Traslado de máquinas virtuales de Azure cifradas entre regiones

  • Artículo

Azure Resource Mover le ayuda a trasladar los recursos de Azure entre regiones de Azure. En este artículo se describe cómo trasladar máquinas virtuales de Azure cifradas a otra región de Azure mediante Azure Resource Mover.

Las máquinas virtuales cifradas se pueden describir como:

En este tutorial, aprenderá a:

  • Trasladar máquinas virtuales de Azure cifradas y sus recursos dependientes a otra región de Azure.

Nota

Los tutoriales muestran la manera más rápida de probar un escenario y utilizar las opciones predeterminadas siempre que sea posible.

Inicio de sesión en Azure

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar e inicie sesión en Azure Portal.

Requisitos previos

Antes de empezar, verifique lo siguiente:

Requisito Detalles
Permisos de suscripción Asegúrese de que tiene acceso de Propietario a la suscripción que contiene los recursos que desea trasladar.

¿Por qué necesito acceso de Propietario? La primera vez que agregue un recurso de un par de origen y destino específicos a una suscripción de Azure, Azure Resource Mover creará una identidad administrada asignada por el sistema, anteriormente llamada identidad de servicio administrado (MSI). Esta identidad es de confianza para la suscripción. Para crear la identidad y asignarle los roles requeridos (Colaborador y Administrador de acceso de usuario en la suscripción de origen), la cuenta que utilice para agregar recursos necesita permisos de Propietario de la suscripción. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Soporte técnico de máquina virtual Asegúrese de que las máquinas virtuales que desea trasladar son compatibles; para ello, haga lo siguiente:
  • Compruebe las máquinas virtuales Windows admitidas.
  • Compruebe las máquinas virtuales Linux y las versiones de kernel admitidas.
  • Compruebe la configuración admitida de proceso, almacenamiento y redes.
    		•
    Requisitos del almacén de claves (Azure Disk Encryption) Si ha habilitado Azure Disk Encryption para las máquinas virtuales, necesita un almacén de claves en las regiones de origen y de destino. Para más información, consulte Creación de un almacén de claves.

    Para los almacenes de claves de las regiones de origen y de destino, necesita estos permisos:
  • Permisos de claves: operaciones de administración de claves (Get, List) y operaciones criptográficas (Decrypt y Encrypt).
  • Permisos de secretos: operaciones de administración de secretos (Get, List y Set)
  • Certificado (List y Get).
    		•
    Conjunto de cifrado de disco (cifrado del lado servidor con CMK) Si utiliza máquinas virtuales con cifrado del lado servidor que usa una clave administrada por el cliente, necesita un conjunto de cifrado de disco en las regiones de origen y de destino. Para más información, consulte Creación de un conjunto de cifrado de disco.

    El traslado entre regiones no es compatible si usa un módulo de seguridad de hardware (claves HSM) para las claves administradas por el cliente.
    Cuota de la región de destino La suscripción necesita tener cuota suficiente para crear los recursos que va a trasladar a la región de destino. Si no dispone de una cuota, solicite límites adicionales.
    Cargos de la región de destino Compruebe los precios y los cargos asociados con la región de destino a la que va a trasladar las máquinas virtuales. Use la calculadora de precios.

    Comprobación de los permisos del almacén de claves

    Si va a mover máquinas virtuales con Azure Disk Encryption habilitado, debe ejecutar un script. Los usuarios que ejecutan el script deben tener los permisos adecuados para hacerlo. Para saber qué permisos son necesarios, consulte la tabla siguiente. Para encontrar las opciones para cambiar los permisos, vaya al almacén de claves de Azure Portal. En Configuración, seleccione Directivas de acceso.

    Captura de pantalla del vínculo

    Si los permisos de usuario no están establecidos, seleccione Agregar directiva de acceso y especifique los permisos. Si la cuenta de usuario ya tiene una directiva, en Usuario, establezca los permisos según las instrucciones de la siguiente tabla.

    Las máquinas virtuales de Azure que usan Azure Disk Encryption pueden tener las siguientes variaciones y deberá establecer los permisos según sus componentes correspondientes. Puede que las máquinas virtuales tengan:

    Almacén de claves de la región de origen

    Para los usuarios que ejecutan el script, establezca permisos para los siguientes componentes:

    Componente Permisos necesarios
    Secretos Get

    Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Get.
    Claves

    Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.    		 Get y Decrypt

    Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get. En Operaciones criptográficas, seleccione Decrypt.

    Almacén de claves de la región de destino

    En la pestaña Directivas de acceso, asegúrese de que Azure Disk Encryption para el cifrado de volúmenes está habilitado.

    Para los usuarios que ejecutan el script, establezca permisos para los siguientes componentes:

    Componente Permisos necesarios
    Secretos Establecimiento

    Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Set.
    Claves

    Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.    		 Get, Create y Encrypt

    Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get y Create. En Operaciones criptográficas, seleccione Encrypt.

    Además de los permisos anteriores, en el almacén de claves de destino debe agregar permisos para la identidad del sistema administrada que usa Resource Mover para acceder a los recursos de Azure en su nombre.

    Adición de permisos la identidad del sistema administrada

    Para agregar permisos para la identidad del sistema administrada (MSI), siga estos pasos:

    1. En Configuración, seleccione Add Access policies (Agregar directivas de acceso).

    2. En Seleccionar la entidad de seguridad, busque el MSI. El nombre de MSI es movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Para la identidad del sistema administrada, agregue los siguientes permisos:

      Componente Permisos necesarios
      Secretos Get y List

      Seleccione Permisos de los secretos>Operaciones de administración de secretos y seleccione Get y List.
      Claves

      Si usa una clave de cifrado de claves, necesitará estos permisos además de los permisos para los secretos.      		 Get y List

      Seleccione Permisos de las claves>Operaciones de administración de claves y seleccione Get y List.

    Copia de las claves en el almacén de claves de destino

    Copie los secretos y las claves de cifrado del almacén de claves de origen en el almacén de claves de destino mediante el script proporcionado.

    Para copiar las claves del almacén de claves de origen en el almacén de claves de destino, siga estos pasos:

    • Ejecute el script en PowerShell. Se recomienda usar la versión más reciente de PowerShell.
    • Específicamente, el script requiere estos módulos:
      • Az.Compute
      • Az.KeyVault (versión 3.0.0)
      • Az.Accounts (versión 2.2.3)

    Para ejecutar el script, haga lo siguiente:

    1. Abra el script en GitHub.

    2. Copie el contenido del script en un archivo local y asígnele el nombre Copy-keys.ps1.

    3. Ejecute el script.

    4. Inicie sesión en Azure Portal.

    5. En la ventana Entradas de usuario, seleccione la suscripción de origen, el grupo de recursos, la máquina virtual de origen, la ubicación de destino y los almacenes de destino para el cifrado de discos y claves.

      Captura de pantalla de la ventana

    6. Use el botón Seleccionar para ejecutar el script.

      Cuando el script ha terminado de ejecutarse, un mensaje le notifica que CopyKeys se ha completado correctamente.

    Preparación de máquinas virtuales

    Para preparar las máquinas virtuales para el traslado, siga estos pasos:

    1. Después de comprobar que las máquinas virtuales cumplen los requisitos previos, asegúrese de que las máquinas virtuales que desea mover están activadas. Todos los discos de las máquinas virtuales que desea que estén disponibles en la región de destino deben estar conectados e inicializados en la máquina virtual.
    2. Para asegurarse de que las máquinas virtuales dispongan de los certificados raíz de confianza más recientes y de una lista de revocación de certificados (CRL) actualizada, haga lo siguiente:
      • En las máquinas virtuales Windows, instale las actualizaciones de Windows más recientes.
      • En las máquinas virtuales Linux, siga las indicaciones del distribuidor para que las máquinas dispongan de los certificados y la lista de revocación de certificados más recientes.
    3. Para permitir la conectividad saliente desde las máquinas virtuales, realice una de las siguientes acciones:

    Selección de los recursos que se trasladarán

    Puede seleccionar cualquier tipo de recurso admitido de cualquiera de los grupos de recursos de la región de origen seleccionada. Puede trasladar los recursos a una región de destino que está en la misma suscripción que la región de origen. Si desea cambiar la suscripción, puede hacerlo después de trasladar los recursos.

    Para seleccionar los recursos, haga lo siguiente:

    1. En Azure Portal, busque resource mover. En Servicios, seleccione Azure Resource Mover.

      Captura de pantalla de resultados de la búsqueda de Azure Resource Mover en Azure portal.

    2. En el panel de información general de Azure Resource Mover, seleccione Mover entre regiones.

      Captura de pantalla del botón

    3. En la pestaña Mover recursos>Origen y destino, haga lo siguiente:

      1. Seleccione la región y suscripción de origen.
      2. En Destino, seleccione la región a la que desea trasladar las máquinas virtuales y seleccione Siguiente.

      Página para seleccionar las regiones de origen y de destino.

    4. En la pestaña Recursos que hay que mover, seleccione la opción Seleccionar recursos para abrir una nueva pestaña con la lista de máquinas virtuales disponibles.

      Captura de pantalla del panel

    5. En la pestaña Seleccionar recursos, seleccione las máquinas virtuales que desea trasladar. Como se mencionó en la sección Selección de los recursos que se moverán, solo puede agregar los recursos que se admiten para un traslado.

      Captura de pantalla del panel

      Nota:

      En este tutorial, vas a seleccionar una máquina virtual que usa el cifrado del lado servidor (rayne-vm) con una clave administrada por el cliente y una máquina virtual con cifrado de disco habilitado (rayne-vm-ade).

    6. Seleccione Listo.

    7. Seleccione la pestaña Recursos que hay que mover y seleccione Siguiente.

    8. Seleccione la pestaña Revisar y compruebe la configuración de origen y destino.

      Captura de pantalla del panel para revisar la configuración de origen y destino.

    9. Seleccione Continuar para empezar a agregar recursos.

    10. Seleccione el icono de notificaciones para realizar un seguimiento del progreso. Una vez que el proceso finalice correctamente, en el panel Notificaciones, seleccione Added resources for move (Se han agregado recursos para mover).

      Captura de pantalla del panel

    11. Después de seleccionar la notificación, revise los recursos de la página Entre regiones.

      Captura de pantalla de los recursos agregados con el estado

    Nota:

    • Los recursos que agregue se colocan en el estado Prepare pending (Preparación pendiente).
    • El grupo de recursos de las máquinas virtuales se agrega automáticamente.
    • Si modifica las entradas de la columna Destination configuration (Configuración de destino) para usar un recurso que ya existe en la región de destino, el estado del recurso se establece en Commit pending (Pendiente de confirmación), ya que no es necesario iniciar un traslado.
    • Si quiere eliminar un recurso que se ha agregado, el método que utilizará depende del punto en el que se encuentre en el proceso de traslado. Para más información, consulte Administración de grupos de recursos y colecciones de transferencia de recursos.

    Resolución de dependencias

    Para resolver las dependencias antes del traslado, siga estos pasos:

    1. Las dependencias se validan en segundo plano después de agregarlas. Si ve un botón Validar dependencias, selecciónelo para desencadenar la validación manual.

      Captura de pantalla que muestra el botón

      Se iniciará el proceso de validación.

    2. Si se encuentran dependencias, seleccione Agregar dependencias.

      Captura de pantalla que muestra el botón

    3. En el panel Agregar dependencias, mantenga la opción predeterminada Mostrar todas las dependencias.

      • La opción Show all dependencies (Mostrar todas las dependencias) recorre en iteración todas las dependencias directas e indirectas de un recurso. Por ejemplo, para una máquina virtual, muestra la NIC, la red virtual, los grupos de seguridad de red, etc.
      • La opción Mostrar solo las dependencias de primer nivel muestra solo las dependencias directas. Por ejemplo, para una máquina virtual, muestra la NIC, pero no la red virtual.

    4. Seleccione los recursos dependientes que desea agregar y seleccione Agregar dependencias.

      Captura de pantalla de la lista de dependencias y el botón

    5. Las dependencias se validan automáticamente en segundo plano después de que las agrega. Si ve la opción Validar dependencias, selecciónela para desencadenar la validación manual.

      Captura de pantalla del panel para volver a validar las dependencias.

    Asignación de los recursos de destino

    Debe asignar manualmente los recursos de destino que se asocian al cifrado.

    Si va a trasladar una máquina virtual que tiene Azure Disk Encryption habilitado, el almacén de claves de la región de destino aparecerá como una dependencia. Si va a mover una máquina virtual que tiene cifrado del lado servidor y que usa claves administradas por el cliente, el conjunto de cifrado de disco de la región de destino aparece como una dependencia.

    Dado que en este tutorial se muestra cómo trasladar una máquina virtual que tiene Azure Disk Encryption habilitado y que usa una clave administrada por el cliente, el almacén de claves de destino y el conjunto de cifrado de disco aparecen como dependencias.

    Para asignar manualmente los recursos de destino, haga lo siguiente:

    1. En la entrada del conjunto de cifrado de disco, seleccione Resource not assigned (Recurso no asignado) en la columna Destination configuration (Configuración de destino).

    2. En Opciones de configuración, seleccione el conjunto de cifrado de disco de destino y seleccione Guardar cambios.

    3. Puede guardar y validar las dependencias del recurso que está modificando, o guardar únicamente los cambios y validar todo lo que modifique de una sola vez.

      Captura de pantalla del panel

      Después de agregar el recurso de destino, el estado del conjunto de cifrado de disco se convierte en Commit move pending (Confirmar movimiento pendiente).

    4. En la entrada del almacén de claves, seleccione Resource not assigned (Recurso no asignado) en la columna Destination configuration (Configuración de destino). En Opciones de configuración, seleccione el almacén de claves de destino y guarde los cambios.

    En esta fase, el estado del conjunto de cifrado de disco y del almacén de claves cambia a Commit move pending (Confirmar movimiento pendiente).

    Captura de pantalla del panel para preparar otros recursos.

    Para confirmar y finalizar el proceso de traslado de los recursos de cifrado, haga lo siguiente:

    1. En Entre regiones, seleccione el recurso (conjunto de cifrado de disco o almacén de claves) y seleccione Confirmar movimiento.
    2. En Mover recursos, seleccione Confirmar.

    Nota:

    Después de haber confirmado el traslado, el estado del recurso cambia a Delete source pending (Eliminar origen pendiente).

    Preparación de los recursos que se van a trasladar

    Ahora que los recursos de cifrado y el grupo de recursos de origen se han trasladado, puede preparar el traslado de otros recursos cuyo estado actual sea Prepare pending (Preparación pendiente).

    1. En el panel Entre regiones valide el traslado de nuevo y resuelva los problemas.

    2. Si desea editar la configuración de destino antes de trasladar los recursos, seleccione el vínculo en la columna Configuración de destino del recurso y edite la configuración. Si edita la configuración de la máquina virtual de destino, el tamaño de esta máquina virtual no puede ser inferior al tamaño de la máquina virtual de origen.

    3. Para los recursos con el estado Prepare pending (Preparación pendiente) que desea trasladar, seleccione Preparar.

    4. En el panel Preparar recursos, seleccione Preparar.

      • Durante la preparación, el agente de movilidad de Azure Site Recovery se instala en las máquinas virtuales para replicarlas.
      • Los datos de las máquinas virtuales se replican periódicamente en la región de destino. Esto no afecta a la máquina virtual de origen.
      • Resource Mover genera plantillas de Resource Manager para los demás recursos de origen.

    Nota:

    Después de preparar los recursos, su estado cambia a Initiate move pending (Iniciar movimiento pendiente). Captura de pantalla del panel

    Inicio de la migración

    Ahora que ha preparado los recursos, puede iniciar el traslado.

    1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Iniciar movimiento pendiente y, a continuación, seleccione Iniciar movimiento.

    2. En el panel Mover recursos, seleccione Iniciar movimiento.

    3. Realice un seguimiento del progreso del traslado en la barra de notificaciones.

      • En el caso de las máquinas virtuales, se crearán réplicas en la región de destino. La máquina virtual de origen se apagará y se producirá cierto tiempo de inactividad (normalmente es cuestión de minutos).
      • Resource Mover recrea otros recursos mediante las plantillas de Resource Manager preparadas. Normalmente, no se produce tiempo de inactividad.
      • Después de trasladar los recursos, su estado cambia a Commit move pending (Confirmar movimiento pendiente).

      Captura de pantalla de una lista de recursos con el estado

    Descarte o confirmación del movimiento

    Tras la operación inicial de traslado, puede decidir si desea confirmarla o descartarla.

    • Descartar: puede descartar un traslado si está haciendo pruebas y no quiere trasladar verdaderamente el recurso de origen. Si el traslado se descarta, el recurso volverá a tener el estado Initiate move pending (Iniciar movimiento pendiente).
    • Confirmación: la confirmación completa la operación de traslado a la región de destino. Después de haber confirmado un recurso de origen, su estado cambia a Delete source pending (Eliminar origen pendiente) y puede decidir si desea eliminarlo.

    Descartar la operación de traslado

    Para descartar el traslado, haga lo siguiente:

    1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Confirmar movimiento pendiente y seleccione Descartar movimiento.
    2. En el panel Discard move (Descartar movimiento) seleccione Descartar.
    3. Realice un seguimiento del progreso del traslado en la barra de notificaciones.

    Nota:

    Después de descartar los recursos, los estados de las máquinas virtuales cambian a Initiate move pending (Iniciar movimiento pendiente).

    Confirmación de la operación de traslado

    Para completar el proceso de traslado, debe confirmar el traslado haciendo lo siguiente:

    1. En el panel Entre regiones, seleccione los recursos cuyo estado sea Confirmar movimiento pendiente y seleccione Confirmar movimiento.

    2. En el panel Commit resources (Confirmar recursos), seleccione Confirmar.

      Captura de pantalla de una lista de recursos para confirmar recursos y finalizar el traslado.

    3. Haga un seguimiento del progreso de la operación de confirmación en la barra de notificaciones.

    Nota

    • Después de haber confirmado el traslado, las máquinas virtuales dejan de replicarse. La confirmación no afecta a la máquina virtual de origen.
    • El proceso de confirmación no afecta a los recursos de red de origen.
    • Después de haber confirmado el traslado, los estados de los recursos cambian a Delete source pending (Eliminar origen pendiente).

    Configuración de parámetros tras el traslado

    Puede configurar las siguientes opciones después del proceso de traslado:

    • El servicio Mobility no se desinstala automáticamente de las máquinas virtuales. Puede desinstalarlo manualmente, o bien mantenerlo si tiene previsto trasladar el servidor de nuevo.
    • Modifique las reglas de control de acceso basado en rol de Azure después del traslado.

    Eliminación de los recursos de origen después de la confirmación

    Después del traslado, puede eliminar los recursos de la región de origen si lo desea.

    1. En el panel Entre regiones seleccione cada recurso de origen que quiera eliminar y, a continuación, seleccione Eliminar origen.
    2. En Delete source (Eliminar origen), revise lo que intenta eliminar y, en Confirm delete (Confirmar eliminación), escriba yes (Sí).

      Precaución

      La acción es irreversible, por lo que debe comprobarlo con cuidado.

    3. Después de escribir yes (Sí), seleccione Delete source (Eliminar origen).

    Nota:

    En el portal de Resource Mover no se pueden eliminar grupos de recursos, almacenes de claves ni instancias de SQL Server. Debe eliminarlos de forma individual en la página de propiedades de cada recurso.

    Eliminación de los recursos que ha creado para el traslado

    Después del traslado, puede eliminar manualmente la colección de transferencia de recursos y los recursos de Site Recovery que se crearon durante este proceso.

    • La colección de traslado está oculta de forma predeterminada. Para verla, debe activar los recursos ocultos.
    • El almacenamiento en caché tiene un bloqueo que debe eliminarse antes de que se pueda eliminar.

    Para eliminar los recursos, haga lo siguiente:

    1. Identifique los recursos pertenecientes al grupo de recursos RegionMoveRG-<sourceregion>-<target-region>.

    2. Compruebe que todas las máquinas virtuales y los demás recursos de la región de origen se hayan trasladado o eliminado. De este modo, se garantiza que no haya recursos pendientes que los utilicen.

    3. Eliminación de los recursos:

      • Nombre de la colección de transferencia de recursos: movecollection-<sourceregion>-<target-region>
      • Nombre de la cuenta de almacenamiento en caché: resmovecache<guid>
      • Nombre del almacén: ResourceMove-<sourceregion>-<target-region>-GUID

    Pasos siguientes

    Obtenga más información sobre cómo trasladar grupos elásticos y bases de datos de Azure SQL a otra región.