Udostępnij za pośrednictwem

Tworzenie kopii zapasowych i przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

  • Artykuł

W tym artykule opisano sposób tworzenia kopii zapasowej i przywracania maszyn wirtualnych platformy Azure z systemem Windows lub Linux za pomocą zaszyfrowanych dysków przy użyciu usługi Azure Backup . Aby uzyskać więcej informacji, zobacz Szyfrowanie kopii zapasowych maszyn wirtualnych platformy Azure.

Obsługiwane scenariusze tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych platformy Azure

W tej sekcji opisano obsługiwane scenariusze tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych platformy Azure.

Szyfrowanie przy użyciu kluczy zarządzanych przez platformę

Domyślnie wszystkie dyski na maszynach wirtualnych są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę (PMK), które używają szyfrowania usługi magazynu. Możesz utworzyć kopię zapasową tych maszyn wirtualnych przy użyciu usługi Azure Backup bez żadnych konkretnych akcji wymaganych do obsługi szyfrowania na końcu. Aby uzyskać więcej informacji na temat szyfrowania za pomocą kluczy zarządzanych przez platformę, zobacz ten artykuł.

Zaszyfrowane dyski

Szyfrowanie przy użyciu kluczy zarządzanych przez klienta

Podczas szyfrowania dysków przy użyciu kluczy zarządzanych przez klienta (CMK) klucz używany do szyfrowania dysków jest przechowywany w usłudze Azure Key Vault i jest zarządzany przez Ciebie. Szyfrowanie usługi Storage (SSE) przy użyciu klucza zarządzanego przez klienta różni się od szyfrowania usługi Azure Disk Encryption (ADE). Program ADE używa narzędzi szyfrowania systemu operacyjnego. Funkcja SSE szyfruje dane w usłudze magazynu, umożliwiając korzystanie z dowolnego systemu operacyjnego lub obrazów dla maszyn wirtualnych.

Nie musisz wykonywać żadnych jawnych akcji tworzenia kopii zapasowych ani przywracania maszyn wirtualnych, które używają kluczy zarządzanych przez klienta do szyfrowania dysków. Dane kopii zapasowej dla tych maszyn wirtualnych przechowywanych w magazynie będą szyfrowane przy użyciu tych samych metod, co szyfrowanie używane w magazynie.

Aby uzyskać więcej informacji na temat szyfrowania dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta, zobacz ten artykuł.

Obsługa szyfrowania przy użyciu usługi ADE

Usługa Azure Backup obsługuje tworzenie kopii zapasowych maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego/danych zaszyfrowane za pomocą usługi Azure Disk Encryption (ADE). Program ADE używa funkcji BitLocker do szyfrowania maszyn wirtualnych z systemem Windows oraz funkcji dm-crypt dla maszyn wirtualnych z systemem Linux. Usługa ADE integruje się z usługą Azure Key Vault w celu zarządzania kluczami i wpisami tajnymi szyfrowania dysków. Klucze szyfrowania kluczy usługi Key Vault (KEKs) mogą służyć do dodawania dodatkowej warstwy zabezpieczeń, szyfrowania wpisów tajnych szyfrowania przed zapisaniem ich w usłudze Key Vault.

Usługa Azure Backup może tworzyć kopie zapasowe i przywracać maszyny wirtualne platformy Azure przy użyciu usługi ADE z aplikacją Microsoft Entra i bez jej użycia, jak podsumowano w poniższej tabeli.

Typ dysku maszyny wirtualnej ADE (BEK/dm-crypt) ADE i KEK
Niezarządzanych Tak Tak
Zarządzany Tak Tak

Ograniczenia

Przed utworzeniem kopii zapasowej lub przywróceniem zaszyfrowanych sieci wirtualnych platformy Azure zapoznaj się z następującymi ograniczeniami:

  • Możesz tworzyć kopie zapasowe i przywracać zaszyfrowane maszyny wirtualne programu ADE w ramach tej samej subskrypcji.
  • Usługa Azure Backup obsługuje maszyny wirtualne szyfrowane przy użyciu kluczy autonomicznych. Każdy klucz, który jest częścią certyfikatu używanego do szyfrowania maszyny wirtualnej, nie jest obecnie obsługiwany.
  • Usługa Azure Backup obsługuje przywracanie między regionami zaszyfrowanych maszyn wirtualnych platformy Azure do sparowanych regionów platformy Azure. Aby uzyskać więcej informacji, zobacz macierz obsługi.
  • Nie można odzyskać zaszyfrowanych maszyn wirtualnych programu ADE na poziomie pliku/folderu. Aby przywrócić pliki i foldery, musisz odzyskać całą maszynę wirtualną.
  • Podczas przywracania maszyny wirtualnej nie można użyć opcji zamiany istniejącej maszyny wirtualnej dla zaszyfrowanych maszyn wirtualnych programu ADE. Ta opcja jest obsługiwana tylko w przypadku niezaszyfrowanych dysków zarządzanych.

Przed rozpoczęciem

Przed rozpoczęciem wykonaj następujące czynności:

  1. Upewnij się, że masz co najmniej jedną maszynę wirtualną z systemem Windows lub Linux z włączoną funkcją ADE.
  2. Zapoznaj się z macierzą obsługi kopii zapasowej maszyny wirtualnej platformy Azure
  3. Utwórz magazyn usługi Recovery Services Backup, jeśli go nie masz.
  4. Jeśli włączysz szyfrowanie dla maszyn wirtualnych, które są już włączone na potrzeby tworzenia kopii zapasowych, po prostu musisz zapewnić usłudze Backup uprawnienia dostępu do usługi Key Vault, aby kopie zapasowe mogły być kontynuowane bez zakłóceń. Dowiedz się więcej na temat przypisywania tych uprawnień.

Ponadto istnieje kilka czynności, które mogą być konieczne w pewnych okolicznościach:

  • Zainstaluj agenta maszyny wirtualnej na maszynie wirtualnej: usługa Azure Backup tworzy kopie zapasowe maszyn wirtualnych platformy Azure, instalując rozszerzenie agenta maszyny wirtualnej platformy Azure uruchomionego na maszynie. Jeśli maszyna wirtualna została utworzona na podstawie obrazu witryny Azure Marketplace, agent jest zainstalowany i uruchomiony. Jeśli tworzysz niestandardową maszynę wirtualną lub migrujesz maszynę lokalną, może być konieczne ręczne zainstalowanie agenta.

Konfigurowanie zasad kopii zapasowych

Aby skonfigurować zasady tworzenia kopii zapasowych, wykonaj następujące kroki:

  1. Jeśli nie utworzono jeszcze magazynu kopii zapasowych usługi Recovery Services, postępuj zgodnie z tymi instrukcjami.

  2. Przejdź do centrum kopii zapasowej i kliknij pozycję +Kopia zapasowa na karcie Przegląd

    Okienko kopii zapasowej

  3. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wybierz utworzony magazyn, a następnie kliknij przycisk Kontynuuj.

    Okienko scenariusza

  4. Wybierz zasady, które chcesz skojarzyć z magazynem, a następnie wybierz przycisk OK.

    • Zasady tworzenia kopii zapasowych określają, kiedy są wykonywane kopie zapasowe i jak długo są przechowywane.
    • Szczegóły domyślnych zasad znajdują się w menu rozwijanym.

    Wybieranie zasad kopii zapasowych

  5. Jeśli nie chcesz używać zasad domyślnych, wybierz pozycję Utwórz nową i utwórz zasady niestandardowe.

  6. W obszarze Maszyny wirtualne wybierz pozycję Dodaj.

    Dodawanie maszyn wirtualnych

  7. Wybierz zaszyfrowane maszyny wirtualne, których kopię zapasową chcesz utworzyć przy użyciu wybranych zasad, a następnie wybierz przycisk OK.

    Wybieranie zaszyfrowanych maszyn wirtualnych

  8. Jeśli używasz usługi Azure Key Vault, na stronie magazynu zobaczysz komunikat, że usługa Azure Backup potrzebuje dostępu tylko do odczytu do kluczy i wpisów tajnych w usłudze Key Vault.

    • Jeśli zostanie wyświetlony ten komunikat, nie jest wymagana żadna akcja.

      Dostęp do

    • Jeśli zostanie wyświetlony ten komunikat, musisz ustawić uprawnienia zgodnie z opisem w poniższej procedurze.

      Ostrzeżenie o dostępie

  9. Wybierz pozycję Włącz kopię zapasową , aby wdrożyć zasady kopii zapasowej w magazynie, i włącz kopię zapasową dla wybranych maszyn wirtualnych.

Tworzenie kopii zapasowych zaszyfrowanych maszyn wirtualnych programu ADE przy użyciu magazynów kluczy z włączoną kontrolą dostępu opartej na rolach

Aby włączyć tworzenie kopii zapasowych dla zaszyfrowanych maszyn wirtualnych programu ADE przy użyciu magazynów kluczy z włączoną kontrolą dostępu na podstawie ról platformy Azure, musisz przypisać rolę administratora usługi Key Vault do aplikacji Microsoft Entra usługi zarządzania kopiami zapasowymi, dodając przypisanie roli w kontroli dostępu do magazynu kluczy.

Zrzut ekranu przedstawia pole wyboru umożliwiające włączenie zaszyfrowanego magazynu kluczy programu ADE.

Dowiedz się więcej o różnych dostępnych rolach. Rola Administrator usługi Key Vault może zezwalać na uprawnienia do pobierania, wyświetlania listy i tworzenia kopii zapasowej zarówno wpisu tajnego, jak i klucza.

W przypadku magazynów kluczy z włączoną kontrolą dostępu opartą na rolach platformy Azure można utworzyć rolę niestandardową z następującym zestawem uprawnień. Dowiedz się , jak utworzyć rolę niestandardową.

Akcja opis
Microsoft.KeyVault/vaults/keys/backup/action Tworzy plik kopii zapasowej klucza.
Microsoft.KeyVault/vaults/secrets/backup/action Tworzy plik kopii zapasowej wpisu tajnego.
Microsoft.KeyVault/vaults/secrets/getSecret/action Pobiera wartość wpisu tajnego.
Microsoft.KeyVault/vaults/keys/read Wyświetlanie listy kluczy w określonym magazynie lub odczytywanie właściwości i materiałów publicznych.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Wyświetl lub wyświetl właściwości wpisu tajnego, ale nie jego wartości. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Zrzut ekranu przedstawiający sposób dodawania uprawnień do magazynu kluczy.

Wyzwalanie zadania tworzenia kopii zapasowej

Początkowa kopia zapasowa zostanie uruchomiona zgodnie z harmonogramem, ale można ją uruchomić natychmiast w następujący sposób:

  1. Przejdź do centrum kopii zapasowej i wybierz element menu Wystąpienia kopii zapasowej.
  2. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wyszukaj maszynę wirtualną skonfigurowaną do tworzenia kopii zapasowej.
  3. Kliknij prawym przyciskiem myszy odpowiedni wiersz lub wybierz więcej ikon (...), a następnie kliknij pozycję Utwórz kopię zapasową teraz.
  4. W obszarze Utwórz kopię zapasową teraz użyj kontrolki kalendarza, aby wybrać ostatni dzień przechowywania punktu odzyskiwania. Następnie wybierz opcję OK.
  5. Monitoruj powiadomienia portalu. Aby monitorować postęp zadania, przejdź do obszaru Zadania kopii zapasowej centrum>kopii zapasowej i przefiltruj listę zadań W toku. W zależności od rozmiaru maszyny wirtualnej tworzenie początkowej kopii zapasowej może potrwać pewien czas.

Podaj uprawnienia

Usługa Azure Backup wymaga dostępu tylko do odczytu w celu tworzenia kopii zapasowych kluczy i wpisów tajnych wraz ze skojarzonymi maszynami wirtualnymi.

  • Usługa Key Vault jest skojarzona z dzierżawą usługi Microsoft Entra subskrypcji platformy Azure. Jeśli jesteś użytkownikiem członkowskim, usługa Azure Backup uzyskuje dostęp do usługi Key Vault bez dalszych działań.
  • Jeśli jesteś użytkownikiem-gościem, musisz podać uprawnienia do usługi Azure Backup, aby uzyskać dostęp do magazynu kluczy. Aby skonfigurować kopię zapasową dla zaszyfrowanych maszyn wirtualnych, musisz mieć dostęp do magazynów kluczy.

Aby zapewnić uprawnienia kontroli dostępu opartej na rolach platformy Azure w usłudze Key Vault, zobacz ten artykuł.

Aby ustawić uprawnienia:

  1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi i wyszukaj pozycję Magazyny kluczy.

  2. Wybierz magazyn kluczy skojarzony z zaszyfrowaną maszyną wirtualną, której kopię zapasową chcesz utworzyć.

    Napiwek

    Aby zidentyfikować skojarzony magazyn kluczy maszyny wirtualnej, użyj następującego polecenia programu PowerShell. Zastąp nazwę grupy zasobów i nazwę maszyny wirtualnej:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Wyszukaj nazwę magazynu kluczy w tym wierszu:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Wybierz pozycję Zasady>dostępu Dodaj zasady dostępu.

    Dodaj zasady dostępu

  4. W obszarze Dodawanie zasad>dostępu Skonfiguruj z szablonu (opcjonalnie) wybierz pozycję Azure Backup.

    • Wymagane uprawnienia są wstępnie wypełniane dla uprawnień klucza i uprawnień wpisu tajnego.
    • Jeśli maszyna wirtualna jest szyfrowana tylko przy użyciu klucza szyfrowania plików, usuń zaznaczenie opcji Uprawnienia klucza, ponieważ potrzebujesz tylko uprawnień dla wpisów tajnych.

    Wybór usługi Azure Backup

  5. Wybierz Dodaj. Usługa zarządzania kopiami zapasowymi jest dodawana do zasad dostępu.

    Zasady dostępu

  6. Wybierz pozycję Zapisz , aby zapewnić usłudze Azure Backup uprawnienia.

Zasady dostępu można również ustawić przy użyciu programu PowerShell lub interfejsu wiersza polecenia.

Następny krok

Przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

Jeśli wystąpią jakiekolwiek problemy, zapoznaj się z następującymi artykułami: