Share via

Přesun šifrovaných virtuálních počítačů Azure napříč oblastmi

  • Článek

Azure Resource Mover pomáhá přesouvat prostředky Azure mezi oblastmi Azure. Tento článek popisuje, jak pomocí nástroje Azure Resource Mover přesunout šifrované virtuální počítače Azure do jiné oblasti Azure.

Šifrované virtuální počítače je možné popsat takto:

V tomto kurzu se naučíte:

  • Přesun šifrovaných virtuálních počítačů Azure a jejich závislých prostředků do jiné oblasti Azure

Poznámka:

Kurzy ukazují nejrychlejší cestu k vyzkoušení scénáře a tam, kde je to možné, používají výchozí možnosti.

Přihlášení k Azure

Pokud nemáte předplatné Azure, vytvořte si před zahájením a přihlášením k webu Azure Portal bezplatný účet.

Požadavky

Než začnete, ověřte následující:

Požadavek Detaily
Oprávnění předplatného Ujistěte se, že máte v předplatném přístup vlastníka , který obsahuje prostředky, které chcete přesunout.

Proč potřebuji přístup vlastníka? Při prvním přidání prostředku pro konkrétní zdrojový a cílový pár v předplatném Azure vytvoří Resource Mover spravovanou identitu přiřazenou systémem, dříve označovanou jako Identita spravované služby (MSI). Tato identita je důvěryhodná pro předplatné. Před vytvořením identity a jejím přiřazením požadovaných rolí (přispěvatel a správce uživatelských přístupů ve zdrojovém předplatném) potřebuje účet, který použijete k přidání prostředků, oprávnění vlastníka v předplatném. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Podpora virtuálních počítačů Ujistěte se, že jsou virtuální počítače, které chcete přesunout, podporovány následujícím způsobem:
  • Ověřte podporované virtuální počítače s Windows.
  • Ověřte podporované linuxové virtuální počítače a verze jádra.
  • Zkontrolujte podporovaná nastavení výpočetních prostředků, úložiště a sítí .
    		•
    Požadavky na trezor klíčů (Azure Disk Encryption) Pokud máte pro virtuální počítače povolené azure Disk Encryption, potřebujete trezor klíčů ve zdrojových i cílových oblastech. Další informace najdete v tématu Vytvoření trezoru klíčů.

    Pro trezory klíčů ve zdrojových a cílových oblastech potřebujete tato oprávnění:
  • Oprávnění ke klíči: Operace správy klíčů (Get, List) a kryptografické operace (dešifrování a šifrování)
  • Oprávnění k tajným kódům: Operace správy tajných kódů (Get, List a Set)
  • Certifikát (výpis a získání)
    		•
    Sada šifrování disků (šifrování na straně serveru pomocí CMK) Pokud používáte virtuální počítače s šifrováním na straně serveru, které používá CMK, potřebujete sadu šifrování disků ve zdrojových i cílových oblastech. Další informace najdete v tématu Vytvoření sady šifrování disku.

    Pokud používáte modul hardwarového zabezpečení (klíče HSM) pro klíče spravované zákazníkem, nepodporuje se přesun mezi oblastmi.
    Kvóta cílové oblasti Předplatné potřebuje dostatečnou kvótu pro vytvoření prostředků, které přesouváte v cílové oblasti. Pokud kvótu nemá, požádejte o další limity.
    Poplatky za cílovou oblast Ověřte ceny a poplatky, které jsou přidružené k cílové oblasti, do které virtuální počítače přesouváte. Použijte cenovou kalkulačku.

    Ověření oprávnění v trezoru klíčů

    Pokud přesouváte virtuální počítače s povoleným službou Azure Disk Encryption, musíte spustit skript. Uživatelé, kteří skript spustí, by k tomu měli mít příslušná oprávnění. Informace o požadovaných oprávněních najdete v následující tabulce. Možnosti pro změnu oprávnění najdete tak, že přejdete do trezoru klíčů na webu Azure Portal. V části Nastavení vyberte Zásady přístupu.

    Snímek obrazovky s odkazem Zásady přístupu v podokně Nastavení trezoru klíčů

    Pokud uživatelská oprávnění nejsou nastavená, vyberte Přidat zásadu přístupu a zadejte oprávnění. Pokud už má uživatelský účet zásadu, v části Uživatel nastavte oprávnění podle pokynů v následující tabulce.

    Virtuální počítače Azure, které používají Azure Disk Encryption, můžou mít následující varianty a budete muset nastavit oprávnění podle příslušných komponent. Virtuální počítače můžou mít:

    Trezor klíčů zdrojové oblasti

    Pro uživatele, kteří skript spustí, nastavte oprávnění pro následující komponenty:

    Komponenta Požadovaná oprávnění
    Tajné kódy Získat

    Vyberte Operace správy tajných kódů tajných kódů>a vyberte Získat.
    Klíče

    Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy.    		 Získání a dešifrování

    Vyberte operace správy klíčů klíčových oprávnění>a vyberte Získat. V kryptografických operacích vyberte Dešifrovat.

    Trezor klíčů cílové oblasti

    Na kartě Zásady přístupu se ujistěte, že je povolená služba Azure Disk Encryption pro šifrování svazku.

    Pro uživatele, kteří skript spustí, nastavte oprávnění pro následující komponenty:

    Komponenta Požadovaná oprávnění
    Tajné kódy Nastavit

    Vyberte Operace správy tajných kódů oprávnění>a vyberte Nastavit.
    Klíče

    Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy.    		 Získání, vytvoření a šifrování

    Vyberte operace správy klíčů oprávnění klíče>a vyberte Získat a vytvořit. V kryptografických operacích vyberte Šifrovat.

    Kromě předchozích oprávnění musíte v cílovém trezoru klíčů přidat oprávnění pro identitu spravovaného systému, kterou nástroj Resource Mover používá pro přístup k prostředkům Azure vaším jménem.

    Přidání oprávnění k identitě spravovaného systému

    Pokud chcete přidat oprávnění pro identitu spravovaného systému (MSI), postupujte takto:

    1. V části Nastavení vyberte Přidat zásady přístupu.

    2. V části Vybrat objekt zabezpečení vyhledejte MSI. Název MSI je movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Pro MSI přidejte následující oprávnění:

      Komponenta Požadovaná oprávnění
      Tajné kódy Získat a zobrazit seznam

      Vyberte operace správy tajných kódů tajných kódů>a vyberte Získat a zobrazit seznam.
      Klíče

      Pokud používáte klíč KEK, potřebujete tato oprávnění kromě oprávnění pro tajné kódy.      		 Získat a zobrazit seznam

      Vyberte operace správy klíčů klíčových oprávnění>a vyberte Získat a vypsat.

    Zkopírování klíčů do cílového trezoru klíčů

    Zkopírujte šifrovací tajné kódy a klíče ze zdrojového trezoru klíčů do cílového trezoru klíčů pomocí poskytnutého skriptu.

    Pokud chcete zkopírovat klíče ze zdrojového trezoru klíčů do cílového trezoru klíčů, postupujte takto:

    • Spusťte skript v PowerShellu. Doporučujeme používat nejnovější verzi PowerShellu.
    • Konkrétně skript vyžaduje tyto moduly:
      • Az.Compute
      • Az.KeyVault (verze 3.0.0)
      • Az.Accounts (verze 2.2.3)

    Skript spustíte takto:

    1. Otevřete skript na GitHubu.

    2. Zkopírujte obsah skriptu do místního souboru a pojmenujte ho Copy-keys.ps1.

    3. Spusťte skript.

    4. Přihlaste se k portálu Azure.

    5. V části Uživatelské vstupy vyberte zdrojové předplatné, skupinu prostředků, zdrojový virtuální počítač, cílové umístění a cílové trezory pro šifrování disků a klíčů.

      Snímek obrazovky s oknem Vstupy uživatele pro zadání hodnot skriptu

    6. Ke spuštění skriptu použijte tlačítko Vybrat.

      Po dokončení skriptu se zobrazí zpráva s oznámením, že kopírování klíčů bylo úspěšné.

    Příprava virtuálních počítačů

    Při přípravě virtuálních počítačů na přesun postupujte takto:

    1. Jakmile zkontrolujete, jestli virtuální počítače splňují požadavky, ujistěte se, že jsou virtuální počítače, které chcete přesunout, zapnuté. Všechny disky virtuálních počítačů, které chcete mít k dispozici v cílové oblasti, musí být připojené a inicializované na virtuálním počítači.
    2. Pokud chcete zajistit, aby virtuální počítače měly nejnovější důvěryhodné kořenové certifikáty a aktualizovaný seznam odvolaných certifikátů (CRL), postupujte takto:
      • Na virtuálních počítačích s Windows nainstalujte nejnovější aktualizace Windows.
      • Na virtuálních počítačích s Linuxem postupujte podle pokynů distributora, aby počítače měly nejnovější certifikáty a CRL.
    3. Pokud chcete povolit odchozí připojení z virtuálních počítačů, udělejte jednu z těchto věcí:
      • Pokud k řízení odchozího připojení používáte proxy brány firewall na základě adresy URL, povolte přístup k adresám URL.
      • Pokud k řízení odchozího připojení používáte pravidla skupiny zabezpečení sítě (NSG), vytvořte tato pravidla značek služeb.

    Vyberte prostředky, které chcete přesunout.

    V libovolné ze skupin prostředků ve zdrojové oblasti, kterou vyberete, můžete vybrat libovolný podporovaný typ prostředku. Prostředky můžete přesunout do cílové oblasti, která je ve stejném předplatném jako zdrojová oblast. Pokud chcete předplatné změnit, můžete to udělat po přesunu prostředků.

    Pokud chcete vybrat prostředky, postupujte takto:

    1. Na webu Azure Portal vyhledejte nástroj pro přesun prostředků. V části Služby vyberte Azure Resource Mover.

      Snímek obrazovky s výsledky hledání pro Azure Resource Mover na webu Azure Portal

    2. V podokně Přehled služby Azure Resource Mover vyberte Přesunout mezi oblastmi.

      Snímek obrazovky s tlačítkem Přesunout mezi oblastmi pro přidání prostředků, které se mají přesunout do jiné oblasti

    3. Na kartě Přesunout zdroje a cíl prostředků>postupujte takto:

      1. Vyberte zdrojové předplatné a oblast.
      2. V části Cíl vyberte oblast, do které chcete virtuální počítače přesunout, a pak vyberte Další.

      Stránka pro výběr zdrojové a cílové oblasti.

    4. Na kartě Prostředky, které chcete přesunout, vyberte možnost Vybrat prostředky a otevřete novou kartu se seznamem dostupných virtuálních počítačů.

      Snímek obrazovky s podoknem Přesunout prostředky a tlačítkem Vybrat prostředky

    5. Na kartě Vybrat prostředky vyberte virtuální počítače, které chcete přesunout. Jak je uvedeno v části Vybrat prostředky, které chcete přesunout , můžete přidat pouze prostředky, které jsou pro přesun podporovány.

      Snímek obrazovky s podoknem Vybrat prostředky pro výběr virtuálních počítačů, které chcete přesunout

      Poznámka:

      V tomto kurzu vyberete virtuální počítač, který používá šifrování na straně serveru (rayne-vm) s klíčem spravovaným zákazníkem a virtuální počítač s povoleným šifrováním disků (rayne-vm-ade).

    6. Vyberte Hotovo.

    7. Vyberte kartu Zdroje, které chcete přesunout , a vyberte Další.

    8. Vyberte kartu Revize a zkontrolujte nastavení zdroje a cíle.

      Snímek obrazovky s podoknem pro kontrolu nastavení zdroje a cíle

    9. Vyberte Pokračovat a začněte přidávat prostředky.

    10. Vyberte ikonu oznámení a sledujte průběh. Po úspěšném dokončení procesu vyberte v podokně Oznámení možnost Přidat prostředky pro přesun.

      Snímek obrazovky s podoknem Oznámení pro potvrzení úspěšného přidání prostředků

    11. Po výběru oznámení zkontrolujte prostředky na stránce Napříč oblastmi .

      Snímek obrazovky s přidanými prostředky se stavem Připravit čekající

    Poznámka:

    • Prostředky, které přidáte, se umístí do stavu Čeká na přípravu .
    • Skupina prostředků pro virtuální počítače se přidá automaticky.
    • Pokud upravíte položky konfigurace cíle tak, aby používaly prostředek, který již v cílové oblasti existuje, je stav prostředku nastaven na Čeká na potvrzení, protože pro něj není nutné zahájit přesun.
    • Pokud chcete odebrat přidaný prostředek, metoda, kterou použijete, závisí na tom, kde se nacházíte v procesu přesunu. Další informace najdete v tématu Správa kolekcí přesunů a skupin prostředků.

    Řešení závislostí

    Pokud chcete vyřešit závislosti před přesunutím, postupujte takto:

    1. Závislosti se po přidání ověřují na pozadí. Pokud se zobrazí tlačítko Ověřit závislosti , vyberte ho a aktivujte ruční ověření.

      Snímek obrazovky s tlačítkem Ověřit závislosti

      Proces ověření začíná.

    2. Pokud jsou nalezeny závislosti, vyberte Přidat závislosti.

      Snímek obrazovky s tlačítkem Přidat závislosti

    3. V podokně Přidat závislosti ponechte výchozí možnost Zobrazit všechny závislosti.

      • Zobrazit všechny závislosti iteruje všemi přímými a nepřímými závislostmi prostředku. Například u virtuálního počítače se zobrazí síťová karta, virtuální síť, skupiny zabezpečení sítě (NSG) atd.
      • Zobrazit pouze závislosti první úrovně zobrazuje pouze přímé závislosti. Například pro virtuální počítač zobrazuje síťovou kartu, ale ne virtuální síť.

    4. Vyberte závislé prostředky, které chcete přidat, a vyberte Přidat závislosti.

      Snímek obrazovky se seznamem závislostí a tlačítkem Přidat závislosti

    5. Závislosti se po přidání automaticky ověří na pozadí. Pokud se zobrazí možnost Ověřit závislosti , vyberte ji a aktivujte ruční ověření.

      Snímek obrazovky s podoknem pro opětovné ověření závislostí

    Přiřazení cílových prostředků

    Cílové prostředky, které jsou přidružené k šifrování, musíte přiřadit ručně.

    Pokud přesouváte virtuální počítač s povoleným službou Azure Disk Encryption, trezor klíčů ve vaší cílové oblasti se zobrazí jako závislost. Pokud přesouváte virtuální počítač s šifrováním na straně serveru, který používá sady CMK, zobrazí se jako závislost sada šifrování disku v cílové oblasti.

    Vzhledem k tomu, že tento kurz ukazuje přesun virtuálního počítače s povoleným šifrováním disků Azure a který používá klíč CMK, zobrazí se cílový trezor klíčů i sada šifrování disků jako závislosti.

    Pokud chcete cílové prostředky přiřadit ručně, postupujte takto:

    1. V položce nastavení šifrování disku vyberte prostředek, který není přiřazený ve sloupci Konfigurace cíle.

    2. V nastavení konfigurace vyberte sadu šifrování cílového disku a vyberte Uložit změny.

    3. Můžete uložit a ověřit závislosti pro prostředek, který upravujete, nebo můžete uložit jenom změny a ověřit vše, co upravujete najednou.

      Snímek obrazovky s podoknem Cílová konfigurace pro ukládání změn v cílové oblasti

      Po přidání cílového prostředku se stav sady šifrování disku změní na Potvrzení čekající na přesunutí.

    4. V položce trezoru klíčů vyberte Prostředek, který není přiřazený ve sloupci Konfigurace cíle. V části Nastavení konfigurace vyberte cílový trezor klíčů a uložte provedené změny.

    V této fázi se stav šifrování disku a trezoru klíčů změní na Čeká na potvrzení přesunutí.

    Snímek obrazovky s podoknem pro přípravu dalších prostředků

    Pokud chcete potvrdit a dokončit proces přesunu pro šifrovací prostředky, postupujte takto:

    1. V části Napříč oblastmi vyberte prostředek (sada šifrování disků nebo trezor klíčů) a vyberte Potvrdit přesunutí.
    2. V části Přesunout prostředky vyberte Potvrdit.

    Poznámka:

    Po potvrzení přesunu se stav prostředku změní na Čeká na odstranění zdroje.

    Příprava prostředků k přesunu

    Teď, když se přesunou šifrovací prostředky a zdrojová skupina prostředků, můžete se připravit na přesun dalších prostředků, jejichž aktuální stav čeká na přípravu.

    1. V podokně Napříč oblastmi znovu ověřte přesun a vyřešte všechny problémy.

    2. Pokud chcete před zahájením přesunu upravit nastavení cíle, vyberte odkaz ve sloupci Konfigurace cíle pro prostředek a upravte nastavení. Pokud upravíte nastavení cílového virtuálního počítače, cílová velikost virtuálního počítače by neměla být menší než velikost zdrojového virtuálního počítače.

    3. U prostředků se stavem Připravit čekající na přesunutí vyberte Připravit.

    4. V podokně Připravit prostředky vyberte Připravit.

      • Během přípravy se na virtuální počítače nainstaluje agent mobility Azure Site Recovery, který je replikuje.
      • Data virtuálního počítače se pravidelně replikují do cílové oblasti. To nemá vliv na zdrojový virtuální počítač.
      • Přesun prostředků generuje šablony ARM pro ostatní zdrojové prostředky.

    Poznámka:

    Jakmile prostředky připravíte, změní se jejich stav tak, aby inicioval čekající přesun. Snímek obrazovky s podoknem Připravit prostředky a zobrazenými prostředky ve stavu Zahájit přesun čekající

    Zahájení přesunu

    Teď, když jste připravili prostředky, můžete zahájit přesun.

    1. V podokně Napříč oblastmi vyberte prostředky, jejichž stav je Zahájit přesunutí čekající, a vyberte Zahájit přesun.

    2. V podokně Přesunout prostředky vyberte Zahájit přesun.

    3. Sledujte průběh přesunu na panelu oznámení.

      • U virtuálních počítačů se repliky virtuálních počítačů vytvářejí v cílové oblasti. Zdrojový virtuální počítač se vypne a dojde k výpadku (obvykle minut).
      • Resource Mover znovu vytvoří další prostředky pomocí připravených šablon ARM. Obvykle nedochází k výpadkům.
      • Po přesunutí prostředků se jejich stav změní na Potvrzení přesunutí čekajícího na dokončení.

      Snímek obrazovky se seznamem prostředků se stavem Potvrzení čeká na přesunutí

    Zahodit nebo potvrdit přesunutí

    Po počátečním přesunu se můžete rozhodnout, jestli chcete přesunutí potvrdit nebo zahodit.

    • Zahodit: Přesunutí můžete zahodit, pokud ho testujete a nechcete zdrojový prostředek skutečně přesunout. Když přesun zahodíte, vrátí se prostředek, aby se zahájil stav čekající na přesunutí.
    • Potvrzení: Potvrzení dokončí přesun do cílové oblasti. Po potvrzení zdrojového prostředku se jeho stav změní na Čeká na odstranění zdroje a můžete se rozhodnout, jestli ho chcete odstranit.

    Zahodit přesun

    Přesunutí zahodíte takto:

    1. V podokně Napříč oblastmi vyberte prostředky, jejichž stav čeká na potvrzení přesunutí, a vyberte Zahodit přesunutí.
    2. V podokně Zahodit přesunutí vyberte Zahodit.
    3. Sledujte průběh přesunu na panelu oznámení.

    Poznámka:

    Jakmile prostředky zahodíte, stav virtuálního počítače se změní na Zahájení čekajícího přesunu.

    Potvrzení přesunutí

    Chcete-li dokončit proces přesunutí, potvrďte přesunutí následujícím způsobem:

    1. V podokně Napříč oblastmi vyberte prostředky, jejichž stav je Čekající na potvrzení přesunutí, a vyberte Potvrdit přesunutí.

    2. V podokně Prostředky potvrzení vyberte Potvrdit.

      Snímek obrazovky se seznamem prostředků pro potvrzení prostředků pro dokončení přesunu

    3. Sledujte průběh potvrzení na panelu oznámení.

    Poznámka:

    • Po potvrzení přesunu přestanou virtuální počítače replikovat. Potvrzení nemá vliv na zdrojový virtuální počítač.
    • Proces potvrzení nemá vliv na zdrojové síťové prostředky.
    • Po potvrzení přesunu se stav prostředků změní na Čeká na odstranění zdroje.

    Konfigurace nastavení po přesunutí

    Po přesunutí můžete nakonfigurovat následující nastavení:

    • Služba mobility se z virtuálních počítačů neodinstaluje automaticky. Odinstalujte ho ručně nebo ho ponechte, pokud chcete server přesunout znovu.
    • Po přesunu upravte pravidla řízení přístupu na základě role (RBAC) Azure.

    Odstranění zdrojových prostředků po potvrzení

    Po přesunutí můžete volitelně odstranit prostředky ve zdrojové oblasti.

    1. V podokně Napříč oblastmi vyberte každý zdrojový prostředek, který chcete odstranit, a vyberte Odstranit zdroj.
    2. V nástroji Odstranit zdroj zkontrolujte, co chcete odstranit, a do možnosti Potvrdit odstranění zadejte ano.

      Upozornění

      Akce je nevratná, proto pečlivě zkontrolujte!

    3. Po zadání ano vyberte Odstranit zdroj.

    Poznámka:

    Na portálu Přesun prostředků nemůžete odstranit skupiny prostředků, trezory klíčů ani instance SQL Serveru. Každý z jednotlivých prostředků musíte odstranit na stránce vlastností každého prostředku.

    Odstranění prostředků, které jste vytvořili pro přesun

    Po přesunutí můžete ručně odstranit kolekci přesunů a prostředky Site Recovery, které jste vytvořili během tohoto procesu.

    • Kolekce přesunutí je ve výchozím nastavení skrytá. Abyste ho viděli, musíte zapnout skryté prostředky.
    • Úložiště mezipaměti má zámek, který je potřeba odstranit, aby bylo možné ho odstranit.

    Pokud chcete odstranit prostředky, postupujte takto:

    1. Vyhledejte prostředky ve skupině RegionMoveRG-<sourceregion>-<target-region>prostředků .

    2. Zkontrolujte, že všechny virtuální počítače a další zdrojové prostředky ve zdrojové oblasti byly přesunuty nebo odstraněny. Tento krok zajistí, že je nepoužívají žádné nevyřízené prostředky.

    3. Odstraňte prostředky:

      • Přesunout název kolekce: movecollection-<sourceregion>-<target-region>
      • Název účtu úložiště mezipaměti: resmovecache<guid>
      • Název trezoru: ResourceMove-<sourceregion>-<target-region>-GUID

    Další kroky

    Přečtěte si další informace o přesunu databází Azure SQL a elastických fondů do jiné oblasti.