Memindahkan Azure VM terenkripsi di seluruh wilayah

  • Artikel

Azure Resource Mover membantu Anda memindahkan sumber daya Azure antar wilayah Azure. Artikel ini membahas cara memindahkan komputer virtual Azure yang terenkripsi (VM) ke wilayah Azure lain dengan menggunakan Azure Resource Mover.

Komputer Virtual yang terenkripsi dapat digambarkan sebagai:

Dalam tutorial ini, Anda akan mempelajari cara:

  • Pindahkan Azure VM terenkripsi dan sumber daya dependennya ke wilayah Azure lain.

Catatan

Tutorial menunjukkan jalur tercepat untuk mencoba skenario, dan menggunakan opsi {i>default

Masuk ke Azure

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Memulai dan masuk ke portal Azure.

Prasyarat

Sebelum memulai, verifikasi hal berikut:

Persyaratan Detail
Izin langganan Pastikan Anda memiliki akses Pemilik pada langganan yang berisi sumber daya yang ingin Anda pindahkan.

Mengapa saya memerlukan akses Pemilik? Saat pertama kali Anda menambahkan sumber daya untuk pasangan sumber dan tujuan tertentu dalam langganan Azure, Resource Mover membuat identitas terkelola yang ditetapkan sistem, yang sebelumnya dikenal sebagai Identitas Layanan Terkelola (MSI). Identitas ini dipercayai oleh langganan. Before you Untuk membuat identitas dan menetapkan peran yang diperlukan (Kontributor dan Administrator akses pengguna di langganan sumber), akun yang Anda gunakan untuk menambah sumber daya memerlukan izin Pemilik di langganan. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Dukungan VM Pastikan bahwa VM yang ingin Anda pindahkan didukung dengan melakukan hal berikut:
  • Verifikasi Komputer Virtual yang didukung Windows.
  • Verifikasi komputer virtual Linux dan versi kernel yang didukung.
  • Periksa pengaturan komputasi, penyimpanan, dan jaringan yang didukung.
    		•
    Persyaratan key vault (Azure Disk Encryption) Jika Anda mengaktifkan Azure Disk Encryption untuk VM, Anda memerlukan brankas kunci di wilayah sumber dan tujuan. Untuk informasi selengkapnya, lihat Membuat key vault.

    Untuk brankas kunci di wilayah sumber dan tujuan, Anda memerlukan izin ini:
  • Izin utama: Operasi Operasi Manajemen Kunci (Get, List) dan Kriptografi (Decrypt dan Encrypt)
  • Izin rahasia: Operasi Manajemen Rahasia (Get, List, and Set)
  • Sertifikat (List and Get)
    		•
    Kumpulan enkripsi disk (enkripsi sisi server dengan CMK) Jika Anda menggunakan VM dengan enkripsi sisi server yang menggunakan CMK, Anda memerlukan enkripsi disk yang diatur di wilayah sumber dan tujuan. Untuk informasi selengkapnya, lihat Membuat kumpulan enkripsi disk.

    Berpindah antar wilayah tidak didukung jika Anda menggunakan modul keamanan perangkat keras (kunci HSM) untuk kunci yang dikelola pelanggan.
    Kuota wilayah target Langganan memerlukan kuota yang cukup untuk membuat sumber daya yang Anda pindahkan di wilayah target. Jika tidak memiliki kuota, minta batas tambahan.
    Biaya wilayah target Verifikasi harga dan biaya yang terkait dengan wilayah target tempat Anda memindahkan Komputer Virtual. Gunakan kalkulator harga.

    Memverifikasi izin dalam key vault

    Jika Anda memindahkan VM yang mengaktifkan Azure Disk Encryption, Anda harus menjalankan skrip. Pengguna yang menjalankan skrip harus memiliki izin yang sesuai untuk melakukannya. Untuk memahami izin mana yang diperlukan, lihat tabel berikut. Anda akan menemukan opsi untuk mengubah izin dengan masuk ke key vault di portal Microsoft Azure. Di bagian Pengaturan, pilih Kebijakan akses.

    Cuplikan layar tautan 'Kebijakan akses' di panel Pengaturan key vault.

    Jika izin pengguna tidak ada, pilih Tambahkan Kebijakan Akses, dan tentukan izinnya. Jika akun pengguna sudah memiliki kebijakan, di bagian Pengguna, tetapkan izin yang sesuai dengan petunjuk dalam tabel berikut.

    Azure VM yang menggunakan Azure Disk Encryption dapat memiliki variasi berikut, dan Anda harus mengatur izin sesuai dengan komponen yang relevan. Komputer Virtual mungkin memiliki:

    Key vault wilayah sumber

    Untuk pengguna yang menjalankan skrip, tetapkan izin untuk komponen berikut:

    Komponen Izin yang Diperlukan
    Rahasia Dapatkan

    Pilih Operasi Manajemen Rahasia izin>rahasia, dan pilih Dapatkan.
    Kunci

    Jika Anda menggunakan KEK, Anda memerlukan izin ini selain izin untuk rahasia.    		 Dapatkan dan Dekripsi

    Pilih Operasi Manajemen Kunci Izin>Utama, dan pilih Dapatkan. Di bagian Operasi Kriptografi, pilih Dekripsi.

    Key vault wilayah tujuan

    Pada tab Kebijakan akses, pastikan azure Disk Encryption untuk enkripsi volume diaktifkan.

    Untuk pengguna yang menjalankan skrip, tetapkan izin untuk komponen berikut:

    Komponen Izin yang Diperlukan
    Rahasia Tetapkan

    Pilih Operasi Manajemen Rahasia izin>rahasia, dan pilih Atur.
    Kunci

    Jika Anda menggunakan KEK, Anda memerlukan izin ini selain izin untuk rahasia.    		 Dapatkan, Buat, dan Enkripsi

    Pilih Operasi Manajemen Kunci Izin>Kunci, dan pilih Dapatkan dan Buat. Di bagian Operasi Kriptografi, pilih Enkripsi.

    Selain izin sebelumnya, di brankas kunci tujuan, Anda harus menambahkan izin untuk Identitas Sistem Terkelola yang digunakan Resource Mover untuk mengakses sumber daya Azure atas nama Anda.

    Menambahkan izin ke Identitas Sistem Terkelola

    Untuk menambahkan izin untuk Identitas Sistem Terkelola (MSI), ikuti langkah-langkah berikut:

    1. Di bagian Pengaturan, pilih Tambahkan kebijakan akses.

    2. Di Pilih prinsipal, cari MSI. Nama MSI-nya adalah movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Untuk MSI, tambahkan izin berikut ini:

      Komponen Izin yang Diperlukan
      Rahasia Dapatkan dan Daftar

      Pilih Operasi Manajemen Rahasia izin>rahasia, dan pilih Dapatkan dan Daftar.
      Kunci

      Jika Anda menggunakan KEK, Anda memerlukan izin ini selain izin untuk rahasia.      		 Dapatkan dan Daftar

      Pilih Operasi Manajemen Kunci Izin>Utama, dan pilih Dapatkan dan Daftar.

    Salin kunci ke key vault tujuan

    Salin rahasia dan kunci enkripsi dari brankas kunci sumber ke brankas kunci tujuan dengan menggunakan skrip yang disediakan.

    Untuk menyalin kunci dari brankas kunci sumber ke brankas kunci tujuan, ikuti langkah-langkah berikut:

    • Jalankan skrip di PowerShell. Kami menyarankan agar Anda menggunakan versi PowerShell terbaru.
    • Secara khusus, skrip memerlukan modul-modul ini:
      • Az.Compute
      • Az.KeyVault (versi 3.0.0)
      • Az.Accounts (versi 2.2.3)

    Untuk menjalankan skrip, lakukan hal berikut:

    1. Buka skrip di GitHub.

    2. Salin konten skrip ke file lokal, dan beri nama Copy-keys.ps1.

    3. Jalankan skrip.

    4. Masuk ke portal Azure.

    5. Di bawah jendela Input Pengguna, pilih langganan sumber, grup sumber daya, VM sumber, lokasi target, dan brankas target untuk enkripsi disk dan kunci.

      Cuplikan layar jendela 'Input Pengguna' untuk memasukkan nilai skrip.

    6. Gunakan tombol Pilih , untuk menjalankan skrip.

      Ketika skrip selesai dijalankan, Anda akan melihat pesan yang memberitahu bahwa CopyKeys telah berhasil.

    Menyiapkan VM

    Untuk menyiapkan VM untuk pemindahan, ikuti langkah-langkah berikut:

    1. Setelah Anda memeriksa untuk memastikan bahwa VM memenuhi prasyarat, pastikan bahwa VM yang ingin Anda pindahkan diaktifkan. Semua disk Komputer Virtual yang ingin Anda sediakan di wilayah tujuan harus dilampirkan dan diinisialisasi di Komputer Virtual.
    2. Untuk memastikan bahwa VM memiliki sertifikat akar tepercaya terbaru dan daftar pencabutan sertifikat (CRL) yang diperbarui, lakukan hal berikut:
      • Pada Windows komputer virtuals, instal pembaruan Windows terbaru.
      • Di Komputer Virtual Linux, ikuti panduan distributor agar mesin memiliki sertifikat dan CRL terbaru.
    3. Untuk mengizinkan konektivitas keluar dari VM, lakukan salah satu hal berikut:
      • Jika Anda menggunakan proksi firewall berbasis URL untuk mengontrol konektivitas keluar, izinkan akses ke URL ini.
      • Jika Anda menggunakan aturan kelompok keamanan jaringan (NSG) untuk mengontrol konektivitas keluar, buat aturan tag layanan ini.

    Pilih sumber daya yang akan dipindahkan

    Anda dapat memilih jenis sumber daya yang didukung di salah satu grup sumber daya di wilayah sumber yang Anda pilih. Anda dapat memindahkan sumber daya ke wilayah target yang berada dalam langganan yang sama dengan wilayah sumber. Jika Anda ingin mengubah langganan, Anda dapat melakukannya setelah sumber daya dipindahkan.

    Untuk memilih sumber daya, lakukan hal berikut:

    1. Pada portal Azure, cari resource mover. Di bawah Layanan, pilih Azure Resource Mover.

      Cuplikan layar hasil pencarian untuk Azure Resource Mover di portal Microsoft Azure.

    2. Pada panel Ringkasan Azure Resource Mover, pilih Pindahkan lintas wilayah.

      Cuplikan layar tombol 'Pindahkan lintas wilayah' untuk menambahkan sumber daya yang akan dipindahkan ke wilayah lain.

    3. Pada tab Pindahkan sumber daya>Sumber + tujuan, lakukan hal berikut:

      1. Pilih langganan dan wilayah sumber.
      2. Di bawah Tujuan, pilih wilayah tempat Anda ingin memindahkan VM, pilih Berikutnya.

      Halaman untuk memilih wilayah sumber dan tujuan..

    4. Pada tab Sumber Daya untuk dipindahkan , pilih opsi Pilih sumber daya untuk membuka tab baru dengan daftar VM yang tersedia.

      Cuplikan layar panel 'Pindahkan sumber daya' dan tombol 'Pilih sumber daya'.].

    5. Pada tab Pilih sumber daya , pilih VM yang ingin Anda pindahkan. Seperti yang disebutkan di bagian Pilih sumber daya yang akan dipindahkan, Anda hanya dapat menambahkan sumber daya yang didukung untuk pemindahan.

      Cuplikan layar panel 'Pilih sumber daya' untuk memilih Komputer Virtual yang akan dipindahkan.

      Catatan

      Dalam tutorial ini, Anda memilih Komputer Virtual yang menggunakan enkripsi sisi server (rayne-vm) dengan kunci yang dikelola pelanggan, dan Komputer Virtual dengan enkripsi disk aktif (rayne-vm-ade).

    6. Pilih Selesai.

    7. Pilih tab Sumber Daya untuk dipindahkan dan pilih Berikutnya.

    8. Pilih tab Tinjau , dan periksa pengaturan sumber dan tujuan.

      Cuplikan layar panel untuk meninjau pengaturan sumber dan tujuan.

    9. Pilih Lanjutkan untuk mulai menambahkan sumber daya.

    10. Pilih ikon pemberitahuan untuk melacak kemajuan. Setelah proses berhasil diselesaikan, pada panel Pemberitahuan, pilih Tambahkan sumber daya yang akan dipindahkan.

      Cuplikan layar panel 'Pemberitahuan' untuk mengonfirmasi bahwa sumber daya berhasil ditambahkan.

    11. Setelah mengklik pemberitahuan, tinjau sumber daya di halaman Lintas wilayah.

      Cuplikan layar sumber daya tambahan dengan status 'Persiapan tertunda'.

    Catatan

    • Sumber daya yang Anda tambahkan ditempatkan ke dalam status Persiapan tertunda.
    • Grup sumber daya untuk komputer virtual ditambahkan secara otomatis.
    • Jika Anda mengubah entri Konfigurasi tujuan untuk menggunakan sumber daya yang sudah ada di wilayah tujuan, status sumber daya ditetapkan ke Penerapan tertunda, karena Anda tidak perlu memulai pemindahan untuk itu.
    • Jika Anda ingin menghapus sumber daya yang telah ditambahkan, metode yang akan Anda gunakan bergantung pada di mana Anda berada dalam proses pemindahan. Untuk informasi selengkapnya, lihat Mengelola kumpulan pemindahan dan grup sumber daya.

    Mengatasi dependensi

    Untuk mengatasi dependensi sebelum pemindahan, ikuti langkah-langkah berikut:

    1. Dependensi divalidasi di latar belakang setelah Anda menambahkannya. Jika Anda melihat tombol Validasi dependensi , pilih tombol tersebut untuk memicu validasi manual.

      Cuplikan layar menunjukkan tombol 'Validasi dependensi'.

      Proses validasi dimulai.

    2. Jika dependensi ditemukan, pilih Tambahkan dependensi.

      Cuplikan layar tombol 'Tambahkan dependensi'.

    3. Pada panel Tambahkan dependensi, pertahankan opsi Perlihatkan semua dependensi default.

      • Tampilkan semua dependensi berulang melalui semua dependensi langsung dan tidak langsung untuk sumber daya. Misalnya, untuk Komputer Virtual, hal tersebut menunjukkan NIC, jaringan virtual, grup keamanan jaringan (NSGs), dan sebagainya.
      • Hanya tampilkan dependensi tingkat pertama hanya menampilkan dependensi langsung. Misalnya, untuk Komputer Virtual, hal ini menunjukkan NIC tetapi bukan jaringan virtual.

    4. Pilih sumber daya dependen yang ingin Anda tambahkan dan pilih Tambahkan dependensi.

      Cuplikan layar daftar dependensi dan tombol 'Tambahkan dependensi'.

    5. Dependensi secara otomatis divalidasi di latar belakang setelah Anda menambahkannya. Jika Anda melihat opsi Validasi dependensi , pilih opsi tersebut untuk memicu validasi manual.

      Cuplikan layar panel untuk memvalidasi kembali dependensi.

    Menetapkan sumber daya tujuan

    Anda harus menetapkan sumber daya tujuan secara manual yang terkait dengan enkripsi.

    Jika memindahkan Komputer Virtual yang mengaktifkan Azure Disk Encryption, key vault di wilayah tujuan Anda akan muncul sebagai dependensi. Jika memindahkan Komputer Virtual dengan enkripsi sisi server yang menggunakan CMK, enkripsi disk yang ditetapkan di wilayah tujuan akan muncul sebagai dependensi.

    Karena tutorial ini menunjukkan memindahkan Komputer Virtual yang mengaktifkan Azure Disk Encryption dan yang menggunakan CMK, baik key vault tujuan dan kumpulan enkripsi disk akan muncul sebagai dependensi.

    Untuk menetapkan sumber daya tujuan secara manual, lakukan hal berikut:

    1. Di entri kumpulan enkripsi disk, pilih Sumber Daya yang tidak ditetapkan di kolom Konfigurasi tujuan.

    2. Di Pengaturan konfigurasi, pilih kumpulan enkripsi disk tujuan, dan pilih Simpan perubahan.

    3. Anda dapat menyimpan dan memvalidasi dependensi untuk sumber daya yang Anda ubah, atau Anda hanya dapat menyimpan perubahan, dan memvalidasi semua yang Anda ubah secara bersamaan.

      Cuplikan layar panel 'Konfigurasi tujuan' untuk menyimpan perubahan di wilayah tujuan.

      Setelah menambahkan sumber daya tujuan, status kumpulan enkripsi disk diubah ke Penerapan pemindahan tertunda.

    4. Di entri key vault, pilih Sumber Daya yang tidak ditetapkan di kolom Konfigurasi tujuan. Di bawah Pengaturan konfigurasi, pilih brankas kunci tujuan, dan simpan perubahan Anda.

    Pada tahap ini, kumpulan enkripsi disk dan status key vault akan diubah ke Penerapan pemindahan tertunda.

    Cuplikan layar panel untuk mempersiapkan sumber daya lain.

    Untuk menerapkan dan menyelesaikan proses pemindahan untuk sumber daya enkripsi, lakukan hal berikut:

    1. Di Seluruh wilayah, pilih sumber daya (set enkripsi disk atau brankas kunci), dan pilih Terapkan pemindahan.
    2. Di Pindahkan Sumber Daya, pilih Terapkan.

    Catatan

    Setelah menerapkan pemindahan, status sumber daya akan berubah menjadi Hapus sumber tertunda.

    Siapkan sumber daya untuk bergerak

    Sekarang setelah sumber daya enkripsi dan grup sumber daya sumber dipindahkan, Anda dapat bersiap untuk memindahkan sumber daya lain yang statusnya saat ini adalah Persiapan tertunda.

    1. Pada panel Lintas wilayah, validasi pemindahan lagi dan atasi masalah apa pun.

    2. Jika Anda ingin mengedit pengaturan target sebelum memulai pemindahan, pilih tautan di kolom Konfigurasi tujuan untuk sumber daya, dan edit pengaturan. Jika Anda mengedit pengaturan Komputer Virtual target, ukuran Komputer Virtual target tidak boleh lebih kecil dari ukuran Komputer Virtual sumber.

    3. Untuk sumber daya dengan status Persiapan tertundayang ingin Anda pindahkan, pilih Siapkan.

    4. Pada panel Siapkan sumber daya, pilih Siapkan.

      • Selama persiapan, agen mobilitas Azure Site Recovery diinstal pada Komputer Virtual untuk mereplikasinya.
      • Data Komputer Virtual direplikasi secara berkala ke wilayah target. Hal ini tidak mempengaruhi Komputer Virtual sumber.
      • Resource Move menghasilkan templat ARM untuk sumber daya sumber lainnya.

    Catatan

    Setelah mempersiapkan pemindahan, status grup sumber daya akan berubah menjadi Memulai pemindahan tertunda. Cuplikan layar panel 'Siapkan sumber daya', menunjukkan sumber daya dalam status 'Memulai pemindahan tertunda'.

    Memulai proses pemindahan

    Sekarang setelah Anda menyiapkan sumber daya yang disiapkan, Anda dapat memulai proses pemindahan.

    1. Pada panel Lintas wilayah , pilih sumber daya yang statusnya Mulai pemindahan tertunda, dan pilih Mulai pemindahan.

    2. Pada panel Pindahkan sumber daya, pilih Memulai pemindahan.

    3. Lacak progres pemindahan di bilah pemberitahuan.

      • Untuk Komputer Virtual, replika Komputer Virtual dibuat di wilayah target. Sumber Komputer Virtual dimatikan, dan beberapa downtime terjadi (biasanya dalam beberapa menit).
      • Resource Mover membuat ulang sumber daya lain dengan menggunakan templat ARM yang disiapkan. Biasanya tidak ada downtime.
      • Setelah Anda memindahkan sumber daya, statusnya akan berubah menjadi Penerapan pemindahan tertunda.

      Cuplikan layar daftar sumber daya dengan status 'Penerapan pemindahan tertunda'.

    Membuang atau menerapkan pemindahan

    Setelah pemindahan awal, Anda dapat memutuskan apakah akan melakukan pemindahan atau membatalkannya.

    • Buang: Anda mungkin akan membuang proses pemindahan jika sedang melakukan pengujian dan tidak ingin benar-benar memindahkan sumber daya sumber tersebut. Membuang pemindahan akan mengembalikan sumber daya ke status Memulai pemindahan tertunda.
    • Terapkan: Penerapan menyelesaikan pemindahan ke wilayah target. Setelah menerapkan sumber daya sumber, statusnya akan berubah menjadi Hapus sumber tertunda, dan Anda dapat memutuskan apakah Anda ingin menghapusnya atau tidak.

    Membuang pemindahan

    Untuk membuang gerakan, lakukan hal berikut:

    1. Pada panel Lintas wilayah , pilih sumber daya yang statusnya Terapkan pemindahan tertunda, dan pilih Buang pemindahan.
    2. Pada panel Hapus pemindahan, pilih Buang.
    3. Lacak progres pemindahan di bilah pemberitahuan.

    Catatan

    Setelah Anda membuang sumber daya, status Komputer Virtual akan berubah menjadi Memulai pemindahan tertunda.

    Menerapkan pemindahan

    Untuk menyelesaikan proses pemindahan, Anda menerapkan pemindahan dengan melakukan hal berikut:

    1. Pada panel Lintas wilayah , pilih sumber daya yang statusnya Terapkan pemindahan tertunda, dan pilih Terapkan pemindahan.

    2. Pada panel Penerapan sumber daya, pilih Terapkan.

      Cuplikan layar daftar sumber daya untuk menerapkan sumber daya guna menyelesaikan pemindahan.

    3. Lacak kemajuan penerapan di bilah pemberitahuan.

    Catatan

    • Setelah Anda menerapkan pemindahan, Komputer Virtual akan berhenti mereplikasi. Komputer Virtual sumber tidak akan terpengaruh oleh penerapan tersebut.
    • Proses penerapan tidak mempengaruhi sumber daya jaringan sumber.
    • Setelah menerapkan pemindahan, status sumber daya akan berubah menjadi Hapus sumber tertunda.

    Mengonfigurasi pengaturan setelah pemindahan

    Anda dapat mengonfigurasi pengaturan berikut setelah proses pemindahan:

    • Layanan mobilitas tidak dihapus secara otomatis dari Komputer Virtual. Hapus instalan secara manual, atau biarkan jika Anda berencana untuk memindahkan server lagi.
    • Ubah aturan kontrol akses berbasis peran Azure (RBAC) setelah pemindahan.

    Menghapus sumber daya sumber setelah penerapan

    Setelah pemindahan, Anda dapat memilih untuk menghapus sumber daya di wilayah sumber.

    1. Pada panel Lintas wilayah , pilih setiap sumber daya sumber yang ingin Anda hapus, dan pilih Hapus sumber.
    2. Di Hapus sumber, tinjau apa yang ingin Anda hapus, dan di Konfirmasi hapus, ketik ya.

      Perhatian

      Tindakan ini tidak dapat dibatalkan, jadi periksa lagi dengan hati-hati!

    3. Setelah Anda mengetik ya, pilih Hapus sumber.

    Catatan

    Di portal Resource Move, Anda tidak dapat menghapus grup sumber daya, key vault, atau instans SQL Server. Anda harus menghapus masing-masing satu per satu dari halaman properti untuk setiap sumber daya.

    Menghapus sumber daya yang Anda buat untuk pemindahan

    Setelah pemindahan, Anda dapat menghapus kumpulan pemindahan dan sumber daya Site Recovery yang Anda buat secara manual selama proses ini.

    • Kumpulan pemindahan disembunyikan secara default. Untuk melihatnya, Anda harus mengaktifkan sumber daya tersembunyi.
    • Penyimpanan cache memiliki kunci yang harus dihapus sebelum dapat dihapus.

    Untuk menghapus sumber daya Anda, lakukan hal berikut:

    1. Temukan sumber daya dalam grup RegionMoveRG-<sourceregion>-<target-region>sumber daya .

    2. Periksa untuk memastikan bahwa semua Komputer Virtual dan sumber daya sumber lainnya di wilayah sumber telah dipindahkan atau dihapus. Langkah ini memastikan bahwa tidak ada sumber daya yang tertunda yang menggunakannya.

    3. Hapus sumber daya:

      • Nama kumpulan pemindahan: movecollection-<sourceregion>-<target-region>
      • Nama akun penyimpanan cache: resmovecache<guid>
      • Nama vault: ResourceMove-<sourceregion>-<target-region>-GUID

    Langkah berikutnya

    Pelajari selengkapnya tentang memindahkan database Azure SQL dan kumpulan elastis ke wilayah lain.