使用已啟用客戶自控金鑰 (CMK) 的磁碟來複寫機器
本文說明如何將有受控磁碟已啟用客戶自控金鑰 (CMK) 的 Azure VM 從一個 Azure 區域複寫到另一個區域。
必要條件
您必須先在目標區域中為目標訂用帳戶建立磁碟加密集,才能為受控磁碟可用 CMK 的虛擬機器啟用複寫。
注意
Azure Site Recovery 不支援在受保護時輪替加密虛擬機的密鑰。 如果您輪替金鑰,則必須停用並重新啟用複寫。
啟用複寫
使用下列程序複寫已啟用客戶管理金鑰 (CMK) 的磁碟的電腦。 例如,主要 Azure 區域為東亞,而次要區域為東南亞。
在 [保存庫 > Site Recovery]> 頁面的 [Azure 虛擬機器] 底下,選取 [啟用複寫]。
在 [啟用複寫] 頁面的 [來源] 下,執行下列動作:
區域:選取您想要保護 VM 的 Azure 區域。 例如,來源位置為 [東亞]。
訂用帳戶:選取來源 VM 所屬的訂用帳戶。 這可以是您的復原服務保存庫所在的相同 Microsoft Entra 租用戶內的任何訂用帳戶。
資源群組:選取來源虛擬機器所屬的資源群組。 下一個步驟會列出所選取資源群組中的所有 VM,以進行保護。
虛擬機器部署模型:選取來源機器的 Azure 部署模型。
可用性區域之間的災害復原:如果您想要在虛擬機器上執行區域性災害復原,請選取 [是]。
選取 [下一步]。
在 [虛擬機器] 中,選取您想要複寫的每部 VM。 您只能選取可以啟用複寫的機器。 您最多可以選取十部 VM。 然後選取下一步。
在 [複寫設定] 中,您可以進行下列設定:
在 [位置和資源群組] 下,
目標位置:選取必須複寫之來源虛擬機器資料的位置。 視選取的機器位置而定,Site Recovery 將提供適當目標區域的清單。 建議您讓目標位置與復原服務保存庫位置保持相同。
目標訂用帳戶:選取用於災害復原的目標訂用帳戶。 根據預設,目標訂用帳戶會與來源訂用帳戶相同。
目標資源群組:選取您所有已複寫的虛擬機器所屬的資源群組。
- 根據預設,Site Recovery 會在目標區域中建立名稱尾碼為 asr 的新資源群組。
- 如果 Site Recovery 建立的資源群組已經存在,則會重複使用。
- 您可以自訂資源群組設定。
- 目標資源群組的位置可以是任何 Azure 區域,但是裝載您來源 VM 所在的區域除外。
注意
您也可以透過選取 [新建] 來建立新的目標資源群組。
在 [網路] 下,
容錯移轉虛擬網路:選取容錯移轉虛擬網路。
注意
您也可以透過選取 [新建] 來建立新的容錯移轉虛擬網路。
容錯移轉子網路:選取容錯移轉子網路。
儲存體:選取 [檢視/編輯儲存體設定]。 [自訂目標設定] 頁面隨即開啟。
- 複本受控磁碟:Site Recovery 會在目標區域中建立新的複本受控磁碟,以建立具有與來源 VM 受控磁碟相同的儲存體類型 (標準或進階) 之來源 VM 受控磁碟的鏡像。
- 快取儲存體:Site Recovery 需要在來源區域中有額外的儲存體帳戶 (稱為快取儲存體)。 在來源 VM 上發生的所有變更都會受到追蹤,並傳送到快取儲存體帳戶,然後複寫到目標位置。
可用性選項:在目標區域中為您的 VM 選取適當的可用性選項。 如果 Site Recovery 所建立的可用性設定組已存在,將會加以重複使用。 選取 [檢視/編輯可用性選項],以檢視或編輯可用性選項。
注意
- 設定目標可用性設定組時,請針對不同大小的 VM 設定不同的可用性設定組。
- 啟用複寫之後,便無法變更可用性類型 - 單一執行個體、可用性設定組或可用性區域。 您必須停用後再啟用複寫,才能變更可用性類型。
容量保留:容量保留可讓您在復原區域中購買容量,然後容錯移轉至該容量。 您可以建立新的容量保留群組,也可以使用現有的容量保留群組。 如需詳細資訊,請參閱容量保留運作方式 (部分機器翻譯)。 選取 [檢視或編輯容量保留群組指派],以修改容量保留設定。 在觸發容錯移轉時,系統會在指派的容量保留群組中建立新的 VM。
儲存體加密設定:Site Recovery 需要將磁碟加密集 (DES) 用於複本和目標受控磁碟。 您必須在目標訂用帳戶和目標區域中預先建立磁碟加密集,才能啟用複寫。 根據預設,不會選取磁碟加密集。 您必須選取 [檢視/編輯設定],才能選擇每個來源磁碟的磁碟加密集。
注意
請確定目標資源群組中存在目標 DES,且目標 DES 具有相同區域中 Key Vault 的 Get、Wrap Key、Unwrap Key 存取權。
選取 [下一步]。
在 [管理] 中,執行下列動作:
- 在 [複寫原則] 下,
- 複寫原則:選取複寫原則。 定義復原點保留歷程記錄和應用程式一致快照集頻率的設定。 根據預設,Site Recovery 會建立新的複寫原則,預設設定為保留復原點 24 小時。
- 複寫群組:建立複寫群組來將 VM 複寫在一起,以產生多重 VM 一致復原點。 請注意,啟用多重 VM 一致性可能會影響工作負載的效能,並且僅當機器執行相同的工作負載並且您需要跨多台機器保持一致性時才應使用。
- 在 [延伸模組設定] 下,
- 選取 [更新設定] 和 [自動化帳戶]。
- 在 [複寫原則] 下,
選取下一個
在 [檢閱] 中,檢閱 VM 設定,然後選取 [啟用複寫]。
注意
在初始複寫期間,狀態可能需要一些時間才會重新整理,其間不會有明顯的進展。 按一下 [重新整理] 以取得最新狀態。
常見問題集
我已在現有的複寫項目上啟用 CMK,如何確保 CMK 也會套用至目標區域?
您可以找出複本受控磁碟 (由 Azure Site Recovery 在目標區域中建立) 的名稱,並將 DES 連結至此複本磁碟。 不過,將其連結之後,您將無法在 [磁碟] 刀鋒視窗中看到 DES 詳細資料。 或者,您可以選擇停用 VM 的複寫,然後重新加以啟用。 這樣可確保您會在複寫項目的 [磁碟] 刀鋒視窗中看到 DES 和金鑰保存庫詳細資料。
我已將已啟用 CMK 的新磁碟新增至複寫項目。 如何使用 Azure Site Recovery 來複寫此磁碟?
您可以使用 PowerShell 將啟用 CMK 的新磁碟新增至現有的複寫項目。 尋找程式碼片段以取得指引:
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
我已啟用平台和客戶自控金鑰,如何保護我的磁碟?
Site Recovery 支援透過平台和客戶自控金鑰啟用雙重加密。 依照本文中的指示保護您的機器。 您必須事先在目標區域中建立已啟用雙重加密的 DES。 為這類 VM 啟用複寫時,您可以將此 DES 提供給 Site Recovery。
下一步
- 深入了解執行測試容錯移轉。