다른 Azure 지역으로 Azure Disk Encryption 사용 가능 가상 머신 복제

이 문서에서는 Azure ADE(디스크 암호화)를 사용하도록 설정한 Azure VM을 한 Azure 지역에서 다른 지역으로 복제하는 방법을 설명합니다.

참고 항목

현재 Site Recovery는 Windows 운영 체제를 실행하는 VM에 대해 Microsoft Entra ID 유무에 관계없이 ADE를 지원합니다. Linux 운영 체제의 경우 Microsoft Entra ID가 없는 ADE만 지원합니다. 또한 Microsoft Entra ID 없이 ADE 1.1을 실행하는 머신의 경우 VM은 관리 디스크를 사용해야 합니다. 비관리 디스크가 있는 VM은 지원되지 않습니다. ADE 0.1(Microsoft Entra ID 포함)에서 1.1로 전환하는 경우에는 1.1을 사용하도록 설정한 후 복제를 비활성화하고 VM에 대한 복제를 활성화해야 합니다.

필요한 사용자 권한

Site Recovery를 사용하려면 대상 지역에 키 자격 증명 모음을 만들고 소스 지역 키 자격 증명 모음에서 대상 지역 키 자격 증명 모음으로 키를 복사할 수 있는 권한이 사용자에게 있어야 합니다.

Azure Portal에서 디스크 암호화를 사용하는 VM의 복제를 사용하도록 설정하려면 사용자에게 원본 지역과 대상 지역 키 자격 증명 모음에 대한 다음 권한이 있어야 합니다.

• 키 자격 증명 모음 권한

  • 나열, 만들기 및 가져오기

• 키 자격 증명 모음 비밀 권한

  • 비밀 관리 작업
    • 가져오기, 나열 및 설정

• 키 자격 증명 모음 키 권한(VM이 키 암호화 키를 사용하여 Disk Encryption 키를 암호화하는 경우에만 필요함)

  • 키 관리 작업
    • 가져오기, 나열 및 만들기
  • 암호화 작업
    • 암호 해독 및 암호화

권한을 관리하려면 포털의 키 자격 증명 모음 리소스로 이동합니다. 사용자에게 필요한 권한을 추가합니다. 다음 예에서는 원본 영역에 있는 키 자격 증명 모음 ContosoWeb2Keyvault에 대한 권한을 설정하는 방법을 보여 줍니다.

1. 홈>Keyvaults>ContosoWeb2KeyVault > 액세스 정책으로 이동합니다.

   

2. 사용자 권한이 없다고 표시될 수 있습니다. 새로 추가를 선택합니다. 사용자 및 권한 정보를 입력합니다.

   

DR(재해 복구)을 사용하도록 설정하는 사용자에게 키를 복사할 권한이 없는 경우 적절한 권한이 있는 보안 관리자는 다음 스크립트를 사용하여 암호화 비밀과 키를 대상 지역에 복사할 수 있습니다.

권한 문제를 해결하려면 이 문서의 뒷부분에 있는 키 자격 증명 모음 권한 문제를 참조하세요.

참고 항목

포털에서 디스크 암호화를 사용하는 VM의 복제를 사용하도록 설정하려면 키 자격 증명 모음, 비밀 및 키에 대한 "목록"권한 이상이 필요합니다.

PowerShell 스크립트를 사용하여 DR 지역에 디스크 암호화 키 복사

1. "CopyKeys" 원시 스크립트 코드를 엽니다.

2. 파일에 스크립트를 복사하고 파일 이름을 Copy-keys.ps1로 지정합니다.

3. Windows PowerShell 애플리케이션을 열고 파일을 저장한 폴더로 이동합니다.

4. Copy-keys.ps1을 실행합니다.

5. Azure 자격 증명을 제공하여 로그인합니다.

6. VM의 Azure 구독을 선택합니다.

7. 리소스 그룹이 로드될 때까지 기다렸다가 VM의 리소스 그룹을 선택합니다.

8. 표시된 목록에서 VM을 선택합니다. 디스크 암호화에 대해 사용하도록 설정된 VM만 목록에 있습니다.

9. 대상 위치를 선택합니다.

   • 디스크 암호화 키 자격 증명 모음
   • 키 암호화 키 자격 증명 모음

   기본적으로 Site Recovery는 대상 지역에 새 Key Vault를 만듭니다. 자격 증명 모음의 이름은 "asr" 접미사를 포함하며, 원본 VM 디스크 암호화 키를 기반으로 합니다. Site Recovery에서 만든 키 자격 증명 모음이 이미 있는 경우 다시 사용됩니다. 필요한 경우 목록에서 다른 키 자격 증명 모음을 선택합니다.

복제 사용

다음 절차에 따라 Azure Disk Encryption 지원 VM을 다른 Azure 지역에 복제합니다. 예를 들어 주 Azure 지역은 동아시아이고 보조 지역은 동남 아시아입니다.

1. 자격 증명 모음 >Site Recovery 페이지의 Azure 가상 머신에서 복제 사용을 선택합니다.

2. 복제 사용 페이지의 원본에서 다음을 수행합니다.

   • 지역: 가상 머신을 보호할 Azure 지역을 선 택합니다. 예를 들어 원본 위치는 동아시아입니다.
   • 구독: 원본 가상 머신이 속한 구독을 선택합니다. 복구 서비스 자격 증명 모음과 동일한 Microsoft Entra 테넌트에 있는 모든 구독일 수 있습니다.
   • 리소스 그룹: 원본 가상 머신이 속해 있는 리소스 그룹을 선택합니다. 선택한 리소스 그룹의 모든 VM은 다음 단계에서 보호를 위해 나열됩니다.
   • 가상 머신 배포 모델: 원본 머신의 Azure 배포 모델을 선택합니다.
   • 가용성 영역 간 재해 복구: 가상 머신에서 영역별 재해 복구를 수행하려면 예를 선택합니다.

   

3. 다음을 선택합니다.

4. 가상 머신 선택에서 복제하려는 각 VM을 선택합니다. 복제를 활성화할 수 있는 컴퓨터만 선택할 수 있습니다. 최대 10개의 VM을 선택할 수 있습니다. 그런 후에 다음을 선택합니다.

   

5. 복제 설정에서 다음 설정을 구성할 수 있습니다.

   1. 위치 및 리소스 그룹에서 다음을 수행합니다.

      • 대상 위치: 원본 가상 머신 데이터를 복제해야 하는 위치를 선택합니다. 선택한 머신 위치에 따라 Site Recovery에서 적합한 대상 지역 목록을 제공합니다. 대상 위치를 Recovery Services 자격 증명 모음 위치와 동일하게 유지하는 것이 좋습니다.

      • 대상 구독: 재해 복구에 사용되는 대상 구독을 선택합니다. 기본적으로 대상 구독은 원본 구독과 동일합니다.

      • 대상 리소스 그룹: 모든 복제된 가상 머신이 속한 리소스 그룹을 선택합니다.

        • 기본적으로 Site Recovery는 이름에 asr 접미사를 사용하여 대상 지역에 새 리소스 그룹을 만듭니다.
        • Site Recovery에서 만든 리소스 그룹이 이미 있는 경우 해당 리소스 그룹이 재사용됩니다.
        • 리소스 그룹 설정을 사용자 지정할 수 있습니다.
        • 원본 VM이 호스트되는 지역을 제외한 모든 Azure 지역이 대상 리소스 그룹의 위치가 될 수 있습니다.

        참고 항목

        새로 만들기를 선택하여 새 대상 리소스 그룹을 만들 수도 있습니다.

        

   2. 네트워크에서 다음을 수행합니다.

      • 장애 조치(failover) 가상 네트워크: 장애 조치 가상 네트워크를 선택합니다.

        참고 항목

        새로 만들기를 선택하여 새 장애 조치(failover) 가상 네트워크를 만들 수도 있습니다.

      • 장애 조치(failover) 서브넷: 장애 조치(failover) 서브넷을 선택합니다.

        

   3. 스토리지: 스토리지 구성 보기/편집을 선택합니다. 대상 설정 사용자 지정 페이지가 열립니다.

      

      • 복제본 관리 디스크: Site Recovery는 대상 지역에 새로운 복제본 관리 디스크를 만들어서 원본 VM의 관리 디스크와 동일한 스토리지 유형(표준 또는 프리미엄)을 원본 VM의 관리 디스크로 미러링합니다.
      • 캐시 스토리지: Site Recovery는 원본 지역에 캐시 스토리지로 불리는 추가 스토리지 계정이 필요합니다. 원본 VM에서 발생하는 모든 변경 내용이 대상 위치로 복제되기 전에 추적되고 캐시 스토리지 계정으로 전송됩니다.

   4. 가용성 옵션: 대상 지역의 VM에 적절한 가용성 옵션을 선택합니다. Site Recovery에서 만든 가용성 집합이 이미 있는 경우 다시 사용됩니다. 가용성 옵션 보기/편집을 선택하여 가용성 옵션을 보거나 편집합니다.

      참고 항목

      • 대상 가용성 집합을 구성하는 동안 다양한 크기의 VM에 대해 서로 다른 가용성 집합을 구성하세요.
      • 복제를 사용하도록 설정한 후에는 가용성 유형(단일 인스턴스, 가용성 집합 또는 가용성 영역)을 변경할 수 없습니다. 가용성 유형을 변경하려면 복제를 사용하지 않도록 설정했다가 다시 사용하도록 설정해야 합니다.

      

   5. 용량 예약: 용량 예약을 사용하면 복구 지역에서 용량을 구매한 다음, 해당 용량으로 장애 조치(failover)할 수 있습니다. 새 용량 예약 그룹을 만들거나 기존 용량 예약 그룹을 사용할 수 있습니다. 자세한 내용은 용량 예약 작동 방식을 참조하세요. 용량 예약 설정을 수정하려면 용량 예약 그룹 할당 보기 또는 편집을 선택합니다. 장애 조치(failover)를 트리거할 때 할당된 용량 예약 그룹에 새 VM이 만들어집니다.

      

   6. 암호화 설정: 구성 보기/편집을 선택하여 디스크 암호화 및 키 암호화 Key Vault를 구성합니다.

      • 디스크 암호화 키 자격 증명 모음: 기본적으로 Site Recovery는 대상 지역에 새 키 자격 증명 모음을 만듭니다. 원본 VM 디스크 암호화 키를 기준으로 하는 asr 접미사가 있습니다. Azure Site Recovery에서 만든 키 자격 증명 모음이 이미 있는 경우 다시 사용됩니다.
      • 키 암호화 Key Vault: 기본적으로 Site Recovery는 대상 지역에 새 Key Vault를 만듭니다. 이름은 원본 VM 키 암호화 키를 기준으로 하는 asr 접미사를 포함합니다. Azure Site Recovery에서 만든 키 자격 증명 모음이 이미 있으면 재사용됩니다.

      

6. 다음을 선택합니다.

7. 관리에서 다음을 수행합니다.

   1. 복제 정책에서,
      • 복제 정책: 복제 정책을 선택합니다. 복구 지점 보존 기록 및 앱 일치 스냅샷 빈도에 대한 설정을 정의합니다. 기본적으로 Site Recovery는 복구 지점 보존이 기본 설정 24시간인 새 복제 정책을 만듭니다.
      • 복제 그룹: VM을 함께 복제하여 다중 VM 일치 복구 지점을 생성하는 복제 그룹을 만듭니다. 다중 VM 일관성을 사용하도록 설정하면 워크로드 성능에 영향을 줄 수 있습니다. 따라서 컴퓨터가 동일한 워크로드를 실행하며 여러 컴퓨터에서 일관성을 지켜야 하는 경우에만 다중 VM 일관성을 사용해야 합니다.
   2. 확장 설정에서
      • 설정 업데이트 및 Automation 계정을 선택합니다.

   

8. 다음을 선택합니다.

9. 검토에서 VM 설정을 검토하고 복제 사용을 선택합니다.

   

참고 항목

초기 복제 중에 상태가 새로 고쳐질 때까지 시간이 걸릴 수 있습니다(진행률이 나타나지 않음). 최신 상태를 가져오려면 새로 고침을 클릭합니다.

대상 VM 암호화 설정 업데이트

다음 시나리오에서는 대상 VM 암호화 설정을 업데이트해야 합니다.

• VM에서 Site Recovery 복제를 사용하도록 설정했습니다. 나중에 원본 VM에서 디스크 암호화를 사용하도록 설정했습니다.
• VM에서 Site Recovery 복제를 사용하도록 설정했습니다. 나중에 원본 VM에서 디스크 암호화 키 또는 키 암호화 키를 변경했습니다.

위의 이유로 원본 및 대상 간에 키가 동기화되지 않습니다. 따라서 다음 절차에 따라 키를 복사하여 Azure Site Recovery 메타데이터 스토리지를 대상으로 지정하고 업데이트해야 합니다.

• 포털
• REST API
• PowerShell

Azure Portal에서 대상 VM 암호화 설정 업데이트

VM에서 Site Recovery를 사용하고 나중에 디스크 암호화를 사용하도록 설정한 경우 대상 설정에 키 자격 증명 모음이 없을 수 있습니다. 대상에 새 키 자격 증명 모음을 추가해야 합니다.

키 자격 증명 모음(예: KV1)을 사용하는 경우 대상 설정에서 대상 지역의 다른 키 자격 증명 모음을 사용하여 키를 변경할 수 있습니다. 원래 키 자격 증명 모음 KV1과 다른 기존 키 자격 증명 모음을 선택하거나 새 키 자격 증명 모음을 사용할 수 있습니다. Azure Site Recovery는 현재 위치에서 키를 변경할 수 없으므로 대상 지역에서 다른 키 자격 증명 모음을 사용해야 합니다.

이 예제에서는 필요한 권한으로 새로운 빈 키 자격 증명 모음 KV2를 만든다고 가정합니다. 다음 단계를 사용하여 자격 증명 모음을 업데이트할 수 있습니다.

1. 포털에서 복구 서비스 자격 증명 모음으로 이동합니다.
2. 복제된 항목>속성>컴퓨팅을 선택합니다.
3. 메뉴에서 KV2를 선택하여 대상 키 자격 증명 모음을 업데이트합니다.
4. 저장을 선택하고 새 키 및 비밀을 사용하여 새 대상 키 자격 증명 모음 KV2 원본 키를 복사하고 Azure Site Recovery 메타데이터를 업데이트합니다.

   참고 항목

   새 키 자격 증명 모음을 만들면 비용에 영향을 줄 수 있습니다. 이전에 사용했던 원래 대상 키 자격 증명 모음(KV1)을 사용하려는 경우 다른 키 자격 증명 모음을 사용하여 위의 단계를 완료한 후 이 작업을 수행할 수 있습니다.
   다른 키 자격 증명 모음을 사용하여 자격 증명 모음을 업데이트한 후 원래 대상 키 자격 증명 모음(KV1)을 사용하도록 1~4단계를 반복하고 대상 키 자격 증명 모음에서 KV1을 선택합니다. KV1에 새 키 및 비밀을 복사하고 대상에 사용합니다.

REST API를 사용하여 대상 VM 암호화 설정 업데이트

1. Copy-Keys 스크립트를 사용하여 키를 대상 자격 증명 모음에 복사해야 합니다.
2. Replication Protected Items - Update Rest API를 사용하여 Azure Site Recovery 메타데이터를 업데이트합니다.

PowerShell을 사용하여 대상 VM 암호화 설정 업데이트

1. Copy-Keys 스크립트를 사용하여 키를 대상 자격 증명 모음에 복사합니다.
2. Set-AzRecoveryServicesAsrReplicationProtectedItem 명령을 사용하여 Azure Site Recovery 메타데이터를 업데이트합니다.

Azure 간에 VM을 복제하는 중 발생한 키 자격 증명 모음 권한 문제 해결

Azure Site Recovery는 적어도 원본 지역 키 자격 증명 모음에 대한 읽기 권한과 대상 지역 키 자격 증명 모음에 대한 쓰기 권한이 있어야 비밀을 읽어 대상 지역 키 자격 증명 모음에 복사할 수 있습니다.

원인 1:원본 지역 키 자격 증명 모음에서 키를 읽을 수 있는 "GET" 권한이 없습니다.
해결 방법: 구독 관리자인지 여부에 관계없이 키 자격 증명 모음에 대한 권한이 있어야 합니다.

1. 이 예에서 "ContososourceKeyvault" >액세스 정책인 원본 지역 키 자격 증명 모음으로 이동합니다.
2. 주체 선택에서 사용자 이름을 추가합니다 (예: "dradmin@contoso.com").
3. 키 권한에서 가져오기(GET)를 선택합니다.
4. 비밀 권한에서 가져오기(GET)를 선택합니다.
5. 액세스 정책 저장

원인 2:대상 지역 키 자격 증명 모음에서 키를 쓸 수 있는 권한이 없습니다.

예: 원본 지역에서 키 자격 증명 모음 ContososourceKeyvault가 있는 VM을 복제하려고 합니다. 원본 지역 키 자격 증명 모음에 대한 모든 권한이 있습니다. 그러나 보호하는 동안 권한이 없는 이미 생성된 키 자격 증명 모음 ContosotargetKeyvault를 선택합니다. 오류가 발생합니다.

대상 키 자격 증명 모음에 필요한 권한

해결 방법:홈>Keyvaults>ContosotargetKeyvault>액세스 정책으로 이동하고 적절한 권한을 추가합니다.

다음 단계

• 테스트 장애 조치(failover) 실행에 대해 자세히 알아보세요.