Partage via


Sauvegarder des disques managés Azure avec Azure PowerShell

Cet article explique comment sauvegarder un disque managé Azure avec Azure PowerShell.

Dans cet article, vous allez apprendre à :

  • Créer un coffre de sauvegarde

  • Créer une stratégie de sauvegarde

  • Configurer une sauvegarde d’un disque Azure

  • Exécuter un travail de sauvegarde à la demande

Pour plus d’informations sur la disponibilité par région, les scénarios pris en charge et les limitations de la sauvegarde de disque Azure, consultez la matrice de prise en charge.

Créer un coffre de sauvegarde

Un coffre Sauvegarde est une entité de stockage dans Azure qui contient les données de sauvegarde de diverses charges de travail plus récentes prises en charge par la Sauvegarde Azure, notamment des serveurs Azure Database pour PostgreSQL et des disques Azure. Les coffres de sauvegarde facilitent l’organisation de vos données de sauvegarde tout en réduisant le temps nécessaire à leur gestion. Les coffres Sauvegarde sont basés sur le modèle Azure Resource Manager, qui fournit des fonctionnalités améliorées pour sécuriser les données de sauvegarde.

Avant de créer un coffre de sauvegarde, choisissez la redondance de stockage des données dans le coffre. Ensuite, procédez à la création du coffre de sauvegarde avec cette redondance de stockage et l’emplacement. Dans cet article, nous allons créer un coffre Sauvegarde « TestBkpVault » dans la région westus, sous le groupe de ressources « testBkpVaultRG ». Utilisez la commande New-AzDataProtectionBackupVault pour créer un coffre Sauvegarde. Pour plus d’informations, consultez Création d’un coffre Sauvegarde.

$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type LocallyRedundant/GeoRedundant -DataStoreType VaultStore
New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting
$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault
$TestBKPVault | fl
ETag                :
Id                  : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/testBkpVaultRG/providers/Microsoft.DataProtection/backupVaults/TestBkpVault
Identity            : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppIdentityDetails
IdentityPrincipalId :
IdentityTenantId    :
IdentityType        :
Location            : westus
Name                : TestBkpVault
ProvisioningState   : Succeeded
StorageSetting      : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.StorageSetting}
SystemData          : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SystemData
Tag                 : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppTrackedResourceTags
Type                : Microsoft.DataProtection/backupVaults

Après la création du coffre, nous allons créer une stratégie de sauvegarde pour protéger les disques Azure.

Créer une stratégie de sauvegarde

Pour comprendre les composants internes d’une stratégie de sauvegarde pour la sauvegarde de disque Azure, récupérez le modèle de stratégie à l’aide de la commande Get-AzDataProtectionPolicyTemplate. Cette commande retourne un modèle de stratégie par défaut pour un type de source de données donné. Utilisez ce modèle de stratégie pour créer une nouvelle stratégie.

$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureDisk
$policyDefn | fl


DatasourceType : {Microsoft.Compute/disks}
ObjectType     : BackupPolicy
PolicyRule     : {BackupHourly, Default}

$policyDefn.PolicyRule | fl


BackupParameter           : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType       : DataStoreInfoBase
DataStoreType             : OperationalStore
Name                      : BackupHourly
ObjectType                : AzureBackupRule
Trigger                   : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType         : ScheduleBasedTriggerContext

IsDefault  : True
Lifecycle  : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name       : Default
ObjectType : AzureRetentionRule

Le modèle de stratégie est constitué d’un déclencheur (qui détermine le déclenchement de la sauvegarde) et d’un cycle de vie (qui décide quand supprimer/copier/déplacer la sauvegarde). Dans la sauvegarde de disque Azure, la valeur par défaut pour le déclencheur est un déclencheur horaire planifié pour toutes les 4 heures (PT4H) et pour conserver chaque sauvegarde pendant 7 jours.

 $policyDefn.PolicyRule[0].Trigger | fl


ObjectType                    : ScheduleBasedTriggerContext
ScheduleRepeatingTimeInterval : {R/2020-04-05T13:00:00+00:00/PT4H}
TaggingCriterion              : {Default}
$policyDefn.PolicyRule[1].Lifecycle | fl


DeleteAfterDuration        : P7D
DeleteAfterObjectType      : AbsoluteDeleteOption
SourceDataStoreObjectType  : DataStoreInfoBase
SourceDataStoreType        : OperationalStore
TargetDataStoreCopySetting :

La sauvegarde de disque Azure propose plusieurs sauvegardes par jour. Si vous avez besoin de sauvegardes plus fréquentes, choisissez la fréquence de sauvegarde Horaire, qui offre la possibilité d’effectuer des sauvegardes à intervalles de 4, 6, 8 ou 12 heures. Les sauvegardes sont planifiées en fonction de l’intervalle Temps sélectionné. Par exemple, si vous sélectionnez Toutes les 4 heures, les sauvegardes sont effectuées à intervalles de 4 heures environ, de façon à être réparties équitablement sur la journée. Si une sauvegarde par jour suffit, choisissez la fréquence de sauvegarde Quotidienne. Vous pouvez alors spécifier l’heure à laquelle s’effectuent vos sauvegardes. Il est à noter qu’il s’agit de l’heure de début de la sauvegarde, et non de l’heure de fin. Le temps nécessaire pour effectuer l’opération de sauvegarde dépend de différents facteurs, notamment la taille du disque et le taux d’attrition entre les sauvegardes consécutives. Toutefois, la sauvegarde de disque Azure est une sauvegarde sans agent qui utilise des instantanés incrémentiels sans impact sur le niveau de performance des applications de production.

Notes

  • Bien que le coffre sélectionné puisse posséder le paramètre de redondance globale, la sauvegarde de disque Azure ne prend en charge que le magasin de données d’instantanés. Toutes les sauvegardes sont stockées dans l’un des groupes de ressources de l’abonnement. Elles ne sont pas copiées dans le stockage du coffre Sauvegarde.
  • Pour les disques Azure appartenant aux références SKU HDD Standard, SSD Standard et SSD Premium, vous pouvez définir la planification de sauvegarde avec une fréquence Horaire (de 1, 2, 4, 6, 8 ou 12 heures) et une fréquence Quotidienne.
  • Pour les disques Azure appartenant aux références SKU Premium V2 et Disque Ultra, vous pouvez définir la planification de sauvegarde avec une fréquence Horaire de seulement 12 heures et une fréquence Quotidienne.

Pour plus d’informations sur la création de stratégies, reportez-vous au document sur la stratégie de sauvegarde de disque Azure.

Si vous souhaitez modifier la fréquence horaire ou la période de rétention, utilisez les commandes Edit-AzDataProtectionPolicyTriggerClientObject et/ou Edit-AzDataProtectionPolicyRetentionRuleClientObject. Une fois que l’objet de stratégie dispose de toutes les valeurs souhaitées, passez à la création d’une nouvelle stratégie à partir de l’objet de stratégie à l’aide de la commande New-AzDataProtectionBackupPolicy.

New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name diskBkpPolicy -Policy $policyDefn

Name                   Type
----                   ----
diskBkpPolicy       Microsoft.DataProtection/backupVaults/backupPolicies

$diskBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "diskBkpPolicy"

Configurer une sauvegarde

Une fois le coffre et la stratégie créés, il y a 3 points critiques que l’utilisateur doit prendre en compte pour protéger un disque Azure.

Entités clés impliquées

Disque à protéger

Récupérez (fetch) l’ID ARM du disque à protéger. Il s’agit de l’identificateur du disque. Nous allons utiliser un exemple de disque nommé « PSTestDisk » sous un groupe de ressources « diskrg » dans un autre abonnement.

$DiskId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/diskrg/providers/Microsoft.Compute/disks/PSTestDisk"

Groupe de ressources d'instantanés

Les instantanés de disque sont stockés dans l’un des groupes de ressources de votre abonnement. En règle générale, il est recommandé de créer un groupe de ressources dédié comme magasin de stockage d’instantanés utilisable par le service Sauvegarde Azure. Cela permet en effet de restreindre les autorisations d’accès sur le groupe de ressources, garantissant ainsi la sécurité et la facilité de gestion des données de sauvegarde. Notez l’ID ARM du groupe de ressources dans lequel vous souhaitez placer les instantanés de disque

$snapshotrg = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/snapshotrg"

Archivage de sauvegarde

Les coffres de sauvegarde requièrent des autorisations sur le disque et le groupe de ressources d’instantanés pour pouvoir déclencher des instantanés et gérer leur cycle de vie. L’identité managée affectée par le système du coffre est utilisée pour affecter de telles autorisations. Utilisez la commande Update-AzRecoveryServicesVault pour activer l’identité managée attribuée par le système pour le coffre Recovery Services.

Attribuer des autorisations

L’utilisateur doit affecter peu d’autorisations via RBAC au coffre (représenté par le fichier MSI de coffre) et le disque approprié et/ou le RG de disque. Elles peuvent être effectuées via le Portail ou PowerShell.

Le coffre Sauvegarde utilise l’identité managée pour accéder à d’autres ressources Azure. Il est nécessaire, pour configurer la sauvegarde des disques managés, que l’identité managée du coffre Sauvegarde dispose d’un ensemble d’autorisations sur les disques sources et les groupes de ressources dans lesquels les instantanés sont créés et gérés.

Une identité managée affectée par le système est limitée à une par ressource et liée au cycle de vie de celle-ci. Vous pouvez accorder des autorisations à l’identité managée à l’aide du contrôle d’accès en fonction du rôle Azure (RBAC Azure). L’identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Découvrez-en plus sur les identités managées.

Pour configurer la sauvegarde des disques managés, assurez-vous que les conditions préalables suivantes sont remplies :

  • Attribuez le rôle Lecteur de sauvegarde de disque à l’identité managée du Coffre de sauvegarde sur le Disque source à sauvegarder.

    1. Accédez au disque à sauvegarder.

    2. Accédez à Contrôle d’accès (IAM) , puis sélectionnez Ajouter des attributions de rôles.

    3. Dans le volet contextuel droit, sélectionnez Lecteur de sauvegarde de disque dans la liste déroulante Rôle.

    4. Sélectionnez l’identité managée du Coffre Sauvegarde, puis Enregistrer.

      Conseil

      Tapez le nom du Coffre de sauvegarde pour sélectionner l’identité managée du coffre.

    Capture d’écran montrant le processus permettant d’attribuer le rôle de Lecteur de sauvegarde de disque à l’identité managée du Coffre de sauvegarde sur le Disque source qui doit être sauvegardé.

  • Attribuez le rôle Contributeur d’instantanés de disque à l’identité managée du Coffre de sauvegarde sur le Groupe de ressources dans lequel les sauvegardes sont créées et gérées par le service de Sauvegarde Azure. Les instantanés de disque sont stockés dans l’un des groupes de ressources de votre abonnement. Pour permettre au service de Sauvegarde Azure de créer, de stocker et de gérer des instantanés, vous devez accorder des autorisations d’accès au coffre Sauvegarde.

    1. Accédez au groupe de ressources, par exemple SnapshotRG, qui se trouve dans le même abonnement que le disque à sauvegarder.

    2. Accédez à Contrôle d’accès (IAM) , puis sélectionnez Ajouter des attributions de rôles.

    3. Dans le volet contextuel droit, sélectionnez Contributeur d’instantanés de disque dans la liste déroulante Rôle.

    4. Sélectionnez l’identité managée du Coffre Sauvegarde, puis Enregistrer.

      Conseil

      Tapez le nom du coffre Sauvegarde pour sélectionner l’identité managée du coffre.

    Capture d’écran montrant le processus d’attribution du rôle de Contributeur d’instantanés de disque à l’identité managée du Coffre de sauvegarde sur le groupe de ressources.

  • Vérifiez que l’identité managée du coffre Sauvegarde possède le bon ensemble d’attributions de rôles sur le disque source et le groupe de ressources servant de magasin de données d’instantanés.

    1. Accédez à Coffre Sauvegarde ->Identité, puis sélectionnez Attributions de rôles Azure.

      Capture d’écran montrant la sélection des attributions de rôles Azure.

    2. Vérifiez que le rôle, le nom de la ressource et le type de ressource sont corrects.

      Capture d’écran montrant la vérification du rôle, du nom de la ressource et du type de ressource.

Notes

Même si les attributions de rôles apparaissent correctement sur le portail, l’application de l’autorisation sur l’identité managée du coffre de sauvegarde peut prendre environ 15 minutes.

Préparer la requête

Une fois que toutes les autorisations appropriées sont définies, la configuration de la sauvegarde est effectuée en 2 étapes. Tout d’abord, nous préparons la requête appropriée en utilisant le coffre, la stratégie, le disque et le groupe de ressources d’instantanés appropriés à l’aide de la commande Initialize-AzDataProtectionBackupInstance. Ensuite, nous soumettons la requête pour protéger le disque à l’aide de la commande New-AzDataProtectionBackupInstance.

$instance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureDisk -DatasourceLocation $TestBkpvault.Location -PolicyId $diskBkpPol[0].Id -DatasourceId $DiskId 
$instance.Property.PolicyInfo.PolicyParameter.DataStoreParametersList[0].ResourceGroupId = $snapshotrg
New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $instance

Name                                                       Type                                                  BackupInstanceName
----                                                       ----                                                  ------------------
diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166 Microsoft.DataProtection/backupVaults/backupInstances diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166

Exécuter une sauvegarde à la demande

Récupérer (fetch) l’instance de sauvegarde appropriée sur laquelle l’utilisateur souhaite déclencher une sauvegarde à l’aide de la commande AzDataProtectionBackupInstance

$instance = Get-AzDataProtectionBackupInstance -SubscriptionId "xxxx-xxx-xxx" -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "BackupInstanceName"

Vous pouvez spécifier une règle de rétention lors du déclenchement de la sauvegarde. Pour afficher les règles de rétention dans la stratégie, accédez à l’objet de stratégie pour les règles de rétention. Dans l’exemple ci-dessous, la règle portant le nom « default » s’affiche et nous allons utiliser cette règle pour la sauvegarde à la requête

$policyDefn.PolicyRule | fl


BackupParameter           : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType       : DataStoreInfoBase
DataStoreType             : OperationalStore
Name                      : BackupHourly
ObjectType                : AzureBackupRule
Trigger                   : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType         : ScheduleBasedTriggerContext

IsDefault  : True
Lifecycle  : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name       : Default
ObjectType : AzureRetentionRule

Déclenchez une sauvegarde à la demande à l’aide de la commande Backup-AzDataProtectionBackupInstanceAdhoc.

$AllInstances = Get-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name
Backup-AzDataProtectionBackupInstanceAdhoc -BackupInstanceName $AllInstances[0].Name -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupRuleOptionRuleName "Default"

Suivi des travaux

Effectuez le suivi de tous les travaux à l’aide de la commande Get-AzDataProtectionJob. Vous pouvez répertorier tous les travaux et extraire le détail d’un travail particulier.

Vous pouvez également utiliser Az.ResourceGraph pour effectuer le suivi de tous les travaux dans tous les coffres de sauvegarde. Utilisez la commande Search-AzDataProtectionJobInAzGraph pour récupérer le travail approprié qui peut s’appliquer à n’importe quel coffre de sauvegarde.

  $job = Search-AzDataProtectionJobInAzGraph -Subscription $sub -ResourceGroupName "testBkpVaultRG" -Vault $TestBkpVault.Name -DatasourceType AzureDisk -Operation OnDemandBackup

Étapes suivantes