跨區域移動加密的 Azure VM
Azure Resource Mover 可協助您在 Azure 區域之間移動 Azure 資源。 本文討論如何使用 Azure Resource Mover,將加密的 Azure 虛擬機 (VM) 移至不同的 Azure 區域。
加密的 VMS 可描述為下列其中一項:
- 已啟用 Azure 磁碟加密 磁碟的 VM。 如需詳細資訊,請參閱使用 Azure 入口網站 建立和加密 Windows 虛擬機。
- 使用客戶自控金鑰的 VM 進行待用加密或伺服器端加密。 如需詳細資訊,請參閱使用 Azure 入口網站,針對受控磁碟使用客戶管理的密鑰來啟用伺服器端加密。
在本教學課程中,您會了解如何:
- 將加密的 Azure VM 及其相依資源移至另一個 Azure 區域。
注意
教學課程顯示嘗試案例的最快路徑,並且在可行時使用預設選項。
登入 Azure
如果您沒有 Azure 訂用帳戶,請先建立免費帳戶,再開始登入 Azure 入口網站。
必要條件
開始之前,請確認下列事項:
需求 | 詳細資料 |
---|---|
訂用帳戶權限 | 請確定您在訂用帳戶上具有 擁有者 存取權,其中包含您想要移動的資源。 為什麼我需要擁有者存取權? 當您第一次在 Azure 訂用帳戶中新增特定來源和目的地配對的資源時,Resource Mover 會 建立系統指派的受控識別,先前稱為受控服務識別(MSI)。 訂用帳戶信任此身分識別。 您必須先在訂用帳戶中新增資源,才能建立身分識別,併為其指派必要的角色(來源訂用帳戶中的參與者 和 使用者存取管理員 ),您用來新增資源的帳戶需要 訂用帳戶的擁有者 許可權。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。 |
VM 支援 | 執行下列動作,確保支援您想要移動的 VM: |
金鑰儲存庫需求 (Azure 磁碟加密) | 如果您已針對 VM 啟用 Azure 磁碟加密,則需要來源和目的地區域中的密鑰保存庫。 如需詳細資訊,請參閱 建立密鑰保存庫。 針對來源和目的地區域中的金鑰保存庫,您需要下列許可權: |
磁碟加密集 (使用 CMK 進行伺服器端加密) | 如果您使用 VM 搭配使用 CMK 的伺服器端加密,則需要在來源和目的地區域中設定磁碟加密。 如需詳細資訊,請參閱 建立磁碟加密集。 如果您使用硬體安全性模組(HSM 金鑰)進行客戶管理的金鑰,則不支援在區域之間移動。 |
目標區域配額 | 訂用帳戶需要足夠的配額,才能建立您要在目標區域中移動的資源。 如果沒有配額,請 要求額外的限制。 |
目標區域費用 | 確認與您要移動 VM 的目標區域相關聯的定價和費用。 使用定價計算機。 |
確認金鑰保存庫中的許可權
如果您要移動已啟用 Azure 磁碟加密 的 VM,您必須執行文稿。 執行文稿的用戶應該具有適當的許可權來執行此動作。 若要瞭解需要哪些許可權,請參閱 下表。 您可以前往 Azure 入口網站 中的金鑰保存庫,找到變更權限的選項。 在 [設定] 下選取 [存取原則]。
如果用戶權力尚未就緒,請選取 [新增存取原則],然後指定許可權。 如果用戶帳戶已有原則,請在 [使用者] 底下,根據下表中的指示設定許可權。
使用 Azure 磁碟加密 的 Azure VM 可能會有下列變化,您必須根據其相關元件來設定許可權。 VM 可能具有:
- 默認選項,其中磁碟僅使用秘密加密。
- 已新增使用 金鑰加密金鑰 (KEK) 的安全性。
來源區域金鑰保存庫
針對執行文稿的使用者,設定下列元件的許可權:
元件 | 所需權限 |
---|---|
密碼 | Get 選取 [秘密許可權>秘密管理作業],然後選取 [取得]。 |
鑰匙 如果您使用KEK,除了秘密的許可權之外,還需要這些許可權。 |
取得 和 解密 選取 [金鑰許可權>金鑰管理作業],然後選取 [取得]。 在 [ 密碼編譯作業] 中,選取 [ 解密]。 |
目的地區域金鑰保存庫
在 [存取原則] 索引卷標上,確定已啟用磁碟區加密 Azure 磁碟加密。
針對執行文稿的使用者,設定下列元件的許可權:
元件 | 所需權限 |
---|---|
密碼 | 設定 選取 [秘密許可權>秘密管理作業],然後選取 [設定]。 |
鑰匙 如果您使用KEK,除了秘密的許可權之外,還需要這些許可權。 |
取得、 建立和 加密 選取 [金鑰許可權>金鑰管理作業],然後選取 [取得和建立]。 在 [ 密碼編譯作業] 中,選取 [ 加密]。 |
除了上述許可權之外,在目的地密鑰保存庫中,您必須為 Resource Mover 用來代表您存取 Azure 資源的受控系統識別新增許可權。
將許可權新增至受控系統識別
若要新增受控系統識別的許可權(MSI),請遵循下列步驟:
在 [設定] 底下,選取 [新增存取原則]。
在 [ 選取主體] 中,搜尋 MSI。 MSI 名稱為
movecollection-<sourceregion>-<target-region>-<metadata-region>
。針對 MSI,新增下列許可權:
元件 所需權限 密碼 取得 和 清單
選取 [秘密許可權>秘密管理作業],然後選取 [取得和列表]。鑰匙
如果您使用KEK,除了秘密的許可權之外,還需要這些許可權。取得 和 清單
選取 [金鑰許可權>金鑰管理作業],然後選取 [取得和列表]。
將金鑰複製到目的地金鑰保存庫
使用提供的 文稿,將加密秘密和金鑰從來源金鑰保存庫複製到目的地金鑰保存庫。
若要將金鑰從來源金鑰保存庫複製到目的地金鑰保存庫,請遵循下列步驟:
- 在 PowerShell 中執行腳本。 我們建議您使用最新的 PowerShell 版本。
- 具體而言,腳本需要下列模組:
- Az.Compute
- Az.KeyVault (3.0.0 版)
- Az.Accounts (2.2.3 版)
若要執行指令碼,請執行下列動作:
將腳本的內容複製到本機檔案,並將其命名 為 Copy-keys.ps1。
執行指令碼。
登入 Azure 入口網站。
在 [ 使用者輸入 ] 視窗中,選取來源訂用帳戶、資源群組、來源 VM、目標位置和磁碟和密鑰加密的目標保存庫。
使用 [ 選取] 按鈕來執行文稿。
當腳本完成執行時,訊息會通知您 CopyKeys 已成功。
準備 VM
若要準備 VM 以進行移動,請遵循下列步驟:
- 檢查以確定 VM 符合 必要條件之後,請確定您想要移動的 VM 已開啟。 您想要在目的地區域中使用的所有 VM 磁碟,都必須在 VM 中連結和初始化。
- 若要確保 VM 具有最新的受信任跟證書和更新的證書吊銷清單 (CRL),請執行下列動作:
- 在 Windows VM 上,安裝最新的 Windows 更新。
- 在 Linux VM 上,遵循散發者指引,讓機器具有最新的憑證和 CRL。
- 若要允許來自 VM 的輸出連線,請執行下列其中一項動作:
選取要移動的資源
您可以在選取來源區域中的任何資源群組中選取任何支援的資源類型。 您可以將資源移至與來源區域位於相同訂用帳戶中的目標區域。 如果您想要變更訂用帳戶,您可以在移動資源之後執行此動作。
若要選取資源,請執行下列動作:
在 Azure 入口網站 上,搜尋資源行動器。 在 [服務] 底下,選取 [Azure 資源移動器]。
在 [Azure 資源行動器 概觀 ] 窗格中,選取 [ 跨區域移動]。
在 [ 移動資源>來源 + 目的地] 索引 標籤上,執行下列動作:
- 選取來源訂用帳戶和區域。
- 在 [ 目的地] 下,選取您要移動 VM 的區域,然後選取 [ 下一步]。
在 [ 要移動 的資源] 索引標籤上,選取 [ 選取資源 ] 選項,以開啟具有可用 VM 清單的新索引標籤。
在 [ 選取資源] 索引標籤上,選取您要移動的 VM。 如選取要移動的資源一節中所述 ,您只能新增支援移動 的資源。
注意
在本教學課程中,您會選取使用伺服器端加密的 VM(rayne-vm)搭配客戶管理的密鑰,以及已啟用磁碟加密的 VM(rayne-vm-ade)。
選取完成。
選取 [ 要移動 的資源] 索引標籤,然後選取 [ 下一步]。
選取 [ 檢閱] 索引標籤,並檢查來源和目的地設定。
選取 [ 繼續 ] 以開始新增資源。
選取通知圖示以追蹤進度。 程式成功完成之後,在 [ 通知 ] 窗格上,選取 [新增要移動的資源]。
選取通知之後,請檢閱 [跨區域] 頁面上的資源。
注意
- 您新增的資源會置於 「準備擱置中」狀態。
- 系統會自動新增 VM 的資源群組。
- 如果您修改 目的地組態 專案以使用目的地區域中已存在的資源,則資源狀態會設定為 [認可擱置中],因為您不需要為其起始移動。
- 如果您想要移除已新增的資源,您將使用的方法取決於您在行動程式中的位置。 如需詳細資訊,請參閱 管理移動集合和資源群組。
解析相依性
若要在移動之前解決相依性,請遵循下列步驟:
新增相依性之後,會在背景中驗證相依性。 如果您看到 [ 驗證相依性 ] 按鈕,請選取它以觸發手動驗證。
驗證程式隨即開始。
如果找到相依性,請選取 [ 新增相依性]。
在 [ 新增相依性] 窗格上,保留預設 [顯示所有相依性] 選項。
- 顯示所有相依性逐一查看資源的所有直接或間接相依 性。 例如,針對 VM,它會顯示 NIC、虛擬網路、網路安全組 (NSG) 等等。
- 顯示第一層相依性只會 顯示直接相依性。 例如,針對 VM,它會顯示 NIC,但不會顯示虛擬網路。
選取您要新增的相依資源,然後選取 [ 新增相依性]。
新增相依性之後,會自動在背景驗證相依性。 如果您看到 [ 驗證相依性 ] 選項,請選取它以觸發手動驗證。
指派目的地資源
您必須手動指派與加密相關聯的目的地資源。
如果您要移動已啟用 Azure 磁碟加密 的 VM,目的地區域中的金鑰保存庫會顯示為相依性。 如果您要移動具有使用 CMK 之伺服器端加密的 VM,目的地區域中設定的磁碟加密會顯示為相依性。
由於本教學課程示範移動已啟用 Azure 磁碟加密 且使用 CMK 的 VM,因此目的地金鑰保存庫和磁碟加密設定都會顯示為相依性。
若要手動指派目的地資源,請執行下列動作:
在磁碟加密集專案中,選取 [目的地組態] 數據行中未指派的資源。
在 [ 組態設定] 中,選取目的地磁碟加密集,然後選取 [ 儲存變更]。
您可以儲存和驗證所修改之資源的相依性,也可以只儲存變更,並驗證您同時修改的所有專案。
新增目的地資源之後,磁碟加密集的狀態會變更為 [認可移動擱置中]。
在金鑰保存庫專案中,選取 [目的地組態] 資料行中未指派的資源。 在 [組態設定] 下,選取目的地密鑰保存庫,然後儲存您的變更。
在這個階段,磁碟加密集和密鑰保存庫狀態會變更為 [認可移動擱置]。
若要認可並完成加密資源的行動程式,請執行下列動作:
- 在 [跨區域] 中,選取資源 (磁碟加密集或密鑰保存庫),然後選取 [ 認可移動]。
- 在 [移動資源] 中,選取 [認可]。
注意
認可移動之後,資源狀態會變更為 [刪除來源擱置中]。
準備要移動的資源
既然已移動加密資源和來源資源群組,您可以準備移動目前狀態為 [準備擱置] 的其他資源。
在 [ 跨區域] 窗格中,再次驗證移動並解決任何問題。
如果您想要在開始移動之前編輯目標設定,請選取資源 [目的地組態] 資料行中的連結,然後編輯設定。 如果您編輯目標 VM 設定,目標 VM 大小不應小於來源 VM 大小。
針對具有您要移動之準備擱置狀態的資源,請選取 [準備]。
在 [ 準備資源] 窗格中,選取 [ 準備]。
- 在準備期間,Azure Site Recovery 行動代理程式會安裝在 VM 上以復寫它們。
- VM 數據會定期復寫至目標區域。 這不會影響來源 VM。
- 資源移動會產生其他來源資源的 ARM 範本。
起始移動
既然您已備妥資源,您可以起始移動。
在 [ 跨區域] 窗格中,選取狀態為 [起始移動擱置] 的資源,然後選取 [ 起始移動]。
在 [ 移動資源] 窗格中,選取 [ 起始移動]。
追蹤通知列中移動的進度。
- 針對 VM,複本 VM 會在目標區域中建立。 來源 VM 已關閉,而且會發生一些停機時間(通常是分鐘)。
- Resource Mover 會使用備妥的 ARM 範本重新建立其他資源。 通常不會停機。
- 移動資源之後,其狀態會變更為 [認可移動擱置中]。
捨棄或認可移動
初始移動之後,您可以決定是否要認可移動或捨棄移動。
- 捨棄:如果您要測試移動,而且不想實際移動來源資源,您可能會捨棄移動。 捨棄移動會將資源傳回起始 移動暫止 狀態。
- 認可:認可會完成移至目標區域的動作。 認可來源資源之後,其狀態會變更為 [刪除來源擱置中],而且您可以決定是否要刪除它。
捨棄移動
若要捨棄移動,請執行下列動作:
- 在 [ 跨區域] 窗格中,選取狀態為 [認可移動擱置] 的資源,然後選取 [ 捨棄移動]。
- 在 [ 捨棄移動 ] 窗格中,選取 [ 捨棄]。
- 追蹤通知列中移動的進度。
注意
捨棄資源之後,VM 狀態會變更為 [起始移動擱置]。
認可移動
若要完成行動程式,您可以執行下列動作來認可移動:
注意
- 認可移動之後,VM 會停止複寫。 來源 VM 不受認可影響。
- 認可程式不會影響來源網路資源。
- 認可移動之後,資源狀態會變更為 [刪除來源擱置中]。
在移動之後設定設定
您可以在移動程式之後設定下列設定:
- 行動服務不會自動從 VM 卸載。 手動卸載,或如果您打算再次移動伺服器,請將其保留。
- 在移動之後修改 Azure 角色型存取控制 (RBAC) 規則。
認可后刪除來源資源
移動之後,您可以選擇性地刪除來源區域中的資源。
- 在 [ 跨區域] 窗格中,選取您要刪除的每個來源資源,然後選取 [ 刪除來源]。
- 在 [刪除來源] 中,檢閱您想要刪除的內容,然後在 [確認刪除] 中輸入 yes。
警告
動作無法復原,因此請仔細檢查!
- 輸入 [是] 之後,請選取 [ 刪除來源]。
注意
在資源移動入口網站中,您無法刪除資源群組、金鑰保存庫或 SQL Server 實例。 您必須從每個資源的屬性頁面中個別刪除每個資源。
刪除您為移動建立的資源
移動之後,您可以手動刪除您在此程式期間建立的移動集合和 Site Recovery 資源。
- 預設會隱藏移動集合。 若要查看它,您必須開啟隱藏的資源。
- 快取記憶體具有必須刪除的鎖定,才能加以刪除。
若要刪除您的資源,請執行下列動作:
找出資源群組
RegionMoveRG-<sourceregion>-<target-region>
中的資源。檢查以確定來源區域中的所有 VM 和其他來源資源都已移動或刪除。 此步驟可確保沒有任何擱置的資源正在使用它們。
刪除資源:
- 移動集合名稱:
movecollection-<sourceregion>-<target-region>
- 快取記憶體帳戶名稱:
resmovecache<guid>
- 儲存函式庫名稱:
ResourceMove-<sourceregion>-<target-region>-GUID
- 移動集合名稱:
下一步
深入瞭解 如何將 Azure SQL 資料庫和彈性集區移至另一個區域。