Odzyskiwanie plików z kopii zapasowej maszyny wirtualnej platformy Azure

Azure Backup zapewnia możliwość przywracania maszyn wirtualnych platformy Azure i dysków z kopii zapasowych maszyn wirtualnych platformy Azure, nazywanych również punktami odzyskiwania. W tym artykule wyjaśniono, jak odzyskać pliki i foldery z kopii zapasowej maszyny wirtualnej platformy Azure. Przywracanie plików i folderów jest dostępne tylko dla maszyn wirtualnych platformy Azure wdrożonych przy użyciu modelu Resource Manager i chronionego w magazynie usługi Recovery Services.

Uwaga

Ta funkcja jest dostępna dla maszyn wirtualnych platformy Azure wdrożonych przy użyciu modelu Resource Manager i chronionego w magazynie usługi Recovery Services. Odzyskiwanie plików z zaszyfrowanej kopii zapasowej maszyny wirtualnej nie jest obsługiwane.

File folder recovery workflow

Krok 1. Generowanie i pobieranie skryptu w celu przeglądania i odzyskiwania plików

Aby przywrócić pliki lub foldery z punktu odzyskiwania, przejdź do maszyny wirtualnej i wykonaj następujące kroki:

  1. Zaloguj się do Azure Portal i w okienku po lewej stronie wybierz pozycję Maszyny wirtualne. Z listy maszyn wirtualnych wybierz maszynę wirtualną, aby otworzyć pulpit nawigacyjny tej maszyny wirtualnej.

  2. W menu maszyny wirtualnej wybierz pozycję Kopia zapasowa , aby otworzyć pulpit nawigacyjny Kopia zapasowa.

    Open Recovery Services vault backup item

  3. W menu Pulpit nawigacyjny kopii zapasowej wybierz pozycję Odzyskiwanie plików.

    Select File Recovery32

    Zostanie otwarte menu Odzyskiwanie plików .

    File recovery menu

Ważne

Użytkownicy powinni pamiętać o ograniczeniach wydajności tej funkcji. Jak wskazano w sekcji przypisu dolnego powyższego bloku, ta funkcja powinna być używana, gdy całkowity rozmiar odzyskiwania nie przekracza 10 GB i można uzyskać szybkość transferu danych wynoszącą około 1 GB na godzinę

  1. Z menu rozwijanego Wybierz punkt odzyskiwania wybierz punkt odzyskiwania, który zawiera żądane pliki. Domyślnie jest już zaznaczony najnowszy punkt odzyskiwania.

  2. Wybierz pozycję Pobierz plik wykonywalny (dla maszyn wirtualnych platformy Azure Windows) lub Pobierz skrypt (w przypadku maszyn wirtualnych platformy Azure z systemem Linux jest generowany skrypt języka Python), aby pobrać oprogramowanie używane do kopiowania plików z punktu odzyskiwania.

    Download Executable

    Platforma Azure pobiera plik wykonywalny lub skrypt na komputer lokalny.

    download message for the executable or script

    Aby uruchomić plik wykonywalny lub skrypt jako administrator, zaleca się zapisanie pobranego pliku na komputerze.

  3. Plik wykonywalny lub skrypt jest chroniony hasłem i wymaga hasła. W menu Odzyskiwanie plików wybierz przycisk kopiowania, aby załadować hasło do pamięci.

    Generated password

Krok 2. Upewnij się, że maszyna spełnia wymagania przed wykonaniem skryptu

Po pomyślnym pobraniu skryptu upewnij się, że masz odpowiednią maszynę do wykonania tego skryptu. Maszyna wirtualna, na której planujesz wykonać skrypt, nie powinna mieć żadnej z następujących nieobsługiwanych konfiguracji. Jeśli tak, wybierz maszynę alternatywną, która spełnia wymagania.

Dyski dynamiczne

Nie można uruchomić skryptu wykonywalnego na maszynie wirtualnej z dowolną z następujących cech: Wybierz maszynę alternatywną

  • Woluminy obejmujące wiele dysków (woluminy obejmujące i rozłożone).
  • Woluminy odporne na uszkodzenia (woluminy dublowane i RAID-5) na dyskach dynamicznych.

Miejsca do magazynowania w systemie Windows

Nie można uruchomić pobranego pliku wykonywalnego na tej samej maszynie wirtualnej, jeśli utworzono kopię zapasową maszyny wirtualnej Windows Miejsca do magazynowania. Wybierz maszynę alternatywną.

Kopie zapasowe maszyn wirtualnych z dużymi dyskami

Jeśli kopia zapasowa maszyny ma dużą liczbę dysków (16) lub dużych dysków (>>4 TB każdy), nie zaleca się wykonywania skryptu na tej samej maszynie w celu przywrócenia, ponieważ będzie to miało znaczący wpływ na maszynę wirtualną. Zamiast tego zaleca się posiadanie oddzielnej maszyny wirtualnej tylko w przypadku odzyskiwania plików (maszyn wirtualnych D2v3 platformy Azure), a następnie zamykania jej, gdy nie jest to wymagane.

Zobacz wymagania dotyczące przywracania plików z kopii zapasowych maszyn wirtualnych z dużym dyskiem:
System operacyjny Windows
System operacyjny Linux

Po wybraniu poprawnej maszyny do uruchomienia skryptu ILR upewnij się, że spełnia wymagania systemu operacyjnego i wymagania dostępu.

Krok 3. Wymagania systemu operacyjnego dotyczące pomyślnego uruchomienia skryptu

Maszyna wirtualna, na której chcesz uruchomić pobrany skrypt, musi spełniać następujące wymagania.

W przypadku systemu operacyjnego Windows

W poniższej tabeli przedstawiono zgodność między systemami operacyjnymi serwera i komputerów. Podczas odzyskiwania plików nie można przywrócić plików do poprzedniej lub przyszłej wersji systemu operacyjnego. Na przykład nie można przywrócić pliku z maszyny wirtualnej Windows Server 2016 do Windows Server 2012 lub komputera Windows 8. Pliki z maszyny wirtualnej można przywrócić do tego samego systemu operacyjnego serwera lub zgodnego systemu operacyjnego klienta.

System operacyjny serwera Zgodny system operacyjny klienta
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 z dodatkiem R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 z dodatkiem R2 Windows 7

W przypadku systemu operacyjnego Linux

W systemie Linux system operacyjny komputera używanego do przywracania plików musi obsługiwać system plików chronionej maszyny wirtualnej. Podczas wybierania komputera do uruchomienia skryptu upewnij się, że komputer ma zgodny system operacyjny i używa jednej z wersji zidentyfikowanych w poniższej tabeli:

System operacyjny Linux Wersje
Ubuntu 12.04 i nowsze
CentOS 6.5 i nowsze
RHEL 6.7 i nowsze
Debian 7 i nowsze
Oracle Linux 6.4 i nowsze
SLES 12 i nowsze
openSUSE 42.2 i nowsze

Skrypt wymaga również, aby składniki języka Python i powłoki bash wykonywały i łączyły się bezpiecznie z punktem odzyskiwania.

Składnik Wersja
bash 4 i nowsze
Python 2.6.6 i nowsze
.NET 4.6.2 i nowsze
TLS 1.2 powinna być obsługiwana

Upewnij się również, że masz odpowiednią maszynę do wykonania skryptu ILR i spełnia ona wymagania dostępu.

Krok 4. Wymagania dostępu do pomyślnego uruchomienia skryptu

Jeśli skrypt zostanie uruchomiony na komputerze z ograniczonym dostępem, upewnij się, że masz dostęp do następujących elementów:

  • download.microsoft.com lub AzureFrontDoor.FirstParty tag usługi w sieciowej grupie zabezpieczeń na porcie 443 (ruch wychodzący)
  • Adresy URL usługi Recovery Service (GEO-NAME odnosi się do regionu, w którym znajduje się magazyn usługi Recovery Services) na porcie 3260 (wychodzącym)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (W przypadku regionów publicznych platformy Azure) lub AzureBackup tagu usługi w sieciowej grupie zabezpieczeń
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (W przypadku platformy Azure — Chiny 21Vianet) lub AzureBackup tagu usługi w sieciowej grupie zabezpieczeń
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (W przypadku platformy Azure US Government) lub AzureBackup tagu usługi w sieciowej grupie zabezpieczeń
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (W przypadku platformy Azure w Niemczech) lub AzureBackup tagu usługi w sieciowej grupie zabezpieczeń
  • Publiczne rozpoznawanie nazw DNS na porcie 53 (ruch wychodzący)

Uwaga

Serwery proxy mogą nie obsługiwać protokołu iSCSI ani udzielać dostępu do portu 3260. W związku z tym zdecydowanie zaleca się uruchomienie tego skryptu na maszynach, które mają bezpośredni dostęp zgodnie z wymaganiami powyżej, a nie na maszynach, które będą przekierowywać do serwera proxy.

Uwaga

Jeśli kopia zapasowa maszyny wirtualnej zostanie Windows, nazwa geograficzna zostanie wymieniona w wygenerowanym haśle.

Jeśli na przykład wygenerowane hasło jest ContosoVM_wcus_GUID, nazwa geograficzna to wcus, a adres URL będzie: <https://pod01-rec2.wcus.backup.windowsazure.com>

Jeśli kopia zapasowa maszyny wirtualnej to Linux, plik skryptu pobrany w kroku 1 powyżej będzie miał nazwę geograficzną w nazwie pliku. Użyj tej nazwy geograficznej , aby wypełnić adres URL. Nazwa pobranego skryptu rozpocznie się od: "VMname'_'geoname'_'GUID".

Na przykład jeśli nazwa pliku skryptu jest ContosoVM_wcus_12345678, nazwa geograficzna to wcus , a adres URL będzie: <https://pod01-rec2.wcus.backup.windowsazure.com>

W przypadku systemu Linux skrypt wymaga składników "open-iscsi" i "lshw" w celu nawiązania połączenia z punktem odzyskiwania. Jeśli składniki nie istnieją na komputerze, na którym jest uruchamiany skrypt, skrypt prosi o pozwolenie na zainstalowanie składników. Wyrażanie zgody na zainstalowanie niezbędnych składników.

Dostęp do download.microsoft.com programu jest wymagany do pobierania składników używanych do tworzenia bezpiecznego kanału między maszyną, na której jest uruchamiany skrypt, a danymi w punkcie odzyskiwania.

Upewnij się również, że masz odpowiednią maszynę do wykonania skryptu ILR i spełnia wymagania systemu operacyjnego.

Krok 5. Uruchamianie skryptu i identyfikowanie woluminów

Uwaga

Skrypt jest generowany tylko w języku angielskim i nie jest zlokalizowany. W związku z tym może być wymagane, aby ustawienia regionalne systemu były w języku angielskim, aby skrypt działał prawidłowo

W przypadku systemu Windows

Po spełnieniu wszystkich wymagań wymienionych w kroku 2, kroku 3 i kroku 4 skopiuj skrypt z lokalizacji pobranej (zazwyczaj folder Pobrane), zobacz Krok 1, aby dowiedzieć się, jak wygenerować i pobrać skrypt. Kliknij prawym przyciskiem myszy plik wykonywalny i uruchom go przy użyciu poświadczeń administratora. Po wyświetleniu monitu wpisz hasło lub wklej hasło z pamięci i naciśnij klawisz Enter. Po wprowadzeniu prawidłowego hasła skrypt nawiązuje połączenie z punktem odzyskiwania.

Executable output

Po uruchomieniu pliku wykonywalnego system operacyjny instaluje nowe woluminy i przypisuje litery dysku. Aby przeglądać te dyski, możesz użyć eksploratora Windows lub Eksplorator plików. Litery dysku przypisane do woluminów mogą nie być tymi samymi literami co oryginalna maszyna wirtualna. Nazwa woluminu jest jednak zachowywana. Jeśli na przykład wolumin na oryginalnej maszynie wirtualnej to "Dysk danych (E:\)", wolumin ten można dołączyć na komputerze lokalnym jako "Dysk danych (dowolna litera):\). Przeglądaj wszystkie woluminy wymienione w danych wyjściowych skryptu do momentu znalezienia plików lub folderu.

Recovery volumes attached

W przypadku maszyn wirtualnych z kopiami zapasowymi z dużymi dyskami (Windows)

Jeśli proces odzyskiwania plików zawiesza się po uruchomieniu skryptu przywracania plików (na przykład jeśli dyski nigdy nie są zainstalowane lub są instalowane, ale woluminy nie są wyświetlane), wykonaj następujące kroki:

  1. Upewnij się, że system operacyjny ma system WS 2012 lub nowszy.

  2. Upewnij się, że klucze rejestru zostały ustawione zgodnie z poniższymi sugestiami na serwerze przywracania i pamiętaj o ponownym uruchomieniu serwera. Liczba obok identyfikatora GUID może mieścić się w zakresie od 0001 do 0005. W poniższym przykładzie jest to 0004. Przejdź przez ścieżkę klucza rejestru do sekcji parameters.

    Registry key changes

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

W przypadku systemu Linux

Po spełnieniu wszystkich wymagań wymienionych w kroku 2, kroku 3 i kroku 4 wygeneruj skrypt języka Python dla maszyn z systemem Linux. Zobacz Krok 1, aby dowiedzieć się, jak wygenerować i pobrać skrypt. Pobierz skrypt i skopiuj go do odpowiedniego/zgodnego serwera z systemem Linux. Może być konieczne zmodyfikowanie uprawnień, aby wykonać je za pomocą polecenia chmod +x <python file name>. Następnie uruchom plik języka Python za pomocą polecenia ./<python file name>.

W systemie Linux woluminy punktu odzyskiwania są instalowane w folderze, w którym jest uruchamiany skrypt. Dołączone dyski, woluminy i odpowiednie ścieżki instalacji są odpowiednio wyświetlane. Te ścieżki instalacji są widoczne dla użytkowników mających dostęp na poziomie głównym. Przejrzyj woluminy wymienione w danych wyjściowych skryptu.

Linux File recovery menu

W przypadku maszyn wirtualnych z kopiami zapasowymi z dużymi dyskami (Linux)**

Jeśli proces odzyskiwania plików zawiesza się po uruchomieniu skryptu przywracania plików (na przykład jeśli dyski nigdy nie są zainstalowane lub są instalowane, ale woluminy nie są wyświetlane), wykonaj następujące kroki:

  1. W pliku /etc/iscsid.conf zmień ustawienie z:
    • node.conn[0].timeo.noop_out_timeout = 5 do node.conn[0].timeo.noop_out_timeout = 120
  2. Po wprowadzeniu powyższych zmian uruchom ponownie skrypt. Jeśli występują błędy przejściowe, upewnij się, że między ponownym uruchomieniem występuje odstęp od 20 do 30 minut, aby uniknąć kolejnych pęknięć żądań wpływających na przygotowanie docelowe. Ten interwał między ponownymi uruchomieniami gwarantuje, że element docelowy jest gotowy do połączenia ze skryptu.
  3. Po odzyskaniu plików upewnij się, że wrócisz do portalu i wybierz pozycję Odinstaluj dyski dla punktów odzyskiwania, w których nie można zainstalować woluminów. Zasadniczo ten krok spowoduje wyczyszczenie wszystkich istniejących procesów/sesji i zwiększenie prawdopodobieństwa odzyskiwania.

Macierze LVM/RAID (dla maszyn wirtualnych z systemem Linux)

W systemie Linux do zarządzania woluminami logicznymi na wielu dyskach służy menedżer woluminów logicznych (LVM) i/lub macierze RAID oprogramowania. Jeśli chroniona maszyna wirtualna z systemem Linux używa macierzy LVM i/lub RAID, nie można uruchomić skryptu na tej samej maszynie wirtualnej.
Zamiast tego uruchom skrypt na dowolnej innej maszynie z zgodnym systemem operacyjnym, który obsługuje system plików chronionej maszyny wirtualnej.
W poniższych danych wyjściowych skryptu są wyświetlane dyski LVM i/lub macierze RAID oraz woluminy o typie partycji.

Linux LVM Output menu

Aby przenieść te partycje do trybu online, uruchom polecenia w poniższych sekcjach.

W przypadku partycji LVM

Po uruchomieniu skryptu partycje LVM są instalowane w woluminach fizycznych/dyskach określonych w danych wyjściowych skryptu. Proces polega na

  1. Pobieranie unikatowej listy nazw grup woluminów z woluminów fizycznych lub dysków
  2. Następnie wyświetl listę woluminów logicznych w tych grupach woluminów
  3. Następnie zainstaluj woluminy logiczne w żądanej ścieżce.
Wyświetlanie nazw grup woluminów z woluminów fizycznych

Aby wyświetlić listę nazw grup woluminów:

pvs -o +vguuid

To polecenie wyświetli listę wszystkich woluminów fizycznych (w tym tych obecnych przed uruchomieniem skryptu), odpowiadających im nazw grup woluminów i unikatowych identyfikatorów użytkowników grupy woluminów (UUID). Poniżej przedstawiono przykładowe dane wyjściowe polecenia.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

Pierwsza kolumna (PV) pokazuje wolumin fizyczny, kolejne kolumny pokazują odpowiednią nazwę grupy woluminów, format, atrybuty, rozmiar, wolne miejsce i unikatowy identyfikator grupy woluminów. Dane wyjściowe polecenia pokazują wszystkie woluminy fizyczne. Zapoznaj się z danymi wyjściowymi skryptu i zidentyfikuj woluminy związane z kopią zapasową. W powyższym przykładzie dane wyjściowe skryptu pokazywałyby /dev/sdf i /dev/sdd. W związku z tym grupa woluminów datavg_db należy do skryptu, a grupa woluminów Appvg_new należy do maszyny. Ostatnim pomysłem jest upewnienie się, że unikatowa nazwa grupy woluminów powinna mieć jeden unikatowy identyfikator.

Zduplikowane grupy woluminów

Istnieją scenariusze, w których nazwy grup woluminów mogą mieć 2 identyfikatory UUD po uruchomieniu skryptu. Oznacza to, że nazwy grup woluminów na maszynie, na której jest wykonywany skrypt, a w kopii zapasowej maszyny wirtualnej są takie same. Następnie należy zmienić nazwę kopii zapasowej grup woluminów maszyn wirtualnych. Przyjrzyj się przykładowi poniżej.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

Dane wyjściowe skryptu wyświetlałyby /dev/sdg, /dev/sdh, /dev/sdm2 jako dołączone. Dlatego odpowiednie nazwy sieci VG są Appvg_new i rootvg. Ale te same nazwy są również obecne na liście maszyn wirtualnych. Możemy sprawdzić, czy jedna nazwa sieci wirtualnej ma dwa identyfikatory UUID.

Teraz musimy zmienić nazwę nazw sieci wirtualnych dla woluminów opartych na skryptach, na przykład: /dev/sdg, /dev/sdh, /dev/sdm2. Aby zmienić nazwę grupy woluminów, użyj następującego polecenia

vgimportclone -n rootvg_new /dev/sdm2
vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Teraz mamy wszystkie nazwy sieci wirtualnych z unikatowymi identyfikatorami.

Aktywne grupy woluminów

Upewnij się, że grupy woluminów odpowiadające woluminom skryptu są aktywne. Następujące polecenie służy do wyświetlania aktywnych grup woluminów. Sprawdź, czy na tej liście znajdują się powiązane grupy woluminów skryptu.

vgdisplay -a

W przeciwnym razie aktywuj grupę woluminów przy użyciu następującego polecenia.

#!/bin/bash
vgchange –a y  <volume-group-name>
Wyświetlanie listy woluminów logicznych w grupach woluminów

Po uzyskaniu unikatowej, aktywnej listy grup wirtualnych powiązanych ze skryptem można wyświetlić woluminy logiczne obecne w tych grupach woluminów przy użyciu następującego polecenia.

#!/bin/bash
lvdisplay <volume-group-name>

To polecenie wyświetla ścieżkę każdego woluminu logicznego jako "Ścieżka LV".

Instalowanie woluminów logicznych

Aby zainstalować woluminy logiczne w wybranej ścieżce:

#!/bin/bash
mount <LV path from the lvdisplay cmd results> </mountpath>

Ostrzeżenie

Nie używaj polecenia "mount -a". To polecenie instaluje wszystkie urządzenia opisane w temacie "/etc/fstab". Może to oznaczać, że zduplikowane urządzenia mogą zostać zainstalowane. Dane mogą być przekierowywane do urządzeń utworzonych przez skrypt, który nie utrwala danych, a więc może spowodować utratę danych.

W przypadku macierzy RAID

Następujące polecenie wyświetla szczegółowe informacje o wszystkich dyskach raid:

#!/bin/bash
mdadm –detail –scan

Odpowiedni dysk RAID jest wyświetlany jako /dev/mdm/<RAID array name in the protected VM>

Użyj polecenia instalacji, jeśli dysk RAID ma woluminy fizyczne:

#!/bin/bash
mount [RAID Disk Path] [/mountpath]

Jeśli dysk RAID ma w nim inną konfigurację LVM, użyj poprzedniej procedury dla partycji LVM, ale użyj nazwy woluminu zamiast nazwy dysku RAID.

Krok 6. Zamykanie połączenia

Po zidentyfikowaniu plików i skopiowaniu ich do lokalizacji magazynu lokalnego usuń (lub odinstaluj) dodatkowe dyski. Aby odinstalować dyski, w menu Odzyskiwanie plików w Azure Portal wybierz pozycję Odinstaluj dyski.

Unmount disks

Po odłączeniu dysków zostanie wyświetlony komunikat. Odświeżenie połączenia może potrwać kilka minut, aby można było usunąć dyski.

W systemie Linux po zerwaniu połączenia z punktem odzyskiwania system operacyjny nie usuwa automatycznie odpowiednich ścieżek instalacji. Ścieżki instalacji istnieją jako woluminy oddzielone i są widoczne, ale zgłaszają błąd podczas uzyskiwania dostępu do/zapisu plików. Można je usunąć ręcznie. Skrypt, po uruchomieniu, identyfikuje wszystkie takie woluminy istniejące z poprzednich punktów odzyskiwania i czyści je po wyrażaniu zgody.

Uwaga

Upewnij się, że połączenie jest zamknięte po przywróceniu wymaganych plików. Jest to ważne, szczególnie w scenariuszu, w którym maszyna, w której jest wykonywany skrypt, jest również skonfigurowana do tworzenia kopii zapasowej. Jeśli połączenie jest nadal otwarte, kolejna kopia zapasowa może zakończyć się niepowodzeniem z powodu błędu "UserErrorUnableToOpenMount". Dzieje się tak, ponieważ zakłada się, że zainstalowane dyski/woluminy mają być dostępne, a dostęp do nich może zakończyć się niepowodzeniem, ponieważ bazowy magazyn, czyli serwer docelowy iSCSI może być niedostępny. Czyszczenie połączenia spowoduje usunięcie tych dysków/woluminów, dzięki czemu nie będą dostępne podczas tworzenia kopii zapasowej.

Zabezpieczenia

W tej sekcji omówiono różne środki zabezpieczeń podjęte na potrzeby implementacji odzyskiwania plików z kopii zapasowych maszyn wirtualnych platformy Azure.

Przepływ funkcji

Ta funkcja została utworzona w celu uzyskania dostępu do danych maszyny wirtualnej bez konieczności przywracania całych dysków maszyn wirtualnych lub maszyn wirtualnych oraz z minimalną liczbą kroków. Dostęp do danych maszyny wirtualnej jest dostarczany przez skrypt (który instaluje wolumin odzyskiwania po uruchomieniu, jak pokazano poniżej) i stanowi podstawę wszystkich implementacji zabezpieczeń:

Security Feature Flow

Implementacje zabezpieczeń

Wybierz pozycję Punkt odzyskiwania (kto może wygenerować skrypt)

Skrypt zapewnia dostęp do danych maszyny wirtualnej, dlatego ważne jest, aby w pierwszej kolejności regulować, kto może je wygenerować. Musisz zalogować się do Azure Portal i być autoryzowanym RBAC platformy Azure w celu wygenerowania skryptu.

Odzyskiwanie plików wymaga tego samego poziomu autoryzacji, co wymagane w przypadku przywracania maszyny wirtualnej i przywracania dysków. Innymi słowy, tylko autoryzowani użytkownicy mogą wyświetlać dane maszyny wirtualnej, aby wygenerować skrypt.

Wygenerowany skrypt jest podpisany przy użyciu oficjalnego certyfikatu firmy Microsoft dla usługi Azure Backup. Wszelkie naruszenia skryptu oznaczają, że podpis zostanie przerwany, a każda próba uruchomienia skryptu zostanie wyróżniona jako potencjalne zagrożenie przez system operacyjny.

Instalowanie woluminu odzyskiwania (kto może uruchomić skrypt)

Tylko administrator może uruchomić skrypt i powinien działać w trybie podwyższonym uprawnień. Skrypt uruchamia tylko wstępnie wygenerowany zestaw kroków i nie akceptuje danych wejściowych z żadnego źródła zewnętrznego.

Aby uruchomić skrypt, wymagane jest hasło wyświetlane tylko autoryzowanemu użytkownikowi w momencie generowania skryptu w Azure Portal lub programie PowerShell/interfejsie wiersza polecenia. Jest to zapewnienie autoryzowanemu użytkownikowi, który pobiera skrypt, jest również odpowiedzialny za uruchomienie skryptu.

Przeglądanie plików i folderów

Aby przeglądać pliki i foldery, skrypt używa inicjatora iSCSI na maszynie i łączy się z punktem odzyskiwania skonfigurowanym jako obiekt docelowy iSCSI. W tym miejscu można sobie wyobrazić scenariusze, w których próbuje się naśladować/fałszować albo/wszystkie składniki.

Używamy mechanizmu wzajemnego uwierzytelniania PROTOKOŁU CHAP, aby każdy składnik uwierzytelnił się nawzajem. Oznacza to, że jest to niezwykle trudne dla fałszywego inicjatora, aby nawiązać połączenie z obiektem docelowym iSCSI i aby fałszywy obiekt docelowy był połączony z maszyną, na której jest uruchamiany skrypt.

Przepływ danych między usługą odzyskiwania a maszyną jest chroniony przez utworzenie bezpiecznego tunelu TLS za pośrednictwem protokołu TCP (protokół TLS 1.2 powinien być obsługiwany na maszynie, na której jest uruchamiany skrypt).

Wszystkie pliki Access Control List (ACL) obecne w nadrzędnej/kopii zapasowej maszyny wirtualnej są zachowywane również w zainstalowanym systemie plików.

Skrypt zapewnia dostęp tylko do odczytu do punktu odzyskiwania i jest ważny tylko przez 12 godzin. Jeśli chcesz usunąć dostęp wcześniej, zaloguj się do Azure Portal/programu PowerShell/interfejsu wiersza polecenia i wykonaj odinstalowywanie dysków dla tego konkretnego punktu odzyskiwania. Skrypt zostanie natychmiast unieważniony.

Następne kroki