Répliquer des machines avec des disques activées par les clés gérées par le client

Cet article explique comment répliquer des machines virtuelles Azure avec des disques managés activés par les clés gérées par le client d’une région Azure à l’autre.

Configuration requise

Vous devez créer le ou les jeux de chiffrement de disque dans la région cible de l’abonnement en question avant d’activer la réplication de vos machines virtuelles disposant de disques managés activés par des clés gérées par le client.

Activer la réplication

Utilisez la procédure suivante pour répliquer des machines disposant de disques activés par des clés gérées par le client (CMK). Par exemple, la région principale Azure est Asie Est et la région secondaire Asie Sud-Est.

1. Dans la page du coffre >Site Recovery, sous Machines virtuelles Azure, sélectionnez Activer la réplication.

2. Sur la page Activer la réplication, sous Source, procédez comme suit :

   • Région : sélectionnez la région Azure où vous souhaitez protéger vos machines virtuelles. Par exemple, la localisation source est Asie Est.

   • Abonnement  : sélectionnez l’abonnement auquel vos machines virtuelles sources appartiennent. Il peut s’agir de n’importe quel abonnement au sein du même locataire Microsoft Entra où se trouve votre coffre Recovery services.

   • Groupe de ressources : sélectionnez le groupe de ressources auquel appartiennent vos machines virtuelles sources. Toutes les machines virtuelles du groupe de ressources sélectionné sont listées pour la protection à l’étape suivante.

   • Modèle de déploiement de machine virtuelle : sélectionnez le modèle de déploiement Azure des machines sources.

   • Reprise d’activité entre zones de disponibilité : sélectionnez Oui si vous souhaitez effectuer une reprise d’activité zonale sur des machines virtuelles.

     

3. Sélectionnez Suivant.

4. Dans Machines virtuelles, sélectionnez chaque machine que vous souhaitez répliquer. Vous pouvez uniquement sélectionner les machines pour lesquelles la réplication peut être activée. Vous pouvez en sélectionner dix. Sélectionnez ensuite Suivant.

   

5. Dans Paramètres de réplication, vous pouvez configurer les paramètres suivants :

   1. Sous Emplacement et groupe de ressources :

      • Emplacement cible : sélectionnez l’emplacement où les données des machines virtuelles sources doivent être répliquées. En fonction de la localisation des machines sélectionnées, Site Recovery vous fournit la liste des régions cibles appropriées. Nous vous recommandons de conserver le même emplacement cible que l’emplacement du coffre Recovery Services.

      • Abonnement cible : sélectionnez l’abonnement cible utilisé pour la récupération d’urgence. Par défaut, l’abonnement cible sera identique à l’abonnement source.

      • Groupe de ressources cible : sélectionnez le groupe de ressources auquel appartiennent toutes les machines virtuelles répliquées.

        • Par défaut, Site Recovery crée dans la région cible un groupe de ressources dont le nom comprend le suffixe asr.
        • Si le groupe de ressources créé par Site Recovery existe déjà, il est réutilisé.
        • Vous pouvez personnaliser les paramètres du groupe de ressources.
        • L’emplacement du groupe de ressources cible peut être n’importe quelle région Azure à l’exception de la région dans laquelle les machines virtuelles sources sont hébergées.

        Notes

        Vous pouvez également créer un groupe de ressources cible en sélectionnant Créer nouveau.

        

   2. Sous Réseau :

      • Réseau virtuel de basculement : sélectionnez le réseau virtuel de basculement.

        Notes

        Vous pouvez également créer un réseau virtuel de basculement en sélectionnant Créer nouveau.

      • Sous-réseau de basculement : sélectionnez le sous-réseau de basculement.

        

   3. Stockage : sélectionnez Afficher/modifier la configuration du stockage. La page Personnaliser les paramètres de la cible s’ouvre.

      

      • Disque managé de réplica : Site Recovery crée des disques managés de réplica dans la région cible pour refléter les disques managés de la machine virtuelle source disposant du même type de stockage (Standard ou Premium).
      • Stockage de cache : Site Recovery a besoin d’un compte de stockage supplémentaire appelé « stockage de cache » dans la région source. Toutes les modifications effectuées sur les machines virtuelles sources sont suivies et envoyées au compte de stockage de cache avant leur réplication vers l’emplacement cible.

   4. Options de disponibilité : sélectionnez l’option de disponibilité adaptée à votre machine virtuelle dans la région cible. S’il existe déjà un groupe à haute disponibilité créé par Site Recovery, il est réutilisé. Sélectionnez Afficher/modifier les options de disponibilité pour afficher ou modifier les options de disponibilité.

      Notes

      • Lors de la configuration des groupes à haute disponibilité cibles, vous devez configurer différents groupes à haute disponibilité pour les machines virtuelles de tailles différentes.
      • Vous ne pouvez plus modifier le type de disponibilité (instance unique, groupe à haute disponibilité ou zone de disponibilité) une fois que vous avez activé la réplication. Vous devez désactiver puis réactiver la réplication pour changer le type de disponibilité.

      

   5. Réservation de capacité : la réservation de capacité vous permet d’acheter de la capacité dans la région de récupération, puis de basculer vers cette capacité. Vous pouvez soit créer un nouveau groupe de réservation de capacité, soit utiliser un groupe existant. Pour plus d’informations, consultez Fonctionnement de la réservation de capacité. Sélectionnez Afficher ou modifier l’attribution d’un groupe de réservation de capacité pour modifier les paramètres de réservation de capacité. Lors du déclenchement du basculement, la nouvelle machine virtuelle est créée dans le groupe de réservations de capacité affecté.

      

   6. Paramètres de chiffrement de disque : Site Recovery a besoin que les jeux de chiffrement de disque (DES) soient utilisés pour le réplica et les disques managés cibles. Avant d’activer la réplication, vous devez créer des jeux de chiffrement de disque dans l’abonnement et la région cibles. Par défaut, un jeu de chiffrement de disque n’est pas sélectionné. Vous devez sélectionner Afficher/modifier la configuration pour choisir un jeu de chiffrement de disque par disque source.

      Notes

      Vérifiez que le jeu DES cible est présent dans le groupe de ressources cible et qu’il dispose de l’accès Obtenir, Inclure la clé, Ne pas inclure la clé à un coffre de clés dans la même région.

      

6. Sélectionnez Suivant.

7. Dans Gérer, procédez comme suit :

   1. Sous Stratégie de réplication :
      • Stratégie de réplication : sélectionnez la stratégie de réplication. définit les paramètres de l’historique de conservation des points de récupération et la fréquence des instantanés de cohérence d’application. Par défaut, Site Recovery crée une stratégie de réplication avec des paramètres par défaut de 24 heures pour la conservation des points de récupération.
      • Groupe de réplication : créez un groupe de réplication pour répliquer les machines virtuelles ensemble afin de générer des points de récupération offrant une cohérence multimachine virtuelle. Remarque : dans la mesure où l’activation de la cohérence multimachine virtuelle peut avoir une incidence sur les performances de la charge de travail, elle ne doit être utilisée que si les machines exécutent la même charge de travail et que vous avez besoin de cohérence entre plusieurs machines virtuelles.
   2. Sous Paramètres d’extension :
      • Sélectionnez Mettre à jour les paramètres et Compte Automation.

   

8. Sélectionnez Suivant.

9. Dans Révision, passez en revue les paramètres de machine virtuelle et sélectionnez Activer la réplication.

   

Notes

Pendant la réplication initiale, l’état peut prendre un certain temps à s’actualiser et sa progression peut ne pas apparaître. Cliquez sur Actualiser pour obtenir l’état le plus récent.

FAQ

• J’ai activé la clé gérée par le client sur un élément répliqué existant. Comment puis-je vérifier que la clé gérée par le client est également appliquée à la région cible ?

  Vous pouvez rechercher le nom du disque managé de réplica (créé par Azure Site Recovery dans la région cible) et joindre le jeu de chiffrement de disque à ce disque de réplica. Toutefois, vous ne pourrez pas voir les détails du jeu de chiffrement de disque dans le panneau Disques une fois que vous l’aurez joint. Sinon, vous pouvez également désactiver la réplication de la machine virtuelle et la réactiver. Cela vous permettra de voir les détails du jeu de chiffrement de disque et du coffre de clés dans le panneau Disques pour l’élément répliqué.

• J’ai ajouté un nouveau disque activé par une clé gérée par le client à l’élément répliqué. Comment puis-je répliquer ce disque à l’aide d’Azure Site Recovery ?

  Vous pouvez ajouter un nouveau disque activé par une clé gérée par le client à un élément répliqué existant en utilisant PowerShell. Recherchez l’extrait de code pour obtenir de l’aide :

  #set vaultname and resource group name for the vault.
  $vaultname="RSVNAME"
  $vaultrgname="RSVRGNAME"
  
  #set VMName
  $VMName = "VMNAME"
  
  #get the vault object
  $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname
  
  #set job context to this vault
  $vault | Set-AzRecoveryServicesAsrVaultContext
  
  =============
  
  #set resource id of disk encryption set
  $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"
  
  #set resource id of cache storage account
  $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"
  
  #set resource id of recovery resource group
  $RecoveryResourceGroup = "RESOURCEIDOFRG"
  
  #set resource id of disk to be replicated
  $dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"
  
  #setdiskconfig
  $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
            -ManagedDisk `
            -DiskId $dataDisk `
            -LogStorageAccountId $primaryStorageAccount `
            -RecoveryResourceGroupId $RecoveryResourceGroup `
            -RecoveryReplicaDiskAccountType Standard_LRS `
            -RecoveryTargetDiskAccountType Standard_LRS `
            -RecoveryDiskEncryptionSetId $diskencryptionset
  
  
  #get fabric object from the source region.
  $fabric = Get-AzRecoveryServicesAsrFabric
  #use to fabric name to get the container.
  $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]
  
  #get the context of the protected item
  $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject
  
  #initiate enable replication using below command
  $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
  

• J’ai activé des clés gérées par la plateforme et celles par le client. Comment puis-je protéger mes disques ?

  L’activation du double chiffrement avec les clés gérées par la plateforme et celles gérées par le client est prise en charge par Site Recovery. Suivez les instructions de cet article pour protéger votre machine. Vous devez créer à l’avance un DES pour lequel le double chiffrement est activé dans la région cible. Au moment d’activer la réplication pour une machine virtuelle de ce type, vous pouvez fournir ce DES à Site Recovery.

Étapes suivantes

• En savoir plus sur l’exécution d’un test de basculement.