Come eseguire il backup e il ripristino delle macchine virtuali crittografate con il Backup di Azure

Questo articolo illustra la procedura per eseguire il backup e ripristino di macchine virtuali con Backup di Azure. Fornisce anche informazioni sugli scenari supportati, i prerequisiti e i passaggi per la risoluzione dei problemi per i casi di errore.

Scenari supportati

Nota
  • L'operazione di backup e ripristino di macchine virtuali crittografate è supportata solo per le macchine virtuali distribuite da Resource Manager. Non è supportata per le macchine virtuali classiche.
  • È supportata per le macchine virtuali Windows e Linux che usano Crittografia dischi di Azure, che si basa sulla funzionalità BitLocker di Windows e sulla funzionalità DM-Crypt di Linux standard di settore per offrire la crittografia dei dischi.
  • Questa operazione è supportata solo per le macchine virtuali crittografate usando entrambe le chiavi di crittografia BitLocker e Key. Non è supportata per le macchine virtuali crittografate usando solo la chiave di crittografia BitLocker.

Prerequisiti

  1. La macchina virtuale è stata crittografata tramite Crittografia dischi di Azure. Sono state usate sia la chiave di crittografia BitLocker che la chiave di crittografia Key.
  2. È stato creato l'insieme di credenziali dei servizi di ripristino ed è stata impostata la replica di archiviazione usando i passaggi indicati nell'articolo Preparare l'ambiente per il backup di macchine virtuali distribuite con Resource Manager.
  3. Backup di Azure ha ottenuto le autorizzazioni per l'accesso all'insieme di credenziali delle chiavi contenente le chiavi e i segreti per le VM crittografate.

Backup di macchine virtuali crittografate

Per impostare l'obiettivo del backup, definire i criteri, configurare gli elementi e attivare il backup, usare la procedura seguente.

Configurare il backup

  1. Se l'insieme di credenziali dei servizi di ripristino è già aperto, procedere al passaggio successivo. Se non è aperto alcun insieme di credenziali dei servizi di ripristino ma si è nel portale di Azure, nel menu dell'hub fare clic su Esplora.

    • Nell'elenco di risorse digitare Servizi di ripristino.
    • Non appena si inizia a digitare, l'elenco viene filtrato in base all'input. Quando viene visualizzata l'opzione, fare clic su Insiemi di credenziali dei servizi di ripristino.

      Creare un insieme di credenziali dei servizi di ripristino - Passaggio 1

      Viene visualizzato l'elenco di insiemi di credenziali dei servizi di ripristino. Nell'elenco di insiemi di credenziali dei servizi di ripristino selezionare un insieme di credenziali.

      Viene aperto il dashboard dell'insieme di credenziali selezionato.

  2. Nell'elenco di elementi che viene visualizzato in insieme di credenziali, fare clic su Backup per aprire il pannello Backup.

    Pannello Backup aperto

  3. Nel pannello Backup fare clic su Obiettivo del backup per aprire il pannello corrispondente.

    Pannello Scenario aperto

  4. Nel pannello Obiettivo del backup impostare Posizione di esecuzione del carico di lavoro su Azure ed Elementi di cui eseguire il backup su Macchina virtuale e quindi fare clic su OK.

    Il pannello Obiettivo di backup si chiude e viene visualizzato il pannello Criterio di backup.

    Pannello Scenario aperto

  5. Nel pannello Criterio di backup selezionare il criterio di backup che si vuole applicare all'insieme di credenziali e fare clic su OK.

    Selezionare il criterio di backup

    I dettagli dei criteri predefiniti vengono elencati nei dettagli. Per creare un criterio, selezionare Crea nuovo dal menu a discesa. Dopo aver fatto clic su OK, il criterio di backup viene associato all'insieme di credenziali.

    Scegliere quindi le VM da associare all'insieme di credenziali.

  6. Selezionare le macchine virtuali crittografate da associare al criterio specificato e fare clic su OK.

    Selezionare le macchine virtuali crittografate

  7. In questa pagina viene visualizzato un messaggio sull'insieme di credenziali delle chiavi associato alle macchine virtuali crittografate selezionate. Il servizio di backup richiede l'accesso in sola lettura per le chiavi e i segreti nell'insieme di credenziali delle chiavi. Il servizio usa le autorizzazioni per chiavi di backup e segreti, insieme alle macchine virtuali associate. Per consentire il funzionamento dei backup, è necessario concedere le autorizzazioni al servizio di backup per l'accesso all'insieme di credenziali delle chiavi. È possibile fornire queste autorizzazioni seguendo la procedura indicata nella sezione successiva.

    Messaggio delle macchine virtuali crittografate

    Dopo aver definito tutte le impostazioni per l'insieme di credenziali, nel pannello Backup fare clic su Abilita backup nella parte inferiore della pagina. Abilita backup consente di distribuire il criterio nell'insieme di credenziali e nelle macchine virtuali.

  8. La fase successiva di preparazione è l'installazione dell'agente di macchine virtuali o la verifica che l'agente di macchine virtuali sia installato. Allo stesso scopo, usare la procedura illustrata nell'articolo Preparare l'ambiente per il backup di macchine virtuali distribuite con Resource Manager.

Attivazione del processo di backup

Per attivare il processo di backup, usare la procedura illustrata nell'articolo Eseguire il backup di macchine virtuali di Azure in un insieme di credenziali di Servizi di ripristino.

Continuare i backup delle macchine virtuali per cui l'operazione è già stata eseguita con la crittografia abilitata

Se si dispone di macchine virtuali per cui il backup è già stato eseguito nell'insieme di credenziali dei servizi di ripristino e se tali macchine sono state abilitate per la crittografia in un secondo momento, affinché le operazioni di backup continuino è necessario concedere autorizzazioni ai servizi di backup per accedere a un Key Vault. È possibile concedere queste autorizzazioni seguendo la procedura illustrata nella sezione successiva oppure usando la procedura di PowerShell illustrata nella sezione Abilitare il backup della documentazione di PowerShell.

Specificare le autorizzazioni per Backup di Azure

Seguire questa procedura per fornire le autorizzazioni rilevanti a Backup di Azure per l'accesso all'insieme di credenziali delle chiavi e l'esecuzione del backup delle VM crittografate:

  1. Selezionare Altri servizi e cercare Insiemi di credenziali delle chiavi.

    Cercare l'insieme di credenziali delle chiavi

  2. Dall'elenco di insiemi di credenziali delle chiavi selezionare l'insieme di credenziali delle chiavi associato alla VM crittografata di cui deve essere eseguito il backup.

    Selezionare l'insieme di credenziali delle chiavi

  3. Fare clic su Criteri di accesso e quindi su Aggiungi nuovo.

    Aggiungere un criterio di accesso

  4. Fare clic su Selezionare un'entità e digitare Backup Management Service nella barra di ricerca.

    Cercare un servizio di backup

  5. Selezionare Backup Management Service e fare clic sul pulsante Seleziona.

    Selezionare un servizio di backup

  6. Selezionare Backup di Azure nell'elenco a discesa Configura dal modello. Le autorizzazioni necessarie vengono precompilate negli elenchi a discesa Autorizzazioni chiave e Autorizzazioni segrete.

    Selezionare Backup di Azure

  7. Fare clic su OK. Si noti che la voce Backup Management Service viene aggiunta nel pannello Criteri di accesso.

    Criteri di accesso del servizio di backup

  8. Fare clic su Salva. Verranno fornite le autorizzazioni necessarie per Backup di Azure.

    Criteri di accesso del servizio di backup

Dopo avere fornito le autorizzazioni, è possibile procedere con l'abilitazione del backup per le VM crittografate.

Ripristinare una macchina virtuale crittografata

Per ripristinare la macchina virtuale crittografata, ripristinare prima di tutto i dischi seguendo la procedura illustrata nella sezione Ripristino dei dischi sottoposti a backup in Scelta di una configurazione di ripristino per la macchina virtuale. È possibile quindi usare una delle opzioni seguenti:

Risoluzione dei problemi

Operazione Dettagli errore Risoluzione
Backup Convalida non riuscita perché la macchina virtuale è crittografata con il solo BEK. I backup possono essere abilitati solo per le macchine virtuali crittografate con BEK e KEK. Le macchine virtuali devono essere crittografate usando BEK e KEK. Innanzitutto decrittografare la macchina virtuale e crittografarla usando BEK e KEK. Abilitare il backup dopo che la macchina virtuale è stata crittografata usando BEK e KEK. Altre informazioni su come decrittografare e crittografare la macchina virtuale
Ripristino Non è possibile ripristinare una macchina virtuale crittografata se l'insieme di credenziali delle chiavi associato alla macchina in questione non esiste. Creare l'insieme di credenziali delle chiavi usando Introduzione all'insieme di credenziali delle chiavi di Azure. Se non sono presenti, per ripristinare chiavi e segreti consultare l'articolo Restore key vault key and secret using Azure Backup (Ripristinare chiavi e segreti dell'insieme di credenziali delle chiavi tramite Backup di Azure).
Ripristino Non è possibile ripristinare una macchina virtuale crittografata se chiavi e segreti associati con la macchina virtuale in questione non esistono. Se non sono presenti, per ripristinare chiavi e segreti consultare l'articolo Restore key vault key and secret using Azure Backup (Ripristinare chiavi e segreti dell'insieme di credenziali delle chiavi tramite Backup di Azure).
Ripristino Il servizio Backup non ha l'autorizzazione per accedere alle risorse nella sottoscrizione. Come indicato in precedenza, ripristinare prima di tutto i dischi seguendo la procedura illustrata nella sezione Ripristino dei dischi sottoposti a backup in Scelta di una configurazione di ripristino per la macchina virtuale. Successivamente usare PowerShell per creare una macchina virtuale dai dischi ripristinati.
Backup Il servizio Backup di Azure non possiede autorizzazioni sufficienti per Key Vault per il backup di macchine virtuali crittografate. La macchina virtuale deve essere crittografata mediante la chiave di crittografia BitLocker e la chiave di crittografia delle chiavi. In seguito, il backup deve essere abilitato. È necessario concedere queste autorizzazioni al servizio di backup seguendo la procedura illustrata nella sezione precedente oppure usando la procedura di PowerShell indicata nella sezione Abilitare la protezione della documentazione di PowerShell in Usare i cmdlet AzureRM.RecoveryServices.Backup per eseguire il backup delle macchine virtuali.