Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Gizli sanal makineler (VM' ler) için Azure Backup şu anda önizleme aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Azure Backup, hassas iş yükleri için güvenli yedekleme ve geri yükleme sağlayan Gizli Sanal Makineleri (CVM) destekler. Bu özellik, yedekleme yaşam döngüsü boyunca veri gizliliğini korumak için Platform Tarafından Yönetilen Anahtarlar (PMK) veya Müşteri Tarafından Yönetilen Anahtarlar (CMK) ile Azure Disk Şifreleme Kümelerini (DES) kullanır. Gizli VM'ler, uygulamanızla sanallaştırma yığını arasında donanım tarafından zorlanan bir sınır oluşturarak güçlü güvenlik sağlar.
Bu makalede, Platform veya Müşteri Tarafından Yönetilen Anahtar (PMK veya CMK) ile Gizli VM'yi (CVM) yapılandırma ve yedekleme işlemleri açıklanmaktadır.
Gizli VM yedekleme için desteklenen senaryolar
Aşağıdaki tabloda Gizli VM yedeklemesi için desteklenen senaryolar listelenmektedir:
| Scenario | Supportability |
|---|---|
| Sanal Makine boyutu |
v6 serisi desteklenir. v5 serisi desteklenmez. |
| Bölgesel kullanılabilirlik | BAE Kuzeyi, Güney Kore Merkez'de desteklenmektedir. |
| Yedeklemeler için anahtar döndürme | Gizli bir sanal makinede anahtar döndürme gerçekleştiğinde VM diskleri, ilgili geri yükleme noktaları ve anlık görüntüler için anahtarlar otomatik olarak güncelleştirilir. Bilinen sorun: Bu önizleme sürümündeki anahtar döndürmede performans sorunları olabilir veya aşağıdaki senaryolarda başarısız olabilir: - Bu disklerle (yalnızca) geri yükleme noktaları ilişkilendirildiğinde bir DES'e 40'tan fazla disk eklenir. - Aynı DES'e bağlı bu diskler için Azure backup dışında doğrudan disk anlık görüntüleri de oluşturursanız, bu, DES eşlemesi için 40 diskin güvenli eşiğini düşürür. Öneri: Sorun çözülene kadar her DES'e bağlı disk sayısını en az düzeyde tutun. |
| Yedekleme özellikleri | - Gizli VM'leri yalnızca işletim sistemi disk şifrelemesi ile yedekleyebilirsiniz. - ABONELIĞIniz için CVM v2 geri çevirme özelliği bayrağı etkinleştirilirse yedekleme ve geri yükleme başarısız olur. - Çoklu disk kilitlenmesi ile tutarlı yedekleme desteklenmiyor. - CVM v6 VM boyutu Azure eşleştirilmiş bölgelerinde genel kullanıma sunulmadığından Bölgeler Arası Geri Yükleme şu anda desteklenmiyor. |
Önkoşullar
CMK ile CVM için yedeklemeyi yapılandırmadan önce aşağıdaki önkoşulların karşılandığından emin olun:
Azure aboneliğinizde önizleme özelliğine kaydolun - Ad:
RestorePointSupportForConfidentialVMV2Sağlayıcı:Microsoft.Compute. Portalda bunu yapmak için buradaki adımları izleyebilirsiniz. Aşağıdaki PowerShell cmdlet'ini de çalıştırabilirsiniz. Kayıt otomatik olarak onaylanır.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Desteklenen bir bölgede Gizli VM (CVM) tanımlayın veya oluşturun. Desteklenen bölgelere bakın.
VM ile aynı bölgede bir Kurtarma Hizmetleri Kasası tanımlayın veya oluşturun.
PMK veya CMK ile yeni bir Gizli VM oluşturma
Azure Backup kullanarak Gizli VM'yi yedeklemek için PMK veya CMK şifrelemesi ile yapılandırılmış bir Gizli VM'niz olmalıdır. Azure Backup, yedekleme ve geri yükleme işlemi boyunca şifrelemeyi korumak için VM'nizle ilişkili Disk Şifreleme Kümesi'ni (DES) kullanır.
Gerekirse PMK veya CMK ile yeni bir Gizli VM oluşturmayı öğrenin.
Gizli VM yedeklemesi için izin atama
Azure Backup, anahtarlarınızı depolayan Anahtar kasasına veya Yönetilen Donanım Güvenlik Modülü'ne (HSM) erişim gerektirir. Bu erişim, hizmetin anahtarları yedekleyip silindikleri takdirde kurtarabilmesini sağlar. Azure portalında yedeklemeyi yapılandırdığınızda, Azure Backup gerekli izinleri otomatik olarak alır. PowerShell, CLI veya REST API gibi başka istemciler kullanıyorsanız, bu izinleri el ile atamanız gerekir.
Anahtarları depolamak için Anahtar kasası kullanıyorsanız , yedekleme işlemleri için Azure Backup hizmetine izin verin.
MHSM izinlerini atamak için şu adımları izleyin:
Azure portalında Yönetilen HSM'ye gidin ve Ardından Ayarlar'daYerel RBAC'yi seçin.
Yeni rol ataması eklemek için Ekle'yi seçin.
Aşağıdaki rollerden birini seçin:
Yerleşik roller: Yerleşik bir rol kullanmak istiyorsanız Yönetilen HSM Şifreleme Kullanıcısı rolünü seçin.
Özel roller: Özel rol kullanmak istiyorsanız, bu rolün dataActions değeri şu değerlere sahip olmalıdır:
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Yönetilen HSM veri düzlemi rol yönetimini kullanarak özel bir rol oluşturabilirsiniz.
Kapsam için, Müşteri Tarafından Yönetilen Anahtar ile Gizli VM oluşturmak için kullanılan anahtarı seçin.
Tüm Anahtarlar'ı da seçebilirsiniz.
Güvenlik sorumlusundaYedekleme Yönetimi Hizmeti'ni seçin.
Gizli VM için yedeklemeyi yapılandırma
Azure Backup gerekli izinlere sahip olduktan sonra yedeklemeyi yapılandırmaya devam edebilirsiniz. Azure VM yedeklemesini yapılandırmayı öğrenin.
Sonraki adım
Azure Backup (önizleme) kullanarak CVM'yi geri yükleyin.