítače používají stejnou úlohu a potřebujete konzistenci napříč více počítači.
- V části Nastavení rozšíření
- Vyberte Aktualizovat nastavení a účet Automation.
- V části Zásady replikace
Vyberte Další.
V části Kontrola zkontrolujte nastavení virtuálního počítače a vyberte Povolit replikaci.
Poznámka:
Během počáteční replikace může aktualizace stavu nějakou dobu trvat, aniž by to bylo zřejmé. Kliknutím na Aktualizovat získáte nejnovější stav.
Nejčastější dotazy
Povolil(a) jsem cmk u existující replikované položky, jak můžu zajistit, aby se cmk použil i v cílové oblasti?
Můžete zjistit název spravovaného disku repliky (vytvořený službou Azure Site Recovery v cílové oblasti) a připojit des k tomuto disku repliky. Jakmile je ale připojíte, podrobnosti o DES neuvidíte v okně Disky. Případně můžete zakázat replikaci virtuálního počítače a znovu ho povolit. V okně Disky pro replikovanou položku se ujistěte, že se v okně Disky zobrazí podrobnosti o des a trezoru klíčů.
Do replikované položky jsme přidali nový disk s podporou CMK. Jak můžu replikovat tento disk pomocí Azure Site Recovery?
Do existující replikované položky můžete přidat nový disk s podporou CMK pomocí PowerShellu. Pokyny najdete v fragmentu kódu:
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
Povolil(a) jsem klíče spravované platformou i zákazníkem, jak můžu chránit disky?
Site Recovery podporuje povolení dvojitého šifrování s využitím klíčů spravovaných platformou i zákazníkem. Pokud chcete chránit počítač, postupujte podle pokynů v tomto článku. V cílové oblasti je potřeba předem vytvořit des s povoleným dvojitým šifrováním. V době, kdy povolíte replikaci pro tento virtuální počítač, můžete tuto službu DES poskytnout službě Site Recovery.
Další kroky
- Přečtěte si další informace o spuštění testovacího převzetí služeb při selhání.