Резервное копирование и восстановление зашифрованных виртуальных машин с помощью службы Azure BackupBack up and restore encrypted virtual machines with Azure Backup

В этой статье рассказывается о действиях по резервному копированию и восстановлению виртуальных машин с помощью службы Azure Backup.This article talks about the steps to back up and restore virtual machines (VMs) by using Azure Backup. Кроме того, здесь приведены поддерживаемые сценарии, предварительные требования и сведения об устранении неполадок при возникновении ошибок.It also provides details about supported scenarios, prerequisites, and troubleshooting steps for error cases.

Поддерживаемые сценарии использования.Supported scenarios

  • Резервное копирование и восстановление зашифрованных виртуальных машин поддерживается только для виртуальных машин, использующих модель развертывания с помощью Azure Resource Manager,Backup and restore of encrypted VMs is supported only for VMs that use the Azure Resource Manager deployment model. и не поддерживается для виртуальных машин, использующих классическую модель развертывания.It's not supported for VMs that use the classic deployment model.
  • Резервное копирование и восстановление зашифрованных виртуальных машин поддерживается для виртуальных машин как Windows, так и Linux, использующих шифрование дисков Azure.Backup and restore of encrypted VMs is supported for both Windows and Linux VMs that use Azure Disk Encryption. Шифрование дисков использует стандартный для отрасли компонент BitLocker в Windows и DM-Crypt в Linux.Disk Encryption uses the industry standard BitLocker feature of Windows and the dm-crypt feature of Linux to provide encryption of disks.

    В приведенной ниже таблице показаны поддерживаемые сценарии только для виртуальных машин, зашифрованных только с помощью ключа шифрования BitLocker (BEK) или ключа шифрования ключей (KEK).The following table shows supported scenarios for BitLocker encryption key (BEK)-only and key encryption key (KEK)-encrypted VMs:

Виртуальные машины BEK + KEKBEK + KEK VMs Виртуальные машины, зашифрованные только с помощью BEKBEK-only VMs
Неуправляемые виртуальные машиныNonmanaged VMs YesYes YesYes
Управляемые виртуальные машиныManaged VMs YesYes YesYes

предварительным требованиямPrerequisites

Резервное копирование зашифрованной виртуальной машиныBackup-encrypted VM

Выполните приведенные ниже действия, чтобы выбрать цель резервного копирования, определить политику, настроить элементы и активировать резервное копирование.Use the following steps to set a backup goal, define a policy, configure items, and trigger a backup.

Настройка резервного копированияConfigure backup

  1. Если хранилище служб восстановления уже открыто, перейдите к следующему шагу.If you already have a Recovery Services vault open, proceed to the next step. Если хранилище служб восстановления не открыто, на портале Azure выберите Все службы.If you don't have a Recovery Services vault open but you're in the Azure portal, select All services.

    a.a. В списке ресурсов введите Службы восстановления.In the list of resources, type Recovery Services.

    Б.b. Как только вы начнете вводить символы, список отфильтруется соответствующим образом.As you begin typing, the list filters based on your input. Когда вы увидите пункт Хранилища служб восстановления, щелкните его.When you see Recovery Services vaults, select it.

    Хранилище служб восстановления

    c.c. После этого отобразится список хранилищ служб восстановления,The list of Recovery Services vaults appears. Выберите хранилище из списка.Select a vault from the list.

    Затем откроется панель мониторинга выбранного хранилища.The selected vault dashboard opens.

  2. В открывшемся списке элементов хранилища щелкните Резервное копирование, чтобы начать резервное копирование зашифрованной виртуальной машины.From the list of items that appears under the vault, select Backup to start backing up the encrypted VM.

    Колонка резервного копирования

  3. В элементе Резервное копирование выберите Backup goal (Цель резервного копирования).On the Backup tile, select Backup goal.

    Колонка сценариев

  4. В раскрывающемся списке Where is your workload running? (Где выполняется рабочая нагрузка?) выберите Azure.Under Where is your workload running?, select Azure. В раскрывающемся списке What do you want to backup? (Что необходимо архивировать?) выберите Виртуальная машина.Under What do you want to backup?, select Virtual machine. Нажмите кнопку ОК.Then select OK.

    Открытие колонки сценария

  5. В раскрывающемся списке Choose backup policy (Выберите политику резервного копирования) выберите политику резервного копирования для своего хранилища.Under Choose backup policy, select the backup policy you want to apply to the vault. Нажмите кнопку ОК.Then select OK.

    Выбор политики резервного копирования

    Указаны сведения о политике по умолчанию.The details of the default policy are listed. Если вы хотите создать политику, в раскрывающемся списке выберите Создать.If you want to create a policy, select Create New from the drop-down list. Как только вы нажмете кнопку ОК, политика резервного копирования будет связана с хранилищем.After you select OK, the backup policy is associated with the vault.

  6. Выберите зашифрованные виртуальные машины, чтобы связать их с указанной политикой, и нажмите кнопку .Choose the encrypted VMs to associate with the specified policy, and select OK.

    Выбор зашифрованных виртуальных машин

  7. На этой странице приведены сведения о хранилище ключей, связанном с выбранными зашифрованными виртуальными машинами.This page shows a message about key vaults associated to the encrypted VMs you selected. Для резервного копирования требуется доступ только для чтения к ключам и секретам в хранилище ключей.Backup requires read-only access to the keys and secrets in the key vault. Эти разрешения используются, чтобы создать резервную копию ключа и секрета, а также связанных виртуальных машин.It uses these permissions to back up the keys and secrets, along with the associated VMs.
    Если вы являетесь участником, при включении резервного копирования будет без труда получен доступ к хранилищу ключей. Это позволит выполнить резервное копирование зашифрованных виртуальных машин без вмешательства пользователя.If you are a Member user, Enable Backup process will seamlessly acquire access to the key vault to backup encrypted VMs without requiring any user intervention.

    Сообщение для зашифрованных виртуальных машин

    Если вы являетесь гостевым пользователем, необходимо предоставить службе резервного копирования разрешения для доступа к хранилищу ключей (для выполнения резервного копирования).For a Guest user, you must provide permissions to the backup service to access the key vault for backups to work. Эти разрешения можно предоставить, следуя инструкциям в следующем разделе.You can provide these permissions by following the steps mentioned in the following section

    Сообщение для зашифрованных виртуальных машин

    Теперь, когда все параметры для хранилища заданы, в нижней части страницы нажмите кнопку Включить резервное копирование.Now that you have defined all settings for the vault, select Enable Backup at the bottom of the page. После нажатия кнопки Включить резервное копирование для хранилища и виртуальных машин будет развернута политика.Enable Backup deploys the policy to the vault and the VMs.

  8. На следующем шаге подготовки нужно установить агент виртуальной машины или убедиться, что он установлен.The next phase in preparation is installing the VM Agent or making sure the VM Agent is installed. Для этого выполните действия, указанные в статье Подготовка среды к архивации виртуальных машин, развернутых с помощью Resource Manager.To do the same, follow the steps in Prepare your environment for backup.

активация задания архивации;Trigger a backup job

Следуйте указаниям в статье Архивация виртуальных машин Azure в хранилище служб восстановления, чтобы активировать задание резервного копирования.Follow the steps in Backup Azure VMs to a Recovery Services vault to trigger a backup job.

Продолжение резервного копирования уже архивированных виртуальных машин с включенным шифрованиемContinue backups of already backed-up VMs with encryption enabled

Если у вас есть виртуальные машины, которые уже архивируются в хранилище служб восстановления и разрешены для дальнейшего шифрования, нужно предоставить службе резервного копирования разрешения на доступ к хранилищу ключей, чтобы архивация продолжилась.If you have VMs already being backed up in a Recovery Services vault that are enabled for encryption later, you must give permissions to Backup to access the key vault for backups to continue. Эти разрешения можно предоставить, следуя действиям, описанным в следующем разделе.You can provide these permissions by following the steps in the following section. Или можно выполнить действия PowerShell из раздела о включении резервного копирования в документации по PowerShell.Or you can follow the PowerShell steps in the "Enable backup" section of the PowerShell documentation.

Предоставление разрешений для службы резервного копированияProvide permissions to Backup

Чтобы предоставить службе резервного копирования соответствующие разрешения для доступа к хранилищу ключей и архивации зашифрованных виртуальных машин, выполните следующие действия:Use the following steps to provide relevant permissions to Backup to access the key vault and perform backup of encrypted VMs.

  1. Выберите Все службы и найдите хранилища ключей.Select All services, and search for Key vaults.

    Хранилища ключей

  2. В списке хранилищ ключей выберите хранилище ключей, связанное с зашифрованной виртуальной машиной, которую требуется архивировать.From the list of key vaults, select the key vault associated with the encrypted VM that needs to be backed up.

    Выбор хранилища ключей

  3. Выберите Политики доступа, а затем щелкните Добавить.Select Access policies, and then select Add new.

    Добавить

  4. Выберите Выбор субъекта и в поле поиска введите Служба управления резервным копированием.Select Select principal, and then type Backup Management Service in the search box.

    Поиск службы резервного копирования

  5. Выберите службу управления резервным копированием, а затем нажмите кнопку Выбрать.Select Backup Management Service, and then select Select.

    Выбор службы резервного копирования

  6. В раскрывающемся списке Настроить при помощи шаблона (необязательно) выберите Служба архивации Azure.Under Configure from template (optional), select Azure Backup. Необходимые разрешения автоматически заполняются в раскрывающихся списках Разрешения ключей и Разрешения секретов.The required permissions are prefilled for Key permissions and Secret permissions. Если виртуальная машина зашифрована с использованием только BEK, необходимо отменить выбор разрешений для ключей, так как разрешения требуются только для секретов.If your VM is encrypted by using BEK only, permissions only for secrets are required, so you must remove the selection for Key permissions.

    Выбор службы Azure Backup

  7. Нажмите кнопку ОК.Select OK. Обратите внимание, что в колонке Политики доступа добавлена служба управления резервным копированием.Notice that Backup Management Service gets added in Access policies.

    Политики доступа

  8. Выберите Сохранить, чтобы предоставить необходимые разрешения для службы резервного копирования.Select Save to give the required permissions to Backup.

    Политика доступа для службы резервного копирования

После предоставления разрешений можно приступить к включению резервного копирования для зашифрованных виртуальных машин.After permissions are successfully provided, you can proceed with enabling backup for encrypted VMs.

Восстановление зашифрованной виртуальной машиныRestore an encrypted VM

Для восстановления зашифрованной виртуальной машины сначала необходимо восстановить диски, выполнив инструкции по восстановлению заархивированных дисков в разделе Выбор конфигурации восстановления для виртуальной машины.To restore an encrypted VM, first restore disks by following the steps in the "Restore backed-up disks" section in Choose a VM restore configuration. После этого можно выбрать один из следующих вариантов:After that, you can use one of the following options:

Устранение ошибокTroubleshooting errors

ОперацияOperation Сведения об ошибкеError details Способы устранения:Resolution
Azure BackupBackup Служба резервного копирования не имеет достаточных разрешений к хранилищу ключей для резервного копирования зашифрованных виртуальных машин.Backup doesn't have sufficient permissions to the key vault for backup of encrypted VMs. Службе необходимо предоставить эти разрешения, следуя действиям в предыдущем разделе.Backup should be provided these permissions by following the steps in the previous section. Или можно выполнить действия с PowerShell в подразделе о включении защиты документации PowerShell из раздела Резервное копирование виртуальных машин Azure.Or you can follow the PowerShell steps in the "Enable protection" section of the PowerShell documentation at Use AzureRM.RecoveryServices.Backup cmdlets to back up virtual machines.
восстановление;Restore Вы не можете восстановить эту зашифрованную виртуальную машину, так как с ней связано хранилище ключей.You can't restore this encrypted VM because the key vault associated with this VM doesn't exist. Создайте хранилище ключей с помощью действий, описанных в статье Приступая к работе с хранилищем ключей Azure.Create a key vault by using Get started with Azure Key Vault. Сведения о том, как восстановить ключ и секрет, если они отсутствуют, см. в статье Восстановление ключа и секрета в хранилище ключей для зашифрованных виртуальных машин с помощью службы архивации Azure.See Restore a key vault key and a secret by using Azure Backup to restore a key and a secret if they aren't present.
восстановление;Restore Вы не можете восстановить эту зашифрованную виртуальную машину, так как с ней не связаны ключ и секрет.You can't restore this encrypted VM because the key and the secret associated with this VM don't exist. Сведения о том, как восстановить ключ и секрет, если они отсутствуют, см. в статье Восстановление ключа и секрета в хранилище ключей для зашифрованных виртуальных машин с помощью службы архивации Azure.See Restore a key vault key and a secret by using Azure Backup to restore a key and a secret if they aren't present.
восстановление;Restore У службы резервного копирования нет разрешения на доступ к ресурсам в вашей подписке.Backup doesn't have the authorization to access resources in your subscription. Как упоминалось ранее, сначала восстановите диски, выполнив инструкции по восстановлению заархивированных дисков в разделе Выбор конфигурации восстановления для виртуальной машины.As mentioned previously, restore disks first by following the steps in the "Restore backed-up disks" section in Choose a VM restore configuration. После этого с помощью PowerShell создайте виртуальную машину из восстановленного диска.After that, use PowerShell to create a VM from restored disks.