Återställa filer från en säkerhetskopia av en virtuell Azure-dator

Varning

Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.

Azure Backup ger möjlighet att återställa virtuella Azure-datorer (VM) och diskar från säkerhetskopieringar av virtuella Azure-datorer, även kallade återställningspunkter. Den här artikeln beskriver hur du återställer filer och mappar från en säkerhetskopiering av virtuella Azure-datorer. Återställning av filer och mappar är endast tillgängligt för virtuella Azure-datorer som distribueras med Resource Manager-modellen och skyddas till ett Recovery Services-valv.

Kommentar

Den här funktionen är tillgänglig för virtuella Azure-datorer som distribueras med resource manager-modellen och skyddas till ett Recovery Services-valv. Filåterställning från en krypterad vm-säkerhetskopiering stöds inte.

Steg 1: Generera och ladda ned skript för att bläddra i och återställa filer

Om du vill återställa filer eller mappar från återställningspunkten går du till den virtuella datorn och utför följande steg:

1. Logga in på Azure-portalen och välj Virtuella datorer i den vänstra rutan. I listan över virtuella datorer väljer du den virtuella datorn för att öppna instrumentpanelen för den virtuella datorn.

2. På den virtuella datorns meny väljer du Säkerhetskopiering för att öppna instrumentpanelen För säkerhetskopiering.

   

3. På instrumentpanelsmenyn Säkerhetskopiering väljer du Filåterställning.

   32

   Menyn Filåterställning öppnas.

   

Viktigt!

Användarna bör notera prestandabegränsningarna för den här funktionen. Som du påpekade i fotnotsavsnittet på bladet ovan bör den här funktionen användas när den totala storleken på återställningen är 10 GB eller mindre. De förväntade dataöverföringshastigheterna är cirka 1 GB per timme.

4. I listrutan Välj återställningspunkt väljer du den återställningspunkt som innehåller de filer som du vill använda. Som standard är den senaste återställningspunkten redan markerad.

5. Välj Ladda ned körbara filer (för virtuella Windows Azure-datorer) eller Ladda ned skript (för virtuella Linux Azure-datorer genereras ett Python-skript) för att ladda ned programvaran som används för att kopiera filer från återställningspunkten.

   

   Azure laddar ned den körbara filen eller skriptet till den lokala datorn.

   

   Om du vill köra den körbara filen eller skriptet som administratör föreslår vi att du sparar den nedladdade filen på datorn.

6. Den körbara filen eller skriptet är lösenordsskyddad och kräver ett lösenord. I menyn Filåterställning väljer du kopieringsknappen för att läsa in lösenordet i minnet.

   

Steg 2: Kontrollera att datorn uppfyller kraven innan skriptet körs

När skriptet har laddats ned kontrollerar du att du har rätt dator för att köra skriptet. Den virtuella dator där du planerar att köra skriptet bör inte ha någon av följande konfigurationer som inte stöds. Om den gör det väljer du en alternativ dator som uppfyller kraven.

Dynamiska diskar

Du kan inte köra det körbara skriptet på den virtuella datorn med någon av följande egenskaper: Välj en alternativ dator

• Volymer som sträcker sig över flera diskar (spänner över och randiga volymer).
• Feltoleranta volymer (speglade och RAID-5-volymer) på dynamiska diskar.

Windows Storage Spaces

Du kan inte köra den nedladdade körbara filen på samma säkerhetskopierade virtuella dator om den säkerhetskopierade virtuella datorn har Windows Lagringsutrymmen. Välj en alternativ dator.

Säkerhetskopiering av virtuella datorer med stora diskar

Om den säkerhetskopierade datorn har ett stort antal diskar (>16) eller stora diskar (> 4 TB vardera) rekommenderas det inte att köra skriptet på samma dator för återställning, eftersom det kommer att ha en betydande inverkan på den virtuella datorn. I stället rekommenderar vi att du bara har en separat virtuell dator för filåterställning (virtuella Azure VM D2v3-datorer) och sedan stänger av den när den inte behövs.

Se kraven för att återställa filer från säkerhetskopierade virtuella datorer med stor disk:
Windows OS
Linux OS

När du har valt rätt dator för att köra ILR-skriptet kontrollerar du att den uppfyller kraven för operativsystem och åtkomst.

Steg 3: OS-krav för att köra skriptet

Den virtuella dator där du vill köra det nedladdade skriptet måste uppfylla följande krav.

För Windows OS

Följande tabell visar kompatibiliteten mellan server- och datoroperativsystem. När du återställer filer kan du inte återställa filer till en tidigare eller framtida operativsystemversion. Du kan till exempel inte återställa en fil från en Windows Server 2016-VM till en Windows Server 2012- eller en Windows 8-dator. Du kan återställa filer från en virtuell dator till samma serveroperativsystem eller till det kompatibla klientoperativsystemet.

Serveroperativsystem	Kompatibelt klientoperativsystem
Windows Server 2022	Windows 11 och Windows 10
Windows Server 2019	Windows 10
Windows Server 2016	Windows 10
Windows Server 2012 R2	Windows 8.1
Windows Server 2012	Windows 8
Windows Server 2008 R2	Windows 7

För Linux OS

I Linux måste operativsystemet på den dator som används för att återställa filer ha stöd för filsystemet för den skyddade virtuella datorn. När du väljer en dator för att köra skriptet kontrollerar du att datorn har ett kompatibelt operativsystem och använder en av de versioner som identifieras i följande tabell:

Linux OS	Versioner
Ubuntu	12.04 och senare
CentOS	6.5 och senare
RHEL	6.7 och senare
Debian	7 och senare
Oracle Linux	6.4 och senare
SLES	12 och senare
openSUSE	42.2 och senare

Ytterligare komponenter

Skriptet kräver även Python- och bash-komponenter för att köra och ansluta säkert till återställningspunkten.

Komponent	Version	OS-typ
bash	4 och senare	Linux
Python	2.6.6 och senare	Linux
.NET	4.6.2 och senare	Windows
TLS	1.2 bör stödjas	Linux/Windows

Se också till att du har rätt dator för att köra ILR-skriptet och att det uppfyller åtkomstkraven.

Steg 4: Åtkomstkrav för att köra skriptet

Om du kör skriptet på en dator med begränsad åtkomst kontrollerar du att det finns åtkomst till:

• download.microsoft.com eller AzureFrontDoor.FirstParty tjänsttagg i NSG på port 443 (utgående)
• Återställningstjänst-URL:er (GEO-NAME refererar till den region där Recovery Services-valvet finns) på port 3260 (utgående)
  • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (För offentliga Azure-regioner) eller AzureBackup tjänsttagg i NSG
  • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (För Microsoft Azure som drivs av 21Vianet) eller AzureBackup tjänsttaggen i NSG
  • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (För Azure US Government) eller AzureBackup tjänsttagg i NSG
  • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (För Azure Tyskland) eller AzureBackup tjänsttagg i NSG
• Offentlig DNS-matchning på port 53 (utgående)

Kommentar

Proxyservrar kanske inte stöder iSCSI-protokoll eller ger åtkomst till port 3260. Därför rekommenderar vi starkt att du kör det här skriptet på datorer som har direkt åtkomst enligt vad som krävs ovan och inte på de datorer som omdirigeras till proxy.

Kommentar

Om den säkerhetskopierade virtuella datorn är Windows nämns geo-namnet i lösenordet som genereras.

Om det genererade lösenordet till exempel är ContosoVM_wcus_GUID är geo-name wcus och URL:en är: <https://pod01-rec2.wcus.backup.windowsazure.com>

Om den säkerhetskopierade virtuella datorn är Linux har skriptfilen som du laddade ned i steg 1 ovan geo-namnet i filens namn. Använd det geo-namnet för att fylla i URL:en. Det nedladdade skriptnamnet börjar med: 'VMname'_'geoname'_'GUID'.

Om skriptfilens namn till exempel är ContosoVM_wcus_12345678 är geonamnet wcus och URL:en är:<https://pod01-rec2.wcus.backup.windowsazure.com>

För Linux kräver skriptet "open-iscsi" och "lshw"-komponenter för att ansluta till återställningspunkten. Om komponenterna inte finns på den dator där skriptet körs ber skriptet om behörighet att installera komponenterna. Ge tillstånd att installera nödvändiga komponenter.

Åtkomsten till download.microsoft.com krävs för att ladda ned komponenter som används för att skapa en säker kanal mellan den dator där skriptet körs och data i återställningspunkten.

Se också till att du har rätt dator för att köra ILR-skriptet och att det uppfyller operativsystemets krav.

Steg 5: Köra skriptet och identifiera volymer

Kommentar

Skriptet genereras endast på engelska och är inte lokaliserat. Därför kan det kräva att systemspråket är på engelska för att skriptet ska köras korrekt

För Windows

När du uppfyller alla krav som anges i steg 2, steg 3 och steg 4 kopierar du skriptet från den nedladdade platsen (vanligtvis mappen Nedladdningar) i Steg 1 för att lära dig hur du genererar och laddar ned skript. Högerklicka på den körbara filen och kör den med administratörsautentiseringsuppgifter. När du uppmanas till det skriver du lösenordet eller klistrar in lösenordet från minnet och trycker på Retur. När det giltiga lösenordet har angetts ansluter skriptet till återställningspunkten.

När du kör den körbara filen monterar operativsystemet de nya volymerna och tilldelar enhetsbeteckningar. Du kan använda Utforskaren eller Utforskaren för att bläddra bland dessa enheter. Enhetsbeteckningarna som tilldelats volymerna kanske inte är samma bokstäver som den ursprungliga virtuella datorn. Volymnamnet bevaras dock. Om volymen på den ursprungliga virtuella datorn till exempel var "Datadisk (E:\)" kan volymen kopplas till den lokala datorn som "Datadisk ("Valfri bokstav":\). Bläddra igenom alla volymer som nämns i skriptutdata tills du hittar dina filer eller mappar.

För säkerhetskopierade virtuella datorer med stora diskar (Windows)

Utför följande steg om filåterställningsprocessen låser sig när du har kört filåterställningsskriptet (till exempel om diskarna aldrig monteras eller om de är monterade men volymerna inte visas):

1. Kontrollera att operativsystemet är WS 2012 eller senare.

2. Se till att registernycklarna anges enligt nedanstående förslag på återställningsservern och se till att starta om servern. Talet bredvid GUID kan variera från 0001-0005. I följande exempel är det 0004. Navigera genom sökvägen till registernyckeln till avsnittet parametrar.

   

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

För Linux

När du uppfyller alla krav som anges i steg 2, steg 3 och steg 4 genererar du ett Python-skript för Linux-datorer. Se Steg 1 för att lära dig hur du genererar och laddar ned skript. Ladda ned skriptet och kopiera det till den relevanta/kompatibla Linux-servern. Du kan behöva ändra behörigheterna för att köra den med chmod +x <python file name>. Kör sedan Python-filen med ./<python file name>.

I Linux monteras volymerna för återställningspunkten i mappen där skriptet körs. De anslutna diskarna, volymerna och motsvarande monteringssökvägar visas i enlighet med detta. Dessa monteringssökvägar är synliga för användare som har åtkomst på rotnivå. Bläddra igenom de volymer som nämns i skriptutdata.

För säkerhetskopierade virtuella datorer med stora diskar (Linux)**

Utför följande steg om filåterställningsprocessen låser sig när du har kört filåterställningsskriptet (till exempel om diskarna aldrig monteras eller om de är monterade men volymerna inte visas):

1. Ändra inställningen från i filen /etc/iscsi/iscsid.conf:
   • node.conn[0].timeo.noop_out_timeout = 5 till node.conn[0].timeo.noop_out_timeout = 120
2. När du har gjort ändringarna ovan kör du skriptet igen. Om det finns tillfälliga fel kontrollerar du att det finns ett mellanrum på 20 till 30 minuter mellan omkörningar för att undvika efterföljande antal begäranden som påverkar målförberedelsen. Det här intervallet mellan omkörningar säkerställer att målet är redo för anslutning från skriptet.
3. Efter filåterställningen kontrollerar du att du går tillbaka till portalen och väljer Demontera diskar för återställningspunkter där du inte kunde montera volymer. I princip rensar det här steget alla befintliga processer/sessioner och ökar risken för återställning.

LVM/RAID-matriser (för virtuella Linux-datorer)

I Linux används Logical Volume Manager (LVM) och/eller RAID-programvarumatriser för att hantera logiska volymer över flera diskar. Om den skyddade virtuella Linux-datorn använder LVM- och/eller RAID-matriser kan du inte köra skriptet på samma virtuella dator.
Kör i stället skriptet på en annan dator med ett kompatibelt operativsystem och som stöder filsystemet för den skyddade virtuella datorn.
Följande skriptutdata visar diskarna LVM och/eller RAID-matriser och volymerna med partitionstypen.

Kör kommandona i följande avsnitt för att aktivera dessa partitioner.

För LVM-partitioner

När skriptet har körts monteras LVM-partitionerna i de fysiska volymer/diskar som anges i skriptutdata. Processen är att

1. Hämta den unika listan med volymgruppnamn från fysiska volymer eller diskar
2. Lista sedan de logiska volymerna i dessa volymgrupper
3. Montera sedan de logiska volymerna på en önskad sökväg.

Lista volymgruppnamn från fysiska volymer

Så här listar du volymgruppsnamnen:

sudo pvs -o +vguuid

Det här kommandot visar alla fysiska volymer (inklusive de som finns innan skriptet körs), deras motsvarande volymgruppnamn och volymgruppens unika användar-ID (UUID). Ett exempel på utdata från kommandot visas nedan.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

Den första kolumnen (PV) visar den fysiska volymen, efterföljande kolumner visar relevant volymgruppnamn, format, attribut, storlek, ledigt utrymme och volymgruppens unika ID. Kommandoutdata visar alla fysiska volymer. Se skriptutdata och identifiera de volymer som är relaterade till säkerhetskopieringen. I exemplet ovan skulle skriptutdata ha visat /dev/sdf och /dev/sdd. Därför tillhör datavg_db volymgruppen skriptet och Appvg_new volymgruppen tillhör datorn. Den sista tanken är att se till att ett unikt volymgruppnamn ska ha ett unikt ID.

Duplicera volymgrupper

Det finns scenarier där volymgruppnamn kan ha 2 UUID:er när skriptet har körts. Det innebär att volymgruppens namn på den dator där skriptet körs och i den säkerhetskopierade virtuella datorn är desamma. Sedan måste vi byta namn på de säkerhetskopierade virtuella datorernas volymgrupper. Ta en titt på exemplet nedan.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

Skriptutdata skulle ha visat /dev/sdg, /dev/sdh, /dev/sdm2 som anslutna. Motsvarande VG-namn är därför Appvg_new och rootvg. Men samma namn finns också i datorns VG-lista. Vi kan kontrollera att ett VG-namn har två UUID:er.

Nu måste vi byta namn på VG-namn för skriptbaserade volymer, till exempel : /dev/sdg, /dev/sdh, /dev/sdm2. Om du vill byta namn på volymgruppen använder du följande kommando

sudo vgimportclone -n rootvg_new /dev/sdm2
sudo vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Nu har vi alla VG-namn med unika ID:er.

Aktiva volymgrupper

Kontrollera att volymgrupperna som motsvarar skriptets volymer är aktiva. Följande kommando används för att visa aktiva volymgrupper. Kontrollera om skriptets relaterade volymgrupper finns i den här listan.

sudo vgdisplay -a

Annars aktiverar du volymgruppen med hjälp av följande kommando.

sudo vgchange –a y  <volume-group-name>

Visa en lista över logiska volymer i volymgrupper

När vi har hämtat den unika, aktiva listan över virtuella datorer som är relaterade till skriptet kan de logiska volymer som finns i dessa volymgrupper visas med hjälp av följande kommando.

sudo lvdisplay <volume-group-name>

Det här kommandot visar sökvägen för varje logisk volym som "LV-sökväg".

Montera logiska volymer

Så här monterar du de logiska volymerna på valfri sökväg:

sudo mount <LV path from the lvdisplay cmd results> </mountpath>

Varning

Använd inte "mount -a". Det här kommandot monterar alla enheter som beskrivs i "/etc/fstab". Det kan innebära att dubbletter av enheter kan monteras. Data kan omdirigeras till enheter som skapats av ett skript, som inte bevarar data, vilket kan leda till dataförlust.

För RAID-matriser

Följande kommando visar information om alla raiddiskar:

sudo mdadm –detail –scan

Relevant RAID-disk visas som /dev/mdm/<RAID array name in the protected VM>

Använd monteringskommandot om RAID-disken har fysiska volymer:

sudo mount [RAID Disk Path] [/mountpath]

Om RAID-disken har en annan LVM konfigurerad i den använder du föregående procedur för LVM-partitioner men använder volymnamnet i stället för RAID-disknamnet.

Steg 6: Stänga anslutningen

När du har identifierat filerna och kopierat dem till en lokal lagringsplats tar du bort (eller demonterar) de ytterligare enheterna. Om du vill demontera enheterna går du till menyn Filåterställning i Azure-portalen och väljer Demontera diskar.

När diskarna har demonterats får du ett meddelande. Det kan ta några minuter innan anslutningen uppdateras så att du kan ta bort diskarna.

När anslutningen till återställningspunkten har brutits i Linux tar operativsystemet inte bort motsvarande monteringssökvägar automatiskt. Monteringssökvägarna finns som "överblivna" volymer och visas, men utlöser ett fel när du kommer åt/skriver filerna. De kan tas bort manuellt genom att köra skriptet med parametern "clean" (python scriptName.py clean). Skriptet identifierar när det körs alla sådana volymer som finns från tidigare återställningspunkter och rensar dem efter medgivande.

Kommentar

Kontrollera att anslutningen är stängd när de nödvändiga filerna har återställts. Detta är viktigt, särskilt i scenariot där den dator där skriptet körs också är konfigurerad för säkerhetskopiering. Om anslutningen fortfarande är öppen kan den efterföljande säkerhetskopieringen misslyckas med felet "UserErrorUnableToOpenMount". Detta beror på att de monterade enheterna/volymerna antas vara tillgängliga och när de används kan de misslyckas eftersom den underliggande lagringen, dvs. iSCSI-målservern, kanske inte är tillgänglig. När anslutningen rensas tas dessa enheter/volymer bort och de blir därför inte tillgängliga under säkerhetskopieringen.

Säkerhet

I det här avsnittet beskrivs de olika säkerhetsåtgärder som vidtagits för implementeringen av filåterställning från säkerhetskopior av virtuella Azure-datorer.

Funktionsflöde

Den här funktionen skapades för att komma åt vm-data utan att du behöver återställa hela den virtuella datorn eller de virtuella datordiskarna och med det minsta antalet steg. Åtkomst till VM-data tillhandahålls av ett skript (som monterar återställningsvolymen när den körs enligt nedan) och utgör hörnstenen i alla säkerhetsimplementeringar:

Säkerhetsimplementeringar

Välj Återställningspunkt (vem kan generera skript)

Skriptet ger åtkomst till VM-data, så det är viktigt att reglera vem som kan generera dem i första hand. Du måste logga in på Azure-portalen och vara Azure RBAC-auktoriserad för att generera skriptet.

Filåterställning behöver samma auktoriseringsnivå som krävs för återställning av virtuella datorer och återställning av diskar. Med andra ord kan endast behöriga användare visa vm-data kan generera skriptet.

Det genererade skriptet är signerat med det officiella Microsoft-certifikatet för Azure Backup-tjänsten. All manipulering av skriptet innebär att signaturen är bruten och alla försök att köra skriptet markeras som en potentiell risk för operativsystemet.

Montera återställningsvolym (vem kan köra skript)

Endast en administratör kan köra skriptet och det ska köras i förhöjt läge. Skriptet kör bara en förgenererad uppsättning steg och accepterar inte indata från någon extern källa.

För att köra skriptet krävs ett lösenord som endast visas för den behöriga användaren vid tidpunkten för skriptgenereringen i Azure-portalen eller PowerShell/CLI. Detta för att säkerställa att den behöriga användare som laddar ned skriptet också ansvarar för att köra skriptet.

Bläddra bland filer och mappar

För att bläddra bland filer och mappar använder skriptet iSCSI-initieraren på datorn och ansluter till återställningspunkten som är konfigurerad som ett iSCSI-mål. Här kan du föreställa dig scenarier där man försöker imitera/förfalska antingen/alla komponenter.

Vi använder en ömsesidig CHAP-autentiseringsmekanism så att varje komponent autentiserar den andra. Det innebär att det är extremt svårt för en falsk initierare att ansluta till iSCSI-målet och att ett falskt mål ansluts till den dator där skriptet körs.

Dataflödet mellan återställningstjänsten och datorn skyddas genom att skapa en säker TLS-tunnel över TCP (TLS 1.2 bör stödjas på den dator där skriptet körs).

Alla filåtkomstkontrollistor (ACL) som finns på den överordnade/säkerhetskopierade virtuella datorn bevaras även i det monterade filsystemet.

Skriptet ger skrivskyddad åtkomst till en återställningspunkt och är endast giltigt i 12 timmar. Om du vill ta bort åtkomsten tidigare loggar du in på Azure-portalen/PowerShell/CLI och utför demontera diskar för den specifika återställningspunkten . Skriptet kommer att ogiltigförklaras omedelbart.

Nästa steg

• Lär dig hur du återställer filer via PowerShell
• Lär dig hur du återställer filer via Azure CLI
• När den virtuella datorn har återställts får du lära dig hur du hanterar säkerhetskopior