Referência do Serviço de Cópia de Segurança da Infraestrutura
Infraestrutura de cópias de segurança do Azure
O Azure Stack Hub é composto por muitos serviços que compõem o portal (Azure Resource Manager) e a experiência geral de gestão da infraestrutura. A experiência de gestão semelhante à aplicação do Azure Stack Hub concentra-se em reduzir a complexidade exposta ao operador da solução.
O Serviço de Cópia de Segurança de Infraestrutura foi concebido para interiorizar a complexidade da cópia de segurança e restauro de dados para serviços de infraestrutura, garantindo que os operadores podem concentrar-se na gestão da solução e na manutenção de um SLA para os utilizadores.
É necessário exportar os dados de cópia de segurança para uma partilha externa para evitar armazenar cópias de segurança no mesmo sistema. Exigir uma partilha externa dá ao administrador a flexibilidade para determinar onde armazenar os dados com base nas políticas BC/DR da empresa existentes.
Componentes do Serviço de Cópia de Segurança de Infraestrutura
O Serviço de Cópia de Segurança da Infraestrutura inclui os seguintes componentes:
-
Controlador de Cópia de Segurança de Infraestrutura
O Controlador de Cópia de Segurança de Infraestrutura é instanciado e reside em todas as Cloud do Azure Stack Hub. -
Fornecedor de Recursos de Cópia de Segurança
O Fornecedor de Recursos de Cópia de Segurança (RP de Cópia de Segurança) é composto pela interface de utilizador e pelas APIs que expõem a funcionalidade de cópia de segurança básica para a infraestrutura do Azure Stack Hub.
Controlador de Cópia de Segurança de Infraestrutura
O Controlador de Cópia de Segurança de Infraestrutura é um serviço do Service Fabric que é instanciado para uma Cloud do Azure Stack Hub. Os recursos de cópia de segurança são criados a nível regional e capturam dados de serviço específicos da região do AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault, RBAC.
Fornecedor de Recursos de Cópia de Segurança
O Fornecedor de Recursos de Cópia de Segurança apresenta uma interface de utilizador no portal do Azure Stack Hub para configuração básica e listagem de recursos de cópia de segurança. Os operadores podem realizar as seguintes ações na interface de utilizador:
- Ative a cópia de segurança pela primeira vez ao fornecer localização de armazenamento externo, credenciais e chave de encriptação.
- Veja os recursos de cópia de segurança criados concluídos e os recursos de estado na criação.
- Modifique a localização de armazenamento onde o Controlador de Cópia de Segurança coloca os dados de cópia de segurança.
- Modifique as credenciais que o Controlador de Cópia de Segurança utiliza para aceder à localização de armazenamento externo.
- Modifique a chave de encriptação que o Controlador de Cópia de Segurança utiliza para encriptar cópias de segurança.
Requisitos do Controlador de Cópia de Segurança
Esta secção descreve os requisitos importantes do Serviço de Cópia de Segurança da Infraestrutura. Recomendamos que reveja cuidadosamente as informações antes de ativar a cópia de segurança para a instância do Azure Stack Hub e, em seguida, reveja-as conforme necessário durante a implementação e operação subsequente.
Os requisitos incluem:
- Requisitos de software – descreve as localizações de armazenamento suportadas e a documentação de orientação de dimensionamento.
- Requisitos de rede – descreve os requisitos de rede para diferentes localizações de armazenamento.
Requisitos de software
Localizações de armazenamento suportadas
Localização do armazenamento | Detalhes |
---|---|
Partilha de ficheiros SMB alojada num dispositivo de armazenamento no ambiente de rede fidedigno. | A partilha SMB no mesmo datacenter onde o Azure Stack Hub é implementado ou num datacenter diferente. Várias instâncias do Azure Stack Hub podem utilizar a mesma partilha de ficheiros. |
Partilha de ficheiros SMB no Azure. | Não suportado atualmente. |
Armazenamento de blobs no Azure. | Não suportado atualmente. |
Versões SMB suportadas
SMB | Versão |
---|---|
SMB | 3.x |
Encriptação SMB
O Serviço de Cópia de Segurança de Infraestrutura suporta a transferência de dados de cópia de segurança para uma localização de armazenamento externo com a encriptação SMB ativada no lado do servidor. Se o servidor não suportar a Encriptação SMB ou não tiver a funcionalidade ativada, o Serviço de Cópia de Segurança da Infraestrutura reverterá para a transferência de dados não encriptada. Os dados de cópia de segurança colocados na localização de armazenamento externo são sempre encriptados inativos e não dependem da encriptação SMB.
Dimensionamento da localização de armazenamento
Recomendamos que faça uma cópia de segurança duas vezes por dia e mantenha, no máximo, sete dias de cópias de segurança. Este é o comportamento predefinido quando ativa cópias de segurança de infraestrutura no Azure Stack Hub.
Dimensionamento do Ambiente | Tamanho previsto da cópia de segurança | Quantidade total de espaço necessário |
---|---|---|
4 a 16 nós | 20 GB | 280 GB |
ASDK | 10 GB | 140 GB |
Requisitos da rede
Localização do armazenamento | Detalhes |
---|---|
Partilha de ficheiros SMB alojada num dispositivo de armazenamento no ambiente de rede fidedigno. | A porta 445 é necessária se a instância do Azure Stack Hub residir num ambiente com firewall. O Controlador de Cópia de Segurança de Infraestrutura iniciará uma ligação ao servidor de ficheiros SMB através da porta 445. |
Para utilizar o FQDN do servidor de ficheiros, o nome tem de ser resolvível a partir do PEP. |
Regras da firewall
Confirme que configura regras de firewall para permitir a conectividade entre VMs ERCS à localização de armazenamento externo.
Fonte | Destino | Protocolo/Porta |
---|---|---|
VM ERCS 1 | Localização do armazenamento | 445/SMB |
VM ERCS 2 | Localização do armazenamento | 445/SMB |
ERCS VM 3 | Localização do armazenamento | 445/SMB |
Nota
Não é necessário abrir portas de entrada.
Requisitos de Encriptação
O Serviço de Cópia de Segurança da Infraestrutura utilizará um certificado com uma chave pública (. CER) para encriptar dados de cópia de segurança e um certificado com a chave privada (. PFX) para desencriptar dados de cópia de segurança durante a recuperação na cloud. O comprimento da chave do certificado tem de ser de 2048 bytes.
- O certificado é utilizado para o transporte de chaves e não é utilizado para estabelecer uma comunicação autenticada segura. Por este motivo, o certificado pode ser um certificado autoassinado. O Azure Stack Hub não precisa de verificar a raiz ou a confiança deste certificado para que o acesso à Internet externo não seja necessário.
O certificado autoassinado vem em duas partes, uma com a chave pública e outra com a chave privada:
- Encriptar dados de cópia de segurança: certificado com a chave pública (exportada para . O ficheiro CER) é utilizado para encriptar dados de cópia de segurança.
- Desencriptar dados de cópia de segurança: certificado com a chave privada (exportado para . O ficheiro PFX) é utilizado para desencriptar dados de cópia de segurança.
O certificado com a chave pública (. CER) não é gerido pela rotação de segredos internos. Para rodar o certificado, tem de criar um novo certificado autoassinado e atualizar as definições de cópia de segurança com o novo ficheiro (. CER).
- Todas as cópias de segurança existentes permanecem encriptadas com a chave pública anterior. As novas cópias de segurança utilizam a nova chave pública.
O certificado utilizado durante a recuperação da cloud com a chave privada (. O PFX não é persistido pelo Azure Stack Hub por razões de segurança. Este ficheiro terá de ser fornecido explicitamente durante a recuperação na cloud.
Limites do Infrastructure Backup
Considere estes limites à medida que planeia, implementa e opera as instâncias do Microsoft Azure Stack Hub. A tabela seguinte descreve estes limites.
Limites da Cópia de Segurança da Infraestrutura
Identificador de limite | Limite | Comentários |
---|---|---|
Tipo de cópia de segurança | Apenas completo | O Controlador de Cópia de Segurança de Infraestrutura só suporta cópias de segurança completas. As cópias de segurança incrementais não são suportadas. |
Cópias de segurança agendadas | Agendado e manual | O controlador de cópia de segurança suporta cópias de segurança agendadas e a pedido. |
Máximo de tarefas de cópia de segurança simultâneas | 1 | Só é suportada uma tarefa de cópia de segurança ativa por instância do Controlador de Cópia de Segurança. |
Configuração do comutador de rede | Não está no âmbito | Administração tem de fazer uma cópia de segurança da configuração do comutador de rede com as ferramentas OEM. Veja a documentação do Azure Stack Hub fornecida por cada fornecedor do OEM. |
Anfitrião do Ciclo de Vida do Hardware | Não está no âmbito | Administração tem de fazer uma cópia de segurança do Anfitrião do Ciclo de Vida do Hardware com ferramentas OEM. Veja a documentação do Azure Stack Hub fornecida por cada fornecedor do OEM. |
Número máximo de partilhas de ficheiros | 1 | Apenas uma partilha de ficheiros pode ser utilizada para armazenar dados de cópia de segurança. |
Backup App Services, Function, SQL, mysql resource provider data | Não está no âmbito | Veja a documentação de orientação publicada para implementar e gerir RPs de valor acrescentado criados pela Microsoft. |
Criar cópias de segurança de fornecedores de recursos de terceiros | Não está no âmbito | Veja a documentação de orientação publicada para implementar e gerir RPs de valor acrescentado criados por fornecedores de terceiros. |
Passos seguintes
- Para saber mais sobre o Serviço de Cópia de Segurança da Infraestrutura, veja Cópia de segurança e recuperação de dados do Azure Stack Hub com o Serviço de Cópia de Segurança da Infraestrutura.