نقل Azure Key Vault إلى منطقة أخرى

هناك أسباب مختلفة وراء رغبتك في نقل موارد Azure الحالية من منطقة إلى أخرى. قد ترغب في:

• استفد من منطقة Azure جديدة.
• نشر الميزات أو الخدمات المتوفرة في مناطق معينة فقط.
• تلبية متطلبات السياسة الداخلية والحوكمة.
• التوافق مع عمليات الدمج والاستحواذ الخاصة بالشركات
• تلبية متطلبات تخطيط السعة.

لا يدعم Azure Key Vault نقل مخزن المفاتيح إلى منطقة أخرى.

بدلا من الانتقال، تحتاج إلى:

• إنشاء مخزن مفاتيح جديد مع نقل خدمات Azure المقترنة.
• إعادة إنشاء أي مفاتيح أو أسرار أو شهادات مطلوبة. في بعض الحالات، قد تحتاج إلى نقل الأسرار أو الشهادات من مخزن المفاتيح الحالي إلى مخزن المفاتيح الذي تم نقله.

المتطلبات الأساسية

• تحقق من أن اشتراك Azure يسمح لك بإنشاء خزائن المفاتيح في المنطقة المستهدفة.

• إنشاء خريطة تبعية مع جميع خدمات Azure المستخدمة من قبل Key Vault. بالنسبة للخدمات التي تقع في نطاق النقل، يجب عليك اختيار استراتيجية النقل المناسبة.

• اعتمادا على تصميم Key Vault الخاص بك، قد تحتاج إلى نشر وتكوين الشبكة الظاهرية في المنطقة المستهدفة.

• المستند والتخطيط لإعادة التكوين في Key Vault في المنطقة المستهدفة:

  • نهج الوصول وإعدادات تكوين الشبكة.
  • الحماية من الحذف والإزالة المبدئية.
  • إعدادات التشغيل التلقائي.

وقت التعطل

لفهم أوقات التعطل المحتملة المتضمنة، راجع Cloud Adoption Framework ل Azure: حدد أسلوب نقل.

مراعاة نقاط نهاية الخدمة

تقيد نقاط نهاية خدمة الشبكة الظاهرية ل Azure Key Vault الوصول إلى شبكة ظاهرية محددة. يمكن لنقاط النهاية أيضا تقييد الوصول إلى قائمة نطاقات عناوين IPv4 (إصدار بروتوكول الإنترنت 4). يتم رفض وصول أي مستخدم يتصل ب Key Vault من خارج هذه المصادر. إذا تم تكوين نقاط نهاية الخدمة في منطقة المصدر لمورد Key Vault، فسيلزم القيام بنفس الشيء في الهدف.

لإعادة إنشاء Key Vault بنجاح إلى المنطقة المستهدفة، يجب إنشاء الشبكة الظاهرية والشبكة الفرعية مسبقا. في حالة تنفيذ نقل هذين الموردين باستخدام أداة Azure Resource Mover، لن يتم تكوين نقاط نهاية الخدمة تلقائيا. ومن ثم، يجب تكوينها يدويا، والتي يمكن إجراؤها من خلال مدخل Azure أو Azure CLI أو Azure PowerShell.

النظر في نقطة النهاية الخاصة

يوفر Azure Private Link اتصالا خاصا من شبكة ظاهرية إلى نظام Azure الأساسي كخدمة (PaaS) أو خدمات مملوكة للعملاء أو شركاء Microsoft. يعمل Private Link على تبسيط بنية الشبكة وتأمين الاتصال بين نقاط النهاية في Azure عن طريق القضاء على تعرض البيانات للإنترنت العام.

لإعادة إنشاء Key Vault بنجاح في المنطقة المستهدفة، يجب إنشاء الشبكة الظاهرية والشبكة الفرعية قبل حدوث الترفيه الفعلي.

مراعاة تكامل DNS لنقطة النهاية الخاصة ل Azure

من المهم تكوين إعدادات DNS بشكل صحيح لحل عنوان IP لنقطة النهاية الخاصة إلى اسم المجال المؤهل بالكامل (FQDN) سلسلة الاتصال.

قد يكون لدى خدمات Microsoft Azure الموجودة بالفعل تكوين DNS لنقطة نهاية عامة. يجب تجاوز هذا التكوين للاتصال باستخدام نقطة النهاية الخاصة بك.

تحتوي واجهة الشبكة المرتبطة بنقطة النهاية الخاصة على معلومات لتكوين DNS الخاص بك. تتضمن معلومات واجهة الشبكة FQDN وعناوين IP خاصة لمورد الارتباط الخاص بك.

يمكنك استخدام الخيارات التالية لتكوين إعدادات DNS لنقاط النهاية الخاصة:

• استخدم ملف المضيف (غير مستحسن إلا للاختبار فقط). يمكنك استخدام ملف المضيف على جهاز ظاهري لتجاوز DNS.
• استخدم منطقة DNS خاصة يمكنك استخدام مناطق DNS خاصة لتجاوز دقة DNS لنقطة نهاية خاصة. يمكن ربط منطقة DNS خاصة بشبكة الاتصال الظاهرية لإعادة حل مجالات معينة.
• استخدم معبر إعادة توجيه DNS (اختياري). يمكنك استخدام معبر إعادة توجيه DNS لتجاوز دقة DNS لمورد ارتباط خاص. إنشاء قاعدة إعادة توجيه DNS لاستخدام منطقة DNS خاصة على خادم DNS الخاص بك مستضافة في شبكة اتصال ظاهرية.

تجهيز

بوابة

لتصدير قالب باستخدام مدخل Azure:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. حدد All resources ثم حدد key vault الخاص بك.

3. حدد >الأتمتة>قالب التصدير.

4. اختر Download في جزء Export template.

5. حدد موقع الملف .zip الذي قمت بتنزيله من المدخل، وقم بفك ضغط الملف إلى مجلد من اختيارك.

   يحتوي هذا الملف المضغوط على ملفات .json التي تتضمن القالب والبرامج النصية لنشر القالب.

بوويرشيل

لتصدير قالب باستخدام PowerShell:

1. سجل الدخول إلى اشتراكك في Azure باستخدام الأمر Connect-AzAccount واتبع الإرشادات التي تظهر على الشاشة:

   Connect-AzAccount
   

2. إذا كانت هويتك مقترنة بأكثر من اشتراك واحد، فقم بتعيين اشتراكك النشط إلى اشتراك key vault الذي تريد نقله.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

3. تصدير قالب مخزن المفاتيح المصدر الخاص بك. تحفظ هذه الأوامر قالب json في دليلك الحالي.

   $resource = Get-AzResource `
     -ResourceGroupName <resource-group-name> `
     -ResourceName <key-vault-name> `
     -ResourceType Microsoft.KeyVault/vaults `
   Export-AzResourceGroup `
     -ResourceGroupName <resource-group-name> `
     -Resource $resource.ResourceId
   

ضع في اعتبارك المفاهيم التالية:

• أسماء خزنة المفاتيح فريدة من نوعها على مستوى العالم. لا يمكنك إعادة استخدام اسم مخزن.
• تحتاج إلى إعادة تكوين سياسات الوصول وإعدادات تكوين الشبكة في مخزن المفاتيح الجديد.
• تحتاج إلى إعادة تكوين الحماية من الحذف المبدئي والمسح في خزنة المفاتيح الجديدة.
• لا تحتفظ عملية النسخ الاحتياطي والاستعادة بإعدادات التشغيل التلقائي. قد تحتاج إلى إعادة تكوين الإعدادات.

تعديل القالب

قم بتعديل القالب عن طريق تغيير اسم مخزن المفاتيح والمنطقة.

بوابة

لتوزيع القالب باستخدام مدخل Azure:

1. في مدخل Azure، حدد Create a resource.

2. في Search the Marketplace، اكتب template deployment، ثم اضغط على ENTER.

3. حدد Template deployment.

4. حدد إنشاء.

5. حدد Build your own template in the editor.

6. حدد تحميل ملف، ثم اتّبع الإرشادات لتحميل template.json الذي نزّلته في القسم السابق.

7. في ملف template.json ، قم بتسمية key vault عن طريق تعيين القيمة الافتراضية لاسم key vault. يعين هذا المثال القيمة الافتراضية لاسم مخزن المفاتيح إلى mytargetaccount.

   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "vaults_name": {
           "defaultValue": "key-vault-name",
           "type": "String"
       }
   },
   

8. قم بتحرير خاصية الموقع في الملف template.json إلى المنطقة الهدف. يعيّن هذا المثال المنطقة المستهدفة إلى centralus.

   "resources": [
       {
           "type": "Microsoft.KeyVault/vaults",
           "apiVersion": "2023-07-01",
           "name": "[parameters('vaults_name')]",
           "location": "centralus",
           ...
       },
       ...
   ]
   

   للحصول على رموز مواقع المنطقة، راجع مواقع Azure. التعليمة البرمجية لمنطقة ما هي اسم المنطقة مع عدم وجود مسافات، وسط الولايات المتحدة = centralus.

9. إزالة موارد كتابة نقطة النهاية الخاصة في القالب.

   {
   "type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
   ...
   }
   

10. في حالة تكوين نقطة نهاية خدمة في مخزن المفاتيح الخاص بك، في قسم networkAcl ، ضمن virtualNetworkRules، أضف القاعدة للشبكة الفرعية الهدف. تأكد من تعيين علامة ignoreMissingVnetServiceEndpoint إلى False، بحيث يفشل IaC في نشر Key Vault في حالة عدم تكوين نقطة نهاية الخدمة في المنطقة المستهدفة.

    parameter.json

    {
      "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "target_vnet_externalid": {
          "value": "virtualnetwork-externalid"
        },
        "target_subnet_name": {
          "value": "subnet-name"
        }
      }
    }
    

    _template.json

        "networkAcls": {
            "bypass": "AzureServices",
            "defaultAction": "Deny",
            "ipRules": [],
            "virtualNetworkRules": [
                {
                    "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
                    "ignoreMissingVnetServiceEndpoint": false
                }
            ]
        }
    

بوويرشيل

لتوزيع القالب باستخدام PowerShell:

1. في ملف template.json ، قم بتسمية مخزن المفاتيح الهدف عن طريق تعيين القيمة الافتراضية لاسم خزنة المفاتيح. يعين هذا المثال القيمة الافتراضية لاسم مخزن المفاتيح إلى key-vault-name.

   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "vaults_name": {
           "defaultValue": "key-vault-name",
           "type": "String"
       }
   },
   

2. قم بتحرير خاصية الموقع في الملف template.json إلى المنطقة الهدف. يعيّن هذا المثال المنطقة المستهدفة إلى eastus.

   "resources": [
       {
           "type": "Microsoft.KeyVault/vaults",
           "apiVersion": "2023-07-01",
           "name": "[parameters('vaults_name')]",
           "location": "eastus",
           ...
       },
       ...
   ]
   

   يمكنك الحصول على رموز المناطق عن طريق تشغيل الأمر Get-AzLocation.

   Get-AzLocation | format-table
   

3. إزالة موارد كتابة نقطة النهاية الخاصة في القالب.

   {
   "type": "Microsoft.KeyVault/vaults/privateEndpointConnections",
   ...
   }
   

4. في حالة تكوين نقطة نهاية خدمة في مخزن المفاتيح الخاص بك، في قسم networkAcl ، ضمن virtualNetworkRules، أضف القاعدة للشبكة الفرعية الهدف. تأكد من تعيين علامة ignoreMissingVnetServiceEndpoint إلى False، بحيث يفشل IaC في نشر Key Vault في حالة عدم تكوين نقطة نهاية الخدمة في المنطقة المستهدفة.

   parameter.json

   {
     "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "target_vnet_externalid": {
         "value": "virtualnetwork-externalid"
       },
       "target_subnet_name": {
         "value": "subnet-name"
       }
     }
   }
   

   template.json

   "networkAcls": {
       "bypass": "AzureServices",
       "defaultAction": "Deny",
       "ipRules": [],
       "virtualNetworkRules": [
           {
               "id": "[concat(parameters('target_vnet_externalid'), concat('/subnets/', parameters('target_subnet_name')]",
               "ignoreMissingVnetServiceEndpoint": false
           }
       ]
   }
   

إعادة التوزيع

انشر القالب لإنشاء مخزن مفاتيح جديد في المنطقة المستهدفة.

بوابة

1. احفظ الملف template.json.

2. أدخل قيم الخصائص أو حددها:

   • الاشتراك: تحديد اشتراك Azure.

   • مجموعة الموارد: حدد إنشاء جديد، وامنح مجموعة الموارد اسماً.

   • الموقع: حدد موقع Azure.

3. حدد أوافق على الشروط والأحكام المذكورة أعلاه، ثم حدد تحديد شراء.

4. يجب إعادة تكوين نهج الوصول وإعدادات تكوين الشبكة (نقاط النهاية الخاصة) في Key Vault الجديد. يجب إعادة تكوين الحماية من الحذف المبدئي والإزالة في مخزن المفاتيح الجديد وإعدادات Autorotation.

بوويرشيل

1. احصل على معرف الاشتراك حيث تريد توزيع عنوان IP العام المستهدف باستخدام Get-AzSubscription:

   Get-AzSubscription
   

2. استخدم هذه الأوامر لتوزيع القالب:

   $resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
   $location = Read-Host -Prompt "Enter the location (i.e. eastus)"
   
   New-AzResourceGroup -Name $resourceGroupName -Location "$location"
   New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "<name of your local template file>"
   

3. يجب إعادة تكوين نهج الوصول وإعدادات تكوين الشبكة (نقاط النهاية الخاصة) في Key Vault الجديد. يجب إعادة تكوين الحماية من الحذف المبدئي والإزالة في مخزن المفاتيح الجديد وكإعدادات Autorotation.

تلميح

إذا تلقيت خطأ ينص على أن XML المحدد غير صالح من الناحية التركيبية، فقارن JSON في القالب الخاص بك بالمخططات الموضحة في وثائق Azure Resource Manager.

إعادة النشر مع ترحيل البيانات

هام

إذا كنت تخطط لنقل Key Vault عبر المناطق ولكن ضمن نفس المنطقة الجغرافية، فمن المستحسن إجراء نسخة احتياطية واستعادة للبيانات السرية والمفاتيح والشهادات.

1. اتبع الخطوات الموضحة في نهج إعادة النشر.
2. للبيانات السرية:
   1. انسخ واحفظ القيمة السرية في مخزن المفاتيح المصدر.
   2. أعد إنشاء السر في مخزن المفاتيح الهدف وضبط القيمة على البيانات السرية المحفوظة.
3. للشهادات:
   1. تصدير الشهادة إلى ملف PFX.
   2. استيراد ملف PFX إلى مخزن المفاتيح الهدف. إذا لم تتمكن من تصدير المفتاح الخاص (exportable لم يتم تعيينه) يجب إنشاء شهادة جديدة واستيرادها إلى مخزن المفاتيح الهدف.
4. مع نقل خدمة Azure المقترنة، يتم إعادة إنشاء المفاتيح .
5. تأكد من إنشاء المفاتيح للخدمة المقترنة.

تحقق

قبل حذف خزنة المفاتيح القديمة، تحقق من أن المخزن الجديد يحتوي على جميع المفاتيح والأسرار والشهادات المطلوبة بعد نقل خدمات Azure المقترنة.

المحتوى ذو الصلة

• النسخ الاحتياطي والاستعادة في Azure Key Vault
• نقل Azure Key Vault عبر مجموعات الموارد
• نقل Azure Key Vault إلى اشتراك آخر