النسخ المتماثل للأجهزة الظاهرية الممكّنة بتشفير قرص Azure إلى منطقة Azure أخرى

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة كيفية نسخ أجهزة Azure الظاهرية مع تمكين تشفير قرص Azure (ADE)، من منطقة Azure إلى أخرى.

ملاحظة

يدعم استرداد الموقع حالياً تشفير قرص Azure، مع Azure Active Directory (AAD) وبدونه للأجهزة الظاهرية التي تعمل بأنظمة التشغيل Windows. بالنسبة لأنظمة تشغيل Linux، فإننا ندعم تشفير قرص Azure فقط دون AAD. علاوة على ذلك، بالنسبة للأجهزة التي تعمل بنظام ADE 1.1 (بدون AAD)، يجب أن تستخدم الأجهزة الظاهرية الأقراص المدارة. لا يتم دعم الأجهزة الظاهرية المزودة بأقراص غير مُدارة. إذا قمت بالتبديل من الإصدار ADE 0.1 (مع AAD) إلى 1.1، فأنت بحاجة إلى تعطيل النسخ المتماثل وتمكين النسخ المتماثل لجهاز ظاهري بعد تمكين 1.1.

أذونات المستخدم المطلوبة

يتطلب استرداد الموقع من المستخدم الحصول على أذونات لإنشاء مخزن المفاتيح في المنطقة الهدف، ونسخ المفاتيح من مخزن مفاتيح المنطقة المصدر إلى مخزن المفاتيح للمنطقة الهدف.

لتمكين النسخ المتماثل للأجهزة الظاهرية التي تم تمكين تشفير القرص عليها من مدخل Azure، يحتاج المستخدم إلى الأذونات التالية على كل من مخازن المفاتيح للمنطقة المصدر والمنطقة الهدف.

• أذونات مخزن المفاتيح

  • List وCreate وGet

• أذونات سرية لمخزن المفاتيح

  • عمليات إدارة البيانات السرية
    • Get، وList، وSet

• أذونات مفاتيح مخزن المفاتيح (مطلوبة فقط إذا كانت الأجهزة الظاهرية تستخدم مفتاح تشفير المفتاح لتشفير مفاتيح تشفير القرص)

  • عمليات إدارة المفاتيح
    • Get، وList، وCreate
  • عمليات التشفير
    • فك التشفير والتشفير

لإدارة الأذونات، انتقل إلى مورد مخزن المفاتيح في المدخل. أضف الأذونات المطلوبة للمستخدم. يوضح المثال التالي كيفية تمكين الأذونات إلى مخزن المفاتيح ContosoWeb2Keyvault، الموجود في المنطقة المصدر.

1. انتقل إلى الصفحة الرئيسية>Keyvaults>ContosoWeb2KeyVault > نهج الوصول.

   

2. يمكنك أن ترى أنه لا توجد أذونات مستخدم. حدد ⁧⁩Add new⁧⁩. أدخل معلومات المستخدم والأذونات.

   

إذا لم يكن لدى المستخدم الذي يقوم بتمكين الإصلاح بعد كارثة (DR) أذونات لنسخ المفاتيح، يمكن لمسؤول الأمان الذي لديه الأذونات المناسبة استخدام البرنامج النصي التالي لنسخ البيانات السرية للتشفير ومفاتيحه إلى المنطقة الهدف.

لاستكشاف أخطاء الأذونات وإصلاحها، راجع مشكلات أذونات مخزن المفاتيح لاحقاً في هذه المقالة.

ملاحظة

لتمكين النسخ المتماثل للأجهزة الظاهرية التي تدعم "تشفير القرص" من المدخل، تحتاج على الأقل إلى أذونات "List" للإدراج على مخازن المفاتيح والبيانات السرية والمفاتيح.

نسخ مفاتيح "تشفير القرص" إلى منطقة الإصلاح بعد كارثة باستخدام البرنامج النصي PowerShell

1. افتح التعليمة البرمجية للبرنامج النصي الأولي "CopyKeys".

2. انسخ البرنامج النصي إلى ملف، وقم بتسميته Copy-keys.ps1.

3. افتح تطبيق Windows PowerShell، وانتقل إلى المجلد الذي حفظت فيه الملف.

4. قم بتنفيذ Copy-keys.ps1.

5. قدم بيانات اعتماد Azure لتسجيل الدخول.

6. حدد اشتراك Azure لأجهزتك الظاهرية.

7. انتظر حتى يتم تحميل مجموعات الموارد، ثم حدد مجموعة الموارد الخاصة بالأجهزة الظاهرية.

8. حدد الأجهزة الظاهرية من القائمة المعروضة. تضم القائمة فقط الأجهزة الظاهرية التي تم تمكينها لتشفير القرص.

9. حدد الموقع الهدف.

   • مخازن مفاتيح تشفير القرص
   • مخازن مفاتيح تشفير المفاتيح

   بشكل افتراضي، ينشئ "استرداد الموقع" مخزن مفاتيح جديداً في المنطقة الهدف. يحتوي اسم المخزن على لاحقة "asr" تستند إلى مفاتيح تشفير قرص الجهاز الظاهري المصدر. إذا كان هناك بالفعل مخزن مفاتيح تم إنشاؤه بواسطة "استرداد الموقع"، فسيعاد استخدامه. حدد مخزن مفاتيح مختلفاً من القائمة إذا لزم الأمر.

تمكين النَسْخ المتماثل

على سبيل المثال، منطقة Azure الأساسية هي شرق آسيا، والمنطقة الثانوية هي جنوب شرق آسيا.

1. في المخزن، حدد +نسخ متماثل.

2. لاحظ الحقول التالية.

   • المصدر: نقطة منشأ الأجهزة الظاهرية، وهي في هذه الحالة Azure.
   • الموقع المصدر: منطقة Azure حيثما تريد حماية أجهزتك الظاهرية. على سبيل المثال، الموقع المصدر هو "شرق آسيا".
   • نموذج التوزيع: نموذج توزيع Azure للأجهزة المصدر.
   • الاشتراك المصدر: الاشتراك الذي تنتمي إليه أجهزتك الظاهرية المصدر. يمكن أن يكون أي اشتراك في نفس مستأجر Microsoft Azure Active Directory، مثل مخزن خدمات الاسترداد.
   • مجموعة الموارد: مجموعة الموارد التي تنتمي إليها أجهزتك الظاهرية المصدر. يتم إدراج جميع الأجهزة الظاهرية في مجموعة الموارد المحددة لإجراء الحماية في الخطوة التالية.

3. في الأجهزة الظاهرية>تحديد الأجهزة الظاهرية، حدد كل جهاز ظاهري تريد نسخه نسخاً متماثلاً. يمكنك فقط تحديد الأجهزة التي يمكن تمكين النسخ المتماثل لها. ثم حدد OK.

4. في الإعدادات، يمكنك تكوين إعدادات الموقع الهدف التالية.

   • الموقع الهدف: الموقع الذي سيتم فيه نسخ بيانات الجهاز الظاهري المصدر. يوفر «استرداد الموقع» قائمة بالمناطق الهدف المناسبة استناداً إلى موقع الجهاز المحدد. نوصي باستخدام نفس الموقع الجغرافي لموقع مخزن «خدمات الاسترداد».
   • الاشتراك الهدف: الاشتراك الهدف الذي يتم استخدامه للإصلاح بعد كارثة. بشكل افتراضي، الاشتراك الهدف هو نفس الاشتراك المصدر.
   • مجموعة الموارد الهدف: مجموعة الموارد التي تنتمي إليها جميع أجهزتك الظاهرية التي تم نسخها نسخاً متماثلاً. ينشئ «استرداد الموقع» مجموعة موارد جديدة في المنطقة الهدف بشكل افتراضي. يحصل الاسم على لاحقة "asr". إذا كانت مجموعة الموارد موجودة بالفعل والتي تم إنشاؤها بواسطة استرداد موقع Azure، فستتم إعادة استخدامها. يمكنك أيضاً اختيار تخصيصها، كما هو موضح في القسم التالي. يمكن أن يكون موقع مجموعة الموارد الهدف أي منطقة Azure باستثناء المنطقة التي تتم فيها استضافة الأجهزة الظاهرية المصدر.
   • الشبكة الظاهرية الهدف: يُنشئ استرداد الموقع بشكل افتراضي شبكة ظاهرية جديدة في المنطقة الهدف. يحصل الاسم على لاحقة "asr". يتم تعيينه إلى شبكتك المصدر واستخدامه لأي حماية في المستقبل. تعرّف على المزيد حول تعيين الشبكة.
   • حسابات التخزين الهدف (إذا كان الجهاز الظاهري المصدر لا يستخدم الأقراص المُدارة): يُنشئ «استرداد الموقع» بشكل افتراضي حساب تخزين هدف عن طريق محاكاة تكوين تخزين الجهاز الظاهري المصدر. إذا كان حساب التخزين موجوداً بالفعل، فستتم إعادة استخدامه.
   • الأقراص المُدارة للنسخة المتماثلة (إذا كان جهازك الظاهري المصدر يستخدم أقراصاً مُدارة): يُنشئ استرداد الموقع أقراصاً مُدارة جديدة للنسخة المتماثلة في المنطقة الهدف للنسخ المتطابق للأقراص المُدارة للجهاز الظاهري المصدر من نفس نوع التخزين (standard أو premium) مثل الأقراص المُدارة للجهاز الظاهري المصدر.
   • حسابات تخزين ذاكرة التخزين المؤقت: يحتاج «استرداد الموقع» إلى حساب تخزين إضافي يُسمى تخزين ذاكرة التخزين المؤقت في المنطقة المصدر. يتم تعقب جميع التغييرات على الأجهزة الظاهرية المصدر وإرسالها إلى حساب تخزين ذاكرة التخزين المؤقت. ثم يتم نسخها نسخاً متماثلاً إلى الموقع الهدف.
   • مجموعة التوفر: ينشئ «استرداد الموقع» بشكل افتراضي مجموعة توفر جديدة في المنطقة الهدف. يحتوي الاسم على لاحقة "asr". إذا كانت مجموعة التوفر التي أنشأتها خدمة «استرداد الموقع» موجودة بالفعل، فستتم إعادة استخدامها.
   • مخازن مفاتيح تشفير القرص: بشكل افتراضي، يقوم «استرداد الموقع» بإنشاء مخزن مفتاح جديد في المنطقة الهدف. يحتوي على لاحقة "asr" تستند إلى مفاتيح تشفير قرص الجهاز الظاهري المصدر. إذا كان مخزن المفاتيح الذي تم إنشاؤه بواسطة استرداد موقع Azure موجوداً بالفعل، فسيعاد استخدامه.
   • Key encryption key vaults: بشكل افتراضي، يقوم Site Recovery بإنشاء مخزن مفتاح جديد في المنطقة المستهدفة. يحتوي الاسم على لاحقة "asr" تستند إلى مفاتيح تشفير مفتاح الجهاز الظاهري المصدر. إذا كان مخزن المفاتيح الذي تم إنشاؤه بواسطة استرداد موقع Azure موجوداً بالفعل، فسيعاد استخدامه.
   • نهج النسخ المتماثل: تحدد إعدادات محفوظات استبقاء نقطة الاسترداد وتردد اللقطة المتوافقة مع التطبيق. يُنشئ «استرداد الموقع» بشكل افتراضي نهج نسخ متماثل جديدة بإعدادات افتراضية مدتها 24 ساعة لاستبقاء نقطة الاسترداد و60 دقيقة لتردد اللقطة المتوافقة مع التطبيق.

تخصيص الموارد الهدف

اتبع هذه الخطوات لتعديل الإعدادات الهدف الافتراضية لخدمة «استرداد الموقع».

1. حدد تخصيص بجانب "الاشتراك الهدف" لتعديل الاشتراك الهدف الافتراضي. حدد الاشتراك من قائمة الاشتراكات المتوفرة في مستأجر Azure AD.

2. حدد تخصيص الموجود بجانب "مجموعة الموارد، والشبكة، والتخزين، ومجموعات التوفر" لتعديل الإعدادات الافتراضية التالية:

   • بالنسبة إلى مجموعة الموارد الهدف، حدد مجموعة الموارد من قائمة مجموعات الموارد في الموقع الهدف للاشتراك.
   • بالنسبة إلى الشبكة الظاهرية الهدف، حدد الشبكة من قائمة الشبكات الظاهرية في الموقع الهدف.
   • بالنسبة إلى مجموعة التوفر، يمكنك إضافة إعدادات مجموعة التوفر إلى الجهاز الظاهري، إذا كانت جزءاً من مجموعة توفر في المنطقة المصدر.
   • بالنسبة إلى حسابات التخزين الهدف، حدد الحساب المطلوب استخدامه.

3. حدد تخصيص الموجود بجوار "إعدادات التشفير" لتعديل الإعدادات الافتراضية التالية:

   • بالنسبة إلى مخزن مفاتيح تشفير القرص الهدف، حدد مخزن مفاتيح تشفير القرص الهدف من قائمة مخازن المفاتيح الرئيسية في الموقع الهدف للاشتراك.
   • بالنسبة إلى مخزن مفاتيح تشفير المفتاح الهدف، حدد مخزن مفاتيح تشفير المفتاح الهدف من قائمة مخازن المفاتيح في الموقع الهدف للاشتراك.

4. حدد إنشاء المورد الهدف>تمكين النسخ المتماثل.

5. بعد تمكين الأجهزة الظاهرية للنسخ المتماثل، يمكنك التحقق من الحالة الصحية للأجهزة الظاهرية ضمن العناصر المنسوخة نسخًا متماثلاً.

ملاحظة

أثناء النسخ المتماثل الأولي، قد تستغرق الحالة بعض الوقت للتحديث، دون إحراز تقدم واضح. انقر فوق تحديث للحصول على أحدث حالة.

تحديث إعدادات تشفير الجهاز الظاهري الهدف

في السيناريوهات التالية، ستتم مطالبتك بتحديث إعدادات تشفير الجهاز الظاهري الهدف:

• قمت بتمكين النسخ المتماثل لخدمة "استرداد الموقع" على الجهاز الظاهري. في وقت لاحق، قمت بتمكين تشفير القرص على الجهاز الظاهري المصدر.
• قمت بتمكين النسخ المتماثل لخدمة "استرداد الموقع" على الجهاز الظاهري. في وقت لاحق، قمت بتغيير مفتاح تشفير القرص أو مفتاح تشفير المفتاح على الجهاز الظاهري المصدر.

يمكنك استخدام برنامج نصي لنسخ مفاتيح التشفير إلى المنطقة الهدف، ثم تحديث إعدادات التشفير الهدف في مخزن خدمات الاسترداد>العنصر المنسوخ نسخًا متماثلاً>الخصائص>الحساب والشبكة.

استكشاف مشكلات أذونات مخزن المفاتيح وإصلاحها أثناء النسخ المتماثل للجهاز الظاهري من Azure إلى Azure

يتطلب استرداد موقع Azure على الأقل إذن قراءة على مخزن المفاتيح للمنطقة المصدر، وإذن كتابة على مخزن المفاتيح للمنطقة الهدف لقراءة البيانات السرية ونسخها إلى مخزن المفاتيح للمنطقة الهدف.

السبب 1: لا يتوفر لديك إذن "GET" على مخزن مفاتيح المنطقة المصدر لقراءة المفاتيح.
كيفية الإصلاح: بغض النظر عما إذا كنت مسؤول اشتراك أم لا، من المهم أن تحصل على إذن في مخزن المفاتيح.

1. انتقل إلى مخزن مفاتيح المنطقة المصدر، وهو في هذا المثال "ContososourceKeyvault" >نُهُج الوصول
2. ضمن تحديد الأساسي، أضف اسم المستخدم على سبيل المثال: "dradmin@contoso.com"
3. ضمن أذونات المفاتيح، حدد GET
4. ضمن إذن البيانات السرية، حدد GET
5. حفظ نهج الوصول

السبب 2: لا يتوفر لديك إذن مطلوب على مخزن مفاتيح المنطقة الهدف لكتابة المفاتيح.

على سبيل المثال: تحاول نسخ جهاز ظاهري نسخًا متماثلاً يحتوي على مخزن مفاتيح ContososourceKeyvault على منطقة مصدر. تتوفر لديك جميع الأذونات على مخزن مفاتيح المنطقة المصدر. ولكن أثناء الحماية، يمكنك تحديد مخزن المفاتيح الذي تم إنشاؤه بالفعل «ContosotargetKeyvault»، والذي لا يحتوي على أذونات. يحدث خطأ.

الإذن المطلوب على مخزن المفاتيح الهدف

كيفية الإصلاح: انتقل إلى الصفحة الرئيسية>Keyvaults>ContosotargetKeyvault>نهج الوصول، وأضف الأذونات المناسبة.

الخطوات التالية

تعرف على المزيد حول تشغيل اختبار تجاوز فشل.