Sdílet prostřednictvím

Zálohování a obnovení šifrovaných virtuálních počítačů Azure

  • Článek

Tento článek popisuje, jak zálohovat a obnovit virtuální počítače Azure s Windows nebo Linuxem s šifrovanými disky pomocí služby Azure Backup . Další informace najdete v tématu Šifrování záloh virtuálních počítačů Azure.

Podporované scénáře zálohování a obnovení šifrovaných virtuálních počítačů Azure

Tato část popisuje podporované scénáře zálohování a obnovení šifrovaných virtuálních počítačů Azure.

Šifrování s využitím klíčů spravovaných platformou

Ve výchozím nastavení se všechny disky ve vašich virtuálních počítačích automaticky šifrují pomocí klíčů spravovaných platformou (PMK), které používají šifrování služby úložiště. Tyto virtuální počítače můžete zálohovat pomocí služby Azure Backup bez jakýchkoli konkrétních akcí potřebných k podpoře šifrování na vaší straně. Další informace o šifrování pomocí klíčů spravovaných platformou najdete v tomto článku.

Šifrované disky

Šifrování s využitím klíčů spravovaných zákazníky

Když šifrujete disky pomocí klíčů spravovaných zákazníkem (CMK), klíč použitý k šifrování disků se uloží do služby Azure Key Vault a spravujete ho vy. Šifrování služby Storage (SSE) využívající CMK se liší od šifrování Azure Disk Encryption (ADE). ADE používá šifrovací nástroje operačního systému. Služba SSE šifruje data ve službě úložiště a umožňuje používat pro virtuální počítače jakýkoli operační systém nebo image.

Pro zálohování nebo obnovení virtuálních počítačů, které používají klíče spravované zákazníkem k šifrování disků, nemusíte provádět žádné explicitní akce. Zálohovaná data těchto virtuálních počítačů uložených v trezoru budou zašifrována stejnými metodami jako šifrování použité v trezoru.

Další informace o šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem najdete v tomto článku.

Podpora šifrování s využitím ADE

Azure Backup podporuje zálohování virtuálních počítačů Azure, které mají svoje disky s operačním systémem a daty šifrované pomocí služby Azure Disk Encryption (ADE). ADE používá BitLocker k šifrování virtuálních počítačů s Windows a funkci dm-crypt pro virtuální počítače s Linuxem. ADE se integruje se službou Azure Key Vault za účelem správy šifrovacích klíčů a tajných kódů disku. Šifrovací klíče služby Key Vault (KEK) je možné použít k přidání další vrstvy zabezpečení a šifrování tajných kódů šifrování před jejich zápisem do služby Key Vault.

Azure Backup může zálohovat a obnovovat virtuální počítače Azure pomocí ADE s aplikací Microsoft Entra, jak je shrnuto v následující tabulce.

Typ disku virtuálního počítače ADE (BEK/dm-crypt) ADE a KEK
Nespravované Ano Yes
Spravované Ano Yes

Omezení

Před zálohováním nebo obnovením šifrovaných virtuálních sítí Azure si projděte následující omezení:

  • V rámci stejného předplatného můžete zálohovat a obnovovat šifrované virtuální počítače ADE.
  • Azure Backup podporuje virtuální počítače šifrované pomocí samostatných klíčů. Jakýkoli klíč, který je součástí certifikátu použitého k šifrování virtuálního počítače, se v současné době nepodporuje.
  • Azure Backup podporuje obnovení šifrovaných virtuálních počítačů Azure do spárovaných oblastí Azure mezi oblastmi. Další informace najdete v matici podpory.
  • Šifrované virtuální počítače ADE nejde obnovit na úrovni souboru nebo složky. Abyste mohli obnovit soubory a složky, musíte obnovit celý virtuální počítač.
  • Při obnovování virtuálního počítače nemůžete u šifrovaných virtuálních počítačů ADE použít možnost nahradit existující virtuální počítač. Tato možnost se podporuje jenom u nešifrovaných spravovaných disků.

Než začnete

Než začnete, udělejte toto:

  1. Ujistěte se, že máte jeden nebo více virtuálních počítačů s Windows nebo Linuxem s povoleným ADE.
  2. Projděte si matici podpory pro zálohování virtuálních počítačů Azure.
  3. Pokud ho nemáte, vytvořte trezor služby Recovery Services Backup.
  4. Pokud povolíte šifrování virtuálních počítačů, které už mají povolené zálohování, stačí, abyste službě Backup poskytli oprávnění pro přístup ke službě Key Vault, aby zálohování mohla pokračovat bez přerušení. Přečtěte si další informace o přiřazování těchto oprávnění.

Kromě toho existuje několik věcí, které může být potřeba udělat za určitých okolností:

  • Nainstalujte agenta virtuálního počítače na virtuální počítač: Azure Backup zálohuje virtuální počítače Azure instalací rozšíření pro agenta virtuálního počítače Azure spuštěného na počítači. Pokud byl váš virtuální počítač vytvořen z image Azure Marketplace, agent se nainstaluje a spustí. Pokud vytvoříte vlastní virtuální počítač nebo migrujete místní počítač, budete možná muset agenta nainstalovat ručně.

Konfigurace zásad zálohování

Pokud chcete nakonfigurovat zásady zálohování, postupujte takto:

  1. Pokud jste ještě nevytvořili trezor záloh služby Recovery Services, postupujte podle těchto pokynů.

  2. Přejděte do Centra zálohování a na kartě Přehled klikněte na +Zálohování.

    Podokno Zálohování

  3. Jako typ Zdroje dat vyberte virtuální počítače Azure a vyberte trezor, který jste vytvořili, a potom klikněte na Pokračovat.

    Podokno Scénáře

  4. Vyberte zásadu, kterou chcete přidružit k trezoru, a pak vyberte OK.

    • Zásady zálohování určují, kdy se zálohy pořídí a jak dlouho se ukládají.
    • Podrobnosti výchozí zásady jsou uvedené pod rozevírací nabídkou.

    Vybrat zásady zálohování

  5. Pokud nechcete použít výchozí zásadu, vyberte Vytvořit novou a vytvořte vlastní zásadu.

  6. V části Virtuální počítače vyberte Přidat.

    Přidání virtuálních počítačů

  7. Zvolte šifrované virtuální počítače, které chcete zálohovat pomocí zásad výběru, a vyberte OK.

    Výběr šifrovaných virtuálních počítačů

  8. Pokud používáte Azure Key Vault, zobrazí se na stránce trezoru zpráva, že Azure Backup potřebuje přístup ke klíčům a tajným kódům ve službě Key Vault jen pro čtení.

    • Pokud se vám tato zpráva zobrazí, nevyžaduje se žádná akce.

      Access OK

    • Pokud se vám tato zpráva zobrazí, musíte nastavit oprávnění, jak je popsáno v následujícím postupu.

      Upozornění aplikace Access

  9. Výběrem možnosti Povolit zálohování nasaďte zásady zálohování v trezoru a povolte zálohování pro vybrané virtuální počítače.

Zálohování šifrovaných virtuálních počítačů ADE pomocí trezorů klíčů s podporou RBAC

Pokud chcete povolit zálohování pro virtuální počítače šifrované službou ADE pomocí trezorů klíčů s podporou Azure RBAC, musíte přiřadit roli Správce služby Key Vault k aplikaci Microsoft Entra služby Backup Management Service přidáním přiřazení role v řízení přístupu k trezoru klíčů.

Snímek obrazovky znázorňující zaškrtávací políčko pro povolení trezoru klíčů šifrovaného pomocí ADE

Seznamte se s různými dostupnými rolemi. Role správce služby Key Vault umožňuje oprávnění k získání, výpisu a zálohování tajných kódů i klíčů.

Pro trezory klíčů s podporou Azure RBAC můžete vytvořit vlastní roli s následující sadou oprávnění. Zjistěte , jak vytvořit vlastní roli.

Akce Popis
Microsoft.KeyVault/vaults/keys/backup/action Vytvoří záložní soubor klíče.
Microsoft.KeyVault/vaults/secrets/backup/action Vytvoří záložní soubor tajného kódu.
Microsoft.KeyVault/vaults/secrets/getSecret/action Získá hodnotu tajného kódu.
Microsoft.KeyVault/vaults/keys/read Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejných materiálů
Microsoft.KeyVault/vaults/secrets/readMetadata/action Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne jeho hodnoty. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Snímek obrazovky ukazuje, jak přidat oprávnění k trezoru klíčů.

Aktivace úlohy zálohování

Počáteční zálohování se spustí v souladu s plánem, ale můžete ho spustit okamžitě následujícím způsobem:

  1. Přejděte do Centra zálohování a vyberte položku nabídky Zálohovat instance.
  2. Jako typ Zdroje dat vyberte virtuální počítače Azure a vyhledejte virtuální počítač, který jste nakonfigurovali pro zálohování.
  3. Klikněte pravým tlačítkem myši na příslušný řádek nebo vyberte ikonu další (...) a klikněte na Zálohovat.
  4. V části Zálohovat nyní pomocí ovládacího prvku kalendář vyberte poslední den, kdy se má bod obnovení zachovat. Pak vyberte OK.
  5. Monitorujte oznámení portálu. Pokud chcete sledovat průběh úlohy, přejděte do centra>zálohování úloh a vyfiltrujte seznam probíhajících úloh. V závislosti na velikosti virtuálního počítače může vytváření prvotní zálohy chvíli trvat.

Poskytnutí oprávnění

Azure Backup potřebuje přístup jen pro čtení k zálohování klíčů a tajných kódů spolu s přidruženými virtuálními počítači.

  • Vaše služba Key Vault je přidružená k tenantovi Microsoft Entra předplatného Azure. Pokud jste členem uživatele, Azure Backup získá přístup ke službě Key Vault bez další akce.
  • Pokud jste uživatel typu host, musíte službě Azure Backup poskytnout oprávnění pro přístup k trezoru klíčů. Abyste mohli nakonfigurovat zálohování pro šifrované virtuální počítače, musíte mít přístup k trezorům klíčů.

Informace o poskytnutí oprávnění Azure RBAC ve službě Key Vault najdete v tomto článku.

Nastavení oprávnění:

  1. Na webu Azure Portal vyberte Všechny služby a vyhledejte trezory klíčů.

  2. Vyberte trezor klíčů přidružený k šifrovaným virtuálním počítačům, který zálohujete.

    Tip

    K identifikaci přidruženého trezoru klíčů virtuálního počítače použijte následující příkaz PowerShellu. Nahraďte název skupiny prostředků a název virtuálního počítače:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Na tomto řádku vyhledejte název trezoru klíčů:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Vyberte Zásady>přístupu Přidat zásady přístupu.

    Přidat zásady přístupu

  4. V okně Přidat zásadu>přístupu Konfigurovat ze šablony (volitelné) vyberte Azure Backup.

    • Požadovaná oprávnění jsou předem vyplněna pro oprávnění ke klíči a oprávnění k tajným kódům.
    • Pokud je váš virtuální počítač šifrovaný jenom pomocí BEK, odeberte výběr oprávnění ke klíči, protože potřebujete jenom oprávnění pro tajné kódy.

    Výběr služby Azure Backup

  5. Vyberte Přidat. Služba správy zálohování se přidá do zásad přístupu.

    Zásady přístupu

  6. Výběrem možnosti Uložit poskytněte službě Azure Backup oprávnění.

Zásady přístupu můžete nastavit také pomocí PowerShellu nebo rozhraní příkazového řádku.

Další krok

Obnovení šifrovaných virtuálních počítačů Azure

Pokud narazíte na nějaké problémy, projděte si tyto články: