중요합니다
기밀 VM(가상 머신)용 Azure Backup은 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Azure Backup은 중요한 워크로드에 대한 보안 백업 및 복원을 제공하는 CVM(Confidential Virtual Machines) 을 지원합니다. 이 기능은 PMK(플랫폼 관리형 키) 또는 CMK(고객 관리형 키)와 함께 DES(Azure Disk Encryption Sets)를 사용하여 백업 수명 주기 내내 데이터 기밀성을 유지합니다. 기밀 VM은 애플리케이션과 가상화 스택 간에 하드웨어 적용 경계를 만들어 강력한 보안을 제공합니다.
이 문서에서는 플랫폼 또는 PMK(고객 관리형 키) 또는 CMK를 사용하여 CVM(기밀 VM)을 구성하고 백업하는 방법을 설명합니다.
기밀 VM 백업에 지원되는 시나리오
다음 표에서는 기밀 VM 백업에 지원되는 시나리오를 나열합니다.
| Scenario | Supportability |
|---|---|
| Virtual Machine 크기 |
v6 시리즈 가 지원됩니다. v5 시리즈는 지원되지 않습니다. |
| 지역 가용성 | 아랍에미리트 북부, 조선중앙에서 지원. |
| 백업에 대한 키 회전 | 기밀 가상 머신에서 키 회전이 발생하면 VM 디스크, 관련 복원 지점 및 스냅샷에 대한 키가 자동으로 업데이트됩니다. 알려진 문제: 이 미리 보기 릴리스 의 키 회전에는 다음과 같은 시나리오에서 성능 문제가 있거나 실패할 수 있습니다. - 복원 지점이 이러한 디스크와 연결된 경우 40개 이상의 디스크가 하나의 DES에 연결됩니다. - 동일한 DES에 연결된 이러한 디스크에 대한 Azure 백업 외부에서 디스크 스냅샷을 직접 만드는 경우 DES 매핑에 대한 40개 디스크의 안전 임계값을 낮춥니다. 권장 사항: 문제가 해결될 때까지 각 DES에 연결된 디스크 수를 최소한으로 유지합니다. |
| 백업 기능 | - OS 디스크 암호화로만 기밀 VM을 백업할 수 있습니다. - 구독에 대해 CVM v2 옵트아웃 기능 플래그를 사용하도록 설정하면 백업 및 복원이 실패합니다. - 다중 디스크 크래시 일관성 백업이 지원되지 않습니다. - CVM v6 VM 크기는 Azure 쌍을 이루는 지역에서 일반적으로 사용할 수 없기 때문에 지역 간 복원은 현재 지원되지 않습니다. |
필수 조건
CMK를 사용하여 CVM에 대한 백업을 구성하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.
Azure 구독에서 미리 보기 기능에 등록 - 이름:
RestorePointSupportForConfidentialVMV2공급자:Microsoft.Compute. 포털에서 이 작업을 수행하려면 여기의 단계를 수행할 수 있습니다. 다음 PowerShell cmdlet을 실행할 수도 있습니다. 등록이 자동으로 승인됩니다.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"지원되는 지역에서 CVM(기밀 VM)을 식별하거나 만듭니다. 지원되는 지역을 참조하세요.
VM과 동일한 지역에 복구 서비스 자격 증명 모음을 식별하거나 생성합니다
PMK 또는 CMK를 사용하여 새 기밀 VM 만들기
Azure Backup을 사용하여 기밀 VM을 백업하려면 PMK 또는 CMK 암호화로 구성된 기밀 VM이 있어야 합니다. Azure Backup은 VM과 연결된 DES(디스크 암호화 집합)를 사용하여 백업 및 복원 프로세스 전체에서 암호화를 유지 관리합니다.
필요한 경우 PMK 또는 CMK를 사용하여 새 기밀 VM을 만드는 방법을 알아봅니다.
기밀 VM 백업에 대한 권한 할당
Azure Backup을 사용하려면 키를 저장하는 Key Vault 또는 HSM(Managed Hardware Security Module)에 액세스해야 합니다. 이 액세스 권한은 서비스에서 키를 백업하고 삭제된 경우 복구할 수 있도록 합니다. Azure Portal에서 백업을 구성하면 Azure Backup에서 필요한 권한을 자동으로 가져옵니다. PowerShell, CLI 또는 REST API와 같은 다른 클라이언트를 사용하는 경우 이러한 권한을 수동으로 할당해야 합니다.
Key Vault를 사용하여 키를 저장하는 경우 백업 작업에 대한 권한을 Azure Backup 서비스에 부여합니다.
MHSM에 대한 권한을 할당하려면 다음 단계를 수행합니다.
Azure Portal에서 관리형 HSM으로 이동한 다음 설정에서 로컬 RBAC를 선택합니다.
추가를 선택하여 새 역할 할당을 추가합니다.
다음 역할 중 하나를 선택합니다.
기본 제공 역할: 기본 제공 역할을 사용하려면 관리형 HSM 암호화 사용자 역할을 선택합니다.
사용자 지정 역할: 사용자 지정 역할을 사용하려면 해당 역할의 dataActions 에 다음 값이 있어야 합니다.
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
관리형 HSM 데이터 평면 역할 관리를 사용하여 사용자 지정 역할을 만들 수 있습니다.
범위의 경우 고객 관리형 키를 사용하여 기밀 VM을 만드는 데 사용되는 특정 키를 선택합니다.
모든 키를 선택할 수도 있습니다.
보안 주체에서 Backup 관리 서비스를 선택합니다.
기밀 VM에 대한 백업 구성
Azure Backup에 필요한 권한이 있으면 백업을 계속 구성할 수 있습니다. Azure VM 백업을 구성하는 방법을 알아봅니다.
다음 단계
Azure Backup(미리 보기)을 사용하여 CVM을 복원합니다.