Mover VMs do Azure criptografadas entre regiões

  • Artigo

O Azure Resource Mover ajuda a mover os recursos do Azure entre regiões do Azure. Este artigo aborda como mover VMs (máquinas virtuais) criptografadas do Azure para outra região do Azure usando o Azure Resource Mover.

As VMs criptografadas podem ser descritas como:

Neste tutorial, você aprenderá como:

  • Mova as VMs do Azure criptografadas e seus recursos dependentes para outra região do Azure.

Observação

Os tutoriais mostram o caminho mais rápido para experimentar um cenário e usam as opções padrão sempre que possível.

Entrar no Azure

Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar e entre no portal do Azure.

Pré-requisitos

Antes de começar, verifique o seguinte:

Requisito Detalhes
Permissões de assinatura Verifique se você tem acesso de Proprietário na assinatura que contém os recursos que deseja mover.

Por que preciso de acesso de Proprietário? Na primeira vez que você adicionar um recurso para um par de origem e destino específico em uma assinatura do Azure, o Resource Mover criará uma identidade gerenciada atribuída ao sistema, anteriormente conhecida como MSI (Identidade Gerenciada de Serviço). Essa identidade é confiável para a assinatura. Para criar a identidade e atribuir a ela a função necessária (Colaborador e Administrador de acesso do usuário na assinatura de origem), a conta usada para adicionar recursos precisará de permissões de Proprietário na assinatura. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.
Suporte à VM Verifique se há suporte para as VMs que você deseja mover fazendo o seguinte:
  • Verifique as VMs do Windows compatíveis.
  • Verifique as VMs do Linux e as versões de Kernel compatíveis.
  • Verifique as configurações de computação, armazenamento e rede compatíveis.
    		•
    Requisitos do cofre de chaves (Azure Disk Encryption) Caso tenha o Azure Disk Encryption habilitado para VMs, será necessário ter um cofre de chaves nas regiões de origem e de destino. Para obter mais informações, confira Criar um cofre de chaves.

    Para os cofres de chaves nas regiões de origem e de destino, será necessário ter estas permissões:
  • Permissões de chave: Operações de Gerenciamento de Chaves (Obter, Listar) e Operações de Criptografia (Descriptografar e Criptografar)
  • Permissões de segredo: Operações de Gerenciamento de Segredos (Obter, Listar e Definir)
  • Certificado (Listar e Obter)
    		•
    Conjunto de criptografia de disco (criptografia no lado do servidor com CMK) Caso esteja usando as VMs com a criptografia do lado do servidor que use um CMK, será necessário uma criptografia de disco definida nas regiões de origem e de destino. Para obter mais informações, confira Criar um conjunto de criptografia de disco.

    Não há suporte para a movimentação entre regiões quando você está usando chaves HSM (módulo de segurança de hardware) para chaves gerenciadas pelo cliente.
    Cota da região de destino A assinatura precisa de cota suficiente para criar os recursos que você está movendo na região de destino. Se não houver cota, solicite limites adicionais.
    Preços da região de destino Verifique os preços e os custos associados à região de destino para a qual você está movendo as VMs. Use a Calculadora de Preços.

    Verificar permissões no cofre de chaves

    Caso esteja movendo VMs que têm o Azure Disk Encryption habilitado, deverá executar um script. Os usuários que executam o script devem ter as permissões apropriadas para fazer isso. Para entender quais permissões são necessárias, consulte a tabela a seguir. Você encontrará as opções necessárias para alterar as permissões acessando o cofre de chaves no portal do Azure. Em Configurações, selecione Políticas de acesso.

    Captura de tela do link 'Políticas de acesso' no painel Configurações do cofre de chaves.

    Se as permissões de usuário não estiverem em vigor, selecione Adicionar Política de Acesso e especifique as permissões. Se a conta de usuário já tiver uma política, em Usuário, defina as permissões de acordo com as instruções da tabela a seguir.

    As VMs do Azure que usam o Azure Disk Encryption podem ter as variações a seguir, e será necessário definir as permissões de acordo com os respectivos componentes relevantes. As VMs podem ter:

    Cofre de chaves da região de origem

    Para os usuários que executam o script, defina permissões para os seguintes componentes:

    Componente Permissões necessárias
    Segredos Get

    Selecione Permissões de segredo>Operações de Gerenciamento de Segredos e escolha Obter.
    Chaves

    Caso esteja usando uma KEK, será necessário ter estas permissões, além das permissões para segredos.    		 Obter e Descriptografar

    Selecione Permissões de Chave>Operações de Gerenciamento de Chaves e escolha Obter. Em Operações Criptográficas, selecione Descriptografar.

    Cofre de chaves da região de destino

    Na guia Políticas de acesso, verifique se o Azure Disk Encryption para a criptografia de volume está habilitado.

    Para os usuários que executam o script, defina permissões para os seguintes componentes:

    Componente Permissões necessárias
    Segredos Configurar

    Selecione Permissões de segredo>Operações de Gerenciamento de Segredos e escolha Definir.
    Chaves

    Caso esteja usando uma KEK, será necessário ter estas permissões, além das permissões para segredos.    		 Obter, Criar e Criptografar

    Selecione Permissões de Chave>Operações de Gerenciamento de Chaves e escolha Obter e Criar. Em Operações Criptográficas, selecione Criptografar.

    Além das permissões acima, no cofre de chaves de destino, deverá adicionar permissões para a Identidade Gerenciada do Sistema que o Resource Mover usa para acessar os recursos do Azure em seu nome.

    Adicionar permissões à Identidade do Sistema Gerenciado

    Para adicionar permissões para a MSI (Identidade do Sistema Gerenciado), siga estas etapas:

    1. Em Configurações, selecione Adicionar políticas de acesso.

    2. Em Selecionar entidade de segurança, pesquise o MSI. O nome do MSI é movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Para a MSI, adicione as seguintes permissões:

      Componente Permissões necessárias
      Segredos Obter e Listar

      Selecione Permissões de segredo>Operações de Gerenciamento de Segredos e escolha Obter e Listar.
      Chaves

      Caso esteja usando uma KEK, será necessário ter estas permissões, além das permissões para segredos.      		 Obter e Listar

      Selecione Permissões de Chave>Operações de Gerenciamento de Chaves e escolha Obter e Listar.

    Copiar as chaves para o cofre de chaves de destino

    Copie os segredos e as chaves de criptografia do cofre de chaves de origem para o cofre de chaves de destino com o script fornecido.

    Para copiar as chaves do cofre de chaves de origem para o cofre de chaves de destino, siga estas etapas:

    • Execute o script no PowerShell. Recomendamos que você execute a última versão do PowerShell.
    • Especificamente, o script requer estes módulos:
      • Az.Compute
      • Az.KeyVault (versão 3.0.0)
      • Az.Accounts (versão 2.2.3)

    Para o seguinte para executar o script:

    1. Abra o script no GitHub.

    2. Copie o conteúdo do script para um arquivo local e nomeie-o como Copy-keys.ps1.

    3. Execute o script.

    4. Entre no portal do Azure.

    5. Na janela Entradas de Usuário, selecione a assinatura de origem, o grupo de recursos, a VM de origem, a localização de destino e os cofres de destino para a criptografia de disco e chave.

      Captura de tela da janela 'Entradas de Usuário' para inserir os valores do script.

    6. Use o botão Selecionar para executar o script.

      Quando o script terminar a execução, uma mensagem notificará você de que CopyKeys foi bem-sucedido.

    Como preparar as VMs

    Para preparar VMs para a movimentação, siga estas etapas:

    1. Depois de verificar se as VMs atendem aos pré-requisitos, verifique se as VMs que você deseja mover estão ativadas. Todos os discos de VMs que você deseja disponibilizar na região de destino precisam estar anexados e inicializados na VM.
    2. Para verificar se as VMs têm os certificados raiz confiáveis mais recentes e uma CRL (lista de certificados revogados) atualizada, faça o seguinte:
      • Nas VMs do Windows, instale as atualizações mais recentes do Windows.
      • Nas VMs do Linux, siga as diretrizes do distribuidor para que os computadores tenham os certificados e a CRL mais recentes.
    3. Para permitir a conectividade de saída das VMs, siga um destes procedimentos:

    Selecionar os recursos a serem movidos

    Você pode selecionar qualquer tipo de recurso compatível em qualquer grupo de recursos da região de origem que selecionar. Você poderá mover os recursos para uma região de destino na mesma assinatura da região de origem. Se quiser alterar a assinatura, faça isso depois que os recursos forem movidos.

    Para selecionar os recursos, faça o seguinte:

    1. No portal do Azure, pesquise por Resource Mover. Em serviços, selecione o Azure Resource Mover.

      Captura de tela dos resultados da pesquisa do Azure Resource Mover no portal do Azure.

    2. No painel Visão Geral do Azure Resource Mover, selecione Mover entre regiões.

      Captura de tela do botão 'Mover entre regiões' para adicionar recursos a serem movidos para outra região.

    3. Na guia Mover recursos>Origem e destino, faça o seguinte:

      1. Selecione a assinatura de origem e a região.
      2. Em Destino, selecione a região para a qual deseja mover as VMs e escolha Avançar.

      Página para selecionar a região de origem e de destino.

    4. Na guia Recursos a serem movidos, selecione a opção Selecionar recursos para abrir uma nova guia com a lista de VMs disponíveis.

      Captura de tela do painel 'Mover recursos' e do botão 'Selecionar recursos'.

    5. Na guia Selecionar recursos, escolha as VMs que deseja mover. Conforme mencionado na seção Selecionar os recursos a serem movidos, você pode adicionar somente recursos compatíveis com uma movimentação.

      Captura de tela do painel 'Selecionar recursos' para escolha das VMs a serem movidas.

      Observação

      Neste tutorial, você está selecionando uma VM que usa a criptografia do lado do servidor (rayne-vm) com uma chave gerenciada pelo cliente e uma VM com a criptografia de disco habilitada (rayne-vm-ade).

    6. Selecione Concluído.

    7. Selecione a guia Recursos a serem movidos e escolha Avançar.

    8. Selecione a guia Examinar e verifique as configurações de origem e destino.

      Captura de tela do painel para examinar as configurações de origem e destino.

    9. Selecione Prosseguir, para começar a adicionar os recursos.

    10. Selecione o ícone de notificações para acompanhar o progresso. Após a conclusão bem-sucedida do processo, no painel Notificações, selecione Recursos adicionados para movimentação.

      Captura de tela do painel 'Notificações' para confirmar que os recursos foram adicionados com êxito.

    11. Depois de selecionar a notificação, examine os recursos da página Entre regiões.

      Captura de tela dos recursos adicionados com o status 'Preparação pendente'.

    Observação

    • Os recursos adicionados são colocados no estado Preparação pendente.
    • O grupo de recursos para as VMs é adicionado automaticamente.
    • Se você modificar as entradas da Configuração de destino para usar um recurso que já existe na região de destino, o estado do recurso será definido como Confirmação pendente, pois você não precisará iniciar uma movimentação para ela.
    • Se você quiser remover um recurso que foi adicionado, o método a ser usado dependerá do ponto em que você se encontra no processo de movimentação. Para obter mais informações, confira Gerenciar coleções de transferência de recursos e grupos de recursos.

    Resolver dependências

    Para resolver dependências antes da movimentação, siga estas etapas:

    1. As dependências são validadas em segundo plano depois de adicioná-las. Se você vir um botão Validar dependências, selecione-o para disparar a validação manual.

      Captura de tela que mostra o botão 'Validar dependências'.

      O processo de validação começa.

    2. Se forem encontradas dependências, selecione Adicionar dependências.

      Captura de tela do botão 'Adicionar dependências'.

    3. No painel Adicionar dependências, mantenha a opção padrão Mostrar todas as dependências.

      • A opção Mostrar todas as dependências itera em todas as dependências diretas e indiretas de um recurso. Por exemplo, para uma VM, ela mostra a NIC, a rede virtual, os NSGs (grupos de segurança de rede) etc.
      • A opção Mostrar somente as dependências de primeiro nível mostra apenas as dependências diretas. Por exemplo, para uma VM, mostra a NIC, mas não a rede virtual.

    4. Selecione os recursos dependentes que deseja adicionar e escolha Adicionar dependências.

      Captura de tela da lista de dependências e do botão 'Adicionar dependências'.

    5. As dependências são validadas automaticamente em segundo plano depois que você as adiciona. Se você vir uma opção Validar dependências, selecione-a para disparar a validação manual.

      Captura de tela do painel usado para revalidar as dependências.

    Atribuir recursos de destino

    Você deverá atribuir manualmente os recursos de destino associados à criptografia.

    Se você estiver movendo uma VM que tenha o Azure Disk Encryption habilitado, o cofre de chaves na região de destino será exibido como uma dependência. Se você estiver movendo uma VM com a criptografia do lado do servidor que use CMKs, o conjunto de criptografia de disco na região de destino será exibido como uma dependência.

    Como este tutorial demonstra como mover uma VM que tem o Azure Disk Encryption habilitado e que usa uma CMK, o cofre de chaves de destino e o conjunto de criptografia de disco são exibidos como dependências.

    Para atribuir os recursos de destino manualmente, faça o seguinte:

    1. Na entrada do conjunto de criptografia de disco, selecione Recurso não atribuído na coluna Configuração de destino.

    2. Em Definições de configuração, selecione o conjunto de criptografia de disco de destino e escolha Salvar alterações.

    3. Salve e valide as dependências do recurso que está modificando ou apenas salve as alterações e valide tudo o que modificar ao mesmo tempo.

      Captura de tela do painel 'Configuração de destino' para salvar as alterações na região de destino.

      Depois que você adicionar o recurso de destino, o status do conjunto de criptografia de disco será alterado para Confirmação de movimentação pendente.

    4. Na entrada do cofre de chaves, selecione Recurso não atribuído na coluna Configuração de destino. Em Definições de configuração, selecione o cofre de chaves de destino e salve as alterações.

    Nesta fase, o conjunto de criptografia de disco e os status do cofre de chaves são alterados para Confirmação de movimentação pendente.

    Captura de tela do painel usado para preparar outros recursos.

    Para confirmar e concluir o processo de movimentação dos recursos de criptografia, faça o seguinte:

    1. Em Entre regiões, selecione o recurso (conjunto de criptografia de disco ou cofre de chaves) e escolha Confirmar movimentação.
    2. Em Mover Recursos, selecione Confirmar.

    Observação

    Depois que você confirmar a movimentação, o status do recurso será alterado para Excluir origem pendente.

    Preparar os recursos a serem movidos

    Agora que os recursos de criptografia e o grupo de recursos de origem foram movidos, prepare a movimentação de outros recursos cujo status atual é Preparação pendente.

    1. No painel Entre regiões, valide a movimentação novamente e resolva os problemas.

    2. Caso queira editar as configurações de destino antes de iniciar a movimentação, selecione o link na coluna Configuração de destino do recurso e edite as configurações. Se você editar as configurações da VM de destino, o tamanho da VM de destino não deverá ser menor que o tamanho da VM de origem.

    3. Para os recursos com o status Preparação pendente que você deseja mover, selecione Preparar.

    4. No painel Preparar recursos, selecione Preparar.

      • Durante a preparação, o agente de mobilidade do Azure Site Recovery será instalado nas VMs para replicá-las.
      • Os dados da VM são replicados periodicamente para a região de destino. Isso não afeta as VMs de origem.
      • A Movimentação de Recursos gera modelos ARM para os outros recursos de origem.

    Observação

    Depois que você preparar os recursos, o status deles será alterado para Iniciar movimentação pendente. Captura de tela do painel 'Preparar recursos' que mostra os recursos no status 'Iniciar movimentação pendente'.

    Inicie a movimentação

    Agora que você preparou os recursos, inicie a movimentação.

    1. No painel Entre regiões, selecione os recursos cujo status seja Iniciar movimentação pendente e escolha Iniciar movimentação.

    2. No painel Mover recursos, selecione Iniciar movimentação.

    3. Acompanhe o progresso da movimentação na barra de notificações.

      • Para as VMs, são criadas réplicas delas na região de destino. A VM de origem é desligada e ocorre algum tempo de inatividade (geralmente minutos).
      • O Resource Mover recria outros recursos usando os modelos do ARM preparados. Geralmente, não há tempo de inatividade.
      • Depois que você mover os recursos, o status deles será alterado para Confirmar movimentação pendente.

      Captura de tela de uma lista de recursos com o status 'Confirmar movimentação pendente'.

    Descartar ou confirmar a movimentação

    Após a movimentação inicial, decida se deseja confirmar a movimentação ou descartá-la.

    • Descartar: você poderá descartar uma movimentação se estiver apenas testando-a e não quiser realmente mover o recurso de origem. O descarte da movimentação faz com que o recurso retorne ao estado Iniciar movimentação pendente.
    • Confirmar: a confirmação conclui a movimentação para a região de destino. Depois que você tiver confirmado um recurso de origem, o status dele será alterado para Excluir origem pendente e você poderá decidir se deseja excluí-lo.

    Descartar a movimentação

    Para descartar a movimentação, faça o seguinte:

    1. No painel Entre regiões, selecione os recursos cujo status seja Movimentação pendente e escolha Descartar movimentação.
    2. No painel Descartar movimentação, selecione Descartar.
    3. Acompanhe o progresso da movimentação na barra de notificações.

    Observação

    Depois que você descartar os recursos, os status da VM serão alterados para Iniciar movimentação pendente.

    Confirmar a movimentação

    Para concluir o processo de movimentação, confirme a movimentação fazendo o seguinte:

    1. No painel Entre regiões, selecione os recursos cujo status seja Movimentação pendente e escolha Confirmar movimentação.

    2. No painel Confirmar recursos, selecione Confirmar.

      Captura de tela de uma lista de recursos a serem confirmados para finalizar a movimentação.

    3. Monitore o progresso da confirmação na barra de notificações.

    Observação

    • Depois que você confirmar a movimentação, as VMs vão parar de serem replicadas. A VM de origem não é afetada pela confirmação.
    • O processo de confirmação não afeta os recursos da rede de origem.
    • Depois que você confirmar a movimentação, os status do recurso serão alterados para Excluir origem pendente.

    Definir as configurações após a movimentação

    Defina as seguintes configurações após o processo de movimentação:

    • O serviço Mobilidade não é desinstalado automaticamente das VMs. Desinstale-o manualmente ou deixe-o instalado caso planeje mover o servidor novamente.
    • Modifique as regras do RBAC (controle de acesso baseado em função) do Azure após a movimentação.

    Excluir recursos de origem após a confirmação

    Após a movimentação, você terá a opção de excluir os recursos da região de origem.

    1. No painel Entre regiões, selecione cada recurso de origem que deseja excluir e escolha Excluir origem.
    2. Em Excluir origem, examine o que pretende excluir e, em Confirmar exclusão, digite Sim.

      Cuidado

      A ação é irreversível, portanto, verifique atentamente!

    3. Depois de digitar Sim, selecione Excluir origem.

    Observação

    No portal da Movimentação de Recursos, não é possível excluir grupos de recursos, cofres de chaves nem instâncias do SQL Server. Você deverá excluí-los individualmente na página de propriedades de cada recurso.

    Excluir os recursos criados para a movimentação

    Após a movimentação, exclua manualmente a coleção de transferência de recursos e os recursos do Site Recovery criados durante este processo.

    • A coleção da movimentação fica oculta por padrão. Para vê-la, deverá ativar os recursos ocultos.
    • O armazenamento em cache tem um bloqueio que precisa ser liberado antes que o cache possa ser excluído.

    Para excluir seus recursos, faça o seguinte:

    1. Localize os recursos no grupo de recursos RegionMoveRG-<sourceregion>-<target-region>.

    2. Verifique se todas as VMs e os outros recursos de origem da região de origem foram movidos ou excluídos. Essa etapa verifica se não há recursos pendentes usando-os.

    3. Exclua os recursos:

      • Nome da coleção de transferência de recursos: movecollection-<sourceregion>-<target-region>
      • Nome da conta de armazenamento de cache: resmovecache<guid>
      • Nome do cofre: ResourceMove-<sourceregion>-<target-region>-GUID

    Próximas etapas

    Saiba mais sobre como mover pools elásticos e bancos de dados SQL do Azure para outra região.