Déplacer des machines virtuelles Azure chiffrées d’une région à une autre

  • Article

Azure Resource Mover vous permet de déplacer des ressources Azure d’une région Azure à l’autre. Cet article explique comment déplacer des machines virtuelles Azure chiffrées vers une autre région Azure à l’aide d’Azure Resource Mover.

Les machines virtuelles chiffrées peuvent être définies de l’une des manières suivantes :

Dans ce tutoriel, vous allez apprendre à :

  • Déplacer des machines virtuelles Azure chiffrées et leurs ressources dépendantes vers une autre région Azure.

Notes

Les tutoriels indiquent le moyen le plus rapide de tester un scénario, et ils utilisent les options par défaut lorsque cela est possible.

Connexion à Azure

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer et connectez-vous au portail Azure.

Prérequis

Avant de commencer, vérifiez que les conditions suivantes sont remplies :

Condition requise Détails
Autorisations d’abonnement Vérifiez que vous avez un accès Propriétaire sur l’abonnement contenant les ressources que vous souhaitez déplacer.

Pourquoi ai-je besoin d’un accès Propriétaire ? La première fois que vous ajoutez une ressource pour une paire source/destination spécifique dans un abonnement Azure, Resource Mover crée une identité managée affectée par le système, anciennement appelée Managed Service Identify (MSI). Cette identité est approuvée par l’abonnement. Avant de pouvoir créer l’identité et lui affecter les rôles nécessaires (Contributeur et Administrateur de l’accès utilisateur dans l’abonnement source), vous devez vérifier que le compte que vous utilisez pour l’ajout des ressources dispose des autorisations Propriétaire sur l’abonnement. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.
Prise en charge des machines virtuelles Vérifiez que les machines virtuelles que vous souhaitez déplacer sont prises en charge, en procédant comme suit :
  • Vérifiez les machines virtuelles Windows prises en charge.
  • Vérifiez les machines virtuelles Linux et les versions du noyau prises en charge.
  • Contrôlez les paramètres de calcul, de stockage et de réseau pris en charge.
    		•
    Conditions requises pour le coffre de clés (Azure Disk Encryption) Si Azure Disk Encryption est activé pour les machines virtuelles, vous avez besoin d’un coffre de clés dans les deux régions (source et de destination). Pour plus d’informations, consultez Créer un coffre de clés.

    Pour les coffres de clés dans les régions source et de destination, vous devez disposer des autorisations suivantes :
  • Autorisations de clé : Get et List pour les opérations de gestion des clés ; Decrypt et Encrypt pour les opérations de chiffrement
  • Autorisations de secret : Get, List et Set pour les opérations de gestion des secrets
  • Certificat : Get et List
    		•
    Jeu de chiffrement de disque (chiffrement côté serveur avec CMK) Si vous utilisez des machines virtuelles sur lesquelles est activé le chiffrement côté serveur avec des clés gérées par le client, vous avez besoin d’un jeu de chiffrement de disque dans les régions source et de destination. Pour plus d’informations, consultez Créer un jeu de chiffrement de disque.

    Le déplacement interrégional n’est pas pris en charge si vous utilisez un module de sécurité matériel (clés HSM) pour les clés gérées par le client.
    Quota de la région cible L’abonnement a besoin d’un quota suffisant pour créer les ressources que vous déplacez dans la région cible. S’il n’a pas de quota, demandez des limites supplémentaires.
    Frais de la région cible Renseignez-vous sur les tarifs et les frais qui sont associés à la région cible vers laquelle vous déplacez les machines virtuelles. Pour cela, utilisez la calculatrice de prix.

    Vérifier les autorisations dans le coffre de clés

    Si vous déplacez des machines virtuelles sur lesquelles Azure Disk Encryption est activé, vous devez exécuter un script. Les utilisateurs qui exécutent le script doivent disposer des autorisations requises. Pour connaître ces autorisations, reportez-vous au tableau suivant. Vous trouverez les options permettant de changer les autorisations en accédant au coffre de clés dans le portail Azure. Sous Paramètres, sélectionnez Stratégies d’accès.

    Capture d’écran du lien « Stratégies d’accès » dans le volet Paramètres du coffre de clés.

    Si les autorisations utilisateur n’ont pas été définies, sélectionnez Ajouter une stratégie d’accès, puis définissez les autorisations. Si le compte d’utilisateur est déjà associé à une stratégie, sous Utilisateur, définissez les autorisations selon les instructions données dans le tableau ci-dessous.

    Les machines virtuelles Azure qui utilisent Azure Disk Encryption peuvent présenter les différences suivantes. Vous devez donc définir les autorisations pour leurs composants appropriés. Les machines virtuelles peuvent avoir été définies avec :

    Coffre de clés dans la région source

    Pour les utilisateurs qui exécutent le script, définissez des autorisations pour les composants suivants :

    Composant Autorisations nécessaires
    Secrets Get

    Sélectionnez Autorisations de secret>Opérations de gestion des secrets, puis Get.
    Clés

    Si vous utilisez une clé KEK, vous avez besoin de ces autorisations en plus des autorisations pour les secrets.    		 Get et Decrypt

    Sélectionnez Autorisations de clé>Opérations de gestion des clés, puis Get. Dans Opérations de chiffrement, sélectionnez Decrypt.

    Coffre de clés dans la région de destination

    Dans l’onglet Stratégies d’accès, vérifiez que Azure Disk Encryption pour chiffrer des volumes est activé.

    Pour les utilisateurs qui exécutent le script, définissez des autorisations pour les composants suivants :

    Composant Autorisations nécessaires
    Secrets Définir

    Sélectionnez Autorisations de secret>Opérations de gestion des secrets, puis Set.
    Clés

    Si vous utilisez une clé KEK, vous avez besoin de ces autorisations en plus des autorisations pour les secrets.    		 Get, Create et Encrypt

    Sélectionnez Autorisations de clé>Opérations de gestion des clés, puis sélectionnez Get et Create. Dans Opérations de chiffrement, sélectionnez Encrypt.

    Outre les autorisations précédentes, dans le coffre de clés de destination, vous devez ajouter des autorisations pour l’identité MSI (Managed Service Identity) avec laquelle Resource Mover accède aux ressources Azure en votre nom.

    Ajouter des autorisations à Managed System Identity

    Pour ajouter des autorisations pour l’identité de système managé (MSI), procédez comme suit :

    1. Sous Paramètres, sélectionnez Ajouter des stratégies d’accès.

    2. Dans Sélectionner le principal, recherchez l’identité MSI. Le nom MSI est movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Pour l’identité MSI, ajoutez les autorisations suivantes :

      Composant Autorisations nécessaires
      Secrets Get et List

      Sélectionnez Autorisations de secret>Opérations de gestion des secrets, puis sélectionnez Get et List.
      Clés

      Si vous utilisez une clé KEK, vous avez besoin de ces autorisations en plus des autorisations pour les secrets.      		 Get et List

      Sélectionnez Autorisations de clé>Opérations de gestion des clés, puis sélectionnez Get et List.

    Copier les clés dans le coffre de clés de destination

    Copiez les secrets et clés de chiffrement du coffre de clés source vers le coffre de clés de destination en exécutant le script fourni.

    Pour copier les clés du coffre de clés source vers le coffre de clés de destination, procédez comme suit :

    • Exécutez le script dans PowerShell. Nous vous recommandons d’utiliser la version de PowerShell la plus récente.
    • Plus précisément, le script nécessite les modules suivants :
      • Az.Compute
      • Az.KeyVault (version 3.0.0)
      • Az.Accounts (version 2.2.3)

    Pour exécuter le script, procédez comme suit :

    1. Ouvrez le script dans GitHub.

    2. Copiez le contenu du script dans un fichier local, puis nommez-le Copy-keys.ps1.

    3. Exécutez le script.

    4. Connectez-vous au portail Azure.

    5. Sous Entrées utilisateur, sélectionnez l’abonnement source, le groupe de ressources et la machine virtuelle source, puis l’emplacement cible et les coffres cibles pour le chiffrement de disque et de clé.

      Capture d’écran de la fenêtre « Entrées utilisateur » où vous entrez les valeurs du script.

    6. Utilisez le bouton Sélectionner pour exécuter le script.

      Une fois l’exécution du script terminée, un message vous avertit que CopyKeys a réussi.

    Préparer les machines virtuelles

    Pour préparer des machines virtuelles pour le déplacement, procédez comme suit :

    1. Après avoir vérifié que les machines virtuelles remplissaient les prérequis, assurez-vous que les machines virtuelles à déplacer sont allumées. Tous les disques de machine virtuelle que vous souhaitez mettre à disposition dans la région de destination doivent être attachés et initialisés dans chaque machine virtuelle.
    2. Pour vérifier que les machines virtuelles disposent des certificats racines approuvés les plus récents et d’une liste de révocation de certificats (CRL) à jour, effectuez les étapes suivantes :
      • Sur les machines virtuelles Windows, installez les dernières mises à jour Windows.
      • Sur les machines virtuelles Linux, suivez les instructions du distributeur pour vérifier que les machines disposent des derniers certificats et des listes de révocation de certificats les plus récentes.
    3. Pour autoriser la connectivité sortante à partir des machines virtuelles, effectuez l’une des opérations suivantes :

    Sélectionner les ressources à déplacer

    Vous pouvez sélectionner n’importe quel type de ressource pris en charge dans n’importe quel groupe de ressources de la région source sélectionnée. Vous pouvez déplacer des ressources vers une région cible dans le même abonnement que la région source. Si vous voulez changer d’abonnement, vous pouvez le faire après le déplacement des ressources.

    Pour sélectionner les ressources, procédez comme suit :

    1. Dans le portail Azure, recherchez resource mover. Sous Services, sélectionnez Azure Resource Mover.

      Capture d’écran des résultats de la recherche pour Azure Resource Mover dans le portail Azure.

    2. Dans le volet Azure Resource Mover - Vue d’ensemble, sélectionnez Move across regions (Déplacer d’une région à une autre).

      Capture d’écran du bouton « Move across regions » (Déplacer d’une région à une autre) pour ajouter les ressources à déplacer vers une autre région.

    3. Dans l’onglet Déplacer des ressources>Source + destination, procédez comme suit :

      1. Sélectionnez l’abonnement et la région source.
      2. Sous Destination, sélectionnez la région vers laquelle vous souhaitez déplacer les machines virtuelles, puis Suivant.

      Page de sélection de la région source et de la région de destination

    4. Dans l’onglet Ressources à déplacer, sélectionnez l’option Sélectionner des ressources pour ouvrir un nouvel onglet avec la liste des machines virtuelles disponibles.

      Capture d’écran du volet « Déplacer des ressources » et du bouton « Sélectionner des ressources ».

    5. Dans l’onglet Sélectionner des ressources, sélectionnez les machines virtuelles à déplacer. Comme mentionné dans la section Sélectionner les ressources à déplacer, vous pouvez ajouter uniquement des ressources prises en charge pour un déplacement.

      Capture d’écran du volet « Sélectionner des ressources » utilisé pour la sélection des machines virtuelles à déplacer.

      Notes

      Dans ce tutoriel, nous sélectionnons une machine virtuelle qui utilise le chiffrement côté serveur (rayne-vm) avec une clé gérée par le client, et une machine virtuelle sur laquelle le chiffrement de disque est activé (rayne-vm-ade).

    6. Sélectionnez Terminé.

    7. Sélectionnez l’onglet Ressources à déplacer, puis Suivant.

    8. Sélectionnez l’onglet Revue, puis vérifiez les paramètres de source et de destination.

      Capture d’écran du volet utilisé pour revoir les paramètres de source et de destination.

    9. Cliquez sur Continuer pour commencer à ajouter les ressources.

    10. Sélectionnez l’icône de notifications pour suivre la progression. Une fois le processus terminé, dans le volet Notifications, sélectionnez Ressources ajoutées pour le déplacement.

      Capture d’écran du volet « Notifications » utilisé pour confirmer l’ajout des ressources.

    11. Après avoir sélectionné la notification, passez en revue les ressources dans la page Entre régions.

      Capture d’écran des ressources ajoutées et présentant l’état « Préparation en attente ».

    Notes

    • Les ressources que vous ajoutez sont mises dans l’état Préparation en attente.
    • Le groupe de ressources pour les machines virtuelles est ajouté automatiquement.
    • Si vous modifiez les entrées Configuration de destination pour utiliser une ressource qui existe déjà dans la région de destination, l’état de la ressource passe à Validation en attente, car vous n’avez pas besoin de lancer un déplacement pour elle.
    • Si vous souhaitez supprimer une ressource qui a été ajoutée, la méthode à utiliser dépend de l’étape où vous vous trouvez dans le processus de déplacement. Pour plus d’informations, consultez Gérer les collections de déplacement et les groupes de ressources.

    Résoudre les erreurs de dépendance

    Pour résoudre les dépendances avant le déplacement, procédez comme suit :

    1. Les dépendances sont validées en arrière-plan après leur ajout. Si vous voyez un bouton Valider les dépendances, sélectionnez-le pour déclencher la validation manuelle.

      Capture d’écran montrant le bouton « Valider les dépendances ».

      Le processus de validation démarre.

    2. Si des dépendances sont trouvées, cliquez sur Ajouter des dépendances.

      Capture d’écran montrant le bouton « Ajouter des dépendances ».

    3. Dans le volet Ajouter des dépendances, conservez l’option par défaut Afficher toutes les dépendances.

      • L’option Afficher toutes les dépendances itère au sein de toutes les dépendances directes et indirectes d’une ressource. Par exemple, pour une machine virtuelle, la carte réseau, le réseau virtuel, les groupes de sécurité réseau, etc. sont affichés.
      • L’option Afficher uniquement les dépendances de premier niveau n’affiche que les dépendances directes. Par exemple, pour une machine virtuelle, la carte réseau est affichée, mais pas le réseau virtuel.

    4. Sélectionnez les ressources dépendantes que vous souhaitez ajouter, puis Ajouter des dépendances.

      Capture d’écran de la liste des dépendances et du bouton « Ajouter des dépendances ».

    5. Les dépendances sont automatiquement validées en arrière-plan une fois que vous les avez ajoutées. Si vous voyez une option Valider les dépendances, sélectionnez-la pour déclencher la validation manuelle.

      Capture d’écran du volet utilisé pour revalider les dépendances.

    Affecter les ressources de destination

    Vous devez attribuer manuellement les ressources de destination qui sont associées au chiffrement.

    Si vous déplacez une machine virtuelle sur laquelle Azure Disk Encryption est activé, le coffre de clés dans votre région de destination est affiché en tant que dépendance. Si vous déplacez une machine virtuelle sur laquelle est activé le chiffrement côté serveur avec des clés gérées par le client, le jeu de chiffrement de disque dans la région de destination est affiché en tant que dépendance.

    Étant donné que ce tutoriel montre comment déplacer une machine virtuelle sur laquelle Azure Disk Encryption est activé et qui utilise une clé gérée par le client, le coffre de clés de destination et le jeu de chiffrement de disque s’affichent tous les deux en tant que dépendances.

    Pour attribuer les ressources de destination manuellement, effectuez les étapes suivantes :

    1. Dans l’entrée du jeu de chiffrement de disque, sélectionnez Ressource non affectée dans la colonne Configuration de destination.

    2. Dans Paramètres de configuration, sélectionnez le jeu de chiffrement de disque de destination, puis Enregistrer les modifications.

    3. Vous pouvez enregistrer et valider les dépendances de la ressource que vous modifiez, ou enregistrer uniquement les modifications et valider ensuite tout ce que vous modifiez en même temps.

      Capture d’écran du volet « Configuration de la destination » utilisé pour l’enregistrement des modifications dans la région de destination.

      Une fois que vous avez ajouté la ressource de destination, l’état du jeu de chiffrement de disque change en Validation du déplacement en attente.

    4. Dans l’entrée du coffre de clés, sélectionnez Ressource non affectée dans la colonne Configuration de destination. Sous Paramètres de configuration, sélectionnez le coffre de clés de destination, puis enregistrez vos modifications.

    À ce stade, l’état du jeu de chiffrement de disque et celui du coffre de clés changent en Validation du déplacement en attente.

    Capture d’écran du volet utilisé pour préparer d’autres ressources.

    Pour valider et terminer le processus de déplacement des ressources de chiffrement, effectuez ces étapes :

    1. Dans Entre régions, sélectionnez la ressource (jeu de chiffrement de disque ou coffre de clés), puis sélectionnez Valider le déplacement.
    2. Dans Déplacer des ressources, sélectionnez Valider.

    Notes

    Une fois que vous avez validé le déplacement, l’état de la ressource change en Suppression de la source en attente.

    Préparer les ressources à déplacer

    Maintenant que les ressources de chiffrement et le groupe de ressources source sont déplacés, vous pouvez préparer le déplacement d’autres ressources dont l’état actuel est Préparation en attente.

    1. Dans le volet Entre les régions, revalidez le déplacement et résolvez les problèmes éventuels.

    2. Si vous souhaitez modifier les paramètres cibles avant de commencer le déplacement, sélectionnez le lien dans la colonne Configuration de la destination pour la ressource, puis modifiez les paramètres. Si vous modifiez les paramètres de la machine virtuelle cible, la taille de cette machine ne doit pas être inférieure à celle de la machine virtuelle source.

    3. Pour les ressources à déplacer qui présentent l’état Préparation en attente, sélectionnez Préparer.

    4. Dans le volet Préparer les ressources, sélectionnez Préparer.

      • Durant la préparation, l’agent Mobilité d’Azure Site Recovery est installé sur les machines virtuelles pour les besoins de la réplication.
      • Les données des machines virtuelles sont répliquées régulièrement dans la région cible. Cette opération n’a pas d’incidence sur la machine virtuelle source.
      • Le déplacement de ressources génère des modèles ARM pour les autres ressources sources.

    Notes

    Après avoir préparé les ressources, leur état change en Lancement du déplacement en attente. Capture d’écran du volet « Préparer les ressources », montrant les ressources à l’état « Lancement du déplacement en attente ».

    Lancer le déplacement

    La préparation des ressources est terminée. Vous pouvez maintenant lancer le déplacement.

    1. Dans le volet Entre les régions, sélectionnez les ressources dont l’état est Lancement du déplacement en attente, puis sélectionnez Lancer le déplacement.

    2. Dans le volet Déplacer des ressources, sélectionnez Lancer le déplacement.

    3. Suivez la progression du déplacement dans la barre de notification.

      • Pour les machines virtuelles, les machines virtuelles de réplication sont créées dans la région cible. La machine virtuelle source est arrêtée, et un temps d’interruption se produit (généralement en minutes).
      • Resource Mover recrée d’autres ressources à l’aide des modèles ARM préparés. Il n’y a généralement pas de temps d’arrêt.
      • Une fois que les ressources ont été déplacées, leur état change en Validation du déplacement en attente.

      Capture d’écran d’une liste de ressources à l’état « Validation du déplacement en attente ».

    Abandonner ou valider le déplacement

    Après le déplacement initial, vous pouvez décider de valider le déplacement ou de l’abandonner.

    • Abandonner : vous pouvez abandonner un déplacement s’il s’agissait seulement d’un test et que vous ne voulez pas déplacer réellement la ressource source. Si vous abandonnez le déplacement, la ressource revient à l’état Lancement du déplacement en attente.
    • Valider : La validation termine le déplacement vers la région cible. Une fois que vous avez validé une ressource source, son état change en Suppression de la source en attente. Vous pouvez alors décider de la supprimer.

    Abandonner le déplacement

    Pour abandonner le déplacement, effectuez les étapes suivantes :

    1. Dans le volet Entre les régions, sélectionnez les ressources dont l’état est Validation du déplacement en attente, puis sélectionnez Abandonner le déplacement.
    2. Dans le volet Abandonner le déplacement, sélectionnez Abandonner.
    3. Suivez la progression du déplacement dans la barre de notification.

    Notes

    Après l’abandon des ressources, l’état des machines virtuelles change en Lancement du déplacement en attente.

    Valider le déplacement

    Pour terminer le processus de déplacement, validez le déplacement en procédant comme suit :

    1. Dans le volet Entre les régions, sélectionnez les ressources dont l’état est Validation du déplacement en attente, puis sélectionnez Valider le déplacement.

    2. Dans le volet Valider les ressources, sélectionnez Valider.

      Capture d’écran d’une liste des ressources à valider pour terminer le déplacement.

    3. Suivez la progression de la validation dans la barre de notification.

    Notes

    • Une fois que vous avez validé le déplacement, les machines virtuelles arrêtent la réplication. La machine virtuelle source n’est pas impactée par la validation.
    • Le processus de validation ne s’applique pas aux ressources réseau sources.
    • Une fois que vous avez validé le déplacement, l’état de chaque ressource change en Suppression de la source en attente.

    Configurer des paramètres après le déplacement

    Vous pouvez configurer les paramètres suivants après le processus de déplacement :

    • Le service Mobilité n’est pas désinstallé automatiquement des machines virtuelles. Désinstallez-le manuellement ou laissez-le si vous envisagez de déplacer à nouveau le serveur.
    • Modifiez les règles de contrôle d’accès en fonction du rôle (RBAC) Azure après le déplacement.

    Supprimer les ressources sources après la validation

    Après le déplacement, vous pouvez, si vous le souhaitez, supprimer les ressources dans la région source.

    1. Dans le volet Entre les régions, sélectionnez chaque ressource source à supprimer, puis sélectionnez Supprimer la source.
    2. Dans Supprimer la source, passez en revue les ressources que vous comptez supprimer puis, dans Confirmer la suppression, tapez Oui.

      Attention

      L’action étant irréversible, vérifiez attentivement !

    3. Après avoir tapé Oui, sélectionnez Supprimer la source.

    Notes

    Dans le portail Resource Move, vous ne pouvez pas supprimer des groupes de ressources, des coffres de clés ni des instances SQL Server. Vous devez les supprimer individuellement à partir de la page de propriétés de chaque ressource.

    Supprimer les ressources créées pour le déplacement

    Après le déplacement, vous pouvez supprimer manuellement la collection de déplacement ainsi que les ressources Site Recovery que vous avez créées durant ce processus.

    • La collection de déplacement est masquée par défaut. Pour la voir, vous devez activer les ressources masquées.
    • Le stockage de cache est équipé d’un verrou qui doit être supprimé avant de pouvoir procéder à la suppression.

    Pour supprimer vos ressources, procédez comme suit :

    1. Localisez les ressources dans le groupe de ressources RegionMoveRG-<sourceregion>-<target-region>.

    2. Vérifiez que toutes les machines virtuelles et les autres ressources sources dans la région source ont été déplacées ou supprimées. Cette étape permet de vous assurer qu’aucune ressource en attente ne les utilise.

    3. Supprimer les ressources :

      • Nom de la collection de déplacement : movecollection-<sourceregion>-<target-region>
      • Nom du compte de stockage de cache : resmovecache<guid>
      • Nom du coffre : ResourceMove-<sourceregion>-<target-region>-GUID

    Étapes suivantes

    En savoir plus sur le déplacement de bases de données Azure SQL et de pools élastiques vers une autre région.