將已啟用 Azure 磁碟加密的虛擬機器複寫至另一個 Azure 區域
本文說明如何將已啟用 Azure 磁碟加密 (ADE) 的 Azure Vm 從一個 Azure 區域複寫至另一個 Azure 區域。
注意
對於執行 Windows 作業系統的 VM,Site Recovery 目前支援 ADE (無論是否具有 Microsoft Entra ID)。 對於 Linux 作業系統,我們僅支援 ADE,不支援 Microsoft Entra ID。 此外,對於執行 ADE 1.1(不帶 Microsoft Entra ID) 的機器,VM 必須使用受控磁碟。 使用非受控磁碟的 VM 不受支援。 如果您從 ADE 0.1 (具有 Microsoft Entra ID) 切換至 1.1,則必須在啟用 1.1 後停用 VM 的複寫,然後再啟用複寫。
必要的使用者權限
Site Recovery 需要使用者具有在目的地區域中建立金鑰保存庫的許可權,並將金鑰從來源區域金鑰保存庫複製到目的地區域金鑰保存庫。
若要從 Azure 入口網站複寫啟用磁片加密的 Vm,使用者需要 來源區域和目的地區域 金鑰保存庫的下列許可權。
金鑰保存庫權限
- 列出、建立和取得
金鑰保存庫祕密權限
- 祕密管理作業
- 取得、列出及設定
- 祕密管理作業
金鑰保存庫金鑰權限 (只有在 VM 會使用金鑰加密金鑰來對磁碟加密金鑰進行加密的情況下才需要)
- 金鑰管理作業
- 取得、列出及建立
- 密碼編譯作業
- 解密和加密
- 金鑰管理作業
若要管理許可權,請移至入口網站中的金鑰保存庫資源。 為使用者新增必要的權限。 下列範例會示範如何啟用 ContosoWeb2Keyvault來源區域中的金鑰保存庫的許可權。
移至 Home>Keyvaults>>ContosoWeb2KeyVault 存取原則。
您可以看到沒有任何使用者權限。 選取新增。 輸入使用者和許可權資訊。
如果啟用嚴重損壞修復的使用者 (DR) 沒有複製金鑰的許可權,具有適當許可權的安全性系統管理員可以使用下列腳本,將加密密碼和金鑰複製到目的地區域。
若要針對權限進行疑難排解,請參閱本文稍後的金鑰保存庫權限問題。
注意
若要從入口網站啟用已啟用磁片加密的 Vm 複寫,您至少需要金鑰保存庫、秘密和金鑰的「清單」許可權。
使用 PowerShell 腳本將磁片加密金鑰複製到 DR 區域
將指令碼複製到檔案中,並將它命名為 Copy-keys.ps1。
開啟 Windows PowerShell 的應用程式,然後移至您儲存檔案的資料夾。
執行 Copy-keys.ps1。
提供 Azure 認證來登入。
選取您 VM 的 Azure 訂用帳戶。
等候資源群組載入完成,然後選取您 VM 的資源群組。
從顯示的清單中選取 VM。 只有針對磁片加密啟用的 VM 會在清單中。
選取目標位置。
- 磁碟加密金鑰保存庫
- 金鑰加密金鑰保存庫
根據預設,Site Recovery 會在目標區域中建立新的金鑰保存庫。 保存庫的名稱會有 "asr" 尾碼(以來源 VM 磁片加密金鑰為基礎)。 如果 Site Recovery 所建立的金鑰保存庫已經存在,則會重複使用。 如有必要,可以從清單中選取不同的金鑰保存庫。
注意
或者,您可以下載金鑰,將其匯入次要金鑰保存庫區域。 然後,您可以修改復本磁碟以使用金鑰。
啟用複寫
使用下列程序,將已啟用 Azure 磁碟加密的 VM 複寫到另一個 Azure 區域。 例如,主要 Azure 區域為東亞,而次要區域為東南亞。
在 [保存庫 > Site Recovery]> 頁面的 [Azure 虛擬機器] 底下,選取 [啟用複寫]。
在 [啟用複寫] 頁面的 [來源] 下,執行下列動作:
- 區域:選取您想要保護虛擬機器的 Azure 區域。 例如,來源位置為東亞。
- 訂用帳戶:選取來源虛擬機器所屬的訂用帳戶。 這可以是任何與您復原服務保存庫位於相同 Microsoft Entra 租用戶中的訂用帳戶。
- 資源群組:選取來源虛擬機器所屬的資源群組。 下一個步驟會列出所選取資源群組中的所有 VM,以進行保護。
- 虛擬機器部署模型:選取來源機器的 Azure 部署模型。
- 可用性區域之間的災害復原:如果您想要在虛擬機器上執行區域性災害復原,請選取 [是]。
選取 [下一步]。
在 [虛擬機器] 中,選取您想要複寫的每部 VM。 您只能選取可以啟用複寫的機器。 您最多可以選取十部 VM。 然後選取下一步。
在 [複寫設定] 中,您可以進行下列設定:
在 [位置和資源群組] 下,
目標位置:選取必須複寫之來源虛擬機器資料的位置。 視選取的機器位置而定,Site Recovery 將提供適當目標區域的清單。 建議您讓目標位置與復原服務保存庫位置保持相同。
目標訂用帳戶:選取用於災害復原的目標訂用帳戶。 根據預設,目標訂用帳戶會與來源訂用帳戶相同。
目標資源群組:選取您所有已複寫的虛擬機器所屬的資源群組。
- 根據預設,Site Recovery 會在目標區域中建立名稱尾碼為 asr 的新資源群組。
- 如果 Site Recovery 建立的資源群組已經存在,則會重複使用。
- 您可以自訂資源群組設定。
- 目標資源群組的位置可以是任何 Azure 區域,但是裝載您來源 VM 所在的區域除外。
注意
您也可以透過選取 [新建] 來建立新的目標資源群組。
在 [網路] 下,
容錯移轉虛擬網路:選取容錯移轉虛擬網路。
注意
您也可以透過選取 [新建] 來建立新的容錯移轉虛擬網路。
容錯移轉子網路:選取容錯移轉子網路。
儲存體:選取 [檢視/編輯儲存體設定]。 [自訂目標設定] 頁面隨即開啟。
- 複本受控磁碟:Site Recovery 會在目標區域中建立新的複本受控磁碟,以建立具有與來源 VM 受控磁碟相同的儲存體類型 (標準或進階) 之來源 VM 受控磁碟的鏡像。
- 快取儲存體:Site Recovery 需要在來源區域中有額外的儲存體帳戶 (稱為快取儲存體)。 在來源 VM 上發生的所有變更都會受到追蹤,並傳送到快取儲存體帳戶,然後複寫到目標位置。
可用性選項:在目標區域中為您的 VM 選取適當的可用性選項。 如果 Site Recovery 所建立的可用性設定組已存在,將會加以重複使用。 選取 [檢視/編輯可用性選項],以檢視或編輯可用性選項。
注意
- 設定目標可用性設定組時,請針對不同大小的 VM 設定不同的可用性設定組。
- 啟用複寫之後,便無法變更可用性類型 - 單一執行個體、可用性設定組或可用性區域。 您必須停用後再啟用複寫,才能變更可用性類型。
容量保留:容量保留可讓您在復原區域中購買容量,然後容錯移轉至該容量。 您可以建立新的容量保留群組,也可以使用現有的容量保留群組。 如需詳細資訊,請參閱容量保留運作方式 (部分機器翻譯)。 選取 [檢視或編輯容量保留群組指派],以修改容量保留設定。 在觸發容錯移轉時,系統會在指派的容量保留群組中建立新的 VM。
加密設定:選取 [檢視/編輯設定],以設定磁碟加密和金鑰加密金鑰保存庫。
- 磁碟加密金鑰保存庫:根據預設,Site Recovery 會在目的地區域中建立新的金鑰保存庫。 其具有 asr 尾碼 (以來源 VM 磁碟加密金鑰為基礎)。 如果 Azure Site Recovery 所建立的金鑰保存庫已經存在,則會重複使用。
- 金鑰加密金鑰保存庫:根據預設,Site Recovery 會在目的地區域中建立新的金鑰保存庫。 名稱具有 asr 尾碼 (以來源 VM 金鑰加密金鑰為基礎)。 如果 Azure Site Recovery 所建立的金鑰保存庫已經存在,則會重複使用。
選取 [下一步]。
在 [管理] 中,執行下列動作:
- 在 [複寫原則] 下,
- 複寫原則:選取複寫原則。 定義復原點保留歷程記錄和應用程式一致快照集頻率的設定。 根據預設,Site Recovery 會建立新的複寫原則,預設設定為保留復原點 24 小時。
- 複寫群組:建立複寫群組來將 VM 複寫在一起,以產生多重 VM 一致復原點。 請注意,啟用多重 VM 一致性可能會影響工作負載的效能,並且僅當機器執行相同的工作負載並且您需要跨多台機器保持一致性時才應使用。
- 在 [延伸模組設定] 下,
- 選取 [更新設定] 和 [自動化帳戶]。
- 在 [複寫原則] 下,
選取 [下一步]。
在 [檢閱] 中,檢閱 VM 設定,然後選取 [啟用複寫]。
注意
在初始複寫期間,狀態可能需要一些時間才會重新整理,其間不會有明顯的進展。 按一下 [重新整理] 以取得最新狀態。
更新目標 VM 加密設定
在下面的案例中,您必須更新目標 VM 加密設定。
- 您已在 VM 上啟用 Site Recovery 複寫。 稍後,您已在來源 VM 上啟用磁片加密。
- 您已在 VM 上啟用 Site Recovery 複寫。 稍後,您已變更來源 VM 上的磁片加密金鑰或金鑰加密金鑰。
基於上述原因,不會在來源和目標之間同步處理金鑰。 因此,您必須將金鑰複製到目標,並透過下列方式來更新 Azure Site Recovery 中繼資料儲存體:
- 入口網站
- REST API
- PowerShell
注意
Azure Site Recovery 不支援在受保護時輪替加密虛擬機的密鑰。 如果您輪替金鑰,則必須停用並重新啟用複寫。
從 Azure 入口網站更新目標 VM 加密設定
如果您在 VM 上使用 Site Recovery,且已在稍後啟用磁碟加密,則您在目標設定中可能沒有任何金鑰保存庫。 您必須在目標中新增金鑰保存庫。
如果您使用金鑰保存庫 (例如 KV1
),則在目標設定中,您可以透過在目標區域中使用不同的金鑰保存庫來變更金鑰。 您可以選擇與原始金鑰保存庫 KV1
不同的現有金鑰保存庫,也可以使用新的金鑰保存庫。 由於 Azure Site Recovery 不允許就地變更金鑰,因此,您必須在目標區域中使用不同的金鑰保存庫。
在此範例中,我們假設您使用必要的權限建立新的空白金鑰保存庫 KV2
。 接著,您可以使用下列步驟來更新保存庫:
- 在入口網站中,瀏覽到 [復原服務保存庫]。
- 選取複寫的項目>[屬性]>[計算]
- 從功能表中選取 [
KV2
],以更新目標金鑰保存庫。 - 選取 [儲存],以使用新的金鑰/祕密,將來源金鑰複製到新的目標金鑰保存庫
KV2
,並更新 Azure Site Recovery 中繼資料。注意
建立新的金鑰保存庫可能會對成本產生影響。 如果您想要使用先前使用的原始目標金鑰保存庫 (
KV1
),您可以在使用不同的金鑰保存庫完成上述步驟之後執行此動作。
使用不同的金鑰保存庫更新保存庫之後,若要使用您的原始目標金鑰保存庫 (KV1
),請重複執行步驟 1 到 4,然後選取目標金鑰保存庫中的 [KV1
]。 這會複製KV1
中的新金鑰/祕密,並將其用於目標。
使用 REST API 更新目標 VM 加密設定
- 您必須使用 Copy-Keys 指令碼,將金鑰複製到目標保存庫。
- 使用
Replication Protected Items - Update
Rest API 來更新 Azure Site Recovery 中繼資料。
使用 PowerShell 更新目標 VM 加密設定
- 使用 Copy-Keys 指令碼,將金鑰複製到目標保存庫。
- 使用
Set-AzRecoveryServicesAsrReplicationProtectedItem
命令來更新 Azure Site Recovery 中繼資料。
Azure 對 Azure VM 複寫期間的金鑰保存庫權限問題疑難排解
Azure Site Recovery 至少需要來源區域金鑰保存庫的讀取權限,以及目標區域金鑰保存庫的寫入權限,才能讀取秘密金鑰並將其複製到目標區域金鑰保存庫。
原因1: 您沒有 來源區域金鑰保存庫 的「取得」許可權,無法讀取金鑰。
修正方法:無論您是否為訂用帳戶管理員,都一定要具備金鑰保存庫的 get 權限。
- 移至來源區域金鑰保存庫,在此範例中為 "ContososourceKeyvault" >存取原則
- 在 [ 選取主體 ] 下,新增您的使用者名稱,例如:" dradmin@contoso.com "
- 在金鑰權限下,選取 GET
- 在秘密權限下,選取 GET
- 儲存存取原則
原因2: 您沒有 目的地區域金鑰保存庫 的必要權限,無法寫入金鑰。
例如:您嘗試複寫在來源區域上有保存庫 ContososourceKeyvault 的 VM。 您擁有來源區域金鑰保存庫的擁有權限。 但在保護期間,您會選取已建立但沒有許可權的金鑰保存庫 ContosotargetKeyvault。 發生錯誤。
目標金鑰保存庫所需的權限
如何修正:移至Home>Keyvaults>ContosotargetKeyvault> 存取原則,並新增適當的權限。
下一步
- 深入了解執行測試容錯移轉。