Condividi tramite


Ripristinare i file dal backup della macchina virtuale di Azure

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Valutare le proprie esigenze e pianificare di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Backup di Azure offre la possibilità di ripristinare dischi e macchine virtuali (VM) di Azure dai backup di VM di Azure, detti anche punti di recupero. Questo articolo illustra come ripristinare file e cartelle da un backup di VM di Azure. Il ripristino di file e cartelle è disponibile solo per le macchine virtuali di Azure distribuite usando il modello di Resource Manager e protette in un insieme di credenziali di Servizi di ripristino.

Nota

Questa funzionalità è disponibile per le VM di Azure distribuite usando il modello Resource Manager e protette in un insieme di credenziali di Servizi di ripristino. Il ripristino di file da un backup crittografato della macchina virtuale non è supportato.

Flusso di lavoro di ripristino delle cartelle file

Passaggio 1: Generare e scaricare lo script per esplorare e ripristinare i file

Per ripristinare file o cartelle dal punto di ripristino, passare alla macchina virtuale e seguire questa procedura:

  1. Accedere al portale di Azure e nel riquadro sinistro selezionare Macchine virtuali. Nell'elenco delle macchine virtuali selezionare la macchina virtuale per aprirne il dashboard.

  2. Nel menu della macchina virtuale selezionare Backup per aprire il dashboard Backup.

    Aprire la voce di backup dell'insieme di credenziali di Servizi di ripristino

  3. Nel menu Dashboard backup selezionare Ripristino file.

    Selezionare Ripristino file32

    Viene aperto il menu Ripristino file.

    Menu Ripristino file

Importante

Gli utenti devono prendere nota delle limitazioni delle prestazioni di questa funzionalità. Come indicato nella sezione nota a piè di pagina del pannello precedente, questa funzionalità deve essere usata quando la dimensione totale del recupero è di 10 GB o inferiore. Le velocità di trasferimento dei dati previste sono di circa 1 GB all'ora.

  1. Nel menu a discesa Selezionare il punto di ripristino, selezionare il punto di ripristino contenente i file desiderati. Per impostazione predefinita, il punto di ripristino più recente è già selezionato.

  2. Selezionare Scarica eseguibile (per le macchine virtuali di Windows Azure) o Scarica script (per macchine virtuali Linux di Azure, viene generato uno script Python) per scaricare il software usato per copiare i file dal punto di ripristino.

    Scaricare il file eseguibile

    Azure scarica il file eseguibile o lo script sul computer locale.

    Messaggio per il download del file eseguibile o dello script

    Per eseguire il file eseguibile o lo script come amministratore, è consigliabile salvare il file scaricato sul computer.

  3. Il file eseguibile o lo script è protetto da password, che viene quindi richiesta. Nel menu Ripristino file selezionare il pulsante Copia per caricare la password in memoria.

    Password generata

Passaggio 2: Verificare che il computer soddisfi i requisiti prima di eseguire lo script

Dopo aver scaricato correttamente lo script, assicurarsi di disporre del computer corretto per eseguire questo script. La macchina virtuale in cui si prevede di eseguire lo script non deve avere alcuna delle configurazioni non supportate seguenti. In caso affermativo, scegliere un computer alternativo che soddisfi i requisiti.

Dischi dinamici

Non è possibile eseguire lo script eseguibile nella macchina virtuale con una delle caratteristiche seguenti: scegliere un computer alternativo

  • Volumi che si estendono su più dischi (volumi con estensione e striping).
  • Volumi a tolleranza di errore (volumi con mirroring e RAID-5) su dischi dinamici.

Spazi di archiviazione di Windows

Non è possibile eseguire il file eseguibile scaricato nella stessa macchina virtuale di cui è stato eseguito il backup se la macchina virtuale di cui è stato eseguito il backup ha Windows Archiviazione Spaces. Scegliere un computer alternativo.

Backup di macchine virtuali con dischi di grandi dimensioni

Se il computer di cui è stato eseguito il backup ha un numero elevato di dischi (>16) o dischi di grandi dimensioni (> 4 TB ciascuno), non è consigliabile eseguire lo script nello stesso computer per il ripristino, perché avrà un impatto significativo sulla macchina virtuale. È invece consigliabile avere una macchina virtuale separata solo per il ripristino di file (macchine virtuali D2v3 di Azure) e quindi arrestarla quando non necessario.

Vedere i requisiti per ripristinare i file dalle macchine virtuali di cui è stato eseguito il backup con un disco di grandi dimensioni:
Sistema operativo Windows
Sistema operativo Linux

Dopo aver scelto il computer corretto per eseguire lo script ILR, assicurarsi che soddisfi i requisiti del sistema operativo e i requisiti di accesso.

Passaggio 3: Requisiti del sistema operativo per eseguire correttamente lo script

La macchina virtuale in cui si vuole eseguire lo script scaricato deve soddisfare i requisiti seguenti.

Per il sistema operativo Windows

La tabella seguente illustra la compatibilità tra i sistemi operativi del server e del computer. Quando si esegue il ripristino di file, non è possibile ripristinare i file in una versione precedente o successiva del sistema operativo. Ad esempio, non è possibile ripristinare un file da una VM Windows Server 2016 a un computer Windows Server 2012 o Windows 8. È possibile ripristinare i file da una VM allo stesso sistema operativo server o al sistema operativo client compatibile.

Sistema operativo del server Sistema operativo compatibile del client
Windows Server 2022 Windows 11 e Windows 10
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7

Per il sistema operativo Linux

In Linux, il sistema operativo del computer usato per ripristinare i file deve supportare il file system della macchina virtuale protetta. Quando si seleziona un computer per l'esecuzione dello script, assicurarsi che abbia un sistema operativo compatibile e che usi una delle versioni indicate nella tabella seguente:

Sistema operativo Linux Versioni
Ubuntu 12.04 e versioni successive
CentOS 6.5 e versioni successive
RHEL 6.7 e versioni successive
Debian 7 e versioni successive
Oracle Linux 6.4 e versioni successive
SLES 12 e versioni successive
openSUSE 42.2 e versioni successive

Componenti aggiuntivi

Per l'esecuzione e la connessione sicura al punto di ripristino, lo script richiede anche componenti bash e Python.

Componente Versione Tipo di sistema operativo
bash 4 e versioni successive Linux
Python 2.6.6 e versioni successive Linux
.NET 4.6.2 e versioni successive Windows
TLS 1.2 dovrebbe essere supportata Linux/Windows

Assicurarsi inoltre di disporre del computer corretto per eseguire lo script ILR e soddisfare i requisiti di accesso.

Passaggio 4: Requisiti di accesso per eseguire correttamente lo script

Se si esegue lo script in un computer con accesso limitato, assicurarsi di avere accesso a:

  • download.microsoft.com o AzureFrontDoor.FirstParty tag di servizio nel gruppo di sicurezza di rete sulla porta 443 (in uscita)
  • URL del servizio di ripristino (GEO-NAME si riferisce all'area in cui risiede l'insieme di credenziali di Servizi di ripristino) sulla porta 3260 (in uscita)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (Per le aree pubbliche di Azure) o AzureBackup il tag del servizio nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (Per Microsoft Azure gestito da 21Vianet) o AzureBackup tag di servizio nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (Per Azure US Government) o AzureBackup tag di servizio nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (Per Azure Germania) o AzureBackup tag di servizio nel gruppo di sicurezza di rete
  • Risoluzione DNS pubblica sulla porta 53 (in uscita)

Nota

I proxy potrebbero non supportare il protocollo iSCSI o concedere l'accesso alla porta 3260. Di conseguenza, è consigliabile eseguire questo script nei computer che dispongono dell'accesso diretto come richiesto in precedenza e non nei computer che reindirizzeranno al proxy.

Nota

Nel caso in cui la macchina virtuale sottoposta a backup sia Windows, il nome geografico verrà indicato nella password generata.

Ad esempio, se la password generata è ContosoVM_wcus_GUID, il nome geografico è wcus e l'URL sarà: <https://pod01-rec2.wcus.backup.windowsazure.com>

Se la macchina virtuale di cui è stato eseguito il backup è Linux, il file di script scaricato nel passaggio 1 precedente avrà il nome geografico nel nome del file. Usare tale nome geografico per compilare l'URL. Il nome dello script scaricato inizierà con: 'VMname'_'geoname'_'GUID'.

Ad esempio, se il nome file dello script è ContosoVM_wcus_12345678, il nome geografico è wcus e l'URL sarà: <https://pod01-rec2.wcus.backup.windowsazure.com>

Per Linux, lo script richiede i componenti "open-iscsi" e "lshw" per la connessione al punto di ripristino. Se i componenti non sono presenti nel computer in cui viene eseguito, lo script chiede l'autorizzazione per installarli. Acconsentire all'installazione dei componenti necessari.

È necessario accedere a download.microsoft.com per scaricare i componenti usati per creare un canale sicuro tra il computer in cui viene eseguito lo script e i dati nel punto di ripristino.

Assicurarsi inoltre di avere il computer corretto per eseguire lo script ILR e soddisfare i requisiti del sistema operativo.

Passaggio 5: Esecuzione dello script e identificazione dei volumi

Nota

Lo script viene generato solo in lingua inglese e non viene localizzato. Di conseguenza, potrebbe essere necessario che le impostazioni locali del sistema siano in inglese per l'esecuzione corretta dello script

Per Windows

Dopo aver soddisfatto tutti i requisiti elencati nel passaggio 2, passaggio 3 e passaggio 4, copiare lo script dal percorso scaricato (in genere la cartella Download), vedere Passaggio 1 per informazioni su come generare e scaricare lo script. Fare clic con il pulsante destro del mouse sul file eseguibile ed eseguirlo con le credenziali di Amministrazione istrator. Quando richiesto, digitare la password o incollarla dalla memoria e premere INVIO. Dopo l'immissione della password valida, lo script si connette al punto di ripristino.

Screenshot che mostra l'output eseguibile per il ripristino di file dalla macchina virtuale.

Quando si esegue il file eseguibile, il sistema operativo monta i nuovi volumi e assegna lettere di unità. È possibile usare Esplora risorse o Esplora file per individuare queste unità. Le lettere di unità assegnate ai volumi potrebbero non essere le stesse lettere della macchina virtuale originale. Il nome del volume viene tuttavia mantenuto. Il volume della macchina virtuale originale "Disco dati (E:\)", ad esempio, può essere collegato nel computer locale come "Disco dati ('Qualsiasi lettera':\)". Esplorare tutti i volumi indicati nell'output dello script fino a individuare i file o la cartella.

Volumi di ripristino collegati

Per le macchine virtuali di cui è stato eseguito il backup con dischi di grandi dimensioni (Windows)

Se il processo di ripristino dei file si blocca dopo l'esecuzione dello script di ripristino file (ad esempio, se i dischi non vengono mai montati o vengono montati ma i volumi non vengono visualizzati), seguire questa procedura:

  1. Verificare che il sistema operativo sia WS 2012 o versione successiva.

  2. Verificare che le chiavi del Registro di sistema siano impostate come indicato di seguito nel server di ripristino e assicurarsi di riavviare il server. Il numero accanto al GUID può essere compreso tra 0001 e 0005. Nell'esempio seguente è 0004. Passare al percorso della chiave del Registro di sistema fino alla sezione Parameters.

    Modifiche alla chiave del Registro di sistema

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

Per Linux

Dopo aver soddisfatto tutti i requisiti elencati nel passaggio 2, passaggio 3 e passaggio 4, generare uno script Python per i computer Linux. Vedere Passaggio 1 per informazioni su come generare e scaricare lo script. Scaricare lo script e copiarlo nel server Linux pertinente/compatibile. Potrebbe essere necessario modificare le autorizzazioni per eseguirlo con chmod +x <python file name>. Eseguire quindi il file Python con ./<python file name>.

In Linux i volumi del punto di ripristino sono montati nella cartella in cui viene eseguito lo script. I dischi collegati, i volumi e i percorsi di montaggio corrispondenti vengono visualizzati di conseguenza. Questi percorsi di montaggio sono visibili agli utenti con accesso a livello radice. Esplorare i volumi indicati nell'output dello script.

Menu Ripristino file per Linux

Per le macchine virtuali di cui è stato eseguito il backup con dischi di grandi dimensioni (Linux)**

Se il processo di ripristino dei file si blocca dopo l'esecuzione dello script di ripristino file (ad esempio, se i dischi non vengono mai montati o vengono montati ma i volumi non vengono visualizzati), seguire questa procedura:

  1. Nel file /etc/iscsi/iscsid.conf modificare l'impostazione da:
    • node.conn[0].timeo.noop_out_timeout = 5 a node.conn[0].timeo.noop_out_timeout = 120
  2. Dopo aver apportato le modifiche precedenti, eseguire di nuovo lo script. In caso di errori temporanei, verificare che vi sia un divario tra 20 e 30 minuti tra le riesecuzioni per evitare picchi successivi di richieste che influiscono sulla preparazione della destinazione. Questo intervallo tra le esecuzioni di nuovo garantisce che la destinazione sia pronta per la connessione dallo script.
  3. Dopo il ripristino dei file, assicurarsi di tornare al portale e selezionare Smonta dischi per i punti di ripristino in cui non è stato possibile montare i volumi. In pratica, questo passaggio elimina eventuali processi/sessioni esistenti e aumenta le probabilità di ripristino.

Matrici LVM/RAID (per macchine virtuali Linux)

In Linux, le matrici RAID software e/o di Gestione volumi logici (LVM) vengono usate per gestire i volumi logici su più dischi. Se la VM Linux protetta usa array RAID e/o LVM, non è possibile eseguire lo script nella stessa VM.
Eseguire invece lo script in qualsiasi altro computer con sistema operativo compatibile che supporti il file system della VM protetta.
L'output dello script seguente mostra dischi e volumi di array RAID e/o LVM con il tipo di partizione.

Menu dell'output per LVM in Linux

Per portare online queste partizioni, eseguire i comandi riportati nelle sezioni successive.

Per le partizioni LVM

Dopo l'esecuzione dello script, le partizioni LVM vengono montate nei volumi fisici/dischi specificati nell'output dello script. Il processo consiste nel

  1. Ottenere l'elenco univoco dei nomi dei gruppi di volumi dai volumi fisici o dai dischi
  2. Elencare quindi i volumi logici in tali gruppi di volumi
  3. Montare quindi i volumi logici in un percorso desiderato.
Elenco dei nomi dei gruppi di volumi dai volumi fisici

Per elencare i nomi dei gruppi di volumi:

sudo pvs -o +vguuid

Questo comando elenca tutti i volumi fisici (inclusi quelli presenti prima di eseguire lo script), i nomi dei gruppi di volumi corrispondenti e gli ID utente univoci del gruppo di volumi (UUID). Di seguito è riportato un output di esempio del comando.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

La prima colonna (PV) mostra il volume fisico, le colonne successive mostrano il nome del gruppo di volumi, il formato, gli attributi, le dimensioni, lo spazio libero e l'ID univoco del gruppo di volumi. L'output del comando mostra tutti i volumi fisici. Fare riferimento all'output dello script e identificare i volumi correlati al backup. Nell'esempio precedente l'output dello script avrebbe mostrato /dev/sdf e /dev/sdd. Il gruppo di volumi datavg_db appartiene allo script e il gruppo di volumi Appvg_new appartiene al computer. L'idea finale consiste nel assicurarsi che un nome univoco del gruppo di volumi abbia un ID univoco.

Gruppi di volumi duplicati

Esistono scenari in cui i nomi dei gruppi di volumi possono avere 2 UUID dopo l'esecuzione dello script. Significa che i nomi dei gruppi di volumi nel computer in cui viene eseguito lo script e nella macchina virtuale di cui è stato eseguito il backup sono gli stessi. È quindi necessario rinominare i gruppi di volumi delle macchine virtuali di cui è stato eseguito il backup. Esaminare l'esempio seguente.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

L'output dello script avrebbe mostrato /dev/sdg, /dev/sdh, /dev/sdm2 come associato. I nomi del gruppo di sicurezza virtuale corrispondenti sono quindi Appvg_new e rootvg. Ma gli stessi nomi sono presenti anche nell'elenco VG del computer. È possibile verificare che un nome VG abbia due UUID.

È ora necessario rinominare i nomi del gruppo di sicurezza virtuale per i volumi basati su script, ad esempio : /dev/sdg, /dev/sdh, /dev/sdm2. Per rinominare il gruppo di volumi, usare il comando seguente

sudo vgimportclone -n rootvg_new /dev/sdm2
sudo vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Ora sono disponibili tutti i nomi dei gruppi virtuali con ID univoci.

Gruppi di volumi attivi

Assicurarsi che i gruppi di volumi corrispondenti ai volumi dello script siano attivi. Il comando seguente viene usato per visualizzare i gruppi di volumi attivi. Controllare se i gruppi di volumi correlati dello script sono presenti in questo elenco.

sudo vgdisplay -a

In caso contrario, attivare il gruppo di volumi usando il comando seguente.

sudo vgchange –a y  <volume-group-name>
Elenco di volumi logici all'interno di gruppi di volumi

Dopo aver visualizzato l'elenco univoco e attivo di gruppi di disponibilità virtuale correlati allo script, è possibile elencare i volumi logici presenti in tali gruppi di volumi usando il comando seguente.

sudo lvdisplay <volume-group-name>

Questo comando visualizza il percorso di ogni volume logico come "Percorso LV".

Montaggio di volumi logici

Per montare i volumi logici nel percorso scelto:

sudo mount <LV path from the lvdisplay cmd results> </mountpath>

Avviso

Non usare 'mount -a'. Questo comando monta tutti i dispositivi descritti in '/etc/fstab'. Ciò potrebbe significare che i dispositivi duplicati possono essere montati. I dati possono essere reindirizzati ai dispositivi creati da uno script, che non salvano in modo permanente i dati e quindi possono causare la perdita di dati.

Per le matrici RAID

Il comando seguente visualizza informazioni dettagliate su tutti i dischi RAID:

sudo mdadm –detail –scan

Il disco RAID pertinente viene visualizzato come /dev/mdm/<RAID array name in the protected VM>

Usare il comando mount se il disco RAID dispone di volumi fisici:

sudo mount [RAID Disk Path] [/mountpath]

Se nel disco RAID è configurata un'altra LVM, seguire la procedura precedente per le partizioni LVM usando il nome del volume invece del nome del disco RAID.

Passaggio 6: Chiusura della connessione

Dopo avere identificato i file e averli copiati in un percorso di archiviazione locale, rimuovere o smontare le unità aggiuntive. Per smontare le unità, dal menu Ripristino file del portale di Azure scegliere Smonta dischi.

Smontare i dischi

Una volta smontati i dischi, si riceverà un messaggio. L'aggiornamento della connessione in modo che sia possibile rimuovere i dischi potrebbe richiedere alcuni minuti.

In Linux, dopo che la connessione al punto di ripristino viene interrotta, il sistema operativo non rimuove automaticamente i percorsi di montaggio corrispondenti, che rimangono come volumi "orfani" visibili, ma generano un errore in caso di accesso/scrittura di file. Possono essere rimossi manualmente eseguendo lo script con il parametro 'clean' (python scriptName.py clean). Quando viene eseguito, lo script identifica tutti i volumi di questo tipo esistenti da eventuali punti di ripristino precedenti e li elimina dopo avere ottenuto il consenso.

Nota

Assicurarsi che la connessione venga chiusa dopo il ripristino dei file necessari. Questo è importante, soprattutto nello scenario in cui viene configurato anche il computer in cui viene eseguito lo script per il backup. Se la connessione è ancora aperta, il backup successivo potrebbe non riuscire con l'errore "UserErrorUnableToOpenMount". Ciò si verifica perché si presuppone che le unità o i volumi montati siano disponibili e, quando si accede, potrebbero non riuscire perché l'archiviazione sottostante, ovvero il server di destinazione iSCSI potrebbe non essere disponibile. La pulizia della connessione rimuoverà queste unità/volumi e quindi non saranno disponibili durante il backup.

Sicurezza

Questa sezione illustra le varie misure di sicurezza adottate per l'implementazione del ripristino dei file dai backup di macchine virtuali di Azure.

Flusso di funzionalità

Questa funzionalità è stata creata per accedere ai dati della macchina virtuale senza la necessità di ripristinare l'intera VM o i relativi dischi e con il numero minimo di passaggi. L'accesso ai dati della VM viene fornito da uno script (che monta il volume di ripristino quando viene eseguito come illustrato di seguito) e costituisce la base di tutte le implementazioni di sicurezza:

Flusso di funzionalità di sicurezza

Implementazioni di sicurezza

Selezionare il punto di ripristino (che può generare lo script)

Lo script consente di accedere ai dati della macchina virtuale, quindi è importante definire in primo luogo chi possa generarlo. È necessario accedere al portale di Azure ed essere autorizzati al controllo degli accessi in base al ruolo di Azure per generare lo script.

Il ripristino dei file richiede lo stesso livello di autorizzazione necessario per il ripristino di macchine virtuali e dischi. In altre parole, solo gli utenti autorizzati possono visualizzare i dati della macchina virtuale e generare lo script.

Lo script generato è firmato con il certificato Microsoft ufficiale per il servizio Backup di Azure. Eventuali manomissioni dello script indicano che la firma è danneggiata e qualsiasi tentativo di eseguire lo script viene evidenziato come un potenziale rischio da parte del sistema operativo.

Montare il volume di ripristino (che può eseguire lo script)

Solo un amministratore può eseguire lo script e l'operazione deve essere eseguita in modalità con privilegi elevati. Lo script esegue solo un set di passaggi pregenerati e non accetta input da un'origine esterna.

Per eseguire lo script, è necessaria una password visualizzata solo all'utente autorizzato al momento della generazione di script nel portale di Azure o PowerShell/CLI. Ciò consente di assicurarsi che anche l'utente autorizzato che scarica lo script sia responsabile dell'esecuzione dello script.

Esplorare file e cartelle

Per esplorare file e cartelle, lo script usa l'iniziatore iSCSI nel computer e si connette al punto di ripristino configurato come destinazione iSCSI. Qui è possibile immaginare scenari in cui si prova a imitare o eseguire lo spoofing di uno o tutti i componenti.

Viene usato un meccanismo di autenticazione CHAP reciproca, in modo che ogni componente esegua l'autenticazione dell'altro. Ciò significa che è molto difficile per un iniziatore fittizio connettersi alla destinazione iSCSI e per una destinazione fittizia connettersi al computer in cui viene eseguito lo script.

Il flusso di dati tra il servizio di ripristino e il computer è protetto dalla compilazione di un tunnel TLS sicuro su TCP (TLS 1.2 dovrebbe essere supportato nel computer in cui viene eseguito lo script).

Qualsiasi file Controllo di accesso List (ACL) presente nella macchina virtuale padre/di cui è stato eseguito il backup viene mantenuto anche nel file system montato.

Lo script concede l'accesso in sola lettura a un punto di ripristino ed è valido solo per 12 ore. Se si vuole rimuovere l'accesso in precedenza, accedere a portale di Azure/PowerShell/CLI ed eseguire lo smontaggio dei dischi per quel particolare punto di ripristino. Lo script verrà immediatamente invalidato.

Passaggi successivi