Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Azure Backup für vertrauliche virtuelle Maschinen (VMs) befindet sich derzeit in der Vorschauversion. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Azure Backup unterstützt vertrauliche virtuelle Computer (CVMs), die sichere Sicherung und Wiederherstellung für vertrauliche Workloads bereitstellen. Diese Funktion verwendet Azure Disk Encryption Sets (DES) mit plattformverwalteten Schlüsseln (PLATFORM Managed Keys, PMKs) oder CMKs (Customer Managed Keys), um die Vertraulichkeit der Daten während des gesamten Sicherungslebenszyklus aufrechtzuerhalten. Vertrauliche VMs bieten eine starke Sicherheit, indem eine hardwareverzwungene Grenze zwischen Ihrer Anwendung und dem Virtualisierungsstapel erstellt wird.
In diesem Artikel wird beschrieben, wie Sie vertrauliche VM (CVM) mit plattform- oder vom Kunden verwaltetem Schlüssel (PMK oder CMK) konfigurieren und sichern.
Unterstützte Szenarien für die Sicherung vertraulicher VM
In der folgenden Tabelle sind die unterstützten Szenarien für die Sicherung vertraulicher VM aufgeführt:
| Scenario | Haltbarkeit |
|---|---|
| Größe des virtuellen Computers |
v6-Serie wird unterstützt. v5-Serie wird nicht unterstützt. |
| Regionale Verfügbarkeit | Unterstützt in UAE Nord, Korea Zentral. |
| Schlüsselrotation für Backups | Wenn eine Schlüsselrotation bei einer vertraulichen virtuellen Maschine auftritt, werden die Schlüssel für die VM-Datenträger, die zugehörigen Wiederherstellungspunkte und Snapshots automatisch aktualisiert. Bekanntes Problem: In dieser Vorschauversion kann die Schlüsselrotation Leistungsprobleme haben oder in den folgenden Szenarien fehlschlagen: – Mehr als 40 Datenträger werden an einen DES angefügt, wenn (nur) Wiederherstellungspunkte diesen Datenträgern zugeordnet sind. – Wenn Sie für diese Datenträger, die mit demselben DES verbunden sind, auch direkt Snapshots außerhalb von Azure Backup erstellen, wird der sichere Schwellenwert von 40 Datenträgern für die DES-Zuordnung gesenkt. Empfehlung: Halten Sie die Anzahl der Datenträger, die mit jedem DES verbunden sind, auf ein Minimum, bis das Problem behoben ist. |
| Sicherungsfunktionen | – Sie können vertrauliche VMs nur mit Betriebssystemdatenträgerverschlüsselung sichern. – Sicherung und Wiederherstellung schlagen fehl, wenn das Feature-Flag "CVM v2 opt-out" für Ihr Abonnement aktiviert ist. – Die absturzsichere konsistente Sicherung mit mehreren Datenträgern wird nicht unterstützt. – Die regionsübergreifende Wiederherstellung wird derzeit nicht unterstützt, da die CVM v6-VM-Größe in Azure-gekoppelten Regionen nicht allgemein verfügbar ist. |
Voraussetzungen
Bevor Sie die Sicherung für CVM mit CMK konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
Registrieren Sie sich für das Vorschaufeature in Ihrem Azure-Abonnement – Name: Anbieter:
RestorePointSupportForConfidentialVMV2Microsoft.Compute. Sie können die hier aufgeführten Schritte ausführen, um dies im Portal zu tun. Sie können auch das folgende PowerShell-Cmdlet ausführen. Die Registrierung wird automatisch genehmigt.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Identifizieren oder Erstellen einer vertraulichen VM (CVM) in einer unterstützten Region. Siehe die unterstützten Regionen.
Identifizieren Sie oder erstellen Sie einen Recovery Services-Tresor in derselben Region wie die VM.
Erstellen einer neuen vertraulichen VM mit PMK oder CMK
Um einen vertraulichen virtuellen Computer mit Azure Backup zu sichern, müssen Sie über einen vertraulichen virtuellen Computer verfügen, der mit DER PMK- oder CMK-Verschlüsselung konfiguriert ist. Azure Backup verwendet den Datenträgerverschlüsselungssatz (Disk Encryption Set, DES), der Ihrer VM zugeordnet ist, um die Verschlüsselung während des sicherungs- und wiederherstellungsvorgangs aufrechtzuerhalten.
Erfahren Sie, wie Sie bei Bedarf einen neuen vertraulichen virtuellen Computer mit PMK oder CMK erstellen.
Zuweisen von Berechtigungen für die Sicherung vertraulicher VM
Azure Backup erfordert Zugriff auf den Key Vault oder das Managed Hardware Security Module (HSM), das Ihre Schlüssel speichert. Dieser Zugriff stellt sicher, dass der Dienst Schlüssel sichern und wiederherstellen kann, wenn er gelöscht wird. Wenn Sie die Sicherung im Azure-Portal konfigurieren, erhält Azure Backup automatisch die erforderlichen Berechtigungen. Wenn Sie andere Clients wie PowerShell, CLI oder REST-API verwenden, müssen Sie diese Berechtigungen manuell zuweisen.
Wenn Sie einen Schlüsseltresor zum Speichern von Schlüsseln verwenden, erteilen Sie dem Azure Backup-Dienst die Berechtigung für die Sicherungsvorgänge.
Führen Sie die folgenden Schritte aus, um Berechtigungen für MHSM zuzuweisen:
Wechseln Sie im Azure-Portal zu verwaltetem HSM, und wählen Sie dann in den Einstellungen die lokale RBAC aus.
Wählen Sie "Hinzufügen" aus, um eine neue Rollenzuweisung hinzuzufügen.
Wählen Sie eine der folgenden Rollen aus:
Integrierte Rollen: Wenn Sie eine integrierte Rolle verwenden möchten, wählen Sie die Rolle "Verwalteter HSM Crypto-Benutzer " aus.
Benutzerdefinierte Rollen: Wenn Sie eine benutzerdefinierte Rolle verwenden möchten, sollten dataActions dieser Rolle die folgenden Werte aufweisen:
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Sie können eine benutzerdefinierte Rolle mithilfe der Rollenverwaltung für verwaltete HSM-Datenebenen erstellen.
Wählen Sie für "Bereich" den spezifischen Schlüssel aus, der zum Erstellen vertraulicher VM mit vom Kunden verwaltetem Schlüssel verwendet wird.
Sie können auch "Alle Tasten" auswählen.
Wählen Sie für den Sicherheitsprinzipal den Sicherungsverwaltungsservice aus.
Konfigurieren der Sicherung für vertrauliche VM
Sobald Azure Backup über die erforderlichen Berechtigungen verfügt, können Sie die Sicherung weiterhin konfigurieren. Erfahren Sie, wie Sie die Azure VM-Sicherung konfigurieren.
Nächster Schritt
Stellen Sie CVM mithilfe von Azure Backup (Vorschau) wieder her.