Odzyskiwanie plików z kopii zapasowej maszyny wirtualnej platformy Azure
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która jest stanem End Of Life (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Usługa Azure Backup umożliwia przywracanie maszyn wirtualnych platformy Azure i dysków z kopii zapasowych maszyn wirtualnych platformy Azure, nazywanych również punktami odzyskiwania. W tym artykule wyjaśniono, jak odzyskać pliki i foldery z kopii zapasowej maszyny wirtualnej platformy Azure. Przywracanie plików i folderów jest dostępne tylko dla maszyn wirtualnych platformy Azure wdrożonych przy użyciu modelu usługi Resource Manager i chronionego w magazynie usługi Recovery Services.
Uwaga
Ta funkcja jest dostępna dla maszyn wirtualnych platformy Azure wdrożonych przy użyciu modelu usługi Resource Manager i chronionej w magazynie usługi Recovery Services. Odzyskiwanie plików z zaszyfrowanej kopii zapasowej maszyny wirtualnej nie jest obsługiwane.
Krok 1. Generowanie i pobieranie skryptu w celu przeglądania i odzyskiwania plików
Aby przywrócić pliki lub foldery z punktu odzyskiwania, przejdź do maszyny wirtualnej i wykonaj następujące kroki:
Zaloguj się do witryny Azure Portal i w okienku po lewej stronie wybierz pozycję Maszyny wirtualne. Z listy maszyn wirtualnych wybierz maszynę wirtualną, aby otworzyć pulpit nawigacyjny tej maszyny wirtualnej.
W menu maszyny wirtualnej wybierz pozycję Kopia zapasowa , aby otworzyć pulpit nawigacyjny Kopia zapasowa.
W menu pulpitu nawigacyjnego Kopia zapasowa wybierz pozycję Odzyskiwanie plików.
32
Zostanie otwarte menu Odzyskiwanie plików.
Ważne
Użytkownicy powinni zwrócić uwagę na ograniczenia wydajności tej funkcji. Jak wskazano w sekcji przypisu powyższego bloku, ta funkcja powinna być używana, gdy całkowity rozmiar odzyskiwania wynosi 10 GB lub mniej. Oczekiwana szybkość transferu danych wynosi około 1 GB na godzinę.
Z menu rozwijanego Wybierz punkt odzyskiwania wybierz odpowiedni punkt odzyskiwania. Domyślnie jest już wybrany najnowszy punkt odzyskiwania.
Wybierz pozycję Pobierz plik wykonywalny (dla maszyn wirtualnych platformy Windows Azure) lub Pobierz skrypt (w przypadku maszyn wirtualnych platformy Azure z systemem Linux jest generowany skrypt języka Python), aby pobrać oprogramowanie używane do kopiowania plików z punktu odzyskiwania.
Platforma Azure pobiera plik wykonywalny lub skrypt na komputer lokalny.
Aby uruchomić plik wykonywalny lub skrypt jako administrator, zaleca się zapisanie pobranego pliku na komputerze.
Plik wykonywalny lub skrypt jest chroniony hasłem i wymaga hasła. W menu Odzyskiwanie plików wybierz przycisk kopiowania, aby załadować hasło do pamięci.
Krok 2. Upewnij się, że maszyna spełnia wymagania przed wykonaniem skryptu
Po pomyślnym pobraniu skryptu upewnij się, że masz odpowiednią maszynę do wykonania tego skryptu. Maszyna wirtualna, na której planujesz wykonać skrypt, nie powinna mieć żadnej z następujących nieobsługiwanych konfiguracji. Jeśli tak, wybierz alternatywną maszynę spełniającą wymagania.
Dyski dynamiczne
Nie można uruchomić skryptu wykonywalnego na maszynie wirtualnej z dowolną z następujących cech: Wybierz maszynę alternatywną
- Woluminy obejmujące wiele dysków (woluminy rozproszone i rozłożone).
- Woluminy odporne na uszkodzenia (woluminy dublowane i RAID-5) na dyskach dynamicznych.
Miejsca do magazynowania w systemie Windows
Nie można uruchomić pobranego pliku wykonywalnego na tej samej maszynie wirtualnej, jeśli kopia zapasowa maszyny wirtualnej ma Miejsca do magazynowania systemu Windows. Wybierz maszynę alternatywną.
Kopie zapasowe maszyn wirtualnych z dużymi dyskami
Jeśli kopia zapasowa maszyny ma dużą liczbę dysków (16) lub dużych dysków (>>4 TB każdy), nie zaleca się wykonywania skryptu na tej samej maszynie w celu przywrócenia, ponieważ będzie to miało znaczący wpływ na maszynę wirtualną. Zamiast tego zaleca się posiadanie oddzielnej maszyny wirtualnej tylko w przypadku odzyskiwania plików (maszyn wirtualnych D2v3 platformy Azure), a następnie zamykania jej, gdy nie jest to wymagane.
Zobacz wymagania dotyczące przywracania plików z maszyn wirtualnych kopii zapasowych z dużym dyskiem:
System operacyjny Windows
System operacyjny Linux
Po wybraniu prawidłowej maszyny do uruchomienia skryptu ILR upewnij się, że spełnia wymagania systemu operacyjnego i wymagania dostępu.
Krok 3. Wymagania systemu operacyjnego dotyczące pomyślnego uruchomienia skryptu
Maszyna wirtualna, na której chcesz uruchomić pobrany skrypt, musi spełniać następujące wymagania.
W przypadku systemu operacyjnego Windows
W poniższej tabeli przedstawiono zgodność między systemami operacyjnymi serwera i komputerów. Podczas odzyskiwania plików nie można przywrócić plików do poprzedniej lub przyszłej wersji systemu operacyjnego. Na przykład nie można przywrócić pliku z maszyny wirtualnej z systemem Windows Server 2016 na komputer z systemem Windows Server 2012 lub Windows 8. Pliki można przywrócić z maszyny wirtualnej do tego samego systemu operacyjnego serwera lub zgodnego systemu operacyjnego klienta.
System operacyjny serwera | Zgodny system operacyjny klienta |
---|---|
Windows Server 2022 | Windows 11 i Windows 10 |
Windows Server 2019 | Windows 10 |
Windows Server 2016 | Windows 10 |
Windows Server 2012 R2 | Windows 8.1 |
Windows Server 2012 | Windows 8 |
Windows Server 2008 R2 | Windows 7 |
W przypadku systemu operacyjnego Linux
System Linux na komputerze używanym do przywracania plików musi obsługiwać system plików chronionej maszyny wirtualnej. Wybierając komputer do uruchomienia skryptu, upewnij się, że komputer ma zgodny system operacyjny i używa jednej z wersji wskazanych w poniższej tabeli:
System operacyjny Linux | Wersje |
---|---|
Ubuntu | 12.04 i nowsze |
CentOS | 6.5 i nowsze |
RHEL | 6.7 i nowsze |
Debian | 7 i nowsze |
Oracle Linux | 6.4 i nowsze |
SLES | 12 i nowsze |
openSUSE | 42.2 i nowsze |
Dodatkowe składniki
Skrypt wymaga również, aby składniki języka Python i powłoki bash były wykonywane i łączyły się z punktem odzyskiwania w bezpieczny sposób.
Składnik | Wersja | Typ systemu operacyjnego |
---|---|---|
bash | 4 lub nowsza | Linux |
Python | 2.6.6 lub nowsza | Linux |
.NET | 4.6.2 lub nowsza | Windows |
TLS | Wersja 1.2 powinna być obsługiwana | Linux/Windows |
Upewnij się również, że masz odpowiednią maszynę do wykonania skryptu ILR i spełnia wymagania dostępu.
Krok 4. Wymagania dostępu do pomyślnego uruchomienia skryptu
Jeśli uruchomisz skrypt na komputerze z ograniczonym dostępem, upewnij się, że masz dostęp do:
download.microsoft.com
lubAzureFrontDoor.FirstParty
tag usługi w sieciowej grupie zabezpieczeń na porcie 443 (wychodzący)- Adresy URL usługi Recovery Service (GEO-NAME odnosi się do regionu, w którym znajduje się magazyn usługi Recovery Services) na porcie 3260 (wychodzącym)
https://pod01-rec2.GEO-NAME.backup.windowsazure.com
(W przypadku regionów publicznych platformy Azure) lubAzureBackup
tag usługi w sieciowej grupie zabezpieczeńhttps://pod01-rec2.GEO-NAME.backup.windowsazure.cn
(W przypadku platformy Microsoft Azure obsługiwanej przez firmę 21Vianet) lubAzureBackup
tagu usługi w sieciowej grupie zabezpieczeńhttps://pod01-rec2.GEO-NAME.backup.windowsazure.us
(W przypadku platformy Azure US Government) lubAzureBackup
tagu usługi w sieciowej grupie zabezpieczeńhttps://pod01-rec2.GEO-NAME.backup.windowsazure.de
(W przypadku platformy Azure (Niemcy) lubAzureBackup
tag usługi w sieciowej grupie zabezpieczeń
- Publiczne rozpoznawanie nazw DNS na porcie 53 (wychodzące)
Uwaga
Serwery proxy mogą nie obsługiwać protokołu iSCSI ani udzielać dostępu do portu 3260. Dlatego zdecydowanie zaleca się uruchomienie tego skryptu na maszynach, które mają bezpośredni dostęp zgodnie z wymaganiami powyżej, a nie na maszynach, które będą przekierowywać do serwera proxy.
Uwaga
W przypadku, gdy kopia zapasowa maszyny wirtualnej to Windows, nazwa geograficzna zostanie wymieniona w wygenerowanym haśle.
Jeśli na przykład wygenerowane hasło jest ContosoVM_wcus_GUID, nazwa geograficzna to wcus, a adres URL będzie: <https://pod01-rec2.wcus.backup.windowsazure.com
>
Jeśli kopia zapasowa maszyny wirtualnej to Linux, plik skryptu pobrany w kroku 1 powyżej będzie miał nazwę geograficzną w nazwie pliku. Użyj tej nazwy geograficznej, aby wypełnić adres URL. Pobrana nazwa skryptu rozpocznie się od: "VMname"_'geoname'_'GUID".
Jeśli na przykład nazwa pliku skryptu jest ContosoVM_wcus_12345678, nazwa geograficzna to wcus , a adres URL będzie: <https://pod01-rec2.wcus.backup.windowsazure.com
>
W przypadku systemu Linux skrypt wymaga składników "open-iscsi" i "lshw" w celu nawiązania połączenia z punktem odzyskiwania. Jeśli składniki nie istnieją na komputerze, na którym jest uruchamiany skrypt, skrypt prosi o pozwolenie na zainstalowanie składników. Wyrażanie zgody na zainstalowanie niezbędnych składników.
Dostęp do download.microsoft.com
programu jest wymagany do pobierania składników używanych do tworzenia bezpiecznego kanału między maszyną, na której jest uruchamiany skrypt, a danymi w punkcie odzyskiwania.
Upewnij się również, że masz odpowiednią maszynę do wykonania skryptu ILR i spełnia wymagania systemu operacyjnego.
Krok 5. Uruchamianie skryptu i identyfikowanie woluminów
Uwaga
Skrypt jest generowany tylko w języku angielskim i nie jest zlokalizowany. W związku z tym może być wymagane, aby ustawienia regionalne systemu były w języku angielskim, aby skrypt działał prawidłowo
W przypadku systemu Windows
Po spełnieniu wszystkich wymagań wymienionych w kroku 2, kroku 3 i kroku 4 skopiuj skrypt z pobranej lokalizacji (zazwyczaj folder Pobrane), zobacz Krok 1, aby dowiedzieć się, jak wygenerować i pobrać skrypt. Kliknij prawym przyciskiem myszy plik wykonywalny i uruchom go przy użyciu poświadczeń administratora. Po wyświetleniu monitu wpisz hasło lub wklej hasło z pamięci i naciśnij Enter. Po wprowadzeniu prawidłowego hasła skrypt łączy się z punktem odzyskiwania.
Po uruchomieniu pliku wykonywalnego system operacyjny instaluje nowe woluminy i przypisuje litery dysku. Aby przeglądać te dyski, możesz użyć Eksploratora Windows lub Eksplorator plików. Litery dysku przypisane do woluminów mogą nie być tymi samymi literami co oryginalna maszyna wirtualna. Jednak nazwa woluminu jest zachowywana. Jeśli na przykład wolumin na oryginalnej maszynie wirtualnej to "Dysk danych (E:\
)", ten wolumin można dołączyć na komputerze lokalnym jako "Dysk danych (dowolna litera':):\
). Przeglądaj wszystkie woluminy wymienione w danych wyjściowych skryptu do momentu znalezienia plików lub folderu.
W przypadku maszyn wirtualnych z kopiami zapasowymi z dużymi dyskami (Windows)
Jeśli proces odzyskiwania plików zawiesza się po uruchomieniu skryptu przywracania plików (na przykład jeśli dyski nigdy nie są zainstalowane lub są zainstalowane, ale woluminy nie są wyświetlane), wykonaj następujące kroki:
Upewnij się, że system operacyjny jest WS 2012 lub nowszy.
Upewnij się, że klucze rejestru zostały ustawione zgodnie z poniższymi sugestiami na serwerze przywracania i upewnij się, że serwer został uruchomiony ponownie. Liczba obok identyfikatora GUID może wahać się od 0001 do 0005. W poniższym przykładzie jest to 0004. Przejdź przez ścieżkę klucza rejestru do sekcji parameters.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.
W przypadku systemu Linux
Po spełnieniu wszystkich wymagań wymienionych w kroku 2, krok 3 i krok 4, wygeneruj skrypt języka Python dla maszyn z systemem Linux. Zobacz Krok 1, aby dowiedzieć się, jak wygenerować i pobrać skrypt. Pobierz skrypt i skopiuj go do odpowiedniego/zgodnego serwera z systemem Linux. Może być konieczne zmodyfikowanie uprawnień do jego wykonania za pomocą chmod +x <python file name>
polecenia . Następnie uruchom plik języka Python za pomocą polecenia ./<python file name>
.
W systemie Linux woluminy punktu odzyskiwania są instalowane w folderze, w którym jest uruchamiany skrypt. Dołączone dyski, woluminy i odpowiednie ścieżki instalacji są odpowiednio wyświetlane. Te ścieżki instalacji są widoczne dla użytkowników mających dostęp na poziomie głównym. Przejrzyj woluminy wymienione w danych wyjściowych skryptu.
W przypadku maszyn wirtualnych z kopiami zapasowymi z dużymi dyskami (Linux)**
Jeśli proces odzyskiwania plików zawiesza się po uruchomieniu skryptu przywracania plików (na przykład jeśli dyski nigdy nie są zainstalowane lub są zainstalowane, ale woluminy nie są wyświetlane), wykonaj następujące kroki:
- W pliku /etc/iscsid.conf zmień ustawienie z:
node.conn[0].timeo.noop_out_timeout = 5
donode.conn[0].timeo.noop_out_timeout = 120
- Po wprowadzeniu powyższych zmian uruchom ponownie skrypt. Jeśli występują błędy przejściowe, upewnij się, że między ponownym uruchomieniem występuje luka w zakresie od 20 do 30 minut, aby uniknąć kolejnych wybuchów żądań wpływających na przygotowanie docelowe. Ten interwał między ponownymi przebiegami gwarantuje, że element docelowy jest gotowy do nawiązania połączenia ze skryptu.
- Po odzyskiwaniu plików upewnij się, że wrócisz do portalu i wybierz pozycję Odinstaluj dyski dla punktów odzyskiwania, w których nie można zainstalować woluminów. Zasadniczo ten krok spowoduje oczyszczenie wszystkich istniejących procesów/sesji i zwiększenie prawdopodobieństwa odzyskania.
Macierze LVM/RAID (dla maszyn wirtualnych z systemem Linux)
W systemie Linux do zarządzania woluminami logicznymi na wielu dyskach służy menedżer woluminów logicznych (LVM) i/lub macierze RAID oprogramowania. Jeśli chroniona maszyna wirtualna z systemem Linux używa macierzy LVM i/lub RAID, nie można uruchomić skryptu na tej samej maszynie wirtualnej.
Zamiast tego uruchom skrypt na dowolnej innej maszynie z zgodnym systemem operacyjnym, który obsługuje system plików chronionej maszyny wirtualnej.
Następujące dane wyjściowe skryptu wyświetla dyski LVM i/lub RAID Arrays oraz woluminy o typie partycji.
Aby przenieść te partycje w tryb online, uruchom polecenia w poniższych sekcjach.
W przypadku partycji LVM
Po uruchomieniu skryptu partycje LVM są instalowane w woluminach fizycznych/dyskach określonych w danych wyjściowych skryptu. Proces polega na
- Pobieranie unikatowej listy nazw grup woluminów z woluminów fizycznych lub dysków
- Następnie wyświetl listę woluminów logicznych w tych grupach woluminów
- Następnie zainstaluj woluminy logiczne w żądanej ścieżce.
Wyświetlanie listy nazw grup woluminów z woluminów fizycznych
Aby wyświetlić listę nazw grup woluminów:
sudo pvs -o +vguuid
To polecenie wyświetli listę wszystkich woluminów fizycznych (w tym tych obecnych przed uruchomieniem skryptu), ich odpowiednich nazw grup woluminów i unikatowych identyfikatorów użytkowników grupy woluminów (UUID). Poniżej przedstawiono przykładowe dane wyjściowe polecenia.
PV VG Fmt Attr PSize PFree VG UUID
/dev/sda4 rootvg lvm2 a-- 138.71g 113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6
/dev/sdc APPvg_new lvm2 a-- <75.00g <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5
/dev/sde APPvg_new lvm2 a-- <75.00g <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5
/dev/sdf datavg_db lvm2 a-- <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN
/dev/sdd datavg_db lvm2 a-- <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN
Pierwsza kolumna (PV) pokazuje wolumin fizyczny, kolejne kolumny pokazują odpowiednią nazwę grupy woluminów, format, atrybuty, rozmiar, wolne miejsce i unikatowy identyfikator grupy woluminów. Dane wyjściowe polecenia zawierają wszystkie woluminy fizyczne. Zapoznaj się z danymi wyjściowymi skryptu i zidentyfikuj woluminy związane z kopią zapasową. W powyższym przykładzie dane wyjściowe skryptu wykazałyby /dev/sdf i /dev/sdd. Tak więc grupa woluminów datavg_db należy do skryptu, a grupa woluminów Appvg_new należy do maszyny. Ostatnim pomysłem jest upewnienie się, że unikatowa nazwa grupy woluminów powinna mieć jeden unikatowy identyfikator.
Zduplikowane grupy woluminów
Istnieją scenariusze, w których nazwy grup woluminów mogą mieć 2 identyfikatory UUID po uruchomieniu skryptu. Oznacza to, że nazwy grup woluminów na maszynie, na której jest wykonywany skrypt, a w kopii zapasowej maszyny wirtualnej są takie same. Następnie musimy zmienić nazwę grup woluminów maszyn wirtualnych kopii zapasowej. Zapoznaj się z poniższym przykładem.
PV VG Fmt Attr PSize PFree VG UUID
/dev/sda4 rootvg lvm2 a-- 138.71g 113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6
/dev/sdc APPvg_new lvm2 a-- <75.00g <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5
/dev/sde APPvg_new lvm2 a-- <75.00g <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5
/dev/sdg APPvg_new lvm2 a-- <75.00g 508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC
/dev/sdh APPvg_new lvm2 a-- <75.00g 508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC
/dev/sdm2 rootvg lvm2 a-- 194.57g 127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt
Dane wyjściowe skryptu wykazałyby /dev/sdg, /dev/sdh, /dev/sdm2 jako dołączone. Dlatego odpowiednie nazwy sieci wirtualnej są Appvg_new i rootvg. Jednak te same nazwy są również obecne na liście maszyn wirtualnych. Możemy sprawdzić, czy jedna nazwa grupy wirtualnej ma dwa identyfikatory UUID.
Teraz musimy zmienić nazwy sieci wirtualnej dla woluminów opartych na skryptach, na przykład: /dev/sdg, /dev/sdh, /dev/sdm2. Aby zmienić nazwę grupy woluminów, użyj następującego polecenia
sudo vgimportclone -n rootvg_new /dev/sdm2
sudo vgimportclone -n APPVg_2 /dev/sdg /dev/sdh
Teraz mamy wszystkie nazwy sieci wirtualnych z unikatowymi identyfikatorami.
Aktywne grupy woluminów
Upewnij się, że grupy woluminów odpowiadające woluminom skryptu są aktywne. Następujące polecenie służy do wyświetlania aktywnych grup woluminów. Sprawdź, czy na tej liście znajdują się powiązane grupy woluminów skryptu.
sudo vgdisplay -a
W przeciwnym razie aktywuj grupę woluminów przy użyciu następującego polecenia.
sudo vgchange –a y <volume-group-name>
Wyświetlanie listy woluminów logicznych w grupach woluminów
Po uzyskaniu unikatowej, aktywnej listy grup wirtualnych powiązanych ze skryptem można wyświetlić woluminy logiczne obecne w tych grupach woluminów przy użyciu następującego polecenia.
sudo lvdisplay <volume-group-name>
To polecenie wyświetla ścieżkę każdego woluminu logicznego jako "LV Path".
Instalowanie woluminów logicznych
Aby zainstalować woluminy logiczne w wybranej ścieżce:
sudo mount <LV path from the lvdisplay cmd results> </mountpath>
Ostrzeżenie
Nie używaj polecenia "mount -a". To polecenie instaluje wszystkie urządzenia opisane w '/etc/fstab'. Może to oznaczać, że zduplikowane urządzenia mogą zostać zainstalowane. Dane mogą być przekierowywane do urządzeń utworzonych przez skrypt, który nie utrwala danych, co może spowodować utratę danych.
W przypadku macierzy RAID
Następujące polecenie wyświetla szczegółowe informacje o wszystkich dyskach raid:
sudo mdadm –detail –scan
Odpowiedni dysk RAID jest wyświetlany jako /dev/mdm/<RAID array name in the protected VM>
Użyj polecenia instalacji, jeśli dysk RAID ma woluminy fizyczne:
sudo mount [RAID Disk Path] [/mountpath]
Jeśli dysk RAID ma inną konfigurację LVM, użyj poprzedniej procedury dla partycji LVM, ale użyj nazwy woluminu zamiast nazwy dysku RAID.
Krok 6. Zamykanie połączenia
Po zidentyfikowaniu plików i skopiowaniu ich do lokalizacji magazynu lokalnego usuń (lub odinstaluj) dodatkowe dyski. Aby odinstalować dyski, w menu Odzyskiwanie plików w witrynie Azure Portal wybierz pozycję Odinstaluj dyski.
Po usunięciu dysków zostanie wyświetlony komunikat. Odświeżenie połączenia może potrwać kilka minut, aby można było usunąć dyski.
W systemie Linux po zerwaniu połączenia z punktem odzyskiwania system operacyjny nie usuwa automatycznie odpowiednich ścieżek instalacji. Ścieżki instalacji istnieją jako woluminy "oddzielone" i są widoczne, ale zgłaszają błąd podczas uzyskiwania dostępu do/zapisu plików. Można je usunąć ręcznie, uruchamiając skrypt z parametrem "clean" (python scriptName.py clean
). Skrypt po uruchomieniu identyfikuje wszystkie takie woluminy istniejące z poprzednich punktów odzyskiwania i czyści je po wyrażeniu zgody.
Uwaga
Upewnij się, że połączenie jest zamknięte po przywróceniu wymaganych plików. Jest to ważne, szczególnie w scenariuszu, w którym maszyna, w której jest wykonywany skrypt, jest również skonfigurowana do tworzenia kopii zapasowej. Jeśli połączenie jest nadal otwarte, kolejna kopia zapasowa może zakończyć się niepowodzeniem z powodu błędu "UserErrorUnableToOpenMount". Dzieje się tak, ponieważ zakłada się, że zainstalowane dyski/woluminy są dostępne i gdy dostęp do nich może zakończyć się niepowodzeniem, ponieważ bazowy magazyn, czyli serwer docelowy iSCSI może być niedostępny. Czyszczenie połączenia spowoduje usunięcie tych dysków/woluminów, dzięki czemu nie będą dostępne podczas tworzenia kopii zapasowej.
Zabezpieczenia
W tej sekcji omówiono różne środki zabezpieczeń podjęte na potrzeby implementacji odzyskiwania plików z kopii zapasowych maszyn wirtualnych platformy Azure.
Przepływ funkcji
Ta funkcja została utworzona w celu uzyskania dostępu do danych maszyny wirtualnej bez konieczności przywracania całej maszyny wirtualnej lub dysków maszyny wirtualnej oraz minimalnej liczby kroków. Dostęp do danych maszyny wirtualnej jest dostarczany przez skrypt (który instaluje wolumin odzyskiwania po uruchomieniu, jak pokazano poniżej) i stanowi podstawę wszystkich implementacji zabezpieczeń:
Implementacje zabezpieczeń
Wybierz pozycję Punkt odzyskiwania (kto może wygenerować skrypt)
Skrypt zapewnia dostęp do danych maszyny wirtualnej, dlatego ważne jest, aby w pierwszej kolejności regulować, kto może je wygenerować. Musisz zalogować się do witryny Azure Portal i mieć uprawnienia RBAC platformy Azure do wygenerowania skryptu.
Odzyskiwanie plików wymaga tego samego poziomu autoryzacji, co wymagane w przypadku przywracania maszyny wirtualnej i przywracania dysków. Innymi słowy, tylko autoryzowani użytkownicy mogą wyświetlać dane maszyny wirtualnej, aby wygenerować skrypt.
Wygenerowany skrypt jest podpisany przy użyciu oficjalnego certyfikatu firmy Microsoft dla usługi Azure Backup. Każde manipulowanie skryptem oznacza, że podpis jest uszkodzony, a każda próba uruchomienia skryptu jest wyróżniona jako potencjalne zagrożenie przez system operacyjny.
Instalowanie woluminu odzyskiwania (kto może uruchomić skrypt)
Tylko administrator może uruchomić skrypt i powinien działać w trybie podwyższonego poziomu uprawnień. Skrypt uruchamia tylko wstępnie wygenerowany zestaw kroków i nie akceptuje danych wejściowych z żadnego źródła zewnętrznego.
Aby uruchomić skrypt, wymagane jest hasło wyświetlane tylko autoryzowanemu użytkownikowi w momencie generowania skryptu w witrynie Azure Portal lub programie PowerShell/interfejsie wiersza polecenia. Ma to na celu zapewnienie autoryzowanemu użytkownikowi, który pobiera skrypt, jest również odpowiedzialny za uruchomienie skryptu.
Przeglądanie plików i folderów
Aby przeglądać pliki i foldery, skrypt używa inicjatora iSCSI na maszynie i łączy się z punktem odzyskiwania skonfigurowanym jako obiekt docelowy iSCSI. W tym miejscu można sobie wyobrazić scenariusze, w których próbujesz naśladować/fałszować albo/wszystkie składniki.
Używamy mechanizmu wzajemnego uwierzytelniania PROTOKOŁU CHAP, aby każdy składnik uwierzytelnił się nawzajem. Oznacza to, że jest to niezwykle trudne dla fałszywego inicjatora nawiązywania połączenia z obiektem docelowym iSCSI i, aby fałszywy obiekt docelowy był połączony z maszyną, na której jest uruchamiany skrypt.
Przepływ danych między usługą odzyskiwania a maszyną jest chroniony przez utworzenie bezpiecznego tunelu TLS za pośrednictwem protokołu TCP (protokół TLS 1.2 powinien być obsługiwany na maszynie, na której jest uruchamiany skrypt).
Każda lista kontroli dostępu do plików (ACL) obecna na nadrzędnej/kopii zapasowej maszyny wirtualnej jest również zachowywana w zainstalowanym systemie plików.
Skrypt zapewnia dostęp tylko do odczytu do punktu odzyskiwania i jest ważny tylko przez 12 godzin. Jeśli chcesz usunąć dostęp wcześniej, zaloguj się do witryny Azure Portal/programu PowerShell/interfejsu wiersza polecenia i wykonaj odinstalowywanie dysków dla tego konkretnego punktu odzyskiwania. Skrypt zostanie natychmiast unieważniony.
Następne kroki
- Dowiedz się, jak przywracać pliki za pomocą programu PowerShell
- Dowiedz się, jak przywracać pliki za pomocą interfejsu wiersza polecenia platformy Azure
- Po przywróceniu maszyny wirtualnej dowiedz się, jak zarządzać kopiami zapasowymi