カスタマー マネージド キー (CMK) 対応ディスクを含むコンピューターをレプリケートする

  • [アーティクル]

この記事では、カスタマー マネージド キー (CMK) 対応マネージド ディスクを含む Azure VM をある Azure リージョンから別の Azure リージョンにレプリケートする方法について説明します。

前提条件

CMK 対応マネージド ディスクを含む仮想マシンのレプリケーションを有効にする前に、ターゲット サブスクリプションのターゲット リージョン内にディスク暗号化セットを作成する必要があります。

レプリケーションを有効にする

カスタマー マネージド キー (CMK) 対応ディスクを含むマシンをレプリケートするには、次の手順を使用します。 たとえば、プライマリ Azure リージョンが東アジア、セカンダリ リージョンが東南アジアです。

  1. コンテナーの [Site Recovery] ページで、[Azure 仮想マシン][レプリケーションを有効にする] を選択します。

  2. [レプリケーションを有効にする] ページの [ソース] で、次の操作を行います。

    • リージョン: VM を保護する Azure リージョンを選択します。 たとえば、ソースの場所は東アジアです。

    • [サブスクリプション]: ソース VM が属しているサブスクリプションを選択します。 これは、Recovery Services コンテナーが存在する同じ Microsoft Entra テナント内のどのサブスクリプションでもかまいません。

    • [リソース グループ]: ソース仮想マシンが属しているリソース グループを選択します。 選択したリソース グループ内のすべての VM が、次の手順で保護対象として表示されます。

    • 仮想マシンデプロイ モデル: ソース マシンの Azure デプロイ モデルを選択します。

    • [可用性ゾーン間のディザスター リカバリーを行いますか?]: 仮想マシンでゾーン ディザスター リカバリーを実行する場合は [はい] を選択します。

      レプリケーションを構成するために必要なフィールドが強調表示されているスクリーンショット。

  3. [次へ] を選択します。

  4. [仮想マシン] で、レプリケートする各 VM を選択します。 選択できるのは、レプリケーションを有効にできるマシンのみです。 最大 10 台の VM を選択できます。 次に、[次へ] を選択します。

    仮想マシンを選択する場所が強調表示されているスクリーンショット。

  5. [レプリケーションの設定] では、次の設定を構成できます。

    1. [場所およびリソース グループ] 以下は次のとおりです。

      • [ターゲットの場所]: ソース仮想マシンのデータがレプリケートされる場所を選択します。 選択したマシンの場所に応じて、適切なターゲット リージョンの一覧が表示されます。 ターゲットの場所は、Recovery Services コンテナーと同じ場所にすることをお勧めします。

      • [ターゲット サブスクリプション]: ディザスター リカバリーに使用されるターゲット サブスクリプションを選択します。 既定では、ターゲット サブスクリプションはソース サブスクリプションと同じになります。

      • [ターゲット リソース グループ]: レプリケートされたすべての仮想マシンが属するリソース グループを選択します。

        • 既定では、名前に asr というサフィックスが付いた新しいリソース グループが、Site Recovery によってターゲット リージョンに作成されます。
        • Site Recovery によって作成されたリソース グループが既に存在する場合は、それが再利用されます。
        • リソース グループ設定はカスタマイズできます。
        • ターゲット リソース グループの場所は、ソース VM がホストされているリージョンを除き、どの Azure リージョンでもかまいません。

        Note

        [新規作成] を選択して、新しいターゲット リソース グループを作成することもできます。

        場所とリソース グループのスクリーンショット。

    2. [ネットワーク] 以下は次のとおりです。

      • フェールオーバー仮想ネットワーク: フェールオーバー仮想ネットワークを選択します。

        Note

        [新規作成] を選択して、新しいフェールオーバー仮想ネットワークを作成することもできます。

      • フェールオーバー サブネット: フェールオーバー サブネットを選択します。

        ネットワークのスクリーンショット。

    3. [ストレージ]: [View/edit storage configuration] (ストレージ構成の表示/編集) を選択します。 [ターゲットの設定のカスタマイズ] ページが表示されます。

      ストレージのスクリーンショット。

      • レプリカ マネージド ディスク: Site Recovery によってターゲット リージョンに新しいレプリカ マネージド ディスクが作成され、ソース VM のマネージド ディスクと同じストレージ タイプ (Standard または Premium) でソース VM のマネージド ディスクがミラーリングされます。
      • [キャッシュ ストレージ]: Site Recovery では、キャッシュ ストレージと呼ばれる追加のストレージ アカウントがソース リージョンに必要です。 ソース VM で行われる変更はすべて追跡され、キャッシュ ストレージ アカウントに送信されてから、ターゲットの場所にレプリケートされます。

    4. 可用性オプション: ターゲット リージョンの VM に適した可用性オプションを選択します。 Site Recovery によって作成された可用性セットが既に存在する場合は、それが再利用されます。 [可用性オプションの表示/編集] を選択して、可用性オプションを表示または編集します。

      Note

      • ターゲット可用性セットを構成しているときに、サイズの異なる VM 用に別の可用性セットを構成してください。
      • レプリケーションを有効にした後は、可用性の種類 (単一インスタンス、可用性セット、または可用性ゾーン) を変更できません。 可用性の種類を変更するには、レプリケーションを無効にし、有効にする必要があります。

      可用性オプションのスクリーンショット。

    5. [容量予約]: 容量予約を使用すると、復旧リージョン内で容量を購入した後で、その容量にフェールオーバーできます。 新しい容量予約グループを作成すること、または既存のものを使用することのいずれかが可能です。 詳しくは、容量予約のしくみに関する記事をご覧ください。 容量予約の設定を変更するには、[View or Edit Capacity Reservation group assignment] (容量予約グループの割り当ての表示または編集) を選びます。 フェールオーバーのトリガー時には、割り当てられた容量予約グループ内に新しい VM が作成されます。

      容量予約のスクリーンショット。

    6. ストレージの暗号化設定: Site Recovery では、レプリカ マネージド ディスクやターゲット マネージド ディスクにディスク暗号化セット (DES) を使用する必要があります。 レプリケーションを有効にする前に、ターゲット サブスクリプションとターゲット リージョン内にディスク暗号化セットを事前に作成しておく必要があります。 既定では、ディスク暗号化セットは選択されていません。 ソース ディスクごとにディスク暗号化セットを選択するには、[構成の表示または編集] を選択する必要があります。

      Note

      ターゲット DES がターゲット リソース グループに存在すること、およびターゲット DES が同じリージョン内の Key Vault に対し、取得、キーの折り返し、キーの折り返しの解除のアクセス権を持っていることを確認します。

      ストレージの暗号化設定のスクリーンショット。

  6. [次へ] を選択します。

  7. [管理] で、次の操作を行います。

    1. [レプリケーション ポリシー] 以下は次のとおりです。
      • [レプリケーション ポリシー]: レプリケーション ポリシーを選択します。 復旧ポイントのリテンション履歴と、アプリ整合性スナップショットの頻度の設定を定義します。 既定では、既定の設定として復旧ポイントのリテンション期間を 24 時間とした新しいレプリケーション ポリシーが Site Recovery によって作成されます。
      • レプリケーション グループ: マルチ VM 整合性復旧ポイントを生成するために VM をまとめてレプリケートするレプリケーション グループを作成します。 マルチ VM 整合性を有効にすると、ワークロードのパフォーマンスに影響を及ぼす可能性があるので、複数のマシンが同じワークロードを実行しており、複数のマシン間の整合性が必要な場合にのみ使用します。
    2. [拡張機能の設定] 以下は次のとおりです。
      • [設定の更新][Automation アカウント] を選択します。

    [管理] タブを表示するスクリーンショット。

  8. [次へ] を選択します

  9. [レビュー] で、VM の設定を確認し、[レプリケーションを有効にする] を選択します。

    [レビュー] タブを表示するスクリーンショット。

Note

初期レプリケーションの間は、状態の更新に少し時間がかかり、処理が進行していないように見える場合があります。 [更新] をクリックして、最新の状態を取得します。

FAQ

  • 既存のレプリケートされたアイテムで CMK を有効にしました。CMK がターゲット リージョンにも適用されるようにするにはどうすればよいですか?

    (Azure Site Recovery によってターゲット リージョン内に作成された) レプリカ マネージド ディスクの名前を見つけ、このレプリカ ディスクに DES をアタッチすることができます。 ただし、アタッチすると、[ディスク] ブレードで DES の詳細を確認することはできなくなります。 あるいは、VM のレプリケーションを無効にしてから、再度有効にすることも選択できます。 これにより、レプリケートされたアイテムの [ディスク] ブレードで DES とキー コンテナーの詳細を確認できるようになります。

  • レプリケートされたアイテムに新しい CMK 対応ディスクを追加しました。 Azure Site Recovery でこのディスクをレプリケートするにはどうすればよいですか?

    PowerShellを使用して、既存のレプリケートされたアイテムへの新しい CMK 対応ディスクを追加できます。 ガイダンスのコード スニペットを見つけます:

    #set vaultname and resource group name for the vault.
$vaultname="RSVNAME"
$vaultrgname="RSVRGNAME"

#set VMName
$VMName = "VMNAME"

#get the vault object
$vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname

#set job context to this vault
$vault | Set-AzRecoveryServicesAsrVaultContext

=============

#set resource id of disk encryption set
$diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"

#set resource id of cache storage account
$primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"

#set resource id of recovery resource group
$RecoveryResourceGroup = "RESOURCEIDOFRG"

#set resource id of disk to be replicated
$dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"

#setdiskconfig
$diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
          -ManagedDisk `
          -DiskId $dataDisk `
          -LogStorageAccountId $primaryStorageAccount `
          -RecoveryResourceGroupId $RecoveryResourceGroup `
          -RecoveryReplicaDiskAccountType Standard_LRS `
          -RecoveryTargetDiskAccountType Standard_LRS `
          -RecoveryDiskEncryptionSetId $diskencryptionset


#get fabric object from the source region.
$fabric = Get-AzRecoveryServicesAsrFabric
#use to fabric name to get the container.
$primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]

#get the context of the protected item
$protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject

#initiate enable replication using below command
$protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig

  • プラットフォーム キーとカスタマー マネージド キーの両方を有効にした場合、どのようにしてディスクを保護できますか?

    Site Recovery では、プラットフォーム キーとカスタマー マネージド キーの両方を使用した二重暗号化の有効化がサポートされています。 コンピューターを保護するには、この記事の手順に従ってください。 二重暗号化を有効にした DES を、ターゲット リージョンに事前に作成しておく必要があります。 このような VM のレプリケーションを有効にするときに、この DES を Site Recovery に渡すことができます。

次のステップ

  • テスト フェールオーバーの実行に関する詳細を確認する。