Inicio rápido: Configuración de la copia de seguridad con almacenes para Azure Blobs mediante Azure Backup a través de la CLI de Azure

En este inicio rápido se describe cómo configurar la copia de seguridad con almacenes para Azure Blobs mediante la CLI de Azure. También puede configurar la copia de seguridad mediante la API de REST.

Azure Backup le permite ahora configurar copias de seguridad tanto operativas como en bóveda para proteger blobs en bloques en sus cuentas de almacenamiento.

La copia de seguridad con almacenes de blobs es una solución de copia de seguridad fuera del sitio administrada que almacena los datos de copia de seguridad en una cuenta de almacenamiento v2 general, lo que le permite proteger los datos de copia de seguridad contra ataques de ransomware o pérdida de datos de origen debido a un administrador malintencionado o no autorizado.

Con la copia de seguridad con almacén, puede hacer lo siguiente:

• Defina la programación de copia de seguridad para crear puntos de recuperación y la configuración de retención que determine cuánto tiempo se conservarán las copias de seguridad en el almacén.
• Configure y gestione las copias de seguridad en bóveda y operativas utilizando una única política de copias de seguridad.
• Copie y almacene los datos de copia de seguridad en el almacén de Backup, lo que proporciona una copia fuera del sitio de los datos que se pueden conservar durante un máximo de 10 años.

Requisitos previos

Antes de configurar la copia de seguridad con almacenes de blobs, asegúrese de:

• Revise la matriz de compatibilidad para obtener información sobre la disponibilidad de la región de blobs de Azure, los escenarios admitidos y las limitaciones.
• Tener un almacén de Backup para configurar la copia de seguridad de blobs de Azure. Si no ha creado el almacén de Backup, cree uno.

Crear una directiva de copia de seguridad

Para crear una directiva de copia de seguridad para la copia de seguridad con almacén de blobs, ejecute los siguientes comandos:

1. Para comprender los componentes internos de una directiva de copia de seguridad para la copia de seguridad de blobs de Azure, recupere la plantilla de directiva mediante el comando az dataprotection backup-policy get-default-policy-template.

   Este comando devuelve una plantilla de directiva predeterminada para un tipo de origen de datos determinado. Use esta plantilla para crear una directiva.

2. Una vez que haya guardado el JSON de directiva con todos los valores necesarios, continúe con la creación de una nueva directiva desde el objeto de directiva mediante el comando az dataprotection backup-policy create.

   Az dataprotection backup-policy create -g testBkpVaultRG –vault-name TestBkpVault -n BlobBackup-Policy –policy policy.json
   

   El siguiente JSON consiste en configurar una directiva con retención de 30 días para copia de seguridad operativa y 30 días de retención predeterminada para copia de seguridad en almacén. La copia de seguridad de almacén se programa todos los días a las 7:30 UTC.

   {
     "datasourceTypes": [
       "Microsoft.Storage/storageAccounts/blobServices"
     ],
     "name": "BlobPolicy1",
     "objectType": "BackupPolicy",
     "policyRules": [
       {
         "isDefault": true,
         "lifecycles": [
           {
             "deleteAfter": {
               "duration": "P30D",
               "objectType": "AbsoluteDeleteOption"
             },
             "sourceDataStore": {
               "dataStoreType": "OperationalStore",
               "objectType": "DataStoreInfoBase"
             },
             "targetDataStoreCopySettings": []
           }
         ],
         "name": "Default",
         "objectType": "AzureRetentionRule"
       },
       {
         "isDefault": true,
         "lifecycles": [
           {
             "deleteAfter": {
               "duration": "P30D",
               "objectType": "AbsoluteDeleteOption"
             },
             "sourceDataStore": {
               "dataStoreType": "VaultStore",
               "objectType": "DataStoreInfoBase"
             },
             "targetDataStoreCopySettings": []
           }
         ],
         "name": "Default",
         "objectType": "AzureRetentionRule"
       },
       {
         "backupParameters": {
           "backupType": "Discrete",
           "objectType": "AzureBackupParams"
         },
         "dataStore": {
           "dataStoreType": "VaultStore",
           "objectType": "DataStoreInfoBase"
         },
         "name": "BackupDaily",
         "objectType": "AzureBackupRule",
         "trigger": {
           "objectType": "ScheduleBasedTriggerContext",
           "schedule": {
             "repeatingTimeIntervals": [
               "R/2023-06-28T07:30:00+00:00/P1D"
             ],
             "timeZone": "UTC"
           },
           "taggingCriteria": [
             {
               "isDefault": true,
               "tagInfo": {
                 "id": "Default_",
                 "tagName": "Default"
               },
               "taggingPriority": 93
             }
           ]
         }
       }
     ]
   }
   
   

Importante

La programación de copia de seguridad sigue el formato de duración ISO 8601. Sin embargo, no se admite el prefijo R de intervalo de repetición, ya que las copias de seguridad están configuradas para ejecutarse indefinidamente. Cualquier valor especificado con R se omitirá.

Configuración de la copia de seguridad

Una vez creado el almacén y la directiva, hay dos puntos críticos que debe tener en cuenta para proteger todos los blobs de Azure dentro de una cuenta de almacenamiento.

• Entidades clave
• Permisos

Entidades clave

• Cuenta de almacenamiento que contiene los blobs que se van a proteger: capture el identificador de Azure Resource Manager de la cuenta de almacenamiento que contiene los blobs que se van a proteger. Servirá como identificador de la cuenta de almacenamiento. Usaremos un ejemplo de una cuenta de almacenamiento denominada CLITestSA, en el grupo de recursos blobrg, en una suscripción diferente presente en la región Sudeste de Asia.

  "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/blobrg/providers/Microsoft.Storage/storageAccounts/CLITestSA"
  

• Almacén de Backup: el almacén de Backup requiere permisos en la cuenta de almacenamiento para habilitar las copias de seguridad en blobs presentes en la cuenta de almacenamiento. Para asignar estos permisos, se usa la identidad del almacén administrada asignada por el sistema.

Asignación de permisos

Debe asignar algunos permisos a través de Azure RBAC al almacén creado (representado por el MSI del almacén) y la cuenta de almacenamiento correspondiente. Para ello se puede usar el portal o PowerShell. Obtenga más información sobre todos los permisos relacionados.

Preparación de la solicitud para configurar la copia de seguridad de blobs

Una vez establecidos todos los permisos pertinentes, configure la copia de seguridad de blobs mediante la ejecución de los siguientes comandos:

1. Prepare la solicitud pertinente mediante el almacén, la directiva y la cuenta de almacenamiento pertinentes mediante el comando az dataprotection backup-instance initialize.

   az dataprotection backup-instance initialize --datasource-type AzureBlob  -l southeastasia --policy-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testBkpVaultRG/providers/Microsoft.DataProtection/backupVaults/TestBkpVault/backupPolicies/BlobBackup-Policy" --datasource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/blobrg/providers/Microsoft.Storage/storageAccounts/CLITestSA" > backup_instance.json
   

2. Envíe la solicitud mediante el comando az dataprotection backup-instance create.

   az dataprotection backup-instance create -g testBkpVaultRG --vault-name TestBkpVault --backup-instance backup_instance.json
   
   The following JSON configures a blob backup for a specified storage account with specified policy and container list.
   {
     "backup_instance_name": "sample-backup-instance",
     "properties": {
       "data_source_info": {
         "datasource_type": "Microsoft.Storage/storageAccounts/blobServices",
         "object_type": "BlobBackupDatasourceParameters",
         "resource_id": "/subscriptions//resourceGroups//providers/Microsoft.Storage/storageAccounts/",
         "resource_location": "",
         "resource_name": "",
         "resource_type": "Microsoft.Storage/storageAccounts",
         "resource_uri": "/subscriptions//resourceGroups//providers/Microsoft.Storage/storageAccounts/"
       },
       "data_source_set_info": null,
       "datasource_auth_credentials": null,
       "friendly_name": "",
       "object_type": "BackupInstance",
       "policy_info": {
         "policyId": "/subscriptions//resourceGroups//providers/Microsoft.DataProtection/backupVaults//backupPolicies/",
         "policyParameters": {
           "backupDatasourceParametersList": [
             {
               "objectType": "BlobBackupDatasourceParameters",
               "containersList": [
                 ""
               ]
             }
           ]
         }
       }
     }
   }
   
   
   {
   
   "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testBkpVaultRG/providers/Microsoft.DataProtection/backupVaults/TestBkpVault/backupInstances/CLITestSA-CLITestSA-aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", "name": "CLITestSA-CLITestSA-aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", "properties":
   
   

Importante

Una vez configurada una cuenta de almacenamiento para la copia de seguridad de blobs, se verán afectadas algunas funcionalidades, como la fuente de cambios y el bloqueo de eliminación. Más información.

Paso siguiente

Restaurar los blobs de Azure mediante el portal de Azure, Azure PowerShell, la CLI de Azure y la API REST.