Mover VMs do Azure criptografadas entre regiões

O Azure Resource Mover ajuda você a mover recursos do Azure entre regiões do Azure. Este artigo descreve como mover máquinas virtuais (VMs) do Azure criptografadas para uma região diferente do Azure usando o Azure Resource Mover.

O VMS criptografado pode ser descrito como:

• VMs que têm discos com o Azure Disk Encryption habilitado. Para obter mais informações, consulte Criar e criptografar uma máquina virtual do Windows usando o portal do Azure.
• VMs que usam chaves gerenciadas pelo cliente (CMKs) para criptografia em repouso ou criptografia do lado do servidor. Para obter mais informações, consulte Usar o portal do Azure para habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para discos gerenciados.

Neste tutorial, irá aprender a:

• Mova VMs do Azure criptografadas e seus recursos dependentes para outra região do Azure.

Nota

Os tutoriais mostram o caminho mais rápido para experimentar um cenário e usam as opções padrão sempre que possível.

Iniciar sessão no Azure

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar e entre no portal do Azure.

Pré-requisitos

Antes de começar, verifique o seguinte:

Requisito	Detalhes
Permissões de subscrição	Certifique-se de que tem acesso de Proprietário na subscrição que contém os recursos que pretende mover. Por que preciso de acesso de proprietário? Na primeira vez que você adiciona um recurso para um par de origem e destino específico em uma assinatura do Azure, o Resource Mover cria uma identidade gerenciada atribuída ao sistema, anteriormente conhecida como MSI (Managed Service Identity). Essa identidade é confiável pela assinatura. Antes de criar a identidade e atribuir-lhe as funções necessárias (Colaborador e Administrador de acesso de utilizador na subscrição de origem), a conta que utiliza para adicionar recursos necessita de permissões de Proprietário na subscrição. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Suporte a VM	Certifique-se de que as VMs que você deseja mover são suportadas fazendo o seguinte: Verifique as VMs do Windows suportadas. Verifique as VMs Linux suportadas e as versões do kernel. Verifique as configurações de computação, armazenamento e rede suportadas.
Requisitos do cofre de chaves (Azure Disk Encryption)	Se você tiver o Azure Disk Encryption habilitado para VMs, precisará de um cofre de chaves nas regiões de origem e de destino. Para obter mais informações, consulte Criar um cofre de chaves. Para os cofres de chaves nas regiões de origem e destino, você precisa destas permissões: Permissões de chave: Operações de Gerenciamento de Chaves (Get, List) e Operações Criptográficas (Descriptografar e Criptografar) Permissões secretas: Operações de gerenciamento secreto (Get, List e set) Certificado (List e Get)
Conjunto de criptografia de disco (criptografia do lado do servidor com CMK)	Se você estiver usando VMs com criptografia do lado do servidor que usa uma CMK, precisará de um conjunto de criptografia de disco nas regiões de origem e de destino. Para obter mais informações, consulte Criar um conjunto de criptografia de disco. Não há suporte para movimentação entre regiões se você estiver usando um módulo de segurança de hardware (chaves HSM) para chaves gerenciadas pelo cliente.
Quota da região de destino	A assinatura precisa de cota suficiente para criar os recursos que você está movendo na região de destino. Se não tiver uma quota, solicite limites adicionais.
Encargos da região alvo	Verifique os preços e encargos associados à região de destino para a qual você está movendo as VMs. Use a calculadora de preços.

Verificar permissões no cofre de chaves

Se você estiver movendo VMs que tenham a Criptografia de Disco do Azure habilitada, deverá executar um script. Os usuários que executam o script devem ter permissões apropriadas para fazê-lo. Para entender quais permissões são necessárias, consulte a tabela a seguir. Você encontrará as opções para alterar as permissões acessando o cofre de chaves no portal do Azure. Em Definições, selecione Políticas de Acesso.

Se as permissões de usuário não estiverem em vigor, selecione Adicionar Política de Acesso e especifique as permissões. Se a conta de usuário já tiver uma política, em Usuário, defina as permissões de acordo com as instruções na tabela a seguir.

As VMs do Azure que usam o Azure Disk Encryption podem ter as seguintes variações e você precisará definir as permissões de acordo com seus componentes relevantes. As VMs podem ter:

• Uma opção padrão em que o disco é criptografado apenas com segredos.
• Adicionada segurança que usa uma chave de criptografia de chave (KEK).

Cofre de chaves da região de origem

Para usuários que executam o script, defina permissões para os seguintes componentes:

Componente	Permissões necessárias
Segredos	Obter Selecione Permissões>secretas Operações de gerenciamento secretas e selecione Obter.
Chaves Se você estiver usando um KEK, precisará dessas permissões, além das permissões para segredos.	Obter e desencriptar Selecione Permissões de chave>, Operações de gerenciamento de chaves e selecione Obter. Em Operações Criptográficas, selecione Desencriptar.

Cofre de chaves da região de destino

Na guia Políticas de acesso, verifique se o Azure Disk Encryption para criptografia de volume está habilitado.

Para usuários que executam o script, defina permissões para os seguintes componentes:

Componente	Permissões necessárias
Segredos	Definir Selecione Permissões>secretas Operações de gerenciamento secretas e selecione Definir.
Chaves Se você estiver usando um KEK, precisará dessas permissões, além das permissões para segredos.	Obter, criar e criptografar Selecione Permissões de chave>, Operações de gerenciamento de chaves e selecione Obter e criar. Em Operações Criptográficas, selecione Criptografar.

Além das permissões anteriores, no cofre da chave de destino, você deve adicionar permissões para a Identidade do Sistema Gerenciado que o Resource Mover usa para acessar os recursos do Azure em seu nome.

Adicionar permissões à Identidade do Sistema Gerenciado

Para adicionar permissões para a identidade do sistema gerenciado (MSI), execute estas etapas:

1. Em Configurações, selecione Adicionar políticas de acesso.

2. Em Selecionar entidade de segurança, procure o MSI. O nome MSI é movecollection-<sourceregion>-<target-region>-<metadata-region>.

3. Para o MSI, adicione as seguintes permissões:

   Componente	Permissões necessárias
   Segredos	Obter e Listar Selecione Permissões>secretas Operações de gerenciamento secretas e selecione Obter e Listar.
   Chaves Se você estiver usando um KEK, precisará dessas permissões, além das permissões para segredos.	Obter e Listar Selecione Permissões de chave>, Operações de gerenciamento de chaves e selecione Obter e Listar.

Copie as chaves para o cofre de chaves de destino

Copie os segredos e chaves de criptografia do cofre da chave de origem para o cofre da chave de destino usando o script fornecido.

Para copiar as chaves do cofre da chave de origem para o cofre da chave de destino, siga estas etapas:

• Execute o script no PowerShell. Recomendamos que você use a versão mais recente do PowerShell.
• Especificamente, o script requer estes módulos:
  • Az.Compute
  • Az.KeyVault (versão 3.0.0)
  • Az.Accounts (versão 2.2.3)

Para executar o script, faça o seguinte:

1. Abra o script no GitHub.

2. Copie o conteúdo do script para um arquivo local e nomeie-o como Copy-keys.ps1.

3. Execute o script.

4. Inicie sessão no portal do Azure.

5. Na janela Entradas do Usuário, selecione a assinatura de origem, o grupo de recursos, a VM de origem, o local de destino e os cofres de destino para criptografia de disco e chave.

   

6. Use o botão Selecionar para executar o script.

   Quando o script terminar de ser executado, uma mensagem notificará que CopyKeys foi bem-sucedido.

Preparar VMs

Para preparar VMs para a mudança, siga estas etapas:

1. Depois de verificar se as VMs satisfazem os pré-requisitos, verifique se as VMs que você deseja mover estão ativadas. Todos os discos de VM que você deseja que estejam disponíveis na região de destino devem ser anexados e inicializados na VM.
2. Para garantir que as VMs tenham os certificados raiz confiáveis mais recentes e uma lista de revogação de certificados (CRL) atualizada, faça o seguinte:
   • Em VMs do Windows, instale as atualizações mais recentes do Windows.
   • Em VMs Linux, siga as orientações do distribuidor para que as máquinas tenham os certificados e a CRL mais recentes.
3. Para permitir a conectividade de saída das VMs, siga um destes procedimentos:
   • Se você estiver usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita o acesso às URLs.
   • Se estiver a utilizar regras de grupo de segurança de rede (NSG) para controlar a conectividade de saída, crie estas regras de etiqueta de serviço.

Selecione os recursos a serem movidos

Você pode selecionar qualquer tipo de recurso suportado em qualquer um dos grupos de recursos na região de origem selecionada. Você pode mover recursos para uma região de destino que esteja na mesma assinatura da região de origem. Se quiser alterar a subscrição, pode fazê-lo depois de os recursos serem movidos.

Para selecionar os recursos, faça o seguinte:

1. No portal do Azure, procure por movimentador de recursos. Em Serviços, selecione Azure Resource Mover.

   

2. No painel Visão Geral do Azure Resource Mover, selecione Mover entre regiões.

   

3. Na guia Mover recursos>Origem + Destino, faça o seguinte:

   1. Selecione a assinatura de origem e a região.
   2. Em Destino, selecione a região para onde deseja mover as VMs, selecione Avançar.

   

4. Na guia Recursos a serem movidos, selecione a opção Selecionar recursos para abrir uma nova guia com a lista de VMs disponíveis.

   

5. Na guia Selecionar recursos, selecione as VMs que deseja mover. Conforme mencionado na seção Selecione os recursos a serem movidos , você pode adicionar apenas recursos suportados para uma movimentação.

   

   Nota

   Neste tutorial, você está selecionando uma VM que usa criptografia do lado do servidor (rayne-vm) com uma chave gerenciada pelo cliente e uma VM com criptografia de disco habilitada (rayne-vm-ade).

6. Selecionar Concluído.

7. Selecione a guia Recursos para mover e selecione Avançar.

8. Selecione a guia Revisão e verifique as configurações de origem e destino.

   

9. Selecione Continuar para começar a adicionar os recursos.

10. Selecione o ícone de notificações para acompanhar o progresso. Depois que o processo for concluído com êxito, no painel Notificações , selecione Recursos adicionados para movimentação.

    

11. Depois de selecionar a notificação, revise os recursos na página Entre regiões .

    

Nota

• Os recursos adicionados são colocados em um estado Preparar pendente .
• O grupo de recursos para as VMs é adicionado automaticamente.
• Se você modificar as entradas de configuração de destino para usar um recurso que já existe na região de destino, o estado do recurso será definido como Confirmar pendente, porque você não precisa iniciar uma movimentação para ele.
• Se você quiser remover um recurso que foi adicionado, o método que você usará dependerá de onde você está no processo de mudança. Para obter mais informações, consulte Gerenciar coleções de movimentação e grupos de recursos.

Resolver dependências

Para resolver dependências antes da mudança, siga estas etapas:

1. As dependências são validadas em segundo plano depois de adicionadas. Se você vir um botão Validar dependências , selecione-o para acionar a validação manual.

   

   Inicia-se o processo de validação.

2. Se forem encontradas dependências, selecione Adicionar dependências.

   

3. No painel Adicionar dependências, mantenha a opção padrão Mostrar todas as dependências.

   • Mostrar todas as dependências itera através de todas as dependências diretas e indiretas de um recurso. Por exemplo, para uma VM, ele mostra a NIC, a rede virtual, os NSGs (grupos de segurança de rede) e assim por diante.
   • Mostrar dependências de primeiro nível mostra apenas dependências diretas. Por exemplo, para uma VM, ela mostra a NIC, mas não a rede virtual.

4. Selecione os recursos dependentes que deseja adicionar e selecione Adicionar dependências.

   

5. As dependências são validadas automaticamente em segundo plano depois de adicionadas. Se você vir uma opção Validar dependências , selecione-a para acionar a validação manual.

   

Atribuir recursos de destino

Você deve atribuir manualmente os recursos de destino associados à criptografia.

Se você estiver movendo uma VM que tenha a Criptografia de Disco do Azure habilitada, o cofre de chaves em sua região de destino aparecerá como uma dependência. Se você estiver movendo uma VM com criptografia do lado do servidor que usa CMKs, o conjunto de criptografia de disco na região de destino aparecerá como uma dependência.

Como este tutorial demonstra como mover uma VM que tenha o Azure Disk Encryption habilitado e que use uma CMK, o cofre da chave de destino e o conjunto de criptografia de disco aparecem como dependências.

Para atribuir os recursos de destino manualmente, faça o seguinte:

1. Na entrada do conjunto de criptografia de disco, selecione Recurso não atribuído na coluna Configuração de destino .

2. Em Definições de configuração, selecione o conjunto de criptografia de disco de destino e selecione Salvar alterações.

3. Você pode salvar e validar dependências para o recurso que está modificando ou pode salvar apenas as alterações e validar tudo o que modificar ao mesmo tempo.

   

   Depois de adicionar o recurso de destino, o status do conjunto de criptografia de disco é alterado para Confirmar movimentação pendente.

4. Na entrada do cofre de chaves, selecione Recurso não atribuído na coluna Configuração de destino . Em Definições de configuração, selecione o cofre da chave de destino e salve as alterações.

Nesta etapa, o conjunto de criptografia de disco e os status do cofre de chaves são alterados para Confirmar movimentação pendente.

Para confirmar e concluir o processo de movimentação de recursos de criptografia, faça o seguinte:

1. Em Entre regiões, selecione o recurso (conjunto de criptografia de disco ou cofre de chaves) e selecione Confirmar movimentação.
2. Em Mover Recursos, selecione Confirmar.

Nota

Depois de confirmar a mudança, o status do recurso muda para Excluir origem pendente.

Preparar recursos para mover

Agora que os recursos de criptografia e o grupo de recursos de origem foram movidos, você pode se preparar para mover outros recursos cujo status atual é Preparar pendente.

1. No painel Entre regiões, valide a mudança novamente e resolva quaisquer problemas.

2. Se quiser editar as configurações de destino antes de começar a movimentação, selecione o link na coluna Configuração de destino do recurso e edite as configurações. Se você editar as configurações da VM de destino, o tamanho da VM de destino não deverá ser menor do que o tamanho da VM de origem.

3. Para recursos com um status Preparar pendente que você deseja mover, selecione Preparar.

4. No painel Preparar recursos, selecione Preparar.

   • Durante a preparação, o agente de mobilidade do Azure Site Recovery é instalado nas VMs para replicá-las.
   • Os dados da VM são replicados periodicamente para a região de destino. Isso não afeta a VM de origem.
   • O Resource Move gera modelos ARM para os outros recursos de origem.

Nota

Depois de preparar os recursos, o status deles muda para Iniciar movimentação pendente.

Iniciar a mudança

Agora que você preparou os recursos preparados, você pode iniciar a mudança.

1. No painel Entre regiões, selecione os recursos cujo status é Iniciar movimentação pendente e selecione Iniciar movimentação.

2. No painel Mover recursos, selecione Iniciar movimentação.

3. Acompanhe o progresso da movimentação na barra de notificações.

   • Para VMs, as VMs de réplica são criadas na região de destino. A VM de origem é desligada e ocorre algum tempo de inatividade (geralmente minutos).
   • O Resource Mover recria outros recursos usando os modelos ARM preparados. Normalmente, não há tempo de inatividade.
   • Depois de mover os recursos, o status deles muda para Confirmar mover pendente.

Descartar ou confirmar a mudança

Após o movimento inicial, você pode decidir se deseja confirmar o movimento ou descartá-lo.

• Descartar: você pode descartar uma movimentação se estiver testando-a e não quiser realmente mover o recurso de origem. Descartar a movimentação retorna o recurso para Iniciar status pendente de movimentação.
• Commit: Commit conclui a mudança para a região de destino. Depois de confirmar um recurso de origem, seu status muda para Excluir origem pendente e você pode decidir se deseja excluí-lo.

Rejeitar a mudança

Para descartar a mudança, faça o seguinte:

1. No painel Entre regiões, selecione recursos cujo status é Confirmar movimento pendente e selecione Descartar movimento.
2. No painel Descartar movimentação, selecione Descartar.
3. Acompanhe o progresso da movimentação na barra de notificações.

Nota

Depois de descartar os recursos, os status da VM mudam para Iniciar movimentação pendente.

Confirme a mudança

Para concluir o processo de movimentação, confirme-a fazendo o seguinte:

1. No painel Entre regiões, selecione recursos cujo status é Confirmar movimentação pendente e selecione Confirmar movimentação.

2. No painel Confirmar recursos, selecione Confirmar.

   

3. Acompanhe o progresso da confirmação na barra de notificações.

Nota

• Depois de confirmar a mudança, as VMs param de replicar. A VM de origem não é afetada pela confirmação.
• O processo de confirmação não afeta os recursos de rede de origem.
• Depois de confirmar a mudança, os status do recurso mudam para Excluir origem pendente.

Definir configurações após a mudança

Você pode definir as seguintes configurações após o processo de movimentação:

• O serviço de mobilidade não é desinstalado automaticamente das VMs. Desinstale-o manualmente ou deixe-o se você planeja mover o servidor novamente.
• Modifique as regras de controle de acesso baseado em função (RBAC) do Azure após a mudança.

Excluir recursos de origem após a confirmação

Após a mudança, você pode, opcionalmente, excluir recursos na região de origem.

1. No painel Entre regiões, selecione cada recurso de origem que você deseja excluir e selecione Excluir origem.
2. Em Excluir fonte, revise o que você pretende excluir e, em Confirmar exclusão, digite sim.

   Atenção

   A ação é irreversível, por isso verifique com cuidado!

3. Depois de digitar sim, selecione Excluir fonte.

Nota

No portal Movimentação de Recursos, não é possível excluir grupos de recursos, cofres de chaves ou instâncias do SQL Server. Você deve excluir cada um individualmente da página de propriedades de cada recurso.

Excluir recursos que você criou para a mudança

Após a movimentação, você pode excluir manualmente a coleção de movimentação e os recursos de Recuperação de Site criados durante esse processo.

• A coleção move está oculta por padrão. Para vê-lo, você deve ativar recursos ocultos.
• O armazenamento em cache tem um bloqueio que deve ser excluído antes de poder ser excluído.

Para excluir seus recursos, faça o seguinte:

1. Localize os recursos no grupo RegionMoveRG-<sourceregion>-<target-region>de recursos .

2. Verifique se todas as VMs e outros recursos de origem na região de origem foram movidos ou excluídos. Esta etapa garante que nenhum recurso pendente esteja usando-os.

3. Exclua os recursos:

   • Mover nome da coleção: movecollection-<sourceregion>-<target-region>
   • Nome da conta de armazenamento em cache: resmovecache<guid>
   • Nome do cofre: ResourceMove-<sourceregion>-<target-region>-GUID

Próximos passos

Saiba mais sobre como mover bancos de dados SQL do Azure e pools elásticos para outra região.