Säkerhetskopiera och återställa krypterade virtuella Azure-datorerBack up and restore encrypted Azure VM

Den här artikeln beskriver hur du säkerhetskopierar och återställer Windows eller Linux Azure-datorer (VM) med krypterade diskar med hjälp av den Azure Backup service.This article describes how to back up and restore Windows or Linux Azure virtual machines (VMs) with encrypted disks using the Azure Backup service.

Granska dessa resurser om du vill lära dig mer om hur Azure Backup samverkar med Azure virtuella datorer innan du börjar:If you want to learn more about how Azure Backup interacts with Azure VMs before you begin, review these resources:

  • Granska arkitektur för Azure VM-säkerhetskopiering.Review the Azure VM backup architecture.
  • Lär dig mer om säkerhetskopiering av Azure virtuella datorer och Azure Backup-tillägget.Learn about Azure VM backup, and the Azure Backup extension.

Stöd för krypteringEncryption support

Azure Backup stöder säkerhetskopiering av Azure virtuella datorer som har sina OS/datadiskar krypterats med Azure Disk Encryption (ADE).Azure Backup supports backup of Azure VMs that have their OS/data disks encrypted with Azure Disk Encryption (ADE). ADE använder BitLocker för kryptering av Windows virtuella datorer och funktionen dm-crypt för Linux-datorer.ADE uses BitLocker for encryption of Windows VMs, and the dm-crypt feature for Linux VMs. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter.ADE integrates with Azure Key Vault to manage disk-encryption keys and secrets. Krypteringsnycklar (KeyExchange-nycklar) för Key Vault nyckeln kan användas att lägga till ett extra lager av säkerhet, kryptering av kryptering hemligheter innan du skriver dem till Key Vault.Key Vault Key Encryption Keys (KEKs) can be used to add an additional layer of security, encrypting encryption secrets before writing them to Key Vault.

Azure Backup kan säkerhetskopiera och återställa virtuella Azure-datorer med hjälp av ADE med och utan Azure AD-app som sammanfattas i tabellen nedan.Azure Backup can back up and restore Azure VMs using ADE with and without the Azure AD app, as summarized in the following table.

Typ av virtuell datordiskVM disk type ADE (BEK/dm-crypt)ADE (BEK/dm-crypt) ADE och KEKADE and KEK
OhanteradeUnmanaged JaYes JaYes
HanteradManaged JaYes JaYes

BegränsningarLimitations

  • Du kan säkerhetskopiera och återställa krypterade virtuella datorer i samma prenumeration och region.You can back up and restore encrypted VMs within the same subscription and region.
  • Azure Backup stöder virtuella datorer som är krypterat med nycklar som fristående.Azure Backup supports VMs encrypted using standalone keys. Valfri tangent som är en del av ett certifikat som används för att kryptera en virtuell dator stöds inte för närvarande.Any key which is a part of a certificate used to encrypt a VM isn't currently supported.
  • Du kan säkerhetskopiera och återställa krypterade virtuella datorer i samma prenumeration och region som Recovery Services-Backup-valvet.You can back up and restore encrypted VMs within the same subscription and region as the Recovery Services Backup vault.
  • Inte att återställa krypterade virtuella datorer på nivån fil/mapp.Encrypted VMs can’t be recovered at the file/folder level. Du behöver återställa en hel virtuell dator för att återställa filer och mappar.You need to recover the entire VM to restore files and folders.
  • När du återställer en virtuell dator, du kan inte använda den Ersätt befintlig virtuell dator alternativet för krypterade virtuella datorer.When restoring a VM, you can't use the replace existing VM option for encrypted VMs. Det här alternativet stöds bara för okrypterade hanterade diskar.This option is only supported for unencrypted managed disks.

Innan du börjarBefore you start

Innan du börjar måste du göra följande:Before you start, do the following:

  1. Kontrollera att du har en eller flera Windows eller Linux virtuella datorer med ADE aktiverat.Make sure you have one or more Windows or Linux VMs with ADE enabled.
  2. Granska av stödmatrisen för virtuell Azure-säkerhetskopieringReview the support matrix for Azure VM backup
  3. Skapa ett Recovery Services-Backup-valv om du inte har något.Create a Recovery Services Backup vault if you don't have one.
  4. Om du aktiverar kryptering för virtuella datorer som redan har aktiverats för säkerhetskopiering, behöver du bara ange säkerhetskopiering med behörighet till Key Vault så att säkerhetskopieringar kan fortsätta utan avbrott.If you enable encryption for VMs that are already enabled for backup, you simply need to provide Backup with permissions to access the Key Vault so that backups can continue without disruption. Läs mer om hur du tilldelar dessa behörigheter.Learn more about assigning these permissions.

Det finns dessutom några saker som du kan behöva göra i vissa fall:In addition, there are a couple of things that you might need to do in some circumstances:

  • Installera VM-agenten på den virtuella datorn: Azure Backup säkerhetskopierar virtuella Azure-datorer genom att installera ett tillägg till Azure VM-agenten som körs på datorn.Install the VM agent on the VM: Azure Backup backs up Azure VMs by installing an extension to the Azure VM agent running on the machine. Om den virtuella datorn har skapats från en Azure marketplace-avbildning, är agenten installerad och körs.If your VM was created from an Azure marketplace image, the agent is installed and running. Om du skapar en anpassad virtuell dator eller om du migrerar en lokal virtuell dator, kan du behöva installerar du agenten manuellt.If you create a custom VM, or you migrate an on-premises machine, you might need to install the agent manually.
  • Uttryckligen tillåta utgående åtkomst: Normalt behöver du inte uttryckligen tillåta utgående nätverksåtkomst för en Azure-dator att kommunicera med Azure Backup.Explicitly allow outbound access: Generally, you don't need to explicitly allow outbound network access for an Azure VM in order for it to communicate with Azure Backup. Men vissa virtuella datorer kan uppleva anslutningsproblem, som visar den ExtensionSnapshotFailedNoNetwork fel vid försök att ansluta.However, some VMs might experience connection issues, showing the ExtensionSnapshotFailedNoNetwork error when attempting to connect. Om detta inträffar bör du uttryckligen tillåta utgående åtkomst, så att tillägget Azure Backup kan kommunicera med Azure offentliga IP-adresser för säkerhetskopieringen.If this happens, you should explicitly allow outbound access, so the Azure Backup extension can communicate with Azure public IP addresses for backup traffic.

Konfigurera en säkerhetskopieringspolicyConfigure a backup policy

  1. Om du inte har skapat ett Recovery Services-säkerhetskopieringsvalv, följer du dessa instruktionerIf you haven't yet created a Recovery Services backup vault, follow these instructions

  2. Öppna valvet i portalen och välj Backup i den komma igång avsnittet.Open the vault in the portal, and select Backup in the Getting Started section.

    Säkerhetskopiering bladet

  3. I säkerhetskopieringsmål > var körs din arbetsbelastning? Välj Azure.In Backup goal > Where is your workload running? select Azure.

  4. I vad vill du säkerhetskopiera? Välj VM > OK.In What do you want to back up? select Virtual machine > OK.

    Bladet scenario

  5. I säkerhetskopieringspolicy > Välj säkerhetskopieringspolicy, väljer du den princip som du vill associera med valvet.In Backup policy > Choose backup policy, select the policy that you want to associate with the vault. Klicka sedan på OK.Then click OK.

    • En princip för säkerhetskopiering anger när säkerhetskopior tas och hur länge de lagras.A backup policy specifies when backups are taken, and how long they are stored.
    • Information om standardprincipen visas under den nedrullningsbara menyn.The details of the default policy are listed under the drop-down menu.

    Öppna bladet Scenario

  6. Om du inte vill använda standardprincipen väljer Skapa ny, och skapar en anpassad princip.If you don't want to use the default policy, select Create New, and create a custom policy.

  7. De krypterade virtuella datorer du vill säkerhetskopiera använder Välj principen och väljer OK.Choose the encrypted VMs you want to back up using the select policy, and select OK.

    Välj krypterade virtuella datorer

  8. Om du använder Azure Key Vault, på sidan valv, visas ett meddelande om att Azure Backup behöver skrivskyddad åtkomst till nycklar och hemligheter i Key Vault.If you're using Azure Key Vault, on the vault page, you see a message that Azure Backup needs read-only access to the keys and secrets in the Key Vault.

    • Om du får det här meddelandet, krävs ingen åtgärd.If you receive this message, no action is required.

      Åtkomst OK

    • Om du får det här meddelandet måste du ange behörigheter som beskrivs i den proceduren nedan.If you receive this message, you need to set permissions as described in the procedure below.

      Åtkomst-varning

  9. Klicka på Aktivera säkerhetskopiering att distribuera principen för säkerhetskopiering i valvet och aktivera säkerhetskopiering för de valda virtuella datorerna.Click Enable Backup to deploy the backup policy in the vault, and enable backup for the selected VMs.

Utlösa ett säkerhetskopieringsjobbTrigger a backup job

Den första säkerhetskopieringen kommer att köras i enlighet med schemat, men du kan köra den direkt enligt följande:The initial backup will run in accordance with the schedule, but you can run it immediately as follows:

  1. I menyn valvet klickar du på Säkerhetskopiera objekt.In the vault menu, click Backup items.
  2. I Säkerhetskopieringsobjekt klickar du på Azure-dator.In Backup Items click Azure Virtual Machine.
  3. I den Säkerhetskopieringsobjekt klickar du på ellipserna (...).In the Backup Items list, click the ellipses (...).
  4. Klicka på Säkerhetskopiera nu.Click Backup now.
  5. I Säkerhetskopiera nu, använder kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas.In Backup Now, use the calendar control to select the last day that the recovery point should be retained. Klicka sedan på OK.Then click OK.
  6. Meddelandena som portalen.Monitor the portal notifications. Du kan övervaka jobbförloppet i instrumentpanelen för valvet > säkerhetskopieringsjobb > pågår.You can monitor the job progress in the vault dashboard > Backup Jobs > In progress. Beroende på den virtuella datorns storlek kan det ta en stund att skapa den första säkerhetskopian.Depending on the size of your VM, creating the initial backup may take a while.

Ange behörigheterProvide permissions

Azure virtuella datorn behöver skrivskyddad åtkomst för säkerhetskopiering av nycklar och hemligheter, tillsammans med de associerade virtuella datorerna.Azure VM needs read-only access to back up the keys and secrets, along with the associated VMs.

  • Key Vault är associerad med Azure AD-klient för Azure-prenumerationen.Your Key Vault is associated with the Azure AD tenant of the Azure subscription. Om du är en medlemsanvändare, Azure Backup får åtkomst till Key Vault utan ytterligare åtgärder.If you're a Member user, Azure Backup acquires access to the Key Vault without further action.
  • Om du är en gästanvändare, måste du ange behörigheter för Azure Backup för att få åtkomst till nyckelvalvet.If you're a Guest user, you must provide permissions for Azure Backup to access the key vault.

Att ange behörigheter:To set permissions:

  1. I Azure-portalen väljer du alla tjänster, och Sök efter viktiga valv.In the Azure portal, select All services, and search for Key vaults.

  2. Välj det nyckelvalv som är associerade med den krypterade virtuella datorn du säkerhetskopierar.Select the key vault associated with the encrypted VM you're backing up.

  3. Välj åtkomstprinciper > Lägg till ny.Select Access policies > Add new.

  4. Välj väljer huvudnamn, och skriv sedan säkerhetskopiering Management.Select Select principal, and then type Backup Management.

  5. Välj säkerhetskopiera hanteringstjänsten > Välj.Select Backup Management Service > Select.

    Val av Backup-tjänsten

  6. I Lägg till åtkomstprincip > konfigurera från mall (valfritt) väljer Azure Backup.In Add access policy > Configure from template (optional), select Azure Backup.

    • Behörigheterna som krävs är fylls i automatiskt för Nyckelbehörigheter och hemliga behörigheter.The required permissions are prefilled for Key permissions and Secret permissions.
    • Om din virtuella dator har krypterats med BEK endast, ta bort valet för Nyckelbehörigheter eftersom du bara behöver behörigheter för hemligheter.If your VM is encrypted using BEK only, remove the selection for Key permissions since you only need permissions for secrets.

    Azure backup val

  7. Klicka på OK.Click OK. Säkerhetskopiera hanteringstjänsten läggs till i åtkomstprinciper.Backup Management Service is added to Access policies.

    Åtkomstprinciper

  8. Klicka på spara att ge Azure Backup med behörigheter.Click Save to provide Azure Backup with the permissions.

Återställa en krypterad virtuell datorRestore an encrypted VM

Du återställa krypterade virtuella datorer på följande sätt:You restore encrypted VMs as follows:

  1. Återställa den Virtuella datordisken.Restore the VM disk.
  2. Gör sedan något av följande:Then do one of the following:
    • Med mallen som genereras under återställningen att anpassa inställningarna för virtuella datorer och utlösa distribution av virtuella datorer.Use the template that's generated during the restore operation to customize VM settings, and trigger VM deployment. Läs mer.Learn more.
    • Skapa en ny virtuell dator från återställda diskar med Powershell.Create a new VM from the restored disks using Powershell. Läs mer.Learn more.

Nästa stegNext steps

Om du stöter på problem, granskaIf you run into any issues, review