共用方式為

適用於 Azure 儲存體資料保護、備份和復原的最佳做法

  • 發行項

本文提供 Azure 儲存體 數據保護和備份選項、自助式復原案例,以及Microsoft輔助復原的可能性。

數據保護、備份和復原選項

Azure 儲存體 數據保護是指下列策略:

  • 保護其內的記憶體帳戶與數據免於遭到刪除或修改。
  • 在刪除或修改數據之後還原數據。

本節介紹可用的數據保護、備份和復原選項。 如需詳細資訊,請參閱 數據備份和保護選項

數據保護和備份選項

下列各節介紹數據保護案例和建議的保護選項:

案例 1:記憶體帳戶保護

啟用 Azure Resource Manager (ARM) 鎖定來鎖定所有記憶體帳戶,並防止刪除記憶體帳戶。 如需ARM鎖定的詳細資訊,請參閱 將 Azure Resource Manager 鎖定套用至記憶體帳戶

優點和限制:

  • 保護儲存體帳戶免於刪除或設定變更。
  • 不會保護帳戶中的容器或 Blob 不遭到刪除或覆寫。
  • 它支援 Azure Data Lake Storage (ADLS) Gen 2。

案例 2:Blob 容器保護

  • 在容器上啟用不變性原則來保護業務關鍵性檔,例如符合法律或法規合規性需求。

    優點和限制:

    • 保護容器及其 Blob 不受所有刪除和覆寫。
    • 當法律保留或鎖定的時間型保留原則生效時,儲存體帳戶也會受到保護以避免刪除。 未設定不變性原則的容器不會受到刪除保護。
    • 它支援預覽版中的ADLS Gen 2。

    如需容器上不變性原則的詳細資訊,請參閱 使用不可變記憶體儲存業務關鍵 Blob 數據。

  • 啟用容器虛刪除,以在指定的間隔內還原已刪除的容器。

    優點和限制:

    • 已刪除的容器及其內容可能會在保留期間內還原。 最小保留間隔的最佳做法是七天。
    • 只能還原容器層級作業,例如「刪除容器」。 如果刪除了容器中的個別 Blob,則容器虛刪除無法還原該 Blob。
    • 它支援 ADLS Gen 2。

    如需容器虛刪除的詳細資訊,請參閱 容器的虛刪除。

案例 3:Blob 檔案保護

  • 在 Blob 版本上啟用不變性原則,以防止您控制的間隔刪除 Blob 版本。

    優點和限制:

    • 保護 Blob 版本免於遭到刪除,並防止其中繼資料遭到覆寫。 覆寫作業會建立新版本。
    • 如果至少有一個容器已啟用版本層級不變性,儲存體帳戶也會受到保護以避免刪除。
    • 如果容器中至少存在一個 Blob,容器刪除就會失敗。
    • 它不適用於ADLS Gen2。

    如需 Blob 版本不變性原則的詳細資訊,請參閱 使用不可變記憶體儲存業務關鍵 Blob 數據。

  • 啟用 Blob 虛刪除,以在指定的間隔內還原已刪除的 Blob 或 Blob 版本。

    優點:

    • 已刪除的 Blob 或 Blob 版本可能會在保留期間內還原。 最小保留間隔的最佳做法是七天。
    • 它支援 ADLS Gen 2。

    如需 Blob 虛刪除的詳細資訊,請參閱 Blob 虛刪除。

  • 啟用 Blob 快照集,以在指定的時間點手動儲存 Blob 的狀態。

    優點和限制:

    • 如果覆寫 Blob,可能會從快照集還原 Blob。 不過,如果刪除 Blob,也會刪除快照集。
    • 它支援預覽版中的ADLS Gen 2。

    如需 Blob 快照集的詳細資訊,請參閱 Blob 快照集。

  • 啟用 Blob 版本設定,以在覆寫 Blob 時,自動將 Blob 的狀態儲存在舊版中。

    優點和限制:

    • 每個 Blob 寫入作業會建立新版本。 如果刪除或覆寫目前版本,則可以從舊版還原 Blob 的目前版本。
    • 它不適用於ADLS Gen2。

    如需 Blob 版本設定的詳細資訊,請參閱 Blob 版本設定

  • 啟用時間點還原,將一組區塊 Blob 還原至先前的時間點。

    優點和限制:

    • 一組區塊 Blob 可能會還原成其過去特定點的狀態。
    • 僅還原對區塊 Blob 上執行的作業。
    • 不會還原在容器、分頁 Blob 或附加 Blob 上執行的任何作業。
    • 它不適用於ADLS Gen2。

    如需時間點還原的詳細資訊,請參閱 區塊 Blob 的時間點還原。

  • 透過 azCopy 或 Azure Data Factory 等 Azure 儲存體 物件複寫或工具將數據複製到第二個帳戶。

    優點和限制:

    • 如果主要帳戶以任何方式遭到入侵,則可以從第二個儲存體帳戶還原資料。
    • 支援 AzCopy 和 Azure Data Factory。
    • 不支持物件複寫。

資料修復選項

下列各節介紹數據復原案例和可能的復原選項:

啟用資料保護和備份選項之後,您可以復原數據。

案例 1:記憶體帳戶復原

指的是從 Azure 入口網站 復原已刪除的記憶體帳戶。

案例 2:Blob 容器復原

  • 復原虛刪除的容器及其內容。

    復原的需求:

    • 已啟用容器虛刪除。
    • 容器虛刪除保留期限尚未過期。

    如需詳細資訊,請參閱 啟用和管理容器的虛刪除。

  • 從第二個記憶體帳戶復原。

    復原的需求:所有容器和 Blob 作業都已復寫到第二個記憶體帳戶。

案例 3:Blob 檔案復原

  • 透過 Blob 版本控制將 Blob 復原至舊版。

    復原的需求:

    • 已啟用 Blob 版本設定。
    • Blob 有一或多個舊版。

    如需詳細資訊,請參閱 啟用和管理 Blob 版本控制

    ADLS 工作負載目前不支援此選項。

    復原程式:

    1. 從 Azure 入口網站 移至受影響的 Blob。

    2. 針對您要復原的 Blob 選取省略號 (...)。

    3. 選取 [ 檢視版本]。

    4. 選取還原所需的版本。

    5. 選取 [ 建立目前的版本]。

  • 透過 Blob 虛刪除復原 Blob。

    復原的需求:

    • 已啟用 Blob 虛刪除。
    • 虛刪除保留間隔尚未過期。

    如需詳細資訊,請參閱 管理和還原虛刪除的 Blob

  • 透過時間點復原一組區塊 Blob。

    復原的需求:

    • 已啟用時間點還原。
    • 還原點位於保留間隔內。
    • 儲存體帳戶尚未遭盜用或損毀。

    如需詳細資訊,請參閱 在區塊 Blob 數據上執行時間點還原。

  • 透過快照集復原 Blob。

    復原需求:Blob 有一或多個快照集。 如需詳細資訊,請參閱 在 .NET 中建立和管理 Blob 快照集。

    復原程式:

    1. 從 Azure 入口網站 移至受影響的 Blob。

    2. 針對您要復原的 Blob 選取省略號 (...)。

    3. 選取 [ 檢視快照集]。

    4. 選取還原所需的快照集。

    5. 選取 [升階]

Azure RBAC 的最佳做法

避免意外刪除帳戶的另一個最佳做法是,透過角色型存取控制來限制有權刪除帳戶的使用者數目 (Azure RBAC)。

以下是一些建議的方法:

  • 僅授與使用者所需的存取權。
  • 限制訂用帳戶擁有者的數目。
  • 使用 Microsoft Entra Privileged Identity Management。
  • 為群組 (不是使用者) 指派角色。
  • 使用唯一角色標識碼來指派角色,而不是角色名稱。

如需詳細資訊,請參閱 Azure RBAC 的最佳做法

不支援的記憶體復原

Microsoft不支援下列記憶體復原案例:

  • 不支援佇列復原 Azure 儲存體。
  • 不支援 Azure 儲存體 數據表項目復原,但支援已刪除的數據表復原。 如需詳細資訊,請參閱 支援的記憶體復原
  • 不支援未啟用 Blob 檔案保護的 Azure Blob 檔案復原,但支援已刪除的容器復原。 如需詳細資訊,請參閱 支援的記憶體復原

支援的記憶體復原

本節說明符合某些必要條件時的數個支持的記憶體復原案例:

Microsoft正在盡一切努力復原數據,但無法保證可以還原的數據量。

案例 1:記憶體帳戶復原(ARM 記憶體帳戶復原)

先決條件:

  • 儲存體帳戶已在過去 14 天內刪除。
  • 使用 Azure Resource Manager 部署模型建立的儲存體帳戶。
  • 自原始帳戶刪除之後,尚未建立具有相同名稱的新儲存體帳戶。
  • 復原記憶體帳戶的用戶必須獲指派 Azure RBAC 角色,以提供 Microsoft.Storage/storageAccounts/write 許可權。 如需提供此權限之內建 Azure RBAC 角色的詳細資訊,請參閱 Azure 內建角色
  • 請確定已刪除記憶體帳戶的資源群組存在。 如果資源群組已刪除,您必須手動重新建立。
  • [僅適用於特定案例]如果已刪除的記憶體帳戶使用客戶自控密鑰搭配 Azure 金鑰保存庫,且金鑰保存庫也已刪除,您必須先還原密鑰保存庫,才能還原記憶體帳戶。 如需詳細資訊,請參閱 Azure Key Vault 復原概觀

建議:

  • 從現有的記憶體帳戶復原記憶體帳戶。
  • 透過支援票證復原記憶體帳戶。

如需詳細資訊,請參閱從 Azure 入口網站 復原已刪除的記憶體帳戶。

案例 2:傳統記憶體帳戶復原

先決條件:

  • 自原始帳戶刪除之後,尚未建立具有相同名稱的新儲存體帳戶。
  • 儲存體帳戶在過去 14 天內刪除。

建議:

  • 請向支援工程師尋求協助,以評估情況。

案例 3:容器復原

先決條件:

  • 儲存器帳戶復寫已設定為異地備援記憶體 (GRS)、異地區域備援記憶體 (GZRS)、讀取許可權異地區域備援記憶體 (RAGZRS),或「容器」刪除之前讀取許可權異地備援記憶體 (RA-GRS)。 不支援使用 LRS 的記憶體帳戶來復原已刪除的容器。

建議:

  • 請向支援工程師尋求協助,以評估情況。

案例 4:ADLS Gen 2 數據和文件系統復原

先決條件:

  • 已啟用階層命名空間 (HNS) 的記憶體帳戶。
  • ADLS Gen2 檔案或資料夾已在三天內刪除。

建議:

  • 請向支援工程師尋求協助,以評估情況。

案例 5:數據表復原

先決條件:

  • 使用 「DELETE Table」 作業刪除整個資料表,而不需修改資料表項目數據。

建議:

  • 請向支援工程師尋求協助,以評估情況。

案例 6:磁盤復原

先決條件:

  • 磁碟復原的必要條件會根據幾個因素而有所不同。 例如,虛刪除是否已啟用? 還是復原磁碟是指受控磁碟或非受控磁碟?

建議:

  • 請向支援工程師尋求協助,以評估情況。

從 Azure 入口網站 復原已刪除的記憶體帳戶

終端使用者有兩種方式可從 Azure 入口網站 復原已刪除的記憶體帳戶:

從另一個記憶體帳戶復原已刪除的記憶體帳戶

若要從另一個記憶體帳戶內復原已刪除的記憶體帳戶,請遵循下列步驟:

  1. 流覽至 Azure 入口網站 中的記憶體帳戶清單。

  2. 選取 [復原] 按鈕開啟 [復原已刪除的帳戶] 窗格。

    顯示 [還原] 按鈕的螢幕快照。

  3. 從 [訂用帳戶] 下拉式清單中選取您要復原之帳戶的 用帳戶。

    顯示如何選取訂用帳戶的螢幕快照。

  4. 從下拉式清單中,選取要復原的帳戶。 如果您想要復原的記憶體帳戶不在下拉式清單中,就無法復原。

  5. 選取 [復原] 按鈕以復原帳戶。 入口網站會顯示復原進行中的通知。

如需詳細資訊,請參閱從 Azure 入口網站 復原已刪除的帳戶。

透過支援票證復原記憶體帳戶

  1. 在 Azure 入口網站 中,流覽至 [說明 + 支援]。

  2. 選取建立支援要求

  3. 在 [ 問題描述] 索引標籤的 [問題類型 ] 字段中,選取 [ 技術]。

  4. 在 [ 訂用帳戶] 字段中,選取包含已刪除記憶體帳戶的訂用帳戶。

  5. 在 [ 服務 ] 欄位中,選取 [ 記憶體帳戶管理]。

  6. 在 [ 資源] 欄位中,選取任何記憶體帳戶資源。 已刪除的記憶體帳戶不會出現在清單中。

  7. 新增問題的簡短摘要。

  8. 在 [ 問題類型 ] 欄位中,選取 [ 刪除和復原]。

  9. 在 [ 問題子類型 ] 字段中,選取 [ 復原已刪除的記憶體帳戶]。

    下列螢幕快照顯示正在填寫的問題 描述 索引標籤範例:

    顯示已填入 [問題描述] 索引標籤範例的螢幕快照。

  10. 流覽至 [ 建議的解決方案] 索引標籤,然後選取 [客戶控制的記憶體帳戶復原]。

    [客戶控制的記憶體帳戶復原] 按鈕的螢幕快照。

  11. 從下拉式清單中,選取要復原的帳戶。 如果您想要復原的記憶體帳戶不在下拉式清單中,就無法復原。

    過去14天內已刪除記憶體帳戶清單的螢幕快照。

  12. 選取 [ 復原 ] 以還原帳戶。 入口網站會顯示復原進行中的通知。

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以向 Azure 意見反應社群提交產品意見反應。