Replizieren von Computern mit Datenträgern, die für kundenseitig verwaltete Schlüssel (CMK) aktiviert sind

In diesem Artikel erfahren Sie, wie Sie Azure-VMs mit Datenträgern, die für kundenseitig verwaltete Schlüssel aktiviert sind, zwischen Azure-Regionen replizieren.

Voraussetzung

Sie müssen die Datenträgerverschlüsselungssätze in der Zielregion für das Zielabonnement erstellen, bevor Sie die Replikation für Ihre virtuellen Computer aktivieren, die über CMK-aktivierte verwaltete Datenträger verfügen.

Aktivieren der Replikation

Verwenden Sie das folgende Verfahren, um Computer mit Datenträgern zu replizieren, die für kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMK) aktiviert sind. Im Beispiel ist die primäre Azure-Region „Asien, Osten“, und die sekundäre Region ist „Asien, Südosten“.

  1. Klicken Sie im Tresor auf der Seite Site Recovery unter Virtuelle Azure-Computer auf Replikation aktivieren.

  2. Gehen Sie auf der Seite Replikation aktivieren unter Quelle folgendermaßen vor:

    • Region: Wählen Sie die Azure-Region aus, in der Sie Ihre virtuellen Computer schützen möchten. Der Quellstandort ist beispielsweise Asien, Osten.

    • Abonnement: Wählen Sie das Abonnement aus, dem Ihre virtuellen Quellcomputer angehören. Dies kann ein beliebiges Abonnement im gleichen Microsoft Entra-Mandanten sein, in dem sich auch Ihr Recovery Services-Tresor befindet.

    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, zu der Ihre virtuellen Quellcomputer gehören. Alle virtuellen Computer in der ausgewählten Ressourcengruppe werden im nächsten Schritt für den Schutz aufgeführt.

    • Bereitstellungsmodell für virtuelle Computer: Wählen Sie das Azure-Bereitstellungsmodell der Quellcomputer aus.

    • Notfallwiederherstellung zwischen Verfügbarkeitszonen: Wählen Sie Ja aus, wenn Sie die zonenübergreifende Notfallwiederherstellung auf virtuellen Computern durchführen möchten.

      Screenshot, auf dem die erforderlichen Felder zum Konfigurieren der Replikation hervorgehoben sind

  3. Klicken Sie auf Weiter.

  4. Wählen Sie unter Virtuelle Computer die einzelnen VMs aus, die Sie replizieren möchten. Sie können nur Computer auswählen, für die die Replikation aktiviert werden kann. Sie können bis zu zehn virtuelle Computer auswählen. Wählen Sie Weiteraus.

    Screenshot, der zeigt, wo Sie VMs auswählen

  5. Unter Replikationseinstellungen können Sie die folgenden Einstellungen konfigurieren:

    1. Unter Speicherort und Ressourcengruppe:

      • Zielstandort: Wählen Sie den Standort aus, an dem die Daten der virtuellen Quellcomputer repliziert werden sollen. Abhängig vom Standort der ausgewählten Computer stellt Site Recovery eine Liste der geeigneten Zielregionen bereit. Es empfiehlt sich, als Zielstandort den gleichen Standort zu verwenden wie für den Recovery Services-Tresor.

      • Zielabonnement: Wählen Sie das Zielabonnement für die Notfallwiederherstellung aus. Zielabonnement und Quellabonnement sind standardmäßig identisch.

      • Zielressourcengruppe: Wählen Sie die Ressourcengruppe aus, zu der alle Ihre replizierten virtuellen Computer gehören.

        • Site Recovery erstellt in der Zielregion standardmäßig eine neue Ressourcengruppe mit dem Suffix asr im Namen.
        • Falls eine von Site Recovery erstellte Ressourcengruppe bereits vorhanden ist, wird sie wiederverwendet.
        • Sie können die Einstellungen der Ressourcengruppe anpassen.
        • Der Speicherort der Zielressourcengruppe kann eine beliebige Azure-Region sein – mit Ausnahme der Region, in der die Quell-VMs gehostet werden.

        Hinweis

        Sie können auch eine neue Zielressourcengruppe erstellen, indem Sie Neu erstellen auswählen.

        Screenshot: Standort und Ressourcengruppe

    2. Unter Netzwerk:

      • Virtuelles Failover-Netzwerk: Wählen Sie das virtuelle Failover-Netzwerk aus.

        Hinweis

        Sie können auch ein neues virtuelles Failover-Netzwerk erstellen, indem Sie Neu erstellen auswählen.

      • Failover-Subnetz: Wählen Sie das Failover-Subnetz aus.

        Screenshot: Netzwerk

    3. Speicher: Wählen Sie Speicherkonfiguration anzeigen/bearbeiten aus. Die Seite Zieleinstellungen anpassen wird angezeigt.

      Screenshot: Speicher

      • Verwalteter Replikatdatenträger: Site Recovery erstellt in der Zielregion neue verwaltete Replikatdatenträger, um die verwalteten Datenträger des Quell-VM zu spiegeln. Dabei wird der gleiche Speichertyp („Standard“ oder „Premium“) wie für den verwalteten Datenträger des Quell-VM verwendet.
      • Cachespeicher: Site Recovery benötigt als zusätzliches Speicherkonto in der Quellregion ein so genanntes Cachespeicherkonto. Alle Änderungen an den Quell-VMs werden nachverfolgt und vor der Replikation dieser Computer am Zielspeicherort an das Cachespeicherkonto gesendet.
    4. Verfügbarkeitsoptionen: Wählen Sie die entsprechende Verfügbarkeitsoption für Ihren virtuellen Computer in der Zielregion aus. Falls bereits eine von Site Recovery erstellte Verfügbarkeitsgruppe vorhanden ist, wird diese wiederverwendet. Wählen Sie Verfügbarkeitsoptionen anzeigen/bearbeiten aus, um die Verfügbarkeitsoptionen anzuzeigen oder zu bearbeiten.

      Hinweis

      • Konfigurieren Sie bei der Konfiguration der Verfügbarkeitsgruppen am Ziel unterschiedliche Verfügbarkeitsgruppen für VMs mit unterschiedlichen Größen.
      • Nach der Aktivierung der Replikation können Sie den Verfügbarkeitstyp (einzelne Instanz, Verfügbarkeitsgruppe oder Verfügbarkeitszone) nicht mehr ändern. Wenn Sie den Verfügbarkeitstyp ändern möchten, müssen Sie die Replikation deaktivieren und wieder aktivieren.

      Screenshot: Verfügbarkeitsoption

    5. Kapazitätsreservierung: Mit der Kapazitätsreservierung können Sie Kapazität in der Wiederherstellungsregion erwerben und dann ein Failover auf diese Kapazität ausführen. Sie können entweder eine neue Kapazitätsreservierungsgruppe erstellen oder eine vorhandene verwenden. Weitere Informationen zur Funktionsweise der Kapazitätsreservierung finden Sie hier. Wählen Sie Zuweisung der Kapazitätsreservierungsgruppe anzeigen oder bearbeiten aus, um die Kapazitätsreservierungseinstellungen zu ändern. Beim Auslösen eines Failovers wird der neue virtuelle Computer in der zugewiesenen Kapazitätsreservierungsgruppe erstellt.

      Screenshot: Kapazitätsreservierung

    6. Einstellungen für die Speicherverschlüsselung: Site Recovery erfordert, dass die Datenträgerverschlüsselungssätze (Data Encryption Set, DES) für verwaltete Replikat- und Zieldatenträger verwendet werden. Vor dem Aktivieren der Replikation müssen Sie Datenträgerverschlüsselungssätze im Zielabonnement und in der Zielregion vorab erstellen. Standardmäßig ist kein Datenträgerverschlüsselungssatz ausgewählt. Sie müssen Konfiguration anzeigen/bearbeiten auswählen, um einen Datenträgerverschlüsselungssatz pro Quelldatenträger auszuwählen.

      Hinweis

      Stellen Sie sicher, dass der Ziel-DES in der Zielressourcengruppe vorhanden ist und dass er Zugriff vom Typ „Abrufen“, „Schlüssel packen“ und „Schlüssel entpacken“ auf eine Key Vault-Instanz in derselben Region hat.

      Screenshot: Einstellungen für die Speicherverschlüsselung

  6. Klicken Sie auf Weiter.

  7. Führen Sie unter Verwalten die folgenden Schritte aus:

    1. Unter Replikationsrichtlinie:
      • Replikationsrichtlinie: Wählen Sie die Replikationsrichtlinie aus. Eine Replikationsrichtlinie definiert die Einstellungen für den Aufbewahrungsverlauf des Wiederherstellungspunkts und die Häufigkeit von anwendungskonsistenten Momentaufnahmen. Standardmäßig erstellt Site Recovery eine neue Replikationsrichtlinie mit der Standardeinstellung „24 Stunden“ für den Aufbewahrungszeitraum des Wiederherstellungspunkts.
      • Replikationsgruppe: Erstellen Sie eine Replikationsgruppe, um VMs zusammen zu replizieren und dadurch konsistente Wiederherstellungspunkte mit mehreren VMs zu generieren. Hinweis: Das Aktivieren der Multi-VM-Konsistenz kann sich auf die Leistung der Workload auswirken und sollte nur verwendet werden, wenn VMs dieselbe Workload ausführen und Konsistenz über mehrere Computer hinweg erforderlich ist.
    2. Unter Erweiterungseinstellungen:
      • Wählen Sie Einstellungen aktualisieren und Automation-Konto aus.

    Screenshot: Registerkarte „Verwalten“

  8. Wählen Sie Weiter aus.

  9. Überprüfen Sie unter Überprüfen die VM-Einstellungen, und wählen Sie Replikation aktivieren aus.

    Screenshot: Registerkarte „Überprüfen“

Hinweis

Die Aktualisierung des Status kann während der Erstreplikation einige Zeit dauern, und zu Beginn wird unter Umständen kein offensichtlicher Fortschritt angezeigt. Klicken Sie zum Abrufen des aktuellen Status auf Aktualisieren.

Häufig gestellte Fragen

  • Ich habe CMK für ein vorhandenes repliziertes Element aktiviert. Wie kann ich sicherstellen, dass CMK auch auf die Zielregion angewendet wird?

    Sie können den Namen des verwalteten Replikatdatenträgers ermitteln (erstellt von Azure Site Recovery in der Zielregion) und den DES an den Replikatdatenträger anfügen. Die DES-Details können jedoch nicht auf dem Blatt „Datenträger“ angezeigt werden, nachdem Sie ihn angefügt haben. Wahlweise können Sie auch die Replikation des virtuellen Computers deaktivieren und dann erneut aktivieren. So wird sichergestellt, dass die Details des DES und des Schlüsseltresors auf dem Blatt „Datenträger“ für das replizierte Element angezeigt werden.

  • Ich habe dem replizierten Element einen neuen CMK-aktivierten Datenträger hinzugefügt. Wie kann ich diesen Datenträger mit Azure Site Recovery replizieren?

    Sie können einen neuen CMK-aktivierten Datenträger zu einem vorhandenen replizierten Element mithilfe von PowerShell hinzufügen. Finden Sie den Codeausschnitt für Anleitungen:

    #set vaultname and resource group name for the vault.
    $vaultname="RSVNAME"
    $vaultrgname="RSVRGNAME"
    
    #set VMName
    $VMName = "VMNAME"
    
    #get the vault object
    $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname
    
    #set job context to this vault
    $vault | Set-AzRecoveryServicesAsrVaultContext
    
    =============
    
    #set resource id of disk encryption set
    $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"
    
    #set resource id of cache storage account
    $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"
    
    #set resource id of recovery resource group
    $RecoveryResourceGroup = "RESOURCEIDOFRG"
    
    #set resource id of disk to be replicated
    $dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"
    
    #setdiskconfig
    $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
              -ManagedDisk `
              -DiskId $dataDisk `
              -LogStorageAccountId $primaryStorageAccount `
              -RecoveryResourceGroupId $RecoveryResourceGroup `
              -RecoveryReplicaDiskAccountType Standard_LRS `
              -RecoveryTargetDiskAccountType Standard_LRS `
              -RecoveryDiskEncryptionSetId $diskencryptionset
    
    
    #get fabric object from the source region.
    $fabric = Get-AzRecoveryServicesAsrFabric
    #use to fabric name to get the container.
    $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]
    
    #get the context of the protected item
    $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject
    
    #initiate enable replication using below command
    $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
    
  • Ich habe sowohl plattform- als auch kundenseitig verwaltete Schlüssel aktiviert. Wie kann ich meine Datenträger schützen?

    Die Aktivierung der Mehrfachverschlüsselung sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln wird von Site Recovery unterstützt. Befolgen Sie die Anweisungen in diesem Artikel, um Ihren Computer zu schützen. Sie müssen im Voraus einen für die doppelte Verschlüsselung aktivierten DES in der Zielregion erstellen. Diesen DES stellen Sie in dem Moment für Site Recovery bereit, in dem Sie die Replikation für eine solche VM aktivieren.

Nächste Schritte