перемещению зашифрованных виртуальных машин Azure между регионами

Azure Resource Mover помогает перемещать ресурсы Azure между регионами Azure. В данной статье рассказывается, как переместить зашифрованные виртуальные машины (ВМ) Azure в другой регион Azure с помощью Azure Resource Mover.

Зашифрованную VMS можно описать как:

• Виртуальные машины с дисками с включенной функцией шифрования дисков Azure. Дополнительные сведения см. в разделе Создание и шифрование виртуальной машины Windows с помощью портала Azure.
• Виртуальные машины, использующие ключи, управляемые клиентом (CMK), для шифрования в состоянии покоя или шифрования на стороне сервера. Дополнительные сведения см. в разделе Использование портала Microsoft Azure для включения шифрования на стороне сервера с управляемыми клиентами ключами для управляемых дисков.

В этом руководстве описано следующее:

• Переместите зашифрованные виртуальные машины Azure и их зависимые ресурсы в другой регион Azure.

Примечание.

В учебниках показан самый быстрый способ выполнения сценария и используются параметры по умолчанию, где это возможно.

Вход в Azure

Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы и войдите в портал Azure.

Необходимые компоненты

Прежде чем начать, проверьте следующее:

Требование	Сведения
Разрешения подписки	Убедитесь, что у вас есть доступ владельца к подписке, содержащей ресурсы, которые необходимо переместить. Зачем мне нужен доступ владельца? При первом добавлении ресурса для конкретной пары источника и назначения в подписку Azure Resource Mover создает управляемое удостоверение, назначенное системой, ранее известное как удостоверение управляемой службы (MSI). Данное удостоверение является доверенным для подписки. Прежде чем вы сможете создать удостоверение и назначить ему необходимые роли (Участник и Администратор доступа пользователей в исходной подписке), учетной записи, которую вы используете для добавления ресурсов, необходим Владелец разрешения в подписке. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Поддержка виртуальных машин	Убедитесь, что виртуальные машины, которые вы хотите переместить, поддерживаются следующим образом: Убедитесь в наличии поддерживаемых виртуальных машин Windows. Убедитесь в наличии поддерживаемых виртуальных машин Linux и версий ядра. Проверьте поддерживаемые параметры вычислений, хранилища и сети.
Требования к хранилищу ключей (Шифрование дисков Azure)	Если для виртуальных машин включена Шифрование дисков Azure, требуется хранилище ключей как в исходных, так и в целевых регионах. Дополнительные сведения см. в разделе Создание хранилища ключей. Для хранилищ ключей в исходных и конечных регионах требуются следующие разрешения: Ключевые разрешения: операции управления ключами (получение, список) и криптографические операции (расшифровка и шифрование) Секретные разрешения: секретные операции управления (получение, список и установка) Сертификат (список и получение)
Набор шифрования дисков (шифрование на стороне сервера с помощью ключа, управляемого клиентом)	Если вы используете виртуальные машины с шифрованием на стороне сервера, использующим CMK, требуется набор шифрования дисков как в исходных, так и в целевых регионах. Дополнительные сведения см. в разделе Создание набора шифрования диска. Перемещение между регионами не поддерживается, если вы используете аппаратный модуль безопасности (ключи HSM) для ключей, управляемых клиентом.
Квота целевого региона	Подписке требуется достаточный объем квот, чтобы создать ресурсы, перемещаемые в целевой регион. Если у него нет квоты, запросите дополнительные ограничения.
Расходы на целевой регион	Проверьте цены и сборы, связанные с целевым регионом, в который вы перемещаете виртуальные машины. Воспользуйтесь калькулятором цен.

Проверка разрешений в хранилище ключей

Если вы перемещаете виртуальные машины с включенным Шифрование дисков Azure, необходимо запустить скрипт. Пользователи, выполняющие сценарий, должны иметь для этого соответствующие разрешения. Чтобы понять, какие разрешения необходимы, ознакомьтесь со следующей таблицей. Параметры для изменения разрешений можно найти, перейдя к хранилищу ключей в портал Azure. В разделе Параметры выберите элемент Политики доступа.

Если разрешения пользователя отсутствуют, выберите "Добавить политику доступа" и укажите разрешения. Если в учетной записи пользователя уже имеется политика, в разделе Пользователь установите разрешения в соответствии с инструкциями в нижеприведенной таблице.

Виртуальные машины Azure, использующие Шифрование дисков Azure, могут иметь следующие варианты, и вам потребуется задать разрешения в соответствии с соответствующими компонентами. В виртуальных машинах может присутствовать:

• Вариант по умолчанию, при котором диск зашифрован только секретами.
• Добавленная система защиту с использованием Ключа шифрования ключа (KEK).

Хранилище ключей исходного региона

Для пользователей, выполняющих сценарий, необходимо задать разрешения для следующих компонентов:

Компонент	Необходимые разрешения
Секреты	Get Выберите "Секретные разрешения" "Операции управления секретами>" и нажмите кнопку "Получить".
Ключи Если вы используете KEK, эти разрешения требуются в дополнение к разрешениям для секретов.	Получение и Расшифровка Выберите операции управления ключами>разрешений и нажмите кнопку "Получить". В меню Операции шифрования выберите Расшифровать.

Хранилище ключей региона назначения

На вкладке "Политики доступа" убедитесь, что Шифрование дисков Azure для шифрования томов включен.

Для пользователей, выполняющих сценарий, необходимо задать разрешения для следующих компонентов:

Компонент	Необходимые разрешения
Секреты	Задание записи Выберите "Секретные разрешения" "Операции управления секретами>" и выберите "Задать".
Ключи Если вы используете KEK, эти разрешения требуются в дополнение к разрешениям для секретов.	Получение, Созданиеи Шифрование Выберите операции управления ключами>разрешений и нажмите кнопку "Получить и создать". В меню Операции шифрования выберите Шифровать.

В дополнение к предыдущим разрешениям в целевом хранилище ключей необходимо добавить разрешения для управляемого системного удостоверения, который Mover использует для доступа к ресурсам Azure от вашего имени.

Добавление разрешений для управляемого удостоверения системы

Чтобы добавить разрешения для управляемого системного удостоверения (MSI), выполните следующие действия.

1. В разделе Параметры выберите Add Access policies (Добавить политики доступа).

2. В разделе Выбор субъекта найдите MSI. Имя MSI — movecollection-<sourceregion>-<target-region>-<metadata-region>.

3. Добавьте следующие разрешения для MSI:

   Компонент	Необходимые разрешения
   Секреты	Получение и Список Выберите "Секретные разрешения" "Операции управления секретами>" и выберите "Получить" и "Список".
   Ключи Если вы используете KEK, эти разрешения требуются в дополнение к разрешениям для секретов.	Получение и Список Выберите операции управления ключами>разрешений и выберите "Получить" и "Список".

Копирование ключей в целевое хранилище ключей

Скопируйте секреты и ключи шифрования из исходного хранилища ключей в целевое хранилище ключей с помощью предоставленного скрипта.

Чтобы скопировать ключи из исходного хранилища ключей в целевое хранилище ключей, выполните следующие действия.

• Сценарий нужно выполнять в PowerShell. Мы рекомендуем использовать последнюю версию PowerShell.
• В частности, для скрипта требуются следующие модули:
  • Az.Compute
  • Az.KeyVault (версия 3.0.0)
  • Az.Accounts (версия 2.2.3)

Чтобы запустить скрипт, выполните следующее:

1. Откройте скрипт в GitHub.

2. Скопируйте содержимое сценария в локальный файл и назовите его Copy-keys.ps1.

3. Выполните скрипт.

4. Войдите на портал Azure.

5. В окне "Входные данные пользователей" выберите исходную подписку, группу ресурсов, исходную виртуальную машину, целевое расположение и целевые хранилища для шифрования дисков и ключей.

   

6. Нажмите кнопку "Выбрать ", чтобы запустить скрипт.

   По завершении выполнения скрипта появится сообщение о том, что CopyKeys успешно выполнен.

Подготовка виртуальных машин

Чтобы подготовить виртуальные машины к перемещению, выполните следующие действия.

1. После проверка убедитесь, что виртуальные машины соответствуют предварительным требованиям, убедитесь, что виртуальные машины, которые необходимо переместить, включены. Все диски виртуальной машины, которые должны быть доступны в целевой области, должны быть подключены и инициализированы на виртуальной машине.
2. Чтобы виртуальные машины имели последние доверенные корневые сертификаты и обновленный список отзыва сертификатов (CRL), сделайте следующее:
   • На виртуальных машинах Windows установите последние обновления Windows.
   • На виртуальных машинах Linux следуйте инструкциям дистрибьютора, чтобы на машинах имелись последние сертификаты и CRL.
3. Чтобы разрешить исходящее подключение с виртуальных машин, выполните одно из следующих действий.
   • При использовании прокси-сервера или брандмауэра на основе URL-адресов для управления исходящим подключением, разрешите доступ к URL-адресам.
   • Если вы используете правила группы безопасности сети (NSG) для управления исходящими подключениями, создайте следующие правила тегов службы.

Выбор ресурсов для перемещения

Вы можете выбрать любой поддерживаемый тип ресурса в любой из групп ресурсов выбранного исходного региона. Вы можете переместить ресурсы в целевой регион, который находится в той же подписке, что и исходный регион. Если вы хотите изменить подписку, вы можете сделать это после перемещения ресурсов.

Чтобы выбрать ресурсы, выполните следующие действия:

1. На портал Azure найдите перемещение ресурсов. В разделе "Службы" выберите Azure Resource Mover.

   

2. На панели Azure Resource Mover Обзор выберите Перемещение между регионами.

   

3. На вкладке "Переместить ресурсы " Источник и>назначение" выполните следующие действия:

   1. Выберите исходную подписку и регион.
   2. В разделе "Назначение" выберите регион, в котором требуется переместить виртуальные машины, нажмите кнопку "Далее".

   

4. На вкладке "Ресурсы" выберите параметр "Выбрать ресурсы ", чтобы открыть новую вкладку со списком доступных виртуальных машин.

   

5. На вкладке "Выбор ресурсов " выберите виртуальные машины, которые вы хотите переместить. Как упоминалось в разделе Выберите ресурсы для перемещения, вы можете добавлять только те ресурсы, которые поддерживаются для перемещения.

   

   Примечание.

   В данном руководстве вы выбираете виртуальную машину, которая использует шифрование на стороне сервера (rayne-vm) с ключом, управляемым клиентом, и виртуальную машину с включенным шифрованием дисков (rayne-vm-ade).

6. Нажмите кнопку Готово.

7. Выберите вкладку "Ресурсы" и нажмите кнопку "Далее".

8. Перейдите на вкладку "Рецензирование" и проверка параметры источника и назначения.

   

9. Выберите Продолжить, чтобы начать добавление ресурсов.

10. Щелкните значок уведомлений, чтобы отслеживать ход выполнения. После успешного завершения процесса на панели Уведомления выберите Добавленные ресурсы для перемещения.

    

11. Выбрав уведомление, просмотрите ресурсы на странице По регионам.

    

Примечание.

• Добавляемые ресурсы переводятся в состояние Ожидание подготовки.
• Группа ресурсов для виртуальных машин будет добавлена автоматически.
• Если вы измените записи Конфигурация назначения для использования ресурса, который уже существует в целевой области, состояние ресурса будет установлено на Ожидание фиксации, поскольку вам не нужно инициировать перемещение для этого.
• Если вы хотите удалить добавленный ресурс, метод, который вы будете использовать, зависит от того, где вы находитесь в рамках процедуры перемещения. Дополнительные сведения см. в статье Управление перемещением коллекций и групп ресурсов.

Устранение ошибок, связанных с зависимостями

Чтобы устранить зависимости перед перемещением, выполните следующие действия:

1. Зависимости проверяются в фоновом режиме после их добавления. Если вы видите кнопку проверки зависимостей , выберите ее, чтобы активировать проверку вручную.

   

   Начнется процесс проверки.

2. В случае обнаружения зависимостей выберите Добавить зависимости.

   

3. В области "Добавление зависимостей" сохраните параметр "Показать все зависимости" по умолчанию.

   • Параметр Показать все зависимости выполняет итерацию по всем прямым и косвенным зависимостям ресурса. Например, для виртуальной машины выбор этого параметра приведет к отображению сетевой карты, виртуальной сети, групп безопасности сети (NSG) и т. д.
   • Выбор параметра (Показывать только зависимости первого уровня) приводит к отображению только прямых зависимостей. К примеру, для виртуальной машины отображается сетевой адаптер, но не виртуальная сеть.

4. Выберите зависимые ресурсы, которые вы хотите добавить, и нажмите кнопку "Добавить зависимости".

   

5. Зависимости автоматически проверяются в фоновом режиме после их добавления. Если вы видите параметр проверки зависимостей , выберите его, чтобы активировать проверку вручную.

   

Назначение целевых ресурсов

Необходимо вручную назначить целевые ресурсы, связанные с шифрованием.

Если вы перемещаете виртуальную машину с включенным шифрованием дисков Azure, хранилище ключей в целевом регионе отображается как зависимость. При перемещении виртуальной машины с шифрованием на стороне сервера, которое использует CMK, шифрование диска, установленное в целевой области, отображается как зависимость.

Поскольку в данном руководстве демонстрируется перемещение виртуальной машины с включенным шифрованием дисков Azure и использованием CMK, хранилище ключей назначения и настройка шифрования дисков отображаются как зависимости.

Чтобы назначить целевые ресурсы вручную, сделайте следующее:

1. В записи набора шифрования диска выберите в столбце Конфигурация назначения пункт Resource not assigned (Неназначенный ресурс).

2. В параметрах конфигурации выберите целевой набор шифрования дисков и нажмите кнопку "Сохранить изменения".

3. Можно сохранить и проверить зависимости для ресурса, который вы изменяете, или сохранить только изменения и проверить все изменения одновременно.

   

   После добавления целевого ресурса статус набора шифрования диска изменяется на Ожидает фиксации перемещения.

4. В записи хранилища ключей выберите в столбце Конфигурация назначения пункт Resource not assigned (Неназначенный ресурс). В разделе "Параметры конфигурации" выберите целевое хранилище ключей и сохраните изменения.

На этом этапе набор параметров шифрования диска и статус хранилища ключей изменяются на Ожидает фиксации перемещения.

Чтобы зафиксировать и завершить процесс перемещения для ресурсов шифрования, сделайте следующее:

1. В разных регионах выберите ресурс (набор шифрования дисков или хранилище ключей) и выберите "Зафиксировать перемещение".
2. В разделе Переместить ресурсы выберите Фиксация.

Примечание.

После подтверждения перемещения статус ресурса изменится на Ожидание удаления источника.

Добавление ресурсов для перемещения

Теперь, когда ресурсы шифрования и исходная группа ресурсов перемещены, можно подготовиться к перемещению других ресурсов, которые находятся в состоянии Prepare pending (Ожидание подготовки).

1. В области Между регионами снова проверьте перемещение и устраните все проблемы.

2. Если вы хотите изменить параметры целевого объекта перед началом перемещения, выберите ссылку в столбце конфигурации назначения для ресурса и измените параметры. При изменении параметров целевой виртуальной машины ее размер не должен превышать размер исходной виртуальной машины.

3. Для ресурсов, для которых требуется переместить состояние Ожидания подготовки, нажмите кнопку Подготовить.

4. На панели Подготовка ресурсов выберите Подготовить.

   • В процессе подготовки на виртуальных машинах устанавливается агент службы "Мобильность" Azure Site Recovery для репликации.
   • Данные виртуальной машины периодически реплицируются в целевой регион. Это не влияет на исходную виртуальную машину.
   • При перемещении ресурсов создаются шаблоны Resource Manager для других исходных ресурсов.

Примечание.

После подготовки перемещения группа ресурсов изменится на Ожидание начала перемещения.

Начало перемещения

После подготовки ресурсов можно начать перемещение.

1. На панели "Между регионами" выберите ресурсы, состояние которого находится в ожидании запуска перемещения, и выберите "Инициировать перемещение".

2. В области Перемещение ресурсов выберите команду Начать перемещение.

3. Отслеживать ход перемещения на панели уведомлений.

   • Реплики виртуальных машин создаются в целевом регионе. Исходная виртуальная машина завершает работу, и возникает некоторое время простоя (обычно несколько минут).
   • Resource Mover воссоздает другие ресурсы, используя подготовленные шаблоны ARM. Обычно время простоя отсутствует.
   • После перемещения ресурсов их состояние изменяется на Ожидание фиксации перемещения.

   

Отключение карта или фиксация перемещения

После первоначального перемещения нужно решить, следует ли фиксировать перемещение или отменить его.

• Отмена. Если вы выполняете тестирование и не хотите фактически перемещать исходный ресурс, вы можете отменить перемещение. При отмене перемещения ресурс возвращается в состояние Ожидание начала перемещения.
• Фиксация. Фиксация завершает перемещение в целевой регион. После фиксации исходного ресурса его состояние изменяется на Ожидание удаления источника, и вы можете решить, хотите ли вы удалить его.

Отмена перемещения

Чтобы отменить перемещение, выполните следующие действия:

1. На панели "По регионам" выберите ресурсы, состояние которых находится в ожидании перемещения фиксации, и выберите "Дис карта переместить".
2. На панели "Отменить перемещение" выберите Отменить.
3. Отслеживать ход перемещения на панели уведомлений.

Примечание.

После удаления ресурсов состояние виртуальной машины изменится на Ожидание начала перемещения.

Фиксация перемещения

Чтобы завершить процесс перемещения, зафиксируйте перемещение, выполнив следующие действия:

1. На панели "По регионам" выберите ресурсы, состояние которых — "Фиксация" ожидается, и выберите "Зафиксировать".

2. В области Перемещение ресурсов выберите пункт Зафиксировать.

   

3. Отслеживать ход фиксации можно на панели уведомлений.

Примечание.

• После фиксации перемещения виртуальные машины останавливают репликацию. Фиксация не влияет на исходную виртуальную машину.
• Процесс фиксации не влияет на исходные сетевые ресурсы.
• После подтверждения перемещения статус ресурса изменится на Ожидание удаления источника.

Настройка параметров после перемещения

После процесса перемещения можно настроить следующие параметры:

• Служба Мобильность" не удаляется с виртуальных машин в автоматическом режиме. Удалите ее вручную или оставьте, если планируется повторное перемещение сервера.
• После перемещения измените правила управления доступом Azure на основе ролей (Azure RBAC).

Удаление исходных ресурсов после фиксации

После перемещения при необходимости можно удалить ресурсы в исходном регионе.

1. На панели "По регионам" выберите каждый исходный ресурс, который требуется удалить, и выберите "Удалить источник".
2. В разделе Удалить источник проверьте удаляемый элемент и в поле Подтверждение удаления введите да.

   Внимание

   Это действие необратимо, поэтому будьте внимательны при проверке!

3. После ввода да выберите Удалить ресурс.

Примечание.

На портале перемещения ресурсов нельзя удалять группы ресурсов, хранилища ключей или серверы SQL Server. Необходимо удалить каждую из страницы свойств для каждого ресурса.

Удаление ресурсов, созданных для перемещения

После перемещения можно вручную удалить коллекцию перемещения и созданные ресурсы Site Recovery.

• Коллекция перемещения по умолчанию скрыта. Чтобы увидеть его, необходимо включить скрытые ресурсы.
• Хранилище кэша имеет блокировку, которую необходимо удалить, прежде чем ее можно будет удалить.

Для удаления своих ресурсов выполните следующие действия:

1. Найдите ресурсы в группе RegionMoveRG-<sourceregion>-<target-region>ресурсов.

2. Убедитесь, что все виртуальные машины и другие исходные ресурсы в исходном регионе перемещены или удалены. Этот шаг гарантирует, что не используются ожидающие ресурсы.

3. Удаление ресурсов:

   • Имя коллекции перемещения: movecollection-<sourceregion>-<target-region>
   • имя учетной записи хранения: resmovecache<guid>
   • Имя хранилища: ResourceMove-<sourceregion>-<target-region>-GUID

Следующие шаги

Дополнительные сведения о перемещении баз данных SQL Azure и эластичных пулов в другой регион.