Condividi tramite

Ripristinare i file da un backup della macchina virtuale di Azure

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione di Linux che ha raggiunto lo stato di fine del servizio (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per altre informazioni, vedere Linee guida per la fine del ciclo di vita di CentOS.

Backup di Azure offre la possibilità di ripristinare dischi e macchine virtuali (VM) di Azure dai backup di VM di Azure, detti anche punti di recupero. Questo articolo illustra come ripristinare file e cartelle da un backup di VM di Azure. Il ripristino di file e cartelle è disponibile solo per le VM di Azure distribuite con il modello Resource Manager e protette in un insieme di credenziali di Servizi di ripristino.

Note

Questa funzionalità è disponibile per le VM di Azure distribuite usando il modello Resource Manager e protette in un insieme di credenziali di Servizi di ripristino. Il ripristino di file da un backup della VM crittografato non è supportato.

Flusso di lavoro di ripristino di cartelle e file

Passaggio 1: Generare e scaricare lo script per cercare e ripristinare i file

Per ripristinare file o cartelle dal punto di recupero, passare alla macchina virtuale e seguire questa procedura:

  1. Accedere al portale di Azure e, nel riquadro a sinistra, selezionare Macchine virtuali. Nell'elenco delle macchine virtuali selezionare la macchina virtuale per aprirne il dashboard.

  2. Nel menu della macchina virtuale selezionare Backup per aprire il dashboard Backup.

    Screenshot che mostra come aprire l'elemento di backup dell'insieme di credenziali di Servizi di ripristino.

  3. Nel menu del dashboard Backup selezionare Ripristino file.

    Selezionare Recupero file

    Viene aperto il menu Ripristino file.

    Menu Ripristino file

Importante

Gli utenti devono prendere nota delle limitazioni delle prestazioni di questa funzionalità. Come indicato nella sezione nota a piè di pagina del riquadro precedente, questa funzionalità deve essere usata quando la dimensione totale del recupero è di 10 GB o inferiore. Le velocità di trasferimento dei dati previste sono di circa 1 GB all'ora.

  1. In Seleziona punto di ripristino fare clic su Seleziona per scegliere il punto di ripristino che contiene i file necessari per il ripristino.

  2. Per scaricare il software usato per copiare i file dal punto di recupero, selezionare Scarica eseguibile, per una macchina virtuale Windows di Azure, oppure su Scarica script, per una macchina virtuale Linux di Azure per cui viene generato uno script di Python.

    Azure scarica il file eseguibile o lo script sul computer locale.

    Messaggio per il download del file eseguibile o dello script

    Per eseguire il file eseguibile o lo script come amministratore, è consigliabile salvare il file scaricato sul computer.

  3. Il file eseguibile o lo script è protetto da password, che viene quindi richiesta. Nel menu Ripristino file selezionare il pulsante di copia per caricare la password in memoria.

Passaggio 2: Verificare che il computer soddisfi i requisiti prima di eseguire lo script

Dopo aver scaricato correttamente lo script, assicurarsi di disporre del computer corretto per eseguire questo script. La macchina virtuale in cui si prevede di eseguire lo script non deve avere alcuna delle configurazioni non supportate seguenti. In caso affermativo, scegliere un computer alternativo che soddisfi i requisiti.

Dischi dinamici

Non è possibile eseguire lo script eseguibile nella macchina virtuale con una delle caratteristiche seguenti: scegliere un computer alternativo

  • Volumi che si estendono su più dischi (volumi con estensione e striping).
  • Volumi a tolleranza di errore (volume RAID-5 e con mirroring) in dischi dinamici.

Spazi di archiviazione di Windows

Non è possibile eseguire il file eseguibile scaricato nella stessa macchina virtuale di cui è stato eseguito il backup se la macchina virtuale di cui è stato eseguito il backup ha Spazi di archiviazione di Windows. Scegliere un computer alternativo.

Backup di macchine virtuali con dischi di grandi dimensioni

Se il computer di cui è stato eseguito il backup ha un numero elevato di dischi (>16) o dischi di grandi dimensioni (> 4 TB ciascuno), non è consigliabile eseguire lo script nello stesso computer per il ripristino, perché avrà un impatto significativo sulla macchina virtuale. È invece consigliabile avere una macchina virtuale separata solo per il ripristino di file (macchine virtuali D2v3 di Azure) e quindi arrestarla quando non necessario.

Vedere i requisiti per ripristinare i file dalle macchine virtuali di cui è stato eseguito il backup con un disco di grandi dimensioni:
Sistema operativo Windows
Sistema operativo Linux

Dopo aver scelto il computer corretto per eseguire lo script ILR, assicurarsi che soddisfi i requisiti del sistema operativo e i requisiti di accesso.

Passaggio 3: Requisiti del sistema operativo per eseguire correttamente lo script

La macchina virtuale in cui si vuole eseguire lo script scaricato deve soddisfare i requisiti seguenti.

Per il sistema operativo Windows

La tabella seguente illustra la compatibilità tra i sistemi operativi del server e del computer. Quando si esegue il ripristino di file, non è possibile ripristinare i file in una versione precedente o successiva del sistema operativo. Ad esempio, non è possibile ripristinare un file da una VM Windows Server 2016 a un computer Windows Server 2012 o Windows 8. È possibile ripristinare i file da una VM allo stesso sistema operativo server o al sistema operativo client compatibile.

Sistema operativo del server Sistema operativo compatibile del client
Windows Server 2022 Windows 11 e Windows 10
Windows Server 2019 Windows 10
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7

Per il sistema operativo Linux

In Linux, il sistema operativo del computer usato per ripristinare i file deve supportare il file system della macchina virtuale protetta. Quando si seleziona un computer per l'esecuzione dello script, assicurarsi che abbia un sistema operativo compatibile e che usi una delle versioni indicate nella tabella seguente:

Sistema operativo Linux Versioni
Ubuntu 12.04 e versioni successive
CentOS 6.5 e versioni successive
Red Hat Enterprise Linux (RHEL) 6.7 e versioni successive
Debian 7 e versioni successive
Oracle Linux 6.4 e versioni successive
SLES 12 e versioni successive
openSUSE 42.2 e versioni successive

Componenti aggiuntivi

Per l'esecuzione e la connessione sicura al punto di ripristino, lo script richiede anche componenti bash e Python.

Componente Versione Tipo di sistema operativo
bash 4 e versioni successive Linux
Pitone 2.6.6 e versioni successive Linux
.NET 4.6.2 e versioni successive Windows
TLS 1.2 dovrebbe essere supportata Linux/Windows

Assicurarsi inoltre di disporre del computer corretto per eseguire lo script ILR e che esso soddisfi i requisiti di accesso.

Passaggio 4: Requisiti di accesso per eseguire correttamente lo script

Se si esegue lo script in un computer con accesso limitato, assicurarsi di avere accesso a:

  • Tag del servizio download.microsoft.com o AzureFrontDoor.FirstParty nel gruppo di sicurezza di rete sulla porta 443 (in uscita)
  • URL di servizi di ripristino (il NOME GEOGRAFICO si riferisce all'area in cui si trova l'insieme di credenziali di Servizi di ripristino) nella porta 3260 (in uscita)
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.com (Per le aree pubbliche di Azure) o il tag del servizio AzureBackup nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.cn (Per Microsoft Azure gestito da 21Vianet) o tag di servizio AzureBackup nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.us (Per Azure US Government) o tag di servizio AzureBackup nel gruppo di sicurezza di rete
    • https://pod01-rec2.GEO-NAME.backup.windowsazure.de (Per Azure Germania) o tag di servizio AzureBackup nel gruppo di sicurezza di rete
  • Risoluzione DNS pubblica sulla porta 53 (in uscita)
  • Il requisito di accesso dell'ID Microsoft Entra è *.microsoft.com, *.windowsazure.come *.windows.net sulla porta 443 (in uscita).

Note

I proxy potrebbero non supportare il protocollo iSCSI o concedere l'accesso alla porta 3260. È quindi consigliabile eseguire questo script nei computer con accesso diretto come richiesto in precedenza e non nei computer che verranno reindirizzati al proxy.

Note

Nel caso in cui la macchina virtuale sottoposta a backup sia Windows, il nome geografico verrà indicato nella password generata.

Ad esempio, se la password generata è ContosoVM_wcus_GUID, il nome geografico è wcus e l'URL sarebbe: <https://pod01-rec2.wcus.backup.windowsazure.com>

Se la macchina virtuale di cui è stato eseguito il backup è Linux, il file di script scaricato nel passaggio 1 precedente avrà il nome geografico nel nome del file. Usare tale nome geografico per compilare l'URL. Il nome dello script scaricato inizierà con: "VMname'_'geoname'_'GUID".

Ad esempio, se il nome file dello script è ContosoVM_wcus_12345678, il nome geografico è wcus e l'URL sarà: <https://pod01-rec2.wcus.backup.windowsazure.com>

Per Linux, lo script richiede i componenti "open-iscsi" e "lshw" per la connessione al punto di ripristino. Se i componenti non sono presenti nel computer in cui viene eseguito, lo script chiede l'autorizzazione per installarli. Acconsentire all'installazione dei componenti necessari.

È necessario accedere a download.microsoft.com per scaricare i componenti usati per creare un canale sicuro tra il computer in cui viene eseguito lo script e i dati nel punto di ripristino.

Assicurarsi inoltre di disporre del computer corretto per eseguire lo script ILR e che esso soddisfi i requisiti del sistema operativo.

Passaggio 5: Esecuzione dello script e identificazione dei volumi

Note

Lo script viene generato solo in lingua inglese e non è localizzato. Di conseguenza, perché lo script sia eseguito correttamente potrebbe essere necessario che le impostazioni locali del sistema siano in inglese

Per Windows

Dopo aver soddisfatto tutti i requisiti elencati nel Passaggio 2, Passaggio 3 e Passaggio 4, copiare lo script dal percorso scaricato (in genere la cartella Download), vedere Passaggio 1 per informazioni su come generare e scaricare lo script. Fare clic con il pulsante destro del mouse sul file eseguibile ed eseguirlo con le credenziali di amministratore. Quando richiesto, digitare la password o incollarla dalla memoria e premere INVIO. Dopo l'immissione della password valida, lo script si connette al punto di ripristino.

Screenshot che mostra l'output eseguibile per il ripristino di file dalla macchina virtuale.

Quando si esegue il file eseguibile, il sistema operativo monta i nuovi volumi e assegna lettere di unità. È possibile usare Esplora risorse o Esplora file per individuare queste unità. Le lettere di unità assegnate ai volumi potrebbero non essere le stesse lettere della macchina virtuale originale. Il nome del volume viene tuttavia mantenuto. Il volume della macchina virtuale originale "Disco dati (E:\)", ad esempio, può essere collegato nel computer locale come "Disco dati ('Qualsiasi lettera':\)". Esplorare tutti i volumi indicati nell'output dello script fino a individuare i file o la cartella.

Volumi di ripristino collegati

Per le macchine virtuali di cui è stato eseguito il backup con dischi di grandi dimensioni (Windows)

Se il processo di ripristino dei file si blocca dopo l'esecuzione dello script di ripristino file (ad esempio, se i dischi non vengono mai montati o vengono montati ma i volumi non vengono visualizzati), seguire questa procedura:

  1. Verificare che il sistema operativo sia WS 2012 o versione successiva.

  2. Verificare che le chiavi del Registro di sistema siano impostate come indicato di seguito nel server di ripristino e assicurarsi di riavviare il server. Il numero accanto al GUID può essere compreso tra 0001 e 0005. Nell'esempio seguente è 0004. Passare al percorso della chiave del Registro di sistema fino alla sezione Parameters.

    Modifiche alla chiave del Registro di sistema 

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\TimeOutValue – change this from 60 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\SrbTimeoutDelta – change this from 15 to 2400 secs.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\EnableNOPOut – change this from 0 to 1
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e97b-e325-11ce-bfc1-08002be10318}\0003\Parameters\MaxRequestHoldTime - change this from 60 to 2400 secs.

Per Linux

Dopo aver soddisfatto tutti i requisiti elencati nel Passaggio 2, Passaggio 3 e Passaggio 4, generare uno script Python per i computer Linux. Vedere Passaggio 1 per informazioni su come generare e scaricare lo script. Scaricare lo script e copiarlo nel server Linux pertinente/compatibile. Potrebbe essere necessario modificare le autorizzazioni per eseguirlo con chmod +x <python file name>. Eseguire quindi il file Python con ./<python file name>.

In Linux i volumi del punto di ripristino sono montati nella cartella in cui viene eseguito lo script. I dischi collegati, i volumi e i percorsi di montaggio corrispondenti vengono visualizzati di conseguenza. Questi percorsi di montaggio sono visibili agli utenti con accesso a livello radice. Esplorare i volumi indicati nell'output dello script.

Menu Ripristino file per Linux

Per le macchine virtuali di cui è stato eseguito il backup con dischi di grandi dimensioni (Linux)**

Se il processo di ripristino dei file si blocca dopo l'esecuzione dello script di ripristino file (ad esempio, se i dischi non vengono mai montati o vengono montati ma i volumi non vengono visualizzati), seguire questa procedura:

  1. Nel file /etc/iscsi/iscsid.conf modificare l'impostazione da:
    • Da node.conn[0].timeo.noop_out_timeout = 5 a node.conn[0].timeo.noop_out_timeout = 120
  2. Dopo aver apportato le modifiche precedenti, eseguire di nuovo lo script. In caso di errori temporanei, verificare che vi sia un intervallo di 20-30 minuti tra le riesecuzioni per evitare picchi successivi di richieste che influiscono sulla preparazione del target. Questo intervallo tra le ri-esecuzioni garantisce che la destinazione sia pronta per la connessione dallo script.
  3. Dopo il ripristino dei file, assicurarsi di tornare al portale e selezionare Smonta dischi per i punti di recupero in cui non è stato possibile montare i volumi. In pratica, questo passaggio elimina eventuali processi/sessioni esistenti e aumenta le probabilità di ripristino.

Matrici LVM/RAID (per macchine virtuali Linux)

In Linux vengono usati la gestione dei volumi logici (LVM) e/o le matrici RAID software per gestire i volumi logici su più dischi. Se la VM Linux protetta usa array RAID e/o LVM, non è possibile eseguire lo script nella stessa VM.
Eseguire invece lo script in qualsiasi altro computer con sistema operativo compatibile che supporti il file system della VM protetta.
L'output dello script seguente mostra dischi e volumi di array RAID e/o LVM con il tipo di partizione.

Menu dell'output per LVM in Linux

Per portare online queste partizioni, eseguire i comandi riportati nelle sezioni successive.

Per le partizioni LVM

Dopo l'esecuzione dello script, le partizioni LVM vengono montate nei volumi fisici/dischi specificati nell'output dello script. Il processo consiste in

  1. Ottenere l'elenco univoco dei nomi dei gruppi di volumi dai volumi fisici o dai dischi
  2. Elencare quindi i volumi logici in tali gruppi di volumi
  3. Montare quindi i volumi logici in un percorso desiderato.
Elencare nomi dei gruppi di volumi dai volumi fisici

Per elencare i nomi dei gruppi di volumi:

sudo pvs -o +vguuid

Questo comando elenca tutti i volumi fisici (inclusi quelli presenti prima di eseguire lo script), i nomi dei gruppi di volumi corrispondenti e gli ID utente univoci del gruppo di volumi (UUID). Di seguito è riportato un output di esempio del comando.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdf   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

  /dev/sdd   datavg_db lvm2 a--   <1.50t <396.50g dhWL1i-lcZS-KPLI-o7qP-AN2n-y2f8-A1fWqN

La prima colonna (VA) mostra il volume fisico, le colonne successive mostrano il nome del gruppo di volumi, il formato, gli attributi, le dimensioni, lo spazio libero e l'ID univoco del gruppo di volumi. L'output del comando mostra tutti i volumi fisici. Fare riferimento all'output dello script e identificare i volumi correlati al backup. Nell'esempio precedente l'output dello script avrebbe mostrato /dev/sdf e /dev/sdd. Il gruppo di volumi datavg_db appartiene allo script e il gruppo di volumi Appvg_new appartiene al computer. L'idea finale consiste nell'assicurarsi che un nome univoco del gruppo di volumi abbia un ID univoco.

Gruppi di volumi duplicati

Esistono scenari in cui i nomi dei gruppi di volumi possono avere 2 UUID dopo l'esecuzione dello script. Significa che i nomi dei gruppi di volumi nel computer in cui viene eseguito lo script e nella macchina virtuale di cui è stato eseguito il backup sono gli stessi. È quindi necessario rinominare i gruppi di volumi delle macchine virtuali di cui è stato eseguito il backup. Esaminare l'esempio seguente.

PV         VG        Fmt  Attr PSize   PFree    VG UUID

  /dev/sda4  rootvg    lvm2 a--  138.71g  113.71g EtBn0y-RlXA-pK8g-de2S-mq9K-9syx-B29OL6

  /dev/sdc   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sde   APPvg_new lvm2 a--  <75.00g   <7.50g njdUWm-6ytR-8oAm-8eN1-jiss-eQ3p-HRIhq5

  /dev/sdg   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdh   APPvg_new lvm2 a--  <75.00g  508.00m lCAisz-wTeJ-eqdj-S4HY-108f-b8Xh-607IuC

  /dev/sdm2  rootvg    lvm2 a--  194.57g  127.57g efohjX-KUGB-ETaH-4JKB-MieG-EGOc-XcfLCt

L'output dello script avrebbe mostrato /dev/sdg, /dev/sdh, /dev/sdm2 come collegato. I nomi VG corrispondenti sono quindi Appvg_new e rootvg. Ma gli stessi nomi sono presenti anche nell'elenco VG del computer. È possibile verificare che un nome VG abbia due UUID.

È ora necessario rinominare i nomi VG per i volumi basati su script, ad esempio : /dev/sdg, /dev/sdh, /dev/sdm2. Per rinominare il gruppo di volumi, usare il comando seguente

sudo vgimportclone -n rootvg_new /dev/sdm2
sudo vgimportclone -n APPVg_2 /dev/sdg /dev/sdh

Ora sono disponibili tutti i nomi VG con ID univoci.

Gruppi di volumi attivi

Assicurarsi che i gruppi di volumi corrispondenti ai volumi dello script siano attivi. Il comando seguente viene usato per visualizzare i gruppi di volumi attivi. Controllare se i gruppi di volumi correlati dello script sono presenti in questo elenco.

sudo vgdisplay -a

In caso contrario, attivare il gruppo di volumi usando il comando seguente.

sudo vgchange –a y  <volume-group-name>
Elenco di volumi logici all'interno di gruppi di volumi

Dopo aver visualizzato l'elenco univoco e attivo di VG correlati allo script, è possibile elencare i volumi logici presenti in tali gruppi di volumi usando il comando seguente.

sudo lvdisplay <volume-group-name>

Questo comando visualizza il percorso di ogni volume logico come "Percorso LV".

Montaggio di volumi logici

Per montare i volumi logici nel percorso scelto:

sudo mount <LV path from the lvdisplay cmd results> </mountpath>

Avviso

Non usare "mount -a". Questo comando monta tutti i dispositivi descritti in "/etc/fstab". Ciò potrebbe significare che i dispositivi duplicati possono essere montati. I dati possono essere reindirizzati ai dispositivi creati da uno script, che non salvano in modo permanente i dati e quindi possono causare la perdita di dati.

Per le matrici RAID

Il comando seguente visualizza informazioni dettagliate su tutti i dischi RAID:

sudo mdadm –detail –scan

Il disco RAID pertinente viene visualizzato come /dev/mdm/<RAID array name in the protected VM>

Usare il comando mount se il disco RAID dispone di volumi fisici:

sudo mount [RAID Disk Path] [/mountpath]

Se nel disco RAID è configurata un'altra LVM, seguire la procedura precedente per le partizioni LVM usando il nome del volume invece del nome del disco RAID.

Passaggio 6: Chiusura della connessione

Dopo avere identificato i file e averli copiati in un percorso di archiviazione locale, rimuovere o smontare le unità aggiuntive. Per smontare le unità, nel menu Ripristino file del portale di Azure selezionareSmonta dischi.

Smontare i dischi

Dopo che i dischi sono stati smontati, viene visualizzato un messaggio. L'aggiornamento della connessione in modo che sia possibile rimuovere i dischi potrebbe richiedere alcuni minuti.

In Linux, dopo che la connessione al punto di ripristino viene interrotta, il sistema operativo non rimuove automaticamente i percorsi di montaggio corrispondenti, che rimangono come volumi "orfani" visibili, ma generano un errore in caso di accesso/scrittura di file. Possono essere rimossi manualmente eseguendo lo script con il parametro "clean" (python scriptName.py clean). Quando viene eseguito, lo script identifica tutti i volumi di questo tipo esistenti da eventuali punti di ripristino precedenti e li elimina dopo avere ottenuto il consenso.

Note

Assicurarsi che la connessione venga chiusa dopo il ripristino dei file necessari. Questo è importante, soprattutto nello scenario in cui viene configurato anche il computer in cui viene eseguito lo script per il backup. Se la connessione è ancora aperta, il backup successivo potrebbe non riuscire con l'errore "UserErrorUnableToOpenMount". Ciò si verifica perché si presuppone che le unità o i volumi montati siano disponibili e, quando si accede, potrebbero non riuscire perché l'archiviazione sottostante, ovvero il server di destinazione iSCSI potrebbe non essere disponibile. La pulizia della connessione rimuoverà queste unità/volumi per cui non saranno disponibili durante il backup.

Security

Questa sezione illustra le varie misure di sicurezza adottate per l'implementazione del ripristino dei file dai backup di macchine virtuali di Azure.

Flusso di funzionalità

Questa funzionalità è stata creata per accedere ai dati della macchina virtuale senza la necessità di ripristinare l'intera VM o i relativi dischi e con il numero minimo di passaggi. L'accesso ai dati della VM viene fornito da uno script (che monta il volume di ripristino quando viene eseguito come illustrato di seguito) e costituisce la base di tutte le implementazioni di sicurezza:

Flusso di funzionalità di sicurezza

Implementazioni di sicurezza

Selezionare il punto di ripristino (che può generare lo script)

Lo script consente di accedere ai dati della macchina virtuale, quindi è importante definire in primo luogo chi possa generarlo. È necessario accedere al portale di Azure e disporre dell'autorizzazione di controllo degli accessi in base al ruolo di Azure per generare lo script.

Il ripristino dei file richiede lo stesso livello di autorizzazione necessario per il ripristino di macchine virtuali e dischi. In altre parole, solo gli utenti autorizzati possono visualizzare i dati della macchina virtuale e generare lo script.

Lo script generato è firmato con il certificato Microsoft ufficiale per il servizio Backup di Azure. Eventuali manomissioni dello script indicano che la firma è danneggiata e qualsiasi tentativo di eseguire lo script viene evidenziato come un potenziale rischio da parte del sistema operativo.

Montare il volume di ripristino (che può eseguire lo script)

Solo un amministratore può eseguire lo script e l'operazione deve essere eseguita in modalità con privilegi elevati. Lo script esegue solo un set di passaggi pregenerati e non accetta input da un'origine esterna.

Per eseguire lo script, è necessaria una password che viene visualizzata solo all'utente autorizzato al momento della generazione dello script nel portale di Azure o in PowerShell/interfaccia della riga di comando. In questo modo è possibile verificare che l'utente autorizzato che scarica lo script sia anche responsabile della relativa esecuzione.

Esplorare file e cartelle

Per esplorare file e cartelle, lo script usa l'iniziatore iSCSI nel computer e si connette al punto di recupero configurato come destinazione iSCSI. Qui è possibile immaginare scenari in cui si prova a imitare o eseguire lo spoofing di uno o tutti i componenti.

Viene usato un meccanismo di autenticazione CHAP reciproca, in modo che ogni componente esegua l'autenticazione dell'altro. Ciò significa che è molto difficile per un iniziatore fittizio connettersi alla destinazione iSCSI e per una destinazione fittizia connettersi al computer in cui viene eseguito lo script.

Il flusso di dati tra il servizio di ripristino e il computer è protetto dalla compilazione di un tunnel TLS sicuro su TCP (TLS 1.2 dovrebbe essere supportato nel computer in cui viene eseguito lo script).

Anche eventuali elenchi di controllo di accesso (ACL) dei file presenti nella macchina virtuale padre/sottoposta a backup vengono conservati nel file system montato.

Lo script concede l'accesso in sola lettura a un punto di ripristino ed è valido solo per 12 ore. Se si intende rimuovere l'accesso in modo preventivo, accedere al portale di Azure/PowerShell/infrastruttura CLI ed eseguire l'operazione di smontaggio dei dischi per uno specifico punto di recupero. Lo script verrà immediatamente invalidato.

Passaggi successivi

  • Last updated on