Condividi tramite


Eseguire la replica di macchine virtuali abilitate per Crittografia dischi di Azure in un'altra area di Azure

Questo articolo descrive come replicare le macchine virtuali di Azure con Crittografia dischi di Azure (ADE) abilitata, da un'area di Azure a un'altra.

Nota

Site Recovery attualmente supporta Crittografia dischi di Azure, con e senza Microsoft Entra ID, per le macchine virtuali che eseguono sistemi operativi Windows. Per i sistemi operativi Linux, supportiamo solo ADE senza Microsoft Entra ID. Inoltre, per i computer che eseguono ADE 1.1 (senza Microsoft Entra ID), le macchine virtuali devono utilizzare dischi gestiti. Le VM con dischi non gestiti non sono supportate. Se si passa dalla versione 0.1 (con Microsoft Entra ID) alla versione 1.1 di Crittografia dischi di Azure, è necessario disabilitare la replica e abilitarla per una macchina virtuale dopo l'abilitazione della versione 1.1.

Autorizzazioni utente necessarie

Site Recovery richiede all'utente di avere le autorizzazioni per creare l'insieme di credenziali delle chiavi nell'area di destinazione e copiare le chiavi dall'insieme di credenziali delle chiavi dell'area di origine all'insieme di credenziali delle chiavi dell'area di destinazione.

Per abilitare la replica di macchine virtuali abilitate per la crittografia del disco dal portale di Azure, l'utente deve disporre delle autorizzazioni seguenti sia per l'area di origine che per gli insiemi di credenziali delle chiavi dell'area di destinazione.

  • Autorizzazioni dell'insieme di credenziali delle chiavi

    • Elencare, creare e ottenere
  • Autorizzazioni di accesso al segreto dell'insieme di credenziali delle chiavi

    • Operazioni di gestione dei segreti
      • Ottenere, elencare e impostare
  • Autorizzazioni delle chiavi dell'insieme di credenziali delle chiavi (necessarie solo se le macchine virtuali usano la chiave di crittografia della chiave per crittografare le chiavi di crittografia del disco)

    • Operazioni di gestione delle chiavi
      • Ottenere, elencare e creare
    • Operazioni crittografiche
      • Decrittografare e crittografare

Per gestire le autorizzazioni, passare alla risorsa dell'insieme di credenziali delle chiavi nel portale. Aggiungere le autorizzazioni necessarie per l'utente. L'esempio seguente illustra come abilitare le autorizzazioni per l'insieme di credenziali delle chiavi ContosoWeb2Keyvault, che si trova nell'area di origine.

  1. Passare a Home Keyvaults ContosoWeb2KeyVault Access policies (Criteri>di accesso di ContosoWeb2KeyVault).>>

    Finestra delle autorizzazioni dell'insieme di credenziali delle chiavi

  2. È possibile notare che non sono presenti autorizzazioni utente. Seleziona Aggiungi nuovo. Immettere le informazioni relative all'utente e alle autorizzazioni.

    Autorizzazioni dell'insieme di credenziali delle chiavi

Se l'utente che abilita il ripristino di emergenza (DR) non dispone delle autorizzazioni per copiare le chiavi, un amministratore della sicurezza con autorizzazioni appropriate può usare lo script seguente per copiare i segreti e le chiavi di crittografia nell'area di destinazione.

Per risolvere i problemi relativi alle autorizzazioni, vedere i problemi di autorizzazione dell'insieme di credenziali delle chiavi più avanti in questo articolo.

Nota

Per abilitare la replica di macchine virtuali abilitate per crittografia dischi dal portale, sono necessarie almeno le autorizzazioni "Elenco" per gli insiemi di credenziali delle chiavi, i segreti e le chiavi.

Copiare le chiavi di Crittografia dischi nell'area di ripristino di emergenza usando lo script di PowerShell

  1. Aprire il codice script non elaborato "CopyKeys".

  2. Copiare lo script in un file e denominarlo Copy-keys.ps1.

  3. Aprire l'applicazione Windows PowerShell e passare alla cartella in cui è stato salvato il file.

  4. Eseguire Copy-keys.ps1.

  5. Specificare le credenziali di Azure per l'accesso.

  6. Selezionare la sottoscrizione di Azure delle VM.

  7. Attendere il caricamento dei gruppi di risorse e quindi selezionare il gruppo di risorse delle macchine virtuali.

  8. Selezionare le macchine virtuali dall'elenco visualizzato. Nell'elenco sono presenti solo le macchine virtuali abilitate per la crittografia del disco.

  9. Selezionare il percorso di destinazione.

    • Insiemi di credenziali delle chiavi di crittografia del disco
    • Insiemi di credenziali delle chiavi di crittografia delle chiavi

    Per impostazione predefinita, Site Recovery crea un nuovo insieme di credenziali delle chiavi nell'area di destinazione. Il nome dell'insieme di credenziali ha un suffisso "asr" basato sulle chiavi di crittografia del disco della macchina virtuale di origine. Se esiste già un insieme di credenziali delle chiavi creato da Site Recovery, viene riutilizzato. Selezionare un insieme di credenziali delle chiavi diverso dall'elenco, se necessario.

Nota

In alternativa, è possibile scaricare la chiave, importarla nell'area dell'insieme di credenziali delle chiavi secondario. È quindi possibile modificare i dischi delle repliche per usare le chiavi.

Abilitare la replica

Usare la procedura seguente per replicare le macchine virtuali abilitate per Crittografia dischi di Azure in un'altra area di Azure. Ad esempio, l'area primaria di Azure è Asia orientale e la secondaria è Asia sud-orientale.

  1. Nella pagina Insieme di credenziali >di Site Recovery , in Macchine virtuali di Azure selezionare Abilita replica.

  2. Nella pagina Abilita replica, in Origine, eseguire le operazioni seguenti:

    • Area: selezionare l'area di Azure in cui si vogliono proteggere le macchine virtuali. Ad esempio, la posizione di origine è Asia orientale.
    • Sottoscrizione: selezionare la sottoscrizione a cui appartengono le macchine virtuali di origine. Può trattarsi di qualsiasi sottoscrizione che si trova nello stesso tenant di Microsoft Entra dell'insieme di credenziali dei servizi di ripristino.
    • Gruppo di risorse: selezionare il gruppo di risorse a cui appartengono le macchine virtuali di origine. Tutte le macchine virtuali nel gruppo di risorse selezionato sono elencate per la protezione nel passaggio successivo.
    • Modello di distribuzione di macchine virtuali: selezionare il modello di distribuzione di Azure delle macchine di origine.
    • Ripristino di emergenza tra zone di disponibilità: selezionare se si vuole eseguire il ripristino di emergenza di zona nelle macchine virtuali.

    Screenshot che evidenzia i campi necessari per configurare la replica.

  3. Selezionare Avanti.

  4. In Macchine virtuali selezionare ogni macchina virtuale da replicare. È possibile selezionare solo i computer per cui è possibile abilitare la replica. È possibile selezionare fino a dieci macchine virtuali. Quindi seleziona Avanti.

    Screenshot che evidenzia dove si selezionano le macchine virtuali.

  5. In Impostazioni di replica è possibile configurare le impostazioni seguenti:

    1. In Località e gruppo di risorse,

      • Percorso di destinazione: selezionare il percorso in cui devono essere replicati i dati della macchina virtuale di origine. A seconda della posizione dei computer selezionati, Site Recovery fornirà l'elenco delle aree di destinazione appropriate. È consigliabile mantenere il percorso di destinazione identico al percorso dell'insieme di credenziali di Servizi di ripristino.

      • Sottoscrizione di destinazione: selezionare la sottoscrizione di destinazione usata per il ripristino di emergenza. Per impostazione predefinita, la sottoscrizione di destinazione sarà uguale alla sottoscrizione di origine.

      • Gruppo di risorse di destinazione: selezionare il gruppo di risorse a cui appartengono tutte le macchine virtuali replicate.

        • Per impostazione predefinita, Site Recovery crea un nuovo gruppo di risorse nell'area di destinazione con un suffisso asr nel nome.
        • Se il gruppo di risorse creato da Site Recovery esiste già, verrà riutilizzato.
        • È possibile personalizzare le impostazioni del gruppo di risorse.
        • La posizione del gruppo di risorse di destinazione può essere qualsiasi area di Azure, ad eccezione dell'area in cui sono ospitate le macchine virtuali di origine.

        Nota

        È anche possibile creare un nuovo gruppo di risorse di destinazione selezionando Crea nuovo.

        Screenshot di Località e gruppo di risorse.

    2. In Rete,

      • Rete virtuale di failover: selezionare la rete virtuale di failover.

        Nota

        È anche possibile creare una nuova rete virtuale di failover selezionando Crea nuovo.

      • Subnet di failover: selezionare la subnet di failover.

        Screenshot della rete.

    3. Archiviazione: selezionare Visualizza/modifica configurazione di archiviazione. Verrà visualizzata la pagina Personalizza impostazioni di destinazione.

      Screenshot dell'archiviazione.

      • Disco gestito da replica: Site Recovery crea nuovi dischi gestiti da replica nell'area di destinazione per eseguire il mirroring dei dischi gestiti della macchina virtuale di origine con lo stesso tipo di archiviazione (Standard o Premium) del disco gestito della macchina virtuale di origine.
      • Archiviazione cache: Site Recovery richiede un account di archiviazione aggiuntivo denominato archiviazione cache nell'area di origine. Tutte le modifiche apportate alle macchine virtuali di origine vengono rilevate e inviate all'account di archiviazione della cache prima di replicarle nel percorso di destinazione.
    4. Opzioni di disponibilità: selezionare l'opzione di disponibilità appropriata per la macchina virtuale nell'area di destinazione. Se esiste già un set di disponibilità creato da Site Recovery, viene riutilizzato. Selezionare Visualizza/modifica opzioni di disponibilità per visualizzare o modificare le opzioni di disponibilità.

      Nota

      • Durante la configurazione dei set di disponibilità di destinazione, configurare set di disponibilità diversi per macchine virtuali di dimensioni diverse.
      • Dopo avere abilitato la replica non è possibile modificare il tipo di disponibilità, ovvero l'istanza singola, il set di disponibilità o la zona di disponibilità. È necessario disabilitare e abilitare la replica per modificare il tipo di disponibilità.

      Screenshot dell'opzione di disponibilità.

    5. Prenotazione della capacità: la prenotazione della capacità consente di acquistare capacità nell'area di ripristino e quindi di eseguire il failover a tale capacità. È possibile creare un nuovo gruppo di prenotazioni di capacità o usarne uno esistente. Per altre informazioni, vedere funzionamento della prenotazione della capacità. Selezionare Visualizza o Modifica assegnazione gruppo prenotazione capacità per modificare le impostazioni di prenotazione della capacità. Durante l'attivazione del failover, la nuova macchina virtuale verrà creata nel gruppo di prenotazioni di capacità assegnato.

      Screenshot della prenotazione della capacità.

    6. Impostazioni di crittografia: selezionare Visualizza/modifica configurazione per configurare Crittografia dischi e Insiemi di credenziali delle chiavi di crittografia della chiave.

      • Insiemi di credenziali delle chiavi di crittografia del disco: per impostazione predefinita, Site Recovery crea un nuovo insieme di credenziali delle chiavi nell'area di destinazione. Ha un suffisso asr basato sulle chiavi di crittografia del disco della macchina virtuale di origine. Se esiste già un insieme di credenziali delle chiavi creato da Azure Site Recovery, viene riutilizzato.
      • Insiemi di credenziali delle chiavi di crittografia della chiave: Per impostazione predefinita, Site Recovery crea un nuovo insieme di credenziali delle chiavi nell'area di destinazione. Il nome ha un suffisso asr basato sulle chiavi di crittografia della chiave della macchina virtuale di origine. Se esiste già un insieme di credenziali delle chiavi creato da Azure Site Recovery, viene riutilizzato.

      Screenshot delle impostazioni di crittografia.

  6. Selezionare Avanti.

  7. In Gestisci eseguire le operazioni seguenti:

    1. In Criteri di replica,
      • Criteri di replica: selezionare i criteri di replica. Definisce le impostazioni per la cronologia di conservazione dei punti di ripristino e la frequenza degli snapshot coerenti con l'app. Per impostazione predefinita, Site Recovery crea un nuovo criterio di replica con impostazioni predefinite di 24 ore per la conservazione dei punti di ripristino.
      • Gruppo di replica: creare un gruppo di replica per replicare le macchine virtuali insieme per generare punti di ripristino coerenti con più macchine virtuali. Si noti che l'abilitazione della coerenza tra più macchine virtuali può influire sulle prestazioni del carico di lavoro e deve essere usata solo se i computer eseguono lo stesso carico di lavoro ed è necessaria la coerenza tra più computer.
    2. In Impostazioni estensione,
      • Selezionare Aggiorna impostazioni e account di Automazione.

    Screenshot che mostra la scheda Gestisci.

  8. Selezionare Avanti.

  9. In Verifica esaminare le impostazioni della macchina virtuale e selezionare Abilita replica.

    Screenshot che mostra la scheda revisione.

Nota

Durante la replica iniziale, lo stato potrebbe richiedere del tempo per l'aggiornamento, senza lo stato apparente. Fare clic Aggiorna per visualizzare lo stato più recente.

Aggiornare le impostazioni di crittografia della VM di destinazione

Negli scenari seguenti sarà necessario aggiornare le impostazioni di crittografia della macchina virtuale di destinazione:

  • È stata abilitata la replica di Site Recovery nella macchina virtuale. Successivamente, è stata abilitata la crittografia del disco nella macchina virtuale di origine.
  • È stata abilitata la replica di Site Recovery nella macchina virtuale. Successivamente, è stata modificata la chiave di crittografia del disco o la chiave di crittografia della chiave nella macchina virtuale di origine.

A causa dei motivi precedenti, le chiavi non sono sincronizzate tra origine e destinazione. È quindi necessario copiare le chiavi nella destinazione e aggiornare l'archiviazione dei metadati di Azure Site Recovery tramite:

  • Portale
  • API REST
  • PowerShell

Nota

Azure Site Recovery non supporta la rotazione della chiave per una macchina virtuale crittografata mentre è protetta. Se si ruotano le chiavi, è necessario disabilitare e riabilitare la replica.

Aggiornare le impostazioni di crittografia della macchina virtuale di destinazione dal portale di Azure

Se si usa Site Recovery in una macchina virtuale e si è abilitata la crittografia del disco in un secondo momento, potrebbe non essere presente alcun insieme di credenziali delle chiavi nelle impostazioni di destinazione. È necessario aggiungere un nuovo insieme di credenziali delle chiavi nella destinazione.

Se si usa un insieme di credenziali delle chiavi, ad esempio KV1, nelle impostazioni di destinazione, è possibile modificare le chiavi usando un insieme di credenziali delle chiavi diverso nell'area di destinazione. È possibile scegliere un insieme di credenziali delle chiavi esistente diverso dall'insieme di credenziali KV1 delle chiavi originale o usare un nuovo insieme di credenziali delle chiavi. Poiché Azure Site Recovery non consente di modificare le chiavi sul posto, è necessario usare un insieme di credenziali delle chiavi diverso nell'area di destinazione.

Per questo esempio si presuppone che si crei un nuovo insieme di credenziali KV2 delle chiavi vuoto con le autorizzazioni necessarie. È quindi possibile aggiornare l'insieme di credenziali seguendo questa procedura:

  1. Passare all'insieme di credenziali di Servizi di ripristino nel portale.
  2. Selezionare il calcolo delle>proprietà degli elementi>replicati
  3. Scegliere KV2 dal menu per aggiornare l'insieme di credenziali delle chiavi di destinazione. Screenshot dell'insieme di credenziali delle chiavi di destinazione dell'aggiornamento.
  4. Selezionare Salva per copiare le chiavi di origine nel nuovo insieme di credenziali delle chiavi di destinazione KV2 con una nuova chiave/segreto e aggiornare i metadati di Azure Site Recovery.

    Nota

    La creazione di un nuovo insieme di credenziali delle chiavi potrebbe avere implicazioni in termini di costi. Se si vuole usare l'insieme di credenziali delle chiavi di destinazione originale (KV1) usato in precedenza, è possibile farlo dopo aver completato i passaggi precedenti con un insieme di credenziali delle chiavi diverso.
    Dopo aver aggiornato l'insieme di credenziali usando un insieme di credenziali delle chiavi diverso, per usare l'insieme di credenziali delle chiavi di destinazione originale (KV1), ripetere i passaggi da 1 a 4 e selezionare KV1 nell'insieme di credenziali delle chiavi di destinazione. In questo modo viene copiata la nuova chiave/segreto in KV1 e viene usata per la destinazione.

Aggiornare le impostazioni di crittografia della macchina virtuale di destinazione usando l'API REST

  1. È necessario copiare le chiavi nell'insieme di credenziali di destinazione usando lo script Copy-Keys .
  2. Usare l'API Replication Protected Items - Update REST per aggiornare i metadati di Azure Site Recovery.

Aggiornare le impostazioni di crittografia della macchina virtuale di destinazione con PowerShell

  1. Copiare le chiavi nell'insieme di credenziali di destinazione usando lo script Copy-Keys .
  2. Usare il Set-AzRecoveryServicesAsrReplicationProtectedItem comando per aggiornare i metadati di Azure Site Recovery.

Risolvere i problemi di autorizzazione dell'insieme di credenziali delle chiavi durante la replica di macchine virtuali da Azure ad Azure

Azure Site Recovery richiede almeno l'autorizzazione di lettura per l'insieme di credenziali delle chiavi dell'area di origine e l'autorizzazione di scrittura per l'insieme di credenziali delle chiavi dell'area di destinazione per leggere il segreto e copiarlo nell'insieme di credenziali delle chiavi dell'area di destinazione.

Causa 1: non si dispone dell'autorizzazione "GET" per l'insieme di credenziali delle chiavi dell'area di origine per leggere le chiavi.
Procedura: indipendentemente dal fatto che si sia un amministratore della sottoscrizione o meno, è importante ottenere l'autorizzazione per l'insieme di credenziali delle chiavi.

  1. Passare all'insieme di credenziali delle chiavi dell'area di origine, che in questo esempio è "ContososourceKeyvault" >Criteri di accesso
  2. In Select Principal (Seleziona entità) aggiungere il nome utente, ad esempio: "dradmin@contoso.com"
  3. In Autorizzazioni chiave selezionare GET
  4. In Autorizzazione privata selezionare GET
  5. Salvare i criteri di accesso

Causa 2: non si dispone dell'autorizzazione necessaria per l'insieme di credenziali delle chiavi dell'area di destinazione per scrivere le chiavi.

Ad esempio: si tenta di replicare una macchina virtuale con insieme di credenziali delle chiavi ContososourceKeyvault in un'area di origine. Sono disponibili tutte le autorizzazioni per l'insieme di credenziali delle chiavi dell'area di origine. Tuttavia, durante la protezione, si seleziona l'insieme di credenziali delle chiavi già creato ContosotargetKeyvault, che non dispone delle autorizzazioni. Si verifica un errore.

Autorizzazione necessaria per l'insieme di credenziali delle chiavi di destinazione

Procedura: passare a Home>Keyvaults>ContosotargetKeyvault Access policies (Criteri di accesso di ContosotargetKeyvault>) e aggiungere le autorizzazioni appropriate.

Passaggi successivi