Tutorial: Mover VMs do Azure criptografadas entre regiões

Este artigo aborda como mover VMs (máquinas virtuais) criptografadas do Azure para outra região do Azure usando o Azure Resource Mover.

As VMs criptografadas podem ser descritas como:

Neste tutorial, você aprenderá como:

  • Verificar pré-requisitos.
  • Para VMs com o Azure Disk Encryption habilitado, copiar chaves e segredos do cofre de chaves da região de origem para o cofre de chaves da região de destino.
  • Preparar a movimentação de VMs e a seleção de recursos na região de origem da qual deseja movê-las.
  • Resolver as dependências do recurso.
  • Para VMs com o Azure Disk Encryption habilitado, atribuir manualmente o cofre de chaves de destino. Para VMs que usam a criptografia do lado do servidor com chaves gerenciadas pelo cliente, atribuir manualmente um conjunto de criptografia de disco na região de destino.
  • Mover o cofre de chaves e/ou o conjunto de criptografia de disco.
  • Preparar e mover o grupo de recursos de origem.
  • Preparar e mover os outros recursos.
  • Decidir se deseja descartar ou confirmar a movimentação.
  • Opcionalmente, remover os recursos da região de origem após a movimentação.

Observação

Este tutorial mostra o caminho mais rápido para experimentar um cenário. Ele usa apenas as opções padrão.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar. Em seguida, entre no portal do Azure.

Pré-requisitos

Requisito Detalhes
Permissões de assinatura Verifique se você tem acesso de Proprietário na assinatura que contém os recursos que deseja mover.

Por que preciso de acesso de Proprietário? Na primeira vez que você adicionar um recurso para um par de origem e destino específico em uma assinatura do Azure, o Resource Mover criará uma identidade gerenciada atribuída ao sistema, anteriormente conhecida como MSI (Identidade Gerenciada de Serviço). Essa identidade é confiável para a assinatura. Para criar a identidade e atribuir a ela a função necessária (Colaborador e Administrador de acesso do usuário na assinatura de origem), a conta usada para adicionar recursos precisará de permissões de Proprietário na assinatura. Para obter mais informações, confira Funções clássicas de administrador da assinatura, funções do Azure e funções do Azure AD.
Suporte à VM Verifique se há suporte para as VMs que você deseja mover fazendo o seguinte:
  • Verifique as VMs do Windows compatíveis.
  • Verifique as VMs do Linux e as versões de Kernel compatíveis.
  • Verifique as configurações de computação, armazenamento e rede compatíveis.
  • Requisitos do cofre de chaves (Azure Disk Encryption) Se você tiver o Azure Disk Encryption habilitado para VMs, precisará ter um cofre de chaves nas regiões de origem e de destino. Para obter mais informações, confira Criar um cofre de chaves.

    Para os cofres de chaves nas regiões de origem e de destino, você precisará ter estas permissões:
  • Permissões de chave: Operações de Gerenciamento de Chaves (Obter, Listar) e Operações de Criptografia (Descriptografar e Criptografar)
  • Permissões de segredo: Operações de Gerenciamento de Segredos (Obter, Listar e Definir)
  • Certificado (Listar e Obter)
  • Conjunto de criptografia de disco (criptografia no lado do servidor com CMK) Se você estiver usando VMs com a criptografia do lado do servidor que use um CMK, precisará de uma criptografia de disco definida nas regiões de origem e de destino. Para obter mais informações, confira Criar um conjunto de criptografia de disco.

    Não há suporte para a movimentação entre regiões quando você está usando chaves HSM (módulo de segurança de hardware) para chaves gerenciadas pelo cliente.
    Cota da região de destino A assinatura precisa de cota suficiente para criar os recursos que você está movendo na região de destino. Se não houver cota, solicite limites adicionais.
    Preços da região de destino Verifique os preços e os custos associados à região de destino para a qual você está movendo as VMs. Use a Calculadora de Preços.

    Verificar permissões no cofre de chaves

    Se você estiver movendo VMs que tenham o Azure Disk Encryption habilitado, precisará executar um script, conforme mencionado na seção Copiar as chaves para o cofre de chaves de destino. Os usuários que executam o script devem ter as permissões apropriadas para fazer isso. Para entender quais permissões são necessárias, veja a tabela a seguir. Você encontrará as opções necessárias para alterar as permissões acessando o cofre de chaves no portal do Azure. Em Configurações, selecione Políticas de acesso.

    Captura de tela do link 'Políticas de acesso' no painel Configurações do cofre de chaves.

    Se as permissões de usuário não estiverem em vigor, selecione Adicionar Política de Acesso e especifique as permissões. Se a conta de usuário já tiver uma política, em Usuário, defina as permissões de acordo com as instruções da tabela a seguir.

    As VMs do Azure que usam o Azure Disk Encryption podem ter as variações a seguir, e você precisará definir as permissões de acordo com os respectivos componentes relevantes. As VMs podem ter:

    Cofre de chaves da região de origem

    Para os usuários que executam o script, defina permissões para os seguintes componentes:

    Componente Permissões necessárias
    Segredos Get

    Selecione Permissões de segredo > Operações de Gerenciamento de Segredos e escolha Obter.
    simétricas

    Se você estiver usando uma KEK, precisará ter estas permissões, além das permissões para segredos.
    Obter e Descriptografar

    Selecione Permissões de Chave > Operações de Gerenciamento de Chaves e escolha Obter. Em Operações Criptográficas, selecione Descriptografar.

    Cofre de chaves da região de destino

    Em Políticas de acesso, verifique se Azure Disk Encryption para a criptografia de volume está habilitado.

    Para os usuários que executam o script, defina permissões para os seguintes componentes:

    Componente Permissões necessárias
    Segredos Configurar

    Selecione Permissões de segredo > Operações de Gerenciamento de Segredos e escolha Definir.
    simétricas

    Se você estiver usando uma KEK, precisará ter estas permissões, além das permissões para segredos.
    Obter, Criar e Criptografar

    Selecione Permissões de Chave > Operações de Gerenciamento de Chaves e escolha Obter e Criar. Em Operações Criptográficas, selecione Criptografar.

    Além das permissões acima, no cofre de chaves de destino, você precisará adicionar permissões para a Identidade Gerenciada do Sistema que o Resource Mover usa para acessar os recursos do Azure em seu nome.

    1. Em Configurações, selecione Adicionar políticas de acesso.

    2. Em Selecionar entidade de segurança, pesquise o MSI. O nome do MSI é movecollection-<sourceregion>-<target-region>-<metadata-region>.

    3. Para a MSI, adicione as seguintes permissões:

      Componente Permissões necessárias
      Segredos Obter e Listar

      Selecione Permissões de segredo > Operações de Gerenciamento de Segredos e escolha Obter e Listar.
      simétricas

      Se você estiver usando uma KEK, precisará ter estas permissões, além das permissões para segredos.
      Obter e Listar

      Selecione Permissões de Chave > Operações de Gerenciamento de Chave e escolha Obter e Listar.

    Copiar as chaves para o cofre de chaves de destino

    Copie os segredos e as chaves de criptografia do cofre de chaves de origem para o cofre de chaves de destino usando um script que fornecemos.

    • Execute o script no PowerShell. Recomendamos que você execute a última versão do PowerShell.
    • Especificamente, o script requer estes módulos:
      • Az.Compute
      • Az.KeyVault (versão 3.0.0)
      • Az.Accounts (versão 2.2.3)

    Para o seguinte para executar o script:

    1. Abra o script no GitHub.

    2. Copie o conteúdo do script para um arquivo local e nomeie-o como Copy-keys.ps1.

    3. Execute o script.

    4. Entre no portal do Azure.

    5. Nas listas suspensas da janela Entradas de Usuário, selecione a assinatura de origem, o grupo de recursos e a VM de origem e escolha a localização de destino e os cofres de destino para a criptografia de disco e chave.

      Captura de tela da janela 'Entradas de Usuário' para inserir os valores do script.

    6. Escolha o botão Selecionar.

      Quando o script terminar a execução, uma mensagem notificará você de que CopyKeys foi bem-sucedido.

    Como preparar as VMs

    1. Depois de verificar se as VMs atendem aos pré-requisitos, verifique se as VMs que você deseja mover estão ativadas. Todos os discos de VMs que você deseja disponibilizar na região de destino precisam estar anexados e inicializados na VM.
    2. Para verificar se as VMs têm os certificados raiz confiáveis mais recentes e uma CRL (lista de certificados revogados) atualizada, faça o seguinte:
      • Nas VMs do Windows, instale as atualizações mais recentes do Windows.
      • Nas VMs do Linux, siga as diretrizes do distribuidor para que os computadores tenham os certificados e a CRL mais recentes.
    3. Para permitir a conectividade de saída das VMs, siga um destes procedimentos:

    Selecionar os recursos a serem movidos

    • Você pode selecionar qualquer tipo de recurso compatível em qualquer grupo de recursos da região de origem que selecionar.
    • Você poderá mover os recursos para uma região de destino na mesma assinatura da região de origem. Se quiser alterar a assinatura, faça isso depois que os recursos forem movidos.

    Para selecionar os recursos, faça o seguinte:

    1. No portal do Azure, pesquise por Resource Mover. Em seguida, em Serviços, selecione o Azure Resource Mover.

      Captura de tela dos resultados da pesquisa do Azure Resource Mover no portal do Azure.

    2. No painel Visão Geral do Azure Resource Mover, selecione Mover entre regiões.

      Captura de tela do botão 'Mover entre regiões' para adicionar recursos a serem movidos para outra região.

    3. No painel Mover recursos, selecione a guia Origem + destino. Em seguida, nas listas suspensas, escolha a assinatura e a região de origem.

      Página para selecionar a região de origem e de destino.

    4. Em Destino, selecione a região para a qual deseja mover as VMs e escolha Avançar.

    5. Selecione a guia Recursos a serem movidos e escolha Selecionar recursos.

      Captura de tela do painel 'Mover recursos' e do botão 'Selecionar recursos'.

    6. No painel Selecionar recursos, escolha as VMs que deseja mover. Conforme mencionado na seção Selecionar os recursos a serem movidos, você pode adicionar somente recursos compatíveis com uma movimentação.

      Captura de tela do painel 'Selecionar recursos' para escolha das VMs a serem movidas.

      Observação

      Neste tutorial, você está selecionando uma VM que usa a criptografia do lado do servidor (rayne-vm) com uma chave gerenciada pelo cliente e uma VM com a criptografia de disco habilitada (rayne-vm-ade).

    7. Selecione Concluído.

    8. Selecione a guia Recursos a serem movidos e escolha Avançar.

    9. Selecione a guia Examinar e verifique as configurações de origem e destino.

      Captura de tela do painel para examinar as configurações de origem e destino.

    10. Selecione Prosseguir, para começar a adicionar os recursos.

    11. Selecione o ícone de notificações para acompanhar o progresso. Após a conclusão bem-sucedida do processo, no painel Notificações, selecione Recursos adicionados para movimentação.

      Captura de tela do painel 'Notificações' para confirmar que os recursos foram adicionados com êxito.

    12. Depois de selecionar a notificação, examine os recursos da página Entre regiões.

      Captura de tela dos recursos adicionados com o status 'Preparação pendente'.

    Observação

    • Os recursos adicionados são colocados no estado Preparação pendente.
    • O grupo de recursos para as VMs é adicionado automaticamente.
    • Se você modificar as entradas da Configuração de destino para usar um recurso que já existe na região de destino, o estado do recurso será definido como Confirmação pendente, pois você não precisará iniciar uma movimentação para ela.
    • Se você quiser remover um recurso que foi adicionado, o método a ser usado dependerá do ponto em que você se encontra no processo de movimentação. Para obter mais informações, confira Gerenciar coleções de transferência de recursos e grupos de recursos.

    Resolver dependências

    1. Se algum recurso mostrar uma mensagem Validar dependências na coluna Problemas, selecione o botão Validar dependências.

      Captura de tela que mostra o botão 'Validar dependências'.

      O processo de validação começa.

    2. Se forem encontradas dependências, selecione Adicionar dependências.

      Captura de tela do botão 'Adicionar dependências'.

    3. No painel Adicionar dependências, mantenha a opção padrão Mostrar todas as dependências.

      • A opção Mostrar todas as dependências itera em todas as dependências diretas e indiretas de um recurso. Por exemplo, para uma VM, ela mostra a NIC, a rede virtual, os NSGs (grupos de segurança de rede) etc.
      • A opção Mostrar somente as dependências de primeiro nível mostra apenas as dependências diretas. Por exemplo, para uma VM, mostra a NIC, mas não a rede virtual.
    4. Selecione os recursos dependentes que deseja adicionar e escolha Adicionar dependências.

      Captura de tela da lista de dependências e do botão 'Adicionar dependências'.

    5. Valide as dependências novamente.

      Captura de tela do painel usado para revalidar as dependências.

    Atribuir recursos de destino

    Você precisa atribuir manualmente os recursos de destino associados à criptografia.

    • Se você estiver movendo uma VM que tenha o Azure Disk Encryption habilitado, o cofre de chaves na região de destino será exibido como uma dependência.
    • Se você estiver movendo uma VM com a criptografia do lado do servidor que use CMKs, o conjunto de criptografia de disco na região de destino será exibido como uma dependência.
    • Como este tutorial demonstra como mover uma VM que tem o Azure Disk Encryption habilitado e que usa uma CMK, o cofre de chaves de destino e o conjunto de criptografia de disco são exibidos como dependências.

    Para atribuir os recursos de destino manualmente, faça o seguinte:

    1. Na entrada do conjunto de criptografia de disco, selecione Recurso não atribuído na coluna Configuração de destino.

    2. Em Definições de configuração, selecione o conjunto de criptografia de disco de destino e escolha Salvar alterações.

    3. Você pode salvar e validar as dependências do recurso que está modificando ou apenas salvar as alterações e validar tudo o que modificar ao mesmo tempo.

      Captura de tela do painel 'Configuração de destino' para salvar as alterações na região de destino.

      Depois que você adicionar o recurso de destino, o status do conjunto de criptografia de disco será alterado para Confirmação de movimentação pendente.

    4. Na entrada do cofre de chaves, selecione Recurso não atribuído na coluna Configuração de destino. Em Definições de configuração, selecione o cofre de chaves de destino e salve as alterações.

    Nesta fase, o conjunto de criptografia de disco e os status do cofre de chaves são alterados para Confirmação de movimentação pendente.

    Captura de tela do painel usado para preparar outros recursos.

    Para confirmar e concluir o processo de movimentação dos recursos de criptografia, faça o seguinte:

    1. Em Entre regiões, selecione o recurso (conjunto de criptografia de disco ou cofre de chaves) e escolha Confirmar movimentação.
    2. Em Mover Recursos, selecione Confirmar.

    Observação

    Depois que você confirmar a movimentação, o status do recurso será alterado para Excluir origem pendente.

    Mover o grupo de recursos de origem

    Para preparar e mover as VMs, o grupo de recursos de VM deve estar presente na região de destino.

    Preparar para mover o grupo de recursos de origem

    Durante o processo de preparação, o Resource Mover gera modelos do ARM (Azure Resource Manager) por meio das configurações do grupo de recursos. Os recursos do grupo de recursos não são afetados.

    Para preparar a movimentação do grupo de recursos de origem, faça o seguinte:

    1. Em Entre regiões, selecione o grupo de recursos de origem e escolha Preparar.

      Captura de tela do botão 'Preparar' no painel 'Preparar recursos'.

    2. Em Preparar recursos, selecione Preparar.

    Observação

    Depois que você preparar a movimentação, o status do grupo de recursos será alterado para Iniciar a movimentação pendente.

    Mover o grupo de recursos de origem

    Comece a mover o grupo de recursos de origem fazendo o seguinte:

    1. No painel Entre regiões, selecione o grupo de recursos e escolha Iniciar movimentação.

      Captura de tela do botão 'Iniciar movimentação' no painel 'Entre regiões'.

    2. No painel Mover recursos, selecione Iniciar movimentação. O status do grupo de recursos será alterado para Iniciar a movimentação em andamento.

    3. Depois que você iniciar a movimentação, o grupo de recursos de destino será criado, com base no modelo do ARM gerado. O status do grupo de recursos de origem será alterado para Confirmar movimentação pendente.

      Captura de tela do painel 'Mover recursos' que mostra o status do grupo de recursos alterado para 'Confirmar movimentação pendente'.

    Para confirmar a movimentação e concluir o processo, faça o seguinte:

    1. No painel Entre regiões, selecione o grupo de recursos e escolha Confirmar movimentação.
    2. No painel Mover Recursos, selecione Confirmar.

    Observação

    Depois que você confirmar a movimentação, o status do grupo de recursos de origem será alterado para Excluir origem pendente.

    Captura de tela do grupo de recursos de origem que mostra o status alterado para 'Excluir origem pendente'.

    Preparar os recursos a serem movidos

    Agora que os recursos de criptografia e o grupo de recursos de origem foram movidos, prepare a movimentação de outros recursos cujo status atual é Preparação pendente.

    1. No painel Entre regiões, valide a movimentação novamente e resolva os problemas.

    2. Se você quiser editar as configurações de destino antes de iniciar a movimentação, selecione o link na coluna Configuração de destino do recurso e edite as configurações. Se você editar as configurações da VM de destino, o tamanho da VM de destino não deverá ser menor que o tamanho da VM de origem.

    3. Para os recursos com o status Preparação pendente que você deseja mover, selecione Preparar.

    4. No painel Preparar recursos, selecione Preparar.

      • Durante a preparação, o agente de mobilidade do Azure Site Recovery será instalado nas VMs para replicá-las.
      • Os dados da VM são replicados periodicamente para a região de destino. Isso não afeta as VMs de origem.
      • A Movimentação de Recursos gera modelos ARM para os outros recursos de origem.

    Observação

    Depois que você preparar os recursos, o status deles será alterado para Iniciar movimentação pendente.

    Captura de tela do painel 'Preparar recursos' que mostra os recursos no status 'Iniciar movimentação pendente'.

    Inicie a movimentação

    Agora que você preparou os recursos, inicie a movimentação.

    1. No painel Entre regiões, selecione os recursos cujo status seja Iniciar movimentação pendente e escolha Iniciar movimentação.

    2. No painel Mover recursos, selecione Iniciar movimentação.

    3. Acompanhe o progresso da movimentação na barra de notificações.

      • Para as VMs, são criadas réplicas delas na região de destino. A VM de origem é desligada e ocorre algum tempo de inatividade (geralmente minutos).
      • O Resource Mover recria outros recursos usando os modelos do ARM preparados. Geralmente, não há tempo de inatividade.
      • Depois que você mover os recursos, o status deles será alterado para Confirmar movimentação pendente.

    Captura de tela de uma lista de recursos com o status 'Confirmar movimentação pendente'.

    Descartar ou confirmar?

    Após a movimentação inicial, decida se deseja confirmar a movimentação ou descartá-la.

    • Descartar: você poderá descartar uma movimentação se estiver apenas testando-a e não quiser realmente mover o recurso de origem. O descarte da movimentação faz com que o recurso retorne ao estado Iniciar movimentação pendente.
    • Confirmar: a confirmação conclui a movimentação para a região de destino. Depois que você tiver confirmado um recurso de origem, o status dele será alterado para Excluir origem pendente e você poderá decidir se deseja excluí-lo.

    Descartar a movimentação

    Para descartar a movimentação, faça o seguinte:

    1. No painel Entre regiões, selecione os recursos cujo status seja Movimentação pendente e escolha Descartar movimentação.
    2. No painel Descartar movimentação, selecione Descartar.
    3. Acompanhe o progresso da movimentação na barra de notificações.

    Observação

    Depois que você descartar os recursos, os status da VM serão alterados para Iniciar movimentação pendente.

    Confirmar a movimentação

    Para concluir o processo de movimentação, confirme a movimentação fazendo o seguinte:

    1. No painel Entre regiões, selecione os recursos cujo status seja Movimentação pendente e escolha Confirmar movimentação.

    2. No painel Confirmar recursos, selecione Confirmar.

      Captura de tela de uma lista de recursos a serem confirmados para finalizar a movimentação.

    3. Monitore o progresso da confirmação na barra de notificações.

    Observação

    • Depois que você confirmar a movimentação, as VMs vão parar de serem replicadas. A VM de origem não é afetada pela confirmação.
    • O processo de confirmação não afeta os recursos da rede de origem.
    • Depois que você confirmar a movimentação, os status do recurso serão alterados para Excluir origem pendente.

    Definir as configurações após a movimentação

    • O serviço Mobilidade não é desinstalado automaticamente das VMs. Desinstale-o manualmente ou deixe-o instalado caso planeje mover o servidor novamente.
    • Modifique as regras do RBAC (controle de acesso baseado em função) do Azure após a movimentação.

    Excluir recursos de origem após a confirmação

    Após a movimentação, você terá a opção de excluir os recursos da região de origem.

    1. No painel Entre regiões, selecione cada recurso de origem que deseja excluir e escolha Excluir origem.
    2. Em Excluir origem, examine o que pretende excluir e, em Confirmar exclusão, digite Sim. A ação é irreversível, portanto, verifique atentamente!
    3. Depois de digitar Sim, selecione Excluir origem.

    Observação

    No portal da Movimentação de Recursos, não é possível excluir grupos de recursos, cofres de chaves nem instâncias do SQL Server. Você precisará excluí-los individualmente na página de propriedades de cada recurso.

    Excluir os recursos criados para a movimentação

    Após a movimentação, exclua manualmente a coleção de transferência de recursos e os recursos do Site Recovery criados durante este processo.

    • A coleção da movimentação fica oculta por padrão. Para vê-la, você precisará ativar os recursos ocultos.
    • O armazenamento em cache tem um bloqueio que precisa ser liberado antes que o cache possa ser excluído.

    Para excluir seus recursos, faça o seguinte:

    1. Localize os recursos no grupo de recursos RegionMoveRG-<sourceregion>-<target-region>.

    2. Verifique se todas as VMs e os outros recursos de origem da região de origem foram movidos ou excluídos. Essa etapa verifica se não há recursos pendentes usando-os.

    3. Exclua os recursos:

      • Nome da coleção de transferência de recursos: movecollection-<sourceregion>-<target-region>
      • Nome da conta de armazenamento de cache: resmovecache<guid>
      • Nome do cofre: ResourceMove-<sourceregion>-<target-region>-GUID

    Próximas etapas

    Neste tutorial, você:

    • Moveu VMs do Azure criptografadas e seus recursos dependentes para outra região do Azure.

    Como uma próxima etapa, experimente mover pools elásticos e bancos de dados SQL do Azure para outra região.