Şifrelenmiş Azure sanal makinelerini yedekleme ve geri yükleme

Bu makalede, Azure Backup hizmetini kullanarak şifrelenmiş disklerle Windows veya Linux Azure sanal makinelerinin (VM) nasıl yedekleneceği ve geri yükleneceği açıklanır. Daha fazla bilgi için bkz . Azure VM yedeklemelerini şifreleme.

Şifrelenmiş Azure VM'lerinin yedeklenmesi ve geri yüklenmesi için desteklenen senaryolar

Bu bölümde şifrelenmiş Azure VM'lerinin yedeklenmesi ve geri yüklenmesi için desteklenen senaryolar açıklanmaktadır.

Platform tarafından yönetilen anahtarları kullanarak şifreleme

Varsayılan olarak, VM'lerinizdeki tüm diskler depolama hizmeti şifrelemesi kullanan platform tarafından yönetilen anahtarlar (PMK) kullanılarak bekleme sırasında otomatik olarak şifrelenir. Bu VM'leri Azure Backup'ı kullanarak, sizin ucunuzda şifrelemeyi desteklemek için gereken belirli eylemler olmadan yedekleyebilirsiniz. Platform tarafından yönetilen anahtarlarla şifreleme hakkında daha fazla bilgi için bu makaleye bakın.

Şifrelenmiş diskler

Müşteri tarafından yönetilen anahtarları kullanarak şifreleme

Diskleri müşteri tarafından yönetilen anahtarlarla (CMK) şifrelediğinizde, diskleri şifrelemek için kullanılan anahtar Azure Key Vault'ta depolanır ve sizin tarafınızdan yönetilir. CMK kullanan Depolama Hizmeti Şifrelemesi (SSE), Azure Disk Şifrelemesi (ADE) şifrelemesinden farklıdır. ADE, işletim sisteminin şifreleme araçlarını kullanır. SSE, depolama hizmetindeki verileri şifreleyerek VM'leriniz için herhangi bir işletim sistemi veya görüntü kullanmanızı sağlar.

Disklerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanan VM'lerin yedeklenmesi veya geri yüklenmesi için herhangi bir açık eylem gerçekleştirmeniz gerekmez. Kasada depolanan bu VM'lerin yedekleme verileri, kasada kullanılan şifreleme ile aynı yöntemlerle şifrelenir.

Yönetilen diskleri müşteri tarafından yönetilen anahtarlarla şifreleme hakkında daha fazla bilgi için bu makaleye bakın.

ADE kullanarak şifreleme desteği

Azure Backup, işletim sistemi/veri disklerinin Azure Disk Şifrelemesi (ADE) ile şifrelenmesini sağlayan Azure VM'lerinin yedeklenmesini destekler. ADE, Windows VM'lerini şifrelemek için BitLocker'ı ve Linux VM'leri için dm-crypt özelliğini kullanır. ADE, disk şifreleme anahtarlarını ve gizli dizilerini yönetmek için Azure Key Vault ile tümleşir. Key Vault Anahtar Şifreleme Anahtarları (KEK'ler) ek bir güvenlik katmanı eklemek ve şifreleme gizli dizilerini Key Vault'a yazmadan önce şifrelemek için kullanılabilir.

Azure Backup, aşağıdaki tabloda özetlenen şekilde Microsoft Entra uygulamasıyla ve microsoft entra uygulaması olmadan ADE kullanarak Azure VM'lerini yedekleyebilir ve geri yükleyebilir.

VM disk türü ADE (BEK/dm-crypt) ADE ve KEK
Yönetilme -yen Yes Yes
Yönetilen Yes Yes

Sınırlamalar

Şifrelenmiş Azure VM'lerini yedeklemeden veya geri yüklemeden önce aşağıdaki sınırlamaları gözden geçirin:

  • Aynı abonelik içindeki ADE şifrelenmiş VM'leri yedekleyebilir ve geri yükleyebilirsiniz.
  • Azure Backup, tek başına anahtarlar kullanılarak şifrelenmiş VM'leri destekler. VM'yi şifrelemek için kullanılan bir sertifikanın parçası olan anahtarlar şu anda desteklenmemekte.
  • Azure Backup, şifrelenmiş Azure VM'lerinin Eşleştirilmiş Azure bölgelerine Bölgeler Arası Geri Yüklemesini destekler. Daha fazla bilgi için bkz . destek matrisi.
  • ADE şifrelenmiş VM'ler dosya/klasör düzeyinde kurtarılamaz. Dosyaları ve klasörleri geri yüklemek için vm'nin tamamını kurtarmanız gerekir.
  • Vm'yi geri yüklerken, ADE şifreli VM'ler için mevcut VM'yi değiştir seçeneğini kullanamazsınız. Bu seçenek yalnızca şifrelenmemiş yönetilen diskler için desteklenir.

Başlamadan önce

Başlamadan önce aşağıdakileri yapın:

  1. ADE etkin bir veya daha fazla Windows veya Linux VM'niz olduğundan emin olun.
  2. Azure VM yedeklemesi için destek matrisini gözden geçirin
  3. Kurtarma Hizmetleri Yedekleme kasanız yoksa oluşturun .
  4. Yedekleme için zaten etkinleştirilmiş vm'ler için şifrelemeyi etkinleştirirseniz yedeklemelerin kesintiye uğramadan devam edebilmesi için Yedekleme'ye Key Vault'a erişim izinleri sağlamanız yeterlidir. Bu izinleri atama hakkında daha fazla bilgi edinin.

Buna ek olarak, bazı durumlarda yapmanız gerekebilecek birkaç şey vardır:

  • VM aracısını VM'ye yükleme: Azure Backup, makinede çalışan Azure VM aracısına bir uzantı yükleyerek Azure VM'lerini yedekler. VM'niz bir Azure Market görüntüsünden oluşturulduysa aracı yüklenir ve çalışır. Özel bir VM oluşturursanız veya şirket içi makineyi geçirirseniz aracıyı el ile yüklemeniz gerekebilir.

Yedekleme ilkesi yapılandırma

Yedekleme ilkesi yapılandırmak için şu adımları izleyin:

  1. Henüz bir Kurtarma Hizmetleri yedekleme kasası oluşturmadıysanız bu yönergeleri izleyin.

  2. Yedekleme merkezine gidin ve Genel Bakış sekmesinden +Yedekleme'ye tıklayın

    Yedekleme bölmesi

  3. Veri kaynağı türü olarak Azure Sanal makineleri'ni seçin ve oluşturduğunuz kasayı seçin, ardından Devam'a tıklayın.

    Senaryo bölmesi

  4. Kasayla ilişkilendirmek istediğiniz ilkeyi seçin ve ardından Tamam'ı seçin.

    • Yedekleme ilkesi, yedeklemelerin ne zaman alındığını ve ne kadar süreyle depolandığını belirtir.
    • Varsayılan ilkenin ayrıntıları, açılan menü altında listelenir.

    Yedekleme ilkesi seçme

  5. Varsayılan ilkeyi kullanmak istemiyorsanız Yeni Oluştur'u seçin ve özel bir ilke oluşturun.

  6. Sanal Makineler altında Ekle'yi seçin.

    Sanal makine ekleme

  7. İlkeyi seçin ve Tamam'ı kullanarak yedeklemek istediğiniz şifrelenmiş VM'leri seçin.

    Şifrelenmiş VM'leri seçme

  8. Azure Key Vault kullanıyorsanız, kasa sayfasında Azure Backup'ın Key Vault'taki anahtarlara ve gizli dizilere salt okunur erişime ihtiyacı olduğunu belirten bir ileti görürsünüz.

    • Bu iletiyi alırsanız herhangi bir eylem gerekmez.

      Erişim Tamam

    • Bu iletiyi alırsanız, aşağıdaki yordamda açıklandığı gibi izinleri ayarlamanız gerekir.

      Erişim uyarısı

  9. Kasada yedekleme ilkesini dağıtmak ve seçili VM'ler için yedeklemeyi etkinleştirmek için Yedeklemeyi Etkinleştir'i seçin.

RBAC özellikli anahtar kasaları ile ADE şifreli VM'leri yedekleme

Azure RBAC özellikli anahtar kasalarını kullanarak ADE şifreli VM'lerde yedeklemeleri etkinleştirmek için, Anahtar Kasası Erişim Denetimi'ne bir rol ataması ekleyerek Yedekleme Yönetimi Hizmeti Microsoft Entra uygulamasına Key Vault Yöneticisi rolü atamanız gerekir.

ADE şifreli anahtar kasasını etkinleştirme onay kutusunu gösteren ekran görüntüsü.

Farklı kullanılabilir roller hakkında bilgi edinin. Key Vault Yöneticisi rolü hem gizli dizi hem de anahtar alma, listeleme ve yedekleme izinlerine izin verebilir.

Azure RBAC özellikli anahtar kasaları için aşağıdaki izin kümesiyle özel rol oluşturabilirsiniz. Özel rol oluşturmayı öğrenin.

Eylem Açıklama
Microsoft.KeyVault/vaults/keys/backup/action Bir anahtarın yedekleme dosyasını oluşturur.
Microsoft.KeyVault/vaults/secrets/backup/action Bir gizli dizinin yedek dosyasını oluşturur.
Microsoft.KeyVault/vaults/secrets/getSecret/action Gizli dizi değerini alır.
Microsoft.KeyVault/vaults/keys/read Belirtilen kasadaki anahtarları listeleyin veya özellikleri ve genel malzemeleri okuyun.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Bir gizli dizinin özelliklerini listeleyin veya görüntüleyin, ancak değerlerini görüntülemeyin.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Anahtar kasasına izin ekleme adımlarını gösteren ekran görüntüsü.

Yedekleme işini tetikleme

İlk yedekleme zamanlamaya uygun olarak çalışır, ancak hemen aşağıdaki gibi çalıştırabilirsiniz:

  1. Yedekleme merkezine gidin ve Yedekleme Örnekleri menü öğesini seçin.
  2. Veri kaynağı türü olarak Azure Sanal makineleri'ni seçin ve yedekleme için yapılandırdığınız VM'yi arayın.
  3. İlgili satıra sağ tıklayın veya diğer simgesini (...) seçin ve Şimdi Yedekle'ye tıklayın.
  4. Şimdi Yedekle'de, kurtarma noktasının tutulacağı son günü seçmek için takvim denetimini kullanın. Ardından Tamam'ı seçin.
  5. Portal bildirimlerini izleyin. İşin ilerleme durumunu izlemek için Yedekleme merkezi>Yedekleme İşleri'ne gidin ve Devam eden işler listesine filtreleyin. VM’nizin boyutuna bağlı olarak, ilk yedeklemenin oluşturulması biraz zaman alabilir.

İzinleri sağlama

Azure Backup'ın anahtarları ve gizli dizileri ve ilişkili VM'leri yedeklemek için salt okunur erişime ihtiyacı vardır.

  • Key Vault'unuz Azure aboneliğinin Microsoft Entra kiracısıyla ilişkilendirilir. Üye kullanıcıysanız, Azure Backup başka bir işlem yapmadan Key Vault'a erişim elde eder.
  • Konuk kullanıcıysanız Azure Backup'ın anahtar kasasına erişmesi için izinler sağlamanız gerekir. Şifrelenmiş VM'ler için Yedekleme'yi yapılandırmak için anahtar kasalarına erişiminiz olmalıdır.

Key Vault'ta Azure RBAC izinleri sağlamak için bu makaleye bakın.

İzinleri ayarlamak için:

  1. Azure portalında Tüm hizmetler'i seçin ve Anahtar kasaları'nı arayın.

  2. Yedeklediğiniz şifrelenmiş VM ile ilişkili anahtar kasasını seçin.

    İpucu

    Vm'nin ilişkili anahtar kasasını tanımlamak için aşağıdaki PowerShell komutunu kullanın. Kaynak grubu adınızı ve VM adınızı değiştirin:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Anahtar kasasının adını şu satırda arayın:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Erişim ilkeleri>Erişim İlkesi Ekle'yi seçin.

    Erişim ilkesi ekleme

  4. Erişim ilkesi>ekle Şablondan yapılandır (isteğe bağlı) bölümünde Azure Backup'ı seçin.

    • Anahtar izinleri ve Gizli dizi izinleri için gerekli izinler önceden doldurulur.
    • VM'niz yalnızca BEK kullanılarak şifreleniyorsa, yalnızca gizli diziler için izinlere ihtiyacınız olduğundan Anahtar izinleri seçimini kaldırın.

    Azure Backup seçimi

  5. Ekle'yi seçin. Yedekleme Yönetimi Hizmeti, Erişim ilkelerine eklenir.

    Erişim ilkeleri

  6. Azure Backup'a izinleri sağlamak için Kaydet'i seçin.

Erişim ilkesini PowerShell veya CLI kullanarak da ayarlayabilirsiniz.

Sonraki adım

Şifrelenmiş Azure sanal makinelerini geri yükleme

Herhangi bir sorunla karşılaşırsanız şu makaleleri gözden geçirin: