Share via


Bestanden herstellen vanuit de back-up van Azure-virtuele machine

Let op

Dit artikel verwijst naar CentOS, een Linux-distributie met de EOL-status (End Of Life). Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

Azure Backup biedt de mogelijkheid om virtuele Azure-machines (VM's) en schijven te herstellen vanuit Azure VM-back-ups, ook wel herstelpunten genoemd. In dit artikel wordt uitgelegd hoe u bestanden en mappen herstelt vanuit een back-up van een Virtuele Azure-machine. Het herstellen van bestanden en mappen is alleen beschikbaar voor Virtuele Azure-machines die zijn geïmplementeerd met behulp van het Resource Manager-model en beveiligd zijn voor een Recovery Services-kluis.

Notitie

Deze functie is beschikbaar voor Azure-VM's die zijn geïmplementeerd met behulp van het Resource Manager-model en zijn beveiligd voor een Recovery Services-kluis. Bestandsherstel vanuit een versleutelde VM-back-up wordt niet ondersteund.

Werkstroom voor herstel van bestandsmappen

Stap 1: Script genereren en downloaden om door bestanden te bladeren en te herstellen

Als u bestanden of mappen vanaf het herstelpunt wilt herstellen, gaat u naar de virtuele machine en voert u de volgende stappen uit:

  1. Meld u aan bij Azure Portal en selecteer virtuele machines in het linkerdeelvenster. Selecteer in de lijst met virtuele machines de virtuele machine om het dashboard van die virtuele machine te openen.

  2. Selecteer Back-up in het menu van de virtuele machine om het dashboard Back-up te openen.

    Back-upitem van Recovery Services-kluis openen

  3. Selecteer Bestand herstellen in het menu Back-updashboard.

    Bestandsherstel selecteren32

    Het menu Bestand herstellen wordt geopend.

    Menu Bestandsherstel

Belangrijk

Gebruikers moeten rekening houden met de prestatiebeperkingen van deze functie. Zoals wordt aangegeven in de voetnootsectie van de bovenstaande blade, moet deze functie worden gebruikt wanneer de totale herstelgrootte 10 GB of minder is. De verwachte gegevensoverdrachtsnelheden zijn ongeveer 1 GB per uur.

  1. Selecteer in de vervolgkeuzelijst Herstelpunt selecteren het herstelpunt met de gewenste bestanden. Standaard is het meest recente herstelpunt al geselecteerd.

  2. Selecteer Uitvoerbare bestanden downloaden (voor Virtuele Windows Azure-machines) of Downloadscript (voor Linux Azure-VM's, er wordt een Python-script gegenereerd) om de software te downloaden die wordt gebruikt voor het kopiëren van bestanden vanaf het herstelpunt.

    Uitvoerbaar bestand downloaden

    Azure downloadt het uitvoerbare bestand of script naar de lokale computer.

    downloadbericht voor het uitvoerbare bestand of script

    Als u het uitvoerbare bestand of script als beheerder wilt uitvoeren, wordt u aangeraden het gedownloade bestand op uw computer op te slaan.

  3. Het uitvoerbare bestand of script is beveiligd met een wachtwoord en vereist een wachtwoord. Selecteer in het menu Bestandsherstel de kopieerknop om het wachtwoord in het geheugen te laden.

    Gegenereerd wachtwoord

Stap 2: Zorg ervoor dat de machine voldoet aan de vereisten voordat het script wordt uitgevoerd

Nadat het script is gedownload, controleert u of u de juiste computer hebt om dit script uit te voeren. De VM waarop u het script wilt uitvoeren, mag geen van de volgende niet-ondersteunde configuraties hebben. Als dit het geval is, kiest u een alternatieve machine die voldoet aan de vereisten.

Dynamische schijven

U kunt het uitvoerbare script niet uitvoeren op de virtuele machine met een van de volgende kenmerken: Kies een alternatieve machine

  • Volumes die meerdere schijven omvatten (spanned en striped volumes).
  • Fouttolerante volumes (gespiegelde en RAID-5-volumes) op dynamische schijven.

Windows-opslagruimten

U kunt het gedownloade uitvoerbare bestand niet uitvoeren op dezelfde back-up-VM als de back-up-VM Windows Opslagruimten heeft. Kies een alternatieve computer.

Back-ups van virtuele machines met grote schijven

Als de back-upmachine een groot aantal schijven (16) of grote schijven (>>elk 4 TB) heeft, wordt het niet aanbevolen om het script uit te voeren op dezelfde computer voor herstel, omdat dit een aanzienlijke invloed heeft op de virtuele machine. In plaats daarvan is het raadzaam om alleen een afzonderlijke VIRTUELE machine te hebben voor bestandsherstel (Azure VM D2v3-VM's) en deze vervolgens uit te schakelen wanneer dit niet nodig is.

Zie de vereisten voor het herstellen van bestanden van back-up-VM's met een grote schijf:
Windows-besturingssysteem
Linux-besturingssysteem

Nadat u de juiste computer hebt gekozen om het ILR-script uit te voeren, moet u ervoor zorgen dat het voldoet aan de vereisten voor het besturingssysteem en de toegangsvereisten.

Stap 3: Besturingssysteemvereisten voor het uitvoeren van het script

De VM waarop u het gedownloade script wilt uitvoeren, moet voldoen aan de volgende vereisten.

Voor Windows-besturingssysteem

In de volgende tabel ziet u de compatibiliteit tussen server- en computerbesturingssystemen. Wanneer u bestanden herstelt, kunt u geen bestanden herstellen naar een eerdere of toekomstige versie van het besturingssysteem. U kunt bijvoorbeeld geen bestand herstellen van een Windows Server 2016 VM naar Windows Server 2012 of een Windows 8-computer. U kunt bestanden van een VM herstellen naar hetzelfde serverbesturingssysteem of naar het compatibele clientbesturingssysteem.

Server OS Compatibel client-besturingssysteem
Windows Server 2022 Windows 11 en Windows 10
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7

Voor Linux-besturingssysteem

In Linux moet het besturingssysteem van de computer die wordt gebruikt om bestanden te herstellen het bestandssysteem van de beveiligde virtuele machine ondersteunen. Wanneer u een computer selecteert om het script uit te voeren, controleert u of de computer een compatibel besturingssysteem heeft en gebruikt u een van de versies die in de volgende tabel zijn geïdentificeerd:

Linux-besturingssysteem Versies
Ubuntu 12.04 en hoger
CentOS 6.5 en hoger
RHEL 6.7 en hoger
Debian 7 en hoger
Oracle Linux 6.4 en hoger
SLES 12 en hoger
openSUSE 42.2 en hoger

Extra componenten

Voor het script moeten Python- en Bash-onderdelen ook veilig worden uitgevoerd en verbonden met het herstelpunt.

Onderdeel Versie Type besturingssysteem
bash 4 en hoger Linux
Python 2.6.6 en hoger Linux
.NET 4.6.2 en hoger Windows
TLS 1.2 moet worden ondersteund Linux/Windows

Zorg er ook voor dat u over de juiste computer beschikt om het ILR-script uit te voeren en voldoet aan de toegangsvereisten.

Stap 4: Toegangsvereisten voor het uitvoeren van het script

Als u het script uitvoert op een computer met beperkte toegang, controleert u of er toegang is tot:

  • download.microsoft.com of AzureFrontDoor.FirstParty servicetag in NSG op poort 443 (uitgaand)
  • RECOVERY Service-URL's (GEO-NAAM verwijst naar de regio waar de Recovery Services-kluis zich bevindt) op poort 3260 (uitgaand)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (Voor openbare Azure-regio's) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (Voor Microsoft Azure beheerd door 21Vianet) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (Voor Azure US Government) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (Voor Azure Duitsland) of AzureBackup servicetag in NSG
  • Openbare DNS-omzetting op poort 53 (uitgaand)

Notitie

Proxy's ondersteunen mogelijk geen iSCSI-protocol of geven toegang tot poort 3260. Daarom is het raadzaam om dit script uit te voeren op computers die directe toegang hebben zoals hierboven vereist en niet op de computers die worden omgeleid naar de proxy.

Notitie

In het geval dat de back-up van de virtuele machine Windows is, wordt de geo-naam vermeld in het wachtwoord dat is gegenereerd.

Als het gegenereerde wachtwoord bijvoorbeeld is ContosoVM_wcus_GUID, is geo-naam wcus en is de URL: <https://pod01-rec2.wcus.backup.windowsazure.com>

Als de back-up van de virtuele machine Linux is, heeft het scriptbestand dat u in stap 1 hierboven hebt gedownload, de geografische naam in de naam van het bestand. Gebruik deze geo-naam om de URL in te vullen. De gedownloade scriptnaam begint met: 'VMname'_'geoname'_'GUID'.

Als de bestandsnaam van het script bijvoorbeeld ContosoVM_wcus_12345678 is, is de geo-naam wcus en de URL:<https://pod01-rec2.wcus.backup.windowsazure.com>

Voor Linux vereist het script 'open-iscsi' en 'lshw'-onderdelen om verbinding te maken met het herstelpunt. Als de onderdelen niet bestaan op de computer waarop het script wordt uitgevoerd, vraagt het script om toestemming om de onderdelen te installeren. Geef toestemming om de benodigde onderdelen te installeren.

De toegang is download.microsoft.com vereist om onderdelen te downloaden die worden gebruikt om een beveiligd kanaal te bouwen tussen de computer waarop het script wordt uitgevoerd en de gegevens in het herstelpunt.

Zorg er ook voor dat u de juiste computer hebt om het ILR-script uit te voeren en voldoet aan de vereisten van het besturingssysteem.

Stap 5: het script uitvoeren en volumes identificeren

Notitie

Het script wordt alleen in de Engelse taal gegenereerd en is niet gelokaliseerd. Daarom kan het nodig zijn dat de landinstelling van het systeem in het Engels is om het script correct uit te voeren

Voor Windows

Nadat u aan alle vereisten in stap 2, stap 3 en stap 4 hebt voldaan, kopieert u het script vanaf de gedownloade locatie (meestal de map Downloads), raadpleegt u stap 1 voor meer informatie over het genereren en downloaden van scripts. Klik met de rechtermuisknop op het uitvoerbare bestand en voer het uit met beheerdersreferenties. Wanneer u hierom wordt gevraagd, typt u het wachtwoord of plakt u het wachtwoord uit het geheugen en drukt u op Enter. Zodra het geldige wachtwoord is ingevoerd, maakt het script verbinding met het herstelpunt.

Schermopname van de uitvoer van het uitvoerbare bestand voor het terugzetten van bestanden vanaf een VIRTUELE machine.

Wanneer u het uitvoerbare bestand uitvoert, koppelt het besturingssysteem de nieuwe volumes en wijst stationsletters toe. U kunt Windows Verkenner of Bestandenverkenner gebruiken om door deze stations te bladeren. De stationsletters die aan de volumes zijn toegewezen, zijn mogelijk niet dezelfde letters als de oorspronkelijke virtuele machine. De volumenaam blijft echter behouden. Als het volume op de oorspronkelijke virtuele machine bijvoorbeeld 'Gegevensschijf (E:\)' was, kan dat volume op de lokale computer worden gekoppeld als 'Gegevensschijf ('Willekeurige letter':).\ Blader door alle volumes die worden vermeld in de scriptuitvoer totdat u uw bestanden of map hebt gevonden.

Gekoppelde herstelvolumes

Voor vm's waarvan een back-up is gemaakt met grote schijven (Windows)

Als het bestandsherstelproces vastloopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn gekoppeld of als deze niet zijn gekoppeld, maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Zorg ervoor dat het besturingssysteem WS 2012 of hoger is.

  2. Zorg ervoor dat de registersleutels zijn ingesteld zoals hieronder wordt voorgesteld op de herstelserver en zorg ervoor dat u de server opnieuw opstart. Het getal naast de GUID kan variëren van 0001-0005. In het volgende voorbeeld is dit 0004. Navigeer door het pad naar de registersleutel totdat de sectie parameters wordt weergegeven.

    Registersleutelwijzigingen

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

Voor Linux

Nadat u aan alle vereisten in stap 2, stap 3 en stap 4 hebt voldaan, genereert u een Python-script voor Linux-machines. Zie stap 1 voor meer informatie over het genereren en downloaden van scripts. Download het script en kopieer het naar de relevante/compatibele Linux-server. Mogelijk moet u de machtigingen wijzigen om deze uit te voeren.chmod +x <python file name> Voer vervolgens het Python-bestand uit met ./<python file name>.

In Linux worden de volumes van het herstelpunt gekoppeld aan de map waarin het script wordt uitgevoerd. De gekoppelde schijven, volumes en de bijbehorende koppelpaden worden dienovereenkomstig weergegeven. Deze koppelingspaden zijn zichtbaar voor gebruikers met toegang op hoofdniveau. Blader door de volumes die worden vermeld in de scriptuitvoer.

Menu Voor herstel van Linux-bestanden

Voor vm's waarvan een back-up is gemaakt met grote schijven (Linux)**

Als het bestandsherstelproces vastloopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn gekoppeld of als deze niet zijn gekoppeld, maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Wijzig in het bestand /etc/iscsi/iscsid.conf de instelling van:
    • node.conn[0].timeo.noop_out_timeout = 5 tot en met node.conn[0].timeo.noop_out_timeout = 120
  2. Nadat u de bovenstaande wijzigingen hebt aangebracht, voert u het script opnieuw uit. Als er tijdelijke fouten optreden, moet u ervoor zorgen dat er een tussenruimte van 20 tot 30 minuten tussen nieuwe pogingen is om opeenvolgende bursts van aanvragen te voorkomen die van invloed zijn op de doelvoorbereiding. Dit interval tussen opnieuw uitvoeren zorgt ervoor dat het doel gereed is voor verbinding vanuit het script.
  3. Nadat het bestand is hersteld, gaat u terug naar de portal en selecteert u Schijven ontkoppelen voor herstelpunten waar u geen volumes kon koppelen. In wezen zal deze stap alle bestaande processen/sessies opschonen en de kans op herstel vergroten.

LVM-/RAID-matrices (voor Linux-VM's)

In Linux worden LVM-matrices (Logical Volume Manager) en/of software RAID-matrices gebruikt voor het beheren van logische volumes via meerdere schijven. Als de beveiligde Linux-VM LVM en/of RAID-matrices gebruikt, kunt u het script niet uitvoeren op dezelfde VIRTUELE machine.
Voer in plaats daarvan het script uit op een andere computer met een compatibel besturingssysteem en dat het bestandssysteem van de beveiligde VM ondersteunt.
In de volgende scriptuitvoer worden de LVM- en/of RAID-matricesschijven en de volumes met het partitietype weergegeven.

Menu Linux LVM-uitvoer

Als u deze partities online wilt brengen, voert u de opdrachten uit in de volgende secties.

Voor LVM-partities

Zodra het script is uitgevoerd, worden de LVM-partities gekoppeld aan de fysieke volumes/schijven die zijn opgegeven in de scriptuitvoer. Het proces is om

  1. De unieke lijst met namen van volumegroepen ophalen van de fysieke volumes of schijven
  2. Geef vervolgens de logische volumes in die volumegroepen weer
  3. Koppel vervolgens de logische volumes aan een gewenst pad.
Namen van volumegroepen van fysieke volumes weergeven

Ga als volgende te werk om de namen van de volumegroepen weer te geven:

sudo pvs -o +vguuid

Met deze opdracht worden alle fysieke volumes weergegeven (inclusief de volumes die aanwezig zijn voordat het script wordt uitgevoerd), de bijbehorende volumegroepnamen en de unieke gebruikers-id's (UUID's) van de volumegroep. Hieronder ziet u een voorbeeld van de uitvoer van de opdracht.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

De eerste kolom (HW) toont het fysieke volume, de volgende kolommen tonen de relevante volumegroepnaam, indeling, kenmerken, grootte, vrije ruimte en de unieke id van de volumegroep. In de uitvoer van de opdracht worden alle fysieke volumes weergegeven. Raadpleeg de scriptuitvoer en identificeer de volumes die betrekking hebben op de back-up. In het bovenstaande voorbeeld zou de scriptuitvoer /dev/sdf en /dev/sdd hebben weergegeven. De datavg_db volumegroep behoort dus tot het script en de Appvg_new volumegroep behoort tot de computer. Het laatste idee is ervoor te zorgen dat een unieke volumegroepnaam één unieke id moet hebben.

Volumegroepen dupliceren

Er zijn scenario's waarin namen van volumegroepen 2 UUID's kunnen hebben nadat het script is uitgevoerd. Dit betekent dat de namen van de volumegroepen op de computer waarop het script wordt uitgevoerd en in de back-up-VM hetzelfde zijn. Vervolgens moeten we de naam van de volumegroepen van de back-up-VM's wijzigen. Bekijk het onderstaande voorbeeld.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

De scriptuitvoer zou /dev/sd, /dev/sdh, /dev/sdm2 hebben weergegeven als gekoppeld. De bijbehorende VG-namen zijn dus Appvg_new en rootvg. Maar dezelfde namen zijn ook aanwezig in de VG-lijst van de machine. We kunnen controleren of één VG-naam twee UUID's heeft.

Nu moeten we de naam van VG-namen wijzigen voor op scripts gebaseerde volumes, bijvoorbeeld: /dev/sd, /dev/sdh, /dev/sdm2. Gebruik de volgende opdracht om de naam van de volumegroep te wijzigen

sudo vgimportclone -n rootvg_new /dev/sdm2
sudo vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Nu hebben we alle VG-namen met unieke id's.

Actieve volumegroepen

Zorg ervoor dat de volumegroepen die overeenkomen met de volumes van het script actief zijn. De volgende opdracht wordt gebruikt om actieve volumegroepen weer te geven. Controleer of de gerelateerde volumegroepen van het script aanwezig zijn in deze lijst.

sudo vgdisplay -a

Activeer anders de volumegroep met behulp van de volgende opdracht.

sudo vgchange –a y  <volume-group-name>
Logische volumes in volumegroepen weergeven

Zodra we de unieke, actieve lijst met VG's met betrekking tot het script hebben, kunnen de logische volumes die aanwezig zijn in deze volumegroepen worden weergegeven met behulp van de volgende opdracht.

sudo lvdisplay <volume-group-name>

Met deze opdracht wordt het pad van elk logisch volume weergegeven als 'LV-pad'.

Logische volumes koppelen

De logische volumes koppelen aan het pad van uw keuze:

sudo mount <LV path from the lvdisplay cmd results> </mountpath>

Waarschuwing

Gebruik 'mount -a' niet. Met deze opdracht worden alle apparaten gekoppeld die worden beschreven in '/etc/fstab'. Dit kan betekenen dat dubbele apparaten kunnen worden gekoppeld. Gegevens kunnen worden omgeleid naar apparaten die zijn gemaakt door een script, die de gegevens niet persistent maken, en kunnen leiden tot gegevensverlies.

Voor RAID-matrices

Met de volgende opdracht worden details over alle raid-schijven weergegeven:

sudo mdadm –detail –scan

De relevante RAID-schijf wordt weergegeven als /dev/mdm/<RAID array name in the protected VM>

Gebruik de koppelingsopdracht als de RAID-schijf fysieke volumes heeft:

sudo mount [RAID Disk Path] [/mountpath]

Als op de RAID-schijf een andere LVM is geconfigureerd, gebruikt u de voorgaande procedure voor LVM-partities, maar gebruikt u de volumenaam in plaats van de naam van de RAID-schijf.

Stap 6: De verbinding sluiten

Nadat u de bestanden hebt geïdentificeerd en ze naar een lokale opslaglocatie hebt gekopieerd, verwijdert u de extra stations (of ontkoppelt u deze). Als u de stations wilt ontkoppelen, selecteert u Schijven ontkoppelen in het menu Bestandsherstel in Azure Portal.

Schijven ontkoppelen

Zodra de schijven zijn ontkoppeld, ontvangt u een bericht. Het kan enkele minuten duren voordat de verbinding is vernieuwd, zodat u de schijven kunt verwijderen.

Nadat de verbinding met het herstelpunt in Linux is verbroken, worden de bijbehorende koppelingspaden niet automatisch verwijderd door het besturingssysteem. De koppelpaden bestaan als zwevende volumes en zijn zichtbaar, maar veroorzaken een fout wanneer u de bestanden opent/schrijft. Ze kunnen handmatig worden verwijderd door het script uit te voeren met de parameter 'clean' (python scriptName.py clean). Wanneer het script wordt uitgevoerd, worden dergelijke volumes geïdentificeerd die afkomstig zijn van eerdere herstelpunten en worden ze opgeschoond na toestemming.

Notitie

Zorg ervoor dat de verbinding is gesloten nadat de vereiste bestanden zijn hersteld. Dit is belangrijk, met name in het scenario waarin de computer waarin het script wordt uitgevoerd, ook is geconfigureerd voor back-up. Als de verbinding nog steeds is geopend, kan de volgende back-up mislukken met de fout UserErrorUnableToOpenMount. Dit gebeurt omdat wordt aangenomen dat de gekoppelde stations/volumes beschikbaar zijn en wanneer ze worden geopend, ze mogelijk mislukken omdat de onderliggende opslag, dat wil gezegd, de iSCSI-doelserver mogelijk niet beschikbaar is. Als u de verbinding opschoont, worden deze stations/volumes verwijderd en zijn ze dus niet beschikbaar tijdens de back-up.

Beveiliging

In deze sectie worden de verschillende beveiligingsmaatregelen besproken die zijn genomen voor de implementatie van bestandsherstel vanuit Azure VM-back-ups.

Functiestroom

Deze functie is gebouwd om toegang te krijgen tot de VM-gegevens zonder dat u de volledige VM- of VM-schijven hoeft te herstellen en met het minimale aantal stappen. Toegang tot VM-gegevens wordt geleverd door een script (waarmee het herstelvolume wordt gekoppeld wanneer het wordt uitgevoerd zoals hieronder wordt weergegeven) en het vormt de hoeksteen van alle beveiligings-implementaties:

Stroom van beveiligingsfuncties

Beveiligings-implementaties

Herstelpunt selecteren (wie kan script genereren)

Het script biedt toegang tot VM-gegevens, dus het is belangrijk om te bepalen wie deze kan genereren. U moet zich aanmelden bij Azure Portal en azure RBAC geautoriseerd zijn om het script te genereren.

Bestandsherstel heeft hetzelfde autorisatieniveau nodig als vereist is voor het herstellen van vm's en schijven. Met andere woorden, alleen geautoriseerde gebruikers kunnen de VM-gegevens bekijken, kunnen het script genereren.

Het gegenereerde script is ondertekend met het officiële Microsoft-certificaat voor de Azure Backup-service. Eventuele manipulatie met het script betekent dat de handtekening is verbroken en een poging om het script uit te voeren, wordt gemarkeerd als een potentieel risico door het besturingssysteem.

Herstelvolume koppelen (wie kan script uitvoeren)

Alleen een beheerder kan het script uitvoeren en moet in verhoogde modus worden uitgevoerd. Het script voert alleen een vooraf gegenereerde set stappen uit en accepteert geen invoer van een externe bron.

Als u het script wilt uitvoeren, is een wachtwoord vereist dat alleen wordt weergegeven aan de geautoriseerde gebruiker op het moment dat het script wordt gegenereerd in Azure Portal of PowerShell/CLI. Dit is om ervoor te zorgen dat de geautoriseerde gebruiker die het script downloadt, ook verantwoordelijk is voor het uitvoeren van het script.

Door bestanden en mappen bladeren

Als u door bestanden en mappen wilt bladeren, gebruikt het script de iSCSI-initiator op de computer en maakt het verbinding met het herstelpunt dat is geconfigureerd als een iSCSI-doel. Hier kunt u zich scenario's voorstellen waarbij een van beide/alle onderdelen probeert te imiteren/spoofen.

We gebruiken een wederzijdse CHAP-verificatiemechanisme zodat elk onderdeel het andere verifieert. Dit betekent dat het zeer moeilijk is voor een nep-initiator om verbinding te maken met het iSCSI-doel en dat een nepdoel is verbonden met de computer waarop het script wordt uitgevoerd.

De gegevensstroom tussen de herstelservice en de machine wordt beveiligd door een beveiligde TLS-tunnel te bouwen via TCP (TLS 1.2 moet worden ondersteund op de computer waarop het script wordt uitgevoerd).

Elke ACL (File Access Control List) die aanwezig is in de bovenliggende/back-up-VM blijft ook behouden in het gekoppelde bestandssysteem.

Het script biedt alleen-lezentoegang tot een herstelpunt en is slechts 12 uur geldig. Als u de toegang eerder wilt verwijderen, meldt u zich aan bij Azure Portal/PowerShell/CLI en voert u de ontkoppelde schijven voor dat specifieke herstelpunt uit. Het script wordt onmiddellijk ongeldig gemaakt.

Volgende stappen