Tworzenie kopii zapasowych i przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

W tym artykule opisano sposób tworzenia kopii zapasowej i przywracania maszyn wirtualnych platformy Azure z systemem Windows lub Linux za pomocą zaszyfrowanych dysków przy użyciu usługi Azure Backup . Aby uzyskać więcej informacji, zobacz Szyfrowanie kopii zapasowych maszyn wirtualnych platformy Azure.

Szyfrowanie przy użyciu kluczy zarządzanych przez platformę

Domyślnie wszystkie dyski na maszynach wirtualnych są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę (PMK), które używają szyfrowania usługi magazynu. Możesz utworzyć kopię zapasową tych maszyn wirtualnych przy użyciu usługi Azure Backup bez żadnych konkretnych akcji wymaganych do obsługi szyfrowania na końcu. Aby uzyskać więcej informacji na temat szyfrowania za pomocą kluczy zarządzanych przez platformę, zobacz ten artykuł.

Szyfrowanie przy użyciu kluczy zarządzanych przez klienta

Podczas szyfrowania dysków przy użyciu kluczy zarządzanych przez klienta (CMK) klucz używany do szyfrowania dysków jest przechowywany w usłudze Azure Key Vault i jest zarządzany przez Ciebie. Szyfrowanie usługi Storage (SSE) przy użyciu klucza zarządzanego przez klienta różni się od szyfrowania usługi Azure Disk Encryption (ADE). Program ADE używa narzędzi szyfrowania systemu operacyjnego. Funkcja SSE szyfruje dane w usłudze magazynu, umożliwiając korzystanie z dowolnego systemu operacyjnego lub obrazów dla maszyn wirtualnych.

Nie musisz wykonywać żadnych jawnych akcji tworzenia kopii zapasowych ani przywracania maszyn wirtualnych, które używają kluczy zarządzanych przez klienta do szyfrowania dysków. Dane kopii zapasowej dla tych maszyn wirtualnych przechowywanych w magazynie będą szyfrowane przy użyciu tych samych metod, co szyfrowanie używane w magazynie.

Aby uzyskać więcej informacji na temat szyfrowania dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta, zobacz ten artykuł.

Obsługa szyfrowania przy użyciu usługi ADE

Usługa Azure Backup obsługuje tworzenie kopii zapasowych maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego/danych zaszyfrowane za pomocą usługi Azure Disk Encryption (ADE). Program ADE używa funkcji BitLocker do szyfrowania maszyn wirtualnych z systemem Windows oraz funkcji dm-crypt dla maszyn wirtualnych z systemem Linux. Usługa ADE integruje się z usługą Azure Key Vault w celu zarządzania kluczami i wpisami tajnymi szyfrowania dysków. Klucze szyfrowania kluczy usługi Key Vault (KEKs) mogą służyć do dodawania dodatkowej warstwy zabezpieczeń, szyfrowania wpisów tajnych szyfrowania przed zapisaniem ich w usłudze Key Vault.

Usługa Azure Backup może tworzyć kopie zapasowe i przywracać maszyny wirtualne platformy Azure przy użyciu usługi ADE z aplikacją Microsoft Entra i bez jej użycia, jak podsumowano w poniższej tabeli.

Typ dysku maszyny wirtualnej	ADE (BEK/dm-crypt)	ADE i KEK
Niezarządzanych	Tak	Tak
Zarządzany	Tak	Tak

• Dowiedz się więcej o programach ADE, Key Vault i KEKs.
• Przeczytaj często zadawane pytania dotyczące szyfrowania dysków maszyny wirtualnej platformy Azure.

Ograniczenia

• Możesz tworzyć kopie zapasowe i przywracać zaszyfrowane maszyny wirtualne programu ADE w ramach tej samej subskrypcji.
• Usługa Azure Backup obsługuje maszyny wirtualne szyfrowane przy użyciu kluczy autonomicznych. Każdy klucz, który jest częścią certyfikatu używanego do szyfrowania maszyny wirtualnej, nie jest obecnie obsługiwany.
• Usługa Azure Backup obsługuje przywracanie między regionami zaszyfrowanych maszyn wirtualnych platformy Azure do sparowanych regionów platformy Azure. Aby uzyskać więcej informacji, zobacz macierz obsługi.
• Nie można odzyskać zaszyfrowanych maszyn wirtualnych programu ADE na poziomie pliku/folderu. Aby przywrócić pliki i foldery, musisz odzyskać całą maszynę wirtualną.
• Podczas przywracania maszyny wirtualnej nie można użyć opcji zamiany istniejącej maszyny wirtualnej dla zaszyfrowanych maszyn wirtualnych programu ADE. Ta opcja jest obsługiwana tylko w przypadku niezaszyfrowanych dysków zarządzanych.

Przed rozpoczęciem

Przed rozpoczęciem wykonaj następujące czynności:

1. Upewnij się, że masz co najmniej jedną maszynę wirtualną z systemem Windows lub Linux z włączoną funkcją ADE.
2. Zapoznaj się z macierzą obsługi kopii zapasowej maszyny wirtualnej platformy Azure
3. Utwórz magazyn usługi Recovery Services Backup, jeśli go nie masz.
4. Jeśli włączysz szyfrowanie dla maszyn wirtualnych, które są już włączone na potrzeby tworzenia kopii zapasowych, po prostu musisz zapewnić usłudze Backup uprawnienia dostępu do usługi Key Vault, aby kopie zapasowe mogły być kontynuowane bez zakłóceń. Dowiedz się więcej na temat przypisywania tych uprawnień.

Ponadto istnieje kilka czynności, które mogą być konieczne w pewnych okolicznościach:

• Zainstaluj agenta maszyny wirtualnej na maszynie wirtualnej: usługa Azure Backup tworzy kopie zapasowe maszyn wirtualnych platformy Azure, instalując rozszerzenie agenta maszyny wirtualnej platformy Azure uruchomionego na maszynie. Jeśli maszyna wirtualna została utworzona na podstawie obrazu witryny Azure Marketplace, agent jest zainstalowany i uruchomiony. Jeśli tworzysz niestandardową maszynę wirtualną lub migrujesz maszynę lokalną, może być konieczne ręczne zainstalowanie agenta.

Konfigurowanie zasad kopii zapasowych

1. Jeśli nie utworzono jeszcze magazynu kopii zapasowych usługi Recovery Services, postępuj zgodnie z tymi instrukcjami.

2. Przejdź do centrum kopii zapasowej i kliknij pozycję +Kopia zapasowa na karcie Przegląd

   

3. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wybierz utworzony magazyn, a następnie kliknij przycisk Kontynuuj.

   

4. Wybierz zasady, które chcesz skojarzyć z magazynem, a następnie wybierz przycisk OK.

   • Zasady tworzenia kopii zapasowych określają, kiedy są wykonywane kopie zapasowe i jak długo są przechowywane.
   • Szczegóły domyślnych zasad znajdują się w menu rozwijanym.

   

5. Jeśli nie chcesz używać zasad domyślnych, wybierz pozycję Utwórz nową i utwórz zasady niestandardowe.

6. W obszarze Maszyny wirtualne wybierz pozycję Dodaj.

   

7. Wybierz zaszyfrowane maszyny wirtualne, których kopię zapasową chcesz utworzyć przy użyciu wybranych zasad, a następnie wybierz przycisk OK.

   

8. Jeśli używasz usługi Azure Key Vault, na stronie magazynu zobaczysz komunikat, że usługa Azure Backup potrzebuje dostępu tylko do odczytu do kluczy i wpisów tajnych w usłudze Key Vault.

   • Jeśli zostanie wyświetlony ten komunikat, nie jest wymagana żadna akcja.

     

   • Jeśli zostanie wyświetlony ten komunikat, musisz ustawić uprawnienia zgodnie z opisem w poniższej procedurze.

     

9. Wybierz pozycję Włącz kopię zapasową , aby wdrożyć zasady kopii zapasowej w magazynie, i włącz kopię zapasową dla wybranych maszyn wirtualnych.

Tworzenie kopii zapasowych zaszyfrowanych maszyn wirtualnych programu ADE przy użyciu magazynów kluczy z włączoną kontrolą dostępu opartej na rolach

Aby umożliwić tworzenie kopii zapasowych dla zaszyfrowanych maszyn wirtualnych ADE przy użyciu magazynów kluczy z włączoną kontrolą dostępu na podstawie ról platformy Azure, należy przypisać rolę Administracja istrator usługi Key Vault do aplikacji Microsoft Entra usługi zarządzania kopiami zapasowymi, dodając przypisanie roli w kontroli dostępu do magazynu kluczy.

Dowiedz się więcej o różnych dostępnych rolach. Rola Administracja istratora usługi Key Vault może zezwalać na uzyskiwanie, wyświetlanie listy i tworzenie kopii zapasowej zarówno wpisu tajnego, jak i klucza.

W przypadku magazynów kluczy z włączoną kontrolą dostępu opartą na rolach platformy Azure można utworzyć rolę niestandardową z następującym zestawem uprawnień. Dowiedz się , jak utworzyć rolę niestandardową.

Czynność	opis
Microsoft.KeyVault/vaults/keys/backup/action	Tworzy plik kopii zapasowej klucza.
Microsoft.KeyVault/vaults/secrets/backup/action	Tworzy plik kopii zapasowej wpisu tajnego.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Pobiera wartość wpisu tajnego.
Microsoft.KeyVault/vaults/keys/read	Wyświetlanie listy kluczy w określonym magazynie lub odczytywanie właściwości i materiałów publicznych.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Wyświetl lub wyświetl właściwości wpisu tajnego, ale nie jego wartości.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Wyzwalanie zadania tworzenia kopii zapasowej

Początkowa kopia zapasowa zostanie uruchomiona zgodnie z harmonogramem, ale można ją uruchomić natychmiast w następujący sposób:

1. Przejdź do centrum kopii zapasowej i wybierz element menu Wystąpienia kopii zapasowej.
2. Wybierz pozycję Maszyny wirtualne platformy Azure jako typ źródła danych i wyszukaj maszynę wirtualną skonfigurowaną do tworzenia kopii zapasowej.
3. Kliknij prawym przyciskiem myszy odpowiedni wiersz lub wybierz więcej ikon (...), a następnie kliknij pozycję Utwórz kopię zapasową teraz.
4. W obszarze Utwórz kopię zapasową teraz użyj kontrolki kalendarza, aby wybrać ostatni dzień przechowywania punktu odzyskiwania. Następnie wybierz Ok.
5. Monitoruj powiadomienia portalu. Aby monitorować postęp zadania, przejdź do obszaru Zadania kopii zapasowej centrum>kopii zapasowej i przefiltruj listę zadań W toku. W zależności od rozmiaru maszyny wirtualnej tworzenie początkowej kopii zapasowej może potrwać pewien czas.

Podaj uprawnienia

Usługa Azure Backup wymaga dostępu tylko do odczytu w celu tworzenia kopii zapasowych kluczy i wpisów tajnych wraz ze skojarzonymi maszynami wirtualnymi.

• Usługa Key Vault jest skojarzona z dzierżawą usługi Microsoft Entra subskrypcji platformy Azure. Jeśli jesteś użytkownikiem członkowskim, usługa Azure Backup uzyskuje dostęp do usługi Key Vault bez dalszych działań.
• Jeśli jesteś użytkownikiem-gościem, musisz podać uprawnienia do usługi Azure Backup, aby uzyskać dostęp do magazynu kluczy. Aby skonfigurować kopię zapasową dla zaszyfrowanych maszyn wirtualnych, musisz mieć dostęp do magazynów kluczy.

Aby zapewnić uprawnienia kontroli dostępu opartej na rolach platformy Azure w usłudze Key Vault, zobacz ten artykuł.

Aby ustawić uprawnienia:

1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi i wyszukaj pozycję Magazyny kluczy.

2. Wybierz magazyn kluczy skojarzony z zaszyfrowaną maszyną wirtualną, której kopię zapasową chcesz utworzyć.

   Napiwek

   Aby zidentyfikować skojarzony magazyn kluczy maszyny wirtualnej, użyj następującego polecenia programu PowerShell. Zastąp nazwę grupy zasobów i nazwę maszyny wirtualnej:

   Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

   Wyszukaj nazwę magazynu kluczy w tym wierszu:

   SecretUrl : https://<keyVaultName>.vault.azure.net

3. Wybierz pozycję Zasady>dostępu Dodaj zasady dostępu.

   

4. W obszarze Dodawanie zasad>dostępu Skonfiguruj z szablonu (opcjonalnie) wybierz pozycję Azure Backup.

   • Wymagane uprawnienia są wstępnie wypełniane dla uprawnień klucza i uprawnień wpisu tajnego.
   • Jeśli maszyna wirtualna jest szyfrowana tylko przy użyciu klucza szyfrowania plików, usuń zaznaczenie opcji Uprawnienia klucza, ponieważ potrzebujesz tylko uprawnień dla wpisów tajnych.

   

5. Wybierz pozycję Dodaj. Usługa zarządzania kopiami zapasowymi jest dodawana do zasad dostępu.

   

6. Wybierz pozycję Zapisz , aby zapewnić usłudze Azure Backup uprawnienia.

Zasady dostępu można również ustawić przy użyciu programu PowerShell lub interfejsu wiersza polecenia.

Następne kroki

Przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure

Jeśli wystąpią jakiekolwiek problemy, zapoznaj się z następującymi artykułami:

• Typowe błędy podczas tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych platformy Azure.
• Problemy z agentem/rozszerzeniem kopii zapasowej maszyny wirtualnej platformy Azure.