Şifrelenmiş Azure VM'lerini bölgeler arasında taşıma
Azure Kaynak Taşıyıcı, Azure kaynaklarını Azure bölgeleri arasında taşımanıza yardımcı olur. Bu makalede, Azure Kaynak Taşıyıcı kullanılarak şifrelenmiş Azure sanal makinelerinin (VM) farklı bir Azure bölgesine nasıl taşındığı açıklanır.
Şifrelenmiş VM'ler şunlardan biri olarak tanımlanabilir:
- Azure Disk Şifrelemesi etkin diskleri olan VM'ler. Daha fazla bilgi için bkz . Azure portalını kullanarak Windows sanal makinesi oluşturma ve şifreleme.
- Bekleyen şifreleme için müşteri tarafından yönetilen anahtarları (CMK) veya sunucu tarafı şifrelemeyi kullanan VM'ler. Daha fazla bilgi için bkz . Yönetilen diskler için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi etkinleştirmek için Azure portalını kullanma.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Şifrelenmiş Azure VM'lerini ve bağımlı kaynaklarını başka bir Azure bölgesine taşıyın.
Not
Öğreticiler, bir senaryoyu denemek için en hızlı yolu gösterir ve mümkün olduğunda varsayılan seçenekleri kullanır.
Azure'da oturum açma
Azure aboneliğiniz yoksa, başlamadan önce ücretsiz bir hesap oluşturun ve Azure portalında oturum açın.
Önkoşullar
Başlamadan önce aşağıdakileri doğrulayın:
Gereksinim | Ayrıntılar |
---|---|
Abonelik izinleri | Taşımak istediğiniz kaynakları içeren abonelikte Sahip erişimine sahip olduğunuzdan emin olun. Neden Sahip erişimine ihtiyacım var? Bir Azure aboneliğinde belirli bir kaynak ve hedef çifti için ilk kez bir kaynak eklediğinizde, Resource Mover daha önce Yönetilen Hizmet Kimliği (MSI) olarak bilinen sistem tarafından atanan bir yönetilen kimlik oluşturur. Bu kimliğe abonelik tarafından güvenilir. Kimliği oluşturup gerekli rolleri (kaynak abonelikte Katkıda Bulunan ve Kullanıcı erişim yöneticisi) atayabilmeniz için, kaynak eklemek için kullandığınız hesabın abonelikte Sahip izinlerine sahip olması gerekir. Daha fazla bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri. |
VM desteği | Taşımak istediğiniz VM'lerin aşağıdakileri yaparak desteklendiğinden emin olun: |
Anahtar kasası gereksinimleri (Azure Disk Şifrelemesi) | VM'ler için Azure Disk Şifrelemesi etkinleştirdiyseniz, hem kaynak hem de hedef bölgelerde bir anahtar kasasına ihtiyacınız vardır. Daha fazla bilgi için bkz . Anahtar kasası oluşturma. Kaynak ve hedef bölgelerdeki anahtar kasaları için şu izinlere ihtiyacınız vardır: |
Disk şifreleme kümesi (CMK ile sunucu tarafı şifreleme) | CMK kullanan sunucu tarafı şifrelemeli VM'ler kullanıyorsanız, hem kaynak hem de hedef bölgelerde bir disk şifreleme kümesine ihtiyacınız vardır. Daha fazla bilgi için bkz . Disk şifreleme kümesi oluşturma. Müşteriler tarafından yönetilen anahtarlar için bir donanım güvenlik modülü (HSM anahtarları) kullanıyorsanız bölgeler arasında geçiş desteklenmez. |
Hedef bölge kotası | Abonelik, hedef bölgede taşıdığınız kaynakları oluşturmak için yeterli kotaya ihtiyaç duyar. Kotası yoksa ek sınırlar isteyin. |
Hedef bölge ücretleri | VM'leri taşıdığınız hedef bölgeyle ilişkili fiyatlandırmayı ve ücretleri doğrulayın. Fiyatlandırma hesaplayıcısını kullanın. |
Anahtar kasasında izinleri doğrulama
Azure Disk Şifrelemesi etkinleştirilmiş VM'leri taşıyorsanız bir betik çalıştırmanız gerekir. Betiği yürüten kullanıcıların bunu yapmak için uygun izinleri olmalıdır. Hangi izinlerin gerekli olduğunu anlamak için aşağıdaki tabloya bakın. Azure portalında anahtar kasasına giderek izinleri değiştirme seçeneklerini bulabilirsiniz. Ayarlar altında Erişim ilkeleri'ni seçin.
Kullanıcı izinleri yerinde değilse Erişim İlkesi Ekle'yi seçin ve izinleri belirtin. Kullanıcı hesabının zaten bir ilkesi varsa, Kullanıcı'nın altında aşağıdaki tabloda yer alan yönergelere göre izinleri ayarlayın.
Azure Disk Şifrelemesi kullanan Azure VM'leri aşağıdaki çeşitlemelere sahip olabilir ve izinleri ilgili bileşenlerine göre ayarlamanız gerekir. VM'lerde aşağıdakiler olabilir:
- Diskin yalnızca gizli dizilerle şifrelendiği varsayılan seçenektir.
- Anahtar Şifreleme Anahtarı (KEK) kullanan güvenlik eklendi.
Kaynak bölge anahtar kasası
Betiği yürüten kullanıcılar için aşağıdaki bileşenler için izinleri ayarlayın:
Bileşen | Gereken izinler |
---|---|
Gizli Diziler | Edinin Gizli dizi izinleri Gizli Dizi Yönetimi İşlemleri'ne> ve ardından Al'a tıklayın. |
Anahtar KEK kullanıyorsanız, gizli dizilere yönelik izinlere ek olarak bu izinlere de ihtiyacınız vardır. |
Alma ve Şifre Çözme Anahtar İzinleri Anahtar Yönetimi İşlemleri'ne> ve ardından Al'a tıklayın. Şifreleme İşlemleri'nde Şifre Çözme'yi seçin. |
Hedef bölge anahtar kasası
Erişim ilkeleri sekmesinde, birim şifrelemesi için Azure Disk Şifrelemesi etkinleştirildiğinden emin olun.
Betiği yürüten kullanıcılar için aşağıdaki bileşenler için izinleri ayarlayın:
Bileşen | Gereken izinler |
---|---|
Gizli Diziler | Ayarla Gizli dizi izinleri Gizli Dizi Yönetimi İşlemleri'ne> ve ardından Ayarla'ya tıklayın. |
Anahtar KEK kullanıyorsanız, gizli dizilere yönelik izinlere ek olarak bu izinlere de ihtiyacınız vardır. |
Alma, Oluşturma ve Şifreleme Anahtar İzinleri Anahtar Yönetimi İşlemleri'ne> ve ardından Al ve Oluştur'a tıklayın. Şifreleme İşlemleri'nde Şifrele'yi seçin. |
Önceki izinlere ek olarak, hedef anahtar kasasında, Kaynak Taşıyıcı'nın sizin adınıza Azure kaynaklarına erişmek için kullandığı Yönetilen Sistem Kimliği için izinler eklemeniz gerekir.
Yönetilen Sistem Kimliğine izin ekleme
Yönetilen Sistem Kimliği (MSI) izinleri eklemek için şu adımları izleyin:
Ayarlar altında Erişim ilkeleri ekle'yi seçin.
Sorumluyu seçin bölümünde MSI'yi arayın. MSI adı şeklindedir
movecollection-<sourceregion>-<target-region>-<metadata-region>
.MSI için aşağıdaki izinleri ekleyin:
Bileşen Gereken izinler Gizli Diziler Al ve Listele
Gizli dizi izinleri Gizli Dizi Yönetimi İşlemleri'ne> ve ardından Al ve Listele'ye tıklayın.Anahtar
KEK kullanıyorsanız, gizli dizilere yönelik izinlere ek olarak bu izinlere de ihtiyacınız vardır.Al ve Listele
Anahtar İzinleri Anahtar Yönetimi İşlemleri'ne> ve ardından Al ve Listele'ye tıklayın.
Anahtarları hedef anahtar kasasına kopyalama
Sağlanan betiği kullanarak şifreleme gizli dizilerini ve anahtarları kaynak anahtar kasasından hedef anahtar kasasına kopyalayın.
Anahtarları kaynak anahtar kasasından hedef anahtar kasasına kopyalamak için şu adımları izleyin:
- Betiği PowerShell'de çalıştırın. En son PowerShell sürümünü kullanmanızı öneririz.
- Betik özellikle şu modülleri gerektirir:
- Az.Compute
- Az.KeyVault (sürüm 3.0.0)
- Az.Accounts (sürüm 2.2.3)
Betiği çalıştırmak için aşağıdakileri yapın:
Betiği GitHub'da açın.
Betiğin içeriğini yerel bir dosyaya kopyalayın ve copy-keys.ps1 olarak adlandırın.
Betiği çalıştırın.
Azure Portal’ında oturum açın.
Kullanıcı Girişleri penceresinin altında kaynak aboneliği, kaynak grubunu, kaynak VM'yi, hedef konumu ve disk ve anahtar şifrelemesi için hedef kasaları seçin.
Betiği çalıştırmak için Seç düğmesini kullanın.
Betiğin çalışması tamamlandığında, bir ileti Size CopyKeys'in başarılı olduğunu bildirir.
VM'leri hazırlama
VM'leri taşımaya hazırlamak için şu adımları izleyin:
- VM'lerin önkoşulları karşılayıp karşılamadığını denetledikten sonra, taşımak istediğiniz VM'lerin açık olduğundan emin olun. Hedef bölgede kullanılabilir olmasını istediğiniz tüm VM disklerinin VM'ye eklenmesi ve başlatılması gerekir.
- VM'lerin en son güvenilen kök sertifikalara ve güncelleştirilmiş sertifika iptal listesine (CRL) sahip olduğundan emin olmak için aşağıdakileri yapın:
- Windows VM'lerinde en son Windows güncelleştirmelerini yükleyin.
- Linux VM'lerinde, makinelerin en son sertifikalara ve CRL'ye sahip olması için dağıtımcı yönergelerini izleyin.
- VM'lerden giden bağlantıya izin vermek için aşağıdakilerden birini yapın:
- Giden bağlantıyı denetlemek için URL tabanlı güvenlik duvarı ara sunucusu kullanıyorsanız URL'lere erişime izin verin.
- Giden bağlantıyı denetlemek için ağ güvenlik grubu (NSG) kuralları kullanıyorsanız bu hizmet etiketi kurallarını oluşturun.
Taşınacak kaynakları seçin
Seçtiğiniz kaynak bölgesindeki kaynak gruplarından herhangi birinde desteklenen herhangi bir kaynak türünü seçebilirsiniz. Kaynakları kaynak bölgeyle aynı abonelikte yer alan bir hedef bölgeye taşıyabilirsiniz. Aboneliği değiştirmek istiyorsanız, kaynaklar taşındıktan sonra bunu yapabilirsiniz.
Kaynakları seçmek için aşağıdakileri yapın:
Azure portalında kaynak taşıyıcıyı arayın. Hizmetler'in altında Azure Kaynak Taşıyıcı'yı seçin.
Azure Kaynak Taşıyıcıya Genel Bakış bölmesinde Bölgeler arasında taşı'yı seçin.
Kaynakları>taşı Kaynak + hedef sekmesinde aşağıdakileri yapın:
- Kaynak aboneliği ve bölgeyi seçin.
- Hedef'in altında VM'leri taşımak istediğiniz bölgeyi seçin ve İleri'yi seçin.
Taşınacak kaynaklar sekmesinde Kaynakları seç seçeneğini belirleyerek kullanılabilir VM'ler listesini içeren yeni bir sekme açın.
Kaynakları seçin sekmesinde, taşımak istediğiniz VM'leri seçin. Taşınacak kaynakları seçin bölümünde belirtildiği gibi, yalnızca taşıma için desteklenen kaynakları ekleyebilirsiniz.
Not
Bu öğreticide, müşteri tarafından yönetilen anahtarla sunucu tarafı şifreleme (rayne-vm) kullanan bir VM ve disk şifrelemesi etkinleştirilmiş bir VM (rayne-vm-ade) seçersiniz.
Bitti'yi seçin.
Taşınacak kaynaklar sekmesini seçin ve İleri'yi seçin.
Gözden Geçir sekmesini seçin ve kaynak ve hedef ayarlarını denetleyin.
Kaynakları eklemeye başlamak için Devam'ı seçin.
İlerleme durumunu izlemek için bildirimler simgesini seçin. İşlem başarıyla tamamlandıktan sonra Bildirimler bölmesinde Taşıma için kaynaklar eklendi'yi seçin.
Bildirimi seçtikten sonra Bölgeler arasında sayfasındaki kaynakları gözden geçirin.
Not
- Eklediğiniz kaynaklar Hazırlama beklemede durumuna yerleştirilir.
- VM'lerin kaynak grubu otomatik olarak eklenir.
- Hedef yapılandırma girişlerini, hedef bölgede zaten var olan bir kaynağı kullanacak şekilde değiştirirseniz, kaynak durumu İşleme bekleniyor olarak ayarlanır çünkü bu kaynak için bir taşıma başlatmanız gerekmez.
- Eklenen bir kaynağı kaldırmak istiyorsanız, kullanacağınız yöntem taşıma işleminin neresinde olduğunuz bağlıdır. Daha fazla bilgi için bkz . Taşıma koleksiyonlarını ve kaynak gruplarını yönetme.
Bağımlılıkları çözme
Taşımadan önce bağımlılıkları çözmek için şu adımları izleyin:
Bağımlılıklar, siz ekledikten sonra arka planda doğrulanır. Bağımlılıkları doğrula düğmesi görürseniz, el ile doğrulamayı tetikleme için bu düğmeyi seçin.
Doğrulama işlemi başlar.
Bağımlılıklar bulunursa Bağımlılık ekle'yi seçin.
Bağımlılık ekle bölmesinde varsayılan Tüm bağımlılıkları göster seçeneğini koruyun.
- Bir kaynağın tüm doğrudan ve dolaylı bağımlılıkları aracılığıyla tüm bağımlılıkları yinelemektedir. Örneğin, bir VM için NIC, sanal ağ, ağ güvenlik grupları (NSG) vb. gösterilir.
- Birinci düzey bağımlılıkları göster yalnızca doğrudan bağımlılıkları gösterir. Örneğin, bir VM için sanal ağı değil NIC'yi gösterir.
Eklemek istediğiniz bağımlı kaynakları ve ardından Bağımlılık ekle'yi seçin.
Bağımlılıklar, siz ekledikten sonra arka planda otomatik olarak doğrulanır. Bağımlılıkları doğrula seçeneğini görürseniz, el ile doğrulamayı tetikleme seçeneğini belirleyin.
Hedef kaynakları atama
Şifrelemeyle ilişkili hedef kaynakları el ile atamanız gerekir.
Azure Disk Şifrelemesi etkinleştirilmiş bir VM'yi taşıyorsanız hedef bölgenizdeki anahtar kasası bağımlılık olarak görünür. CMK kullanan sunucu tarafı şifrelemesi olan bir VM'yi taşıyorsanız, hedef bölgede ayarlanan disk şifrelemesi bağımlılık olarak görünür.
Bu öğretici, Azure Disk Şifrelemesi etkinleştirilmiş ve CMK kullanan bir VM'yi taşımayı gösterdiğinden, hem hedef anahtar kasası hem de disk şifreleme kümesi bağımlılık olarak gösterilir.
Hedef kaynakları el ile atamak için aşağıdakileri yapın:
Disk şifreleme kümesi girdisinde Hedef yapılandırma sütununda Kaynak atanmadı'yı seçin.
Yapılandırma ayarları'nda hedef disk şifreleme kümesini seçin ve Değişiklikleri kaydet'i seçin.
Değiştirdiğiniz kaynağın bağımlılıklarını kaydedebilir ve doğrulayabilir veya yalnızca değişiklikleri kaydedebilir ve değiştirdiğiniz her şeyi aynı anda doğrulayabilirsiniz.
Hedef kaynağı ekledikten sonra disk şifreleme kümesinin durumu İşleme taşıma bekleniyor olarak değiştirilir.
Anahtar kasası girişinde Hedef yapılandırma sütununda Kaynak atanmadı'yı seçin. Yapılandırma ayarları'nın altında hedef anahtar kasasını seçin ve değişikliklerinizi kaydedin.
Bu aşamada, disk şifreleme kümesi ve anahtar kasası durumları İşleme taşıma bekleniyor olarak değiştirilir.
Şifreleme kaynaklarının taşıma işlemini işlemek ve tamamlamak için aşağıdakileri yapın:
- Bölgeler arasında kaynağı (disk şifreleme kümesi veya anahtar kasası) seçin ve Taşımayı işle'yi seçin.
- Kaynakları Taşı'da İşleme'yi seçin.
Not
Taşıma işlemini tamamladıktan sonra kaynak durumu Kaynağı silme bekliyor olarak değişir.
Taşıma için kaynakları hazırlama
Artık şifreleme kaynakları ve kaynak kaynak grubu taşındığına göre, geçerli durumu Hazırlama beklemede olan diğer kaynakları taşımaya hazırlayabilirsiniz.
Bölgeler arasında bölmesinde taşıma işlemini yeniden doğrulayın ve sorunları çözün.
Taşımaya başlamadan önce hedef ayarları düzenlemek istiyorsanız kaynağın Hedef yapılandırma sütunundaki bağlantıyı seçin ve ayarları düzenleyin. Hedef VM ayarlarını düzenlerseniz, hedef VM boyutu kaynak VM boyutundan küçük olmamalıdır.
Taşımak istediğiniz Hazırlama bekleme durumundaki kaynaklar için Hazırla'yı seçin.
Kaynakları hazırla bölmesinde Hazırla'yı seçin.
- Hazırlık sırasında, Azure Site Recovery mobility aracısı bunları çoğaltmak için VM'lere yüklenir.
- VM verileri düzenli aralıklarla hedef bölgeye çoğaltılır. Bu, kaynak VM'yi etkilemez.
- Kaynak Taşıma, diğer kaynak kaynaklar için ARM şablonları oluşturur.
Taşımayı başlatma
Artık hazırlanan kaynakları hazırladığınıza göre, taşıma işlemini başlatabilirsiniz.
Bölgeler arasında bölmesinde, durumu Taşımayı başlat beklemede olan kaynakları seçin ve taşımayı başlat'ı seçin.
Kaynakları taşı bölmesinde Taşımayı başlat'ı seçin.
Bildirim çubuğunda taşıma işleminin ilerleme durumunu izleyin.
- VM'ler için hedef bölgede çoğaltma VM'leri oluşturulur. Kaynak VM kapatılır ve bazı kapalı kalma süreleri (genellikle dakikalar) oluşur.
- Kaynak Taşıyıcı, hazırlanan ARM şablonlarını kullanarak diğer kaynakları yeniden oluşturur. Genellikle kapalı kalma süresi yoktur.
- Kaynakları taşıdıktan sonra durumları İşleme taşıma bekleniyor olarak değişir.
Taşımayı at veya işle
İlk taşıma işleminden sonra taşımayı işlemeye veya atmaya karar vekleyebilirsiniz.
- At: Bir taşımayı test ediyorsanız ve kaynak kaynağı gerçekten taşımak istemiyorsanız atabilirsiniz. Taşımanın atılması, Taşıma bekleniyor durumunu başlatma kaynağını döndürür.
- İşleme: İşleme, hedef bölgeye taşıma işlemini tamamlar. Kaynak kaynağı işledikten sonra durumu Kaynağı silme bekliyor olarak değişir ve silmek isteyip istemediğinize karar vekleyebilirsiniz.
Taşımayı at
Taşımayı atmak için aşağıdakileri yapın:
- Bölgeler arasında bölmesinde, Durumu Yürütme taşıma bekliyor olan kaynakları seçin ve taşımayı at'ı seçin.
- Taşımayı at bölmesinde At'ı seçin.
- Bildirim çubuğunda taşıma işleminin ilerleme durumunu izleyin.
Not
Kaynakları atdıktan sonra, VM durumları Taşımayı başlatma beklemede olarak değişir.
Taşımayı işleme
Taşıma işlemini tamamlamak için aşağıdakileri yaparak taşıma işlemini yürütebilirsiniz:
Bölgeler arasında bölmesinde, Durumu İşleme taşıma beklemede olan kaynakları seçin ve Taşımayı işle'yi seçin.
Kaynakları işle bölmesinde İşle'yi seçin.
Bildirim çubuğunda işleme ilerleme durumunu izleyin.
Not
- Taşıma işlemini tamamladıktan sonra VM'ler çoğaltmayı durdurur. Kaynak VM işlemeden etkilenmez.
- İşleme işlemi kaynak ağ kaynaklarını etkilemez.
- Taşıma işlemini tamamladıktan sonra kaynak durumları Kaynağı silme bekliyor olarak değişir.
Taşımadan sonra ayarları yapılandırma
Taşıma işleminden sonra aşağıdaki ayarları yapılandırabilirsiniz:
- Mobility hizmeti VM'lerden otomatik olarak kaldırılamaz. El ile kaldırın veya sunucuyu yeniden taşımayı planlıyorsanız bırakın.
- Taşıma sonrasında Azure rol tabanlı erişim denetimi (RBAC) kurallarını değiştirin.
İşlemeden sonra kaynak kaynakları silme
Taşıma sonrasında, isteğe bağlı olarak kaynak bölgedeki kaynakları silebilirsiniz.
- Bölgeler arasında bölmesinde, silmek istediğiniz her kaynak kaynağını seçin ve kaynağı sil'i seçin.
- Kaynağı sil bölümünde silmeyi planladığınız öğeyi gözden geçirin ve Silmeyi onayla bölümüne evet yazın.
Dikkat
Eylem geri alınamaz, bu yüzden dikkatle kontrol edin!
- Evet yazdıktan sonra Kaynağı sil'i seçin.
Not
Kaynak Taşıma portalında kaynak gruplarını, anahtar kasalarını veya SQL Server örneklerini silemezsiniz. Her kaynağın özellikler sayfasından her bir kaynağı tek tek silmeniz gerekir.
Taşıma için oluşturduğunuz kaynakları silme
Taşıma işleminden sonra, bu işlem sırasında oluşturduğunuz taşıma koleksiyonunu ve Site Recovery kaynaklarını el ile silebilirsiniz.
- Taşıma koleksiyonu varsayılan olarak gizlenir. Bunu görmek için gizli kaynakları açmanız gerekir.
- Önbellek depolama alanının silinebilmesi için önce silinmesi gereken bir kilidi vardır.
Kaynaklarınızı silmek için aşağıdakileri yapın:
kaynak grubundaki
RegionMoveRG-<sourceregion>-<target-region>
kaynakları bulun.Kaynak bölgedeki tüm VM'lerin ve diğer kaynak kaynakların taşındığından veya silindiğinden emin olun. Bu adım, bekleyen kaynakların bunları kullanmamasını sağlar.
Kaynakları silin:
- Koleksiyon adını taşı:
movecollection-<sourceregion>-<target-region>
- Önbellek depolama hesabı adı:
resmovecache<guid>
- Kasa adı:
ResourceMove-<sourceregion>-<target-region>-GUID
- Koleksiyon adını taşı:
Sonraki adımlar
Azure SQL veritabanlarını ve elastik havuzları başka bir bölgeye taşıma hakkında daha fazla bilgi edinin.