Bestanden herstellen vanuit de back-up van Azure-virtuele machine

Azure Backup biedt de mogelijkheid om virtuele Azure-machines (VM's) en schijven te herstellen vanuit Back-ups van Azure-VM's, ook wel herstelpunten genoemd. In dit artikel wordt uitgelegd hoe u bestanden en mappen herstelt vanuit een back-up van een Azure-VM. Het herstellen van bestanden en mappen is alleen beschikbaar voor Virtuele Azure-machines die zijn geïmplementeerd met behulp van het Resource Manager-model en beveiligd in een Recovery Services-kluis.

Notitie

Deze functie is beschikbaar voor Virtuele Azure-machines die zijn geïmplementeerd met behulp van het Resource Manager-model en beveiligd in een Recovery Services-kluis. Bestandsherstel vanuit een versleutelde VM-back-up wordt niet ondersteund.

File folder recovery workflow

Stap 1: Script genereren en downloaden om te bladeren en bestanden te herstellen

Als u bestanden of mappen vanaf het herstelpunt wilt herstellen, gaat u naar de virtuele machine en voert u de volgende stappen uit:

  1. Meld u aan bij de Azure Portal en selecteer virtuele machines in het linkerdeelvenster. Selecteer in de lijst met virtuele machines de virtuele machine om het dashboard van die virtuele machine te openen.

  2. Selecteer Back-up in het menu van de virtuele machine om het dashboard Back-up te openen.

    Open Recovery Services vault backup item

  3. Selecteer Bestand herstellen in het menu Back-updashboard.

    Select File Recovery32

    Het menu Bestandsherstel wordt geopend.

    File recovery menu

Belangrijk

Gebruikers moeten rekening houden met de prestatiebeperkingen van deze functie. Zoals vermeld in de voetnootsectie van de bovenstaande blade, moet deze functie worden gebruikt wanneer de totale herstelgrootte niet hoger is dan 10 GB en u gegevensoverdrachtsnelheden van ongeveer 1 GB per uur kunt krijgen

  1. Selecteer in de vervolgkeuzelijst Herstelpunt selecteren het herstelpunt met de gewenste bestanden. Standaard is het meest recente herstelpunt al geselecteerd.

  2. Selecteer Uitvoerbare bestanden downloaden (voor Windows Azure-VM's) of Downloadscript (voor Linux Azure-VM's, er wordt een Python-script gegenereerd) om de software te downloaden die wordt gebruikt om bestanden van het herstelpunt te kopiëren.

    Download Executable

    Azure downloadt het uitvoerbare bestand of script naar de lokale computer.

    download message for the executable or script

    Als u het uitvoerbare bestand of script als beheerder wilt uitvoeren, wordt u aangeraden het gedownloade bestand op uw computer op te slaan.

  3. Het uitvoerbare bestand of script is beveiligd met een wachtwoord en vereist een wachtwoord. Selecteer in het menu Bestandsherstel de kopieerknop om het wachtwoord in het geheugen te laden.

    Generated password

Stap 2: Zorg ervoor dat de machine voldoet aan de vereisten voordat het script wordt uitgevoerd

Nadat het script is gedownload, controleert u of u de juiste computer hebt om dit script uit te voeren. De VM waarop u het script wilt uitvoeren, mag geen van de volgende niet-ondersteunde configuraties hebben. Als dat het geval is, kiest u een alternatieve machine die voldoet aan de vereisten.

Dynamische schijven

U kunt het uitvoerbare script niet uitvoeren op de VIRTUELE machine met een van de volgende kenmerken: Kies een alternatieve machine

  • Volumes die meerdere schijven omvatten (spanned en striped volumes).
  • Fouttolerante volumes (gespiegelde en RAID-5-volumes) op dynamische schijven.

Windows-opslagruimten

U kunt het gedownloade uitvoerbare bestand niet uitvoeren op dezelfde back-up-VM als de back-up van de VM Windows Opslagruimten heeft. Kies een alternatieve machine.

Back-ups van virtuele machines met grote schijven

Als de back-upcomputer een groot aantal schijven (>16) of grote schijven (> elk 4 TB) heeft, wordt het niet aanbevolen om het script uit te voeren op dezelfde machine voor herstel, omdat dit een aanzienlijke invloed heeft op de virtuele machine. In plaats daarvan is het raadzaam om alleen een afzonderlijke VM te hebben voor bestandsherstel (Azure VM D2v3-VM's) en deze vervolgens af te sluiten wanneer dit niet nodig is.

Zie de vereisten voor het herstellen van bestanden van vm's waarvan een back-up is gemaakt met een grote schijf:
Windows OS
Linux-besturingssysteem

Nadat u de juiste computer hebt gekozen om het ILR-script uit te voeren, moet u ervoor zorgen dat deze voldoet aan de vereisten en toegangsvereisten van het besturingssysteem.

Stap 3: besturingssysteemvereisten voor het uitvoeren van het script

De VM waarop u het gedownloade script wilt uitvoeren, moet voldoen aan de volgende vereisten.

Voor Windows besturingssysteem

In de volgende tabel ziet u de compatibiliteit tussen server- en computerbesturingssystemen. Wanneer u bestanden herstelt, kunt u bestanden niet herstellen naar een eerdere of toekomstige versie van het besturingssysteem. U kunt een bestand bijvoorbeeld niet herstellen van een Windows Server 2016 VM naar Windows Server 2012 of een Windows 8 computer. U kunt bestanden herstellen van een VIRTUELE machine naar hetzelfde serverbesturingssysteem of naar het compatibele clientbesturingssysteem.

Server OS Compatibel client-besturingssysteem
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7

Voor Linux-besturingssysteem

In Linux moet het besturingssysteem van de computer die wordt gebruikt om bestanden te herstellen het bestandssysteem van de beveiligde virtuele machine ondersteunen. Wanneer u een computer selecteert om het script uit te voeren, controleert u of de computer een compatibel besturingssysteem heeft en gebruikt u een van de versies die in de volgende tabel zijn geïdentificeerd:

Linux-besturingssysteem Versies
Ubuntu 12.04 en hoger
CentOS 6,5 en hoger
RHEL 6.7 en hoger
Debian 7 en hoger
Oracle Linux 6.4 en hoger
SLES 12 en hoger
openSUSE 42.2 en hoger

Voor het script moeten python- en bash-onderdelen ook veilig worden uitgevoerd en verbonden met het herstelpunt.

Onderdeel Versie
bash 4 en hoger
Python 2.6.6 en hoger
.NET 4.6.2 en hoger
TLS 1.2 moet worden ondersteund

Zorg er ook voor dat u de juiste computer hebt om het ILR-script uit te voeren en voldoet aan de toegangsvereisten.

Stap 4: Toegangsvereisten voor het uitvoeren van het script

Als u het script uitvoert op een computer met beperkte toegang, controleert u of er toegang is tot:

  • download.microsoft.com of AzureFrontDoor.FirstParty servicetag in NSG op poort 443 (uitgaand)
  • Recovery Service-URL's (GEO-NAAM verwijst naar de regio waar de Recovery Services-kluis zich bevindt) op poort 3260 (uitgaand)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (Voor openbare Azure-regio's) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (Voor Azure China 21Vianet) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (Voor Azure US Government) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (Voor Azure Duitsland) of AzureBackup servicetag in NSG
  • Openbare DNS-omzetting op poort 53 (uitgaand)

Notitie

Proxy's ondersteunen mogelijk geen iSCSI-protocol of geven toegang tot poort 3260. Daarom is het raadzaam om dit script uit te voeren op computers die directe toegang hebben zoals hierboven vereist en niet op de computers die worden omgeleid naar proxy.

Notitie

Als de back-up van de VIRTUELE machine wordt Windows, wordt de geo-naam vermeld in het wachtwoord dat wordt gegenereerd.

Als het gegenereerde wachtwoord bijvoorbeeld ContosoVM_wcus_GUID is, is geo-naam wcus en de URL: <https://pod01-rec2.wcus.backup.windowsazure.com>

Als de back-up van de VM Linux is, heeft het scriptbestand dat u in stap 1 hierboven hebt gedownload, de geo-naam in de naam van het bestand. Gebruik die geo-naam om de URL in te vullen. De gedownloade scriptnaam begint met: 'VMname'_'geoname'_'GUID'.

Als de bestandsnaam van het script bijvoorbeeld ContosoVM_wcus_12345678 is, is de geo-naamwcus en de URL: <https://pod01-rec2.wcus.backup.windowsazure.com>

Voor Linux vereist het script 'open-iscsi' en 'lshw'-onderdelen om verbinding te maken met het herstelpunt. Als de onderdelen niet bestaan op de computer waarop het script wordt uitgevoerd, vraagt het script om toestemming om de onderdelen te installeren. Geef toestemming om de benodigde onderdelen te installeren.

De toegang tot download.microsoft.com is vereist om onderdelen te downloaden die worden gebruikt om een beveiligd kanaal te bouwen tussen de computer waarop het script wordt uitgevoerd en de gegevens in het herstelpunt.

Zorg er ook voor dat u de juiste computer hebt om het ILR-script uit te voeren en voldoet aan de vereisten van het besturingssysteem.

Stap 5: het script uitvoeren en volumes identificeren

Notitie

Het script wordt alleen in de Engelse taal gegenereerd en is niet gelokaliseerd. Daarom kan het vereisen dat de landinstelling van het systeem in het Engels is om het script correct uit te voeren

Voor Windows

Nadat u aan alle vereisten in stap 2, stap 3 en stap 4 hebt voldaan, kopieert u het script vanaf de gedownloade locatie (meestal de map Downloads), raadpleegt u stap 1 voor meer informatie over het genereren en downloaden van scripts. Klik met de rechtermuisknop op het uitvoerbare bestand en voer het uit met beheerdersreferenties. Wanneer u hierom wordt gevraagd, typt u het wachtwoord of plakt u het wachtwoord uit het geheugen en drukt u op Enter. Zodra het geldige wachtwoord is ingevoerd, maakt het script verbinding met het herstelpunt.

Executable output

Wanneer u het uitvoerbare bestand uitvoert, koppelt het besturingssysteem de nieuwe volumes en wijst het stationsletters toe. U kunt Windows Explorer of Bestandenverkenner gebruiken om door deze stations te bladeren. De stationsletters die aan de volumes zijn toegewezen, zijn mogelijk niet dezelfde letters als de oorspronkelijke virtuele machine. De volumenaam blijft echter behouden. Als het volume op de oorspronkelijke virtuele machine bijvoorbeeld 'Gegevensschijf (E:\)' was, kan dat volume worden gekoppeld op de lokale computer als 'Gegevensschijf ('Willekeurige letter':\). Blader door alle volumes die worden vermeld in de scriptuitvoer totdat u uw bestanden of map hebt gevonden.

Recovery volumes attached

Voor back-ups van VM's met grote schijven (Windows)

Als het bestandsherstelproces vastloopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn gekoppeld of als ze niet worden gekoppeld, maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Zorg ervoor dat het besturingssysteem WS 2012 of hoger is.

  2. Zorg ervoor dat de registersleutels zijn ingesteld zoals hieronder wordt voorgesteld op de herstelserver en zorg ervoor dat u de server opnieuw opstart. Het nummer naast de GUID kan variëren van 0001-0005. In het volgende voorbeeld is dit 0004. Navigeer door het pad naar de registersleutel totdat de sectie Parameters wordt weergegeven.

    Registry key changes

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

Voor Linux

Nadat u aan alle vereisten in stap 2, stap 3 en stap 4 hebt voldaan, genereert u een Python-script voor Linux-machines. Zie stap 1 voor meer informatie over het genereren en downloaden van scripts. Download het script en kopieer het naar de relevante/compatibele Linux-server. Mogelijk moet u de machtigingen wijzigen om deze uit te voeren met chmod +x <python file name>. Voer vervolgens het Python-bestand uit met ./<python file name>.

In Linux worden de volumes van het herstelpunt gekoppeld aan de map waarin het script wordt uitgevoerd. De gekoppelde schijven, volumes en de bijbehorende koppelpaden worden dienovereenkomstig weergegeven. Deze koppelingspaden zijn zichtbaar voor gebruikers met toegang op hoofdniveau. Blader door de volumes die worden vermeld in de scriptuitvoer.

Linux File recovery menu

Voor back-ups van VM's met grote schijven (Linux)**

Als het bestandsherstelproces vastloopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn gekoppeld of als ze niet worden gekoppeld, maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Wijzig in het bestand /etc/iscsi/iscsid.conf de instelling van:
    • node.conn[0].timeo.noop_out_timeout = 5 Aan node.conn[0].timeo.noop_out_timeout = 120
  2. Nadat u de bovenstaande wijzigingen hebt aangebracht, voert u het script opnieuw uit. Als er tijdelijke fouten optreden, moet u ervoor zorgen dat er een tussenruimte van 20 tot 30 minuten tussen opnieuw wordt uitgevoerd om opeenvolgende bursts van aanvragen te voorkomen die van invloed zijn op de doelvoorbereiding. Dit interval tussen opnieuw uitvoeren zorgt ervoor dat het doel gereed is voor verbinding vanuit het script.
  3. Nadat het bestand is hersteld, gaat u terug naar de portal en selecteert u Schijven ontkoppelen voor herstelpunten waar u geen volumes kon koppelen. Met deze stap worden alle bestaande processen/sessies opgeschoond en wordt de kans op herstel vergroot.

LVM-/RAID-matrices (voor Linux-VM's)

In Linux worden LVM(Logical Volume Manager) en/of software RAID-matrices gebruikt voor het beheren van logische volumes via meerdere schijven. Als de beveiligde Linux-VM LVM- en/of RAID-matrices gebruikt, kunt u het script niet uitvoeren op dezelfde VIRTUELE machine.
Voer in plaats daarvan het script uit op een andere computer met een compatibel besturingssysteem en dat het bestandssysteem van de beveiligde VM ondersteunt.
In de volgende scriptuitvoer worden de LVM- en/of RAID-matricesschijven en de volumes met het partitietype weergegeven.

Linux LVM Output menu

Als u deze partities online wilt brengen, voert u de opdrachten uit in de volgende secties.

Voor LVM-partities

Zodra het script is uitgevoerd, worden de LVM-partities gekoppeld aan de fysieke volumes/schijven die zijn opgegeven in de scriptuitvoer. Het proces is bedoeld om

  1. De unieke lijst met volumegroepnamen ophalen van de fysieke volumes of schijven
  2. Geef vervolgens de logische volumes in die volumegroepen weer
  3. Koppel vervolgens de logische volumes aan een gewenst pad.
Namen van volumegroepen van fysieke volumes weergeven

De namen van de volumegroepen weergeven:

pvs -o +vguuid

Met deze opdracht worden alle fysieke volumes (inclusief de volumes die aanwezig zijn voordat het script wordt uitgevoerd), de bijbehorende volumegroepnamen en de unieke gebruikers-id's (UUID's) van de volumegroep vermeld. Hieronder ziet u een voorbeeld van de uitvoer van de opdracht.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

De eerste kolom (PV) toont het fysieke volume, de volgende kolommen tonen de naam van de relevante volumegroep, indeling, kenmerken, grootte, vrije ruimte en de unieke id van de volumegroep. In de uitvoer van de opdracht worden alle fysieke volumes weergegeven. Raadpleeg de scriptuitvoer en identificeer de volumes die betrekking hebben op de back-up. In het bovenstaande voorbeeld zou de scriptuitvoer /dev/sdf en /dev/sdd hebben weergegeven. De datavg_db volumegroep behoort dus tot het script en de Appvg_new volumegroep hoort bij de computer. Het laatste idee is ervoor te zorgen dat een unieke volumegroepnaam één unieke id moet hebben.

Dubbele volumegroepen

Er zijn scenario's waarin namen van volumegroepen 2 UUID's kunnen hebben nadat het script is uitgevoerd. Dit betekent dat de namen van de volumegroepen op de computer waarop het script wordt uitgevoerd en in de back-up-VM hetzelfde zijn. Vervolgens moeten we de naam van de volumegroepen van back-up-VM's wijzigen. Bekijk het onderstaande voorbeeld.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

De scriptuitvoer zou /dev/sd/sd, /dev/sdh, /dev/sdm2 als bijlage hebben weergegeven. De bijbehorende VG-namen zijn dus Appvg_new en rootvg. Maar dezelfde namen zijn ook aanwezig in de VG-lijst van de machine. We kunnen controleren of één VG-naam twee UUID's heeft.

Nu moeten we de naam van VG-namen wijzigen voor op scripts gebaseerde volumes, bijvoorbeeld: /dev/sd/sd, /dev/sdh, /dev/sdm2. Gebruik de volgende opdracht om de naam van de volumegroep te wijzigen

vgimportclone -n rootvg_new /dev/sdm2
vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Nu hebben we alle VG-namen met unieke id's.

Actieve volumegroepen

Zorg ervoor dat de volumegroepen die overeenkomen met de volumes van het script actief zijn. De volgende opdracht wordt gebruikt om actieve volumegroepen weer te geven. Controleer of de gerelateerde volumegroepen van het script aanwezig zijn in deze lijst.

vgdisplay -a

Activeer anders de volumegroep met behulp van de volgende opdracht.

#!/bin/bash
vgchange –a y  <volume-group-name>
Logische volumes weergeven in volumegroepen

Zodra we de unieke, actieve lijst met vm's met betrekking tot het script hebben, kunnen de logische volumes in die volumegroepen worden weergegeven met behulp van de volgende opdracht.

#!/bin/bash
lvdisplay <volume-group-name>

Met deze opdracht wordt het pad van elk logisch volume weergegeven als 'LV-pad'.

Logische volumes koppelen

De logische volumes koppelen aan het pad van uw keuze:

#!/bin/bash
mount <LV path from the lvdisplay cmd results> </mountpath>

Waarschuwing

Gebruik 'mount -a' niet. Met deze opdracht worden alle apparaten gekoppeld die worden beschreven in '/etc/fstab'. Dit kan betekenen dat dubbele apparaten kunnen worden gekoppeld. Gegevens kunnen worden omgeleid naar apparaten die zijn gemaakt met een script, die de gegevens niet persistent maken, waardoor gegevens verloren kunnen gaan.

Voor RAID-matrices

Met de volgende opdracht worden details over alle raid-schijven weergegeven:

#!/bin/bash
mdadm –detail –scan

De relevante RAID-schijf wordt weergegeven als /dev/mdm/<RAID array name in the protected VM>

Gebruik de koppelingsopdracht als de RAID-schijf fysieke volumes heeft:

#!/bin/bash
mount [RAID Disk Path] [/mountpath]

Als op de RAID-schijf een andere LVM is geconfigureerd, gebruikt u de voorgaande procedure voor LVM-partities, maar gebruikt u de volumenaam in plaats van de NAAM van de RAID-schijf.

Stap 6: de verbinding sluiten

Nadat u de bestanden hebt geïdentificeerd en naar een lokale opslaglocatie hebt gekopieerd, verwijdert u de extra stations (of ontkoppelt u deze). Als u de stations wilt ontkoppelen, selecteert u in het menu Bestandsherstel in de Azure Portal de optie Schijven ontkoppelen.

Unmount disks

Zodra de schijven zijn ontkoppeld, ontvangt u een bericht. Het kan enkele minuten duren voordat de verbinding is vernieuwd, zodat u de schijven kunt verwijderen.

Nadat de verbinding met het herstelpunt in Linux is verbroken, worden de bijbehorende koppelpaden niet automatisch verwijderd door het besturingssysteem. De koppelpaden bestaan als 'zwevende' volumes en zijn zichtbaar, maar veroorzaken een fout wanneer u de bestanden opent/schrijft. Ze kunnen handmatig worden verwijderd. Het script identificeert, wanneer het wordt uitgevoerd, alle volumes die bestaan uit eerdere herstelpunten en schoont ze op na toestemming.

Notitie

Zorg ervoor dat de verbinding is gesloten nadat de vereiste bestanden zijn hersteld. Dit is belangrijk, met name in het scenario waarin de machine waarin het script wordt uitgevoerd, ook is geconfigureerd voor back-up. Als de verbinding nog steeds is geopend, kan de volgende back-up mislukken met de fout UserErrorUnableToOpenMount. Dit gebeurt omdat de gekoppelde stations/volumes worden verondersteld beschikbaar te zijn en wanneer ze worden geopend, kunnen ze mislukken omdat de onderliggende opslag, dat wil gezegd, de iSCSI-doelserver mogelijk niet beschikbaar is. Als u de verbinding opschoont, worden deze stations/volumes verwijderd en zijn ze dus niet beschikbaar tijdens de back-up.

Beveiliging

In deze sectie worden de verschillende beveiligingsmaatregelen besproken die zijn genomen voor de implementatie van bestandsherstel vanuit Azure VM-back-ups.

Functiestroom

Deze functie is gebouwd om toegang te krijgen tot de VM-gegevens zonder dat u de volledige VM- of VM-schijven hoeft te herstellen en met het minimale aantal stappen. Toegang tot VM-gegevens wordt geboden door een script (dat het herstelvolume koppelt wanneer het wordt uitgevoerd zoals hieronder wordt weergegeven) en vormt de hoeksteen van alle beveiligings-implementaties:

Security Feature Flow

Beveiligings-implementaties

Herstelpunt selecteren (wie kan script genereren)

Het script biedt toegang tot VM-gegevens, dus het is belangrijk om te reguleren wie deze in de eerste plaats kan genereren. U moet zich aanmelden bij de Azure Portal en Azure RBAC geautoriseerd zijn om het script te genereren.

Bestandsherstel heeft hetzelfde autorisatieniveau nodig als vereist is voor herstel van vm's en schijven. Met andere woorden, alleen geautoriseerde gebruikers kunnen de VM-gegevens weergeven om het script te genereren.

Het gegenereerde script wordt ondertekend met het officiële Microsoft-certificaat voor de Azure Backup-service. Manipulatie met het script betekent dat de handtekening wordt verbroken en dat elke poging om het script uit te voeren is gemarkeerd als een potentieel risico van het besturingssysteem.

Herstelvolume koppelen (wie kan script uitvoeren)

Alleen een beheerder kan het script uitvoeren en moet worden uitgevoerd in verhoogde modus. Het script voert alleen een vooraf gegenereerde set stappen uit en accepteert geen invoer van een externe bron.

Als u het script wilt uitvoeren, is een wachtwoord vereist dat alleen wordt weergegeven aan de geautoriseerde gebruiker op het moment dat het script wordt gegenereerd in de Azure Portal of PowerShell/CLI. Dit is om ervoor te zorgen dat de geautoriseerde gebruiker die het script downloadt ook verantwoordelijk is voor het uitvoeren van het script.

Door bestanden en mappen bladeren

Als u door bestanden en mappen wilt bladeren, gebruikt het script de iSCSI-initiator op de computer en maakt het verbinding met het herstelpunt dat is geconfigureerd als een iSCSI-doel. Hier kunt u zich scenario's voorstellen waarbij een van beide/alle onderdelen probeert te imiteren/spoofen.

We gebruiken een wederzijdse CHAP-verificatiemechanisme zodat elk onderdeel het andere verifieert. Dit betekent dat het extreem moeilijk is voor een nep-initiator om verbinding te maken met het iSCSI-doel en voor een nep-doel dat moet worden verbonden met de computer waarop het script wordt uitgevoerd.

De gegevensstroom tussen de herstelservice en de machine wordt beveiligd door een beveiligde TLS-tunnel via TCP te bouwen (TLS 1.2 moet worden ondersteund op de computer waarop het script wordt uitgevoerd).

Alle bestanden Access Control lijst (ACL) die aanwezig zijn in de bovenliggende/back-up-VM, blijven ook behouden in het gekoppelde bestandssysteem.

Het script biedt alleen-lezentoegang tot een herstelpunt en is slechts 12 uur geldig. Als u de toegang eerder wilt verwijderen, meldt u zich aan bij Azure Portal/PowerShell/CLI en voert u de ontkoppelde schijven voor dat specifieke herstelpunt uit. Het script wordt onmiddellijk ongeldig gemaakt.

Volgende stappen