Share via

Replikace virtuálních počítačů s podporou služby Azure Disk Encryption do jiné oblasti Azure

  • Článek

Tento článek popisuje, jak replikovat virtuální počítače Azure s povolenou službou Azure Disk Encryption (ADE) z jedné oblasti Azure do jiné.

Poznámka:

V případě virtuálních počítačů s operačním systémem Windows Site Recovery v současné době podporuje ADE s i bez Microsoft Entra ID. U operačních systémů Linux podporujeme ADE pouze bez Microsoft Entra ID. Navíc pro počítače se systémem ADE 1,1 (bez Microsoft Entra ID) musí virtuální počítače používat spravované disky. Virtuální počítače s nespravovanými disky se nepodporují. Pokud přejdete z ADE 0.1 (s Microsoft Entra ID) na ADE 1.1, po povolení ADE 1.1 musíte pro virtuální počítač zakázat replikaci a znovu ji povolit.

Požadovaná uživatelská oprávnění

Site Recovery vyžaduje, aby uživatel měl oprávnění k vytvoření trezoru klíčů v cílové oblasti a kopírování klíčů z trezoru klíčů zdrojové oblasti do trezoru klíčů cílové oblasti.

Aby bylo možné povolit replikaci virtuálních počítačů s podporou šifrování disků z webu Azure Portal, potřebuje uživatel následující oprávnění pro trezory klíčů zdrojové oblasti i cílové oblasti .

  • Oprávnění trezoru klíčů

    • Seznam, vytvoření a získání

  • Oprávnění k tajným klíčům trezoru klíčů

    • Operace správy tajných kódů
      • Získání, výpis a nastavení

  • Oprávnění ke klíči trezoru klíčů (vyžaduje se pouze v případě, že virtuální počítače k šifrování šifrovacích klíčů disku používají šifrovací klíč klíče klíče)

    • Operace správy klíčů
      • Získání, výpis a vytvoření
    • Kryptografické operace
      • Dešifrování a šifrování

Pokud chcete spravovat oprávnění, přejděte na portálu k prostředku trezoru klíčů. Přidejte požadovaná oprávnění pro uživatele. Následující příklad ukazuje, jak povolit oprávnění k trezoru klíčů ContosoWeb2Keyvault, který je ve zdrojové oblasti.

  1. Přejděte na Domovská>stránka>– Zásady přístupu ContosoWeb2KeyVault.>

    Okno oprávnění trezoru klíčů

  2. Vidíte, že neexistují žádná uživatelská oprávnění. Vyberte Přidat nový. Zadejte informace o uživateli a oprávněních.

    Oprávnění ke službě Keyvault

Pokud uživatel, který povoluje zotavení po havárii (DR), nemá oprávnění ke kopírování klíčů, může správce zabezpečení, který má příslušná oprávnění, použít následující skript ke zkopírování šifrovacích tajných kódů a klíčů do cílové oblasti.

Informace o řešení potíží s oprávněními najdete v části Problémy s oprávněními trezoru klíčů dále v tomto článku.

Poznámka:

Pokud chcete povolit replikaci virtuálních počítačů s podporou šifrování disků z portálu, potřebujete alespoň oprávnění "List" k trezorům klíčů, tajným klíčům a klíčům.

Kopírování klíčů šifrování disků do oblasti zotavení po havárii pomocí skriptu PowerShellu

  1. Otevřete nezpracovaný kód skriptu CopyKeys.

  2. Zkopírujte skript do souboru a pojmenujte ho Copy-keys.ps1.

  3. Otevřete aplikaci Windows PowerShell a přejděte do složky, kam jste soubor uložili.

  4. Spusťte copy-keys.ps1.

  5. Zadejte přihlašovací údaje Azure pro přihlášení.

  6. Vyberte předplatné Azure vašich virtuálních počítačů.

  7. Počkejte, až se skupiny prostředků načtou, a pak vyberte skupinu prostředků vašich virtuálních počítačů.

  8. V zobrazeném seznamu vyberte virtuální počítače. V seznamu jsou jenom virtuální počítače s povoleným šifrováním disků.

  9. Vyberte cílové umístění.

    • Trezory klíčů šifrování disků
    • Trezory klíčů pro šifrování klíčů

    Ve výchozím nastavení vytvoří Site Recovery v cílové oblasti nový trezor klíčů. Název trezoru má příponu "asr", která je založená na šifrovacích klíčích disku zdrojového virtuálního počítače. Pokud trezor klíčů již existuje, který byl vytvořen službou Site Recovery, použije se znovu. V případě potřeby vyberte jiný trezor klíčů ze seznamu.

Povolení replikace

Následující postup použijte k replikaci virtuálních počítačů s podporou služby Azure Disk Encryption do jiné oblasti Azure. Primární oblast Azure je například Východní Asie a sekundární oblastí je Jihovýchodní Asie.

  1. Na stránce Site Recovery trezoru >v části Virtuální počítače Azure vyberte Povolit replikaci.

  2. Na stránce Povolit replikaci v části Zdroj proveďte následující kroky:

    • Oblast: Vyberte oblast Azure, ve které chcete chránit virtuální počítače. Například zdrojové umístění je Východní Asie.
    • Předplatné: Vyberte předplatné, ke kterému patří vaše zdrojové virtuální počítače. Může se jednat o libovolné předplatné, které je ve stejném tenantovi Microsoft Entra jako váš trezor služby Recovery Services.
    • Skupina prostředků: Vyberte skupinu prostředků, do které patří vaše zdrojové virtuální počítače. Všechny virtuální počítače ve vybrané skupině prostředků jsou uvedené pro ochranu v dalším kroku.
    • Model nasazení virtuálního počítače: Vyberte model nasazení Azure zdrojových počítačů.
    • Zotavení po havárii mezi zónami dostupnosti: Pokud chcete na virtuálních počítačích provést zónové zotavení po havárii, vyberte Ano .

    Snímek obrazovky, který zvýrazňuje pole potřebná ke konfiguraci replikace

  3. Vyberte Další.

  4. Ve virtuálních počítačích vyberte každý virtuální počítač, který chcete replikovat. Můžete vybrat pouze počítače, pro které je možné povolit replikaci. Můžete vybrat až deset virtuálních počítačů. Pak vyberte Další.

    Snímek obrazovky se zvýrazněním místa, kde vyberete virtuální počítače

  5. V nastavení replikace můžete nakonfigurovat následující nastavení:

    1. V části Umístění a skupina prostředků

      • Cílové umístění: Vyberte umístění, kam se musí replikovat data zdrojového virtuálního počítače. V závislosti na umístění vybraných počítačů vám Site Recovery poskytne seznam vhodných cílových oblastí. Doporučujeme zachovat cílové umístění stejné jako umístění trezoru služby Recovery Services.

      • Cílové předplatné: Vyberte cílové předplatné použité pro zotavení po havárii. Ve výchozím nastavení bude cílové předplatné stejné jako zdrojové předplatné.

      • Cílová skupina prostředků: Vyberte skupinu prostředků, do které patří všechny replikované virtuální počítače.

        • Ve výchozím nastavení Site Recovery vytvoří v cílové oblasti novou skupinu prostředků s příponou asr v názvu.
        • Pokud již skupina prostředků vytvořená službou Site Recovery existuje, použije se znovu.
        • Nastavení skupiny prostředků můžete upravit.
        • Umístění cílové skupiny prostředků může být libovolná oblast Azure s výjimkou oblasti, ve které jsou zdrojové virtuální počítače hostované.

        Poznámka:

        Novou cílovou skupinu prostředků můžete vytvořit také výběrem možnosti Vytvořit novou.

        Snímek obrazovky s umístěním a skupinou prostředků

    2. V části Síť

      • Virtuální síť s podporou převzetí služeb při selhání: Vyberte virtuální síť s podporou převzetí služeb při selhání.

        Poznámka:

        Novou virtuální síť s podporou převzetí služeb při selhání můžete vytvořit také výběrem možnosti Vytvořit novou.

      • Podsíť převzetí služeb při selhání: Vyberte podsíť převzetí služeb při selhání.

        Snímek obrazovky se sítí

    3. Úložiště: Vyberte Zobrazit/upravit konfiguraci úložiště. Otevře se stránka přizpůsobení nastavení cíle.

      Snímek obrazovky úložiště

      • Disk spravovaný replikou: Site Recovery vytvoří v cílové oblasti nové disky spravované replikou, aby zrcadlily spravované disky zdrojového virtuálního počítače se stejným typem úložiště (Standard nebo Premium) jako spravovaný disk zdrojového virtuálního počítače.
      • Úložiště mezipaměti: Site Recovery potřebuje další účet úložiště označovaný jako úložiště mezipaměti ve zdrojové oblasti. Všechny změny na zdrojových virtuálních počítačích se před replikací do cílového umístění sledují a odesílají do účtu úložiště mezipaměti.

    4. Možnosti dostupnosti: Vyberte příslušnou možnost dostupnosti pro váš virtuální počítač v cílové oblasti. Pokud skupina dostupnosti vytvořená službou Site Recovery již existuje, použije se znovu. Pokud chcete zobrazit nebo upravit možnosti dostupnosti, vyberte Zobrazit nebo upravit možnosti dostupnosti.

      Poznámka:

      • Při konfiguracicílových
      • Po povolení replikace nemůžete změnit typ dostupnosti – jednu instanci, skupinu dostupnosti nebo zónu dostupnosti. Chcete-li změnit typ dostupnosti, musíte zakázat a povolit replikaci.

      Snímek obrazovky s možností dostupnosti

    5. Rezervace kapacity: Rezervace kapacity umožňuje zakoupit kapacitu v oblasti obnovení a pak provést převzetí služeb při selhání této kapacity. Můžete buď vytvořit novou skupinu rezervací kapacity, nebo použít existující skupinu. Další informace najdete v tom , jak rezervace kapacity funguje. Pokud chcete změnit nastavení rezervace kapacity, vyberte Zobrazit nebo Upravit přiřazení skupiny rezervací kapacity. Při aktivaci převzetí služeb při selhání se nový virtuální počítač vytvoří ve přiřazené skupině rezervací kapacity.

      Snímek obrazovky s rezervací kapacity

    6. Nastavení šifrování: Výběrem možnosti Zobrazit/upravit konfiguraci nakonfigurujte trezory klíčů pro šifrování disků a šifrování klíčů.

      • Trezory klíčů pro šifrování disků: Ve výchozím nastavení Vytvoří Site Recovery nový trezor klíčů v cílové oblasti. Má příponu asr , která je založená na šifrovacích klíčích disku zdrojového virtuálního počítače. Pokud trezor klíčů vytvořený službou Azure Site Recovery už existuje, použije se znovu.
      • Trezory klíčů pro šifrování klíčů: Ve výchozím nastavení vytvoří Site Recovery v cílové oblasti nový trezor klíčů. Název má příponu asr , která je založená na šifrovacích klíčích zdrojového virtuálního počítače. Pokud trezor klíčů vytvořený službou Azure Site Recovery už existuje, použije se znovu.

      Snímek obrazovky s nastavením šifrování

  6. Vyberte Další.

  7. Ve správě udělejte toto:

    1. V části Zásady replikace
      • Zásady replikace: Vyberte zásadu replikace. Definuje nastavení pro historii uchovávání bodů obnovení a frekvenci snímků konzistentních vzhledem k aplikacím. Site Recovery ve výchozím nastavení vytvoří novou zásadu replikace s výchozím nastavením 24 hodin pro uchovávání bodů obnovení.
      • Skupina replikace: Vytvořte replikační skupinu pro replikaci virtuálních počítačů dohromady a vygenerujte body obnovení konzistentní s více virtuálními počítači. Mějte na paměti, že povolení konzistence více virtuálních počítačů může mít vliv na výkon úloh a mělo by se použít pouze v případě, že počítače používají stejnou úlohu a potřebujete konzistenci napříč více počítači.
    2. V části Nastavení rozšíření
      • Vyberte Aktualizovat nastavení a účet Automation.

    Snímek obrazovky zobrazující kartu Správa

  8. Vyberte Další.

  9. V části Kontrola zkontrolujte nastavení virtuálního počítače a vyberte Povolit replikaci.

    Snímek obrazovky zobrazující kartu revize

Poznámka:

Během počáteční replikace může aktualizace stavu nějakou dobu trvat, aniž by to bylo zřejmé. Kliknutím na Aktualizovat získáte nejnovější stav.

Aktualizace nastavení šifrování cílového virtuálního počítače

V následujících scénářích budete muset aktualizovat nastavení šifrování cílového virtuálního počítače:

  • Povolili jste replikaci Site Recovery na virtuálním počítači. Později jste na zdrojovém virtuálním počítači povolili šifrování disků.
  • Povolili jste replikaci Site Recovery na virtuálním počítači. Později jste na zdrojovém virtuálním počítači změnili šifrovací klíč disku nebo šifrovací klíč klíče.

Z výše uvedených důvodů se klíče nesynchronizují mezi zdrojem a cílem. Proto je potřeba zkopírovat klíče, které chcete cílit, a aktualizovat úložiště metadat Azure Site Recovery prostřednictvím:

  • Portál
  • REST API
  • PowerShell

Aktualizace nastavení šifrování cílového virtuálního počítače z webu Azure Portal

Pokud používáte Site Recovery na virtuálním počítači a v pozdějším okamžiku jste na něm povolili šifrování disků, možná v cílových nastaveních nemáte žádný trezor klíčů. Do cíle musíte přidat nový trezor klíčů.

Pokud používáte trezor klíčů, například KV1v nastavení cíle, můžete klíče změnit pomocí jiného trezoru klíčů v cílové oblasti. Můžete zvolit existující trezor klíčů, který se liší od původního trezoru KV1 klíčů, nebo použít nový trezor klíčů. Protože Azure Site Recovery neumožňuje změnu klíčů na místě, musíte v cílové oblasti použít jiný trezor klíčů.

V tomto příkladu předpokládáme, že vytvoříte nový prázdný trezor KV2 klíčů s potřebnými oprávněními. Trezor pak můžete aktualizovat pomocí následujících kroků:

  1. Na portálu přejděte do trezoru služby Recovery Services.
  2. Výběr výpočetních prostředků vlastností>replikované položky>
  3. Výběrem KV2 z nabídky aktualizujte cílový trezor klíčů. Snímek obrazovky s cílovou trezorem klíčů
  4. Výběrem možnosti Uložit zkopírujte zdrojové klíče do nového cílového trezoru KV2 klíčů s novým klíčem nebo tajným kódem a aktualizujte metadata Azure Site Recovery.

    Poznámka:

    Vytvoření nového trezoru klíčů může mít vliv na náklady. Pokud chcete použít původní cílový trezor klíčů (KV1), který jste používali dříve, můžete to udělat po dokončení výše uvedených kroků s jiným trezorem klíčů.
    Po aktualizaci trezoru pomocí jiného trezoru klíčů použijte původní cílový trezor klíčů (KV1), zopakujte kroky 1 až 4 a vyberte KV1 v cílovém trezoru klíčů. Tím se zkopíruje nový klíč nebo tajný klíč KV1 a použije se pro cíl.

Aktualizace nastavení šifrování cílového virtuálního počítače pomocí rozhraní REST API

  1. Klíče musíte zkopírovat do cílového trezoru pomocí skriptu Copy-Keys .
  2. Replication Protected Items - Update K aktualizaci metadat Azure Site Recovery použijte rozhraní REST API.

Aktualizace nastavení šifrování cílového virtuálního počítače pomocí PowerShellu

  1. Zkopírujte klíče do cílového trezoru pomocí skriptu Copy-Keys .
  2. Set-AzRecoveryServicesAsrReplicationProtectedItem Pomocí příkazu aktualizujte metadata Azure Site Recovery.

Řešení potíží s oprávněními trezoru klíčů během replikace virtuálních počítačů Azure do Azure

Služba Azure Site Recovery vyžaduje alespoň oprávnění ke čtení z trezoru klíčů ve zdrojové oblasti a oprávnění k zápisu do trezoru klíčů v cílové oblasti, aby mohla přečíst tajný klíč a zkopírovat ho do trezoru klíčů v cílové oblasti.

Příčina 1: Ke čtení klíčů ve zdrojové oblasti nemáte oprávnění GET.
Postup: Bez ohledu na to, jestli jste správcem předplatného nebo ne, je důležité, abyste získali oprávnění k trezoru klíčů.

  1. Přejděte do trezoru klíčů zdrojové oblasti, který v tomto příkladu představuje zásady přístupu ContososourceKeyvault >.
  2. V části Vybrat objekt zabezpečení přidejte uživatelské jméno, například: "dradmin@contoso.com"
  3. V části Oprávnění ke klíči vyberte GET
  4. V části Oprávnění k tajnému kódu vyberte GET
  5. Uložení zásad přístupu

Příčina 2: Nemáte požadovaná oprávnění k zápisu klíčů do trezoru klíčů cílové oblasti.

Například: Pokusíte se replikovat virtuální počítač s trezorem klíčů ContososourceKeyvault ve zdrojové oblasti. Máte všechna oprávnění k trezoru klíčů zdrojové oblasti. Během ochrany ale vyberete již vytvořený trezor klíčů ContosotargetKeyvault, který nemá oprávnění. Dojde k chybě.

Oprávnění vyžadovaná pro cílový trezor klíčů

Postup opravy: Přejděte na domovské>stránky ContosotargetKeyvault>>Zásady přístupu a přidejte příslušná oprávnění.

Další kroky