Replicación de máquinas virtuales habilitadas para Azure Disk Encryption en otra región de Azure
En este artículo se describe cómo replicar máquinas virtuales de Azure habilitadas para Azure Disk Encryption (ADE) de una región de Azure a otra.
Nota:
Actualmente, Site Recovery admite ADE con y sin Microsoft Entra ID para VM que ejecutan los sistemas operativos Windows. En el caso de los sistemas operativos Linux, solo se admite ADE sin Microsoft Entra ID. Además, en el caso de las máquinas que ejecutan ADE 1.1 (sin Microsoft Entra ID), las máquinas virtuales deben usar discos administrados. No se admiten las máquinas virtuales con discos no administrados. Si cambia de ADE 0.1 (con Microsoft Entra ID) a 1.1, tiene que deshabilitar la replicación y volver a habilitarla para una VM después de habilitar la versión 1.1.
Permisos de usuario necesarios
Site Recovery requiere que el usuario tenga permisos para crear el almacén de claves en la región de destino y que copie las claves desde el almacén de claves de la región de origen al de la región de destino.
Para habilitar la replicación de máquinas virtuales habilitadas para Azure Disk Encryption desde Azure Portal, el usuario necesita los permisos siguientes en los almacenes de claves de la región de origen y de destino.
Permisos del almacén de claves
- Lista, Creación y Obtención
Permisos de secretos del almacén de claves
- Operaciones de administración de secretos
- Obtención, Lista y Establecimiento
- Operaciones de administración de secretos
Permisos de clave del almacén de claves (necesarios solo si las máquinas virtuales usan la clave de cifrado de claves para cifrar las claves de cifrado de disco)
- Operaciones de administración de claves
- Obtención, Lista y Creación
- Operaciones criptográficas
- Descifrado y cifrado
- Operaciones de administración de claves
Para administrar permisos, vaya al recurso de almacén de claves en el portal. Agregue los permisos requeridos del usuario. El ejemplo siguiente muestra cómo se habilitan permisos para el almacén de claves ContosoWeb2Keyvault, que se encuentra en la región de origen.
Vaya a Inicio>Keyvaults>ContosoWeb2KeyVault > Directivas de acceso.
Puede ver que no hay ningún permiso de usuario. Seleccione Agregar nuevo. Escriba la información del usuario y de los permisos.
Si el usuario que habilita la recuperación ante desastres (DR) no tiene los permisos necesarios para copiar las claves, un administrador de seguridad que cuente con los permisos adecuados podrá usar el script siguiente para copiar las claves y los secretos de cifrado en la región de destino.
Para solucionar problemas de permisos, consulte incidencias de permisos del almacén de claves más adelante en este artículo.
Nota:
Para habilitar la replicación de máquinas virtuales habilitadas para Azure Disk Encryption desde el portal, necesita al menos permisos de "lista" en los almacenes de claves, los secretos y las claves.
Copia de las claves de Disk Encryption a la región de recuperación ante desastres con el script de PowerShell
Copie el script en un archivo y asígnele el nombre Copy-keys.ps1.
Abra la aplicación Windows PowerShell y vaya a la carpeta donde se ha guardado el archivo.
Ejecute Copy-keys.ps1.
Proporcione las credenciales de Azure para iniciar sesión.
Seleccione la suscripción de Azure de las máquinas virtuales.
Espere a que se carguen los grupos de recursos y luego seleccione el grupo de recursos de las máquinas virtuales.
Seleccione las máquinas virtuales en la lista que se muestra. Solo las máquinas virtuales que están habilitadas para el cifrado de disco aparecen en la lista.
Seleccione la ubicación de destino.
- Almacenes de claves de cifrado de disco
- Almacenes de claves de cifrado de claves
De forma predeterminada, Site Recovery crea un nuevo almacén de claves en la región de destino. El nombre del almacén tiene un sufijo "asr" y se basa en las claves de cifrado de disco de la máquina virtual de origen. Si un almacén de claves que ha creado Site Recovery ya existe, se vuelve a usar. Si es necesario, seleccione un almacén de claves diferente de la lista.
Nota:
Como alternativa, puede descargar la clave e importarla en la región del almacén de claves secundario. A continuación, puede modificar los discos de réplicas para usar las claves.
Habilitar replicación
Use el procedimiento siguiente para replicar máquinas virtuales habilitadas para Azure Disk Encryption en otra región de Azure. Por ejemplo, la región primaria de Azure es Este de Asia y la secundaria es Sudeste de Asia.
En el almacén >página de Site Recovery, en Máquinas virtuales de Azure, seleccione Habilitar replicación.
En la página Habilitar replicación, en Origen, haga lo siguiente:
- Región: la región de Azure donde quiere proteger las máquinas virtuales. Por ejemplo, la ubicación de origen es Este de Asia.
- Subscripción: suscripción a la que pertenecen sus máquinas virtuales de origen. Puede tratarse de cualquier suscripción que se encuentre en el mismo inquilino de Azure Microsoft Entra donde esté el almacén de servicios de recuperación.
- Grupo de recursos: seleccione el grupo de recursos al que pertenecen las máquinas virtuales de origen. Todas las máquinas virtuales del grupo de recursos seleccionado se enumeran para su protección en el paso siguiente.
- Modelo de implementación de máquina virtual: seleccione el modelo de implementación de Azure de las máquinas de origen.
- Recuperación ante desastres entre zonas de disponibilidad: seleccione Sí si quiere realizar la recuperación ante desastres zonal en máquinas virtuales.
Seleccione Next (Siguiente).
En Máquinas virtuales, seleccione las máquinas virtuales que quiera replicar. Solo puede seleccionar aquellas máquinas en las que se pueda habilitar la replicación. Puede seleccionar hasta diez máquinas virtuales. Después, seleccione Siguiente.
En Configuración de replicación, puede configurar las siguientes opciones:
En Ubicación y grupo de recursos,
Ubicación de destino: seleccione la ubicación donde se deben replicar los datos de la máquina virtual de origen. Según la ubicación de las máquinas seleccionadas, Site Recovery proporcionará la lista de regiones de destino adecuadas. Se recomienda mantener como la ubicación de destino la misma ubicación del almacén de Recovery Services.
Suscripción de destino: seleccione la suscripción de destino utilizada para la recuperación ante desastres. De forma predeterminada, la suscripción de destino será la misma que la suscripción de origen.
Grupo de recursos de destino: seleccione el grupo de recursos al que pertenecen todas las máquinas virtuales replicadas.
- De forma predeterminada, Site Recovery crea un nuevo grupo de recursos en la región de destino con un sufijo asr en el nombre.
- Si el grupo de recursos creado por Site Recovery ya existe, se vuelve a usar.
- Puede personalizar la configuración del grupo de recursos.
- La ubicación del grupo de recursos de destino puede ser cualquier región de Azure excepto la región en la que se hospedan las máquinas virtuales de origen.
Nota
También puede crear un nuevo grupo de recursos de destino seleccionando Crear nuevo.
En Red,
Red virtual de conmutación por error: seleccione la red virtual de conmutación por error.
Nota
También puede crear una nueva red virtual de conmutación por error seleccionando Crear nueva.
Subred de conmutación por error: seleccione la subred de conmutación por error.
Almacenamiento: seleccione Ver o editar configuración de almacenamiento. Se abre la página Personalizar la configuración de destino.
- Disco de réplica o administrado: Site Recovery crea nuevos discos de réplica o administrados en la región de destino para reflejar los discos administrados de la máquina virtual de origen con el mismo tipo de almacenamiento (Estándar o Premium) que el disco administrado de la máquina virtual de origen.
- Almacenamiento en caché: Site Recovery necesita una cuenta de almacenamiento adicional denominada almacenamiento en caché en la región de origen. Todos los cambios que se producen en las VM de origen se siguen y se envían a la cuenta de almacenamiento en caché antes de replicarlas en la ubicación de destino.
Opciones de disponibilidad: seleccione la opción de disponibilidad adecuada para la máquina virtual de la región de destino. Si un conjunto de disponibilidad que ha creado Azure Site Recovery ya existe, se vuelve a usar. Seleccione Ver o editar opciones de disponibilidad para ver o editar las opciones de disponibilidad.
Nota
- Al configurar los conjuntos de disponibilidad de destino, configure diferentes conjuntos de disponibilidad para máquinas virtuales de diferentes tamaños.
- No puede cambiar el tipo de disponibilidad (instancia única, zona de disponibilidad o conjunto de disponibilidad) después de habilitar la replicación. Deberá deshabilitar y habilitar la replicación para cambiar el tipo de disponibilidad.
Reserva de capacidad: la reserva de capacidad le permite adquirir capacidad en la región de recuperación y, luego, conmutar por error a esa capacidad. Puede crear un nuevo grupo de reserva de capacidad o usar uno existente. Para más información, consulte cómo funciona la reserva de capacidad. Seleccione Ver o editar asignación de grupos de reserva de capacidad para modificar la configuración de reserva de capacidad. Al desencadenar la conmutación por error, la nueva máquina virtual se creará en el grupo de reserva de capacidad asignado.
Configuración de cifrado: seleccione Ver o editar configuración para configurar los almacenes de claves de cifrado de clave y cifrado de disco.
- Almacenes de claves de cifrado de disco: De forma predeterminada, Site Recovery crea un nuevo almacén de claves en la región de destino. El nombre tiene un sufijo asr y se basa en las claves de cifrado de disco de la máquina virtual de origen. Si un almacén de claves que ha creado Azure Site Recovery ya existe, se vuelve a usar.
- Almacenes de claves de cifrado de claves: De forma predeterminada, Site Recovery crea un nuevo almacén de claves en la región de destino. El nombre tiene un sufijo asr y se basa en las claves de cifrado de claves de la máquina virtual de origen. Si un almacén de claves que ha creado Azure Site Recovery ya existe, se vuelve a usar.
Seleccione Siguiente.
En Administrar, haga lo siguiente:
- En Directiva de replicación,
- Directiva de replicación: seleccione la directiva de replicación. define la configuración del historial de retención del punto de recuperación y la frecuencia de instantánea coherente con la aplicación. De manera predeterminada, Site Recovery crea una nueva directiva de replicación con la configuración predeterminada de 24 horas para la retención del punto de recuperación.
- Grupo de replicación: cree un grupo de replicación para replicar máquinas virtuales juntas a fin de generar puntos de recuperación coherentes con varias máquinas virtuales. Tenga en cuenta que habilitar la coherencia de varias máquinas virtuales puede afectar al rendimiento de la carga de trabajo y solo debe usarse si las máquinas ejecutan la misma carga de trabajo y hace falta coherencia entre varias máquinas.
- En Configuración de extensiones,
- Seleccione Actualizar configuración y Cuenta de Automation.
- En Directiva de replicación,
Seleccione Siguiente.
En Revisar, revise la configuración de la máquina virtual y seleccione Habilitar replicación.
Nota:
Durante la replicación inicial, el estado de la máquina virtual puede tardar un tiempo en actualizarse, sin ningún progreso aparente. Haga clic en Actualizar para obtener el estado más reciente.
Actualización de la configuración de cifrado de la máquina virtual de destino
En los escenarios siguientes, se le pedirá que actualice la configuración de cifrado de la máquina virtual de destino:
- Se ha habilitado la replicación de Site Recovery en la máquina virtual. Después, se ha habilitado el cifrado de disco en la máquina virtual de origen.
- Se ha habilitado la replicación de Site Recovery en la máquina virtual. Luego, se ha cambiado la clave de cifrado de disco o la clave de cifrado de clave en la máquina virtual de origen.
Debido a los motivos anteriores, las claves no están sincronizadas entre el origen y el destino. Por lo tanto, debe copiar las claves en el destino y actualizar el almacenamiento de metadatos de Azure Site Recovery mediante:
- Portal
- REST API
- PowerShell
Nota:
Azure Site Recovery no es compatible con la rotación de claves para una máquina virtual cifrada mientras está protegida. Si rota las claves, deberá deshabilitar y volver a habilitar la replicación.
Actualización de la configuración de cifrado de máquina virtual de destino desde Azure Portal
Si usa Site Recovery en una máquina virtual y ha habilitado el cifrado de disco en él más adelante, es posible que no tenga ningún almacén de claves en la configuración de destino. Debe agregar un nuevo almacén de claves en el destino.
Si usa un almacén de claves, por ejemplo, KV1
, en la configuración de destino, puede cambiar las claves mediante un almacén de claves diferente en la región de destino. Puede elegir un almacén de claves existente diferente del almacén de claves original KV1
o usar un nuevo almacén de claves. Dado que Azure Site Recovery no permite cambiar las claves en su lugar, debe usar otro almacén de claves en la región de destino.
En este ejemplo, se supone que crea un nuevo almacén de claves vacío KV2
con los permisos necesarios. A continuación, puede actualizar el almacén mediante los pasos siguientes:
- Vaya a Almacén de Recovery Services en el portal.
- Seleccione elemento replicado>Propiedades>Proceso
- Seleccione
KV2
en el menú para actualizar el almacén de claves de destino. - Seleccione Guardar para copiar las claves de origen en el nuevo almacén de claves de destino
KV2
con una nueva clave/secreto y actualizar los metadatos de Azure Site Recovery.Nota:
La creación de un nuevo almacén de claves puede tener implicaciones en los costos. Si desea usar el almacén de claves de destino original (
KV1
) que estaba usando antes, puede hacerlo después de completar los pasos anteriores con otro almacén de claves.
Después de actualizar el almacén mediante otro almacén de claves, para usar el almacén de claves de destino original (KV1
), repita los pasos del 1 al 4 y seleccioneKV1
en el almacén de claves de destino. Esto copia la nueva clave o secreto enKV1
y la usa para el destino.
Actualización de la configuración de cifrado de máquina virtual de destino mediante la API REST
- Debe copiar las claves en el almacén de destino mediante el script Copy-Keys.
- Use la API Rest de
Replication Protected Items - Update
para actualizar los metadatos de Azure Site Recovery.
Actualización de la configuración de cifrado de máquina virtual de destino mediante PowerShell
- Copie las claves en el almacén de destino mediante el script Copy-Keys.
- Use el comando
Set-AzRecoveryServicesAsrReplicationProtectedItem
para actualizar los metadatos de Azure Site Recovery.
Solución de problemas de permisos del almacén de claves durante la replicación de máquinas virtuales de Azure a Azure
Azure Site Recovery requiere como mínimo permiso de lectura en el almacén de claves de la región de origen y permiso de escritura en el almacén de claves de la región de destino para poder leer el secreto y poder copiarlo en el almacén de claves de la región de destino.
Causa 1: No tiene el permiso "GET" en el almacén de claves de región de origen para leer las claves.
Formas de corrección: independientemente de que sea o no un administrador de suscripciones, es importante que disponga del permiso get en el almacén de claves.
- Vaya al almacén de claves de la región de origen, que en este ejemplo es "ContososourceKeyvault" >Directivas de acceso
- En Seleccionar la entidad de seguridad agregue su nombre de usuario por ejemplo: "dradmin@contoso.com"
- En Permisos clave seleccione GET
- En Permisos de secretos seleccione GET
- Guarde la directiva de acceso
Causa 2: No tiene los permisos necesarios en el almacén de claves de región de destino para escribir las claves.
Por ejemplo: intenta replicar una máquina virtual, que tiene un almacén de claves ContososourceKeyvault en una región de origen. Dispone de todos los permisos en el almacén de claves de la región de origen. Pero, durante la protección, selecciona el almacén de claves ContosotargetKeyvault ya creado, que no tiene permisos. Se produce un error.
Permiso necesario en el almacén de claves de destino
Solución: vaya a Inicio>Keyvaults>ContosotargetKeyvault>Directivas de acceso y agregue los permisos adecuados.
Pasos siguientes
- Más información sobre la ejecución de una conmutación por error de prueba.