Рекомендации по защите данных, резервному копированию и восстановлению служба хранилища Azure
В этой статье содержатся служба хранилища Azure варианты защиты данных и резервного копирования, сценарии самостоятельного восстановления и возможности восстановления, помогаемые корпорацией Майкрософт.
Параметры защиты данных, резервного копирования и восстановления
служба хранилища Azure защита данных относится к стратегиям:
- Защита учетной записи хранения и данных в ней от удаления или изменения.
- Восстановление данных после удаления или изменения.
В этом разделе представлены доступные параметры защиты данных, резервного копирования и восстановления. Дополнительные сведения см. в параметрах резервного копирования и защиты данных.
Параметры защиты данных и резервного копирования
В следующих разделах представлены сценарии защиты данных и рекомендуемые варианты защиты.
- Сценарий 1. Защита учетной записи хранения
- Сценарий 2. Защита контейнера BLOB-объектов
- Сценарий 3. Защита файлов BLOB-объектов
Сценарий 1. Защита учетной записи хранения
Включите блокировку Azure Resource Manager (ARM), чтобы заблокировать все учетные записи хранения и запретить удаление учетной записи хранения. Дополнительные сведения о блокировке ARM см. в статье "Применение блокировки Azure Resource Manager к учетной записи хранения".
Преимущества и ограничения:
- Защищает учетную запись хранения от удаления или изменений конфигурации.
- Не защищает контейнеры и BLOB-объекты в учетной записи от удаления или перезаписи.
- Она поддерживает Azure Data Lake Storage (ADLS) 2-го поколения.
Сценарий 2. Защита контейнера BLOB-объектов
Включите политики неизменяемости в контейнере для защиты критически важных для бизнеса документов, таких как соответствие нормативным требованиям или нормативным требованиям.
Преимущества и ограничения:
- Защищает контейнер и его BLOB-объекты от всех операций удаления и перезаписи.
- Если действует удержание по юридическим причинам или заблокирована политика хранения на основе времени, учетная запись хранения также защищена от удаления. Контейнеры, для которых не задана политика неизменяемости, не защищены от удаления.
- Она поддерживает ADLS 2-го поколения в предварительной версии.
Дополнительные сведения о политиках неизменяемости в контейнере см. в разделе Store критически важных для бизнеса данных BLOB-объектов с неизменяемым хранилищем.
Включите обратимое удаление контейнера для восстановления удаленного контейнера в течение указанного интервала.
Преимущества и ограничения:
- Удаленный контейнер и его содержимое можно восстанавливать в течение периода хранения. Для минимального интервала хранения рекомендуется использовать семь дней.
- Можно восстановить только операции уровня контейнера, такие как "Удалить контейнер". Обратимое удаление контейнера не позволяет восстановить отдельный BLOB-объект в контейнере, если этот BLOB-объект удален.
- Она поддерживает ADLS 2-го поколения.
Дополнительные сведения о обратимом удалении контейнера см. в разделе "Обратимое удаление" для контейнеров.
Сценарий 3. Защита файлов BLOB-объектов
Включите политики неизменяемости в версии большого двоичного объекта, чтобы предотвратить удаление версии большого двоичного объекта для интервала, который вы управляете.
Преимущества и ограничения:
- Защищает версию BLOB-объекта от удаления и ее метаданные от перезаписи. Операция перезаписи создает версию.
- Если по крайней мере в одном контейнере включена политика неизменности на уровне версии, учетная запись хранения также будет защищена от удаления.
- Удаление контейнера завершается сбоем, если в нем существует хотя бы один BLOB-объект.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения о политиках неизменяемости в версии БОЛЬШОго двоичного объекта см. в разделе Store критически важных для бизнеса данных BLOB-объектов с неизменяемым хранилищем.
Включите обратимое удаление BLOB-объектов для восстановления удаленного большого двоичного объекта или версии БОЛЬШОго двоичного объекта в течение указанного интервала.
Преимущества:
- Удаленный BLOB-объект или версию BLOB-объекта можно восстановить в течение периода хранения. Для минимального интервала хранения рекомендуется использовать семь дней.
- Она поддерживает ADLS 2-го поколения.
Дополнительные сведения о обратимом удалении BLOB-объектов см. в статье "Обратимое удаление" для БОЛЬШИХ двоичных объектов.
Включите моментальный снимок BLOB-объектов, чтобы вручную сохранить состояние большого двоичного объекта в определенный момент времени.
Преимущества и ограничения:
- BLOB-объект можно восстановить из моментального снимка, если он перезаписан. Однако при удалении большого двоичного объекта моментальные снимки также удаляются.
- Она поддерживает ADLS 2-го поколения в предварительной версии.
Дополнительные сведения о моментальных снимках BLOB-объектов см. в разделе "Моментальные снимки BLOB-объектов".
Включите управление версиями BLOB-объектов для автоматического сохранения состояния большого двоичного объекта в предыдущей версии при перезаписи.
Преимущества и ограничения:
- Каждая операция записи BLOB-объекта создает новую версию. Текущая версия BLOB-объекта может быть восстановлена из предыдущей версии, если текущая версия удалена или перезаписана.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения об управлении версиями BLOB-объектов см. в статье Управление версиями BLOB-объектов.
Включите восстановление на определенный момент времени для восстановления набора блочных BLOB-объектов до предыдущей точки во времени.
Преимущества и ограничения:
- Набор блочных BLOB-объектов можно вернуть в состояние на определенный момент в прошлом.
- Обращению подлежат только операции, выполняемые с блочными BLOB-объектами.
- Любые операции, выполняемые с контейнерами, страничными BLOB-объектами или добавленными BLOB-объектами, не подлежат обращению.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения о восстановлении на определенный момент времени см. в разделе "Восстановление на определенный момент времени" для блочных BLOB-объектов.
Скопируйте данные во вторую учетную запись с помощью репликации объектов служба хранилища Azure или средств, таких как AzCopy или Фабрика данных Azure.
Преимущества и ограничения:
- Данные можно восстановить из второй учетной записи хранения, если основная учетная запись будет каким-либо образом повреждена.
- AzCopy и Фабрика данных Azure поддерживаются.
- Репликация объектов не поддерживается.
Варианты восстановления данных
В следующих разделах представлены сценарии восстановления данных и возможные варианты восстановления.
- Сценарий 1. Восстановление учетной записи хранения
- Сценарий 2. Восстановление контейнера BLOB-объектов
- Сценарий 3. Восстановление файлов BLOB-объектов
Вы можете восстановить данные после включения параметров защиты данных и резервного копирования.
Сценарий 1. Восстановление учетной записи хранения
Ссылается на восстановление удаленных учетных записей хранения из портал Azure.
Сценарий 2. Восстановление контейнера BLOB-объектов
Восстановите обратимо удаленный контейнер и его содержимое.
Требования к восстановлению:
- Обратимое удаление контейнера включено.
- Срок хранения обратимого удаления контейнера еще не истек.
Дополнительные сведения см. в разделе "Включение обратимого удаления" и управление ими для контейнеров.
Восстановление из второй учетной записи хранения.
Требования к восстановлению: все операции контейнера и больших двоичных объектов были реплицированы во вторую учетную запись хранения.
Сценарий 3. Восстановление файлов BLOB-объектов
Восстановите большие двоичные объекты до предыдущих версий с помощью управления версиями BLOB-объектов.
Требования к восстановлению:
- Управление версиями BLOB-объектов включено.
- Большой двоичный объект имеет одну или несколько предыдущих версий.
Дополнительные сведения см. в разделе "Включение управления версиями BLOB-объектов и управление ими".
Этот параметр в настоящее время не поддерживается для рабочих нагрузок ADLS.
Процедуры восстановления:
Перейдите в затронутый большой двоичный объект из портал Azure.
Выберите многоточие (...) для большого двоичного объекта, который требуется восстановить.
Выберите "Просмотр версий".
Выберите версию, необходимую для восстановления.
Выберите "Сделать текущую версию".
Восстановление больших двоичных объектов с помощью обратимого удаления BLOB-объектов.
Требования к восстановлению:
- Обратимое удаление BLOB-объектов включено.
- Интервал хранения обратимого удаления не истек.
Дополнительные сведения см. в разделе "Управление и восстановление обратимо удаленных BLOB-объектов".
Восстановите набор блочных BLOB-объектов с помощью точки во времени.
Требования к восстановлению:
- Восстановление на определенный момент времени включено.
- Точка восстановления находится в пределах интервала хранения.
- Учетная запись хранения не была скомпрометирована или повреждена.
Дополнительные сведения см. в разделе "Выполнение восстановления на определенный момент времени" для данных блочного большого двоичного объекта.
Восстановление больших двоичных объектов с помощью моментальных снимков.
Требования к восстановлению: большой двоичный объект имеет один или несколько моментальных снимков. Дополнительные сведения см. в статье "Создание моментального снимка BLOB-объектов и управление ими" в .NET.
Процедуры восстановления:
Перейдите в затронутый большой двоичный объект из портал Azure.
Выберите многоточие (...) для большого двоичного объекта, который требуется восстановить.
Выберите "Просмотр моментальных снимков".
Выберите моментальный снимок, необходимый для восстановления.
Выберите "Продвинуть".
Рекомендации по Azure RBAC
Еще одним способом избежать случайного удаления учетной записи является ограничение числа пользователей, имеющих разрешения на удаление учетной записи с помощью управления доступом на основе ролей (Azure RBAC).
Ниже приведены некоторые рекомендуемые методы.
- Предоставляйте пользователям только те права доступа, которые им необходимы.
- Ограничение количества владельцев подписки.
- Используйте управление привилегированными пользователями Microsoft Entra.
- Назначайте роли группам, а не пользователям.
- Назначение ролей с помощью уникального идентификатора роли вместо имени роли.
Дополнительные сведения см. в разделе Рекомендации по работе с Azure RBAC.
Восстановление хранилища, не поддерживаемое
Корпорация Майкрософт не поддерживает следующие сценарии восстановления хранилища:
- служба хранилища Azure восстановление очереди не поддерживается.
- служба хранилища Azure восстановление записей таблиц не поддерживается, а восстановление удаленной таблицы поддерживается. Дополнительные сведения см. в разделе "Поддерживаемая служба восстановления хранилища".
- Восстановление файлов BLOB-объектов Azure без включения защиты файлов BLOB-объектов не поддерживается, но поддерживается удаленное восстановление контейнеров. Дополнительные сведения см. в разделе "Поддерживаемая служба восстановления хранилища".
Поддерживаемая восстановление хранилища
В этом разделе описывается несколько поддерживаемых сценариев восстановления хранилища при выполнении некоторых предварительных требований:
- Сценарий 1. Восстановление учетной записи хранения (восстановление учетной записи хранения ARM)
- Сценарий 2. Восстановление классической учетной записи хранения
- Сценарий 3. Восстановление контейнеров
- Сценарий 4. Восстановление данных и файловой системы ADLS 2-го поколения
- Сценарий 5. Восстановление таблиц
- Сценарий 6. Восстановление дисков
Корпорация Майкрософт предпринимает все усилия для восстановления данных, но не может гарантировать объем данных, которые можно восстановить.
Сценарий 1. Восстановление учетной записи хранения (восстановление учетной записи хранения ARM)
Необходимые условия:
- Учетная запись хранения должна быть удалена в течение последних 14 дней.
- Учетная запись хранения должна быть создана с использованием модели развертывания с помощью Azure Resource Manager.
- Новая учетная запись хранения с таким же именем не должна быть создана после удаления исходной учетной записи.
- Пользователю, восстанавливающей учетную запись хранения, должна быть назначена роль Azure RBAC, которая предоставляет разрешения Microsoft.Storage/storageAccounts/write . Сведения о встроенных ролях RBAC Azure, которые предоставляют это разрешение, см. в статье Встроенные роли Azure.
- Убедитесь, что группа ресурсов, удаленная учетная запись хранения, существует. Если группа ресурсов была удалена, необходимо повторно создать ее вручную.
- [Только для конкретных случаев] Если удаленная учетная запись хранения использовала ключи, управляемые клиентом, с Azure Key Vault и хранилище ключей также удалена, необходимо восстановить хранилище ключей перед восстановлением учетной записи хранения. Дополнительные сведения см. в обзоре восстановления Azure Key Vault
Предложения
- Восстановление учетной записи хранения из существующей учетной записи хранения.
- Восстановление учетной записи хранения с помощью запроса в службу поддержки.
Дополнительные сведения см. в статье "Восстановление удаленных учетных записей хранения из портал Azure".
Сценарий 2. Восстановление классической учетной записи хранения
Необходимые условия:
- Новая учетная запись хранения с таким же именем не должна быть создана после удаления исходной учетной записи.
- Учетная запись хранения должна быть удалена в течение последних 14 дней.
Предложения
- Обратитесь за помощью от инженеров поддержки, чтобы оценить ситуацию.
Сценарий 3. Восстановление контейнеров
Необходимые условия:
- Репликация учетной записи хранения была настроена на геоизбыточное хранилище (GRS), геоизбыточное хранилище (GZRS), геоизбыточное для чтения хранилище (RAGZRS) или геоизбыточное хранилище с доступом для чтения (RA-GRS) до удаления контейнера. Учетные записи хранения с LRS не поддерживаются для восстановления удаленного контейнера.
Предложения
- Обратитесь за помощью от инженеров поддержки, чтобы оценить ситуацию.
Сценарий 4. Восстановление данных и файловой системы ADLS 2-го поколения
Необходимые условия:
- Учетная запись хранения с включенным иерархическим пространством имен (HNS).
- Файл или папка ADLS 2-го поколения была удалена в течение трех дней.
Предложения
- Обратитесь за помощью от инженеров поддержки, чтобы оценить ситуацию.
Сценарий 5. Восстановление таблиц
Необходимые условия:
- Вся таблица удаляется с помощью операции DELETE Table без изменения данных записи таблицы.
Предложения
- Обратитесь за помощью от инженеров поддержки, чтобы оценить ситуацию.
Сценарий 6. Восстановление дисков
Необходимые условия:
- Предварительные требования для восстановления дисков зависят от нескольких факторов. Например, включен обратимое удаление? Или диск восстановления ссылается на управляемый диск или неуправляемый диск?
Предложения
- Обратитесь за помощью от инженеров поддержки, чтобы оценить ситуацию.
Восстановление удаленных учетных записей хранения из портал Azure
Существует два способа восстановления удаленной учетной записи хранения из портал Azure:
Восстановите удаленную учетную запись из существующей учетной записи хранения.
Восстановите учетную запись с помощью запроса в службу поддержки.
Восстановление удаленной учетной записи хранения из другой учетной записи хранения
Чтобы восстановить удаленную учетную запись хранения из другой учетной записи хранения, выполните следующие действия:
Перейдите к списку учетной записи хранения в портал Azure.
Нажмите кнопку Восстановить, чтобы открыть панель Восстановление удаленной учетной записи.
Выберите подписку для учетной записи, которую вы хотите восстановить из раскрывающегося списка подписки .
В раскрывающемся списке выберите учетную запись для восстановления. Если учетная запись хранения, которую вы хотите восстановить, отсутствует в раскрывающемся списке, ее невозможно восстановить.
Нажмите кнопку Восстановить, чтобы восстановить учетную запись. На портале отобразится уведомление о том, что выполняется восстановление.
Дополнительные сведения см. в статье "Восстановление удаленной учетной записи из портал Azure".
Восстановление учетных записей хранения с помощью запроса в службу поддержки
На портале Azure перейдите к разделу Помощь и поддержка.
Выберите Создать запрос на обслуживание.
На вкладке "Описание проблемы" в поле "Тип проблемы" выберите "Технический".
В поле Подписка выберите подписку, содержащую удаленную учетную запись хранения.
В поле Служба выберите Управление учетной записью хранения.
В поле Ресурс выберите любой ресурс учетной записи хранения. Удаленная учетная запись хранения не отображается в списке.
Добавьте краткое описание проблемы.
В поле Тип проблемы выберите Удаление и восстановление.
В поле Подтип проблемы выберите Восстановить удаленную учетную запись хранения.
На следующем снимка экрана показан пример заполнения вкладки "Описание проблемы".
Перейдите на вкладку "Рекомендуемое решение " и выберите " Восстановление учетной записи хранения, управляемой клиентом".
В раскрывающемся списке выберите учетную запись для восстановления. Если учетная запись хранения, которую вы хотите восстановить, отсутствует в раскрывающемся списке, ее невозможно восстановить.
Нажмите кнопку "Восстановить", чтобы восстановить учетную запись. На портале отобразится уведомление о том, что выполняется восстановление.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.