Condividi tramite

Spostare macchine virtuali di Azure crittografate tra aree

  • Articolo

Azure Resource Mover consente di spostare le risorse di Azure tra aree di Azure. Questo articolo illustra come spostare macchine virtuali di Azure crittografate in un'area di Azure diversa usando Azure Resource Mover.

Il set di scalabilità di macchine virtuali crittografate può essere descritto come segue:

In questa esercitazione apprenderai a:

  • Spostare le macchine virtuali di Azure crittografate e le relative risorse dipendenti in un'altra area di Azure.

Nota

Le esercitazioni illustrano il percorso più rapido per provare uno scenario e, laddove possibile, prevedono l'uso delle opzioni predefinite.

Accedere ad Azure

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare e accedere al portale di Azure.

Prerequisiti

Prima di iniziare, verificare quanto segue:

Requisito Dettagli
Autorizzazioni per la sottoscrizione Assicurarsi di disporre dell'accesso proprietario alla sottoscrizione che contiene le risorse da spostare.

Perché è necessario l'accesso proprietario? La prima volta che si aggiunge una risorsa per una coppia di origine e di destinazione specifica in una sottoscrizione di Azure, Resource Mover crea un'identità gestita assegnata dal sistema, precedentemente nota come identità del servizio gestito. Questa identità è attendibile dalla sottoscrizione. Prima di poter creare l'identità e assegnargli i ruoli necessari (Collaboratore e Amministratore accesso utenti nella sottoscrizione di origine), l'account usato per aggiungere risorse richiede autorizzazioni di proprietario nella sottoscrizione. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.
Supporto per macchine virtuali Verificare che le macchine virtuali da spostare siano supportate eseguendo le operazioni seguenti:
  • Verificare le macchine virtuali Windows supportate.
  • Verificare le macchine virtuali Linux e le versioni del kernel supportate.
  • Controllare le impostazioni di calcolo, archiviazione e rete supportate.
    		•
    Requisiti dell'insieme di credenziali delle chiavi (Crittografia dischi di Azure) Se è Crittografia dischi di Azure abilitata per le macchine virtuali, è necessario un insieme di credenziali delle chiavi nelle aree di origine e di destinazione. Per altre informazioni, vedere Creare un insieme di credenziali delle chiavi.

    Per gli insiemi di credenziali delle chiavi nelle aree di origine e di destinazione, sono necessarie queste autorizzazioni:
  • Autorizzazioni chiave: operazioni di gestione delle chiavi (Get, List) e operazioni di crittografia (decrittografia e crittografia)
  • Autorizzazioni segrete: operazioni di gestione dei segreti (Get, List e Set)
  • Certificato (elenco e recupero)
    		•
    Set di crittografia dischi (crittografia lato server con cmk) Se si usano macchine virtuali con crittografia lato server che usa una chiave gestita dal cliente, è necessario un set di crittografia del disco nelle aree di origine e di destinazione. Per altre informazioni, vedere Creare un set di crittografia del disco.

    Lo spostamento tra aree non è supportato se si usa un modulo di protezione hardware (chiavi HSM) per le chiavi gestite dal cliente.
    Quota dell'area di destinazione La quota disponibile nella sottoscrizione deve essere sufficiente per creare le risorse che si intende spostare nell'area di destinazione. Se non ha una quota, richiedere limiti aggiuntivi.
    Addebiti per l'area di destinazione Verificare i prezzi e gli addebiti associati all'area di destinazione in cui si stanno spostando le macchine virtuali. Usare il calcolatore prezzi.

    Verificare le autorizzazioni nell'insieme di credenziali delle chiavi

    Se si spostano macchine virtuali con Crittografia dischi di Azure abilitato, è necessario eseguire uno script. Gli utenti che eseguono lo script devono disporre delle autorizzazioni appropriate per farlo. Per comprendere quali autorizzazioni sono necessarie, vedere la tabella seguente. Sono disponibili le opzioni per modificare le autorizzazioni passando all'insieme di credenziali delle chiavi nel portale di Azure. In Impostazioni selezionare Criteri di accesso.

    Screenshot del collegamento

    Se le autorizzazioni utente non sono disponibili, selezionare Aggiungi criteri di accesso e specificare le autorizzazioni. Se l'account utente dispone già di un criterio, in Utente impostare le autorizzazioni in base alle istruzioni riportate nella tabella seguente.

    Le macchine virtuali di Azure che usano Crittografia dischi di Azure possono avere le varianti seguenti e sarà necessario impostare le autorizzazioni in base ai relativi componenti. Le macchine virtuali potrebbero avere:

    Insieme di credenziali delle chiavi dell'area di origine

    Per gli utenti che eseguono lo script, impostare le autorizzazioni per i componenti seguenti:

    Componente Autorizzazioni necessarie
    Segreti GET

    Selezionare Autorizzazioni segrete>Operazioni di gestione dei segreti e selezionare Recupera.
    Chiavi

    Se si usa una chiave di crittografia della chiave di crittografia della chiave, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.    		 Ottenere e decrittografare

    Selezionare Key Permissions Key Management Operations (Operazioni di gestione delle chiavi delle autorizzazioni>chiave) e selezionare Get (Ottieni). In Operazioni di crittografia selezionare Decrittografa.

    Insieme di credenziali delle chiavi dell'area di destinazione

    Nella scheda Criteri di accesso verificare che Crittografia dischi di Azure per la crittografia del volume sia abilitata.

    Per gli utenti che eseguono lo script, impostare le autorizzazioni per i componenti seguenti:

    Componente Autorizzazioni necessarie
    Segreti Set

    Selezionare Autorizzazioni segrete>Operazioni di gestione dei segreti e selezionare Imposta.
    Chiavi

    Se si usa una chiave di crittografia della chiave di crittografia della chiave, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.    		 Ottenere, creare e crittografare

    Selezionare Key Permissions Key Management Operations (Operazioni di gestione delle chiavi delle autorizzazioni>chiave) e selezionare Get and Create (Ottieni e crea). In Operazioni di crittografia selezionare Crittografa.

    Oltre alle autorizzazioni precedenti, nell'insieme di credenziali delle chiavi di destinazione è necessario aggiungere autorizzazioni per l'identità del sistema gestita usata da Resource Mover per accedere alle risorse di Azure per conto dell'utente.

    Aggiungere autorizzazioni all'identità del sistema gestita

    Per aggiungere autorizzazioni per l'identità del sistema gestito, seguire questa procedura:

    1. In Impostazioni selezionare Aggiungi criteri di accesso.

    2. In Seleziona entità cercare l'identità del servizio gestito. Il nome MSI è movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Per l'identità del servizio gestito, aggiungere le autorizzazioni seguenti:

      Componente Autorizzazioni necessarie
      Segreti Ottenere ed elencare

      Selezionare Secret permissions Secret Management Operations (Operazioni di gestione dei segreti)>e selezionare Get and List (Ottieni ed elenco).
      Chiavi

      Se si usa una chiave di crittografia della chiave di crittografia della chiave, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.      		 Ottenere ed elencare

      Selezionare Key Permissions Key Management Operations (Operazioni di gestione delle chiavi delle autorizzazioni>chiave) e selezionare Get and List (Ottieni ed elenco).

    Copiare le chiavi nell'insieme di credenziali delle chiavi di destinazione

    Copiare i segreti e le chiavi di crittografia dall'insieme di credenziali delle chiavi di origine all'insieme di credenziali delle chiavi di destinazione usando lo script fornito.

    Per copiare le chiavi dall'insieme di credenziali delle chiavi di origine all'insieme di credenziali delle chiavi di destinazione, seguire questa procedura:

    • Eseguire lo script in PowerShell. È consigliabile usare la versione più recente di PowerShell.
    • In particolare, lo script richiede questi moduli:
      • Az.Compute
      • Az.KeyVault (versione 3.0.0)
      • Az.Accounts (versione 2.2.3)

    Per eseguire lo script, eseguire queste operazioni:

    1. Aprire lo script in GitHub.

    2. Copiare il contenuto dello script in un file locale e denominarlo Copy-keys.ps1.

    3. Eseguire lo script.

    4. Accedere al portale di Azure.

    5. Nella finestra Input utente selezionare la sottoscrizione di origine, il gruppo di risorse, la macchina virtuale di origine, il percorso di destinazione e gli insiemi di credenziali di destinazione per la crittografia del disco e della chiave.

      Screenshot della finestra

    6. Usare il pulsante Seleziona per eseguire lo script.

      Al termine dell'esecuzione dello script, viene visualizzato un messaggio che informa che CopyKeys è riuscito.

    Preparare le macchine virtuali

    Per preparare le macchine virtuali per lo spostamento, seguire questa procedura:

    1. Dopo aver controllato per assicurarsi che le macchine virtuali soddisfino i prerequisiti, assicurarsi che le macchine virtuali da spostare siano attivate. Tutti i dischi delle macchine virtuali da rendere disponibili nell'area di destinazione devono essere collegati e inizializzati nella macchina virtuale.
    2. Per assicurarsi che le macchine virtuali abbiano i certificati radice attendibili più recenti e un elenco di revoche di certificati (CRL) aggiornato, eseguire le operazioni seguenti:
      • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
      • Nelle macchine virtuali Linux seguire le indicazioni sul server di distribuzione in modo che i computer abbiano i certificati più recenti e CRL.
    3. Per consentire la connettività in uscita dalle macchine virtuali, eseguire una delle operazioni seguenti:

    Selezionare le risorse da spostare

    È possibile selezionare qualsiasi tipo di risorsa supportato in uno dei gruppi di risorse nell'area di origine selezionata. È possibile spostare le risorse in un'area di destinazione che si trova nella stessa sottoscrizione dell'area di origine. Se si vuole modificare la sottoscrizione, è possibile farlo dopo lo spostamento delle risorse.

    Per selezionare le risorse, eseguire le operazioni seguenti:

    1. Nella portale di Azure cercare lo spostamento delle risorse. In Servizi selezionare Azure Resource Mover.

      Screenshot dei risultati della ricerca per Azure Resource Mover nella portale di Azure.

    2. Nel riquadro Panoramica di Spostamento risorse di Azure selezionare Sposta tra aree.

      Screenshot del pulsante

    3. Nella scheda Sposta risorse>Origine e destinazione eseguire le operazioni seguenti:

      1. Selezionare la sottoscrizione e l'area di origine.
      2. In Destinazione selezionare l'area in cui spostare le macchine virtuali, selezionare Avanti.

      Pagina per selezionare l'origine e l'area di destinazione.

    4. Nella scheda Risorse da spostare selezionare l'opzione Seleziona risorse per aprire una nuova scheda con l'elenco delle macchine virtuali disponibili.

      Screenshot del riquadro

    5. Nella scheda Seleziona risorse selezionare le macchine virtuali da spostare. Come indicato nella sezione Selezionare le risorse da spostare , è possibile aggiungere solo le risorse supportate per uno spostamento.

      Screenshot del riquadro

      Nota

      In questa esercitazione si seleziona una macchina virtuale che usa la crittografia lato server (rayne-vm) con una chiave gestita dal cliente e una macchina virtuale con crittografia del disco abilitata (rayne-vm-ade).

    6. Selezionare Fatto.

    7. Selezionare la scheda Risorse da spostare e selezionare Avanti.

    8. Selezionare la scheda Rivedi e controllare le impostazioni di origine e destinazione.

      Screenshot del riquadro per esaminare le impostazioni di origine e destinazione.

    9. Selezionare Continua per iniziare ad aggiungere le risorse.

    10. Selezionare l'icona delle notifiche per tenere traccia dello stato di avanzamento. Al termine del processo, nel riquadro Notifiche selezionare Aggiunte risorse per lo spostamento.

      Screenshot del riquadro

    11. Dopo aver selezionato la notifica, esaminare le risorse nella pagina Tra aree .

      Screenshot delle risorse aggiunte con lo stato

    Nota

    • Le risorse aggiunte vengono inserite in uno stato Di preparazione in sospeso .
    • Il gruppo di risorse per le macchine virtuali viene aggiunto automaticamente.
    • Se si modificano le voci di configurazione destinazione per usare una risorsa già esistente nell'area di destinazione, lo stato della risorsa è impostato su Commit in sospeso, perché non è necessario avviare uno spostamento per tale risorsa.
    • Se si vuole rimuovere una risorsa aggiunta, il metodo che verrà usato dipende dalla posizione in cui ci si trova nel processo di spostamento. Per altre informazioni, vedere Gestire raccolte di spostamento e gruppi di risorse.

    Risolvere gli errori relativi alle risorse di Azure non trovate

    Per risolvere le dipendenze prima dello spostamento, seguire questa procedura:

    1. Le dipendenze vengono convalidate in background dopo averle aggiunte. Se viene visualizzato un pulsante Convalida dipendenze , selezionarlo per attivare la convalida manuale.

      Screenshot che mostra il pulsante

      Viene avviato il processo di convalida.

    2. Se vengono trovate dipendenze, selezionare Aggiungi dipendenze.

      Screenshot del pulsante

    3. Nel riquadro Aggiungi dipendenze mantenere l'opzione predefinita Mostra tutte le dipendenze.

      • Mostra tutte le dipendenze scorre tutte le dipendenze dirette e indirette per una risorsa. Ad esempio, per una macchina virtuale, viene visualizzata la scheda di interfaccia di rete, la rete virtuale, i gruppi di sicurezza di rete (NSG) e così via.
      • Mostra le dipendenze di primo livello mostra solo dipendenze dirette. Ad esempio, per una macchina virtuale viene visualizzata la scheda di interfaccia di rete, ma non la rete virtuale.

    4. Selezionare le risorse dipendenti da aggiungere e selezionare Aggiungi dipendenze.

      Screenshot dell'elenco delle dipendenze e del pulsante

    5. Le dipendenze vengono convalidate automaticamente in background dopo averle aggiunte. Se viene visualizzata un'opzione Convalida dipendenze , selezionarla per attivare la convalida manuale.

      Screenshot del riquadro per la riconvalida delle dipendenze.

    Assegnare le risorse di destinazione

    È necessario assegnare manualmente le risorse di destinazione associate alla crittografia.

    Se si sta spostando una macchina virtuale con Crittografia dischi di Azure abilitata, l'insieme di credenziali delle chiavi nell'area di destinazione viene visualizzato come dipendenza. Se si sta spostando una macchina virtuale con crittografia lato server che usa IK, la crittografia del disco impostata nell'area di destinazione viene visualizzata come dipendenza.

    Poiché questa esercitazione illustra lo spostamento di una macchina virtuale con Crittografia dischi di Azure abilitata e che usa una chiave gestita dal cliente, sia l'insieme di credenziali delle chiavi di destinazione che il set di crittografia del disco vengono visualizzati come dipendenze.

    Per assegnare manualmente le risorse di destinazione, eseguire le operazioni seguenti:

    1. Nella voce del set di crittografia del disco selezionare Risorsa non assegnata nella colonna Configurazione destinazione .

    2. In Impostazioni di configurazione selezionare il set di crittografia del disco di destinazione e selezionare Salva modifiche.

    3. È possibile salvare e convalidare le dipendenze per la risorsa che si sta modificando oppure salvare solo le modifiche e convalidare tutti gli elementi modificati contemporaneamente.

      Screenshot del riquadro

      Dopo aver aggiunto la risorsa di destinazione, lo stato del set di crittografia del disco viene modificato in Commit spostamento in sospeso.

    4. Nella voce dell'insieme di credenziali delle chiavi selezionare Risorsa non assegnata nella colonna Configurazione destinazione. In Impostazioni di configurazione selezionare l'insieme di credenziali delle chiavi di destinazione e salvare le modifiche.

    In questa fase, il set di crittografia del disco e gli stati dell'insieme di credenziali delle chiavi vengono modificati in Commit spostamento in sospeso.

    Screenshot del riquadro per la preparazione di altre risorse.

    Per eseguire il commit e completare il processo di spostamento per le risorse di crittografia, eseguire le operazioni seguenti:

    1. In Tra aree selezionare la risorsa (set di crittografia dischi o insieme di credenziali delle chiavi) e selezionare Commit move (Esegui spostamento).
    2. In Sposta risorse selezionare Commit.

    Nota

    Dopo aver eseguito il commit dello spostamento, lo stato della risorsa cambia in Elimina origine in sospeso.

    Preparare le risorse da spostare

    Ora che le risorse di crittografia e il gruppo di risorse di origine vengono spostate, è possibile prepararsi a spostare altre risorse il cui stato corrente è Preparazione in sospeso.

    1. Nel riquadro Tra aree convalidare lo spostamento e risolvere eventuali problemi.

    2. Se si desidera modificare le impostazioni di destinazione prima di iniziare lo spostamento, selezionare il collegamento nella colonna Configurazione destinazione per la risorsa e modificare le impostazioni. Se si modificano le impostazioni della macchina virtuale di destinazione, le dimensioni della macchina virtuale di destinazione non devono essere inferiori a quelle della macchina virtuale di origine.

    3. Per le risorse con stato Prepara in sospeso da spostare, selezionare Prepara.

    4. Nel riquadro Preparare le risorse selezionare Prepara.

      • Durante la preparazione, l'agente di mobilità di Azure Site Recovery viene installato nelle macchine virtuali per replicarli.
      • I dati della macchina virtuale vengono replicati periodicamente nell'area di destinazione. Tale operazione non ha effetto sulla macchina virtuale di origine.
      • Spostamento risorse genera modelli di Resource Manager per le altre risorse di origine.

    Nota

    Dopo aver preparato le risorse, lo stato cambia in Avvia spostamento in sospeso. Screenshot del riquadro

    Avviare lo spostamento

    Dopo aver preparato le risorse preparate, è possibile avviare lo spostamento.

    1. Nel riquadro Tra aree selezionare le risorse il cui stato è Avvia spostamento in sospeso e selezionare Avvia spostamento.

    2. Nel riquadro Sposta risorse selezionare Avvia spostamento.

    3. Tenere traccia dello stato di avanzamento dello spostamento nella barra delle notifiche.

      • Nel caso delle macchine virtuali vengono create macchine virtuali di replica nell'area di destinazione. La macchina virtuale di origine viene arrestata e rimane inattiva per qualche minuto.
      • Resource Mover ricrea altre risorse usando i modelli di Resource Manager preparati. Questa operazione non comporta in genere tempi di inattività.
      • Dopo aver spostato le risorse, lo stato cambia in Commit spostamento in sospeso.

    Rimuovere o eseguire il commit dello spostamento

    Dopo lo spostamento iniziale, è possibile decidere se eseguire il commit dello spostamento o eliminarlo.

    • Ignora: è possibile rimuovere uno spostamento se lo si sta testando e non si vuole effettivamente spostare la risorsa di origine. L'eliminazione dello spostamento restituisce la risorsa per avviare lo spostamento in sospeso .
    • Commit: il commit completa lo spostamento nell'area di destinazione. Dopo aver eseguito il commit di una risorsa di origine, lo stato cambia in Elimina origine in sospeso ed è possibile decidere se eliminarlo.

    Rimuovere lo spostamento

    Per annullare lo spostamento, eseguire le operazioni seguenti:

    1. Nel riquadro Tra aree selezionare le risorse il cui stato è Commit spostamento in sospeso e selezionare Ignora spostamento.
    2. Nel riquadro Rimuovi spostamento selezionare Ignora.
    3. Tenere traccia dello stato di avanzamento dello spostamento nella barra delle notifiche.

    Nota

    Dopo aver rimosso le risorse, lo stato della macchina virtuale cambia in Avviare lo spostamento in sospeso.

    Eseguire il commit dello spostamento

    Per completare il processo di spostamento, eseguire il commit dello spostamento eseguendo le operazioni seguenti:

    1. Nel riquadro Tra aree selezionare le risorse il cui stato è Commit spostamento in sospeso e selezionare Commit move (Sposta commit).

    2. Nel riquadro Risorse commit selezionare Commit.

      Screenshot di un elenco di risorse per il commit delle risorse per finalizzare lo spostamento.

    3. Tenere traccia dello stato di avanzamento del commit nella barra delle notifiche.

    Nota

    • Dopo aver eseguito il commit dello spostamento, le macchine virtuali interrompono la replica. La macchina virtuale di origine non è interessata dal commit.
    • Il processo di commit non influisce sulle risorse di rete di origine.
    • Dopo aver eseguito il commit dello spostamento, lo stato della risorsa cambia in Elimina origine in sospeso.

    Configurare le impostazioni dopo lo spostamento

    È possibile configurare le impostazioni seguenti dopo il processo di spostamento:

    • Il servizio mobility non viene disinstallato automaticamente dalle macchine virtuali. Disinstallarlo manualmente oppure lasciarlo installato se si prevede di spostare nuovamente il server.
    • Modificare le regole di controllo degli accessi in base al ruolo di Azure dopo lo spostamento.

    Eliminare le risorse di origine dopo il commit

    Facoltativamente, dopo lo spostamento è possibile eliminare le risorse nell'area di origine.

    1. Nel riquadro Tra aree selezionare ogni risorsa di origine da eliminare e selezionare Elimina origine.
    2. In Elimina origine esaminare gli elementi che si intende eliminare e, in Conferma eliminazione, digitare .

      Attenzione

      L'azione è irreversibile, quindi controllare attentamente!

    3. Dopo aver digitato , selezionare Elimina origine.

    Nota

    Nel portale di spostamento risorse non è possibile eliminare gruppi di risorse, insiemi di credenziali delle chiavi o istanze di SQL Server. È necessario eliminarli singolarmente dalla pagina delle proprietà per ogni risorsa.

    Eliminare le risorse create per lo spostamento

    Dopo lo spostamento, è possibile eliminare manualmente la raccolta di spostamento e le risorse di Site Recovery create durante questo processo.

    • La raccolta di spostamento è nascosta per impostazione predefinita. Per vederlo, è necessario attivare le risorse nascoste.
    • L'archiviazione della cache ha un blocco che deve essere eliminato prima di poterlo eliminare.

    Per eliminare le risorse, eseguire le operazioni seguenti:

    1. Individuare le risorse nel gruppo RegionMoveRG-<sourceregion>-<target-region>di risorse .

    2. Verificare che tutte le macchine virtuali e altre risorse di origine nell'area di origine siano state spostate o eliminate. Questo passaggio garantisce che non vengano usate risorse in sospeso.

    3. Eliminare le risorse seguenti:

      • Spostare il nome della raccolta: movecollection-<sourceregion>-<target-region>
      • Nome dell'account di archiviazione della cache: resmovecache<guid>
      • Nome insieme di credenziali: ResourceMove-<sourceregion>-<target-region>-GUID

    Passaggi successivi

    Altre informazioni sullo spostamento di database SQL di Azure e pool elastici in un'altra area.