使用 Azure 备份来备份和还原已加密的虚拟机

本文介绍使用 Azure 备份来备份和还原虚拟机 (VM) 的步骤。 此外,提供有关受支持的方案、先决条件以及针对错误案例的疑难解答步骤的详细信息。

支持的方案

  • 只有使用 Azure 资源管理器部署模型的已加密 VM 才支持备份和还原。 使用经典部署模型的 VM 不支持备份和还原。
  • 使用 Azure 磁盘加密的 Windows 和 Linux VM 支持备份和还原。 磁盘加密使用 Windows 的行业标准 BitLocker 功能和 Linux 的 dm-crypt 功能提供磁盘加密。

    下表显示了仅使用 BitLocker 加密密钥 (BEK) 加密的 VM 支持的方案,以及使用 BEK 和密钥加密密钥 (KEK) 加密的 VM 支持的方案:

BEK + KEK VM 仅限 BEK 的 VM
非托管 VM
托管 VM

先决条件

备份加密的 VM

使用以下步骤设置备份目标、定义策略、配置项目和触发备份。

配置备份

  1. 如果已打开恢复服务保管库,请转到下一步。 如果未打开恢复服务保管库,而是位于 Azure 门户中,请选择“更多服务”。

    a. 在资源列表中,键入“恢复服务”。

    b. 开始键入时,会根据输入筛选该列表。 出现“恢复服务保管库”时,请选择它。

    恢复服务保管库

    c. 此时显示恢复服务保管库列表。 从列表中选择保管库。

    此时会打开选定的保管库仪表板。

  2. 从保管库下显示的项目列表中,选择“备份”开始备份加密的 VM。

    “备份”边栏选项卡

  3. 在“备份”磁贴中,选择“备份目标”。

    “方案”边栏选项卡

  4. 在“工作负荷在哪里运行?”下,选择“Azure”。 在“要备份哪些内容?”下,选择“虚拟机”。 然后选择“确定”。

    打开“方案”边栏选项卡

  5. 在“选择备份策略”下,选择要应用到保管库的备份策略。 然后选择“确定”。

    选择备份策略

    将会列出默认策略的详细信息。 如果要创建策略,请从下拉列表中选择“新建”。 选择“确定”后,备份策略将与保管库相关联。

  6. 选择要与指定策略关联的已加密 VM,并选择“确定”。

    选择加密型 VM

  7. 此页面显示与所选加密 VM 相关联的 Key Vault 的消息。 备份需要 Key Vault 中密钥和机密的只读访问权限。 它使用这些权限来备份密钥和机密以及关联的 VM。

    如果你是成员用户,“启用备份”过程将无缝获得密钥保管库的访问权限,以便备份加密的 VM 而无需任何用户干预。

    加密型 VM 消息

    对于来宾用户,必须授予备份服务访问密钥保管库的权限,才能进行备份。 可按照下一部分所述步骤提供这些权限

    加密型 VM 消息

    现已定义保管库的所有设置,接下来请选择页面底部的“启用备份”。 “启用备份”会将策略部署到保管库和 VM。

  8. 下一个阶段的准备工作是安装 VM 代理,或确保 VM 代理已安装。 若要执行相同的操作,请遵循为备份准备环境中的步骤。

触发备份作业

遵循将 Azure VM 备份到恢复服务保管库中的步骤触发备份作业。

继续备份已备份的启用了加密的 VM

如果 VM 已在恢复服务保管库中备份,并且之后对其启用了加密,则必须向备份服务提供访问 Key Vault 的权限,备份才能继续。 可遵循下一部分中的步骤提供这些权限。 或者,可以遵循 PowerShell 文档的“启用备份”部分中的 PowerShell 步骤。

为备份提供权限

使用以下步骤为备份提供相关权限,以访问 Key Vault 并对加密 VM 执行备份。

  1. 选择“更多服务”并搜索“Key Vault”。

    Key Vault

  2. 从 Key Vault 列表中,选择与加密 VM 关联的且需要备份的 Key Vault。

    Key Vault 选择

  3. 依次选择“访问策略”、“新增”。

    新增

  4. 选择“选择主体”,在搜索框中键入“备份管理服务”。

    备份服务搜索

  5. 依次选择“备份管理服务”、“选择”。

    备份服务选择

  6. 在“从模板配置(可选)”下,选择“Azure 备份”。 “密钥权限”和“机密权限”中已预先填充所需的权限。 如果 VM 是使用“仅限 BEK”加密的,则仅机密权限是必需的,因此必须删除“密钥权限”的选择内容。

    Azure 备份选择

  7. 选择“确定” 。 请注意,“备份管理服务”已添加到“访问策略”中。

    访问策略

  8. 选择“保存”,为备份服务授予所需的权限。

    备份访问策略

成功提供权限后,可继续为加密的 VM 启用备份。

还原已加密的 VM

若要还原已加密的 VM,请先遵循选择 VM 还原配置的“还原已备份的磁盘”部分中所述的步骤来还原磁盘。 之后,可以使用以下选项之一:

排查错误

操作 错误详细信息 解决方法
Backup 备份服务对 Key Vault 没有足够的权限,无法备份已加密的 VM。 应遵循上一部分中的步骤为备份服务提供这些权限。 或者,可以遵循 PowerShell 文档使用 AzureRM.RecoveryServices.Backup cmdlet 备份虚拟机的“启用保护”部分中所述的 PowerShell 步骤。
还原 无法还原此加密的 VM,因为与此 VM 关联的 Key Vault 不存在。 参考 Azure Key Vault 入门创建 Key Vault。 参阅使用 Azure 备份还原 Key Vault 密钥和机密来还原密钥和机密(如果不存在)。
还原 无法还原此加密的 VM,因为与此 VM 关联的密钥和机密不存在。 参阅使用 Azure 备份还原 Key Vault 密钥和机密来还原密钥和机密(如果不存在)。
还原 备份服务未获授权访问订阅中的资源。 如前所述,请先遵循选择 VM 还原配置的“还原已备份的磁盘”部分中所述的步骤来还原磁盘。 之后,使用 PowerShell 从已还原的磁盘创建 VM