Felügyelt Azure-lemezek biztonsági mentése az Azure PowerShell használatával
Ez a cikk azt ismerteti, hogyan készíthet biztonsági másolatot az Azure Managed Diskről az Azure PowerShell használatával.
Ebből a cikkből megtudhatja, hogyan:
Backup-tároló létrehozása
Biztonsági mentési szabályzat létrehozása
Azure Disk biztonsági mentésének konfigurálása
Igény szerinti biztonsági mentési feladat futtatása
Az Azure Disk biztonsági mentési régiójának rendelkezésre állásával, a támogatott forgatókönyvekkel és korlátozásokkal kapcsolatos információkért tekintse meg a támogatási mátrixot.
Backup-tároló létrehozása
A Backup-tároló egy olyan tároló entitás az Azure-ban, amely biztonsági mentési adatokat tárol az Azure Backup által támogatott újabb számítási feladatokhoz, például az Azure Database for PostgreSQL-kiszolgálókhoz és az Azure Diskshez. A biztonsági mentési tárolók megkönnyítik a biztonsági mentési adatok rendszerezését, miközben minimálisra csökkentik a felügyeleti többletterhelést. A biztonsági mentési tárolók az Azure Azure Resource Manager-modelljén alapulnak, amely továbbfejlesztett képességeket biztosít a biztonsági mentési adatok védelméhez.
A biztonsági mentési tároló létrehozása előtt válassza ki a tárolón belüli adatok tárolási redundanciáját. Ezután hozza létre a biztonsági mentési tárolót ezzel a tárolóredundanciával és a helyével. Ebben a cikkben létrehozunk egy "TestBkpVault" biztonsági mentési tárolót a "westus" régióban a "testBkpVaultRG" erőforráscsoport alatt. A New-AzDataProtectionBackupVault paranccsal hozzon létre egy biztonsági mentési tárolót. További információ a Backup-tárolók létrehozásáról.
$storageSetting = New-AzDataProtectionBackupVaultStorageSettingObject -Type LocallyRedundant/GeoRedundant -DataStoreType VaultStore
New-AzDataProtectionBackupVault -ResourceGroupName testBkpVaultRG -VaultName TestBkpVault -Location westus -StorageSetting $storageSetting
$TestBkpVault = Get-AzDataProtectionBackupVault -VaultName TestBkpVault
$TestBKPVault | fl
ETag :
Id : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/testBkpVaultRG/providers/Microsoft.DataProtection/backupVaults/TestBkpVault
Identity : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppIdentityDetails
IdentityPrincipalId :
IdentityTenantId :
IdentityType :
Location : westus
Name : TestBkpVault
ProvisioningState : Succeeded
StorageSetting : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.StorageSetting}
SystemData : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SystemData
Tag : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.DppTrackedResourceTags
Type : Microsoft.DataProtection/backupVaults
A tároló létrehozása után hozzunk létre egy biztonsági mentési szabályzatot az Azure-lemezek védelméhez.
Biztonsági mentési szabályzat létrehozása
Az Azure-lemez biztonsági mentésére vonatkozó biztonsági mentési szabályzat belső összetevőinek megismeréséhez kérje le a szabályzatsablont a Get-AzDataProtectionPolicyTemplate paranccsal. Ez a parancs egy alapértelmezett szabályzatsablont ad vissza egy adott adatforrástípushoz. Ezzel a szabályzatsablonnal új szabályzatot hozhat létre.
$policyDefn = Get-AzDataProtectionPolicyTemplate -DatasourceType AzureDisk
$policyDefn | fl
DatasourceType : {Microsoft.Compute/disks}
ObjectType : BackupPolicy
PolicyRule : {BackupHourly, Default}
$policyDefn.PolicyRule | fl
BackupParameter : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType : DataStoreInfoBase
DataStoreType : OperationalStore
Name : BackupHourly
ObjectType : AzureBackupRule
Trigger : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType : ScheduleBasedTriggerContext
IsDefault : True
Lifecycle : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name : Default
ObjectType : AzureRetentionRule
A szabályzatsablon egy eseményindítóból (amely dönti el, hogy mi aktiválja a biztonsági mentést) és egy életciklusból (amely dönti el, hogy mikor kell törölni/másolni/áthelyezni a biztonsági mentést). Az Azure-beli lemez biztonsági mentésében az eseményindító alapértelmezett értéke egy ütemezett óránkénti eseményindító 4 óránként (PT4H), és az egyes biztonsági másolatok 7 napig történő megőrzése.
$policyDefn.PolicyRule[0].Trigger | fl
ObjectType : ScheduleBasedTriggerContext
ScheduleRepeatingTimeInterval : {R/2020-04-05T13:00:00+00:00/PT4H}
TaggingCriterion : {Default}
$policyDefn.PolicyRule[1].Lifecycle | fl
DeleteAfterDuration : P7D
DeleteAfterObjectType : AbsoluteDeleteOption
SourceDataStoreObjectType : DataStoreInfoBase
SourceDataStoreType : OperationalStore
TargetDataStoreCopySetting :
Az Azure Disk Backup naponta több biztonsági mentést is kínál. Ha gyakoribb biztonsági mentésre van szüksége, válassza az óránkénti biztonsági mentés gyakoriságát, amely lehetővé teszi, hogy 4, 6, 8 vagy 12 óránként készítsen biztonsági mentéseket. A biztonsági mentések ütemezése a kiválasztott időintervallum alapján történik. Ha például 4 óránként választja ki a biztonsági mentéseket, akkor a biztonsági másolatok körülbelül 4 óránként lesznek készítve, így a biztonsági másolatok egyenlően oszlanak el a nap folyamán. Ha napi egyszeri biztonsági mentés elegendő, válassza a napi biztonsági mentés gyakoriságát. A napi biztonsági mentés gyakoriságában megadhatja a biztonsági mentések készítésének napját. Fontos megjegyezni, hogy a nap időpontja a biztonsági mentés kezdési idejét jelzi, és nem azt az időpontot, amikor a biztonsági mentés befejeződik. A biztonsági mentési művelet végrehajtásához szükséges idő különböző tényezőktől függ, például a lemez méretétől és az egymást követő biztonsági mentések közötti adatváltozási sebességtől. Az Azure Disk biztonsági mentése azonban olyan ügynök nélküli biztonsági mentés, amely növekményes pillanatképeket használ, ami nem befolyásolja az éles alkalmazás teljesítményét.
Feljegyzés
- Bár a kiválasztott tároló rendelkezhet a globális redundancia beállításával, az Azure Disk Backup jelenleg csak a pillanatkép-adattárat támogatja. Az összes biztonsági mentés az előfizetés egy erőforráscsoportjában van tárolva, és nem lesz átmásolva a backup vault tárolóba.
- Standard HDD, Standard SSD és Prémium SSD termékváltozatokhoz tartozó Azure-lemezek esetén a biztonsági mentés ütemezését óránkénti gyakorisággal (1, 2, 4, 6, 8 vagy 12 óra) és napi gyakorisággal határozhatja meg.
- Prémium V2- és Ultra Disk SKU-khoz tartozó Azure Disk-lemezek esetén a biztonsági mentés ütemezését csak 12 órás gyakorisággal és napi gyakorisággal határozhatja meg.
A szabályzat létrehozásával kapcsolatos további információkért tekintse meg az Azure Disk Backup szabályzatdokumentumát .
Ha szerkeszteni szeretné az óránkénti gyakoriságot vagy a megőrzési időtartamot, használja az Edit-AzDataProtectionPolicyTriggerClientObject és/vagy az Edit-AzDataProtectionPolicyRetentionRuleClientObject parancsokat. Ha a szabályzatobjektum rendelkezik az összes kívánt értékkel, hozzon létre egy új szabályzatot a szabályzatobjektumból a New-AzDataProtectionBackupPolicy használatával.
New-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name diskBkpPolicy -Policy $policyDefn
Name Type
---- ----
diskBkpPolicy Microsoft.DataProtection/backupVaults/backupPolicies
$diskBkpPol = Get-AzDataProtectionBackupPolicy -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "diskBkpPolicy"
Biztonsági mentés konfigurálása
A tároló és a szabályzat létrehozása után 3 kritikus pontot kell figyelembe vennie a felhasználónak az Azure-lemezek védelméhez.
Érintett főbb entitások
Védendő lemez
Kérje le a védendő lemez ARM-azonosítóját. Ez lesz a lemez azonosítója. Egy "PSTestDisk" nevű lemezre fogunk példát használni egy másik előfizetés "diskrg" erőforráscsoportja alatt.
$DiskId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourcegroups/diskrg/providers/Microsoft.Compute/disks/PSTestDisk"
Pillanatkép-erőforráscsoport
A lemez pillanatképei az előfizetésben lévő erőforráscsoportban vannak tárolva. Útmutatóként javasoljuk, hogy hozzon létre egy dedikált erőforráscsoportot pillanatkép-adattárként, amelyet az Azure Backup szolgáltatás használ. A dedikált erőforráscsoport lehetővé teszi a hozzáférési engedélyek korlátozását az erőforráscsoporton, biztosítva a biztonsági mentési adatok biztonságát és könnyű kezelését. Jegyezze fel annak az erőforráscsoportnak az ARM-azonosítóját, amelyben a lemez pillanatképeit el szeretné helyezni
$snapshotrg = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx/resourceGroups/snapshotrg"
Biztonsági mentési tár
A Biztonsági mentési tárolókhoz engedélyre van szükség a lemezen és a pillanatkép-erőforráscsoporton ahhoz, hogy pillanatképeket aktiválhassanak és felügyelhessék az életciklusukat. Az ilyen engedélyek hozzárendeléséhez a tároló rendszer által hozzárendelt felügyelt identitása használható. Az Update-AzRecoveryServicesVault paranccsal engedélyezheti a rendszer által hozzárendelt felügyelt identitást a helyreállítási tárhoz.
Engedélyek hozzárendelése
A felhasználónak az RBAC-n keresztül néhány engedélyt kell hozzárendelnie a tárolóhoz (amelyet a tároló MSI-jének jelöl), valamint a megfelelő lemeznek és/vagy a lemez RG-jének. Ezek a portálon vagy a PowerShellen keresztül is elvégezhetők.
A Backup-tároló felügyelt identitással fér hozzá más Azure-erőforrásokhoz. A felügyelt lemezek biztonsági mentésének konfigurálásához a Backup-tároló felügyelt identitásához engedélykészletre van szükség a forráslemezeken és erőforráscsoportokon, ahol pillanatképek jönnek létre és kezelhetők.
A rendszer által hozzárendelt felügyelt identitások erőforrásonként csak egyre korlátozódnak, és ennek az erőforrásnak az életciklusához vannak kötve. Engedélyeket adhat a felügyelt identitáshoz az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával. A felügyelt identitás egy speciális típusú szolgáltatásnév, amelyet csak Azure-erőforrásokhoz lehet használni. További információ a felügyelt identitásokról.
A felügyelt lemezek biztonsági mentésének konfigurálásához győződjön meg a következő előfeltételekről:
Rendelje hozzá a Lemez biztonsági mentési olvasó szerepkört a Biztonsági mentési tároló felügyelt identitásához a forráslemezen, amelyről biztonsági másolatot kell készíteni.
Lépjen arra a lemezre, amelyről biztonsági másolatot kell készíteni.
Nyissa meg a Hozzáférés-vezérlést (IAM), és válassza a Szerepkör-hozzárendelések hozzáadása lehetőséget.
A jobb oldali panelen válassza a Lemez biztonsági mentése olvasó lehetőséget a Szerepkör legördülő listában.
Válassza ki a Biztonsági mentési tároló felügyelt identitását, és kattintson a Mentés gombra.
Tipp.
Írja be a Backup-tároló nevét a tároló felügyelt identitásának kiválasztásához.
Rendelje hozzá a Lemez pillanatkép-közreműködő szerepkört a Backup-tároló felügyelt identitásához az erőforráscsoporton, ahol a biztonsági másolatokat az Azure Backup szolgáltatás hozza létre és felügyeli. A lemez pillanatképei az előfizetés egy erőforráscsoportjában vannak tárolva. Ahhoz, hogy az Azure Backup szolgáltatás pillanatképeket hozzon létre, tárolhasson és kezelhesse, engedélyeket kell adnia a biztonsági mentési tárolóhoz.
Lépjen az erőforráscsoportra. Az erőforráscsoport például a SnapshotRG, amely ugyanabban az előfizetésben található, mint a biztonsági másolatot készíteni kívánt lemez.
Nyissa meg a Hozzáférés-vezérlést (IAM), és válassza a Szerepkör-hozzárendelések hozzáadása lehetőséget.
A jobb oldali panelen válassza a Lemez pillanatkép-közreműködője lehetőséget a Szerepkör legördülő listában.
Válassza ki a Biztonsági mentési tároló felügyelt identitását, és kattintson a Mentés gombra.
Tipp.
Írja be a biztonsági mentési tároló nevét a tároló felügyelt identitásának kiválasztásához.
Ellenőrizze, hogy a biztonsági mentési tároló felügyelt identitása rendelkezik-e a megfelelő szerepkör-hozzárendelésekkel a pillanatkép-adattárként szolgáló forráslemezen és erőforráscsoporton.
Nyissa meg a Backup-tároló identitását>, és válassza ki az Azure-szerepkör-hozzárendeléseket.
Ellenőrizze, hogy a szerepkör, az erőforrás neve és az erőforrás típusa helyes-e.
Feljegyzés
Bár a szerepkör-hozzárendelések helyesen jelennek meg a portálon, körülbelül 15–30 percet is igénybe vehet, amíg a biztonsági mentési tároló felügyelt identitására érvényes lesz az engedély.
A kérés előkészítése
Az összes vonatkozó engedély beállítása után a biztonsági mentés konfigurálása 2 lépésben történik. Először a vonatkozó kérést az Initialize-AzDataProtectionBackupInstance paranccsal készítjük elő a megfelelő tároló, szabályzat, lemez és pillanatkép erőforráscsoport használatával. Ezután elküldjük a lemez védelmére vonatkozó kérést a New-AzDataProtectionBackupInstance paranccsal.
$instance = Initialize-AzDataProtectionBackupInstance -DatasourceType AzureDisk -DatasourceLocation $TestBkpvault.Location -PolicyId $diskBkpPol[0].Id -DatasourceId $DiskId
$instance.Property.PolicyInfo.PolicyParameter.DataStoreParametersList[0].ResourceGroupId = $snapshotrg
New-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupInstance $instance
Name Type BackupInstanceName
---- ---- ------------------
diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166 Microsoft.DataProtection/backupVaults/backupInstances diskrg-PSTestDisk-3df6ac08-9496-4839-8fb5-8b78e594f166
Igény szerinti biztonsági mentések futtatása
Szerezze be a megfelelő biztonsági mentési példányt, amelyen a felhasználó biztonsági mentést kíván indítani a Get-AzDataProtectionBackupInstance használatával
$instance = Get-AzDataProtectionBackupInstance -SubscriptionId "xxxx-xxx-xxx" -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -Name "BackupInstanceName"
A biztonsági mentés indításakor megadhatja a megőrzési szabályt. A házirend megőrzési szabályainak megtekintéséhez navigáljon a megőrzési szabályokhoz tartozó szabályzatobjektumon. Az alábbi példában az "alapértelmezett" nevű szabály jelenik meg, és ezt a szabályt fogjuk használni az igény szerinti biztonsági mentéshez
$policyDefn.PolicyRule | fl
BackupParameter : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.AzureBackupParams
BackupParameterObjectType : AzureBackupParams
DataStoreObjectType : DataStoreInfoBase
DataStoreType : OperationalStore
Name : BackupHourly
ObjectType : AzureBackupRule
Trigger : Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.ScheduleBasedTriggerContext
TriggerObjectType : ScheduleBasedTriggerContext
IsDefault : True
Lifecycle : {Microsoft.Azure.PowerShell.Cmdlets.DataProtection.Models.Api20210201Preview.SourceLifeCycle}
Name : Default
ObjectType : AzureRetentionRule
Igény szerinti biztonsági mentés aktiválása a Backup-AzDataProtectionBackupInstanceAdhoc paranccsal.
$AllInstances = Get-AzDataProtectionBackupInstance -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name
Backup-AzDataProtectionBackupInstanceAdhoc -BackupInstanceName $AllInstances[0].Name -ResourceGroupName "testBkpVaultRG" -VaultName $TestBkpVault.Name -BackupRuleOptionRuleName "Default"
Feladatok nyomon követése
Az összes feladat nyomon követése a Get-AzDataProtectionJob paranccsal. Listázhatja az összes feladatot, és lekérhet egy adott feladatrészletet.
Az Az.ResourceGraph használatával az összes feladat nyomon követhető az összes biztonsági mentési tárolóban. A Search-AzDataProtectionJobInAzGraph paranccsal lekérheti a megfelelő feladatot, amely bármely biztonsági mentési tárolóban lehet.
$job = Search-AzDataProtectionJobInAzGraph -Subscription $sub -ResourceGroupName "testBkpVaultRG" -Vault $TestBkpVault.Name -DatasourceType AzureDisk -Operation OnDemandBackup