Replicar máquinas virtuais com discos ativados com Chaves Geridas pelo Cliente (CMK)

Este artigo descreve como replicar VMs do Azure com discos gerenciados habilitados para CMK (Customer Managed Keys), de uma região do Azure para outra.

Pré-requisito

Você deve criar o(s) conjunto(s) de Criptografia de Disco na região de destino para a assinatura de destino antes de habilitar a replicação para suas máquinas virtuais que tenham discos gerenciados habilitados para CMK.

Ativar a replicação

Use o procedimento a seguir para replicar máquinas com discos habilitados para CMK (Customer Managed Keys). Como exemplo, a região primária do Azure é o Leste Asiático e a região secundária é o Sudeste Asiático.

1. Na página Recuperação de Site do cofre>, em Máquinas virtuais do Azure, selecione Habilitar replicação.

2. Na página Habilitar replicação, em Origem, faça o seguinte:

   • Região: selecione a região do Azure de onde você deseja proteger suas VMs. Por exemplo, o local de origem é o Leste Asiático.

   • Assinatura: selecione a assinatura à qual suas VMs de origem pertencem. Pode ser qualquer assinatura dentro do mesmo locatário do Microsoft Entra onde o cofre de serviços de recuperação existe.

   • Grupo de recursos: selecione o grupo de recursos ao qual suas máquinas virtuais de origem pertencem. Todas as VMs no grupo de recursos selecionado são listadas para proteção na próxima etapa.

   • Modelo de implantação de máquina virtual: selecione o modelo de implantação do Azure das máquinas de origem.

   • Recuperação de desastres entre zonas de disponibilidade: selecione Sim se quiser executar a recuperação de desastres zonal em máquinas virtuais.

     

3. Selecione Seguinte.

4. Em Máquinas virtuais, selecione cada VM que você deseja replicar. Só pode selecionar máquinas para as quais a replicação pode ser ativada. Você pode selecionar até dez VMs. Em seguida, selecione Seguinte.

   

5. Em Configurações de replicação, você pode definir as seguintes configurações:

   1. Em Grupo Localização e Recursos,

      • Local de destino: selecione o local onde os dados da máquina virtual de origem devem ser replicados. Dependendo da localização das máquinas selecionadas, o Site Recovery fornecerá a lista de regiões de destino adequadas. Recomendamos que você mantenha o local de destino igual ao local do cofre dos Serviços de Recuperação.

      • Assinatura de destino: selecione a assinatura de destino usada para recuperação de desastres. Por predefinição, a subscrição de destino será igual à subscrição de origem.

      • Grupo de recursos de destino: selecione o grupo de recursos ao qual todas as máquinas virtuais replicadas pertencem.

        • Por padrão, o Site Recovery cria um novo grupo de recursos na região de destino com um sufixo asr no nome.
        • Se o grupo de recursos criado pelo Site Recovery já existir, será reutilizado.
        • Pode personalizar as definições do grupo de recursos.
        • O local do grupo de recursos de destino pode ser qualquer região do Azure, exceto a região na qual as VMs de origem estão hospedadas.

        Nota

        Você também pode criar um novo grupo de recursos de destino selecionando Criar novo.

        

   2. Em Rede,

      • Rede virtual de failover: selecione a rede virtual de failover.

        Nota

        Você também pode criar uma nova rede virtual de failover selecionando Criar novo.

      • Sub-rede de failover: selecione a sub-rede de failover.

        

   3. Armazenamento: Selecione Exibir/editar configuração de armazenamento. A página Personalizar configurações de destino é aberta.

      

      • Disco gerenciado por réplica: o Site Recovery cria novos discos gerenciados por réplica na região de destino para espelhar os discos gerenciados da VM de origem com o mesmo tipo de armazenamento (Standard ou premium) que o disco gerenciado da VM de origem.
      • Armazenamento em cache: o Site Recovery precisa de uma conta de armazenamento extra chamada armazenamento em cache na região de origem. Todas as alterações que acontecem nas VMs de origem são controladas e enviadas para a conta de armazenamento em cache antes de replicá-las para o local de destino.

   4. Opções de disponibilidade: selecione a opção de disponibilidade apropriada para sua VM na região de destino. Se já existir um conjunto de disponibilidade criado pela Recuperação de Site, ele será reutilizado. Selecione Exibir/editar opções de disponibilidade para visualizar ou editar as opções de disponibilidade.

      Nota

      • Ao configurar os conjuntos de disponibilidade de destino, configure diferentes conjuntos de disponibilidade para VMs de tamanhos diferentes.
      • Não é possível alterar o tipo de disponibilidade - instância única, conjunto de disponibilidade ou zona de disponibilidade depois de habilitar a replicação. Você deve desabilitar e habilitar a replicação para alterar o tipo de disponibilidade.

      

   5. Reserva de capacidade: a Reserva de capacidade permite comprar capacidade na região de recuperação e, em seguida, fazer failover para essa capacidade. Você pode criar um novo Grupo de Reserva de Capacidade ou usar um existente. Para obter mais informações, consulte como funciona a reserva de capacidade. Selecione Exibir ou Editar atribuição de grupo de reserva de capacidade para modificar as configurações de reserva de capacidade. Ao acionar o Failover, a nova VM será criada no Grupo de Reserva de Capacidade atribuído.

      

   6. Configurações de criptografia de armazenamento: o Site Recovery precisa que o(s) conjunto(s) de criptografia de disco (DES) sejam usados para discos gerenciados de réplica e destino. Você deve pré-criar conjuntos de criptografia de disco na assinatura de destino e na região de destino antes de habilitar a replicação. Por padrão, um conjunto de criptografia de disco não está selecionado. Você deve selecionar Exibir/editar configuração para escolher um conjunto de criptografia de disco por disco de origem.

      Nota

      Verifique se o DES de destino está presente no Grupo de Recursos de Destino e se o DES de destino tem acesso Get, Wrap Key, Unwrap Key a um Cofre de Chaves na mesma região.

      

6. Selecione Seguinte.

7. Em Gerenciar, faça o seguinte:

   1. Em Política de replicação,
      • Política de replicação: selecione a política de replicação. Define as configurações para o histórico de retenção do ponto de recuperação e a frequência de snapshot consistente com o aplicativo. Por padrão, o Site Recovery cria uma nova política de replicação com configurações padrão de 24 horas para retenção do ponto de recuperação.
      • Grupo de replicação: crie um grupo de replicação para replicar VMs juntas para gerar pontos de recuperação consistentes com várias VMs. Observe que habilitar a consistência de várias VMs pode afetar o desempenho da carga de trabalho e só deve ser usado se as máquinas estiverem executando a mesma carga de trabalho e você precisar de consistência em várias máquinas.
   2. Em Configurações de extensão,
      • Selecione Atualizar configurações e Conta de automação.

   

8. Selecione Seguinte

9. Em Rever, reveja as definições da VM e selecione Ativar replicação.

   

Nota

Durante a replicação inicial, o status pode levar algum tempo para ser atualizado, sem progresso aparente. Clique em Atualizar para obter o status mais recente.

FAQs

• Ativei a CMK em um item replicado existente, como posso garantir que a CMK também seja aplicada na região de destino?

  Você pode descobrir o nome do disco gerenciado de réplica (criado pelo Azure Site Recovery na região de destino) e anexar DES a esse disco de réplica. No entanto, você não poderá ver os detalhes do DES na folha Discos depois de anexá-lo. Como alternativa, você pode optar por desabilitar a replicação da VM e habilitá-la novamente. Ele garantirá que você veja DES e detalhes do cofre de chaves na folha Discos para o item replicado.

• Adicionei um novo disco habilitado para CMK ao item replicado. Como posso replicar este disco com o Azure Site Recovery?

  Você pode adicionar um novo disco habilitado para CMK a um item replicado existente usando o PowerShell. Encontre o trecho de código para orientação:

  #set vaultname and resource group name for the vault.
  $vaultname="RSVNAME"
  $vaultrgname="RSVRGNAME"
  
  #set VMName
  $VMName = "VMNAME"
  
  #get the vault object
  $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname
  
  #set job context to this vault
  $vault | Set-AzRecoveryServicesAsrVaultContext
  
  =============
  
  #set resource id of disk encryption set
  $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"
  
  #set resource id of cache storage account
  $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"
  
  #set resource id of recovery resource group
  $RecoveryResourceGroup = "RESOURCEIDOFRG"
  
  #set resource id of disk to be replicated
  $dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"
  
  #setdiskconfig
  $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
            -ManagedDisk `
            -DiskId $dataDisk `
            -LogStorageAccountId $primaryStorageAccount `
            -RecoveryResourceGroupId $RecoveryResourceGroup `
            -RecoveryReplicaDiskAccountType Standard_LRS `
            -RecoveryTargetDiskAccountType Standard_LRS `
            -RecoveryDiskEncryptionSetId $diskencryptionset
  
  
  #get fabric object from the source region.
  $fabric = Get-AzRecoveryServicesAsrFabric
  #use to fabric name to get the container.
  $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]
  
  #get the context of the protected item
  $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject
  
  #initiate enable replication using below command
  $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
  

• Ativei as chaves gerenciadas pela plataforma e pelo cliente, como posso proteger meus discos?

  A habilitação da criptografia dupla com chaves gerenciadas pela plataforma e pelo cliente é suportada pelo Site Recovery. Siga as instruções neste artigo para proteger a sua máquina. Você precisa criar um DES habilitado para criptografia dupla na região de destino com antecedência. No momento de habilitar a replicação para essa VM, você pode fornecer esse DES para o Site Recovery.

Próximos passos

• Saiba mais sobre como executar um failover de teste.