Udostępnij za pośrednictwem

Replikowanie maszyn z dyskami mającymi włączone klucze zarządzane przez klienta (CMK)

  • Artykuł

W tym artykule opisano sposób replikowania maszyn wirtualnych platformy Azure z włączonymi dyskami zarządzanymi przez klienta (CMK) z jednego regionu platformy Azure do innego.

Warunek wstępny

Należy utworzyć zestawy szyfrowania dysków w regionie docelowym dla subskrypcji docelowej przed włączeniem replikacji dla maszyn wirtualnych, które mają dyski zarządzane z włączoną funkcją CMK.

Włączanie replikacji

Użyj poniższej procedury, aby replikować maszyny z dyskami z włączonymi kluczami zarządzanymi przez klienta (CMK). Na przykład podstawowy region świadczenia usługi Azure to Azja Wschodnia, a region pomocniczy to Azja Południowo-Wschodnia.

  1. Na stronie usługi Site Recovery magazynu >w obszarze Maszyny wirtualne platformy Azure wybierz pozycję Włącz replikację.

  2. Na stronie Włączanie replikacji w obszarze Źródło wykonaj następujące czynności:

    • Region: wybierz region świadczenia usługi Azure, z którego chcesz chronić maszyny wirtualne. Na przykład lokalizacja źródłowa to Azja Wschodnia.

    • Subskrypcja: wybierz subskrypcję, do której należą źródłowe maszyny wirtualne. Może to być dowolna subskrypcja w ramach tej samej dzierżawy firmy Microsoft, w której istnieje magazyn usługi Recovery Services.

    • Grupa zasobów: wybierz grupę zasobów, do której należą źródłowe maszyny wirtualne. Wszystkie maszyny wirtualne w wybranej grupie zasobów są wymienione pod kątem ochrony w następnym kroku.

    • Model wdrażania maszyn wirtualnych: wybierz model wdrażania platformy Azure maszyn źródłowych.

    • Odzyskiwanie po awarii między strefami dostępności: wybierz pozycję Tak , jeśli chcesz przeprowadzić odzyskiwanie po awarii strefowej na maszynach wirtualnych.

      Zrzut ekranu przedstawiający pola wymagane do skonfigurowania replikacji.

  3. Wybierz Dalej.

  4. W obszarze Maszyny wirtualne wybierz każdą maszynę wirtualną, którą chcesz replikować. Możesz wybrać tylko te maszyny, dla których można włączyć replikację. Możesz wybrać maksymalnie dziesięć maszyn wirtualnych. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający miejsce wybierania maszyn wirtualnych.

  5. W obszarze Ustawienia replikacji można skonfigurować następujące ustawienia:

    1. W obszarze Lokalizacja i grupa zasobów,

      • Lokalizacja docelowa: wybierz lokalizację, w której muszą być replikowane dane źródłowej maszyny wirtualnej. W zależności od lokalizacji wybranych maszyn usługa Site Recovery udostępni listę odpowiednich regionów docelowych. Zalecamy zachowanie lokalizacji docelowej tak samo jak lokalizacja magazynu usługi Recovery Services.

      • Subskrypcja docelowa: wybierz docelową subskrypcję używaną do odzyskiwania po awarii. Domyślnie subskrypcja docelowa będzie taka sama jak subskrypcja źródłowa.

      • Docelowa grupa zasobów: wybierz grupę zasobów, do której należą wszystkie replikowane maszyny wirtualne.

        • Domyślnie usługa Site Recovery tworzy nową grupę zasobów w regionie docelowym z sufiksem asr w nazwie.
        • Jeśli grupa zasobów utworzona przez usługę Site Recovery już istnieje, zostanie ponownie użyta.
        • Ustawienia grupy zasobów można dostosować.
        • Lokalizacja docelowej grupy zasobów może być dowolnym regionem świadczenia usługi Azure, z wyjątkiem regionu, w którym są hostowane źródłowe maszyny wirtualne.

        Uwaga

        Możesz również utworzyć nową docelową grupę zasobów, wybierając pozycję Utwórz nową.

        Zrzut ekranu przedstawiający lokalizację i grupę zasobów.

    2. W obszarze Sieć

      • Sieć wirtualna trybu failover: wybierz sieć wirtualną trybu failover.

        Uwaga

        Możesz również utworzyć nową sieć wirtualną trybu failover, wybierając pozycję Utwórz nową.

      • Podsieć trybu failover: wybierz podsieć trybu failover.

        Zrzut ekranu przedstawiający sieć.

    3. Magazyn: wybierz pozycję Wyświetl/edytuj konfigurację magazynu. Zostanie otwarta strona Dostosowywanie ustawień docelowych.

      Zrzut ekranu przedstawiający magazyn.

      • Dysk zarządzany przez replikę: usługa Site Recovery tworzy nowe dyski zarządzane przez replikę w regionie docelowym w celu dublowania dysków zarządzanych źródłowej maszyny wirtualnej o tym samym typie magazynu (w warstwie Standardowa lub Premium) co dysk zarządzany źródłowej maszyny wirtualnej.
      • Magazyn pamięci podręcznej: usługa Site Recovery wymaga dodatkowego konta magazynu nazywanego magazynem pamięci podręcznej w regionie źródłowym. Wszystkie zmiany wykonywane na źródłowych maszynach wirtualnych są śledzone i wysyłane do konta magazynu pamięci podręcznej przed ich replikacją do lokalizacji docelowej.

    4. Opcje dostępności: wybierz odpowiednią opcję dostępności dla maszyny wirtualnej w regionie docelowym. Jeśli istnieje już zestaw dostępności utworzony przez usługę Site Recovery, jest on ponownie używany. Wybierz pozycję Wyświetl/edytuj opcje dostępności, aby wyświetlić lub edytować opcje dostępności.

      Uwaga

      • Podczas konfigurowania docelowych zestawów dostępności skonfiguruj różne zestawy dostępności dla maszyn wirtualnych o różnym rozmiarze.
      • Nie można zmienić typu dostępności — pojedyncze wystąpienie, zestaw dostępności, strefa dostępności — po włączeniu replikacji. Należy wyłączyć i włączyć replikację, aby zmienić typ dostępności.

      Zrzut ekranu przedstawiający opcję dostępności.

    5. Rezerwacja pojemności: Rezerwacja pojemności umożliwia zakup pojemności w regionie odzyskiwania, a następnie przejście w tryb failover do tej pojemności. Możesz utworzyć nową grupę rezerwacji pojemności lub użyć istniejącej. Aby uzyskać więcej informacji, zobacz jak działa rezerwacja pojemności. Wybierz pozycję Wyświetl lub Edytuj przypisanie grupy rezerwacji pojemności, aby zmodyfikować ustawienia rezerwacji pojemności. Po wyzwoleniu trybu failover nowa maszyna wirtualna zostanie utworzona w przypisanej grupie rezerwacji pojemności.

      Zrzut ekranu przedstawiający rezerwację pojemności.

    6. Ustawienia szyfrowania magazynu: usługa Site Recovery potrzebuje zestawów szyfrowania dysków (DES) do użycia na dyskach repliki i docelowych dysków zarządzanych. Przed włączeniem replikacji należy wstępnie utworzyć zestawy szyfrowania dysków w subskrypcji docelowej i regionie docelowym. Domyślnie zestaw szyfrowania dysków nie jest zaznaczony. Musisz wybrać pozycję Wyświetl/edytować konfigurację , aby wybrać zestaw szyfrowania dysków na dysk źródłowy.

      Uwaga

      Upewnij się, że docelowy des znajduje się w docelowej grupie zasobów i że docelowy des ma dostęp Get, Wrap Key, Unwrap Key do usługi Key Vault w tym samym regionie.

      Zrzut ekranu przedstawiający ustawienia szyfrowania magazynu.

  6. Wybierz Dalej.

  7. W obszarze Zarządzanie wykonaj następujące czynności:

    1. W obszarze Zasady replikacji,
      • Zasady replikacji: wybierz zasady replikacji. Definiuje ustawienia historii przechowywania punktu odzyskiwania i częstotliwości migawek spójnych na poziomie aplikacji. Domyślnie usługa Site Recovery tworzy nowe zasady replikacji z domyślnymi ustawieniami 24 godzin przechowywania punktu odzyskiwania.
      • Grupa replikacji: utwórz grupę replikacji w celu replikacji maszyn wirtualnych w celu wygenerowania punktów odzyskiwania spójnych na poziomie wielu maszyn wirtualnych. Należy pamiętać, że włączenie spójności wielu maszyn wirtualnych może mieć wpływ na wydajność obciążenia i powinno być używane tylko wtedy, gdy maszyny są uruchomione w tym samym obciążeniu i potrzebujesz spójności na wielu maszynach.
    2. W obszarze Ustawienia rozszerzenia,
      • Wybierz pozycję Aktualizuj ustawienia i konto usługi Automation.

    Zrzut ekranu przedstawiający kartę zarządzanie.

  8. Wybierz Dalej

  9. W obszarze Przegląd przejrzyj ustawienia maszyny wirtualnej i wybierz pozycję Włącz replikację.

    Zrzut ekranu przedstawiający kartę przeglądu.

Uwaga

Podczas replikacji początkowej stan może zająć trochę czasu na odświeżenie bez widocznego postępu. Kliknij przycisk Odśwież , aby uzyskać najnowszy stan.

Często zadawane pytania

  • Mam włączony klucz cmK w istniejącym zreplikowanym elemencie, jak mogę upewnić się, że klucz zarządzania kluczem domeny jest również stosowany w regionie docelowym?

    Nazwę dysku zarządzanego repliki (utworzonego przez usługę Azure Site Recovery w regionie docelowym) można znaleźć i dołączyć des do tego dysku repliki. Jednak po dołączeniu nie będzie można zobaczyć szczegółów DES w bloku Dyski. Alternatywnie możesz wyłączyć replikację maszyny wirtualnej i włączyć ją ponownie. Zapewni to wyświetlanie szczegółów des i magazynu kluczy w bloku Dyski dla replikowanego elementu.

  • Dodano nowy dysk z włączonym kluczem cmK do replikowanego elementu. Jak mogę replikować ten dysk za pomocą usługi Azure Site Recovery?

    Nowy dysk z włączonym kluczem cmK można dodać do istniejącego replikowanego elementu przy użyciu programu PowerShell. Znajdź fragment kodu, aby uzyskać wskazówki:

    #set vaultname and resource group name for the vault.
$vaultname="RSVNAME"
$vaultrgname="RSVRGNAME"

#set VMName
$VMName = "VMNAME"

#get the vault object
$vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname

#set job context to this vault
$vault | Set-AzRecoveryServicesAsrVaultContext

=============

#set resource id of disk encryption set
$diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"

#set resource id of cache storage account
$primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"

#set resource id of recovery resource group
$RecoveryResourceGroup = "RESOURCEIDOFRG"

#set resource id of disk to be replicated
$dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"

#setdiskconfig
$diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
          -ManagedDisk `
          -DiskId $dataDisk `
          -LogStorageAccountId $primaryStorageAccount `
          -RecoveryResourceGroupId $RecoveryResourceGroup `
          -RecoveryReplicaDiskAccountType Standard_LRS `
          -RecoveryTargetDiskAccountType Standard_LRS `
          -RecoveryDiskEncryptionSetId $diskencryptionset


#get fabric object from the source region.
$fabric = Get-AzRecoveryServicesAsrFabric
#use to fabric name to get the container.
$primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]

#get the context of the protected item
$protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject

#initiate enable replication using below command
$protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig

  • Włączono zarówno klucze platformy, jak i klucze zarządzane przez klienta. Jak mogę chronić dyski?

    Włączenie podwójnego szyfrowania zarówno przy użyciu platformy, jak i kluczy zarządzanych przez klienta jest obsługiwane przez usługę Site Recovery. Postępuj zgodnie z instrukcjami w tym artykule, aby chronić maszynę. Należy utworzyć z wyprzedzeniem funkcję DES z włączoną obsługą podwójnego szyfrowania w regionie docelowym. W momencie włączenia replikacji dla takiej maszyny wirtualnej można podać ten des do usługi Site Recovery.

Następne kroki