Replicare i computer con i dischi abilitati per le chiavi gestite dal cliente
Questo articolo descrive come replicare macchine virtuali di Azure con dischi gestiti dal cliente abilitati per chiavi gestite dal cliente, da un'area di Azure a un'altra.
Prerequisito
È necessario creare i set di crittografia dischi nell'area di destinazione per la sottoscrizione di destinazione prima di abilitare la replica per le macchine virtuali con dischi gestiti abilitati per LA chiave gestita.
Abilitare la replica
Usare la procedura seguente per replicare i computer con dischi abilitati per chiavi gestite dal cliente.Use the following procedure to replicate machines with Customer-Managed Keys (CMK) enabled disks. Ad esempio, l'area primaria di Azure è Asia orientale e l'area secondaria è Asia sud-orientale.
Nella pagina Insieme di credenziali >di Site Recovery , in Macchine virtuali di Azure selezionare Abilita replica.
Nella pagina Abilita replica, in Origine, eseguire le operazioni seguenti:
Area: selezionare l'area di Azure da cui si vogliono proteggere le macchine virtuali. Ad esempio, la posizione di origine è Asia orientale.
Sottoscrizione: selezionare la sottoscrizione a cui appartengono le macchine virtuali di origine. Può trattarsi di qualsiasi sottoscrizione all'interno dello stesso tenant di Microsoft Entra in cui è presente l'insieme di credenziali dei servizi di ripristino.
Gruppo di risorse: selezionare il gruppo di risorse a cui appartengono le macchine virtuali di origine. Tutte le macchine virtuali nel gruppo di risorse selezionato sono elencate per la protezione nel passaggio successivo.
Modello di distribuzione di macchine virtuali: selezionare il modello di distribuzione di Azure delle macchine di origine.
Ripristino di emergenza tra zone di disponibilità: selezionare Sì se si vuole eseguire il ripristino di emergenza di zona nelle macchine virtuali.
Selezionare Avanti.
In Macchine virtuali selezionare ogni macchina virtuale da replicare. È possibile selezionare solo i computer per cui è possibile abilitare la replica. È possibile selezionare fino a dieci macchine virtuali. Quindi seleziona Avanti.
In Impostazioni di replica è possibile configurare le impostazioni seguenti:
In Località e gruppo di risorse,
Percorso di destinazione: selezionare il percorso in cui devono essere replicati i dati della macchina virtuale di origine. A seconda della posizione dei computer selezionati, Site Recovery fornirà l'elenco delle aree di destinazione appropriate. È consigliabile mantenere il percorso di destinazione identico al percorso dell'insieme di credenziali di Servizi di ripristino.
Sottoscrizione di destinazione: selezionare la sottoscrizione di destinazione usata per il ripristino di emergenza. Per impostazione predefinita, la sottoscrizione di destinazione sarà uguale alla sottoscrizione di origine.
Gruppo di risorse di destinazione: selezionare il gruppo di risorse a cui appartengono tutte le macchine virtuali replicate.
- Per impostazione predefinita, Site Recovery crea un nuovo gruppo di risorse nell'area di destinazione con un suffisso asr nel nome.
- Se il gruppo di risorse creato da Site Recovery esiste già, verrà riutilizzato.
- È possibile personalizzare le impostazioni del gruppo di risorse.
- La posizione del gruppo di risorse di destinazione può essere qualsiasi area di Azure, ad eccezione dell'area in cui sono ospitate le macchine virtuali di origine.
Nota
È anche possibile creare un nuovo gruppo di risorse di destinazione selezionando Crea nuovo.
In Rete,
Rete virtuale di failover: selezionare la rete virtuale di failover.
Nota
È anche possibile creare una nuova rete virtuale di failover selezionando Crea nuovo.
Subnet di failover: selezionare la subnet di failover.
Archiviazione: selezionare Visualizza/modifica configurazione di archiviazione. Verrà visualizzata la pagina Personalizza impostazioni di destinazione.
- Disco gestito da replica: Site Recovery crea nuovi dischi gestiti da replica nell'area di destinazione per eseguire il mirroring dei dischi gestiti della macchina virtuale di origine con lo stesso tipo di archiviazione (Standard o Premium) del disco gestito della macchina virtuale di origine.
- Archiviazione cache: Site Recovery richiede un account di archiviazione aggiuntivo denominato archiviazione cache nell'area di origine. Tutte le modifiche apportate alle macchine virtuali di origine vengono rilevate e inviate all'account di archiviazione della cache prima di replicarle nel percorso di destinazione.
Opzioni di disponibilità: selezionare l'opzione di disponibilità appropriata per la macchina virtuale nell'area di destinazione. Se esiste già un set di disponibilità creato da Site Recovery, viene riutilizzato. Selezionare Visualizza/modifica opzioni di disponibilità per visualizzare o modificare le opzioni di disponibilità.
Nota
- Durante la configurazione dei set di disponibilità di destinazione, configurare set di disponibilità diversi per macchine virtuali di dimensioni diverse.
- Dopo avere abilitato la replica non è possibile modificare il tipo di disponibilità, ovvero l'istanza singola, il set di disponibilità o la zona di disponibilità. È necessario disabilitare e abilitare la replica per modificare il tipo di disponibilità.
Prenotazione della capacità: la prenotazione della capacità consente di acquistare capacità nell'area di ripristino e quindi di eseguire il failover a tale capacità. È possibile creare un nuovo gruppo di prenotazioni di capacità o usarne uno esistente. Per altre informazioni, vedere funzionamento della prenotazione della capacità. Selezionare Visualizza o Modifica assegnazione gruppo prenotazione capacità per modificare le impostazioni di prenotazione della capacità. Durante l'attivazione del failover, la nuova macchina virtuale verrà creata nel gruppo di prenotazioni di capacità assegnato.
Impostazioni di crittografia dell'archiviazione: Site Recovery richiede che i set di crittografia del disco (DES) vengano usati per i dischi gestiti di replica e di destinazione. È necessario creare in precedenza i set di crittografia dischi nella sottoscrizione di destinazione e nell'area di destinazione prima di abilitare la replica. Per impostazione predefinita, non è selezionato un set di crittografia del disco. È necessario selezionare Visualizza/modifica configurazione per scegliere un set di crittografia dischi per ogni disco di origine.
Nota
Assicurarsi che la des di destinazione sia presente nel gruppo di risorse di destinazione e che l'opzione Des di destinazione disponga dell'accesso Get, Wrap Key, Unwrap Key access to a Key Vault nella stessa area.
Selezionare Avanti.
In Gestisci eseguire le operazioni seguenti:
- In Criteri di replica,
- Criteri di replica: selezionare i criteri di replica. Definisce le impostazioni per la cronologia di conservazione dei punti di ripristino e la frequenza degli snapshot coerenti con l'app. Per impostazione predefinita, Site Recovery crea un nuovo criterio di replica con impostazioni predefinite di 24 ore per la conservazione dei punti di ripristino.
- Gruppo di replica: creare un gruppo di replica per replicare le macchine virtuali insieme per generare punti di ripristino coerenti con più macchine virtuali. Si noti che l'abilitazione della coerenza tra più macchine virtuali può influire sulle prestazioni del carico di lavoro e deve essere usata solo se i computer eseguono lo stesso carico di lavoro ed è necessaria la coerenza tra più computer.
- In Impostazioni estensione,
- Selezionare Aggiorna impostazioni e account di Automazione.
- In Criteri di replica,
Selezionare Avanti.
In Verifica esaminare le impostazioni della macchina virtuale e selezionare Abilita replica.
Nota
Durante la replica iniziale, lo stato potrebbe richiedere del tempo per l'aggiornamento, senza lo stato apparente. Fare clic Aggiorna per visualizzare lo stato più recente.
Domande frequenti
È stata abilitata la chiave gestita dal cliente in un elemento replicato esistente, come è possibile assicurarsi che la chiave gestita sia applicata anche all'area di destinazione?
È possibile trovare il nome del disco gestito di replica (creato da Azure Site Recovery nell'area di destinazione) e collegare DES a questo disco di replica. Tuttavia, non sarà possibile visualizzare i dettagli des nel pannello Dischi dopo averlo collegato. In alternativa, è possibile scegliere di disabilitare la replica della macchina virtuale e abilitarla di nuovo. Si assicurerà di visualizzare i dettagli des e dell'insieme di credenziali delle chiavi nel pannello Dischi per l'elemento replicato.
È stato aggiunto un nuovo disco abilitato per cmk all'elemento replicato. Come è possibile replicare questo disco con Azure Site Recovery?
È possibile aggiungere un nuovo disco abilitato per cmk a un elemento replicato esistente usando PowerShell. Trovare il frammento di codice per indicazioni:
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
Sono state abilitate sia le chiavi gestite dalla piattaforma che dalle chiavi gestite dal cliente, come è possibile proteggere i dischi?
L'abilitazione della doppia crittografia con la piattaforma e le chiavi gestite dal cliente è supportata da Site Recovery. Seguire le istruzioni riportate in questo articolo per proteggere il computer. È necessario creare in anticipo una doppia crittografia DES abilitata nell'area di destinazione. Al momento dell'abilitazione della replica per una macchina virtuale di questo tipo, è possibile fornire questa des des a Site Recovery.
Passaggi successivi
- Altre informazioni sull'esecuzione di un failover di test.