Azure Disk Encryption-kompatibilis virtuális gépek replikálása egy másik Azure-régióba

  • Cikk

Ez a cikk azt ismerteti, hogyan replikálhatja az Azure-beli virtuális gépeket engedélyezett Azure Disk Encryption (ADE) használatával az egyik Azure-régióból a másikba.

Feljegyzés

A Site Recovery jelenleg támogatja az ADE-t Microsoft Entra ID-vel és anélkül a Windows operációs rendszereket futtató VM-ek esetében. Linux operációs rendszerek esetében csak Microsoft Entra ID nélküli ADE-t támogatunk. Az ADE 1.1-et futtató gépek esetében (Microsoft Entra ID nélkül) a VM-eknek kezelt lemezeket kell használniuk. A nem felügyelt lemezekkel rendelkező virtuális gépek nem támogatottak. Ha az ADE 0.1-ről (Microsoft Entra ID-vel) az 1.1-re vált, akkor az 1.1-es verzió engedélyezése után le kell tiltania a replikációt, és engedélyeznie kell a replikációt egy VM számára.

Szükséges felhasználói engedélyek

A Site Recovery használatához a felhasználónak rendelkeznie kell engedéllyel a kulcstartó létrehozásához a célrégióban, és kulcsokat másolhat a forrásrégió kulcstartójából a célrégió kulcstartójára.

A lemeztitkosításra képes virtuális gépek Azure Portalról történő replikációjának engedélyezéséhez a felhasználónak a következő engedélyekre van szüksége a forrásrégióhoz és a célrégió kulcstartóihoz.

  • Key Vault-engedélyek

    • Lista, létrehozás és lekérés

  • Key Vault titkos kulcsengedélyek

    • Titkos kódkezelési műveletek
      • Lekérés, lista és beállítás

  • Kulcstartókulcs-engedélyek (csak akkor szükséges, ha a virtuális gépek kulcstitkosítási kulcsot használnak a lemeztitkosítási kulcsok titkosításához)

    • Kulcskezelési műveletek
      • Lekérés, lista és létrehozás
    • Titkosítási műveletek
      • Visszafejtés és titkosítás

Az engedélyek kezeléséhez lépjen a key vault erőforrásához a portálon. Adja hozzá a felhasználóhoz szükséges engedélyeket. Az alábbi példa bemutatja, hogyan engedélyezheti az engedélyeket a forrásrégióban található ContosoWeb2Keyvault kulcstartóhoz.

  1. Nyissa meg a Home>Keyvaults>ContosoWeb2KeyVault > Hozzáférési szabályzatokat.

    Kulcstartó engedélyeinek ablaka

  2. Láthatja, hogy nincsenek felhasználói engedélyek. Válassza az Új hozzáadása lehetőséget. Adja meg a felhasználó és az engedélyek adatait.

    Keyvault-engedélyek

Ha a vészhelyreállítást (DR) engedélyező felhasználó nem rendelkezik a kulcsok másolására vonatkozó engedélyekkel, a megfelelő engedélyekkel rendelkező biztonsági rendszergazda a következő szkripttel másolhatja a titkosítási titkos kulcsokat és kulcsokat a célrégióba.

Az engedélyek hibaelhárításához tekintse meg a key vault engedélyeivel kapcsolatos problémákat a cikk későbbi részében.

Feljegyzés

A lemeztitkosítással kompatibilis virtuális gépek portálról történő replikációjának engedélyezéséhez legalább a kulcstartók, titkos kulcsok és kulcsok "Listázása" engedélyére van szükség.

Lemeztitkosítási kulcsok másolása a DR-régióba a PowerShell-szkript használatával

  1. Nyissa meg a "CopyKeys" nyers szkriptkódot.

  2. Másolja a szkriptet egy fájlba, és nevezze el Copy-keys.ps1 néven.

  3. Nyissa meg a Windows PowerShell-alkalmazást, és lépjen arra a mappára, ahová a fájlt mentette.

  4. Copy-keys.ps1 végrehajtása.

  5. Adja meg az Azure hitelesítő adatait a bejelentkezéshez.

  6. Válassza ki a virtuális gépek Azure-előfizetését .

  7. Várja meg, amíg az erőforráscsoportok betöltődnek, majd válassza ki a virtuális gépek erőforráscsoportját .

  8. Válassza ki a megjelenített listából a virtuális gépeket. Csak a lemeztitkosításhoz engedélyezett virtuális gépek szerepelnek a listán.

  9. Válassza ki a célhelyet.

    • Lemeztitkosítási kulcstartók
    • Kulcstitkosítási kulcstartók

    Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A tároló neve egy "asr" utótagot használ, amely a forrás virtuálisgép-lemez titkosítási kulcsán alapul. Ha már létezik olyan kulcstartó, amelyet a Site Recovery hozott létre, az újra felhasználható. Szükség esetén válasszon másik kulcstartót a listából.

A replikáció engedélyezése

Az alábbi eljárással replikálhatja az Azure Disk Encryption-kompatibilis virtuális gépeket egy másik Azure-régióba. Az elsődleges Azure-régió például Kelet-Ázsia, a másodlagos pedig Délkelet-Ázsia.

  1. A tároló >Site Recovery lapján, az Azure-beli virtuális gépek alatt válassza a Replikáció engedélyezése lehetőséget.

  2. A Replikáció engedélyezése lap Forrás területén tegye a következőket:

    • Régió: Válassza ki azt az Azure-régiót, ahol védeni szeretné a virtuális gépeket. A forráshely például Kelet-Ázsia.
    • Előfizetés: Válassza ki azt az előfizetést, amelyhez a forrás virtuális gépek tartoznak. Ez lehet bármely olyan előfizetés, amely ugyanabban a Microsoft Entra-bérlőben található, mint a helyreállítási tár.
    • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amelyhez a forrás virtuális gépek tartoznak. A következő lépésben a kijelölt erőforráscsoport összes virtuális gépe megjelenik a védelem érdekében.
    • Virtuálisgép-telepítési modell: Válassza ki a forrásgépek Azure-beli üzembehelyezési modelljét.
    • Vészhelyreállítás a rendelkezésre állási zónák között: Válassza az Igen lehetőséget, ha zónaszintű vészhelyreállítást szeretne végrehajtani a virtuális gépeken.

    A replikáció konfigurálásához szükséges mezőket kiemelő képernyőkép.

  3. Válassza a Tovább lehetőséget.

  4. A virtuális gépeken jelölje ki a replikálni kívánt virtuális gépeket. Csak olyan gépeket választhat, amelyeken használható a replikáció funkció. Legfeljebb tíz virtuális gépet választhat ki. Ezután válassza a Tovább gombot.

    A virtuális gépek kiválasztásának helyét kiemelő képernyőkép.

  5. A replikációs beállításokban a következő beállításokat konfigurálhatja:

    1. A Hely és erőforrás csoport alatt

      • Célhely: Válassza ki azt a helyet, ahol a forrás virtuális gép adatait replikálni kell. A kiválasztott gépek helyétől függően a Site Recovery megadja a megfelelő célrégiók listáját. Javasoljuk, hogy tartsa a célhelyet a Recovery Services-tároló helyével megegyező helyen.

      • Célelőfizetés: Válassza ki a vészhelyreállításhoz használt célelőfizetést. Alapértelmezés szerint a célelőfizetés megegyezik a forrás-előfizetéssel.

      • Célerőforrás-csoport: Válassza ki azt az erőforráscsoportot, amelyhez az összes replikált virtuális gép tartozik.

        • Alapértelmezés szerint a Site Recovery létrehoz egy új erőforráscsoportot a célrégióban egy asr utótaggal a névben.
        • Ha a Site Recovery által létrehozott erőforráscsoport már létezik, újra fel lesz használva.
        • Az erőforráscsoportok beállításait testre lehet szabni.
        • A célerőforráscsoport helye bármely Azure-régió lehet, kivéve azt a régiót, amelyben a forrás virtuális gépek üzemelnek.

        Feljegyzés

        Új célerőforrás-csoportot az Új létrehozása lehetőség kiválasztásával is létrehozhat.

        A Hely és az erőforráscsoport képernyőképe.

    2. A Hálózat területen

      • Feladatátvevő virtuális hálózat: Válassza ki a feladatátvevő virtuális hálózatot.

        Feljegyzés

        Új feladatátvevő virtuális hálózatot is létrehozhat az Új létrehozása gombra kattintva.

      • Feladatátvételi alhálózat: Válassza ki a feladatátvevő alhálózatot.

        Képernyőkép a Hálózatról.

    3. Tárolás: Válassza a Tárkonfiguráció megtekintése/szerkesztése lehetőséget. Megnyílik a Célbeállítások testreszabása lap.

      Képernyőkép a Storage-ról.

      • Replika által felügyelt lemez: A Site Recovery új replika által felügyelt lemezeket hoz létre a célrégióban a forrás virtuális gép felügyelt lemezeinek tükrözéséhez a forrás virtuális gép felügyelt lemezével azonos tárolási típussal (standard vagy prémium).
      • Gyorsítótár-tárolás: A Site Recoverynek további tárfiókot, úgynevezett gyorsítótár-tárfiókot kell igényelnie a forrásrégióban. A forrás virtuális gépeken végbemenő összes módosítás nyomon lesz követve és elküldve a gyorsítótár-tárfiókba, mielőtt replikálja őket a célhelyre.

    4. Rendelkezésre állási lehetőségek: Válassza ki a megfelelő rendelkezésre állási lehetőséget a virtuális gép számára a célrégióban. Ha már létezik a Site Recovery által létrehozott rendelkezésre állási csoport, az újra felhasználható. A rendelkezésre állási beállítások megtekintéséhez vagy szerkesztéséhez válassza a Rendelkezésre állási beállítások megtekintése/szerkesztése lehetőséget.

      Feljegyzés

      • A cél rendelkezésre állási csoportok konfigurálása során konfiguráljon különböző rendelkezésre állási csoportokat különböző méretű virtuális gépekhez.
      • A replikáció engedélyezése után nem módosíthatja a rendelkezésre állás típusát – egyetlen példányt, rendelkezésre állási csoportot vagy rendelkezésre állási zónát. A rendelkezésre állás típusának módosításához le kell tiltania és engedélyeznie kell a replikációt.

      A rendelkezésre állási lehetőség képernyőképe.

    5. Kapacitásfoglalás: A kapacitásfoglalás lehetővé teszi a kapacitás megvásárlását a helyreállítási régióban, majd a feladatátvételt erre a kapacitásra. Létrehozhat egy új kapacitásfoglalási csoportot, vagy használhat egy meglévőt. További információkért tekintse meg a kapacitásfoglalás működését. A kapacitásfoglalási beállítások módosításához válassza a Kapacitásfoglalás csoport hozzárendelésének megtekintése vagy szerkesztése lehetőséget. A feladatátvétel indításakor az új virtuális gép a hozzárendelt kapacitásfoglalási csoportban jön létre.

      Képernyőkép a kapacitásfoglalásról.

    6. Titkosítási beállítások: A Lemeztitkosítás és a Kulcstitkosítás kulcstartók konfigurálásához válassza a Nézet/szerkesztés konfiguráció lehetőséget.

      • Lemeztitkosítási kulcstartók: Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A forrás virtuális gép lemeztitkosítási kulcsán alapuló asr utótagot használ. Ha az Azure Site Recovery által létrehozott kulcstartó már létezik, az újra felhasználható.
      • Kulcstitkosítási kulcstartók: Alapértelmezés szerint a Site Recovery létrehoz egy új kulcstartót a célrégióban. A névnek van egy asr utótagja, amely a forrás virtuálisgép-kulcs titkosítási kulcsán alapul. Ha az Azure Site Recovery által létrehozott kulcstartó már létezik, az újra felhasználható.

      Képernyőkép a titkosítási beállításokról.

  6. Válassza a Tovább lehetőséget.

  7. A Kezelés területen tegye a következőket:

    1. A Replikációs szabályzat alatt
      • Replikációs szabályzat: Válassza ki a replikációs szabályzatot. Meghatározza a helyreállítási pontok adatmegőrzési előzményeinek és az alkalmazáskonzisztens pillanatkép gyakoriságának beállításait. Alapértelmezés szerint a Site Recovery létrehoz egy új replikációs szabályzatot, amelynek alapértelmezett beállításai 24 óra a helyreállítási pontok megőrzéséhez.
      • Replikációs csoport: Replikációs csoport létrehozása virtuális gépek együttes replikálásához több virtuális gép konzisztens helyreállítási pontjainak létrehozásához. Vegye figyelembe, hogy a több virtuális gép konzisztenciájának engedélyezése hatással lehet a számítási feladatok teljesítményére, és csak akkor ajánlott használni, ha a gépek ugyanazt a számítási feladatot futtatják, és több gépen is konzisztenciára van szüksége.
    2. A Bővítménybeállítások területen
      • Válassza a Frissítési beállítások és az Automation-fiók lehetőséget.

    Képernyőkép a kezelés lapról.

  8. Válassza a Tovább lehetőséget.

  9. A Felülvizsgálat területen tekintse át a virtuális gép beállításait, és válassza a Replikáció engedélyezése lehetőséget.

    Képernyőkép a véleményezés lapról.

Feljegyzés

A kezdeti replikáció során előfordulhat, hogy az állapot frissítése némi időt vesz igénybe, anélkül, hogy a folyamat látható lenne. Kattintson a Frissítés gombra a legújabb állapot lekéréséhez.

A cél virtuális gép titkosítási beállításainak frissítése

A következő esetekben frissítenie kell a cél virtuálisgép-titkosítási beállításokat:

  • Engedélyezte a Site Recovery replikációt a virtuális gépen. Később engedélyezte a lemeztitkosítást a forrás virtuális gépen.
  • Engedélyezte a Site Recovery replikációt a virtuális gépen. Később módosította a lemeztitkosítási kulcsot vagy a kulcstitkosítási kulcsot a forrás virtuális gépen.

A fenti okok miatt a kulcsok nincsenek szinkronban a forrás és a cél között. Ezért át kell másolnia a kulcsokat a célhelyre, és frissítenie kell az Azure Site Recovery metaadattárát a következővel:

  • Portál
  • REST API
  • PowerShell

A cél virtuális gép titkosítási beállításainak frissítése az Azure Portalról

Ha a Site Recoveryt egy virtuális gépen használja, és egy későbbi időpontban engedélyezte rajta a lemeztitkosítást, akkor előfordulhat, hogy nincs kulcstartója a célbeállítások között. Új kulcstartót kell hozzáadnia a célhoz.

Ha például KV1kulcstartót használ, a célbeállításokban módosíthatja a kulcsokat egy másik kulcstartó használatával a célrégióban. Választhat olyan meglévő kulcstartót, amely eltér az eredeti kulcstartótól KV1 , vagy használhat új kulcstartót. Mivel az Azure Site Recovery nem engedélyezi a kulcsok módosítását, a célrégióban egy másik kulcstartót kell használnia.

Ebben a példában feltételezzük, hogy létrehoz egy új üres kulcstartót KV2 a szükséges engedélyekkel. Ezután az alábbi lépésekkel frissítheti a tárolót:

  1. Lépjen a Recovery Services-tárolóra a portálon.
  2. Replikált elem>tulajdonságainak>kiszámítása kiválasztása
  3. Válassza KV2 ki a menüből a célkulcstartó frissítéséhez. Képernyőkép a célkulcstartó frissítéséről.
  4. A Mentés gombra kattintva másolja a forráskulcsokat az új célkulcstartóba KV2 egy új kulccsal/titkos kóddal, és frissítse az Azure Site Recovery metaadatait.

    Feljegyzés

    Az új kulcstartó létrehozása költségvonzatokkal járhat. Ha a korábban használt eredeti célkulcstartót (KV1) szeretné használni, ezt a fenti lépések elvégzése után egy másik kulcstartóval teheti meg.
    Miután frissítette a tárolót egy másik kulcstartóval, az eredeti célkulcstartóKV1 () használatához ismételje meg az 1–4. lépést, és válassza ki KV1 a célkulcstartóban. Ez átmásolja az új kulcsot / titkos kulcsot KV1 , és ezt használja a célhoz.

Cél virtuális gép titkosítási beállításainak frissítése REST API használatával

  1. A kulcsokat a Céltárolóba kell másolnia a Kulcsok másolása szkripttel.
  2. Replication Protected Items - Update A Rest API használatával frissítse az Azure Site Recovery metaadatait.

Cél virtuális gép titkosítási beállításainak frissítése a PowerShell használatával

  1. Másolja a kulcsokat a céltartóba a Másolási kulcsok szkripttel.
  2. Set-AzRecoveryServicesAsrReplicationProtectedItem A paranccsal frissítse az Azure Site Recovery metaadatait.

Key Vault-engedélyekkel kapcsolatos problémák elhárítása az Azure-ból Azure-ba történő virtuális gépek replikációja során

Az Azure Site Recoverynek legalább olvasási engedélyre van szüksége a forrásrégió Key Vaultjához, valamint írási engedélyre a célrégió Key Vaultjához a titkos kulcs beolvasásához és a célrégió Key Vaultjába való másolásához.

1. ok: A kulcsok olvasásához nem rendelkezik "GET" engedéllyel a forrásrégió Kulcstartóján .
Javítás: Függetlenül attól, hogy Ön előfizetés-rendszergazda vagy sem, fontos, hogy engedélyt kapjon a kulcstartóra.

  1. Lépjen a key vault forrásrégióba, amely ebben a példában a "ContososourceKeyvault" >hozzáférési szabályzatok
  2. Az Egyszerű kiválasztása csoportban adja hozzá a felhasználónevet, például: "dradmin@contoso.com"
  3. A Kulcsengedélyek csoportban válassza a GET lehetőséget
  4. Titkos engedély alatt válassza a GET lehetőséget
  5. A hozzáférési szabályzat mentése

2. ok: Nincs szükség engedélyre a célrégió kulcstartóján a kulcsok írásához.

Például: Olyan virtuális gépet próbál replikálni, amely egy forrásrégióban található ContososourceKeyvault kulcstartóval rendelkezik. Rendelkezik a forrásrégió kulcstartójának összes engedélyével. A védelem során azonban kiválaszthatja a már létrehozott ContosotargetKeyvault kulcstartót, amely nem rendelkezik engedélyekkel. Hiba történik.

A célkulcstartóhoz szükséges engedély

Javítás: Nyissa meg a Home>Keyvaults>ContosotargetKeyvault>Hozzáférési szabályzatokat, és adja hozzá a megfelelő engedélyeket.

Következő lépések

  • További információ a feladatátvételi teszt futtatásáról.