从 Azure 下载 Windows VHD

适用于:✔️ Windows VM

本文介绍如何使用 Azure 门户从 Azure 下载 Windows 虚拟硬盘 (VHD) 文件。

可选:通用化 VM

如果要使用 VHD 作为映像来创建其他 VM,则应使用 Sysprep 来通用化操作系统。 否则,必须为要创建的每个 VM 复制磁盘。

若要使用 VHD 作为映像创建其他 VM,请通用化该 VM。

  1. 登录到 Azure 门户(如果未登录)。
  2. 连接到 VM
  3. 在 VM 上,以管理员身份打开“命令提示符”窗口。
  4. 将目录切换到 %windir%\system32\sysprep,然后运行 sysprep.exe。
  5. 在“系统准备工具”对话框中,选择“进入系统全新体验(OOBE)”,确保已选中“通用化”。
  6. 在“关闭选项”中选择“关闭”,然后单击“确定”。

如果不想通用化当前 VM,仍可首先创建 OS 磁盘的快照、从快照创建新的 VM,然后对副本进行通用化,从而创建通用映像。

停止 VM

如果 VHD 附加到正在运行的 VM,则不能从 Azure 下载。 如果要使 VM 保持运行,可创建快照,然后下载快照

  1. 在 Azure 门户的“中心”菜单上,单击“虚拟机”
  2. 从列表中选择 VM。
  3. 在 VM 的边栏选项卡上,单击“停止”

替代方法:创建 VM 磁盘快照

创建要下载的磁盘快照。

  1. 门户中选择 VM。
  2. 在左侧菜单中选择“磁盘”,然后选择要创建快照的磁盘。 系统将显示磁盘的详细信息。
  3. 从页面的顶部菜单选择“创建快照”。 “创建快照”页将打开。
  4. 在“名称”中键入快照的名称。
  5. 对于“快照类型”,选择“完全”或“增量” 。
  6. 完成操作后,选择“查看 + 创建”。

很快会创建快照,然后可以使用该快照下载或创建另一个 VM。

注意

如果不先停止 VM,快照将不会清理。 快照的状态就好像在创建快照时 VM 已重启或崩溃一样。 尽管这通常是安全的,但如果当时正在运行的应用程序会因崩溃受到影响,则可能会导致问题。

仅建议具有单个操作系统磁盘的 VM 使用此方法。 在下载快照之前,或者在为操作系统磁盘和每个数据磁盘创建快照之前,应停止具有一个或多个数据磁盘的 VM。

使用 Microsoft Entra ID 保护下载和上传

如果使用 Microsoft Entra ID 来控制资源访问,现在可使用它来限制 Azure 托管磁盘的上传和下载。 此功能在所有区域以正式版产品/服务的形式提供。 当用户尝试上传或下载磁盘时,Azure 会在 Microsoft Entra ID 中验证发出请求的用户的标识,并确认该用户具有所需的权限。 在更高级别,系统管理员可以在 Azure 帐户或订阅级别设置策略,以确保所有磁盘和快照都必须使用 Microsoft Entra ID 进行上传或下载。 如果对使用 Microsoft Entra ID 保护上传或下载有任何疑问,请联系此电子邮件地址:azuredisks@microsoft .com

限制

  • 无法将 VHD 上传到空快照。
  • Azure 备份目前不支持使用 Microsoft Entra ID 保护的磁盘。
  • Azure Site Recovery 目前不支持使用 Microsoft Entra ID 保护的磁盘。

先决条件

分配 RBAC 角色

若要访问受 Microsoft Entra ID 保护的托管磁盘,发出请求的用户必须具有托管磁盘角色的数据操作员角色,或者是具有以下权限的自定义角色

  • Microsoft.Compute/disks/download/action
  • Microsoft.Compute/disks/upload/action
  • Microsoft.Compute/snapshots/download/action
  • Microsoft.Compute/snapshots/upload/action

有关分配角色的详细步骤,请参阅以下关于门户PowerShellCLI 的文章。 若要创建或更新自定义角色,请参阅以下关于门户PowerShellCLI 的文章。

启用数据访问身份验证模式

启用“数据访问身份验证模式”以限制对磁盘的访问。 你可以在创建磁盘时启用它,也可以在“磁盘导出”页面中现有磁盘的“设置”下启用它

磁盘的数据访问身份验证模式复选框的屏幕截图,勾选复选框以限制对磁盘的访问,并保存更改。

生成下载 URL

若要下载 VHD 文件,需要生成共享访问签名 (SAS) URL。 生成 URL 时,将为 URL 分配到期时间。

重要

2025 年 2 月 15 日,磁盘和快照的共享访问签名 (SAS) 访问时间将限制为最多 60 天。 尝试生成有效期超过 60 天的 SAS 会导致错误。 已创建的有效期超过 60 天的任何现有磁盘或快照 SAS 在创建日期过去 60 天后可能会停止工作,并且在授权过程中会导致 403 错误。

如果托管磁盘或快照 SAS 的有效期超过 60 天,请撤销其访问权限,并生成请求访问 60 天(5,184,000 秒)或更少时间的新 SAS。 通过使用有效期更短的 SAS 来提高整体安全性。 请在 2025 年 2 月 15 日之前进行这些更改,以防止服务中断。 以下链接可用于查找、撤销和请求新的 SAS。

  1. 在 VM 的页面上,单击左侧菜单中的“磁盘”。
  2. 选择 VM 的操作系统磁盘。
  3. 在磁盘的页面上,从左侧菜单中选择“磁盘导出”。
  4. URL 默认的过期时间为 3600 秒(1 小时)。 对于 Windows OS 磁盘或大型数据磁盘,可能需要增加此时间。 通常,36000 秒(10 小时)足够了。
  5. 单击“生成 URL”。

注意

从默认值增加到期时间,以便提供足够时间来下载 Windows Server 操作系统的大型 VHD 文件。 下载大型 VHD 可能需要几个小时,具体取决于你的连接和 VM 大小。

当 SAS URL 处于活动状态时,尝试启动 VM 将导致错误“磁盘‘diskname’存在未完成的活动共享访问签名。”。 可以通过在“磁盘导出”页上选择“取消导出”来撤销 SAS URL

下载 VHD

注意

如果使用 Microsoft Entra ID 来保护托管磁盘下载,则下载 VHD 的用户必须具有相应的 RBAC 权限

  1. 在生成的 URL 下,单击“下载 VHD 文件”。
  2. 可能需要单击浏览器中的“保存”以开始下载。 VHD 文件的默认名称为 abcd

后续步骤