Azure Disk Şifrelemesi'nin etkinleştirildiği sanal makineleri başka bir Azure bölgesine çoğaltma

  • Makale

Bu makalede, Azure Disk Şifrelemesi (ADE) etkinken Azure VM'lerinin bir Azure bölgesinden diğerine nasıl çoğaltıldığı açıklanmaktadır.

Not

Site Recovery şu anda, Windows işletim sistemlerini çalıştıran VM'lerde Microsoft Entra ID ile ve Microsoft Entra ID olmadan ADE'yi desteklemektedir. Linux işletim sistemleri için yalnızca Microsoft Entra Kimliği olmayan ADE'yi destekliyoruz. Ayrıca, ADE 1.1 (Microsoft Entra Kimliği olmadan) çalıştıran makineler için VM'lerin yönetilen diskleri kullanıyor olması gerekir. Yönetilmeyen diskler kullanan VM'ler desteklenmez. ADE 0.1'den (Microsoft Entra ID ile) 1.1'e geçiyorsanız çoğaltmayı devre dışı bırakmalı ve 1.1'i etkinleştirdikten sonra VM için çoğaltmayı etkinleştirmelisiniz.

Gerekli kullanıcı izinleri

Site Recovery, kullanıcının hedef bölgede anahtar kasası oluşturma ve kaynak bölge anahtar kasasından anahtarları hedef bölge anahtar kasasına kopyalama izinlerine sahip olmasını gerektirir.

Azure portalından Disk Şifrelemesi özellikli VM'lerin çoğaltmasını etkinleştirmek için kullanıcının hem kaynak bölge hem de hedef bölge anahtar kasalarında aşağıdaki izinlere ihtiyacı vardır.

  • Anahtar kasası izinleri

    • Listele, Oluştur ve Al

  • Anahtar kasası gizli dizi izinleri

    • Gizli Dizi Yönetimi İşlemleri
      • Alma, Listeleme ve Ayarlama

  • Anahtar kasası anahtar izinleri (yalnızca VM'ler disk şifreleme anahtarlarını şifrelemek için anahtar şifreleme anahtarı kullanıyorsa gereklidir)

    • Anahtar Yönetimi İşlemleri
      • Alma, Listeleme ve Oluşturma
    • Şifreleme İşlemleri
      • Şifre Çözme ve Şifreleme

İzinleri yönetmek için portaldaki anahtar kasası kaynağına gidin. Kullanıcı için gerekli izinleri ekleyin. Aşağıdaki örnekte, kaynak bölgede yer alan ContosoWeb2Keyvault anahtar kasasına yönelik izinlerin nasıl etkinleştirileceği gösterilmektedir.

  1. Giriş>Keyvaults>ContosoWeb2KeyVault > Erişim ilkeleri'ne gidin.

    Anahtar kasası izinleri penceresi

  2. Kullanıcı izni olmadığını görebilirsiniz. Yeni ekle'yi seçin. Kullanıcı ve izin bilgilerini girin.

    Keyvault izinleri

Olağanüstü durum kurtarmayı (DR) etkinleştiren kullanıcının anahtarları kopyalama izinleri yoksa, uygun izinlere sahip bir güvenlik yöneticisi şifreleme gizli dizilerini ve anahtarlarını hedef bölgeye kopyalamak için aşağıdaki betiği kullanabilir.

İzin sorunlarını gidermek için bu makalenin devamındaki anahtar kasası izin sorunlarına bakın.

Not

Portaldan Disk Şifrelemesi özellikli VM'lerin çoğaltılabilmesi için anahtar kasaları, gizli diziler ve anahtarlar üzerinde en az "Liste" izinlerine sahip olmanız gerekir.

PowerShell betiğini kullanarak Disk Şifreleme anahtarlarını DR bölgesine kopyalama

  1. "CopyKeys" ham betik kodunu açın.

  2. Betiği bir dosyaya kopyalayın ve Copy-keys.ps1 olarak adlandırın.

  3. Windows PowerShell uygulamasını açın ve dosyayı kaydettiğiniz klasöre gidin.

  4. Copy-keys.ps1 dosyasını yürütür.

  5. Oturum açmak için Azure kimlik bilgilerini sağlayın.

  6. VM'lerinizin Azure aboneliğini seçin.

  7. Kaynak gruplarının yüklenmesini bekleyin ve ardından VM'lerinizin Kaynak grubunu seçin.

  8. Görüntülenen listeden VM'leri seçin. Listede yalnızca disk şifrelemesi için etkinleştirilen VM'ler bulunur.

  9. Hedef konumu seçin.

    • Disk şifreleme anahtar kasaları
    • Anahtar şifreleme anahtar kasaları

    Varsayılan olarak, Site Recovery hedef bölgede yeni bir anahtar kasası oluşturur. Kasanın adının, kaynak VM disk şifreleme anahtarlarını temel alan bir "asr" son eki vardır. Site Recovery tarafından oluşturulmuş bir anahtar kasası zaten varsa yeniden kullanılır. Gerekirse listeden farklı bir anahtar kasası seçin.

Çoğaltmayı etkinleştirme

Azure Disk Şifrelemesi etkin VM'leri başka bir Azure bölgesine çoğaltmak için aşağıdaki yordamı kullanın. Örneğin, birincil Azure bölgesi Doğu Asya, ikincil bölge ise Güneydoğu Asya'dır.

  1. Kasa >Site Recovery sayfasındaki Azure sanal makineleri'nin altında Çoğaltmayı etkinleştir'i seçin.

  2. Çoğaltmayı etkinleştir sayfasının Kaynak bölümünde aşağıdakileri yapın:

    • Bölge: Sanal makinelerinizi korumak istediğiniz Azure bölgesini seçin. Örneğin, kaynak konum Doğu Asya'dır.
    • Abonelik: Kaynak sanal makinelerinizin ait olduğu aboneliği seçin. Bu, kurtarma hizmetleri kasanızla aynı Microsoft Entra kiracısında bulunan herhangi bir abonelik olabilir.
    • Kaynak grubu: Kaynak sanal makinelerinizin ait olduğu kaynak grubunu seçin. Seçili kaynak grubundaki tüm VM'ler bir sonraki adımda koruma için listelenir.
    • Sanal makine dağıtım modeli: Kaynak makinelerin Azure dağıtım modelini seçin.
    • Kullanılabilirlik alanları arasında olağanüstü durum kurtarma: Sanal makinelerde bölgesel olağanüstü durum kurtarma gerçekleştirmek istiyorsanız Evet'i seçin.

    Çoğaltmayı yapılandırmak için gereken alanları vurgulayan ekran görüntüsü.

  3. İleri'yi seçin.

  4. Sanal makineler'de, çoğaltmak istediğiniz her VM'yi seçin. Yalnızca çoğaltmanın etkinleştirildiği makineleri seçebilirsiniz. En fazla on VM seçebilirsiniz. Ardından İleri'yi seçin.

    Sanal makineleri seçtiğiniz yeri vurgulayan ekran görüntüsü.

  5. Çoğaltma ayarları'nda aşağıdaki ayarları yapılandırabilirsiniz:

    1. Konum ve Kaynak grubu altında,

      • Hedef konum: Kaynak sanal makine verilerinizin çoğaltılması gereken konumu seçin. Seçilen makinelerin konumuna bağlı olarak, Site Recovery size uygun hedef bölgelerin listesini sağlar. Hedef konumu Kurtarma Hizmetleri kasa konumuyla aynı tutmanızı öneririz.

      • Hedef abonelik: Olağanüstü durum kurtarma için kullanılan hedef aboneliği seçin. Hedef abonelik varsayılan olarak kaynak abonelikle aynı olur.

      • Hedef kaynak grubu: Çoğaltılan tüm sanal makinelerinizin ait olduğu kaynak grubunu seçin.

        • Varsayılan olarak, Site Recovery hedef bölgede adında asr soneki bulunan yeni bir kaynak grubu oluşturur.
        • Site Recovery tarafından oluşturulan kaynak grubu varsa aynı grup yeniden kullanılır.
        • Kaynak grubu ayarlarını özelleştirebilirsiniz.
        • Hedef kaynak grubunun konumu, kaynak VM'lerin barındırıldığı bölge dışında herhangi bir Azure bölgesi olabilir.

        Not

        Yeni oluştur'u seçerek yeni bir hedef kaynak grubu da oluşturabilirsiniz.

        Konum ve kaynak grubunun ekran görüntüsü.

    2. altında,

      • Yük devretme sanal ağı: Yük devretme sanal ağını seçin.

        Not

        Yeni oluştur'u seçerek yeni bir yük devretme sanal ağı da oluşturabilirsiniz.

      • Yük devretme alt ağı: Yük devretme alt akını seçin.

        Ağ'ın ekran görüntüsü.

    3. Depolama: Depolama yapılandırmasını görüntüle/düzenle'yi seçin. Hedef ayarları özelleştir sayfası açılır.

      Depolama ekran görüntüsü.

      • Çoğaltmayla yönetilen disk: Site Recovery, kaynak VM'nin yönetilen diskiyle aynı depolama türüne (Standart veya premium) sahip kaynak VM'nin yönetilen disklerini yansıtmak için hedef bölgede yeni çoğaltmayla yönetilen diskler oluşturur.
      • Önbellek depolama: Site Recovery'nin kaynak bölgede önbellek depolama adı verilen ek depolama hesabına ihtiyacı vardır. Kaynak VM'lerde yapılan tüm değişiklikler izlenir ve hedef konuma çoğaltmadan önce önbellek depolama hesabına gönderilir.

    4. Kullanılabilirlik seçenekleri: Hedef bölgedeki VM'niz için uygun kullanılabilirlik seçeneğini belirleyin. Site Recovery tarafından oluşturulmuş bir kullanılabilirlik kümesi zaten varsa, yeniden kullanılır. Kullanılabilirlik seçeneklerini görüntülemek veya düzenlemek için Kullanılabilirlik seçeneklerini görüntüle/düzenle'yi seçin.

      Not

      • Hedef kullanılabilirlik kümelerini yapılandırırken, farklı boyuttaki VM'ler için farklı kullanılabilirlik kümeleri yapılandırın.
      • Çoğaltmayı etkinleştirdikten sonra tek örnek, kullanılabilirlik kümesi veya kullanılabilirlik alanı gibi kullanılabilirlik türünü değiştiremezsiniz. Kullanılabilirlik türünü değiştirmek için çoğaltmayı devre dışı bırakmanız ve etkinleştirmeniz gerekir.

      Kullanılabilirlik seçeneğinin ekran görüntüsü.

    5. Kapasite rezervasyonu: Kapasite Rezervasyonu, kurtarma bölgesinde kapasite satın almanızı ve ardından bu kapasiteye yük devretme gerçekleştirmenizi sağlar. Yeni bir Kapasite Rezervasyon Grubu oluşturabilir veya var olan bir grubu kullanabilirsiniz. Daha fazla bilgi için bkz . Kapasite rezervasyonu nasıl çalışır? Kapasite rezervasyonu ayarlarını değiştirmek için Kapasite Rezervasyonu grup atamasını görüntüle veya Düzenle'yi seçin. Yük Devretme tetiklendiğinde, yeni VM atanan Kapasite Rezervasyon Grubunda oluşturulur.

      Kapasite rezervasyonunun ekran görüntüsü.

    6. Şifreleme ayarları: Disk Şifrelemesi ve Anahtar Şifrelemesi anahtar kasalarını yapılandırmak için Yapılandırmayı görüntüle/düzenle'yi seçin.

      • Disk şifreleme anahtar kasaları: Site Recovery varsayılan olarak hedef bölgede yeni bir anahtar kasası oluşturur. Kaynak VM disk şifreleme anahtarlarını temel alan bir asr soneki vardır. Azure Site Recovery tarafından oluşturulmuş bir anahtar kasası zaten varsa yeniden kullanılır.
      • Anahtar şifreleme anahtar kasaları: Site Recovery varsayılan olarak hedef bölgede yeni bir anahtar kasası oluşturur. Adın kaynak VM anahtarı şifreleme anahtarlarını temel alan bir asr soneki vardır. Azure Site Recovery tarafından oluşturulan bir anahtar kasası zaten varsa, yeniden kullanılır.

      Şifreleme ayarlarının ekran görüntüsü.

  6. İleri'yi seçin.

  7. Yönet'te aşağıdakileri yapın:

    1. Çoğaltma ilkesi altında,
      • Çoğaltma ilkesi: Çoğaltma ilkesini seçin. Kurtarma noktası saklama geçmişi ve uygulamayla tutarlı anlık görüntü sıklığı ayarlarını tanımlar. Varsayılan olarak, Site Recovery kurtarma noktası saklama için varsayılan ayarları 24 saat olan yeni bir çoğaltma ilkesi oluşturur.
      • Çoğaltma grubu: Çok VM tutarlı kurtarma noktaları oluşturmak üzere VM'leri birlikte çoğaltmak için çoğaltma grubu oluşturun. Çoklu VM tutarlılığını etkinleştirmenin iş yükü performansını etkileyeebileceğini ve yalnızca makineler aynı iş yükünü çalıştırıyorsa ve birden çok makinede tutarlılık gerekiyorsa kullanılması gerektiğini unutmayın.
    2. Uzantı ayarları'nın altında
      • Ayarları ve Otomasyon hesabını güncelleştir'i seçin.

    Yönet sekmesini görüntüleyen ekran görüntüsü.

  8. İleri'yi seçin.

  9. Gözden Geçir'te VM ayarlarını gözden geçirin ve Çoğaltmayı etkinleştir'i seçin.

    Gözden geçirme sekmesini görüntüleyen ekran görüntüsü.

Not

İlk çoğaltma sırasında, durumun belirgin ilerleme olmadan yenilenmesi biraz zaman alabilir. En son durumu almak için Yenile'ye tıklayın.

Hedef VM şifreleme ayarlarını güncelleştirme

Aşağıdaki senaryolarda hedef VM şifreleme ayarlarını güncelleştirmeniz gerekir:

  • VM'de Site Recovery çoğaltmasını etkinleştirmişsiniz. Daha sonra kaynak VM'de disk şifrelemesini etkinleştirmiş olursunuz.
  • VM'de Site Recovery çoğaltmasını etkinleştirmişsiniz. Daha sonra, kaynak VM'de disk şifreleme anahtarını veya anahtar şifreleme anahtarını değiştirdiniz.

Yukarıdaki nedenlerden dolayı anahtarlar kaynak ve hedef arasında eşitlenmemiş. Bu nedenle, Azure Site Recovery meta veri depolama alanını hedeflemek ve güncelleştirmek için anahtarları kopyalamanız gerekir:

  • Portal
  • REST API
  • PowerShell

Azure portalından hedef VM şifreleme ayarlarını güncelleştirme

Bir VM'de Site Recovery kullanıyorsanız ve daha sonraki bir noktada bu vm üzerinde disk şifrelemesini etkinleştirdiyseniz, hedef ayarlarda herhangi bir anahtar kasanız olmayabilir. Hedefe yeni bir anahtar kasası eklemeniz gerekir.

Örneğin KV1, bir anahtar kasası kullanıyorsanız, hedef ayarlarda, hedef bölgede farklı bir anahtar kasası kullanarak anahtarları değiştirebilirsiniz. Özgün anahtar kasasından farklı olan mevcut bir anahtar kasası KV1 seçebilir veya yeni bir anahtar kasası kullanabilirsiniz. Azure Site Recovery anahtarların yerinde değiştirilmesine izin vermediğinden, hedef bölgede farklı bir anahtar kasası kullanmanız gerekir.

Bu örnekte, gerekli izinlere sahip yeni bir boş anahtar kasası KV2 oluşturduğunuz varsayılır. Ardından aşağıdaki adımları kullanarak kasayı güncelleştirebilirsiniz:

  1. Portalda Kurtarma hizmetleri kasasına gidin.
  2. Çoğaltılan öğe>Özellikleri İşlem'i seçin >
  3. Hedef anahtar kasasını güncelleştirmek için menüden öğesini seçin KV2 . Hedef anahtar kasasını güncelleştir'in ekran görüntüsü.
  4. Kaynak anahtarları yeni bir anahtar/gizli dizi ile yeni hedef anahtar kasasına KV2 kopyalamak ve Azure Site Recovery meta verilerini güncelleştirmek için Kaydet'i seçin.

    Not

    Yeni anahtar kasası oluşturmanın maliyet açısından etkileri olabilir. Daha önce kullandığınız özgün hedef anahtar kasanızı (KV1) kullanmak istiyorsanız, yukarıdaki adımları farklı bir anahtar kasasıyla tamamladıktan sonra bunu yapabilirsiniz.
    Kasayı farklı bir anahtar kasası kullanarak güncelleştirdikten sonra özgün hedef anahtar kasanızı ()KV1 kullanmak için 1 ile 4 arasındaki adımları yineleyin ve hedef anahtar kasasını seçin KV1 . Bu, içindeki KV1 yeni anahtarı / gizli diziyi kopyalar ve bunu hedef için kullanır.

REST API kullanarak hedef VM şifreleme ayarlarını güncelleştirme

  1. Anahtarları Kopyala betiğini kullanarak anahtarları hedef kasaya kopyalamanız gerekir.
  2. Replication Protected Items - Update Azure Site Recovery meta verilerini güncelleştirmek için Rest API'sini kullanın.

PowerShell kullanarak hedef VM şifreleme ayarlarını güncelleştirme

  1. Anahtarları Kopyala betiğini kullanarak anahtarları hedef kasaya kopyalayın.
  2. Set-AzRecoveryServicesAsrReplicationProtectedItem Azure Site Recovery meta verilerini güncelleştirmek için komutunu kullanın.

Azure'da Azure VM çoğaltması sırasında anahtar kasası izin sorunlarını giderme

Azure Site Recovery'nin gizli diziyi okumak ve hedef bölgenin anahtar kasasına kopyalamak için kaynak bölgenin anahtar kasası üzerinde en az okuma izni ve hedef bölgenin anahtar kasası üzerinde yazma izni olmalıdır.

Neden 1: Anahtar kasası kaynak bölgesinde anahtarları okumak için "GET" izniniz yok.
Nasıl düzeltilir: Abonelik yöneticisi olup olmadığınıza bakılmaksızın anahtar kasası üzerinde izin almanız önemlidir.

  1. Bu örnekte "ContososourceKeyvault" >Erişim ilkeleri olan kaynak bölge Anahtar kasasına gidin
  2. Sorumlu Seç'in altında kullanıcı adınızı ekleyin, örneğin: "dradmin@contoso.com"
  3. Anahtar izinleri'nin altında GET'i seçin
  4. Gizli Dizi İzni'nin altında GET'i seçin
  5. Erişim ilkesini kaydetme

Neden 2: Anahtarları yazmak için Hedef bölge Anahtar kasası üzerinde gerekli izniniz yok.

Örneğin: ContososourceKeyvault anahtar kasası olan bir VM'yi bir kaynak bölgede çoğaltmaya çalışıyorsunuz. Kaynak bölge anahtar kasası üzerindeki tüm izinlere sahipsiniz. Ancak koruma sırasında, izinleri olmayan contosotargetKeyvault adlı önceden oluşturulmuş anahtar kasasını seçersiniz. Bir hata oluşur.

Hedef Anahtar kasasında izin gerekiyor

Nasıl düzeltilir: Giriş>Keyvaults>ContosotargetKeyvault>Erişim ilkeleri'ne gidin ve uygun izinleri ekleyin.

Sonraki adımlar