Przywracanie poufnej maszyny wirtualnej przy użyciu usługi Azure Backup (wersja zapoznawcza)

Ważne

Usługa Azure Backup dla poufnych maszyn wirtualnych jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

W tym artykule opisano sposób przywracania poufnej maszyny wirtualnej (CVM) zaszyfrowanej przy użyciu klucza zarządzanego platformy (PMK) lub klucza zarządzanego przez klienta (CMK) przy użyciu usługi Azure Backup. Obejmuje ona scenariusze przywracania oparte na stanach klucza szyfrowania i zestawu szyfrowania dysków (DES) oraz procedurę odzyskiwania dla niepowodzeń przywracania. Zawiera również procedurę wyodrębniania szczegółów szyfrowania maszyny wirtualnej, przywracania brakujących kluczy i przypisywania niezbędnych uprawnień.

Dowiedz się więcej o obsługiwanych scenariuszach tworzenia kopii zapasowej poufnej maszyny wirtualnej.

Wymagania wstępne

Przed rozpoczęciem procesu przywracania poufnej maszyny wirtualnej upewnij się, że punkty odzyskiwania są dostępne w magazynie usługi Recovery Services.

Scenariusze przywracania dla poufnej maszyny wirtualnej (Confidential VM)

Zachowanie poufnego przywracania maszyny wirtualnej zależy od stanu des, usługi Key Vault i kluczy w momencie przywracania. Scenariusze przywracania kluczy obejmują:

• Oryginalny klucz lub wersja klucza bez zmian: przywracanie powiedzie się, jeśli oryginalny zestaw szyfrowania dysków (DES) i klucz pozostaną nienaruszone.
• Rotacja kluczy: przywracanie kończy się pomyślnie, gdy nowa wersja klucza jest aktywna, pod warunkiem, że poprzednia wersja klucza nie wygasła ani nie została usunięta.
• Zmiana klucza: jeśli des używa nowego klucza w tym samym magazynie kluczy, przywracanie powiedzie się tylko wtedy, gdy oryginalny klucz, używany podczas tworzenia kopii zapasowej nadal istnieje. Nie powiedzie się, jeśli oryginalny klucz zostanie usunięty. Jeśli używasz innego magazynu kluczy, powinien on wskazywać na ten sam klucz, co oryginalny.
• DES lub usunięcie klucza: przywracanie kończy się niepowodzeniem z błędami, takimi jak UserErrorDiskEncryptionSetDoesNotExist lub UserErrorDiskEncryptionSetKeyDoesNotExist. Aby rozwiązać ten problem, utwórz ponownie klucz i des przy użyciu przywróconych danych klucza, a następnie ponów próbę przywrócenia.
• Dane wejściowe DES podane: jeśli dostarczysz nowy DES utworzony z przywróconych danych klucza, przywracanie powiedzie się, jeśli klucz i wersja są zgodne z tymi, które były używane w czasie tworzenia kopii zapasowej.
• Niezgodność DES lub klucza: przywracanie kończy się niepowodzeniem z powodu błędu UserErrorInputDESKeyDoesNotMatchWithOriginalKey. Aby rozwiązać ten błąd, przywróć brakujące klucze.

Dowiedz się, jak przywrócić brakujące klucze na potrzeby przywracania poufnych maszyn wirtualnych.

Przywracanie poufnej maszyny wirtualnej

Przywracanie z oryginalnym kluczem nienaruszonym

Podczas procesu przywracania można kontynuować bez podawania danych wejściowych zestawu szyfrowania dysku, gdy jest dostępny oryginalny klucz zarządzany przez klienta (CMK), usługa Key Vault, mHSM i DES. W tych scenariuszach można kontynuować proces przywracania w zwykły sposób. Dowiedz się, jak przywrócić maszynę wirtualną platformy Azure.

Przywrócić, gdy oryginalny klucz zostanie zrotowany, utracony lub naruszony

Proces przywracania kończy się niepowodzeniem, jeśli oryginalny klucz CMK, Magazyn Kluczy, mHSM lub DES odwołujące się do klucza CMK są niedostępne lub jeśli kopia zapasowa nie może uzyskać dostępu do oryginalnego klucza CMK. W takich przypadkach początkowa próba przywracania nie powiedzie się, a CVM nie zostanie przywrócone. Aby rozwiązać ten problem, wykonaj następujące kroki:

1. Wyzwól pierwszą operację przywracania bez podawania danych wejściowych zestawu szyfrowania dysku. Próba się nie powiedzie z powodu brakującego klucza, ale skutkuje przywróceniem klucza w koncie magazynowym.
2. Po wykonaniu tego procesu przywróć klucz zarządzany przez klienta, którego kopia zapasowa została utworzona przez usługę Azure Backup, a następnie utwórz nowy des wskazujący odzyskany klucz. Dowiedz się, jak przywrócić brakujące klucze i przypisać wymagane uprawnienia.
3. Zainicjuj ponownie operację przywracania na stronie Przywracanie, tym razem wprowadzając odpowiedni zestaw szyfrowania dysków.

Uwaga / Notatka

Przywracanie z innej jednostki DES — nawet jeśli używa poprawnego klucza — nie jest obecnie obsługiwane z punktów przywracania w warstwie tylko dla migawki.

Przywracanie brakujących kluczy na potrzeby przywracania poufnej maszyny wirtualnej

Jeśli operacja przywracania nie powiedzie się, musisz przywrócić klucze, których kopia zapasowa została utworzona przez usługę Azure Backup.

Aby przywrócić klucz przy użyciu programu PowerShell, wykonaj następujące kroki:

1. Aby wybrać magazyn zawierający chroniony CVM + CMK, wprowadź w poleceniu cmdlet grupę zasobów i nazwę magazynu, a następnie uruchom polecenie cmdlet.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "<vault-rg>" -Name "<vault-name>"
   

2. Aby wyświetlić listę wszystkich nieudanych zadań przywracania z ostatnich siedmiu dni, uruchom następujące polecenie cmdlet. Jeśli chcesz pobrać starsze zadania, zaktualizuj zakres dat w poleceniu cmdlet.

   $Jobs = Get-AzRecoveryServicesBackupJob -From (Get-Date).AddDays(-7).ToUniversalTime() -Status Failed -Operation Restore -VaultId $vault.ID
   

3. Aby wybrać z wyniku zadanie przywracania, które zakończyło się niepowodzeniem, i uzyskać jego szczegóły, uruchom następujące polecenie cmdlet:

   Przykład

   $JobDetails = Get-AzRecoveryServicesBackupJobDetail -Job $Jobs[0] -VaultId $vault.ID
   

4. Aby uzyskać wszystkie niezbędne parametry wymagane do przywrócenia klucza ze szczegółów zadania, uruchom następujące polecenie cmdlet:

   $properties = $JobDetails.properties
   $storageAccountName = $properties["Target Storage Account Name"]
   $containerName = $properties["Config Blob Container Name"]
   $securedEncryptionInfoBlobName = $properties["Secured Encryption Info Blob Name"]
   

5. Aby wybrać docelowe konto magazynu używane do przywracania, wprowadź grupę zasobów w następującym poleceniu cmdlet, a następnie je uruchom.

   Set-AzCurrentStorageAccount -Name $storageaccountname -ResourceGroupName '<storage-account-rg >'
   

6. Aby przywrócić plik konfiguracji JSON zawierający kluczowe szczegóły dla CVM z użyciem CMK, uruchom następujące polecenie cmdlet:

   $destination_path = 'C:\cvmcmkencryption_config.json'
   Get-AzStorageBlobContent -Blob $securedEncryptionInfoBlobName -Container $containerName -Destination $destination_path
   $encryptionObject = Get-Content -Path $destination_path | ConvertFrom-Json 
   

7. Po wygenerowaniu pliku JSON w wcześniej wymienionej ścieżce docelowej, wygeneruj plik obiektu blob z kluczem z danych JSON, uruchamiając następujące polecenie cmdlet:

   $keyDestination = 'C:\keyDetails.blob'
   [io.file]::WriteAllBytes($keyDestination, [System.Convert]::FromBase64String($encryptionObject.OsDiskEncryptionDetails.KeyBackupData)) 
   

8. Aby przywrócić klucz z powrotem w usłudze Key Vault lub zarządzanym sprzętowym module zabezpieczeń (HSM), uruchom następujące polecenie cmdlet:

   Restore-AzKeyVaultKey -VaultName '<target_key_vault_name> ' -InputFile $keyDestination
   For MHSM Use,  
   Restore-AzKeyVaultKey -HsmName '<target_mhsm_name>' -InputFile $keyDestination
   

Teraz możesz utworzyć nowy DES z typem szyfrowania jako Poufne szyfrowanie dysków za pomocą klucza CMK, który powinien wskazywać na przywrócony klucz. Ta DES powinna mieć wystarczające uprawnienia do pomyślnego przywrócenia. Jeśli używasz nowego magazynu kluczy lub zarządzanego modułu HSM do przywrócenia klucza, usługa zarządzania kopiami zapasowymi ma wystarczające uprawnienia. Dowiedz się, jak udzielić uprawnień do dostępu do usługi Key Vault lub zarządzanego modułu HSM.

Przypisywanie uprawnień agentowi maszyny wirtualnej DES oraz agentowi Poufnego Gościa na potrzeby przywracania

Zestaw szyfrowania dysków oraz agent poufnego gościa maszyny wirtualnej potrzebują uprawnień do usługi Key Vault lub zarządzanego modułu HSM. Aby podać uprawnienia, wykonaj następujące kroki:

W przypadku magazynu kluczy: aby udzielić uprawnień do magazynu kluczy, możesz wykonać następujące kroki w dokumentacji lub wykonać następujące kroki:

1. Przejdź do wystąpienia zestawu szyfrowania dysków.
2. Wybierz komunikat Aby skojarzyć dysk, obraz lub migawkę z tym zestawem szyfrowania dysków, musisz przyznać uprawnienia magazynowi kluczy i przyznać uprawnienia.

W przypadku zarządzanego modułu HSM: aby udzielić uprawnień do zarządzanego modułu HSM, wykonaj następujące kroki:

1. Przypisz nowo utworzony des przy użyciu zarządzanej roli użytkownika kryptograficznego modułu HSM:

   1. W portalu Azure przejdź do pozycji Zarządzany HSM>Ustawienia, a następnie wybierz Lokalne RBAC.
   2. Aby dodać nowe przypisanie roli, wybierz pozycję Dodaj.
   3. W obszarze Rola wybierz pozycję Zarządzana rola użytkownika kryptograficznego modułu HSM.
   4. W obszarze Zakres wybierz przywrócony klucz. Możesz również wybrać pozycję Wszystkie klucze.
   5. W polu Podmiot zabezpieczeń wybierz nowo utworzony DES.

2. Przypisz wymagane uprawnienia do agenta Poufnej Maszyny Wirtualnej Gościa, aby uruchomić CVM:

   1. W portalu Azure przejdź do pozycji Zarządzany HSM>Ustawienia, a następnie wybierz Lokalne RBAC.
   2. Aby dodać nowe przypisanie roli, wybierz pozycję Dodaj.
   3. W obszarze Rola wybierz pozycję Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM.
   4. W obszarze Zakres wybierz przywrócony klucz. Możesz również wybrać pozycję Wszystkie klucze.
   5. W polu Podmiot zabezpieczeń wybierz Agenta poufnych maszyn wirtualnych gościa.

Treści powiązane

• Macierz wsparcia dla kopii zapasowych poufnych maszyn wirtualnych.
• Tworzenie kopii zapasowej CVM przy użyciu usługi Azure Backup (wersja zapoznawcza).