Репликация виртуальных машин с поддержкой шифрования дисков Azure в другой регион Azure
В этой статье описан способ репликации виртуальных машин с поддержкой Шифрования дисков Azure (ADE) между регионами Azure.
Примечание.
Сейчас Site Recovery поддерживает ADE в сочетании с Microsoft Entra ID и без нее для виртуальных машин под управлением операционных систем Windows. Для операционных систем Linux мы поддерживаем только ADE без Microsoft Entra ID. Кроме того, на компьютерах под управлением ADE 1.1 (без Microsoft Entra ID) виртуальные машины обязаны использовать управляемые диски. Виртуальные машины с неуправляемыми дисками не поддерживаются. При переходе с ADE 0.1 (с Microsoft Entra ID) на ADE 1.1 нужно предварительно отключить репликацию и включить её снова после включения ADE 1.1.
Необходимые разрешения пользователя
Для работы с Azure Site Recovery пользователь должен иметь разрешение на создание хранилища ключей в целевом регионе и копирование ключей из хранилища исходного региона в хранилище целевого региона.
Чтобы включить репликацию виртуальных машин с поддержкой шифрования дисков с портала Azure, пользователь должен иметь указанные ниже разрешения для хранилищ ключей как в исходном, так и в целевом регионах.
Разрешения по отношению к хранилищу ключей:
- Включение в список, создание и получение
Разрешения по отношению к секретам хранилища ключей:
- Операции управления секретами
- Получение, включение в список и настройка
- Операции управления секретами
Разрешения для ключей в хранилище ключей (требуется только в том случае, если виртуальные машины используют ключ шифрования других ключей для шифрования ключей шифрования дисков)
- Операции управления ключами
- Получение, включение в список и создание
- Криптографические операции
- Расшифровка и шифрование
- Операции управления ключами
Чтобы управлять разрешениями, перейдите к ресурсу хранилища ключей на портале. Добавьте необходимые разрешения для пользователя. В следующем примере показано, как включить разрешения для хранилища ключей ContosoWeb2Keyvault, которое находится в исходном регионе.
Последовательно выберите Главная>Keyvaults>ContosoWeb2KeyVault > Политики доступа.
Можно видеть, что здесь нет разрешений для пользователей. Выберите Добавить. Введите сведения о пользователях и разрешениях.
Если у пользователя, который включает функцию аварийного восстановления (DR) нет необходимых разрешений для копирования ключей, то администратор безопасности с соответствующими разрешениями может использовать сценарий, описанный ниже, для копирования секретов и ключей шифрования в целевой регион.
Чтобы устранить неполадки, связанные с разрешениями, см. сведения о проблемах с разрешениями для хранилища ключей далее в этой статье.
Примечание.
Чтобы включить репликацию виртуальных машин с поддержкой шифрования дисков с портала, необходимо иметь, как минимум, разрешения "Включить в список" для хранилищ ключей, секретов и ключей.
Копирование ключей шифрования дисков в регион аварийного восстановления с помощью сценария PowerShell
Скопируйте сценарий в файл и назовите его Copy-keys.ps1.
Откройте приложение Windows PowerShell и перейдите в папку с сохраненным файлом.
Выполните сценарий Copy-keys.ps1.
Укажите для входа учетные данные Azure.
Выберите подписку Azure, к которой относятся виртуальные машины.
Дождитесь загрузки групп ресурсов, затем выберите группу ресурсов виртуальных машин.
Выберите виртуальные машины из отображаемого списка. В списке отображаются только виртуальные машины, для которых включено шифрование дисков.
Выберите Целевое расположение.
- Хранилища ключей для шифрования дисков
- Хранилища ключей для шифрования ключей
По умолчанию Site Recovery создает новое хранилище ключей в целевом регионе. Имя хранилища содержит суффикс "asr", основанный на ключах шифрования исходного диска виртуальной машины. Если хранилище ключей уже создано Site Recovery, оно будет использовано повторно. При необходимости из списка можно выбрать другое хранилище ключей.
Примечание.
Кроме того, можно скачать ключ, импортировать его в дополнительный регион хранилища ключей. Затем можно изменить диски реплик, чтобы использовать ключи.
Включение репликации
Используйте следующую процедуру для репликации виртуальных машин с поддержкой Шифрование дисков Azure в другой регион Azure. Например, основной регион Azure — Восточная Азия, а вторичный — Юго-Восточная Азия.
На странице >Site Recovery для хранилища установите в разделе Виртуальные машины Azure флажок Включить репликацию.
На странице "Включить репликацию" в разделе "Источник" сделайте следующее:
- Регион. Выберите регион Azure, в котором требуется защитить виртуальные машины. Например, исходное расположение — Восточная Азия.
- Подписка. Выберите подписку, к которой принадлежат исходные виртуальные машины. Это может быть любая подписка, которая находится в том же клиенте Microsoft Entra, что и хранилище служб восстановления.
- Группа ресурсов: выберите группу ресурсов, к которой принадлежат исходные виртуальные машины. Все виртуальные машины в выбранной группе ресурсов, которые на следующем шаге будут включены в список для защиты.
- Модель развертывания виртуальных машин. Выберите модель развертывания Azure исходных компьютеров.
- Аварийное восстановление между зонами доступности: выберите "Да", если вы хотите выполнить зональное аварийное восстановление на виртуальных машинах.
Выберите Далее.
На виртуальных машинах выберите каждую виртуальную машину, которую требуется реплицировать. Можно выбрать только те компьютеры, для которых можно включить репликацию. Вы можете выбрать до десяти виртуальных машин. Затем выберите Далее.
В параметрах репликации можно настроить следующие параметры:
В разделе "Расположение" и "Группа ресурсов"
Целевое расположение. Выберите расположение, в котором должны быть реплицированы исходные данные виртуальной машины. В зависимости от расположения выбранных компьютеров Site Recovery предоставит вам список подходящих целевых регионов. Мы рекомендуем сохранить такое же целевое расположение, что и расположение хранилищ служб восстановления.
Целевая подписка: выберите целевую подписку, используемую для аварийного восстановления. По умолчанию целевая подписка будет совпадать с исходной подпиской.
Целевая группа ресурсов: выберите группу ресурсов, к которой принадлежат все реплицированные виртуальные машины.
- По умолчанию Site Recovery создает новую группу ресурсов в целевом регионе с суффиксом asr в имени.
- Если группа ресурсов, создаваемая Site Recovery, уже существует, она будет использована повторно.
- Параметры группы ресурсов можно настроить.
- Целевая группа ресурсов может располагаться в любом регионе Azure, за исключением того, в котором размещены исходные виртуальные машины.
Примечание.
Вы также можете создать целевую группу ресурсов, нажав кнопку "Создать".
В разделе "Сеть"
Отработка отказа виртуальной сети: выберите виртуальную сеть отработки отказа.
Примечание.
Вы также можете создать новую виртуальную сеть отработки отказа, нажав кнопку "Создать".
Подсеть отработки отказа: выберите подсеть отработки отказа.
Хранилище: выбор конфигурации хранилища для просмотра и редактирования. Откроется страница настройки целевых параметров.
- Управляемый репликой диск: Site Recovery создает новые управляемые репликами диски в целевом регионе, чтобы зеркально отображать управляемые диски исходной виртуальной машины с тем же типом хранилища (стандартный или премиум), что и управляемый диск исходной виртуальной машины.
- Хранилище кэша: Site Recovery требует дополнительной учетной записи хранения, называемой хранилищем кэша в исходном регионе. Все изменения, происходящие на исходных виртуальных машинах, отслеживаются и отправляются учетной записи хранения кэша перед репликацией в целевое расположение.
Параметры доступности: выберите подходящий вариант доступности для виртуальной машины в целевом регионе. Если уже существует группа доступности, созданная службой Site Recovery, она будет использована повторно. Выберите параметры доступности представления и редактирования, чтобы просмотреть или изменить параметры доступности.
Примечание.
- При настройке целевых групп доступности настройте разные группы доступности для разных виртуальных машин.
- После включения репликации изменить тип доступности (один экземпляр), группу доступности или зону доступности нельзя. Необходимо отключить и включить репликацию, чтобы изменить тип доступности.
Резервирование емкости. Резервирование емкости позволяет приобрести емкость в регионе восстановления, а затем выполнить отработку отказа в эту емкость. Можно создать новую группу резервирования емкости или использовать существующую. Дополнительные сведения см. в статье о работе резервирования емкости. Выберите "Вид" или "Изменить назначение группы резервирования емкости", чтобы изменить параметры резервирования емкости. При активации отработки отказа новая виртуальная машина будет создана в назначенной группе резервирования мощности.
Параметры шифрования: выберите конфигурацию представления и редактирования, чтобы настроить хранилища ключей шифрования дисков и ключей.
- Хранилища ключей для шифрования дисков — по умолчанию служба Site Recovery создает хранилище ключей в целевом регионе. Он имеет суффикс asr, основанный на ключах шифрования диска исходной виртуальной машины. Если уже существует хранилище ключей, созданное Azure Site Recovery, оно будет использовано повторно.
- Хранилища ключей для шифрования ключей. По умолчанию Site Recovery создает новое хранилище ключей в целевом регионе. Имя имеет суффикс asr, основанный на ключах шифрования ключей исходной виртуальной машины. Если уже существует хранилище ключей, созданное Azure Site Recovery, оно будет использовано повторно.
Выберите Далее.
В разделе "Управление" выполните следующие действия:
- В разделе "Политика репликации"
- Политика репликации. Выберите политику репликации. Определяет параметры для журнала хранения точек восстановления и частоты моментальных снимков, согласованных с приложением. По умолчанию Site Recovery создает новую политику репликации с параметрами по умолчанию 24 часа для хранения точек восстановления.
- Группа репликации. Создайте группу репликации для репликации виртуальных машин вместе для создания точек восстановления с поддержкой нескольких виртуальных машин. Обратите внимание, что включение согласованности с несколькими виртуальными машинами может повлиять на производительность рабочей нагрузки и должно использоваться только в том случае, если компьютеры выполняют одну и ту же рабочую нагрузку и требуется согласованность на нескольких компьютерах.
- В разделе "Параметры расширения"
- Выберите параметры обновления и учетную запись службы автоматизации.
- В разделе "Политика репликации"
Выберите Далее.
В разделе "Проверка" просмотрите параметры виртуальной машины и выберите "Включить репликацию".
Примечание.
Во время начальной репликации обновление состояния может занять некоторое время (без видимого прогресса). Щелкните Обновить, чтобы вывести актуальное состояние.
Обновление параметров шифрования целевой виртуальной машины
В приведенных ниже сценариях потребуется обновить параметры шифрования целевой виртуальной машины.
- Включена репликация Site Recovery на виртуальной машине. Позже было включено шифрование дисков на исходной виртуальной машине.
- Включена репликация Site Recovery на виртуальной машине. Позже был изменен ключ шифрования диска или ключ шифрования других ключей на исходной виртуальной машине.
Из-за указанных выше причин ключи не синхронизируются между источником и целевым объектом. Таким образом, необходимо скопировать ключи в целевой объект и обновить хранилище метаданных Azure Site Recovery с помощью следующего:
- Портал
- REST API
- PowerShell
Примечание.
Azure Site Recovery не поддерживает смену ключа зашифрованной виртуальной машины во время его защиты. При смене ключей необходимо отключить и повторно включить репликацию.
Обновление параметров шифрования целевой виртуальной машины из портал Azure
Если вы используете Site Recovery на виртуальной машине и включили шифрование дисков в более поздней точке, возможно, у вас нет хранилища ключей в целевых параметрах. Необходимо добавить новое хранилище ключей в целевой объект.
Если вы используете хранилище ключей, например KV1
в целевых параметрах, вы можете изменить ключи с помощью другого хранилища ключей в целевом регионе. Можно выбрать существующее хранилище ключей, отличное от исходного хранилища KV1
ключей, или использовать новое хранилище ключей. Так как Azure Site Recovery не позволяет изменять ключи, необходимо использовать другое хранилище ключей в целевом регионе.
В этом примере предполагается, что вы создаете пустое хранилище KV2
ключей с необходимыми разрешениями. Затем вы можете обновить хранилище, выполнив следующие действия.
- Перейдите в хранилище служб восстановления на портале.
- Выбор реплицированных свойств>элемента>
- Выберите
KV2
в меню, чтобы обновить целевое хранилище ключей. - Нажмите кнопку "Сохранить ", чтобы скопировать исходные ключи в новое целевое хранилище
KV2
ключей с новым ключом или секретом и обновить метаданные Azure Site Recovery.Примечание.
Создание нового хранилища ключей может иметь последствия для затрат. Если вы хотите использовать исходное целевое хранилище ключей (
KV1
), которое вы использовали раньше, это можно сделать после выполнения описанных выше действий с другим хранилищем ключей.
После обновления хранилища с помощью другого хранилища ключей, чтобы использовать исходное целевое хранилище ключей (KV1
), повторите шаги 1 до 4 и выберитеKV1
в целевом хранилище ключей. Это копирует новый ключ или секрет вKV1
и использует его для целевого объекта.
Обновление параметров шифрования целевой виртуальной машины с помощью REST API
- Необходимо скопировать ключи в целевое хранилище с помощью скрипта копирования ключей .
Replication Protected Items - Update
Используйте REST API для обновления метаданных Azure Site Recovery.
Обновление параметров шифрования целевой виртуальной машины с помощью PowerShell
- Скопируйте ключи в целевое хранилище с помощью скрипта копирования ключей .
Set-AzRecoveryServicesAsrReplicationProtectedItem
Используйте команду для обновления метаданных Azure Site Recovery.
Устранение неполадок, связанных с разрешениями хранилища ключей, во время репликации виртуальной машины типа Azure-Azure.
Для службы Azure Site Recovery требуется хотя бы одно разрешение на чтение в хранилище ключей исходного региона и разрешение на запись в хранилище ключей целевого региона, чтобы считать секрет и скопировать его в хранилище ключей целевого региона.
Причина 1. Отсутствует разрешение "ПОЛУЧЕНИЕ" в хранилище ключей исходного региона для чтения ключей.
Исправление. Необходимо иметь разрешение на получение для хранилища ключей, независимо от наличия роли администратора подписки.
- Выберите хранилище ключей исходного региона, в данном примере это "ContososourceKeyvault", >Политики доступа.
- В разделе Выбор субъекта добавьте имя пользователя, например "dradmin@contoso.com".
- В разделе Разрешения ключей выберите "ПОЛУЧЕНИЕ".
- В разделе Разрешение секрета выберите "ПОЛУЧЕНИЕ".
- Сохраните политику доступа.
Причина 2. Отсутствует необходимое разрешение в хранилище ключей целевого региона для записи ключей.
Пример. Вы пытаетесь реплицировать виртуальную машину с хранилищем ключей ContososourceKeyvault в исходном регионе. У вас есть все разрешения в хранилище ключей исходного региона. Но в процессе обеспечения защиты выбрано уже созданное хранилище ключей ContosotargetKeyvault, не имеющее разрешений. Происходит ошибка.
Для целевого хранилища ключей требуется разрешение.
Исправление. Последовательно выберите Главная>Хранилища ключей>ContosotargetKeyvault>Политики доступа и добавьте соответствующие разрешения.
Следующие шаги
- Дополнительные сведения о выполнении тестовой отработки отказа см. в этой статье.