Tworzenie kopii zapasowych obciążeń w chmurze i lokalnych
Usługa Azure Backup kompleksowo chroni Twoje zasoby danych na platformie Azure przy użyciu prostego, bezpiecznego i ekonomicznego rozwiązania, które nie wymaga infrastruktury. Jest to wbudowane rozwiązanie do ochrony danych na platformie Azure dla szerokiego zakresu obciążeń. Pomaga chronić obciążenia o znaczeniu krytycznym działające w chmurze i zapewnia, że kopie zapasowe są zawsze dostępne i zarządzane na dużą skalę w całej infrastrukturze kopii zapasowych.
Docelowi odbiorcy
Głównymi odbiorcami docelowymi tego artykułu są administratorzy IT i aplikacji oraz implementatorzy dużych i średnich organizacji, którzy chcą dowiedzieć się więcej o możliwościach wbudowanej technologii ochrony danych platformy Azure, usługi Azure Backup i implementowania rozwiązań w celu wydajnej ochrony wdrożeń. W tym artykule założono, że znasz podstawowe technologie platformy Azure, pojęcia dotyczące ochrony danych i masz doświadczenie w pracy z rozwiązaniem do tworzenia kopii zapasowych. Wskazówki opisane w tym artykule mogą ułatwić projektowanie rozwiązania do tworzenia kopii zapasowych na platformie Azure przy użyciu ustalonych wzorców i unikanie znanych pułapek.
Jak jest zorganizowany ten artykuł
Chociaż można łatwo rozpocząć ochronę infrastruktury i aplikacji na platformie Azure, po upewnieniu się, że bazowe zasoby platformy Azure są skonfigurowane prawidłowo i są używane optymalnie, możesz przyspieszyć czas na wartość. W tym artykule omówiono krótkie omówienie zagadnień projektowych i wskazówek dotyczących optymalnego konfigurowania wdrożenia usługi Azure Backup. Analizuje podstawowe składniki (na przykład magazyn usługi Recovery Services, zasady tworzenia kopii zapasowych) i pojęcia (na przykład ład) oraz sposób ich myślenia i ich możliwości z linkami do szczegółowej dokumentacji produktu.
Rozpocznij
Strategia projektowania subskrypcji
Oprócz jasnego planu nawigowania po podróży po wdrożeniu chmury, należy zaplanować projekt subskrypcji i strukturę konta wdrożenia w chmurze, aby dopasować do własności, rozliczeń i możliwości zarządzania organizacji. Ponieważ zakres magazynu dotyczy subskrypcji, projekt subskrypcji będzie mieć duży wpływ na projekt magazynu. Dowiedz się więcej na temat różnych strategii projektowania subskrypcji i wskazówek dotyczących tego, kiedy ich używać.
Dokumentowanie wymagań dotyczących kopii zapasowej
Aby rozpocząć pracę z usługą Azure Backup, zaplanuj potrzeby tworzenia kopii zapasowej. Poniżej przedstawiono niektóre pytania, które należy zadać sobie podczas tworzenia idealnej strategii tworzenia kopii zapasowych.
Jakiego typu obciążenia chcesz chronić?
Aby zaprojektować magazyny, upewnij się, że potrzebujesz scentralizowanego/zdecentralizowanego trybu działania.
Jaki jest wymagany stopień szczegółowości kopii zapasowej?
Ustal, czy powinna być spójna aplikacja, spójna na poziomie awarii lub kopia zapasowa dziennika.
Czy masz jakiekolwiek wymagania dotyczące zgodności?
Upewnij się, że musisz wymusić standardy zabezpieczeń i oddzielne granice dostępu.
Jaki jest wymagany cel punktu odzyskiwania, cel punktu odzyskiwania?
Określ częstotliwość tworzenia kopii zapasowych i szybkość przywracania.
Czy masz jakiekolwiek ograniczenia dotyczące rezydencji danych?
Określ nadmiarowość magazynu dla wymaganej trwałości danych.
Jak długo chcesz zachować dane kopii zapasowej?
Zdecyduj o czasie przechowywania danych kopii zapasowej w magazynie.
Architektura
Pakiety robocze
Usługa Azure Backup umożliwia ochronę danych dla różnych obciążeń (lokalnych i w chmurze). Jest to bezpieczny i niezawodny wbudowany mechanizm ochrony danych na platformie Azure. Można bezproblemowo skalować ochronę w wielu obciążeniach bez żadnych obciążeń związanych z zarządzaniem. Istnieje również wiele kanałów automatyzacji( za pośrednictwem programu PowerShell, interfejsu wiersza polecenia, szablonów usługi Azure Resource Manager i interfejsów API REST).
Skalowalny, trwały i bezpieczny magazyn: usługa Azure Backup korzysta z niezawodnego magazynu obiektów blob z wbudowanymi funkcjami zabezpieczeń i wysokiej dostępności. Możesz wybrać magazyny LRS, GRS lub RA-GRS dla danych kopii zapasowej.
Natywna integracja obciążeń: usługa Azure Backup zapewnia natywną integrację z obciążeniami platformy Azure (maszynami wirtualnymi, oprogramowaniem SAP HANA, bazą danych SQL na maszynach wirtualnych platformy Azure, a nawet usługą Azure Files) bez konieczności zarządzania automatyzacją lub infrastrukturą w celu wdrażania agentów, pisania nowych skryptów lub przypisywania magazynu.
Dowiedz się więcej o obsługiwanych obciążeniach.
Płaszczyzna danych
Automatyczne zarządzanie magazynem: usługa Azure Backup automatyzuje aprowizowanie kont magazynu i zarządzanie nimi dla danych kopii zapasowej, aby zapewnić skalowanie w miarę zwiększania się danych kopii zapasowej.
Ochrona przed złośliwym usuwaniem: chroń przed przypadkowymi i złośliwymi próbami usunięcia kopii zapasowych za pośrednictwem usuwania nietrwałego kopii zapasowych. Usunięte dane kopii zapasowej są przechowywane bezpłatnie przez 14 dni i umożliwiają odzyskanie ich z tego stanu.
Bezpieczne zaszyfrowane kopie zapasowe: usługa Azure Backup zapewnia, że dane kopii zapasowej są przechowywane w bezpieczny sposób, wykorzystując wbudowane funkcje zabezpieczeń platformy Azure, takie jak kontrola dostępu oparta na rolach i szyfrowanie na platformie Azure.
Zarządzanie cyklem życia kopii zapasowych danych: usługa Azure Backup automatycznie czyści starsze dane kopii zapasowej w celu zachowania zgodności z zasadami przechowywania. Możesz również umieścić dane w warstwie z magazynu operacyjnego do magazynu.
Chronione operacje krytyczne: autoryzacja wielu użytkowników (MUA) dla usługi Azure Backup umożliwia dodanie dodatkowej warstwy ochrony do krytycznych operacji w magazynach usługi Recovery Services.
Płaszczyzna zarządzania
Kontrola dostępu: magazyny (usługi Recovery Services i magazyny kopii zapasowych) zapewniają funkcje zarządzania i są dostępne za pośrednictwem witryny Azure Portal, Centrum kopii zapasowych, pulpitów nawigacyjnych magazynu, zestawu SDK, interfejsu wiersza polecenia, a nawet interfejsów API REST. Jest to również granica kontroli dostępu oparta na rolach platformy Azure, która umożliwia ograniczenie dostępu do kopii zapasowych tylko autoryzowanym administratorom kopii zapasowych.
Zarządzanie zasadami: zasady usługi Azure Backup w każdym magazynie określają, kiedy powinny być wyzwalane kopie zapasowe i czas ich przechowywania. Możesz również zarządzać tymi zasadami i stosować je w wielu elementach.
Monitorowanie i raportowanie: usługa Azure Backup integruje się z usługą Log Analytics i umożliwia wyświetlanie raportów za pośrednictwem skoroszytów.
Zarządzanie migawkami: usługa Azure Backup tworzy migawki dla niektórych natywnych obciążeń platformy Azure (maszyn wirtualnych i usługi Azure Files), zarządza tymi migawkami i umożliwia szybkie przywracanie z nich. Ta opcja znacząco skraca czas odzyskiwania danych do oryginalnego magazynu.
Zagadnienia dotyczące magazynu
Usługa Azure Backup używa magazynów (usługi Recovery Services i magazynów kopii zapasowych) do organizowania kopii zapasowych, zarządzania nimi i przechowywania danych kopii zapasowych. Skuteczny projekt magazynu pomaga organizacjom ustanowić strukturę organizowania zasobów kopii zapasowych na platformie Azure i zarządzania nimi w celu obsługi priorytetów biznesowych. Podczas tworzenia magazynu należy wziąć pod uwagę następujące wskazówki.
Jeden lub wiele magazynów
Aby użyć jednego magazynu lub wielu magazynów do organizowania kopii zapasowych i zarządzania nimi, zobacz następujące wskazówki:
Ochrona zasobów w wielu regionach globalnie: jeśli organizacja ma globalne operacje w ramach Ameryka Północna, Europy i Azji, a zasoby są wdrażane w regionach Wschodnie stany USA, Zachodnie Zjednoczone Królestwo i Azja Wschodnia. Jednym z wymagań usługi Azure Backup jest to, że magazyny muszą znajdować się w tym samym regionie, w którym ma zostać utworzona kopia zapasowa zasobu. W związku z tym należy utworzyć trzy oddzielne magazyny dla każdego regionu, aby chronić zasoby.
Ochrona zasobów w różnych jednostkach biznesowych i działach: należy wziąć pod uwagę, że operacje biznesowe są podzielone na trzy oddzielne jednostki biznesowe (BU), a każda jednostka biznesowa ma własny zestaw działów (pięć działów — Finanse, Sprzedaż, Kadr, R i D i Marketing). Twoje potrzeby biznesowe mogą wymagać od każdego działu zarządzania własnymi kopiami zapasowymi i przywracaniami oraz uzyskiwania do nich dostępu; umożliwiają im również śledzenie indywidualnego użycia i wydatków związanych z kosztami. W takich scenariuszach zalecamy utworzenie jednego magazynu dla każdego działu w bu. W ten sposób będziesz mieć 15 magazynów w całej organizacji.
Ochrona różnych obciążeń: jeśli planujesz ochronę różnych typów obciążeń (takich jak 150 maszyn wirtualnych, 40 baz danych SQL i 70 baz danych PostgreSQL), zalecamy utworzenie oddzielnych magazynów dla każdego typu obciążenia (na przykład należy utworzyć trzy magazyny dla każdego obciążenia — maszyny wirtualne, bazy danych SQL i bazy danych PostgreSQL). Pomaga to oddzielić granice dostępu dla użytkowników, umożliwiając udzielanie dostępu (przy użyciu kontroli dostępu opartej na rolach na platformie Azure) odpowiednim uczestnikom projektu.
Ochrona zasobów działających w wielu środowiskach: jeśli operacje wymagają pracy w wielu środowiskach, takich jak produkcja, nieprodukcyjna i deweloper, zalecamy utworzenie oddzielnych magazynów dla każdego z nich.
Ochrona dużej liczby (1000+) maszyn wirtualnych platformy Azure: rozważ utworzenie kopii zapasowej 1500 maszyn wirtualnych. Usługa Azure Backup umożliwia tworzenie kopii zapasowych tylko 1000 maszyn wirtualnych platformy Azure w jednym magazynie. W tym scenariuszu można utworzyć dwa różne magazyny i dystrybuować zasoby jako 1000 i 500 maszyn wirtualnych do odpowiednich magazynów lub w dowolnej kombinacji, biorąc pod uwagę górny limit.
Ochrona dużej liczby (2000+) różnych obciążeń: podczas zarządzania kopiami zapasowymi na dużą skalę będziesz chronić maszyny wirtualne platformy Azure wraz z innymi obciążeniami, takimi jak baza danych SQL i SAP HANA uruchomiona na tych maszynach wirtualnych platformy Azure. Na przykład masz 1300 maszyn wirtualnych platformy Azure i 2500 baz danych SQL do ochrony. Limity magazynu umożliwiają tworzenie kopii zapasowych 2000 obciążeń (z ograniczeniem 1000 maszyn wirtualnych) w każdym magazynie. W związku z tym matematycznie można tworzyć kopie zapasowe 2000 obciążeń w jednym magazynie (1000 maszyn wirtualnych + 1000 baz danych SQL) i rest 1800 obciążeń w oddzielnym magazynie (300 maszyn wirtualnych + 1500 baz danych SQL).
Jednak ten typ segregacji nie jest zalecany, ponieważ nie będzie można zdefiniować granic dostępu, a obciążenia nie będą od siebie odizolowane. W związku z tym, aby prawidłowo dystrybuować obciążenia, utwórz cztery magazyny. Dwa magazyny do tworzenia kopii zapasowych maszyn wirtualnych (1000 maszyn wirtualnych + 300 maszyn wirtualnych) oraz dwa pozostałe magazyny do tworzenia kopii zapasowych baz danych SQL (2000 baz danych + 500 baz danych).
Można nimi zarządzać za pomocą:
- Centrum kopii zapasowych umożliwia utworzenie jednego okienka do zarządzania wszystkimi zadaniami tworzenia kopii zapasowych. Więcej informacji można znaleźć tutaj.
- Jeśli potrzebujesz spójnych zasad między magazynami, możesz użyć usługi Azure Policy do propagowania zasad kopii zapasowych w wielu magazynach. Możesz napisać niestandardową definicję usługi Azure Policy, która używa efektu "deployifnotexists" , aby propagować zasady tworzenia kopii zapasowych w wielu magazynach. Tę definicję usługi Azure Policy można również przypisać do określonego zakresu (subskrypcji lub grupy zasobów), aby wdrożyć zasób "zasady kopii zapasowej" do wszystkich magazynów usługi Recovery Services w zakresie przypisania usługi Azure Policy. Ustawienia zasad kopii zapasowych (takich jak częstotliwość tworzenia kopii zapasowych, przechowywanie itd.) powinny być określane przez użytkownika jako parametry w przypisaniu usługi Azure Policy.
- Wraz ze wzrostem zużycia zasobów organizacji możesz przenieść obciążenia między subskrypcjami z następujących powodów: wyrównać je przez zasady tworzenia kopii zapasowych, skonsolidować magazyny, zmniejszyć nadmiarowość, aby zaoszczędzić na kosztach (przejście z magazynu GRS do magazynu LRS). Usługa Azure Backup obsługuje przenoszenie magazynu usługi Recovery Services między subskrypcjami platformy Azure lub do innej grupy zasobów w ramach tej samej subskrypcji. Więcej informacji można znaleźć tutaj.
Przeglądanie ustawień domyślnych
Przed skonfigurowaniem kopii zapasowych w magazynie przejrzyj ustawienia domyślne dotyczące typu replikacji magazynu i ustawienia zabezpieczeń, aby spełnić wymagania.
Typ replikacji magazynu jest domyślnie ustawiony na geograficznie nadmiarowy (GRS). Po skonfigurowaniu kopii zapasowej opcja modyfikowania zostanie wyłączona. Wykonaj następujące kroki, aby przejrzeć i zmodyfikować ustawienia.
Obciążenia niekrytyczne, takie jak inne niż prod i deweloperzy, są odpowiednie do replikacji magazynu LRS.
Magazyn strefowo nadmiarowy (ZRS) to dobra opcja magazynu umożliwiająca wysoką trwałość danych oraz miejsce przechowywania danych.
Magazyn geograficznie nadmiarowy (GRS) jest zalecany w przypadku obciążeń o znaczeniu krytycznym, takich jak te działające w środowisku produkcyjnym, aby zapobiec trwałej utracie danych i chronić je w przypadku całkowitej awarii regionalnej lub awarii, w której region podstawowy nie jest możliwy do odzyskania.
Usuwanie nietrwałe jest domyślnie włączone w nowo utworzonych magazynach, aby chronić dane kopii zapasowej przed przypadkowymi lub złośliwymi usunięciami. Wykonaj następujące kroki, aby przejrzeć i zmodyfikować ustawienia.
Przywracanie między regionami umożliwia przywracanie maszyn wirtualnych platformy Azure w regionie pomocniczym, który jest sparowanym regionem platformy Azure. Ta opcja umożliwia przeprowadzenie ćwiczeń w celu spełnienia wymagań dotyczących inspekcji lub zgodności oraz przywrócenia maszyny wirtualnej lub jej dysku w przypadku awarii w regionie podstawowym. CRR to funkcja umożliwiająca korzystanie z dowolnego magazynu GRS. Więcej informacji można znaleźć tutaj.
Przed sfinalizowaniem projektu magazynu zapoznaj się z macierzami obsługi magazynu, aby zrozumieć czynniki, które mogą mieć wpływ na wybory projektowe lub je ograniczyć.
Zagadnienia dotyczące zasad kopii zapasowych
Usługa Azure Backup Policy ma dwa składniki: Harmonogram (kiedy należy utworzyć kopię zapasową) i Przechowywanie (jak długo przechowywać kopię zapasową). Zasady można zdefiniować na podstawie typu danych, których kopia zapasowa jest tworzona, wymagania dotyczące celu odzyskiwania/celu punktu odzyskiwania, wymagania dotyczące zgodności operacyjnej lub regulacyjnej oraz typ obciążenia (na przykład maszyna wirtualna, baza danych, pliki). Dowiedz się więcej
Podczas tworzenia zasad kopii zapasowych należy wziąć pod uwagę następujące wskazówki:
Zagadnienia dotyczące harmonogramu
Podczas planowania zasad tworzenia kopii zapasowych należy wziąć pod uwagę następujące kwestie:
W przypadku zasobów o krytycznym znaczeniu spróbuj zaplanować najczęściej dostępne automatyczne kopie zapasowe dziennie, aby mieć mniejszy cel punktu odzyskiwania. Dowiedz się więcej
Jeśli musisz wykonać wiele kopii zapasowych dziennie dla maszyny wirtualnej platformy Azure za pośrednictwem rozszerzenia, zapoznaj się z obejściami w następnej sekcji.
W przypadku zasobu wymagającego tego samego czasu rozpoczęcia, częstotliwości i ustawień przechowywania należy je zgrupować w ramach jednej zasady tworzenia kopii zapasowej.
Zalecamy zachowanie zaplanowanego czasu rozpoczęcia tworzenia kopii zapasowej w czasie aplikacji produkcyjnej bez szczytu. Na przykład lepiej zaplanować codzienną automatyczną kopię zapasową w nocy, około 2–3:00, zamiast planować je w ciągu dnia, gdy użycie zasobów jest wysokie.
Aby dystrybuować ruch kopii zapasowych, zalecamy tworzenie kopii zapasowych różnych maszyn wirtualnych w różnych porach dnia. Na przykład aby utworzyć kopię zapasową 500 maszyn wirtualnych z tymi samymi ustawieniami przechowywania, zalecamy utworzenie 5 różnych zasad kojarzenie ich z 100 maszynami wirtualnymi i zaplanowanie ich kilka godzin.
Zagadnienia dotyczące przechowywania
Przechowywanie krótkoterminowe może być "codziennie". Przechowywanie punktów kopii zapasowych "Co tydzień", "co miesiąc" lub "co rok" jest określane jako długoterminowe przechowywanie.
Długoterminowe przechowywanie:
- Planowane (wymagania dotyczące zgodności) — jeśli wiesz z wyprzedzeniem, że dane są wymagane przez lata od bieżącego czasu, użyj długoterminowego przechowywania. Usługa Azure Backup obsługuje tworzenie kopii zapasowych punktów przechowywania długoterminowego w warstwie Archiwum wraz z migawkami i warstwą Standardowa. Dowiedz się więcej o obsługiwanych obciążeniach dla konfiguracji warstwy Archiwum i przechowywania.
- Nieplanowane (wymaganie na żądanie) — jeśli nie wiesz z wyprzedzeniem, możesz użyć opcji na żądanie z określonymi niestandardowymi ustawieniami przechowywania (te niestandardowe ustawienia przechowywania nie mają wpływu na ustawienia zasad).
Tworzenie kopii zapasowej na żądanie z niestandardowym przechowywaniem — jeśli chcesz utworzyć kopię zapasową, która nie została zaplanowana za pomocą zasad tworzenia kopii zapasowych, możesz użyć kopii zapasowej na żądanie. Może to być przydatne w przypadku tworzenia kopii zapasowych, które nie pasują do zaplanowanej kopii zapasowej lub wykonywania szczegółowej kopii zapasowej (na przykład wielu kopii zapasowych IaaS dziennie, ponieważ zaplanowana kopia zapasowa zezwala tylko na jedną kopię zapasową dziennie). Należy pamiętać, że zasady przechowywania zdefiniowane w zasadach zaplanowanych nie mają zastosowania do kopii zapasowych na żądanie.
Optymalizowanie zasad kopii zapasowych
W miarę zmiany wymagań biznesowych może być konieczne wydłużenie lub skrócenie czasu przechowywania. W tym celu można oczekiwać następujących czynności:
- Jeśli przechowywanie zostanie rozszerzone, istniejące punkty odzyskiwania są oznaczone i przechowywane zgodnie z nowymi zasadami.
- Jeśli przechowywanie zostanie zmniejszone, punkty odzyskiwania zostaną oznaczone do oczyszczania w następnym zadaniu czyszczenia, a następnie usunięte.
- Najnowsze reguły przechowywania dotyczą wszystkich punktów przechowywania (z wyłączeniem punktów przechowywania na żądanie). Dlatego jeśli okres przechowywania zostanie przedłużony (na przykład do 100 dni), po zakończeniu tworzenia kopii zapasowej następuje zmniejszenie okresu przechowywania (na przykład z 100 dni do siedmiu dni), wszystkie dane kopii zapasowej zostaną zachowane zgodnie z ostatnim określonym okresem przechowywania (czyli 7 dni).
Usługa Azure Backup zapewnia elastyczność umożliwiającą zatrzymywanie ochrony kopii zapasowych i zarządzanie nimi:
Zatrzymaj ochronę i zachowaj dane kopii zapasowej. Jeśli wycofasz lub zlikwidowasz źródło danych (maszyna wirtualna, aplikacja), ale musisz zachować dane na potrzeby inspekcji lub zgodności, możesz użyć tej opcji, aby zatrzymać wszystkie przyszłe zadania tworzenia kopii zapasowej przed ochroną źródła danych i zachować punkty odzyskiwania, których kopia zapasowa została utworzona. Następnie można przywrócić lub wznowić ochronę maszyny wirtualnej.
Zatrzymaj ochronę i usuń dane kopii zapasowej. Ta opcja spowoduje zatrzymanie wszystkich przyszłych zadań tworzenia kopii zapasowych przed ochroną maszyny wirtualnej i usunięcie wszystkich punktów odzyskiwania. Nie będzie można przywrócić maszyny wirtualnej ani użyć opcji Wznów tworzenie kopii zapasowej.
Jeśli wznowisz ochronę (ze źródła danych, które zostało zatrzymane z zachowaniem danych), zostaną zastosowane reguły przechowywania. Wszystkie wygasłe punkty odzyskiwania zostaną usunięte (w zaplanowanym czasie).
Przed ukończeniem projektu zasad należy pamiętać o następujących czynnikach, które mogą mieć wpływ na wybory projektowe.
- Zasady tworzenia kopii zapasowych są ograniczone do magazynu.
- Istnieje limit liczby elementów na zasady (na przykład 100 maszyn wirtualnych). W celu skalowania można utworzyć zduplikowane zasady z tymi samymi lub różnymi harmonogramami.
- Nie można selektywnie usuwać określonych punktów odzyskiwania.
- Nie można całkowicie wyłączyć zaplanowanej kopii zapasowej i zachować źródło danych w stanie chronionym. Najmniej częstą kopią zapasową, którą można skonfigurować za pomocą zasad, jest utworzenie jednej cotygodniowej zaplanowanej kopii zapasowej. Alternatywą jest zatrzymanie ochrony przy zachowaniu danych i włączenie ochrony za każdym razem, gdy chcesz utworzyć kopię zapasową, utworzyć kopię zapasową na żądanie, a następnie wyłączyć ochronę, ale zachować dane kopii zapasowej. Więcej informacji można znaleźć tutaj.
Zagadnienia dotyczące zabezpieczeń
Aby ułatwić ochronę danych kopii zapasowych i spełnić potrzeby związane z zabezpieczeniami twojej firmy, usługa Azure Backup zapewnia poufność, integralność i zapewnienie dostępności przed celowymi atakami i nadużyciami cennych danych i systemów. Weź pod uwagę następujące wytyczne dotyczące zabezpieczeń rozwiązania Azure Backup:
Uwierzytelnianie i autoryzacja przy użyciu kontroli dostępu opartej na rolach platformy Azure
Kontrola dostępu oparta na rolach platformy Azure umożliwia szczegółowe zarządzanie dostępem, podział obowiązków w zespole i udzielanie dostępu tylko do użytkowników niezbędnych do wykonywania swoich zadań. Więcej informacji można znaleźć tutaj.
Jeśli masz wiele obciążeń do tworzenia kopii zapasowych (takich jak maszyny wirtualne platformy Azure, bazy danych SQL i bazy danych PostgreSQL) i masz wielu uczestników projektu, aby zarządzać tymi kopiami zapasowymi, ważne jest, aby rozdzielić swoje obowiązki, aby użytkownik miał dostęp tylko do tych zasobów, za które są odpowiedzialni. Kontrola dostępu oparta na rolach platformy Azure umożliwia szczegółowe zarządzanie dostępem, podział obowiązków w zespole oraz udzielanie dostępu tylko do typów dostępu użytkownikom niezbędnym do wykonywania swoich zadań. Dowiedz się więcej
Można również rozdzielić obowiązki, zapewniając minimalny wymagany dostęp do wykonania określonego zadania. Na przykład osoba odpowiedzialna za monitorowanie obciążeń nie powinna mieć dostępu do modyfikowania zasad tworzenia kopii zapasowych ani usuwania elementów kopii zapasowej. Usługa Azure Backup udostępnia trzy wbudowane role do kontrolowania operacji zarządzania kopiami zapasowymi: współautorów kopii zapasowych, operatorów i czytelników. Dowiedz się więcej tutaj. Aby uzyskać informacje o minimalnej roli platformy Azure wymaganej dla każdej operacji tworzenia kopii zapasowej dla maszyn wirtualnych platformy Azure, baz danych SQL/SAP HANA i udziału plików platformy Azure, zobacz ten przewodnik.
Kontrola dostępu oparta na rolach platformy Azure zapewnia również elastyczność tworzenia ról niestandardowych na podstawie indywidualnych wymagań. Jeśli nie masz pewności co do typów ról zalecanych dla określonej operacji, możesz użyć wbudowanych ról udostępnianych przez kontrolę dostępu opartą na rolach platformy Azure i rozpocząć pracę.
Na poniższym diagramie wyjaśniono, jak działają różne wbudowane role platformy Azure:
Na powyższym diagramie użytkownik2 i użytkownik3 to czytelnicy kopii zapasowych. W związku z tym mają uprawnienia do monitorowania kopii zapasowych i wyświetlania usług kopii zapasowych.
Jeśli chodzi o zakres dostępu,
- Użytkownik User2 może uzyskać dostęp tylko do zasobów subskrypcji1, a użytkownik 3 może uzyskać dostęp tylko do zasobów subskrypcji2.
- User4 jest operatorem kopii zapasowej. Ma uprawnienia do włączania tworzenia kopii zapasowych, wyzwalania kopii zapasowej na żądanie, przywracania wyzwalacza oraz możliwości czytnika kopii zapasowych. Jednak w tym scenariuszu jego zakres jest ograniczony tylko do subskrypcji Subscription2.
- Użytkownik1 jest współautorem kopii zapasowej. Ma uprawnienia do tworzenia magazynów, tworzenia/modyfikowania/usuwania zasad tworzenia kopii zapasowych oraz zatrzymywania kopii zapasowych wraz z możliwościami operatora kopii zapasowej. Jednak w tym scenariuszu jego zakres jest ograniczony tylko do subskrypcji Subscription1.
Konta magazynu używane przez magazyny usługi Recovery Services są izolowane i nie mogą być dostępne dla żadnych złośliwych celów. Dostęp jest dozwolony tylko za pośrednictwem operacji zarządzania usługą Azure Backup, takich jak przywracanie.
Szyfrowanie danych przesyłanych i magazynowanych
Szyfrowanie chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.
Na platformie Azure dane przesyłane między usługą Azure Storage i magazynem są chronione przez protokół HTTPS. Te dane pozostają w sieci platformy Azure.
Dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Alternatywnie możesz użyć własnych kluczy, nazywanych również kluczami zarządzanymi przez klienta. Ponadto użycie szyfrowania CMK na potrzeby kopii zapasowej nie wiąże się z dodatkowymi kosztami. Jednak użycie usługi Azure Key Vault, w której jest przechowywany klucz, wiąże się z kosztami, które są rozsądnym wydatkiem w zamian za wyższe zabezpieczenia danych.
Usługa Azure Backup obsługuje tworzenie kopii zapasowych i przywracanie maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego/danych zaszyfrowane za pomocą usługi Azure Disk Encryption (ADE). Dowiedz się więcej
Ochrona danych kopii zapasowej przed niezamierzonym usunięciem przy użyciu usuwania nietrwałego
Mogą wystąpić scenariusze, w których dane kopii zapasowej o znaczeniu krytycznym są przechowywane w magazynie i są usuwane przypadkowo lub błędnie. Ponadto złośliwy aktor może usunąć elementy kopii zapasowej w środowisku produkcyjnym. Często kosztowne i czasochłonne jest ponowne kompilowanie tych zasobów, a nawet może spowodować istotną utratę danych. Usługa Azure Backup zapewnia ochronę przed przypadkowym i złośliwym usunięciem za pomocą funkcji usuwania nietrwałego, umożliwiając odzyskanie tych zasobów po ich usunięciu.
W przypadku usuwania nietrwałego, jeśli użytkownik usunie kopię zapasową (maszyny wirtualnej, bazy danych programu SQL Server, udziału plików platformy Azure, bazy danych SAP HANA), dane kopii zapasowej są przechowywane przez 14 dodatkowych dni, co pozwala na odzyskanie tego elementu kopii zapasowej bez utraty danych. Dodatkowe 14-dniowe przechowywanie danych kopii zapasowej w stanie usuwania nietrwałego nie wiąże się z żadnymi kosztami. Dowiedz się więcej
Autoryzacja wielu użytkowników (MUA)
Jak chronić dane, jeśli administrator ulegnie nieautoryzować i naruszyć bezpieczeństwo systemu?
Każdy administrator, który ma uprzywilejowany dostęp do danych kopii zapasowej, może spowodować nieodwracalne uszkodzenie systemu. Nieautoryzujący administrator może usunąć wszystkie dane krytyczne dla działania firmy, a nawet wyłączyć wszystkie środki bezpieczeństwa, które mogą pozostawić system narażony na ataki cybernetyczne.
Usługa Azure Backup udostępnia funkcję autoryzacji dla wielu użytkowników (MUA), która chroni Cię przed takimi nieuczciwymi atakami administratora. Autoryzacja wielu użytkowników pomaga chronić przed nieautoryzowanym administratorem wykonującym operacje destrukcyjne (czyli wyłączenie usuwania nietrwałego), zapewniając, że każda operacja uprzywilejowana/destruktywna jest wykonywana tylko po zatwierdzeniu przez administratora zabezpieczeń.
Ochrona przed oprogramowaniem ransomware
Bezpośredni dostęp do danych usługi Azure Backup w celu szyfrowania przez złośliwego aktora jest wykluczony, ponieważ wszystkie operacje na danych kopii zapasowej mogą być wykonywane tylko za pośrednictwem magazynu usługi Recovery-Services lub magazynu kopii zapasowych, które można zabezpieczyć za pomocą kontroli dostępu opartej na rolach i muA na platformie Azure.
Włączenie usuwania nietrwałego danych kopii zapasowej (które jest domyślnie włączone) spowoduje wstrzymanie usuniętych danych przez 14 dni (bez opłat). Wyłączenie usuwania nietrwałego może być chronione przy użyciu usługi MUA.
Użyj dłuższego okresu przechowywania (tygodni, miesięcy, lat), aby zapewnić, że czyste kopie zapasowe (niezaszyfrowane przez oprogramowanie wymuszającego okup) nie wygasają przedwcześnie i istnieją strategie wczesnego wykrywania i ograniczania takich ataków na dane źródłowe.
Monitorowanie i alerty dotyczące podejrzanych działań
Mogą wystąpić scenariusze, w których ktoś próbuje naruszyć bezpieczeństwo systemu i złośliwie wyłączyć mechanizmy zabezpieczeń, takie jak wyłączenie usuwania nietrwałego lub próby wykonania destrukcyjnych operacji, takich jak usunięcie zasobów kopii zapasowej.
Usługa Azure Backup zapewnia zabezpieczenia przed takimi zdarzeniami, wysyłając alerty krytyczne za pośrednictwem preferowanego kanału powiadomień (wiadomości e-mail, ITSM, elementu webhook, elementu Runbook itd.), tworząc regułę akcji na podstawie alertu. Dowiedz się więcej
Funkcje zabezpieczeń, które ułatwiają ochronę hybrydowych kopii zapasowych
Usługa Azure Backup używa agenta usług Microsoft Azure Recovery Services (MARS) do tworzenia kopii zapasowych i przywracania plików, folderów oraz stanu woluminu lub systemu z komputera lokalnego na platformę Azure. Mars udostępnia teraz funkcje zabezpieczeń: hasło do szyfrowania przed przekazaniem i odszyfrowywaniem po pobraniu z usługi Azure Backup, usunięte dane kopii zapasowej są przechowywane przez dodatkowe 14 dni od daty usunięcia, a operacja krytyczna (np. zmiana hasła) może być wykonywana tylko przez użytkowników, którzy mają prawidłowe poświadczenia platformy Azure. Więcej informacji można znaleźć tutaj.
Kwestie dotyczące sieci
Usługa Azure Backup wymaga przenoszenia danych z obciążenia do magazynu usługi Recovery Services. Usługa Azure Backup oferuje kilka możliwości ochrony danych kopii zapasowej przed przypadkowym ujawnieniem (np. atak typu man-in-the-middle w sieci). Należy uwzględnić następujące wytyczne:
Łączność z Internetem
Kopia zapasowa maszyny wirtualnej platformy Azure: Cała wymagana komunikacja i transfer danych między magazynem a usługą Azure Backup odbywa się w sieci platformy Azure bez konieczności uzyskiwania dostępu do sieci wirtualnej. Dlatego tworzenie kopii zapasowych maszyn wirtualnych platformy Azure umieszczonych w zabezpieczonych sieciach nie wymaga zezwolenia na dostęp do żadnych adresów IP ani nazw FQDN.
Bazy danych SAP HANA na maszynie wirtualnej platformy Azure, bazy danych programu SQL Server na maszynie wirtualnej platformy Azure: wymaga łączności z usługą Azure Backup, usługą Azure Storage i identyfikatorem Entra firmy Microsoft. Można to osiągnąć przy użyciu prywatnych punktów końcowych lub zezwalając na dostęp do wymaganych publicznych adresów IP lub nazw FQDN. Nie zezwalanie na właściwą łączność z wymaganymi usługami platformy Azure może prowadzić do niepowodzenia operacji, takich jak odnajdywanie bazy danych, konfigurowanie kopii zapasowej, wykonywanie kopii zapasowych i przywracanie danych. Aby uzyskać pełne wskazówki dotyczące sieci podczas korzystania z tagów sieciowej grupy zabezpieczeń, usługi Azure Firewall i serwera proxy HTTP, zapoznaj się z tymi artykułami dotyczącymi języka SQL i platformy SAP HANA .
Hybrydowe: agent MARS (Microsoft Azure Recovery Services) wymaga dostępu do sieci dla wszystkich operacji krytycznych — instalowanie, konfigurowanie, tworzenie kopii zapasowych i przywracanie. Agent MARS może nawiązać połączenie z usługą Azure Backup za pośrednictwem usługi Azure ExpressRoute przy użyciu komunikacji równorzędnej firmy Microsoft, korzystając z prywatnych punktów końcowych lub za pośrednictwem serwera proxy/zapory z odpowiednimi mechanizmami kontroli dostępu.
Prywatne punkty końcowe na potrzeby bezpiecznego dostępu
Ochrona krytycznych danych za pomocą usługi Azure Backup nie jest pożądane, aby zasoby były dostępne z publicznego Internetu. Zwłaszcza, jeśli jesteś bankiem lub instytucją finansową, masz rygorystyczne wymagania dotyczące zgodności i zabezpieczeń, aby chronić dane o wysokim wpływie biznesowym. Nawet w branży opieki zdrowotnej istnieją ścisłe zasady zgodności.
Aby spełnić wszystkie te potrzeby, użyj prywatnego punktu końcowego platformy Azure, który jest interfejsem sieciowym, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Zalecamy używanie prywatnych punktów końcowych do bezpiecznego tworzenia kopii zapasowych i przywracania bez konieczności dodawania do listy dozwolonych adresów IP/nazw FQDN dla usługi Azure Backup lub usługi Azure Storage z sieci wirtualnych.
Dowiedz się więcej o tworzeniu i używaniu prywatnych punktów końcowych dla usługi Azure Backup w sieciach wirtualnych.
Po włączeniu prywatnych punktów końcowych dla magazynu są one używane tylko do tworzenia kopii zapasowych i przywracania obciążeń SQL i SAP HANA na maszynie wirtualnej platformy Azure, agencie MARS, kopiach zapasowych programu DPM/MABS. Możesz również użyć magazynu do tworzenia kopii zapasowych innych obciążeń (nie będą one jednak wymagały prywatnych punktów końcowych). Oprócz tworzenia kopii zapasowych obciążeń SQL i SAP HANA tworzenie kopii zapasowych przy użyciu agenta MARS i serwera DPM/MABS prywatne punkty końcowe są również używane do odzyskiwania plików w przypadku tworzenia kopii zapasowej maszyny wirtualnej platformy Azure. Więcej informacji można znaleźć tutaj.
Identyfikator Entra firmy Microsoft nie obsługuje obecnie prywatnych punktów końcowych. Dlatego adresy IP i nazwy FQDN wymagane dla identyfikatora Entra firmy Microsoft będą musiały mieć dozwolony dostęp wychodzący z zabezpieczonej sieci podczas wykonywania kopii zapasowych baz danych na maszynach wirtualnych platformy Azure i tworzenia kopii zapasowych przy użyciu agenta MARS. Możesz również użyć tagów sieciowej grupy zabezpieczeń i tagów usługi Azure Firewall, aby umożliwić dostęp do identyfikatora entra firmy Microsoft zgodnie z wymaganiami. Dowiedz się więcej o wymaganiach wstępnych tutaj.
Zagadnienia związane z nadzorem
Ład na platformie Azure jest implementowany głównie za pomocą usług Azure Policy i Microsoft Cost Management. Usługa Azure Policy umożliwia tworzenie i przypisywanie definicji zasad oraz zarządzanie nimi w celu wymuszania reguł dla zasobów. Ta funkcja zapewnia zgodność tych zasobów ze standardami firmowymi. Usługa Microsoft Cost Management umożliwia śledzenie użycia chmury i wydatków dla zasobów platformy Azure i innych dostawców usług w chmurze. Ponadto następujące narzędzia, takie jak Kalkulator cen platformy Azure i usługa Azure Advisor , odgrywają ważną rolę w procesie zarządzania kosztami.
Automatycznie skonfiguruj nowo aprowizowaną infrastrukturę kopii zapasowych przy użyciu usługi Azure Policy na dużą skalę
Za każdym razem, gdy zostanie aprowizowana nowa infrastruktura, a nowe maszyny wirtualne zostaną utworzone jako administrator kopii zapasowej, musisz zapewnić ich ochronę. Można łatwo skonfigurować kopie zapasowe dla jednej lub dwóch maszyn wirtualnych. Ale staje się złożony, gdy trzeba skonfigurować setki lub nawet tysiące maszyn wirtualnych na dużą skalę. Aby uprościć proces konfigurowania kopii zapasowych, usługa Azure Backup udostępnia zestaw wbudowanych zasad platformy Azure do zarządzania infrastrukturą kopii zapasowych.
Automatyczne włączanie tworzenia kopii zapasowych na maszynach wirtualnych przy użyciu zasad (centralnego modelu zespołu kopii zapasowych): jeśli organizacja ma centralny zespół kopii zapasowych, który zarządza kopiami zapasowymi w zespołach aplikacji, możesz użyć tych zasad, aby skonfigurować kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej subskrypcji i lokalizacji co maszyny wirtualne. Możesz dołączyć/wykluczyć maszyny wirtualne, które zawierają określony tag z zakresu zasad. Dowiedz się więcej.
Automatyczne włączanie tworzenia kopii zapasowych na maszynach wirtualnych przy użyciu zasad (gdzie kopia zapasowa należąca do zespołów aplikacji): jeśli organizujesz aplikacje w dedykowanych grupach zasobów i chcesz utworzyć ich kopię zapasową w tym samym magazynie, użyj tych zasad, aby automatycznie zarządzać tą akcją. Możesz dołączyć/wykluczyć maszyny wirtualne, które zawierają określony tag z zakresu zasad. Dowiedz się więcej.
Zasady monitorowania: aby wygenerować raporty kopii zapasowej dla zasobów, włącz ustawienia diagnostyczne podczas tworzenia nowego magazynu. Często ręczne dodawanie ustawienia diagnostycznego dla magazynu może być kłopotliwym zadaniem. Dlatego możesz użyć wbudowanych zasad platformy Azure, które konfigurują ustawienia diagnostyczne na dużą skalę do wszystkich magazynów w każdej subskrypcji lub grupie zasobów, z usługą Log Analytics jako miejscem docelowym.
Zasady tylko do inspekcji: usługa Azure Backup udostępnia również zasady tylko do inspekcji, które identyfikują maszyny wirtualne bez konfiguracji kopii zapasowej.
Zagadnienia dotyczące kosztów usługi Azure Backup
Usługa Azure Backup oferuje elastyczność efektywnego zarządzania kosztami; ponadto spełnia wymagania biznesowe BCDR (ciągłość działania i odzyskiwanie po awarii). Należy uwzględnić następujące wytyczne:
Skorzystaj z kalkulatora cen, aby ocenić i zoptymalizować koszt, dostosowując różne dźwignie. Dowiedz się więcej
Optymalizowanie zasad tworzenia kopii zapasowych,
- Zoptymalizuj ustawienia harmonogramu i przechowywania na podstawie archetypów obciążeń (takich jak mission-critical, non-critical).
- Zoptymalizuj ustawienia przechowywania dla funkcji natychmiastowego przywracania.
- Wybierz odpowiedni typ kopii zapasowej, aby spełnić wymagania, wykonując obsługiwane typy kopii zapasowych (pełne, przyrostowe, dzienniki, różnicowe) według obciążenia w usłudze Azure Backup.
Zmniejsz koszt magazynu kopii zapasowych przy użyciu dysków selektywnie kopii zapasowych: funkcja Wykluczanie dysku zapewnia wydajny i ekonomiczny wybór selektywnego tworzenia kopii zapasowych danych krytycznych. Można na przykład utworzyć kopię zapasową tylko jednego dysku, gdy nie chcesz tworzyć kopii zapasowych wszystkich dysków dołączonych do maszyny wirtualnej. Jest to również przydatne w przypadku wielu rozwiązań do tworzenia kopii zapasowych. Aby na przykład utworzyć kopię zapasową baz danych lub danych przy użyciu rozwiązania do tworzenia kopii zapasowej obciążenia (baza danych programu SQL Server w kopii zapasowej maszyny wirtualnej platformy Azure), użyj kopii zapasowej na poziomie maszyny wirtualnej platformy Azure dla wybranych dysków.
Przyspiesz przywracanie i zminimalizuj cel czasu odzyskiwania przy użyciu funkcji natychmiastowego przywracania: usługa Azure Backup tworzy migawki maszyn wirtualnych platformy Azure i przechowuje je wraz z dyskami w celu zwiększenia tworzenia punktu odzyskiwania i przyspieszenia operacji przywracania. Jest to nazywane natychmiastowe przywracanie. Ta funkcja umożliwia operację przywracania z tych migawek przez zmniejszenie czasów przywracania. Skraca to czas potrzebny do przekształcenia i skopiowania danych z magazynu. W związku z tym spowoduje to naliczenie kosztów magazynowania dla migawek wykonanych w tym okresie. Dowiedz się więcej na temat możliwości natychmiastowego odzyskiwania usługi Azure Backup.
Wybierz prawidłowy typ replikacji: typ replikacji magazynu usługi Azure Backup jest domyślnie ustawiony na geograficznie nadmiarowy (GRS). Tej opcji nie można zmienić po rozpoczęciu ochrony elementów. Magazyn geograficznie nadmiarowy (GRS) zapewnia wyższy poziom trwałości danych niż magazyn lokalnie nadmiarowy (LRS), umożliwia korzystanie z funkcji przywracania między regionami i kosztuje więcej. Zapoznaj się z kompromisami między niższymi kosztami a większą trwałością danych i wybierz najlepszą opcję dla danego scenariusza. Dowiedz się więcej
Użyj warstwy Archiwum na potrzeby przechowywania długoterminowego (LTR) i zaoszczędzenia kosztów: rozważ scenariusz, w którym rzadko uzyskujesz dostęp do starszych danych kopii zapasowych, ale jest wymagany do przechowywania przez długi okres (na przykład 99 lat) ze względów zgodności. Przechowywanie tak ogromnych danych w warstwie Standardowa jest kosztowne i nie jest ekonomiczne. Aby ułatwić optymalizację kosztów magazynowania, usługa Azure Backup udostępnia warstwę Archiwum, która jest warstwą dostępu przeznaczoną specjalnie do przechowywania długoterminowego danych kopii zapasowych.
Jeśli chronisz zarówno obciążenie uruchomione na maszynie wirtualnej, jak i samą maszynę wirtualną, upewnij się, że ta podwójna ochrona jest wymagana.
Zagadnienia dotyczące monitorowania i alertów
Jako użytkownik kopii zapasowej lub administrator powinien być w stanie monitorować wszystkie rozwiązania do tworzenia kopii zapasowych i otrzymywać powiadomienia w ważnych scenariuszach. Ta sekcja zawiera szczegółowe informacje na temat możliwości monitorowania i powiadomień udostępnianych przez usługę Azure Backup.
Monitor
Usługa Azure Backup zapewnia wbudowane monitorowanie zadań dla operacji, takich jak konfigurowanie kopii zapasowej, tworzenie kopii zapasowej, przywracanie, usuwanie kopii zapasowej itd. Jest to ograniczone do magazynu i idealne do monitorowania pojedynczego magazynu. Więcej informacji można znaleźć tutaj.
Jeśli chcesz monitorować działania operacyjne na dużą skalę, Eksplorator kopii zapasowych udostępnia zagregowany widok całej jednostki kopii zapasowej, umożliwiając szczegółową analizę przechodzenia do szczegółów i rozwiązywanie problemów. Jest to wbudowany skoroszyt usługi Azure Monitor, który zapewnia jedną centralną lokalizację, która ułatwia monitorowanie działań operacyjnych w całej infrastrukturze kopii zapasowej na platformie Azure, obejmujących dzierżawy, lokalizacje, subskrypcje, grupy zasobów i magazyny. Więcej informacji można znaleźć tutaj.
- Służy do identyfikowania zasobów, które nie są skonfigurowane do tworzenia kopii zapasowych, i upewnij się, że nigdy nie przegapisz ochrony krytycznych danych w rosnącym majątku.
- Pulpit nawigacyjny udostępnia działania operacyjne z ostatnich siedmiu dni (maksimum). Jeśli chcesz zachować te dane, możesz wyeksportować je jako plik programu Excel i zachować je.
- Jeśli jesteś użytkownikiem usługi Azure Lighthouse, możesz wyświetlić informacje w wielu dzierżawach, włączając monitorowanie bez granic.
Jeśli chcesz zachować i wyświetlić działania operacyjne w dłuższej perspektywie, użyj opcji Raporty. Typowym wymaganiem dla administratorów kopii zapasowych jest uzyskanie szczegółowych informacji na temat kopii zapasowych na podstawie danych obejmujących dłuższy czas. Przypadki użycia takiego rozwiązania obejmują:
- Przydzielanie i prognozowanie używanego magazynu w chmurze.
- Inspekcja kopii zapasowych i przywracania.
- Identyfikowanie kluczowych trendów na różnych poziomach szczegółowości.
W dodatku
- Możesz wysyłać dane (na przykład zadania, zasady itd.) do obszaru roboczego usługi Log Analytics . Dzięki temu funkcje dzienników usługi Azure Monitor umożliwiają korelację danych z innymi danymi monitorowania zbieranymi przez usługę Azure Monitor, konsolidowanie wpisów dziennika z wielu subskrypcji i dzierżaw platformy Azure w jednej lokalizacji na potrzeby analizy, używanie zapytań dzienników do przeprowadzania złożonej analizy i uzyskiwanie szczegółowych informacji na temat wpisów dziennika. Więcej informacji można znaleźć tutaj.
- Dane można wysyłać do centrum zdarzeń platformy Azure, aby wysyłać wpisy spoza platformy Azure, na przykład do zewnętrznego rozwiązania SIEM (Security Information and Event Management) lub innego rozwiązania do analizy dzienników. Więcej informacji można znaleźć tutaj.
- Możesz wysłać dane do konta usługi Azure Storage, jeśli chcesz przechowywać dane dziennika dłużej niż 90 dni na potrzeby inspekcji, analizy statycznej lub tworzenia kopii zapasowej. Jeśli musisz zachować zdarzenia tylko przez 90 dni lub mniej, nie musisz konfigurować archiwów na koncie magazynu, ponieważ zdarzenia dziennika aktywności są przechowywane na platformie Azure przez 90 dni. Dowiedz się więcej.
Alerty
W scenariuszu, w którym zadanie tworzenia/przywracania kopii zapasowej nie powiodło się z powodu nieznanego problemu. Aby przypisać inżyniera do debugowania go, należy otrzymywać powiadomienia o awarii tak szybko, jak to możliwe. Może istnieć również scenariusz, w którym ktoś złośliwie wykonuje operację destrukcyjną, taką jak usuwanie elementów kopii zapasowej lub wyłączanie usuwania nietrwałego i wymaga komunikatu alertu dla takiego zdarzenia.
Możesz skonfigurować takie alerty krytyczne i kierować je do dowolnego preferowanego kanału powiadomień (e-mail, ITSM, webhook, runbook itd.). Usługa Azure Backup integruje się z wieloma usługami platformy Azure, aby spełnić różne wymagania dotyczące alertów i powiadomień:
Dzienniki usługi Azure Monitor (Log Analytics): możesz skonfigurować magazyny do wysyłania danych do obszaru roboczego usługi Log Analytics, pisać zapytania niestandardowe w obszarze roboczym i konfigurować alerty do wygenerowania na podstawie danych wyjściowych zapytania. Wyniki zapytania można wyświetlić w tabelach i wykresach; należy je również wyeksportować do usługi Power BI lub narzędzia Grafana. (Usługa Log Analytics jest również kluczowym składnikiem funkcji raportowania/inspekcji opisanych w kolejnych sekcjach).
Alerty usługi Azure Monitor: w przypadku niektórych domyślnych scenariuszy, takich jak niepowodzenie tworzenia kopii zapasowej, niepowodzenie przywracania, usuwanie danych kopii zapasowej itd., usługa Azure Backup domyślnie wysyła alerty wyświetlane przy użyciu usługi Azure Monitor bez konieczności konfigurowania obszaru roboczego usługi Log Analytics przez użytkownika.
Usługa Azure Backup udostępnia wbudowany mechanizm powiadamiania o alertach za pośrednictwem poczty e-mail w przypadku niepowodzeń, ostrzeżeń i operacji krytycznych. Możesz określić poszczególne adresy e-mail lub listy dystrybucyjne, aby otrzymywać powiadomienia po wygenerowaniu alertu. Możesz również wybrać, czy otrzymywać powiadomienia o poszczególnych alertach, czy grupować je w ciągu godzinowym, a następnie otrzymywać powiadomienia.
- Te alerty są definiowane przez usługę i zapewniają obsługę ograniczonych scenariuszy — niepowodzenia tworzenia/przywracania kopii zapasowych, zatrzymywanie ochrony przy zachowaniu danych/zatrzymywanie ochrony przy użyciu danych usuwania itd. Więcej informacji można znaleźć tutaj.
- Jeśli jest wykonywana operacja destrukcyjna, taka jak zatrzymywanie ochrony przy użyciu danych usuwania, zostanie zgłoszony alert, a wiadomość e-mail zostanie wysłana do właścicieli subskrypcji, administratorów i współadministratorów, nawet jeśli powiadomienia nie są skonfigurowane dla magazynu usługi Recovery Services.
- Niektóre obciążenia mogą generować wysoką częstotliwość awarii (na przykład program SQL Server co 15 minut). Aby zapobiec przeciążeniu alertami zgłaszanymi dla każdego wystąpienia awarii, alerty są skonsolidowane. Więcej informacji można znaleźć tutaj.
- Wbudowane alerty nie mogą być dostosowane i są ograniczone do wiadomości e-mail zdefiniowanych w witrynie Azure Portal.
Jeśli musisz utworzyć alerty niestandardowe (na przykład alerty dotyczące pomyślnych zadań), użyj usługi Log Analytics. W usłudze Azure Monitor możesz tworzyć własne alerty w obszarze roboczym usługi Log Analytics. Obciążenia hybrydowe (DPM/MABS) mogą również wysyłać dane do la i używać la do udostępniania typowych alertów między obciążeniami obsługiwanymi przez usługę Azure Backup.
Powiadomienia można również otrzymywać za pomocą wbudowanych dzienników aktywności magazynu usługi Recovery Services. Obsługuje jednak ograniczone scenariusze i nie jest odpowiedni dla operacji, takich jak zaplanowana kopia zapasowa, która jest lepiej dopasowana do dzienników zasobów niż z dziennikami aktywności. Aby dowiedzieć się więcej o tych ograniczeniach i sposobie używania obszaru roboczego usługi Log Analytics do monitorowania i zgłaszania alertów na dużą skalę dla wszystkich obciążeń chronionych przez usługę Azure Backup, zapoznaj się z tym artykułem.
Automatyczne ponawianie nieudanych zadań tworzenia kopii zapasowej
Wiele błędów awarii lub scenariuszy awarii jest przejściowych i można je skorygować, konfigurując odpowiednie uprawnienia kontroli dostępu opartej na rolach platformy Azure lub ponownie wyzwalając zadanie tworzenia/przywracania kopii zapasowej. Ponieważ rozwiązanie takich niepowodzeń jest proste, nie trzeba poświęcać czasu na ręczne wyzwolenie zadania przez inżyniera lub przypisanie odpowiednich uprawnień. W związku z tym mądrzejszym sposobem obsługi tego scenariusza jest zautomatyzowanie ponawiania próby zadań, które zakończyły się niepowodzeniem. Pozwoli to zminimalizować czas potrzebny na odzyskanie sprawności po awariach. Można to osiągnąć, pobierając odpowiednie dane kopii zapasowej za pośrednictwem usługi Azure Resource Graph (ARG) i łącząc je z procedurą naprawczą programu PowerShell/interfejsu wiersza polecenia.
Obejrzyj poniższy film wideo, aby dowiedzieć się, jak ponownie wyzwalać kopię zapasową dla wszystkich zadań, które zakończyły się niepowodzeniem (między magazynami, subskrypcjami, dzierżawami) przy użyciu usługi ARG i programu PowerShell.
Kierowanie alertów do preferowanego kanału powiadomień
Podczas gdy błędy przejściowe mogą być poprawiane, niektóre trwałe błędy mogą wymagać szczegółowej analizy, a ponowne pobieranie zadań może nie być opłacalnym rozwiązaniem. Możesz mieć własne mechanizmy monitorowania/tworzenia biletów, aby upewnić się, że takie błędy są prawidłowo śledzone i naprawione. Aby obsłużyć takie scenariusze, możesz wybrać kierowanie alertów do preferowanego kanału powiadomień (wiadomości e-mail, ITSM, elementu webhook, elementu Runbook itd.), tworząc regułę akcji dla alertu.
Obejrzyj poniższy film wideo, aby dowiedzieć się, jak używać usługi Azure Monitor do konfigurowania różnych mechanizmów powiadomień dla alertów krytycznych.
Następne kroki
Przeczytaj następujące artykuły jako punkty początkowe dotyczące korzystania z usługi Azure Backup: