Infrastruktúra biztonsági mentési szolgáltatásának referenciája
Azure Backup-infrastruktúra
Az Azure Stack Hub számos szolgáltatásból áll, amelyek a portált (Azure Resource Manager) és az általános infrastruktúra-kezelési élményt foglalják magukban. Az Azure Stack Hub alkalmazásszerű felügyeleti felülete a megoldás üzemeltetője számára elérhető összetettség csökkentésére összpontosít.
Az Infrastruktúra-biztonsági mentési szolgáltatás célja az infrastruktúra-szolgáltatások adatainak biztonsági mentésének és visszaállításának összetettségének internalizálása, biztosítva, hogy az üzemeltetők a megoldás kezelésére és az SLA fenntartására összpontosítsanak a felhasználók számára.
A biztonsági mentési adatok külső megosztásba való exportálására azért van szükség, hogy ne tároljanak biztonsági másolatokat ugyanazon a rendszeren. Külső megosztás megkövetelése esetén a rendszergazda rugalmasan határozhatja meg, hogy hol tárolja az adatokat a meglévő vállalati BC/DR-szabályzatok alapján.
Infrastruktúra biztonsági mentési szolgáltatásának összetevői
Az Infrastruktúra biztonsági mentése szolgáltatás a következő összetevőket tartalmazza:
-
Infrastruktúra biztonsági mentési vezérlője
Az infrastruktúra biztonsági mentési vezérlője minden Azure Stack Hub-felhőben megtalálható és példányosítva van. -
Biztonsági mentési erőforrás-szolgáltató
A Biztonsági mentési erőforrás-szolgáltató (Backup RP) az Azure Stack Hub-infrastruktúra alapvető biztonsági mentési funkcióit felfedő felhasználói felületből és API-kból áll.
Infrastruktúra biztonsági mentési vezérlője
Az infrastruktúra biztonsági mentési vezérlője egy Service Fabric-szolgáltatás, amely példányosítva lesz egy Azure Stack Hub-felhőhöz. A biztonsági mentési erőforrások regionális szinten jönnek létre, és régióspecifikus szolgáltatási adatokat rögzítenek az AD, a CA, az Azure Resource Manager, a CRP, az SRP, az NRP, a Key Vault és az RBAC szolgáltatásból.
Biztonsági mentési erőforrás-szolgáltató
A Biztonsági mentési erőforrás-szolgáltató az Azure Stack Hub portálon egy felhasználói felületet biztosít az alapvető konfigurációhoz és a biztonsági mentési erőforrások listájához. Az operátorok a következő műveleteket hajthatják végre a felhasználói felületen:
- A biztonsági mentés első alkalommal történő engedélyezéséhez adja meg a külső tárolási helyet, a hitelesítő adatokat és a titkosítási kulcsot.
- Tekintse meg a létrehozás alatt létrehozott kész biztonsági mentési erőforrásokat és állapoterőforrásokat.
- Módosítsa azt a tárolási helyet, ahol a Biztonsági mentési vezérlő biztonsági mentési adatokat helyez el.
- Módosítsa a biztonsági mentési vezérlő által a külső tárolóhely eléréséhez használt hitelesítő adatokat.
- Módosítsa a Biztonsági mentési vezérlő által a biztonsági másolatok titkosításához használt titkosítási kulcsot.
A biztonsági mentésvezérlő követelményei
Ez a szakasz az infrastruktúra biztonsági mentési szolgáltatásának fontos követelményeit ismerteti. Javasoljuk, hogy alaposan tekintse át az adatokat, mielőtt engedélyezi az Azure Stack Hub-példány biztonsági mentését, majd tekintse át azokat szükség szerint az üzembe helyezés és az azt követő művelet során.
A követelmények a következők:
- Szoftverkövetelmények – ismerteti a támogatott tárolási helyeket és a méretezési útmutatót.
- Hálózati követelmények – a különböző tárolási helyek hálózati követelményeit ismerteti.
Szoftverkövetelmények
Támogatott tárolási helyek
| Tárolási hely | Részletek |
|---|---|
| A megbízható hálózati környezetben található tárolóeszközön üzemeltetett SMB-fájlmegosztás. | SMB-megosztás ugyanabban az adatközpontban, ahol az Azure Stack Hub üzembe van helyezve, vagy egy másik adatközpontban. Több Azure Stack Hub-példány is használhatja ugyanazt a fájlmegosztást. |
| SMB-fájlmegosztás az Azure-ban. | Jelenleg nem támogatott. |
| Blob Storage az Azure-ban. | Jelenleg nem támogatott. |
Támogatott SMB-verziók
| SMB | Verzió |
|---|---|
| SMB | 3.x |
SMB-titkosítás
Az infrastruktúra-biztonsági mentési szolgáltatás támogatja a biztonsági mentési adatok külső tárolóhelyre történő átvitelét, a kiszolgálóoldalon engedélyezve van az SMB-titkosítás. Ha a kiszolgáló nem támogatja az SMB-titkosítást, vagy nincs engedélyezve a funkció, az infrastruktúra-biztonsági mentési szolgáltatás visszaáll a titkosítatlan adatátvitelre. A külső tárolóhelyen elhelyezett biztonsági mentési adatok mindig inaktív állapotban vannak titkosítva, és nem függnek az SMB-titkosítástól.
Tárolóhely méretezése
Javasoljuk, hogy naponta legalább két alkalommal készítsen biztonsági másolatot, és legfeljebb hét napig őrizze meg a biztonsági mentéseket. Ez az alapértelmezett viselkedés, amikor engedélyezi az infrastruktúra biztonsági mentését az Azure Stack Hubon.
| Környezeti skálázás | A biztonsági mentés tervezett mérete | A szükséges terület teljes mennyisége |
|---|---|---|
| 4–16 csomópont | 20 GB | 280 GB |
| AZURE STACK FEJLESZTŐI KÉSZLET (ASDK) | 10 GB | 140 GB |
A hálózatra vonatkozó követelmények
| Tárolási hely | Részletek |
|---|---|
| A megbízható hálózati környezetben található tárolóeszközön üzemeltetett SMB-fájlmegosztás. | A 445-ös portra akkor van szükség, ha az Azure Stack Hub-példány tűzfallal rendelkező környezetben található. Az infrastruktúra biztonsági mentési vezérlője kapcsolatot kezdeményez az SMB-fájlkiszolgálóval a 445-ös porton keresztül. |
| A fájlkiszolgáló teljes tartománynevének használatához a névnek feloldhatónak kell lennie a PEP-ből. |
Tűzfalszabályok
Győződjön meg arról, hogy tűzfalszabályokat állít be az ERCS virtuális gépek és a külső tárolóhely közötti kapcsolat engedélyezéséhez.
| Forrás | Cél | Protokoll/port |
|---|---|---|
| ERCS VM 1 | Tárolási hely | 445/SMB |
| ERCS VM 2 | Tárolási hely | 445/SMB |
| ERCS VM 3 | Tárolási hely | 445/SMB |
Megjegyzés
Nincs szükség bejövő portok megnyitására.
Titkosítási követelmények
Az infrastruktúra biztonsági mentési szolgáltatása nyilvános kulccsal () rendelkező tanúsítványt fog használni. CER) a biztonsági mentési adatok és a tanúsítvány titkos kulccsal történő titkosításához (. PFX) a biztonsági mentési adatok visszafejtéséhez a felhőbeli helyreállítás során. A tanúsítványkulcs hosszának 2048 bájtnak kell lennie.
- A tanúsítvány kulcsok átvitelére szolgál, és nem a biztonságos hitelesített kommunikáció kialakítására szolgál. Ezért a tanúsítvány lehet önaláírt tanúsítvány. Az Azure Stack Hubnak nem kell ellenőriznie a tanúsítvány gyökerét vagy megbízhatóságát, így nincs szükség külső internet-hozzáférésre.
Az önaláírt tanúsítvány két részből áll: az egyik a nyilvános kulccsal, a másik pedig a titkos kulccsal:
- Biztonsági mentési adatok titkosítása: Tanúsítvány a nyilvános kulccsal (a fájlba exportálva). CER-fájl) a biztonsági mentési adatok titkosítására szolgál.
- Biztonsági mentési adatok visszafejtése: Tanúsítvány a titkos kulccsal (a fájlba exportálva). PFX-fájl) a biztonsági mentési adatok visszafejtésére szolgál.
A nyilvános kulccsal rendelkező tanúsítvány (. CER) nem belső titkos kulcs rotációja kezeli. A tanúsítvány elforgatásához létre kell hoznia egy új önaláírt tanúsítványt, és frissítenie kell a biztonsági mentési beállításokat az új fájllal (). CER).
- A meglévő biztonsági másolatok az előző nyilvános kulccsal titkosítva maradnak. Az új biztonsági másolatok az új nyilvános kulcsot használják.
A felhőalapú helyreállítás során használt tanúsítvány a titkos kulccsal (. A PFX) biztonsági okokból nem marad meg az Azure Stack Hubban. Ezt a fájlt explicit módon kell megadni a felhőbeli helyreállítás során.
Infrastructure Backup – korlátok
A Microsoft Azure Stack Hub-példányok tervezése, üzembe helyezése és üzemeltetésekor vegye figyelembe ezeket a korlátokat. Az alábbi táblázat ezeket a korlátokat ismerteti.
Infrastruktúra biztonsági mentésének korlátai
| Korlátazonosító | Korlát | Megjegyzések |
|---|---|---|
| Biztonsági mentés típusa | Csak teljes | Az infrastruktúra biztonsági mentési vezérlője csak a teljes biztonsági mentéseket támogatja. A növekményes biztonsági mentések nem támogatottak. |
| Ütemezett biztonsági mentések | Ütemezett és manuális | A biztonsági mentésvezérlő támogatja az ütemezett és igény szerinti biztonsági mentéseket. |
| Egyidejű biztonsági mentési feladatok maximális száma | 1 | A Biztonsági mentésvezérlő példányonként csak egy aktív biztonsági mentési feladat támogatott. |
| Hálózati kapcsoló konfigurálása | Nincs a hatókörben | Rendszergazda kell biztonsági másolatot készítenie a hálózati kapcsolók konfigurációjáról OEM-eszközökkel. Tekintse meg az egyes OEM-szállítók által biztosított Azure Stack Hub dokumentációját. |
| Hardveres életciklus-gazdagép | Nincs a hatókörben | Rendszergazda oem-eszközökkel kell biztonsági másolatot készítenie a hardver életciklus-gazdagépről. Tekintse meg az egyes OEM-szállítók által biztosított Azure Stack Hub dokumentációját. |
| Fájlmegosztások maximális száma | 1 | A biztonsági mentési adatok tárolására csak egy fájlmegosztás használható. |
| App Services biztonsági mentése, függvény, SQL, mysql-erőforrás-szolgáltató adatai | Nincs a hatókörben | Tekintse meg a Microsoft által létrehozott érték hozzáadása RP-k üzembe helyezéséhez és kezeléséhez közzétett útmutatót. |
| Külső erőforrás-szolgáltatók biztonsági mentése | Nincs a hatókörben | Tekintse meg a külső gyártók által létrehozott érték hozzáadása RP-k üzembe helyezéséhez és kezeléséhez közzétett útmutatót. |
Következő lépések
- Az infrastruktúra-biztonsági mentési szolgáltatással kapcsolatos további információkért lásd: Az Azure Stack Hub biztonsági mentése és az adatok helyreállítása az infrastruktúra-biztonsági mentési szolgáltatással.