مشاركة عبر

النسخ الاحتياطي واستعادة أجهزة Azure الظاهرية المشفرة

  • مقالة

توضح هذه المقالة كيفية إجراء نسخ احتياطي واستعادة أجهزة Azure الظاهرية (VM) التي تعمل بنظام Windows أو Linux وتحتوي على أقراص مشفرة باستخدام خدمة Azure Backup. للحصول على مزيد من المعلومات، راجع تشفير النسخ الاحتياطية لجهاز Azure الظاهري.

السيناريوهات المدعومة للنسخ الاحتياطي واستعادة أجهزة Azure الظاهرية المشفرة

يصف هذا القسم السيناريوهات المدعومة للنسخ الاحتياطي واستعادة أجهزة Azure الظاهرية المشفرة.

التشفير باستخدام المفاتيح المُدارة بواسطة النظام الأساسي

بشكل افتراضي، يتم تشفير جميع الأقراص في الأجهزة الظاهرية تلقائيا عند الراحة باستخدام مفاتيح مدارة بواسطة النظام الأساسي (PMK) التي تستخدم تشفير خدمة التخزين. يمكنك إجراء نسخ احتياطي لهذه الأجهزة الظاهرية باستخدام Azure Backup دون أي إجراءات محددة مطلوبة لدعم التشفير من جانبك. لمزيد من المعلومات حول التشفير باستخدام المفاتيح المدارة بواسطة النظام الأساسي، راجع هذه المقالة.

أقراص مشفرة

تشفير باستخدام مفاتيح مُدارة بواسطة العميل

عند تشفير الأقراص باستخدام مفاتيح مُدارة بواسطة العميل (CMK)، يتم تخزين المفتاح المستخدم لتشفير الأقراص في Azure Key Vault ويمكنك إدارته. يختلف تشفير خدمة التخزين (SSE) باستخدام المفاتيح المدارة بواسطة العميل عن تشفير قرص Azure (ADE). يستخدم تشفير قرص Azure أدوات التشفير لنظام التشغيل. يقوم تشفير خدمة التخزين SSE بتشفير البيانات في خدمة التخزين، مما يتيح لك استخدام أي نظام تشغيل أو صور للأجهزة الظاهرية لديك.

لا تحتاج إلى تنفيذ أي إجراءات صريحة للنسخ الاحتياطي أو استعادة الأجهزة الظاهرة التي تستخدم مفاتيح مدارة بواسطة العميل لتشفير الأقراص الخاصة بهم. سيتم تشفير بيانات النسخ الاحتياطي لهذه الأجهزة الظاهرية المخزنة في المخزن باستخدام نفس الطرق التشفير المستخدمة في المخزن.

لمزيد من المعلومات حول تشفير الأقراص المُدارة باستخدام المفاتيح المدارة بواسطة العميل، راجع هذه المقالة.

‏‏دعم التشفير باستخدام تشفير قرص Azure

تدعم Azure Backup النسخ الاحتياطي لأجهزة Azure الظاهرية التي تم تشفير أقراص البيانات / نظام التشغيل الخاصة بها باستخدام تشفير قرص Azure (ADE). يستخدم تشفير قرص Azure BitLocker لتشفير أجهزة Windows الظاهرية وميزة dm-crypt لأجهزة Linux الظاهرية. يتكامل تشفير قرص Azure أيضًا مع Azure Key Vault لإدارة مفاتيح تشفير القرص والأسرار. يمكن استخدام مفاتيح التشفير الرئيسية في Key Vault (KEKs) لإضافة طبقة إضافية من الأمان والتشفير وأسرار التشفير قبل كتابتها على Key Vault.

يمكن ل Azure Backup إجراء نسخ احتياطي واستعادة أجهزة Azure الظاهرية باستخدام ADE مع تطبيق Microsoft Entra وبدونه، كما هو ملخص في الجدول التالي.

نوع قرص الجهاز الظاهري ADE (BEK/dm-crypt) تشفير قرص Azure ومفاتيح التشفير باستخدام مفاتيح
غير مداره ‏‏نعم‬ ‏‏نعم‬
مُدار ‏‏نعم‬ ‏‏نعم‬

القيود

قبل إجراء نسخ احتياطي ل Azure VNs المشفرة أو استعادتها، راجع القيود التالية:

  • يمكنك إجراء النسخ الاحتياطي للأجهزة الظاهرية المشفرة بتشفير قرص Azure واستعادتها باستخدام نفس الاشتراك.
  • تدعم خدمة Azure Backup الأجهزة الظاهرية المشفرة باستخدام مفاتيح مستقلة. أي مفتاح يشكِّل جزءاً من شهادة مستخدمة لتشفير جهاز ظاهري غير مدعوم حالياً.
  • تدعم خدمة Azure Backup Cross Region Restore لأجهزة Azure الظاهرية المشفرة في المناطق المقترنة مع Azure. لمزيد من المعلومات، راجع مصفوفة الدعم.
  • لا يمكن استرداد الأجهزة الظاهرية المشفرة باستخدام تشفير قرص Azure على مستوى الملف/المجلد. تحتاج إلى استرداد الجهاز الظاهري بأكمله لاستعادة الملفات والمجلدات.
  • عند استعادة جهاز ظاهري، لا يمكنك استخدام الخيار استبدال الجهاز الظاهري الموجود مقابل الأجهزة الظاهرية المشفرة باستخدام تشفير قرص Azure. هذا الخيار مدعوم للأقراص المُدارة غير المشفرة فقط.

قبل أن تبدأ

نفذ ما يلي قبل أن تبدأ:

  1. تأكد من أن لديك واحد أو أكثر من أجهزة Windows أو Linux الظاهرية مع تمكين تشفير قرص Azure.
  2. مراجعة مصفوفة الدعم للنسخ الاحتياطي لجهاز Azure الظاهري
  3. إنشاء مخزن النسخ الاحتياطي لخدمات الاسترداد إذا لم يكن لديك واحد.
  4. إذا قمت بتمكين التشفير للأجهزة الظاهرية التي تم تمكينها بالفعل للنسخ الاحتياطي، فيجب عليك ببساطة تزويد النسخ الاحتياطي بأذونات للوصول إلى Key Vault بحيث يمكن متابعة عمليات النسخ الاحتياطية دون تعطيل. تعرف على المزيد عن تعيين هذه الأذونات.

بالإضافة إلى ذلك، هناك بعض الأشياء التي قد تحتاج إلى القيام بها في بعض الظروف:

  • تثبيت عامل الجهاز الظاهري على الجهاز الظاهري: يقوم Azure Backup بعمل نسخة احتياطية لأجهزة Azure الظاهرية بتثبيت ملحق لعامل جهاز Azure الظاهري الذي يعمل على الجهاز. إذا تم إنشاء الجهاز الظاهري الخاص بك من صورة Azure Marketplace، فسيتم تثبيت العامل وتشغيله. إذا قمت بإنشاء جهاز ظاهري مخصص، أو قمت بترحيل جهاز محلي، فقد تحتاج إلى تثبيت العامل يدوياً.

تكوين نهج النسخ احتياطي

لتكوين نهج النسخ الاحتياطي، اتبع الخطوات التالية:

  1. إذا لم تكن قد أنشأت مخزن نسخ احتياطي لخدمات الاسترداد، فاتبع هذه الإرشادات.

  2. انتقل إلى مركز النسخ الاحتياطي وانقر فوق +نسخ احتياطي من علامة التبويب نظرة عامة

    جزء النسخ الاحتياطي

  3. حدد أجهزة Azure الظاهرية كـ نوع مصدر البيانات وحدد المخزن الذي قمت بإنشائه، ثم انقر فوق متابعة.

    جزء السيناريو

  4. حدد النهج الذي تريد إقرانه بالمخزن، ثم حدد موافق.

    • يحدد نهج النسخ الاحتياطي وقت إجراء النسخ الاحتياطية ومدة الاحتفاظ بها.
    • يتم سرد تفاصيل النهج الافتراضي ضمن القائمة المنسدلة.

    اختر نهج النسخ الاحتياطي

  5. إذا كنت لا تريد استخدام النهج الافتراضي، فحدد «إنشاء جديد»، وأنشئ نهج مخصص.

  6. ضمن الأجهزة الظاهرية، حدد Add.

    إضافة أجهزة افتراضية

  7. اختر الأجهزة الظاهرية المشفرة التي تريد نسخها احتياطيا باستخدام نهج التحديد، وحدد موافق.

    حدد أجهزة Azure الظاهرية المشفرة

  8. إذا كنت تستخدم Azure Key Vault، فستشاهد في صفحة المخزن رسالة مفادها أن Azure Backup يحتاج إلى وصول للقراءة فقط للمفاتيح والأسرار الموجودة في Key Vault.

    • إذا استلمت هذه الرسالة، لا يلزم اتخاذ أي إجراء.

      موافق على الوصول

    • إذا استلمت هذه الرسالة، تحتاج إلى تعيين أذونات كما هو موضح في الإجراء أدناه.

      تحذير الوصول

  9. حدد تمكين النسخ الاحتياطي لنشر نهج النسخ الاحتياطي في المخزن، وتمكين النسخ الاحتياطي للأجهزة الظاهرية المحددة.

النسخ الاحتياطي لأجهزة ADE الظاهرية المشفرة باستخدام خزائن المفاتيح الممكنة ل RBAC

لتمكين النسخ الاحتياطية لأجهزة ADE الظاهرية المشفرة باستخدام خزائن المفاتيح الممكنة ل Azure RBAC، تحتاج إلى تعيين دور مسؤول Key Vault إلى تطبيق خدمة إدارة النسخ الاحتياطي Microsoft Entra عن طريق إضافة تعيين دور في التحكم في الوصول إلى مخزن المفاتيح.

تظهر لقطة الشاشة خانة الاختيار لتمكين مخزن المفاتيح المشفرة ADE.

تعرف على الأدوار المختلفة المتاحة. يمكن أن يسمح دور مسؤول Key Vault بالأذونات للحصول على كل من السر والمفتاح وإدراجهما ونسخهما احتياطيا.

بالنسبة إلى خزائن المفاتيح الممكنة ل Azure RBAC، يمكنك إنشاء دور مخصص مع مجموعة الأذونات التالية. تعرف على كيفية إنشاء دور مخصص.

الإجراء ‏‏الوصف
Microsoft.KeyVault/vaults/keys/backup/action إنشاء ملف النسخ الاحتياطي لمفتاح.
Microsoft.KeyVault/vaults/secrets/backup/action إنشاء ملف النسخ الاحتياطي للبيانات السرية.
Microsoft.KeyVault/vaults/secrets/getSecret/action يحصل على قيمة سر.
Microsoft.KeyVault/vaults/keys/read سرد المفاتيح في المخزن المحدد أو قراءة الخصائص والمواد العامة.
Microsoft.KeyVault/vaults/secrets/readMetadata/action سرد خصائص البيانات السرية أو عرضها، ولكن ليس قيمها. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

لقطة شاشة توضح كيفية إضافة أذونات إلى key vault.

بتشغيل مهمة النسخ الاحتياطي

سيتم تشغيل النسخ الاحتياطي الأولي وفقًا للجدول الزمني، لكن يمكنك تشغيله على الفور كما يلي:

  1. انتقل إلى «مركز النسخ الاحتياطي» وحدد عنصر القائمة «مثيلات النسخ الاحتياطي».
  2. حدد أجهزة Azure الظاهرية كنوع مصدر البيانات وابحث عن الجهاز الظاهري الذي قمت بتكوينه للنسخ الاحتياطي.
  3. انقر بزر الماوس الأيمن فوق الصف ذي الصلة أو حدد رمز المزيد (...)، ثم انقر فوق «نسخ احتياطي الآن».
  4. في النسخ الاحتياطي الآن، استخدم عنصر تحكم التقويم لتحديد اليوم الأخير الذي يجب الاحتفاظ فيه بنقطة الاسترداد. ثم حدد موافق.
  5. راقب إخطارات المدخل. لمراقبة تقدم المهمة، انتقل إلى «مركز النسخ الاحتياطي»>مهام النسخ الاحتياطي وقم بتصفية القائمة للمهام قيد التقدم. اعتمادًا على حجم الجهاز الظاهري الخاص بك، قد يستغرق إنشاء النسخ الاحتياطية الأولية بعض الوقت.

تقديم أذونات

يحتاج Azure Backup إلى وصول للقراءة فقط للنسخ الاحتياطي للمفاتيح والأسرار، بالإضافة إلى الأجهزة الظاهرية المقترنة.

  • يرتبط Key Vault الخاص بك بمستأجر Microsoft Entra لاشتراك Azure. إذا كنت مستخدم عضو، يحصل Azure Backup على إذن الوصول إلى Key Vault دون مزيد من الإجراءات.
  • إذا كنت مستخدم ضيف، فيجب تقديم أذونات إلى Azure Backup للوصول إلى المخزن الرئيسي. تحتاج إلى الوصول إلى المخازن الرئيسية لتكوين النسخ الاحتياطي للأجهزة الظاهرية المشفرة.

لتوفير أذونات Azure RBAC على Key Vault، راجع هذه المقالة.

لتعيين الأذونات:

  1. في مدخل Azure، حدد جميع الخدمات، ثم ابحث عن المخازن الرئيسية.

  2. حدد المخزن الرئيسي المقترنة بالجهاز الظاهري المشفر الذي تقوم بنسخه احتياطيا.

    تلميح

    لتحديد المخزن الرئيسي المقترن بالجهاز الظاهري، استخدم أمر PowerShell التالي. استبدال اسم مجموعة الموارد واسم الجهاز الظاهري:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    ابحث عن اسم المخزن الرئيسي في هذا السطر:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. حدد «نُهج الوصول»>»إضافة نُهج الوصول».

    إضافة نهج الوصول

  4. في إضافة نهج الوصول>تكوين من قالب (اختياري)،وحدد Azure Backup.

    • يتم ملء الأذونات المطلوبة مسبقا للحصول على الأذونات الرئيسيةوالأذونات السرية.
    • إذا تم تشفير الجهاز الظاهري باستخدام BEK فقط،قم بإزالة تحديد الأذونات الرئيسية نظرا لأنك تحتاج فقط إلى أذونات للأسرار.

    تحديد Azure Backup

  5. حدد إضافة. تتم إضافة خدمة إدارة النسخ الاحتياطي إلى نُهج الوصول.

    نُهج الوصول

  6. حدد حفظ لتقديم الأذونات إلى Azure Backup.

يمكنك أيضاً تعيين نهج الوصول باستخدام PowerShell أو CLI.

الخطوة التالية

استعادة أجهزة Azure الظاهرية المشفرة

إذا واجهت أي مشكلات، فراجع هذه المقالات: