Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
A bizalmas virtuális gépekhez készült Azure Backup jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az Azure Backup támogatja a bizalmas virtuális gépeket (CVM-eket), amelyek biztonságos biztonsági mentést és visszaállítást biztosítanak a bizalmas számítási feladatokhoz. Ez a képesség az Azure Disk Encryption Sets (DES) platform által felügyelt kulcsokkal (PMK-kkal) vagy ügyfél által felügyelt kulcsokkal (CMK-kkal) használható az adatok bizalmasságának fenntartásához a biztonsági mentés teljes életciklusa során. A bizalmas virtuális gépek erős biztonságot nyújtanak az alkalmazás és a virtualizálási verem közötti hardveresen kikényszerített határ létrehozásával.
Ez a cikk azt ismerteti, hogyan konfigurálhatja és biztonsági másolatot készít a bizalmas virtuális gépekről platform vagy ügyfél által felügyelt kulccsal (PMK vagy CMK).
A bizalmas virtuális gépek biztonsági mentésének támogatott forgatókönyvei
Az alábbi táblázat a bizalmas virtuális gépek biztonsági mentésének támogatott forgatókönyveit sorolja fel:
| Scenario | Supportability |
|---|---|
| Virtuális gép mérete |
A v6-sorozat támogatott. A v5-sorozat nem támogatott. |
| Régiónkénti elérhetőség | Az Egyesült Arab Emírségek északi régiójában, Közép-Korea területén támogatott. |
| Kulcsváltás biztonsági mentésekhez | Amikor kulcsváltás történik egy bizalmas virtuális gépen, a virtuálisgép-lemezek kulcsai, a kapcsolódó visszaállítási pontok és pillanatképek automatikusan frissülnek. Ismert probléma: Az előzetes kiadás kulcsforgatása teljesítményproblémákkal járhat, vagy a következő forgatókönyvekben meghiúsulhat: - Több mint 40 lemez csatlakozik egy DES-hez, ha (csak) visszaállítási pontok vannak társítva ezekhez a lemezekhez. – Ha közvetlenül az Azure-beli biztonsági másolaton kívül is készít lemez pillanatképeket az ugyanazon DES-hez csatlakoztatott lemezekhez, ez csökkenti a 40 lemez biztonságos küszöbértékét a DES-leképezésre. Javaslat: A probléma megoldásáig tartsa az egyes DES-ekhez csatlakoztatott lemezek számát minimálisra. |
| Biztonsági mentési képességek | – Bizalmas virtuális gépeket csak operációsrendszer-lemeztitkosítással készíthet biztonsági másolatot. – A biztonsági mentés és a visszaállítás sikertelen, ha a CVM v2 opt-out funkciójelző engedélyezve van az előfizetéshez. – Több lemez összeomlását konzisztensen biztosító biztonsági mentés nem támogatott. – A régiók közötti visszaállítás jelenleg nem támogatott, mivel a CVM v6 virtuális gép mérete nem érhető el általánosan az Azure párosított régióiban. |
Előfeltételek
Mielőtt a CVM biztonsági mentését CMK-val konfigurálja, győződjön meg arról, hogy a következő előfeltételek teljesülnek:
Regisztráljon az előzetes verziójú funkcióra az Azure-előfizetésben – Név: Szolgáltató:
RestorePointSupportForConfidentialVMV2Microsoft.Compute. Ehhez kövesse az alábbi lépéseket a portálon. A következő PowerShell-parancsmagot is futtathatja. A regisztráció automatikusan jóváhagyásra kerül.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Bizalmas virtuális gép (CVM) azonosítása vagy létrehozása egy támogatott régióban. Tekintse meg a támogatott régiókat.
Azonosítsa vagy hozzon létre egy Recovery Services-tárolót a virtuális géppel azonos régióban.
Új bizalmas virtuális gép létrehozása a PMK-val vagy a CMK-val
Ha az Azure Backup használatával szeretne biztonsági másolatot készíteni egy bizalmas virtuális gépről, rendelkeznie kell egy PMK- vagy CMK-titkosítással konfigurált bizalmas virtuális géppel. Az Azure Backup a virtuális géphez társított lemeztitkosítási csoport (DES) használatával tartja fenn a titkosítást a biztonsági mentési és visszaállítási folyamat során.
Megtudhatja, hogyan hozhat létre új bizalmas virtuális gépet a PMK-val vagy a CMK-val, ha szükséges.
Engedélyek hozzárendelése bizalmas virtuális gépek biztonsági mentéséhez
Az Azure Backup hozzáférést igényel a kulcsokat tároló Kulcstartóhoz vagy felügyelt hardveres biztonsági modulhoz (HSM). Ez a hozzáférés biztosítja, hogy a szolgáltatás biztonsági másolatot készíthessen a kulcsról, és helyreállítsa őket, ha törölték őket. Amikor az Azure Portalon konfigurálja a biztonsági mentést, az Azure Backup automatikusan megkapja a szükséges engedélyeket. Ha más ügyfeleket, például PowerShellt, CLI-t vagy REST API-t használ, ezeket az engedélyeket manuálisan kell hozzárendelnie.
Ha kulcstárolót használ a kulcsok tárolásához, adjon engedélyt az Azure Backup szolgáltatásnak a biztonsági mentési műveletekhez.
Az MHSM engedélyeinek hozzárendeléséhez kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a felügyelt HSM-et, majd válassza a Helyi RBAClehetőséget a Beállítások területen.
Új szerepkör-hozzárendelés hozzáadásához válassza a Hozzáadás lehetőséget.
Válasszon az alábbi szerepkörök közül:
Beépített szerepkörök: Ha beépített szerepkört szeretne használni, válassza ki a felügyelt HSM crypto user szerepkört.
Egyéni szerepkörök: Ha egyéni szerepkört szeretne használni, akkor az adott szerepkör dataActions-jének a következő értékekkel kell rendelkeznie:
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Egyéni szerepkört a felügyelt HSM-adatsík szerepkör-kezelésével hozhat létre.
A Hatókör beállításánál válassza ki azt a kulcsot, amelyet a "Ügyfél által felügyelt kulccsal rendelkező bizalmas virtuális gép" létrehozásához használnak.
A Minden kulcs lehetőséget is választhatja.
A biztonsági főszemély panelen válassza a Biztonsági mentéskezelő szolgáltatást.
Biztonsági mentés konfigurálása bizalmas virtuális géphez
Ha az Azure Backup rendelkezik a szükséges engedélyekkel, folytathatja a biztonsági mentés konfigurálását. Megtudhatja, hogyan konfigurálhatja az Azure-beli virtuális gépek biztonsági mentését.
Következő lépés
A CVM visszaállítása az Azure Backup (előzetes verzió) használatával.