Aracılığıyla paylaş

Şifrelenmiş Azure sanal makinelerini yedekleme ve geri yükleme

Bu makalede, Azure Backup kullanarak şifrelenmiş disklerle Windows veya Linux Azure sanal makinelerinin (VM) nasıl yedekleneceği ve geri yükleneceği açıklanır. Daha fazla bilgi için bkz . Azure VM yedeklemelerini şifreleme.

Şifrelenmiş Azure VM'lerinin yedeklenmesi ve geri yüklenmesi için desteklenen senaryolar

Bu bölümde şifrelenmiş Azure VM'lerinin yedeklenmesi ve geri yüklenmesi için desteklenen senaryolar açıklanmaktadır.

Platform tarafından yönetilen anahtarları kullanarak şifreleme

Varsayılan olarak, VM'lerinizdeki tüm diskler , Depolama Hizmeti Şifrelemesi (SSE) kullanan platform tarafından yönetilen anahtarlar (PMK) kullanılarak bekleme durumunda otomatik olarak şifrelenir. Bu VM'leri, sizin tarafınızdan şifrelemeyi desteklemek için gereken belirli eylemler olmadan Azure Backup'ı kullanarak yedekleyebilirsiniz. Platform tarafından yönetilen anahtarlarla şifreleme hakkında daha fazla bilgi için bkz. Şifrelenmiş Azure VM'lerini yedekleme ve geri yükleme.

Şifrelenmiş diskleri gösteren ekran görüntüsü.

Müşteri tarafından yönetilen anahtarları kullanarak şifreleme

Diskleri müşteri tarafından yönetilen anahtarlarla (CMK' ler) şifrelediğinizde, diskleri şifrelemek için kullanılan anahtar, yönettiğiniz Azure Key Vault'ta depolanır. CMK'leri kullanarak SSE, Azure Disk Şifrelemesi'nden (ADE) farklıdır. ADE, işletim sisteminin şifreleme araçlarını kullanır. SSE, depolama hizmetindeki verileri şifreler ve bu sayede VM'leriniz için herhangi bir işletim sistemini veya görüntüyü kullanabilirsiniz.

Disklerini şifrelemek için CMK kullanan VM'lerin yedeklenmesi veya geri yüklenmesi için herhangi bir açık eylem gerçekleştirmeniz gerekmez. Kasada depolanan bu VM'lerin yedekleme verileri, kasada kullanılan şifreleme ile aynı yöntemlerle şifrelenir.

Yönetilen disklerin CMK'lerle şifrelenmesini hakkında daha fazla bilgi için bkz. Azure disk depolamanın sunucu tarafı şifrelemesi.

ADE kullanarak şifreleme desteği

Azure Backup, işletim sistemi/veri disklerinin ADE ile şifrelenmesini sağlayan Azure VM'lerinin yedeklenmesini destekler. ADE, Windows VM'lerini şifrelemek için Azure BitLocker'ı ve Linux VM'leri için dm-crypt özelliğini kullanır. ADE, disk şifreleme anahtarlarını ve gizli dizilerini yönetmek için Azure Key Vault ile tümleşir. Ek bir güvenlik katmanı eklemek için Key Vault anahtar şifreleme anahtarlarını (KEK' ler) de kullanabilirsiniz. KEK'ler gizli bilgileri Key Vault'a yazmadan önce şifreler.

Azure Backup, aşağıdaki tabloda özetle gösterildiği gibi Microsoft Entra uygulamasıyla ve Microsoft Entra uygulaması olmadan ADE kullanarak Azure VM'lerini yedekleyebilir ve geri yükleyebilir.

VM disk türü ADE (BEK/dm-crypt) ADE ve KEK
Yönetilmeyen Evet Evet
Yönetilen Evet Evet
  • ADE, Key Vault ve KEK'ler hakkında daha fazla bilgi edinin.
  • Azure VM disk şifrelemesi hakkında SSS bölümünü okuyun.

Sınırlamalar

Şifrelenmiş Azure VM'lerini yedeklemeden veya geri yüklemeden önce aşağıdaki sınırlamaları gözden geçirin:

  • Aynı abonelik içindeki ADE ile şifrelenmiş VM'leri yedekleyebilir ve geri yükleyebilirsiniz.
  • VM'leri yalnızca tek başına anahtarları kullanarak şifreleyebilirsiniz. VM'yi şifrelemek için kullanılan bir sertifikanın parçası olan anahtarlar şu anda desteklenmemekte.
  • Verileri ikincil bir bölgeye geri yükleyebilirsiniz. Azure Backup, şifrelenmiş Azure VM'lerinin eşleştirilmiş Azure bölgelerine bölgeler arası geri yüklenmesini destekler. Daha fazla bilgi için bkz . Destek matrisi.
  • ADE ile şifrelenmiş VM'leri dosya veya klasör düzeyinde kurtarabilirsiniz. Dosyaları ve klasörleri geri yüklemek için vm'nin tamamını kurtarmanız gerekir.
  • Bir VM'yi geri yüklerken ADE ile şifrelenmiş VM'ler için mevcut VM'yi değiştir seçeneğini kullanamazsınız. Bu seçenek yalnızca şifrelenmemiş yönetilen diskler için desteklenir.

Başlamadan önce

Başlamadan önce şu adımları izleyin:

  1. ADE etkin bir veya daha fazla Windows veya Linux VM'niz olduğundan emin olun.
  2. Azure VM yedeklemesi için destek matrisini gözden geçirin.
  3. Kurtarma Hizmetleri kasası oluşturun yoksa bir tane oluşturun.
  4. Yedekleme için zaten etkinleştirilmiş vm'ler için şifrelemeyi etkinleştirirseniz, yedeklemelerin kesintiye uğramadan devam edebilmesi için Azure Backup'a anahtar kasasına erişim izinleri sağlayın. Bu izinleri atama hakkında daha fazla bilgi edinin.

Bazı durumlarda VM aracısını VM'ye de yüklemeniz gerekebilir.

Azure Backup, makinede çalışan Azure VM aracısına bir uzantı yükleyerek Azure VM'lerini yedekler. VM'niz bir Azure Market görüntüsünden oluşturulduysa aracı yüklenir ve çalışır. Özel bir sanal makine (VM) oluşturursanız veya yerel bir makineyi taşırsanız aracıyı el ile yüklemeniz gerekebilir.

Yedekleme ilkesi yapılandırma

Yedekleme ilkesi yapılandırmak için şu adımları izleyin:

  1. Kurtarma Hizmetleri yedekleme kasanız yoksa, bu yönergeleri izleyerek bir tane oluşturun.

  2. Yedekleme merkezine gidin ve Genel Bakış sekmesinde + Yedekleme'yi seçin.

    Yedekleme merkezini gösteren ekran görüntüsü.

  3. Veri kaynağı türü için Azure Sanal makineler'i ve oluşturduğunuz kasayı seçin. Daha sonra Devam seçeneğini belirleyin.

    Senaryo bölmesini gösteren ekran görüntüsü.

  4. Kasayla ilişkilendirmek istediğiniz ilkeyi seçin ve ardından Tamam'ı seçin.

    • Yedekleme ilkesi, yedeklemelerin ne zaman alındığını ve ne kadar süreyle depolandığını belirtir.
    • Varsayılan ilkenin ayrıntıları açılan menüde listelenir.

    Yedekleme ilkesini seçmeyi gösteren ekran görüntüsü.

  5. Varsayılan ilkeyi kullanmak istemiyorsanız Yeni Oluştur'u seçin ve özel bir ilke oluşturun.

  6. Sanal Makineler altında Ekle'yi seçin.

    Sanal makine eklemeyi gösteren ekran görüntüsü.

  7. Seçme ilkesini kullanarak yedeklemek istediğiniz şifrelenmiş VM'leri seçin ve Tamam'ı seçin.

    Şifrelenmiş VM'lerin seçilmesini gösteren ekran görüntüsü.

  8. Key Vault kullanıyorsanız, kasa sayfasında Azure Backup'ın anahtar kasasındaki anahtarlar ve gizli bilgilere salt okunur erişime ihtiyacı olduğunu belirten bir ileti görürsünüz.

    • Bu iletiyi alırsanız herhangi bir eylem gerekmez:

      Erişimin Tamam olduğunu gösteren ekran görüntüsü.

    • Bu iletiyi alırsanız, aşağıdaki yordamda açıklandığı gibi izinleri ayarlayın:

      Erişim uyarısını gösteren ekran görüntüsü.

  9. Kasada yedekleme ilkesini dağıtmak ve seçili VM'ler için yedeklemeyi etkinleştirmek için Yedeklemeyi Etkinleştir'i seçin.

RBAC özellikli anahtar kasaları ile ADE ile şifrelenmiş VM'leri yedekleme

Azure rol tabanlı erişim denetimi (RBAC) tarafından etkinleştirilen anahtar kasalarını kullanarak ADE ile şifrelenmiş VM'ler için yedeklemeleri etkinleştirmek için anahtar kasası için Erişim denetimine bir rol ataması ekleyerek Key Vault Yöneticisi rolünü Yedekleme Yönetimi Hizmeti Microsoft Entra uygulamasına atayın.

VM yedekleme işlemleri, anahtar kasasına erişmek için Kurtarma Hizmetleri kasasının yönetilen kimliği yerine Yedekleme Yönetim Hizmeti uygulamasını kullanır. Yedeklemelerin düzgün çalışması için bu uygulamaya gerekli anahtar kasası izinlerini vermelisiniz.

ADE ile şifrelenmiş anahtar kasasını etkinleştirme onay kutusunu gösteren ekran görüntüsü.

Kullanılabilir roller hakkında bilgi edinin. Key Vault Yöneticisi rolü, hem gizli diziyi hem de anahtarı alma, listeleme ve yedekleme izni verir.

Azure RBAC özellikli anahtar depoları için aşağıdaki izin kümesiyle özel bir rol oluşturabilirsiniz. Özel rol oluşturmayı öğrenin.

Uyarı

Azure Kamu'yı kullanırken, doğru erişim ve işlevselliği etkinleştirmek için Key Vault Yöneticisi rolünün Backup Fairfax Microsoft Entra uygulamasına atandığından emin olun.

Eylem Açıklama
Microsoft.KeyVault/vaults/keys/backup/action Bir anahtarın yedekleme dosyasını oluşturur.
Microsoft.KeyVault/vaults/secrets/backup/action Bir sırrın yedek dosyasını oluşturur.
Microsoft.KeyVault/vaults/secrets/getSecret/action Bir sırrın değerini alır.
Microsoft.KeyVault/vaults/keys/read Belirtilen kasadaki anahtarları listeler veya özellikleri ve genel kullanıma açık materyalleri okur.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Bir gizlinin özelliklerini listeler veya görüntüler, fakat değerlerini görüntülemez. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Anahtar kasasına nasıl izin ekleneceğini gösteren ekran görüntüsü.

Yedekleme işini tetikleme

İlk yedekleme zamanlamaya göre çalışır, ancak hemen de çalıştırabilirsiniz:

  1. Yedekleme merkezine gidin ve Yedekleme Örnekleri menü öğesini seçin.

  2. Veri kaynağı türü içinAzure Sanal makineler'i seçin. Ardından yedekleme için yapılandırdığınız VM'yi arayın.

  3. İlgili satıra sağ tıklayın veya Diğer (...) öğesini seçin ve ardından Şimdi Yedekle'yi seçin.

  4. Şimdi Yedekle'de, kurtarma noktasının tutulacağı son günü seçmek için takvim denetimini kullanın. Ardından Tamam'ı seçin.

  5. Portal bildirimlerini izleyin.

    İşin ilerleme durumunu izlemek için Yedekleme merkezi>Yedekleme İşleri'ne gidin ve devam eden işlerin listesini filtreleyin. VM'nizin boyutuna bağlı olarak, ilk yedeklemenin oluşturulması biraz zaman alabilir.

İzinleri sağlama

Azure Backup'ın anahtarları, gizli bilgileri ve ilişkili VM'leri yedeklemek için salt okunur erişime ihtiyacı vardır.

  • Anahtar kasanız, Azure aboneliğinizin Microsoft Entra kiracısına bağlıdır. Üye kullanıcıysanız, Azure Backup başka bir işlem yapmadan anahtar kasasına erişim elde eder.
  • Konuk kullanıcıysanız Azure Backup'ın anahtar kasasına erişmesi için izinler sağlamanız gerekir. Şifrelenmiş VM'ler için Azure Backup'ı yapılandırmak için anahtar kasalarına erişiminiz olmalıdır.

Anahtar kasasında Azure RBAC izinleri sağlamak için bkz. Anahtar kasasında RBAC izinlerini etkinleştirme.

İzinleri ayarlamak için:

  1. Azure portalında Tüm hizmetler'i seçin ve Anahtar kasaları'nı arayın.

  2. Yedeklediğiniz şifrelenmiş VM ile ilişkili anahtar kasasını seçin.

    İpucu

    Vm'nin ilişkili anahtar kasasını tanımlamak için aşağıdaki PowerShell komutunu kullanın. Kaynak grubu adınızı ve VM adınızı değiştirin:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Anahtar kasasının adını bu satırda bulun.

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Erişim ilkeleri>Erişim İlkesi Ekle'yi seçin.

    Erişim ilkesini eklemeyi gösteren ekran görüntüsü.

  4. Erişim ilkesi> ekleŞablondan yapılandır (isteğe bağlı) için Azure Backup'ı seçin.

    • Anahtar izinleri ve Gizli izinler için gereken izinler önceden doldurulmuştur.
    • VM'niz yalnızca BEK kullanılarak şifreleniyorsa, yalnızca sırlar için izinlere ihtiyacınız olduğundan Anahtar İzinleri seçimini kaldırın.

    Azure Backup seçimini gösteren ekran görüntüsü.

  5. Geçerli Erişim İlkeleri'nin altında Yedekleme Yönetimi Hizmeti eklemek için Ekle'yi seçin.

    Erişim ilkelerini gösteren ekran görüntüsü.

  6. Azure Backup'a izinleri sağlamak için Kaydet'i seçin.

Erişim ilkesini PowerShell veya Azure CLI kullanarak da ayarlayabilirsiniz.

İlgili içerik

Herhangi bir sorunla karşılaşırsanız şu makaleleri gözden geçirin:

  • Last updated on