Megosztás a következőn keresztül:


Infrastruktúra biztonsági mentési szolgáltatásának referenciája

Azure Backup-infrastruktúra

Az Azure Stack Hub számos szolgáltatásból áll, amelyek a portált (Azure Resource Manager) és az általános infrastruktúra-kezelési élményt foglalják magukban. Az Azure Stack Hub alkalmazásszerű felügyeleti felülete a megoldás üzemeltetője számára elérhető összetettség csökkentésére összpontosít.

Az Infrastruktúra-biztonsági mentési szolgáltatás célja az infrastruktúra-szolgáltatások adatainak biztonsági mentésének és visszaállításának összetettségének internalizálása, biztosítva, hogy az üzemeltetők a megoldás kezelésére és az SLA fenntartására összpontosítsanak a felhasználók számára.

A biztonsági mentési adatok külső megosztásba való exportálására azért van szükség, hogy ne tároljanak biztonsági másolatokat ugyanazon a rendszeren. Külső megosztás megkövetelése esetén a rendszergazda rugalmasan határozhatja meg, hogy hol tárolja az adatokat a meglévő vállalati BC/DR-szabályzatok alapján.

Infrastruktúra biztonsági mentési szolgáltatásának összetevői

Az Infrastruktúra biztonsági mentése szolgáltatás a következő összetevőket tartalmazza:

  • Infrastruktúra biztonsági mentési vezérlője
    Az infrastruktúra biztonsági mentési vezérlője minden Azure Stack Hub-felhőben megtalálható és példányosítva van.
  • Biztonsági mentési erőforrás-szolgáltató
    A Biztonsági mentési erőforrás-szolgáltató (Backup RP) az Azure Stack Hub-infrastruktúra alapvető biztonsági mentési funkcióit felfedő felhasználói felületből és API-kból áll.

Infrastruktúra biztonsági mentési vezérlője

Az infrastruktúra biztonsági mentési vezérlője egy Service Fabric-szolgáltatás, amely példányosítva lesz egy Azure Stack Hub-felhőhöz. A biztonsági mentési erőforrások regionális szinten jönnek létre, és régióspecifikus szolgáltatási adatokat rögzítenek az AD, a CA, az Azure Resource Manager, a CRP, az SRP, az NRP, a Key Vault és az RBAC szolgáltatásból.

Biztonsági mentési erőforrás-szolgáltató

A Biztonsági mentési erőforrás-szolgáltató az Azure Stack Hub portálon egy felhasználói felületet biztosít az alapvető konfigurációhoz és a biztonsági mentési erőforrások listájához. Az operátorok a következő műveleteket hajthatják végre a felhasználói felületen:

  • A biztonsági mentés első alkalommal történő engedélyezéséhez adja meg a külső tárolási helyet, a hitelesítő adatokat és a titkosítási kulcsot.
  • Tekintse meg a létrehozás alatt létrehozott kész biztonsági mentési erőforrásokat és állapoterőforrásokat.
  • Módosítsa azt a tárolási helyet, ahol a Biztonsági mentési vezérlő biztonsági mentési adatokat helyez el.
  • Módosítsa a biztonsági mentési vezérlő által a külső tárolóhely eléréséhez használt hitelesítő adatokat.
  • Módosítsa a Biztonsági mentési vezérlő által a biztonsági másolatok titkosításához használt titkosítási kulcsot.

A biztonsági mentésvezérlő követelményei

Ez a szakasz az infrastruktúra biztonsági mentési szolgáltatásának fontos követelményeit ismerteti. Javasoljuk, hogy alaposan tekintse át az adatokat, mielőtt engedélyezi az Azure Stack Hub-példány biztonsági mentését, majd tekintse át azokat szükség szerint az üzembe helyezés és az azt követő művelet során.

A követelmények a következők:

  • Szoftverkövetelmények – ismerteti a támogatott tárolási helyeket és a méretezési útmutatót.
  • Hálózati követelmények – a különböző tárolási helyek hálózati követelményeit ismerteti.

Szoftverkövetelmények

Támogatott tárolási helyek

Tárolási hely Részletek
A megbízható hálózati környezetben található tárolóeszközön üzemeltetett SMB-fájlmegosztás. SMB-megosztás ugyanabban az adatközpontban, ahol az Azure Stack Hub üzembe van helyezve, vagy egy másik adatközpontban. Több Azure Stack Hub-példány is használhatja ugyanazt a fájlmegosztást.
SMB-fájlmegosztás az Azure-ban. Jelenleg nem támogatott.
Blob Storage az Azure-ban. Jelenleg nem támogatott.

Támogatott SMB-verziók

SMB Verzió
SMB 3.x

SMB-titkosítás

Az infrastruktúra-biztonsági mentési szolgáltatás támogatja a biztonsági mentési adatok külső tárolóhelyre történő átvitelét, a kiszolgálóoldalon engedélyezve van az SMB-titkosítás. Ha a kiszolgáló nem támogatja az SMB-titkosítást, vagy nincs engedélyezve a funkció, az infrastruktúra-biztonsági mentési szolgáltatás visszaáll a titkosítatlan adatátvitelre. A külső tárolóhelyen elhelyezett biztonsági mentési adatok mindig inaktív állapotban vannak titkosítva, és nem függnek az SMB-titkosítástól.

Tárolóhely méretezése

Javasoljuk, hogy naponta legalább két alkalommal készítsen biztonsági másolatot, és legfeljebb hét napig őrizze meg a biztonsági mentéseket. Ez az alapértelmezett viselkedés, amikor engedélyezi az infrastruktúra biztonsági mentését az Azure Stack Hubon.

Környezeti skálázás A biztonsági mentés tervezett mérete A szükséges terület teljes mennyisége
4–16 csomópont 20 GB 280 GB
AZURE STACK FEJLESZTŐI KÉSZLET (ASDK) 10 GB 140 GB

A hálózatra vonatkozó követelmények

Tárolási hely Részletek
A megbízható hálózati környezetben található tárolóeszközön üzemeltetett SMB-fájlmegosztás. A 445-ös portra akkor van szükség, ha az Azure Stack Hub-példány tűzfallal rendelkező környezetben található. Az infrastruktúra biztonsági mentési vezérlője kapcsolatot kezdeményez az SMB-fájlkiszolgálóval a 445-ös porton keresztül.
A fájlkiszolgáló teljes tartománynevének használatához a névnek feloldhatónak kell lennie a PEP-ből.

Tűzfalszabályok

Győződjön meg arról, hogy tűzfalszabályokat állít be az ERCS virtuális gépek és a külső tárolóhely közötti kapcsolat engedélyezéséhez.

Forrás Cél Protokoll/port
ERCS VM 1 Tárolási hely 445/SMB
ERCS VM 2 Tárolási hely 445/SMB
ERCS VM 3 Tárolási hely 445/SMB

Megjegyzés

Nincs szükség bejövő portok megnyitására.

Titkosítási követelmények

Az infrastruktúra biztonsági mentési szolgáltatása nyilvános kulccsal () rendelkező tanúsítványt fog használni. CER) a biztonsági mentési adatok és a tanúsítvány titkos kulccsal történő titkosításához (. PFX) a biztonsági mentési adatok visszafejtéséhez a felhőbeli helyreállítás során. A tanúsítványkulcs hosszának 2048 bájtnak kell lennie.

  • A tanúsítvány kulcsok átvitelére szolgál, és nem a biztonságos hitelesített kommunikáció kialakítására szolgál. Ezért a tanúsítvány lehet önaláírt tanúsítvány. Az Azure Stack Hubnak nem kell ellenőriznie a tanúsítvány gyökerét vagy megbízhatóságát, így nincs szükség külső internet-hozzáférésre.

Az önaláírt tanúsítvány két részből áll: az egyik a nyilvános kulccsal, a másik pedig a titkos kulccsal:

  • Biztonsági mentési adatok titkosítása: Tanúsítvány a nyilvános kulccsal (a fájlba exportálva). CER-fájl) a biztonsági mentési adatok titkosítására szolgál.
  • Biztonsági mentési adatok visszafejtése: Tanúsítvány a titkos kulccsal (a fájlba exportálva). PFX-fájl) a biztonsági mentési adatok visszafejtésére szolgál.

A nyilvános kulccsal rendelkező tanúsítvány (. CER) nem belső titkos kulcs rotációja kezeli. A tanúsítvány elforgatásához létre kell hoznia egy új önaláírt tanúsítványt, és frissítenie kell a biztonsági mentési beállításokat az új fájllal (). CER).

  • A meglévő biztonsági másolatok az előző nyilvános kulccsal titkosítva maradnak. Az új biztonsági másolatok az új nyilvános kulcsot használják.

A felhőalapú helyreállítás során használt tanúsítvány a titkos kulccsal (. A PFX) biztonsági okokból nem marad meg az Azure Stack Hubban. Ezt a fájlt explicit módon kell megadni a felhőbeli helyreállítás során.

Infrastructure Backup – korlátok

A Microsoft Azure Stack Hub-példányok tervezése, üzembe helyezése és üzemeltetésekor vegye figyelembe ezeket a korlátokat. Az alábbi táblázat ezeket a korlátokat ismerteti.

Infrastruktúra biztonsági mentésének korlátai

Korlátazonosító Korlát Megjegyzések
Biztonsági mentés típusa Csak teljes Az infrastruktúra biztonsági mentési vezérlője csak a teljes biztonsági mentéseket támogatja. A növekményes biztonsági mentések nem támogatottak.
Ütemezett biztonsági mentések Ütemezett és manuális A biztonsági mentésvezérlő támogatja az ütemezett és igény szerinti biztonsági mentéseket.
Egyidejű biztonsági mentési feladatok maximális száma 1 A Biztonsági mentésvezérlő példányonként csak egy aktív biztonsági mentési feladat támogatott.
Hálózati kapcsoló konfigurálása Nincs a hatókörben Rendszergazda kell biztonsági másolatot készítenie a hálózati kapcsolók konfigurációjáról OEM-eszközökkel. Tekintse meg az egyes OEM-szállítók által biztosított Azure Stack Hub dokumentációját.
Hardveres életciklus-gazdagép Nincs a hatókörben Rendszergazda oem-eszközökkel kell biztonsági másolatot készítenie a hardver életciklus-gazdagépről. Tekintse meg az egyes OEM-szállítók által biztosított Azure Stack Hub dokumentációját.
Fájlmegosztások maximális száma 1 A biztonsági mentési adatok tárolására csak egy fájlmegosztás használható.
App Services biztonsági mentése, függvény, SQL, mysql-erőforrás-szolgáltató adatai Nincs a hatókörben Tekintse meg a Microsoft által létrehozott érték hozzáadása RP-k üzembe helyezéséhez és kezeléséhez közzétett útmutatót.
Külső erőforrás-szolgáltatók biztonsági mentése Nincs a hatókörben Tekintse meg a külső gyártók által létrehozott érték hozzáadása RP-k üzembe helyezéséhez és kezeléséhez közzétett útmutatót.

Következő lépések