Konfigurieren und Verwalten der Sicherung für Azure-Blobs mithilfe von Azure Backup

Mit Azure Backup können Sie operative Sicherungen und Tresorsicherungen konfigurieren, um Blockblobs in Ihren Speicherkonten zu schützen. In diesem Artikel erfahren Sie, wie Sie Sicherungen für ein einzelnes Speicherkonto oder für mehrere Speicherkonten über das Azure-Portal konfigurieren und verwalten.

Vorbereitung

Operative Sicherung

• Die operative Sicherung von Blobs ist eine lokale Sicherungslösung, die Daten für eine bestimmte Dauer im Quellspeicherkonto selbst verwaltet. Bei dieser Lösung wird keine zusätzliche Kopie der Daten im Tresor aufbewahrt. Mit dieser Lösung können Sie Ihre Daten bis zu 360 Tage lang für die Wiederherstellung aufbewahren. Lange Aufbewahrungszeiträume können jedoch zu einer längeren Dauer des Wiederherstellungsvorgangs führen.
• Die Lösung kann nur für Wiederherstellungen im Quellspeicherkonto verwendet werden und kann dazu führen, dass Daten überschrieben werden.
• Wenn Sie einen Container durch Aufrufen des Vorgangs Container löschen aus dem Speicherkonto löschen, kann dieser Container nicht mit einem Wiederherstellungsvorgang wiederhergestellt werden. Löschen Sie die einzelnen Blobs, anstatt einen ganzen Container zu löschen, wenn Sie sie möglicherweise später wiederherstellen möchten. Außerdem empfiehlt Microsoft, zusätzlich zur operativen Sicherung das vorläufige Löschen für Container zu aktivieren, um ein versehentliches Löschen von Containern zu verhindern.
• Vergewissern Sie sich, dass der Anbieter Microsoft.DataProtection für Ihr Abonnement registriert ist.

Weitere Informationen zu den unterstützten Szenarien sowie zu Einschränkungen und zur Verfügbarkeit finden Sie in der Supportmatrix.

Tresorsicherung

• Bei der Tresorsicherung für Blobs handelt es sich um eine verwaltete externe Sicherungslösung, die Daten an den Sicherungstresor überträgt und sie gemäß der in der Sicherungsrichtlinie konfigurierten Datenaufbewahrung aufbewahrt. Daten können maximal zehn Jahre aufbewahrt werden.
• Mit der Tresorsicherungslösung können Daten aktuell nur in einem anderen Speicherkonto wiederhergestellt werden. Achten Sie bei der Wiederherstellung darauf, dass das Zielspeicherkonto keine Container enthält, die den gleichen Namen haben wie die in einem Wiederherstellungspunkt gesicherten Container. Sollte es aufgrund von gleichnamigen Containern zu Konflikten kommen, ist der Wiederherstellungsvorgang nicht erfolgreich.
• Stellen Sie sicher, dass für die Speicherkonten, die gesichert werden müssen, die mandantenübergreifende Replikation aktiviert ist. Sie können dies überprüfen, indem Sie zum Speicherkonto > „Objektreplikation“ > „Erweiterte Einstellungen“ navigieren. Stellen Sie hier sicher, dass das Kontrollkästchen aktiviert ist.

Weitere Informationen zu den unterstützten Szenarien sowie zu Einschränkungen und zur Verfügbarkeit finden Sie in der Supportmatrix.

Erstellen eines Sicherungstresors

Ein Sicherungstresor ist eine Verwaltungsentität, in der die im Lauf der Zeit erstellten Wiederherstellungspunkte gespeichert werden. Er bietet eine Schnittstelle zum Durchführen von sicherungsbezogenen Vorgängen. Hierzu gehören das Erstellen von bedarfsgesteuerten Sicherungen, Durchführen von Wiederherstellungen und Erstellen von Sicherungsrichtlinien. Die operative Sicherung von Blobs ist zwar eine lokale Sicherung und „speichert“ keine Daten im Tresor, der Tresor wird jedoch für verschiedene Verwaltungsvorgänge benötigt.

Hinweis

Der Sicherungstresor ist eine neue Ressource, die für die Sicherung neuer unterstützter Workloads verwendet wird und sich von dem bereits vorhandenen Recovery Services-Tresor unterscheidet.

Anweisungen zum Erstellen eines Sicherungstresors finden Sie in der Dokumentation zum Sicherungstresor.

Erteilen von Berechtigungen für den Sicherungstresor auf Speicherkonten

Die operative Sicherung schützt auch das Speicherkonto (das die zu schützenden Blobs enthält) vor versehentlichem Löschen, indem eine sicherungseigene Löschsperre angewendet wird. Hierfür ist es erforderlich, dass der Sicherungstresor über bestimmte Berechtigungen auf den Speicherkonten verfügt, die geschützt werden müssen. Aus Gründen der Benutzerfreundlichkeit wurden diese minimalen Berechtigungen unter der Rolle Mitwirkender für Speicherkontosicherung zusammengefasst.

Es wird empfohlen, diese Rolle dem Sicherungstresor zuzuweisen, bevor Sie die Sicherung konfigurieren. Sie können die Rollenzuweisung jedoch auch beim Konfigurieren der Sicherung vornehmen.

Führen Sie die folgenden Schritte aus, um die erforderliche Rolle für Speicherkonten zuzuweisen, die Sie schützen müssen:

Hinweis

Sie können die Rollen dem Tresor auch nach Belieben auf Abonnement- oder Ressourcengruppenebene zuweisen.

1. Navigieren Sie in dem zu schützenden Speicherkonto im linken Navigationsbereich zur Registerkarte Access Control (IAM).

2. Wählen Sie Rollenzuordnungen hinzufügen aus, um die gewünschte Rolle zuzuweisen.

   

3. Im Bereich „Rollenzuweisung hinzufügen“:

   1. Wählen Sie unter Rolle die Option Mitwirkender für Speicherkontosicherung aus.

   2. Wählen Sie unter Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal aus.

   3. Suchen Sie nach dem Sicherungstresor, den Sie zum Sichern von Blobs in diesem Speicherkonto verwenden möchten, und wählen Sie ihn in den Suchergebnissen aus.

   4. Wählen Sie Speichern aus.

      

      Hinweis

      Die Zuweisung der Rolle kann bis zu 30 Minuten dauern.

Erstellen einer Sicherungsrichtlinie

Eine Sicherungsrichtlinie definiert den Zeitplan und die Frequenz der Erstellung von Wiederherstellungspunkten sowie die Aufbewahrungsdauer im Sicherungstresor. Sie können eine einzelne Sicherungsrichtlinie für Ihre Tresorsicherung, für Ihre operative Sicherung oder für beides verwenden. Sie können die gleiche Sicherungsrichtlinie verwenden, um die Sicherung für mehrere Speicherkonten in einem Tresor zu konfigurieren.

Gehen Sie zum Erstellen einer Sicherungsrichtlinie wie folgt vor:

1. Wählen Sie im Backup Center die Option + Richtlinie aus. Dadurch gelangen Sie zur Benutzeroberfläche für die Richtlinienerstellung.

   

2. Wählen Sie unter Datenquellentyp die Option Azure Blobs (Azure Storage) und anschließend Weiter aus.

   

3. Geben Sie auf der Registerkarte Allgemeine Informationen einen Namen für die Richtlinie ein, und wählen Sie den Tresor aus, dem diese Richtlinie zugeordnet werden soll.

   

   Sie können sich die Details des ausgewählten Tresors auf dieser Registerkarte ansehen und anschließend Weiter auswählen.

4. Geben Sie auf der Registerkarte Zeitplan und Aufbewahrung nach Bedarf die Sicherungsdetails des Datenspeichers, den Zeitplan und die Aufbewahrung für diese Datenspeicher ein.

   1. Aktivieren Sie die entsprechenden Kontrollkästchen, um die Sicherungsrichtlinie für Tresorsicherungen, für operative Sicherungen oder für beides zu verwenden.
   2. Fügen Sie für jeden ausgewählten Datenspeicher die Zeitplan- und Aufbewahrungseinstellungen hinzu, oder bearbeiten Sie sie:
      • Tresorsicherungen: Wählen Sie die Frequenz der Sicherungen zwischen täglich und wöchentlich aus, geben Sie den Zeitplan für die Erstellung der Sicherungswiederherstellungspunkte an, und bearbeiten Sie anschließend die Standardaufbewahrungsregel (durch Auswählen von Bearbeiten), oder fügen Sie neue Regeln hinzu, um die Aufbewahrung von Wiederherstellungspunkten anzugeben. Verwenden Sie dabei eine hierarchische Notation mit übergeordnetem Element der zweiten Ebene, übergeordnetem Element der ersten Ebene und untergeordnetem Element.
      • Operative Sicherungen: Diese Sicherungen werden fortlaufend erstellt und benötigen keinen Zeitplan. Bearbeiten Sie die Standardregel für operative Sicherungen, um die erforderliche Aufbewahrung anzugeben.

   

5. Navigieren Sie zu Überprüfen und erstellen.

6. Wählen Sie nach Abschluss der Überprüfung die Option Erstellen aus.

Konfigurieren von Sicherungen

Sie können die Sicherung für ein einzelnes Speicherkonto oder für mehrere Speicherkonten in einer Azure-Region konfigurieren, wenn sie im gleichen Tresor mit einer einzelnen Sicherungsrichtlinie gesichert werden sollen.

Gehen Sie wie folgt vor, um die Sicherung für Speicherkonten zu konfigurieren:

1. Navigieren Sie zu Backup Center>Übersicht, und wählen Sie + Sicherung aus.

   

2. Wählen Sie auf der Registerkarte Initiieren: Sicherung konfigurieren die Option Azure-Blobs (Azure Storage) als Datenquellentyp aus.

   

3. Geben Sie auf der Registerkarte Allgemeine Informationen die Option Azure-Blobs (Azure Storage) als Datenquellentyp an, und wählen Sie anschließend den Sicherungstresor aus, den Sie Ihren Speicherkonten zuordnen möchten.

   Sie können sich Details des ausgewählten Tresors auf dieser Registerkarte ansehen und anschließend Weiter auswählen.

   

4. Wählen Sie die Sicherungsrichtlinie aus, die Sie für die Aufbewahrung verwenden möchten.

   Sie können sich die Details der ausgewählten Richtlinie ansehen. Bei Bedarf können Sie auch eine neue Sicherungsrichtlinie erstellen. Wählen Sie nach Abschluss Weiter aus.

   

5. Wählen Sie auf der Registerkarte Datenquellen die Speicherkonten aus, die Sie sichern möchten.

   

   Sie können mehrere Speicherkonten in der Region auswählen, die mit der ausgewählten Richtlinie gesichert werden sollen. Bei Bedarf können Sie die Speicherkonten durchsuchen oder filtern.

   Wenn Sie die Tresorsicherungsrichtlinie in Schritt 4 ausgewählt haben, können Sie auch bestimmte Container auswählen, die gesichert werden sollen. Klicken Sie unter der Spalte „Ausgewählte Container“ auf „Ändern“. Wählen Sie auf dem Kontextblatt „Zu sichernde Container durchsuchen“ aus, und heben Sie die Auswahl der Container auf, die Sie nicht sichern möchten.

6. Wenn Sie die Speicherkonten und Container auswählen, die Sie sichern möchten, führt Azure Backup die folgenden Überprüfungen durch, um sicherzustellen, dass alle Voraussetzungen erfüllt sind. Die Spalte Sicherungsbereitschaft gibt Aufschluss darüber, ob der Sicherungstresor über ausreichende Berechtigungen zum Konfigurieren von Sicherungen für die einzelnen Speicherkonten verfügt.

   1. Es wird überprüft, ob der Sicherungstresor über die erforderlichen Berechtigungen zum Konfigurieren der Sicherung verfügt. (Der Tresor muss für alle ausgewählten Speicherkonten über die Rolle Mitwirkender an der Speicherkontosicherung verfügen.) Wenn die Überprüfung Fehler anzeigt, verfügen die ausgewählten Speicherkonten nicht über die Rolle Mitwirkender an der Speicherkontosicherung. Sie können die erforderliche Rolle basierend auf Ihren aktuellen Berechtigungen zuweisen. Die Fehlermeldung gibt Aufschluss darüber, ob Sie über die erforderlichen Berechtigungen verfügen, damit Sie die entsprechende Aktion ausführen können:

      • Rollenzuweisung nicht erfolgt: Gibt an, dass Sie (der Benutzer) berechtigt sind, dem Tresor die Rolle Mitwirkender an der Speicherkontosicherung und die anderen erforderlichen Rollen für das Speicherkonto zuzuweisen.

        Wählen Sie die Rollen und dann auf der Symbolleiste die Option Fehlende Rollen zuweisen aus, um dem Sicherungstresor automatisch die erforderliche Rolle zuzuweisen und eine automatische erneute Überprüfung auszulösen.

        Manchmal kann die Rollenweitergabe etwas dauern (bis zu zehn Minuten), was dazu führt, dass die erneute Überprüfung nicht erfolgreich ist. Warten Sie in diesem Fall einige Minuten, und wählen Sie dann Erneut überprüfen aus, um die Überprüfung zu wiederholen.

      • Unzureichende Berechtigungen für die Rollenzuweisung: Gibt an, dass der Tresor nicht über die erforderliche Rolle zum Konfigurieren der Sicherung verfügt und Sie (der Benutzer) nicht über ausreichende Berechtigungen zum Zuweisen der erforderlichen Rolle verfügen. Um die Rollenzuweisung zu vereinfachen, können Sie mit Azure Backup die Vorlage zur Rollenzuweisung herunterladen und an Benutzer weitergeben, die über Berechtigungen zum Zuweisen von Rollen für Speicherkonten verfügen.

        Wählen Sie hierzu die Speicherkonten und anschließend Vorlage zur Rollenzuweisung herunterladen aus, um die Vorlage herunterzuladen. Wählen Sie nach Abschluss der Rollenzuweisungen die Option Erneut überprüfen aus, um die Berechtigungen erneut zu überprüfen, und konfigurieren Sie dann die Sicherung.

        

        Hinweis

        Die Vorlage enthält nur Details für ausgewählte Speicherkonten. Wenn also mehrere Benutzer Rollen für verschiedene Speicherkonten zuweisen müssen, können Sie entsprechend unterschiedliche Vorlagen auswählen und herunterladen.

   2. Im Falle von Tresorsicherungen wird überprüft, ob die Anzahl der zu sichernden Container kleiner als 100 ist. Standardmäßig werden alle Container ausgewählt. Sie können jedoch Container ausschließen, die nicht gesichert werden sollen. Wenn Ihr Speicherkonto über >100 Container verfügt, müssen Container ausgeschlossen werden, um die Anzahl auf maximal 100 zu reduzieren.

   Hinweis

   Im Falle von Tresorsicherungen müssen die zu sichernden Speicherkonten mindestens einen Container enthalten. Wenn das ausgewählte Speicherkonto keine Container enthält oder keine Container ausgewählt sind, tritt beim Konfigurieren von Sicherungen möglicherweise ein Fehler auf.

7. Öffnen Sie nach erfolgreicher Überprüfung die Registerkarte Überprüfen und konfigurieren.

8. Überprüfen Sie die Details auf der Registerkarte Überprüfen und konfigurieren, und wählen Sie Weiter aus, um den Vorgang Sicherung konfigurieren zu initiieren.

Sie erhalten Benachrichtigungen zum Status der Schutzkonfiguration und deren Abschluss.

Verwenden der Datenschutzeinstellungen des Speicherkontos zum Konfigurieren der Sicherung

Sie können die Sicherung für Blobs in einem Speicherkonto direkt über die Datenschutzeinstellungen des Speicherkontos konfigurieren.

1. Navigieren Sie zu dem Speicherkonto, für das Sie die Sicherung für Blobs konfigurieren möchten, und navigieren Sie dann im linken Bereich unter Datenverwaltung zu Datenschutz.

2. In den verfügbaren Datenschutzoptionen können Sie mit der ersten Option die operative Sicherung mithilfe von Azure Backup aktivieren.

   

3. Aktivieren Sie das Kontrollkästchen Operative Sicherung mit Azure Backup aktivieren. Wählen Sie dann den Sicherungstresor und die Sicherungsrichtlinie aus, die Sie zuordnen möchten. Sie können den vorhandenen Tresor und eine vorhandene Richtlinie auswählen oder bei Bedarf neue erstellen.

   Wichtig

   Sie sollten dem ausgewählten Tresor die Rolle Mitwirkender für Speicherkontosicherung zugewiesen haben. Erfahren Sie mehr über das Erteilen von Berechtigungen für den Sicherungstresor auf Speicherkonten.

   • Wenn Sie die erforderliche Rolle bereits zugewiesen haben, wählen Sie Speichern aus, um die Konfiguration der Sicherung abzuschließen. Folgen Sie den Portalbenachrichtigungen, um den Fortschritt der Konfiguration der Sicherung nachzuverfolgen.

   • Falls Sie die Rolle noch nicht zugewiesen haben, wählen Sie Identität verwalten aus, und führen Sie die folgenden Schritte aus, um die Rollen zuzuweisen.

     

     1. Durch Auswählen von Identität verwalten gelangen Sie zum Identitätsbereich des Speicherkontos.

     2. Wählen Sie Rollenzuweisung hinzufügen aus, um die Rollenzuweisung zu initiieren.

        

     3. Wählen Sie den Bereich, das Abonnement, die Ressourcengruppe oder das Speicherkonto aus, das Sie der Rolle zuweisen möchten.
        
        Es wird empfohlen, die Rolle auf Ressourcengruppenebene zuzuweisen, wenn Sie die operative Sicherung für Blobs für mehrere Speicherkonten konfigurieren möchten.

     4. Wählen Sie in der Dropdownliste Rolle die Rolle Mitwirkender für Speicherkontosicherung aus.

        

     5. Wählen Sie Speichern aus, um die Rollenzuweisung abzuschließen.

        Nach erfolgreichem Abschluss des Vorgangs erhalten Sie im Portal eine entsprechende Benachrichtigung. Sie können auch die neue Rolle anzeigen, die der Liste der vorhandenen Rollen für den ausgewählten Tresor hinzugefügt wurde.

        

     6. Wählen Sie rechts oben das Abbruchsymbol (x) aus, um zum Bereich Datenschutz des Speicherkontos zurückzukehren.
        
        Sobald Sie zurück sind, fahren Sie mit der Konfiguration der Sicherung fort.

Auswirkungen auf gesicherte Speicherkonten

Tresorsicherung

• In Speicherkonten (für die Sie Tresorsicherungen konfiguriert haben) werden die Objektreplikationsregeln im linken Bereich unter dem Element Objektreplikation erstellt.
• Für die Objektreplikation sind Versionsverwaltungs- und Änderungsfeedfunktionen erforderlich. Daher aktiviert der Azure Backup-Dienst diese Features für das Quellspeicherkonto.

Operative Sicherung

Sobald die Sicherung konfiguriert ist, werden Änderungen an den Blockblobs in den Speicherkonten nachverfolgt, und die Daten werden entsprechend der Sicherungsrichtlinie aufbewahrt. Beachten Sie die folgenden Änderungen in den Speicherkonten, für die die Sicherung konfiguriert ist:

• Die folgenden Funktionen sind für das Speicherkonto aktiviert. Diese können auf der Registerkarte Datenschutz des Speicherkontos angezeigt werden.

  • Point-in-Time-Wiederherstellung für Container: Mit der in der Sicherungsrichtlinie festgelegten Aufbewahrungsdauer
  • Vorläufiges Löschen für Blobs: Mit der in der Sicherungsrichtlinie festgelegten Aufbewahrungsdauer +5 Tage
  • Versionsverwaltung für Blobs
  • Blobänderungsfeed

  Wenn für das für die Sicherung konfigurierte Speicherkonto bereits die Point-in-Time-Wiederherstellung für Container oder das vorläufige Löschen für Blobs aktiviert war (bevor die Sicherung konfiguriert wurde), stellt Azure Backup sicher, dass die Aufbewahrungsdauer mindestens der in der Sicherungsrichtlinie definierten Dauer entspricht. Daher gilt für jede Eigenschaft Folgendes:

  • Die Aufbewahrungsdauer in der Sicherungsrichtlinie ist länger als die ursprünglich im Speicherkonto angegebene Aufbewahrungsdauer: Die Aufbewahrungsdauer auf dem Speicherkonto wird entsprechend der Sicherungsrichtlinie geändert
  • Die Aufbewahrung in der Sicherungsrichtlinie ist kürzer als die ursprünglich im Speicherkonto angegebene Aufbewahrungsdauer: Die Aufbewahrungsdauer auf dem Speicherkonto wird bei der ursprünglich festgelegten Dauer belassen.

  

• Eine Löschsperre wird von Azure Backup auf das geschützte Speicherkonto angewendet. Die Sperre dient zum Schutz vor dem versehentlichen Löschen des Speicherkontos. Dies kann unter Speicherkonto>Sperren angezeigt werden.

  

Verwalten von Sicherungen

Sie können Backup Center als zentralisierte Benutzeroberfläche für die Verwaltung aller Sicherungen verwenden. Im Zusammenhang mit der Sicherung für Azure-Blobs können mit Backup Center folgende Aktionen ausgeführt werden:

• Wie oben beschrieben, können Sie es zum Erstellen von Sicherungstresor und -richtlinien verwenden. Sie können auch alle Tresore und Richtlinien unter den ausgewählten Abonnements anzeigen.

• Backup Center bietet Ihnen eine einfache Möglichkeit zum Überwachen des Schutzzustands geschützter Speicherkonten und von Speicherkonten, für die derzeit keine Sicherung konfiguriert ist.

• Sie können die Sicherung für beliebige Speicherkonten über die Schaltfläche + Sicherung konfigurieren.

• Sie können Wiederherstellungen mithilfe der Schaltfläche Wiederherstellen initiieren und über Sicherungsaufträgenachverfolgen. Weitere Informationen zum Ausführen von Wiederherstellungen finden Sie unter Wiederherstellungen von Azure-Blobs.

• Analysieren Sie die Sicherungsverwendung mithilfe von Sicherungsberichten.

  

Weitere Informationen finden Sie in der Übersicht über Backup Center.

Schutz beenden

Sie können die operative Sicherung für Ihr Speicherkonto gemäß Ihren Anforderungen beenden.

Hinweis

Wenn Sie Sicherungen entfernen, wird die Objektreplikationsrichtlinie nicht aus der Quelle entfernt. Die Richtlinie muss daher separat entfernt werden. Durch Beenden des Schutzes wird lediglich die Zuordnung des Speicherkontos zum Sicherungstresor (und den Sicherungstools wie Backup Center) aufgehoben. Die konfigurierte Zeitpunktwiederherstellung für Blobs, die Versionsverwaltung und die Änderungsfeeds werden nicht deaktiviert.

Führen Sie die folgenden Schritte aus, um die Sicherung für ein Speicherkonto zu beenden:

1. Navigieren Sie zur Sicherungsinstanz für das zu sichernde Speicherkonto.
   
   Dorthin gelangen Sie über das Speicherkonto (Speicherkonto>Datenschutz>Sicherungseinstellungen verwalten) oder direkt über das Backup Center (Backup Center>Sicherungsinstanzen). Suchen Sie nach dem Namen des Speicherkontos.

   

   

2. Wählen Sie in der Sicherungsinstanz die Option Löschen aus, um die operative Sicherung für das spezifische Speicherkonto zu beenden.

   

Nach dem Beenden der Sicherung können Sie andere Speicherdatenschutzfunktionen (zum Konfigurieren der Sicherungen aktiviert) im Bereich „Datenschutz“ des Speicherkontos deaktivieren.

Nächste Schritte

Wiederherstellen von Azure-Blobs