Replikowanie maszyn wirtualnych z obsługą usługi Azure Disk Encryption w innym regionie platformy Azure
W tym artykule opisano sposób replikowania maszyn wirtualnych platformy Azure z włączoną usługą Azure Disk Encryption (ADE) z jednego regionu platformy Azure do drugiego.
Uwaga
Usługa Site Recovery obecnie obsługuje usługę ADE z usługą Microsoft Entra ID i bez niej dla maszyn wirtualnych z systemami operacyjnymi Windows. W przypadku systemów operacyjnych Linux obsługujemy tylko ADE bez usługi Microsoft Entra ID. Ponadto w przypadku maszyn z systemem ADE 1.1 (bez usługi Microsoft Entra ID) maszyny wirtualne muszą używać dysków zarządzanych. Maszyny wirtualne z niezarządzanymi dyskami nie są obsługiwane. Jeśli przełączysz się z usługi ADE 0.1 (z usługą Microsoft Entra ID) na 1.1, musisz wyłączyć replikację i włączyć replikację dla maszyny wirtualnej po włączeniu wersji 1.1.
Wymagane uprawnienia użytkownika
Usługa Site Recovery wymaga od użytkownika uprawnień do utworzenia magazynu kluczy w regionie docelowym i skopiowania kluczy z magazynu kluczy regionu źródłowego do magazynu kluczy regionu docelowego.
Aby włączyć replikację maszyn wirtualnych z obsługą szyfrowania dysków w witrynie Azure Portal, użytkownik musi mieć następujące uprawnienia zarówno w regionie źródłowym, jak i w docelowym magazynie kluczy regionu .
Uprawnienia magazynu kluczy
- Wyświetlanie listy, tworzenie i pobieranie
Uprawnienia wpisu tajnego magazynu kluczy
- Operacje zarządzania wpisami tajnymi
- Pobieranie, wyświetlanie listy i ustawianie
- Operacje zarządzania wpisami tajnymi
Uprawnienia klucza magazynu kluczy (wymagane tylko wtedy, gdy maszyny wirtualne używają klucza szyfrowania klucza do szyfrowania kluczy na dysku)
- Operacje zarządzania kluczami
- Pobieranie, wyświetlanie listy i tworzenie
- Operacje kryptograficzne
- Odszyfrowywanie i szyfrowanie
- Operacje zarządzania kluczami
Aby zarządzać uprawnieniami, przejdź do zasobu magazynu kluczy w portalu. Dodaj wymagane uprawnienia dla użytkownika. W poniższym przykładzie pokazano, jak włączyć uprawnienia do magazynu kluczy ContosoWeb2Keyvault, który znajduje się w regionie źródłowym.
Przejdź do pozycji Home Keyvaults ContosoWeb2KeyVault Access policies (Zasady dostępu do usługi Home>Keyvault ContosoWeb2KeyVault).>>
Widać, że nie ma uprawnień użytkownika. Wybierz Dodaj nowy. Wprowadź informacje o użytkowniku i uprawnieniach.
Jeśli użytkownik, który włącza odzyskiwanie po awarii (DR) nie ma uprawnień do kopiowania kluczy, administrator zabezpieczeń, który ma odpowiednie uprawnienia, może użyć następującego skryptu, aby skopiować wpisy tajne i klucze szyfrowania do regionu docelowego.
Aby rozwiązać problemy z uprawnieniami, zapoznaj się z tematem Problemy z uprawnieniami magazynu kluczy w dalszej części tego artykułu.
Uwaga
Aby włączyć replikację maszyn wirtualnych z obsługą szyfrowania dysków z portalu, musisz mieć co najmniej uprawnienia "Lista" w magazynach kluczy, wpisach tajnych i kluczach.
Kopiowanie kluczy szyfrowania dysków do regionu odzyskiwania po awarii przy użyciu skryptu programu PowerShell
Otwórz nieprzetworzonego kodu skryptu "CopyKeys".
Skopiuj skrypt do pliku i nadaj mu nazwę Copy-keys.ps1.
Otwórz aplikację programu Windows PowerShell i przejdź do folderu, w którym zapisano plik.
Wykonaj polecenie Copy-keys.ps1.
Podaj poświadczenia platformy Azure, aby się zalogować.
Wybierz subskrypcję platformy Azure maszyn wirtualnych.
Poczekaj na załadowanie grup zasobów, a następnie wybierz grupę zasobów maszyn wirtualnych.
Wybierz maszyny wirtualne z wyświetlonej listy. Na liście znajdują się tylko maszyny wirtualne, które są włączone na potrzeby szyfrowania dysków.
Wybierz lokalizację docelową.
- Magazyny kluczy szyfrowania dysków
- Magazyny kluczy szyfrowania kluczy
Domyślnie usługa Site Recovery tworzy nowy magazyn kluczy w regionie docelowym. Nazwa magazynu ma sufiks "asr", który jest oparty na źródłowych kluczach szyfrowania dysku maszyny wirtualnej. Jeśli magazyn kluczy już istnieje, który został utworzony przez usługę Site Recovery, jest ponownie używany. W razie potrzeby wybierz inny magazyn kluczy z listy.
Uwaga
Alternatywnie możesz pobrać klucz, zaimportować go w regionie pomocniczego magazynu kluczy. Następnie można zmodyfikować dyski replik tak, aby używały kluczy.
Włączanie replikacji
Poniższa procedura umożliwia replikowanie maszyn wirtualnych z obsługą usługi Azure Disk Encryption do innego regionu świadczenia usługi Azure. Na przykład podstawowy region świadczenia usługi Azure to Azja Wschodnia, a pomocniczy to Azja Południowo-Wschodnia.
Na stronie usługi Site Recovery magazynu >w obszarze Maszyny wirtualne platformy Azure wybierz pozycję Włącz replikację.
Na stronie Włączanie replikacji w obszarze Źródło wykonaj następujące czynności:
- Region: wybierz region świadczenia usługi Azure, w którym chcesz chronić maszyny wirtualne. Na przykład lokalizacja źródłowa to Azja Wschodnia.
- Subskrypcja: wybierz subskrypcję, do której należą źródłowe maszyny wirtualne. Może to być dowolna subskrypcja, która znajduje się w tej samej dzierżawie firmy Microsoft co magazyn usługi Recovery Services.
- Grupa zasobów: wybierz grupę zasobów, do której należą źródłowe maszyny wirtualne. Wszystkie maszyny wirtualne w wybranej grupie zasobów są wymienione pod kątem ochrony w następnym kroku.
- Model wdrażania maszyn wirtualnych: wybierz model wdrażania platformy Azure maszyn źródłowych.
- Odzyskiwanie po awarii między strefami dostępności: wybierz pozycję Tak , jeśli chcesz przeprowadzić odzyskiwanie po awarii strefowej na maszynach wirtualnych.
Wybierz Dalej.
W obszarze Maszyny wirtualne wybierz każdą maszynę wirtualną, którą chcesz replikować. Możesz wybrać tylko te maszyny, dla których można włączyć replikację. Możesz wybrać maksymalnie dziesięć maszyn wirtualnych. Następnie wybierz Dalej.
W obszarze Ustawienia replikacji można skonfigurować następujące ustawienia:
W obszarze Lokalizacja i grupa zasobów,
Lokalizacja docelowa: wybierz lokalizację, w której muszą być replikowane dane źródłowej maszyny wirtualnej. W zależności od lokalizacji wybranych maszyn usługa Site Recovery udostępni listę odpowiednich regionów docelowych. Zalecamy zachowanie lokalizacji docelowej tak samo jak lokalizacja magazynu usługi Recovery Services.
Subskrypcja docelowa: wybierz docelową subskrypcję używaną do odzyskiwania po awarii. Domyślnie subskrypcja docelowa będzie taka sama jak subskrypcja źródłowa.
Docelowa grupa zasobów: wybierz grupę zasobów, do której należą wszystkie replikowane maszyny wirtualne.
- Domyślnie usługa Site Recovery tworzy nową grupę zasobów w regionie docelowym z sufiksem asr w nazwie.
- Jeśli grupa zasobów utworzona przez usługę Site Recovery już istnieje, zostanie ponownie użyta.
- Ustawienia grupy zasobów można dostosować.
- Lokalizacja docelowej grupy zasobów może być dowolnym regionem świadczenia usługi Azure, z wyjątkiem regionu, w którym są hostowane źródłowe maszyny wirtualne.
Uwaga
Możesz również utworzyć nową docelową grupę zasobów, wybierając pozycję Utwórz nową.
W obszarze Sieć
Sieć wirtualna trybu failover: wybierz sieć wirtualną trybu failover.
Uwaga
Możesz również utworzyć nową sieć wirtualną trybu failover, wybierając pozycję Utwórz nową.
Podsieć trybu failover: wybierz podsieć trybu failover.
Magazyn: wybierz pozycję Wyświetl/edytuj konfigurację magazynu. Zostanie otwarta strona Dostosowywanie ustawień docelowych.
- Dysk zarządzany przez replikę: usługa Site Recovery tworzy nowe dyski zarządzane przez replikę w regionie docelowym w celu dublowania dysków zarządzanych źródłowej maszyny wirtualnej o tym samym typie magazynu (w warstwie Standardowa lub Premium) co dysk zarządzany źródłowej maszyny wirtualnej.
- Magazyn pamięci podręcznej: usługa Site Recovery wymaga dodatkowego konta magazynu nazywanego magazynem pamięci podręcznej w regionie źródłowym. Wszystkie zmiany wykonywane na źródłowych maszynach wirtualnych są śledzone i wysyłane do konta magazynu pamięci podręcznej przed ich replikacją do lokalizacji docelowej.
Opcje dostępności: wybierz odpowiednią opcję dostępności dla maszyny wirtualnej w regionie docelowym. Jeśli istnieje już zestaw dostępności utworzony przez usługę Site Recovery, jest on ponownie używany. Wybierz pozycję Wyświetl/edytuj opcje dostępności, aby wyświetlić lub edytować opcje dostępności.
Uwaga
- Podczas konfigurowania docelowych zestawów dostępności skonfiguruj różne zestawy dostępności dla maszyn wirtualnych o różnym rozmiarze.
- Nie można zmienić typu dostępności — pojedyncze wystąpienie, zestaw dostępności, strefa dostępności — po włączeniu replikacji. Należy wyłączyć i włączyć replikację, aby zmienić typ dostępności.
Rezerwacja pojemności: Rezerwacja pojemności umożliwia zakup pojemności w regionie odzyskiwania, a następnie przejście w tryb failover do tej pojemności. Możesz utworzyć nową grupę rezerwacji pojemności lub użyć istniejącej. Aby uzyskać więcej informacji, zobacz jak działa rezerwacja pojemności. Wybierz pozycję Wyświetl lub Edytuj przypisanie grupy rezerwacji pojemności, aby zmodyfikować ustawienia rezerwacji pojemności. Po wyzwoleniu trybu failover nowa maszyna wirtualna zostanie utworzona w przypisanej grupie rezerwacji pojemności.
Ustawienia szyfrowania: wybierz pozycję Wyświetl/edytuj konfigurację , aby skonfigurować magazyny kluczy szyfrowania dysków i szyfrowania kluczy.
- Magazyny kluczy szyfrowania dysków: domyślnie usługa Site Recovery tworzy nowy magazyn kluczy w regionie docelowym. Ma sufiks asr oparty na źródłowych kluczach szyfrowania dysków maszyny wirtualnej. Jeśli magazyn kluczy utworzony przez usługę Azure Site Recovery już istnieje, jest on ponownie używany.
- Magazyny kluczy szyfrowania kluczy: domyślnie usługa Site Recovery tworzy nowy magazyn kluczy w regionie docelowym. Nazwa ma sufiks asr oparty na źródłowych kluczach szyfrowania kluczy maszyny wirtualnej. Jeśli magazyn kluczy utworzony przez usługę Azure Site Recovery już istnieje, jest on ponownie używany.
Wybierz Dalej.
W obszarze Zarządzanie wykonaj następujące czynności:
- W obszarze Zasady replikacji,
- Zasady replikacji: wybierz zasady replikacji. Definiuje ustawienia historii przechowywania punktu odzyskiwania i częstotliwości migawek spójnych na poziomie aplikacji. Domyślnie usługa Site Recovery tworzy nowe zasady replikacji z domyślnymi ustawieniami 24 godzin przechowywania punktu odzyskiwania.
- Grupa replikacji: utwórz grupę replikacji w celu replikacji maszyn wirtualnych w celu wygenerowania punktów odzyskiwania spójnych na poziomie wielu maszyn wirtualnych. Należy pamiętać, że włączenie spójności wielu maszyn wirtualnych może mieć wpływ na wydajność obciążenia i powinno być używane tylko wtedy, gdy maszyny są uruchomione w tym samym obciążeniu i potrzebujesz spójności na wielu maszynach.
- W obszarze Ustawienia rozszerzenia,
- Wybierz pozycję Aktualizuj ustawienia i konto usługi Automation.
- W obszarze Zasady replikacji,
Wybierz Dalej.
W obszarze Przegląd przejrzyj ustawienia maszyny wirtualnej i wybierz pozycję Włącz replikację.
Uwaga
Podczas replikacji początkowej stan może zająć trochę czasu na odświeżenie bez widocznego postępu. Kliknij przycisk Odśwież , aby uzyskać najnowszy stan.
Aktualizowanie docelowych ustawień szyfrowania maszyn wirtualnych
W następujących scenariuszach konieczne będzie zaktualizowanie docelowych ustawień szyfrowania maszyn wirtualnych:
- Włączono replikację usługi Site Recovery na maszynie wirtualnej. Później włączono szyfrowanie dysków na źródłowej maszynie wirtualnej.
- Włączono replikację usługi Site Recovery na maszynie wirtualnej. Później zmieniono klucz szyfrowania dysku lub klucz szyfrowania klucza na źródłowej maszynie wirtualnej.
Z powyższych powodów klucze nie są zsynchronizowane między źródłem a obiektem docelowym. Dlatego należy skopiować klucze do lokalizacji docelowej i zaktualizować magazyn metadanych usługi Azure Site Recovery za pomocą:
- Portal
- Interfejs API REST
- PowerShell
Uwaga
Usługa Azure Site Recovery nie obsługuje rotacji klucza dla zaszyfrowanej maszyny wirtualnej, gdy jest ona chroniona. W przypadku rotacji kluczy należy wyłączyć i ponownie włączyć replikację.
Aktualizowanie docelowych ustawień szyfrowania maszyn wirtualnych w witrynie Azure Portal
Jeśli używasz usługi Site Recovery na maszynie wirtualnej i włączono na niej szyfrowanie dysków w późniejszym momencie, być może nie masz żadnego magazynu kluczy w ustawieniach docelowych. Musisz dodać nowy magazyn kluczy w lokalizacji docelowej.
Jeśli używasz magazynu kluczy, na przykład KV1
, w ustawieniach docelowych, możesz zmienić klucze przy użyciu innego magazynu kluczy w regionie docelowym. Możesz wybrać istniejący magazyn kluczy, który różni się od oryginalnego magazynu KV1
kluczy, lub użyć nowego magazynu kluczy. Ponieważ usługa Azure Site Recovery nie zezwala na zmianę kluczy, musisz użyć innego magazynu kluczy w regionie docelowym.
W tym przykładzie przyjęto założenie, że utworzysz nowy pusty magazyn KV2
kluczy z niezbędnymi uprawnieniami. Następnie możesz zaktualizować magazyn, wykonując następujące czynności:
- Przejdź do magazynu usługi Recovery Services w portalu.
- Wybieranie właściwości replikowanego elementu>>Obliczanie
- Wybierz
KV2
z menu, aby zaktualizować docelowy magazyn kluczy. - Wybierz pozycję Zapisz , aby skopiować klucze źródłowe do nowego docelowego magazynu
KV2
kluczy z nowym kluczem/wpisem tajnym i zaktualizować metadane usługi Azure Site Recovery.Uwaga
Utworzenie nowego magazynu kluczy może mieć wpływ na koszty. Jeśli chcesz użyć oryginalnego docelowego magazynu kluczy (
KV1
), którego używasz wcześniej, możesz to zrobić po wykonaniu powyższych kroków z innym magazynem kluczy.
Po zaktualizowaniu magazynu przy użyciu innego magazynu kluczy, aby użyć oryginalnego docelowego magazynu kluczy (KV1
), powtórz kroki od 1 do 4 i wybierz goKV1
w docelowym magazynie kluczy. Spowoduje to skopiowanie nowego klucza/wpisu tajnego iKV1
użycie go dla elementu docelowego.
Aktualizowanie docelowych ustawień szyfrowania maszyn wirtualnych przy użyciu interfejsu API REST
- Klucze należy skopiować do magazynu docelowego przy użyciu skryptu Copy-Keys .
- Użyj interfejsu
Replication Protected Items - Update
API REST, aby zaktualizować metadane usługi Azure Site Recovery.
Aktualizowanie docelowych ustawień szyfrowania maszyn wirtualnych przy użyciu programu PowerShell
- Skopiuj klucze do magazynu docelowego przy użyciu skryptu Copy-Keys .
Set-AzRecoveryServicesAsrReplicationProtectedItem
Użyj polecenia , aby zaktualizować metadane usługi Azure Site Recovery.
Rozwiązywanie problemów z uprawnieniami magazynu kluczy podczas replikacji maszyny wirtualnej platformy Azure do platformy Azure
Usługa Azure Site Recovery wymaga co najmniej uprawnienia do odczytu w magazynie kluczy regionu źródłowego oraz uprawnienia do zapisu w magazynie kluczy regionu docelowego w celu odczytania wpisu tajnego i skopiowania go do magazynu kluczy regionu docelowego.
Przyczyna 1: Nie masz uprawnień "GET" w magazynie kluczy regionu źródłowego, aby odczytać klucze.
Jak rozwiązać problem: niezależnie od tego, czy jesteś administratorem subskrypcji, czy nie, ważne jest, aby uzyskać uprawnienia do magazynu kluczy.
- Przejdź do magazynu kluczy regionu źródłowego, w którym w tym przykładzie są zasady dostępu "ContososourceKeyvault" >
- W obszarze Wybierz podmiot zabezpieczeń dodaj nazwę użytkownika, na przykład: "dradmin@contoso.com"
- W obszarze Uprawnienia klucza wybierz pozycję GET
- W obszarze Uprawnienia wpisu tajnego wybierz pozycję GET
- Zapisywanie zasad dostępu
Przyczyna 2: Nie masz wymaganych uprawnień do zapisywania kluczy w magazynie kluczy regionu docelowego.
Na przykład: próbujesz replikować maszynę wirtualną z magazynem kluczy ContososourceKeyvault w regionie źródłowym. Masz wszystkie uprawnienia do magazynu kluczy regionu źródłowego. Jednak podczas ochrony wybierasz już utworzony magazyn kluczy ContosotargetKeyvault, który nie ma uprawnień. Wystąpi błąd.
Uprawnienia wymagane w docelowym magazynie kluczy
Jak rozwiązać ten problem: przejdź do pozycji Home>Keyvaults>ContosotargetKeyvault Access policies (Zasady dostępu do usługi ContosotargetKeyvault>) i dodaj odpowiednie uprawnienia.
Następne kroki
- Dowiedz się więcej na temat uruchamiania testu pracy w trybie failover.