Spostare un insieme di credenziali di Servizi di ripristino tra sottoscrizioni e gruppi di risorse di Azure
Questo articolo illustra come spostare un insieme di credenziali di Servizi di ripristino configurato per Backup di Azure tra sottoscrizioni di Azure o in un altro gruppo di risorse nella stessa sottoscrizione. È possibile usare il portale di Azure o PowerShell per spostare un insieme di credenziali di Servizi di ripristino.
Aree geografiche supportate
Tutte le aree pubbliche e le aree sovrane sono supportate, ad eccezione della Francia meridionale, della Francia centrale, della Germania nord-orientale e della Germania centrale.
Prerequisiti per lo spostamento dell'insieme di credenziali di Servizi di ripristino
- Durante lo spostamento dell'insieme di credenziali tra gruppi di risorse, i gruppi di risorse di origine e di destinazione vengono bloccati impedendo le operazioni di scrittura ed eliminazione. Per altre informazioni, vedi questo articolo.
- Solo la sottoscrizione amministratore ha le autorizzazioni per spostare un insieme di credenziali.
- Per lo spostamento di insiemi di credenziali tra sottoscrizioni, la sottoscrizione di destinazione deve trovarsi nello stesso tenant della sottoscrizione di origine e il relativo stato deve essere abilitato. Per spostare un insieme di credenziali in un ID Microsoft Entra diverso, vedere Trasferire una sottoscrizione a una directory diversa e Domande frequenti sull'insieme di credenziali del Servizi di ripristino.
- È necessario avere l'autorizzazione per eseguire operazioni di scrittura sul gruppo di risorse di destinazione.
- Lo spostamento dell'insieme di credenziali modifica solo il gruppo di risorse. L'insieme di credenziali del Servizi di ripristino si troverà nella stessa posizione e non può essere modificato.
- È possibile spostare un solo insieme di credenziali dei Servizi di ripristino, per area, alla volta.
- Se una macchina virtuale non viene spostata con l'insieme di credenziali di Servizi di ripristino tra le sottoscrizioni o in un nuovo gruppo di risorse, i punti di recupero correnti della macchina virtuale rimarranno invariati nell'insieme di credenziali finché non scadono.
- Sia che macchina virtuale venga spostata nell'insieme di credenziali o meno, è sempre possibile ripristinare la macchina virtuale dalla cronologia di backup conservata nell'insieme di credenziali.
- Crittografia dischi di Azure richiede che l'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area e sottoscrizione di Azure.
- Per spostare una macchina virtuale con dischi gestiti, vedere questo articolo.
- Le opzioni per lo spostamento delle risorse distribuite con il modello classico variano a seconda che lo spostamento avvenga all'interno di una sottoscrizione o in una nuova sottoscrizione. Per altre informazioni, vedi questo articolo.
- I criteri di backup definiti per l'insieme di credenziali vengono conservati dopo che l'insieme di credenziali viene spostato tra le sottoscrizioni o in un nuovo gruppo di risorse.
- È possibile spostare un insieme di credenziali contenente solo uno dei tipi di elementi di backup seguenti. Tutti gli elementi di backup di tipi non elencati di seguito dovranno essere arrestati e i dati eliminati definitivamente prima di spostare l'insieme di credenziali.
- Macchine virtuali di Azure
- Agente di Servizi di ripristino di Microsoft Azure (MARS)
- Server di Backup di Microsoft Azure (MABS)
- Data Protection Manager (DPM)
- Se si sposta un insieme di credenziali contenente i dati di backup delle macchine virtuali, tra sottoscrizioni, è necessario spostare le macchine virtuali nella stessa sottoscrizione e usare lo stesso nome del gruppo di risorse della macchina virtuale di destinazione (come nella sottoscrizione precedente) per continuare i backup.
Nota
- Lo spostamento di un insieme di credenziali di Servizi di ripristino crittografato tramite cmk tra gruppi di risorse e sottoscrizioni non è attualmente supportato.
- Lo spostamento degli insiemi di credenziali di Servizi di ripristino per Backup di Azure tra aree di Azure non è supportato.
Se sono state configurate macchine virtuali (Azure IaaS, Hyper-V, VMware) o computer fisici per il ripristino di emergenza usando Azure Site Recovery, l'operazione di spostamento verrà bloccata. Per spostare insiemi di credenziali per Azure Site Recovery, vedere questo articolo per informazioni sullo spostamento manuale degli insiemi di credenziali.
Usare il portale di Azure per spostare l’insieme di credenziali di Servizi di ripristino in un gruppo di risorse diverso
Per spostare un insieme di credenziali di Servizi di ripristino e le risorse associate in un gruppo di risorse diverso:
Accedere al portale di Azure.
Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.
Se le informazioni Essentials per l'insieme di credenziali non vengono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.
Nel menu Panoramica dell'insieme di credenziali, selezionare cambia accanto a Gruppo di risorse, per aprire il riquadro Sposta risorse.
Nel riquadro Sposta risorse per l'insieme di credenziali selezionato, è consigliabile spostare le risorse correlate facoltative selezionando la casella di controllo, come illustrato nell'immagine seguente.
Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo.
Dopo aver aggiunto il gruppo di risorse, confermare l'opzione Dichiaro di aver compreso che gli strumenti e gli script associati alle risorse spostate non funzioneranno fino a quando non li aggiornerò con i nuovi ID di risorsa e quindi selezionare OK per completare lo spostamento dell'insieme di credenziali.
Usare il portale di Azure per spostare l’insieme di credenziali di Servizi di ripristino in una sottoscrizione diversa
È possibile spostare un insieme di credenziali di Servizi di ripristino e le risorse associate in una sottoscrizione diversa
Accedere al portale di Azure.
Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.
Se le informazioni Essentials per l'insieme di credenziali non vengono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.
Nel menu Panoramica dell'insieme di credenziali selezionare cambia accanto a Sottoscrizione, per aprire il riquadro Sposta risorse.
Selezionare le risorse da spostare. In questo caso, è consigliabile usare l'opzione Seleziona tutto per selezionare tutte le risorse facoltative elencate.
Dall'elenco a discesa Sottoscrizione selezionare la sottoscrizione di destinazione in cui si vuole spostare l'insieme di credenziali.
Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo.
Selezionare l'opzione Dichiaro di aver compreso che gli strumenti e gli script associati alle risorse spostate non funzioneranno fino a quando non li aggiornerò con i nuovi ID di risorsa per confermare e quindi selezionare OK.
Nota
Il backup tra sottoscrizioni (l'insieme di credenziali di Servizi di ripristino e le macchine virtuali protette si trovano in sottoscrizioni diverse) non è uno scenario supportato. Neppure l'opzione di ridondanza di archiviazione può essere modificata da archiviazione con ridondanza locale ad archiviazione con ridondanza globale e viceversa durante l'operazione di spostamento dell'insieme di credenziali.
Usare il portale di Azure per eseguire il backup delle risorse nell'insieme di credenziali di Servizi di ripristino dopo lo spostamento tra aree
Spostamento risorse di Azure supporta lo spostamento di più risorse tra aree. Durante lo spostamento delle risorse da un'area a un'altra, è possibile assicurarsi che le risorse rimangano protette. Poiché Backup di Azure supporta la protezione di diversi carichi di lavoro, potrebbe essere necessario eseguire alcuni passaggi per continuare a disporre dello stesso livello di protezione nella nuova area.
Per comprendere i passaggi dettagliati per ottenere questo risultato, vedere le sezioni seguenti.
Nota
- Backup di Azure attualmente non supporta lo spostamento dei dati di backup da un insieme di credenziali di Servizi di ripristino a un altro. Per proteggere la risorsa nella nuova area, la risorsa deve essere registrata e sottoposta a backup in un insieme di credenziali nuovo/esistente nella nuova area. Quando si spostano le risorse da un'area a un'altra, i dati di backup negli insiemi di credenziali di Servizi di ripristino esistenti nell'area precedente possono essere conservati/eliminati in base alle esigenze. Se si sceglie di conservare i dati negli insiemi di credenziali precedenti, verranno addebitati i costi di backup di conseguenza.
- Dopo lo spostamento delle risorse, per garantire la sicurezza continua per le risorse di cui è stato eseguito il backup in un insieme di credenziali configurato con l'autorizzazione multiutente, l'insieme di credenziali di destinazione deve essere configurato con MUA usando Resource Guard nell'area di destinazione. Ciò è dovuto al fatto che Resource Guard e l'insieme di credenziali devono trovarsi nella stessa area; di conseguenza, Resource Guard per l'insieme di credenziali di origine non può essere usato per abilitare MUA nell'insieme di credenziali di destinazione.
Eseguire il backup della macchina virtuale di Azure dopo lo spostamento tra aree
Quando si sposta una macchina virtuale (VM) di Azure protetta da un insieme di credenziali di Servizi di ripristino da un'area a un'altra, non è più possibile eseguirne il backup nell'insieme di credenziali precedente. I backup nell'insieme di credenziali precedente potrebbero avere esito negativo e presentare gli errori BCMV2VMNotFound o ResourceNotFound. Per informazioni su come proteggere le macchine virtuali nella nuova area, vedere le sezioni seguenti.
Preparare lo spostamento di macchine virtuali di Azure
Prima di spostare una macchina virtuale, verificare che siano soddisfatti i prerequisiti seguenti:
- Vedere i prerequisiti associati allo spostamento di macchine virtuali e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
- Selezionare la VM nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente e scegliere Interrompi protezione, quindi conserva/elimina dati in base alle esigenze. Quando i dati di backup per una macchina virtuale vengono interrotti in seguito alla scelta conserva dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. In questo modo si garantisce che i dati di backup siano sempre pronti per il ripristino.
Nota
La conservazione dei dati nell'insieme di credenziali precedente comporterà degli addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati tramite l'opzione Elimina dati.
- Assicurarsi che le macchine virtuali siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
- Verificare che le macchine virtuali dispongano dei certificati radice trusted più recenti e di un elenco di revoche di certificati (CRL) aggiornato. A tale scopo, procedere come indicato di seguito:
- Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
- Nelle macchine virtuali Linux, fare riferimento alle indicazioni del distributore per assicurarsi che le macchine dispongano dei certificati e degli elenchi CRL più recenti.
- Consentire la connettività in uscita dalle macchine virtuali:
- Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
- Se si usano le regole del gruppo di sicurezza di rete per controllare la connettività in uscita, creare queste regole del tag di servizio.
Spostare macchine virtuali di Azure
Spostare la macchina virtuale nella nuova area tramite Spostamento risorse di Azure.
Proteggere le macchine virtuali di Azure con Backup di Azure
Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area. Quando è necessario eseguire il ripristino dai backup precedenti, è comunque possibile farlo dall'insieme di credenziali di Servizi di ripristino precedente se si è scelto di conservare i dati di backup.
I passaggi precedenti devono essere utili per assicurarsi che anche il backup delle risorse venga eseguito nella nuova area.
Eseguire il backup di Condivisione file di Azure dopo lo spostamento tra aree
Backup di Azure offre una soluzione di gestione degli snapshot per File di Azure. Ciò significa che non si spostano i dati della condivisione file negli insiemi di credenziali di Servizi di ripristino. Inoltre, poiché gli snapshot non vengono spostati con l'account di archiviazione, tutti i backup (snapshot) saranno effettivamente disponibili solo nell'area esistente e protetti dall'insieme di credenziali esistente. Tuttavia, per spostare gli account di archiviazione insieme alle condivisioni file tra aree o creare nuove condivisioni file nella nuova area, vedere le sezioni seguenti per assicurarsi che siano protette da Backup di Azure.
Preparare lo spostamento di condivisione file di Azure
Prima di spostare l'account di archiviazione, verificare che siano soddisfatti i prerequisiti seguenti:
- Vedere i prerequisiti per spostare l'account di archiviazione.
- Esportare e modificare un modello di spostamento risorse. Per altre informazioni, vedere Preparare l'account di archiviazione per lo spostamento dell'area.
Spostare condivisione file di Azure
Per spostare gli account di archiviazione insieme alle condivisioni file di Azure in esse da un'area a un'altra, vedere Spostare un account di archiviazione di Azure in un'altra area.
Nota
Quando la condivisione file di Azure viene copiata tra diverse aree, gli snapshot associati non vengono spostati con questa. Per spostare i dati degli snapshot nella nuova area, è necessario spostare i singoli file e le directory degli snapshot nell'account di archiviazione nella nuova area usando AzCopy.
Proteggere la condivisione file di Azure con Backup di Azure
Iniziare a proteggere la condivisione file di Azure copiata nel nuovo account di archiviazione in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area.
Dopo aver copiato la condivisione file di Azure nella nuova area, è possibile scegliere di arrestare la protezione e conservare/eliminare gli snapshot (e i punti di ripristino corrispondenti) della condivisione file di Azure originale in base alle esigenze. A tale scopo, selezionare la condivisione file nella scheda elementi di backup del dashboard dell'insieme di credenziali originale. Quando i dati di backup per la condivisione file di Azure vengono interrotti in seguito alla scelta conserva dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio.
Ciò garantisce che gli snapshot siano sempre pronti per il ripristino dall'insieme di credenziali precedente.
Eseguire il backup di SQL Server/SAP HANA nella macchina virtuale di Azure dopo lo spostamento tra aree
Quando si sposta una macchina virtuale che esegue server SQL o SAP HANA in un'altra area, non è più possibile eseguire il backup dei database SQL e SAP HANA in tali macchine virtuali nell'insieme di credenziali dell'area precedente. Per proteggere i server SQL e SAP HANA in esecuzione nella macchina virtuale di Azure nella nuova area, vedere le sezioni seguenti.
Preparare lo spostamento di SQL Server/SAP HANA nella macchina virtuale di Azure
Prima di effettuare lo spostamento in una nuova area SQL Server/SAP HANA in esecuzione in una VM, verificare che siano soddisfatti i prerequisiti seguenti:
- Vedere i prerequisiti associati allo spostamento di macchine virtuali e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
- Selezionare la VM nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente, quindi scegliere i database per i quali è necessario interrompere il backup. Selezionare Interrompi protezione seguito da Conserva/Elimina i dati in base alle esigenze. Quando i dati di backup vengono interrotti in seguito alla scelta conserva dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. In questo modo si garantisce che i dati di backup siano sempre pronti per il ripristino.
Nota
La conservazione dei dati nell'insieme di credenziali precedente comporterà degli addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati tramite l'opzione Elimina dati.
- Assicurarsi che le macchine virtuali da spostare siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
- Verificare che le macchine virtuali dispongano dei certificati radice trusted più recenti e di un elenco di revoche di certificati (CRL) aggiornato. A tale scopo, procedere come indicato di seguito:
- Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
- Nelle macchine virtuali Linux, fare riferimento alle indicazioni del distributore e assicurarsi che le macchine dispongano dei certificati e degli elenchi CRL più recenti.
- Consentire la connettività in uscita dalle macchine virtuali:
- Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
- Se si usano le regole del gruppo di sicurezza di rete per controllare la connettività in uscita, creare queste regole del tag di servizio.
Spostare SQL Server/SAP HANA nella macchina virtuale di Azure
Spostare la macchina virtuale nella nuova area tramite Spostamento risorse di Azure.
Proteggere SQL Server/SAP HANA nella macchina virtuale di Azure usando Backup di Azure
Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo/esistente nella nuova area. Quando è necessario eseguire il ripristino dai backup precedenti, è comunque possibile farlo dall'insieme di credenziali di Servizi di ripristino precedente.
I passaggi precedenti devono essere utili per assicurarsi che anche il backup delle risorse venga eseguito nella nuova area.
Usare PowerShell per spostare l'insieme di credenziali di Servizi di ripristino
Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet Move-AzureRMResource
. Move-AzureRMResource
richiede il nome e il tipo della risorsa. È possibile ottenerli entrambi dal cmdlet Get-AzureRmRecoveryServicesVault
.
$destinationRG = "<destinationResourceGroupName>"
$vault = Get-AzureRmRecoveryServicesVault -Name <vaultname> -ResourceGroupName <vaultRGname>
Move-AzureRmResource -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Per spostare le risorse in una diversa sottoscrizione, includere il parametro -DestinationSubscriptionId
.
Move-AzureRmResource -DestinationSubscriptionId "<destinationSubscriptionID>" -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Dopo avere eseguito i cmdlet precedenti, verrà richiesto di confermare che si vuole spostare le risorse specificate. Digitare Y per confermare. Dopo la convalida, la risorsa viene spostata.
Usare l'interfaccia della riga di comando per spostare l'insieme di credenziali di Servizi di ripristino
Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet seguente:
az resource move --destination-group <destinationResourceGroupName> --ids <VaultResourceID>
Per spostare in una nuova sottoscrizione, inserire il parametro --destination-subscription-id
.
Dopo la migrazione
- Impostare/verificare i controlli di accesso per i gruppi di risorse.
- La funzionalità di creazione di report e monitoraggio di Backup deve essere configurata nuovamente per l'insieme di credenziali dopo il completamento dello spostamento. La configurazione precedente andrà persa durante l'operazione di spostamento.
Spostare una macchina virtuale di Azure in un insieme di credenziali del servizio di ripristino diverso.
Se si vuole spostare una macchina virtuale di Azure con backup abilitato, sono disponibili due opzioni. Dipendono dai requisiti aziendali:
- Non è necessario mantenere i dati di cui è stato eseguito il backup precedente
- È necessario conservare i dati di cui in precedenza è stato eseguito il backup
Non è necessario mantenere i dati di cui è stato eseguito il backup precedente
Per proteggere i carichi di lavoro in un nuovo insieme di credenziali, è necessario eliminare nuovamente la protezione e i dati correnti nell'insieme di credenziali precedente e il backup.
Avviso
L'operazione seguente è distruttiva e non può essere annullata. Tutti i dati di backup e gli elementi di backup associati al server protetto verranno eliminati definitivamente. Procedere con cautela.
Arrestare ed eliminare la protezione corrente nell'insieme di credenziali precedente:
Se si desidera conservare i dati di backup, è possibile mantenere l'eliminazione temporanea e continuare a registrare la macchina virtuale per il backup in un nuovo insieme di credenziali, una volta eliminato temporaneamente l'elemento di backup. Se non si vogliono conservare i dati di backup, disabilitare l'eliminazione temporanea nelle proprietà dell'insieme di credenziali (non consigliato).
Arrestare la protezione ed eliminare i backup dall'insieme di credenziali corrente. Nel menu dashboard dell'insieme di credenziali selezionare Elementi di backup. Gli elementi elencati qui che devono essere spostati nel nuovo insieme di credenziali devono essere rimossi insieme ai dati di backup. Vedere come eliminare gli elementi protetti nel cloud ed eliminare gli elementi protetti in locale.
Se si prevede di spostare AFS (condivisioni file di Azure), i server SQL o i server SAP HANA, sarà necessario annullarne la registrazione. Nel menu del dashboard dell'insieme di credenziali selezionare Infrastruttura di backup. Vedere come annullare la registrazione di SQL Server, annullare la registrazione di un account di archiviazione associato alle condivisioni file di Azure e annullare la registrazione di un'istanza di SAP HANA.
Dopo aver rimosso l'insieme di credenziali precedente, continuare a configurare i backup per il carico di lavoro nel nuovo insieme di credenziali.
È necessario conservare i dati di cui in precedenza è stato eseguito il backup
Se è necessario mantenere i dati protetti correnti nell'insieme di credenziali precedente e continuare la protezione in un nuovo insieme di credenziali, sono disponibili opzioni limitate per alcuni dei carichi di lavoro:
Per MARS, è possibile interrompere la protezione con conservare i dati e registrare l'agente nel nuovo insieme di credenziali.
- Il servizio Backup di Azure continuerà a mantenere tutti i punti di ripristino esistenti dell'insieme di credenziali precedente.
- Sarà necessario pagare per mantenere i punti di ripristino nell'insieme di credenziali precedente.
- Sarà possibile ripristinare i dati di cui è stato eseguito il backup solo per i punti di ripristino non scaduti nell'insieme di credenziali precedente.
- Sarà necessario creare una nuova replica iniziale dei dati nel nuovo insieme di credenziali.
Per una macchina virtuale di Azure, è possibile arrestare la protezione con conservare i dati per la macchina virtuale nell'insieme di credenziali precedente, spostare la macchina virtuale in un altro gruppo di risorse e quindi proteggere la macchina virtuale nel nuovo insieme di credenziali. Vedere linee guida e limitazioni per lo spostamento di una macchina virtuale in un altro gruppo di risorse.
Una macchina virtuale può essere protetta in un solo insieme di credenziali alla volta. Tuttavia, la macchina virtuale nel nuovo gruppo di risorse può essere protetta nel nuovo insieme di credenziali perché è considerata una macchina virtuale diversa.
- Il servizio Backup di Azure manterrà i punti di ripristino di cui è stato eseguito il backup nell'insieme di credenziali precedente.
- Il mantenimento dei punti di ripristino nell'insieme di credenziali precedente è a pagamento (per maggiori dettagli, vedere i Prezzi di Backup di Azure).
- Se necessario, sarà possibile ripristinare la macchina virtuale dall’insieme di credenziali precedente.
- Il primo backup nel nuovo insieme di credenziali della macchina virtuale nella nuova risorsa sarà una replica iniziale.
Passaggi successivi
È possibile spostare molti tipi diversi di risorse tra gruppi di risorse e sottoscrizioni.
Per altre informazioni, vedere Spostare le risorse in un gruppo di risorse o una sottoscrizione nuovi.