Репликация виртуальных машин с поддержкой шифрования дисков Azure в другой регион Azure

  • Статья

В этой статье описан способ репликации виртуальных машин с поддержкой Шифрования дисков Azure (ADE) между регионами Azure.

Примечание.

Сейчас Site Recovery поддерживает ADE в сочетании с Microsoft Entra ID и без нее для виртуальных машин под управлением операционных систем Windows. Для операционных систем Linux мы поддерживаем только ADE без Microsoft Entra ID. Кроме того, на компьютерах под управлением ADE 1.1 (без Microsoft Entra ID) виртуальные машины обязаны использовать управляемые диски. Виртуальные машины с неуправляемыми дисками не поддерживаются. При переходе с ADE 0.1 (с Microsoft Entra ID) на ADE 1.1 нужно предварительно отключить репликацию и включить её снова после включения ADE 1.1.

Необходимые разрешения пользователя

Для работы с Azure Site Recovery пользователь должен иметь разрешение на создание хранилища ключей в целевом регионе и копирование ключей из хранилища исходного региона в хранилище целевого региона.

Чтобы включить репликацию виртуальных машин с поддержкой шифрования дисков с портала Azure, пользователь должен иметь указанные ниже разрешения для хранилищ ключей как в исходном, так и в целевом регионах.

  • Разрешения по отношению к хранилищу ключей:

    • Включение в список, создание и получение

  • Разрешения по отношению к секретам хранилища ключей:

    • Операции управления секретами
      • Получение, включение в список и настройка

  • Разрешения для ключей в хранилище ключей (требуется только в том случае, если виртуальные машины используют ключ шифрования других ключей для шифрования ключей шифрования дисков)

    • Операции управления ключами
      • Получение, включение в список и создание
    • Криптографические операции
      • Расшифровка и шифрование

Чтобы управлять разрешениями, перейдите к ресурсу хранилища ключей на портале. Добавьте необходимые разрешения для пользователя. В следующем примере показано, как включить разрешения для хранилища ключей ContosoWeb2Keyvault, которое находится в исходном регионе.

  1. Последовательно выберите Главная>Keyvaults>ContosoWeb2KeyVault > Политики доступа.

    Окно разрешений для хранилища ключей

  2. Можно видеть, что здесь нет разрешений для пользователей. Выберите Добавить. Введите сведения о пользователях и разрешениях.

    Разрешения для хранилища ключей

Если у пользователя, который включает функцию аварийного восстановления (DR) нет необходимых разрешений для копирования ключей, то администратор безопасности с соответствующими разрешениями может использовать сценарий, описанный ниже, для копирования секретов и ключей шифрования в целевой регион.

Чтобы устранить неполадки, связанные с разрешениями, см. сведения о проблемах с разрешениями для хранилища ключей далее в этой статье.

Примечание.

Чтобы включить репликацию виртуальных машин с поддержкой шифрования дисков с портала, необходимо иметь, как минимум, разрешения "Включить в список" для хранилищ ключей, секретов и ключей.

Копирование ключей шифрования дисков в регион аварийного восстановления с помощью сценария PowerShell

  1. Откройте исходный код сценария "CopyKeys".

  2. Скопируйте сценарий в файл и назовите его Copy-keys.ps1.

  3. Откройте приложение Windows PowerShell и перейдите в папку с сохраненным файлом.

  4. Выполните сценарий Copy-keys.ps1.

  5. Укажите для входа учетные данные Azure.

  6. Выберите подписку Azure, к которой относятся виртуальные машины.

  7. Дождитесь загрузки групп ресурсов, затем выберите группу ресурсов виртуальных машин.

  8. Выберите виртуальные машины из отображаемого списка. В списке отображаются только виртуальные машины, для которых включено шифрование дисков.

  9. Выберите Целевое расположение.

    • Хранилища ключей для шифрования дисков
    • Хранилища ключей для шифрования ключей

    По умолчанию Site Recovery создает новое хранилище ключей в целевом регионе. Имя хранилища содержит суффикс "asr", основанный на ключах шифрования исходного диска виртуальной машины. Если хранилище ключей уже создано Site Recovery, оно будет использовано повторно. При необходимости из списка можно выбрать другое хранилище ключей.

Включение репликации

Используйте следующую процедуру для реплика Шифрование дисков Azure виртуальных машин с поддержкой Шифрование дисков Azure в другой регион Azure. Например, основной регион Azure — Восточная Азия, а вторичный — Юго-Восточная Азия.

  1. На странице >Site Recovery для хранилища установите в разделе Виртуальные машины Azure флажок Включить репликацию.

  2. На странице включения реплика tion в разделе "Источник" выполните следующие действия:

    • Регион. Выберите регион Azure, в котором требуется защитить виртуальные машины. Например, исходное расположение — Восточная Азия.
    • Подписка. Выберите подписку, к которой принадлежат исходные виртуальные машины. Это может быть любая подписка, которая находится в том же клиенте Microsoft Entra, что и хранилище служб восстановления.
    • Группа ресурсов: выберите группу ресурсов, к которой принадлежат исходные виртуальные машины. Все виртуальные машины в выбранной группе ресурсов, которые на следующем шаге будут включены в список для защиты.
    • Модель развертывания виртуальных машин. Выберите модель развертывания Azure исходных компьютеров.
    • Аварийное восстановление между зонами доступности: выберите "Да", если вы хотите выполнить зональное аварийное восстановление на виртуальных машинах.

    Снимок экрана: поля, необходимые для настройки репликации.

  3. Выберите Далее.

  4. На виртуальных машинах выберите каждую виртуальную машину, которую требуется реплика te. Можно выбрать только те компьютеры, для которых можно включить репликацию. Вы можете выбрать до десяти виртуальных машин. Затем выберите Далее.

    Снимок экрана: выбор виртуальных машин.

  5. В параметрах репликации можно настроить следующие параметры:

    1. В разделе "Расположение" и "Группа ресурсов"

      • Целевое расположение. Выберите расположение, в котором должны быть реплика данные исходной виртуальной машины. В зависимости от расположения выбранных компьютеров Site Recovery предоставит вам список подходящих целевых регионов. Мы рекомендуем сохранить такое же целевое расположение, что и расположение хранилищ служб восстановления.

      • Целевая подписка: выберите целевую подписку, используемую для аварийного восстановления. По умолчанию целевая подписка будет совпадать с исходной подпиской.

      • Целевая группа ресурсов: выберите группу ресурсов, к которой принадлежат все реплика виртуальные машины.

        • По умолчанию Site Recovery создает новую группу ресурсов в целевом регионе с суффиксом asr в имени.
        • Если группа ресурсов, создаваемая Site Recovery, уже существует, она будет использована повторно.
        • Параметры группы ресурсов можно настроить.
        • Целевая группа ресурсов может располагаться в любом регионе Azure, за исключением того, в котором размещены исходные виртуальные машины.

        Примечание.

        Вы также можете создать целевую группу ресурсов, нажав кнопку "Создать".

        Снимок экрана: расположение и группа ресурсов.

    2. В разделе "Сеть"

      • Отработка отказа виртуальной сети: выберите виртуальную сеть отработки отказа.

        Примечание.

        Вы также можете создать новую виртуальную сеть отработки отказа, нажав кнопку "Создать".

      • Подсеть отработки отказа: выберите подсеть отработки отказа.

        Снимок экрана: сеть.

    3. служба хранилища. Выбор конфигурации хранилища для просмотра и редактирования. Откроется страница настройки целевых параметров.

      Снимок экрана: служба хранилища.

      • Управляемый репликой диск: Site Recovery создает новые управляемые реплика диски в целевом регионе, чтобы зеркало управляемые диски исходной виртуальной машины с тем же типом хранилища (стандартный или премиум), что и управляемый диск исходной виртуальной машины.
      • Хранилище кэша: Site Recovery требует дополнительной учетной записи хранения, называемой хранилищем кэша в исходном регионе. Все изменения, происходящие на исходных виртуальных машинах, отслеживаются и отправляются учетной записи хранения кэша перед репликацией в целевое расположение.

    4. Параметры доступности: выберите подходящий вариант доступности для виртуальной машины в целевом регионе. Если уже существует группа доступности, созданная службой Site Recovery, она будет использована повторно. Выберите параметры доступности представления и редактирования, чтобы просмотреть или изменить параметры доступности.

      Примечание.

      • При настройке целевых групп доступности настройте разные группы доступности для разных виртуальных машин.
      • После включения репликации изменить тип доступности (один экземпляр), группу доступности или зону доступности нельзя. Чтобы изменить тип доступности, необходимо отключить и включить реплика tion.

      Снимок экрана: параметр доступности.

    5. Резервирование емкости. Резервирование емкости позволяет приобрести емкость в регионе восстановления, а затем выполнить отработку отказа в эту емкость. Можно создать новую группу резервирования емкости или использовать существующую. Дополнительные сведения см. в статье о работе резервирования емкости. Выберите "Вид" или "Изменить назначение группы резервирования емкости", чтобы изменить параметры резервирования емкости. При активации отработки отказа новая виртуальная машина будет создана в назначенной группе резервирования мощности.

      Снимок экрана: резервирование емкости.

    6. Параметры шифрования: выберите конфигурацию представления и редактирования, чтобы настроить хранилища ключей шифрования дисков и ключей.

      • Хранилища ключей для шифрования дисков — по умолчанию служба Site Recovery создает хранилище ключей в целевом регионе. Он имеет суффикс asr, основанный на ключах шифрования диска исходной виртуальной машины. Если уже существует хранилище ключей, созданное Azure Site Recovery, оно будет использовано повторно.
      • Хранилища ключей для шифрования ключей. По умолчанию Site Recovery создает новое хранилище ключей в целевом регионе. Имя имеет суффикс asr, основанный на ключах шифрования ключей исходной виртуальной машины. Если уже существует хранилище ключей, созданное Azure Site Recovery, оно будет использовано повторно.

      Снимок экрана: параметры шифрования.

  6. Выберите Далее.

  7. В разделе "Управление" выполните следующие действия:

    1. В разделе "Политика репликации"
      • Политика репликации. Выберите политику реплика tion. Определяет параметры для журнала хранения точек восстановления и частоты моментальных снимков, согласованных с приложением. По умолчанию Site Recovery создает новую политику реплика tion с параметрами по умолчанию в 24 часа для хранения точек восстановления.
      • Группа репликации. Создайте группу реплика tion для реплика байтовых виртуальных машин для создания точек восстановления, согласованных с несколькими виртуальными машинами. Обратите внимание, что включение согласованности с несколькими виртуальными машинами может повлиять на производительность рабочей нагрузки и должно использоваться только в том случае, если компьютеры выполняют одну и ту же рабочую нагрузку и требуется согласованность на нескольких компьютерах.
    2. В разделе "Параметры расширения"
      • Выберите параметры обновления и учетную запись службы автоматизации.

    Снимок экрана: вкладка

  8. Выберите Далее.

  9. В разделе "Проверка" просмотрите параметры виртуальной машины и выберите "Включить реплика tion".

    Снимок экрана: вкладка проверки.

Примечание.

Во время начальной репликации обновление состояния может занять некоторое время (без видимого прогресса). Щелкните Обновить, чтобы вывести актуальное состояние.

Обновление параметров шифрования целевой виртуальной машины

В приведенных ниже сценариях потребуется обновить параметры шифрования целевой виртуальной машины.

  • Включена репликация Site Recovery на виртуальной машине. Позже было включено шифрование дисков на исходной виртуальной машине.
  • Включена репликация Site Recovery на виртуальной машине. Позже был изменен ключ шифрования диска или ключ шифрования других ключей на исходной виртуальной машине.

Из-за указанных выше причин ключи не синхронизируются между источником и целевым объектом. Таким образом, необходимо скопировать ключи в целевой объект и обновить хранилище метаданных Azure Site Recovery с помощью следующего:

  • Портал
  • REST API
  • PowerShell

Обновление параметров шифрования целевой виртуальной машины из портал Azure

Если вы используете Site Recovery на виртуальной машине и включили шифрование дисков в более поздней точке, возможно, у вас нет хранилища ключей в целевых параметрах. Необходимо добавить новое хранилище ключей в целевой объект.

Если вы используете хранилище ключей, например KV1в целевых параметрах, вы можете изменить ключи с помощью другого хранилища ключей в целевом регионе. Можно выбрать существующее хранилище ключей, отличное от исходного хранилища KV1 ключей, или использовать новое хранилище ключей. Так как Azure Site Recovery не позволяет изменять ключи, необходимо использовать другое хранилище ключей в целевом регионе.

В этом примере предполагается, что вы создаете пустое хранилище KV2 ключей с необходимыми разрешениями. Затем вы можете обновить хранилище, выполнив следующие действия.

  1. Перейдите в хранилище служб восстановления на портале.
  2. Выбор реплика свойства элемента>>
  3. Выберите KV2 в меню, чтобы обновить целевое хранилище ключей. Снимок экрана: хранилище ключей целевого объекта обновления.
  4. Нажмите кнопку "Сохранить ", чтобы скопировать исходные ключи в новое целевое хранилище KV2 ключей с новым ключом или секретом и обновить метаданные Azure Site Recovery.

    Примечание.

    Создание нового хранилища ключей может иметь последствия для затрат. Если вы хотите использовать исходное целевое хранилище ключей (KV1), которое вы использовали раньше, это можно сделать после выполнения описанных выше действий с другим хранилищем ключей.
    После обновления хранилища с помощью другого хранилища ключей, чтобы использовать исходное целевое хранилище ключей (KV1), повторите шаги 1 до 4 и выберите KV1 в целевом хранилище ключей. Это копирует новый ключ или секрет в KV1 и использует его для целевого объекта.

Обновление параметров шифрования целевой виртуальной машины с помощью REST API

  1. Необходимо скопировать ключи в целевое хранилище с помощью скрипта копирования ключей .
  2. Replication Protected Items - Update Используйте REST API для обновления метаданных Azure Site Recovery.

Обновление параметров шифрования целевой виртуальной машины с помощью PowerShell

  1. Скопируйте ключи в целевое хранилище с помощью скрипта копирования ключей .
  2. Set-AzRecoveryServicesAsrReplicationProtectedItem Используйте команду для обновления метаданных Azure Site Recovery.

Устранение неполадок, связанных с разрешениями хранилища ключей, во время репликации виртуальной машины типа Azure-Azure.

Для службы Azure Site Recovery требуется хотя бы одно разрешение на чтение в хранилище ключей исходного региона и разрешение на запись в хранилище ключей целевого региона, чтобы считать секрет и скопировать его в хранилище ключей целевого региона.

Причина 1. Отсутствует разрешение "ПОЛУЧЕНИЕ" в хранилище ключей исходного региона для чтения ключей.
Исправление. Необходимо иметь разрешение на получение для хранилища ключей, независимо от наличия роли администратора подписки.

  1. Выберите хранилище ключей исходного региона, в данном примере это "ContososourceKeyvault", >Политики доступа.
  2. В разделе Выбор субъекта добавьте имя пользователя, например "dradmin@contoso.com".
  3. В разделе Разрешения ключей выберите "ПОЛУЧЕНИЕ".
  4. В разделе Разрешение секрета выберите "ПОЛУЧЕНИЕ".
  5. Сохраните политику доступа.

Причина 2. Отсутствует необходимое разрешение в хранилище ключей целевого региона для записи ключей.

Пример. Вы пытаетесь реплицировать виртуальную машину с хранилищем ключей ContososourceKeyvault в исходном регионе. У вас есть все разрешения в хранилище ключей исходного региона. Но в процессе обеспечения защиты выбрано уже созданное хранилище ключей ContosotargetKeyvault, не имеющее разрешений. Происходит ошибка.

Для целевого хранилища ключей требуется разрешение.

Исправление. Последовательно выберите Главная>Хранилища ключей>ContosotargetKeyvault>Политики доступа и добавьте соответствующие разрешения.

Следующие шаги

  • Дополнительные сведения о выполнении тестовой отработки отказа см. в этой статье.