你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

安装 Azure 备份 MARS 代理

本文描述了如何安装 Microsoft Azure 恢复服务 (MARS) 代理。 MARS 也称为 Azure 备份代理。

关于 MARS 代理

Azure 备份使用 MARS 代理备份本地计算机和 Azure VM 中的文件、文件夹和系统状态。 这些备份存储在 Azure 中的恢复服务保管库中。 可在以下位置运行代理:

  • 直接在本地 Windows 计算机上。 这些计算机可直接备份到 Azure 中的备份恢复服务保管库。
  • 在运行 Windows(与 Azure VM 备份扩展一起运行)的 Azure VM 上。 代理将备份 VM 上的特定文件和文件夹。
  • 在 Microsoft Azure 备份服务器 (MABS) 实例或 System Center Data Protection Manager (DPM) 服务器上。 在此方案中,计算机和工作负荷将备份到 MABS 或 Data Protection Manager。 然后 MABS 或 Data Protection Manager 将通过 MARS 代理备份到 Azure 中的保管库。

可备份的数据取决于代理的安装位置。

注意

通常我们会使用 VM 上的 Azure 备份扩展来备份 Azure VM。 此方法将备份整个 VM。 若要备份 VM 上的特定文件和文件夹,请安装 MARS 代理并将其与该扩展一起使用。 有关详细信息,请参阅内置 Azure VM 备份的体系结构

屏幕截图显示备份工作流。

开始之前

在安装 MARS 代理之前,请确保已执行以下操作:

创建恢复服务保管库

恢复服务保管库是一个管理实体,它会存储一段时间内创建的恢复点,并提供用于执行备份相关操作的接口。 这些操作包括按需备份、执行还原和创建备份策略。

若要创建恢复服务保管库,请执行以下操作:

  1. 登录到 Azure 门户

  2. 搜索“业务连续性中心”,然后转到“业务连续性中心”仪表板。

    屏幕截图显示在何处搜索并选择“业务连续性中心”。

  3. 在“保管库”窗格中,选择“+ 保管库”。

    屏幕截图显示如何开始创建恢复服务保管库。

  4. 选择“恢复服务保管库”>“继续”。

    显示选择“恢复服务”作为保管库类型的位置的屏幕截图。

  5. 在“恢复服务保管库”窗格中输入以下值:

    • 订阅:选择要使用的订阅。 如果你仅是一个订阅的成员,则会看到该名称。 如果不确定要使用哪个订阅,请使用默认订阅。 仅当工作或学校帐户与多个 Azure 订阅关联时,才会显示多个选项。

    • 资源组:使用现有资源组,或创建一个新的资源组。 若要查看订阅中可用的资源组的列表,请选择“使用现有资源”,然后从下拉列表中选择一个资源。 若要创建新的资源组,请选择“新建”并输入新资源组的名称。 有关资源组的详细信息,请参阅 Azure 资源管理器概述

    • 保管库名称:输入一个易记名称,用于标识此保管库。 名称对于 Azure 订阅必须是唯一的。 指定的名称应至少包含 2 个字符,最多不超过 50 个字符。 名称必须以字母开头且只能包含字母、数字和连字符。

    • 区域:为保管库选择地理区域。 若要创建保管库来保护任何数据源,该保管库必须位于数据源所在的区域。

      重要

      如果不确定数据源的位置,请关闭该窗口。 在门户中访问你的资源列表。 如果数据源位于多个区域中,请为每个区域创建恢复服务保管库。 先在第一个位置创建保管库,然后再在其他位置中创建保管库。 无需指定存储帐户即可存储备份数据。 恢复服务保管库和 Azure 备份会自动处理这种情况。

      显示用于配置恢复服务保管库的字段的屏幕截图。

  6. 提供值后,选择“查看 + 创建”。

  7. 要完成恢复服务保管库的创建,请选择“创建”。

    创建恢复服务保管库可能需要一段时间。 可在右上方的“通知”区域监视状态通知。 创建保管库后,它会显示在“恢复服务保管库”的列表中。 如果没有显示保管库,请选择“刷新”。

    显示用于刷新备份保管库列表的按钮的屏幕截图。

注意

Azure 备份现在支持不可变保管库,可帮助确保恢复点一旦创建就无法根据备份策略在到期前将其删除。 可以将不可变性设为不可逆转,以最大限度地保护备份数据免受各种威胁,包括勒索软件攻击和恶意行动者。 了解详细信息

修改存储复制

默认情况下,保管库使用异地冗余存储 (GRS)

  • 如果保管库是主要备份机制,建议使用 GRS。
  • 可以使用本地冗余存储 (LRS) 来降低 Azure 存储成本。

若要修改存储复制类型,请执行以下步骤:

  1. 在新保管库的“设置”部分选择“属性”。

  2. 在“属性”页的“备份配置”下选择“更新”。

  3. 选择存储复制类型,然后选择“保存”。

    屏幕截图显示了如何更新备份配置。

注意

在保管库经过设置并且包含备份项之后,无法修改存储复制类型。 若要修改,需要重新创建保管库。

配置恢复服务保管库以将通行短语保存到恢复服务保管库

使用恢复服务代理 (MARS) 的 Azure 备份允许将文件或文件夹以及系统状态数据备份到 Azure 恢复服务保管库。 该数据使用安装和注册 MARS 代理期间提供的通行短语进行加密。 此通行短语是检索和还原备份数据所必需的,并且需要保存在安全的外部位置,例如 Azure 密钥保管库。

建议创建密钥保管库并向恢复服务保管库提供权限,以将通行短语保存到该密钥保管库。 了解详细信息

验证 Internet 访问

MARS 代理需要访问 Microsoft Entra ID、Azure 存储 和 Azure 备份服务终结点。 若要获取公共 IP 范围,请参阅 JSON 文件。 允许访问与 Azure 备份 (AzureBackup)、Azure 存储 (Storage) 和 Microsoft Entra ID (AzureActiveDirectory) 对应的 IP。 此外,根据不同的 Windows 版本,操作系统的网络连接性检查将需要访问 www.msftconnecttest.comwww.msftncsi.com

如果你的计算机的 Internet 访问存在一定限制,请确保防火墙、代理和网络设置允许访问以下 FQDN 和公共 IP 地址。

URL 和 IP 访问

FQDN

  • *.microsoft.com
  • *.windowsazure.com
  • *.microsoftonline.com
  • *.windows.net
  • *.blob.core.windows.net
  • *.queue.core.windows.net
  • *.blob.storage.azure.net

如果你是美国政府客户,请确保你有权访问以下 URL:

  • www.msftncsi.com
  • *.microsoft.com
  • *.windowsazure.us
  • *.microsoftonline.us
  • *.windows.net
  • *.usgovcloudapi.net
  • *.blob.core.windows.net
  • *.queue.core.windows.net
  • *.blob.storage.azure.net

对上面列出的所有 URL 和 IP 地址的访问都使用端口 443 上的 HTTPS 协议。

使用 MARS 代理从 Azure VM 备份文件和文件夹时,还需要将 Azure 虚拟网络配置为允许访问。 如果使用网络安全组 (NSG),请使用 AzureBackup 服务标记以允许对 Azure 备份进行出站访问。 除了 Azure 备份标记外,还需要为 Microsoft Entra ID (AzureActiveDirectory) 和 Azure 存储 (Storage) 创建类似的 NSG 规则,以便在连接后进行身份验证和数据传输。

若要为 Azure 备份标记创建规则,请执行以下步骤:

  1. 在“所有服务”中转到“网络安全组”,然后选择“网络安全组”。
  2. 在“设置”下选择“出站安全规则”。
  3. 选择 添加
  4. 安全规则设置中所述,提供创建新规则所需的所有详细信息。
    确保按如下所述设置选项:
    • 将“目标”设置为“服务标记”。
    • 将“目标服务标记”设置为“AzureBackup”。
  5. 选择“添加”,保存新创建的出站安全规则。

同样,可以为 Azure 存储和 Microsoft Entra ID 创建 NSG 出站安全规则。 若要详细了解服务标记,请参阅虚拟网络服务标记

Azure ExpressRoute 支持

可以使用公共对等互连(适用于旧线路)通过 Azure ExpressRoute 备份数据。 不支持通过专用对等互连进行 Microsoft 对等互连备份。

若要使用公共对等互连,请确保以下域和地址在端口 443 上具有 HTTPS 访问权限:

  • *.microsoft.com
  • *.windowsazure.com
  • *.microsoftonline.com
  • *.windows.net
  • *.blob.core.windows.net
  • *.queue.core.windows.net
  • *.blob.storage.azure.net

若要使用 Microsoft 对等互连,请选择以下服务、区域和相关社区值:

  • Microsoft Entra ID (12076:5060)
  • Azure 区域(取决于你的恢复服务保管库的位置)
  • Azure 存储(取决于你的恢复服务保管库的位置)

详细了解 ExpressRoute 路由要求

注意

对于新线路,公共对等互连已弃用。

专用终结点支持

现在可以使用专用终结点将数据从服务器安全地备份到恢复服务保管库。 由于 Microsoft Entra ID 不能通过专用终结点进行访问,因此需要单独允许 Microsoft Entra ID 所需的 IP 和 FQDN 进行出站访问。

使用 MARS 代理备份本地资源时,请确保已将本地网络(包含要备份的资源)与包含保管库的专用终结点的 Azure VNet 对等互连。 然后可以继续安装 MARS 代理并配置备份。 但必须确保仅通过对等互连网络进行所有备份通信。

如果在某个 MARS 代理注册到保管库后删除了该保管库的专用终结点,则需要向该保管库重新注册容器。 不需要停止对它们的保护。 有关详细信息,请参阅 Azure 备份的专用终结点

限制支持

Feature 详细信息
带宽控制 。 在 MARS 代理中,使用“更改属性”来调整带宽。
网络限制 不适用于运行 Windows Server 2008 R2、Windows Server 2008 SP2 或 Windows 7 的备份计算机。

下载 MARS 代理

下载 MARS 代理,以便可将其安装到所要备份的计算机上。

如果已在所有计算机上安装该代理,请确保运行的是最新版本代理。 在门户中找到最新版本,或从此处下载

  1. 在保管库中的“开始使用”下,选择“备份”。

    屏幕截图显示如何打开“备份目标”。

  2. 在“工作负荷的运行位置?”下,选择“本地”。 即使你要在 Azure VM 上安装 MARS 代理,也应选择此选项。

  3. 在“要备份哪些内容?”下,选择“文件和文件夹”。 还可以选择“系统状态”。 还有其他一些可用选项,但仅当运行的是辅助备份服务器时,这些选项才受支持。 选择“准备基础结构”。

    屏幕截图显示了文件和文件夹的配置。

  4. 对于“准备基础结构”,请在“安装恢复服务代理”下,下载 MARS 代理。

    屏幕截图显示如何准备基础结构。

  5. 在下载菜单中选择“保存”。 默认情况下,MARSagentinstaller.exe 文件将保存到 Downloads 文件夹。

  6. 选择“已下载或使用最新的恢复服务代理”,然后下载保管库凭据。

    屏幕截图显示如何下载保管库凭据。

  7. 选择“保存”。 文件将下载到“下载”文件夹。 无法打开保管库凭据文件。

安装并注册代理

若要安装和注册 MARRS 代理,请执行以下步骤:

  1. 在要备份的计算机上运行 MARSagentinstaller.exe 文件。

  2. 在 MARS 代理安装向导中选择“安装设置”。 在此处选择代理的安装位置以及缓存位置。 然后,选择“下一步”。

    • Azure 备份在将数据快照发送到 Azure 之前,会使用缓存来存储这些快照。
    • 缓存位置的可用空间应该至少为所要备份的数据大小的 5%。

    屏幕截图显示如何在 MARS 代理安装向导中选择安装设置。

  3. 对于“代理配置”中,请指定 Windows 计算机上运行的代理如何连接到 Internet。 然后,选择“下一步”。

    • 如果使用自定义代理,请指定任何所需的代理设置和凭据。
    • 请记住,代理需要有权访问特定的 URL

    屏幕截图显示如何在 MARS 向导中设置 Internet 访问。

  4. 对于“安装”,请复查先决条件,然后选择“安装”。

  5. 安装代理后,选择“继续注册”。

  6. 在“注册服务器向导”>“保管库标识”中,浏览并选择已下载的凭据文件。 然后选择下一步

    屏幕截图显示如何使用注册服务器向导添加保管库凭据。

  7. 在“加密设置”页上,指定用于加密和解密计算机备份的通行短语。 详细了解允许的密码字符。

    • 将通行短语保存在安全位置。 还原备份时需要用到它。
    • 如果你丢失或忘记了该通行短语,Microsoft 将无法帮助你恢复备份数据。

    MARS 代理可以自动将通行短语安全地保存到 Azure 密钥保管库。 因此,建议创建一个密钥保管库并向恢复服务保管库授予权限,以便在将第一个 MARS 代理注册到保管库之前,将通行短语保存到该密钥保管库。 了解详细信息

    授予所需权限后,可以将通行短语保存到密钥保管库,方法是将密钥保管库 URI 从 Azure 门户复制到注册服务器向导。

    屏幕截图显示如何指定用于加密和解密计算机备份的密码。

  8. 选择“完成”。 现已安装代理,且已向保管库注册计算机。 接下来可以配置和计划备份。

    如果在保管库注册期间遇到问题,请参阅故障排除指南

    注意

    建议将通行短语保存在备用安全位置,例如 Azure 密钥保管库。 Microsoft 无法在没有密码的情况下恢复数据。 了解如何在密钥保管库中存储机密。

下一步

了解如何使用 Azure 备份 MARS 代理备份 Windows 计算机