Flytta krypterade virtuella Azure-datorer mellan regioner
Azure Resource Mover hjälper dig att flytta Azure-resurser mellan Azure-regioner. Den här artikeln beskriver hur du flyttar krypterade virtuella Azure-datorer till en annan Azure-region med hjälp av Azure Resource Mover.
Krypterade virtuella datorer kan beskrivas som antingen:
- Virtuella datorer som har diskar med Azure Disk Encryption aktiverat. Mer information finns i Skapa och kryptera en virtuell Windows-dator med hjälp av Azure Portal.
- Virtuella datorer som använder kundhanterade nycklar (CMK:er) för kryptering i vila eller kryptering på serversidan. Mer information finns i Använda Azure Portal för att aktivera kryptering på serversidan med kundhanterade nycklar för hanterade diskar.
I den här självstudien lär du dig att:
- Flytta krypterade virtuella Azure-datorer och deras beroende resurser till en annan Azure-region.
Kommentar
Självstudier visar den snabbaste sökvägen för att testa ett scenario och använda standardalternativ där det är möjligt.
Logga in på Azure
Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar och loggar in på Azure Portal.
Förutsättningar
Kontrollera följande innan du börjar:
Krav | Information |
---|---|
Prenumerationsbehörigheter | Kontrollera att du har ägaråtkomst för den prenumeration som innehåller de resurser som du vill flytta. Varför behöver jag ägaråtkomst? Första gången du lägger till en resurs för ett specifikt käll- och målpar i en Azure-prenumeration skapar Resource Mover en systemtilldelad hanterad identitet, som tidigare kallades MSI (Managed Service Identity). Den här identiteten är betrodd av prenumerationen. Innan du kan skapa identiteten och tilldela den de roller som krävs (deltagare och administratör för användaråtkomst i källprenumerationen) måste kontot du använder för att lägga till resurser ha ägarbehörigheter i prenumerationen. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller. |
Stöd för virtuella datorer | Se till att de virtuella datorer som du vill flytta stöds genom att göra följande: |
Krav för nyckelvalv (Azure Disk Encryption) | Om du har Azure Disk Encryption aktiverat för virtuella datorer behöver du ett nyckelvalv i både käll- och målregionerna. Mer information finns i Skapa ett nyckelvalv. För nyckelvalv i käll- och målregionerna behöver du följande behörigheter: |
Diskkrypteringsuppsättning (kryptering på serversidan med CMK) | Om du använder virtuella datorer med kryptering på serversidan som använder en CMK behöver du en diskkrypteringsuppsättning i både käll- och målregionerna. Mer information finns i Skapa en diskkrypteringsuppsättning. Det går inte att flytta mellan regioner om du använder en maskinvarusäkerhetsmodul (HSM-nycklar) för kundhanterade nycklar. |
Målregionkvot | Prenumerationen behöver tillräckligt med kvot för att skapa de resurser som du flyttar i målregionen. Om den inte har någon kvot begär du ytterligare gränser. |
Avgifter för målregion | Kontrollera de priser och avgifter som är associerade med målregionen som du flyttar de virtuella datorerna till. Använd priskalkylatorn. |
Verifiera behörigheter i nyckelvalvet
Om du flyttar virtuella datorer som har Azure Disk Encryption aktiverat måste du köra ett skript. De användare som kör skriptet bör ha rätt behörighet att göra det. Information om vilka behörigheter som krävs finns i följande tabell. Du hittar alternativen för att ändra behörigheterna genom att gå till nyckelvalvet i Azure Portal. Under Inställningar väljer du Åtkomstprinciper.
Om användarbehörigheterna inte är på plats väljer du Lägg till åtkomstprincip och anger behörigheterna. Om användarkontot redan har en princip under Användare anger du behörigheterna enligt anvisningarna i följande tabell.
Virtuella Azure-datorer som använder Azure Disk Encryption kan ha följande varianter och du måste ange behörigheterna enligt deras relevanta komponenter. De virtuella datorerna kan ha:
- Ett standardalternativ där disken endast krypteras med hemligheter.
- Säkerhet som använder en nyckelkrypteringsnyckel (KEK) har lagts till.
Nyckelvalv för källregion
För användare som kör skriptet anger du behörigheter för följande komponenter:
Komponent | Privilegier som krävs |
---|---|
Hemligheter | Hämta Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Hämta. |
Nycklar Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter. |
Hämta och dekryptera Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta. I Kryptografiska åtgärder väljer du Dekryptera. |
Nyckelvalv för målregion
På fliken Åtkomstprinciper kontrollerar du att Azure Disk Encryption för volymkryptering är aktiverat.
För användare som kör skriptet anger du behörigheter för följande komponenter:
Komponent | Privilegier som krävs |
---|---|
Hemligheter | Ställ in Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Ange. |
Nycklar Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter. |
Hämta, skapa och kryptera Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta och Skapa. I Kryptografiska åtgärder väljer du Kryptera. |
Förutom föregående behörigheter måste du i målnyckelvalvet lägga till behörigheter för den hanterade systemidentitet som Resource Mover använder för att få åtkomst till Azure-resurserna åt dig.
Lägga till behörigheter till hanterad systemidentitet
Följ dessa steg om du vill lägga till behörigheter för den hanterade systemidentiteten (MSI):
Under Inställningar väljer du Lägg till åtkomstprinciper.
I Välj huvudnamn söker du efter MSI. MSI-namnet är
movecollection-<sourceregion>-<target-region>-<metadata-region>
.Lägg till följande behörigheter för MSI:
Komponent Privilegier som krävs Hemligheter Hämta och lista
Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Hämta och Lista.Nycklar
Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter.Hämta och lista
Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta och lista.
Kopiera nycklarna till målnyckelvalvet
Kopiera krypteringshemligheterna och nycklarna från källnyckelvalvet till målnyckelvalvet med hjälp av det angivna skriptet.
Följ dessa steg för att kopiera nycklarna från källnyckelvalvet till målnyckelvalvet:
- Kör skriptet i PowerShell. Vi rekommenderar att du använder den senaste PowerShell-versionen.
- Mer specifikt kräver skriptet dessa moduler:
- Az.Compute
- Az.KeyVault (version 3.0.0)
- Az.Accounts (version 2.2.3)
Kör skriptet genom att göra följande:
Kopiera innehållet i skriptet till en lokal fil och ge det namnet Copy-keys.ps1.
Kör skriptet.
Logga in på Azure-portalen.
Under fönstret Användarindata väljer du källprenumerationen , resursgruppen, den virtuella källdatorn, målplatsen och målvalv för disk- och nyckelkryptering.
Använd knappen Välj för att köra skriptet.
När skriptet har körts meddelar ett meddelande dig att CopyKeys har lyckats.
Förbereda virtuella datorer
Följ dessa steg för att förbereda virtuella datorer för flytten:
- När du har kontrollerat att de virtuella datorerna uppfyller kraven kontrollerar du att de virtuella datorer som du vill flytta är aktiverade. Alla virtuella datordiskar som du vill ska vara tillgängliga i målregionen måste vara anslutna och initierade på den virtuella datorn.
- För att säkerställa att de virtuella datorerna har de senaste betrodda rotcertifikaten och en uppdaterad lista över återkallade certifikat (CRL) gör du följande:
- Installera de senaste Windows-uppdateringarna på virtuella Windows-datorer.
- På virtuella Linux-datorer följer du distributörsvägledningen så att datorerna har de senaste certifikaten och CRL.
- Om du vill tillåta utgående anslutning från de virtuella datorerna gör du något av följande:
- Om du använder en URL-baserad brandväggsproxy för att styra utgående anslutning kan du tillåta åtkomst till URL:erna.
- Om du använder regler för nätverkssäkerhetsgrupp (NSG) för att styra utgående anslutning skapar du dessa regler för tjänsttaggar.
Välj de resurser som ska flyttas
Du kan välja valfri resurstyp som stöds i någon av resursgrupperna i källregionen som du väljer. Du kan flytta resurser till en målregion som finns i samma prenumeration som källregionen. Om du vill ändra prenumerationen kan du göra det när resurserna har flyttats.
Gör följande för att välja resurser:
På Azure Portal söker du efter resursflyttare. Under Tjänster väljer du Azure Resource Mover.
I fönstret Översikt över Azure Resource Mover väljer du Flytta mellan regioner.
Gör följande på fliken Flytta resurser>Källa + mål:
- Välj källprenumeration och region.
- Under Mål väljer du den region där du vill flytta de virtuella datorerna och väljer Nästa.
På fliken Resurser att flytta väljer du alternativet Välj resurser för att öppna en ny flik med listan tillgängliga virtuella datorer.
På fliken Välj resurser väljer du de virtuella datorer som du vill flytta. Som du nämnde i avsnittet Välj de resurser som ska flyttas kan du bara lägga till resurser som stöds för en flytt.
Kommentar
I den här självstudien väljer du en virtuell dator som använder kryptering på serversidan (rayne-vm) med en kundhanterad nyckel och en virtuell dator med diskkryptering aktiverat (rayne-vm-ade).
Välj Klar.
Välj fliken Resurser för att flytta och välj Nästa.
Välj fliken Granska och kontrollera käll- och målinställningarna.
Välj Fortsätt för att börja lägga till resurserna.
Välj meddelandeikonen för att spåra förloppet. När processen har slutförts går du till fönstret Meddelanden och väljer Tillagda resurser för flytt.
När du har valt meddelandet granskar du resurserna på sidan Över regioner .
Kommentar
- De resurser som du lägger till placeras i tillståndet Förbered väntar .
- Resursgruppen för de virtuella datorerna läggs till automatiskt.
- Om du ändrar målkonfigurationsposterna så att de använder en resurs som redan finns i målregionen är resurstillståndet inställt på Incheckning väntar, eftersom du inte behöver initiera en flytt för den.
- Om du vill ta bort en resurs som har lagts till beror metoden du använder på var du befinner dig i flyttprocessen. Mer information finns i Hantera flyttsamlingar och resursgrupper.
Lösa beroenden
Följ dessa steg för att lösa beroenden före flytten:
Beroenden verifieras i bakgrunden när du har lagt till dem. Om du ser knappen Verifiera beroenden väljer du den för att utlösa den manuella valideringen.
Valideringsprocessen börjar.
Om beroenden hittas väljer du Lägg till beroenden.
I fönstret Lägg till beroenden behåller du alternativet Visa alla beroenden som standard.
- Visa alla beroenden som itererar genom alla direkta och indirekta beroenden för en resurs. För en virtuell dator visas till exempel nätverkskortet, det virtuella nätverket, nätverkssäkerhetsgrupper (NSG:er) och så vidare.
- Visa beroenden på första nivån visar endast direkta beroenden. För en virtuell dator visas till exempel nätverkskortet men inte det virtuella nätverket.
Välj de beroende resurser som du vill lägga till och välj Lägg till beroenden.
Beroenden verifieras automatiskt i bakgrunden när du har lagt till dem. Om du ser alternativet Verifiera beroenden väljer du det för att utlösa den manuella valideringen.
Tilldela målresurser
Du måste tilldela målresurser som är associerade med kryptering manuellt.
Om du flyttar en virtuell dator som har Azure Disk Encryption aktiverat visas nyckelvalvet i målregionen som ett beroende. Om du flyttar en virtuell dator med kryptering på serversidan som använder CMK:er visas diskkrypteringsuppsättningen i målregionen som ett beroende.
Eftersom den här självstudien visar hur du flyttar en virtuell dator som har Azure Disk Encryption aktiverat och som använder en CMK visas både målnyckelvalvet och diskkrypteringsuppsättningen som beroenden.
Gör följande för att tilldela målresurserna manuellt:
I posten för diskkrypteringsuppsättningen väljer du Resurs som inte har tilldelats i kolumnen Målkonfiguration .
I Konfigurationsinställningar väljer du måldiskkrypteringsuppsättningen och väljer Spara ändringar.
Du kan spara och verifiera beroenden för den resurs som du ändrar, eller så kan du bara spara ändringarna och verifiera allt du ändrar samtidigt.
När du har lagt till målresursen ändras statusen för diskkrypteringsuppsättningen till Incheckning väntar.
I nyckelvalvets post väljer du Resurs som inte har tilldelats i kolumnen Målkonfiguration . Under Konfigurationsinställningar väljer du målnyckelvalvet och sparar ändringarna.
I det här skedet ändras diskkrypteringsuppsättningen och nyckelvalvsstatusarna till Incheckning väntar.
Gör följande för att checka in och slutföra flyttprocessen för krypteringsresurser:
- I Flera regioner väljer du resursen (diskkrypteringsuppsättning eller nyckelvalv) och väljer Genomför flytt.
- I Flytta resurser väljer du Checka in.
Kommentar
När du har checkat in flytten ändras resursstatusen till Ta bort väntande källa.
Förbereda resurser för flytt
Nu när krypteringsresurserna och källresursgruppen har flyttats kan du förbereda för att flytta andra resurser vars aktuella status är Förbered väntar.
I fönstret Över regioner validerar du flytten igen och löser eventuella problem.
Om du vill redigera målinställningarna innan du påbörjar flytten väljer du länken i kolumnen Målkonfiguration för resursen och redigerar inställningarna. Om du redigerar inställningarna för den virtuella måldatorn bör storleken på den virtuella måldatorn inte vara mindre än storleken på den virtuella källdatorn.
För resurser med statusen Förbered väntar som du vill flytta väljer du Förbered.
I fönstret Förbered resurser väljer du Förbered.
- Under förberedelserna installeras Azure Site Recovery-mobilitetsagenten på de virtuella datorerna för att replikera dem.
- Vm-data replikeras regelbundet till målregionen. Detta påverkar inte den virtuella källdatorn.
- Resource Move genererar ARM-mallar för de andra källresurserna.
Initiera flytten
Nu när du har förberett resurserna kan du initiera flytten.
I fönstret Över regioner väljer du de resurser vars status är Initiera flytt väntar och väljer Initiera flytt.
I fönstret Flytta resurser väljer du Initiera flytt.
Spåra förloppet för flytten i meddelandefältet.
- För virtuella datorer skapas virtuella replikdatorer i målregionen. Den virtuella källdatorn stängs av och viss stilleståndstid inträffar (vanligtvis minuter).
- Resource Mover återskapar andra resurser med hjälp av de förberedda ARM-mallarna. Det är vanligtvis ingen stilleståndstid.
- När du har flyttat resurserna ändras deras status till Incheckningsflytt väntar.
Ignorera eller checka in flytten
Efter den första flytten kan du bestämma om du vill checka in flytten eller ta bort den.
- Ignorera: Du kan ignorera en flytt om du testar den och inte vill flytta källresursen. Om du tar bort flytten returneras resursen till Initiera flytt väntar på status.
- Incheckning: Incheckning slutför flytten till målregionen. När du har checkat in en källresurs ändras statusen till Ta bort väntande källa och du kan bestämma om du vill ta bort den.
Ignorera flytten
Gör följande för att ignorera flytten:
- I fönstret Över regioner väljer du resurser vars status är Incheckning väntar på flytt och väljer Ignorera flytt.
- I fönstret Ignorera flytt väljer du Ignorera.
- Spåra förloppet för flytten i meddelandefältet.
Kommentar
När du har tagit bort resurserna ändras statusen för den virtuella datorn till Initiera flytt väntar.
Checka in flytten
För att slutföra flyttprocessen genomför du flytten genom att göra följande:
I fönstret Över regioner väljer du resurser vars status är Checka in flytt väntar och väljer Checka in flytt.
I fönstret Incheckningsresurser väljer du Checka in.
Spåra incheckningens förlopp i meddelandefältet.
Kommentar
- När du har checkat in flytten slutar de virtuella datorerna att replikera. Den virtuella källdatorn påverkas inte av incheckningen.
- Incheckningsprocessen påverkar inte källnätverksresurserna.
- När du har checkat in flytten ändras resursstatusen till Ta bort väntande källa.
Konfigurera inställningar efter flytten
Du kan konfigurera följande inställningar efter flyttprocessen:
- Mobilitetstjänsten avinstalleras inte automatiskt från virtuella datorer. Avinstallera den manuellt eller lämna den om du planerar att flytta servern igen.
- Ändra RBAC-regler (Rollbaserad åtkomstkontroll) i Azure efter flytten.
Ta bort källresurser efter incheckning
Efter flytten kan du ta bort resurser i källregionen.
- I fönstret Över regioner väljer du varje källresurs som du vill ta bort och väljer Ta bort källa.
- I Ta bort källa granskar du vad du tänker ta bort och skriver ja i Bekräfta borttagning.
Varning
Åtgärden är oåterkallelig, så kontrollera noggrant!
- När du har skrivt ja väljer du Ta bort källa.
Kommentar
I Resource Move-portalen kan du inte ta bort resursgrupper, nyckelvalv eller SQL Server-instanser. Du måste ta bort var och en individuellt från egenskapssidan för varje resurs.
Ta bort resurser som du skapade för flytten
Efter flytten kan du manuellt ta bort flyttsamlingen och Site Recovery-resurserna som du skapade under den här processen.
- Flyttsamlingen är dold som standard. Om du vill se den måste du aktivera dolda resurser.
- Cachelagringen har ett lås som måste tas bort innan det kan tas bort.
Gör följande för att ta bort dina resurser:
Leta upp resurserna i resursgruppen
RegionMoveRG-<sourceregion>-<target-region>
.Kontrollera att alla virtuella datorer och andra källresurser i källregionen har flyttats eller tagits bort. Det här steget säkerställer att inga väntande resurser använder dem.
Ta bort resurserna:
- Flytta samlingsnamn:
movecollection-<sourceregion>-<target-region>
- Namn på cachelagringskonto:
resmovecache<guid>
- Valvnamn:
ResourceMove-<sourceregion>-<target-region>-GUID
- Flytta samlingsnamn:
Nästa steg
Läs mer om att flytta Azure SQL-databaser och elastiska pooler till en annan region.