Migrace virtuálních počítačů VMware na virtuální počítače Azure s povoleným šifrováním na straně serveru a klíči spravovanými zákazníkem
Tento článek popisuje, jak migrovat virtuální počítače VMware na virtuální počítače Azure s disky šifrovanými pomocí šifrování na straně serveru (SSE) s klíči spravovanými zákazníkem (CMK), s využitím migrace a modernizace (replikace bez agentů).
Prostředí portálu migrace a modernizace umožňuje migrovat virtuální počítače VMware do Azure s replikací bez agentů. Prostředí portálu podporuje DES/CMK. Před spuštěním replikace by se měl vytvořit des a musí být při spuštění replikace poskytnut. Nelze ji poskytnout v době migrace. V tomto článku se dozvíte, jak vytvořit a nasadit šablonu Azure Resource Manageru pro replikaci virtuálního počítače VMware a konfiguraci replikovaných disků v Azure tak, aby používaly službu SSE s CMK.
Příklady v tomto článku používají Azure PowerShell k provádění úloh potřebných k vytvoření a nasazení šablony Resource Manageru.
Přečtěte si další informace o šifrování na straně serveru (SSE) s klíči spravovanými zákazníkem (CMK) pro spravované disky.
Požadavky
- Projděte si kurz migrace virtuálních počítačů VMware do Azure s replikací bez agentů a seznamte se s požadavky na nástroje.
- Podle těchto pokynů vytvořte projekt Azure Migrate a přidejte do projektu nástroj pro migraci a modernizaci .
- Podle těchto pokynů nastavte zařízení Azure Migrate pro VMware v místním prostředí a dokončete zjišťování.
Příprava na replikaci
Po dokončení zjišťování virtuálních počítačů zobrazí řádek Zjištěné servery na dlaždici Migrace a modernizace počet virtuálních počítačů VMware zjištěných zařízením.
Před zahájením replikace virtuálních počítačů je potřeba připravit infrastrukturu replikace.
- Vytvořte instanci služby Service Bus v cílové oblasti. Služba Service Bus je používána místním zařízením Azure Migrate ke komunikaci se službou Migrace a modernizace ke koordinaci replikace a migrace.
- Vytvořte účet úložiště pro přenos protokolů operací z replikace.
- Vytvořte účet úložiště, do kterého zařízení Azure Migrate nahraje data replikace.
- Vytvořte službu Key Vault a nakonfigurujte službu Key Vault pro správu tokenů sdíleného přístupového podpisu pro přístup k objektům blob v účtech úložiště vytvořených v kroku 3 a 4.
- Vygenerujte token sdíleného přístupového podpisu pro službu Service Bus vytvořený v kroku 1 a vytvořte tajný kód pro token ve službě Key Vault vytvořený v předchozím kroku.
- Vytvořte zásadu přístupu ke službě Key Vault, která místnímu zařízení Azure Migrate (pomocí aplikace AAD zařízení) a službě Migrace a modernizace poskytne přístup ke službě Key Vault.
- Vytvořte zásady replikace a nakonfigurujte službu Migrace a modernizace s podrobnostmi o infrastruktuře replikace vytvořené v předchozím kroku.
Infrastruktura replikace se musí vytvořit v cílové oblasti Azure pro migraci a v cílovém předplatném Azure, do kterého se virtuální počítače migrují.
Prostředí portálu migrace a modernizace zjednodušuje přípravu infrastruktury replikace tím, že to automaticky provedete při první replikaci virtuálního počítače v projektu. V tomto článku předpokládáme, že jste už replikovali jeden nebo více virtuálních počítačů pomocí portálového prostředí a že infrastruktura replikace je už vytvořená. Podíváme se na to, jak zjistit podrobnosti o existující infrastruktuře replikace a jak tyto podrobnosti použít jako vstupy do šablony Resource Manageru, která se použije k nastavení replikace pomocí CMK.
Identifikace komponent infrastruktury replikace
- Na webu Azure Portal přejděte na stránku skupiny prostředků a vyberte skupinu prostředků, ve které byl vytvořen projekt Azure Migrate.
- V nabídce vlevo vyberte Nasazení a vyhledejte název nasazení začínající řetězcem Microsoft.MigrateV2.VMwareV2EnableMigrate. Zobrazí se seznam šablon Resource Manageru vytvořených prostředím portálu pro nastavení replikace pro virtuální počítače v tomto projektu. Jednu takovou šablonu si stáhneme a použijeme ji jako základ k přípravě šablony na replikaci pomocí CMK.
- Pokud chcete šablonu stáhnout, vyberte libovolné nasazení odpovídající vzoru řetězce v předchozím kroku>, v nabídce vlevo > klikněte na Tlačítko Stáhnout z horní nabídky. Uložte template.json soubor místně. Tento soubor šablony upravíte v posledním kroku.
Vytvoření sady šifrování disku
Objekt sady šifrování disků mapuje Spravované disky do služby Key Vault, která obsahuje klíč CMK, který se má použít pro službu SSE. Pokud chcete replikovat virtuální počítače pomocí CMK, vytvoříte sadu šifrování disku a předáte ji jako vstup do operace replikace.
Pokud chcete vytvořit sadu šifrování disků pomocí Azure PowerShellu, postupujte podle tohoto příkladu. Ujistěte se, že je sada šifrování disků vytvořená v cílovém předplatném, do kterého se virtuální počítače migrují, a v cílové oblasti Azure pro migraci.
Sadu šifrování disků je možné nakonfigurovat tak, aby zašifrovaly spravované disky pomocí klíče spravovaného zákazníkem, nebo pro dvojité šifrování pomocí klíče spravovaného zákazníkem i klíče platformy. Pokud chcete použít možnost dvojitého šifrování neaktivních uložených dat, nakonfigurujte sadu šifrování disků, jak je popsáno zde.
V příkladu uvedeném pod sadou šifrování disků je nakonfigurováno použití klíče spravovaného zákazníkem.
$Location = "southcentralus" #Target Azure region for migration
$TargetResourceGroupName = "ContosoMigrationTarget"
$KeyVaultName = "ContosoCMKKV"
$KeyName = "ContosoCMKKey"
$KeyDestination = "Software"
$DiskEncryptionSetName = "ContosoCMKDES"
$KeyVault = New-AzKeyVault -Name $KeyVaultName -ResourceGroupName $TargetResourceGroupName -Location $Location -EnableSoftDelete -EnablePurgeProtection
$Key = Add-AzKeyVaultKey -VaultName $KeyVaultName -Name $KeyName -Destination $KeyDestination
$desConfig = New-AzDiskEncryptionSetConfig -Location $Location -SourceVaultId $KeyVault.ResourceId -KeyUrl $Key.Key.Kid -IdentityType SystemAssigned
$des = New-AzDiskEncryptionSet -Name $DiskEncryptionSetName -ResourceGroupName $TargetResourceGroupName -InputObject $desConfig
Set-AzKeyVaultAccessPolicy -VaultName $KeyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
New-AzRoleAssignment -ResourceName $KeyVaultName -ResourceGroupName $TargetResourceGroupName -ResourceType "Microsoft.KeyVault/vaults" -ObjectId $des.Identity.PrincipalId -RoleDefinitionName "Reader"
Získání podrobností o virtuálním počítači VMware pro migraci
V tomto kroku použijete Azure PowerShell k získání podrobností o virtuálním počítači, který je potřeba migrovat. Tyto podrobnosti se použijí k vytvoření šablony Resource Manageru pro replikaci. Konkrétně se jedná o dvě vlastnosti, které vás zajímají:
- ID prostředku počítače pro zjištěné virtuální počítače.
- Seznam disků pro virtuální počítač a jejich identifikátory disků
$ProjectResourceGroup = "ContosoVMwareCMK" #Resource group that the Azure Migrate Project is created in
$ProjectName = "ContosoVMwareCMK" #Name of the Azure Migrate Project
$solution = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.Migrate/MigrateProjects/solutions -ExpandProperties -ResourceName $ProjectName | where Name -eq "Servers-Discovery-ServerDis
covery"
# Displays one entry for each appliance in the project mapping the appliance to the VMware sites discovered through the appliance.
$solution.Properties.details.extendedDetails.applianceNameToSiteIdMapV2 | ConvertFrom-Json | select ApplianceName, SiteId
ApplianceName SiteId
------------- ------
VMwareApplianc /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite
Zkopírujte hodnotu řetězce SiteId odpovídající zařízení Azure Migrate, přes které je virtuální počítač zjištěn. V příkladu uvedeném výše je Id webu "/subscriptions/aaaa0a-bb1b-cc2c-dd3d-eeee4e4e4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"
#Replace value with SiteId from the previous step
$SiteId = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"
$SiteName = Get-AzResource -ResourceId $SiteId -ExpandProperties | Select-Object -ExpandProperty Name
$DiscoveredMachines = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.OffAzure/VMwareSites/machines -ExpandProperties -ResourceName $SiteName
#Get machine details
PS /home/bharathram> $MachineName = "FPL-W19-09" #Replace string with VMware VM name of the machine to migrate
PS /home/bharathram> $machine = $Discoveredmachines | where {$_.Properties.displayName -eq $MachineName}
PS /home/bharathram> $machine.count #Validate that only 1 VM was found matching this name.
Zkopírujte hodnoty ResourceId, name a disk uuid pro počítač, který se má migrovat.
PS > $machine.Name
10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210
PS > $machine.ResourceId
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210
PS > $machine.Properties.disks | select uuid, label, name, maxSizeInBytes
uuid label name maxSizeInBytes
---- ----- ---- --------------
6000C291-5106-2aac-7a74-4f33c3ddb78c Hard disk 1 scsi0:0 42949672960
6000C293-39a1-bd70-7b24-735f0eeb79c4 Hard disk 2 scsi0:1 53687091200
6000C29e-cbee-4d79-39c7-d00dd0208aa9 Hard disk 3 scsi0:2 53687091200
Vytvoření šablony Resource Manageru pro replikaci
- Otevřete soubor šablony Resource Manageru, který jste stáhli v kroku Identifikace komponent infrastruktury replikace v editoru podle vašeho výběru.
- Odeberte ze šablony všechny definice prostředků s výjimkou prostředků, které jsou typu Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems.
- Pokud existuje více definic prostředků výše uvedeného typu, odeberte všechny kromě jednoho. Odeberte z definice prostředku definice vlastností dependsOn .
- Na konci tohoto kroku byste měli mít soubor, který vypadá jako v následujícím příkladu a má stejnou sadu vlastností.
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
"apiVersion": "2018-01-10",
"name": "ContosoMigration7371rsvault/VMware104e4replicationfabric/VMware104e4replicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
"properties": {
"policyId": "/Subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.RecoveryServices/vaults/ContosoMigration7371rsvault/replicationPolicies/migrateVMware104e4sitepolicy",
"providerSpecificDetails": {
"instanceType": "VMwareCbt",
"vmwareMachineId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
"targetResourceGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG",
"targetNetworkId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG/providers/Microsoft.Network/virtualNetworks/PayrollNW",
"targetSubnetName": "PayrollSubnet",
"licenseType": "NoLicenseType",
"disksToInclude": [
{
"diskId": "6000C295-dafe-a0eb-906e-d47cb5b05a1d",
"isOSDisk": "true",
"logStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
"logStorageAccountSasSecretName": "migratelsa1432469187-cacheSas",
"diskType": "Standard_LRS"
}
],
"dataMoverRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"snapshotRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"targetBootDiagnosticsStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
"targetVmName": "PayrollWeb04"
}
}
}
]
}
- Upravte vlastnost názvu v definici prostředku. Nahraďte řetězec, který následuje za posledním znakem "/" ve vlastnosti name hodnotou $machine. Name( z předchozího kroku).
- Změňte hodnotu vlastnosti properties.providerSpecificDetails.vmwareMachineId s hodnotou $machine. ResourceId( z předchozího kroku).
- Nastavte hodnoty pro targetResourceGroupId, targetNetworkId, targetSubnetName na ID cílové skupiny prostředků, ID prostředku cílové virtuální sítě a název cílové podsítě.
- Nastavte hodnotu licenseType na "WindowsServer", aby se pro tento virtuální počítač použil Zvýhodněné hybridní využití Azure. Pokud tento virtuální počítač nemá nárok na Zvýhodněné hybridní využití Azure, nastavte hodnotu licenseType na NoLicenseType.
- Změňte hodnotu vlastnosti targetVmName na požadovaný název virtuálního počítače Azure pro migrovaný virtuální počítač.
- Volitelně přidejte vlastnost s názvem targetVmSize pod vlastnost targetVmName . Nastavte hodnotu vlastnosti targetVmSize na požadovanou velikost virtuálního počítače Azure pro migrovaný virtuální počítač.
- Vlastnost disksToInclude je seznam vstupů disku pro replikaci s každou položkou seznamu představující jeden místní disk. Vytvořte tolik položek seznamu jako počet disků na místním virtuálním počítači. Nahraďte vlastnost diskId v položce seznamu identifikátorem uuid disků identifikovaných v předchozím kroku. Nastavte hodnotu isOSDisk na true pro disk s operačním systémem virtuálního počítače a hodnotu false pro všechny ostatní disky. Vlastnosti logStorageAccountId a logStorageAccountSasSecretName ponechte beze změny. Nastavte hodnotu diskType na typ spravovaného disku Azure (Standard_LRS, Premium_LRS, StandardSSD_LRS) pro disk. Pro disky, které je potřeba zašifrovat pomocí CMK, přidejte vlastnost s názvem diskEncryptionSetId a nastavte hodnotu na ID prostředku vytvořené sady šifrování disku($des. ID) v kroku Vytvoření sady šifrování disku
- Uložte upravený soubor šablony. Ve výše uvedeném příkladu vypadá upravený soubor šablony takto:
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
"apiVersion": "2018-01-10",
"name": "ContosoVMwareCMK00ddrsvault/VMwareApplianca8bareplicationfabric/VMwareApplianca8bareplicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
"properties": {
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.RecoveryServices/vaults/ContosoVMwareCMK00ddrsvault/replicationPolicies/migrateVMwareApplianca8basitepolicy",
"providerSpecificDetails": {
"instanceType": "VMwareCbt",
"vmwareMachineId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
"targetResourceGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoMigrationTarget",
"targetNetworkId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/cmkRTest/providers/Microsoft.Network/virtualNetworks/cmkvm1_vnet",
"targetSubnetName": "cmkvm1_subnet",
"licenseType": "NoLicenseType",
"disksToInclude": [
{
"diskId": "6000C291-5106-2aac-7a74-4f33c3ddb78c",
"isOSDisk": "true",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
},
{
"diskId": "6000C293-39a1-bd70-7b24-735f0eeb79c4",
"isOSDisk": "false",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
},
{
"diskId": "6000C29e-cbee-4d79-39c7-d00dd0208aa9",
"isOSDisk": "false",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
}
],
"dataMoverRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"snapshotRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"targetBootDiagnosticsStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"performAutoResync": "true",
"targetVmName": "FPL-W19-09"
}
}
}
]
}
Nastavení replikace
Upravenou šablonu Resource Manageru teď můžete nasadit do skupiny prostředků projektu a nastavit tak replikaci virtuálního počítače. Zjistěte, jak nasadit prostředek pomocí šablon Azure Resource Manageru a Azure PowerShellu.
New-AzResourceGroupDeployment -ResourceGroupName $ProjectResourceGroup -TemplateFile "C:\Users\Administrator\Downloads\template.json"
DeploymentName : template
ResourceGroupName : ContosoVMwareCMK
ProvisioningState : Succeeded
Timestamp : 3/11/2020 8:52:00 PM
Mode : Incremental
TemplateLink :
Parameters :
Outputs :
DeploymentDebugLogLevel :
Další kroky
Sledujte stav replikace prostřednictvím portálu a proveďte testovací migrace a migraci.