Azure Backup kullanarak Gizli VM'yi geri yükleme (önizleme)

Önemli

Gizli sanal makineler (VM' ler) için Azure Backup şu anda önizleme aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Bu makalede, Azure Backup kullanarak Platform Yönetilen Anahtarı (PMK) veya Müşteri Tarafından Yönetilen Anahtar (CMK) ile şifrelenmiş Gizli VM'nin (CVM) nasıl geri yükleneceği açıklanır. Şifreleme anahtarı ve Disk Şifreleme Kümesi (DES) durumlarını temel alan geri yükleme senaryolarını kapsar ve geri yükleme hataları için kurtarma yordamı sağlar. Ayrıca sanal makine şifreleme ayrıntılarını ayıklama, eksik anahtarları geri yükleme ve gerekli izinleri atama yordamını sağlar.

Gizli VM yedekleme için desteklenen senaryolar hakkında bilgi edinin.

Önkoşullar

Gizli VM geri yükleme işlemine başlamadan önce Kurtarma Hizmetleri kasasında kurtarma noktalarının kullanılabilir olduğundan emin olun.

Gizli VM için geri yükleme senaryoları

Gizli VM geri yükleme davranışı, geri yükleme sırasında DES, Key Vault ve anahtarların durumuna bağlıdır. Temel geri yükleme senaryoları şunlardır:

• Özgün Anahtar veya Anahtar Sürümü değişmedi: Özgün Disk Şifreleme Kümesi (DES) ve anahtar değişmeden kalırsa geri yükleme başarılı olur.
• Anahtar Döndürme: Önceki anahtar sürümünün süresi dolmamış veya silinmemiş olması koşuluyla yeni bir anahtar sürümü etkin olduğunda geri yükleme başarılı olur.
• Anahtar Değişikliği: DES aynı anahtar kasasında yeni bir anahtar kullanıyorsa, geri yükleme yalnızca yedekleme sırasında kullanılan özgün anahtar hala mevcutsa başarılı olur. Özgün anahtar silinirse başarısız olur. Farklı bir anahtar kasası kullanıyorsanız, özgün kasayla aynı anahtara işaret etmelidir.
• DES veya Anahtar Silindi: Geri yükleme, UserErrorDiskEncryptionSetDoesNotExist veya UserErrorDiskEncryptionSetKeyDoesNotExist gibi hatalarla başarısız oluyor. Sorunu çözmek için, geri yüklenen anahtar verilerini kullanarak anahtarı ve DES'i yeniden oluşturun ve geri yüklemeyi yeniden deneyin.
• Sağlanan Giriş DES: Geri yüklenen anahtar verilerinden oluşturulan yeni bir DES sağlarsanız, anahtar ve sürüm yedekleme zamanında kullanılanlarla eşleşiyorsa geri yükleme başarılı olur.
• Eşleşmeyen DES veya Anahtar: geri yükleme ile UserErrorInputDESKeyDoesNotMatchWithOriginalKeybaşarısız oluyor. Bu hatayı düzeltmek için eksik anahtarları geri yükleyin.

Gizli VM geri yükleme için eksik anahtarları geri yüklemeyi öğrenin.

Gizli VM'yi geri yükleme

Özgün anahtarı koruyarak geri yükle

Geri yükleme işlemi sırasında, özgün Müşteri Tarafından Yönetilen Anahtar (CMK), Key Vault, mHSM ve DES kullanılabilir olduğunda Disk şifreleme kümesi girişi sağlamadan devam edebilirsiniz. Bu senaryolarda geri yükleme işlemine her zamanki gibi devam edebilirsiniz. Azure VM'sini geri yüklemeyi öğrenin.

Orijinal anahtar döndürüldüğünde, kaybolduğunda veya güvenliği ihlal edildiğinde geri yükle

CMK, Key Vault, mHSM veya CMK'ye atıfta bulunan DES'in orijinali kullanılamıyorsa veya yedekleme orijinal CMK'ye erişemiyorsa geri yükleme işlemi başarısız olur. Böyle durumlarda ilk geri yükleme girişimi başarısız olur ve CVM geri yüklenmez. Bu sorunu çözmek için şu adımları izleyin:

1. Disk şifreleme kümesi girişi sağlamadan ilk geri yükleme işlemini tetikleme. Bu deneme eksik anahtar nedeniyle başarısız olur, ancak anahtarın depolama hesabında geri yüklenmesine neden olur.
2. Bu işlemden sonra Azure Backup tarafından yedeklenen Müşteri Tarafından Yönetilen Anahtarı geri yükleyin ve kurtarılan anahtarı gösteren yeni bir DES oluşturun. Eksik anahtarları geri yüklemeyi ve gerekli izinleri atamayı öğrenin.
3. Geri Yükleme sayfasında geri yükleme işlemini yeniden başlatın ve bu kez uygun Disk Şifreleme Kümesi'ni girin.

Uyarı

Doğru anahtarı kullansa bile farklı bir DES'ten geri yükleme işlemi şu anda yalnızca anlık görüntü katmanı geri yükleme noktalarından desteklenmemektedir.

Gizli VM geri yükleme için eksik anahtarları geri yükleme

Geri yükleme işlemi başarısız olursa Azure Backup tarafından yedeklenen anahtarları geri yüklemeniz gerekir.

Anahtarı PowerShell kullanarak geri yüklemek için şu adımları izleyin:

1. Korumalı CVM + CMK'yi içeren kasayı seçmek için, cmdlet'ine kasanın kaynak grubunu ve adını girin ve cmdlet'ini çalıştırın.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "<vault-rg>" -Name "<vault-name>"
   

2. Son yedi güne ait tüm başarısız geri yükleme işlerini listelemek için aşağıdaki cmdlet'i çalıştırın. Eski işleri getirmek istiyorsanız, cmdlet'indeki gün aralığını güncelleyin.

   $Jobs = Get-AzRecoveryServicesBackupJob -From (Get-Date).AddDays(-7).ToUniversalTime() -Status Failed -Operation Restore -VaultId $vault.ID
   

3. Sonuçtan başarısız geri yükleme işini seçmek ve iş ayrıntılarını almak için aşağıdaki cmdlet'i çalıştırın:

   Örnek

   $JobDetails = Get-AzRecoveryServicesBackupJobDetail -Job $Jobs[0] -VaultId $vault.ID
   

4. anahtar geri yükleme için gereken tüm parametreleri iş ayrıntılarından almak için aşağıdaki cmdlet'i çalıştırın:

   $properties = $JobDetails.properties
   $storageAccountName = $properties["Target Storage Account Name"]
   $containerName = $properties["Config Blob Container Name"]
   $securedEncryptionInfoBlobName = $properties["Secured Encryption Info Blob Name"]
   

5. Geri yükleme için kullanılan hedef depolama hesabını seçmek için kaynak grubunu aşağıdaki cmdlet'e girin ve cmdlet'ini çalıştırın:

   Set-AzCurrentStorageAccount -Name $storageaccountname -ResourceGroupName '<storage-account-rg >'
   

6. CMK ile CVM'nin anahtar ayrıntılarını içeren JSON yapılandırma dosyasını geri yüklemek için aşağıdaki cmdlet'i çalıştırın:

   $destination_path = 'C:\cvmcmkencryption_config.json'
   Get-AzStorageBlobContent -Blob $securedEncryptionInfoBlobName -Container $containerName -Destination $destination_path
   $encryptionObject = Get-Content -Path $destination_path | ConvertFrom-Json 
   

7. Daha önce bahsedilen hedef yolda JSON dosyası oluşturulduktan sonra aşağıdaki cmdlet'i çalıştırarak JSON verilerinden anahtar blob dosyası oluşturun:

   $keyDestination = 'C:\keyDetails.blob'
   [io.file]::WriteAllBytes($keyDestination, [System.Convert]::FromBase64String($encryptionObject.OsDiskEncryptionDetails.KeyBackupData)) 
   

8. Anahtarı Key Vault veya Yönetilen Donanım Güvenlik Modülü'ne (HSM) geri yüklemek için aşağıdaki cmdlet'i çalıştırın:

   Restore-AzKeyVaultKey -VaultName '<target_key_vault_name> ' -InputFile $keyDestination
   For MHSM Use,  
   Restore-AzKeyVaultKey -HsmName '<target_mhsm_name>' -InputFile $keyDestination
   

Artık Şifreleme türü cmk ile gizli disk şifrelemesi olarak yeni bir DES oluşturabilirsiniz. Bu, geri yüklenen anahtara işaret etmelidir. Bu DES,başarılı bir geri yükleme gerçekleştirmek için yeterli izinlere sahip olmalıdır. Anahtarı geri yüklemek için yeni bir Key Vault veya Yönetilen HSM kullanıyorsanız , Yedekleme Yönetimi Hizmeti'nin bu anahtar üzerinde yeterli izni vardır. Key Vault veya Yönetilen HSM erişimi için nasıl izin vereceğinizi öğrenin.

Geri yükleme için DES ve Gizli Konuk VM Aracısı'na izin atama

Disk Şifreleme Kümesi ve Gizli Konuk VM Aracısı,Key Vault veya Yönetilen HSM üzerinde izinlere ihtiyaç duyar. İzinleri sağlamak için şu adımları izleyin:

Anahtar kasası için: Anahtar kasasına izin vermek için belgelerde şu adımları izleyebilir veya şu adımları izleyebilirsiniz:

1. Disk şifreleme kümesi örneğine gidin.
2. Proposed Improvements: İletiyi seçin Bu disk şifreleme kümesiyle bir disk, imaj veya anlık görüntüyü ilişkilendirmek için anahtar kasasına izinler vermelisiniz ve izinler verin.

Yönetilen HSM için: Yönetilen HSM'ye izin vermek için şu adımları izleyin:

1. Yeni oluşturulan DES'i Yönetilen HSM Şifreleme Kullanıcı Rolü ile atayın:

   1. Azure portalındaYönetilen HSM>Ayarları'na gidin ve Yerel RBAC'yi seçin.
   2. Yeni rol ataması eklemek için Ekle'yi seçin.
   3. Rol bölümünde Yönetilen HSM Şifreleme Kullanıcı Rolü'nü seçin.
   4. Kapsam altında geri yüklenen anahtarı seçin. Tüm Anahtarlar'ı da seçebilirsiniz.
   5. Güvenlik sorumlusundayeni oluşturulan DES'i seçin.

2. CVM'yi önyüklemek için Gizli Konuk VM Aracısı'na gerekli izinleri atayın:

   1. Azure portalındaYönetilen HSM>Ayarları'na gidin ve Yerel RBAC'yi seçin.
   2. Yeni rol ataması eklemek için Ekle'yi seçin.
   3. Rol bölümünde Yönetilen HSM Şifreleme Hizmeti Kullanıcısı seçin.
   4. Kapsam altında geri yüklenen anahtarı seçin. Tüm Anahtarlar'ı da seçebilirsiniz.
   5. Güvenlik sorumlusundaGizli Konuk VM Aracısı'nı seçin.

İlgili içerik

• Gizli VM yedeklemesi için destek matrisi.
• Azure Backup (önizleme) kullanarak CVM'yi yedekleyin.