Traslado de máquinas virtuales de Azure cifradas entre regiones

Azure Resource Mover le ayuda a trasladar los recursos de Azure entre regiones de Azure. En este artículo se describe cómo trasladar máquinas virtuales de Azure cifradas a otra región de Azure mediante Azure Resource Mover.

Las máquinas virtuales cifradas se pueden describir como:

• Máquinas virtuales que tienen discos con Azure Disk Encryption habilitado. Para más información, consulte Creación y cifrado de una máquina virtual Windows mediante Azure Portal.
• Máquinas virtuales que usan claves administradas por el cliente (CMK) para el cifrado en reposo o cifrado del lado servidor. Para más información, consulte Uso de Azure Portal para habilitar el cifrado del lado servidor con claves administradas por el cliente para los discos administrados.

En este tutorial, aprenderá a:

• Trasladar máquinas virtuales de Azure cifradas y sus recursos dependientes a otra región de Azure.

Nota

Los tutoriales muestran la manera más rápida de probar un escenario y utilizar las opciones predeterminadas siempre que sea posible.

Inicio de sesión en Azure

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar e inicie sesión en Azure Portal.

Requisitos previos

Antes de empezar, verifique lo siguiente:

Requisito	Detalles
Permisos de suscripción	Asegúrese de que tiene acceso de Propietario a la suscripción que contiene los recursos que desea trasladar. ¿Por qué necesito acceso de Propietario? La primera vez que agregue un recurso de un par de origen y destino específicos a una suscripción de Azure, Azure Resource Mover creará una identidad administrada asignada por el sistema, anteriormente llamada identidad de servicio administrado (MSI). Esta identidad es de confianza para la suscripción. Para crear la identidad y asignarle los roles requeridos (Colaborador y Administrador de acceso de usuario en la suscripción de origen), la cuenta que utilice para agregar recursos necesita permisos de Propietario de la suscripción. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Soporte técnico de máquina virtual	Asegúrese de que las máquinas virtuales que desea trasladar son compatibles; para ello, haga lo siguiente: Compruebe las máquinas virtuales Windows admitidas. Compruebe las máquinas virtuales Linux y las versiones de kernel admitidas. Compruebe la configuración admitida de proceso, almacenamiento y redes.
Requisitos del almacén de claves (Azure Disk Encryption)	Si ha habilitado Azure Disk Encryption para las máquinas virtuales, necesita un almacén de claves en las regiones de origen y de destino. Para más información, consulte Creación de un almacén de claves. Para los almacenes de claves de las regiones de origen y de destino, necesita estos permisos: Permisos de claves: operaciones de administración de claves (Get, List) y operaciones criptográficas (Decrypt y Encrypt). Permisos de secretos: operaciones de administración de secretos (Get, List y Set) Certificado (List y Get).
Conjunto de cifrado de disco (cifrado del lado servidor con CMK)	Si utiliza máquinas virtuales con cifrado del lado servidor que usa una clave administrada por el cliente, necesita un conjunto de cifrado de disco en las regiones de origen y de destino. Para más información, consulte Creación de un conjunto de cifrado de disco. El traslado entre regiones no es compatible si usa un módulo de seguridad de hardware (claves HSM) para las claves administradas por el cliente.
Cuota de la región de destino	La suscripción necesita tener cuota suficiente para crear los recursos que va a trasladar a la región de destino. Si no dispone de una cuota, solicite límites adicionales.
Cargos de la región de destino	Compruebe los precios y los cargos asociados con la región de destino a la que va a trasladar las máquinas virtuales. Use la calculadora de precios.

Comprobación de los permisos del almacén de claves

Si va a mover máquinas virtuales con Azure Disk Encryption habilitado, debe ejecutar un script. Los usuarios que ejecutan el script deben tener los permisos adecuados para hacerlo. Para saber qué permisos son necesarios, consulte la tabla siguiente. Para encontrar las opciones para cambiar los permisos, vaya al almacén de claves de Azure Portal. En Configuración, seleccione Directivas de acceso.

Si los permisos de usuario no están establecidos, seleccione Agregar directiva de acceso y especifique los permisos. Si la cuenta de usuario ya tiene una directiva, en Usuario, establezca los permisos según las instrucciones de la siguiente tabla.

Las máquinas virtuales de Azure que usan Azure Disk Encryption pueden tener las siguientes variaciones y deberá establecer los permisos según sus componentes correspondientes. Puede que las máquinas virtuales tengan:

• Una opción predeterminada cuando el disco está cifrado solo con secretos.
• Seguridad agregada que usa una clave de cifrado de claves (KEK).

Almacén de claves de la región de origen

Para los usuarios que ejecutan el script, establezca permisos para los siguientes componentes:

Componente	Permisos necesarios
Secretos	Get Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Get.
Claves Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.	Get y Decrypt Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get. En Operaciones criptográficas, seleccione Decrypt.

Almacén de claves de la región de destino

En la pestaña Directivas de acceso, asegúrese de que Azure Disk Encryption para el cifrado de volúmenes está habilitado.

Para los usuarios que ejecutan el script, establezca permisos para los siguientes componentes:

Componente	Permisos necesarios
Secretos	Establecimiento Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Set.
Claves Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.	Get, Create y Encrypt Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get y Create. En Operaciones criptográficas, seleccione Encrypt.

Además de los permisos anteriores, en el almacén de claves de destino debe agregar permisos para la identidad del sistema administrada que usa Resource Mover para acceder a los recursos de Azure en su nombre.

Adición de permisos la identidad del sistema administrada

Para agregar permisos para la identidad del sistema administrada (MSI), siga estos pasos:

1. En Configuración, seleccione Add Access policies (Agregar directivas de acceso).

2. En Seleccionar la entidad de seguridad, busque el MSI. El nombre de MSI es movecollection-<sourceregion>-<target-region>-<metadata-region>.

3. Para la identidad del sistema administrada, agregue los siguientes permisos:

   Componente	Permisos necesarios
   Secretos	Get y List Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Get y List.
   Claves Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.	Get y List Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get y List.

Copia de las claves en el almacén de claves de destino

Copie los secretos y las claves de cifrado del almacén de claves de origen en el almacén de claves de destino mediante el script proporcionado.

Para copiar las claves del almacén de claves de origen en el almacén de claves de destino, siga estos pasos:

• Ejecute el script en PowerShell. Se recomienda usar la versión más reciente de PowerShell.
• Específicamente, el script requiere estos módulos:
  • Az.Compute
  • Az.KeyVault (versión 3.0.0)
  • Az.Accounts (versión 2.2.3)

Para ejecutar el script, haga lo siguiente:

1. Abra el script en GitHub.

2. Copie el contenido del script en un archivo local y asígnele el nombre Copy-keys.ps1.

3. Ejecute el script.

4. Inicie sesión en Azure Portal.

5. En la ventana Entradas de usuario, seleccione la suscripción de origen, el grupo de recursos, la máquina virtual de origen, la ubicación de destino y los almacenes de destino para el cifrado de discos y claves.

   

6. Use el botón Seleccionar para ejecutar el script.

   Cuando el script ha terminado de ejecutarse, un mensaje le notifica que CopyKeys se ha completado correctamente.

Preparación de máquinas virtuales

Para preparar las máquinas virtuales para el traslado, siga estos pasos:

1. Después de comprobar que las máquinas virtuales cumplen los requisitos previos, asegúrese de que las máquinas virtuales que desea mover están activadas. Todos los discos de las máquinas virtuales que desea que estén disponibles en la región de destino deben estar conectados e inicializados en la máquina virtual.
2. Para asegurarse de que las máquinas virtuales dispongan de los certificados raíz de confianza más recientes y de una lista de revocación de certificados (CRL) actualizada, haga lo siguiente:
   • En las máquinas virtuales Windows, instale las actualizaciones de Windows más recientes.
   • En las máquinas virtuales Linux, siga las indicaciones del distribuidor para que las máquinas dispongan de los certificados y la lista de revocación de certificados más recientes.
3. Para permitir la conectividad saliente desde las máquinas virtuales, realice una de las siguientes acciones:
   • Si utiliza un servidor proxy de firewall basado en direcciones URL para controlar la conectividad de salida, debe permitir el acceso a estas URL.
   • Si utiliza reglas de grupo de seguridad de red para determinar la conectividad saliente, cree estas reglas de etiquetas de servicio.

Selección de los recursos que se trasladarán

Puede seleccionar cualquier tipo de recurso admitido de cualquiera de los grupos de recursos de la región de origen seleccionada. Puede trasladar los recursos a una región de destino que está en la misma suscripción que la región de origen. Si desea cambiar la suscripción, puede hacerlo después de trasladar los recursos.

Para seleccionar los recursos, haga lo siguiente:

1. En Azure Portal, busque resource mover. En Servicios, seleccione Azure Resource Mover.

   

2. En el panel de información general de Azure Resource Mover, seleccione Mover entre regiones.

   

3. En la pestaña Mover recursos>Origen y destino, haga lo siguiente:

   1. Seleccione la región y suscripción de origen.
   2. En Destino, seleccione la región a la que desea trasladar las máquinas virtuales y seleccione Siguiente.

   

4. En la pestaña Recursos que hay que mover, seleccione la opción Seleccionar recursos para abrir una nueva pestaña con la lista de máquinas virtuales disponibles.

   

5. En la pestaña Seleccionar recursos, seleccione las máquinas virtuales que desea trasladar. Como se mencionó en la sección Selección de los recursos que se moverán, solo puede agregar los recursos que se admiten para un traslado.

   

   Nota:

   En este tutorial, vas a seleccionar una máquina virtual que usa el cifrado del lado servidor (rayne-vm) con una clave administrada por el cliente y una máquina virtual con cifrado de disco habilitado (rayne-vm-ade).

6. Seleccione Listo.

7. Seleccione la pestaña Recursos que hay que mover y seleccione Siguiente.

8. Seleccione la pestaña Revisar y compruebe la configuración de origen y destino.

   

9. Seleccione Continuar para empezar a agregar recursos.

10. Seleccione el icono de notificaciones para realizar un seguimiento del progreso. Una vez que el proceso finalice correctamente, en el panel Notificaciones, seleccione Added resources for move (Se han agregado recursos para mover).

    

11. Después de seleccionar la notificación, revise los recursos de la página Entre regiones.

    

Nota:

• Los recursos que agregue se colocan en el estado Prepare pending (Preparación pendiente).
• El grupo de recursos de las máquinas virtuales se agrega automáticamente.
• Si modifica las entradas de la columna Destination configuration (Configuración de destino) para usar un recurso que ya existe en la región de destino, el estado del recurso se establece en Commit pending (Pendiente de confirmación), ya que no es necesario iniciar un traslado.
• Si quiere eliminar un recurso que se ha agregado, el método que utilizará depende del punto en el que se encuentre en el proceso de traslado. Para más información, consulte Administración de grupos de recursos y colecciones de transferencia de recursos.

Resolución de dependencias

Para resolver las dependencias antes del traslado, siga estos pasos:

1. Las dependencias se validan en segundo plano después de agregarlas. Si ve un botón Validar dependencias, selecciónelo para desencadenar la validación manual.

   

   Se iniciará el proceso de validación.

2. Si se encuentran dependencias, seleccione Agregar dependencias.

   

3. En el panel Agregar dependencias, mantenga la opción predeterminada Mostrar todas las dependencias.

   • La opción Show all dependencies (Mostrar todas las dependencias) recorre en iteración todas las dependencias directas e indirectas de un recurso. Por ejemplo, para una máquina virtual, muestra la NIC, la red virtual, los grupos de seguridad de red, etc.
   • La opción Mostrar solo las dependencias de primer nivel muestra solo las dependencias directas. Por ejemplo, para una máquina virtual, muestra la NIC, pero no la red virtual.

4. Seleccione los recursos dependientes que desea agregar y seleccione Agregar dependencias.

   

5. Las dependencias se validan automáticamente en segundo plano después de que las agrega. Si ve la opción Validar dependencias, selecciónela para desencadenar la validación manual.

   

Asignación de los recursos de destino

Debe asignar manualmente los recursos de destino que se asocian al cifrado.

Si va a trasladar una máquina virtual que tiene Azure Disk Encryption habilitado, el almacén de claves de la región de destino aparecerá como una dependencia. Si va a mover una máquina virtual que tiene cifrado del lado servidor y que usa claves administradas por el cliente, el conjunto de cifrado de disco de la región de destino aparece como una dependencia.

Dado que en este tutorial se muestra cómo trasladar una máquina virtual que tiene Azure Disk Encryption habilitado y que usa una clave administrada por el cliente, el almacén de claves de destino y el conjunto de cifrado de disco aparecen como dependencias.

Para asignar manualmente los recursos de destino, haga lo siguiente:

1. En la entrada del conjunto de cifrado de disco, seleccione Resource not assigned (Recurso no asignado) en la columna Destination configuration (Configuración de destino).

2. En Opciones de configuración, seleccione el conjunto de cifrado de disco de destino y seleccione Guardar cambios.

3. Puede guardar y validar las dependencias del recurso que está modificando, o guardar únicamente los cambios y validar todo lo que modifique de una sola vez.

   

   Después de agregar el recurso de destino, el estado del conjunto de cifrado de disco se convierte en Commit move pending (Confirmar movimiento pendiente).

4. En la entrada del almacén de claves, seleccione Resource not assigned (Recurso no asignado) en la columna Destination configuration (Configuración de destino). En Opciones de configuración, seleccione el almacén de claves de destino y guarde los cambios.

En esta fase, el estado del conjunto de cifrado de disco y del almacén de claves cambia a Commit move pending (Confirmar movimiento pendiente).

Para confirmar y finalizar el proceso de traslado de los recursos de cifrado, haga lo siguiente:

1. En Entre regiones, seleccione el recurso (conjunto de cifrado de disco o almacén de claves) y seleccione Confirmar movimiento.
2. En Mover recursos, seleccione Confirmar.

Nota:

Después de haber confirmado el traslado, el estado del recurso cambia a Delete source pending (Eliminar origen pendiente).

Preparación de los recursos que se van a trasladar

Ahora que los recursos de cifrado y el grupo de recursos de origen se han trasladado, puede preparar el traslado de otros recursos cuyo estado actual sea Prepare pending (Preparación pendiente).

1. En el panel Entre regiones valide el traslado de nuevo y resuelva los problemas.

2. Si desea editar la configuración de destino antes de trasladar los recursos, seleccione el vínculo en la columna Configuración de destino del recurso y edite la configuración. Si edita la configuración de la máquina virtual de destino, el tamaño de esta máquina virtual no puede ser inferior al tamaño de la máquina virtual de origen.

3. Para los recursos con el estado Prepare pending (Preparación pendiente) que desea trasladar, seleccione Preparar.

4. En el panel Preparar recursos, seleccione Preparar.

   • Durante la preparación, el agente de movilidad de Azure Site Recovery se instala en las máquinas virtuales para replicarlas.
   • Los datos de las máquinas virtuales se replican periódicamente en la región de destino. Esto no afecta a la máquina virtual de origen.
   • Resource Mover genera plantillas de Resource Manager para los demás recursos de origen.

Nota:

Después de preparar los recursos, su estado cambia a Initiate move pending (Iniciar movimiento pendiente).

Inicio de la migración

Ahora que ha preparado los recursos, puede iniciar el traslado.

1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Iniciar movimiento pendiente y, a continuación, seleccione Iniciar movimiento.

2. En el panel Mover recursos, seleccione Iniciar movimiento.

3. Realice un seguimiento del progreso del traslado en la barra de notificaciones.

   • En el caso de las máquinas virtuales, se crearán réplicas en la región de destino. La máquina virtual de origen se apagará y se producirá cierto tiempo de inactividad (normalmente es cuestión de minutos).
   • Resource Mover recrea otros recursos mediante las plantillas de Resource Manager preparadas. Normalmente, no se produce tiempo de inactividad.
   • Después de trasladar los recursos, su estado cambia a Commit move pending (Confirmar movimiento pendiente).

Descarte o confirmación del movimiento

Tras la operación inicial de traslado, puede decidir si desea confirmarla o descartarla.

• Descartar: puede descartar un traslado si está haciendo pruebas y no quiere trasladar verdaderamente el recurso de origen. Si el traslado se descarta, el recurso volverá a tener el estado Initiate move pending (Iniciar movimiento pendiente).
• Confirmación: la confirmación completa la operación de traslado a la región de destino. Después de haber confirmado un recurso de origen, su estado cambia a Delete source pending (Eliminar origen pendiente) y puede decidir si desea eliminarlo.

Descartar la operación de traslado

Para descartar el traslado, haga lo siguiente:

1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Confirmar movimiento pendiente y seleccione Descartar movimiento.
2. En el panel Discard move (Descartar movimiento) seleccione Descartar.
3. Realice un seguimiento del progreso del traslado en la barra de notificaciones.

Nota:

Después de descartar los recursos, los estados de las máquinas virtuales cambian a Initiate move pending (Iniciar movimiento pendiente).

Confirmación de la operación de traslado

Para completar el proceso de traslado, debe confirmar el traslado haciendo lo siguiente:

1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Confirmar movimiento pendiente y seleccione Confirmar movimiento.

2. En el panel Commit resources (Confirmar recursos), seleccione Confirmar.

   

3. Haga un seguimiento del progreso de la operación de confirmación en la barra de notificaciones.

Nota

• Después de haber confirmado el traslado, las máquinas virtuales dejan de replicarse. La confirmación no afecta a la máquina virtual de origen.
• El proceso de confirmación no afecta a los recursos de red de origen.
• Después de haber confirmado el traslado, los estados de los recursos cambian a Delete source pending (Eliminar origen pendiente).

Configuración de parámetros tras el traslado

Puede configurar las siguientes opciones después del proceso de traslado:

• El servicio Mobility no se desinstala automáticamente de las máquinas virtuales. Puede desinstalarlo manualmente, o bien mantenerlo si tiene previsto trasladar el servidor de nuevo.
• Modifique las reglas de control de acceso basado en rol de Azure después del traslado.

Eliminación de los recursos de origen después de la confirmación

Después del traslado, puede eliminar los recursos de la región de origen si lo desea.

1. En el panel Entre regiones seleccione cada recurso de origen que quiera eliminar y, a continuación, seleccione Eliminar origen.
2. En Delete source (Eliminar origen), revise lo que intenta eliminar y, en Confirm delete (Confirmar eliminación), escriba yes (Sí).

   Precaución

   La acción es irreversible, por lo que debe comprobarlo con cuidado.

3. Después de escribir yes (Sí), seleccione Delete source (Eliminar origen).

Nota:

En el portal de Resource Mover no se pueden eliminar grupos de recursos, almacenes de claves ni instancias de SQL Server. Debe eliminarlos de forma individual en la página de propiedades de cada recurso.

Eliminación de los recursos que ha creado para el traslado

Después del traslado, puede eliminar manualmente la colección de transferencia de recursos y los recursos de Site Recovery que se crearon durante este proceso.

• La colección de traslado está oculta de forma predeterminada. Para verla, debe activar los recursos ocultos.
• El almacenamiento en caché tiene un bloqueo que debe eliminarse antes de que se pueda eliminar.

Para eliminar los recursos, haga lo siguiente:

1. Identifique los recursos pertenecientes al grupo de recursos RegionMoveRG-<sourceregion>-<target-region>.

2. Compruebe que todas las máquinas virtuales y los demás recursos de la región de origen se hayan trasladado o eliminado. De este modo, se garantiza que no haya recursos pendientes que los utilicen.

3. Eliminación de los recursos:

   • Nombre de la colección de transferencia de recursos: movecollection-<sourceregion>-<target-region>
   • Nombre de la cuenta de almacenamiento en caché: resmovecache<guid>
   • Nombre del almacén: ResourceMove-<sourceregion>-<target-region>-GUID

Pasos siguientes

Obtenga más información sobre cómo trasladar grupos elásticos y bases de datos de Azure SQL a otra región.