Загрузить виртуальный жесткий диск Linux из Azure

Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы

В этой статье описано, как скачать файл виртуального жесткого диска (VHD) Linux из Azure, используя портал Azure.

Остановка виртуальной машины

VHD невозможно скачать из Azure, если он подключен к запущенной виртуальной машине. Если вы не хотите прерывать работу виртуальной машины, можно создать моментальный снимок, а затем скачать его.

Чтобы остановить работу виртуальной машины:

1. Войдите на портал Azure.

2. В меню слева выберите Виртуальные машины.

3. Выберите виртуальную машину из списка.

4. На странице виртуальной машины нажмите кнопку Остановить.

   

Альтернатива: создание моментального снимка диска виртуальной машины

Сделайте моментальный снимок диска, который можно скачать.

1. Выберите нужную виртуальную машину на портале.
2. В расположенном слева меню выберите пункт Диски, а затем выберите диск, моментальный снимок которого нужно сделать. Будут отображены сведения о диске.
3. В меню в верхней части страницы выберите пункт Создать снимок. Отобразится страница Создание снимка.
4. В поле Имя укажите имя моментального снимка.
5. В поле Тип моментального снимка выберите Полный или Добавочный.
6. Когда все будет готово, нажмите кнопку Просмотр и создание.

Через некоторое время будет создан моментальный снимок. Затем его можно будет загрузить либо создать другую виртуальную машину.

Примечание.

Если перед этим не остановить виртуальную машину, моментальный снимок не будет "чистым". Моментальный снимок будет иметь такое состояние, как если бы на момент его создания было отключено питание виртуальной машины либо в ней возник сбой. Обычно это безопасно, но если в приложениях, которые работали при создании моментального снимка, нет защиты от сбоев, могут возникнуть проблемы.

Этот метод рекомендуется использовать только для виртуальных машин, у которых один диск с ОС. Если у виртуальной машины один или несколько дисков с данными, то прежде чем скачивать диск с ОС или какой-либо диск с данными, следует остановить виртуальную машину.

Безопасные загрузки и отправки с помощью идентификатора Microsoft Entra

Если вы используете идентификатор Microsoft Entra для управления доступом к ресурсам, теперь вы можете использовать его для ограничения отправки и скачивания управляемых дисков Azure. Эта функция доступна как общедоступное предложение во всех регионах. Когда пользователь пытается отправить или скачать диск, Azure проверяет удостоверение запрашивающего пользователя в идентификаторе Microsoft Entra и подтверждает, что у пользователя есть необходимые разрешения. На более высоком уровне системный администратор может задать политику на уровне учетной записи Azure или подписки, чтобы убедиться, что все диски и моментальные снимки должны использовать идентификатор Microsoft Entra для отправки или скачивания. Если у вас есть вопросы о защите отправки или скачивания с помощью идентификатора Microsoft Entra, обратитесь к этой электронной почте: azuredisks@microsoft .com

Ограничения

• Виртуальные жесткие диски нельзя передать в пустые моментальные снимки.
• Azure Backup в настоящее время не поддерживает диски, защищенные с помощью идентификатора Microsoft Entra.
• Azure Site Recovery в настоящее время не поддерживает диски, защищенные с помощью идентификатора Microsoft Entra.

Необходимые компоненты

• Установите последнюю версию модуля Azure PowerShell.

Назначение роли RBAC

Чтобы получить доступ к управляемым дискам, защищенным с помощью идентификатора Microsoft Entra, запрашивающий пользователь должен иметь оператор данных для роли Управляемые диски или пользовательскую роль со следующими разрешениями:

• Microsoft.Compute/disks/download/action
• Microsoft.Compute/disks/upload/action
• Microsoft.Compute/snapshots/download/action
• Microsoft.Compute/snapshots/upload/action

Подробные инструкции по назначению роли см. в следующих статьях для портала, PowerShell или CLI. Сведения о создании или обновлении настраиваемой роли см. в следующих статьях для портала, PowerShell или CLI.

Включение режима аутентификации доступа к данным

Портал

Включите режим аутентификации доступа к данным, чтобы ограничить доступ к диску. Его можно включить при создании диска или включить его на странице экспорта дисков в разделе "Параметры " для существующих дисков.

PowerShell

Задайте для параметра dataAccessAuthMode значение "AzureActiveDirectory" для своего диска, чтобы скачать его, когда он будет защищен. Используйте следующий скрипт для обновления существующего диска, заменив значения для параметров -ResourceGroupName и -DiskName перед запуском скрипта:

New-AzDiskUpdateConfig -DataAccessAuthMode "AzureActiveDirectory" | Update-AzDisk -ResourceGroupName 'yourResourceGroupName' -DiskName 'yourDiskName"

Azure CLI

Задайте для параметра dataAccessAuthMode значение "AzureActiveDirectory" для своего диска, чтобы скачать его, когда он будет защищен. Используйте следующий скрипт для обновления существующего диска, заменив значения для параметров --resource-group и --Name перед запуском скрипта:

az disk update --name yourDiskName --resource-group yourResourceGroup --data-access-auth-mode AzureActiveDirectory

Создание URL-адреса SAS

Чтобы скачать VHD-файл, необходимо создать подписанный URL-адрес (SAS). Когда этот URL-адрес создан, ему назначается срок действия.

Внимание

15 февраля 2025 г. время доступа подписанного URL-адреса (SAS) для дисков и моментальных снимков будет ограничено не более 60 дней. Попытка создать SAS с истечением срока действия более 60 дней приводит к ошибке. Любой существующий диск или SAS моментального снимка, созданный с истечением срока действия более 60 дней, может перестать работать 60 дней после даты создания и приведет к ошибке 403 во время авторизации.

Если срок действия управляемого диска или sas моментального снимка превышает 60 дней, отмените доступ и создайте новый SAS, который запрашивает доступ в течение 60 дней (5 184 000 секунд) или меньше. Повышение общей безопасности с помощью SAS с более короткими датами окончания срока действия. Внесите эти изменения до 15 февраля 2025 г., чтобы предотвратить прерывание работы службы. Следующие ссылки можно использовать для поиска, отзыва и запроса нового SAS.

• Чтобы проверить, имеет ли диск активный SAS, можно использовать REST API, Azure CLI или модуль Azure PowerShell и проверить свойство DiskState .
• Чтобы отменить SAS, можно использовать REST API, Azure CLI или модуль Azure PowerShell.
• Чтобы создать SAS, можно использовать REST API, Azure CLI или модуль Azure PowerShell и задать длительность доступа в 5 184 000 секунд или меньше.

Портал

1. В меню на странице виртуальной машины выберите пункт Диски.
2. Выберите диск операционной системы для виртуальной машины и щелкните Экспорт диска.
3. Если нужно, обновите значение параметра URL-адрес истекает через (с), чтобы получить достаточно времени для завершения загрузки. Значение по умолчанию — 3600 секунд (одна минута).
4. Щелкните Создать URL-адрес.

PowerShell

$diskSas = Grant-AzDiskAccess -ResourceGroupName "yourRGName" -DiskName "yourDiskName" -DurationInSecond 86400 -Access 'Read'

Azure CLI

az disk grant-access --duration-in-seconds 86400 --access-level Read --name yourDiskName --resource-group yourRGName

Скачивание VHD

Примечание.

Если вы используете идентификатор Microsoft Entra для защиты скачиваемого управляемого диска, пользователь, скачивая виртуальный жесткий диск, должен иметь соответствующие разрешения RBAC.

Портал

1. Под созданным URL-адресом щелкните ссылку Скачать VHD-файл.

   

2. Чтобы начать скачивание, возможно, потребуется нажать кнопку Сохранить в браузере. По умолчанию VHD-файлу присваивается имя abcd.

PowerShell

Воспользуйтесь следующим скриптом, чтобы скачать VHD:

Connect-AzAccount
#Set localFolder to your desired download location
$localFolder = "yourPathHere"
$blob = Get-AzStorageBlobContent -Uri $diskSas.AccessSAS -Destination $localFolder -Force 

Когда скачивание завершится, отмените доступ к диску с помощью командлета Revoke-AzDiskAccess -ResourceGroupName "yourRGName" -DiskName "yourDiskName".

Azure CLI

Замените yourPathhere и sas-URI своими значениями, а затем воспользуйтесь следующим скриптом, чтобы скачать VHD:

Примечание.

Если вы используете идентификатор Microsoft Entra для защиты отправки и скачивания управляемого диска, добавьте --auth-mode login в az storage blob downloadнего .

#set localFolder to your desired download location
localFolder=yourPathHere
#If you're using Azure AD to secure your managed disk uploads and downloads, add --auth-mode login to the following command.
az storage blob download -f $localFolder --blob-url "sas-URI"

Когда скачивание завершится, отмените доступ к диску с помощью командлета az disk revoke-access --name diskName --resource-group yourRGName.

Следующие шаги

• Узнайте, как передать пользовательский диск и создать на его основе виртуальную машину Linux с помощью Azure CLI.
• Управление дисками Azure с помощью Azure CLI.