Share via

النسخ المتماثل للأجهزة الظاهرية الممكّنة بتشفير قرص Azure إلى منطقة Azure أخرى

  • مقالة

توضح هذه المقالة كيفية نسخ أجهزة Azure الظاهرية مع تمكين تشفير قرص Azure (ADE)، من منطقة Azure إلى أخرى.

إشعار

يدعم Site Recovery حاليا ADE، مع وبدون معرف Microsoft Entra للأجهزة الظاهرية التي تعمل بأنظمة تشغيل Windows. بالنسبة لأنظمة تشغيل Linux، ندعم ADE فقط بدون معرف Microsoft Entra. علاوة على ذلك، بالنسبة للأجهزة التي تعمل ب ADE 1.1 (بدون معرف Microsoft Entra)، يجب أن تستخدم الأجهزة الظاهرية الأقراص المدارة. لا يتم دعم الأجهزة الظاهرية المزودة بأقراص غير مُدارة. إذا قمت بالتبديل من ADE 0.1 (مع معرف Microsoft Entra) إلى 1.1، فستحتاج إلى تعطيل النسخ المتماثل وتمكين النسخ المتماثل لجهاز ظاهري بعد تمكين 1.1.

أذونات المستخدم المطلوبة

يتطلب استرداد الموقع من المستخدم الحصول على أذونات لإنشاء مخزن المفاتيح في المنطقة الهدف، ونسخ المفاتيح من مخزن مفاتيح المنطقة المصدر إلى مخزن المفاتيح للمنطقة الهدف.

لتمكين النسخ المتماثل للأجهزة الظاهرية التي تم تمكين تشفير القرص عليها من مدخل Azure، يحتاج المستخدم إلى الأذونات التالية على كل من مخازن المفاتيح للمنطقة المصدر والمنطقة الهدف.

  • أذونات مخزن المفاتيح

    • List وCreate وGet

  • أذونات سرية لمخزن المفاتيح

    • عمليات الإدارة السرية
      • Get، وList، وSet

  • أذونات مفاتيح مخزن المفاتيح (مطلوبة فقط إذا كانت الأجهزة الظاهرية تستخدم مفتاح تشفير المفتاح لتشفير مفاتيح تشفير القرص)

    • عمليات إدارة المفاتيح
      • Get، وList، وCreate
    • عمليات التشفير
      • فك التشفير والتشفير

لإدارة الأذونات، انتقل إلى مورد مخزن المفاتيح في المدخل. أضف الأذونات المطلوبة للمستخدم. يوضح المثال التالي كيفية تمكين الأذونات إلى مخزن المفاتيح ContosoWeb2Keyvault، الموجود في المنطقة المصدر.

  1. انتقل إلى الصفحة الرئيسية>Keyvaults>ContosoWeb2KeyVault > نهج الوصول.

    نافذة أذونات Key vault

  2. يمكنك أن ترى أنه لا توجد أذونات مستخدم. حدد إضافة جديد. أدخل معلومات المستخدم والأذونات.

    أذونات Keyvault

إذا لم يكن لدى المستخدم الذي يقوم بتمكين الإصلاح بعد كارثة (DR) أذونات لنسخ المفاتيح، يمكن لمسؤول الأمان الذي لديه الأذونات المناسبة استخدام البرنامج النصي التالي لنسخ البيانات السرية للتشفير ومفاتيحه إلى المنطقة الهدف.

لاستكشاف أخطاء الأذونات وإصلاحها، راجع مشكلات أذونات مخزن المفاتيح لاحقاً في هذه المقالة.

إشعار

لتمكين النسخ المتماثل للأجهزة الظاهرية التي تدعم "تشفير القرص" من المدخل، تحتاج على الأقل إلى أذونات "List" للإدراج على مخازن المفاتيح والبيانات السرية والمفاتيح.

نسخ مفاتيح "تشفير القرص" إلى منطقة الإصلاح بعد كارثة باستخدام البرنامج النصي PowerShell

  1. افتح التعليمة البرمجية للبرنامج النصي الأولي "CopyKeys".

  2. انسخ البرنامج النصي إلى ملف، وقم بتسميته Copy-keys.ps1.

  3. افتح تطبيق Windows PowerShell، وانتقل إلى المجلد الذي حفظت فيه الملف.

  4. قم بتنفيذ Copy-keys.ps1.

  5. قدم بيانات اعتماد Azure لتسجيل الدخول.

  6. حدد اشتراك Azure لأجهزتك الظاهرية.

  7. انتظر حتى يتم تحميل مجموعات الموارد، ثم حدد مجموعة الموارد الخاصة بالأجهزة الظاهرية.

  8. حدد الأجهزة الظاهرية من القائمة المعروضة. تضم القائمة فقط الأجهزة الظاهرية التي تم تمكينها لتشفير القرص.

  9. حدد الموقع الهدف.

    • مخازن مفاتيح تشفير القرص
    • مخازن مفاتيح تشفير المفاتيح

    بشكل افتراضي، ينشئ "استرداد الموقع" مخزن مفاتيح جديداً في المنطقة الهدف. يحتوي اسم المخزن على لاحقة "asr" تستند إلى مفاتيح تشفير قرص الجهاز الظاهري المصدر. إذا كان هناك بالفعل مخزن مفاتيح تم إنشاؤه بواسطة "استرداد الموقع"، فسيعاد استخدامه. حدد مخزن مفاتيح مختلفاً من القائمة إذا لزم الأمر.

تمكين النَسْخ المتماثل

استخدم الإجراء التالي لنسخ الأجهزة الظاهرية الممكنة تشفير قرص Azure إلى منطقة Azure أخرى. على سبيل المثال، منطقة Azure الأساسية هي شرق آسيا، والثانوية هي جنوب شرق آسيا.

  1. في صفحة >استعادة الموقع، تحت صفحة أجهزة Azure الظاهرية، حدد تمكين النسخ المتماثل.

  2. في صفحة تمكين النسخ المتماثل ، ضمن المصدر، قم بما يلي:

    • المنطقة: حدد منطقة Azure حيث تريد حماية أجهزتك الظاهرية. على سبيل المثال، الموقع المصدر هو شرق آسيا.
    • الاشتراك: حدد الاشتراك الذي تنتمي إليه الأجهزة الظاهرية المصدر. يمكن أن يكون هذا أي اشتراك في نفس مستأجر Microsoft Entra مثل مخزن خدمات الاسترداد الخاص بك.
    • مجموعة الموارد: حدد مجموعة الموارد التي تنتمي إليها الأجهزة الظاهرية المصدر. يتم إدراج جميع الأجهزة الظاهرية في مجموعة الموارد المحددة لإجراء الحماية في الخطوة التالية.
    • نموذج توزيع الجهاز الظاهري: حدد نموذج توزيع Azure للأجهزة المصدر.
    • التعافي من الكوارث بين مناطق التوفر: حدد نعم إذا كنت تريد إجراء التعافي من الكوارث في المناطق على الأجهزة الظاهرية.

    لقطة شاشة تبرز الحقول اللازمة لتكوين النسخ المتماثل.

  3. حدد التالي.

  4. في الأجهزة الظاهرية، حدد كل جهاز ظاهري تريد نسخه نسخا متماثلا. يمكنك فقط تحديد الأجهزة التي يمكن تمكين النسخ المتماثل لها. يمكنك تحديد ما يصل إلى عشرة أجهزة ظاهرية. ثم حدد التالي.

    لقطة شاشة تبرز المكان الذي تحدد فيه الأجهزة الظاهرية.

  5. في إعدادات النسخ المتماثل، يمكنك تكوين الإعدادات التالية:

    1. ضمن الموقع ومجموعة الموارد،

      • الموقع الهدف: حدد الموقع الذي يجب نسخ بيانات الجهاز الظاهري المصدر إليه. اعتمادا على موقع الأجهزة المحددة، سيوفر لك Site Recovery قائمة المناطق المستهدفة المناسبة. نوصي بالاحتفاظ بالموقع الهدف مثل موقع مخزن Recovery Services.

      • الاشتراك الهدف: حدد الاشتراك الهدف المستخدم للتعافي من الكوارث. بشكل افتراضي، سيكون الاشتراك الهدف هو نفسه الاشتراك المصدر.

      • مجموعة الموارد المستهدفة: حدد مجموعة الموارد التي تنتمي إليها جميع الأجهزة الظاهرية المنسوخة نسخا متماثلا.

        • بشكل افتراضي، ينشئ Site Recovery مجموعة موارد جديدة في المنطقة المستهدفة مع لاحقة asr في الاسم.
        • إذا كان مخزن المفتاح المُنشأ بواسطة Site Recovery موجوداً بالفعل، فيُعاد استخدامه.
        • يمكنك تخصيص إعدادات مجموعة الموارد.
        • يمكن أن يكون موقع مجموعة الموارد الهدف أي منطقة Azure، باستثناء المنطقة التي تستضيف الأجهزة الظاهرية المصدر.

        إشعار

        يمكنك أيضا إنشاء مجموعة موارد مستهدفة جديدة عن طريق تحديد Create new.

        لقطة شاشة للموقع ومجموعة الموارد.

    2. ضمن الشبكة،

      • الشبكة الظاهرية لتجاوز الفشل: حدد الشبكة الظاهرية لتجاوز الفشل.

        إشعار

        يمكنك أيضا إنشاء شبكة ظاهرية جديدة لتجاوز الفشل عن طريق تحديد Create new.

      • الشبكة الفرعية لتجاوز الفشل: حدد الشبكة الفرعية لتجاوز الفشل.

        لقطة شاشة للشبكة.

    3. التخزين: حدد عرض/تحرير تكوين التخزين. يتم فتح صفحة تخصيص إعدادات الهدف.

      لقطة شاشة ل Storage.

      • القرص المدار بواسطة النسخ المتماثلة: ينشئ Site Recovery أقراصا جديدة مدارة بواسطة النسخ المتماثلة في المنطقة المستهدفة لعكس الأقراص المدارة للجهاز الظاهري المصدر بنفس نوع التخزين (قياسي أو متميز) مثل القرص المدار للجهاز الظاهري المصدر.
      • تخزين ذاكرة التخزين المؤقت: يحتاج Site Recovery إلى حساب تخزين إضافي يسمى تخزين ذاكرة التخزين المؤقت في منطقة المصدر. يتم تتبع جميع التغييرات التي تحدث على الأجهزة الظاهرية المصدر وإرسالها إلى حساب تخزين ذاكرة التخزين المؤقت قبل نسخها إلى الموقع الهدف.

    4. خيارات التوفر: حدد خيار التوفر المناسب لجهازك الظاهري في المنطقة المستهدفة. إذا كانت مجموعة التوفر التي أنشأتها Site Recovery موجودة بالفعل، فسيتم إعادة استخدامها. حدد عرض/تحرير خيارات التوفر لعرض خيارات التوفر أو تحريرها.

      إشعار

      • أثناء تكوين مجموعات التوفر المستهدفة، قم بتكوين مجموعات توفر مختلفة للأجهزة الظاهرية ذات الحجم المختلف.
      • لا يمكنك تغيير نوع التوفر - المثيل المفرد أو مجموعة التوفر أو منطقة التوفر، بعد تمكين النسخ المتماثل. يجب تعطيل النسخ المتماثل وتمكينه لتغيير نوع التوفر.

      لقطة شاشة لخيار التوفر.

    5. حجز السعة: يتيح لك حجز القدرة الإنتاجية شراء السعة في منطقة الاسترداد، ثم تجاوز الفشل إلى تلك السعة. يمكنك إما إنشاء مجموعة حجز سعة جديدة أو استخدام مجموعة موجودة. لمزيد من المعلومات، راجع كيفية عمل حجز السعة. حدد عرض أو تحرير تعيين مجموعة حجز السعة لتعديل إعدادات حجز السعة. عند تشغيل تجاوز الفشل، سيتم إنشاء الجهاز الظاهري الجديد في مجموعة حجز القدرة الإنتاجية المُعينة.

      لقطة شاشة لحجز السعة.

    6. إعدادات التشفير: حدد View/edit configuration لتكوين تشفير القرص وKey Encryption key Vaults.

      • مخازن مفاتيح تشفير القرص: بشكل افتراضي، يقوم «استرداد الموقع» بإنشاء مخزن مفتاح جديد في المنطقة الهدف. يحتوي على لاحقة asr تستند إلى مفاتيح تشفير قرص الجهاز الظاهري المصدر. إذا كان مخزن المفاتيح الذي تم إنشاؤه بواسطة استرداد موقع Azure موجوداً بالفعل، فسيعاد استخدامه.
      • Key encryption key vaults: بشكل افتراضي، يقوم Site Recovery بإنشاء مخزن مفتاح جديد في المنطقة المستهدفة. يحتوي الاسم على لاحقة asr تستند إلى مفاتيح تشفير مفتاح الجهاز الظاهري المصدر. إذا كان مخزن المفاتيح الذي تم إنشاؤه بواسطة استرداد موقع Azure موجوداً بالفعل، فسيعاد استخدامه.

      لقطة شاشة لإعدادات التشفير.

  6. حدد التالي.

  7. في إدارة، قم بما يلي:

    1. ضمن نهج النسخ المتماثل،
      • نهج النسخ المتماثل: حدد نهج النسخ المتماثل. يحدد إعدادات محفوظات استبقاء نقطة الاسترداد وتكرار اللقطة المتوافق مع التطبيق. بشكل افتراضي، ينشئ Site Recovery نهج نسخ متماثل جديد بإعدادات افتراضية 24 ساعة للاحتفاظ بنقطة الاسترداد.
      • مجموعة النسخ المتماثل: إنشاء مجموعة النسخ المتماثل لنسخ الأجهزة الظاهرية معا لإنشاء نقاط استرداد متسقة متعددة الأجهزة الظاهرية. لاحظ أن تمكين تناسق الأجهزة الظاهرية المتعددة يمكن أن يؤثر على أداء حمل العمل ويجب استخدامه فقط إذا كانت الأجهزة تشغل نفس حمل العمل وتحتاج إلى التناسق عبر أجهزة متعددة.
    2. ضمن إعدادات الملحق،
      • حدد تحديث الإعدادات وحساب التنفيذ التلقائي.

    لقطة شاشة تعرض علامة تبويب الإدارة.

  8. حدد التالي.

  9. في Review، راجع إعدادات الجهاز الظاهري وحدد Enable replication.

    لقطة شاشة تعرض علامة تبويب المراجعة.

إشعار

أثناء النسخ المتماثل الأولي، قد تستغرق الحالة بعض الوقت للتحديث، دون إحراز تقدم واضح. انقر فوق تحديث للحصول على أحدث حالة.

تحديث إعدادات تشفير الجهاز الظاهري الهدف

في السيناريوهات التالية، ستتم مطالبتك بتحديث إعدادات تشفير الجهاز الظاهري الهدف:

  • قمت بتمكين النسخ المتماثل لخدمة "استرداد الموقع" على الجهاز الظاهري. في وقت لاحق، قمت بتمكين تشفير القرص على الجهاز الظاهري المصدر.
  • قمت بتمكين النسخ المتماثل لخدمة "استرداد الموقع" على الجهاز الظاهري. في وقت لاحق، قمت بتغيير مفتاح تشفير القرص أو مفتاح تشفير المفتاح على الجهاز الظاهري المصدر.

نظرا للأسباب المذكورة أعلاه، لا تتم مزامنة المفاتيح بين المصدر والهدف. لذلك، تحتاج إلى نسخ المفاتيح لاستهداف وتحديث تخزين بيانات تعريف Azure Site Recovery من خلال:

  • المدخل
  • واجهة برمجة تطبيقات REST
  • PowerShell

تحديث إعدادات تشفير الجهاز الظاهري الهدف من مدخل Microsoft Azure

إذا كنت تستخدم Site Recovery على جهاز ظاهري وقمت بتمكين تشفير القرص عليه في وقت لاحق، فقد لا يكون لديك أي مخزن مفاتيح في الإعدادات الهدف. يجب إضافة مخزن مفاتيح جديد في الهدف.

إذا كنت تستخدم مخزن مفاتيح، على سبيل المثال KV1، في الإعدادات الهدف، يمكنك تغيير المفاتيح باستخدام مخزن مفاتيح مختلف في المنطقة المستهدفة. يمكنك اختيار إما مخزن مفاتيح موجود يختلف عن مخزن KV1 المفاتيح الأصلي أو استخدام مخزن مفاتيح جديد. نظرا لأن Azure Site Recovery لا يسمح بتغيير المفاتيح في مكانها، يجب عليك استخدام مخزن مفاتيح مختلف في المنطقة المستهدفة.

على سبيل المثال، نفترض أنك تقوم بإنشاء مخزن KV2 مفاتيح فارغ جديد بالأذونات الضرورية. يمكنك بعد ذلك تحديث المخزن باستخدام الخطوات التالية:

  1. انتقل إلى مخزن خدمات الاسترداد في المدخل.
  2. تحديد حوسبة خصائص>العنصر>المنسوخ نسخا متماثلا
  3. حدد KV2 من القائمة لتحديث مخزن المفاتيح الهدف. لقطة شاشة لتحديث مخزن المفاتيح الهدف.
  4. حدد Save لنسخ مفاتيح المصدر إلى مخزن KV2 المفاتيح الهدف الجديد باستخدام مفتاح/سر جديد وتحديث بيانات تعريف Azure Site Recovery.

    إشعار

    قد يكون لإنشاء مخزن مفاتيح جديد آثار على التكلفة. إذا كنت ترغب في استخدام مخزن المفاتيح الهدف الأصلي (KV1) الذي كنت تستخدمه من قبل، يمكنك القيام بذلك بعد إكمال الخطوات المذكورة أعلاه باستخدام مخزن مفاتيح مختلف.
    بعد تحديث المخزن باستخدام مخزن مفاتيح مختلف، لاستخدام مخزن المفاتيح الهدف الأصلي (KV1)، كرر الخطوات من 1 إلى 4 وحدد KV1 في مخزن المفاتيح الهدف. هذا ينسخ المفتاح الجديد / السر في KV1 ويستخدم ذلك للهدف.

تحديث إعدادات تشفير الجهاز الظاهري الهدف باستخدام واجهة برمجة تطبيقات REST

  1. يجب نسخ المفاتيح إلى المخزن الهدف باستخدام البرنامج النصي Copy-Keys .
  2. Replication Protected Items - Update استخدم واجهة برمجة تطبيقات Rest لتحديث بيانات تعريف استرداد موقع Azure.

تحديث إعدادات تشفير الجهاز الظاهري الهدف باستخدام PowerShell

  1. انسخ المفاتيح إلى المخزن الهدف باستخدام البرنامج النصي Copy-Keys .
  2. Set-AzRecoveryServicesAsrReplicationProtectedItem استخدم الأمر لتحديث بيانات تعريف Azure Site Recovery.

استكشاف مشكلات أذونات مخزن المفاتيح وإصلاحها أثناء النسخ المتماثل للجهاز الظاهري من Azure إلى Azure

يتطلب استرداد موقع Azure على الأقل إذن قراءة على مخزن المفاتيح للمنطقة المصدر، وإذن كتابة على مخزن المفاتيح للمنطقة الهدف لقراءة البيانات السرية ونسخها إلى مخزن المفاتيح للمنطقة الهدف.

السبب 1: لا يتوفر لديك إذن "GET" على مخزن مفاتيح المنطقة المصدر لقراءة المفاتيح.
كيفية الإصلاح: بغض النظر عما إذا كنت مسؤول اشتراك أم لا، من المهم أن تحصل على إذن في مخزن المفاتيح.

  1. انتقل إلى مخزن مفاتيح المنطقة المصدر، وهو في هذا المثال "ContososourceKeyvault" >نُهُج الوصول
  2. ضمن تحديد الأساسي، أضف اسم المستخدم على سبيل المثال: "dradmin@contoso.com"
  3. ضمن أذونات المفاتيح، حدد GET
  4. ضمن إذن البيانات السرية، حدد GET
  5. حفظ نهج الوصول

السبب 2: لا يتوفر لديك إذن مطلوب على مخزن مفاتيح المنطقة الهدف لكتابة المفاتيح.

على سبيل المثال: تحاول نسخ جهاز ظاهري نسخًا متماثلاً يحتوي على مخزن مفاتيح ContososourceKeyvault على منطقة مصدر. تتوفر لديك جميع الأذونات على مخزن مفاتيح المنطقة المصدر. ولكن أثناء الحماية، يمكنك تحديد مخزن المفاتيح الذي تم إنشاؤه بالفعل «ContosotargetKeyvault»، والذي لا يحتوي على أذونات. يحدث خطأ.

الإذن المطلوب على مخزن المفاتيح الهدف

كيفية الإصلاح: انتقل إلى الصفحة الرئيسية>Keyvaults>ContosotargetKeyvault>نهج الوصول، وأضف الأذونات المناسبة.

الخطوات التالية