Replikasi mesin dengan cakram Customer-Managed Keys (CMK) yang diaktifkan

Artikel ini menjelaskan cara mereplikasi komputer virtual Azure yang mengelola disk menggunakan Customer-Managed Keys (CMK), dari satu wilayah Azure ke wilayah lainnya.

Prasyarat

Anda harus membuat kumpulan Enkripsi Disk di wilayah target untuk target langganan sebelum mengaktifkan replikasi untuk komputer virtual yang menggunakan CMK untuk mengelola disknya.

Aktifkan replikasi

Gunakan prosedur berikut untuk mereplikasi komputer dengan disk yang diaktifkan Customer-Managed Keys (CMK). Sebagai contoh, wilayah Azure utama adalah Asia Timur, dan wilayah sekunder adalah Asia Tenggara.

1. Di brankas halaman >Site Recovery, di bawah mesin virtual Azure, pilih Aktifkan replikasi.

2. Di halaman Aktifkan replikasi , di bawah Sumber, lakukan hal berikut:

   • Wilayah: Pilih wilayah Azure dari tempat Anda ingin melindungi VM Anda. Misalnya, lokasi sumbernya adalah Asia Timur.

   • Langganan: Pilih langganan tempat VM sumber Anda berada. Ini bisa menjadi langganan apa pun dalam penyewa Microsoft Entra yang sama tempat vault layanan pemulihan Anda ada.

   • Grup sumber daya: Pilih grup sumber daya tempat komputer virtual sumber Anda berada. Semua komputer virtual dalam grup sumber daya yang dipilih dicantumkan untuk perlindungan di langkah berikutnya.

   • Model penyebaran komputer virtual: Pilih model penyebaran Azure dari komputer sumber.

   • Pemulihan bencana antar zona ketersediaan: Pilih Ya jika Anda ingin melakukan pemulihan bencana zona pada komputer virtual.

     

3. Pilih Selanjutnya.

4. Di Komputer virtual, pilih setiap VM yang ingin Anda replikasi. Anda hanya dapat memilih komputer yang replikasinya dapat diaktifkan. Anda dapat memilih hingga sepuluh VM. Kemudian pilih Berikutnya.

   

5. Di Pengaturan replikasi, Anda dapat mengonfigurasi pengaturan berikut:

   1. Di bawah Lokasi dan Grup sumber daya,

      • Lokasi target: Pilih lokasi tempat data komputer virtual sumber Anda harus direplikasi. Bergantung pada lokasi komputer yang dipilih, Site Recovery akan memberi Anda daftar wilayah target yang sesuai. Kami menyarankan agar Anda menjaga lokasi target tetap sama dengan lokasi vault Layanan Pemulihan.

      • Langganan target: Pilih langganan target yang digunakan untuk pemulihan bencana. Secara default, langganan target akan sama dengan langganan sumber.

      • Grup sumber daya target: Pilih grup sumber daya tempat semua komputer virtual anda yang direplikasi berada.

        • Secara default, Site Recovery membuat grup sumber daya baru di wilayah target dengan akhiran asr dalam nama.
        • Jika grup sumber daya yang dibuat oleh Site Recovery sudah ada, maka grup tersebut akan digunakan kembali.
        • Anda dapat menyesuaikan setelan grup sumber daya.
        • Lokasi grup sumber daya target dapat berada di wilayah Azure mana pun kecuali wilayah tempat sumber VM di-hosting.

        Catatan

        Anda juga dapat membuat grup sumber daya target baru dengan memilih Buat baru.

        

   2. Di bawah Jaringan,

      • Jaringan virtual failover: Pilih jaringan virtual failover.

        Catatan

        Anda juga dapat membuat jaringan virtual failover baru dengan memilih Buat baru.

      • Subnet failover: Pilih subnet failover.

        

   3. Penyimpanan: Pilih Tampilkan/edit konfigurasi penyimpanan. Kustomisasi halaman pengaturan target terbuka.

      

      • Disk yang dikelola replika: Site Recovery membuat disk baru yang dikelola replika di wilayah target untuk mencerminkan disk terkelola VM sumber dengan jenis penyimpanan yang sama (Standar atau premium) sebagai disk terkelola VM sumber.
      • Penyimpanan cache: Site Recovery memerlukan akun penyimpanan tambahan yang disebut penyimpanan cache di wilayah sumber. Semua perubahan yang terjadi pada VM sumber dilacak dan dikirim ke akun penyimpanan cache sebelum mereplikasinya ke lokasi target.

   4. Opsi ketersediaan: Pilih opsi ketersediaan yang sesuai untuk VM Anda di wilayah target. Set ketersediaan yang sudah ada dari Site Recovery dapat digunakan kembali. Pilih Tampilkan/edit opsi ketersediaan untuk melihat atau mengedit opsi ketersediaan.

      Catatan

      • Saat mengonfigurasi set ketersediaan target, konfigurasikan set ketersediaan yang berbeda untuk VM berukuran berbeda.
      • Anda tidak dapat mengubah jenis ketersediaan (instans tunggal), set ketersediaan, atau zona ketersediaan, setelah replikasi diaktifkan. Anda harus menonaktifkan dan mengaktifkan replikasi untuk mengubah jenis ketersediaan.

      

   5. Reservasi kapasitas: Reservasi Kapasitas memungkinkan Anda membeli kapasitas di wilayah pemulihan, lalu failover ke kapasitas tersebut. Anda dapat membuat Grup Reservasi Kapasitas baru atau menggunakan yang sudah ada. Untuk informasi selengkapnya, lihat cara kerja reservasi kapasitas. Pilih Tampilkan atau Edit penetapan grup Reservasi Kapasitas untuk mengubah pengaturan reservasi kapasitas. Saat memicu Failover, mesin virtual baru akan dibuat di Grup Reservasi Kapasitas yang ditetapkan.

      

   6. Pengaturan enkripsi penyimpanan: Site Recovery memerlukan set enkripsi disk (DES) untuk digunakan untuk replika dan disk terkelola target. Anda harus membuat set enkripsi Disk sebelumnya di langganan target dan wilayah target sebelum mengaktifkan replikasi. Secara default, set enkripsi Disk tidak dipilih. Anda harus memilih Tampilkan/edit konfigurasi untuk memilih set enkripsi Disk per disk sumber.

      Catatan

      Pastikan bahwa DES Target ada di Grup Sumber Daya Target, dan bahwa DES Target memiliki akses Get, Wrap Key, Unwrap Key ke Key Vault di wilayah yang sama.

      

6. Pilih Selanjutnya.

7. Di Kelola, lakukan hal berikut:

   1. Di bawah Kebijakan replikasi,
      • Kebijakan replikasi: Pilih kebijakan replikasi. Menentukan pengaturan untuk riwayat retensi titik pemulihan dan frekuensi rekam jepret yang konsisten dengan aplikasi. Secara default, Site Recovery membuat kebijakan replikasi baru dengan pengaturan default 24 jam untuk retensi titik pemulihan.
      • Grup replikasi: Buat grup replikasi untuk mereplikasi VM bersama-sama untuk menghasilkan titik pemulihan yang konsisten multi-VM. Perhatikan bahwa mengaktifkan konsistensi multi-VM dapat memengaruhi performa beban kerja dan hanya boleh digunakan jika mesin menjalankan beban kerja yang sama dan Anda memerlukan konsistensi di beberapa komputer.
   2. Di bawah Pengaturan ekstensi,
      • Pilih Perbarui pengaturan dan akun Automation.

   

8. Pilih Selanjutnya

9. Di Tinjau, tinjau pengaturan VM dan pilih Aktifkan replikasi.

   

Catatan

Selama replikasi awal, status akan membutuhkan waktu untuk refresh, tanpa kemajuan yang jelas. Klik Refresh untuk mendapatkan status terbaru.

Tanya Jawab Umum

• Saya telah mengaktifkan CMK pada item yang direplikasi yang ada, bagaimana cara memastikan bahwa CMK juga diterapkan pada wilayah target?

  Anda dapat mengetahui nama replika disk yang dikelola (dibuat oleh Azure Site Recovery di wilayah target) dan melampirkan DES ke disk replika ini. Namun, Anda tidak akan dapat melihat detail DES di bilah Disk setelah Anda melampirkannya. Atau, Anda dapat memilih untuk menonaktifkan replikasi komputer virtual dan mengaktifkannya lagi. Hal tersebut akan memastikan Anda melihat DES dan detail bilah kunci di bilah Disk untuk item yang direplikasi.

• Saya telah menambahkan disk CMK baru ke item yang direplikasi. Bagaimana cara saya mereplikasi disk ini dengan Azure Site Recovery?

  Anda dapat menambahkan disk yang diaktifkan CMK baru ke item yang direplikasi yang sudah ada menggunakan PowerShell. Temukan cuplikan kode untuk panduan:

  #set vaultname and resource group name for the vault.
  $vaultname="RSVNAME"
  $vaultrgname="RSVRGNAME"
  
  #set VMName
  $VMName = "VMNAME"
  
  #get the vault object
  $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname
  
  #set job context to this vault
  $vault | Set-AzRecoveryServicesAsrVaultContext
  
  =============
  
  #set resource id of disk encryption set
  $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"
  
  #set resource id of cache storage account
  $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"
  
  #set resource id of recovery resource group
  $RecoveryResourceGroup = "RESOURCEIDOFRG"
  
  #set resource id of disk to be replicated
  $dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"
  
  #setdiskconfig
  $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
            -ManagedDisk `
            -DiskId $dataDisk `
            -LogStorageAccountId $primaryStorageAccount `
            -RecoveryResourceGroupId $RecoveryResourceGroup `
            -RecoveryReplicaDiskAccountType Standard_LRS `
            -RecoveryTargetDiskAccountType Standard_LRS `
            -RecoveryDiskEncryptionSetId $diskencryptionset
  
  
  #get fabric object from the source region.
  $fabric = Get-AzRecoveryServicesAsrFabric
  #use to fabric name to get the container.
  $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]
  
  #get the context of the protected item
  $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject
  
  #initiate enable replication using below command
  $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
  

• Saya telah mengaktifkan kunci yang dikelola platform dan pelanggan, bagaimana cara melindungi disk saya?

  Mengaktifkan enkripsi ganda dengan platform dan kunci yang dikelola pelanggan didukung oleh Site Recovery. Ikuti instruksi dalam artikel ini untuk melindungi mesin Anda. Anda perlu membuat DES yang mengaktifkan enkripsi ganda di wilayah target terlebih dahulu. Pada saat mengaktifkan replikasi untuk komputer virtual seperti itu, Anda dapat memberikan DES ini ke Site Recovery.

Langkah berikutnya

• Pelajari selengkapnya tentang menjalankan uji kegagalan.