Replicación de máquinas con discos habilitados para claves administradas por el cliente (CMK)
En este artículo se describe cómo replicar máquinas virtuales de Azure con discos administrados habilitados para claves administradas por el cliente (CMK) de una región de Azure a otra.
Requisito previo
Debe crear los conjuntos de cifrado de disco en la región de destino para la suscripción de destino antes de habilitar la replicación para las máquinas virtuales que tienen discos administrados habilitados para CMK.
Habilitar replicación
Use el procedimiento siguiente para replicar máquinas con discos habilitados para claves de Customer-Managed (CMK). Como ejemplo de la región principal de Azure es Este de Asia y la secundaria es Sudeste de Asia.
En el almacén >página de Site Recovery, en Máquinas virtuales de Azure, seleccione Habilitar replicación.
En la página Habilitar replicación, en Origen, haga lo siguiente:
Región: seleccione la región de Azure desde la que quiere proteger las máquinas virtuales. Por ejemplo, la ubicación de origen es Este de Asia.
Subscripción: seleccione la suscripción a la que pertenecen sus máquinas virtuales de origen. Puede tratarse de cualquier suscripción dentro del mismo inquilino de Microsoft Entra donde exista el almacén de Recovery Services.
Grupo de recursos: seleccione el grupo de recursos al que pertenecen las máquinas virtuales de origen. Todas las máquinas virtuales del grupo de recursos seleccionado se enumeran para su protección en el paso siguiente.
Modelo de implementación de máquina virtual: seleccione el modelo de implementación de Azure de las máquinas de origen.
Recuperación ante desastres entre zonas de disponibilidad: seleccione Sí si quiere realizar la recuperación ante desastres zonal en máquinas virtuales.
Seleccione Next (Siguiente).
En Máquinas virtuales, seleccione las máquinas virtuales que quiera replicar. Solo puede seleccionar aquellas máquinas en las que se pueda habilitar la replicación. Puede seleccionar hasta diez máquinas virtuales. Luego, seleccione Siguiente.
En Configuración de replicación, puede configurar las siguientes opciones:
En Ubicación y grupo de recursos,
Ubicación de destino: seleccione la ubicación donde se deben replicar los datos de la máquina virtual de origen. Según la ubicación de las máquinas seleccionadas, Site Recovery proporcionará la lista de regiones de destino adecuadas. Se recomienda mantener como la ubicación de destino la misma ubicación del almacén de Recovery Services.
Suscripción de destino: seleccione la suscripción de destino utilizada para la recuperación ante desastres. De forma predeterminada, la suscripción de destino será la misma que la suscripción de origen.
Grupo de recursos de destino: seleccione el grupo de recursos al que pertenecen todas las máquinas virtuales replicadas.
- De forma predeterminada, Site Recovery crea un nuevo grupo de recursos en la región de destino con un sufijo asr en el nombre.
- Si el grupo de recursos creado por Site Recovery ya existe, se vuelve a usar.
- Puede personalizar la configuración del grupo de recursos.
- La ubicación del grupo de recursos de destino puede ser cualquier región de Azure excepto la región en la que se hospedan las máquinas virtuales de origen.
Nota
También puede crear un nuevo grupo de recursos de destino seleccionando Crear nuevo.
En Red,
Red virtual de conmutación por error: seleccione la red virtual de conmutación por error.
Nota
También puede crear una nueva red virtual de conmutación por error seleccionando Crear nueva.
Subred de conmutación por error: seleccione la subred de conmutación por error.
Almacenamiento: seleccione Ver o editar configuración de almacenamiento. Se abre la página Personalizar la configuración de destino.
- Disco de réplica o administrado: Site Recovery crea nuevos discos de réplica o administrados en la región de destino para reflejar los discos administrados de la máquina virtual de origen con el mismo tipo de almacenamiento (Estándar o Premium) que el disco administrado de la máquina virtual de origen.
- Almacenamiento en caché: Site Recovery necesita una cuenta de almacenamiento adicional denominada almacenamiento en caché en la región de origen. Todos los cambios que se producen en las VM de origen se siguen y se envían a la cuenta de almacenamiento en caché antes de replicarlas en la ubicación de destino.
Opciones de disponibilidad: seleccione la opción de disponibilidad adecuada para la máquina virtual de la región de destino. Si un conjunto de disponibilidad que ha creado Azure Site Recovery ya existe, se vuelve a usar. Seleccione Ver o editar opciones de disponibilidad para ver o editar las opciones de disponibilidad.
Nota
- Al configurar los conjuntos de disponibilidad de destino, configure diferentes conjuntos de disponibilidad para máquinas virtuales de diferentes tamaños.
- No puede cambiar el tipo de disponibilidad (instancia única, zona de disponibilidad o conjunto de disponibilidad) después de habilitar la replicación. Deberá deshabilitar y habilitar la replicación para cambiar el tipo de disponibilidad.
Reserva de capacidad: la reserva de capacidad le permite adquirir capacidad en la región de recuperación y, luego, conmutar por error a esa capacidad. Puede crear un nuevo grupo de reserva de capacidad o usar uno existente. Para más información, consulte cómo funciona la reserva de capacidad. Seleccione Ver o editar asignación de grupos de reserva de capacidad para modificar la configuración de reserva de capacidad. Al desencadenar la conmutación por error, la nueva máquina virtual se creará en el grupo de reserva de capacidad asignado.
Conjuntos de cifrado de almacenamiento: Site Recovery necesita que se usen conjuntos de cifrado de disco (DES) para los discos administrados de réplica y destino. Antes de habilitar la replicación, debe crear previamente el conjunto de cifrado de disco en la suscripción de destino y en la región de destino. De forma predeterminada, no se selecciona un conjunto de cifrado de disco. Debe seleccionar Ver o editar la configuración para elegir un conjunto de cifrado de disco por disco de origen.
Nota
Asegúrese de que el DES de destino está presente en el grupo de recursos de destino y de que el DES de destino tiene acceso Get, Wrap Key, Unwrap Key a un Key Vault de la misma región.
Seleccione Siguiente.
En Administrar, haga lo siguiente:
- En Directiva de replicación,
- Directiva de replicación: seleccione la directiva de replicación. define la configuración del historial de retención del punto de recuperación y la frecuencia de instantánea coherente con la aplicación. De manera predeterminada, Site Recovery crea una nueva directiva de replicación con la configuración predeterminada de 24 horas para la retención del punto de recuperación.
- Grupo de replicación: cree un grupo de replicación para replicar máquinas virtuales juntas a fin de generar puntos de recuperación coherentes con varias máquinas virtuales. Tenga en cuenta que habilitar la coherencia de varias máquinas virtuales puede afectar al rendimiento de la carga de trabajo y solo debe usarse si las máquinas ejecutan la misma carga de trabajo y hace falta coherencia entre varias máquinas.
- En Configuración de extensiones,
- Seleccione Actualizar configuración y Cuenta de Automation.
- En Directiva de replicación,
Seleccione Siguiente.
En Revisar, revise la configuración de la máquina virtual y seleccione Habilitar replicación.
Nota:
Durante la replicación inicial, el estado de la máquina virtual puede tardar un tiempo en actualizarse, sin ningún progreso aparente. Haga clic en Actualizar para obtener el estado más reciente.
Preguntas más frecuentes
He habilitado CMK en un elemento replicado existente. ¿Cómo puedo asegurarme de que CMK se aplique también en la región de destino?
Puede averiguar el nombre del disco administrado de réplica (creado por Azure Site Recovery en la región de destino) y adjuntar DES a este disco de réplica. Sin embargo, no podrá ver los detalles de DES en la hoja Discos una vez que los haya adjuntado. Como alternativa, puede optar por deshabilitar la replicación de la máquina virtual y habilitarla de nuevo. Se asegurará de que vea los detalles de DES y del almacén de claves en la hoja Discos del elemento replicado.
He agregado un nuevo disco habilitado para CMK al elemento replicado. ¿Cómo puedo replicar este disco con Azure Site Recovery?
Puede agregar un nuevo disco habilitado para CMK a un elemento replicado existente mediante PowerShell. Busque el fragmento de código para obtener instrucciones:
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
He habilitado las claves administradas por el cliente y la plataforma, ¿cómo puedo proteger mis discos?
La habilitación del cifrado doble con claves administradas por el cliente y la plataforma se admite en Site Recovery. Siga las instrucciones de este artículo para proteger la máquina. Previamente, debe crear un DES con el cifrado doble habilitado en la región de destino. En el momento de habilitar la replicación para esta máquina virtual, puede proporcionar este DES a Site Recovery.
Pasos siguientes
- Más información sobre la ejecución de una conmutación por error de prueba.