Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Azure Backup dla poufnych maszyn wirtualnych jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Azure Backup obsługuje poufne maszyny wirtualne (CVM), które zapewniają bezpieczną kopię zapasową i przywracanie poufnych obciążeń. Ta funkcja używa zestawów Azure Disk Encryption Sets (DES) z kluczami zarządzanymi przez platformę (PMK) lub kluczami zarządzanymi przez klienta (CMK), aby zachować poufność danych w całym cyklu życia tworzenia kopii zapasowych. Poufne maszyny wirtualne zapewniają silne zabezpieczenia, tworząc granicę wymuszaną sprzętowo między aplikacją a stosem wirtualizacji.
W tym artykule opisano sposób konfigurowania i tworzenia kopii zapasowej poufnej maszyny wirtualnej (CVM) przy użyciu klucza platformy lub klucza zarządzanego przez klienta (PMK lub CMK).
Obsługiwane scenariusze tworzenia kopii zapasowej poufnej maszyny wirtualnej
W poniższej tabeli wymieniono obsługiwane scenariusze tworzenia kopii zapasowej poufnej maszyny wirtualnej:
| Scenario | Wspieralność |
|---|---|
| Rozmiar maszyny wirtualnej |
Obsługiwane są serie v6 . Seria v5 nie jest obsługiwana. |
| Dostępność regionu | Obsługiwane w Zjednoczonych Emiratach Arabskich Północ, Korea Centralna. |
| Rotacja kluczy dla kopii zapasowych | Gdy rotacja kluczy odbywa się na poufnej maszynie wirtualnej, klucze dysków maszyny wirtualnej, powiązane punkty przywracania i migawki są automatycznie aktualizowane. Znany problem: Rotacja kluczy w tej wersji zapoznawczej może mieć problemy z wydajnością lub niepowodzeniem w następujących scenariuszach: — Więcej niż 40 dysków jest dołączonych do jednego DES, gdy (tylko) punkty przywracania są skojarzone z tymi dyskami. — Jeśli również bezpośrednio utworzysz migawki dysków poza systemem kopii zapasowych Azure dla tych dysków połączonych z tym samym DES, spowoduje to zmniejszenie bezpiecznego progu 40 dysków do mapowania DES. Zalecenie: zachowaj minimalną liczbę dysków podłączonych do każdego des do momentu rozwiązania problemu. |
| Możliwości tworzenia kopii zapasowych | Można wykonywać kopie zapasowe poufnych maszyn wirtualnych tylko za pomocą szyfrowania dysków systemu operacyjnego. — Tworzenie kopii zapasowej i przywracanie nie powiedzie się, jeśli flaga funkcji rezygnacji CVM w wersji 2 jest włączona dla twojej subskrypcji. — Kopia zapasowa spójna podczas awarii wielu dysków nie jest obsługiwana. — Przywracanie między regionami jest obecnie nieobsługiwane, ponieważ wielkość maszyny wirtualnej CVM v6 nie jest jeszcze ogólnie dostępna w regionach partnerskich platformy Azure. |
Wymagania wstępne
Przed skonfigurowaniem kopii zapasowej CVM za pomocą klucza CMK upewnij się, że spełnione są następujące wymagania wstępne:
Zarejestruj się, aby uzyskać funkcję w wersji zapoznawczej w subskrypcji platformy Azure — nazwa:
RestorePointSupportForConfidentialVMV2Dostawca:Microsoft.Compute. Możesz wykonać kroki opisane tutaj, aby to zrobić w portalu. Możesz również uruchomić następujące polecenie cmdlet programu PowerShell. Rejestracja zostanie automatycznie zatwierdzona.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Identyfikowanie lub tworzenie poufnej maszyny wirtualnej (CVM) w obsługiwanym regionie. Zobacz obsługiwane regiony.
Zidentyfikuj lub utwórz magazyn Recovery Services w tym samym regionie co maszyna wirtualna.
Utwórz nową poufną maszynę wirtualną z kluczem PMK lub CMK.
Aby utworzyć kopię zapasową poufnej maszyny wirtualnej przy użyciu usługi Azure Backup, musisz mieć maszynę wirtualną poufną skonfigurowaną z szyfrowaniem PMK lub CMK. Usługa Azure Backup używa zestawu szyfrowania dysków skojarzonego z maszyną wirtualną, aby zachować szyfrowanie w całym procesie tworzenia kopii zapasowej i przywracania.
Dowiedz się, jak utworzyć nową poufną maszynę wirtualną z PMK lub CMK, w razie potrzeby.
Przypisywanie uprawnień do tworzenia kopii zapasowej poufnej maszyny wirtualnej
Usługa Azure Backup wymaga dostępu do magazynu kluczy lub zarządzanego sprzętowego modułu zabezpieczeń (HSM), który przechowuje klucze. Ten dostęp gwarantuje, że usługa może utworzyć kopię zapasową kluczy i odzyskać je, jeśli zostaną usunięte. Podczas konfigurowania kopii zapasowej w witrynie Azure Portal usługa Azure Backup automatycznie pobiera wymagane uprawnienia. Jeśli używasz innych klientów, takich jak program PowerShell, interfejs wiersza polecenia lub interfejs API REST, musisz przypisać te uprawnienia ręcznie.
Jeśli używasz magazynu kluczy do przechowywania kluczy, przyznaj uprawnienia usłudze Azure Backup na potrzeby operacji tworzenia kopii zapasowych.
Aby przypisać uprawnienia do usługi MHSM, wykonaj następujące kroki:
W portalu Azure przejdź do zarządzanego HSM, a następnie wybierz kontrolę dostępu na podstawie ról w Ustawieniach.
Wybierz pozycję Dodaj , aby dodać nowe przypisanie roli.
Wybierz jedną z następujących ról:
Role wbudowane: jeśli chcesz użyć wbudowanej roli, wybierz rolę Zarządzanego użytkownika kryptograficznego modułu HSM .
Role niestandardowe: jeśli chcesz użyć roli niestandardowej, wartości dataAction tej roli powinny mieć następujące wartości:
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Rolę niestandardową można utworzyć przy użyciu zarządzania rolami płaszczyzny danych zarządzanego modułu HSM.
W polu Zakres wybierz określony klucz używany do tworzenia poufnej maszyny wirtualnej przy użyciu klucza zarządzanego przez klienta.
Możesz również wybrać pozycję Wszystkie klucze.
W podmiocie zabezpieczeń wybierz Usługa zarządzania kopiami zapasowymi.
Konfigurowanie kopii zapasowej poufnej maszyny wirtualnej
Gdy usługa Azure Backup ma niezbędne uprawnienia, możesz kontynuować konfigurowanie kopii zapasowej. Dowiedz się, jak skonfigurować kopię zapasową maszyny wirtualnej platformy Azure.
Następny krok
Przywracanie CVM przy użyciu usługi Azure Backup (wersja zapoznawcza).
Treści powiązane
Tworzenie kopii zapasowych zaszyfrowanych maszyn wirtualnych platformy Azure.