Progettare e implementare una strategia di backup per Desktop virtuale Azure
Questa unità descrive come il servizio Backup di Azure esegue il backup di macchine virtuali di Azure.
Backup di Azure offre backup indipendenti e isolati per la protezione dalla distruzione accidentale dei dati nelle macchine virtuali. I backup vengono archiviati in un insieme di credenziali di Servizi di ripristino con gestione incorporata dei punti di ripristino. La configurazione e il ridimensionamento sono semplici, i backup sono ottimizzati ed è possibile eseguire facilmente il ripristino in base alle esigenze.
Come parte del processo di backup, viene creato uno snapshot e i dati vengono trasferiti all'insieme di credenziali di Servizi di ripristino senza alcun impatto sui carichi di lavoro di produzione. Lo snapshot offre diversi livelli di coerenza. È possibile scegliere un backup coerente con le applicazioni/coerente con i file o un backup senza agente coerente con l'arresto anomalo nel criterio di backup.
Processo di backup
Di seguito è illustrato come Backup di Azure completa un backup per le macchine virtuali di Azure:
Per le macchine virtuali di Azure selezionate per il backup, Backup di Azure avvia un processo di backup in base alla pianificazione di backup specificata.
Se si è scelto di eseguire backup coerenti con l'applicazione o il file system, la macchina virtuale deve disporre di un'estensione di backup installata per coordinare il processo di snapshot. Se si è scelto di eseguire backup coerenti con l'arresto anomalo, non sono necessari agenti nelle macchine virtuali.
Durante il primo backup, un'estensione di backup viene installata nella macchina virtuale se quest'ultima è in esecuzione.
Per le macchine virtuali Windows in esecuzione, Backup di Azure in coordinamento con il Servizio Copia Shadow del volume di Windows (VSS) per acquisire uno snapshot coerente con le app delle macchine virtuali.
- Per impostazione predefinita, Backup esegue backup VSS completi.
- Se non riesce a creare uno snapshot coerente con l'app, Backup usa uno snapshot coerente con i file dell'archiviazione sottostante (poiché non viene eseguita alcuna operazione di scrittura delle applicazioni durante l'arresto della macchina virtuale).
Per le macchine virtuali Linux, Backup crea un backup coerente con i file. Per gli snapshot coerenti con l'app è necessario personalizzare manualmente i pre-/post-script.
Per le macchine virtuali Windows, viene installato Microsoft Visual C++ 2013 Redistributable (x64) versione 12.0.40660, l'avvio del Servizio Copia Shadow del volume viene modificato ad automatico e viene aggiunto un IaaSVmProvider del servizio Windows.
Dopo l'acquisizione dello snapshot, Backup trasferisce i dati all'insieme di credenziali.
- Il backup viene ottimizzato eseguendo il backup di ogni disco della macchina virtuale in parallelo.
- Per ogni disco di cui viene eseguito il backup, Backup di Azure legge i blocchi sul disco e identifica e trasferisce solo i blocchi di dati modificati (il delta) rispetto al backup precedente.
- È possibile che i dati dello snapshot non vengano copiati immediatamente nell'insieme di credenziali. Questa operazione potrebbe richiedere alcune ore nei momenti di picco. Il tempo totale di backup per una macchina virtuale sarà inferiore a 24 ore per i criteri di backup giornalieri.
Crittografia dei backup delle macchine virtuali di Azure
Quando si esegue il backup di macchine virtuali di Azure con Backup di Azure, viene eseguita la crittografia dei dati inattivi delle macchine virtuali con la crittografia del servizio di archiviazione. Backup di Azure può anche eseguire il backup di macchine virtuali di Azure crittografate usando Crittografia dischi di Azure.
| Crittografia | Dettagli | Supporto |
|---|---|---|
| Crittografia del servizio di archiviazione | Con la SEE, Archiviazione di Azure fornisce la crittografia dei dati inattivi crittografando automaticamente i dati prima di archiviarli. Inoltre, Archiviazione di Azure decrittografa i dati prima di recuperarli. Backup di Azure supporta i backup di macchine virtuali con due tipi di crittografia del servizio di archiviazione: SSE con chiavi gestite dalla piattaforma: Questa crittografia è l'impostazione predefinita per tutti i dischi nelle macchine virtuali. SSE con chiavi gestite dal cliente. Con la chiave gestita dal cliente si gestiscono le chiavi usate per crittografare i dischi. | Backup di Azure usa la SSE per la crittografia dei dati inattivi delle macchine virtuali di Azure. |
| Azure Disk Encryption | Crittografia dischi di Azure crittografa sia il sistema operativo che i dischi dati per le macchine virtuali di Azure. Crittografia dischi di Azure si integra con le chiavi BEK (BitLocker Encryption Key), protette in un insieme di credenziali delle chiavi come segreti. Crittografia dischi di Azure si integra anche con le chiavi di crittografia delle chiavi di Azure Key Vault. |
Backup di Azure supporta il backup di macchine virtuali di Azure gestite e non gestite crittografate solo con BEK, o con BEK insieme a KEK. Sia le BEK che le KEK vengono sottoposte a backup e crittografate. Poiché viene eseguito il backup di KEK e BEK, gli utenti con le autorizzazioni necessarie possono ripristinare chiavi e segreti nell'insieme di credenziali delle chiavi quando necessario. Questi utenti possono anche recuperare la macchina virtuale crittografata. Le chiavi e i segreti crittografati non possono essere letti da utenti non autorizzati o da Azure. |
Per macchine virtuali di Azure gestite e non gestite, Backup supporta sia le macchine virtuali crittografate solo con BEK che le macchine virtuali crittografate con BEK insieme a KEK.
Le BEK (segreti) e le KEK (chiavi) di cui è stato eseguito il backup vengono crittografate. Possono essere lette e usate solo quando vengono riportate all'insieme di credenziali delle chiavi da utenti autorizzati. Né utenti non autorizzati, né Azure, possono leggere o usare chiavi o segreti di cui è stato eseguito il backup.
Anche le BEK vengono sottoposti a backup. Pertanto, se le BEK vanno perse, gli utenti autorizzati possono riportare le BEK all'insieme di credenziali delle chiavi e ripristinare le macchine virtuali crittografate. Solo gli utenti con il livello di autorizzazioni necessario possono eseguire il backup e il ripristino di macchine virtuali crittografate o chiavi e segreti.
Creazione di snapshot
Backup di Azure crea snapshot in base alla pianificazione del backup.
Se si è scelto di eseguire backup coerenti con le applicazioni o con i sistemi-file, la macchina virtuale deve avere un'estensione di backup installata per coordinare il processo di snapshot.
Macchine virtuali Windows: per le macchine virtuali Windows, il servizio Backup si coordina con il Servizio Copia Shadow del volume per ottenere uno snapshot dei dischi delle macchine virtuali coerente con l'app. Per impostazione predefinita, Backup di Azure esegue un backup completo del servizio Copia Shadow del volume (tronca i log dell'applicazione come SQL Server al momento del backup per ottenere un backup coerente a livello di applicazione). Se si sta usando un database di SQL Server nel backup di macchine virtuali di Azure, è possibile modificare l'impostazione in modo da eseguire un backup di Servizio Copia Shadow del volume di copia (per conservare i log).