本文介绍如何使用 Azure 备份服务还原包含加密的磁盘的 Windows 或 Linux Azure 虚拟机 (VM)。 有关详细信息,请参阅 Azure VM 备份的加密。
注意
本文适用于使用 Azure 磁盘加密进行加密的虚拟机。 若要详细了解 ADE 及其与 Azure 中的其他磁盘加密类型的不同之处,请参阅磁盘加密概述。
开始之前
在开始还原加密的 VM 之前,请查看已知限制
- 可以备份和还原同一订阅中的 ADE 加密的 VM。
- Azure 备份支持使用独立密钥加密的 VM。 目前不支持属于用于加密 VM 的证书的任何密钥。
- 无法在文件/文件夹级别恢复 ADE 加密的 VM。 需要恢复整个 VM 才能还原文件和文件夹。
- 还原 VM 时,无法对 ADE 加密的 VM 使用替换现有 VM 选项。 只有未加密的托管磁盘才支持此选项。
-
- 在 Azure VM 还原期间,仅当启用了 CMK 加密的保管库时,才会显示加密设置。
还原已加密的 VM
仅可通过还原 VM 磁盘和创建虚拟机实例来还原加密的 VM,如下所述。 目前不支持替换现有 VM 上的现有磁盘、从还原点创建 VM 以及文件或文件夹级别的还原。
请按照以下步骤还原加密的 VM:
步骤 1:还原 VM 磁盘
在“还原配置”“新建>还原类型”中,选择“还原磁盘” 。
在“资源组”中,为已还原的磁盘选择现有资源组,或者创建具有全局唯一名称的新资源组。
在“暂存位置”中,指定应将 VHD 复制到其中的存储帐户。 了解详细信息。
选择“还原”来触发还原操作。
当虚拟机使用托管磁盘,而你选择“创建虚拟机”选项时,Azure 备份不使用指定的存储帐户。 在使用“还原磁盘”和“即时还原”时,存储帐户仅用于存储模板。 在指定的资源组中创建了托管磁盘。 当虚拟机使用非托管磁盘时,它们会以 Blob 的形式还原到存储帐户。
注意
还原 VM 磁盘后,可以手动将原始 VM 的 OS 磁盘与已还原的 VM 磁盘进行交换,而无需重新创建它。 了解详细信息。
步骤 2:重新创建虚拟机实例
执行下列操作之一:
- 使用执行还原操作期间生成的模板来自定义 VM 设置并触发 VM 部署。
了解详细信息。
注意
部署模板时,请验证存储帐户容器和公共/专用设置。
- 使用 PowerShell 从已还原的磁盘创建新的 VM。 了解详细信息。
步骤 3:还原加密的 Linux VM
请重新安装 ADE 扩展,使数据磁盘处于已打开和已装载状态。
注意
如果 Azure VM 使用磁盘大小 >= 4097 GB,或包括 > 16 个磁盘,还原作业将无法还原还原已还原磁盘上的 ADE 设置。 还原的磁盘仍使用 ADE 进行加密,因为它位于还原点,但 ADE 配置不适用于还原的磁盘。
若要重新启用 ADE,请从还原的磁盘创建新的 Azure VM,然后使用 ADE 重新加密它。
加密的 Azure VM 的跨区域还原
Azure 备份支持将加密的 Azure VM 跨区域还原到 Azure 配对区域。 了解如何为加密的 VM 启用跨区域还原。
移动加密的 Azure VM
跨保管库或资源组移动加密 VM 与移动备份的 Azure 虚拟机相同。 请参阅:
后续步骤
如果遇到任何问题,请查看以下文章:
- 备份和还原已加密的 Azure VM 时出现的常见错误。
- Azure VM 代理/备份扩展问题。