Backa upp och återställa krypterade virtuella Azure-datorer

I den här artikeln beskrivs hur du säkerhetskopierar och återställer Windows eller virtuella Linux Azure-maskiner med krypterade diskar med azure-säkerhetskopieringstjänsten. Mer information finns i Kryptering av Säkerhetskopiering av Azure VM.

Kryptering med plattform hanterade nycklar

Som standard krypteras alla diskar i dina virtuella maskiner automatiskt i vila med plattform hanterade nycklar (PMK) som använder kryptering av lagringstjänst. Du kan säkerhetskopiera dessa virtuella maskiner med hjälp av Azure Backup utan några specifika åtgärder som krävs för att stödja kryptering på din slutpunkt. Mer information om kryptering med plattform hanterade nycklar finns i den här artikeln.

Encrypted disks

Kryptering med kund hanterade nycklar

När du krypterar diskar med kund hanterade nycklar (CMK) lagras nyckeln som används för att kryptera diskarna i Azure-nyckelvalvet och hanteras av dig. Storage Service Encryption (SSE) med CMK skiljer sig från ADE-kryptering (Azure Disk Encryption). ADE använder operativsystemets krypteringsverktyg. SSE krypterar data i lagringstjänsten, vilket gör att du kan använda os eller bilder för dina virtuella maskiner.

Du behöver inte utföra några explicita åtgärder för säkerhetskopiering eller återställning av virtuella maskiner som använder kund hanterade nycklar för att kryptera sina diskar. Säkerhetskopieringsdata för dessa virtuella maskiner som lagras i valvet krypteras med samma metoder som krypteringen som används i valvet.

Mer information om kryptering av hanterade diskar med kund hanterade nycklar finns i den här artikeln.

Stöd för kryptering med ADE

Azure Backup har stöd för säkerhetskopiering av virtuella Maskiner i Azure där deras OS/data-diskar är krypterade med Azure Diskkryptering (ADE). ADE använder BitLocker för kryptering av Windows virtuella maskiner och funktionen dm-crypt för Linux VMs. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter. Nyckelkrypteringsnycklar (KEKs) kan användas för att lägga till ytterligare en säkerhetsnivå, kryptera krypteringshemligheter innan du skriver dem till nyckelvalv.

Med Azure Backup kan du säkerhetskopiera och återställa virtuella Azure-maskiner med hjälp av ADE med och utan Azure AD-appen, enligt sammanfattningen i följande tabell.

VM-disktyp ADE (BEK/dm-crypt) ADE och KEK
Ohanterad Ja Ja
Hanterad Ja Ja

Begränsningar

  • Du kan kryptera och återställa krypterade virtuella maskiner med ADE inom samma prenumeration.
  • Azure Backup stöder virtuella maskiner som krypteras med fristående nycklar. Nyckeln som är en del av ett certifikat som används för att kryptera en VM stöds inte för närvarande.
  • Azure Backup har stöd för återställning av krypterade Azure-virtuella maskiner till Azure-sammankopplade regioner. Mer information finns i matris med stöd för.
  • ADE-krypterade virtuella maskiner kan inte återskapas på fil-/mappnivå. Du måste återställa hela vm för att återställa filer och mappar.
  • När du återställer en VM kan du inte använda alternativet ersätt befintlig VM för ADE krypterade virtuella maskiner. Det här alternativet stöds endast för okrypterade hanterade diskar.

Innan du börjar

Innan du börjar gör du följande:

  1. Kontrollera att du har ett eller flera Windowseller linux virtuella maskiner med ADE aktiverat.
  2. Granska supportmatrisen för säkerhetskopiering av Azure VM
  3. Skapa ett säkerhetskopieringsvalv för Återställningstjänster om du inte har ett.
  4. Om du aktiverar kryptering för virtuella maskiner som redan är aktiverade för säkerhetskopiering, behöver du bara ge säkerhetskopiering med behörighet för att få tillgång till nyckelvalvet så att säkerhetskopieringar kan fortsätta utan störningar. Läs mer om hur du tilldelar de här behörigheterna.

Dessutom finns det några saker som du kan behöva göra i vissa fall:

  • Installera VM-agenten på den virtuellamaskinerna: Azure Backup säkerhetskopierar Azure VMs genom att installera ett tillägg till den Azure VM-agent som körs på datorn. Om den virtuella datorn har skapats från en Azure Marketplace-avbildning installeras agenten och körs. Om du skapar en egen VM, eller om du migrerar en lokal dator, kan du behöva installera agenten manuellt.

Konfigurera en princip för säkerhetskopiering

  1. Om du ännu inte har skapat ett Recovery Services-säkerhetskopieringsvalv följer du de här anvisningarna.

  2. Gå till Säkerhetskopiera och klicka på +Säkerhetskopiafliken Översikt

    Backup pane

  3. Välj virtuella Azure-datorer som datakällatyp och välj det valv du har skapat och klicka sedan på Fortsätt.

    Scenario pane

  4. Välj den princip som du vill associera med valvet och välj sedan OK.

    • En princip för säkerhetskopiering anger när säkerhetskopior ska tas och hur länge de lagras.
    • Information om standardprincipen visas under listrutan.

    Choose backup policy

  5. Om du inte vill använda standardprincipen väljer du Skapa nyoch skapar en anpassad princip.

  6. Under Virtuella datorerväljer du Lägg till.

    Add virtual machines

  7. Välj de krypterade virtuella maskinerna som du vill kryptera med select-principen och välj OK.

    Select encrypted VMs

  8. Om du använder Azure Key Vault, på sidan för valvet, visas ett meddelande om att Azure Backup behöver skrivskyddade åtkomst till nycklar och hemligheter i nyckelvalvet.

    • Om du får det här meddelandet krävs ingen åtgärd.

      Access OK

    • Om du får det här meddelandet måste du ange behörigheter enligt anvisningarna nedan.

      Access warning

  9. Markera Aktivera säkerhetskopiering för att distribuera principen för säkerhetskopiering i valvet och aktivera säkerhetskopiering för de markerade virtuella maskinerna.

Utlösa ett säkerhetskopieringsjobb

Den första säkerhetskopian körs enligt schemat, men du kan köra den direkt på följande sätt:

  1. Gå till Säkerhetskopiera och välj menyalternativet Säkerhetskopior.
  2. Välj Virtuella Azure-datorer som typ av datakälla och sök efter den virtuella maskiner som du har konfigurerat för säkerhetskopiering.
  3. Högerklicka på den relevanta raden eller välj mer-ikonen (...) och klicka på Säkerhetskopiera nu.
  4. Under Säkerhetskopieranu använder du kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas. Välj sedan OK.
  5. Övervaka portalmeddelandena. Om du vill övervaka jobbförloppet går du tillSäkerhetskopieringsjobb i Säkerhetskopieringscenter och filtrerar listan för pågående jobb. Beroende på storleken på den virtuella maskinerna kan det ta en stund att skapa den första säkerhetskopian.

Ange behörigheter

Azure Backup behöver skrivskyddade åtkomst för att säkerhetskopiera nycklar och hemligheter, tillsammans med tillhörande virtuella maskiner.

  • Ditt nyckelvalv är kopplat till Azure AD-klientorganisationen för Azure-prenumerationen. Om du är medlem får AzureBackup åtkomst till nyckelvalvet utan ytterligare åtgärd.
  • Om du är gästanvändare måste du angebehörigheter för Azure Backup för att komma åt nyckelvalvet. Du måste ha tillgång till nyckelvalv för att konfigurera säkerhetskopiering för krypterade virtuella maskiner.

Så här anger du behörigheter:

  1. I Azure-portalen väljer du Alla tjänsteroch söker efter Viktiga valv.

  2. Välj nyckelvalvet som är kopplat till den krypterade virtuella maskinerna som du ska backa upp.

    Tips!

    Använd följande PowerShell-kommando för att identifiera en VM:s associerade nyckelvalv. Byt ut resursgruppens namn mot VM-namnet:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Leta efter nyckelvalvsnamnet på den här raden:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Välj ÅtkomstprinciperLägg till åtkomstprincip.

    Add access policy

  4. I Lägg till åtkomstprincipKonfigurera från mall (valfritt)väljer du Azure Backup.

    • De behörigheter som krävs förifylls för nyckelbehörigheter och hemliga behörigheter.
    • Om den virtuella datorn krypteras med endast BEK tar dubort valet av nyckelbehörigheter eftersom du bara behöver behörighet för hemligheter.

    Azure Backup selection

  5. Välj Lägg till. Säkerhetskopieringshanteringstjänsten läggs till i Access-principer.

    Access policies

  6. Välj Spara för att tillhandahålla Azure Backup med behörigheterna.

Nästa steg

Återställa krypterade virtuella Azure-datorer

Om du får problem läser du de här artiklarna: