Sauvegarder des disques managés Azure avec Azure PowerShell
Cet article explique comment sauvegarder un disque managé Azure avec Azure PowerShell.
Dans cet article, vous allez apprendre à :
Créer un coffre de sauvegarde
Créer une stratégie de sauvegarde
Configurer une sauvegarde d’un disque Azure
Exécuter un travail de sauvegarde à la demande
Pour plus d’informations sur la disponibilité par région, les scénarios pris en charge et les limitations de la sauvegarde de disque Azure, consultez la matrice de prise en charge.
Créer un coffre de sauvegarde
Un coffre Sauvegarde est une entité de stockage dans Azure qui contient les données de sauvegarde de diverses charges de travail plus récentes prises en charge par la Sauvegarde Azure, notamment des serveurs Azure Database pour PostgreSQL et des disques Azure. Les coffres de sauvegarde facilitent l’organisation de vos données de sauvegarde tout en réduisant le temps nécessaire à leur gestion. Les coffres Sauvegarde sont basés sur le modèle Azure Resource Manager, qui fournit des fonctionnalités améliorées pour sécuriser les données de sauvegarde.
Avant de créer un coffre de sauvegarde, choisissez la redondance de stockage des données dans le coffre. Ensuite, procédez à la création du coffre de sauvegarde avec cette redondance de stockage et l’emplacement. Dans cet article, nous allons créer un coffre Sauvegarde « TestBkpVault » dans la région westus, sous le groupe de ressources « testBkpVaultRG ». Utilisez la commande New-AzDataProtectionBackupVault pour créer un coffre Sauvegarde. Pour plus d’informations, consultez Création d’un coffre Sauvegarde.
$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type LocallyRedundant/GeoRedundant -DataStoreType VaultStore
New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting
$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault
$TestBKPVault | fl
ETag :
Id : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/testBkpVaultRG/providers/Microsoft.DataProtection/backupVaults/TestBkpVault
Identity : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppIdentityDetails
IdentityPrincipalId :
IdentityTenantId :
IdentityType :
Location : westus
Name : TestBkpVault
ProvisioningState : Succeeded
StorageSetting : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.StorageSetting}
SystemData : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SystemData
Tag : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppTrackedResourceTags
Type : Microsoft.DataProtection/backupVaults
Après la création du coffre, nous allons créer une stratégie de sauvegarde pour protéger les disques Azure.
Créer une stratégie de sauvegarde
Pour comprendre les composants internes d’une stratégie de sauvegarde pour la sauvegarde de disque Azure, récupérez le modèle de stratégie à l’aide de la commande Get-AzDataProtectionPolicyTemplate. Cette commande retourne un modèle de stratégie par défaut pour un type de source de données donné. Utilisez ce modèle de stratégie pour créer une nouvelle stratégie.
$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureDisk
$policyDefn | fl
DatasourceType : {Microsoft.Compute/disks}
ObjectType : BackupPolicy
PolicyRule : {BackupHourly, Default}
$policyDefn.PolicyRule | fl
BackupParameter : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType : DataStoreInfoBase
DataStoreType : OperationalStore
Name : BackupHourly
ObjectType : AzureBackupRule
Trigger : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType : ScheduleBasedTriggerContext
IsDefault : True
Lifecycle : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name : Default
ObjectType : AzureRetentionRule
Le modèle de stratégie est constitué d’un déclencheur (qui détermine le déclenchement de la sauvegarde) et d’un cycle de vie (qui décide quand supprimer/copier/déplacer la sauvegarde). Dans la sauvegarde de disque Azure, la valeur par défaut pour le déclencheur est un déclencheur horaire planifié pour toutes les 4 heures (PT4H) et pour conserver chaque sauvegarde pendant 7 jours.
$policyDefn.PolicyRule[0].Trigger | fl
ObjectType : ScheduleBasedTriggerContext
ScheduleRepeatingTimeInterval : {R/2020-04-05T13:00:00+00:00/PT4H}
TaggingCriterion : {Default}
$policyDefn.PolicyRule[1].Lifecycle | fl
DeleteAfterDuration : P7D
DeleteAfterObjectType : AbsoluteDeleteOption
SourceDataStoreObjectType : DataStoreInfoBase
SourceDataStoreType : OperationalStore
TargetDataStoreCopySetting :
La sauvegarde de disque Azure propose plusieurs sauvegardes par jour. Si vous avez besoin de sauvegardes plus fréquentes, choisissez la fréquence de sauvegarde Horaire, qui offre la possibilité d’effectuer des sauvegardes à intervalles de 4, 6, 8 ou 12 heures. Les sauvegardes sont planifiées en fonction de l’intervalle Temps sélectionné. Par exemple, si vous sélectionnez Toutes les 4 heures, les sauvegardes sont effectuées à intervalles de 4 heures environ, de façon à être réparties équitablement sur la journée. Si une sauvegarde par jour suffit, choisissez la fréquence de sauvegarde Quotidienne. Vous pouvez alors spécifier l’heure à laquelle s’effectuent vos sauvegardes. Il est à noter qu’il s’agit de l’heure de début de la sauvegarde, et non de l’heure de fin. Le temps nécessaire pour effectuer l’opération de sauvegarde dépend de différents facteurs, notamment la taille du disque et le taux d’attrition entre les sauvegardes consécutives. Toutefois, la sauvegarde de disque Azure est une sauvegarde sans agent qui utilise des instantanés incrémentiels sans impact sur le niveau de performance des applications de production.
Notes
- Bien que le coffre sélectionné puisse posséder le paramètre de redondance globale, la sauvegarde de disque Azure ne prend en charge que le magasin de données d’instantanés. Toutes les sauvegardes sont stockées dans l’un des groupes de ressources de l’abonnement. Elles ne sont pas copiées dans le stockage du coffre Sauvegarde.
- Pour les disques Azure appartenant aux références SKU HDD Standard, SSD Standard et SSD Premium, vous pouvez définir la planification de sauvegarde avec une fréquence Horaire (de 1, 2, 4, 6, 8 ou 12 heures) et une fréquence Quotidienne.
- Pour les disques Azure appartenant aux références SKU Premium V2 et Disque Ultra, vous pouvez définir la planification de sauvegarde avec une fréquence Horaire de seulement 12 heures et une fréquence Quotidienne.
Pour plus d’informations sur la création de stratégies, reportez-vous au document sur la stratégie de sauvegarde de disque Azure.
Si vous souhaitez modifier la fréquence horaire ou la période de rétention, utilisez les commandes Edit-AzDataProtectionPolicyTriggerClientObject et/ou Edit-AzDataProtectionPolicyRetentionRuleClientObject. Une fois que l’objet de stratégie dispose de toutes les valeurs souhaitées, passez à la création d’une nouvelle stratégie à partir de l’objet de stratégie à l’aide de la commande New-AzDataProtectionBackupPolicy.
New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name diskBkpPolicy -Policy $policyDefn
Name Type
---- ----
diskBkpPolicy Microsoft.DataProtection/backupVaults/backupPolicies
$diskBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "diskBkpPolicy"
Configurer une sauvegarde
Une fois le coffre et la stratégie créés, il y a 3 points critiques que l’utilisateur doit prendre en compte pour protéger un disque Azure.
Entités clés impliquées
Disque à protéger
Récupérez (fetch) l’ID ARM du disque à protéger. Il s’agit de l’identificateur du disque. Nous allons utiliser un exemple de disque nommé « PSTestDisk » sous un groupe de ressources « diskrg » dans un autre abonnement.
$DiskId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/diskrg/providers/Microsoft.Compute/disks/PSTestDisk"
Groupe de ressources d'instantanés
Les instantanés de disque sont stockés dans l’un des groupes de ressources de votre abonnement. En règle générale, il est recommandé de créer un groupe de ressources dédié comme magasin de stockage d’instantanés utilisable par le service Sauvegarde Azure. Cela permet en effet de restreindre les autorisations d’accès sur le groupe de ressources, garantissant ainsi la sécurité et la facilité de gestion des données de sauvegarde. Notez l’ID ARM du groupe de ressources dans lequel vous souhaitez placer les instantanés de disque
$snapshotrg = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/snapshotrg"
Archivage de sauvegarde
Les coffres de sauvegarde requièrent des autorisations sur le disque et le groupe de ressources d’instantanés pour pouvoir déclencher des instantanés et gérer leur cycle de vie. L’identité managée affectée par le système du coffre est utilisée pour affecter de telles autorisations. Utilisez la commande Update-AzRecoveryServicesVault pour activer l’identité managée attribuée par le système pour le coffre Recovery Services.
Attribuer des autorisations
L’utilisateur doit affecter peu d’autorisations via RBAC au coffre (représenté par le fichier MSI de coffre) et le disque approprié et/ou le RG de disque. Elles peuvent être effectuées via le Portail ou PowerShell.
Le coffre Sauvegarde utilise l’identité managée pour accéder à d’autres ressources Azure. Il est nécessaire, pour configurer la sauvegarde des disques managés, que l’identité managée du coffre Sauvegarde dispose d’un ensemble d’autorisations sur les disques sources et les groupes de ressources dans lesquels les instantanés sont créés et gérés.
Une identité managée affectée par le système est limitée à une par ressource et liée au cycle de vie de celle-ci. Vous pouvez accorder des autorisations à l’identité managée à l’aide du contrôle d’accès en fonction du rôle Azure (RBAC Azure). L’identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Découvrez-en plus sur les identités managées.
Pour configurer la sauvegarde des disques managés, assurez-vous que les conditions préalables suivantes sont remplies :
Attribuez le rôle Lecteur de sauvegarde de disque à l’identité managée du Coffre de sauvegarde sur le Disque source à sauvegarder.
Accédez au disque à sauvegarder.
Accédez à Contrôle d’accès (IAM) , puis sélectionnez Ajouter des attributions de rôles.
Dans le volet contextuel droit, sélectionnez Lecteur de sauvegarde de disque dans la liste déroulante Rôle.
Sélectionnez l’identité managée du Coffre Sauvegarde, puis Enregistrer.
Conseil
Tapez le nom du Coffre de sauvegarde pour sélectionner l’identité managée du coffre.
Attribuez le rôle Contributeur d’instantanés de disque à l’identité managée du Coffre de sauvegarde sur le Groupe de ressources dans lequel les sauvegardes sont créées et gérées par le service de Sauvegarde Azure. Les instantanés de disque sont stockés dans l’un des groupes de ressources de votre abonnement. Pour permettre au service de Sauvegarde Azure de créer, de stocker et de gérer des instantanés, vous devez accorder des autorisations d’accès au coffre Sauvegarde.
Accédez au groupe de ressources, par exemple SnapshotRG, qui se trouve dans le même abonnement que le disque à sauvegarder.
Accédez à Contrôle d’accès (IAM) , puis sélectionnez Ajouter des attributions de rôles.
Dans le volet contextuel droit, sélectionnez Contributeur d’instantanés de disque dans la liste déroulante Rôle.
Sélectionnez l’identité managée du Coffre Sauvegarde, puis Enregistrer.
Conseil
Tapez le nom du coffre Sauvegarde pour sélectionner l’identité managée du coffre.
Vérifiez que l’identité managée du coffre Sauvegarde possède le bon ensemble d’attributions de rôles sur le disque source et le groupe de ressources servant de magasin de données d’instantanés.
Accédez à Coffre Sauvegarde ->Identité, puis sélectionnez Attributions de rôles Azure.
Vérifiez que le rôle, le nom de la ressource et le type de ressource sont corrects.
Notes
Même si les attributions de rôles apparaissent correctement sur le portail, l’application de l’autorisation sur l’identité managée du coffre de sauvegarde peut prendre environ 15 minutes.
Préparer la requête
Une fois que toutes les autorisations appropriées sont définies, la configuration de la sauvegarde est effectuée en 2 étapes. Tout d’abord, nous préparons la requête appropriée en utilisant le coffre, la stratégie, le disque et le groupe de ressources d’instantanés appropriés à l’aide de la commande Initialize-AzDataProtectionBackupInstance. Ensuite, nous soumettons la requête pour protéger le disque à l’aide de la commande New-AzDataProtectionBackupInstance.
$instance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureDisk -DatasourceLocation $TestBkpvault.Location -PolicyId $diskBkpPol[0].Id -DatasourceId $DiskId
$instance.Property.PolicyInfo.PolicyParameter.DataStoreParametersList[0].ResourceGroupId = $snapshotrg
New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $instance
Name Type BackupInstanceName
---- ---- ------------------
diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166 Microsoft.DataProtection/backupVaults/backupInstances diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166
Exécuter une sauvegarde à la demande
Récupérer (fetch) l’instance de sauvegarde appropriée sur laquelle l’utilisateur souhaite déclencher une sauvegarde à l’aide de la commande AzDataProtectionBackupInstance
$instance = Get-AzDataProtectionBackupInstance -SubscriptionId "xxxx-xxx-xxx" -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "BackupInstanceName"
Vous pouvez spécifier une règle de rétention lors du déclenchement de la sauvegarde. Pour afficher les règles de rétention dans la stratégie, accédez à l’objet de stratégie pour les règles de rétention. Dans l’exemple ci-dessous, la règle portant le nom « default » s’affiche et nous allons utiliser cette règle pour la sauvegarde à la requête
$policyDefn.PolicyRule | fl
BackupParameter : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType : DataStoreInfoBase
DataStoreType : OperationalStore
Name : BackupHourly
ObjectType : AzureBackupRule
Trigger : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType : ScheduleBasedTriggerContext
IsDefault : True
Lifecycle : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name : Default
ObjectType : AzureRetentionRule
Déclenchez une sauvegarde à la demande à l’aide de la commande Backup-AzDataProtectionBackupInstanceAdhoc.
$AllInstances = Get-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name
Backup-AzDataProtectionBackupInstanceAdhoc -BackupInstanceName $AllInstances[0].Name -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupRuleOptionRuleName "Default"
Suivi des travaux
Effectuez le suivi de tous les travaux à l’aide de la commande Get-AzDataProtectionJob. Vous pouvez répertorier tous les travaux et extraire le détail d’un travail particulier.
Vous pouvez également utiliser Az.ResourceGraph pour effectuer le suivi de tous les travaux dans tous les coffres de sauvegarde. Utilisez la commande Search-AzDataProtectionJobInAzGraph pour récupérer le travail approprié qui peut s’appliquer à n’importe quel coffre de sauvegarde.
$job = Search-AzDataProtectionJobInAzGraph -Subscription $sub -ResourceGroupName "testBkpVaultRG" -Vault $TestBkpVault.Name -DatasourceType AzureDisk -Operation OnDemandBackup