Melhores práticas do Serviço de Cópia de Segurança de Infraestrutura – Modular Data Center (MDC)
Aplica-se a: Modular Data Center, Azure Stack Hub ruggedized
Reveja estas melhores práticas regularmente para verificar se a instalação ainda está em conformidade quando são efetuadas alterações ao fluxo de operação. Se encontrar problemas ao implementar estas melhores práticas, contacte Suporte da Microsoft para obter ajuda.
Melhores práticas de configuração
A cópia de segurança da infraestrutura está ativada por predefinição durante a implementação de um novo sistema e armazenada internamente. Com o portal do Azure Stack ou o PowerShell, pode fornecer uma localização de armazenamento externa para exportar as cópias de segurança para uma localização secundária.
Rede
A cadeia unc (Universal Naming Convention) para o caminho tem de utilizar um nome de domínio completamente qualificado (FQDN). Um endereço IP pode ser utilizado se a resolução de nomes não for possível. Uma cadeia UNC especifica a localização dos recursos, como ficheiros ou dispositivos partilhados.
Encriptação
O certificado de encriptação é utilizado para encriptar dados de cópia de segurança que são exportados para armazenamento externo. O certificado pode ser um certificado autoassinado, uma vez que o certificado só é utilizado para transportar chaves. Para obter mais informações sobre como criar um certificado, veja a documentação de New-SelfSignedCertificate.
O certificado tem de ser armazenado numa localização segura. O formato CER do certificado é utilizado para encriptar apenas dados e não é utilizado para estabelecer comunicação.
Melhores práticas operacionais
Cópias de segurança
As tarefas de cópia de segurança são executadas enquanto o sistema está em execução para que não haja tempo de inatividade para as experiências de gestão ou aplicações de utilizador. Espere que as tarefas de cópia de segurança dedfequem entre 20 e 40 minutos para uma solução que esteja sob carga razoável.
Instruções adicionais fornecidas para fazer uma cópia de segurança manual dos comutadores de rede e do anfitrião do ciclo de vida do hardware (HLH).
Nomes de pastas
A infraestrutura cria automaticamente uma pasta MASBACKUP. Esta é uma partilha gerida pela Microsoft. Pode criar partilhas ao mesmo nível que MASBACKUP. Não é recomendado criar pastas ou dados de armazenamento dentro do MASBACKUP que o Azure Stack não cria.
O FQDN do utilizador e a região no nome da pasta diferenciam os dados de cópia de segurança de diferentes clouds. O FQDN da implementação e pontos finais do Azure Stack é a combinação do parâmetro Região e do parâmetro Nome de Domínio Externo . Para obter mais informações, veja Integração do datacenter do Azure Stack - DNS.
Por exemplo, a partilha de cópias de segurança é AzSBackups alojada no fileserver01.contoso.com. Nessa partilha de ficheiros, poderá existir uma pasta por implementação do Azure Stack com o nome de domínio externo e uma subpasta que utiliza o nome da região.
- FQDN: contoso.com
- Região: nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup
A MASBackup
pasta é onde o Azure Stack armazena os respetivos dados de cópia de segurança. Não utilize esta pasta para armazenar os seus próprios dados. Os OEMs também não devem utilizar esta pasta para armazenar quaisquer dados de cópia de segurança.
Os OEMs são incentivados a armazenar dados de cópia de segurança para os respetivos componentes na pasta região. Pode armazenar cada comutador de rede, anfitrião de ciclo de vida de hardware (HLH) e assim sucessivamente, na sua própria subpasta. Por exemplo:
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration
Monitorização
Os seguintes alertas são suportados pelo sistema:
Alerta | Description | Remediação |
---|---|---|
A cópia de segurança falhou porque a partilha de ficheiros está fora de capacidade. | A partilha de ficheiros está sem capacidade e o controlador de cópia de segurança não consegue exportar ficheiros de cópia de segurança para a localização. | Adicione mais capacidade de armazenamento e tente fazer uma cópia de segurança novamente. Elimine as cópias de segurança existentes (começando da mais antiga) para libertar espaço. |
A cópia de segurança falhou devido a problemas de conectividade. | A rede entre o Azure Stack e a partilha de ficheiros está a ter problemas. | Resolva o problema de rede e tente fazer novamente a cópia de segurança. |
A cópia de segurança falhou devido a uma falha no caminho. | Não é possível resolver o caminho da partilha de ficheiros. | Mapeie a partilha a partir de um computador diferente para garantir que a partilha está acessível. Poderá ter de atualizar o caminho se este já não for válido. |
A cópia de segurança falhou devido a um problema de autenticação. | Pode haver um problema com as credenciais ou um problema de rede que afeta a autenticação. | Mapeie a partilha a partir de um computador diferente para garantir que a partilha está acessível. Poderá ter de atualizar as credenciais se já não forem válidas. |
A cópia de segurança falhou devido a uma falha geral. | O pedido falhado pode dever-se a um problema intermitente. Tente fazer uma cópia de segurança novamente. | Chame o suporte. |
Componentes do Serviço de Cópia de Segurança de Infraestrutura
O Serviço de Cópia de Segurança da Infraestrutura inclui os seguintes componentes:
Controlador de Cópia de Segurança da Infraestrutura: o Controlador de Cópia de Segurança da Infraestrutura é instanciado e reside em todas as cloud do Azure Stack.
Fornecedor de Recursos de Cópia de Segurança: o Fornecedor de Recursos de Cópia de Segurança (RP de Cópia de Segurança) é composto pela interface de utilizador e pelas APIs que expõem a funcionalidade de cópia de segurança básica para a infraestrutura do Azure Stack.
Controlador de Cópia de Segurança de Infraestrutura
O Controlador de Cópia de Segurança de Infraestrutura é um serviço do Service Fabric que é instanciado para uma Cloud do Azure Stack. Os recursos de cópia de segurança são criados a nível regional e capturam dados de serviço específicos da região do AD, CA, Resource Manager do Azure, CRP, SRP, NRP, Key Vault e RBAC.
Fornecedor de Recursos de Cópia de Segurança
O Fornecedor de Recursos de Cópia de Segurança apresenta uma interface de utilizador no portal do Azure Stack para configuração básica e listagem de recursos de cópia de segurança. Os operadores podem realizar as seguintes ações na interface de utilizador:
- Ative a cópia de segurança pela primeira vez ao fornecer localização de armazenamento externo, credenciais e chave de encriptação.
- Ver recursos de cópia de segurança criados concluídos e recursos de estado em criação.
- Modifique a localização de armazenamento onde o Controlador de Cópia de Segurança coloca os dados de cópia de segurança.
- Modifique as credenciais que o Controlador de Cópia de Segurança utiliza para aceder à localização de armazenamento externo.
- Modifique o certificado de encriptação que o Controlador de Cópia de Segurança utiliza para encriptar cópias de segurança.
Requisitos do Controlador de Cópia de Segurança
Esta secção descreve requisitos importantes para o Serviço de Cópia de Segurança da Infraestrutura. Recomendamos que reveja cuidadosamente as informações antes de ativar a cópia de segurança para a instância do Azure Stack e, em seguida, reveja-as conforme necessário durante a implementação e a operação subsequente.
Os requisitos incluem:
- Requisitos de software: descreve as localizações de armazenamento suportadas e a documentação de orientação de dimensionamento.
- Requisitos de rede: descreve os requisitos de rede para diferentes localizações de armazenamento.
Requisitos de software
Localizações de armazenamento suportadas
Localização do armazenamento | Detalhes |
---|---|
Partilha de ficheiros SMB alojada num dispositivo de armazenamento no ambiente de rede fidedigno. | Partilha SMB no mesmo datacenter onde o Azure Stack é implementado ou num datacenter diferente. Várias instâncias do Azure Stack podem utilizar a mesma partilha de ficheiros. |
Partilha de ficheiros SMB no Azure. | Atualmente, não é suportado. |
Armazenamento de blobs no Azure. | Atualmente, não é suportado. |
Versões SMB suportadas
SMB | Versão |
---|---|
SMB | 3.x |
Encriptação SMB
O Serviço de Cópia de Segurança da Infraestrutura suporta a transferência de dados de cópia de segurança para uma localização de armazenamento externo com a encriptação SMB ativada no lado do servidor. Se o servidor não suportar a Encriptação SMB ou não tiver a funcionalidade ativada, o Serviço de Cópia de Segurança da Infraestrutura reverterá para a transferência de dados não encriptada. Os dados de cópia de segurança colocados na localização de armazenamento externo são sempre encriptados inativos e não dependem da encriptação SMB.
Dimensionamento da localização de armazenamento
Recomendamos que faça uma cópia de segurança pelo menos duas vezes por dia e mantenha, no máximo, sete dias de cópias de segurança. Este é o comportamento predefinido quando ativa as cópias de segurança da infraestrutura no Azure Stack.
Dimensionamento do Ambiente | Tamanho previsto da cópia de segurança | Quantidade total de espaço necessário |
---|---|---|
4-16 nós | 20 GB | 280 GB |
Requisitos da rede
Localização do armazenamento | Detalhes |
---|---|
Partilha de ficheiros SMB alojada num dispositivo de armazenamento no ambiente de rede fidedigno. | A porta 445 é necessária se a instância do Azure Stack residir num ambiente com firewall. O Controlador de Cópia de Segurança de Infraestrutura iniciará uma ligação ao servidor de ficheiros SMB através da porta 445. |
Para utilizar o FQDN do servidor de ficheiros, o nome tem de ser resolvível a partir do PEP. |
Nota
Não é necessário abrir nenhuma porta de entrada.
Requisitos de encriptação
O Serviço de Cópia de Segurança da Infraestrutura utiliza um certificado com uma chave pública (. CER) para encriptar dados de cópia de segurança. O certificado é utilizado para o transporte de chaves e não é utilizado para estabelecer uma comunicação autenticada segura. Por este motivo, o certificado pode ser um certificado autoassinado. O Azure Stack não precisa de verificar a raiz ou a confiança deste certificado, pelo que o acesso externo à Internet não é necessário.
O certificado autoassinado é fornecido em duas partes, uma com a chave pública e outra com a chave privada:
- Encriptar dados de cópia de segurança: certificado com a chave pública (exportada para . O ficheiro CER) é utilizado para encriptar dados de cópia de segurança.
- Desencriptar dados de cópia de segurança: certificado com a chave privada (exportada para . O ficheiro PFX) é utilizado para desencriptar dados de cópia de segurança.
O certificado com a chave pública (. CER) não é gerido pela rotação de segredos internos. Para rodar o certificado, tem de criar um novo certificado autoassinado e atualizar as definições de cópia de segurança com o novo ficheiro (. CER).
Todas as cópias de segurança existentes permanecem encriptadas com a chave pública anterior. As novas cópias de segurança utilizam a nova chave pública.
Por motivos de segurança, o certificado utilizado durante a recuperação na cloud com a chave privada (. O PFX não é persistente pelo Azure Stack.
Limites da Cópia de Segurança da Infraestrutura
Considere estes limites à medida que planeia, implementa e opera as instâncias do Microsoft Azure Stack. A tabela seguinte descreve estes limites.
Identificador de limite | Limite | Comentários |
---|---|---|
Tipo de cópia de segurança | Apenas completo | O Controlador de Cópia de Segurança de Infraestrutura só suporta cópias de segurança completas. As cópias de segurança incrementais não são suportadas. |
Cópias de segurança agendadas | Agendado e manual | O controlador de cópia de segurança suporta cópias de segurança agendadas e a pedido. |
Máximo de tarefas de cópia de segurança simultâneas | 1 | Apenas é suportada uma tarefa de cópia de segurança ativa por instância do Controlador de Cópia de Segurança. |
Configuração do comutador de rede | Não está no âmbito | Administração tem de fazer uma cópia de segurança da configuração do comutador de rede com as ferramentas OEM. Veja a documentação do Azure Stack fornecida por cada fornecedor OEM. |
Anfitrião do Ciclo de Vida do Hardware | Não está no âmbito | Administração tem de fazer uma cópia de segurança do Anfitrião do Ciclo de Vida do Hardware com as ferramentas OEM. Veja a documentação do Azure Stack fornecida por cada fornecedor OEM. |
Número máximo de partilhas de ficheiros | 1 | Apenas uma partilha de ficheiros pode ser utilizada para armazenar dados de cópia de segurança. |
Cópia de segurança de fornecedores de recursos de valor acrescentado | No âmbito | A cópia de segurança da infraestrutura inclui cópia de segurança para o RP dos Hubs de Eventos, o RP do Data Box Edge. |
Passos seguintes
- Saiba mais sobre o Serviço de Cópia de Segurança da Infraestrutura.