Virtuele machines met Azure Disk Encryption-functionaliteit repliceren naar een andere Azure-regio

  • Artikel

In dit artikel wordt beschreven hoe u Azure-VM's repliceert waarvoor Azure Disk Encryption (ADE) is ingeschakeld, van de ene Azure-regio naar de andere.

Notitie

Site Recovery biedt momenteel ondersteuning voor ADE, met en zonder Microsoft Entra ID, voor virtuele machines waarop Windows-besturingssystemen worden uitgevoerd. Voor Linux-besturingssystemen ondersteunen we alleen ADE zonder Microsoft Entra ID. Bovendien moeten de VM's voor apparaten met ADE 1.1 (zonder Microsoft Entra ID) beheerde schijven gebruiken. VM's met niet-beheerde schijven worden niet ondersteund. Als u overstapt van ADE 0.1 (met Microsoft Entra ID) naar 1.1, moet u voor een VM replicatie uitschakelen en weer inschakelen nadat u 1.1 hebt ingeschakeld.

Vereiste gebruikersmachtigingen

Site Recovery vereist dat de gebruiker machtigingen heeft om de sleutelkluis in de doelregio te maken en sleutels te kopiëren van de sleutelkluis van de bronregio naar de sleutelkluis van de doelregio.

Als u replicatie van vm's met schijfversleuteling wilt inschakelen vanuit Azure Portal, heeft de gebruiker de volgende machtigingen nodig voor zowel de bronregio als de doelregiosleutelkluizen .

  • Sleutelkluismachtigingen

    • Lijst, maken en ophalen

  • Sleutelkluisgeheimmachtigingen

    • Bewerkingen voor geheimbeheer
      • Ophalen, weergeven en instellen

  • Sleutelmachtigingen voor key vault (alleen vereist als de VM's sleutelversleutelingssleutel gebruiken om schijfversleutelingssleutels te versleutelen)

    • Bewerkingen voor sleutelbeheer
      • Ophalen, weergeven en maken
    • Cryptografische bewerkingen
      • Ontsleutelen en versleutelen

Als u machtigingen wilt beheren, gaat u naar de sleutelkluisresource in de portal. Voeg de vereiste machtigingen voor de gebruiker toe. In het volgende voorbeeld ziet u hoe u machtigingen inschakelt voor de sleutelkluis ContosoWeb2Keyvault, die zich in de bronregio bevindt.

  1. Ga naar Het>toegangsbeleid voor Keyvaults>ContosoWeb2KeyVault.>

    Venster Sleutelkluismachtigingen

  2. U kunt zien dat er geen gebruikersmachtigingen zijn. Selecteer Nieuwe toevoegen. Voer de gegevens van de gebruiker en machtigingen in.

    Sleutelkluismachtigingen

Als de gebruiker die herstel na noodgeval (DR) inschakelt, geen machtigingen heeft om de sleutels te kopiëren, kan een beveiligingsbeheerder met de juiste machtigingen het volgende script gebruiken om de versleutelingsgeheimen en -sleutels naar de doelregio te kopiëren.

Raadpleeg verderop in dit artikel om problemen met machtigingen voor key vault op te lossen.

Notitie

Als u replicatie van vm's met schijfversleuteling wilt inschakelen vanuit de portal, hebt u ten minste machtigingen voor lijsten nodig voor de sleutelkluizen, geheimen en sleutels.

Schijfversleutelingssleutels kopiëren naar de dr-regio met behulp van het PowerShell-script

  1. Open de onbewerkte scriptcode 'CopyKeys'.

  2. Kopieer het script naar een bestand en geef het de naam Copy-keys.ps1.

  3. Open de Windows PowerShell-toepassing en ga naar de map waarin u het bestand hebt opgeslagen.

  4. Voer Copy-keys.ps1 uit.

  5. Geef Azure-referenties op om u aan te melden.

  6. Selecteer het Azure-abonnement van uw VM's.

  7. Wacht tot de resourcegroepen zijn geladen en selecteer vervolgens de resourcegroep van uw VM's.

  8. Selecteer de VM's in de lijst die wordt weergegeven. Alleen vm's die zijn ingeschakeld voor schijfversleuteling, staan in de lijst.

  9. Selecteer de doellocatie.

    • Sleutelkluizen voor schijfversleuteling
    • Sleutelversleutelingssleutelkluizen

    Site Recovery maakt standaard een nieuwe sleutelkluis in de doelregio. De naam van de kluis heeft een asr-achtervoegsel dat is gebaseerd op de versleutelingssleutels van de bron-VM-schijf. Als er al een sleutelkluis bestaat die is gemaakt door Site Recovery, wordt deze opnieuw gebruikt. Selecteer indien nodig een andere sleutelkluis in de lijst.

Replicatie inschakelen

Gebruik de volgende procedure om vm's met Azure Disk Encryption te repliceren naar een andere Azure-regio. De primaire Azure-regio is bijvoorbeeld Azië - oost en de secundaire regio is Azië - zuidoost.

  1. Selecteer replicatie inschakelen op de pagina Site Recovery van de kluis >onder virtuele Azure-machines.

  2. Ga op de pagina Replicatie inschakelen onder Bron als volgt te werk:

    • Regio: Selecteer de Azure-regio waar u uw virtuele machines wilt beveiligen. De bronlocatie is bijvoorbeeld Azië - oost.
    • Abonnement: Selecteer het abonnement waartoe uw bron-VM's behoren. Dit kan elk abonnement zijn dat zich in dezelfde Microsoft Entra-tenant bevindt als uw Recovery Services-kluis.
    • Resourcegroep: Selecteer de resourcegroep waartoe uw virtuele bronmachines behoren. Alle VM's in de geselecteerde resourcegroep worden vermeld voor beveiliging in de volgende stap.
    • Implementatiemodel voor virtuele machines: selecteer het Azure-implementatiemodel van de bronmachines.
    • Herstel na noodgevallen tussen beschikbaarheidszones: Selecteer Ja als u zonegebonden herstel na noodgevallen wilt uitvoeren op virtuele machines.

    Schermopname met de velden gemarkeerd die nodig zijn om replicatie te configureren.

  3. Selecteer Volgende.

  4. Selecteer in virtuele machines elke VM die u wilt repliceren. U kunt alleen machines selecteren waarvoor replicatie kan worden ingeschakeld. U kunt maximaal tien VIRTUELE machines selecteren. Selecteer vervolgens Volgende.

    Schermopname waarin wordt gemarkeerd waar u virtuele machines selecteert.

  5. In De replicatie-instellingen kunt u de volgende instellingen configureren:

    1. Onder Locatie en resourcegroep,

      • Doellocatie: selecteer de locatie waar de gegevens van de virtuele bronmachine moeten worden gerepliceerd. Afhankelijk van de locatie van geselecteerde machines geeft Site Recovery u de lijst met geschikte doelregio's. U wordt aangeraden de doellocatie hetzelfde te houden als de Recovery Services-kluislocatie.

      • Doelabonnement: selecteer het doelabonnement dat wordt gebruikt voor herstel na noodgevallen. Standaard is het doelabonnement niet hetzelfde als het bronabonnement.

      • Doelresourcegroep: selecteer de resourcegroep waartoe al uw gerepliceerde virtuele machines behoren.

        • Site Recovery maakt standaard een nieuwe resourcegroep in de doelregio met een asr-achtervoegsel in de naam.
        • Als de resourcegroep die door Site Recovery wordt gemaakt, al bestaat, wordt deze opnieuw gebruikt.
        • U kunt de instellingen voor de resourcegroep aanpassen.
        • De locatie van de doelresourcegroep kan elke Azure-regio zijn, behalve de regio waarin de bron-VM's worden gehost.

        Notitie

        U kunt ook een nieuwe doelresourcegroep maken door Nieuw maken te selecteren.

        Schermopname van locatie en resourcegroep.

    2. Onder Netwerk,

      • Failover virtueel netwerk: selecteer het virtuele failovernetwerk.

        Notitie

        U kunt ook een nieuw virtueel failovernetwerk maken door Nieuw maken te selecteren.

      • Failoversubnet: selecteer het failoversubnet.

        Schermopname van Network.

    3. Opslag: Opslagconfiguratie weergeven/bewerken selecteren. De pagina Doelinstellingen aanpassen wordt geopend.

      Schermopname van Storage.

      • Met replica beheerde schijf: Site Recovery maakt nieuwe met replica beheerde schijven in de doelregio om de beheerde schijven van de bron-VM te spiegelen met hetzelfde opslagtype (Standard of Premium) als de beheerde schijf van de bron-VM.
      • Cacheopslag: Site Recovery heeft extra opslagaccount nodig, cacheopslag genoemd in de bronregio. Alle wijzigingen die op de bron-VM's worden aangebracht, worden bijgehouden en verzonden naar het cacheopslagaccount voordat ze naar de doellocatie worden gerepliceerd.

    4. Beschikbaarheidsopties: Selecteer de juiste beschikbaarheidsoptie voor uw VIRTUELE machine in de doelregio. Als er al een beschikbaarheidsset bestaat die door Site Recovery is gemaakt, wordt deze opnieuw gebruikt. Selecteer Beschikbaarheidsopties weergeven/bewerken om de beschikbaarheidsopties weer te geven of te bewerken.

      Notitie

      • Configureer tijdens het configureren van de doel-beschikbaarheidssets verschillende beschikbaarheidssets voor VM's met verschillende grootten.
      • Nadat u replicatie hebt ingeschakeld, kunt u het type beschikbaarheid - enkel exemplaar, beschikbaarheidsset of beschikbaarheidszone - niet meer wijzigen. U moet replicatie uitschakelen en inschakelen om het beschikbaarheidstype te wijzigen.

      Schermopname van de beschikbaarheidsoptie.

    5. Capaciteitsreservering: Met capaciteitsreservering kunt u capaciteit aanschaffen in de herstelregio en vervolgens een failover naar die capaciteit uitvoeren. U kunt een nieuwe capaciteitsreserveringsgroep maken of een bestaande groep gebruiken. Zie voor meer informatie hoe capaciteitsreservering werkt. Selecteer Toewijzing van capaciteitsreserveringsgroep weergeven of bewerken om de instellingen voor capaciteitsreservering te wijzigen. Bij het activeren van failover wordt de nieuwe VIRTUELE machine gemaakt in de toegewezen capaciteitsreserveringsgroep.

      Schermopname van capaciteitsreservering.

    6. Versleutelingsinstellingen: selecteer de weergave-/bewerkingsconfiguratie om de sleutelkluizen voor schijfversleuteling en sleutelversleuteling te configureren.

      • Sleutelkluizen voor schijfversleuteling: Site Recovery maakt standaard een nieuwe sleutelkluis in de doelregio. Het heeft een asr-achtervoegsel dat is gebaseerd op de versleutelingssleutels van de bron-VM-schijf. Als er al een sleutelkluis bestaat die is gemaakt door Azure Site Recovery, wordt deze opnieuw gebruikt.
      • Sleutelversleutelingssleutelkluizen: Site Recovery maakt standaard een nieuwe sleutelkluis in de doelregio. De naam heeft een asr-achtervoegsel dat is gebaseerd op de versleutelingssleutels van de bron-VM-sleutel. Als er al een sleutelkluis bestaat die is gemaakt door Azure Site Recovery, wordt deze opnieuw gebruikt.

      Schermopname van versleutelingsinstellingen.

  6. Selecteer Volgende.

  7. Ga als volgt te werk in Beheren:

    1. Onder Replicatiebeleid,
      • Replicatiebeleid: selecteer het replicatiebeleid. Hiermee definieert u de instellingen voor de bewaargeschiedenis van herstelpunten en de frequentie van app-consistente momentopnamen. Site Recovery maakt standaard een nieuw replicatiebeleid met standaardinstellingen van 24 uur voor het bewaren van herstelpunten.
      • Replicatiegroep: maak een replicatiegroep om VM's samen te repliceren om consistente herstelpunten voor meerdere VM's te genereren. Houd er rekening mee dat het inschakelen van consistentie met meerdere VM's invloed kan hebben op de prestaties van de werkbelasting en alleen moet worden gebruikt als machines dezelfde workload uitvoeren en u consistentie nodig hebt op meerdere computers.
    2. Onder Extensie-instellingen,
      • Selecteer Instellingen bijwerken en Automation-account.

    Schermopname van het tabblad Beheren.

  8. Selecteer Volgende.

  9. Controleer in Controleren de VM-instellingen en selecteer Replicatie inschakelen.

    Schermopname van het tabblad Controleren.

Notitie

Tijdens de initiële replicatie kan het enige tijd duren voordat de status is vernieuwd, zonder duidelijke voortgang. Klik op Vernieuwen om de meest recente status op te halen.

Instellingen voor doel-VM-versleuteling bijwerken

In de volgende scenario's moet u de versleutelingsinstellingen voor de doel-VM bijwerken:

  • U hebt Site Recovery-replicatie ingeschakeld op de virtuele machine. Later hebt u schijfversleuteling ingeschakeld op de bron-VM.
  • U hebt Site Recovery-replicatie ingeschakeld op de virtuele machine. Later hebt u de schijfversleutelingssleutel of sleutelversleutelingssleutel op de bron-VM gewijzigd.

Vanwege de bovenstaande redenen zijn de sleutels niet gesynchroniseerd tussen bron en doel. U moet dus de sleutels kopiëren om de Azure Site Recovery-metagegevensopslag te targeten en bij te werken via:

  • Portal
  • REST-API
  • PowerShell

Instellingen voor doel-VM-versleuteling bijwerken vanuit Azure Portal

Als u Site Recovery op een virtuele machine gebruikt en schijfversleuteling op een later tijdstip hebt ingeschakeld, hebt u mogelijk geen sleutelkluis in de doelinstellingen. U moet een nieuwe sleutelkluis toevoegen aan het doel.

Als u bijvoorbeeld KV1een sleutelkluis gebruikt in de doelinstellingen, kunt u de sleutels wijzigen met behulp van een andere sleutelkluis in de doelregio. U kunt een bestaande sleutelkluis kiezen die verschilt van de oorspronkelijke sleutelkluis of een nieuwe sleutelkluis KV1 gebruiken. Omdat Azure Site Recovery het wijzigen van de sleutels niet toestaat, moet u een andere sleutelkluis in de doelregio gebruiken.

In dit voorbeeld wordt ervan uitgegaan dat u een nieuwe lege sleutelkluis KV2 met de benodigde machtigingen maakt. Vervolgens kunt u de kluis bijwerken met behulp van de volgende stappen:

  1. Navigeer in de portal naar de Recovery Services-kluis .
  2. Gerepliceerd item>Properties>Compute selecteren
  3. Selecteer KV2 in het menu om de doelsleutelkluis bij te werken. Schermopname van de doelsleutelkluis bijwerken.
  4. Selecteer Opslaan om de bronsleutels naar de nieuwe doelsleutelkluis KV2 te kopiëren met een nieuwe sleutel/geheim en de Metagegevens van Azure Site Recovery bij te werken.

    Notitie

    Het maken van een nieuwe sleutelkluis kan gevolgen hebben voor de kosten. Als u de oorspronkelijke doelsleutelkluis (KV1) wilt gebruiken die u eerder hebt gebruikt, kunt u dit doen nadat u de bovenstaande stappen met een andere sleutelkluis hebt voltooid.
    Nadat u de kluis hebt bijgewerkt met behulp van een andere sleutelkluis, herhaalt u de stappen 1 tot en met 4 en selecteert u deze in de doelsleutelkluis om de oorspronkelijke doelsleutelkluis (KV1) te gebruiken KV1 . Hiermee kopieert u de nieuwe sleutel/het nieuwe geheim in KV1 en gebruikt dit voor het doel.

Instellingen voor doel-VM-versleuteling bijwerken met REST API

  1. U moet de sleutels kopiëren naar de doelkluis met behulp van het script Copy-Keys .
  2. Gebruik de Replication Protected Items - Update Rest API om de Metagegevens van Azure Site Recovery bij te werken.

Instellingen voor doel-VM-versleuteling bijwerken met Behulp van PowerShell

  1. Kopieer de sleutels naar de doelkluis met behulp van het script Copy-Keys .
  2. Gebruik de Set-AzRecoveryServicesAsrReplicationProtectedItem opdracht om de Azure Site Recovery-metagegevens bij te werken.

Problemen met key vault-machtigingen oplossen tijdens replicatie van Azure-naar-Azure-VM's

Azure Site Recovery vereist ten minste leesmachtiging voor de sleutelkluis van de bronregio en schrijfmachtiging voor de sleutelkluis van de doelregio om het geheim te lezen en te kopiëren naar de sleutelkluis van de doelregio.

Oorzaak 1: U beschikt niet over de machtiging GET voor de sleutelkluis van de bronregio om de sleutels te lezen.
Oplossing: Ongeacht of u een abonnementsbeheerder bent of niet, is het belangrijk dat u gemachtigd bent voor de sleutelkluis.

  1. Ga naar de sleutelkluis van de bronregio, die in dit voorbeeld ContososourceKeyvault-toegangsbeleid >is
  2. Voeg onder Principal selecteren uw gebruikersnaam toe, bijvoorbeeld: 'dradmin@contoso.com'
  3. Selecteer ONDER Sleutelmachtigingen GET
  4. Selecteer GET onder Geheime machtiging
  5. Het toegangsbeleid opslaan

Oorzaak 2: U hebt geen vereiste machtiging voor de sleutelkluis van de doelregio om de sleutels te schrijven.

Bijvoorbeeld: U probeert een virtuele machine te repliceren die sleutelkluis ContososourceKeyvault heeft op een bronregio. U hebt alle machtigingen voor de sleutelkluis van de bronregio. Maar tijdens de beveiliging selecteert u de al gemaakte sleutelkluis ContosotargetKeyvault, die geen machtigingen heeft. Er treedt een fout op.

Vereiste machtiging voor de doelsleutelkluis

Oplossing: Ga naar home>Keyvaults>ContosotargetKeyvault>Access-beleid en voeg de juiste machtigingen toe.

Volgende stappen

  • Meer informatie over het uitvoeren van een testfailover.