Bestanden herstellen vanuit de back-up van Azure-virtuele machine

Azure Backup biedt de mogelijkheid om virtuele Azure-machines (VM's) en schijven te herstellen vanuit back-ups van Azure-VM's, ook wel herstelpunten genoemd. In dit artikel wordt uitgelegd hoe u bestanden en mappen herstelt vanuit een back-up van een Azure-VM. Het herstellen van bestanden en mappen is alleen beschikbaar voor Azure-VM's die zijn geïmplementeerd met behulp van het Resource Manager-model en zijn beveiligd met een Recovery Services-kluis.

Notitie

Deze functie is beschikbaar voor Azure-VM's die zijn geïmplementeerd met behulp van Resource Manager-model en worden beveiligd met een Recovery Services-kluis. Bestandsherstel vanuit een versleutelde VM-back-up wordt niet ondersteund.

Werkstroom voor het herstellen van bestandsmaps

Stap 1: script genereren en downloaden om door bestanden te bladeren en deze te herstellen

Als u bestanden of mappen wilt herstellen vanaf het herstelpunt, gaat u naar de virtuele machine en voert u de volgende stappen uit:

  1. Meld u aan bij Azure Portal en selecteer virtuele machines in het linkerdeelvenster. Selecteer in de lijst met virtuele machines de virtuele machine om het dashboard van die virtuele machine te openen.

  2. Selecteer in het menu van de virtuele machine Back-up om het dashboard Back-up te openen.

    Back-upitem van Recovery Services-kluis openen

  3. Selecteer bestandsherstel in het menu Back-updashboard.

    Bestandsherstel selecteren32

    Het menu Bestandsherstel wordt geopend.

    Menu Bestandsherstel

  4. Selecteer in de vervolgkeuzelijst Herstelpunt selecteren het herstelpunt met de bestanden die u wilt. Standaard is het meest recente herstelpunt al geselecteerd.

  5. Selecteer Uitvoerbaar bestand downloaden (voor Windows Azure-VM's) of Script downloaden (voor Virtuele Linux Azure-VM's wordt een Python-script gegenereerd) om de software te downloaden die wordt gebruikt om bestanden te kopiëren van het herstelpunt.

    Uitvoerbaar bestand downloaden

    Azure downloadt het uitvoerbare bestand of het script naar de lokale computer.

    downloadbericht voor het uitvoerbare bestand of script

    Als u het uitvoerbare bestand of script als beheerder wilt uitvoeren, wordt u aangeraden het gedownloade bestand op uw computer op te slaan.

  6. Het uitvoerbare bestand of het script is beveiligd met een wachtwoord en vereist een wachtwoord. Selecteer in het menu Bestandsherstel de knop Kopiëren om het wachtwoord in het geheugen te laden.

    Gegenereerd wachtwoord

Stap 2: controleren of de machine voldoet aan de vereisten voordat u het script gaat uitvoeren

Nadat het script is gedownload, moet u ervoor zorgen dat u de juiste machine hebt om dit script uit te voeren. De VM waarop u het script wilt uitvoeren, mag geen van de volgende niet-ondersteunde configuraties hebben. Als dat zo is, kiest u bij voorkeur een alternatieve machine uit dezelfde regio die voldoet aan de vereisten.

Dynamische schijven

U kunt het uitvoerbare script niet uitvoeren op de virtuele machine met een van de volgende kenmerken: Kies een alternatieve machine

  • Volumes die meerdere schijven (spanned en striped volumes) omspannen.
  • Fouttolerante volumes (gespiegelde en RAID-5-volumes) op dynamische schijven.

Windows Opslagruimten

U kunt het gedownloade uitvoerbare bestand niet uitvoeren op dezelfde back-up van de VM als de back-up van de virtuele Windows Opslagruimten. Kies een alternatieve machine.

Back-ups van virtuele machines met grote schijven

Als de back-upmachine een groot aantal schijven (>16) of grote schijven (elk > 4 TB) heeft, wordt het niet aanbevolen om het script op dezelfde computer uit te voeren voor herstel, omdat dit een aanzienlijke invloed heeft op de virtuele machine. In plaats daarvan is het raadzaam om alleen een afzonderlijke VM te hebben voor bestandsherstel (Azure VM D2v3-VM's) en deze vervolgens af te sluiten wanneer dit niet nodig is.

Zie vereisten voor het herstellen van bestanden van virtuele VM's met een grote schijf met een back-up:
Windows OS
Linux-besturingssysteem

Nadat u de juiste computer hebt gekozen om het ILR-script uit te voeren, moet u ervoor zorgen dat deze voldoet aan de vereisten voor het besturingssysteem en de toegangsvereisten.

Stap 3: vereisten van het besturingssysteem om het script met succes uit te voeren

De VM waarop u het gedownloade script wilt uitvoeren, moet voldoen aan de volgende vereisten.

Voor Windows besturingssysteem

In de volgende tabel ziet u de compatibiliteit tussen server- en computerbesturingssystemen. Wanneer u bestanden herstelt, kunt u bestanden niet herstellen naar een eerdere of toekomstige versie van het besturingssysteem. U kunt bijvoorbeeld geen bestand herstellen van een Windows Server 2016 VM naar Windows Server 2012 of een Windows 8 computer. U kunt bestanden herstellen van een VM naar hetzelfde serverbesturingssysteem of naar het compatibele clientbesturingssysteem.

Server OS Compatibel client-besturingssysteem
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7

Voor Linux-besturingssysteem

In Linux moet het besturingssysteem van de computer die wordt gebruikt om bestanden te herstellen het bestandssysteem van de beveiligde virtuele machine ondersteunen. Wanneer u een computer selecteert om het script uit te voeren, moet u ervoor zorgen dat de computer een compatibel besturingssysteem heeft en een van de versies gebruikt die in de volgende tabel worden geïdentificeerd:

Linux-besturingssysteem Versies
Ubuntu 12.04 en hoger
CentOS 6.5 en hoger
RHEL 6.7 en hoger
Debian 7 en hoger
Oracle Linux 6.4 en hoger
SLES 12 en hoger
openSUSE 42.2 en hoger

Notitie

We hebben enkele problemen gevonden bij het uitvoeren van het script voor bestandsherstel op computers met het besturingssysteem SLES 12 SP4 en we onderzoeken dit met het SLES-team. Momenteel werkt het uitvoeren van het script voor bestandsherstel op computers met SLES 12 SP2- en SP3 OS-versies.

Voor het script zijn ook Python- en bash-onderdelen vereist om veilig uit te voeren en verbinding te maken met het herstelpunt.

Onderdeel Versie
bash 4 en hoger
python 2.6.6 en hoger
.NET 4.6.2 en hoger
TLS 1.2 moet worden ondersteund

Zorg er ook voor dat u de juiste computer hebt om het ILR-script uit te voeren en dat deze voldoet aan de toegangsvereisten.

Stap 4: toegangsvereisten om het script met succes uit te voeren

Als u het script op een computer met beperkte toegang wilt uitvoeren, controleert u of er toegang is tot:

  • download.microsoft.com of AzureFrontDoor.FirstParty servicetag in NSG op poort 443 (uitgaand)
  • Recovery Service-URL's (GEO-NAME) verwijzen naar de regio waarin de Recovery Services-kluis zich bevindt) op poort 3260 (uitgaand)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (Voor openbare Azure-regio's) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (Voor Azure China 21Vianet) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (Voor Azure US Government) of AzureBackup servicetag in NSG
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (Voor Azure Duitsland) of AzureBackup servicetag in NSG
  • Openbare DNS-resolutie op poort 53 (uitgaand)

Notitie

Mogelijk bieden proxies geen ondersteuning voor het iSCSI-protocol of geven ze toegang tot poort 3260. Daarom wordt het sterk aanbevolen om dit script uit te voeren op computers met directe toegang zoals hierboven vereist en niet op de computers die worden omgeleid naar proxy.

Notitie

Als de back-up van de VM Windows, wordt de geo-naam vermeld in het gegenereerde wachtwoord.

Als het gegenereerde wachtwoord bijvoorbeeld wordt ContosoVM_wcus_GUID, is de geo-naam wcus en is de URL: https://pod01-rec2.wcus.backup.windowsazure.com

Als de back-up van de VM Linux is, heeft het scriptbestand dat u in stap 1 hierboven hebt gedownload de geo-naam in de naam van het bestand. Gebruik die geonaam om de URL in te vullen. De gedownloade scriptnaam begint met: ' VMname ' _ ' geoname ' _ ' GUID ' .

Als de bestandsnaam van het script bijvoorbeeld ContosoVM_wcus_12345678, is de geo-naam wcus en is de URL: https://pod01-rec2.wcus.backup.windowsazure.com

Voor Linux zijn voor het script de onderdelen open-iscsi en lshw vereist om verbinding te maken met het herstelpunt. Als de onderdelen niet bestaan op de computer waarop het script wordt uitgevoerd, vraagt het script om toestemming om de onderdelen te installeren. Geef toestemming om de benodigde onderdelen te installeren.

De toegang tot is vereist voor het downloaden van onderdelen die worden gebruikt om een beveiligd kanaal te bouwen tussen de computer waarop het script wordt uitgevoerd en de download.microsoft.com gegevens in het herstelpunt.

Zorg er ook voor dat u de juiste computer hebt om het ILR-script uit te voeren en dat deze voldoet aan de besturingssysteemvereisten.

Stap 5: het script uitvoeren en volumes identificeren

Notitie

Het script wordt alleen in het Engels gegenereerd en is niet gelokaliseerd. Daarom kan het nodig zijn dat de systeemtaal in het Engels is om het script correct uit te voeren

Voor Windows

Nadat u voldoet aan alle vereisten die worden vermeld in stap 2,stap 3 en stap 4,kopieert u het script vanaf de gedownloade locatie (meestal de map Downloads). Zie Stap 1voor meer informatie over het genereren en downloaden van script . Klik met de rechtermuisknop op het uitvoerbare bestand en voer het uit met beheerdersreferenties. Wanneer u hier om wordt gevraagd, typt u het wachtwoord of plakt u het wachtwoord uit het geheugen en drukt u op Enter. Zodra het geldige wachtwoord is ingevoerd, maakt het script verbinding met het herstelpunt.

Uitvoerbare uitvoer

Wanneer u het uitvoerbare bestand uitvoert, worden de nieuwe volumes door het besturingssysteem bevestigd en worden er stationletters toegewezen. U kunt Windows Verkenner of Verkenner gebruiken om door deze stations te bladeren. De station letters toegewezen aan de volumes zijn mogelijk niet dezelfde letters als de oorspronkelijke virtuele machine. De volumenaam blijft echter behouden. Als het volume op de oorspronkelijke virtuele machine bijvoorbeeld 'Gegevensschijf (E: )' is, kan dat volume op de lokale computer worden gekoppeld als \ 'Gegevensschijf ('Elke letter': \ ). Blader door alle volumes die worden vermeld in de scriptuitvoer totdat u uw bestanden of map hebt gevonden.

Gekoppelde herstelvolumes

Voor VM's met een back-up met grote schijven (Windows)

Als het bestandsherstelproces vast loopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn bevestigd of als ze zijn bevestigd maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Zorg ervoor dat het besturingssysteem WS 2012 of hoger is.

  2. Zorg ervoor dat de registersleutels zijn ingesteld zoals hieronder wordt voorgesteld op de herstelserver en zorg ervoor dat u de server opnieuw opstart. Het getal naast de GUID kan variëren van 0001-0005. In het volgende voorbeeld is dit 0004. Navigeer door het pad naar de registersleutel tot aan de sectie parameters.

    Wijzigingen in registersleutels

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 1200 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 1200 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 1200 secs.

Voor Linux

Nadat u aan alle vereisten in stap 2, stap 3en stap 4 hebt voldaan, genereert u een Python-script voor Linux-machines. Zie Stap 1 voor meer informatie over het genereren en downloaden van een script. Download het script en kopieer het naar de relevante/compatibele Linux-server. Mogelijk moet u de machtigingen wijzigen om deze uit te voeren met chmod +x <python file name> . Voer vervolgens het Python-bestand uit met ./<python file name> .

In Linux worden de volumes van het herstelpunt aan de map waar het script wordt uitgevoerd, bevestigd. De gekoppelde schijven, volumes en de bijbehorende koppelpaden worden dienovereenkomstig weergegeven. Deze paden zijn zichtbaar voor gebruikers met toegang op hoofdniveau. Blader door de volumes die worden vermeld in de scriptuitvoer.

Menu Voor herstel van Linux-bestanden

Voor VM's met een back-up met grote schijven (Linux)**

Als het bestandsherstelproces vast loopt nadat u het script voor bestandsherstel hebt uitgevoerd (bijvoorbeeld als de schijven nooit zijn bevestigd of als ze zijn bevestigd maar de volumes niet worden weergegeven), voert u de volgende stappen uit:

  1. Wijzig in het bestand /etc/iscsi/iscsid.conf de instelling van:
    • node.conn[0].timeo.noop_out_timeout = 5 Aan node.conn[0].timeo.noop_out_timeout = 120
  2. Nadat u de bovenstaande wijzigingen hebt aangebracht, moet u het script opnieuw uitvoeren. Als er tijdelijke fouten zijn, moet u ervoor zorgen dat er een hiaat is van 20 tot 30 minuten tussen nieuwe pogingen om opeenvolgende bursts van aanvragen te voorkomen die van invloed zijn op de doelvoorbereiding. Dit interval tussen opnieuw uitvoeren zorgt ervoor dat het doel gereed is voor verbinding vanuit het script.
  3. Nadat het bestand is hersteld, gaat u terug naar de portal en selecteert u Schijven ontkoppelen voor herstelpunten waar u geen volumes kon aankoppelen. In wezen worden met deze stap alle bestaande processen/sessies opsschoond en wordt de kans op herstel vergroot.

LVM-/RAID-matrices (voor Linux-VM's)

In Linux worden LVM- (Logical Volume Manager) en/of software-RAID-matrices gebruikt voor het beheren van logische volumes op meerdere schijven. Als de beveiligde Linux-VM gebruikmaakt van LVM- en/of RAID-matrices, kunt u het script niet uitvoeren op dezelfde VM.
Voer in plaats daarvan het script uit op een andere computer met een compatibel besturingssysteem en dat ondersteuning biedt voor het bestandssysteem van de beveiligde VM.
In de volgende scriptuitvoer worden de LVM- en/of RAID-matrices en de volumes met het partitietype weergegeven.

Linux LVM-uitvoermenu

Als u deze partities online wilt brengen, voert u de opdrachten uit in de volgende secties.

Voor LVM-partities

Zodra het script is uitgevoerd, worden de LVM-partities aan de fysieke volumes/schijven die zijn opgegeven in de scriptuitvoer, bevestigd. Het proces bestaat uit het

  1. De unieke lijst met volumegroepnamen van de fysieke volumes of schijven op te halen
  2. Vermeld vervolgens de logische volumes in deze volumegroepen
  3. Vervolgens worden de logische volumes aan een gewenst pad bevestigd.
Namen van volumegroep van fysieke volumes in een lijst bekijken

De namen van de volumegroep weer te geven:

pvs -o +vguuid

Met deze opdracht worden alle fysieke volumes weergegeven (inclusief de volumes die aanwezig zijn voordat het script wordt uitgevoerd), de bijbehorende volumegroepnamen en de unieke gebruikers-ID's (UUID's) van de volumegroep. Hieronder wordt een voorbeelduitvoer van de opdracht weergegeven.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

De eerste kolom (PV) toont het fysieke volume, de volgende kolommen tonen de relevante volumegroepnaam, -indeling, -kenmerken, grootte, vrije ruimte en de unieke id van de volumegroep. De uitvoer van de opdracht toont alle fysieke volumes. Raadpleeg de scriptuitvoer en identificeer de volumes die betrekking hebben op de back-up. In het bovenstaande voorbeeld zou de scriptuitvoer /dev/sdf en /dev/sdd hebben weergegeven. En dus behoort de datavg_db volumegroep tot het script en de Appvg_new volumegroep behoort tot de machine. Het laatste idee is om ervoor te zorgen dat een unieke volumegroepnaam één unieke id moet hebben.

Dubbele volumegroepen

Er zijn scenario's waarin volumegroepnamen twee UUID's kunnen hebben nadat het script is uitgevoerd. Dit betekent dat de namen van de volumegroep op de computer waarop het script wordt uitgevoerd en in de back-up van de VM hetzelfde zijn. Vervolgens moeten we de naam wijzigen van de VM-volumegroepen met back-up. Bekijk het onderstaande voorbeeld.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

De scriptuitvoer zou /dev/sdg, /dev/sdh, /dev/sdm2 als gekoppeld hebben weergegeven. De bijbehorende VG-namen zijn dus Appvg_new rootvg. Maar dezelfde namen zijn ook aanwezig in de VG-lijst van de machine. We kunnen controleren of één VG-naam twee UUID's heeft.

Nu moeten we de namen van VG's wijzigen voor op scripts gebaseerde volumes, bijvoorbeeld: /dev/sdg, /dev/sdh, /dev/sdm2. Als u de naam van de volumegroep wilt wijzigen, gebruikt u de volgende opdracht

vgimportclone -n rootvg_new /dev/sdm2
vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Nu hebben we alle VG-namen met unieke ID's.

Actieve volumegroepen

Zorg ervoor dat de volumegroepen die overeenkomen met de scriptvolumes actief zijn. De volgende opdracht wordt gebruikt om actieve volumegroepen weer te geven. Controleer of de gerelateerde volumegroepen van het script in deze lijst staan.

vgdisplay -a

Activeer anders de volumegroep met behulp van de volgende opdracht.

#!/bin/bash
vgchange –a y  <volume-group-name>
Logische volumes binnen volumegroepen in een lijst bekijken

Zodra we de unieke, actieve lijst met VG's met betrekking tot het script hebben, kunnen de logische volumes in deze volumegroepen worden weergegeven met behulp van de volgende opdracht.

#!/bin/bash
lvdisplay <volume-group-name>

Met deze opdracht wordt het pad van elk logisch volume weergegeven als 'LV-pad'.

Logische volumes aan elkaar monteren

De logische volumes aan het pad van uw keuze te monteren:

#!/bin/bash
mount <LV path from the lvdisplay cmd results> </mountpath>

Waarschuwing

Gebruik geen 'mount -a'. Met deze opdracht worden alle apparaten die worden beschreven in '/etc/fstab' bevestigd. Dit kan betekenen dat dubbele apparaten kunnen worden aangesloten. Gegevens kunnen worden omgeleid naar apparaten die zijn gemaakt met een script, die de gegevens niet persistent maken, wat kan leiden tot gegevensverlies.

Voor RAID-matrices

De volgende opdracht geeft details weer over alle raid-schijven:

#!/bin/bash
mdadm –detail –scan

De relevante RAID-schijf wordt weergegeven als /dev/mdm/<RAID array name in the protected VM>

Gebruik de opdracht voor het monteren als de RAID-schijf fysieke volumes heeft:

#!/bin/bash
mount [RAID Disk Path] [/mountpath]

Als op de RAID-schijf een andere LVM is geconfigureerd, gebruikt u de vorige procedure voor LVM-partities, maar gebruikt u de volumenaam in plaats van de naam van de RAID-schijf.

Stap 6: de verbinding sluiten

Nadat u de bestanden hebt identificeren en naar een lokale opslaglocatie hebt kopieert, verwijdert (of ontkoppelt) u de extra stations. Als u de stations wilt ontkoppelen, selecteert u in het menu Bestandsherstel in Azure Portal selecteert u Schijven ontkoppelen.

Schijven ontkoppelen

Zodra de schijven zijn ontkoppeld, ontvangt u een bericht. Het kan enkele minuten duren voordat de verbinding is vernieuwd, zodat u de schijven kunt verwijderen.

In Linux worden de bijbehorende koppelingspaden niet automatisch verwijderd nadat de verbinding met het herstelpunt is vereenigd. De mount paden bestaan als 'zwevende' volumes en zijn zichtbaar, maar er wordt een foutmelding weergegeven wanneer u de bestanden gaat openen/schrijven. Ze kunnen handmatig worden verwijderd. Het script identificeert, wanneer het wordt uitgevoerd, alle bestaande volumes van eerdere herstelpunten en schoont ze op na toestemming.

Notitie

Zorg ervoor dat de verbinding wordt gesloten nadat de vereiste bestanden zijn hersteld. Dit is belangrijk, met name in het scenario waarin de machine waarin het script wordt uitgevoerd, ook is geconfigureerd voor back-up. Als de verbinding nog steeds is geopend, kan de volgende back-up mislukken met de fout 'UserErrorUnableToOpenMount'. Dit komt doordat ervan wordt uitgegaan dat de gemonteerde stations/volumes beschikbaar zijn en wanneer ze worden gebruikt, ze mogelijk mislukken omdat de onderliggende opslag, dat wil zeggen, de iSCSI-doelserver mogelijk niet beschikbaar is. Als u de verbinding opschoont, worden deze stations/volumes verwijderd en zijn ze dus niet beschikbaar tijdens de back-up.

Beveiliging

In deze sectie worden de verschillende beveiligingsmaatregelen besproken voor de implementatie van bestandsherstel vanuit back-ups van Azure-VM's.

Functiestroom

Deze functie is gebouwd om toegang te krijgen tot de VM-gegevens zonder dat de volledige VM- of VM-schijven hoeven te worden hersteld en met het minimale aantal stappen. Toegang tot VM-gegevens wordt geboden door een script (waarmee het herstelvolume wordt bevestigd wanneer dit wordt uitgevoerd zoals hieronder wordt weergegeven) en vormt de hoeksteen van alle beveiligings implementaties:

Beveiligingsfunctie Flow

Beveiligings implementaties

Selecteer Herstelpunt (wie kan script genereren)

Het script biedt toegang tot VM-gegevens, dus het is belangrijk om te regelen wie deze in de eerste plaats kan genereren. U moet zich aanmelden bij de Azure Portal azure RBAC gemachtigd zijn om het script te genereren.

Bestandsherstel heeft hetzelfde autorisatieniveau nodig als is vereist voor het herstellen van VM's en het herstellen van schijven. Met andere woorden, alleen geautoriseerde gebruikers kunnen de VM-gegevens bekijken om het script te genereren.

Het gegenereerde script is ondertekend met het officiële Microsoft-certificaat voor de Azure Backup service. Als er met het script wordt geknoeid, wordt de handtekening verbroken en wordt elke poging om het script uit te voeren gemarkeerd als een mogelijk risico voor het besturingssysteem.

Herstelvolume (wie kan script uitvoeren)

Alleen een beheerder kan het script uitvoeren en het moet worden uitgevoerd in de modus met verhoogde rechten. Het script voert alleen een vooraf gegenereerde set stappen uit en accepteert geen invoer van een externe bron.

Als u het script wilt uitvoeren, is een wachtwoord vereist dat alleen wordt weergegeven aan de geautoriseerde gebruiker op het moment van het genereren van het script in de Azure Portal of PowerShell/CLI. Dit is om ervoor te zorgen dat de geautoriseerde gebruiker die het script downloadt ook verantwoordelijk is voor het uitvoeren van het script.

Door bestanden en mappen bladeren

Om door bestanden en mappen te bladeren, gebruikt het script de iSCSI-initiator op de computer en maakt het verbinding met het herstelpunt dat is geconfigureerd als een iSCSI-doel. Hier kunt u zich scenario's voorstellen waarbij een van beide/alle onderdelen probeert te vervalsen/vervalsen.

We gebruiken een wederzijdse CHAP-verificatiemethode, zodat elk onderdeel het andere verifieert. Dit betekent dat het zeer moeilijk is voor een valse initiator om verbinding te maken met het iSCSI-doel en om een valse doel te verbinden met de computer waarop het script wordt uitgevoerd.

De gegevensstroom tussen de herstelservice en de machine wordt beveiligd door het bouwen van een beveiligde TLS-tunnel via TCP(TLS 1.2 moet worden ondersteund op de computer waarop het script wordt uitgevoerd).

Alle bestands Access Control lijst (ACL) die aanwezig is in de bovenliggende/back-up van de VM, blijft ook behouden in het aan elkaar geplaatste bestandssysteem.

Het script biedt alleen-lezentoegang tot een herstelpunt en is slechts 12 uur geldig. Als u de toegang eerder wilt verwijderen, moet u zich aanmelden bij Azure Portal/PowerShell/CLI en schijven ontkoppelen voor dat specifieke herstelpunt. Het script wordt onmiddellijk ongeldig gemaakt.

Volgende stappen