Mover um cofre dos Serviços de Recuperação entre subscrições do Azure e grupos de recursos
Este artigo explica como mover um cofre dos Serviços de Recuperação configurado para o Backup do Azure entre assinaturas do Azure ou para outro grupo de recursos na mesma assinatura. Você pode usar o portal do Azure ou o PowerShell para mover um cofre dos Serviços de Recuperação.
Regiões suportadas
Todas as regiões públicas e regiões soberanas são apoiadas, exceto França Sul, França Central, Alemanha Nordeste e Alemanha Central.
Pré-requisitos para mover o cofre dos Serviços de Recuperação
- Durante a movimentação do vault entre grupos de recursos, os grupos de recursos de origem e de destino são bloqueados impedindo as operações de gravação e exclusão. Para mais informações, consulte este artigo.
- Apenas a subscrição de administrador tem as permissões para mover um cofre.
- Para mover cofres entre assinaturas, a assinatura de destino deve residir no mesmo locatário que a assinatura de origem e seu estado deve estar habilitado. Para mover um cofre para uma ID diferente do Microsoft Entra, consulte Transferir assinatura para um diretório diferente e Perguntas frequentes sobre o cofre do Serviço de Recuperação.
- Você deve ter permissão para executar operações de gravação no grupo de recursos de destino.
- Mover o cofre altera apenas o grupo de recursos. O cofre dos Serviços de Recuperação residirá no mesmo local e não poderá ser alterado.
- Você pode mover apenas um cofre dos Serviços de Recuperação, por região, de cada vez.
- Se uma VM não for movida com o cofre dos Serviços de Recuperação entre assinaturas ou para um novo grupo de recursos, os pontos de recuperação da VM atuais permanecerão intactos no cofre até expirarem.
- Quer a VM seja movida com o vault ou não, você sempre pode restaurar a VM a partir do histórico de backup retido no vault.
- O Azure Disk Encryption requer que o cofre de chaves e as VMs residam na mesma região e assinatura do Azure.
- Para mover uma máquina virtual com discos gerenciados, consulte este artigo.
- As opções para mover recursos implantados por meio do modelo Clássico diferem dependendo se você está movendo os recursos dentro de uma assinatura ou para uma nova assinatura. Para mais informações, consulte este artigo.
- As políticas de backup definidas para o cofre são mantidas depois que o cofre é movido entre assinaturas ou para um novo grupo de recursos.
- Você só pode mover um cofre que contenha qualquer um dos seguintes tipos de itens de backup. Quaisquer itens de backup de tipos não listados abaixo precisarão ser interrompidos e os dados excluídos permanentemente antes de mover o cofre.
- Máquinas Virtuais do Microsoft Azure
- Agente dos Serviços de Recuperação do Microsoft Azure (MARS)
- Servidor de Backup do Microsoft Azure (MABS)
- Data Protection Manager (DPM)
- Se você mover um cofre contendo dados de backup de VM, entre assinaturas, deverá mover suas VMs para a mesma assinatura e usar o mesmo nome de grupo de recursos de VM de destino (como era na assinatura antiga) para continuar os backups.
Nota
- Atualmente, não há suporte para mover um cofre dos Serviços de Recuperação criptografados CMK entre grupos de recursos e assinaturas.
- Não há suporte para mover cofres dos Serviços de Recuperação para o Backup do Azure entre regiões do Azure.
Se você configurou VMs (Azure IaaS, Hyper-V, VMware) ou máquinas físicas para recuperação de desastres usando o Azure Site Recovery, a operação de movimentação será bloqueada. Se quiser mover cofres para o Azure Site Recovery, leia este artigo para saber mais sobre como mover cofres manualmente.
Usar o portal do Azure para mover o cofre dos Serviços de Recuperação para um grupo de recursos diferente
Para mover um cofre dos Serviços de Recuperação e seus recursos associados para um grupo de recursos diferente:
Inicie sessão no portal do Azure.
Abra a lista de cofres dos Serviços de Recuperação e selecione o cofre que deseja mover. Quando o painel do vault é aberto, ele aparece como mostrado na imagem a seguir.
Se não vir as informações do Essentials para o seu cofre, selecione o ícone pendente. Agora você deve ver as informações do Essentials para seu cofre.
No menu de visão geral do cofre, selecione alterar ao lado do grupo Recursos para abrir o painel Mover recursos .
No painel Mover recursos, para o cofre selecionado, é recomendável mover os recursos relacionados opcionais marcando a caixa de seleção, conforme mostrado na imagem a seguir.
Para adicionar o grupo de recursos de destino, na lista suspensa Grupo de recursos , selecione um grupo de recursos existente ou selecione criar uma nova opção de grupo .
Depois de adicionar o grupo de recursos, confirme se entendo que as ferramentas e os scripts associados aos recursos movidos não funcionarão até que eu os atualize para usar a opção de IDs de novos recursos e, em seguida, selecione OK para concluir a movimentação do cofre.
Usar o portal do Azure para mover o cofre dos Serviços de Recuperação para uma assinatura diferente
Você pode mover um cofre dos Serviços de Recuperação e seus recursos associados para uma assinatura diferente
Inicie sessão no portal do Azure.
Abra a lista de cofres dos Serviços de Recuperação e selecione o cofre que deseja mover. Quando o painel do cofre é aberto, ele aparece como mostra a imagem a seguir.
Se não vir as informações do Essentials para o seu cofre, selecione o ícone pendente. Agora você deve ver as informações do Essentials para seu cofre.
No menu de visão geral do cofre, selecione alterar ao lado de Assinatura para abrir o painel Mover recursos.
Selecione os recursos a serem movidos, aqui recomendamos que você use a opção Selecionar tudo para selecionar todos os recursos opcionais listados.
Selecione a assinatura de destino na lista suspensa Assinatura , para onde você deseja que o cofre seja movido.
Para adicionar o grupo de recursos de destino, na lista suspensa Grupo de recursos , selecione um grupo de recursos existente ou selecione criar uma nova opção de grupo .
Selecione Eu entendo que as ferramentas e scripts associados a recursos movidos não funcionarão até que eu atualize-os para usar a opção de novas IDs de recurso para confirmar e, em seguida, selecione OK.
Nota
O backup entre assinaturas (o cofre RS e as VMs protegidas estão em assinaturas diferentes) não é um cenário compatível. Além disso, a opção de redundância de armazenamento do armazenamento redundante local (LRS) para o armazenamento redundante global (GRS) e vice-versa não pode ser modificada durante a operação de movimentação do cofre.
Usar o portal do Azure para fazer backup de recursos no cofre dos Serviços de Recuperação depois de mover entre regiões
O Azure Resource Mover dá suporte à movimentação de vários recursos entre regiões. Ao mover seus recursos de uma região para outra, você pode garantir que seus recursos permaneçam protegidos. Como o Backup do Azure dá suporte à proteção de várias cargas de trabalho, talvez seja necessário executar algumas etapas para continuar tendo o mesmo nível de proteção na nova região.
Para entender as etapas detalhadas para conseguir isso, consulte as seções abaixo.
Nota
- Atualmente, o Backup do Azure não oferece suporte à movimentação de dados de backup de um cofre dos Serviços de Recuperação para outro. Para proteger seu recurso na nova região, o recurso precisa ser registrado e copiado para um cofre novo/existente na nova região. Ao mover seus recursos de uma região para outra, os dados de backup em seus cofres de Serviços de Recuperação existentes na região mais antiga podem ser retidos/excluídos com base em sua necessidade. Se optar por reter dados nos cofres antigos, incorrerá em encargos de cópia de segurança em conformidade.
- Após a movimentação de recursos, para garantir a segurança contínua dos recursos de backup em um cofre configurado com MUA (Autorização Multiusuário), o cofre de destino deve ser configurado com MUA usando um Resource Guard na região de destino. Isso ocorre porque o Resource Guard e o vault devem estar localizados na mesma região; portanto, o Resource Guard para o cofre de origem não pode ser usado para habilitar o MUA no cofre de destino.
Fazer backup da Máquina Virtual do Azure depois de mover entre regiões
Quando uma máquina virtual (VM) do Azure que foi protegida por um cofre dos Serviços de Recuperação é movida de uma região para outra, não é mais possível fazer backup no cofre mais antigo. Os backups no cofre antigo começarão a falhar com os erros BCMV2VMNotFound ou ResourceNotFound. Para obter informações sobre como proteger suas VMs na nova região, consulte as seções a seguir.
Preparar-se para mover VMs do Azure
Antes de mover uma VM, verifique se os seguintes pré-requisitos são atendidos:
- Consulte os pré-requisitos associados à movimentação de VM e verifique se a VM está qualificada para movimentação.
- Selecione a VM na guia Itens de backup do painel do cofre existente e selecione Parar proteção seguida de reter/excluir dados de acordo com sua necessidade. Quando os dados de backup de uma VM são interrompidos com dados de retenção, os pontos de recuperação permanecem para sempre e não aderem a nenhuma política. Isso garante que você sempre tenha seus dados de backup prontos para restauração.
Nota
A retenção de dados no cofre mais antigo incorrerá em cobranças de backup. Se você não deseja mais reter dados para evitar a cobrança, você precisa excluir os dados de backup retidos usando a opção Excluir dados.
- Verifique se as VMs estão ativadas. Todos os discos das VMs que precisam estar disponíveis na região de destino são anexados e inicializados nas VMs.
- Verifique se as VMs têm os certificados raiz confiáveis mais recentes e uma lista de revogação de certificados (CRL) atualizada. Para tal:
- Em VMs do Windows, instale as atualizações mais recentes do Windows.
- Em VMs Linux, consulte as orientações do distribuidor para garantir que as máquinas tenham os certificados e a CRL mais recentes.
- Permitir conectividade de saída de VMs:
- Se você estiver usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita o acesso a essas URLs.
- Se estiver a utilizar regras de grupo de segurança de rede (NSG) para controlar a conectividade de saída, crie estas regras de etiqueta de serviço.
Mover VMs do Azure
Mova sua VM para a nova região usando o Azure Resource Mover.
Proteger VMs do Azure usando o Backup do Azure
Comece a proteger sua VM em um cofre dos Serviços de Recuperação novo ou existente na nova região. Quando precisar restaurar a partir de backups mais antigos, você ainda poderá fazê-lo a partir do cofre antigo dos Serviços de Recuperação, caso tenha optado por reter os dados de backup.
As etapas acima devem ajudar a garantir que seus recursos também estejam sendo copiados na nova região.
Fazer backup do Compartilhamento de Arquivos do Azure depois de mover entre regiões
O Backup do Azure oferece hoje mesmo uma solução de gerenciamento de instantâneo para seus Arquivos do Azure. Isso significa que você não move os dados de compartilhamento de arquivos para os cofres dos Serviços de Recuperação. Além disso, como os snapshots não são movidos com sua conta de armazenamento, você terá efetivamente todos os seus backups (snapshots) apenas na região existente e protegidos pelo cofre existente. No entanto, para mover suas Contas de Armazenamento junto com os compartilhamentos de arquivos entre regiões ou criar novos compartilhamentos de arquivos na nova região, consulte as seções a seguir para garantir que eles estejam protegidos pelo Backup do Azure.
Preparar para mover o Compartilhamento de Arquivos do Azure
Antes de mover a Conta de Armazenamento, verifique se os seguintes pré-requisitos foram atendidos:
- Consulte os pré-requisitos para mover a conta de armazenamento.
- Exporte e modifique um modelo de Movimentação de Recursos. Para obter mais informações, consulte Preparar conta de armazenamento para movimentação de região.
Mover Compartilhamento de Arquivos do Azure
Para mover suas Contas de Armazenamento junto com os Compartilhamentos de Arquivos do Azure nelas de uma região para outra, consulte Mover uma conta de Armazenamento do Azure para outra região.
Nota
Quando o Compartilhamento de Arquivos do Azure é copiado entre regiões, seus instantâneos associados não são movidos junto com ele. Para mover os dados de instantâneos para a nova região, você precisa mover os arquivos e diretórios individuais dos instantâneos para a Conta de Armazenamento na nova região usando o AzCopy.
Proteger o compartilhamento de arquivos do Azure usando o Backup do Azure
Comece a proteger o Compartilhamento de Arquivos do Azure copiado para a nova Conta de Armazenamento em um cofre dos Serviços de Recuperação novo ou existente na nova região.
Depois que o Compartilhamento de Arquivos do Azure for copiado para a nova região, você poderá optar por interromper a proteção e reter/excluir os instantâneos (e os pontos de recuperação correspondentes) do Compartilhamento de Arquivos do Azure original de acordo com sua necessidade. Isso pode ser feito selecionando seu compartilhamento de arquivos na guia Itens de backup do painel do cofre original. Quando os dados de backup do Compartilhamento de Arquivos do Azure são interrompidos com dados de retenção, os pontos de recuperação permanecem para sempre e não aderem a nenhuma política.
Isso garante que você sempre terá seus snapshots prontos para restauração a partir do cofre mais antigo.
Fazer backup do SQL Server/SAP HANA na VM do Azure depois de mover entre regiões
Quando você move uma VM executando servidores SQL ou SAP HANA para outra região, os bancos de dados SQL e SAP HANA nessas VMs não podem mais ser copiados no cofre da região anterior. Para proteger os servidores SQL e SAP HANA em execução na VM do Azure na nova região, consulte as seções a seguir.
Preparar para mover o SQL Server/SAP HANA na VM do Azure
Antes de mover o SQL Server/SAP HANA em execução em uma VM para uma nova região, verifique se os seguintes pré-requisitos são atendidos:
- Consulte os pré-requisitos associados à movimentação de VM e verifique se a VM está qualificada para movimentação.
- Selecione a VM na guia Itens de backup do painel do cofre existente e selecione os bancos de dados para os quais o backup precisa ser interrompido. Selecione Parar proteção seguido de reter/excluir dados de acordo com sua necessidade. Quando os dados de backup são interrompidos com dados de retenção, os pontos de recuperação permanecem para sempre e não aderem a nenhuma política. Isso garante que você sempre tenha seus dados de backup prontos para restauração.
Nota
A retenção de dados no cofre mais antigo incorrerá em cobranças de backup. Se você não deseja mais reter dados para evitar a cobrança, você precisa excluir os dados de backup retidos usando a opção Excluir dados.
- Verifique se as VMs a serem movidas estão ativadas. Todos os discos de VMs que precisam estar disponíveis na região de destino são anexados e inicializados nas VMs.
- Verifique se as VMs têm os certificados raiz confiáveis mais recentes e uma lista de revogação de certificados (CRL) atualizada. Para tal:
- Em VMs do Windows, instale as atualizações mais recentes do Windows.
- Em VMs Linux, consulte as orientações do distribuidor e verifique se as máquinas têm os certificados e a CRL mais recentes.
- Permitir conectividade de saída de VMs:
- Se você estiver usando um proxy de firewall baseado em URL para controlar a conectividade de saída, permita o acesso a essas URLs.
- Se estiver a utilizar regras de grupo de segurança de rede (NSG) para controlar a conectividade de saída, crie estas regras de etiqueta de serviço.
Mover o SQL Server/SAP HANA na VM do Azure
Mova sua VM para a nova região usando o Azure Resource Mover.
Proteger o SQL Server/SAP HANA na VM do Azure usando o Backup do Azure
Comece a proteger a VM em um cofre de Serviços de Recuperação novo/existente na nova região. Quando precisar restaurar a partir de backups mais antigos, ainda poderá fazê-lo a partir do cofre antigo dos Serviços de Recuperação.
As etapas acima devem ajudar a garantir que seus recursos também estejam sendo copiados na nova região.
Usar o PowerShell para mover o cofre dos Serviços de Recuperação
Para mover um cofre dos Serviços de Recuperação para outro grupo de recursos, use o Move-AzureRMResource
cmdlet. Move-AzureRMResource
Requer o nome do recurso e o tipo de recurso. Você pode obter ambos do Get-AzureRmRecoveryServicesVault
cmdlet.
$destinationRG = "<destinationResourceGroupName>"
$vault = Get-AzureRmRecoveryServicesVault -Name <vaultname> -ResourceGroupName <vaultRGname>
Move-AzureRmResource -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Para mover os recursos para uma assinatura diferente, inclua o -DestinationSubscriptionId
parâmetro.
Move-AzureRmResource -DestinationSubscriptionId "<destinationSubscriptionID>" -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID
Depois de executar os cmdlets acima, você será solicitado a confirmar que deseja mover os recursos especificados. Digite Y para confirmar. Após uma validação bem-sucedida, o recurso é movido.
Usar a CLI para mover o cofre dos Serviços de Recuperação
Para mover um cofre dos Serviços de Recuperação para outro grupo de recursos, use o seguinte cmdlet:
az resource move --destination-group <destinationResourceGroupName> --ids <VaultResourceID>
Para mover para uma nova assinatura, forneça o --destination-subscription-id
parâmetro.
Pós-migração
- Definir/verificar os controles de acesso para os grupos de recursos.
- O recurso de monitoramento e relatório de backup precisa ser configurado novamente para o cofre após a conclusão da mudança. A configuração anterior será perdida durante a operação de movimentação.
Mova uma máquina virtual do Azure para um cofre de serviço de recuperação diferente.
Se você quiser mover uma máquina virtual do Azure que tenha o backup habilitado, terá duas opções. Eles dependem dos requisitos do seu negócio:
- Não é necessário preservar os dados de backup anteriores
- Tem de preservar os dados de cópias de segurança anteriores
Não é necessário preservar os dados de backup anteriores
Para proteger cargas de trabalho em um novo cofre, a proteção e os dados atuais precisarão ser excluídos no cofre antigo e o backup será configurado novamente.
Aviso
A operação a seguir é destrutiva e não pode ser desfeita. Todos os dados de backup e itens de backup associados ao servidor protegido serão excluídos permanentemente. Avance com cuidado.
Pare e exclua a proteção atual no cofre antigo:
Se você quiser reter dados de backup, você pode manter a exclusão suave ativada e continuar a registrar a máquina virtual para backup em um novo cofre, uma vez que o item de backup é excluído suavemente. Caso não queira reter os dados de backup, desative a exclusão suave nas propriedades do vault (não recomendado).
Pare a proteção e exclua backups do cofre atual. No menu do painel do Vault, selecione Itens de backup. Os itens listados aqui que precisam ser movidos para o novo cofre devem ser removidos junto com seus dados de backup. Veja como excluir itens protegidos na nuvem e excluir itens protegidos no local.
Se você estiver planejando mover AFS (compartilhamentos de arquivos do Azure), servidores SQL ou servidores SAP HANA, também precisará cancelá-los. No menu do painel do vault, selecione Infraestrutura de backup. Veja como cancelar o registro do servidor SQL, cancelar o registro de uma conta de armazenamento associada a compartilhamentos de arquivos do Azure e cancelar o registro de uma instância do SAP HANA.
Depois que eles forem removidos do cofre antigo, continue a configurar os backups para sua carga de trabalho no novo cofre.
Tem de preservar os dados de cópias de segurança anteriores
Se você precisar manter os dados protegidos atuais no cofre antigo e continuar a proteção em um novo cofre, há opções limitadas para algumas das cargas de trabalho:
Para o MARS, você pode interromper a proteção com a retenção de dados e registrar o agente no novo cofre.
- O serviço de Backup do Azure continuará a manter todos os pontos de recuperação existentes do cofre antigo.
- Você precisará pagar para manter os pontos de recuperação no cofre antigo.
- Você poderá restaurar os dados de backup somente para pontos de recuperação não expirados no cofre antigo.
- Uma nova réplica inicial dos dados precisará ser criada no novo cofre.
Para uma VM do Azure, você pode interromper a proteção com a retenção de dados para a VM no cofre antigo, mover a VM para outro grupo de recursos e, em seguida, proteger a VM no novo cofre. Consulte as orientações e limitações para mover uma VM para outro grupo de recursos.
Uma VM pode ser protegida em apenas um cofre de cada vez. No entanto, a VM no novo grupo de recursos pode ser protegida no novo cofre, pois é considerada uma VM diferente.
- O serviço de Backup do Azure manterá os pontos de recuperação cujo backup foi feito no cofre antigo.
- Você precisará pagar para manter os pontos de recuperação no cofre antigo (consulte os preços do Backup do Azure para obter detalhes).
- Você poderá restaurar a VM, se necessário, a partir do cofre antigo.
- O primeiro backup no novo cofre da VM no novo recurso será uma réplica inicial.
Próximos passos
Você pode mover muitos tipos diferentes de recursos entre grupos de recursos e assinaturas.
Para obter mais informações, consulte Mover recursos para um novo grupo de recursos ou subscrição.