Поделиться через

Репликация компьютеров, использующих диски с ключами, управляемыми клиентом (CMK)

В этой статье описывается, как реплицировать виртуальные машины Azure с управляемыми дисками, включающими ключи, управляемые клиентом (CMK), из одного региона Azure в другой.

Предварительные требования

Необходимо создать наборы шифрования дисков в целевом регионе для целевой подписки, прежде чем включать репликацию для виртуальных машин с управляемыми дисками с поддержкой CMK.

Примечание.

Azure Site Recovery не поддерживает смену ключа зашифрованной виртуальной машины во время его защиты. При смене ключей необходимо отключить и повторно включить репликацию.

Включение репликации

Используйте следующую процедуру для репликации компьютеров с дисками с поддержкой ключей, управляемых клиентом (CMK). Например, основной регион Azure — Восточная Азия, а дополнительный регион — Юго-Восточная Азия.

  1. На странице >Site Recovery хранилища в разделе Виртуальные машины Azure выберите Включить репликацию.

  2. На странице "Включить репликацию" в разделе "Источник" сделайте следующее:

    • Регион. Выберите регион Azure, из которого требуется защитить виртуальные машины. Например, исходное расположение — Восточная Азия.

    • Подписка. Выберите подписку, к которой принадлежат исходные виртуальные машины. Это может быть любая подписка в том же клиенте Microsoft Entra, где существует хранилище служб восстановления.

    • Группа ресурсов: выберите группу ресурсов, к которой принадлежат исходные виртуальные машины. Все виртуальные машины в выбранной группе ресурсов будут перечислены для защиты на следующем шаге.

    • Модель развертывания виртуальных машин. Выберите модель развертывания Azure исходных компьютеров.

    • Аварийное восстановление между зонами доступности: выберите "Да", если вы хотите выполнить зональное аварийное восстановление на виртуальных машинах.

      Снимок экрана: поля, необходимые для настройки репликации.

  3. Выберите Далее.

  4. На виртуальных машинах выберите каждую виртуальную машину, которую требуется реплицировать. Можно выбрать только те компьютеры, для которых можно включить репликацию. Вы можете выбрать до десяти виртуальных машин. Затем выберите Далее.

    Снимок экрана, на котором выделено место выбора виртуальных машин.

  5. В параметрах репликации можно настроить следующие параметры:

    1. В разделе "Расположение" и "Группа ресурсов"

      • Целевое расположение. Выберите расположение, в котором должны быть реплицированы исходные данные виртуальной машины. В зависимости от расположения выбранных компьютеров Site Recovery предоставит вам список подходящих целевых регионов. Мы рекомендуем оставить целевое местоположение таким же, как и местоположение хранилища служб восстановления.

      • Целевая подписка: выберите целевую подписку, используемую для аварийного восстановления. По умолчанию целевая подписка будет совпадать с исходной подпиской.

      • Целевая группа ресурсов: выберите группу ресурсов, к которой принадлежат все реплицированные виртуальные машины.

        • По умолчанию Site Recovery создает новую группу ресурсов в целевом регионе с суффиксом asr в имени.
        • Если группа ресурсов, создаваемая Site Recovery, уже существует, она будет использована повторно.
        • Параметры группы ресурсов можно настроить.
        • Целевая группа ресурсов может располагаться в любом регионе Azure, за исключением того, в котором размещены исходные виртуальные машины.

        Примечание.

        Вы также можете создать целевую группу ресурсов, нажав кнопку "Создать".

        Снимок экрана: расположение и группа ресурсов.

    2. В разделе "Сеть"

      • Резервная виртуальная сеть: выберите резервную виртуальную сеть.

        Примечание.

        Вы также можете создать новую отказоустойчивую виртуальную сеть, выбрав Создать новую.

      • Подсеть отработки отказа: выберите подсеть.

        Снимок экрана: сеть.

    3. Хранилище: выбор конфигурации хранилища для просмотра и редактирования. Откроется страница настройки целевых параметров.

      Снимок экрана: хранилище.

      • Управляемый репликой диск: Site Recovery создает новые управляемые репликами диски в целевом регионе, чтобы зеркально отображать управляемые диски исходной виртуальной машины с тем же типом хранилища (стандартный или премиум), что и управляемый диск исходной виртуальной машины.
      • Хранилище кэша: Site Recovery требует дополнительной учетной записи хранения, называемой хранилищем кэша в исходном регионе. Все изменения, происходящие на исходных виртуальных машинах, отслеживаются и отправляются в аккаунт кэширования, прежде чем реплицироваться в целевое место назначения.

    4. Параметры доступности: выберите подходящий вариант доступности для виртуальной машины в целевом регионе. Если уже существует группа доступности, созданная службой Site Recovery, она будет использована повторно. Выберите параметры доступности представления и редактирования, чтобы просмотреть или изменить параметры доступности.

      Примечание.

      • При настройке целевых групп доступности настройте разные группы доступности для разных виртуальных машин.
      • После включения репликации изменить тип доступности (один экземпляр), группу доступности или зону доступности нельзя. Необходимо отключить и включить репликацию, чтобы изменить тип доступности.

      Снимок экрана: опция доступности.

    5. Резервирование емкости: Резервирование емкости позволяет приобрести емкость в регионе восстановления, а затем переключиться на эту емкость. Можно создать новую группу резервирования емкости или использовать существующую. Дополнительные сведения см. в статье о работе резервирования емкости. Выберите "Просмотреть или Изменить назначение группы резервирования емкости", чтобы изменить параметры резервирования емкости. При переключении на резервный ресурс новая виртуальная машина будет создана в назначенной группе резервирования ресурсов.

      Снимок экрана: резервирование емкости.

    6. Параметры шифрования хранилища: Site Recovery требует, чтобы наборы шифрования дисков (DES) использовались для реплики и целевых управляемых дисков. Перед включением репликации необходимо предварительно создать наборы шифрования дисков в целевой подписке и целевом регионе. По умолчанию набор шифрования дисков не выбран. Чтобы выбрать набор шифрования дисков для каждого исходного диска, необходимо выбрать конфигурацию представления и редактирования.

      Примечание.

      Убедитесь, что целевой DES присутствует в целевой группе ресурсов и что целевой DES имеет доступ Get, Wrap Key, Unwrap Key к ключевому хранилищу (Key Vault) в том же регионе.

      Снимок экрана: параметры шифрования хранилища.

  6. Выберите Далее.

  7. В разделе "Управление" выполните следующие действия:

    1. В разделе "Политика репликации"
      • Политика репликации. Выберите политику репликации. Определяет параметры для журнала хранения точек восстановления и частоты моментальных снимков, согласованных с приложением. По умолчанию Site Recovery создает новую политику репликации с параметрами по умолчанию 24 часа для хранения точек восстановления.
      • Группа репликации: Создайте группу репликации для совместной репликации виртуальных машин с целью создания согласованных точек восстановления для нескольких виртуальных машин. Обратите внимание, что включение согласованности с несколькими виртуальными машинами может повлиять на производительность рабочей нагрузки и должно использоваться только в том случае, если компьютеры выполняют одну и ту же рабочую нагрузку и требуется согласованность на нескольких компьютерах.
    2. В разделе "Параметры расширения"
      • Выберите параметры обновления и учетную запись службы автоматизации.

    Снимок экрана: вкладка

  8. Выберите Далее

  9. В разделе "Проверка" просмотрите параметры виртуальной машины и выберите "Включить репликацию".

    Снимок экрана, показывающий вкладку 'Рецензирование'.

Примечание.

Во время начальной репликации обновление состояния может занять некоторое время (без видимого прогресса). Щелкните Обновить, чтобы вывести актуальное состояние.

Вопросы и ответы

  • Я активировал CMK на существующем реплицированном элементе, как я могу убедиться, что CMK применяется в целевом регионе?

    Вы можете узнать имя управляемого диска реплики (созданного Azure Site Recovery в целевом регионе) и присоединить DES к этому диску реплики. Однако вы не сможете увидеть сведения о DES на панели "Диски" после того как вы его подключите. Кроме того, можно отключить репликацию виртуальной машины и включить ее снова. Это обеспечит отображение деталей DES и хранилища ключей на панели "Диски" для реплицированного элемента.

  • Я добавил к реплицированному элементу новый диск с поддержкой CMK. Как можно реплицировать этот диск с помощью Azure Site Recovery?

    Вы можете добавить новый диск с поддержкой CMK в существующий реплицированный элемент с помощью PowerShell. Найдите фрагмент кода для получения рекомендаций:

    #set vaultname and resource group name for the vault.
$vaultname="RSVNAME"
$vaultrgname="RSVRGNAME"

#set VMName
$VMName = "VMNAME"

#get the vault object
$vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname

#set job context to this vault
$vault | Set-AzRecoveryServicesAsrVaultContext

=============

#set resource id of disk encryption set
$diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET"

#set resource id of cache storage account
$primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT"

#set resource id of recovery resource group
$RecoveryResourceGroup = "RESOURCEIDOFRG"

#set resource id of disk to be replicated
$dataDisk =  "RESOURCEIDOFTHEDISKTOBEREPLICATED"

#setdiskconfig
$diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig `
          -ManagedDisk `
          -DiskId $dataDisk `
          -LogStorageAccountId $primaryStorageAccount `
          -RecoveryResourceGroupId $RecoveryResourceGroup `
          -RecoveryReplicaDiskAccountType Standard_LRS `
          -RecoveryTargetDiskAccountType Standard_LRS `
          -RecoveryDiskEncryptionSetId $diskencryptionset


#get fabric object from the source region.
$fabric = Get-AzRecoveryServicesAsrFabric
#use to fabric name to get the container.
$primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1]

#get the context of the protected item
$protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject

#initiate enable replication using below command
$protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig

  • Я включил как платформу, так и управляемые клиентом ключи, как защитить диски?

    Включение двойного шифрования как с помощью платформы, так и управляемых клиентом ключей поддерживается Site Recovery. Чтобы защитить компьютер, следуйте инструкциям из этой статьи. Необходимо заранее создать двойное шифрование DES в целевом регионе. При включении репликации для такой виртуальной машины можно указать этот стандарт DES для Site Recovery.

Следующие шаги

  • Дополнительные сведения о выполнении тестовой отработки отказа см. в этой статье.