你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

复制其中磁盘启用了客户托管密钥 (CMK) 的计算机

  • 项目

本文介绍了如何将其中托管磁盘启用了客户托管密钥 (CMK) 的 Azure VM 从一个 Azure 区域复制到另一个区域。

先决条件

在为其中托管磁盘启用了 CMK 的虚拟机启用复制之前,必须在目标订阅的目标区域中创建磁盘加密集。

启用复制

使用以下过程复制带有支持客户管理的密钥 (CMK) 的磁盘的计算机。 例如,主要 Azure 区域是东亚,次要区域是东南亚。

  1. 在保管库 >“Site Recovery”页的“Azure 虚拟机”下,选择“启用复制”。

  2. 请在“启用复制”页的“源”下,执行以下操作:

    • 区域:选择要在其中保护 VM 的 Azure 区域。 例如,源位置是“东亚”。

    • 订阅:选择源 VM 所属的订阅。 这可以是存在恢复服务保管库的同一 Microsoft Entra 租户中的任何订阅。

    • 资源组:选择源虚拟机所属的资源组。 所选资源组中要保护的所有 VM 会在下一步骤中列出。

    • 虚拟机部署模型:选择源计算机的 Azure 部署模型。

    • 可用性区域之间的灾难恢复:如果想在虚拟机上执行区域性灾难恢复,请选择“是”。

      屏幕截图突出显示了配置复制所需的字段。

  3. 选择“下一页”。

  4. 在“虚拟机”中选择要复制的每个 VM。 只能选择可以启用复制的计算机。 最多可以选择 10 个 VM。 然后,选择“下一步”。

    屏幕截图突出显示了选择虚拟机的位置。

  5. 在“复制设置”中,可以配置以下设置:

    1. 在“位置和资源组”下:

      • 目标位置:选择必须将源虚拟机数据复制到其中的位置。 根据所选计算机的位置,Site Recovery 将提供合适的目标区域列表。 我们建议将目标位置与恢复服务保管库位置保持相同。

      • 目标订阅:选择用于灾难恢复的目标订阅。 默认情况下,目标订阅将与源订阅相同。

      • 目标资源组:选择所有复制的虚拟机所属的资源组。

        • 默认情况下,Site Recovery 会在目标区域中创建一个名称带 asr 后缀的新资源组。
        • 如果 Site recovery 创建的资源组已存在,则会重复使用它。
        • 可以自定义资源组设置。
        • 目标资源组的位置可以是除托管源 VM 区域以外的任何 Azure 区域。

        注意

        还可以通过选择“新建”来创建新的目标资源组。

        位置和资源组的屏幕截图。

    2. 在“网络”下:

      • 故障转移虚拟网络:选择故障转移虚拟网络。

        注意

        还可以通过选择“新建”来创建新的故障转移虚拟网络。

      • 故障转移子网:选择故障转移子网。

        “网络”的屏幕截图。

    3. 存储:选择“查看/编辑存储配置”。 “自定义目标设置”页会打开。

      “存储”的屏幕截图。

      • 副本托管磁盘:Site Recovery 在目标区域中创建新的副本托管磁盘,用于生成和源 VM 的托管磁盘存储类型一致(标准或高级)的镜像磁盘。
      • 缓存存储:Site Recovery 需要源区域中称为“缓存存储”的额外存储帐户。 在被复制到目标位置之前,源 VM 上发生的所有更改都会被跟踪并发送到缓存存储帐户。

    4. 可用性选项:为目标区域中的 VM 选择适当的可用性选项。 如果已存在 Site Recovery 创建的可用性集,将会重复使用它。 选择“查看/编辑可用性选项”来查看或编辑可用性选项。

      注意

      • 在配置目标可用性集时,请为不同大小的 VM 配置不同的可用性集。
      • 在启用复制以后,不能更改可用性类型 - 单一实例、可用性集或可用性区域。 必须先禁用复制,然后再启用复制,才能更改可用性类型。

      可用性选项的屏幕截图。

    5. 产能预留:利用产能预留,可以在恢复区域中购买产能,然后故障转移到该产能。 你可以创建新的产能预留组,也可以使用某个现有的组。 有关详细信息,请参阅产能预留的工作原理。 选择“查看或编辑产能预留组分配”,以修改产能预留设置。 在触发故障转移时,将会在已分配的产能预留组中创建新 VM。

      产能预留的屏幕截图。

    6. 存储加密设置:Site Recovery 需要将磁盘加密集 (DES) 用于副本和目标托管磁盘。 在启用复制之前,必须在目标订阅和目标区域中预先创建磁盘加密集。 默认情况下不会选择磁盘加密集。 必须选择“查看/编辑配置”来选择每个源磁盘的磁盘加密集。

      注意

      请确保目标 DES 存在于目标资源组中,并且目标 DES 对同一区域中的密钥保管库具有获取、包装密钥、展开密钥的访问权限。

      存储加密设置的屏幕截图。

  6. 选择“下一页”。

  7. 在“管理”中,执行以下操作:

    1. 在“复制策略”下,
      • 复制策略:选择复制策略。 定义恢复点保留期历史记录和应用一致性快照频率的设置。 默认情况下,Site Recovery 创建一个新的复制策略,默认设置为 24 小时的恢复点保留期。
      • 复制组:创建复制组将 VM 一起复制,以生成多 VM 一致性的恢复点。 请注意,启用多 VM 一致性可能会影响工作负荷性能。仅当计算机运行相同的工作负荷且你需要跨多个计算机的一致性时,才应使用该设置。
    2. 在“扩展设置”下,
      • 选择“更新设置”和“自动化帐户”。

    屏幕截图显示“管理”选项卡。

  8. 选择“下一步”

  9. 在“查看”中查看 VM 设置,然后选择“启用复制”。

    屏幕截图显示“查看”选项卡。

注意

在初始复制期间,VM 状态刷新可能需要一段时间,但不显示确切的进度。 单击“刷新” 可查看最新状态。

常见问题

  • 我已在现有复制项上启用了 CMK,如何确保也在目标区域中应用 CMK?

    你可以找到副本托管磁盘的名称(由 Azure Site Recovery 在目标区域中创建),并将 DES 附加到此副本磁盘。 但是,一旦附加它,你将不能在“磁盘”边栏选项卡中看到 DES 详细信息。 另外,你可以选择禁用 VM 复制并重新启用它。 这将确保你可以在复制项的“磁盘”边栏选项卡中看到 DES 和密钥保管库的详细信息。

  • 我将一个新的已启用 CMK 的磁盘添加到了复制项。 如何使用 Azure Site Recovery 复制此磁盘?

    可以使用 PowerShell 将新的已启用 CMK 的磁盘添加到现有复制项。 找到代码片段以获取指导:

    #set vaultname and resource group name for the vault.
$vaultname="RSVNAME"
$vaultrgname="RSVRGNAME"

#set VMName
$VMName = "VMNAME"

#get the vault object
$vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname

#set job context to this vault
$vault | Set-AzRecoveryServicesAsrVaultContext

=============

#set resource id of disk encryption set
$diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"

#set resource id of cache storage account
$primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"

#set resource id of recovery resource group
$RecoveryResourceGroup = "RESOURCEIDOFRG"

#set resource id of disk to be replicated
$dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"

#setdiskconfig
$diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
          -ManagedDisk `
          -DiskId $dataDisk `
          -LogStorageAccountId $primaryStorageAccount `
          -RecoveryResourceGroupId $RecoveryResourceGroup `
          -RecoveryReplicaDiskAccountType Standard_LRS `
          -RecoveryTargetDiskAccountType Standard_LRS `
          -RecoveryDiskEncryptionSetId $diskencryptionset


#get fabric object from the source region.
$fabric = Get-AzRecoveryServicesAsrFabric
#use to fabric name to get the container.
$primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]

#get the context of the protected item
$protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject

#initiate enable replication using below command
$protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig

  • 我同时启用了平台管理的密钥和客户管理的密钥,如何保护磁盘?

    Site Recovery 支持通过平台管理的密钥和客户管理的密钥来启用双重加密。 按照本文中的说明来保护计算机。 需要事先在目标区域中创建一个启用了双重加密的 DES。 为此类 VM 启用复制时,可以向 Site Recovery 提供此 DES。

后续步骤