Megosztás a következőn keresztül:


Az Azure-beli virtuális gépek biztonsági mentésének áttekintése

Ez a cikk azt ismerteti, hogyan készít biztonsági másolatot az Azure Backup szolgáltatás az Azure-beli virtuális gépekről.

Az Azure Backup független és elkülönített biztonsági másolatokat biztosít, ezzel védelmet nyújtva a virtuális gépeken lévő adatok nem szándékos megsemmisítésével szemben. A biztonsági másolatok egy helyreállítási tárban vannak tárolva, a helyreállítási pontok beépített kezelésével. A konfigurálás és a skálázás egyszerű, a biztonsági másolatok optimalizálva vannak, és szükség esetén egyszerűen helyreállíthatók.

A biztonsági mentési folyamat részeként pillanatkép készül, és az adatok átkerülnek a Recovery Services-tárolóba, és nincs hatással az éles számítási feladatokra. A pillanatkép különböző konzisztenciaszinteket biztosít az itt leírtak szerint. Választhat ügynökalapú alkalmazáskonzisztens/fájlkonzisztens biztonsági mentést vagy ügynök nélküli összeomlás-konzisztens biztonsági mentést a biztonsági mentési szabályzatban.

Az Azure Backup speciális ajánlatokkal rendelkezik az olyan adatbázis-számítási feladatokhoz, mint az SQL Server és az SAP HANA , amelyek számítási feladatokkal tisztában vannak, 15 perces RPO-t kínálnak (helyreállítási pont célkitűzése), és lehetővé teszik az egyes adatbázisok biztonsági mentését és visszaállítását.

Biztonsági mentési folyamat

Az Azure Backup a következő módon készíti el az Azure-beli virtuális gépek biztonsági másolatát:

  1. A biztonsági mentéshez kiválasztott Azure-beli virtuális gépek esetében az Azure Backup a megadott biztonsági mentési ütemezésnek megfelelően elindít egy biztonsági mentési feladatot.

  2. Ha alkalmazás- vagy fájlrendszerkonzisztens biztonsági mentést választott, a virtuális gépnek telepítve kell lennie egy biztonsági mentési bővítménynek a pillanatkép-folyamat koordinálásához.

    Ha az összeomláskonzisztens biztonsági mentéseket választotta, a virtuális gépeken nincs szükség ügynökökre.

  3. Az első biztonsági mentés során egy biztonsági mentési bővítmény lesz telepítve a virtuális gépen, ha a virtuális gép fut.

  4. Futó Windows rendszerű virtuális gépek esetén az Azure Backup a Windows Kötet árnyékmásolata szolgáltatással (VSS) együttműködve készít alkalmazáskonzisztens pillanatképet a virtuális gépről.

    • Alapértelmezés szerint a biztonsági mentés teljes VSS-biztonsági mentést készít.
    • Ha a biztonsági mentés nem tud alkalmazáskonzisztens pillanatképet készíteni, akkor fájlkonzisztens pillanatképet készít az alapul szolgáló tárolóról (mivel a virtuális gép leállítása során nem történik alkalmazásírás).
  5. Linux rendszerű virtuális gépek esetén a biztonsági mentés fájlkonzisztens biztonsági mentést igényel. Az alkalmazáskonzisztens pillanatképekhez manuálisan kell testre szabnia a pre/post szkripteket.

  6. Windows rendszerű virtuális gépek esetén a Microsoft Visual C++ 2013 terjeszthető (x64) 12.0.40660-os verziója telepítve van, a kötet árnyékmásolata szolgáltatás (VSS) indítása automatikusra módosul, és megjelenik egy Windows Service IaaSVmProvider.

  7. Miután a biztonsági mentés lekérte a pillanatképet, átviszi az adatokat a tárolóba.

    • A biztonsági mentés úgy van optimalizálva, hogy párhuzamosan készít biztonsági másolatot az egyes virtuálisgép-lemezekről.
    • Az Azure Backup minden mentett lemez esetében kiolvassa a lemezen lévő blokkokat, majd azonosítja az utolsó biztonsági mentés óta módosult adatblokkokat (a deltát), és csak azokat másolja át.
    • A pillanatképek adatai nem mindig vannak azonnal a helyreállítási tárba másolva. Csúcsidőben néhány órát is igénybe vehet. Egy virtuális gép biztonsági mentésének időtartama a napi biztonsági mentési szabályzatok esetében 24 óránál kevesebb.

A diagram az Azure Virtual Machine biztonsági mentési architektúráját mutatja be.

Azure-beli virtuális gépek biztonsági mentéseinek titkosítása

Amikor Azure-beli virtuális gépekről készít biztonsági másolatot az Azure Backup használatával, a virtuális gépek inaktív állapotban tárolószolgáltatás-titkosítással (SSE) lesznek titkosítva. Az Azure Backup az Azure Disk Encryption használatával titkosított Azure-beli virtuális gépekről is készíthet biztonsági másolatot.

Titkosítás Részletek Támogatás
SSE Az SSE-vel az Azure Storage az adatok tárolása előtt automatikusan titkosítja az inaktív adatokat. Az Azure Storage az adatok visszafejtése előtt is visszafejti azokat. Az Azure Backup két tárolási szolgáltatástitkosítási típussal támogatja a virtuális gépek biztonsági mentését:
  • Platform által felügyelt kulcsokkal rendelkező SSE: Ez a titkosítás alapértelmezés szerint a virtuális gépek összes lemezén történik. További információt itt talál.
  • SSE ügyfél által felügyelt kulcsokkal. A CMK-val kezelheti a lemezek titkosításához használt kulcsokat. További információt itt talál.
  • Az Azure Backup SSE-t használ az Azure-beli virtuális gépek inaktív titkosításához.
    Azure Disk Encryption Az Azure Disk Encryption az Azure-beli virtuális gépek operációs rendszerét és adatlemezeit is titkosítja.

    Az Azure Disk Encryption a BitLocker titkosítási kulcsaival (BEK-kkel) integrálható, amelyek titkos kulcsként vannak védve a kulcstartóban. Az Azure Disk Encryption az Azure Key Vault kulcstitkosítási kulcsaival (KEK-kkal) is integrálható.
    Az Azure Backup támogatja a csak BEK-ekkel titkosított felügyelt és nem felügyelt Azure-beli virtuális gépek biztonsági mentését, illetve a BEK-kkel és a KEK-kkal együtt.

    A BEK-k és a KEK-k biztonsági mentése és titkosítása is megtörténik.

    Mivel a KEK-k és a BEK-k biztonsági másolatban vannak, a szükséges engedélyekkel rendelkező felhasználók szükség esetén visszaállíthatják a kulcsokat és titkos kulcsokat a kulcstartóba. Ezek a felhasználók a titkosított virtuális gépet is helyreállíthatják.

    A titkosított kulcsokat és titkos kulcsokat nem tudják beolvasni jogosulatlan felhasználók vagy az Azure.

    Felügyelt és nem felügyelt Azure-beli virtuális gépek esetén a Backup támogatja a csak BEK-ekkel titkosított virtuális gépeket, illetve a BEK-ekkel és KEK-kkal titkosított virtuális gépeket.

    A biztonsági mentési BEK-k (titkos kulcsok) és a KEK-k (kulcsok) titkosítva vannak. Csak akkor olvashatók és használhatók, ha a jogosult felhasználók visszaállítják őket a kulcstartóba. Sem a jogosulatlan felhasználók, sem az Azure nem tudja olvasni vagy használni a biztonsági mentési kulcsokat vagy titkos kulcsokat.

    A BEK-kről is biztonsági másolatot készítünk. Így ha a BEK-k elvesznek, a jogosult felhasználók visszaállíthatják a BEK-ket a kulcstartóba, és helyreállíthatják a titkosított virtuális gépeket. Csak a szükséges szintű engedélyekkel rendelkező felhasználók készíthetnek biztonsági másolatot és állíthatnak vissza titkosított virtuális gépeket, kulcsokat és titkos kulcsokat.

    Pillanatkép létrehozása

    Az Azure Backup a biztonsági mentés ütemezésének megfelelően készít pillanatképeket.

    Ha alkalmazás- vagy fájlrendszerkonzisztens biztonsági mentést választott, a virtuális gépnek telepítve kell lennie egy biztonsági mentési bővítménynek a pillanatkép-folyamat koordinálásához. Az ügynök nélküli, többlemezes összeomlás-konzisztens biztonsági mentésekhez a virtuálisgép-ügynök nem szükséges a pillanatképekhez.

    • Windows rendszerű virtuális gépek: Windows rendszerű virtuális gépek esetén a Backup szolgáltatás koordinálja a VSS-t, hogy alkalmazáskonzisztens pillanatképet készítsen a virtuálisgép-lemezekről. Alapértelmezés szerint az Azure Backup teljes VSS-biztonsági mentést készít (a biztonsági mentéskor csonkolja az alkalmazás naplóit, például az SQL Servert, hogy alkalmazásszintű konzisztens biztonsági mentést kapjon). Ha SQL Server-adatbázist használ az Azure-beli virtuális gépek biztonsági mentésén, módosíthatja a beállítást a VSS Másolás biztonsági mentéséhez (a naplók megőrzése érdekében). További információkért tekintse meg ezt a cikket.

    • Linux rendszerű virtuális gépek: A Linux rendszerű virtuális gépek alkalmazáskonzisztens pillanatképeinek készítéséhez használja a Linux előszkript és a szkript utáni keretrendszert, hogy saját egyéni szkripteket írjon a konzisztencia biztosítása érdekében.

      • Az Azure Backup csak az Ön által írt pre/post szkripteket hívja meg.
      • Ha az előszkriptek és a szkriptek utáni szkriptek sikeresen futnak, az Azure Backup alkalmazáskonzisztensként jelöli meg a helyreállítási pontot. Egyéni szkriptek használata esetén azonban végső soron Ön a felelős az alkalmazáskonzisztenciáért.
      • További információ a szkriptek konfigurálásáról.

    Pillanatkép-konzisztencia

    Az alábbi táblázat a pillanatkép-konzisztencia különböző típusait ismerteti:

    Pillanatkép Részletek Helyreállítási Szempont
    Alkalmazáskonzisztens Ez a virtuális gép biztonsági mentési szabályzatának alapértelmezett beállítása. Az alkalmazáskonzisztens biztonsági mentések rögzítik a memóriatartalmakat és a függőben lévő I/O-műveleteket. Az alkalmazáskonzisztens pillanatképek VSS-íróval (vagy linuxos szkriptek előtti/utáni szkriptekkel) biztosítják az alkalmazásadatok konzisztenciáját a biztonsági mentés előtt. Amikor egy alkalmazáskonzisztens pillanatképet tartalmazó virtuális gépet állít helyre, a virtuális gép elindul. Nincs adatsérülés vagy adatvesztés. Az alkalmazások konzisztens állapotban indulnak. Windows: Minden VSS-író sikeres volt

    Linux: A pre/post szkriptek konfigurálva vannak és sikeresek
    Fájlrendszer-konzisztens Ez a virtuális gép biztonsági mentési szabályzatának alapértelmezett beállítása. A fájlrendszer konzisztens biztonsági másolatai konzisztenciát biztosítanak az összes fájl egyidejű pillanatképének készítésével.

    Amikor egy fájlrendszerkonzisztens pillanatképet tartalmazó virtuális gépet állít helyre, a virtuális gép elindul. Nincs adatsérülés vagy adatvesztés. Az alkalmazásoknak saját "fix-up" mechanizmust kell implementálniuk, hogy a visszaállított adatok konzisztensek legyenek. Windows: Egyes VSS-írók sikertelenek

    Linux: Alapértelmezett (ha a pre/post szkriptek nincsenek konfigurálva vagy sikertelenek)
    Összeomlás-konzisztens Az összeomláskonzisztens pillanatkép a virtuális gép biztonsági mentési szabályzatának egy bejelentkezési beállítása. Az Azure Backup összeomláskonzisztens biztonsági mentéseket is készít, ha a virtuális gép nem fut a biztonsági mentés során, és ha az alkalmazás-/fájlkonzisztens biztonsági mentések sikertelenek.

    A rendszer csak a lemezen a biztonsági mentési művelet időpontjában már létező adatokat rögzíti és biztonsági másolatot készít; az olvasási/írási gazdagép gyorsítótárában lévő adatok nincsenek rögzítve.
    A virtuális gép rendszerindítási folyamatával kezdődik, amelyet a lemezellenőrzés követ a sérülési hibák kijavítása érdekében. Minden olyan memóriabeli adat- vagy írási művelet, amelyet az összeomlás előtt nem továbbítottak a lemezre. Az alkalmazások saját adatellenőrzést hajtanak végre. Egy adatbázis-alkalmazás például a tranzakciónaplóját használhatja ellenőrzésre. Ha a tranzakciónapló olyan bejegyzéseket tartalmaz, amelyek nem szerepelnek az adatbázisban, az adatbázis szoftvere az adatok konzisztensségéig visszaállítja a tranzakciókat. Ha az alkalmazás/fájlrendszer biztonsági mentése mellett döntött, és a virtuális gép le van állítva (leállítva/ felszabadítva) állapotban van, és amikor a pillanatkép újrapróbálkozik.

    Az ügynök nélküli összeomlási konzisztens biztonsági mentéseket választotta

    Feljegyzés

    Ha a kiépítési állapot sikeres, az Azure Backup fájlrendszer-konzisztens biztonsági mentéseket készít. Ha a kiépítési állapot nem érhető el vagy sikertelen, a rendszer összeomlás-konzisztens biztonsági mentéseket készít. Ha a kiépítési állapot létrejön vagy töröl, az azt jelenti, hogy az Azure Backup újrapróbálkozza a műveleteket.

    Biztonsági mentéssel és visszaállítással kapcsolatos megfontolandó szempontok

    Szempont Részletek
    Disk A virtuálisgép-lemezek biztonsági mentése párhuzamos. Ha például egy virtuális gép négy lemezzel rendelkezik, a Backup szolgáltatás egyszerre kísérli meg mind a négy lemez biztonsági mentését. A biztonsági mentés növekményes (csak módosított adatok).
    Ütemezés A biztonsági mentési adatforgalom csökkentése érdekében eltérő napszakokban készítsen biztonsági másolatot a különböző virtuális gépekről, és az időszakok ne legyenek egymással átfedésben. A virtuális gépek egyidejű biztonsági mentése az adatformalom elakadását okozza.
    Biztonsági másolatok előkészítése Ne feledje, hogy időre van szükség a biztonsági mentés előkészítéséhez. Az előkészítési idő magában foglalhatja a biztonsági mentési bővítmény telepítését vagy frissítését, valamint egy pillanatkép aktiválását a biztonsági mentés ütemezésének megfelelően.
    Adatátvitel Gondolja végig, hogy mennyi időre van szüksége az Azure Backupnak az előző biztonsági mentés növekményes változásainak azonosításához.

    A növekményes biztonsági mentések során az Azure Backup a blokk ellenőrzőösszegének kiszámításával határozza meg a módosításokat. Ha egy blokk módosul, a rendszer megjelöli a tárolóba való átvitelhez. A szolgáltatás elemzi az azonosított blokkokat, hogy tovább csökkenthesse az átvitelre váró adatok mennyiségét. Az összes módosított blokk kiértékelése után az Azure Backup átviszi a módosításokat a tárolóba.

    A pillanatkép elkészítése és tárolóba való másolása között késés lehet. Csúcsidőben akár nyolc órát is igénybe vehet a pillanatképek tárolóba való átvitele. A virtuális gépek biztonsági mentésének időtartama a napi biztonsági mentés esetén 24 óránál kevesebb lesz.
    Kezdeti biztonsági mentés A növekményes biztonsági mentések teljes biztonsági mentési ideje kevesebb, mint 24 óra, ami nem feltétlenül igaz az első biztonsági mentésre. A kezdeti biztonsági mentéshez szükséges idő az adatok méretétől és a biztonsági mentés feldolgozásának időpontjától függ.
    Üzenetsor visszaállítása Az Azure Backup egyszerre több tárfiókból állítja vissza a feladatokat, és a visszaállítási kéréseket egy üzenetsorba helyezi.
    Másolat visszaállítása A visszaállítási folyamat során az adatok át lesznek másolva a tárolóból a tárfiókba.

    A teljes visszaállítási idő a másodpercenkénti I/O-műveletektől (IOPS) és a tárfiók átviteli sebességétől függ.

    A másolási idő csökkentése érdekében válasszon ki egy tárfiókot, amely nincs betöltve más alkalmazásírásokkal és -olvasásokkal.

    Feljegyzés

    Az Azure Backup mostantól lehetővé teszi az Azure-beli virtuális gépek napi többszöri biztonsági mentését a bővített szabályzat használatával. Ezzel a funkcióval megadhatja azt az időtartamot is, amelyben a biztonsági mentési feladatok aktiválódnak, és a biztonsági mentés ütemezését az Azure-beli virtuális gépek gyakori frissítései esetén a munkaidőhöz igazíthatja. További információ.

    A biztonsági mentés teljesítménye

    Ezek a gyakori forgatókönyvek hatással lehetnek a teljes biztonsági mentési időre:

    • Új lemez hozzáadása védett Azure-beli virtuális géphez: Ha egy virtuális gép növekményes biztonsági mentésen megy keresztül, és új lemezt ad hozzá, a biztonsági mentés ideje megnő. Az új lemez kezdeti replikációja és a meglévő lemezek egyidejű változásreplikációja miatt a biztonsági mentés teljes időtartama hosszabb lehet 24 óránál.
    • Töredezett lemezek: A biztonsági mentési műveletek gyorsabbak, ha a lemezmódosítások egybefüggőek. Ha a módosítások szét vannak osztva és töredezettek egy lemezen, a biztonsági mentés lassabb lesz.
    • Lemezváltozás: Ha a növekményes biztonsági mentésen átesett védett lemezek napi forgalma meghaladja a 200 GB-ot, a biztonsági mentés végrehajtása hosszú időt (több mint nyolc órát) vehet igénybe.
    • Biztonsági mentési verziók: A biztonsági mentés legújabb verziója (más néven azonnali visszaállítási verzió) optimalizáltabb folyamatot használ, mint az ellenőrzőösszegek összehasonlítása a módosítások azonosításához. Ha azonban azonnali visszaállítást használ, és törölt egy biztonsági mentési pillanatképet, a biztonsági mentés ellenőrzőösszeg-összehasonlításra vált. Ebben az esetben a biztonsági mentési művelet meghaladja a 24 órát (vagy sikertelen).

    Teljesítmény visszaállítása

    Ezek a gyakori forgatókönyvek hatással lehetnek a teljes visszaállítási időre:

    • A teljes visszaállítási idő a másodpercenkénti bemeneti/kimeneti műveletektől (IOPS) és a tárfiók átviteli sebességétől függ.
    • A teljes visszaállítási idő akkor lehet hatással, ha a céltárfiók más alkalmazás olvasási és írási műveletekkel van betöltve. A visszaállítási művelet javítása érdekében válasszon ki egy tárfiókot, amely nincs betöltve más alkalmazásadatokkal.

    Ajánlott eljárások

    Ha virtuális gépek biztonsági mentését konfigurálja, javasoljuk, hogy kövesse a következő eljárásokat:

    • Módosítsa a szabályzatban beállított alapértelmezett ütemezési időpontokat. Ha például a szabályzatban az alapértelmezett időpont 00:00, növelje az időzítést néhány perccel, hogy az erőforrás-használat optimális legyen.
    • Ha virtuális gépeket állít vissza egyetlen tárolóból, javasoljuk, hogy használjon különböző általános célú v2-tárfiókokat annak érdekében, hogy a céltárfiók ne legyen szabályozva. Például minden virtuális gépnek más tárfiókot kell tartalmaznia. Ha például 10 virtuális gépet állít vissza, használjon 10 különböző tárfiókot.
    • A prémium szintű tárterületet és azonnali visszaállítást használó virtuális gépek biztonsági mentéséhez javasoljuk, hogy a teljes lefoglalt tárterület 50%-os szabad területét foglalja ki, ami csak az első biztonsági mentéshez szükséges. Az 50%-os szabad terület nem követelmény a biztonsági mentésekhez az első biztonsági mentés befejezése után
    • A tárfiókonkénti lemezszám korlátozása attól függ, hogy milyen gyakorisággal használják a lemezeket az IaaS virtuális gépen futó alkalmazások. Általános gyakorlatként, ha 5–10 vagy több lemez található egyetlen tárfiókon, akkor a terhelést úgy egyenlítheti ki, hogy egyes lemezeket külön tárfiókokra helyez át.
    • Ha felügyelt lemezekkel rendelkező virtuális gépeket szeretne visszaállítani a PowerShell használatával, adja meg a TargetResourceGroupName paramétert annak az erőforráscsoportnak a megadásához, amelyhez a felügyelt lemezek vissza lesznek állítva. További információ:

    Biztonsági mentéssel kapcsolatos költségek

    Az Azure Backuppal biztonsági másolattal ellátott Azure-beli virtuális gépekre az Azure Backup díjszabása vonatkozik.

    A számlázás csak az első sikeres biztonsági mentés befejezéséig kezdődik. Ekkor megkezdődik a tárolás és a védett virtuális gépek számlázása. A számlázás addig folytatódik, amíg a virtuális gép biztonsági mentési adatai tárolóban vannak tárolva. Ha leállítja a virtuális gép védelmét, de a virtuális gép biztonsági mentési adatai egy tárolóban léteznek, a számlázás folytatódik.

    Egy megadott virtuális gép számlázása csak akkor áll le, ha a védelem leáll, és az összes biztonsági mentési adat törlődik. Ha a védelem leáll, és nincsenek aktív biztonsági mentési feladatok, az utolsó sikeres virtuálisgép-biztonsági mentés mérete a havi számla által használt védett példányméret lesz.

    Ha az ügynökalapú alkalmazáskonzisztens vagy fájlrendszer-konzisztens biztonsági mentéseket választotta, a védett példány méretének kiszámítása a virtuális gép tényleges méretén alapul. A virtuális gép mérete a virtuális gép összes adatának összege, az ideiglenes tárolás kivételével. A díjszabás az adatlemezeken tárolt tényleges adatokon alapul, nem pedig a virtuális géphez csatlakoztatott adatlemezek maximális támogatott méretén.

    Feljegyzés

    Az ügynök nélküli összeomlás-konzisztens biztonsági mentések esetében az előzetes verzióban virtuális gépenként 0,5 védett példány (PI) kerül felszámításra.

    Hasonlóképpen, a biztonsági mentési tárterület számlája az Azure Backupban tárolt adatok mennyiségén alapul, amely az egyes helyreállítási pontok tényleges adatainak összege.

    Vegyünk például egy A2 standard méretű virtuális gépet, amely két további, egyenként 32 TB méretű adatlemezzel rendelkezik. Az alábbi táblázat az egyes lemezeken tárolt tényleges adatokat mutatja be:

    Disk Maximális méret Tényleges adatok
    Operációsrendszer-lemez 32 TB 17 GB
    Helyi/ideiglenes lemez 135 GB 5 GB (a biztonsági mentés nem tartalmazza)
    Adatlemez 1 32 TB 30 GB
    Adatlemez 2 32 TB 0 GB

    Ebben az esetben a virtuális gép tényleges mérete 17 GB + 30 GB + 0 GB = 47 GB. Ez a védett példányméret (47 GB) lesz a havi számla alapja. A virtuális gépen lévő adatok mennyiségének növekedésével a számlázási változásokhoz használt védett példány mérete megegyezik.

    Következő lépések