Поделиться через


Репликация компьютеров, использующих диски с ключами, управляемыми клиентом (CMK)

В этой статье описывается репликация виртуальных машин Azure с дисками с ключами CMK из одного региона Azure в другой.

Необходимые условия

Необходимо создать наборы шифрования дисков в целевом регионе для целевой подписки, прежде чем включать репликацию для виртуальных машин с управляемыми дисками с поддержкой CMK.

Включение репликации

Используйте следующую процедуру для репликации компьютеров с дисками с поддержкой ключей, управляемых клиентом (CMK). Например, основной регион Azure — Восточная Азия, а дополнительный регион — Юго-Восточная Азия.

  1. На странице >Site Recovery для хранилища установите в разделе Виртуальные машины Azure флажок Включить репликацию.

  2. На странице "Включить репликацию" в разделе "Источник" сделайте следующее:

    • Регион. Выберите регион Azure, из которого требуется защитить виртуальные машины. Например, исходное расположение — Восточная Азия.

    • Подписка. Выберите подписку, к которой принадлежат исходные виртуальные машины. Это может быть любая подписка в том же клиенте Microsoft Entra, где существует хранилище служб восстановления.

    • Группа ресурсов: выберите группу ресурсов, к которой принадлежат исходные виртуальные машины. Все виртуальные машины в выбранной группе ресурсов, которые на следующем шаге будут включены в список для защиты.

    • Модель развертывания виртуальных машин. Выберите модель развертывания Azure исходных компьютеров.

    • Аварийное восстановление между зонами доступности: выберите "Да", если вы хотите выполнить зональное аварийное восстановление на виртуальных машинах.

      Снимок экрана: поля, необходимые для настройки репликации.

  3. Выберите Далее.

  4. На виртуальных машинах выберите каждую виртуальную машину, которую требуется реплицировать. Можно выбрать только те компьютеры, для которых можно включить репликацию. Вы можете выбрать до десяти виртуальных машин. Затем выберите Далее.

    Снимок экрана: выбор виртуальных машин.

  5. В параметрах репликации можно настроить следующие параметры:

    1. В разделе "Расположение" и "Группа ресурсов"

      • Целевое расположение. Выберите расположение, в котором должны быть реплицированы исходные данные виртуальной машины. В зависимости от расположения выбранных компьютеров Site Recovery предоставит вам список подходящих целевых регионов. Мы рекомендуем сохранить такое же целевое расположение, что и расположение хранилищ служб восстановления.

      • Целевая подписка: выберите целевую подписку, используемую для аварийного восстановления. По умолчанию целевая подписка будет совпадать с исходной подпиской.

      • Целевая группа ресурсов: выберите группу ресурсов, к которой принадлежат все реплицированные виртуальные машины.

        • По умолчанию Site Recovery создает новую группу ресурсов в целевом регионе с суффиксом asr в имени.
        • Если группа ресурсов, создаваемая Site Recovery, уже существует, она будет использована повторно.
        • Параметры группы ресурсов можно настроить.
        • Целевая группа ресурсов может располагаться в любом регионе Azure, за исключением того, в котором размещены исходные виртуальные машины.

        Примечание.

        Вы также можете создать целевую группу ресурсов, нажав кнопку "Создать".

        Снимок экрана: расположение и группа ресурсов.

    2. В разделе "Сеть"

      • Отработка отказа виртуальной сети: выберите виртуальную сеть отработки отказа.

        Примечание.

        Вы также можете создать новую виртуальную сеть отработки отказа, нажав кнопку "Создать".

      • Подсеть отработки отказа: выберите подсеть отработки отказа.

        Снимок экрана: сеть.

    3. Хранилище: выбор конфигурации хранилища для просмотра и редактирования. Откроется страница настройки целевых параметров.

      Снимок экрана: хранилище.

      • Управляемый репликой диск: Site Recovery создает новые управляемые репликами диски в целевом регионе, чтобы зеркально отображать управляемые диски исходной виртуальной машины с тем же типом хранилища (стандартный или премиум), что и управляемый диск исходной виртуальной машины.
      • Хранилище кэша: Site Recovery требует дополнительной учетной записи хранения, называемой хранилищем кэша в исходном регионе. Все изменения, происходящие на исходных виртуальных машинах, отслеживаются и отправляются учетной записи хранения кэша перед репликацией в целевое расположение.
    4. Параметры доступности: выберите подходящий вариант доступности для виртуальной машины в целевом регионе. Если уже существует группа доступности, созданная службой Site Recovery, она будет использована повторно. Выберите параметры доступности представления и редактирования, чтобы просмотреть или изменить параметры доступности.

      Примечание.

      • При настройке целевых групп доступности настройте разные группы доступности для разных виртуальных машин.
      • После включения репликации изменить тип доступности (один экземпляр), группу доступности или зону доступности нельзя. Необходимо отключить и включить репликацию, чтобы изменить тип доступности.

      Снимок экрана: параметр доступности.

    5. Резервирование емкости. Резервирование емкости позволяет приобрести емкость в регионе восстановления, а затем выполнить отработку отказа в эту емкость. Можно создать новую группу резервирования емкости или использовать существующую. Дополнительные сведения см. в статье о работе резервирования емкости. Выберите "Вид" или "Изменить назначение группы резервирования емкости", чтобы изменить параметры резервирования емкости. При активации отработки отказа новая виртуальная машина будет создана в назначенной группе резервирования мощности.

      Снимок экрана: резервирование емкости.

    6. Параметры шифрования хранилища: Site Recovery требует, чтобы наборы шифрования дисков (DES) использовались для реплики и целевых управляемых дисков. Перед включением репликации необходимо предварительно создать наборы шифрования дисков в целевой подписке и целевом регионе. По умолчанию набор шифрования дисков не выбран. Чтобы выбрать набор шифрования дисков для каждого исходного диска, необходимо выбрать конфигурацию представления и редактирования.

      Примечание.

      Убедитесь, что target DES присутствует в целевой группе ресурсов и что целевой des имеет доступ к ключу Get, Wrap Key, Unwrap Key access to a Key Vault в том же регионе.

      Снимок экрана: параметры шифрования хранилища.

  6. Выберите Далее.

  7. В разделе "Управление" выполните следующие действия:

    1. В разделе "Политика репликации"
      • Политика репликации. Выберите политику репликации. Определяет параметры для журнала хранения точек восстановления и частоты моментальных снимков, согласованных с приложением. По умолчанию Site Recovery создает новую политику репликации с параметрами по умолчанию 24 часа для хранения точек восстановления.
      • Группа репликации. Создайте группу репликации для репликации виртуальных машин вместе для создания точек восстановления с поддержкой нескольких виртуальных машин. Обратите внимание, что включение согласованности с несколькими виртуальными машинами может повлиять на производительность рабочей нагрузки и должно использоваться только в том случае, если компьютеры выполняют одну и ту же рабочую нагрузку и требуется согласованность на нескольких компьютерах.
    2. В разделе "Параметры расширения"
      • Выберите параметры обновления и учетную запись службы автоматизации.

    Снимок экрана: вкладка

  8. Выберите Далее

  9. В разделе "Проверка" просмотрите параметры виртуальной машины и выберите "Включить репликацию".

    Снимок экрана: вкладка проверки.

Примечание.

Во время начальной репликации обновление состояния может занять некоторое время (без видимого прогресса). Щелкните Обновить, чтобы вывести актуальное состояние.

Вопросы и ответы

  • Я включил CMK в существующем реплицированном элементе, как также убедиться, что CMK применяется к целевому региону?

    Вы можете узнать имя управляемого диска реплики (созданного Azure Site Recovery в целевом регионе) и присоединить DES к этому диску реплики. Однако вы не сможете увидеть сведения о DES в колонке "Диски" после подключения. Кроме того, можно отключить репликацию виртуальной машины и включить ее снова. В колонке "Диски" для реплицированного элемента будут отображены сведения о DES и хранилище ключей.

  • Я добавил к реплицированному элементу новый диск с поддержкой CMK. Как можно реплицировать этот диск с помощью Azure Site Recovery?

    Вы можете добавить новый диск с поддержкой CMK в существующий реплицированный элемент с помощью PowerShell. Найдите фрагмент кода для получения рекомендаций:

    #set vaultname and resource group name for the vault.
    $vaultname="RSVNAME"
    $vaultrgname="RSVRGNAME"
    
    #set VMName
    $VMName = "VMNAME"
    
    #get the vault object
    $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname
    
    #set job context to this vault
    $vault | Set-AzRecoveryServicesAsrVaultContext
    
    =============
    
    #set resource id of disk encryption set
    $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"
    
    #set resource id of cache storage account
    $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"
    
    #set resource id of recovery resource group
    $RecoveryResourceGroup = "RESOURCEIDOFRG"
    
    #set resource id of disk to be replicated
    $dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"
    
    #setdiskconfig
    $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
              -ManagedDisk `
              -DiskId $dataDisk `
              -LogStorageAccountId $primaryStorageAccount `
              -RecoveryResourceGroupId $RecoveryResourceGroup `
              -RecoveryReplicaDiskAccountType Standard_LRS `
              -RecoveryTargetDiskAccountType Standard_LRS `
              -RecoveryDiskEncryptionSetId $diskencryptionset
    
    
    #get fabric object from the source region.
    $fabric = Get-AzRecoveryServicesAsrFabric
    #use to fabric name to get the container.
    $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]
    
    #get the context of the protected item
    $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject
    
    #initiate enable replication using below command
    $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
    
  • Я включил как платформу, так и управляемые клиентом ключи, как защитить диски?

    Включение двойного шифрования как с помощью платформы, так и управляемых клиентом ключей поддерживается Site Recovery. Чтобы защитить компьютер, следуйте инструкциям из этой статьи. Необходимо заранее создать двойное шифрование DES в целевом регионе. Во время включения репликации для такой виртуальной машины можно указать этот алгоритм DES для Site Recovery.

Следующие шаги

  • Дополнительные сведения о выполнении тестовой отработки отказа см. в этой статье.