Mover um cofre dos Serviços de Recuperação entre assinaturas e grupos de recursos do Azure
Este artigo explica como mover um cofre dos Serviços de Recuperação configurado para Backup do Azure entre assinaturas do Azure ou para outro grupo de recursos na mesma assinatura. Você pode usar o portal do Azure ou o PowerShell para mover um cofre dos Serviços de Recuperação.
Regiões com suporte
Todas as regiões públicas e regiões soberanas são compatíveis, exceto Sul da França, França Central, Nordeste da Alemanha e Alemanha Central.
Pré-requisitos para mover o cofre dos Serviços de Recuperação
- Durante a movimentação do cofre entre grupos de recursos, os grupos de recursos de origem e de destino ficam bloqueados, impedindo as operações de gravação e exclusão. Para obter mais informações, consulte este artigo.
- Somente a assinatura de administrador tem as permissões para mover um cofre.
- Para mover cofres entre assinaturas, a assinatura de destino deve residir no mesmo locatário que a assinatura de origem e seu estado deve ser habilitado. Para mover um cofre para uma ID diferente do Microsoft Entra, consulte Transferir assinatura para um diretório diferente e Perguntas frequentes do cofre do Serviço de Recuperação.
- Você deve ter permissão para executar operações de gravação no grupo de recursos de destino.
- Mover cofre altera apenas o grupo de recursos. O cofre dos Serviços de Recuperação residirá no mesmo local e não poderá ser alterado.
- Você pode mover um cofre dos Serviços de Recuperação por região por vez.
- Se uma VM não for movida com o cofre dos Serviços de Recuperação entre assinaturas ou para um novo grupo de recursos, os pontos de recuperação da VM atuais permanecerão intactos no cofre até expirarem.
- Seja a VM movida com o cofre ou não, você sempre pode restaurar a VM do histórico de backup retido no cofre.
- O Azure Disk Encryption exige que seu cofre de chaves e as VMs residam na mesma região e assinatura do Azure.
- Para mover uma máquina virtual com discos gerenciados, veja este artigo.
- As opções de movimentação dos recursos implantados por meio do modelo Clássico apresentam diferenças dependendo de se você está movendo os recursos em uma assinatura ou para uma nova assinatura. Para obter mais informações, consulte este artigo.
- Políticas de backup definidas para o cofre são mantidas após o cofre ser movido entre assinaturas ou para um novo grupo de recursos.
- Você só pode mover um cofre que contenha qualquer um dos seguintes tipos de itens de backup. Todos os itens de backup dos tipos não listados abaixo precisarão ser interrompidos e os dados excluídos permanentemente antes da movimentação do cofre.
- Máquinas Virtuais do Azure
- Agente de MARS (Serviços de Recuperação do Microsoft Azure)
- MABS (Servidor de Backup do Microsoft Azure)
- DPM (Data Protection Manager)
- Se você mover um cofre que contém dados de backup de VM entre assinaturas, deverá mover suas VMs para a mesma assinatura e usar o mesmo nome de grupo de recursos da VM de destino (como se ela estivesse na assinatura antiga) para continuar os backups.
Observação
- Atualmente, não há suporte para mover um cofre dos Serviços de Recuperação criptografado por CMK entre grupos de recursos e assinaturas.
- Não há suporte para a movimentação de cofres dos Serviços de Recuperação para o Backup do Azure entre regiões do Azure.
Se você configurou VMs (Azure IaaS, Hyper-V, VMware) ou computadores físicos para a recuperação de desastre usando o Azure Site Recovery, a operação de movimentação será bloqueada. Se você quiser mover cofres para o Azure Site Recovery, leia este artigo para saber mais sobre como mover cofres manualmente.
Usar o portal do Azure para mover um cofre dos Serviços de Recuperação para outro grupo de recursos
Para mover um cofre dos Serviços de Recuperação e seus recursos associados para um grupo de recursos diferente:
Entre no portal do Azure.
Abra a lista de Cofres dos Serviços de Recuperação e selecione o cofre que você deseja mover. Quando o painel do cofre se abrir, ele aparecerá como mostrado na imagem a seguir.
Se você não vir as informações do Essentials do seu cofre, selecione o ícone suspenso. Agora você deve ver as informações do Essentials para seu cofre.
No menu de visão geral do cofre, selecione alterar ao lado do Grupo de recursos para abrir o painel Mover recursos.
No painel Mover recursos do cofre selecionado, é recomendado mover os recursos relacionados opcionais marcando a caixa de seleção conforme mostrado na imagem a seguir.
Para adicionar o grupo de recursos de destino, na lista suspensa Grupo de recursos, selecione um grupo de recursos existente ou selecione a opção criar um grupo.
Depois de adicionar o grupo de recursos, confirme a opção Eu entendo que ferramentas e scripts associados aos recursos movidos não funcionarão até que eu os atualize para usar as novas IDs de recurso e, em seguida, selecione OK para concluir a movimentação do cofre.
Usar o portal do Azure para mover um cofre dos Serviços de Recuperação para uma assinatura diferente
Você pode mover um cofre dos Serviços de Recuperação e seus recursos associados para uma assinatura diferente
Entre no portal do Azure.
Abra a lista de cofres dos Serviços de Recuperação e selecione o cofre que você deseja mover. Quando o painel do cofre se abrir, ele aparecerá como mostrado na imagem a seguir.
Se você não vir as informações do Essentials do seu cofre, selecione o ícone suspenso. Agora você deve ver as informações do Essentials para seu cofre.
No menu de visão geral do cofre, selecione alterar lado de Assinatura para abrir o painel Mover recursos.
Selecione os recursos a serem movidos. Aqui, recomendamos usar a opção Selecionar Tudo para selecionar todos os recursos opcionais listados.
Selecione a assinatura de destino na lista suspensa Assinaturas para a qual você deseja que o cofre seja movido.
Para adicionar o grupo de recursos de destino, na lista suspensa Grupo de recursos, selecione um grupo de recursos existente ou selecione a opção criar um grupo.
Selecione a opção Eu entendo que ferramentas e scripts associados aos recursos movidos não funcionarão até que eu os atualize para usar as novas IDs do recurso para confirmar e, em seguida, selecione OK.
Observação
O backup entre assinaturas (cofre RS e VMs protegidas que estejam em assinaturas diferentes) não é um cenário com suporte. Além disso, a opção de redundância de LRS (armazenamento com redundância local) para GRS (armazenamento com redundância global) e vice-versa não pode ser modificada durante a operação de movimentação de cofre.
Use portal do Azure para fazer o backup de recursos no cofre dos Serviços de Recuperação depois de mudar de região
O Azure Resource Mover é compatível com a movimentação de vários recursos entre regiões. Ao mover seus recursos de uma região para outra, você garante que seus recursos permaneçam protegidos. Como o Backup do Azure dá suporte à proteção de várias cargas de trabalho, talvez seja necessário seguir algumas etapas para manter o mesmo nível de proteção na nova região.
Para entender as etapas detalhadas para conseguir isso, consulte as seções abaixo.
Observação
- No momento, o Backup do Azure não dá suporte à movimentação de dados de backup de um cofre dos Serviços de Recuperação a outro. Para proteger seu recurso na nova região, você precisa registrar e fazer backup dele em um cofre novo ou antigo na nova região. Ao mover seus recursos de uma região para outra, os dados de backup dos cofres dos Serviços de Recuperação existentes na região mais antiga podem ser retidos/excluídos de acordo com as suas necessidades. A retenção dos dados nos cofres antigos incorre em encargos de backup proporcionais.
- Após a movimentação de recursos, para garantir a segurança contínua dos recursos de backup em um cofre configurado com a Autorização de Vários Usuários (MUA), o cofre de destino deve ser configurado com o MUA usando um Resource Guard na região de destino. Isso porque o Resource Guard e o cofre devem estar localizados na mesma região; portanto, o Resource Guard do cofre de origem não pode ser usado para habilitar o MUA no cofre de destino.
Fazer backup da máquina virtual do Azure depois de uma mudança de região
Quando uma VM (máquina virtual) do Azure protegida por um cofre dos Serviços de Recuperação é movida de uma região para outra, não é mais possível fazer backup dela no cofre mais antigo. Os backups no cofre antigo começam a falhar com os erros BCMV2VMNotFound ou ResourceNotFound. Para obter informações sobre como proteger suas VMs na nova região, consulte as seções a seguir.
Etapas para mover as VMs do Azure
Antes de mover uma VM, certifique-se de que os pré-requisitos a seguir tenham sido atendidos:
- Consulte os pré-requisitos associados à movimentação da VM e certifique-se de que a VM esteja qualificada para movimentação.
- Selecione a VM na guia Itens de backup do painel do cofre existente e escolha Interromper proteção. Depois, retenha ou exclua os dados de acordo com a sua necessidade. Quando os dados de backup de uma VM são interrompidos com uma retenção de dados, os pontos de recuperação são mantidos permanentemente e não seguem nenhuma política. Isso garante que você sempre tenha seus dados de backup prontos para restauração.
Observação
A retenção de dados no cofre mais antigo incorre em encargos de backup. Se você não quiser mais reter dados para evitar a cobrança, exclua os dados de backup retidos usando a opção Excluir dados.
- Verifique se as VMs estão ativas. Todos os discos de VMs que você precisa disponibilizar na região de destino são anexados e inicializados nas VMs.
- Certifique-se de que as VMs tenham os certificados raiz confiáveis mais recentes e uma CRL (lista de certificados revogados) atualizada. Para fazer isso:
- Nas VMs do Windows, instale as atualizações mais recentes do Windows.
- Nas VMs do Linux, consulte as diretrizes do distribuidor para garantir que os computadores tenham os certificados mais recentes e a CRL atualizada.
- Permitir conectividade de saída das VMs:
- Caso esteja usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita acesso a esses URLs.
- Caso esteja usando regras de NSG (grupo de segurança de rede) para controlar a conectividade de saída, crie essas regras de marcação de serviço.
Mover VMs do Azure
Mova sua VM para a nova região com o Azure Resource Mover.
Proteja as VMs Azure usando o Backup do Azure
Comece a proteger a sua VM em um cofre dos Serviços de Recuperação novo ou antigo na nova região. Se precisar restaurar a partir de backups mais antigos, você ainda poderá fazer isso no cofre dos Serviços de Recuperação antigo se tiver optado por manter os dados de backup.
As etapas acima devem ajudar a garantir que seus recursos também tenham backup na nova região.
Fazer backup do Compartilhamento de Arquivos do Azure depois de uma mudança de região
Hoje, o Backup do Azure oferece uma solução de gerenciamento de instantâneos para os seus Arquivos do Azure. Ou seja, você não move os dados de compartilhamento de arquivo para os cofres dos Serviços de Recuperação. Além disso, como os instantâneos não se movem com a conta de armazenamento, você terá efetivamente todos os seus backups (instantâneos) somente na região existente e protegidos pelo cofre existente. No entanto, para mover suas contas de armazenamento juntamente com os compartilhamentos de arquivos entre regiões ou criar novos compartilhamentos de arquivos na nova região, consulte as seções a seguir para garantir que eles sejam protegidos pelo Backup do Azure.
Preparar para mover o compartilhamento de arquivos do Azure
Antes de mover a conta de armazenamento, certifique-se de que os seguintes pré-requisitos tenham sido atendidos:
- Consulte os pré-requisitos para mover uma conta de armazenamento.
- Exportar e modificar um modelo de movimentação de recursos. Para obter mais informações, consulte Preparar conta de armazenamento para movimentação da região.
Mover o compartilhamento de arquivo do Azure
Para mover suas contas de armazenamento com os compartilhamentos de arquivo do Azure neles de uma região para outra, consulte Mover uma conta do Armazenamento do Microsoft Azure para outra região.
Observação
Quando o Compartilhamento de Arquivos do Azure é copiado de uma região para outra, os instantâneos associados a ele não migram com ele. Para mover os dados de instantâneos para a nova região, você precisa mover os arquivos e diretórios individuais dos instantâneos para a conta de armazenamento da nova região usando AzCopy.
Proteger o compartilhamento de arquivos do Azure usando o Backup do Azure
Comece a proteger o Compartilhamento de Arquivos do Azure copiado na nova conta de armazenamento em um cofre dos Serviços de Recuperação novo ou existente na nova região.
Depois que o Compartilhamento de Arquivos do Azure é copiado para a nova região, você pode optar por interromper a proteção e reter ou excluir os instantâneos (e os pontos de recuperação correspondentes) do Compartilhamento de Arquivos do Azure original de acordo com as suas necessidades. Para isso, escolha o seu compartilhamento de arquivo na guia Itens de backup do painel do cofre original. Quando os dados de backup do Compartilhamento de Arquivos do Azure são interrompidos com retenção de dados, os pontos de recuperação são mantidos permanentemente e não seguem nenhuma política.
Isso garante que seus instantâneos sempre estejam prontos para restauração do cofre mais antigo.
Fazer o backup do SQL Server/SAP HANA na VM do Azure depois de mover entre regiões
Quando você move uma VM que está executando servidores SQL ou SAP HANA para outra região, não é mais possível fazer backup dos bancos de dados SQL e SAP HANA dessas VMs no cofre da região anterior. Para proteger os servidores SQL e SAP HANA em execução na VM do Azure na nova região, consulte as seções a seguir.
Preparar para mover SQL Server/SAP HANA na VM do Azure
Antes de mover SQL Server/SAP HANA em execução em uma VM para uma nova região, certifique-se de que os seguintes pré-requisitos tenham sido atendidos:
- Consulte os pré-requisitos associados à movimentação da VM e certifique-se de que a VM esteja qualificada para movimentação.
- Selecione a VM na guia Itens de backup do painel do cofre existente e escolha os bancos de dados em que o backup precisa ser interrompido. Escolha Interromper proteção e retenha ou exclua os dados de acordo com a sua necessidade. Quando os dados de backup são interrompidos com retenção de dados, os pontos de recuperação são mantidos permanentemente e não seguem nenhuma política. Isso garante seus dados de backup sempre estejam prontos para restauração.
Observação
A retenção de dados no cofre mais antigo incorre em encargos de backup. Se você não quiser mais reter dados para evitar a cobrança, exclua os dados de backup retidos usando a opção Excluir dados.
- Certifique-se de que as VMs a serem movidas estão ativas. Todos os discos de VMs que você precisa disponibilizar na região de destino são anexados e inicializados nas VMs.
- Certifique-se de que as VMs tenham os certificados raiz confiáveis mais recentes e uma CRL (lista de certificados revogados) atualizada. Para fazer isso:
- Nas VMs do Windows, instale as atualizações mais recentes do Windows.
- Nas VMs do Linux, consulte as diretrizes do distribuidor e certifique-se de que os computadores tenham os certificados mais recentes e a CRL atualizada.
- Permitir conectividade de saída das VMs:
- Caso esteja usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita acesso a esses URLs.
- Caso esteja usando regras de NSG (grupo de segurança de rede) para controlar a conectividade de saída, crie essas regras de marcação de serviço.
Mover SQL Server/SAP HANA na VM do Azure
Mova sua VM para a nova região com o Azure Resource Mover.
Proteger SQL Server/SAP HANA na VM do Azure usando o Backup do Azure
Comece a proteger a VM em um cofre dos Serviços de Recuperação novo ou existente na nova região. Quando você precisar restaurar com base em seus backups mais antigos, ainda poderá fazer isso no cofre dos Serviços de Recuperação antigo.
As etapas acima ajudam a garantir que seja feito o backup dos seus recursos na nova região também.
Usar o PowerShell para mover o cofre dos Serviços de Recuperação
Para mover um cofre dos Serviços de Recuperação para outro grupo de recursos, use o cmdlet Move-AzureRMResource
. Move-AzureRMResource
requer o nome do recurso e o tipo de recurso. Você pode obter ambos do cmdlet Get-AzureRmRecoveryServicesVault
.
$destinationRG = "<destinationResourceGroupName>"
$vault = Get-AzureRmRecoveryServicesVault -Name <vaultname> -ResourceGroupName <vaultRGname>
Move-AzureRmResource -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Para mover os recursos para uma assinatura diferente, inclua o parâmetro -DestinationSubscriptionId
.
Move-AzureRmResource -DestinationSubscriptionId "<destinationSubscriptionID>" -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Depois de executar os cmdlets acima, você será solicitado a confirmar se deseja mover os recursos especificados. Digite Y para confirmar. Após uma validação bem-sucedida, o recurso será movido.
Usar a CLI para mover um cofre dos Serviços de Recuperação
Para mover um cofre dos Serviços de Recuperação para outro grupo de recursos, use o seguinte cmdlet:
az resource move --destination-group <destinationResourceGroupName> --ids <VaultResourceID>
Para mover para uma nova assinatura, forneça o parâmetro --destination-subscription-id
.
Após a migração
- Defina/verifique os controles de acesso para os grupos de recursos.
- O recurso de monitoramento e relatório de Backup precisa ser configurado novamente para o cofre após a movimentação ser concluída. A configuração anterior será perdida durante a operação de movimentação.
Mova uma máquina virtual do Azure para um cofre de serviço de recuperação diferente.
Se você quiser mover uma máquina virtual do Azure que tenha o backup do habilitado, terá duas opções. Elas dependem de seus requisitos de negócios:
- Não é necessário preservar os dados de backup anteriores
- É preciso preservar os dados de backup anteriores
Não é necessário preservar os dados de backup anteriores
Para proteger as cargas de trabalho em um novo cofre, a proteção e os dados atuais precisarão ser excluídos no cofre antigo e o backup será configurado novamente.
Aviso
A operação a seguir é destrutiva e não pode ser desfeita. Todos os dados de backup e itens de backup associados ao servidor protegido serão excluídos permanentemente. Continue com cuidado.
Pare e exclua a proteção atual no cofre antigo:
Caso queira reter dados de backup, você poderá manter a exclusão reversível ativada e continuar registrando a máquina virtual para backup em um novo cofre, depois que o item de backup for excluído temporariamente. Caso não deseje reter os dados de backup, desabilite a exclusão reversível nas propriedades do cofre (não recomendado).
Interrompa a proteção e exclua os backups do cofre atual. No menu do painel do Cofre, selecione Itens de Backup. Os itens listados aqui que precisam ser movidos para o novo cofre devem ser removidos junto com seus dados de backup. Veja como excluir itens protegidos na nuvem e excluir itens protegidos localmente.
Se estiver planejando mover os AFS (compartilhamentos de arquivos do Azure), servidores SQL ou servidores do SAP HANA, você também precisará cancelar o registro deles. No menu do painel do cofre, selecione Infraestrutura de Backup. Veja como cancelar o registro do SQL Server, cancelar o registro de uma conta de armazenamento associada aos compartilhamentos de arquivos do Azure e cancelar o registro de uma instância do SAP HANA.
Depois que eles forem removidos do cofre antigo, continue a configurar os backups para sua carga de trabalho no novo cofre.
É preciso preservar os dados de backup anteriores
Se você precisa manter os dados protegidos atuais no cofre antigo e continuar a proteção em um novo cofre, há opções limitadas para algumas das cargas de trabalho:
Para MARS, você pode parar a proteção com retenção de dados e registrar o agente no novo cofre.
- O serviço de Backup do Azure continuará a reter todos os pontos de recuperação existentes do cofre antigo.
- Você precisará pagar para manter os pontos de recuperação no cofre antigo.
- Você poderá restaurar os dados de backup somente para pontos de recuperação não expirados no cofre antigo.
- Será necessário criar uma nova réplica inicial dos dados no novo cofre.
Para uma VM do Azure, você pode parar a proteção com rentenção de dados para a VM no cofre antigo, mover a VM para outro grupo de recursos e, em seguida, proteger a VM no novo cofre. Consulte as diretrizes e limitações para mover uma VM para outro grupo de recursos.
Uma VM pode ser protegida apenas em um cofre por vez. No entanto, a VM no novo grupo de recursos pode ser protegida no novo cofre, pois ela é considerada uma VM diferente.
- O serviço de Backup do Azure manterá os pontos de recuperação cujo backup foi feito no cofre antigo.
- Você precisará pagar para manter os pontos de recuperação no cofre antigo (confira Preços de Backup do Azure para obter detalhes).
- Você poderá restaurar a VM do cofre antigo, se necessário.
- O primeiro backup no novo cofre da VM no novo recurso será uma réplica inicial.
Próximas etapas
Você pode mover vários tipos diferentes de recursos entre grupos de recursos e assinaturas.
Para saber mais, confira Mover recursos para um novo grupo de recursos ou assinatura.