Backup e ripristino di macchine virtuali crittografate con Backup di AzureBack up and restore encrypted virtual machines with Azure Backup

Questo articolo illustra i passaggi per eseguire il backup e il ripristino di macchine virtuali tramite Backup di Azure.This article talks about the steps to back up and restore virtual machines (VMs) by using Azure Backup. L'articolo contiene anche informazioni sugli scenari supportati, sui prerequisiti e sui passaggi per la risoluzione dei problemi per i casi di errore.It also provides details about supported scenarios, prerequisites, and troubleshooting steps for error cases.

Scenari supportatiSupported scenarios

  • Il backup e il ripristino di macchine virtuali crittografate sono supportati solo per le macchine virtuali che usano il modello di distribuzione Azure Resource Manager,Backup and restore of encrypted VMs is supported only for VMs that use the Azure Resource Manager deployment model. ma non per macchine virtuali che usano il modello di distribuzione classica.It's not supported for VMs that use the classic deployment model.
  • Il backup e il ripristino di macchine virtuali crittografate sono supportati per macchine virtuali Windows e Linux che usano Crittografia dischi di Azure.Backup and restore of encrypted VMs is supported for both Windows and Linux VMs that use Azure Disk Encryption. Crittografia dischi usa la funzionalità BitLocker standard di settore di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia dei dischi.Disk Encryption uses the industry standard BitLocker feature of Windows and the dm-crypt feature of Linux to provide encryption of disks.

    La tabella seguente illustra gli scenari supportati per le macchine virtuali crittografate solo con la chiave di crittografia BitLocker (BEK) e con la chiave di crittografia della chiave (KEK).The following table shows supported scenarios for BitLocker encryption key (BEK)-only and key encryption key (KEK)-encrypted VMs:

VM con BEK + KEKBEK + KEK VMs Macchine virtuali solo con crittografia BEKBEK-only VMs
Macchine virtuali non gestiteNonmanaged VMs Yes Yes
Macchine virtuali gestiteManaged VMs Yes Yes

PrerequisitiPrerequisites

Backup di una macchina virtuale crittografataBackup-encrypted VM

Per impostare l'obiettivo di un backup, definire i criteri, configurare gli elementi e attivare un backup, seguire questa procedura.Use the following steps to set a backup goal, define a policy, configure items, and trigger a backup.

Configurare il backupConfigure backup

  1. Se l'insieme di credenziali di Servizi di ripristino è già aperto, procedere al passaggio successivo.If you already have a Recovery Services vault open, proceed to the next step. Se non è presente un insieme di credenziali di Servizi di ripristino aperto, ma si opera nel portale di Azure, nel menu Hub selezionare Sfoglia.If you don't have a Recovery Services vault open but you're in the Azure portal, on the Hub menu, select Browse.

    a.a. Nell'elenco di risorse digitare Servizi di ripristino.In the list of resources, type Recovery Services.

    b.b. Non appena si inizia a digitare, l'elenco viene filtrato in base all'input.As you begin typing, the list filters based on your input. Quando viene visualizzato Insiemi di credenziali dei servizi di ripristino, selezionare questa opzione.When you see Recovery Services vaults, select it.

    Insieme di credenziali dei servizi di ripristino

    c.c. Viene visualizzato l'elenco di insiemi di credenziali dei servizi di ripristino.The list of Recovery Services vaults appears. Selezionare un insieme di credenziali nell'elenco.Select a vault from the list.

    Viene aperto il dashboard dell'insieme di credenziali selezionato.The selected vault dashboard opens.

  2. Nell'elenco di elementi visualizzato sotto l'insieme di credenziali, selezionare Backup per avviare il backup della macchina virtuale crittografata.From the list of items that appears under the vault, select Backup to start backing up the encrypted VM.

    Pannello Backup

  3. Nel riquadro Backup selezionare Obiettivo del backup.On the Backup tile, select Backup goal.

    Pannello Scenario

  4. In Posizione di esecuzione del carico di lavoro selezionare Azure.Under Where is your workload running?, select Azure. In Elementi di cui eseguire il backup selezionare Macchina virtuale.Under What do you want to backup?, select Virtual machine. Selezionare OK.Then select OK.

    Pannello Scenario aperto

  5. In Scegliere i criteri di backup selezionare i criteri da applicare all'insieme di credenziali.Under Choose backup policy, select the backup policy you want to apply to the vault. Selezionare OK.Then select OK.

    Selezionare il criterio di backup

    Vengono elencati i dettagli dei criteri predefiniti.The details of the default policy are listed. Per creare un criterio, selezionare Crea nuovo nell'elenco a discesa.If you want to create a policy, select Create New from the drop-down list. Dopo aver selezionato OK, i criteri di backup vengono associati con l'insieme di credenziali.After you select OK, the backup policy is associated with the vault.

  6. Scegliere le macchine virtuali crittografate da associare con i criteri specificati e quindi selezionare OK.Choose the encrypted VMs to associate with the specified policy, and select OK.

    Selezionare le macchine virtuali crittografate

  7. In questa pagina viene visualizzato un messaggio sull'insieme di credenziali delle chiavi associato alle macchine virtuali crittografate selezionate.This page shows a message about key vaults associated to the encrypted VMs you selected. Il servizio Backup richiede l'accesso in sola lettura per le chiavi e i segreti in Key Vault.Backup requires read-only access to the keys and secrets in the key vault. Il servizio usa queste autorizzazioni per eseguire il backup di chiavi e segreti, nonché delle macchine virtuali associate.It uses these permissions to back up the keys and secrets, along with the associated VMs. Per consentire il funzionamento dei backup, è necessario concedere le autorizzazioni al servizio Backup per l'accesso a Key Vault.You must provide permissions to the backup service to access the key vault for backups to work. Per concedere queste autorizzazioni, seguire la procedura descritta nella sezione seguente.You can provide these permissions by following the steps mentioned in the following section.

    Messaggio delle macchine virtuali crittografate

    Dopo avere definito tutte le impostazioni per l'insieme di credenziali, selezionare Abilita backup nella parte inferiore della pagina.Now that you have defined all settings for the vault, select Enable Backup at the bottom of the page. Abilita backup consente di distribuire i criteri nell'insieme di credenziali e nelle macchine virtuali.Enable Backup deploys the policy to the vault and the VMs.

  8. La fase successiva di preparazione è l'installazione dell'agente di macchine virtuali o la verifica che l'agente di macchine virtuali sia installato.The next phase in preparation is installing the VM Agent or making sure the VM Agent is installed. Per eseguire la stessa operazione, seguire la procedura descritta in Preparare l'ambiente per il backup.To do the same, follow the steps in Prepare your environment for backup.

Attivare un processo di backupTrigger a backup job

Seguire la procedura descritta in Backup di macchine virtuali di Azure in un insieme di credenziali di Servizi di ripristino per attivare un processo di backup.Follow the steps in Backup Azure VMs to a Recovery Services vault to trigger a backup job.

Continuare i backup delle macchine virtuali per cui l'operazione è già stata eseguita con la crittografia abilitataContinue backups of already backed-up VMs with encryption enabled

Se sono presenti macchine virtuali per cui è già stato eseguito il backup in un insieme di credenziali di Servizi di ripristino e abilitate per la crittografia in un secondo momento, per continuare l'esecuzione dei backup è necessario concedere al servizio Backup le autorizzazioni per accedere a Key Vault.If you have VMs already being backed up in a Recovery Services vault that are enabled for encryption later, you must give permissions to Backup to access the key vault for backups to continue. Per concedere queste autorizzazioni, seguire la procedura descritta nella sezione seguente.You can provide these permissions by following the steps in the following section. In alternativa è possibile seguire la procedura di PowerShell nella sezione per l'abilitazione del backup nella documentazione di PowerShell.Or you can follow the PowerShell steps in the "Enable backup" section of the PowerShell documentation.

Concedere le autorizzazioni al servizio BackupProvide permissions to Backup

Seguire questa procedura per concedere le autorizzazioni rilevanti al servizio Backup per l'accesso a Key Vault e l'esecuzione del backup delle macchine virtuali crittografate.Use the following steps to provide relevant permissions to Backup to access the key vault and perform backup of encrypted VMs.

  1. Selezionare Altri servizi e cercare Insiemi di credenziali delle chiavi.Select More services, and search for Key vaults.

    Key Vault

  2. Nell'elenco di Key Vault selezionare l'insieme associato alla macchina virtuale crittografata di cui deve essere eseguito il backup.From the list of key vaults, select the key vault associated with the encrypted VM that needs to be backed up.

    Selezione di Key Vault

  3. Selezionare Criteri di accesso e quindi selezionare Aggiungi nuovo.Select Access policies, and then select Add new.

    Aggiungi nuovo

  4. Selezionare Selezionare un'entità e quindi digitare servizio di gestione backup nella casella di ricerca.Select Select principal, and then type Backup Management Service in the search box.

    Ricerca del servizio di backup

  5. Selezionare Backup Management Service (Servizio di gestione backup) e quindi selezionare Seleziona.Select Backup Management Service, and then select Select.

    Selezione del servizio di backup

  6. In Configura dal modello (facoltativo) selezionare Backup di Azure.Under Configure from template (optional), select Azure Backup. Le autorizzazioni necessarie sono precompilate per Autorizzazioni chiave e Autorizzazioni segrete.The required permissions are prefilled for Key permissions and Secret permissions. Se la macchina virtuale viene crittografata usando solo la chiave BEK, sono necessarie le autorizzazioni solo per i segreti ed è quindi necessario rimuovere la selezione per Autorizzazioni chiave.If your VM is encrypted by using BEK only, permissions only for secrets are required, so you must remove the selection for Key permissions.

    Selezione di Backup di Azure

  7. Selezionare OK.Select OK. Si noti che la voce Backup Management Service (Servizio di gestione backup) è stata aggiunta in Criteri di accesso.Notice that Backup Management Service gets added in Access policies.

    Criteri di accesso

  8. Selezionare Salva per concedere le autorizzazioni necessarie al servizio Backup.Select Save to give the required permissions to Backup.

    Criteri di accesso per il backup

Dopo avere concesso le autorizzazioni, è possibile procedere con l'abilitazione del backup per le macchine virtuali crittografate.After permissions are successfully provided, you can proceed with enabling backup for encrypted VMs.

Ripristinare una macchina virtuale crittografataRestore an encrypted VM

Per ripristinare una macchina virtuale crittografata, ripristinare prima i dischi seguendo la procedura descritta nella sezione "Ripristinare i dischi di cui è stato eseguito il backup" in Scelta di una configurazione di ripristino per la macchina virtuale.To restore an encrypted VM, first restore disks by following the steps in the "Restore backed-up disks" section in Choose a VM restore configuration. È possibile quindi usare una delle opzioni seguenti:After that, you can use one of the following options:

Risoluzione dei problemiTroubleshooting errors

OperazioneOperation Dettagli erroreError details RisoluzioneResolution
BackupBackup Il servizio Backup non dispone delle autorizzazioni sufficienti per Accedere a Key Vault per il backup di macchine virtuali crittografate.Backup doesn't have sufficient permissions to the key vault for backup of encrypted VMs. Al servizio Backup devono essere concesse queste autorizzazioni seguendo la procedura descritta nella sezione precedente.Backup should be provided these permissions by following the steps in the previous section. Oppure è possibile seguire la procedura di PowerShell nella sezione per abilitare la protezione della documentazione di PowerShell Usare i cmdlet AzureRM.RecoveryServices.Backup per eseguire il backup di macchine virtuali.Or you can follow the PowerShell steps in the "Enable protection" section of the PowerShell documentation at Use AzureRM.RecoveryServices.Backup cmdlets to back up virtual machines.
RipristinoRestore Non è possibile ripristinare questa macchina virtuale crittografata perché il Key Vault associato alla macchina non esiste.You can't restore this encrypted VM because the key vault associated with this VM doesn't exist. Creare un Key Vault come descritto in Introduzione all'insieme di credenziali delle chiavi di Azure.Create a key vault by using Get started with Azure Key Vault. Vedere Ripristinare la chiave dell'insieme di credenziali delle chiavi e il segreto per le macchine virtuali crittografate con Backup di Azure per ripristinare una chiave e un segreto, se non sono presenti.See Restore a key vault key and a secret by using Azure Backup to restore a key and a secret if they aren't present.
RipristinoRestore Non è possibile ripristinare questa macchina virtuale crittografata perché la chiave e il segreto associati non esistono.You can't restore this encrypted VM because the key and the secret associated with this VM don't exist. Vedere Ripristinare la chiave dell'insieme di credenziali delle chiavi e il segreto per le macchine virtuali crittografate con Backup di Azure per ripristinare una chiave e un segreto, se non sono presenti.See Restore a key vault key and a secret by using Azure Backup to restore a key and a secret if they aren't present.
RipristinoRestore Il servizio Backup non dispone dell'autorizzazione per accedere alle risorse nella sottoscrizione dell'utente.Backup doesn't have the authorization to access resources in your subscription. Come accennato in precedenza, ripristinare prima i dischi seguendo la procedura descritta nella sezione "Ripristinare i dischi di cui è stato eseguito il backup" in Scegliere una configurazione di ripristino per la macchina virtuale.As mentioned previously, restore disks first by following the steps in the "Restore backed-up disks" section in Choose a VM restore configuration. Usare quindi PowerShell per creare una macchina virtuale da dischi ripristinati.After that, use PowerShell to create a VM from restored disks.