Säkerhetskopiera och återställa krypterade virtuella Azure-datorer

I den här artikeln beskrivs hur du säkerhetskopierar och återställer virtuella Windows- eller Linux Azure-datorer med krypterade diskar med hjälp av Azure Backup-tjänsten. Mer information finns i Kryptering av säkerhetskopiering av virtuella Azure-datorer.

Kryptering med plattformshanterade nycklar

Som standard krypteras alla diskar på dina virtuella datorer automatiskt i vila med hjälp av plattformshanterade nycklar (PMK) som använder kryptering för lagringstjänsten. Du kan säkerhetskopiera dessa virtuella datorer med hjälp av Azure Backup utan några specifika åtgärder som krävs för att stödja kryptering på din sida. Mer information om kryptering med plattformshanterade nycklar finns i den här artikeln.

Krypterade diskar

Kryptering med kundhanterade nycklar

När du krypterar diskar med kundhanterade nycklar (CMK) lagras nyckeln som används för att kryptera diskarna i Azure-Key Vault och hanteras av dig. Kryptering av lagringstjänst (SSE) med cmk skiljer sig från ADE-kryptering (Azure Disk Encryption). ADE använder operativsystemets krypteringsverktyg. SSE krypterar data i lagringstjänsten så att du kan använda operativsystem eller avbildningar för dina virtuella datorer.

Du behöver inte utföra några explicita åtgärder för säkerhetskopiering eller återställning av virtuella datorer som använder kundhanterade nycklar för att kryptera sina diskar. Säkerhetskopierade data för dessa virtuella datorer som lagras i valvet krypteras med samma metoder som krypteringen som används i valvet.

Mer information om kryptering av hanterade diskar med kundhanterade nycklar finns i den här artikeln.

Krypteringsstöd med ADE

Azure Backup stöder säkerhetskopiering av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE). ADE använder BitLocker för kryptering av virtuella Windows-datorer och dm-crypt-funktionen för virtuella Linux-datorer. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter. Key Vault nyckelkrypteringsnycklar (KEK: er) kan användas för att lägga till ytterligare ett säkerhetslager och kryptera krypteringshemligheter innan de skrivs till Key Vault.

Azure Backup kan säkerhetskopiera och återställa virtuella Azure-datorer med hjälp av ADE med och utan Azure AD app, enligt sammanfattningen i följande tabell.

Vm-disktyp ADE (BEK/dm-crypt) ADE och KEK
Ohanterade Ja Ja
Hanterade Ja Ja

Begränsningar

  • Du kan säkerhetskopiera och återställa ADE-krypterade virtuella datorer i samma prenumeration.
  • Azure Backup stöder virtuella datorer som krypterats med fristående nycklar. Alla nycklar som ingår i ett certifikat som används för att kryptera en virtuell dator stöds inte för närvarande.
  • Azure Backup stöder återställning mellan regioner av krypterade virtuella Azure-datorer till länkade Azure-regioner. Mer information finns i supportmatris.
  • ADE-krypterade virtuella datorer kan inte återställas på fil-/mappnivå. Du måste återställa hela den virtuella datorn för att återställa filer och mappar.
  • När du återställer en virtuell dator kan du inte använda alternativet ersätt befintlig virtuell dator för ADE-krypterade virtuella datorer. Det här alternativet stöds endast för okrypterade hanterade diskar.

Innan du börjar

Innan du börjar gör du följande:

  1. Kontrollera att du har en eller flera virtuella Windows - eller Linux-datorer med ADE aktiverat.
  2. Granska supportmatrisen för säkerhetskopiering av virtuella Azure-datorer
  3. Skapa ett Recovery Services Backup-valv om du inte har ett.
  4. Om du aktiverar kryptering för virtuella datorer som redan är aktiverade för säkerhetskopiering behöver du bara ge Säkerhetskopiering behörighet att komma åt Key Vault så att säkerhetskopieringarna kan fortsätta utan avbrott. Läs mer om att tilldela dessa behörigheter.

Dessutom finns det några saker som du kan behöva göra under vissa omständigheter:

  • Installera VM-agenten på den virtuella datorn: Azure Backup säkerhetskopierar virtuella Azure-datorer genom att installera ett tillägg till Azure VM-agenten som körs på datorn. Om den virtuella datorn skapades från en Azure Marketplace avbildning installeras agenten och körs. Om du skapar en anpassad virtuell dator eller om du migrerar en lokal dator kan du behöva installera agenten manuellt.

Konfigurera en säkerhetskopieringspolicy

  1. Om du ännu inte har skapat ett Recovery Services-säkerhetskopieringsvalv följer du de här anvisningarna.

  2. Gå till Säkerhetskopieringscenter och klicka på +Säkerhetskopiering på fliken Översikt

    Fönstret Säkerhetskopiering

  3. Välj Virtuella Azure-datorer som Typ av datakälla och välj det valv som du har skapat och klicka sedan på Fortsätt.

    Scenariofönster

  4. Välj den princip som du vill associera med valvet och välj sedan OK.

    • En säkerhetskopieringsprincip anger när säkerhetskopieringar tas och hur länge de lagras.
    • Information om standardprincipen visas under den nedrullningsbara menyn.

    Välj säkerhetskopieringspolicy

  5. Om du inte vill använda standardprincipen väljer du Skapa ny och skapar en anpassad princip.

  6. Under Virtual Machines väljer du Lägg till.

    Lägga till virtuella datorer

  7. Välj de krypterade virtuella datorer som du vill säkerhetskopiera med hjälp av select-principen och välj OK.

    Välj krypterade virtuella datorer

  8. Om du använder Azure Key Vault visas ett meddelande på valvsidan om att Azure Backup behöver skrivskyddad åtkomst till nycklar och hemligheter i Key Vault.

    • Om du får det här meddelandet krävs ingen åtgärd.

      Åtkomst OK

    • Om du får det här meddelandet måste du ange behörigheter enligt beskrivningen i proceduren nedan.

      Åtkomstvarning

  9. Välj Aktivera säkerhetskopiering för att distribuera säkerhetskopieringsprincipen i valvet och aktivera säkerhetskopiering för de valda virtuella datorerna.

Utlösa ett säkerhetskopieringsjobb

Den första säkerhetskopieringen körs enligt schemat, men du kan köra den direkt enligt följande:

  1. Gå till Säkerhetskopieringscenter och välj menyalternativet Säkerhetskopieringsinstanser .
  2. Välj Virtuella Azure-datorer som typ av datakälla och sök efter den virtuella dator som du har konfigurerat för säkerhetskopiering.
  3. Högerklicka på relevant rad eller välj ikonen mer (...) och klicka på Säkerhetskopiera nu.
  4. I Säkerhetskopiera nu använder du kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas. Välj sedan OK.
  5. Övervaka portalmeddelandena. Om du vill övervaka jobbstatusen går du tillSäkerhetskopieringsjobb i Säkerhetskopieringscenter> och filtrerar listan för Pågående jobb. Beroende på den virtuella datorns storlek kan det ta en stund att skapa den första säkerhetskopian.

Ange behörigheter

Azure Backup behöver skrivskyddad åtkomst för att säkerhetskopiera nycklar och hemligheter, tillsammans med de associerade virtuella datorerna.

  • Din Key Vault är associerad med Azure AD klientorganisationen för Azure-prenumerationen. Om du är medlem får Azure Backup åtkomst till Key Vault utan ytterligare åtgärder.
  • Om du är gästanvändare måste du ange behörigheter för Azure Backup för att få åtkomst till nyckelvalvet. Du måste ha åtkomst till nyckelvalv för att konfigurera säkerhetskopiering för krypterade virtuella datorer.

Så här anger du behörigheter:

  1. I Azure Portal väljer du Alla tjänster och söker efter nyckelvalv.

  2. Välj det nyckelvalv som är associerat med den krypterade virtuella datorn som du säkerhetskopierar.

    Tips

    Om du vill identifiera en virtuell dators associerade nyckelvalv använder du följande PowerShell-kommando. Ersätt resursgruppens namn och namnet på den virtuella datorn:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Leta efter namnet på nyckelvalvet på den här raden:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Välj Åtkomstprinciper>Lägg till åtkomstprincip.

    Lägg till åtkomstprincip

  4. I Lägg till åtkomstprincip>Konfigurera från mall (valfritt) väljer du Azure Backup.

    • De behörigheter som krävs är förifyllda för nyckelbehörigheter och hemliga behörigheter.
    • Om den virtuella datorn endast krypteras med BEK tar du bort valet för Nyckelbehörigheter eftersom du bara behöver behörigheter för hemligheter.

    Azure Backup markering

  5. Välj Lägg till. Tjänsten säkerhetskopieringshantering läggs till i åtkomstprinciper.

    Åtkomstprinciper

  6. Välj Spara för att ange Azure Backup med behörigheterna.

Du kan också ange åtkomstprincipen med hjälp av PowerShell eller CLI.

Nästa steg

Återställa krypterade virtuella Azure-datorer

Om du stöter på problem kan du läsa följande artiklar: