Flytta krypterade virtuella Azure-datorer mellan regioner

  • Artikel

Azure Resource Mover hjälper dig att flytta Azure-resurser mellan Azure-regioner. Den här artikeln beskriver hur du flyttar krypterade virtuella Azure-datorer till en annan Azure-region med hjälp av Azure Resource Mover.

Krypterade virtuella datorer kan beskrivas som antingen:

I den här självstudien lär du dig att:

  • Flytta krypterade virtuella Azure-datorer och deras beroende resurser till en annan Azure-region.

Kommentar

Självstudier visar den snabbaste sökvägen för att testa ett scenario och använda standardalternativ där det är möjligt.

Logga in på Azure

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar och loggar in på Azure-portalen.

Förutsättningar

Kontrollera följande innan du börjar:

Krav Information
Prenumerationsbehörigheter Kontrollera att du har ägaråtkomst för den prenumeration som innehåller de resurser som du vill flytta.

Varför behöver jag ägaråtkomst? Första gången du lägger till en resurs för ett specifikt käll- och målpar i en Azure-prenumeration skapar Resource Mover en systemtilldelad hanterad identitet, som tidigare kallades MSI (Managed Service Identity). Den här identiteten är betrodd av prenumerationen. Innan du kan skapa identiteten och tilldela den de roller som krävs (deltagare och administratör för användaråtkomst i källprenumerationen) måste kontot du använder för att lägga till resurser ha ägarbehörigheter i prenumerationen. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.
Stöd för virtuella datorer Se till att de virtuella datorer som du vill flytta stöds genom att göra följande:
  • Verifiera virtuella Windows-datorer som stöds.
  • Verifiera virtuella Linux-datorer och kernelversioner som stöds.
  • Kontrollera inställningar för beräkning, lagring och nätverk som stöds.
    		•
    Krav för nyckelvalv (Azure Disk Encryption) Om du har Azure Disk Encryption aktiverat för virtuella datorer behöver du ett nyckelvalv i både käll- och målregionerna. Mer information finns i Skapa ett nyckelvalv.

    För nyckelvalv i käll- och målregionerna behöver du följande behörigheter:
  • Nyckelbehörigheter: Nyckelhanteringsåtgärder (hämta, lista) och kryptografiska åtgärder (dekryptera och kryptera)
  • Hemliga behörigheter: Hemliga hanteringsåtgärder (Hämta, Lista och Ange)
  • Certifikat (lista och hämta)
    		•
    Diskkrypteringsuppsättning (kryptering på serversidan med CMK) Om du använder virtuella datorer med kryptering på serversidan som använder en CMK behöver du en diskkrypteringsuppsättning i både käll- och målregionerna. Mer information finns i Skapa en diskkrypteringsuppsättning.

    Det går inte att flytta mellan regioner om du använder en maskinvarusäkerhetsmodul (HSM-nycklar) för kundhanterade nycklar.
    Målregionkvot Prenumerationen behöver tillräckligt med kvot för att skapa de resurser som du flyttar i målregionen. Om den inte har någon kvot begär du ytterligare gränser.
    Avgifter för målregion Kontrollera de priser och avgifter som är associerade med målregionen som du flyttar de virtuella datorerna till. Använd priskalkylatorn.

    Verifiera behörigheter i nyckelvalvet

    Om du flyttar virtuella datorer som har Azure Disk Encryption aktiverat måste du köra ett skript. De användare som kör skriptet bör ha rätt behörighet att göra det. Information om vilka behörigheter som krävs finns i följande tabell. Du hittar alternativen för att ändra behörigheterna genom att gå till nyckelvalvet i Azure-portalen. Under Inställningar väljer du Åtkomstprinciper.

    Skärmbild av länken Åtkomstprinciper i nyckelvalvet Inställningar fönstret.

    Om användarbehörigheterna inte är på plats väljer du Lägg till åtkomstprincip och anger behörigheterna. Om användarkontot redan har en princip under Användare anger du behörigheterna enligt anvisningarna i följande tabell.

    Virtuella Azure-datorer som använder Azure Disk Encryption kan ha följande varianter och du måste ange behörigheterna enligt deras relevanta komponenter. De virtuella datorerna kan ha:

    • Ett standardalternativ där disken endast krypteras med hemligheter.
    • Säkerhet som använder en nyckelkrypteringsnyckel (KEK) har lagts till.

    Nyckelvalv för källregion

    För användare som kör skriptet anger du behörigheter för följande komponenter:

    Komponent Privilegier som krävs
    Hemligheter Hämta

    Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Hämta.
    Nycklar

    Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter.    		 Hämta och dekryptera

    Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta. I Kryptografiska åtgärder väljer du Dekryptera.

    Nyckelvalv för målregion

    På fliken Åtkomstprinciper kontrollerar du att Azure Disk Encryption för volymkryptering är aktiverat.

    För användare som kör skriptet anger du behörigheter för följande komponenter:

    Komponent Privilegier som krävs
    Hemligheter Ställ in

    Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Ange.
    Nycklar

    Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter.    		 Hämta, skapa och kryptera

    Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta och Skapa. I Kryptografiska åtgärder väljer du Kryptera.

    Förutom föregående behörigheter måste du i målnyckelvalvet lägga till behörigheter för den hanterade systemidentitet som Resource Mover använder för att få åtkomst till Azure-resurserna åt dig.

    Lägga till behörigheter till hanterad systemidentitet

    Följ dessa steg om du vill lägga till behörigheter för den hanterade systemidentiteten (MSI):

    1. Under Inställningar väljer du Lägg till åtkomstprinciper.

    2. I Välj huvudnamn söker du efter MSI. MSI-namnet är movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Lägg till följande behörigheter för MSI:

      Komponent Privilegier som krävs
      Hemligheter Hämta och lista

      Välj Hemliga behörigheter>Hemliga hanteringsåtgärder och välj Hämta och Lista.
      Nycklar

      Om du använder en KEK behöver du dessa behörigheter utöver behörigheterna för hemligheter.      		 Hämta och lista

      Välj Nyckelbehörigheter>Nyckelhanteringsåtgärder och välj Hämta och lista.

    Kopiera nycklarna till målnyckelvalvet

    Kopiera krypteringshemligheterna och nycklarna från källnyckelvalvet till målnyckelvalvet med hjälp av det angivna skriptet.

    Följ dessa steg för att kopiera nycklarna från källnyckelvalvet till målnyckelvalvet:

    • Kör skriptet i PowerShell. Vi rekommenderar att du använder den senaste PowerShell-versionen.
    • Mer specifikt kräver skriptet dessa moduler:
      • Az.Compute
      • Az.KeyVault (version 3.0.0)
      • Az.Accounts (version 2.2.3)

    Kör skriptet genom att göra följande:

    1. Öppna skriptet i GitHub.

    2. Kopiera innehållet i skriptet till en lokal fil och ge det namnet Copy-keys.ps1.

    3. Kör skriptet.

    4. Logga in på Azure-portalen.

    5. Under fönstret Användarindata väljer du källprenumerationen , resursgruppen, den virtuella källdatorn, målplatsen och målvalv för disk- och nyckelkryptering.

      Skärmbild av fönstret

    6. Använd knappen Välj för att köra skriptet.

      När skriptet har körts meddelar ett meddelande dig att CopyKeys har lyckats.

    Förbereda virtuella datorer

    Följ dessa steg för att förbereda virtuella datorer för flytten:

    1. När du har kontrollerat att de virtuella datorerna uppfyller kraven kontrollerar du att de virtuella datorer som du vill flytta är aktiverade. Alla virtuella datordiskar som du vill ska vara tillgängliga i målregionen måste vara anslutna och initierade på den virtuella datorn.
    2. För att säkerställa att de virtuella datorerna har de senaste betrodda rotcertifikaten och en uppdaterad lista över återkallade certifikat (CRL) gör du följande:
      • Installera de senaste Windows-uppdateringarna på virtuella Windows-datorer.
      • På virtuella Linux-datorer följer du distributörsvägledningen så att datorerna har de senaste certifikaten och CRL.
    3. Om du vill tillåta utgående anslutning från de virtuella datorerna gör du något av följande:
      • Om du använder en URL-baserad brandväggsproxy för att styra utgående anslutning kan du tillåta åtkomst till URL:erna.
      • Om du använder regler för nätverkssäkerhetsgrupp (NSG) för att styra utgående anslutning skapar du dessa regler för tjänsttaggar.

    Välj de resurser som ska flyttas

    Du kan välja valfri resurstyp som stöds i någon av resursgrupperna i källregionen som du väljer. Du kan flytta resurser till en målregion som finns i samma prenumeration som källregionen. Om du vill ändra prenumerationen kan du göra det när resurserna har flyttats.

    Gör följande för att välja resurser:

    1. Sök efter resursflyttare i Azure-portalen. Under Tjänster väljer du Azure Resource Mover.

      Skärmbild av sökresultat för Azure Resource Mover i Azure-portalen.

    2. I fönstret Översikt över Azure Resource Mover väljer du Flytta mellan regioner.

      Skärmbild av knappen Flytta mellan regioner för att lägga till resurser för att flytta till en annan region.

    3. Gör följande på fliken Flytta resurser>Källa + mål:

      1. Välj källprenumeration och region.
      2. Under Mål väljer du den region där du vill flytta de virtuella datorerna och väljer Nästa.

      Sida för att välja käll- och målregion..

    4. På fliken Resurser att flytta väljer du alternativet Välj resurser för att öppna en ny flik med listan tillgängliga virtuella datorer.

      Skärmbild av fönstret Flytta resurser och knappen Välj resurser.].

    5. På fliken Välj resurser väljer du de virtuella datorer som du vill flytta. Som du nämnde i avsnittet Välj de resurser som ska flyttas kan du bara lägga till resurser som stöds för en flytt.

      Skärmbild av fönstret Välj resurser för att välja virtuella datorer att flytta.

      Kommentar

      I den här självstudien väljer du en virtuell dator som använder kryptering på serversidan (rayne-vm) med en kundhanterad nyckel och en virtuell dator med diskkryptering aktiverat (rayne-vm-ade).

    6. Välj Klar.

    7. Välj fliken Resurser för att flytta och välj Nästa.

    8. Välj fliken Granska och kontrollera käll- och målinställningarna.

      Skärmbild av fönstret för granskning av käll- och målinställningar.

    9. Välj Fortsätt för att börja lägga till resurserna.

    10. Välj meddelandeikonen för att spåra förloppet. När processen har slutförts går du till fönstret Meddelanden och väljer Tillagda resurser för flytt.

      Skärmbild av fönstret Meddelanden för att bekräfta att resurser har lagts till.

    11. När du har valt meddelandet granskar du resurserna på sidan Över regioner .

      Skärmbild av tillagda resurser med statusen Förbered väntar.

    Kommentar

    • De resurser som du lägger till placeras i tillståndet Förbered väntar .
    • Resursgruppen för de virtuella datorerna läggs till automatiskt.
    • Om du ändrar målkonfigurationsposterna så att de använder en resurs som redan finns i målregionen är resurstillståndet inställt på Incheckning väntar, eftersom du inte behöver initiera en flytt för den.
    • Om du vill ta bort en resurs som har lagts till beror metoden du använder på var du befinner dig i flyttprocessen. Mer information finns i Hantera flyttsamlingar och resursgrupper.

    Lösa beroenden

    Följ dessa steg för att lösa beroenden före flytten:

    1. Beroenden verifieras i bakgrunden när du har lagt till dem. Om du ser knappen Verifiera beroenden väljer du den för att utlösa den manuella valideringen.

      Skärmbild som visar knappen Verifiera beroenden.

      Valideringsprocessen börjar.

    2. Om beroenden hittas väljer du Lägg till beroenden.

      Skärmbild av knappen Lägg till beroenden.

    3. I fönstret Lägg till beroenden behåller du alternativet Visa alla beroenden som standard.

      • Visa alla beroenden som itererar genom alla direkta och indirekta beroenden för en resurs. För en virtuell dator visas till exempel nätverkskortet, det virtuella nätverket, nätverkssäkerhetsgrupper (NSG:er) och så vidare.
      • Visa beroenden på första nivån visar endast direkta beroenden. För en virtuell dator visas till exempel nätverkskortet men inte det virtuella nätverket.

    4. Välj de beroende resurser som du vill lägga till och välj Lägg till beroenden.

      Skärmbild av listan med beroenden och knappen Lägg till beroenden.

    5. Beroenden verifieras automatiskt i bakgrunden när du har lagt till dem. Om du ser alternativet Verifiera beroenden väljer du det för att utlösa den manuella valideringen.

      Skärmbild av fönstret för att återskapa beroendena.

    Tilldela målresurser

    Du måste tilldela målresurser som är associerade med kryptering manuellt.

    Om du flyttar en virtuell dator som har Azure Disk Encryption aktiverat visas nyckelvalvet i målregionen som ett beroende. Om du flyttar en virtuell dator med kryptering på serversidan som använder CMK:er visas diskkrypteringsuppsättningen i målregionen som ett beroende.

    Eftersom den här självstudien visar hur du flyttar en virtuell dator som har Azure Disk Encryption aktiverat och som använder en CMK visas både målnyckelvalvet och diskkrypteringsuppsättningen som beroenden.

    Gör följande för att tilldela målresurserna manuellt:

    1. I posten för diskkrypteringsuppsättningen väljer du Resurs som inte har tilldelats i kolumnen Målkonfiguration .

    2. I Konfigurationsinställningar väljer du måldiskkrypteringsuppsättningen och väljer Spara ändringar.

    3. Du kan spara och verifiera beroenden för den resurs som du ändrar, eller så kan du bara spara ändringarna och verifiera allt du ändrar samtidigt.

      Skärmbild av fönstret Målkonfiguration för att spara ändringar i målregionen.

      När du har lagt till målresursen ändras statusen för diskkrypteringsuppsättningen till Incheckning väntar.

    4. I nyckelvalvets post väljer du Resurs som inte har tilldelats i kolumnen Målkonfiguration . Under Konfigurationsinställningar väljer du målnyckelvalvet och sparar ändringarna.

    I det här skedet ändras diskkrypteringsuppsättningen och nyckelvalvsstatusarna till Incheckning väntar.

    Skärmbild av fönstret för att förbereda andra resurser.

    Gör följande för att checka in och slutföra flyttprocessen för krypteringsresurser:

    1. I Flera regioner väljer du resursen (diskkrypteringsuppsättning eller nyckelvalv) och väljer Genomför flytt.
    2. I Flytta resurser väljer du Checka in.

    Kommentar

    När du har checkat in flytten ändras resursstatusen till Ta bort väntande källa.

    Förbereda resurser för flytt

    Nu när krypteringsresurserna och källresursgruppen har flyttats kan du förbereda för att flytta andra resurser vars aktuella status är Förbered väntar.

    1. I fönstret Över regioner validerar du flytten igen och löser eventuella problem.

    2. Om du vill redigera målinställningarna innan du påbörjar flytten väljer du länken i kolumnen Målkonfiguration för resursen och redigerar inställningarna. Om du redigerar inställningarna för den virtuella måldatorn bör storleken på den virtuella måldatorn inte vara mindre än storleken på den virtuella källdatorn.

    3. För resurser med statusen Förbered väntar som du vill flytta väljer du Förbered.

    4. I fönstret Förbered resurser väljer du Förbered.

      • Under förberedelserna installeras Azure Site Recovery-mobilitetsagenten på de virtuella datorerna för att replikera dem.
      • Vm-data replikeras regelbundet till målregionen. Detta påverkar inte den virtuella källdatorn.
      • Resource Move genererar ARM-mallar för de andra källresurserna.

    Kommentar

    När du har förberett resurserna ändras deras status till Initiera flytt väntar. Skärmbild av fönstret Förbered resurser som visar resurserna i statusen

    Initiera flytten

    Nu när du har förberett resurserna kan du initiera flytten.

    1. I fönstret Över regioner väljer du de resurser vars status är Initiera flytt väntar och väljer Initiera flytt.

    2. I fönstret Flytta resurser väljer du Initiera flytt.

    3. Spåra förloppet för flytten i meddelandefältet.

      • För virtuella datorer skapas virtuella replikdatorer i målregionen. Den virtuella källdatorn stängs av och viss stilleståndstid inträffar (vanligtvis minuter).
      • Resource Mover återskapar andra resurser med hjälp av de förberedda ARM-mallarna. Det är vanligtvis ingen stilleståndstid.
      • När du har flyttat resurserna ändras deras status till Incheckningsflytt väntar.

      Skärmbild av en lista över resurser med statusen

    Ignorera eller checka in flytten

    Efter den första flytten kan du bestämma om du vill checka in flytten eller ta bort den.

    • Ignorera: Du kan ignorera en flytt om du testar den och inte vill flytta källresursen. Om du tar bort flytten returneras resursen till Initiera flytt väntar på status.
    • Incheckning: Incheckning slutför flytten till målregionen. När du har checkat in en källresurs ändras statusen till Ta bort väntande källa och du kan bestämma om du vill ta bort den.

    Ignorera flytten

    Gör följande för att ignorera flytten:

    1. I fönstret Över regioner väljer du resurser vars status är Incheckning väntar på flytt och väljer Ignorera flytt.
    2. I fönstret Ignorera flytt väljer du Ignorera.
    3. Spåra förloppet för flytten i meddelandefältet.

    Kommentar

    När du har tagit bort resurserna ändras statusen för den virtuella datorn till Initiera flytt väntar.

    Checka in flytten

    För att slutföra flyttprocessen genomför du flytten genom att göra följande:

    1. I fönstret Över regioner väljer du resurser vars status är Checka in flytt väntar och väljer Checka in flytt.

    2. I fönstret Incheckningsresurser väljer du Checka in.

      Skärmbild av en lista över resurser för att checka in resurser för att slutföra flytten.

    3. Spåra incheckningens förlopp i meddelandefältet.

    Kommentar

    • När du har checkat in flytten slutar de virtuella datorerna att replikera. Den virtuella källdatorn påverkas inte av incheckningen.
    • Incheckningsprocessen påverkar inte källnätverksresurserna.
    • När du har checkat in flytten ändras resursstatusen till Ta bort väntande källa.

    Konfigurera inställningar efter flytten

    Du kan konfigurera följande inställningar efter flyttprocessen:

    • Mobilitetstjänsten avinstalleras inte automatiskt från virtuella datorer. Avinstallera den manuellt eller lämna den om du planerar att flytta servern igen.
    • Ändra RBAC-regler (Rollbaserad åtkomstkontroll) i Azure efter flytten.

    Ta bort källresurser efter incheckning

    Efter flytten kan du ta bort resurser i källregionen.

    1. I fönstret Över regioner väljer du varje källresurs som du vill ta bort och väljer Ta bort källa.
    2. I Ta bort källa granskar du vad du tänker ta bort och skriver ja i Bekräfta borttagning.

      Varning

      Åtgärden är oåterkallelig, så kontrollera noggrant!

    3. När du har skrivt ja väljer du Ta bort källa.

    Kommentar

    I Resource Move-portalen kan du inte ta bort resursgrupper, nyckelvalv eller SQL Server-instanser. Du måste ta bort var och en individuellt från egenskapssidan för varje resurs.

    Ta bort resurser som du skapade för flytten

    Efter flytten kan du manuellt ta bort flyttsamlingen och Site Recovery-resurserna som du skapade under den här processen.

    • Flyttsamlingen är dold som standard. Om du vill se den måste du aktivera dolda resurser.
    • Cachelagringen har ett lås som måste tas bort innan det kan tas bort.

    Gör följande för att ta bort dina resurser:

    1. Leta upp resurserna i resursgruppen RegionMoveRG-<sourceregion>-<target-region>.

    2. Kontrollera att alla virtuella datorer och andra källresurser i källregionen har flyttats eller tagits bort. Det här steget säkerställer att inga väntande resurser använder dem.

    3. Ta bort resurserna:

      • Flytta samlingsnamn: movecollection-<sourceregion>-<target-region>
      • Namn på cachelagringskonto: resmovecache<guid>
      • Valvnamn: ResourceMove-<sourceregion>-<target-region>-GUID

    Nästa steg

    Läs mer om att flytta Azure SQL-databaser och elastiska pooler till en annan region.