Восстановление конфиденциальной виртуальной машины с помощью Azure Backup (предварительная версия)

Это важно

Azure Backup для конфиденциальных виртуальных машин в настоящее время находится в предварительной версии. Ознакомьтесь с Дополнительными условиями использования для предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся в статусе бета, предварительного просмотра или иначе еще не выпущены в общий доступ.

В этой статье описывается восстановление конфиденциальной виртуальной машины (CVM), зашифрованной с помощью управляемого ключа платформы (PMK) или управляемого клиентом ключа (CMK) с помощью Azure Backup. В нем рассматриваются сценарии восстановления на основе состояний ключа шифрования и набора шифрования дисков (DES) и процедуры восстановления для сбоев восстановления. Она также предоставляет процедуру извлечения сведений о шифровании виртуальных машин, восстановления отсутствующих ключей и назначения необходимых разрешений.

Сведения о поддерживаемых сценариях резервного копирования конфиденциальных виртуальных машин.

Предпосылки

Перед началом процесса восстановления конфиденциальной виртуальной машины убедитесь, что в хранилище служб восстановления доступны точки восстановления.

Сценарии восстановления для конфиденциальной виртуальной машины

Поведение восстановления конфиденциальной виртуальной машины зависит от состояния DES, Key Vault и ключей во время восстановления. К сценариям восстановления ключей относятся:

  • Исходная версия ключа или ключа без изменений: восстановление завершается успешно, если исходный набор шифрования дисков (DES) и ключ остаются неизменными.
  • Смена ключей. Восстановление завершается успешно, если новая версия ключа активна, если предыдущая версия ключа не истекла или не удалена.
  • Изменение ключа. Если des использует новый ключ в том же хранилище ключей, восстановление завершается успешно, только если исходный ключ, используемый во время резервного копирования, по-прежнему существует. При удалении исходного ключа происходит сбой. Если вы используете другое хранилище ключей, оно должно указывать на тот же ключ, что и исходный.
  • DES или Key Deleted: восстановление завершается ошибкой, например UserErrorDiskEncryptionSetDoesNotExist или UserErrorDiskEncryptionSetKeyDoesNotExist. Чтобы устранить проблему, повторно создайте ключ и DES с помощью восстановленных данных ключа, а затем повторите восстановление.
  • Предоставленный DES на входе: Если вы предоставляете новый DES, созданный из данных восстановленного ключа, восстановление завершается успешно, если ключ и версия совпадают с теми, которые использовались во время резервного копирования.
  • Несоответствие DES или ключа: восстановление завершается ошибкой UserErrorInputDESKeyDoesNotMatchWithOriginalKey. Чтобы устранить эту ошибку, восстановите отсутствующие ключи.

Узнайте, как восстановить отсутствующие ключи для восстановления конфиденциальной виртуальной машины.

Восстановление конфиденциальной виртуальной машины

Восстановление, сохраняя исходный ключ без изменений

Во время процесса восстановления можно продолжить без ввода набора шифрования дисков, когда доступны исходный управляемый клиентом ключ (CMK), Key Vault, mHSM и DES. В этих сценариях можно продолжить процесс восстановления как обычно. Узнайте, как восстановить виртуальную машину Azure.

Восстановление при смене первичного ключа, потере или компрометации

Процесс восстановления завершается ошибкой, если исходный CMK, Key Vault, mHSM или DES, ссылающийся на CMK, недоступен или если резервная копия не может получить доступ к исходному CMK. В таких случаях начальная попытка восстановления завершается ошибкой, и CVM не восстановится. Чтобы устранить эту проблему, выполните следующие действия.

  1. Активируйте первую операцию восстановления, не предоставляя входные данные набора шифрования дисков. Эта попытка завершается ошибкой из-за отсутствия ключа, но она приводит к восстановлению ключа в учетной записи хранения.
  2. После этого восстановите управляемый клиентом ключ, который был создан в Azure Backup, а затем создайте новый DES, указывающий на восстановленный ключ. Узнайте, как восстановить отсутствующие ключи и назначить необходимые разрешения.
  3. Снова инициируйте операцию восстановления на странице восстановления, на этот раз введя соответствующий набор шифрования дисков.

Замечание

Восстановление из другого DES, даже при использовании правильного ключа, в настоящее время не поддерживается для точек восстановления, принадлежащих только к уровню моментальных снимков.

Восстановление отсутствующих ключей для восстановления конфиденциальной виртуальной машины

Если операция восстановления завершается ошибкой, необходимо восстановить ключи, которые были сохранены с помощью Azure Backup.

Чтобы восстановить ключ с помощью PowerShell, выполните следующие действия.

  1. Чтобы выбрать хранилище, содержащее защищенный CVM + CMK, введите группу ресурсов и имя хранилища в командлете, а затем запустите командлет.

    $vault = Get-AzRecoveryServicesVault -ResourceGroupName "<vault-rg>" -Name "<vault-name>"

  2. Чтобы получить список всех неудачных заданий восстановления за последние семь дней, выполните следующий командлет. Если вы хотите получить старые задания, обновите диапазон дней в командлете.

    $Jobs = Get-AzRecoveryServicesBackupJob -From (Get-Date).AddDays(-7).ToUniversalTime() -Status Failed -Operation Restore -VaultId $vault.ID

  3. Чтобы выбрать задание восстановления, завершившееся сбоем, из результата и получить сведения о задании, выполните следующий командлет:

    Пример

    $JobDetails = Get-AzRecoveryServicesBackupJobDetail -Job $Jobs[0] -VaultId $vault.ID

  4. Чтобы получить все необходимые параметры для восстановления ключа из сведений о задании, выполните следующий cmdlet:

    $properties = $JobDetails.properties
$storageAccountName = $properties["Target Storage Account Name"]
$containerName = $properties["Config Blob Container Name"]
$securedEncryptionInfoBlobName = $properties["Secured Encryption Info Blob Name"]

  5. Чтобы выбрать целевую учетную запись хранения, используемую для восстановления, введите ее группу ресурсов в следующем командлете и запустите командлет:

    Set-AzCurrentStorageAccount -Name $storageaccountname -ResourceGroupName '<storage-account-rg >'

  6. Чтобы восстановить файл конфигурации JSON, содержащий сведения о ключе для CVM с помощью CMK, выполните следующий командлет:

    $destination_path = 'C:\cvmcmkencryption_config.json'
Get-AzStorageBlobContent -Blob $securedEncryptionInfoBlobName -Container $containerName -Destination $destination_path
$encryptionObject = Get-Content -Path $destination_path | ConvertFrom-Json

  7. После создания файла JSON в указанном ранее пути назначения создайте файл блоба ключа из JSON данных, выполнив следующий командлет:

    $keyDestination = 'C:\keyDetails.blob'
[io.file]::WriteAllBytes($keyDestination, [System.Convert]::FromBase64String($encryptionObject.OsDiskEncryptionDetails.KeyBackupData))

  8. Чтобы восстановить ключ обратно в Key Vault или управляемом аппаратном модуле безопасности (HSM), выполните следующий командлет:

    Restore-AzKeyVaultKey -VaultName '<target_key_vault_name> ' -InputFile $keyDestination
For MHSM Use,  
Restore-AzKeyVaultKey -HsmName '<target_mhsm_name>' -InputFile $keyDestination

Теперь можно создать новый DES с типом шифрования в качестве шифрования конфиденциальных дисков с помощью CMK, который должен указывать на восстановленный ключ. Этот DES должен иметь достаточно разрешений для успешного восстановления. Если вы используете новое хранилище ключей или управляемый HSM для восстановления ключа, служба управления резервными копиями имеет достаточно разрешений на него. Узнайте, как предоставить разрешение на доступ к Key Vault или управляемому HSM.

Назначьте разрешения агенту виртуальной машины DES и Confidential Guest для восстановления.

Для набора шифрования дисков и агента конфиденциальной гостевой виртуальной машины требуются разрешения на хранилище ключей или управляемый модуль HSM. Чтобы предоставить разрешения, выполните следующие действия.

Для хранилища ключей. Чтобы предоставить разрешения хранилищу ключей, выполните следующие действия в документации или выполните следующие действия.

  1. Перейдите к экземпляру набора шифрования дисков.
  2. Выберите сообщение , чтобы связать диск, образ или моментальный снимок с этим набором шифрования дисков. Для этого предоставьте разрешения хранилищу ключей и предоставьте все необходимые разрешения.

Для управляемого HSM: чтобы предоставить разрешения управляемому HSM, выполните следующие действия.

  1. Назначьте только что созданное DES с ролью пользователя управляемого шифрования HSM:

    1. На портале Azure перейдите к параметрам управляемого модуля HSM>и выберителокальный RBAC.
    2. Чтобы добавить новое назначение ролей, нажмите кнопку "Добавить".
    3. В разделе "Роль" выберите роль пользователя управляемого шифрования HSM.
    4. В разделе "Область" выберите восстановленный ключ. Вы также можете выбрать все ключи.
    5. В субъекте безопасности выберите только что созданную службу DES.

  2. Назначьте необходимые разрешения агенту конфиденциальной гостевой виртуальной машины для загрузки CVM:

    1. На портале Azure перейдите к параметрам управляемого модуля HSM>и выберителокальный RBAC.
    2. Чтобы добавить новое назначение ролей, нажмите кнопку "Добавить".
    3. В разделе "Роль" выберите пользователя шифрования службы шифрования управляемых криптографических служб HSM.
    4. В разделе "Область" выберите восстановленный ключ. Вы также можете выбрать все ключи.
    5. В субъекте безопасности выберите агент конфиденциальной гостевой виртуальной машины.

Связанный контент

  • Last updated on