Säkerhetskopiera och återställa krypterade virtuella Azure-datorer
Den här artikeln beskriver hur du säkerhetskopierar och återställer virtuella Windows- eller Linux Azure-datorer med krypterade diskar med hjälp av Azure Backup-tjänsten . Mer information finns i Kryptering av säkerhetskopiering av virtuella Azure-datorer.
Scenarier som stöds för säkerhetskopiering och återställning av krypterade virtuella Azure-datorer
I det här avsnittet beskrivs de scenarier som stöds för säkerhetskopiering och återställning av krypterade virtuella Azure-datorer.
Kryptering med plattformshanterade nycklar
Som standard krypteras alla diskar i dina virtuella datorer automatiskt i vila med hjälp av plattformshanterade nycklar (PMK) som använder kryptering för lagringstjänsten. Du kan säkerhetskopiera dessa virtuella datorer med Hjälp av Azure Backup utan några specifika åtgärder som krävs för att stödja kryptering på din sida. Mer information om kryptering med plattformshanterade nycklar finns i den här artikeln.
Kryptering med kundhanterade nycklar
När du krypterar diskar med kundhanterade nycklar (CMK) lagras nyckeln som används för att kryptera diskarna i Azure Key Vault och hanteras av dig. Kryptering av lagringstjänst (SSE) med cmk skiljer sig från ADE-kryptering (Azure Disk Encryption). ADE använder operativsystemets krypteringsverktyg. SSE krypterar data i lagringstjänsten så att du kan använda operativsystem eller avbildningar för dina virtuella datorer.
Du behöver inte utföra några explicita åtgärder för säkerhetskopiering eller återställning av virtuella datorer som använder kundhanterade nycklar för att kryptera sina diskar. Säkerhetskopieringsdata för dessa virtuella datorer som lagras i valvet krypteras med samma metoder som krypteringen som används i valvet.
Mer information om kryptering av hanterade diskar med kundhanterade nycklar finns i den här artikeln.
Krypteringsstöd med ADE
Azure Backup stöder säkerhetskopiering av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE). ADE använder BitLocker för kryptering av virtuella Windows-datorer och dm-crypt-funktionen för virtuella Linux-datorer. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter. Key Vault Key Encryption Keys (KEK: er) kan användas för att lägga till ytterligare ett säkerhetslager, kryptera krypteringshemligheter innan du skriver dem till Key Vault.
Azure Backup kan säkerhetskopiera och återställa virtuella Azure-datorer med hjälp av ADE med och utan Microsoft Entra-appen, enligt sammanfattningen i följande tabell.
Typ av virtuell datordisk | ADE (BEK/dm-crypt) | ADE och KEK |
---|---|---|
Ohanterad | Ja | Ja |
Hanterad | Ja | Ja |
- Läs mer om ADE, Key Vault och KEK:er.
- Läs vanliga frågor och svar om diskkryptering för virtuella Azure-datorer.
Begränsningar
Granska följande begränsningar innan du säkerhetskopierar eller återställer krypterade virtuella Azure-nätverk:
- Du kan säkerhetskopiera och återställa ADE-krypterade virtuella datorer i samma prenumeration.
- Azure Backup stöder virtuella datorer som krypterats med fristående nycklar. Alla nycklar som ingår i ett certifikat som används för att kryptera en virtuell dator stöds inte för närvarande.
- Azure Backup stöder återställning mellan regioner av krypterade virtuella Azure-datorer till de Azure-kopplade regionerna. Mer information finns i supportmatris.
- ADE-krypterade virtuella datorer kan inte återställas på fil-/mappnivå. Du måste återställa hela den virtuella datorn för att återställa filer och mappar.
- När du återställer en virtuell dator kan du inte använda alternativet ersätt befintlig virtuell dator för ADE-krypterade virtuella datorer. Det här alternativet stöds endast för okrypterade hanterade diskar.
Innan du börjar
Innan du börjar gör du följande:
- Kontrollera att du har en eller flera virtuella Windows - eller Linux-datorer med ADE aktiverat.
- Granska supportmatrisen för säkerhetskopiering av virtuella Azure-datorer
- Skapa ett Recovery Services Backup-valv om du inte har något.
- Om du aktiverar kryptering för virtuella datorer som redan är aktiverade för säkerhetskopiering behöver du bara ge Säkerhetskopiering behörighet att komma åt Key Vault så att säkerhetskopiorna kan fortsätta utan avbrott. Läs mer om att tilldela dessa behörigheter.
Dessutom finns det ett par saker som du kan behöva göra under vissa omständigheter:
- Installera VM-agenten på den virtuella datorn: Azure Backup säkerhetskopierar virtuella Azure-datorer genom att installera ett tillägg till Azure VM-agenten som körs på datorn. Om den virtuella datorn skapades från en Azure Marketplace-avbildning installeras och körs agenten. Om du skapar en anpassad virtuell dator eller migrerar en lokal dator kan du behöva installera agenten manuellt.
Konfigurera en säkerhetskopieringspolicy
Följ dessa steg för att konfigurera en säkerhetskopieringsprincip:
Om du ännu inte har skapat ett Recovery Services-säkerhetskopieringsvalv följer du de här anvisningarna.
Gå till Säkerhetskopieringscenter och klicka på +Säkerhetskopiering på fliken Översikt
Välj Virtuella Azure-datorer som Datasource-typ och välj valvet som du har skapat och klicka sedan på Fortsätt.
Välj den princip som du vill associera med valvet och välj sedan OK.
- En säkerhetskopieringsprincip anger när säkerhetskopieringar tas och hur länge de lagras.
- Information om standardprincipen visas under den nedrullningsbara menyn.
Om du inte vill använda standardprincipen väljer du Skapa ny och skapar en anpassad princip.
Under Virtuella datorer väljer du Lägg till.
Välj de krypterade virtuella datorer som du vill säkerhetskopiera med hjälp av select-principen och välj OK.
Om du använder Azure Key Vault visas ett meddelande på valvsidan om att Azure Backup behöver skrivskyddad åtkomst till nycklar och hemligheter i Key Vault.
Om du får det här meddelandet krävs ingen åtgärd.
Om du får det här meddelandet måste du ange behörigheter enligt beskrivningen i proceduren nedan.
Välj Aktivera säkerhetskopiering för att distribuera säkerhetskopieringsprincipen i valvet och aktivera säkerhetskopiering för de valda virtuella datorerna.
Säkerhetskopiera ADE-krypterade virtuella datorer med RBAC-aktiverade nyckelvalv
Om du vill aktivera säkerhetskopieringar för ADE-krypterade virtuella datorer med Azure RBAC-aktiverade nyckelvalv måste du tilldela Key Vault-administratörsrollen till Microsoft Entra-appen För säkerhetskopieringshantering genom att lägga till en rolltilldelning i Åtkomstkontroll för nyckelvalv.
Lär dig mer om de olika tillgängliga rollerna. Rollen Key Vault-administratör kan tillåta behörigheter att hämta, lista och säkerhetskopiera både hemlighet och nyckel.
För Azure RBAC-aktiverade nyckelvalv kan du skapa en anpassad roll med följande uppsättning behörigheter. Lär dig hur du skapar en anpassad roll.
Åtgärd | beskrivning |
---|---|
Microsoft.KeyVault/vaults/keys/backup/action | Skapar säkerhetskopian av en nyckel. |
Microsoft.KeyVault/vaults/secrets/backup/action | Skapar säkerhetskopian av en hemlighet. |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Hämtar värdet för en hemlighet. |
Microsoft.KeyVault/vaults/keys/read | Visa en lista över nycklar i det angivna valvet eller läsa egenskaper och offentligt material. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Visa egenskaperna för en hemlighet, men inte dess värden. |
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/secrets/backup/action",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
]
Utlösa ett säkerhetskopieringsjobb
Den första säkerhetskopieringen körs enligt schemat, men du kan köra den direkt enligt följande:
- Gå till Säkerhetskopieringscenter och välj menyalternativet Säkerhetskopieringsinstanser .
- Välj Virtuella Azure-datorer som Datasource-typ och sök efter den virtuella dator som du har konfigurerat för säkerhetskopiering.
- Högerklicka på relevant rad eller välj ikonen mer (...) och klicka på Säkerhetskopiera nu.
- I Säkerhetskopiera nu använder du kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas. Välj sedan OK.
- Övervaka portalmeddelandena. Om du vill övervaka jobbets förlopp går du till Säkerhetskopieringscenters>säkerhetskopieringsjobb och filtrerar listan för Pågående jobb. Beroende på den virtuella datorns storlek kan det ta en stund att skapa den första säkerhetskopian.
Ange behörigheter
Azure Backup behöver skrivskyddad åtkomst för att säkerhetskopiera nycklar och hemligheter, tillsammans med de associerade virtuella datorerna.
- Ditt Key Vault är associerat med Microsoft Entra-klientorganisationen för Azure-prenumerationen. Om du är medlem får Azure Backup åtkomst till Key Vault utan ytterligare åtgärder.
- Om du är gästanvändare måste du ange behörigheter för Azure Backup för att få åtkomst till nyckelvalvet. Du måste ha åtkomst till nyckelvalv för att konfigurera säkerhetskopiering för krypterade virtuella datorer.
Information om hur du ger Azure RBAC-behörigheter för Key Vault finns i den här artikeln.
Så här anger du behörigheter:
I Azure Portal väljer du Alla tjänster och söker efter Nyckelvalv.
Välj det nyckelvalv som är associerat med den krypterade virtuella datorn som du säkerhetskopierar.
Dricks
Om du vill identifiera en virtuell dators associerade nyckelvalv använder du följande PowerShell-kommando. Ersätt resursgruppens namn och vm-namn:
Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status
Leta efter nyckelvalvets namn på den här raden:
SecretUrl : https://<keyVaultName>.vault.azure.net
Välj Åtkomstprinciper>Lägg till åtkomstprincip.
I Lägg till åtkomstprincip>Konfigurera från mall (valfritt) väljer du Azure Backup.
- De behörigheter som krävs är förfyllda för nyckelbehörigheter och hemliga behörigheter.
- Om den virtuella datorn endast krypteras med BEK tar du bort valet för Nyckelbehörigheter eftersom du bara behöver behörigheter för hemligheter.
Markera Lägga till. Tjänsten för säkerhetskopieringshantering läggs till i Åtkomstprinciper.
Välj Spara för att ge Azure Backup behörigheterna.
Du kan också ange åtkomstprincipen med hjälp av PowerShell eller CLI.
Gå vidare
Återställa krypterade virtuella Azure-datorer
Om du stöter på problem kan du läsa följande artiklar:
- Vanliga fel vid säkerhetskopiering och återställning av krypterade virtuella Azure-datorer.
- Problem med Azure VM-agent/säkerhetskopieringstillägg .