北欧有一个带有 Bitlocker 的 Azure VM 加密磁盘。一切都在西欧得到了很好的复制。在进行测试故障转移时,出现以下错误。
故障转移错误:ID28031 错误消息:无法在资源组“XXXX-Destination-RG”下创建虚拟机 XXX-AZ-WEB01-test。Azure 错误消息:“密钥保管库https://XXX-keyvault-ne.vault.azure.net/keys/Bitlocker/XXXX尚未启用卷加密或提供的保管库 ID 与 /subscriptions/XXXX-XX 不匹配-XXXX-XXX-XXXX/resourceGroups/XXX-Destination-RG/providers/Microsoft.KeyVault/vaults/XXX-KEYVAULT-WE的真实资源id。(配置失败)'。
事情已经到位,显示错误。
源和目标 Key Vault 中都启用了卷加密。
用户已根据此文档分配了所有权限。
提前致谢。
基于错误消息Failover failed with Error ID 28031 due to Quota 并检查您是否尝试将故障转移到不同的资源组或密钥保管库?还原虚拟机并再次使用现有密钥对其进行加密时,尝试将密钥存储在目标密钥库中
如果需要用户 KeyVault 权限,请进行交叉检查,如https://docs.microsoft.com/en-us/azure/site-recovery/azure-to-azure-how-to-enable-replication-ade-vms#required中所述-用户权限。在访问策略下启用提到的 KeyVault 权限(主要和恢复)时,请在高级访问策略下启用卷加密(以使故障转移工作)。还尝试手动创建启用复制成功的资源组和存储帐户帖子。
KeyVault 中有一些限制导致故障转移失败:https ://github.com/Azure/azure-cli/issues/4318
请让我们知道上述内容是否有帮助,或者您在此问题上需要进一步的帮助。
错误是创建了目标 KeyVault 并手动导入了密钥。目标 Keyvault 必须由下面提供的脚本创建。
一旦我通过脚本创建了目标 KeyVault,一切都会顺利进行。