IBM Cloud Docs
Migração segura de dados para Hyper Protect Virtual Servers da VPC para o local

Migração segura de dados para Hyper Protect Virtual Servers da VPC para o local

Este guia abrangente o orienta no processo de migração segura de dados da sua instância do Hyper Protect Virtual Servers que está sendo executada no IBM Cloud VPC para um ambiente local.

Hyper Protect Virtual Servers os volumes de dados na nuvem são totalmente criptografados usando valores de semente fornecidos pelo usuário, garantindo que os dados possam ser descriptografados apenas pelo usuário de origem. Esses volumes criptografados podem ser transferidos para um ambiente no local, preservando a total confidencialidade. A descriptografia dos volumes transferidos só é possível em uma implementação local do IBM Confidential Computing Container Runtime ou do IBM Confidential Computing Container Runtime for Red Hat Virtualization Solutions, porque a senha de descriptografia LUKS é gerada exclusivamente dentro do limite do Secure Execution da instância do HPVS. O limite do Secure Execution foi projetado para proteger os segredos na memória contra adulteração e inspeção, incluindo despejo de memória ou tentativas de acesso por administradores de sistema ou pelo hipervisor. Como resultado, as chaves de criptografia e as senhas permanecem isoladas e protegidas durante todo o ciclo de vida da instância do HPVS.

As etapas de migração descritas neste guia são válidas somente até a janela End of Service (EOS). Para obter mais informações, consulte o anúncio de descontinuação do serviço.

Pré-requisitos

Certifique-se de que você tenha o seguinte:

  • VPC SE VSI Conta IBM Cloud ativa com instância HPVS

  • VPC NON SE VSI Uma instância de servidor virtual em execução em IBM Cloud com o pacote qemu-utils instalado

  • VPC NON SE VSI Espaço de armazenamento suficiente para acomodar os snapshots de volume na máquina a partir da qual você faz ssh para o VSI

  • VPC NON SE VSI VPC SE VSI Acesso administrativo a ambientes na nuvem e no local

  • Arquivos originais de contrato e semente que são usados para a implementação do HPVS em IBM Cloud

  • Verificação de backup: Confirme se você tem backups recentes de seus dados na instância do HPVS (implantação IBM Cloud )

  • Planejamento do tempo de inatividade: Recomenda-se agendar uma janela de manutenção e evitar modificações no volume durante a migração.

  • Conectividade de rede: Garanta um mecanismo de transferência seguro (VPN, link direto ou transferência segura de arquivos) entre a máquina para o instantâneo do volume e a máquina local

  • Ferramentas necessárias: Instale o qemu-utils em sua instância de servidor virtual:

    • Para Ubuntu ou Debian:

      sudo apt-get update && sudo apt-get install -y qemu-utils

    • Para RHEL ou CentOS:

      sudo yum install -y qemu-img

Diagrama de fluxo de trabalho de migração

Diagrama de fluxo de trabalho de migração
Diagrama de fluxo de trabalho de migração

Procedimento

Etapa 1: Tirar o instantâneo do volume de disco criptografado

Tire um instantâneo de volume do volume de disco criptografado que está anexado à instância do HPVS. Para obter mais informações, consulte Criação de snapshots em Block Storage for VPC.

Etapa 2: criação de uma instância de servidor virtual com o QEMU usando o snapshot

Crie uma instância de servidor virtual importando o instantâneo. Para obter mais informações, consulte Criação de uma instância de servidor virtual no console.

Etapa 3: identificar o local do volume

  1. SSH em sua instância de servidor virtual:

    ssh -i /path/to/private_key user@<VSI_IP_ADDRESS>

  2. Execute o comando lsblk para listar todos os dispositivos de bloco:

    lsblk

  3. Identifique seu volume na saída:

    Saída de exemplo:

    NAME    MAJ:MIN RM  SIZE RO TYPE MOUNTPOINTS
vda     254:0    0  100G  0 disk
├─vda1  254:1    0 99.9G  0 part /
├─vda14 254:14   0    3M  0 part
└─vda15 254:15   0  124M  0 part /boot/efi
vdb     254:16   0  368K  0 disk
vdc     254:32   0   44K  0 disk
vdd     254:48   0   10G  0 disk              ← new volume
├─vdd1  254:49   0   99M  0 part
└─vdd2  254:50   0  9.9G  0 part

    O novo volume é normalmente o último dispositivo listado (vdd neste exemplo).

  4. Anote o caminho do dispositivo (exemplo: /dev/vdd) para uso na próxima etapa.

Etapa 4: criar um instantâneo de volume

Use as ferramentas do QEMU para criar um instantâneo compactado do volume.

  1. Crie um diretório para armazenar o instantâneo:

    sudo mkdir -p /var/lib/libvirt/images/hpvs/snap-image
cd /var/lib/libvirt/images/hpvs/snap-image

  2. Crie o snapshot usando qemu-img:

    sudo qemu-img convert -p -f raw -O qcow2 /dev/vdd vdd.qcow2

    Parâmetros do comando:

    • -p: Mostrar o progresso durante a conversão
    • -f raw: Formato de origem (dispositivo de bloco bruto)
    • -O qcow2: Formato de saída ( QCOW2 imagem compactada)
    • /dev/vdd: Dispositivo de origem (substitua pelo caminho do seu dispositivo)
    • vdd.qcow2: Nome do arquivo de saída

    Esse processo pode levar um tempo considerável, dependendo do tamanho do volume. Um volume de 10 GB normalmente leva de 5 a 15 minutos.

  3. Verifique se o snapshot foi criado com êxito:

    ls -lh vdd.qcow2
qemu-img info vdd.qcow2

    Resultado esperado:

    image: vdd.qcow2
file format: qcow2
virtual size: 10 GiB (10737418240 bytes)
disk size: 2.5 GiB
cluster_size: 65536

Etapa 5: Transferir o snapshot para o local

Transfira com segurança o arquivo de instantâneo para seu ambiente local.

scp vdd.qcow2 user@on-premises-host:/var/lib/libvirt/images/hpvs/snap-image/

Etapa 6: Configurar o servidor virtual no local

Atualize a configuração do servidor virtual local para usar o volume migrado.

  1. Localize o arquivo de configuração XML de seu domínio:

    • Para HPVS: hpvsnew.xml
    • Para HPCR: hpcrnew.xml

  2. Edite o arquivo XML para adicionar ou atualizar a configuração do disco:

    Para HPVS (hpvsnew.xml):

    <domain type='kvm'>
  <name>hpvs-migrated</name>


  <devices>



    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' iommu='on'/>
      <source file='/var/lib/libvirt/images/hpvs/snap-image/vdd.qcow2'/>
      <target dev='vdb' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </disk>
  </devices>
</domain>

    Para HPCR (hpcrnew.xml):

    
<domain type='kvm'>
  <name>hpcr-migrated</name>


  <devices>



    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' iommu='on'/>
      <source file='/var/lib/libvirt/images/hpvs/snap-image/vdd.qcow2'/>
      <target dev='vdb' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </disk>
  </devices>
</domain>

    Parâmetros de configuração:

    • type='file': A origem do disco é um arquivo
    • device='disk': O tipo de dispositivo é um disco
    • driver name='qemu' type='qcow2': Use o driver QEMU com o formato QCOW2
    • cache='none': Desativar o armazenamento em cache para melhorar a integridade dos dados
    • iommu='on': Ativar IOMMU para segurança
    • target dev='vdb': Nome do dispositivo dentro do convidado
    • bus='virtio': Use VirtIO para obter um melhor desempenho

  3. Certifique-se de que você tenha o contrato original e os arquivos seed usados durante a implementação inicial do HPVS.