Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Azure Backup для конфиденциальных виртуальных машин в настоящее время находится в предварительной версии. Ознакомьтесь с Дополнительными условиями использования для предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся в статусе бета, предварительного просмотра или иначе еще не выпущены в общий доступ.
Azure Backup поддерживает конфиденциальные виртуальные машины (CVM), обеспечивающие безопасную резервную копию и восстановление для конфиденциальных рабочих нагрузок. Эта возможность использует наборы шифрования дисков Azure (DES) с управляемыми ключами платформы (PMKs) или управляемыми клиентами ключами (CMKs) для обеспечения конфиденциальности данных в течение жизненного цикла резервного копирования. Конфиденциальные виртуальные машины обеспечивают надежную безопасность, создавая аппаратные границы между приложением и стеком виртуализации.
В этой статье описывается, как настроить и создать резервную копию конфиденциальной виртуальной машины (CVM) с платформенно управляемым ключом (PMK) или управляемым клиентом ключом (CMK).
Поддерживаемые сценарии резервного копирования конфиденциальной виртуальной машины
В следующей таблице перечислены поддерживаемые сценарии резервного копирования конфиденциальной виртуальной машины:
| Scenario | Поддерживаемость |
|---|---|
| Размер виртуальной машины | Поддерживается серия v6. Серия v5 не поддерживается. |
| Доступность по регионам | Поддерживается в ОАЭ Север, Центральной Корее. |
| Смена ключей для резервных копий | При ротации ключей на конфиденциальной виртуальной машине ключи для дисков ВМ, связанных точек восстановления и моментальных снимков обновляются автоматически. Известная проблема: Смена ключей в этом выпуске предварительной версии может иметь проблемы с производительностью или сбой в следующих сценариях: — Более 40 дисков подключаются к одному DES только когда точки восстановления связаны с этими дисками. — Если вы также создаёте снимки дисков непосредственно вне резервного копирования Azure для этих дисков, подключённых к тому же DES, это снижает безопасный предел в 40 дисков для сопоставления с DES. Рекомендация: Минимизируйте количество дисков, подключенных к каждому DES, пока проблема не будет решена. |
| Возможности резервного копирования | — Вы можете создавать резервные копии конфиденциальных виртуальных машин только с шифрованием дисков ОС. — Резервное копирование и восстановление не работают, если флаг отказа от функции CVM версии 2 включен для вашей подписки. — резервное копирование, согласованное с несколькими дисками, не поддерживается. — Восстановление между регионами в настоящее время не поддерживается, так как размер виртуальной машины CVM версии 6 недоступен в парных регионах Azure. |
Предпосылки
Перед настройкой резервного копирования для CVM с помощью CMK убедитесь, что выполнены следующие предварительные требования:
Зарегистрируйтесь для предварительной версии функции в подписке Azure — имя:
RestorePointSupportForConfidentialVMV2поставщик:Microsoft.Compute. Чтобы сделать это на портале , выполните указанные ниже действия. Можно также запустить следующий командлет PowerShell. Регистрация одобряется автоматически.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Определение или создание конфиденциальной виртуальной машины (CVM) в поддерживаемом регионе. См. поддерживаемые регионы.
Определите или создайте хранилище служб восстановления в том же регионе, что и виртуальная машина.
Создание новой конфиденциальной виртуальной машины с помощью PMK или CMK
Чтобы создать резервную копию конфиденциальной виртуальной машины с помощью Azure Backup, необходимо настроить конфиденциальную виртуальную машину с шифрованием PMK или CMK. Azure Backup использует набор шифрования дисков (DES), связанный с виртуальной машиной, для поддержания шифрования во время резервного копирования и восстановления.
Узнайте, как создать новую конфиденциальную виртуальную машину с помощью PMK или CMK при необходимости.
Назначение разрешений для резервной копии конфиденциальной виртуальной машины
Azure Backup требует доступа к хранилищу ключей или управляемому аппаратному модулю безопасности (HSM), в которой хранятся ключи. Этот доступ гарантирует, что служба может создавать резервные копии ключей и восстанавливать их, если они удалены. При настройке резервного копирования на портале Azure Служба архивации Azure автоматически получает необходимые разрешения. При использовании других клиентов, таких как PowerShell, CLI или REST API, необходимо назначить эти разрешения вручную.
Если вы используете хранилище ключей для хранения ключей, предоставьте разрешение службе Azure Backup для операций резервного копирования.
Чтобы назначить разрешения для MHSM, выполните следующие действия.
На портале Azure перейдите к управляемому HSM и выберите локальный RBAC в разделе "Параметры".
Нажмите кнопку "Добавить ", чтобы добавить новое назначение ролей.
Выберите одну из следующих ролей:
Встроенные роли: если вы хотите использовать встроенную роль, выберите роль управляемого пользователя шифрования HSM .
Настраиваемые роли: если вы хотите использовать настраиваемую роль, то dataActions этой роли должны иметь следующие значения:
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Вы можете создать настраиваемую роль с помощью управления ролями на уровне данных в управляемом HSM.
В разделе Scope выберите конкретный ключ, используемый для создания конфиденциальной виртуальной машины с помощью управляемого клиентом ключа.
Вы также можете выбрать все ключи.
В субъекте безопасности выберите службу управления резервными копиями.
Настройка резервного копирования для конфиденциальной виртуальной машины
После того как Azure Backup имеет необходимые разрешения, можно продолжить настройку резервного копирования. Узнайте, как настроить резервное копирование виртуальных машин Azure.
Следующий шаг
Восстановление CVM с помощью Azure Backup (предварительная версия).
Связанный контент
Резервное копирование зашифрованных виртуальных машин Azure.