Replicar máquinas virtuais com o Azure Disk Encryption ativado para outra região do Azure
Este artigo descreve como replicar VMs do Azure com o Azure Disk Encryption (ADE) habilitado, de uma região do Azure para outra.
Nota
Atualmente, o Site Recovery suporta o ADE com e sem o Microsoft Entra ID para VMs com sistemas operativos Windows. Para sistemas operativos Linux, apenas suportamos ADE sem o Microsoft Entra ID. Além disso, para computadores com o ADE 1.1 (sem o Microsoft Entra ID), as VMs devem estar a utilizar discos geridos. As VMs com discos não geridos não são suportadas. Se mudar do ADE 0.1 (com Microsoft Entra ID) para o 1.1, terá de desativar a replicação e ativar a replicação para uma VM depois de ativar o 1.1.
Permissões de usuário necessárias
A Recuperação de Site requer que o usuário tenha permissões para criar o cofre de chaves na região de destino e copiar chaves do cofre de chaves da região de origem para o cofre de chaves da região de destino.
Para habilitar a replicação de VMs habilitadas para Criptografia de Disco a partir do portal do Azure, o usuário precisa das seguintes permissões nos cofres de chaves da região de origem e da região de destino.
Permissões do cofre de chaves
- Listar, Criar e Obter
Permissões secretas do cofre de chaves
- Operações de Gestão Secretas
- Obter, Listar e Definir
- Operações de Gestão Secretas
Permissões de chave do cofre de chaves (necessárias somente se as VMs usarem chave de criptografia de chave para criptografar chaves de criptografia de disco)
- Operações de Gestão de Chaves
- Obter, Listar e Criar
- Operações criptográficas
- Desencriptar e encriptar
- Operações de Gestão de Chaves
Para gerenciar permissões, vá para o recurso do cofre de chaves no portal. Adicione as permissões necessárias para o usuário. O exemplo a seguir mostra como habilitar permissões para o cofre de chaves ContosoWeb2Keyvault, que está na região de origem.
Vá para Home>Keyvaults>ContosoWeb2KeyVault > Access policies.
Você pode ver que não há permissões de usuário. Selecione Adicionar novo. Insira as informações de usuário e permissões.
Se o usuário que está habilitando a recuperação de desastres (DR) não tiver permissões para copiar as chaves, um administrador de segurança que tenha permissões apropriadas poderá usar o script a seguir para copiar os segredos e chaves de criptografia para a região de destino.
Para solucionar problemas de permissões, consulte Problemas de permissão do cofre de chaves mais adiante neste artigo.
Nota
Para habilitar a replicação de VMs habilitadas para criptografia de disco a partir do portal, você precisa de pelo menos permissões de "Lista" nos cofres de chaves, segredos e chaves.
Copie chaves de criptografia de disco para a região DR usando o script PowerShell
Abra o código de script bruto "CopyKeys".
Copie o script para um arquivo e nomeie-o como Copy-keys.ps1.
Abra o aplicativo Windows PowerShell e vá para a pasta onde você salvou o arquivo.
Execute Copy-keys.ps1.
Forneça credenciais do Azure para entrar.
Selecione a assinatura do Azure de suas VMs.
Aguarde até que os grupos de recursos sejam carregados e, em seguida, selecione o Grupo de recursos das suas VMs.
Selecione as VMs na lista exibida. Somente as VMs habilitadas para criptografia de disco estão na lista.
Selecione o Local de destino.
- Cofres de chaves de criptografia de disco
- Cofres de chaves de criptografia de chaves
Por padrão, o Site Recovery cria um novo cofre de chaves na região de destino. O nome do cofre tem um sufixo "asr" baseado nas chaves de criptografia de disco da VM de origem. Se já existir um cofre de chaves criado pelo Site Recovery, ele será reutilizado. Selecione um cofre de chaves diferente da lista, se necessário.
Nota
Como alternativa, você pode baixar a chave, importá-la na região secundária do cofre de chaves. Em seguida, você pode modificar seus discos de réplicas para usar as chaves.
Ativar a replicação
Use o procedimento a seguir para replicar VMs habilitadas para Criptografia de Disco do Azure para outra região do Azure. Como exemplo, a região principal do Azure é o Leste Asiático e a secundária é o Sudeste Asiático.
Na página Recuperação de Site do cofre>, em Máquinas virtuais do Azure, selecione Habilitar replicação.
Na página Habilitar replicação, em Origem, faça o seguinte:
- Região: selecione a região do Azure onde você deseja proteger suas máquinas virtuais. Por exemplo, o local de origem é o Leste Asiático.
- Assinatura: selecione a assinatura à qual suas máquinas virtuais de origem pertencem. Pode ser qualquer assinatura que esteja no mesmo locatário do Microsoft Entra que seu cofre de serviços de recuperação.
- Grupo de recursos: selecione o grupo de recursos ao qual suas máquinas virtuais de origem pertencem. Todas as VMs no grupo de recursos selecionado são listadas para proteção na próxima etapa.
- Modelo de implantação de máquina virtual: selecione o modelo de implantação do Azure das máquinas de origem.
- Recuperação de desastres entre zonas de disponibilidade: selecione Sim se quiser executar a recuperação de desastres zonal em máquinas virtuais.
Selecione Seguinte.
Em Máquinas virtuais, selecione cada VM que você deseja replicar. Só pode selecionar máquinas para as quais a replicação pode ser ativada. Você pode selecionar até dez VMs. Em seguida, selecione Seguinte.
Em Configurações de replicação, você pode definir as seguintes configurações:
Em Grupo Localização e Recursos,
Local de destino: selecione o local onde os dados da máquina virtual de origem devem ser replicados. Dependendo da localização das máquinas selecionadas, o Site Recovery fornecerá a lista de regiões de destino adequadas. Recomendamos que você mantenha o local de destino igual ao local do cofre dos Serviços de Recuperação.
Assinatura de destino: selecione a assinatura de destino usada para recuperação de desastres. Por predefinição, a subscrição de destino será igual à subscrição de origem.
Grupo de recursos de destino: selecione o grupo de recursos ao qual todas as máquinas virtuais replicadas pertencem.
- Por padrão, o Site Recovery cria um novo grupo de recursos na região de destino com um sufixo asr no nome.
- Se o grupo de recursos criado pelo Site Recovery já existir, será reutilizado.
- Pode personalizar as definições do grupo de recursos.
- O local do grupo de recursos de destino pode ser qualquer região do Azure, exceto a região na qual as VMs de origem estão hospedadas.
Nota
Você também pode criar um novo grupo de recursos de destino selecionando Criar novo.
Em Rede,
Rede virtual de failover: selecione a rede virtual de failover.
Nota
Você também pode criar uma nova rede virtual de failover selecionando Criar novo.
Sub-rede de failover: selecione a sub-rede de failover.
Armazenamento: Selecione Exibir/editar configuração de armazenamento. A página Personalizar configurações de destino é aberta.
- Disco gerenciado por réplica: o Site Recovery cria novos discos gerenciados por réplica na região de destino para espelhar os discos gerenciados da VM de origem com o mesmo tipo de armazenamento (Standard ou premium) que o disco gerenciado da VM de origem.
- Armazenamento em cache: o Site Recovery precisa de uma conta de armazenamento extra chamada armazenamento em cache na região de origem. Todas as alterações que acontecem nas VMs de origem são controladas e enviadas para a conta de armazenamento em cache antes de replicá-las para o local de destino.
Opções de disponibilidade: selecione a opção de disponibilidade apropriada para sua VM na região de destino. Se já existir um conjunto de disponibilidade criado pela Recuperação de Site, ele será reutilizado. Selecione Exibir/editar opções de disponibilidade para visualizar ou editar as opções de disponibilidade.
Nota
- Ao configurar os conjuntos de disponibilidade de destino, configure diferentes conjuntos de disponibilidade para VMs de tamanhos diferentes.
- Não é possível alterar o tipo de disponibilidade - instância única, conjunto de disponibilidade ou zona de disponibilidade depois de habilitar a replicação. Você deve desabilitar e habilitar a replicação para alterar o tipo de disponibilidade.
Reserva de capacidade: a Reserva de capacidade permite comprar capacidade na região de recuperação e, em seguida, fazer failover para essa capacidade. Você pode criar um novo Grupo de Reserva de Capacidade ou usar um existente. Para obter mais informações, consulte como funciona a reserva de capacidade. Selecione Exibir ou Editar atribuição de grupo de reserva de capacidade para modificar as configurações de reserva de capacidade. Ao acionar o Failover, a nova VM será criada no Grupo de Reserva de Capacidade atribuído.
Configurações de criptografia: Selecione Exibir/editar configuração para configurar os cofres de chave de criptografia de disco e criptografia de chave.
- Cofres de chaves de criptografia de disco: por padrão, o Site Recovery cria um novo cofre de chaves na região de destino. Ele tem um sufixo asr baseado nas chaves de criptografia de disco da VM de origem. Se já existir um cofre de chaves criado pelo Azure Site Recovery, ele será reutilizado.
- Cofres de chaves de criptografia de chave: por padrão, a Recuperação de Site cria um novo cofre de chaves na região de destino. O nome tem um sufixo asr baseado nas chaves de criptografia da chave VM de origem. Se já existir um cofre de chaves criado pelo Azure Site Recovery, ele será reutilizado.
Selecione Seguinte.
Em Gerenciar, faça o seguinte:
- Em Política de replicação,
- Política de replicação: selecione a política de replicação. Define as configurações para o histórico de retenção do ponto de recuperação e a frequência de snapshot consistente com o aplicativo. Por padrão, o Site Recovery cria uma nova política de replicação com configurações padrão de 24 horas para retenção do ponto de recuperação.
- Grupo de replicação: crie um grupo de replicação para replicar VMs juntas para gerar pontos de recuperação consistentes com várias VMs. Observe que habilitar a consistência de várias VMs pode afetar o desempenho da carga de trabalho e só deve ser usado se as máquinas estiverem executando a mesma carga de trabalho e você precisar de consistência em várias máquinas.
- Em Configurações de extensão,
- Selecione Atualizar configurações e Conta de automação.
- Em Política de replicação,
Selecione Seguinte.
Em Rever, reveja as definições da VM e selecione Ativar replicação.
Nota
Durante a replicação inicial, o status pode levar algum tempo para ser atualizado, sem progresso aparente. Clique em Atualizar para obter o status mais recente.
Atualizar as configurações de criptografia da VM de destino
Nos cenários a seguir, será necessário atualizar as configurações de criptografia da VM de destino:
- Você habilitou a replicação do Site Recovery na VM. Mais tarde, você habilitou a criptografia de disco na VM de origem.
- Você habilitou a replicação do Site Recovery na VM. Mais tarde, você alterou a chave de criptografia de disco ou a chave de criptografia de chave na VM de origem.
Devido aos motivos acima, as chaves não estão sincronizadas entre origem e destino. Portanto, você precisa copiar as chaves para direcionar e atualizar o armazenamento de metadados do Azure Site Recovery por meio de:
- Portal
- API REST
- PowerShell
Nota
O Azure Site Recovery não oferece suporte à rotação da chave para uma máquina virtual criptografada enquanto ela estiver protegida. Se você girar as chaves, deverá desabilitar e reativar a replicação.
Atualizar as configurações de criptografia da VM de destino no portal do Azure
Se você estiver usando o Site Recovery em uma VM e tiver habilitado a criptografia de disco nela em um ponto posterior, talvez não tenha nenhum cofre de chaves nas configurações de destino. Você deve adicionar um novo cofre de chaves no destino.
Se você estiver usando um cofre de chaves, por exemplo KV1
, nas configurações de destino, poderá alterar as chaves usando um cofre de chaves diferente na região de destino. Você pode escolher um cofre de chaves existente que seja diferente do cofre KV1
de chaves original ou usar um novo cofre de chaves. Como o Azure Site Recovery não permite alterar as chaves no local, você deve usar um cofre de chaves diferente na região de destino.
Neste exemplo, assumimos que você crie um novo cofre de KV2
chaves vazio com as permissões necessárias. Em seguida, você pode atualizar o cofre usando as seguintes etapas:
- Navegue até o cofre de serviços de recuperação no portal.
- Selecionar item>replicado Propriedades>Computar
- Selecione
KV2
no menu para atualizar o cofre da chave de destino. - Selecione Salvar para copiar as chaves de origem para o novo cofre
KV2
de chaves de destino com uma nova chave/segredo e atualizar os metadados do Azure Site Recovery.Nota
Criar um novo cofre de chaves pode ter implicações de custo. Se você quiser usar seu cofre de chave de destino original (
KV1
) que você estava usando antes, você pode fazê-lo depois de concluir as etapas acima com um cofre de chave diferente.
Depois de atualizar o cofre usando um cofre de chave diferente, para usar o cofre de chave de destino original (KV1
), repita as etapas 1 a 4 e selecioneKV1
no cofre de chave de destino. Isso copia a nova chave / segredo eKV1
usa isso para o destino.
Atualizar as configurações de criptografia da VM de destino usando a API REST
- Você deve copiar as chaves para o cofre de destino usando o script Copy-Keys .
- Use a
Replication Protected Items - Update
API Rest para atualizar os metadados do Azure Site Recovery.
Atualizar as configurações de criptografia da VM de destino usando o PowerShell
- Copie as chaves para o cofre de destino usando o script Copy-Keys .
- Use o
Set-AzRecoveryServicesAsrReplicationProtectedItem
comando para atualizar os metadados do Azure Site Recovery.
Solucionar problemas de permissão do cofre de chaves durante a replicação de VM do Azure para o Azure
O Azure Site Recovery tem de ter, pelo menos, permissão de leitura no cofre de chaves da região de origem e permissão de escrita no cofre de chaves da região de destino para ler o segredo e copiá-lo para o cofre de chaves a região de destino.
Causa 1: Você não tem permissão "GET" no cofre de chaves da região de origem para ler as chaves.
Como corrigir: Independentemente de você ser um administrador de assinatura ou não, é importante que você tenha permissão no cofre de chaves.
- Ir para a região de origem Cofre da chave que, neste exemplo, é "ContososourceKeyvault" >Políticas de acesso
- Em Selecionar Principal , adicione seu nome de usuário, por exemplo: "dradmin@contoso.com"
- Em Permissões de chave, selecione GET
- Em Permissão secreta , selecione GET
- Guardar a política de acesso
Causa 2: Você não tem a permissão necessária no cofre de chaves da região de destino para gravar as chaves.
Por exemplo: você tenta replicar uma VM que tenha o cofre de chaves ContososourceKeyvault em uma região de origem. Você tem todas as permissões no cofre de chaves da região de origem. Mas durante a proteção, você seleciona o cofre de chaves já criado ContosotargetKeyvault, que não tem permissões. Ocorre um erro.
Permissão necessária no cofre da chave de destino
Como corrigir: Vá para Home>Keyvaults>ContosotargetKeyvault>Access policies e adicione as permissões apropriadas.
Próximos passos
- Saiba mais sobre como executar um failover de teste.