Répliquer des machines virtuelles prenant en charge Azure Disk Encryption vers une autre région Azure

Cet article décrit comment répliquer des machines virtuelles Azure avec Azure Disk Encryption (ADE) activé, d’une région Azure vers une autre.

Remarque

Site Recovery prend actuellement en charge ADE, avec et sans Microsoft Entra ID pour les machines virtuelles sur Windows. Pour les systèmes d’exploitation Linux, nous ne prenons en charge qu'ADE sans Microsoft Entra ID. En outre, pour les machines exécutant ADE 1.1 (sans Microsoft Entra ID), les machines virtuelles doivent utiliser des disques managés. Les machines virtuelles avec des disques non managés ne sont pas prises en charge. Si vous passez de ADE 0.1 (avec Microsoft Entra ID) à 1.1, vous devez désactiver la réplication et activer la réplication pour une machine virtuelle après avoir activé 1.1.

Autorisations utilisateur requises

Site Recovery a besoin que l’utilisateur dispose d’une autorisation de création du coffre de clés dans la région cible et d’une autorisation de copie des clés du coffre de clés de la région source dans le coffre de la région cible.

Pour activer la réplication de machines virtuelles prenant en charge Azure Disk Encryption à partir du portail Azure, l’utilisateur a besoin des autorisations sur les coffres de clés de la région source et de la région cible.

• Autorisations d’accès au coffre de clés

  • Lister, créer et obtenir

• Autorisations d’accès au secret du coffre de clés

  • Opérations de gestion des secrets
    • Obtenir, lister et définir

• Autorisations de clé du coffre de clés (obligatoires uniquement si les machines virtuelles utilisent la clé de chiffrement à clé pour chiffrer les clés de chiffrement de disque)

  • Opérations de gestion des clés
    • Obtenir, lister et créer
  • Opérations de chiffrement
    • Déchiffrer et chiffrer

Pour gérer les autorisations, accédez à la ressource du coffre de clés dans le portail. Ajoutez les autorisations nécessaires pour l’utilisateur. L’exemple suivant montre comment activer des autorisations pour le coffre de clés ContosoWeb2Keyvault, qui se trouve dans la région source.

1. Accédez à Accueil>Keyvaults>ContosoWeb2KeyVault > Stratégies d’accès.

   

2. Vous pouvez voir qu’il n’y a aucune autorisation d’utilisateur. Sélectionnez Ajouter. Entrez les informations sur l’utilisateur et les autorisations.

   

Si l’utilisateur qui active la reprise d’activité ne dispose pas des autorisations nécessaires pour copier les clés, un administrateur de la sécurité qui dispose des autorisations appropriées peut utiliser le script suivant pour copier les secrets et clés de chiffrement dans la région cible.

Pour résoudre les problèmes liés aux autorisations, reportez-vous aux problèmes liés aux autorisations d’accès au coffre de clés plus loin dans cet article.

Notes

Pour activer la réplication de machines virtuelles prenant en charge Azure Disk Encryption à partir du portail, vous avez au minimum besoin des autorisations « Lister » sur les coffres de clés, les secrets et les clés.

Copier les clés Azure Disk Encryption dans la région de reprise d’activité en utilisant le script PowerShell

1. Ouvrez le code de script brut « CopyKeys ».

2. Copiez le script dans un fichier que vous nommez Copy-keys.ps1.

3. Ouvrez l’application Windows PowerShell, puis accédez au dossier dans lequel vous avez enregistré le fichier.

4. Exécutez Copy-keys.ps1.

5. Indiquez des informations d’identification Azure pour vous connecter.

6. Sélectionnez l’abonnement Azure de vos machines virtuelles.

7. Attendez le chargement des groupes de ressources, puis sélectionnez le groupe de ressources de vos machines virtuelles.

8. Sélectionnez les machines virtuelles dans la liste qui s’affiche. Seules les machines virtuelles prenant en charge le chiffrement de disque figurent dans la liste.

9. Sélectionnez l’emplacement cible.

   • Coffres de clés de chiffrement de disque
   • Coffres de clés de chiffrement de clé

   Par défaut, Site Recovery crée un coffre de clés dans la région cible. Le nom du coffre porte un suffixe « asr » qui se base sur les clés de chiffrement de disque de machine virtuelle source. S’il existe déjà un coffre de clés créé par Site Recovery, il est réutilisé. Sélectionnez un autre coffre de clés dans la liste si nécessaire.

Activer la réplication

Suivez la procédure ci-dessous pour répliquer des machines virtuelles avec Azure Disk Encryption vers une autre région Azure. Par exemple, la région Azure principale est Asie Est et la région secondaire est Asie Sud-Est.

1. Dans la page du coffre >Site Recovery, sous Machines virtuelles Azure, sélectionnez Activer la réplication.

2. Sur la page Activer la réplication, sous Source, procédez comme suit :

   • Région : sélectionnez la région Azure dans laquelle vous souhaitez protéger vos machines virtuelles. Par exemple, la localisation source est Asie Est.
   • Abonnement : sélectionnez l’abonnement auquel appartiennent vos machines virtuelles sources. Il peut s’agir de n’importe quel abonnement situé dans le même locataire Microsoft Entra que votre coffre Recovery Services.
   • Groupe de ressources : sélectionnez le groupe de ressources auquel appartiennent vos machines virtuelles sources. Toutes les machines virtuelles du groupe de ressources sélectionné sont listées pour la protection à l’étape suivante.
   • Modèle de déploiement de machine virtuelle : sélectionnez le modèle de déploiement Azure des machines sources.
   • Reprise d’activité entre zones de disponibilité : sélectionnez Oui si vous souhaitez effectuer une reprise d’activité zonale sur des machines virtuelles.

   

3. Sélectionnez Suivant.

4. Dans Machines virtuelles, sélectionnez chaque machine que vous souhaitez répliquer. Vous pouvez uniquement sélectionner les machines pour lesquelles la réplication peut être activée. Vous pouvez en sélectionner dix. Ensuite, sélectionnez Suivant.

   

5. Dans Paramètres de réplication, vous pouvez configurer les paramètres suivants :

   1. Sous Emplacement et groupe de ressources :

      • Emplacement cible : sélectionnez l’emplacement où les données des machines virtuelles sources doivent être répliquées. En fonction de la localisation des machines sélectionnées, Site Recovery vous fournit la liste des régions cibles appropriées. Nous vous recommandons de conserver le même emplacement cible que l’emplacement du coffre Recovery Services.

      • Abonnement cible : sélectionnez l’abonnement cible utilisé pour la récupération d’urgence. Par défaut, l’abonnement cible sera identique à l’abonnement source.

      • Groupe de ressources cible : sélectionnez le groupe de ressources auquel appartiennent toutes les machines virtuelles répliquées.

        • Par défaut, Site Recovery crée dans la région cible un groupe de ressources dont le nom comprend le suffixe asr.
        • Si le groupe de ressources créé par Site Recovery existe déjà, il est réutilisé.
        • Vous pouvez personnaliser les paramètres du groupe de ressources.
        • L’emplacement du groupe de ressources cible peut être n’importe quelle région Azure à l’exception de la région dans laquelle les machines virtuelles sources sont hébergées.

        Notes

        Vous pouvez également créer un groupe de ressources cible en sélectionnant Créer nouveau.

        

   2. Sous Réseau :

      • Réseau virtuel de basculement : sélectionnez le réseau virtuel de basculement.

        Notes

        Vous pouvez également créer un réseau virtuel de basculement en sélectionnant Créer nouveau.

      • Sous-réseau de basculement : sélectionnez le sous-réseau de basculement.

        

   3. Stockage : sélectionnez Afficher/modifier la configuration du stockage. La page Personnaliser les paramètres de la cible s’ouvre.

      

      • Disque managé de réplica : Site Recovery crée des disques managés de réplica dans la région cible pour refléter les disques managés de la machine virtuelle source disposant du même type de stockage (Standard ou Premium).
      • Stockage de cache : Site Recovery a besoin d’un compte de stockage supplémentaire appelé « stockage de cache » dans la région source. Toutes les modifications effectuées sur les machines virtuelles sources sont suivies et envoyées au compte de stockage de cache avant leur réplication vers l’emplacement cible.

   4. Options de disponibilité : sélectionnez l’option de disponibilité adaptée à votre machine virtuelle dans la région cible. S’il existe déjà un groupe à haute disponibilité créé par Site Recovery, il est réutilisé. Sélectionnez Afficher/modifier les options de disponibilité pour afficher ou modifier les options de disponibilité.

      Notes

      • Lors de la configuration des groupes à haute disponibilité cibles, vous devez configurer différents groupes à haute disponibilité pour les machines virtuelles de tailles différentes.
      • Vous ne pouvez plus modifier le type de disponibilité (instance unique, groupe à haute disponibilité ou zone de disponibilité) une fois que vous avez activé la réplication. Vous devez désactiver puis réactiver la réplication pour changer le type de disponibilité.

      

   5. Réservation de capacité : la réservation de capacité vous permet d’acheter de la capacité dans la région de récupération, puis de basculer vers cette capacité. Vous pouvez soit créer un nouveau groupe de réservation de capacité, soit utiliser un groupe existant. Pour plus d’informations, consultez Fonctionnement de la réservation de capacité. Sélectionnez Afficher ou modifier l’attribution d’un groupe de réservation de capacité pour modifier les paramètres de réservation de capacité. Lors du déclenchement du basculement, la nouvelle machine virtuelle est créée dans le groupe de réservations de capacité affecté.

      

   6. Paramètres de chiffrement : sélectionnez Afficher/modifier la configuration pour configurer les coffres de clés de chiffrement de disque et de chiffrement de clé.

      • Coffres de clés de chiffrement de disque : Par défaut, Site Recovery crée un coffre de clés dans la région cible. Son nom contient le suffixe asr qui est basé sur les clés de chiffrement de disque de la machine virtuelle source. S’il existe déjà un coffre de clés créé par Azure Site Recovery, il est réutilisé.
      • Coffres de clés de chiffrement de clé : Par défaut, Site Recovery crée un coffre de clés dans la région cible. Son nom contient le suffixe asr qui est basé sur les clés de chiffrement de clé de la machine virtuelle source. S’il existe déjà un coffre de clés créé par Azure Site Recovery, il est réutilisé.

      

6. Sélectionnez Suivant.

7. Dans Gérer, procédez comme suit :

   1. Sous Stratégie de réplication :
      • Stratégie de réplication : sélectionnez la stratégie de réplication. définit les paramètres de l’historique de conservation des points de récupération et la fréquence des instantanés de cohérence d’application. Par défaut, Site Recovery crée une stratégie de réplication avec des paramètres par défaut de 24 heures pour la conservation des points de récupération.
      • Groupe de réplication : créez un groupe de réplication pour répliquer les machines virtuelles ensemble afin de générer des points de récupération offrant une cohérence multimachine virtuelle. Remarque : dans la mesure où l’activation de la cohérence multimachine virtuelle peut avoir une incidence sur les performances de la charge de travail, elle ne doit être utilisée que si les machines exécutent la même charge de travail et que vous avez besoin de cohérence entre plusieurs machines virtuelles.
   2. Sous Paramètres d’extension :
      • Sélectionnez Mettre à jour les paramètres et Compte Automation.

   

8. Sélectionnez Suivant.

9. Dans Révision, passez en revue les paramètres de machine virtuelle et sélectionnez Activer la réplication.

   

Notes

Pendant la réplication initiale, l’état peut prendre un certain temps à s’actualiser et sa progression peut ne pas apparaître. Cliquez sur Actualiser pour obtenir l’état le plus récent.

Mettre à jour les paramètres de chiffrement de machine virtuelle cible

Dans les scénarios suivants, vous devez mettre à jour les paramètres de chiffrement de machine virtuelle cible :

• Vous avez activé la réplication Site Recovery sur la machine virtuelle. Plus tard, vous avez activé le chiffrement de disque sur la machine virtuelle source.
• Vous avez activé la réplication Site Recovery sur la machine virtuelle. Plus tard, vous avez modifié la clé de chiffrement de disque ou une clé de chiffrement à clé sur la machine virtuelle source.

Pour toutes les raisons ci-dessus, les clés ne sont pas synchronisées entre la source et la cible. C’est pourquoi vous devez copier les clés dans la cible et mettre à jour le stockage de métadonnées Azure Site Recovery via :

• Portail
• API REST
• PowerShell

Remarque

Azure Site Recovery ne prend pas en charge la rotation de la clé pour une machine virtuelle chiffrée pendant sa protection. Si vous faites pivoter les clés, vous devez désactiver et réactiver la réplication.

Mettre à jour les paramètres de chiffrement de machine virtuelle cibles à partir du portail Azure

Si vous utilisez Site Recovery sur une machine virtuelle et que vous activez le chiffrement de disque sur celle-ci par la suite, vous risquez de n’avoir aucun coffre de clés dans les paramètres cibles. Vous devez ajouter un nouveau coffre de clés dans la cible.

Si vous utilisez un coffre de clés, par exemple KV1, dans les paramètres cibles, vous pouvez changer les clés en utilisant un autre coffre de clés dans la région cible. Vous pouvez choisir un coffre de clés existant différent du coffre de clés d’origine KV1 ou utiliser un nouveau coffre de clés. Comme Azure Site Recovery n’autorise pas de changer les clés en place, vous devez utiliser un autre coffre de clés dans la région cible.

Pour cet exemple, nous partons du principe que vous créez un coffre de clés vide KV2 avec les autorisations nécessaires. Vous pouvez ensuite mettre à jour le coffre en suivant ces étapes :

1. Accédez au coffre Recovery Services dans le portail.
2. Sélectionnez élément répliqué>Propriétés>Calcul
3. Sélectionnez KV2 dans le menu pour mettre à jour le coffre de clés cible.
4. Sélectionnez Enregistrer pour copier les clés sources dans le nouveau coffre de clés cible KV2 avec une nouvelle clé/un nouveau secret et mettre à jour les métadonnées Azure Site Recovery.

   Remarque

   La création d’un coffre de clés risque d’avoir des répercussions sur les coûts. Si vous souhaitez utiliser votre coffre de clés cible d’origine (KV1) que vous utilisiez avant, vous pouvez le faire après avoir effectué les étapes ci-dessus avec un autre coffre de clés.
   Après avoir mis à jour le coffre à l’aide d’un autre coffre de clés, pour utiliser votre coffre de clés cible d’origine (KV1), répétez les étapes 1 à 4 et sélectionnez KV1 dans le coffre de clés cible. Cette opération copie la nouvelle clé/le nouveau secret dans KV1 et l’utilise pour la cible.

Mettre à jour les paramètres de chiffrement de machine virtuelle cibles avec l’API REST

1. Vous devez copier les clés dans le coffre cible à l’aide du script Copy-Keys.
2. Utilisez l’API Rest Replication Protected Items - Update pour mettre à jour les métadonnées Azure Site Recovery.

Mettre à jour les paramètres de chiffrement de machine virtuelle cibles avec PowerShell

1. Copiez les clés dans le coffre cible à l’aide du script Copy-Keys.
2. Utilisez la commande Set-AzRecoveryServicesAsrReplicationProtectedItem pour mettre à jour les métadonnées Azure Site Recovery.

Résoudre les problèmes d’autorisation du coffre de clés lors de la réplication d’une machine virtuelle Azure vers Azure

Pour pouvoir lire le secret et le copier dans le coffre de clés de la région cible, Azure Site Recovery requiert au minimum des autorisations de lecture dans le coffre de clés de la région source, ainsi que des autorisations de lecture dans le coffre de clés de la région cible.

Cause 1 : Vous ne disposez pas d’autorisations de type GET sur le coffre de clés de la région source pour la lecture des clés.
Procédure de résolution : que vous soyez un administrateur de l’abonnement ou non, il est important de bénéficier d’une autorisation GET sur le coffre de clés.

1. Accédez au coffre de clés de la région source. Dans cet exemple, il s’agit de ContososourceKeyvault >Stratégies d’accès
2. Sous Sélectionner le principal, ajoutez votre nom d’utilisation (par exemple, « dradmin@contoso.com »).
3. Sous Autorisations de clé, sélectionnez GET.
4. Sous Autorisations de clé, sélectionnez GET.
5. Enregistrez la stratégie d’accès.

Cause 2 : Vous ne disposez pas de l’autorisation requise sur le coffre de clés de la région cible pour l’écriture des clés.

Par exemple : Vous essayez de répliquer une machine virtuelle qui a le coffre de clés ContososourceKeyvault sur une région source. Vous avez toutes les autorisations sur le coffre de clés de la région source. Mais pendant la protection, vous sélectionnez le coffre de clés déjà créé ContosotargetKeyvault, qui n’a pas les autorisations. Une erreur se produit.

Autorisation requise sur le coffre de clés cible

Procédure de résolution : Accédez à Accueil>Keyvaults>ContosotargetKeyvault>Stratégies d’accès et ajoutez les autorisations appropriées.

Étapes suivantes

• En savoir plus sur l’exécution d’un test de basculement.