이 문서에서는 Azure Backup을 사용하여 암호화된 디스크로 Windows 또는 Linux Azure VM(가상 머신)을 백업하고 복원하는 방법을 설명합니다. 자세한 내용은 Azure VM 백업 암호화를 참조하세요.
암호화된 Azure VM의 백업 및 복원에 지원되는 시나리오
이 섹션에서는 암호화된 Azure VM의 백업 및 복원에 지원되는 시나리오에 대해 설명합니다.
플랫폼 관리형 키를 사용하여 암호화
기본적으로 VM의 모든 디스크는 SSE(스토리지 서비스 암호화)를 사용하는 PMK(플랫폼 관리형 키)를 사용하여 미사용 시 자동으로 암호화됩니다. 마지막에 암호화를 지원하는 데 필요한 특정 작업 없이 Azure Backup을 사용하여 이러한 VM을 백업할 수 있습니다. 플랫폼 관리형 키를 사용한 암호화에 대한 자세한 내용은 암호화된 Azure VM 백업 및 복원을 참조하세요.
고객 관리형 키를 사용하여 암호화
CMK(고객 관리형 키)를 사용하여 디스크를 암호화하는 경우 디스크를 암호화하는 데 사용되는 키는 관리하는 Azure Key Vault에 저장됩니다. CMK를 사용하는 SSE는 ADE(Azure Disk Encryption)와 다릅니다. ADE는 OS의 암호화 도구를 사용합니다. SSE는 스토리지 서비스의 데이터를 암호화하므로 VM에 OS 또는 이미지를 사용할 수 있습니다.
CMK를 사용하여 디스크를 암호화하는 VM의 백업 또는 복원에 대한 명시적 작업을 수행할 필요가 없습니다. 이들 VM의 백업 데이터는 볼트에 저장되어 있으며, 볼트에 사용되는 암호화와 동일한 방법으로 암호화됩니다.
CMK를 사용한 관리 디스크 암호화에 대한 자세한 내용은 Azure 디스크 스토리지의 서버 쪽 암호화를 참조하세요.
ADE를 사용하여 암호화 지원
Azure Backup은 OS/데이터 디스크가 ADE로 암호화된 Azure VM의 백업을 지원합니다. ADE는 Windows VM의 암호화에 Azure BitLocker를 사용하고 Linux VM에 대한 dm-crypt 기능을 사용합니다. ADE은 Azure Key Vault와 통합되어 디스크 암호화 키와 비밀을 관리합니다. KEK(Key Vault 키 암호화 키)를 사용하여 추가 보안 계층을 추가할 수도 있습니다. KEK는 비밀을 Key Vault에 쓰기 전에 암호화합니다.
Azure Backup은 다음 표에 요약된 대로 Microsoft Entra 앱의 유무에 관계없이 ADE를 사용하여 Azure VM을 백업하고 복원할 수 있습니다.
| VM 디스크 유형 | ADE(BEK/dm-crypt) | ADE 및 KEK |
|---|---|---|
| 비관리 | 예 | 예 |
| 관리됨 | 예 | 예 |
제한 사항
암호화된 Azure VM을 백업하거나 복원하기 전에 다음 제한 사항을 검토합니다.
- 동일한 구독 내에서 ADE 암호화 VM을 백업하고 복원할 수 있습니다.
- 독립 실행형 키를 사용해야만 VM을 암호화할 수 있습니다. VM을 암호화하는 데 사용되는 인증서의 일부인 키는 현재 지원되지 않습니다.
- 보조 지역으로 데이터를 복원할 수 있습니다. Azure Backup은 암호화된 Azure VM을 Azure 쌍으로 연결된 지역으로 지역 간 복원을 지원합니다. 자세한 내용은 지원 매트릭스를 참조하세요.
- 파일 또는 폴더 수준에서 ADE 암호화 VM을 복구할 수 있습니다. 파일 및 폴더를 복원하려면 전체 VM을 복구해야 합니다.
- VM을 복원할 때는 ADE 암호화 VM에 기존 VM 바꾸기 옵션을 사용할 수 없습니다. 이 옵션은 암호화되지 않은 관리 디스크에 대해서만 지원됩니다.
시작하기 전에
시작하기 전에 다음 단계를 수행합니다.
- ADE를 사용하도록 설정된 하나 이상의 Windows 또는 Linux VM이 있는지 확인합니다.
- Azure VM 백업에 대한 지원 매트릭스를 검토합니다.
- Recovery Services Backup 자격 증명 모음이 없다면 이를 만듭니다.
- 백업에 대해 이미 사용하도록 설정된 VM에 암호화를 사용하도록 설정하는 경우 Azure Backup에 키 자격 증명 모음에 액세스할 수 있는 권한을 제공하여 중단 없이 백업을 계속할 수 있도록 합니다. 이러한 사용 권한을 할당하는 방법에 대해 자세히 알아보세요.
경우에 따라 VM에 VM 에이전트를 설치해야 할 수도 있습니다.
Azure Backup은 머신에서 실행되는 Azure VM 에이전트에 확장을 설치하여 Azure VM을 백업합니다. Azure Marketplace 이미지에서 VM을 만든 경우 에이전트가 설치되어 실행됩니다. 사용자 지정 VM을 만들거나 온-프레미스 컴퓨터를 마이그레이션하는 경우 에이전트를 수동으로 설치해야 할 수 있습니다.
백업 정책 구성
백업 정책을 구성하려면 다음 단계를 수행합니다.
Recovery Services 백업 보관소가 없는 경우 이 지침에 따라 백업 보관소를 만듭니다.
Backup 센터로 이동하고 개요 탭에서 + 백업을 선택합니다.
데이터 원본 유형으로 Azure Virtual Machines를 선택하고, 생성한 보관소를 선택합니다. 그런 다음 계속을 선택합니다.
자격 증명 모음과 연결할 정책을 선택한 다음, 확인을 선택합니다.
- 백업 정책은 백업이 수행되는 시기와 백업이 저장되는 기간을 지정합니다.
- 기본 정책의 세부 정보는 드롭다운 메뉴에 나열됩니다.
기본 정책을 사용하지 않으려면 새로 만들기를 선택하고 사용자 지정 정책을 만듭니다.
Virtual Machines에서 추가를 선택합니다.
선택 정책을 사용하여 백업하려는 암호화된 VM을 선택하고 확인을 선택합니다.
Key Vault를 사용하는 경우 자격 증명 모음 페이지에 Azure Backup이 키 자격 증명 모음의 키 및 비밀에 대한 읽기 전용 액세스 권한이 필요하다는 메시지가 표시됩니다.
이 메시지가 표시되면 다음 작업이 필요하지 않습니다.
이 메시지가 표시되면 다음 절차에 설명된 대로 사용 권한을 설정합니다.
백업 사용을 선택하여 금고에 백업 정책을 배포하고 선택한 VM의 백업을 활성화합니다.
RBAC 사용 키 자격 증명 모음을 통해 ADE 암호화된 VM 백업하기
Azure RBAC(역할 기반 액세스 제어)에서 사용하도록 설정된 키 자격 증명 모음을 사용하여 ADE 암호화 VM에 대한 백업을 사용하도록 설정하려면 키 자격 증명 모음에 대한 액세스 제어 에 역할 할당을 추가하여 Key Vault 관리자 역할을 백업 관리 서비스 Microsoft Entra 앱에 할당합니다.
VM 백업 작업은 Recovery Services 볼트의 관리 ID 대신 백업 관리 서비스 앱을 사용하여 키 볼트에 액세스합니다. 백업이 제대로 작동하려면 이 앱에 필요한 키 자격 증명 모음 권한을 부여해야 합니다.
사용 가능한 역할에 대해 알아봅니다. Key Vault 관리자 역할을 사용하면 비밀과 키를 모두 가져와나열하고 백업 할 수 있습니다.
Azure RBAC을 사용하는 키 볼트의 경우, 다음 권한 집합으로 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 역할을 만드는 방법을 알아봅니다.
비고
Azure Government를 사용하는 경우 적절한 액세스 및 기능을 사용하도록 설정하기 위해 Key Vault 관리자 역할이 Backup Fairfax Microsoft Entra 애플리케이션에 할당되었는지 확인합니다.
| 작업 | 설명 |
|---|---|
Microsoft.KeyVault/vaults/keys/backup/action |
키의 백업 파일을 만듭니다. |
Microsoft.KeyVault/vaults/secrets/backup/action |
비밀의 백업 파일을 만듭니다. |
Microsoft.KeyVault/vaults/secrets/getSecret/action |
비밀의 값을 가져옵니다. |
Microsoft.KeyVault/vaults/keys/read |
지정된 보관소의 키를 나열하거나 속성과 공용 자료를 읽어옵니다. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action |
비밀의 속성을 나열하거나 볼 수 있지만 해당 값은 나열하지 않습니다. |
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/secrets/backup/action",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
]
백업 작업 트리거
초기 백업은 일정에 따라 실행되지만 즉시 실행할 수도 있습니다.
백업 센터로 이동하여 백업 인스턴스 메뉴 항목을 선택합니다.
데이터 원본 유형에 대해 Azure Virtual Machines를 선택합니다. 그런 다음 백업을 위해 구성한 VM을 검색합니다.
관련 행을 마우스 오른쪽 단추로 클릭하거나 자세히 (...)를 선택한 다음 지금 백업을 선택합니다.
지금 백업에서 일정 컨트롤을 사용하여 복구 지점을 보존해야 하는 마지막 날을 선택합니다. 그런 다음, 확인을 선택합니다.
포털 알림을 모니터링합니다.
작업 진행 상황을 모니터링하려면 Backup 센터>Backup 작업 으로 이동하여 진행 중인 작업에 대한 목록을 필터링합니다. VM의 크기에 따라 초기 백업을 만드는 데 시간이 걸릴 수 있습니다.
권한 제공
연결된 VM과 함께 키와 비밀을 백업하려면 Azure Backup에 읽기 전용 액세스가 필요합니다.
- 키 자격 증명 모음이 Azure 구독의 Microsoft Entra 테넌트와 연결되어 있습니다. 멤버 사용자인 경우 Azure Backup은 추가 작업 없이 키 자격 증명 모음에 대한 액세스를 획득합니다.
- 게스트 사용자인 경우 Azure Backup에서 키 자격 증명 모음에 액세스할 수 있는 권한을 제공해야 합니다. 암호화된 VM에 대한 Azure Backup을 구성하려면 키 자격 증명 모음에 대한 액세스 권한이 있어야 합니다.
키 자격 증명 모음에 대한 Azure RBAC 권한을 제공하려면 키 자격 증명 모음에 대한 RBAC 사용 권한을 참조하세요.
권한을 설정하려면:
Azure Portal에서 모든 서비스를 선택하고 키 자격 증명 모음을 검색합니다.
백업 중인 암호화된 VM과 연결된 키 자격 증명 모음을 선택합니다.
팁
VM의 연결 된 키 자격 증명 모음을 식별하려면 다음 PowerShell 명령을 사용합니다. 리소스 그룹 이름 및 VM 이름을 대체합니다.
Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status다음 줄에서 키 자격 증명 모음 이름을 찾습니다.
SecretUrl : https://<keyVaultName>.vault.azure.net액세스 정책>액세스 정책 추가를 선택합니다.
템플릿에서 액세스 정책>구성 추가(선택 사항)의 경우 Azure Backup을 선택합니다.
- 키 권한 및 비밀 권한에서 필요한 권한이 미리 입력됩니다.
- VM이 BEK만 사용하여 암호화된 경우 비밀에 대한 권한만 필요하기 때문에 키 사용 권한에 대한 선택을 제거합니다.
현재 액세스 정책에서 Backup 관리 서비스를 추가하려면 추가를 선택합니다.
저장을 선택하여 Azure Backup에 권한을 제공합니다.
PowerShell 또는 Azure CLI를 사용하여 액세스 정책을 설정할 수도 있습니다.
관련 콘텐츠
문제가 발생하는 경우 다음 문서를 검토하세요.
- 암호화된 Azure VM 백업 및 복원 시 일반적인 오류
- Azure VM 에이전트/백업 확장 문제
- Azure Backup을 사용하여 암호화된 VM에 대한 Key Vault 키 및 비밀을 복원합니다.