Delen via

Versleutelde Azure-VM's verplaatsen tussen regio's

  • Artikel

Met Azure Resource Mover kunt u Azure-resources verplaatsen tussen Azure-regio's. In dit artikel wordt beschreven hoe u versleutelde virtuele Azure-machines (VM's) verplaatst naar een andere Azure-regio met behulp van Azure Resource Mover.

Versleutelde VMS kan worden beschreven als:

In deze zelfstudie leert u het volgende:

  • Verplaats versleutelde Azure-VM's en hun afhankelijke resources naar een andere Azure-regio.

Notitie

Zelfstudies laten de snelste manier zien om een scenario uit te proberen, en gebruiken waar mogelijk de standaardopties.

Aanmelden bij Azure

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint en meldt u zich aan bij Azure Portal.

Vereisten

Controleer voordat u begint het volgende:

Vereiste DETAILS
Abonnementsmachtigingen Zorg ervoor dat u eigenaarstoegang hebt voor het abonnement dat de resources bevat die u wilt verplaatsen.

Waarom heb ik eigenaarstoegang nodig? De eerste keer dat u een resource toevoegt voor een specifiek bron- en doelpaar in een Azure-abonnement, maakt Resource Mover een door het systeem toegewezen beheerde identiteit, voorheen bekend als managed service identity (MSI). Deze identiteit wordt vertrouwd door het abonnement. Voordat u de identiteit kunt maken en deze kunt toewijzen aan de vereiste rollen (Inzender en Beheerder voor gebruikerstoegang in het bronabonnement), heeft het account dat u gebruikt om resources toe te voegen eigenaarsmachtigingen nodig in het abonnement. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
VM-ondersteuning Zorg ervoor dat de VM's die u wilt verplaatsen, als volgt worden ondersteund:
  • Controleer ondersteunde virtuele Windows-machines.
  • Controleer ondersteunde virtuele Linux-machines en versies van de kernel.
  • Controleer de ondersteunde compute-, opslag- en netwerkinstellingen.
    		•
    Vereisten voor Key Vault (Azure Disk Encryption) Als Azure Disk Encryption is ingeschakeld voor VM's, hebt u een sleutelkluis in de bron- en doelregio's nodig. Zie Een sleutelkluis maken voor meer informatie.

    Voor de sleutelkluizen in de bron- en doelregio's hebt u deze machtigingen nodig:
  • Sleutelmachtigingen: Bewerkingen voor sleutelbeheer (ophalen, lijst) en cryptografische bewerkingen (ontsleutelen en versleutelen)
  • Geheime machtigingen: Geheime beheerbewerkingen (ophalen, weergeven en instellen)
  • Certificaat (lijst en ophalen)
    		•
    Schijfversleutelingsset (versleuteling aan de serverzijde met CMK) Als u VM's gebruikt met versleuteling aan de serverzijde die gebruikmaakt van een CMK, moet u schijfversleuteling instellen in de bron- en doelregio's. Zie Een schijfversleutelingsset maken voor meer informatie.

    Verplaatsen tussen regio's wordt niet ondersteund als u een HSM-sleutel (Hardware Security Module) gebruikt voor door de klant beheerde sleutels.
    Quotum voor doelregio Het abonnement moet voldoende quota hebben om de resources die u verplaatst in de doelregio te maken. Als er geen quotum is, vraagt u aanvullende limieten aan.
    Kosten voor doelregio's Controleer de prijzen en kosten die zijn gekoppeld aan de doelregio waarnaar u de VM's verplaatst. Gebruik de prijscalculator.

    Machtigingen in de sleutelkluis controleren

    Als u VM's verplaatst waarvoor Azure Disk Encryption is ingeschakeld, moet u een script uitvoeren. De gebruikers die het script uitvoeren, moeten hiervoor de juiste machtigingen hebben. Raadpleeg de volgende tabel om te begrijpen welke machtigingen vereist zijn. U vindt de opties voor het wijzigen van de machtigingen door naar de sleutelkluis in Azure Portal te gaan. Selecteer Toegangsbeleid onder Instellingen.

    Schermopname van de koppeling Toegangsbeleid in het deelvenster Instellingen van de sleutelkluis.

    Als de gebruikersmachtigingen niet aanwezig zijn, selecteert u Toegangsbeleid toevoegen en geeft u de machtigingen op. Als het gebruikersaccount al een beleid heeft, stelt u onder Gebruiker de machtigingen in volgens de instructies in de volgende tabel.

    Azure-VM's die gebruikmaken van Azure Disk Encryption kunnen de volgende variaties hebben en u moet de machtigingen instellen op basis van hun relevante onderdelen. De VM's kunnen het volgende hebben:

    Sleutelkluis van bronregio

    Voor gebruikers die het script uitvoeren, stelt u machtigingen in voor de volgende onderdelen:

    Onderdeel Benodigde machtigingen
    Geheimen Get

    Selecteer Geheime machtigingen voor Geheime beheerbewerkingen> en selecteer Ophalen.
    Sleutels

    Als u een KEK gebruikt, hebt u deze machtigingen nodig naast de machtigingen voor geheimen.    		 Ophalen en ontsleutelen

    Selecteer Sleutelmachtigingen Sleutelbeheerbewerkingen> en selecteer Ophalen. Selecteer Ontsleutelen in cryptografische bewerkingen.

    Sleutelkluis voor doelregio

    Controleer op het tabblad Toegangsbeleid of Azure Disk Encryption voor volumeversleuteling is ingeschakeld.

    Voor gebruikers die het script uitvoeren, stelt u machtigingen in voor de volgende onderdelen:

    Onderdeel Benodigde machtigingen
    Geheimen Instellen

    Selecteer Secret permissions>Secret Management Operations en selecteer Set.
    Sleutels

    Als u een KEK gebruikt, hebt u deze machtigingen nodig naast de machtigingen voor geheimen.    		 Ophalen, maken en versleutelen

    Selecteer Sleutelmachtigingen sleutelbeheerbewerkingen> en selecteer Ophalen en maken. Selecteer Versleutelen in cryptografische bewerkingen.

    Naast de voorgaande machtigingen moet u in de doelsleutelkluis machtigingen toevoegen voor de beheerde systeemidentiteit die resource Mover gebruikt om namens u toegang te krijgen tot de Azure-resources.

    Machtigingen toevoegen aan Managed System Identity

    Voer de volgende stappen uit om machtigingen voor de Managed System Identity (MSI) toe te voegen:

    1. Selecteer Onder Instellingen de optie Toegangsbeleid toevoegen.

    2. Zoek in Select Principal naar de MSI. De MSI-naam is movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Voeg voor de MSI de volgende machtigingen toe:

      Onderdeel Benodigde machtigingen
      Geheimen Ophalen en weergeven

      Selecteer Secret permissions>Secret Management Operations en selecteer Get and List.
      Sleutels

      Als u een KEK gebruikt, hebt u deze machtigingen nodig naast de machtigingen voor geheimen.      		 Ophalen en weergeven

      Selecteer Sleutelmachtigingen sleutelbeheerbewerkingen> en selecteer Ophalen en lijst.

    De sleutels kopiëren naar de doelsleutelkluis

    Kopieer de versleutelingsgeheimen en sleutels van de bronsleutelkluis naar de doelsleutelkluis met behulp van het opgegeven script.

    Voer de volgende stappen uit om de sleutels van de bronsleutelkluis naar de doelsleutelkluis te kopiëren:

    • Voer het script uit in PowerShell. U wordt aangeraden de nieuwste PowerShell-versie te gebruiken.
    • Voor het script zijn de volgende modules vereist:
      • Az.Compute
      • Az.KeyVault (versie 3.0.0)
      • Az.Accounts (versie 2.2.3)

    Ga als volgt te werk om het script uit te voeren:

    1. Open het script in GitHub.

    2. Kopieer de inhoud van het script naar een lokaal bestand en geef het de naam Copy-keys.ps1.

    3. Voer het script uit.

    4. Meld u aan bij het Azure-portaal.

    5. Selecteer in het venster Gebruikersinvoer het bronabonnement, de resourcegroep, de bron-VM, de doellocatie en de doelkluizen voor schijf- en sleutelversleuteling.

      Schermopname van het venster Gebruikersinvoer voor het invoeren van de scriptwaarden.

    6. Gebruik de knop Selecteren om het script uit te voeren.

      Wanneer het script is uitgevoerd, ontvangt u een melding dat CopyKeys is geslaagd.

    VM's voorbereiden

    Volg deze stappen om VM's voor te bereiden voor de verplaatsing:

    1. Nadat u hebt gecontroleerd of de VM's aan de vereisten voldoen, moet u ervoor zorgen dat de VM's die u wilt verplaatsen, zijn ingeschakeld. Alle VM-schijven die u beschikbaar wilt maken in de doelregio, moeten worden gekoppeld en geïnitialiseerd in de VIRTUELE machine.
    2. Ga als volgt te werk om ervoor te zorgen dat de VM's beschikken over de meest recente vertrouwde basiscertificaten en een bijgewerkte certificaatintrekkingslijst (CRL):
      • Installeert u de meest recente Windows-updates op virtuele Windows-machines.
      • Volg op Linux-VM's de richtlijnen voor de distributeur zodat de machines over de meest recente certificaten en CRL beschikken.
    3. Ga op een van de volgende manieren te werk om uitgaande connectiviteit vanaf de VM's toe te staan:
      • Als u een op URL gebaseerde firewallproxy gebruikt om uitgaande connectiviteit te beheren, staat u toegang tot de URL's toe.
      • Als u regels voor netwerk beveiligingsgroepen (NSG) gebruikt om de uitgaande connectiviteit te beheren, maakt u deze servicetagregels.

    Selecteer de resources die u wilt verplaatsen

    U kunt elk ondersteund resourcetype selecteren in een van de resourcegroepen in de bronregio die u selecteert. U kunt resources verplaatsen naar een doelregio die zich in hetzelfde abonnement bevindt als de bronregio. Als u het abonnement wilt wijzigen, kunt u dit doen nadat de resources zijn verplaatst.

    Ga als volgt te werk om de resources te selecteren:

    1. Zoek in Azure Portal naar resource mover. Selecteer onder Services de optie Azure Resource Mover.

      Schermopname van zoekresultaten voor Azure Resource Mover in Azure Portal.

    2. Selecteer In het deelvenster Overzicht van Azure Resource Mover de optie Verplaatsen tussen regio's.

      Schermopname van de knop Verplaatsen tussen regio's voor het toevoegen van resources om naar een andere regio te gaan.

    3. Ga als volgt te werk op het tabblad Resources>bron en doel verplaatsen:

      1. Selecteer het bronabonnement en de bronregio.
      2. Selecteer onder Doel de regio waar u de VM's wilt verplaatsen en selecteer Volgende.

      Pagina om bron- en doelregio te selecteren..

    4. Selecteer op het tabblad Resources die u wilt verplaatsen de optie Resources selecteren om een nieuw tabblad te openen met de lijst met beschikbare VM's.

      Schermopname van het deelvenster Resources verplaatsen en de knop Resources selecteren.].

    5. Selecteer op het tabblad Resources selecteren de VM's die u wilt verplaatsen. Zoals vermeld in de sectie De resources selecteren die u wilt verplaatsen , kunt u alleen resources toevoegen die worden ondersteund voor een verplaatsing.

      Schermopname van het deelvenster Resources selecteren voor het selecteren van VM's die u wilt verplaatsen.

      Notitie

      In deze zelfstudie selecteert u een VIRTUELE machine die gebruikmaakt van versleuteling aan de serverzijde (rayne-vm) met een door de klant beheerde sleutel en een VIRTUELE machine waarvoor schijfversleuteling is ingeschakeld (rayne-vm-ade).

    6. Selecteer Gereed.

    7. Selecteer het tabblad Resources om te verplaatsen en selecteer Volgende.

    8. Selecteer het tabblad Controleren en controleer de bron- en doelinstellingen.

      Schermopname van het deelvenster voor het controleren van de bron- en doelinstellingen.

    9. Selecteer Doorgaan om de resources toe te voegen.

    10. Selecteer het meldingenpictogram om de voortgang bij te houden. Nadat het proces is voltooid, selecteert u In het deelvenster Meldingen toegevoegde resources voor verplaatsing.

      Schermopname van het deelvenster Meldingen om te bevestigen dat resources zijn toegevoegd.

    11. Nadat u de melding hebt geselecteerd, controleert u de resources op de pagina Tussen regio's .

      Schermopname van toegevoegde resources met de status Voorbereiden in behandeling.

    Notitie

    • De resources die u toevoegt, worden in de status Voorbereiden in behandeling geplaatst.
    • De resourcegroep voor de VM's wordt automatisch toegevoegd.
    • Als u de doelconfiguratievermeldingen wijzigt om een resource te gebruiken die al bestaat in de doelregio, wordt de resourcestatus ingesteld op Doorvoer in behandeling, omdat u er geen verplaatsing voor hoeft te starten.
    • Als u een resource wilt verwijderen die is toegevoegd, is de methode die u gebruikt, afhankelijk van waar u zich in het verplaatsingsproces bevindt. Zie Verplaatsingsverzamelingen en resourcegroepen beheren voor meer informatie.

    Afhankelijkheden oplossen

    Volg deze stappen om afhankelijkheden op te lossen vóór de verplaatsing:

    1. Afhankelijkheden worden op de achtergrond gevalideerd nadat u ze hebt toegevoegd. Als u een knop Afhankelijkheden valideren ziet, selecteert u deze om de handmatige validatie te activeren.

      Schermopname van de knop Afhankelijkheden valideren.

      Het validatieproces wordt gestart.

    2. Als afhankelijkheden worden gevonden, selecteert u Afhankelijkheden toevoegen.

      Schermopname van de knop 'Afhankelijkheden toevoegen'.

    3. Behoud in het deelvenster Afhankelijkheden toevoegen de standaardoptie Alle afhankelijkheden weergeven.

      • Alle afhankelijkheden worden herhaald door alle directe en indirecte afhankelijkheden voor een resource. Voor een VIRTUELE machine wordt bijvoorbeeld de NIC, het virtuele netwerk, de netwerkbeveiligingsgroepen (NSG's) weergegeven, enzovoort.
      • Afhankelijkheden op het eerste niveau weergeven, worden alleen directe afhankelijkheden weergegeven. Voor een virtuele machine wordt bijvoorbeeld de NIC weergegeven, maar niet het virtuele netwerk.

    4. Selecteer de afhankelijke resources die u wilt toevoegen en selecteer Afhankelijkheden toevoegen.

      Schermopname van de lijst met afhankelijkheden en de knop 'Afhankelijkheden toevoegen'.

    5. Afhankelijkheden worden automatisch op de achtergrond gevalideerd nadat u ze hebt toegevoegd. Als u de optie Afhankelijkheden valideren ziet, selecteert u deze om de handmatige validatie te activeren.

      Schermopname van het deelvenster voor het opnieuwvalideren van de afhankelijkheden.

    Doelresources toewijzen

    U moet doelresources die zijn gekoppeld aan versleuteling handmatig toewijzen.

    Als u een virtuele machine verplaatst waarvoor Azure Disk Encryption is ingeschakeld, wordt de sleutelkluis in uw doelregio weergegeven als een afhankelijkheid. Als u een virtuele machine verplaatst met versleuteling aan de serverzijde die gebruikmaakt van CMK's, wordt de schijfversleutelingsset in de doelregio weergegeven als een afhankelijkheid.

    Omdat deze zelfstudie laat zien hoe u een virtuele machine verplaatst waarvoor Azure Disk Encryption is ingeschakeld en waarvoor een CMK wordt gebruikt, worden zowel de doelsleutelkluis als de schijfversleutelingsset weergegeven als afhankelijkheden.

    Ga als volgt te werk om de doelresources handmatig toe te wijzen:

    1. Selecteer in de vermelding schijfversleutelingsset resource die niet is toegewezen in de kolom Doelconfiguratie .

    2. Selecteer in Configuratie-instellingen de versleutelingsset van de doelschijf en selecteer Wijzigingen opslaan.

    3. U kunt afhankelijkheden opslaan en valideren voor de resource die u wijzigt, of u kunt alleen de wijzigingen opslaan en alles valideren dat u tegelijkertijd wijzigt.

      Schermopname van het deelvenster Doelconfiguratie voor het opslaan van wijzigingen in de doelregio.

      Nadat u de doelresource hebt toegevoegd, wordt de status van de schijfversleutelingsset gewijzigd in Doorvoerverplaatsing in behandeling.

    4. Selecteer in de sleutelkluisvermelding resource die niet is toegewezen in de kolom Doelconfiguratie . Selecteer onder Configuratie-instellingen de doelsleutelkluis en sla uw wijzigingen op.

    In deze fase worden de statussen van de schijfversleutelingsset en sleutelkluis gewijzigd in Doorvoerverplaatsing in behandeling.

    Schermopname van het deelvenster voor het voorbereiden van andere resources.

    Ga als volgt te werk om het verplaatsingsproces voor versleutelingsbronnen door te voeren en te voltooien:

    1. Selecteer in meerdere regio's de resource (schijfversleutelingsset of sleutelkluis) en selecteer Verplaatsing doorvoeren.
    2. Selecteer Doorvoeren in Resources verplaatsen.

    Notitie

    Nadat u de verplaatsing hebt doorgevoerd, wordt de resourcestatus gewijzigd in Bron verwijderen in behandeling.

    Te verplaatsen resources voorbereiden

    Nu de versleutelingsresources en de bronresourcegroep zijn verplaatst, kunt u zich voorbereiden op het verplaatsen van andere resources waarvan de huidige status Voorbereiden in behandeling is.

    1. Valideer de verplaatsing opnieuw in het deelvenster Tussen regio's en los eventuele problemen op.

    2. Als u de doelinstellingen wilt bewerken voordat u met de verplaatsing begint, selecteert u de koppeling in de kolom Doelconfiguratie voor de resource en bewerkt u de instellingen. Als u de instellingen van de doel-VM bewerkt, mag de grootte van de doel-VM niet kleiner zijn dan de grootte van de bron-VM.

    3. Selecteer Voorbereiden voor resources met de status Voorbereiden die in behandeling is die u wilt verplaatsen.

    4. Selecteer Voorbereiden in het deelvenster Resources voorbereiden.

      • Tijdens de voorbereiding wordt de Azure Site Recovery Mobility-agent geïnstalleerd op de VM's om ze te repliceren.
      • De VM-gegevens worden periodiek gerepliceerd naar de doelregio. Dit heeft geen invloed op de bron-VM.
      • Met Resource Mover worden ARM-sjablonen voor de andere bronresources gegenereerd.

    Notitie

    Nadat u de resources hebt voorbereid, wordt de status gewijzigd in Initiëren verplaatsing in behandeling. Schermopname van het deelvenster Resources voorbereiden, met de resources in de status Verplaatsing initiëren in behandeling.

    De verplaatsing initiëren

    Nu u de resources hebt voorbereid, kunt u de verplaatsing initiëren.

    1. Selecteer in het deelvenster Tussen regio's de resources waarvan de status Initiëren verplaatsing in behandeling is en selecteer Verplaatsing initiëren.

    2. Selecteer In het deelvenster Resources verplaatsen de optie Verplaatsing initiëren.

    3. Houd de voortgang van de verplaatsing in de meldingenbalk bij.

      • Voor VM's worden replica-VM's gemaakt in de doelregio. De bron-VM wordt uitgeschakeld en er treedt enige downtime op (meestal een aantal minuten).
      • Met Resource Mover worden andere resources opnieuw gemaakt met behulp van de voorbereide ARM-sjablonen. Meestal treedt er geen downtime op.
      • Nadat u de resources hebt verplaatst, verandert de status van de verplaatsing doorvoeren in behandeling.

    De verplaatsing negeren of doorvoeren

    Na de eerste verplaatsing kunt u beslissen of u de verplaatsing wilt doorvoeren of verwijderen.

    • Verwijderen: U kunt een verplaatsing negeren als u deze test en de bronresource niet daadwerkelijk wilt verplaatsen. Als u de verplaatsing negeert, wordt de resource geretourneerd om de status Verplaatsing in behandeling te starten.
    • Doorvoeren: Doorvoeren voltooit de verplaatsing naar de doelregio. Nadat u een bronresource hebt doorgevoerd, wordt de status gewijzigd in Bron verwijderen in behandeling en kunt u beslissen of u deze wilt verwijderen.

    De verplaatsing verwijderen

    Ga als volgt te werk om de verplaatsing te verwijderen:

    1. Selecteer in het deelvenster Over regio's resources waarvan de status Verplaatsing doorvoeren in behandeling is en selecteer Verplaatsing verwijderen.
    2. Selecteer Verwijderen in het deelvenster Verplaatsing verwijderen.
    3. Houd de voortgang van de verplaatsing in de meldingenbalk bij.

    Notitie

    Nadat u de resources hebt verwijderd, worden de statussen van de VM gewijzigd in Initiëren verplaatsing in behandeling.

    De verplaatsing doorvoeren

    Als u het verplaatsingsproces wilt voltooien, voert u de verplaatsing als volgt uit:

    1. Selecteer in het deelvenster Tussen regio's resources waarvan de status Verplaatsing doorvoeren in behandeling is en selecteer Verplaatsing doorvoeren.

    2. Selecteer Doorvoeren in het deelvenster Resources doorvoeren.

      Schermopname van een lijst met resources voor het doorvoeren van resources om de verplaatsing te voltooien.

    3. Controleer de voortgang van het doorvoeren in de meldingenbalk.

    Notitie

    • Nadat u de verplaatsing hebt doorgevoerd, stoppen de VM's met repliceren. De bron-VM wordt niet beïnvloed door de doorvoer.
    • Het doorvoerproces heeft geen invloed op de bronnetwerkresources.
    • Nadat u de verplaatsing hebt doorgevoerd, worden de resourcestatussen gewijzigd in Bron verwijderen in behandeling.

    Instellingen configureren na de verplaatsing

    U kunt de volgende instellingen configureren na het verplaatsingsproces:

    • De Mobility-service wordt niet automatisch verwijderd van VM's. Verwijder de service handmatig of laat deze staan als u van plan bent de server opnieuw te verplaatsen.
    • Pas na de verplaatsing de RBAC-regels (op rollen gebaseerd toegangsbeheer) van Azure aan.

    Bronresources verwijderen na doorvoeren

    Na de verplaatsing kunt u desgewenst de resources in de bronregio verwijderen.

    1. Selecteer in het deelvenster Meerdere regio's elke bronresource die u wilt verwijderen en selecteer Bron verwijderen.
    2. Controleer in De bron verwijderen wat u wilt verwijderen en typ in Bevestigen ja.

      Let op

      De actie kan niet ongedaan worden, dus controleer zorgvuldig!

    3. Nadat u ja hebt getypt, selecteert u Bron verwijderen.

    Notitie

    In de portal Resourceverplaatsing kunt u geen resourcegroepen, sleutelkluizen of SQL Server-exemplaren verwijderen. U moet elk afzonderlijk verwijderen van de eigenschappenpagina voor elke resource.

    Resources verwijderen die u voor de verplaatsing hebt gemaakt

    Na de verplaatsing kunt u de verplaatsingsverzameling en Site Recovery-resources die u tijdens dit proces hebt gemaakt, handmatig verwijderen.

    • De verzameling voor verplaatsen wordt standaard verborgen. Als u dit wilt zien, moet u verborgen resources inschakelen.
    • De cacheopslag heeft een vergrendeling die moet worden verwijderd voordat deze kan worden verwijderd.

    Ga als volgt te werk om uw resources te verwijderen:

    1. Zoek de resources in de resourcegroep RegionMoveRG-<sourceregion>-<target-region>.

    2. Controleer of alle VM's en andere bronbronnen in de bronregio zijn verplaatst of verwijderd. Deze stap zorgt ervoor dat er geen resources in behandeling zijn die ze gebruiken.

    3. De resources verwijderen:

      • Naam van verzameling verplaatsen: movecollection-<sourceregion>-<target-region>
      • Cacheopslagaccountnaam: resmovecache<guid>
      • Kluisnaam: ResourceMove-<sourceregion>-<target-region>-GUID

    Volgende stappen

    Meer informatie over het verplaatsen van Azure SQL-databases en elastische pools naar een andere regio.