Azure Disk Encryption-kompatibilis virtuális gépek replikálása egy másik Azure-régióba
Ez a cikk azt ismerteti, hogyan replikálhatja az Azure-beli virtuális gépeket engedélyezett Azure Disk Encryption (ADE) használatával az egyik Azure-régióból a másikba.
Feljegyzés
A Site Recovery jelenleg támogatja az ADE-t Microsoft Entra ID-vel és anélkül a Windows operációs rendszereket futtató VM-ek esetében. Linux operációs rendszerek esetében csak Microsoft Entra ID nélküli ADE-t támogatunk. Az ADE 1.1-et futtató gépek esetében (Microsoft Entra ID nélkül) a VM-eknek kezelt lemezeket kell használniuk. A nem felügyelt lemezekkel rendelkező virtuális gépek nem támogatottak. Ha az ADE 0.1-ről (Microsoft Entra ID-vel) az 1.1-re vált, akkor az 1.1-es verzió engedélyezése után le kell tiltania a replikációt, és engedélyeznie kell a replikációt egy VM számára.
Szükséges felhasználói engedélyek
A Site Recovery használatához a felhasználónak rendelkeznie kell engedéllyel a kulcstartó létrehozásához a célrégióban, és kulcsokat másolhat a forrásrégió kulcstartójából a célrégió kulcstartójára.
A lemeztitkosításra képes virtuális gépek Azure Portalról történő replikációjának engedélyezéséhez a felhasználónak a következő engedélyekre van szüksége a forrásrégióhoz és a célrégió kulcstartóihoz.
Key Vault-engedélyek
- Lista, létrehozás és lekérés
Key Vault titkos kulcsengedélyek
- Titkos kódkezelési műveletek
- Lekérés, lista és beállítás
- Titkos kódkezelési műveletek
Kulcstartókulcs-engedélyek (csak akkor szükséges, ha a virtuális gépek kulcstitkosítási kulcsot használnak a lemeztitkosítási kulcsok titkosításához)
- Kulcskezelési műveletek
- Lekérés, lista és létrehozás
- Titkosítási műveletek
- Visszafejtés és titkosítás
- Kulcskezelési műveletek
Az engedélyek kezeléséhez lépjen a key vault erőforrásához a portálon. Adja hozzá a felhasználóhoz szükséges engedélyeket. Az alábbi példa bemutatja, hogyan engedélyezheti az engedélyeket a forrásrégióban található ContosoWeb2Keyvault kulcstartóhoz.
Nyissa meg a Home>Keyvaults>ContosoWeb2KeyVault > Hozzáférési szabályzatokat.
Láthatja, hogy nincsenek felhasználói engedélyek. Válassza az Új hozzáadása lehetőséget. Adja meg a felhasználó és az engedélyek adatait.
Ha a vészhelyreállítást (DR) engedélyező felhasználó nem rendelkezik a kulcsok másolására vonatkozó engedélyekkel, a megfelelő engedélyekkel rendelkező biztonsági rendszergazda a következő szkripttel másolhatja a titkosítási titkos kulcsokat és kulcsokat a célrégióba.
Az engedélyek hibaelhárításához tekintse meg a key vault engedélyeivel kapcsolatos problémákat a cikk későbbi részében.
Feljegyzés
A lemeztitkosítással kompatibilis virtuális gépek portálról történő replikációjának engedélyezéséhez legalább a kulcstartók, titkos kulcsok és kulcsok "Listázása" engedélyére van szükség.
Lemeztitkosítási kulcsok másolása a DR-régióba a PowerShell-szkript használatával
Másolja a szkriptet egy fájlba, és nevezze el Copy-keys.ps1 néven.
Nyissa meg a Windows PowerShell-alkalmazást, és lépjen arra a mappára, ahová a fájlt mentette.
Copy-keys.ps1 végrehajtása.
Adja meg az Azure hitelesítő adatait a bejelentkezéshez.
Válassza ki a virtuális gépek Azure-előfizetését .
Várja meg, amíg az erőforráscsoportok betöltődnek, majd válassza ki a virtuális gépek erőforráscsoportját .
Válassza ki a megjelenített listából a virtuális gépeket. Csak a lemeztitkosításhoz engedélyezett virtuális gépek szerepelnek a listán.
Válassza ki a célhelyet.
- Lemeztitkosítási kulcstartók
- Kulcstitkosítási kulcstartók
Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A tároló neve egy "asr" utótagot használ, amely a forrás virtuálisgép-lemez titkosítási kulcsán alapul. Ha már létezik olyan kulcstartó, amelyet a Site Recovery hozott létre, az újra felhasználható. Szükség esetén válasszon másik kulcstartót a listából.
A replikáció engedélyezése
Az alábbi eljárással replikálhatja az Azure Disk Encryption-kompatibilis virtuális gépeket egy másik Azure-régióba. Az elsődleges Azure-régió például Kelet-Ázsia, a másodlagos pedig Délkelet-Ázsia.
A tároló >Site Recovery lapján, az Azure-beli virtuális gépek alatt válassza a Replikáció engedélyezése lehetőséget.
A Replikáció engedélyezése lap Forrás területén tegye a következőket:
- Régió: Válassza ki azt az Azure-régiót, ahol védeni szeretné a virtuális gépeket. A forráshely például Kelet-Ázsia.
- Előfizetés: Válassza ki azt az előfizetést, amelyhez a forrás virtuális gépek tartoznak. Ez lehet bármely olyan előfizetés, amely ugyanabban a Microsoft Entra-bérlőben található, mint a helyreállítási tár.
- Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amelyhez a forrás virtuális gépek tartoznak. A következő lépésben a kijelölt erőforráscsoport összes virtuális gépe megjelenik a védelem érdekében.
- Virtuálisgép-telepítési modell: Válassza ki a forrásgépek Azure-beli üzembehelyezési modelljét.
- Vészhelyreállítás a rendelkezésre állási zónák között: Válassza az Igen lehetőséget, ha zónaszintű vészhelyreállítást szeretne végrehajtani a virtuális gépeken.
Válassza a Tovább lehetőséget.
A virtuális gépeken jelölje ki a replikálni kívánt virtuális gépeket. Csak olyan gépeket választhat, amelyeken használható a replikáció funkció. Legfeljebb tíz virtuális gépet választhat ki. Ezután válassza a Tovább gombot.
A replikációs beállításokban a következő beállításokat konfigurálhatja:
A Hely és erőforrás csoport alatt
Célhely: Válassza ki azt a helyet, ahol a forrás virtuális gép adatait replikálni kell. A kiválasztott gépek helyétől függően a Site Recovery megadja a megfelelő célrégiók listáját. Javasoljuk, hogy tartsa a célhelyet a Recovery Services-tároló helyével megegyező helyen.
Célelőfizetés: Válassza ki a vészhelyreállításhoz használt célelőfizetést. Alapértelmezés szerint a célelőfizetés megegyezik a forrás-előfizetéssel.
Célerőforrás-csoport: Válassza ki azt az erőforráscsoportot, amelyhez az összes replikált virtuális gép tartozik.
- Alapértelmezés szerint a Site Recovery létrehoz egy új erőforráscsoportot a célrégióban egy asr utótaggal a névben.
- Ha a Site Recovery által létrehozott erőforráscsoport már létezik, újra fel lesz használva.
- Az erőforráscsoportok beállításait testre lehet szabni.
- A célerőforráscsoport helye bármely Azure-régió lehet, kivéve azt a régiót, amelyben a forrás virtuális gépek üzemelnek.
Feljegyzés
Új célerőforrás-csoportot az Új létrehozása lehetőség kiválasztásával is létrehozhat.
A Hálózat területen
Feladatátvevő virtuális hálózat: Válassza ki a feladatátvevő virtuális hálózatot.
Feljegyzés
Új feladatátvevő virtuális hálózatot is létrehozhat az Új létrehozása gombra kattintva.
Feladatátvételi alhálózat: Válassza ki a feladatátvevő alhálózatot.
Tárolás: Válassza a Tárkonfiguráció megtekintése/szerkesztése lehetőséget. Megnyílik a Célbeállítások testreszabása lap.
- Replika által felügyelt lemez: A Site Recovery új replika által felügyelt lemezeket hoz létre a célrégióban a forrás virtuális gép felügyelt lemezeinek tükrözéséhez a forrás virtuális gép felügyelt lemezével azonos tárolási típussal (standard vagy prémium).
- Gyorsítótár-tárolás: A Site Recoverynek további tárfiókot, úgynevezett gyorsítótár-tárfiókot kell igényelnie a forrásrégióban. A forrás virtuális gépeken végbemenő összes módosítás nyomon lesz követve és elküldve a gyorsítótár-tárfiókba, mielőtt replikálja őket a célhelyre.
Rendelkezésre állási lehetőségek: Válassza ki a megfelelő rendelkezésre állási lehetőséget a virtuális gép számára a célrégióban. Ha már létezik a Site Recovery által létrehozott rendelkezésre állási csoport, az újra felhasználható. A rendelkezésre állási beállítások megtekintéséhez vagy szerkesztéséhez válassza a Rendelkezésre állási beállítások megtekintése/szerkesztése lehetőséget.
Feljegyzés
- A cél rendelkezésre állási csoportok konfigurálása során konfiguráljon különböző rendelkezésre állási csoportokat különböző méretű virtuális gépekhez.
- A replikáció engedélyezése után nem módosíthatja a rendelkezésre állás típusát – egyetlen példányt, rendelkezésre állási csoportot vagy rendelkezésre állási zónát. A rendelkezésre állás típusának módosításához le kell tiltania és engedélyeznie kell a replikációt.
Kapacitásfoglalás: A kapacitásfoglalás lehetővé teszi a kapacitás megvásárlását a helyreállítási régióban, majd a feladatátvételt erre a kapacitásra. Létrehozhat egy új kapacitásfoglalási csoportot, vagy használhat egy meglévőt. További információkért tekintse meg a kapacitásfoglalás működését. A kapacitásfoglalási beállítások módosításához válassza a Kapacitásfoglalás csoport hozzárendelésének megtekintése vagy szerkesztése lehetőséget. A feladatátvétel indításakor az új virtuális gép a hozzárendelt kapacitásfoglalási csoportban jön létre.
Titkosítási beállítások: A Lemeztitkosítás és a Kulcstitkosítás kulcstartók konfigurálásához válassza a Nézet/szerkesztés konfiguráció lehetőséget.
- Lemeztitkosítási kulcstartók: Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A forrás virtuális gép lemeztitkosítási kulcsán alapuló asr utótagot használ. Ha az Azure Site Recovery által létrehozott kulcstartó már létezik, az újra felhasználható.
- Kulcstitkosítási kulcstartók: Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A névnek van egy asr utótagja, amely a forrás virtuálisgép-kulcs titkosítási kulcsán alapul. Ha az Azure Site Recovery által létrehozott kulcstartó már létezik, az újra felhasználható.
Válassza a Tovább lehetőséget.
A Kezelés területen tegye a következőket:
- A Replikációs szabályzat alatt
- Replikációs szabályzat: Válassza ki a replikációs szabályzatot. Meghatározza a helyreállítási pontok adatmegőrzési előzményeinek és az alkalmazáskonzisztens pillanatkép gyakoriságának beállításait. Alapértelmezés szerint a Site Recovery létrehoz egy új replikációs szabályzatot, amelynek alapértelmezett beállításai 24 óra a helyreállítási pontok megőrzéséhez.
- Replikációs csoport: Replikációs csoport létrehozása virtuális gépek együttes replikálásához több virtuális gép konzisztens helyreállítási pontjainak létrehozásához. Vegye figyelembe, hogy a több virtuális gép konzisztenciájának engedélyezése hatással lehet a számítási feladatok teljesítményére, és csak akkor ajánlott használni, ha a gépek ugyanazt a számítási feladatot futtatják, és több gépen is konzisztenciára van szüksége.
- A Bővítménybeállítások területen
- Válassza a Frissítési beállítások és az Automation-fiók lehetőséget.
- A Replikációs szabályzat alatt
Válassza a Tovább lehetőséget.
A Felülvizsgálat területen tekintse át a virtuális gép beállításait, és válassza a Replikáció engedélyezése lehetőséget.
Feljegyzés
A kezdeti replikáció során előfordulhat, hogy az állapot frissítése némi időt vesz igénybe, anélkül, hogy a folyamat látható lenne. Kattintson a Frissítés gombra a legújabb állapot lekéréséhez.
A cél virtuális gép titkosítási beállításainak frissítése
A következő esetekben frissítenie kell a cél virtuálisgép-titkosítási beállításokat:
- Engedélyezte a Site Recovery replikációt a virtuális gépen. Később engedélyezte a lemeztitkosítást a forrás virtuális gépen.
- Engedélyezte a Site Recovery replikációt a virtuális gépen. Később módosította a lemeztitkosítási kulcsot vagy a kulcstitkosítási kulcsot a forrás virtuális gépen.
A fenti okok miatt a kulcsok nincsenek szinkronban a forrás és a cél között. Ezért át kell másolnia a kulcsokat a célhelyre, és frissítenie kell az Azure Site Recovery metaadattárát a következővel:
- Portál
- REST API
- PowerShell
Feljegyzés
Az Azure Site Recovery nem támogatja a titkosított virtuális gépek kulcsának elforgatását, amíg az védett. Ha elforgatja a kulcsokat, le kell tiltania és újra engedélyeznie kell a replikációt.
A cél virtuális gép titkosítási beállításainak frissítése az Azure Portalról
Ha a Site Recoveryt egy virtuális gépen használja, és egy későbbi időpontban engedélyezte rajta a lemeztitkosítást, akkor előfordulhat, hogy nincs kulcstartója a célbeállítások között. Új kulcstartót kell hozzáadnia a célhoz.
Ha például KV1
kulcstartót használ, a célbeállításokban módosíthatja a kulcsokat egy másik kulcstartó használatával a célrégióban. Választhat olyan meglévő kulcstartót, amely eltér az eredeti kulcstartótól KV1
, vagy használhat új kulcstartót. Mivel az Azure Site Recovery nem engedélyezi a kulcsok módosítását, a célrégióban egy másik kulcstartót kell használnia.
Ebben a példában feltételezzük, hogy létrehoz egy új üres kulcstartót KV2
a szükséges engedélyekkel. Ezután az alábbi lépésekkel frissítheti a tárolót:
- Lépjen a Recovery Services-tárolóra a portálon.
- Replikált elem>tulajdonságainak>kiszámítása kiválasztása
- Válassza
KV2
ki a menüből a célkulcstartó frissítéséhez. - A Mentés gombra kattintva másolja a forráskulcsokat az új célkulcstartóba
KV2
egy új kulccsal/titkos kóddal, és frissítse az Azure Site Recovery metaadatait.Feljegyzés
Az új kulcstartó létrehozása költségvonzatokkal járhat. Ha a korábban használt eredeti célkulcstartót (
KV1
) szeretné használni, ezt a fenti lépések elvégzése után egy másik kulcstartóval teheti meg.
Miután frissítette a tárolót egy másik kulcstartóval, az eredeti célkulcstartóKV1
() használatához ismételje meg az 1–4. lépést, és válassza kiKV1
a célkulcstartóban. Ez átmásolja az új kulcsot / titkos kulcsotKV1
, és ezt használja a célhoz.
Cél virtuális gép titkosítási beállításainak frissítése REST API használatával
- A kulcsokat a Céltárolóba kell másolnia a Kulcsok másolása szkripttel.
Replication Protected Items - Update
A Rest API használatával frissítse az Azure Site Recovery metaadatait.
Cél virtuális gép titkosítási beállításainak frissítése a PowerShell használatával
- Másolja a kulcsokat a céltartóba a Másolási kulcsok szkripttel.
Set-AzRecoveryServicesAsrReplicationProtectedItem
A paranccsal frissítse az Azure Site Recovery metaadatait.
Key Vault-engedélyekkel kapcsolatos problémák elhárítása az Azure-ból Azure-ba történő virtuális gépek replikációja során
Az Azure Site Recoverynek legalább olvasási engedélyre van szüksége a forrásrégió Key Vaultjához, valamint írási engedélyre a célrégió Key Vaultjához a titkos kulcs beolvasásához és a célrégió Key Vaultjába való másolásához.
1. ok: A kulcsok olvasásához nem rendelkezik "GET" engedéllyel a forrásrégió Kulcstartóján .
Javítás: Függetlenül attól, hogy Ön előfizetés-rendszergazda vagy sem, fontos, hogy engedélyt kapjon a kulcstartóra.
- Lépjen a key vault forrásrégióba, amely ebben a példában a "ContososourceKeyvault" >hozzáférési szabályzatok
- Az Egyszerű kiválasztása csoportban adja hozzá a felhasználónevet, például: "dradmin@contoso.com"
- A Kulcsengedélyek csoportban válassza a GET lehetőséget
- Titkos engedély alatt válassza a GET lehetőséget
- A hozzáférési szabályzat mentése
2. ok: Nincs szükség engedélyre a célrégió kulcstartóján a kulcsok írásához.
Például: Olyan virtuális gépet próbál replikálni, amely egy forrásrégióban található ContososourceKeyvault kulcstartóval rendelkezik. Rendelkezik a forrásrégió kulcstartójának összes engedélyével. A védelem során azonban kiválaszthatja a már létrehozott ContosotargetKeyvault kulcstartót, amely nem rendelkezik engedélyekkel. Hiba történik.
A célkulcstartóhoz szükséges engedély
Javítás: Nyissa meg a Home>Keyvaults>ContosotargetKeyvault>Hozzáférési szabályzatokat, és adja hozzá a megfelelő engedélyeket.
Következő lépések
- További információ a feladatátvételi teszt futtatásáról.