Spostare macchine virtuali di Azure crittografate tra aree

Azure Resource Mover consente di spostare le risorse di Azure tra aree di Azure. Questo articolo illustra come spostare macchine virtuali di Azure crittografate in un'area di Azure diversa usando Azure Resource Mover.

Le macchine virtuali crittografate possono essere descritte come:

In questa esercitazione verranno illustrate le procedure per:

  • Spostare macchine virtuali di Azure crittografate e le relative risorse dipendenti in un'altra area di Azure.

Nota

Le esercitazioni illustrano il percorso più rapido per provare uno scenario e, laddove possibile, prevedono l'uso delle opzioni predefinite.

Accedere ad Azure

Se non si dispone di una sottoscrizione di Azure, creare un account gratuito prima di iniziare e accedere alla portale di Azure.

Prerequisiti

Prima di iniziare, verificare quanto segue:

Requisito Dettagli
Autorizzazioni di sottoscrizione Assicurarsi di avere accesso proprietario nella sottoscrizione che contiene le risorse da spostare.

Perché è necessario accedere al proprietario? La prima volta che si aggiunge una risorsa per una coppia di origine e destinazione specifica in una sottoscrizione di Azure, Resource Mover crea un'identità gestita assegnata dal sistema, in precedenza nota come identità del servizio gestito. Questa identità è attendibile dalla sottoscrizione. Prima di poter creare l'identità e assegnarla ai ruoli necessari (collaboratore e amministratore dell'accesso utente nella sottoscrizione di origine), l'account usato per aggiungere risorse richiede le autorizzazioni proprietario nella sottoscrizione. Per altre informazioni, vedere Ruoli di amministratore sottoscrizione classico, ruoli di Azure e ruoli di Azure AD.
Supporto per macchine virtuali Assicurarsi che le macchine virtuali da spostare siano supportate eseguendo le operazioni seguenti:
  • Verificare le macchine virtuali Windows supportate.
  • Verificare le macchine virtuali Linux e le versioni del kernel supportate.
  • Controllare le impostazioni di calcolo, archiviazione e rete supportate.
  • Requisiti dell'insieme di credenziali delle chiavi (Crittografia dischi di Azure) Se è abilitata crittografia dischi di Azure per le macchine virtuali, è necessario un insieme di credenziali delle chiavi nelle aree di origine e di destinazione. Per altre informazioni, vedere Creare un insieme di credenziali delle chiavi.

    Per gli insiemi di credenziali delle chiavi nelle aree di origine e di destinazione, sono necessarie queste autorizzazioni:
  • Autorizzazioni chiave: operazioni di gestione delle chiavi (get, elenco) e operazioni crittografiche (decrittografa e crittografia)
  • Autorizzazioni segrete: Operazioni di gestione dei segreti (Get, List e Set)
  • Certificato (elenco e get)
  • Set di crittografia dischi (crittografia lato server con CMK) Se si usano macchine virtuali con crittografia lato server che usa un CMK, è necessario un set di crittografia del disco nelle aree di origine e di destinazione. Per altre informazioni, vedere Creare un set di crittografia del disco.

    Lo spostamento tra aree non è supportato se si usa un modulo di sicurezza hardware (chiavi HSM) per le chiavi gestite dal cliente.
    Quota area di destinazione La quota disponibile nella sottoscrizione deve essere sufficiente per creare le risorse che si intende spostare nell'area di destinazione. Se non ha una quota, richiedere limiti aggiuntivi.
    Addebiti per l'area di destinazione Verificare i prezzi e gli addebiti associati all'area di destinazione in cui si spostano le macchine virtuali. Usare il calcolatore dei prezzi.

    Verificare le autorizzazioni nell'insieme di credenziali delle chiavi

    Se si spostano macchine virtuali con Crittografia dischi di Azure abilitata, è necessario eseguire uno script. Gli utenti che eseguono lo script devono disporre delle autorizzazioni appropriate a tale scopo. Per comprendere quali autorizzazioni sono necessarie, vedere la tabella seguente. Sono disponibili le opzioni per modificare le autorizzazioni passando all'insieme di credenziali delle chiavi nel portale di Azure. In Impostazioni selezionare Criteri di accesso.

    Screenshot del collegamento

    Se le autorizzazioni utente non sono presenti, selezionare Aggiungi criteri di accesso e specificare le autorizzazioni. Se l'account utente ha già un criterio, in Utente impostare le autorizzazioni in base alle istruzioni riportate nella tabella seguente.

    Le macchine virtuali di Azure che usano Crittografia dischi di Azure possono avere le varianti seguenti e sarà necessario impostare le autorizzazioni in base ai relativi componenti pertinenti. Le macchine virtuali potrebbero avere:

    Insieme di credenziali delle chiavi dell'area di origine

    Per gli utenti che eseguono lo script, impostare le autorizzazioni per i componenti seguenti:

    Componente Autorizzazioni necessarie
    Segreti Recupero

    SelezionareAutorizzazioni segrete Operazioni di gestione deisegreti> e selezionare Recupera.
    Chiavi

    Se si usa un KEK, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.
    Ottenere e decrittografare

    Selezionare Operazionidi gestione delle chiavidelle autorizzazioni> chiave e selezionare Recupera. In Operazioni crittografiche selezionare Decrittografa.

    Insieme di credenziali delle chiavi dell'area di destinazione

    Nella scheda Criteri di accesso assicurarsi che Crittografia dischi di Azure per la crittografia dei volumi sia abilitata.

    Per gli utenti che eseguono lo script, impostare le autorizzazioni per i componenti seguenti:

    Componente Autorizzazioni necessarie
    Segreti Set

    SelezionareAutorizzazioni segrete Operazioni di gestione deisegreti> e selezionare Imposta.
    Chiavi

    Se si usa un KEK, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.
    Ottenere, creare e crittografare

    Selezionare Operazioni digestione delle chiavidelle autorizzazioni> chiave e selezionare Recupera e Crea. In Operazioni crittografiche selezionare Crittografa.

    Oltre alle autorizzazioni precedenti, nell'insieme di credenziali delle chiavi di destinazione, è necessario aggiungere le autorizzazioni per l'identità del sistema gestito usata da Resource Mover per accedere alle risorse di Azure per conto dell'utente.

    Aggiungere autorizzazioni all'identità del sistema gestito

    Per aggiungere autorizzazioni per l'identità del sistema gestito, seguire questa procedura:

    1. In Impostazioni selezionare Aggiungi criteri di accesso.

    2. In Selezionare l'entità cercare l'identità del servizio gestito. Il nome del servizio gestito è movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Per l'identità del servizio gestito, aggiungere le autorizzazioni seguenti:

      Componente Autorizzazioni necessarie
      Segreti Ottenere e elencare

      SelezionareAutorizzazioni segrete Operazioni di gestione deisegreti> e selezionare Recupera ed elenco.
      Chiavi

      Se si usa un KEK, è necessario disporre di queste autorizzazioni oltre alle autorizzazioni per i segreti.
      Ottenere e elencare

      Selezionare Operazionidi gestione delle chiavidelle autorizzazioni> chiave e selezionare Recupera ed elenco.

    Copiare le chiavi nell'insieme di credenziali delle chiavi di destinazione

    Copiare i segreti e le chiavi di crittografia dall'insieme di credenziali delle chiavi di origine all'insieme di credenziali delle chiavi di destinazione usando lo script specificato.

    Per copiare le chiavi dall'insieme di credenziali delle chiavi di origine nell'insieme di credenziali delle chiavi di destinazione, seguire questa procedura:

    • Eseguire lo script in PowerShell. È consigliabile usare la versione più recente di PowerShell.
    • In particolare, lo script richiede questi moduli:
      • Az.Compute
      • Az.KeyVault (versione 3.0.0)
      • Az.Accounts (versione 2.2.3)

    Per eseguire lo script, eseguire queste operazioni:

    1. Aprire lo script in GitHub.

    2. Copiare il contenuto dello script in un file locale e denominarlo Copy-keys.ps1.

    3. Eseguire lo script.

    4. Accedere al portale di Azure.

    5. Nella finestra Input utente selezionare la sottoscrizione di origine, il gruppo di risorse, la macchina virtuale di origine, il percorso di destinazione e gli insiemi di credenziali di destinazione per la crittografia della chiave e del disco.

      Screenshot della finestra

    6. Usare il pulsante Seleziona per eseguire lo script.

      Al termine dell'esecuzione dello script, viene visualizzato un messaggio che informa che CopyKeys ha avuto esito positivo.

    Preparare le macchine virtuali

    Per preparare le macchine virtuali per lo spostamento, seguire questa procedura:

    1. Dopo aver controllato per assicurarsi che le macchine virtuali soddisfino i prerequisiti, assicurarsi che le macchine virtuali da spostare siano attivate. Tutti i dischi della macchina virtuale che si desidera essere disponibili nell'area di destinazione devono essere collegati e inizializzati nella macchina virtuale.
    2. Per assicurarsi che le macchine virtuali dispongano dei certificati radice attendibili più recenti e di un elenco di revoche di certificati aggiornato (CRL), eseguire le operazioni seguenti:
      • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
      • Nelle macchine virtuali Linux seguire le indicazioni sul server di distribuzione in modo che i computer abbiano i certificati più recenti e CRL.
    3. Per consentire la connettività in uscita dalle macchine virtuali, eseguire una delle operazioni seguenti:

    Selezionare le risorse da spostare

    È possibile selezionare qualsiasi tipo di risorsa supportato in uno dei gruppi di risorse nell'area di origine selezionata. È possibile spostare le risorse in un'area di destinazione nella stessa sottoscrizione dell'area di origine. Se si vuole modificare la sottoscrizione, è possibile eseguire questa operazione dopo lo spostamento delle risorse.

    Per selezionare le risorse, eseguire le operazioni seguenti:

    1. Nella portale di Azure cercare lo spostamento delle risorse. In Servizi selezionare Azure Resource Mover.

      Screenshot dei risultati della ricerca per Azure Resource Mover nella portale di Azure.

    2. Nel riquadro Panoramica di Spostamento risorse di Azure selezionare Sposta tra aree.

      Screenshot del pulsante

    3. Nella scheda Sposta risorse>e destinazione eseguire le operazioni seguenti:

      1. Selezionare la sottoscrizione e l'area di origine.
      2. In Destinazione selezionare l'area in cui spostare le macchine virtuali, selezionare Avanti.

      Pagina per selezionare l'area di origine e di destinazione.

    4. Nella scheda Risorse da spostare selezionare l'opzione Seleziona risorse per aprire una nuova scheda con l'elenco delle macchine virtuali disponibili.

      Screenshot del riquadro

    5. Nella scheda Seleziona risorse selezionare le macchine virtuali da spostare. Come accennato nella sezione Seleziona le risorse da spostare , è possibile aggiungere solo risorse supportate per uno spostamento.

      Screenshot del riquadro

      Nota

      In questa esercitazione si seleziona una macchina virtuale che usa la crittografia lato server (rayne-vm) con una chiave gestita dal cliente e una macchina virtuale con crittografia del disco abilitata (rayne-vm-ade).

    6. Selezionare Fine.

    7. Selezionare la scheda Risorse per spostare e selezionare Avanti.

    8. Selezionare la scheda Rivedi e controllare le impostazioni di origine e destinazione.

      Screenshot del riquadro per esaminare le impostazioni di origine e destinazione.

    9. Selezionare Continua per iniziare ad aggiungere le risorse.

    10. Selezionare l'icona notifiche per tenere traccia dello stato di avanzamento. Al termine del processo, nel riquadro Notifiche selezionare Aggiungi risorse per lo spostamento.

      Screenshot del riquadro

    11. Dopo aver selezionato la notifica, esaminare le risorse nella pagina Tra aree .

      Screenshot delle risorse aggiunte con stato

    Nota

    • Le risorse aggiunte vengono inserite in uno stato Di preparazione in sospeso .
    • Il gruppo di risorse per le macchine virtuali viene aggiunto automaticamente.
    • Se si modificano le voci di configurazione destinazione per usare una risorsa già esistente nell'area di destinazione, lo stato della risorsa è impostato su Commit in sospeso, perché non è necessario avviare uno spostamento.
    • Se si vuole rimuovere una risorsa aggiunta, il metodo usato dipende dalla posizione in cui si sta eseguendo il processo di spostamento. Per altre informazioni, vedere Gestire raccolte di spostamento e gruppi di risorse.

    Risolvere gli errori relativi alle risorse di Azure non trovate

    Per risolvere le dipendenze prima dello spostamento, seguire questa procedura:

    1. Se le risorse mostrano un messaggio Convalida dipendenze nella colonna Problemi , selezionare il pulsante Convalida dipendenze .

      Screenshot che mostra il pulsante

      Viene avviato il processo di convalida.

    2. Se vengono trovate dipendenze, selezionare Aggiungi dipendenze.

      Screenshot del pulsante

    3. Nel riquadro Aggiungi dipendenze mantenere l'opzione Mostra tutte le dipendenze predefinite.

      • Visualizzare tutte le dipendenze che esegue l'iterazione di tutte le dipendenze dirette e indirette per una risorsa. Ad esempio, per una macchina virtuale, viene visualizzata la scheda di interfaccia di rete, la rete virtuale, i gruppi di sicurezza di rete e così via.
      • Mostra le dipendenze di primo livello mostra solo dipendenze dirette. Ad esempio, per una macchina virtuale viene visualizzata la scheda di interfaccia di rete, ma non la rete virtuale.
    4. Selezionare le risorse dipendenti da aggiungere e selezionare Aggiungi dipendenze.

      Screenshot dell'elenco delle dipendenze e del pulsante

    5. Convalidare di nuovo le dipendenze.

      Screenshot del riquadro per la riconvalida delle dipendenze.

    Assegnare le risorse di destinazione

    È necessario assegnare manualmente le risorse di destinazione associate alla crittografia.

    Se si sposta una macchina virtuale con Crittografia dischi di Azure abilitata, l'insieme di credenziali delle chiavi nell'area di destinazione viene visualizzato come dipendenza. Se si sta spostando una macchina virtuale con crittografia lato server che usa i SDK, il set di crittografia del disco nell'area di destinazione viene visualizzato come dipendenza.

    Poiché questa esercitazione illustra lo spostamento di una macchina virtuale con Crittografia dischi di Azure abilitata e che usa un cmK, sia l'insieme di credenziali delle chiavi di destinazione che la crittografia del disco configurata vengono visualizzate come dipendenze.

    Per assegnare manualmente le risorse di destinazione, eseguire le operazioni seguenti:

    1. Nella voce set di crittografia dischi selezionare Risorsa non assegnata nella colonna Configurazione destinazione .

    2. In Impostazioni di configurazione selezionare il set di crittografia del disco di destinazione e selezionare Salva modifiche.

    3. È possibile salvare e convalidare le dipendenze per la risorsa che si sta modificando oppure è possibile salvare solo le modifiche e convalidare tutto ciò che si modifica contemporaneamente.

      Screenshot del riquadro

      Dopo aver aggiunto la risorsa di destinazione, lo stato del set di crittografia del disco viene modificato in Commit spostamento in sospeso.

    4. Nella voce dell'insieme di credenziali delle chiavi selezionare Risorsa non assegnata nella colonna Configurazione destinazione . In Impostazioni di configurazione selezionare l'insieme di credenziali delle chiavi di destinazione e salvare le modifiche.

    In questa fase, lo stato del set di crittografia del disco e dell'insieme di credenziali delle chiavi viene modificato in Commit spostamento in sospeso.

    Screenshot del riquadro per la preparazione di altre risorse.

    Per eseguire il commit e completare il processo di spostamento per le risorse di crittografia, eseguire le operazioni seguenti:

    1. In Tra aree selezionare la risorsa (set di crittografia dischi o insieme di credenziali delle chiavi) e selezionare Commit move (Commit move).
    2. In Sposta risorse selezionare Commit.

    Nota

    Dopo aver eseguito il commit dello spostamento, lo stato della risorsa cambia in Elimina origine in sospeso.

    Spostare il gruppo di risorse di origine

    Prima di poter preparare e spostare le macchine virtuali, il gruppo di risorse delle macchine virtuali deve essere presente nell'area di destinazione.

    Preparare lo spostamento del gruppo di risorse di origine

    Durante il processo di preparazione, Spostamento risorse genera modelli di Azure Resource Manager (ARM) dalle impostazioni del gruppo di risorse. Le risorse all'interno del gruppo di risorse non sono interessate.

    Per preparare lo spostamento del gruppo di risorse di origine, eseguire le operazioni seguenti:

    1. Nella scheda Tra aree selezionare il gruppo di risorse di origine e selezionare Prepara.

      Screenshot del pulsante

    2. In Preparare le risorse selezionare Prepara.

    Nota

    Dopo aver preparato lo spostamento, lo stato del gruppo di risorse cambia in Avvia spostamento in sospeso.

    Spostare il gruppo di risorse di origine

    Per iniziare a spostare il gruppo di risorse di origine, seguire questa procedura:

    1. Nel riquadro Tra aree selezionare il gruppo di risorse e selezionare Avvia spostamento.

      Screenshot del pulsante

    2. Nel riquadro Sposta risorse selezionare Avvia spostamento. Lo stato del gruppo di risorse cambia in Avvia spostamento in corso.

    3. Dopo aver avviato lo spostamento, viene creato il gruppo di risorse di destinazione, in base al modello di Resource Manager generato. Lo stato del gruppo di risorse di origine cambia in Commit spostamento in sospeso.

      Screenshot del riquadro

    Per eseguire il commit dello spostamento e completare il processo, eseguire le operazioni seguenti:

    1. Nel riquadro Tra aree selezionare il gruppo di risorse e selezionare Commit move (Esegui commit spostamento).
    2. Nel riquadro Sposta risorse selezionare Commit.

    Nota

    Dopo aver eseguito il commit dello spostamento, lo stato del gruppo di risorse di origine cambia in Elimina origine in sospeso. Screenshot del gruppo di risorse di origine che mostra lo stato modificato in 'Elimina origine in sospeso'.

    Preparare le risorse da spostare

    Ora che le risorse di crittografia e il gruppo di risorse di origine vengono spostate, è possibile preparare lo spostamento di altre risorse il cui stato corrente è Preparazione in sospeso.

    1. Nel riquadro Tra aree convalidare nuovamente lo spostamento e risolvere eventuali problemi.

    2. Per modificare le impostazioni di destinazione prima di iniziare lo spostamento, selezionare il collegamento nella colonna Configurazione destinazione per la risorsa e modificare le impostazioni. Se si modificano le impostazioni della macchina virtuale di destinazione, le dimensioni della macchina virtuale di destinazione non devono essere inferiori a quelle della macchina virtuale di origine.

    3. Per le risorse con stato Prepara in sospeso da spostare, selezionare Prepara.

    4. Nel riquadro Preparare le risorse selezionare Prepara.

      • Durante la preparazione, l'agente di mobilità di Azure Site Recovery viene installato nelle macchine virtuali per replicarli.
      • I dati della macchina virtuale vengono replicati periodicamente nell'area di destinazione. Tale operazione non ha effetto sulla macchina virtuale di origine.
      • Spostamento risorse genera modelli di Resource Manager per le altre risorse di origine.

    Nota

    Dopo aver preparato le risorse, lo stato cambia in Avvia spostamento in sospeso. Screenshot del riquadro

    Avviare lo spostamento

    Dopo aver preparato le risorse preparate, è possibile avviare lo spostamento.

    1. Nel riquadro Tra aree selezionare le risorse il cui stato è Avvia spostamento in sospeso e selezionare Avvia spostamento.

    2. Nel riquadro Sposta risorse selezionare Avvia spostamento.

    3. Tenere traccia dello stato di avanzamento dello spostamento nella barra delle notifiche.

      • Nel caso delle macchine virtuali vengono create macchine virtuali di replica nell'area di destinazione. La macchina virtuale di origine viene arrestata e rimane inattiva per qualche minuto.
      • Resource Mover ricrea altre risorse usando i modelli di Resource Manager preparati. Questa operazione non comporta in genere tempi di inattività.
      • Dopo aver spostato le risorse, lo stato cambia in Commit move pending (Esegui commit dello spostamento in sospeso).

      Screenshot di un elenco di risorse con stato

    Rimuovere o eseguire il commit dello spostamento

    Dopo lo spostamento iniziale, è possibile decidere se eseguire il commit dello spostamento o eliminarlo.

    • Ignora: è possibile rimuovere uno spostamento se si esegue il test e non si vuole effettivamente spostare la risorsa di origine. L'eliminazione dello spostamento restituisce la risorsa per avviare lo spostamento in sospeso .
    • Commit: il commit consente di completare lo spostamento nell'area di destinazione. Dopo aver eseguito il commit di una risorsa di origine, lo stato cambia in Elimina origine in sospeso ed è possibile decidere se eliminarla.

    Rimuovere lo spostamento

    Per rimuovere lo spostamento, eseguire le operazioni seguenti:

    1. Nel riquadro Tra aree selezionare le risorse con stato Commit spostamento in sospeso e selezionare Rimuovi spostamento.
    2. Nel riquadro Rimuovi spostamento selezionare Ignora.
    3. Tenere traccia dello stato di avanzamento dello spostamento nella barra delle notifiche.

    Nota

    Dopo aver rimosso le risorse, lo stato della macchina virtuale cambia in Avvia spostamento in sospeso.

    Eseguire il commit dello spostamento

    Per completare il processo di spostamento, eseguire il commit dello spostamento eseguendo le operazioni seguenti:

    1. Nel riquadro Tra aree selezionare le risorse il cui stato è Commit move pending (Esegui commit spostamento in sospeso) e selezionare Commit move (Esegui commit spostamento).

    2. Nel riquadro Commit resources (Commit resources ) selezionare Commit (Commit).

      Screenshot di un elenco di risorse per il commit delle risorse per finalizzare lo spostamento.

    3. Tenere traccia dello stato di avanzamento del commit nella barra delle notifiche.

    Nota

    • Dopo aver eseguito il commit dello spostamento, le macchine virtuali arrestano la replica. La macchina virtuale di origine non è interessata dal commit.
    • Il processo di commit non influisce sulle risorse di rete di origine.
    • Dopo aver eseguito il commit dello spostamento, lo stato della risorsa cambia in Elimina origine in sospeso.

    Configurare le impostazioni dopo lo spostamento

    È possibile configurare le impostazioni seguenti dopo il processo di spostamento:

    • Il servizio Mobility non viene disinstallato automaticamente dalle macchine virtuali. Disinstallarlo manualmente oppure lasciarlo installato se si prevede di spostare nuovamente il server.
    • Modificare le regole di controllo degli accessi in base al ruolo di Azure dopo lo spostamento.

    Eliminare le risorse di origine dopo il commit

    Facoltativamente, dopo lo spostamento è possibile eliminare le risorse nell'area di origine.

    1. Nel riquadro Tra aree selezionare ogni risorsa di origine da eliminare e selezionare Elimina origine.
    2. In Elimina origine esaminare gli elementi che si intende eliminare e, in Conferma eliminazione, digitare .

      Attenzione

      L'azione è irreversibile, quindi controllare attentamente!

    3. Dopo aver digitato , selezionare Elimina origine.

    Nota

    Nel portale di spostamento risorse non è possibile eliminare gruppi di risorse, insiemi di credenziali delle chiavi o istanze di SQL Server. È necessario eliminarli singolarmente dalla pagina delle proprietà per ogni risorsa.

    Eliminare le risorse create per lo spostamento

    Dopo lo spostamento, è possibile eliminare manualmente la raccolta di spostamento e Site Recovery risorse create durante questo processo.

    • La raccolta di spostamento è nascosta per impostazione predefinita. Per verificarlo, è necessario attivare le risorse nascoste.
    • L'archiviazione della cache ha un blocco che deve essere eliminato prima che possa essere eliminato.

    Per eliminare le risorse, eseguire le operazioni seguenti:

    1. Individuare le risorse nel gruppo RegionMoveRG-<sourceregion>-<target-region>di risorse .

    2. Verificare che tutte le macchine virtuali e altre risorse di origine nell'area di origine siano state spostate o eliminate. Questo passaggio garantisce che non vengano usate risorse in sospeso.

    3. Eliminare le risorse seguenti:

      • Spostare il nome della raccolta: movecollection-<sourceregion>-<target-region>
      • Nome dell'account di archiviazione della cache: resmovecache<guid>
      • Nome dell'insieme di credenziali: ResourceMove-<sourceregion>-<target-region>-GUID

    Passaggi successivi

    Altre informazioni sullo spostamento di Azure SQL database e pool elastici in un'altra area.