Dela via


Referens för infrastruktursäkerhetskopieringstjänsten

Azure Backup-infrastruktur

Azure Stack Hub består av många tjänster som utgör portalen (Azure Resource Manager) och den övergripande upplevelsen för infrastrukturhantering. Den appliknande hanteringsupplevelsen i Azure Stack Hub fokuserar på att minska komplexiteten som exponeras för lösningens operatör.

Infrastructure Backup Service är utformad för att internalisera komplexiteten med att säkerhetskopiera och återställa data för infrastrukturtjänster, vilket säkerställer att operatörerna kan fokusera på att hantera lösningen och underhålla ett serviceavtal för användare.

Du måste exportera säkerhetskopierade data till en extern resurs för att undvika att säkerhetskopior lagras i samma system. Att kräva en extern resurs ger administratören flexibiliteten att avgöra var data ska lagras baserat på befintliga företags BC/DR-principer.

Infrastruktur Backup Service-komponenter

Infrastructure Backup Service innehåller följande komponenter:

  • Kontrollant för infrastruktursäkerhetskopiering
    Kontrollanten för säkerhetskopiering av infrastruktur instansieras med och finns i varje Azure Stack Hub-moln.
  • Provider för säkerhetskopieringsresurser
    Providern för säkerhetskopieringsresurser (Backup RP) består av användargränssnittet och API:er som exponerar grundläggande säkerhetskopieringsfunktioner för Azure Stack Hub-infrastrukturen.

Kontrollant för infrastruktursäkerhetskopiering

Kontrollanten för säkerhetskopiering av infrastruktur är en Service Fabric-tjänst som instansieras för ett Azure Stack Hub-moln. Säkerhetskopieringsresurser skapas på regional nivå och samlar in regionspecifika tjänstdata från AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault, RBAC.

Provider för säkerhetskopieringsresurser

Providern för säkerhetskopieringsresurser visar ett användargränssnitt i Azure Stack Hub-portalen för grundläggande konfiguration och lista över säkerhetskopieringsresurser. Operatorer kan utföra följande åtgärder i användargränssnittet:

  • Aktivera säkerhetskopiering för första gången genom att ange extern lagringsplats, autentiseringsuppgifter och krypteringsnyckel.
  • Visa slutförda säkerhetskopieringsresurser och statusresurser under skapandet.
  • Ändra lagringsplatsen där Backup Controller placerar säkerhetskopierade data.
  • Ändra de autentiseringsuppgifter som säkerhetskopieringskontrollanten använder för att få åtkomst till extern lagringsplats.
  • Ändra krypteringsnyckeln som säkerhetskopieringskontrollanten använder för att kryptera säkerhetskopior.

Krav för säkerhetskopieringskontrollant

I det här avsnittet beskrivs de viktiga kraven för infrastruktursäkerhetskopieringstjänsten. Vi rekommenderar att du granskar informationen noggrant innan du aktiverar säkerhetskopiering för din Azure Stack Hub-instans och sedan refererar tillbaka till den efter behov under distributionen och efterföljande åtgärder.

Kraven omfattar:

  • Programvarukrav – beskriver lagringsplatser som stöds och vägledning för storleksändring.
  • Nätverkskrav – beskriver nätverkskrav för olika lagringsplatser.

Programvarukrav

Lagringsplatser som stöds

Lagringsplats Information
SMB-filresursen finns på en lagringsenhet i den betrodda nätverksmiljön. SMB-resurs i samma datacenter där Azure Stack Hub distribueras eller i ett annat datacenter. Flera Azure Stack Hub-instanser kan använda samma filresurs.
SMB-filresurs på Azure. Stöds inte för närvarande.
Blob Storage på Azure. Stöds inte för närvarande.

SMB-versioner som stöds

SMB Version
SMB 3.x

SMB-kryptering

Infrastructure Backup Service stöder överföring av säkerhetskopierade data till en extern lagringsplats med SMB-kryptering aktiverat på serversidan. Om servern inte stöder SMB-kryptering eller inte har funktionen aktiverad återgår Infrastructure Backup Service till okrypterad dataöverföring. Säkerhetskopierade data som placeras på den externa lagringsplatsen krypteras alltid i vila och är inte beroende av SMB-kryptering.

Storlek på lagringsplats

Vi rekommenderar att du säkerhetskopierar senast två gånger om dagen och behåller högst sju dagars säkerhetskopior. Detta är standardbeteendet när du aktiverar säkerhetskopiering av infrastruktur på Azure Stack Hub.

Miljöskala Beräknad storlek på säkerhetskopiering Total mängd utrymme som krävs
4–16 noder 20 GB 280 GB
ASDK 10 GB 140 GB

Nätverkskrav

Lagringsplats Information
SMB-filresursen finns på en lagringsenhet i den betrodda nätverksmiljön. Port 445 krävs om Azure Stack Hub-instansen finns i en brandväggsmiljö. Infrastruktursäkerhetskopieringskontrollant initierar en anslutning till SMB-filservern via port 445.
Om du vill använda FQDN för filservern måste namnet kunna matchas från PEP.

Brandväggsregler

Se till att konfigurera brandväggsregler för att tillåta anslutning mellan virtuella ERCS-datorer till den externa lagringsplatsen.

Källa Mål Protokoll/port
ERCS VM 1 Lagringsplats 445/SMB
ERCS VM 2 Lagringsplats 445/SMB
ERCS VM 3 Lagringsplats 445/SMB

Anteckning

Inga inkommande portar behöver öppnas.

Krypteringskrav

Infrastruktursäkerhetskopieringstjänsten använder ett certifikat med en offentlig nyckel (. CER) för att kryptera säkerhetskopierade data och ett certifikat med den privata nyckeln (. PFX) för att dekryptera säkerhetskopierade data under molnåterställning. Certifikatnyckelns längd måste vara 2 048 byte.

  • Certifikatet används för transport av nycklar och används inte för att upprätta säker autentiserad kommunikation. Därför kan certifikatet vara ett självsignerat certifikat. Azure Stack Hub behöver inte verifiera rot- eller förtroende för det här certifikatet, så extern Internetåtkomst krävs inte.

Det självsignerade certifikatet finns i två delar, en med den offentliga nyckeln och en med den privata nyckeln:

  • Kryptera säkerhetskopierade data: Certifikat med den offentliga nyckeln (exporteras till . CER-fil) används för att kryptera säkerhetskopierade data.
  • Dekryptera säkerhetskopierade data: Certifikat med den privata nyckeln (exporteras till . PFX-fil) används för att dekryptera säkerhetskopierade data.

Certifikatet med den offentliga nyckeln (. CER) hanteras inte av intern hemlighetsrotation. Om du vill rotera certifikatet måste du skapa ett nytt självsignerat certifikat och uppdatera säkerhetskopieringsinställningarna med den nya filen (. CER).

  • Alla befintliga säkerhetskopior förblir krypterade med den tidigare offentliga nyckeln. Nya säkerhetskopior använder den nya offentliga nyckeln.

Certifikatet som används vid molnåterställning med den privata nyckeln (. PFX) sparas inte av Azure Stack Hub av säkerhetsskäl. Den här filen måste anges explicit under molnåterställning.

Infrastructure Backup-gränser

Tänk på dessa gränser när du planerar, distribuerar och använder dina Microsoft Azure Stack Hub-instanser. I följande tabell beskrivs dessa gränser.

Begränsningar för säkerhetskopiering av infrastruktur

Gräns för identifierare Gräns Kommentarer
Typ av säkerhetskopiering Endast fullständig Infrastruktursäkerhetskopieringsstyrenheten stöder endast fullständiga säkerhetskopieringar. Inkrementella säkerhetskopieringar stöds inte.
Schemalagda säkerhetskopieringar Schemalagt och manuellt Säkerhetskopieringskontrollanten stöder schemalagda säkerhetskopieringar och säkerhetskopieringar på begäran.
Maximalt antal samtidiga säkerhetskopieringsjobb 1 Endast ett aktivt säkerhetskopieringsjobb stöds per instans av säkerhetskopieringskontrollanten.
Konfiguration av nätverksväxel Inte i omfång Admin måste säkerhetskopiera nätverksväxlingskonfigurationen med OEM-verktyg. Se dokumentationen för Azure Stack Hub som tillhandahålls av varje OEM-leverantör.
Maskinvarulivscykelvärd Inte i omfång Admin måste säkerhetskopiera värden för maskinvarulivscykeln med oem-verktyg. Se dokumentationen för Azure Stack Hub som tillhandahålls av varje OEM-leverantör.
Maximalt antal filresurser 1 Endast en filresurs kan användas för att lagra säkerhetskopierade data.
Säkerhetskopiering av App Services, Funktion, SQL, mysql-resursproviderdata Inte i omfång Se vägledningen som publicerats för att distribuera och hantera RP:er för mervärde som skapats av Microsoft.
Säkerhetskopiera resursprovidrar från tredje part Inte i omfång Se vägledningen som publiceras för att distribuera och hantera RP:er för mervärde som skapats av tredjepartsleverantörer.

Nästa steg