Tworzenie kopii zapasowych i przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

W tym artykule opisano sposób tworzenia kopii zapasowych i przywracania maszyn wirtualnych platformy Azure z systemem Windows lub Linux przy użyciu zaszyfrowanych dysków przy użyciu usługi Azure Backup. Aby uzyskać więcej informacji, zobacz Szyfrowanie kopii zapasowych maszyn wirtualnych platformy Azure.

Szyfrowanie przy użyciu kluczy zarządzanych przez platformę

Domyślnie wszystkie dyski na maszynach wirtualnych są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę (PMK), które używają szyfrowania usługi magazynu. Możesz utworzyć kopię zapasową tych maszyn wirtualnych przy użyciu Azure Backup bez żadnych konkretnych akcji wymaganych do obsługi szyfrowania na końcu. Aby uzyskać więcej informacji na temat szyfrowania za pomocą kluczy zarządzanych przez platformę, zobacz ten artykuł.

Zaszyfrowane dyski

Szyfrowanie przy użyciu kluczy zarządzanych przez klienta

Podczas szyfrowania dysków przy użyciu kluczy zarządzanych przez klienta (CMK) klucz używany do szyfrowania dysków jest przechowywany w usłudze Azure Key Vault i jest zarządzany przez Ciebie. Szyfrowanie usługi Storage (SSE) przy użyciu klucza zarządzanego przez klienta różni się od szyfrowania za pomocą usługi Azure Disk Encryption (ADE). Program ADE używa narzędzi szyfrowania systemu operacyjnego. Funkcja SSE szyfruje dane w usłudze magazynu, umożliwiając korzystanie z dowolnego systemu operacyjnego lub obrazów dla maszyn wirtualnych.

Nie musisz wykonywać żadnych jawnych akcji tworzenia kopii zapasowych ani przywracania maszyn wirtualnych, które używają kluczy zarządzanych przez klienta do szyfrowania dysków. Dane kopii zapasowej tych maszyn wirtualnych przechowywane w magazynie będą szyfrowane przy użyciu tych samych metod, co szyfrowanie używane w magazynie.

Aby uzyskać więcej informacji na temat szyfrowania dysków zarządzanych za pomocą kluczy zarządzanych przez klienta, zobacz ten artykuł.

Obsługa szyfrowania przy użyciu usługi ADE

Azure Backup obsługuje kopie zapasowe maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego/danych zaszyfrowane za pomocą usługi Azure Disk Encryption (ADE). Usługa ADE używa funkcji BitLocker do szyfrowania maszyn wirtualnych z systemem Windows oraz funkcji dm-crypt dla maszyn wirtualnych z systemem Linux. Usługa ADE integruje się z usługą Azure Key Vault w celu zarządzania kluczami i wpisami tajnymi szyfrowania dysków. Key Vault kluczy szyfrowania kluczy (KEKs) można użyć do dodania dodatkowej warstwy zabezpieczeń, szyfrowania wpisów tajnych szyfrowania przed zapisaniem ich w Key Vault.

Azure Backup można tworzyć kopie zapasowe i przywracać maszyny wirtualne platformy Azure przy użyciu usługi ADE z aplikacją Azure AD i bez jej użycia, jak podsumowano w poniższej tabeli.

Typ dysku maszyny wirtualnej ADE (BEK/dm-crypt) ADE i KEK
Niezarządzany Tak Tak
Zarządzany Tak Tak

Ograniczenia

  • Możesz tworzyć kopie zapasowe i przywracać zaszyfrowane maszyny wirtualne programu ADE w ramach tej samej subskrypcji.
  • Azure Backup obsługuje maszyny wirtualne szyfrowane przy użyciu kluczy autonomicznych. Każdy klucz, który jest częścią certyfikatu używanego do szyfrowania maszyny wirtualnej, nie jest obecnie obsługiwany.
  • Azure Backup obsługuje przywracanie między regionami zaszyfrowanych maszyn wirtualnych platformy Azure do sparowanych regionów platformy Azure. Aby uzyskać więcej informacji, zobacz macierz obsługi.
  • Zaszyfrowane maszyny wirtualne programu ADE nie mogą być odzyskiwane na poziomie pliku/folderu. Aby przywrócić pliki i foldery, należy odzyskać całą maszynę wirtualną.
  • Podczas przywracania maszyny wirtualnej nie można użyć opcji zastępowania istniejącej maszyny wirtualnej dla zaszyfrowanych maszyn wirtualnych programu ADE. Ta opcja jest obsługiwana tylko w przypadku niezaszyfrowanych dysków zarządzanych.

Przed rozpoczęciem

Przed rozpoczęciem wykonaj następujące czynności:

  1. Upewnij się, że masz co najmniej jedną maszynę wirtualną z systemem Windows lub Linux z włączoną usługą ADE.
  2. Zapoznaj się z macierzą obsługi kopii zapasowej maszyny wirtualnej platformy Azure
  3. Utwórz magazyn usługi Recovery Services Backup, jeśli go nie masz.
  4. Jeśli włączysz szyfrowanie dla maszyn wirtualnych, które są już włączone na potrzeby tworzenia kopii zapasowych, wystarczy zapewnić usłudze Backup uprawnienia dostępu do Key Vault, aby kopie zapasowe mogły być kontynuowane bez zakłóceń. Dowiedz się więcej o przypisywaniu tych uprawnień.

Ponadto istnieje kilka rzeczy, które mogą być konieczne w pewnych okolicznościach:

  • Zainstaluj agenta maszyny wirtualnej na maszynie wirtualnej: Azure Backup tworzy kopię zapasową maszyn wirtualnych platformy Azure, instalując rozszerzenie agenta maszyny wirtualnej platformy Azure uruchomionego na maszynie. Jeśli maszyna wirtualna została utworzona na podstawie obrazu Azure Marketplace, agent jest zainstalowany i uruchomiony. Jeśli tworzysz niestandardową maszynę wirtualną lub migrujesz maszynę lokalną, może być konieczne ręczne zainstalowanie agenta.

Konfigurowanie zasad kopii zapasowych

  1. Jeśli magazyn kopii zapasowych usług Recovery Services nie został jeszcze utworzony, postępuj zgodnie z tymi instrukcjami.

  2. Przejdź do centrum kopii zapasowej i kliknij pozycję +Kopia zapasowa na karcie Przegląd

    Okienko kopii zapasowej

  3. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wybierz utworzony magazyn, a następnie kliknij przycisk Kontynuuj.

    Okienko scenariusza

  4. Wybierz zasady, które chcesz skojarzyć z magazynem, a następnie wybierz przycisk OK.

    • Zasady tworzenia kopii zapasowych określają, kiedy są tworzone kopie zapasowe i jak długo są przechowywane.
    • Szczegóły domyślnych zasad znajdują się w menu rozwijanym.

    Wybieranie zasad tworzenia kopii zapasowych

  5. Jeśli nie chcesz używać zasad domyślnych, wybierz pozycję Utwórz nową i utwórz zasady niestandardowe.

  6. W obszarze Virtual Machines wybierz pozycję Dodaj.

    Dodawanie maszyn wirtualnych

  7. Wybierz zaszyfrowane maszyny wirtualne, których kopię zapasową chcesz utworzyć przy użyciu wybranych zasad, a następnie wybierz przycisk OK.

    Wybieranie zaszyfrowanych maszyn wirtualnych

  8. Jeśli używasz usługi Azure Key Vault, na stronie magazynu zostanie wyświetlony komunikat, który Azure Backup potrzebuje dostępu tylko do odczytu do kluczy i wpisów tajnych w Key Vault.

    • Jeśli zostanie wyświetlony ten komunikat, żadna akcja nie jest wymagana.

      Dostęp w ok

    • Jeśli zostanie wyświetlony ten komunikat, musisz ustawić uprawnienia zgodnie z opisem w poniższej procedurze.

      Ostrzeżenie o dostępie

  9. Wybierz pozycję Włącz tworzenie kopii zapasowej , aby wdrożyć zasady tworzenia kopii zapasowych w magazynie, a następnie włącz tworzenie kopii zapasowych dla wybranych maszyn wirtualnych.

Wyzwalanie zadania tworzenia kopii zapasowej

Początkowa kopia zapasowa zostanie uruchomiona zgodnie z harmonogramem, ale można ją uruchomić natychmiast w następujący sposób:

  1. Przejdź do centrum kopii zapasowej i wybierz element menu Wystąpienia kopii zapasowej .
  2. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wyszukaj maszynę wirtualną skonfigurowaną do tworzenia kopii zapasowej.
  3. Kliknij prawym przyciskiem myszy odpowiedni wiersz lub wybierz ikonę więcej (...), a następnie kliknij pozycję Utwórz kopię zapasową teraz.
  4. W obszarze Utwórz kopię zapasową teraz użyj kontrolki kalendarza, aby wybrać ostatni dzień przechowywania punktu odzyskiwania. Następnie wybierz przycisk OK.
  5. Monitoruj powiadomienia portalu. Aby monitorować postęp zadania, przejdź do obszaru Zadania kopii zapasowej Centrum>kopii zapasowych i przefiltruj listę zadań w toku . W zależności od rozmiaru maszyny wirtualnej tworzenie początkowej kopii zapasowej może potrwać pewien czas.

Podawanie uprawnień

Azure Backup wymaga dostępu tylko do odczytu w celu tworzenia kopii zapasowych kluczy i wpisów tajnych wraz ze skojarzonymi maszynami wirtualnymi.

  • Twoja Key Vault jest skojarzona z dzierżawą Azure AD subskrypcji platformy Azure. Jeśli jesteś użytkownikiem członkowskim, Azure Backup uzyskuje dostęp do Key Vault bez dalszych działań.
  • Jeśli jesteś użytkownikiem-gościem, musisz podać uprawnienia do Azure Backup dostępu do magazynu kluczy. Aby skonfigurować usługę Backup dla zaszyfrowanych maszyn wirtualnych, musisz mieć dostęp do magazynów kluczy.

Aby ustawić uprawnienia:

  1. W Azure Portal wybierz pozycję Wszystkie usługi i wyszukaj pozycję Magazyny kluczy.

  2. Wybierz magazyn kluczy skojarzony z zaszyfrowaną maszyną wirtualną, której kopię zapasową chcesz utworzyć.

    Porada

    Aby zidentyfikować skojarzony magazyn kluczy maszyny wirtualnej, użyj następującego polecenia programu PowerShell. Zastąp nazwę grupy zasobów i nazwą maszyny wirtualnej:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Wyszukaj nazwę magazynu kluczy w tym wierszu:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Wybierz pozycję Zasady> dostępuDodaj zasady dostępu.

    Dodawanie zasad dostępu

  4. W obszarze Dodawanie zasad> dostępuSkonfiguruj z szablonu (opcjonalnie)wybierz pozycję Azure Backup.

    • Wymagane uprawnienia są wstępnie wypełniane dla uprawnień klucza i uprawnień wpisu tajnego.
    • Jeśli maszyna wirtualna jest szyfrowana tylko przy użyciu klucza beK, usuń wybór uprawnień klucza , ponieważ potrzebujesz tylko uprawnień dla wpisów tajnych.

    wybór Azure Backup

  5. Wybierz pozycję Dodaj. Usługa zarządzania kopiami zapasowymi jest dodawana do zasad dostępu.

    Zasady dostępu

  6. Wybierz pozycję Zapisz, aby podać Azure Backup z uprawnieniami.

Można również ustawić zasady dostępu przy użyciu programu PowerShell lub interfejsu wiersza polecenia.

Następne kroki

Przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

Jeśli wystąpią jakiekolwiek problemy, zapoznaj się z następującymi artykułami: