نقل أجهزة Azure الظاهرية المشفرة عبر المناطق

  • مقالة

يساعدك Azure Resource Mover على نقل موارد Azure بين مناطق Azure. تتناول هذه المقالة كيفية نقل أجهزة Azure الظاهرية (VM) المشفرة إلى منطقة Azure مختلفة باستخدام Azure Resource Mover.

يمكن وصف VMS المشفر على أنه إما:

في هذا البرنامج التعليمي، تتعلم كيفية:

  • نقل أجهزة Azure الظاهرية المشفرة ومواردها التابعة إلى منطقة Azure أخرى.

إشعار

تُظهِر الدروس أسرع مسار لتجربة سيناريو، واستخدام الخيارات الافتراضية حيثما أمكن.

تسجيل الدخول إلى Azure

إذا لم يكن لديك اشتراك Azure، فبادر بإنشاء حساب مجاني قبل البدء وتسجيل الدخول إلى مدخل Microsoft Azure.

المتطلبات الأساسية

قبل البدء، تحقق مما يلي:

المتطلبات التفاصيل
أذونات الاشتراك تأكد من أن لديك حق وصول المالك على الاشتراك الذي يحتوي على الموارد التي تريد نقلها.

لماذا أحتاج إلى حق الوصول من المالك؟ في المرة الأولى التي تضيف فيها مورداً لمصدر معين وزوج وجهة معين في اشتراك Azure، ينشئ Resource Mover هوية مُدارة معينة من قبل النظام، تُعرف سابقاً باسم Managed Service Identity (MSI). هذه الهوية موثوقة من خلال الاشتراك. قبل أن تتمكن من إنشاء الهوية وتعيين الأدوار المطلوبة لها (المساهم ومسؤول وصول المستخدم في اشتراك المصدر)، فإن الحساب الذي تستخدمه لإضافة الموارد يحتاج إلى مالك في الاشتراك. لمزيد من المعلومات، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.
دعم VM تأكد من أن الأجهزة الظاهرية التي تريد نقلها مدعومة من خلال القيام بما يلي:
  • تحقق من دعم Windows VMs.
  • تحقق من إصدارات Linux VM وkernel المدعومة.
  • تحقق من إعدادات الحوسبة والتخزين والشبكات المدعومة.
    		•
    متطلبات مخزن المفاتيح (تشفير قرص Azure) إذا كان لديك تشفير قرص Azure ممكن للأجهزة الظاهرية، فإنك تحتاج إلى مخزن مفاتيح في كل من منطقتي المصدر والوجهة. لمزيد من المعلومات، راجع إنشاء خزنة مفاتيح.

    بالنسبة إلى خزائن المفاتيح في مناطق المصدر والوجهة، تحتاج إلى هذه الأذونات:
  • أذونات المفاتيح: عمليات إدارة المفاتيح (الحصول عليها وإدراجها) وعمليات التشفير (فك التشفير والتشفير)
  • الأذونات السرية: عمليات الإدارة السرية (الحصول عليها وإدراجها وتعيينها)
  • شهادة (قائمة والحصول عليها)
    		•
    مجموعة تشفير القرص (تشفير من جانب الخادم باستخدام CMK) إذا كنت تستخدم أجهزة ظاهرية مع تشفير من جانب الخادم يستخدم CMK، فأنت تحتاج إلى مجموعة تشفير قرص في كل من منطقتي المصدر والوجهة. لمزيد من المعلومات، راجع إنشاء مجموعة تشفير القرص.

    لا يتم دعم التنقل بين المناطق إذا كنت تستخدم وحدة أمان الأجهزة (مفاتيح HSM) للمفاتيح التي يديرها العميل.
    حصة المنطقة المستهدفة يحتاج الاشتراك إلى حصة نسبية كافية لإنشاء الموارد التي تنقلها في المنطقة المستهدفة. إذا لم يكن لديها حصة نسبية، فاطلب حدودا إضافية.
    رسوم المنطقة المستهدفة تحقق من الأسعار والرسوم المرتبطة بالمنطقة المستهدفة التي تنقل إليها الأجهزة الظاهرية. استخدم حاسبة التسعير.

    تحقق من الأذونات في خزنة المفاتيح

    إذا كنت تنقل أجهزة ظاهرية تم تمكينها تشفير قرص Azure، يجب تشغيل برنامج نصي. يجب أن يكون لدى المستخدمين الذين يقومون بتنفيذ البرنامج النصي الأذونات المناسبة للقيام بذلك. لفهم الأذونات المطلوبة، راجع الجدول التالي. ستجد خيارات تغيير الأذونات بالانتقال إلى مخزن المفاتيح في مدخل Microsoft Azure. ضمن الإعدادات، حدد Access policies.

    لقطة شاشة لرابط

    إذا لم تكن أذونات المستخدم في مكانها، فحدد إضافة نهج الوصول، وحدد الأذونات. إذا كان حساب المستخدم لديه نهج بالفعل، ضمن المستخدم، فعيّن الأذونات وفقاً للإرشادات الواردة في الجدول التالي.

    يمكن أن تحتوي أجهزة Azure الظاهرية التي تستخدم تشفير قرص Azure على الاختلافات التالية، وستتطلب تعيين الأذونات وفقا لمكوناتها ذات الصلة. قد يكون لدى VMs:

    قبو مفتاح منطقة المصدر

    بالنسبة للمستخدمين الذين يقومون بتنفيذ البرنامج النصي، قم بتعيين أذونات للمكونات التالية:

    المكون أذونات مطلوبة
    الأسرار الحصول على

    حدد Secret permissions>Secret Management Operations، وحدد Get.
    مفاتيح

    إذا كنت تستخدم KEK، فأنت تحتاج إلى هذه الأذونات بالإضافة إلى أذونات الأسرار.    		 احصل على وفك تشفير

    حدد Key Permissions>Key Management Operations، وحدد Get. في عمليات التشفير، حدد Decrypt.

    قبو مفتاح منطقة الوجهة

    في علامة التبويب نهج الوصول، تأكد من تمكين تشفير قرص Azure لتشفير وحدة التخزين.

    بالنسبة للمستخدمين الذين يقومون بتنفيذ البرنامج النصي، قم بتعيين أذونات للمكونات التالية:

    المكون أذونات مطلوبة
    الأسرار المجموعة

    حدد Secret permissions>Secret Management Operations، وحدد Set.
    مفاتيح

    إذا كنت تستخدم KEK، فأنت تحتاج إلى هذه الأذونات بالإضافة إلى أذونات الأسرار.    		 احصل على وإنشاء وتشفير

    حدد Key Permissions>Key Management Operations، وحدد Get and Create. في عمليات التشفير، حدد Encrypt.

    بالإضافة إلى الأذونات السابقة، في مخزن المفاتيح الوجهة، يجب إضافة أذونات لهوية النظام المدارة التي يستخدمها Resource Mover للوصول إلى موارد Azure نيابة عنك.

    إضافة أذونات إلى هوية النظام المدارة

    لإضافة أذونات لهوية النظام المدار (MSI)، اتبع الخطوات التالية:

    1. ضمن الإعدادات، حدد Add Access policies.

    2. في تحديد الأساسي، ابحث عن MSI. اسم MSI هو movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. بالنسبة لـ MSI، أضف الأذونات التالية:

      المكون أذونات مطلوبة
      الأسرار احصل على وقائمة

      حدد Secret permissions>Secret Management Operations، وحدد Get and List.
      مفاتيح

      إذا كنت تستخدم KEK، فأنت تحتاج إلى هذه الأذونات بالإضافة إلى أذونات الأسرار.      		 احصل على وقائمة

      حدد Key Permissions>Key Management Operations، وحدد Get and List.

    انسخ المفاتيح إلى خزنة مفاتيح الوجهة

    انسخ أسرار التشفير والمفاتيح من مخزن المفاتيح المصدر إلى مخزن المفاتيح الوجهة باستخدام البرنامج النصي المقدم.

    لنسخ المفاتيح من مخزن المفاتيح المصدر إلى مخزن المفاتيح الوجهة، اتبع الخطوات التالية:

    • قم بتشغيل البرنامج النصي في PowerShell. نوصي باستخدام أحدث إصدار من PowerShell.
    • على وجه التحديد، يتطلب البرنامج النصي هذه الوحدات النمطية:
      • Az.Compute
      • Az.KeyVault (الإصدار 3.0.0)
      • Az.Accounts (الإصدار 2.2.3)

    لتشغيل البرنامج النصي، قم بما يلي:

    1. افتح البرنامج النصي في GitHub.

    2. انسخ محتويات البرنامج النصي إلى ملف محلي، وقم بتسميته Copy-keys.ps1.

    3. قم بتشغيل البرنامج النصي

    4. قم بتسجيل الدخول إلى بوابة Azure.

    5. ضمن نافذة User Inputs ، حدد اشتراك المصدر ومجموعة الموارد والأجهزة الظاهرية المصدر والموقع الهدف وخزائن الهدف للقرص وتشفير المفتاح.

      لقطة شاشة لنافذة

    6. استخدم الزر Select لتشغيل البرنامج النصي.

      عند انتهاء تشغيل البرنامج النصي، تظهر رسالة تُعلمك بنجاح CopyKeys.

    إعداد الأجهزة الظاهرية

    لإعداد الأجهزة الظاهرية للنقل، اتبع الخطوات التالية:

    1. بعد التحقق للتأكد من أن الأجهزة الظاهرية تفي بالمتطلبات الأساسية، تأكد من تشغيل الأجهزة الظاهرية التي تريد نقلها. يجب إرفاق وتهيئة جميع أقراص VM التي تريد توفيرها في منطقة الوجهة في الجهاز الظاهري.
    2. للتأكد من أن الأجهزة الظاهرية لديها أحدث الشهادات الجذر الموثوق بها وقائمة إبطال الشهادات المحدثة (CRL)، قم بما يلي:
      • على Windows VMs، قم بتثبيت آخر تحديثات Windows.
      • في Linux VMs، اتبع إرشادات الموزع حتى تحصل الأجهزة على أحدث الشهادات وCRL.
    3. للسماح بالاتصال الصادر من الأجهزة الظاهرية، قم بأي مما يلي:

    حدد the resources to move

    يمكنك تحديد أي نوع مورد مدعوم في أي من مجموعات الموارد في منطقة المصدر التي تحددها. يمكنك نقل الموارد إلى منطقة مستهدفة في نفس الاشتراك مثل منطقة المصدر. إذا كنت ترغب في تغيير الاشتراك، يمكنك القيام بذلك بعد نقل الموارد.

    لتحديد الموارد، قم بما يلي:

    1. في مدخل Microsoft Azure، ابحث عن resource mover. ضمن Services، حدد Azure Resource Mover.

      لقطة شاشة لنتائج البحث لـ Azure Resource Mover في مدخل Microsoft Azure.

    2. في جزء Azure Resource Mover نظرة عامة، حدد Move across regions.

      لقطة شاشة لزر

    3. في علامة التبويب نقل الموارد>المصدر + الوجهة، قم بما يلي:

      1. حدد اشتراك المصدر والمنطقة.
      2. ضمن الوجهة، حدد المنطقة التي تريد نقل الأجهزة الظاهرية إليها، وحدد التالي.

      صفحة لتحديد المصدر ومنطقة الوجهة ..

    4. في علامة التبويب الموارد لنقل ، حدد الخيار تحديد الموارد لفتح علامة تبويب جديدة مع قائمة الأجهزة الظاهرية المتوفرة.

      لقطة شاشة للجزء

    5. في علامة التبويب تحديد الموارد ، حدد الأجهزة الظاهرية التي تريد نقلها. كما هو مذكور في قسم تحديد الموارد المراد نقلها، يمكنك فقط إضافة الموارد المدعومة للنقل.

      لقطة شاشة للجزء

      إشعار

      في هذا البرنامج التعليمي، تقوم بتحديد جهاز ظاهري يستخدم التشفير من جانب الخادم (rayne-vm) مع مفتاح مُدار بواسطة العميل، وجهاز ظاهري مع تمكين تشفير القرص (rayne-vm-ade).

    6. حدد تم.

    7. حدد علامة التبويب Resources to move وحدد Next.

    8. حدد علامة التبويب مراجعة، وتحقق من إعدادات المصدر والوجهة.

      لقطة شاشة للجزء الخاص بمراجعة إعدادات المصدر والوجهة.

    9. حدد Proceed لبدء إضافة الموارد.

    10. حدد أيقونة الإعلامات لتعقب التقدم. بعد انتهاء العملية بنجاح، في جزء التنبيهات، حدد Added resources for move.

      لقطة شاشة لجزء

    11. بعد تحديد الإشعار، راجع الموارد في صفحة عبر المناطق.

      لقطة شاشة لموارد مضافة بالحالة

    إشعار

    • يتم وضع الموارد التي تضيفها في حالة التحضير معلق.
    • تتم إضافة مجموعة الموارد لـ VMs تلقائيًا.
    • إذا قمت بتعديل إدخالات تكوين الوجهة لاستخدام مورد موجود بالفعل في منطقة الوجهة، يتم تعيين حالة المورد على تنفيذ معلق، لأنك لست بحاجة إلى بدء النقل لذلك.
    • إذا كنت تريد إزالة مورد تمت إضافته، فإن الطريقة التي ستستخدمها تعتمد على مكانك في عملية النقل. لمزيد من المعلومات، راجع إدارة مجموعات النقل ومجموعات الموارد.

    حل التبعيات

    لحل التبعيات قبل النقل، اتبع الخطوات التالية:

    1. يتم التحقق من صحة التبعيات في الخلفية بعد إضافتها. إذا رأيت زر التحقق من صحة التبعيات ، فحدده لتشغيل التحقق اليدوي.

      لقطة شاشة تعرض الزر

      تبدأ عملية التحقق من الصحة.

    2. إذا تم العثور على تبعيات، فحدد Add dependencies.

      لقطة شاشة لزر

    3. في جزء إضافة تبعيات ، احتفظ بالخيار الافتراضي إظهار كافة التبعيات .

      • يتكرر إظهار جميع التبعيات من خلال جميع التبعيات المباشرة وغير المباشرة لأحد الموارد. على سبيل المثال، بالنسبة إلى الجهاز الظاهري، فإنه يعرض بطاقة واجهة الشبكة (NIC) والشبكة الظاهرية ومجموعات أمان الشبكة (NSGs) وما إلى ذلك.
      • يعرض إظهار تبعيات المستوى الأول فقط التبعيات المباشرة فقط. على سبيل المثال، بالنسبة إلى الجهاز الظاهري، فإنه يعرض NIC وليس الشبكة الظاهرية.

    4. حدد الموارد التابعة التي تريد إضافتها وحدد إضافة تبعيات.

      لقطة شاشة لقائمة التبعيات والزر

    5. يتم التحقق من صحة التبعيات تلقائيا في الخلفية بعد إضافتها. إذا رأيت خيار التحقق من صحة التبعيات ، فحدده لتشغيل التحقق اليدوي.

      لقطة شاشة للجزء الخاص بإعادة التحقق من التبعيات.

    تعيين موارد الوجهة

    يجب تعيين موارد الوجهة المقترنة بالتشفير يدويا.

    إذا كنت تنقل جهازاً افتراضياً تم تمكين تشفير قرص Azure به، فسيظهر مخزن المفاتيح في منطقة الوجهة الخاصة بك كتبعية. إذا كنت تقوم بنقل جهاز ظاهري بتشفير من جانب الخادم يستخدم CMK، فإن مجموعة تشفير القرص في منطقة الوجهة تظهر على أنها تبعية.

    نظراً لأن هذا البرنامج التعليمي يوضح نقل جهاز ظاهري تم تمكين تشفير قرص Azure عليه والذي يستخدم CMK، يظهر كل من مخزن مفاتيح الوجهة ومجموعة تشفير القرص على أنهما تبعيات.

    لتعيين موارد الوجهة يدويا، قم بما يلي:

    1. In the disk encryption set entry, حدد Resource not assigned in the Destination configuration column.

    2. في إعدادات التكوين، حدد مجموعة تشفير القرص الوجهة، وحدد حفظ التغييرات.

    3. يمكنك حفظ التبعيات والتحقق من صحتها للمورد الذي تقوم بتعديله، أو يمكنك حفظ التغييرات فقط، والتحقق من صحة كل شيء تقوم بتعديله في نفس الوقت.

      لقطة شاشة للجزء

      بعد إضافة المورد الوجهة، يتم تغيير حالة مجموعة تشفير القرص إلى تعليق النقل.

    4. In the key vault entry, حدد Resource not assigned in the Destination configuration column. ضمن إعدادات التكوين، حدد مخزن المفاتيح الوجهة، واحفظ التغييرات.

    في هذه المرحلة، يتم تغيير مجموعة تشفير القرص وحالة خزنة المفاتيح إلى تعليق النقل.

    لقطة شاشة للجزء الخاص بإعداد الموارد الأخرى.

    لتثبيت عملية النقل لموارد التشفير وإنهاءها، قم بما يلي:

    1. في عبر المناطق، حدد المورد (مجموعة تشفير القرص أو مخزن المفاتيح)، وحدد تنفيذ النقل.
    2. في نقل الموارد، حدد Commit.

    إشعار

    بعد تنفيذ النقل، تتغير حالة المورد إلى حذف المصدر المعلق.

    تجهيز الموارد لنقلها

    الآن بعد أن تم نقل موارد التشفير ومجموعة مصادر المصدر، يمكنك الاستعداد لنقل الموارد الأخرى التي تكون حالتها الحالية التحضير معلق.

    1. في جزء عبر المناطق، تحقق من صحة النقل مرة أخرى وقم بحل أية مشكلات.

    2. إذا كنت تريد تحرير الإعدادات الهدف قبل بدء النقل، فحدد الارتباط في عمود تكوين الوجهة للمورد، ثم قم بتحرير الإعدادات. إذا قمت بتحرير إعدادات الجهاز الظاهري المستهدفة، فلا ينبغي أن يكون حجم الجهاز الظاهري المستهدف أصغر من حجم الجهاز الظاهري المصدر.

    3. بالنسبة إلى الموارد ذات الحالة التحضير المعلق التي تريد نقلها، حدد Prepare.

    4. في جزء إعداد الموارد، حدد Prepare.

      • أثناء التحضير، يتم تثبيت عامل التنقل في Azure Site Recovery على الأجهزة الظاهرية لنسخها.
      • يتم نسخ بيانات الجهاز الظاهري بشكل دوري إلى المنطقة المستهدفة. هذا لا يؤثر على المصدر VM.
      • يقوم Resource Move بإنشاء قوالب ARM لموارد المصدر الأخرى.

    إشعار

    بعد أن تقوم بإعداد الموارد، تتغير حالتها إلى بدء النقل المعلق. لقطة شاشة للجزء

    بدء النقل

    الآن بعد أن أعددت الموارد التي تم إعدادها، يمكنك بدء الانتقال.

    1. في جزء عبر المناطق ، حدد الموارد التي تكون حالتها بدء النقل معلقة، وحدد بدء النقل.

    2. في جزء نقل الموارد، حدد Initiate move.

    3. تتبع التقدم المحرز في هذه الخطوة في شريط الإخطارات.

      • بالنسبة لأجهزة VM، يتم إنشاء نسخ متماثلة VMs في المنطقة المستهدفة. يتم إيقاف تشغيل الجهاز الظاهري المصدر، ويحدث بعض التوقف (عادةً دقائق).
      • يعيد Resource Mover إنشاء موارد أخرى باستخدام قوالب ARM المعدة. عادة لا يوجد وقت تعطل.
      • بعد نقل الموارد، تتغير حالتها إلى تعليق النقل.

      لقطة شاشة لقائمة من الموارد بالحالة

    تجاهل النقل أو تنفيذه

    بعد الخطوة الأولية، يمكنك أن تقرر ما إذا كنت تريد تنفيذ النقل أو تجاهله.

    • تجاهل: قد تتجاهل خطوة إذا كنت تختبرها ولا تريد نقل مصدر المصدر فعلياً. يؤدي تجاهل النقل إلى إرجاع المورد إلى حالة بدء النقل المعلق.
    • الالتزام: يكمل الالتزام الانتقال إلى المنطقة المستهدفة. بعد الانتهاء من مورد المصدر، تتغير حالته إلى حذف المصدر المعلق، ويمكنك تحديد ما إذا كنت تريد حذفه أم لا.

    تجاهل الحركة

    لتجاهل النقل، قم بما يلي:

    1. في جزء عبر المناطق ، حدد الموارد التي تكون حالتها تعليق النقل، وحدد تجاهل النقل.
    2. في جزء تجاهل النقل، حدد Discard.
    3. تتبع التقدم المحرز في هذه الخطوة في شريط الإخطارات.

    إشعار

    بعد أن تتجاهل الموارد، تتغير حالات VM إلى بدء النقل معلق.

    ارتكب هذه الخطوة

    لإكمال عملية النقل، يمكنك الالتزام بالخطوة عن طريق القيام بما يلي:

    1. في جزء عبر المناطق ، حدد الموارد التي تكون حالتها تعليق النقل، وحدد تنفيذ النقل.

    2. في جزء الالتزام بالموارد، حدد Commit.

      لقطة شاشة لقائمة من الموارد لتخصيص الموارد لإنهاء هذه الخطوة.

    3. تعقب تقدم الالتزام في شريط الإعلامات.

    إشعار

    • بعد تنفيذ هذه الخطوة، تتوقف الأجهزة الظاهرية عن التكرار. المصدر الظاهري لا يتأثر الالتزام.
    • لا تؤثر عملية الالتزام على موارد شبكة المصدر.
    • بعد تنفيذ النقل، تتغير حالات المورد إلى حذف المصدر المعلق.

    تكوين الإعدادات بعد النقل

    يمكنك تكوين الإعدادات التالية بعد عملية النقل:

    • لا يتم إلغاء تثبيت خدمة التنقل تلقائياً من الأجهزة الظاهرية. قم بإلغاء تثبيته يدوياً، أو اتركه إذا كنت تخطط لنقل الخادم مرة أخرى.
    • قم بتعديل قواعد التحكم في الوصول المستند إلى الدور (RBAC) في Azure بعد النقل.

    حذف مصادر المصدر بعد الالتزام

    بعد النقل، يمكنك حذف الموارد في المنطقة المصدر بشكل اختياري.

    1. في جزء عبر المناطق ، حدد كل مورد مصدر تريد حذفه، وحدد حذف المصدر.
    2. في حذف المصدر، راجع ما تنوي حذفه، وفي تأكيد الحذف، اكتب نعم.

      تنبيه

      الإجراء لا رجعة فيه، لذا تحقق بعناية!

    3. بعد كتابة نعم، حدد Delete source.

    إشعار

    في بوابة Resource Move، لا يمكنك حذف مجموعات الموارد، أو خزائن المفاتيح، أو مثيلات SQL Server. يجب حذف كل منها على حدة من صفحة الخصائص لكل مورد.

    احذف الموارد التي قمت بإنشائها للنقل

    بعد النقل، يمكنك حذف مجموعة النقل وموارد "استرداد الموقع" التي قمت بإنشائها أثناء هذه العملية يدوياً.

    • يتم إخفاء مجموعة النقل افتراضياً. لمشاهدته، يجب تشغيل الموارد المخفية.
    • يحتوي تخزين ذاكرة التخزين المؤقت على تأمين يجب حذفه قبل حذفه.

    لحذف الموارد الخاصة بك، قم بما يلي:

    1. حدد موقع الموارد في مجموعة RegionMoveRG-<sourceregion>-<target-region>الموارد .

    2. تحقق للتأكد من أن جميع الأجهزة الظاهرية وموارد المصدر الأخرى في منطقة المصدر قد تم نقلها أو حذفها. تضمن هذه الخطوة عدم استخدام الموارد المعلقة لها.

    3. احذف الموارد:

      • نقل اسم المجموعة: movecollection-<sourceregion>-<target-region>
      • اسم حساب تخزين ذاكرة التخزين المؤقت: resmovecache<guid>
      • اسم Vault: ResourceMove-<sourceregion>-<target-region>-GUID

    الخطوات التالية

    تعرف على المزيد حول نقل قواعد بيانات Azure SQL والتجمعات المرنة إلى منطقة أخرى.