CMK(고객 관리형 키) 사용 가능 디스크를 사용하여 컴퓨터 복제
이 문서에서는 CMK(고객 관리형 키) 사용 관리 디스크가 있는 Azure VM을 Azure 지역 간에 복제하는 방법을 설명합니다.
전제 조건
CMK 사용 관리 디스크가 있는 가상 머신에 대해 복제를 사용하도록 설정하기 전에 대상 구독의 대상 지역에서 디스크 암호화 집합을 만들어야 합니다.
참고 항목
Azure Site Recovery는 암호화된 가상 머신이 보호되는 동안 키 회전을 지원하지 않습니다. 키를 회전하는 경우 복제를 사용하지 않도록 설정했다가 다시 사용하도록 설정해야 합니다.
복제 사용
CMK(고객 관리형 키)가 설정된 디스크를 사용하여 컴퓨터를 복제하려면 다음 절차를 따르세요. 예를 들어 주 Azure 지역은 동아시아, 보조 지역은 동남아시아입니다.
자격 증명 모음 >Site Recovery 페이지의 Azure 가상 머신에서 복제 사용을 선택합니다.
복제 사용 페이지의 원본에서 다음을 수행합니다.
지역: VM을 보호하려는 Azure 지역을 선택합니다. 예를 들어 원본 위치는 동아시아입니다.
구독: 원본 VM이 속한 구독을 선택합니다. Recovery Service 자격 증명 모음이 위치한 동일한 Microsoft Entra 테넌트 내의 모든 구독일 수 있습니다.
리소스 그룹: 원본 가상 머신이 속해 있는 리소스 그룹을 선택합니다. 선택한 리소스 그룹의 모든 VM은 다음 단계에서 보호를 위해 나열됩니다.
가상 머신 배포 모델: 원본 머신의 Azure 배포 모델을 선택합니다.
가용성 영역 간 재해 복구: 가상 머신에서 영역별 재해 복구를 수행하려면 예를 선택합니다.
다음을 선택합니다.
가상 머신 선택에서 복제하려는 각 VM을 선택합니다. 복제를 활성화할 수 있는 컴퓨터만 선택할 수 있습니다. 최대 10개의 VM을 선택할 수 있습니다. 그런 후 다음을 선택합니다.
복제 설정에서 다음 설정을 구성할 수 있습니다.
위치 및 리소스 그룹에서 다음을 수행합니다.
대상 위치: 원본 가상 머신 데이터를 복제해야 하는 위치를 선택합니다. 선택한 머신 위치에 따라 Site Recovery에서 적합한 대상 지역 목록을 제공합니다. 대상 위치를 Recovery Services 자격 증명 모음 위치와 동일하게 유지하는 것이 좋습니다.
대상 구독: 재해 복구에 사용되는 대상 구독을 선택합니다. 기본적으로 대상 구독은 원본 구독과 동일합니다.
대상 리소스 그룹: 모든 복제된 가상 머신이 속한 리소스 그룹을 선택합니다.
- 기본적으로 Site Recovery는 이름에 asr 접미사를 사용하여 대상 지역에 새 리소스 그룹을 만듭니다.
- Site Recovery에서 만든 리소스 그룹이 이미 있는 경우 해당 리소스 그룹이 재사용됩니다.
- 리소스 그룹 설정을 사용자 지정할 수 있습니다.
- 원본 VM이 호스트되는 지역을 제외한 모든 Azure 지역이 대상 리소스 그룹의 위치가 될 수 있습니다.
참고 항목
새로 만들기를 선택하여 새 대상 리소스 그룹을 만들 수도 있습니다.
네트워크에서 다음을 수행합니다.
장애 조치(failover) 가상 네트워크: 장애 조치 가상 네트워크를 선택합니다.
참고 항목
새로 만들기를 선택하여 새 장애 조치(failover) 가상 네트워크를 만들 수도 있습니다.
장애 조치(failover) 서브넷: 장애 조치(failover) 서브넷을 선택합니다.
스토리지: 스토리지 구성 보기/편집을 선택합니다. 대상 설정 사용자 지정 페이지가 열립니다.
- 복제본 관리 디스크: Site Recovery는 대상 지역에 새로운 복제본 관리 디스크를 만들어서 원본 VM의 관리 디스크와 동일한 스토리지 유형(표준 또는 프리미엄)을 원본 VM의 관리 디스크로 미러링합니다.
- 캐시 스토리지: Site Recovery는 원본 지역에 캐시 스토리지로 불리는 추가 스토리지 계정이 필요합니다. 원본 VM에서 발생하는 모든 변경 내용이 대상 위치로 복제되기 전에 추적되고 캐시 스토리지 계정으로 전송됩니다.
가용성 옵션: 대상 지역의 VM에 적절한 가용성 옵션을 선택합니다. Site Recovery에서 만든 가용성 집합이 이미 있는 경우 다시 사용됩니다. 가용성 옵션 보기/편집을 선택하여 가용성 옵션을 보거나 편집합니다.
참고 항목
- 대상 가용성 집합을 구성하는 동안 다양한 크기의 VM에 대해 서로 다른 가용성 집합을 구성하세요.
- 복제를 사용하도록 설정한 후에는 가용성 유형(단일 인스턴스, 가용성 집합 또는 가용성 영역)을 변경할 수 없습니다. 가용성 유형을 변경하려면 복제를 사용하지 않도록 설정했다가 다시 사용하도록 설정해야 합니다.
용량 예약: 용량 예약을 사용하면 복구 지역에서 용량을 구매한 다음, 해당 용량으로 장애 조치(failover)할 수 있습니다. 새 용량 예약 그룹을 만들거나 기존 용량 예약 그룹을 사용할 수 있습니다. 자세한 내용은 용량 예약 작동 방식을 참조하세요. 용량 예약 설정을 수정하려면 용량 예약 그룹 할당 보기 또는 편집을 선택합니다. 장애 조치(failover)를 트리거할 때 할당된 용량 예약 그룹에 새 VM이 만들어집니다.
스토리지 암호화 설정: Site Recovery에는 복제본 및 대상 관리 디스크에 사용할 DES(디스크 암호화 집합)가 필요합니다. 복제를 사용하도록 설정하기 전에 대상 구독과 대상 지역에서 디스크 암호화 집합을 미리 만들어야 합니다. 기본적으로 디스크 암호화 집합은 선택되지 않습니다. 원본 디스크당 디스크 암호화 집합을 선택하려면 구성 보기/편집을 선택해야 합니다.
참고 항목
대상 DES가 대상 리소스 그룹에 있고 대상 DES에 동일한 지역의 Key Vault에 대한 가져오기, 키 래핑, 키 래핑 해제 액세스 권한이 있는지 확인합니다.
다음을 선택합니다.
관리에서 다음을 수행합니다.
- 복제 정책에서,
- 복제 정책: 복제 정책을 선택합니다. 복구 지점 보존 기록 및 앱 일치 스냅샷 빈도에 대한 설정을 정의합니다. 기본적으로 Site Recovery는 복구 지점 보존이 기본 설정 24시간인 새 복제 정책을 만듭니다.
- 복제 그룹: VM을 함께 복제하여 다중 VM 일치 복구 지점을 생성하는 복제 그룹을 만듭니다. 다중 VM 일관성을 사용하도록 설정하면 워크로드 성능에 영향을 줄 수 있습니다. 따라서 컴퓨터가 동일한 워크로드를 실행하며 여러 컴퓨터에서 일관성을 지켜야 하는 경우에만 다중 VM 일관성을 사용해야 합니다.
- 확장 설정에서
- 설정 업데이트 및 Automation 계정을 선택합니다.
- 복제 정책에서,
다음을 선택합니다.
검토에서 VM 설정을 검토하고 복제 사용을 선택합니다.
참고 항목
초기 복제 중에 상태가 새로 고쳐질 때까지 시간이 걸릴 수 있습니다(진행률이 나타나지 않음). 최신 상태를 가져오려면 새로 고침을 클릭합니다.
FAQ
기존 복제된 항목에서 CMK를 사용하도록 설정했습니다. CMK가 대상 지역에도 적용되도록 하려면 어떻게 해야 하나요?
대상 지역에서 Azure Site Recovery를 통해 생성된 복제본 관리 디스크의 이름을 확인하고 이 복제본 디스크에 DES를 연결할 수 있습니다. 그러나 DES를 연결한 후에는 디스크 블레이드에서 DES 세부 정보를 볼 수 없습니다. 또는 VM 복제를 사용하지 않도록 설정했다가 다시 사용하도록 설정할 수 있습니다. 그러면 복제된 항목의 디스크 블레이드에 DES와 키 자격 증명 모음의 세부 정보가 표시됩니다.
복제된 항목에 새 CMK 사용 디스크를 추가했습니다. Azure Site Recovery를 사용하여 이 디스크를 복제하려면 어떻게 해야 하나요?
PowerShell을 사용하여 기존의 복제된 항목에 새 CMK 사용 디스크를 추가할 수 있습니다. 지침에 대한 코드 조각을 찾습니다.
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
플랫폼 및 고객 관리형 키를 둘 다 사용하도록 설정했습니다. 디스크를 보호하려면 어떻게 해야 하나요?
Site Recovery는 플랫폼 및 고객 관리형 키를 사용한 이중 암호화를 지원합니다. 이 문서의 지침에 따라 머신을 보호합니다. 사전에 대상 지역에서 이중 암호화 사용 DES를 만들어야 합니다. 해당 VM에 대해 복제를 사용하도록 설정할 때 이 DES를 Site Recovery에 제공할 수 있습니다.
다음 단계
- 테스트 장애 조치(failover) 실행에 대해 자세히 알아보세요.