Uma visão geral do backup de VM do Azure

  • Artigo

Este artigo descreve como o serviço de Backup do Azure faz backup de máquinas virtuais (VMs) do Azure.

O Azure Backup fornece cópias de segurança independentes e isoladas para que estas protejam os dados nas suas VMs contra a destruição acidental. As cópias de segurança são armazenadas num cofre dos Serviços de Recuperação com gestão de pontos de recuperação incorporada. A configuração e o dimensionamento são simples, as cópias de segurança são otimizadas e pode restaurar facilmente, conforme necessário.

Como parte do processo de backup, um instantâneo é tirado e os dados são transferidos para o cofre dos Serviços de Recuperação sem impacto nas cargas de trabalho de produção. O instantâneo fornece diferentes níveis de consistência, conforme descrito aqui. Você pode optar por um backup consistente com aplicativo/arquivo baseado em agente ou um backup sem agente consistente com falhas na política de backup.

O Backup do Azure também tem ofertas especializadas para cargas de trabalho de banco de dados, como SQL Server e SAP HANA , que reconhecem a carga de trabalho, oferecem RPO (Recovery Point Objetive, objetivo de ponto de recuperação) de 15 minutos e permitem backup e restauração de bancos de dados individuais.

Processo de cópia de segurança

Eis como o Azure Backup conclui uma cópia de segurança para as VMs do Azure:

  1. Para VMs do Azure selecionadas para backup, o Backup do Azure inicia um trabalho de backup de acordo com o agendamento de backup especificado.

  2. Se você optou por backups consistentes de aplicativo ou sistema de arquivos, a VM precisa ter uma extensão de backup instalada para coordenar o processo de snapshot.

    Se você optou por backups consistentes com falhas, nenhum agente será necessário nas VMs.

  3. Durante o primeiro backup, uma extensão de backup é instalada na VM se a VM estiver em execução.

    • Para VMs do Windows, a extensão VMSnapshot está instalada.
    • Para VMs Linux, a extensão VMSnapshotLinux está instalada.

  4. Para VMs do Windows em execução, o Backup do Azure coordena com o VSS (Serviço de Cópias de Sombra de Volume) do Windows para tirar um instantâneo consistente com o aplicativo da VM.

    • Por padrão, o Backup faz backups VSS completos.
    • Se o Backup não puder tirar um instantâneo consistente com o aplicativo, ele tirará um instantâneo consistente com o arquivo do armazenamento subjacente (porque nenhuma gravação de aplicativo ocorre enquanto a VM é interrompida).

  5. Para VMs Linux, o Backup faz um backup consistente com arquivos. Para instantâneos consistentes com aplicativos, você precisa personalizar manualmente scripts pré/pós.

  6. Para VMs do Windows, o Microsoft Visual C++ 2013 Redistributable (x64) versão 12.0.40660 está instalado, a inicialização do VSS (Serviço de Cópias de Sombra de Volume) é alterada para automática e um IaaSVmProvider de Serviço do Windows é adicionado.

  7. Depois que o backup tira o instantâneo, ele transfere os dados para o cofre.

    • A cópia de segurança é otimizada ao criar a cópia de segurança de cada disco da VM em paralelo.
    • Para cada disco cuja cópia de segurança está a ser criada, o Azure Backup lê os blocos no disco e identifica e transfere apenas os blocos de dados que mudaram (os delta) desde a primeira cópia de segurança.
    • Os dados do instantâneo podem não ser copiados para o cofre imediatamente. Pode levar algumas horas nos horários de pico. O tempo total de backup de uma VM será inferior a 24 horas para políticas de cópias de segurança diárias.

Diagram shows the Azure Virtual Machine backup architecture.

Criptografia de backups de VM do Azure

Quando você faz backup de VMs do Azure com o Backup do Azure, as VMs são criptografadas em repouso com a Criptografia do Serviço de Armazenamento (SSE). O Backup do Azure também pode fazer backup de VMs do Azure que são criptografadas usando a Criptografia de Disco do Azure.

Encriptação Detalhes Suporte
SSE Com o SSE, o Armazenamento do Azure fornece criptografia em repouso criptografando automaticamente os dados antes de armazená-los. O Armazenamento do Azure também descriptografa dados antes de recuperá-los. O Backup do Azure dá suporte a backups de VMs com dois tipos de Criptografia de Serviço de Armazenamento:
  • SSE com chaves gerenciadas por plataforma: essa criptografia é por padrão para todos os discos em suas VMs. Veja mais aqui.
  • SSE com chaves gerenciadas pelo cliente. Com a CMK, você gerencia as chaves usadas para criptografar os discos. Veja mais aqui.
    		•  O Backup do Azure usa SSE para criptografia em repouso de VMs do Azure.
    Azure Disk Encryption O Azure Disk Encryption criptografa o sistema operacional e os discos de dados para VMs do Azure.

    O Azure Disk Encryption integra-se com chaves de encriptação BitLocker (BEKs), que são salvaguardadas num cofre de chaves como segredos. O Azure Disk Encryption também se integra às chaves de criptografia de chave (KEKs) do Azure Key Vault.    		 O Backup do Azure dá suporte ao backup de VMs do Azure gerenciadas e não gerenciadas criptografadas apenas com BEKs ou com BEKs junto com KEKs.

    Ambos os BEKs e KEKs são copiados e criptografados.

    Como é feito backup de KEKs e BEKs, os usuários com as permissões necessárias podem restaurar chaves e segredos de volta para o cofre de chaves, se necessário. Esses usuários também podem recuperar a VM criptografada.

    Chaves criptografadas e segredos não podem ser lidos por usuários não autorizados ou pelo Azure.

    Para VMs do Azure gerenciadas e não gerenciadas, o Backup dá suporte a VMs criptografadas apenas com BEKs ou VMs criptografadas com BEKs junto com KEKs.

    Os BEKs (segredos) e KEKs (chaves) de backup são criptografados. Eles podem ser lidos e usados somente quando são restaurados de volta ao cofre de chaves por usuários autorizados. Nem usuários não autorizados, nem o Azure, podem ler ou usar chaves ou segredos de backup.

    BEKs também são copiados. Assim, se os BEKs forem perdidos, os usuários autorizados podem restaurar os BEKs para o cofre de chaves e recuperar as VMs criptografadas. Somente usuários com o nível necessário de permissões podem fazer backup e restaurar VMs criptografadas ou chaves e segredos.

    Criação de instantâneos

    O Backup do Azure tira instantâneos de acordo com a agenda de backup.

    Se você optou por backups consistentes com aplicativos ou sistemas de arquivos, a VM precisa ter uma extensão de backup instalada para coordenar o processo de snapshot. Para backups consistentes com falhas de vários discos sem agente, o agente de VM não é necessário para instantâneos.

    • VMs do Windows: para VMs do Windows, o serviço de Backup coordena com o VSS para obter um instantâneo consistente com o aplicativo dos discos da VM. Por padrão, o Backup do Azure usa um backup VSS completo (ele trunca os logs do aplicativo, como o SQL Server, no momento do backup para obter backup consistente no nível do aplicativo). Se você estiver usando um banco de dados do SQL Server no backup de VM do Azure, poderá modificar a configuração para fazer um backup de Cópia VSS (para preservar logs). Para mais informações, consulte este artigo.

    • VMs Linux: Para tirar instantâneos consistentes com aplicativos de VMs Linux, use a estrutura pré-script e post-script do Linux para escrever seus próprios scripts personalizados para garantir a consistência.

      • O Backup do Azure invoca apenas os scripts pré/pós escritos por você.
      • Se os pré-scripts e pós-scripts forem executados com êxito, o Backup do Azure marcará o ponto de recuperação como consistente com o aplicativo. No entanto, quando você está usando scripts personalizados, você é responsável pela consistência do aplicativo.
      • Saiba mais sobre como configurar scripts.

    Consistência do snapshot

    A tabela a seguir explica os diferentes tipos de consistência de instantâneo:

    Instantâneo Detalhes Recuperação Consideração
    Consistente com o aplicativo Essa é a configuração padrão na política de backup da VM. Os backups consistentes com aplicativos capturam conteúdo de memória e operações de E/S pendentes. Os snapshots consistentes com aplicativos usam um gravador VSS (ou scripts pré/pós para Linux) para garantir a consistência dos dados do aplicativo antes que ocorra um backup. Quando você está recuperando uma VM com um instantâneo consistente com o aplicativo, a VM é inicializada. Não há corrupção ou perda de dados. Os aplicativos começam em um estado consistente. Windows: Todos os gravadores VSS foram bem-sucedidos

    Linux: Os scripts pré/pós são configurados e bem-sucedidos
    Sistema de arquivos consistente Essa é a configuração padrão na política de backup da VM. Os backups consistentes do sistema de arquivos fornecem consistência ao tirar um instantâneo de todos os arquivos ao mesmo tempo.

    		 Quando você está recuperando uma VM com um instantâneo consistente do sistema de arquivos, a VM é inicializada. Não há corrupção ou perda de dados. Os aplicativos precisam implementar seu próprio mecanismo de "correção" para garantir que os dados restaurados sejam consistentes. Windows: Alguns gravadores VSS falharam

    Linux: Padrão (se os scripts pré/pós não estiverem configurados ou falharem)
    Consistente com falhas O instantâneo consistente com falhas é uma configuração de aceitação na política de backup da VM. O Backup do Azure também usa backups consistentes com falhas se a VM não estiver em execução durante o backup e quando os backups consistentes com aplicativos/arquivos falharem.

    Somente os dados que já existem no disco no momento da operação de backup são capturados e copiados; Os dados no cache do host de leitura/gravação não são capturados.    		 Começa com o processo de inicialização da VM seguido por uma verificação de disco para corrigir erros de corrupção. Todos os dados na memória ou operações de gravação que não foram transferidos para o disco antes da falha são perdidos. As aplicações implementam a sua própria verificação de dados. Por exemplo, um aplicativo de banco de dados pode usar seu log de transações para verificação. Se o log de transações tiver entradas que não estão no banco de dados, o software do banco de dados reverterá as transações até que os dados sejam consistentes. Quando você optou pelo backup do aplicativo/sistema de arquivos e a VM está no estado de desligamento (parado/deslocalizado) e quando o snapshot é repetido.

    Você optou por backups consistentes com falhas sem agente

    Nota

    Se o estado de provisionamento for bem-sucedido, o Backup do Azure fará backups consistentes com o sistema de arquivos. Se o estado de provisionamento não estiver disponível ou falhar, backups consistentes com falhas serão feitos. Se o estado de provisionamento estiver criando ou excluindo, isso significa que o Backup do Azure está tentando novamente as operações.

    Considerações sobre a cópia de segurança e o restauro

    Consideração Detalhes
    Disk O backup de discos de VM é paralelo. Por exemplo, se uma VM tiver quatro discos, o serviço de backup tentará fazer backup de todos os quatro discos em paralelo. O backup é incremental (apenas dados alterados).
    A agendar para reduzir o tráfego de cópia de segurança, faça a cópia de segurança de VMs diferentes em horas diferentes do dia e confirme que as horas não se sobrepõem. Fazer cópias de segurança das VMs ao mesmo tempo provoca congestão do tráfego.
    Preparando backups tenha em conta o tempo necessário para preparar a cópia de segurança. O tempo de preparação pode incluir a instalação ou atualização da extensão de backup e o acionamento de um instantâneo de acordo com o agendamento de backup.
    Transferência de dados considere o tempo necessário para o Azure Backup identificar as alterações incrementais em relação à cópia de segurança anterior.

    Numa cópia de segurança incremental, o Azure Backup determina as alterações ao calcular a soma de verificação do bloco. Se um bloco for alterado, será assinalado para transferência para o cofre. O serviço analisa os blocos identificados para tentar minimizar ainda mais a quantidade de dados a transferir. Após a conclusão da avaliação de todos os blocos alterados, o Backup do Azure transfere as alterações para o cofre.

    Pode existir um atraso entre o momento da captura do instantâneo e a sua cópia para o cofre. Em períodos de pico, a transferência das fotografias para o cofre pode demorar até 8 horas. O tempo de cópia de segurança de uma VM será inferior a 24 horas se for uma cópia de segurança diária.
    Backup inicial O tempo total de backup para backups incrementais é inferior a 24 horas, o que pode não ser o caso do primeiro backup. O tempo necessário para a cópia de segurança inicial dependerá do tamanho dos dados e de quando a cópia de segurança é processada.
    Fila de restauração O Backup do Azure processa trabalhos de restauração de várias contas de armazenamento ao mesmo tempo e coloca solicitações de restauração em uma fila.
    Restaurar cópia Durante o processo de restauração, os dados são copiados do cofre para a conta de armazenamento.

    O tempo total de restauração depende das IOPS (operações de E/S por segundo) e da taxa de transferência da conta de armazenamento.

    Para reduzir o tempo de cópia, selecione uma conta de armazenamento que não esteja carregada com outras gravações e leituras de aplicativos.

    Nota

    O Backup do Azure agora permite que você faça backup de suas VMs do Azure várias vezes ao dia usando a política Avançada. Com esse recurso, você também pode definir a duração na qual seus trabalhos de backup seriam acionados e alinhar sua agenda de backup com as horas de trabalho quando houver atualizações frequentes para as Máquinas Virtuais do Azure. Mais informações.

    Desempenho da cópia de segurança

    Esses cenários comuns podem afetar o tempo total de backup:

    • Adicionar um novo disco a uma VM do Azure protegida: se uma VM estiver passando por backup incremental e um novo disco for adicionado, o tempo de backup aumentará. O tempo total da cópia de segurança pode demorar mais de 24 horas devido à replicação inicial do novo disco, juntamente com a replicação delta dos discos existentes.
    • Discos fragmentados: as operações de backup são mais rápidas quando as alterações de disco são contíguas. Se as alterações estiverem espalhadas e fragmentadas em um disco, o backup será mais lento.
    • Variação de disco: se os discos protegidos que estão passando por backup incremental tiverem uma rotatividade diária de mais de 200 GB, o backup pode levar muito tempo (mais de oito horas) para ser concluído.
    • Versões de backup: a versão mais recente do Backup (conhecida como versão de restauração instantânea) usa um processo mais otimizado do que a comparação de soma de verificação para identificar alterações. Mas se você estiver usando a Restauração Instantânea e tiver excluído um instantâneo de backup, o backup mudará para a comparação de soma de verificação. Neste caso, a operação de cópia de segurança excederá 24 horas (ou falhará).

    Restaurar o desempenho

    Estes cenários comuns podem afetar o tempo total de restauração:

    • O tempo total de restauração depende das IOPS (operações de entrada/saída por segundo) e da taxa de transferência da conta de armazenamento.
    • O tempo total de restauração pode ser afetado se a conta de armazenamento de destino for carregada com outras operações de leitura e gravação do aplicativo. Para melhorar a operação de restauração, selecione uma conta de armazenamento que não esteja carregada com outros dados do aplicativo.

    Melhores práticas

    Quando está a configurar cópias de segurança da VM, sugerimos que siga estas práticas:

    • Modifique as horas de agendamento predefinidas que são definidas numa política. Por exemplo, se a hora predefinida na política for 12:00, aumente o tempo em vários minutos para que os recursos sejam utilizados de forma ideal.
    • Se você estiver restaurando VMs de um único cofre, é altamente recomendável usar diferentes contas de armazenamento v2 de uso geral para garantir que a conta de armazenamento de destino não seja limitada. Por exemplo, cada VM deve ter uma conta de armazenamento diferente. Por exemplo, se 10 VMs forem restauradas, use 10 contas de armazenamento diferentes.
    • Para backup de VMs que estão usando armazenamento premium com a Restauração Instantânea, recomendamos alocar 50% de espaço livre do espaço de armazenamento total alocado, que é necessário apenas para o primeiro backup. Os 50% de espaço livre não são um requisito para backups após a conclusão do primeiro backup
    • O limite ao número de discos por conta de armazenamento é relativo à frequência de acesso aos discos pelas aplicações que estão a ser executadas numa VM IaaS (infraestrutura como serviço). Como prática geral, se 5 a 10 discos ou mais estiverem presentes numa única conta de armazenamento, equilibre a carga ao mover alguns discos, de modo a separar as contas de armazenamento.
    • Para restaurar VMs com discos gerenciados usando o PowerShell, forneça o parâmetro adicional TargetResourceGroupName para especificar o grupo de recursos para o qual os discos gerenciados serão restaurados, Saiba mais aqui.

    Custos de backup

    As VMs do Azure com backup do Backup do Azure estão sujeitas aos preços do Backup do Azure.

    O faturamento não é iniciado até que o primeiro backup bem-sucedido seja concluído. Neste ponto, a cobrança do armazenamento e das VMs protegidas começa. A cobrança continua desde que todos os dados de backup da VM sejam armazenados em um cofre. Se você interromper a proteção para uma VM, mas os dados de backup para a VM existirem em um cofre, a cobrança continuará.

    A cobrança de uma VM especificada será interrompida somente se a proteção for interrompida e todos os dados de backup forem excluídos. Quando a proteção é interrompida e não há trabalhos de backup ativos, o tamanho do último backup bem-sucedido da VM se torna o tamanho da instância protegida usada para a fatura mensal.

    Se você optou por backups consistentes com aplicativos baseados em agente ou com sistema de arquivos, o cálculo do tamanho da instância protegida será baseado no tamanho real da VM. O tamanho da VM é a soma de todos os dados na VM, excluindo o armazenamento temporário. O preço é baseado nos dados reais armazenados nos discos de dados, não no tamanho máximo suportado para cada disco de dados conectado à VM.

    Nota

    Para backups consistentes com falhas sem agente, você é cobrado por 0,5 instância protegida (PI) por VM durante a visualização.

    Da mesma forma, a fatura de armazenamento de backup é baseada na quantidade de dados armazenados no Backup do Azure, que é a soma dos dados reais em cada ponto de recuperação.

    Por exemplo, pegue uma VM de tamanho padrão A2 que tenha dois discos de dados adicionais com um tamanho máximo de 32 TB cada. A tabela a seguir mostra os dados reais armazenados em cada um desses discos:

    Disk Tamanho máximo Dados reais presentes
    Disco do SO 32 TB 17 GB
    Disco local/temporário 135 GB 5 GB (não incluído para backup)
    Disco de dados 1 32 TB 30 GB
    Disco de dados 2 32 TB 0 GB

    O tamanho real da VM, neste caso, é 17 GB + 30 GB + 0 GB = 47 GB. Esse tamanho de instância protegida (47 GB) torna-se a base para a fatura mensal. À medida que a quantidade de dados na VM aumenta, o tamanho da instância protegida usado para faturamento muda para corresponder.

    Próximos passos