Dela via

Migrera virtuella VMware-datorer till virtuella Azure-datorer som är aktiverade med kryptering på serversidan och kundhanterade nycklar

  • Artikel

Den här artikeln beskriver hur du migrerar virtuella VMware-datorer till virtuella Azure-datorer med diskar krypterade med hjälp av kryptering på serversidan (SSE) med kundhanterade nycklar (CMK), med hjälp av migrering och modernisering (agentlös replikering).

Kommentar

Den här dokumentationen om VMware-migrering från slutpunkt till slutpunkt finns för närvarande i förhandsversion. Mer information om hur du använder Azure Migrate finns i produktdokumentationen för Azure Migrate.

Med portalen för migrering och modernisering kan du migrera virtuella VMware-datorer till Azure med agentlös replikering. Portalupplevelsen stöder DES/CMK. DES bör skapas innan replikeringen startas och måste anges när replikeringen startas. Det kan inte anges vid tidpunkten för migreringen. I den här artikeln får du se hur du skapar och distribuerar en Azure Resource Manager-mall för att replikera en virtuell VMware-dator och konfigurera de replikerade diskarna i Azure för att använda SSE med CMK.

Exemplen i den här artikeln använder Azure PowerShell för att utföra de uppgifter som behövs för att skapa och distribuera Resource Manager-mallen.

Läs mer om kryptering på serversidan (SSE) med kundhanterade nycklar (CMK) för hanterade diskar.

Förutsättningar

  • Läs självstudien om migrering av virtuella VMware-datorer till Azure med agentlös replikering för att förstå verktygskraven.
  • Följ de här anvisningarna för att skapa ett Azure Migrate-projekt och lägga till migrerings- och moderniseringsverktyget i projektet.
  • Följ de här anvisningarna för att konfigurera Azure Migrate-installationen för VMware i din lokala miljö och slutföra identifieringen.

Förbereda för replikering

När identifieringen av den virtuella datorn är klar visar raden Identifierade servrar på panelen Migrering och modernisering ett antal virtuella VMware-datorer som identifierats av installationen.

Innan du kan börja replikera virtuella datorer måste replikeringsinfrastrukturen förberedas.

  1. Skapa en Service Bus-instans i målregionen. Service Bus används av den lokala Azure Migrate-installationen för att kommunicera med migrerings- och moderniseringstjänsten för att samordna replikering och migrering.
  2. Skapa ett lagringskonto för överföring av åtgärdsloggar från replikering.
  3. Skapa ett lagringskonto som Azure Migrate-installationen laddar upp replikeringsdata till.
  4. Skapa ett Key Vault och konfigurera Key Vault för att hantera signaturtoken för delad åtkomst för blobåtkomst på lagringskontona som skapades i steg 3 och 4.
  5. Generera en signaturtoken för delad åtkomst för servicebussen som skapades i steg 1 och skapa en hemlighet för token i nyckelvalvet som skapades i föregående steg.
  6. Skapa en key vault-åtkomstprincip för att ge den lokala Azure Migrate-installationen (med hjälp av AAD-appen för installationen) och migrerings- och moderniseringstjänsten åtkomst till Key Vault.
  7. Skapa en replikeringsprincip och konfigurera migrerings- och moderniseringstjänsten med information om replikeringsinfrastrukturen som skapades i föregående steg.

Replikeringsinfrastrukturen måste skapas i Azure-målregionen för migreringen och i den Azure-målprenumeration som de virtuella datorerna migreras till.

Portalen för migrering och modernisering förenklar förberedelsen av replikeringsinfrastrukturen genom att automatiskt göra detta åt dig när du replikerar en virtuell dator för första gången i ett projekt. I den här artikeln förutsätter vi att du redan har replikerat en eller flera virtuella datorer med hjälp av portalupplevelsen och att replikeringsinfrastrukturen redan har skapats. Vi ska titta på hur du identifierar information om den befintliga replikeringsinfrastrukturen och hur du använder den här informationen som indata till Resource Manager-mallen som ska användas för att konfigurera replikering med CMK.

Identifiera komponenter i replikeringsinfrastrukturen

  1. På Azure Portal går du till sidan resursgrupper och väljer den resursgrupp där Azure Migrate-projektet skapades.
  2. Välj Distributioner på den vänstra menyn och sök efter ett distributionsnamn som börjar med strängen "Microsoft.MigrateV2.VMwareV2EnableMigrate". Du ser en lista över Resource Manager-mallar som skapats av portalupplevelsen för att konfigurera replikering för virtuella datorer i det här projektet. Vi laddar ned en sådan mall och använder den som bas för att förbereda mallen för replikering med CMK.
  3. Om du vill ladda ned mallen väljer du en distribution som matchar strängmönstret i föregående steg > och väljer Mall på den vänstra menyn > och väljer Ladda ned på den översta menyn. Spara filen template.json lokalt. Du redigerar den här mallfilen i det sista steget.

Skapa en diskkrypteringsuppsättning

Ett objekt för diskkrypteringsuppsättning mappar Managed Disks till ett Key Vault som innehåller CMK:t som ska användas för SSE. Om du vill replikera virtuella datorer med CMK skapar du en diskkrypteringsuppsättning och skickar den som indata till replikeringsåtgärden.

Följ exemplet här för att skapa en diskkrypteringsuppsättning med Hjälp av Azure PowerShell. Kontrollera att diskkrypteringsuppsättningen skapas i målprenumerationen som virtuella datorer migreras till och i azure-målregionen för migreringen.

Diskkrypteringsuppsättningen kan konfigureras för att kryptera hanterade diskar med en kundhanterad nyckel eller för dubbel kryptering med både en kundhanterad nyckel och en plattformsnyckel. Om du vill använda alternativet dubbel kryptering i vila konfigurerar du diskkrypteringsuppsättningen enligt beskrivningen här.

I exemplet nedan är diskkrypteringsuppsättningen konfigurerad för att använda en kundhanterad nyckel.

$Location = "southcentralus"                           #Target Azure region for migration 
$TargetResourceGroupName = "ContosoMigrationTarget"
$KeyVaultName = "ContosoCMKKV"
$KeyName = "ContosoCMKKey"
$KeyDestination = "Software"
$DiskEncryptionSetName = "ContosoCMKDES"

$KeyVault = New-AzKeyVault -Name $KeyVaultName -ResourceGroupName $TargetResourceGroupName -Location $Location -EnableSoftDelete -EnablePurgeProtection

$Key = Add-AzKeyVaultKey -VaultName $KeyVaultName -Name $KeyName -Destination $KeyDestination

$desConfig = New-AzDiskEncryptionSetConfig -Location $Location -SourceVaultId $KeyVault.ResourceId -KeyUrl $Key.Key.Kid -IdentityType SystemAssigned

$des = New-AzDiskEncryptionSet -Name $DiskEncryptionSetName -ResourceGroupName $TargetResourceGroupName -InputObject $desConfig

Set-AzKeyVaultAccessPolicy -VaultName $KeyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

New-AzRoleAssignment -ResourceName $KeyVaultName -ResourceGroupName $TargetResourceGroupName -ResourceType "Microsoft.KeyVault/vaults" -ObjectId $des.Identity.PrincipalId -RoleDefinitionName "Reader"

Hämta information om den virtuella VMware-datorn som ska migreras

I det här steget använder du Azure PowerShell för att få information om den virtuella dator som måste migreras. Den här informationen används för att skapa Resource Manager-mallen för replikering. Mer specifikt är de två egenskaperna av intresse:

  • Datorns resurs-ID för de identifierade virtuella datorerna.
  • Listan över diskar för den virtuella datorn och deras diskidentifierare.

$ProjectResourceGroup = "ContosoVMwareCMK"   #Resource group that the Azure Migrate Project is created in
$ProjectName = "ContosoVMwareCMK"            #Name of the Azure Migrate Project

$solution = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.Migrate/MigrateProjects/solutions -ExpandProperties -ResourceName $ProjectName | where Name -eq "Servers-Discovery-ServerDis
covery"

# Displays one entry for each appliance in the project mapping the appliance to the VMware sites discovered through the appliance.
$solution.Properties.details.extendedDetails.applianceNameToSiteIdMapV2 | ConvertFrom-Json | select ApplianceName, SiteId

ApplianceName  SiteId
-------------  ------
VMwareApplianc /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite

Kopiera värdet för SiteId-strängen som motsvarar den Azure Migrate-installation som den virtuella datorn identifieras genom. I exemplet ovan är SiteId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"


#Replace value with SiteId from the previous step
$SiteId = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"
$SiteName = Get-AzResource -ResourceId $SiteId -ExpandProperties | Select-Object -ExpandProperty Name
$DiscoveredMachines = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.OffAzure/VMwareSites/machines  -ExpandProperties -ResourceName $SiteName

#Get machine details
PS /home/bharathram> $MachineName = "FPL-W19-09"     #Replace string with VMware VM name of the machine to migrate
PS /home/bharathram> $machine = $Discoveredmachines | where {$_.Properties.displayName -eq $MachineName}
PS /home/bharathram> $machine.count   #Validate that only 1 VM was found matching this name.

Kopiera värdena ResourceId, name och disk uuid för den dator som ska migreras.

PS > $machine.Name
10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210
PS > $machine.ResourceId
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210

PS > $machine.Properties.disks | select uuid, label, name, maxSizeInBytes

uuid                                 label       name    maxSizeInBytes
----                                 -----       ----    --------------
6000C291-5106-2aac-7a74-4f33c3ddb78c Hard disk 1 scsi0:0    42949672960
6000C293-39a1-bd70-7b24-735f0eeb79c4 Hard disk 2 scsi0:1    53687091200
6000C29e-cbee-4d79-39c7-d00dd0208aa9 Hard disk 3 scsi0:2    53687091200

Skapa Resource Manager-mall för replikering

  • Öppna resource manager-mallfilen som du laddade ned i steget Identifiera komponenter i replikeringsinfrastrukturen i valfri redigerare.
  • Ta bort alla resursdefinitioner från mallen förutom resurser av typen "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems"
  • Om det finns flera resursdefinitioner av ovanstående typ tar du bort alla utom en. Ta bort eventuella dependsOn-egenskapsdefinitioner från resursdefinitionen.
  • I slutet av det här steget bör du ha en fil som ser ut som exemplet nedan och har samma uppsättning egenskaper.
{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
            "apiVersion": "2018-01-10",
            "name": "ContosoMigration7371rsvault/VMware104e4replicationfabric/VMware104e4replicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
            "properties": {
                "policyId": "/Subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.RecoveryServices/vaults/ContosoMigration7371rsvault/replicationPolicies/migrateVMware104e4sitepolicy",
                "providerSpecificDetails": {
                    "instanceType": "VMwareCbt",
                    "vmwareMachineId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
                    "targetResourceGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG",
                    "targetNetworkId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG/providers/Microsoft.Network/virtualNetworks/PayrollNW",
                    "targetSubnetName": "PayrollSubnet",
                    "licenseType": "NoLicenseType",
                    "disksToInclude": [
                        {
                            "diskId": "6000C295-dafe-a0eb-906e-d47cb5b05a1d",
                            "isOSDisk": "true",
                            "logStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
                            "logStorageAccountSasSecretName": "migratelsa1432469187-cacheSas",
                            "diskType": "Standard_LRS"
                        }
                    ],
                    "dataMoverRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
                    "snapshotRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
                    "targetBootDiagnosticsStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
                    "targetVmName": "PayrollWeb04"
                }
            }
        }
    ]
}
  • Redigera namnegenskapen i resursdefinitionen. Ersätt strängen som följer den sista "/" i namnegenskapen med värdet för $machine. Name( från föregående steg).
  • Ändra värdet för egenskapen properties.providerSpecificDetails.vmwareMachineId med värdet $machine. ResourceId( från föregående steg).
  • Ange värdena för targetResourceGroupId, targetNetworkId, targetSubnetName till målresursgruppens ID, målresurs-ID för virtuellt nätverk respektive målundernätnamn.
  • Ange värdet för licenseType till "WindowsServer" för att tillämpa Azure Hybrid-förmån för den här virtuella datorn. Om den här virtuella datorn inte är berättigad till Azure Hybrid-förmån anger du värdet för licenseType till NoLicenseType.
  • Ändra värdet för egenskapen targetVmName till önskat namn på den virtuella Azure-datorn för den migrerade virtuella datorn.
  • Du kan också lägga till en egenskap med namnet targetVmSize under egenskapen targetVmName . Ange värdet för egenskapen targetVmSize till önskad storlek på den virtuella Azure-datorn för den migrerade virtuella datorn.
  • Egenskapen disksToInclude är en lista över diskindata för replikering med varje listobjekt som representerar en lokal disk. Skapa så många listobjekt som antalet diskar på den lokala virtuella datorn. Ersätt egenskapen diskId i listobjektet till uuid för diskarna som identifierades i föregående steg. Ange värdet isOSDisk till "true" för den virtuella datorns OS-disk och "false" för alla andra diskar. Lämna egenskaperna logStorageAccountId och logStorageAccountSasSecretName oförändrade. Ange diskType-värdet till den Azure Managed Disk-typ (Standard_LRS, Premium_LRS, StandardSSD_LRS) som ska användas för disken. För de diskar som måste krypteras med CMK lägger du till en egenskap med namnet diskEncryptionSetId och anger värdet till resurs-ID:t för diskkrypteringsuppsättningen som skapats ($des. ID) i steget Skapa en diskkrypteringsuppsättning
  • Spara den redigerade mallfilen. I exemplet ovan ser den redigerade mallfilen ut så här:
{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
            "apiVersion": "2018-01-10",
            "name": "ContosoVMwareCMK00ddrsvault/VMwareApplianca8bareplicationfabric/VMwareApplianca8bareplicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
            "properties": {
                "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.RecoveryServices/vaults/ContosoVMwareCMK00ddrsvault/replicationPolicies/migrateVMwareApplianca8basitepolicy",
                "providerSpecificDetails": {
                    "instanceType": "VMwareCbt",
                    "vmwareMachineId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
                    "targetResourceGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoMigrationTarget",
                    "targetNetworkId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/cmkRTest/providers/Microsoft.Network/virtualNetworks/cmkvm1_vnet",
                    "targetSubnetName": "cmkvm1_subnet",
                    "licenseType": "NoLicenseType",
                    "disksToInclude": [
                        {
                            "diskId": "6000C291-5106-2aac-7a74-4f33c3ddb78c",
                            "isOSDisk": "true",
                            "logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
                            "logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
                            "diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
                            "diskType": "Standard_LRS"
                        },
                        {
                            "diskId": "6000C293-39a1-bd70-7b24-735f0eeb79c4",
                            "isOSDisk": "false",
                            "logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
                            "logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
                            "diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
                            "diskType": "Standard_LRS"
                        },
                        {
                            "diskId": "6000C29e-cbee-4d79-39c7-d00dd0208aa9",
                            "isOSDisk": "false",
                            "logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
                            "logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
                            "diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
                            "diskType": "Standard_LRS"
                        }
                    ],
                    "dataMoverRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
                    "snapshotRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
                    "targetBootDiagnosticsStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
                    "performAutoResync": "true",
                    "targetVmName": "FPL-W19-09"
                }
            }
        }
    ]
}

Konfigurera replikering

Nu kan du distribuera den redigerade Resource Manager-mallen till projektresursgruppen för att konfigurera replikering för den virtuella datorn. Lär dig hur du distribuerar resurser med Azure Resource Manager-mallar och Azure PowerShell

New-AzResourceGroupDeployment -ResourceGroupName $ProjectResourceGroup -TemplateFile "C:\Users\Administrator\Downloads\template.json"

DeploymentName          : template
ResourceGroupName       : ContosoVMwareCMK
ProvisioningState       : Succeeded
Timestamp               : 3/11/2020 8:52:00 PM
Mode                    : Incremental
TemplateLink            :
Parameters              :
Outputs                 :
DeploymentDebugLogLevel :

Nästa steg

Övervaka replikeringsstatus via portalen och utför testmigreringar och migrering.