Резервное копирование и восстановление зашифрованных виртуальных машин Azure

В этой статье описывается резервное копирование и восстановление виртуальных машин Windows или Linux Azure с зашифрованными дисками с помощью Azure Backup. Дополнительные сведения см. в разделе Шифрование резервных копий виртуальных машин Azure.

Поддерживаемые сценарии резервного копирования и восстановления зашифрованных виртуальных машин Azure

В этом разделе описаны поддерживаемые сценарии резервного копирования и восстановления зашифрованных виртуальных машин Azure.

Шифрование с помощью ключей, управляемых платформой

По умолчанию все диски на виртуальных машинах автоматически шифруются с помощью ключей, управляемых платформой (PMK), которые используют шифрование службы хранилища (SSE). Вы можете резервировать эти виртуальные машины с помощью Azure Backup без каких-либо конкретных действий, необходимых для поддержки шифрования на вашей стороне. Дополнительные сведения о шифровании с помощью ключей, управляемых платформой, см. в статье "Резервное копирование и восстановление зашифрованных виртуальных машин Azure".

Шифрование с помощью ключей, управляемых клиентом

При шифровании дисков с помощью ключей, управляемых клиентом (CMK), ключ, используемый для шифрования дисков, хранится в Azure Key Vault, который вы управляете. SSE с помощью cmKs отличается от шифрования дисков Azure (ADE). ADE использует средства шифрования ОС. SSE шифрует данные в службе хранилища, что позволяет использовать любую ОС или образы для виртуальных машин.

Вам не нужно выполнять явные действия для резервного копирования или восстановления виртуальных машин, использующих пакеты УПРАВЛЕНИЯ для шифрования дисков. Данные резервного копирования для этих виртуальных машин, хранящихся в хранилище, шифруются теми же методами, что и шифрование, используемое в хранилище.

Дополнительные сведения о шифровании управляемых дисков с помощью cmKs см. в статье о шифровании на стороне сервера хранилища дисков Azure.

Поддержка шифрования с помощью ADE

Azure Backup поддерживает резервное копирование виртуальных машин Azure с дисками ОС и данных, зашифрованными с помощью ADE. ADE использует Azure BitLocker для шифрования виртуальных машин Windows и функции dm-crypt для виртуальных машин Linux. ADE интегрируется с Azure Key Vault, обеспечивая управление секретами и ключами шифрования дисков. Вы также можете использовать ключи шифрования ключей Key Vault (KEKs) для добавления дополнительного уровня безопасности. KeKs шифруют секреты перед их записью в Key Vault.

Azure Backup может создавать резервные копии и восстанавливать виртуальные машины Azure с помощью ADE и без приложения Microsoft Entra, как описано в следующей таблице.

• Узнайте больше об ADE, Key Vault и KEK.
• Ознакомьтесь с вопросами и ответами о шифровании дисков виртуальных машин Azure.

Ограничения

Перед резервной копией или восстановлением зашифрованных виртуальных машин Azure ознакомьтесь со следующими ограничениями:

• Вы можете создавать резервные копии и восстанавливать зашифрованные ADE виртуальные машины в одной подписке.
• Виртуальные машины можно шифровать только с помощью автономных ключей. Ключи, которые входят в состав сертификата, используемого для шифрования виртуальной машины, в настоящее время не поддерживаются.
• Данные можно восстановить во вторичном регионе. Azure Backup поддерживает восстановление зашифрованных виртуальных машин Azure между парными регионами Azure. Дополнительные сведения см. в таблице поддержки.
• Вы можете восстановить зашифрованные ADE виртуальные машины на уровне файла или папки. Для восстановления файлов и папок необходимо восстановить всю виртуальную машину.
• Вы не можете использовать вариант замены существующей виртуальной машины для виртуальных машин, зашифрованных ADE, при восстановлении виртуальной машины. Этот параметр поддерживается только для незашифрованных управляемых дисков.

Перед началом работы

Перед началом работы выполните следующие действия.

1. Убедитесь, что у вас есть одна или несколько виртуальных машин Windows или Linux с включенным ADE.
2. Просмотрите матрицу поддержки для резервного копирования виртуальных машин Azure.
3. Создайте хранилище служб восстановления, если у вас его нет.
4. Если вы включите шифрование для виртуальных машин, которые уже включены для резервного копирования, предоставьте Azure Backup с разрешениями на доступ к хранилищу ключей, чтобы резервные копии могли продолжаться без сбоев. Узнайте больше о назначении этих разрешений.

В некоторых случаях также может потребоваться установить агент виртуальной машины на виртуальной машине.

Azure Backup создает резервные копии виртуальных машин Azure, устанавливая расширение в агент виртуальной машины Azure, работающий на этой машине. Если виртуальная машина создана из образа Azure Marketplace, агент установлен и запущен. Если вы создаете пользовательскую виртуальную машину или переносите локальный компьютер, может потребоваться вручную установить агент.

Настройка политики резервного копирования

Чтобы настроить политику резервного копирования, выполните следующие действия.

1. Если у вас нет хранилища резервных копий служб восстановления, выполните следующие инструкции , чтобы создать хранилище.

2. Перейдите к устойчивости, а затем нажмите кнопку +Настроить защиту.

   

3. В области "Настройка защиты" введите следующие поля:

   • Ресурсы, управляемые: выберите Azure.
   • Тип источника данных: выберите виртуальные машины Azure.
   • Решение. Выберите Azure Backup.

   Затем выберите Продолжить.

   

4. На панели "Пуск: настройка резервного копирования " для типа источника данных выберите виртуальные машины Azure и выберите созданное хранилище. Затем выберите Продолжить.

   

5. На панели "Настройка резервного копирования" назначьте политику резервного копирования.

   • Политика по умолчанию создает резервную копию виртуальной машины один раз в день. Ежедневные резервные копии хранятся в течение 30 дней. Моментальные снимки восстановления хранятся в течение двух дней.

   

   • Если вы не хотите использовать политику по умолчанию, выберите Создать новую и создайте собственную политику.

6. В разделе Виртуальные машины щелкните Добавить.

   

7. Выберите зашифрованные виртуальные машины, которые требуется создать резервную копию, с помощью политики выбора, и нажмите "ОК".

   

8. Если вы используете Key Vault, на странице хранилища появится сообщение о том, что Службе архивации Azure требуется доступ только для чтения к ключам и секретам в хранилище ключей:

   • Если вы получите это сообщение, действие не требуется:

     

   • Если вы получаете это сообщение, задайте разрешения, как описано в следующей процедуре:

     

9. Выберите "Включить резервное копирование" , чтобы развернуть политику резервного копирования в хранилище и включить резервное копирование для выбранных виртуальных машин.

Резервное копирование зашифрованных ADE виртуальных машин с помощью хранилищ ключей с поддержкой RBAC

Чтобы включить резервные копии для виртуальных машин с шифрованием ADE с помощью хранилищ ключей, включенных управлением доступом на основе ролей Azure (RBAC), назначьте роль администратора хранилища ключей приложению Microsoft Entra Службы управления резервными копиями, добавив назначение роли для управления доступом для хранилища ключей.

Операции резервного копирования виртуальных машин используют приложение службы управления резервными копиями вместо управляемого удостоверения хранилища служб восстановления для доступа к хранилищу ключей. Необходимо предоставить необходимые разрешения хранилища ключей этому приложению для правильной работы резервных копий.

Узнайте о доступных ролях. Роль администратора Key Vault позволяет получать, перечислять и создавать резервные копии как секрет, так и ключ.

Для хранилищ ключей с поддержкой Azure RBAC можно создать настраиваемую роль со следующим набором разрешений. Узнайте, как создать пользовательскую роль.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Запуск задания резервного копирования

Начальное резервное копирование выполняется в соответствии с расписанием, но вы также можете запустить его немедленно:

1. Перейдите к Устойчивость>Защищенные элементы.

2. На панели "Защищенные элементы" для типа источника данных выберите виртуальные машины Azure. Затем найдите виртуальную машину, настроенную для резервного копирования.

3. Щелкните правой кнопкой мыши соответствующую строку или выберите "Дополнительно " (...), а затем выберите "Создать резервную копию".

4. В Сделать резервную копию сейчас используйте элемент управления календаря, чтобы выбрать последний день, до которого должна сохраняться точка восстановления. Затем выберите OK.

5. Отслеживайте уведомления на портале.

   Чтобы отслеживать ход выполнения задания, перейдите кзаданиям> и отфильтруйте список выполняемых заданий. В зависимости от размера виртуальной машины создание начальной резервной копии может занять некоторое время.

Предоставление разрешений

Службе Azure Backup необходим доступ только для чтения, чтобы архивировать ключи и секреты вместе с соответствующими виртуальными машинами.

• Хранилище ключей связано с клиентом Microsoft Entra подписки Azure. Если вы являетесь пользователем-участником, Azure Backup получает доступ к хранилищу ключей без дальнейших действий.
• Если вы являетесь гостевым пользователем, необходимо предоставить разрешения azure Backup для доступа к хранилищу ключей. Чтобы настроить Azure Backup для зашифрованных виртуальных машин, необходимо иметь доступ к хранилищам ключей.

Сведения о предоставлении разрешений Azure RBAC в хранилище ключей см. в статье "Включение разрешений RBAC" в хранилище ключей.

Установка разрешений:

1. На портале Azure выберите Все службы и выполните поиск по запросу Хранилище ключей.

2. Выберите хранилище ключей, связанное с зашифрованной виртуальной машиной, которую вы резервируете.

   Совет

   Чтобы определить хранилище ключей, связанное с виртуальной машиной, введите приведенную ниже команду PowerShell. Замените имена группы ресурсов и виртуальной машины.

   Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

   Найдите в этой строке имя хранилища ключей:

   SecretUrl : https://<keyVaultName>.vault.azure.net

3. Выберите Политики доступа>Добавить политику доступа.

   

4. Для параметра Add access policy>Настроить из шаблона (необязательно) выберите Azure Backup.

   • Необходимые разрешения автоматически заполняются для Разрешений ключей и Разрешений секретов.
   • Если виртуальная машина шифруется только с помощью BEK, удалите выбор разрешений ключа, так как вам нужны разрешения только для секретов .

   

5. Выберите "Добавить ", чтобы добавить службу управления резервными копиями в разделе "Текущие политики доступа".

   

6. Нажмите кнопку Сохранить, чтобы предоставить разрешения службе Azure Backup.

Вы также можете задать политику доступа с помощью PowerShell или Azure CLI.

Связанный контент

• Восстановление зашифрованных виртуальных машин Azure

Если у вас возникнут какие-либо проблемы, ознакомьтесь со следующими статьями:

• распространенные ошибки при резервном копировании и восстановлении зашифрованных виртуальных машин Azure;
• проблемы с расширением резервного копирования и агента виртуальных машин Azure.
• Восстановление ключа и секрета Key Vault для зашифрованных виртуальных машин с помощью Azure Backup.