Configuración y administración de la copia de seguridad de blobs de Azure mediante Azure Backup
Azure Backup permite configurar copias de seguridad operativas y almacenadas para proteger los blobs en bloques de las cuentas de almacenamiento. En este artículo se explica cómo configurar y administrar copias de seguridad en una o varias cuentas de almacenamiento mediante Azure Portal.
Antes de comenzar
- La copia de seguridad operativa de blobs es una solución de copia de seguridad local que mantiene los datos durante un tiempo especificado en la propia cuenta de almacenamiento de origen. Esta solución no mantiene una copia adicional de los datos en el almacén. Permite conservar los datos para su restauración durante un máximo de 360 días. Sin embargo, las duraciones de retención largas pueden dar lugar a que la operación de restauración tarde más tiempo.
- La solución se puede usar para realizar restauraciones solo en la cuenta de almacenamiento de origen y puede que se sobrescriban datos.
- Si elimina un contenedor de la cuenta de almacenamiento mediante una llamada a la operación Eliminar contenedor, ese contenedor no se puede restaurar con una operación de restauración. En lugar de eliminar un contenedor completo, elimine blobs individuales, por si desea restaurarlos más adelante. Además, Microsoft recomienda habilitar la eliminación temporal de los contenedores, además de la copia de seguridad operativa, como protección contra la eliminación accidental de contenedores.
- Asegúrese de que el proveedor Microsoft.DataProtection esté registrado en la suscripción.
Para más información sobre los escenarios admitidos, las limitaciones y la disponibilidad, consulte la matriz de compatibilidad.
Creación de un almacén de Backup
Un almacén de Backup es una entidad de administración que almacena los puntos de recuperación creados a lo largo del tiempo y proporciona una interfaz para realizar operaciones relacionadas con la copia de seguridad. Esto incluye realizar copias de seguridad a petición, realizar restauraciones y crear directivas de copia de seguridad. Aunque la copia de seguridad operativa de blobs es una copia de seguridad local y no "almacena" datos en el almacén, este es necesario para varias operaciones de administración.
Nota
El almacén de Backup es un nuevo recurso que se usa para realizar copias de seguridad de nuevas cargas de trabajo compatibles y es diferente del almacén de Recovery Services existente.
Para obtener instrucciones sobre cómo crear un almacén de Backup, consulte la documentación del almacén de Backup.
Concesión de permisos al almacén de Backup en cuentas de almacenamiento
La copia de seguridad operativa también protege la cuenta de almacenamiento (que contiene los blobs que se van a proteger) de cualquier eliminación accidental mediante la aplicación de un bloqueo de eliminación propiedad de Backup. Esto requiere que el almacén de Backup tenga ciertos permisos en las cuentas de almacenamiento que deben protegerse. Para mayor comodidad de uso, estos permisos mínimos se han consolidado en el rol Storage Account Backup Contributor (Colaborador de copias de seguridad de la cuenta de almacenamiento).
Se recomienda asignar este rol al almacén de Backup antes de configurar la copia de seguridad. Sin embargo, también puede realizar la asignación de roles al configurarla.
Para asignar el rol necesario en las cuentas de almacenamiento que necesita proteger, siga estos pasos:
Nota
También puede asignar los roles al almacén en los niveles Suscripción o Grupo de recursos, según le resulte más cómodo.
En la cuenta de almacenamiento que se debe proteger, vaya a la pestaña Control de acceso (IAM) en el panel de navegación izquierdo.
Seleccione Agregar asignaciones de roles para asignar el rol requerido.
En el panel Agregar asignación de roles:
En Rol, elija Storage Account Backup Contributor (Colaborador de copia de seguridad de cuenta de almacenamiento).
En Asignar acceso a: elija User, group or service principal (Usuario, grupo o entidad de servicio).
Busque el almacén de Backup que desea usar para la copia de seguridad de blobs en esta cuenta de almacenamiento y selecciónelo en los resultados de la búsqueda.
Seleccione Guardar.
Nota:
La asignación de roles puede tardar hasta treinta minutos en surtir efecto.
Crear una directiva de copia de seguridad
Una directiva de copia de seguridad define la programación y la frecuencia de creación de puntos de recuperación y su período de retención en el almacén de copia de seguridad. Puede usar una única directiva de copia de seguridad para la copia de seguridad almacenada, la copia de seguridad operativa o ambas. Puede usar la misma directiva de copia de seguridad para configurar la copia de seguridad de varias cuentas de almacenamiento en un almacén.
Para crear una nueva directiva de copia de seguridad, siga estos pasos:
Vaya al Centro de copias de seguridad y seleccione +Directiva. Esta acción le lleva a la experiencia de creación de directivas.
Seleccione el tipo de origen de datos como Azure Blobs (Azure Storage) y, luego, elija Continuar.
En la pestaña Aspectos básicos, escriba un nombre para la directiva y seleccione el almacén al que quiere asociar esta directiva.
Puede ver los detalles del almacén seleccionado en esta pestaña. A continuación, seleccione Continuar.
En la pestaña Programación y retención, escriba los detalles de copia de seguridad del almacén de datos, la programación y la retención de estos almacenes de datos, según corresponda.
- Para usar la directiva de copia de seguridad para copias de seguridad almacenadas, copias de seguridad operativas, o ambas, active las casillas correspondientes.
- Para cada almacén de datos seleccionado, agregue o edite la configuración de programación y retención:
- Copias de seguridad almacenadas: elija la frecuencia de las copias de seguridad entre diaria y semanal, especifique la programación cuando se deban crear los puntos de recuperación de copia de seguridad y, luego, edite la regla de retención predeterminada (seleccionando Editar) o agregue nuevas reglas para especificar la retención de puntos de recuperación mediante una notación de abuelo-padre-hijo.
- Copias de seguridad operativas: son continuas y no requieren una programación. Edite la regla predeterminada para las copias de seguridad operativas para especificar la retención necesaria.
Vaya a Revisar y crear.
Una vez completada la revisión, seleccione Crear.
Configuración de copias de seguridad
Puede configurar la copia de seguridad de una o varias cuentas de almacenamiento en una región de Azure si quiere que realicen una copia de seguridad en el mismo almacén mediante una única directiva de copia de seguridad.
Para configurar la copia de seguridad de una cuenta de almacenamiento, siga estos pasos:
Vaya a Centro de copias de seguridad>Información general y, luego, elija +Copia de seguridad.
En la pestaña Iniciar: configurar copia de seguridad, elija Blobs de Azure (Azure Storage) como tipo de origen de datos.
En la pestaña Aspectos básicos, especifique Blobs de Azure (Azure Storage) como tipo de origen de datos y, luego, seleccione el almacén de copia de seguridad que quiere asociar con las cuentas de almacenamiento.
Puede ver los detalles del almacén seleccionado en esta pestaña. A continuación, elija Siguiente.
Seleccione la directiva de copia de seguridad que quiere usar para la retención.
Puede ver los detalles de la directiva seleccionada. También puede crear una nueva directiva de copia de seguridad, si lo considera necesario. Cuando termine, seleccione Siguiente.
En la pestaña Orígenes de datos, seleccione las cuentas de almacenamiento de las que quiere realizar una copia de seguridad.
Puede seleccionar varias cuentas de almacenamiento de la región para realizar copias de seguridad mediante la directiva seleccionada. Busque o filtre las cuentas de almacenamiento, si es necesario.
Si ha elegido la directiva de copia de seguridad de almacén en el paso 4, también puede seleccionar contenedores específicos para realizar copias de seguridad. Haga clic en "Cambiar" en la columna "Contenedores seleccionados". En la hoja de contexto, elija "Examinar contenedores para realizar copias de seguridad" y anule la selección de los que no desea realizar la copia de seguridad.
Al seleccionar las cuentas de almacenamiento y los contenedores que va a proteger, Azure Backup realiza las siguientes validaciones para garantizar que se cumplen todos los requisitos previos. La columna Preparación para la copia de seguridad indica si el almacén de copia de seguridad tiene permisos suficientes para configurar copias de seguridad de cada cuenta de almacenamiento.
Valida que el almacén de copia de seguridad tenga los permisos necesarios para configurar la copia de seguridad (el almacén tiene el rol Colaborador de copia de seguridad de la cuenta de almacenamiento en todas las cuentas de almacenamiento seleccionadas. Si la validación muestra errores, significa que las cuentas de almacenamiento seleccionadas no tienen el rol Colaborador de copia de seguridad de la cuenta de almacenamiento. Puede asignar el rol necesario, en función de los permisos actuales. El mensaje de error puede ayudarle a comprender si tiene los permisos necesarios y realizar la acción adecuada:
Asignación de roles no realizada: indica que el usuario tiene permisos para asignar al almacén el rol Colaborador de copia de seguridad de la cuenta de almacenamiento y los demás roles necesarios de la cuenta de almacenamiento.
Seleccione los roles y, luego, elija Asignar roles faltantes en la barra de herramientas para asignar automáticamente el rol necesario al almacén de copia de seguridad y desencadenar una revalidación automática.
En ocasiones, la propagación de roles puede tardar un tiempo (hasta 10 minutos), lo que provoca un error en la revalidación. En este caso, debe esperar unos minutos y seleccionar Volver a validar para volver a intentar la validación.
Permisos insuficientes para la asignación de roles: indica que el almacén no tiene el rol necesario para configurar las copias de seguridad y que el usuario no tiene permisos suficientes para asignar el rol necesario. Para facilitar la asignación de roles, Azure Backup le permite descargar la plantilla de asignación de roles, que puede compartir con los usuarios que tengan permisos para asignar roles para las cuentas de almacenamiento.
Para ello, seleccione dichas cuentas de almacenamiento y elija Descargar plantilla de asignación de roles para descargar la plantilla. Una vez finalizadas las asignaciones de roles, seleccione Volver a validar para validar los permisos de nuevo y, luego, configure la copia de seguridad.
Nota:
La plantilla solo contiene detalles de las cuentas de almacenamiento seleccionadas. Por lo tanto, si hay varios usuarios que necesitan asignar roles para diferentes cuentas de almacenamiento, puede seleccionar y descargar plantillas diferentes según corresponda.
En el caso de las copias de seguridad almacenadas, valida que el número de contenedores de los que se va a realizar una copia de seguridad sea inferior a 100. De forma predeterminada, se seleccionan todos los contenedores; sin embargo, puede excluir contenedores de los que no se debe hacer una copia de seguridad. Si la cuenta de almacenamiento tiene >100 contenedores, debe excluir algunos para reducir el recuento a 100 o menos.
Nota:
En el caso de las copias de seguridad almacenadas, las cuentas de almacenamiento de las que se va a hacer una copia de seguridad deben contener al menos 1 contenedor. Si la cuenta de almacenamiento seleccionada no contiene ningún contenedor o si no se selecciona ninguno, es posible que reciba un error al configurar las copias de seguridad.
Una vez que la validación se realice correctamente, abra la pestaña Revisar y configurar.
Revise los detalles de la pestaña Revisar y configurar y seleccione Siguiente para iniciar la operación de configuración de la copia de seguridad.
Recibirá notificaciones sobre el estado de la configuración de la protección y su finalización.
Uso de la configuración de protección de datos de la cuenta de almacenamiento para configurar la copia de seguridad
Puede configurar la copia de seguridad de blobs en una cuenta de almacenamiento directamente desde la configuración de "Protección de datos" de la cuenta de almacenamiento.
Vaya a la cuenta de almacenamiento para la que quiere configurar la copia de seguridad de blobs y, luego, vaya a Protección de datos en el panel izquierdo (en Administración de datos).
En las opciones de protección de datos disponibles, la primera permite habilitar la copia de seguridad operativa mediante Azure Backup.
Active la casilla correspondiente a Habilitar la copia de seguridad operativa con Azure Backup. A continuación, seleccione el almacén de Backup y la directiva de Backup que desea asociar. Puede seleccionar el almacén y la directiva existentes, o crear otros nuevos, según sea necesario.
Importante
Debe haber asignado el rol Storage account backup contributor (Colaborador de copias de seguridad de la cuenta de almacenamiento) al almacén seleccionado. Más información sobre cómo conceder permisos al almacén de Backup en cuentas de almacenamiento.
Si ya ha asignado el rol necesario, seleccione Guardar para finalizar la configuración de la copia de seguridad. Siga las notificaciones del portal para realizar un seguimiento del progreso de la configuración de la copia de seguridad.
Si aún no lo ha asignado, seleccione Administrar la identidad y siga los pasos que se indican a continuación para asignar los roles.
Al hacer clic en Administrar la identidad, llega al panel "Identidad" de la cuenta de almacenamiento.
Seleccione Agregar asignación de roles para iniciar la asignación de roles.
Elija el ámbito, la suscripción, el grupo de recursos o la cuenta de almacenamiento que desea asignar al rol.
Si quiere configurar la copia de seguridad operativa de los blobs en varias cuentas de almacenamiento, se recomienda asignar el rol en el nivel de grupo de recursos.En la lista desplegable Rol, seleccione el rol Storage account backup contributor (Colaborador de copias de seguridad de la cuenta de almacenamiento).
Seleccione Guardar para finalizar la asignación de roles.
Cuando la operación finalice correctamente, recibirá una notificación en el portal. También puede ver el nuevo rol agregado a la lista de roles existentes para el almacén seleccionado.
Seleccione el icono de cancelación (x) en la esquina superior derecha para volver a la hoja Protección de datos de la cuenta de almacenamiento.
Una vez de vuelta, siga configurando la copia de seguridad.
Efectos en las cuentas de almacenamiento con copia de seguridad
Una vez configurada la copia de seguridad, se realiza un seguimiento de los cambios que se realizan en los blobs en bloques de las cuentas de almacenamiento y los datos se retienen según la directiva de copia de seguridad. Observará los siguientes cambios en las cuentas de almacenamiento para las que se ha configurado la copia de seguridad:
Están habilitadas las siguientes funcionalidades en la cuenta de almacenamiento. Se pueden ver en la pestaña Protección de datos de la cuenta de almacenamiento.
- Restauración a un momento dado para contenedores: con retención tal y como se especifica en la directiva de copia de seguridad
- Eliminación temporal para blobs: con retención tal y como se especifica en la directiva de copia de seguridad más 5 días
- Control de versiones para blobs
- Fuente de cambios de blobs
Si la cuenta de almacenamiento configurada para la copia de seguridad ya tenía habilitadas las opciones Restauración a un momento dado para contenedores o Eliminación temporal para blobs (antes de la configuración de la copia de seguridad), Backup garantiza que la retención sea al menos como la definida en la directiva de copia de seguridad. Por lo tanto, para cada propiedad:
- Si la retención en la directiva de copia de seguridad es mayor que la retención presente originalmente en la cuenta de almacenamiento, la retención de la cuenta de almacenamiento se modifica según la directiva de copia de seguridad.
- Si la retención en la directiva de copia de seguridad es menor que la retención presente originalmente en la cuenta de almacenamiento, la retención de la cuenta de almacenamiento se deja sin modificar en la duración establecida originalmente.
Backup aplica un bloqueo de eliminación en la cuenta de almacenamiento. El bloqueo está diseñado como protección frente a casos de eliminación accidental de la cuenta de almacenamiento. Se puede ver en Cuenta de almacenamiento>Bloqueos.
Administración de copias de seguridad
Puede usar el Centro de Backup como el único panel para administrar todas las copias de seguridad. Con respecto a la copia de seguridad de blobs de Azure, puede usar el Centro de copias de seguridad para realizar lo siguiente:
Como hemos visto anteriormente, puede usarlo para crear almacenes y directivas de Backup. También puede ver todos los almacenes y directivas en las suscripciones seleccionadas.
El Centro de Backup ofrece una manera sencilla de supervisar el estado de la protección de las cuentas de almacenamiento protegidas, así como las cuentas de almacenamiento para las que la copia de seguridad no está configurada actualmente.
Puede configurar la copia de seguridad de cualquier cuenta de almacenamiento mediante el botón +Copia de seguridad.
Puede iniciar las restauraciones mediante el botón Restaurar y realizar un seguimiento de las restauraciones mediante Trabajos de Backup. Para más información sobre cómo realizar restauraciones, consulte Restauración de blobs de Azure.
Analice el uso de copias de seguridad mediante informes de copia de seguridad.
Para obtener más información, consulte Información general sobre el centro de copias de seguridad.
Detener protección
Puede detener la copia de seguridad operativa de la cuenta de almacenamiento en función de sus necesidades.
Nota
Al quitar copias de seguridad, la directiva de replicación de objeto no se quita del origen. Por lo tanto, debe quitar la directiva por separado. Al detener la protección, solo se desasocia la cuenta de almacenamiento del almacén de copia de seguridad (y las herramientas de copia de seguridad, como el Centro de copias de seguridad), pero no se deshabilita la restauración a un momento dado de blobs, el control de versiones y la fuente de cambios que se configuraron.
Para detener la copia de seguridad de una cuenta de almacenamiento, siga estos pasos:
Vaya a la instancia de copia de seguridad de la cuenta de almacenamiento de la que va a hacer la copia de seguridad.
Puede ir hasta ella desde la cuenta de almacenamiento mediante Cuenta de almacenamiento ->Protección de datos ->Administrar la configuración de copia de seguridad; o directamente desde el Centro de copias de seguridad, vaya a Centro de copias de seguridad ->Instancias de copia de seguridad -> y busque el nombre de la cuenta de almacenamiento.
En la instancia de copia de seguridad, seleccione Eliminar para detener la copia de seguridad operativa de la cuenta de almacenamiento concreta.
Después de detener la copia de seguridad, puede deshabilitar otras funcionalidades de protección de datos de almacenamiento (que se habilitan para configurar la copia de seguridad) desde el panel de protección de datos de la cuenta de almacenamiento.