Implementace zotavení po havárii pomocí zálohování a obnovení služby ve službě Azure API Management

PLATÍ PRO: Vývojář | Základní | Standardní | Premium

Publikováním a správou rozhraní API prostřednictvím služby Azure API Management využíváte možnosti odolnosti proti chybám a infrastruktury, které byste jinak navrhli, implementovali a spravovali ručně. Platforma Azure zmírní velký zlomek potenciálních selhání za zlomek nákladů.

Pokud se chcete zotavit z problémů s dostupností, které ovlivňují vaši službu API Management, připravte se kdykoli na rekonstituci služby v jiné oblasti. V závislosti na cíli doby obnovení můžete chtít zachovat pohotovostní službu v jedné nebo více oblastech. Můžete se také pokusit udržovat jejich konfiguraci a obsah synchronizovaný s aktivní službou podle cíle bodu obnovení. Funkce zálohování a obnovení služby API Management poskytují nezbytné stavební bloky pro implementaci strategie zotavení po havárii.

Operace zálohování a obnovení je také možné použít k replikaci konfigurace služby API Management mezi provozními prostředími, například pro vývoj a přípravu. Dávejte pozor, aby se data modulu runtime, jako jsou uživatelé a předplatná, zkopírovala také, což nemusí být vždy žádoucí.

Tento článek ukazuje, jak automatizovat operace zálohování a obnovení instance služby API Management pomocí externího účtu úložiště. Zde uvedené kroky používají buď rutiny Azure PowerShellu Backup-AzApiManagement a Restore-AzApiManagement , nebo službu API Management – Zálohování a službu API Management – Obnovení rozhraní REST API.

Výstraha

Platnost každé zálohy vyprší za 30 dnů. Pokud se pokusíte obnovit zálohu po uplynutí 30denní doby vypršení platnosti, obnovení se nezdaří se zprávou Cannot restore: backup expired .

Důležité

Operace obnovení nemění vlastní konfiguraci názvu hostitele cílové služby. Doporučujeme použít stejný vlastní název hostitele a certifikát TLS pro aktivní i pohotovostní služby, aby po dokončení operace obnovení bylo možné přenosy znovu směrovat do pohotovostní instance jednoduchou změnou DNS CNAME.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

• Instance služby API Management. Pokud ho nemáte, přečtěte si téma Vytvoření instance služby API Management.

• Účet úložiště Azure. Pokud žádný nemáte, podívejte se na Vytvořit účet úložiště.

  • Vytvořte kontejner v účtu úložiště, ve které se budou uchovávat zálohovaná data.

• Nejnovější verze Azure PowerShellu, pokud plánujete používat rutiny Azure PowerShellu. Pokud jste to ještě neudělali, nainstalujte Azure PowerShell.

Konfigurace přístupu k účtu úložiště

Při spuštění operace zálohování nebo obnovení je potřeba nakonfigurovat přístup k účtu úložiště. API Management podporuje dva mechanismy přístupu k úložišti: přístupový klíč služby Azure Storage nebo spravovanou identitu služby API Management.

Konfigurace přístupového klíče účtu úložiště

Azure vygeneruje dva 512bitové přístupové klíče účtu úložiště pro každý účet úložiště. Tyto klíče je možné použít k autorizaci přístupu k datům ve vašem účtu úložiště prostřednictvím autorizace sdíleného klíče. Pokud chcete zobrazit, načíst a spravovat klíče, přečtěte si téma Správa přístupových klíčů účtu úložiště.

Konfigurujte spravovanou identitu ve službě API Management

Poznámka:

Použití spravované identity služby API Management pro operace úložiště během zálohování a obnovení je podporováno ve verzi 2021-04-01-preview rozhraní REST API služby API Management nebo novější.

1. Povolte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem pro službu API Management ve vaší instanci služby API Management.

   • Pokud povolíte spravovanou identitu přiřazenou uživatelem, poznamenejte si ID klienta této identity.
   • Pokud budete zálohovat a obnovovat do různých instancí služby API Management, povolte spravovanou identitu ve zdrojových i cílových instancích.

2. Přiřaďte identitě roli Storage Blob Data Contributor, vymezenou na účet úložiště používaný k zálohování a obnovení. K přiřazení role použijte Azure Portal nebo jiné nástroje Azure.

Zálohování služby API Management

PowerShell

Přihlaste se pomocí Azure PowerShellu.

V následujících příkladech:

• Instance služby API Management s názvem myapim je ve skupině prostředků s názvem apimresourcegroup.
• Účet úložiště s názvem backupstorageaccount je ve skupině prostředků storageresourcegroup. Účet úložiště má kontejner pojmenovaný zálohy.
• Vytvoří se záložní objekt blob s názvem ContosoBackup.apimbackup.

Nastavení proměnných v PowerShellu:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Přístup pomocí přístupového klíče k úložišti

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName -TargetBlobName $blobName

Přístup pomocí spravované identity

Pokud chcete ve vaší instanci služby API Management nakonfigurovat spravovanou identitu pro přístup k účtu úložiště, přečtěte si část Konfigurace spravované identity výše v tomto článku.

Přístup pomocí spravované identity přiřazené systémem

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Přístup pomocí spravované identity přiřazené uživatelem

V tomto příkladu je uživatelem přiřazená spravovaná identita s názvem myidentity ve skupině zdrojů identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

Zálohování je dlouhotrvající operace, která může trvat několik minut. Během této doby brána rozhraní API nadále zpracovává požadavky, ale stav služby se aktualizuje.

CLI (Rozhraní příkazového řádku)

Přihlaste se pomocí Azure CLI.

V následujících příkladech:

• Instance služby API Management s názvem myapim je ve skupině prostředků apimresourcegroup.
• Účet úložiště s názvem backupstorageaccount je ve skupině prostředků storageresourcegroup. Účet úložiště má kontejner pojmenovaný zálohy.
• Vytvoří se záložní objekt blob s názvem ContosoBackup.apimbackup.

Nastavení proměnných v Bash:

apiManagementName="myapim";
apiManagementResourceGroup="apimresourcegroup";
storageAccountName="backupstorageaccount";
storageResourceGroup="storageresourcegroup";
containerName="backups";
backupName="ContosoBackup.apimbackup";

Přístup pomocí přístupového klíče k úložišti

storageKey=$(az storage account keys list --resource-group $storageResourceGroup --account-name $storageAccountName --query [0].value --output tsv)

az apim backup --resource-group $apiManagementResourceGroup --name $apiManagementName \
    --storage-account-name $storageAccountName --storage-account-key $storageKey --storage-account-container $containerName --backup-name $backupName

Zálohování je dlouhotrvající operace, která může trvat několik minut. Během této doby brána rozhraní API nadále zpracovává požadavky, ale stav služby se aktualizuje.

REST

Informace o ověřování a volání rozhraní Azure REST API najdete v referenčních informacích k rozhraním Azure REST API.

Pokud chcete zálohovat službu API Management, zadejte následující požadavek HTTP:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/backup?api-version={api-version}

kde:

• subscriptionId – ID předplatného, které obsahuje službu API Management, kterou se pokoušíte zálohovat
• resourceGroupName – název skupiny prostředků vaší služby Azure API Management
• serviceName – název služby API Management, kterou vytváříte zálohu zadanou v okamžiku jejího vytvoření
• api-version – platná verze rozhraní REST API, jako 2021-08-01 nebo 2021-04-01-preview.

V textu požadavku zadejte název cílového účtu úložiště, název kontejneru objektů blob, název zálohy a typ přístupu k úložišti. Pokud kontejner úložiště neexistuje, operace zálohování ho vytvoří.

Přístup pomocí přístupového klíče k úložišti

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Přístup pomocí spravované identity

Poznámka:

Použití spravované identity služby API Management pro operace úložiště během zálohování a obnovení vyžaduje verzi 2021-04-01-preview rozhraní REST API služby API Management nebo novější.

Přístup pomocí spravované identity přiřazené systémem

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Přístup pomocí spravované identity přiřazené uživatelem

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Nastavte hodnotu hlavičky požadavku Content-Type na application/json.

Zálohování je dlouhotrvající operace, která může trvat několik minut. Pokud požadavek proběhl úspěšně a proces zálohování začal, obdržíte stavový 202 Accepted kód odpovědi s hlavičkou Location . Proveďte GET požadavky na adresu URL v Location hlavičce, abyste zjistili stav operace. Zatímco probíhá zálohování, budete dál dostávat stavový 202 Accepted kód. Během této doby brána rozhraní API nadále zpracovává požadavky, ale stav služby se aktualizuje. Kód 200 OK odpovědi značí úspěšné dokončení operace zálohování.

Obnovení služby API Management

Upozornění

Během probíhající operace obnovení se vyhněte změnám konfigurace služby (například rozhraní API, zásad, vzhledu portálu pro vývojáře). Změny můžou být přepsány.

PowerShell

V následujících příkladech:

• Instance služby API Management s názvem myapim byla obnovena ze zálohového blobu s názvem ContosoBackup.apimbackup v účtu úložiště backupstorageaccount.
• Objekt blob zálohy je v kontejneru s názvem zálohy.

Nastavení proměnných v PowerShellu:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Přístup pomocí přístupového klíče k úložišti

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName -SourceBlobName $blobName

Přístup pomocí spravované identity

Pokud chcete ve vaší instanci služby API Management nakonfigurovat spravovanou identitu pro přístup k účtu úložiště, přečtěte si část Konfigurace spravované identity výše v tomto článku.

Přístup pomocí spravované identity přiřazené systémem

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Přístup pomocí spravované identity přiřazené uživatelem

V tomto příkladu je spravovaná identita, kterou uživatel přiřadil, s názvem myidentity ve skupině prostředků identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

Obnovení je dlouhotrvající operace, která může trvat až 45 minut nebo déle.

Rozhraní příkazového řádku

V následujících příkladech:

• Instance služby API Management s názvem myapim se obnoví z blobu zálohy s názvem ContosoBackup.apimbackup v účtu úložiště backupstorageaccount.
• Záložní blob se nachází v kontejneru pojmenovaném zálohy.

Nastavení proměnných v Bash:

apiManagementName="myapim";
apiManagementResourceGroup="apimresourcegroup";
storageAccountName="backupstorageaccount";
storageResourceGroup="storageresourcegroup";
containerName="backups";
backupName="ContosoBackup.apimbackup"

Přístup pomocí přístupového klíče k úložišti

storageKey=$(az storage account keys list --resource-group $storageResourceGroup --account-name $storageAccountName --query [0].value --output tsv)

az apim restore --resource-group $apiManagementResourceGroup --name $apiManagementName \
    --storage-account-name $storageAccountName --storage-account-key $storageKey --storage-account-container $containerName --backup-name $backupName

Obnovení je dlouhotrvající operace, která může trvat až 45 minut nebo déle.

REST

Pokud chcete obnovit službu API Management z dříve vytvořené zálohy, proveďte následující požadavek HTTP:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/restore?api-version={api-version}

kde:

• subscriptionId – ID předplatného, které obsahuje službu API Management, do které obnovujete zálohu
• resourceGroupName – název skupiny prostředků, která obsahuje službu Azure API Management, do které obnovujete zálohu
• serviceName – název služby API Management, do které se obnovuje, jak bylo stanoveno při jejím vytvoření
• api-version – platná verze rozhraní REST API, jako 2021-08-01 nebo 2021-04-01-preview

V textu požadavku zadejte název existujícího účtu úložiště, název kontejneru objektů blob, název zálohy a typ přístupu k úložišti.

Přístup pomocí přístupového klíče k úložišti

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Přístup pomocí spravované identity

Poznámka:

Použití spravované identity služby API Management pro operace úložiště během zálohování a obnovení vyžaduje verzi 2021-04-01-preview rozhraní REST API služby API Management nebo novější.

Přístup pomocí spravované identity přiřazené systémem

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Přístup pomocí spravované identity přiřazené uživatelem

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Nastavte hodnotu hlavičky Content-Type požadavku na application/json.

Obnovení je dlouhotrvající operace, která může trvat až 30 minut. Pokud požadavek proběhl úspěšně a proces obnovení začal, obdržíte stavový 202 Accepted kód odpovědi s hlavičkou Location . Proveďte GET požadavky na adresu URL v Location hlavičce, abyste zjistili stav operace. Během obnovení budete dál dostávat stavový 202 Accepted kód. Kód 200 OK odpovědi značí úspěšné dokončení operace obnovení.

Omezení

• Obnovení zálohy je zaručeno pouze po dobu 30 dnů od okamžiku jejího vytvoření.
• Během zálohování se vyhněte změnám správy ve službě, jako je upgrade cenové úrovně nebo downgrade, změna názvu domény a další.
• Změny konfigurace služby (například rozhraní API, zásady a vzhled portálu pro vývojáře) během operace zálohování můžou být vyloučené ze zálohy a budou ztraceny.
• Zálohování nezachytává předem agregovaná data protokolu použitá v sestavách zobrazených v okně Analýza na webu Azure Portal.
• Sdílení prostředků mezi zdroji (CORS) by nemělo být povolené ve službě Blob v účtu úložiště.
• Cenová úroveň obnovené služby se musí shodovat s cenovou úrovní obnovené zálohované služby.

Omezení sítě úložiště

Pokud je na účtu úložiště aktivován firewall, doporučuje se pro přístup k účtu použít systémem přiřazenou spravovanou identitu instance služby API Management. Ujistěte se, že účet úložiště uděluje přístup k důvěryhodným službám Azure.

Co se nezazálohuje

• Data o využití používaná k vytváření analytických sestav nejsou zahrnutá do zálohy. K pravidelnému načítání analytických reportů pro bezpečné uchovávání použijte REST API pro správu rozhraní Azure API Management.
• Vlastní certifikáty TLS/SSL domény.
• Certifikáty CA na míru, zahrnující zprostředkující nebo kořenové certifikáty nahrané zákazníkem.
• Nastavení integrace virtuální sítě .
• Konfigurace spravované identity
• Konfigurace diagnostiky služby Azure Monitor
• Nastavení protokolů a šifer .
• Obsah portálu pro vývojáře

Frekvence, s jakou provádíte zálohování služeb, má vliv na cíl bodu obnovení. Pokud ho chcete minimalizovat, doporučujeme implementovat pravidelné zálohy a provádět zálohy na vyžádání po provedení změn ve službě API Management.

Související obsah

Projděte si následující související prostředky pro proces zálohování a obnovení:

• Automatizace zálohování a obnovení služby API Management pomocí Logic Apps
• Přesun služby Azure API Management mezi oblastmi
• Úroveň API Management Premium také podporuje redundanci zón, která zajišťuje odolnost a vysokou dostupnost instance služby v konkrétní oblasti Azure (umístění).