你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用 Azure 备份服务还原包含加密的磁盘的 Windows 或 Linux Azure 虚拟机 (VM)。 有关详细信息,请参阅 Azure VM 备份的加密。
注意
本文适用于使用 Azure 磁盘加密进行加密的虚拟机。 若要详细了解 ADE 及其与 Azure 中的其他磁盘加密类型的不同之处,请参阅磁盘加密概述。
还可以使用 Azure 备份还原加密 VM 的 Key Vault 密钥和机密。 了解详细信息。
开始之前
在开始还原加密的 VM 之前,请查看已知限制
- 可以备份和还原同一订阅中的 ADE 加密的 VM。
- Azure 备份支持使用独立密钥加密的 VM。 目前不支持属于用于加密 VM 的证书的任何密钥。
- 无法在文件/文件夹级别恢复 ADE 加密的 VM。 需要恢复整个 VM 才能还原文件和文件夹。
- 还原 VM 时,无法对 ADE 加密的 VM 使用替换现有 VM 选项。 只有未加密的托管磁盘才支持此选项。
-
- 在 Azure VM 还原期间,仅当启用了 CMK 加密的保管库时,才会显示加密设置。
还原已加密的 VM
仅可通过还原 VM 磁盘和创建虚拟机实例来还原加密的 VM,如下所述。 目前不支持替换现有 VM 上的现有磁盘、从还原点创建 VM 以及文件或文件夹级别的还原。
请按照以下步骤还原加密的 VM:
步骤 1:还原 VM 磁盘
在“还原配置”“新建>还原类型”中,选择“还原磁盘”。>
在“资源组”中,为还原的磁盘选择现有资源组,或创建具有全局唯一名称的新资源组。
在“暂存位置”中,指定应将 VHD 复制到其中的存储帐户。 了解详细信息。
选择“还原”来触发还原操作。
当虚拟机使用托管磁盘,而你选择“创建虚拟机”选项时,Azure 备份不使用指定的存储帐户。 在使用“还原磁盘”和“即时还原”时,存储帐户仅用于存储模板。 在指定的资源组中创建了托管磁盘。 当虚拟机使用非托管磁盘时,它们会以 Blob 的形式还原到存储帐户。
注意
还原 VM 磁盘后,可以手动将原始 VM 的 OS 磁盘与已还原的 VM 磁盘进行交换,而无需重新创建它。 了解详细信息。
小窍门
单次传递 ADE 还原行为 - 使用 ADE 单次传递加密的虚拟机将在磁盘对象上存储加密设置。 如果快照时间元数据与 Key Vault 的当前 BEK/KEK 状态不匹配,或者创建快照后已轮换加密设置,则第 1 层(快照层)还原可能会失败。 如果第 1 层还原失败,请使用保管库层恢复点重试,该恢复点使用完全加密元数据重新构造磁盘。
步骤 2:重新创建虚拟机实例
执行下列操作之一:
- 使用执行还原操作期间生成的模板来自定义 VM 设置并触发 VM 部署。
了解详细信息。
注意
部署模板时,请验证存储帐户容器和公共/专用设置。
- 使用 PowerShell 从已还原的磁盘创建新的 VM。 了解详细信息。
步骤 3:还原加密的 Linux VM
请重新安装 ADE 扩展,使数据磁盘处于已打开和已装载状态。
注意
如果 Azure VM 使用的磁盘大小超过 4097 GB,或包含 16 个以上的磁盘,还原作业将无法还原还原还原的磁盘上的 ADE 设置。
注意
- 还原的磁盘从还原点保留其加密。
- ADE VM 配置(Key Vault 和扩展)不会自动重新应用。
- 若要在还原的 VM 上启用 ADE,请从还原的磁盘创建 VM,并使用原始 Key Vault 重新配置 ADE。
加密的 Azure VM 的跨区域还原
Azure 备份支持将加密的 Azure VM 跨区域还原到 Azure 配对区域。 了解如何为加密的 VM 启用跨区域还原。
注意
如果配对区域不在同一地理位置,则不支持加密 VM 的跨区域还原。 例如:巴西南部和美国中南部。
移动加密的 Azure VM
跨保管库或资源组移动加密 VM 与移动备份的 Azure 虚拟机相同。 请参阅:
后续步骤
如果遇到任何问题,请查看以下文章:
- 备份和还原已加密的 Azure VM 时出现的常见错误。
- Azure VM 代理/备份扩展问题。