基础结构备份服务最佳做法 - Ruggedized
适用范围:Modular Data Center、Azure Stack Hub Ruggedized
定期查看最佳做法以验证当对操作流进行了更改时你的安装是否仍然符合最佳做法。 如果实现这些最佳做法时遇到任何问题,请联系 Microsoft 支持部门来寻求帮助。
配置最佳实践
基础结构备份在新系统部署期间默认启用并存储在内部。 使用 Azure Stack 门户或 PowerShell,你可以提供一个外部存储位置,以将备份导出到一个辅助位置。
网络
路径的通用命名约定 (UNC) 字符串必须使用完全限定的域名 (FQDN)。 如果无法进行名称解析,可以使用 IP 地址。 UNC 字符串指定资源(例如共享文件或设备)的位置。
Encryption
加密证书用来对导出到外部存储的备份数据进行加密。 证书可以是自签名证书,因为证书仅用于传输密钥。 若要详细了解如何创建证书,请参阅 New-SelfSignedCertificate 的文档。
证书必须存储在安全位置。 采用 CER 格式的证书仅用于加密数据,不用于建立通信。
操作最佳实践
备份
备份作业在系统正在运行时执行,因此,管理体验和用户应用程序不会出现停机。 对于负载合理的解决方案,备份作业预计要花费 20-40 分钟。
为手动备份网络交换机和硬件生命周期主机 (HLH) 提供了额外的说明。
文件夹名称
基础结构会自动创建 MASBACKUP 文件夹。 这是由 Microsoft 管理的一个共享。 你可以在与 MASBACKUP 相同的级别创建共享。 建议不要在 Azure Stack 未创建的 MASBACKUP 内创建文件夹或存储数据。
文件夹名称中的用户 FQDN 和区域区分不同云中的备份数据。 Azure Stack 部署和终结点的 FQDN 是区域参数和外部域名参数的组合。 有关详细信息,请参阅 Azure Stack 数据中心集成 - DNS。
例如,备份共享是 fileserver01.contoso.com 上托管的 AzSBackups。 在该文件共享中,每个 Azure Stack 部署可能有一个使用外部域名的文件夹和一个使用区域名称的子文件夹。
- FQDN:contoso.com
- 区域:nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup
MASBackup
文件夹是 Azure Stack 存储其备份数据的地方。 不要使用此文件夹来存储你自己的数据。 OEM 也不应使用此文件夹来存储任何备份数据。
建议 OEM 将其组件的备份数据存储在区域文件夹下。 可以将每台网络交换机、硬件生命周期主机 (HLH) 等存储在其自己的子文件夹中。 例如:
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration
监视
系统支持以下警报:
警报 | 说明 | 补救 |
---|---|---|
备份由于文件共享中的容量不足而失败。 | 文件共享中的容量不足,并且备份控制器无法将备份文件导出到此位置。 | 增加更多存储容量并重试备份。 删除现有的备份(从最旧的备份开始)以释放空间。 |
备份由于连接问题而失败。 | Azure Stack 与文件共享之间的网络出现了问题。 | 解决网络问题,然后重试备份。 |
备份由于路径中的错误而失败。 | 无法解析文件共享路径。 | 从另一台计算机映射共享,以确保共享可供访问。 如果路径不再有效,可能需要更新路径。 |
备份由于身份验证问题而失败。 | 可能存在影响身份验证的凭据问题或网络问题。 | 从另一台计算机映射共享,以确保共享可供访问。 如果凭据不再有效,可能需要更新凭据。 |
备份由于一般错误而失败。 | 请求失败可能是由间歇性问题导致的。 重试备份。 | 致电支持人员。 |
基础结构备份服务组件
基础结构备份服务包括以下组件:
基础结构备份控制器:基础结构备份控制器随每个 Azure Stack 云一起实例化并驻留在其中。
备份资源提供程序:备份资源提供程序(备份 RP)包括了用户界面和 API 来公开 Azure Stack 基础结构的基本备份功能。
基础结构备份控制器
基础结构备份控制器是为 Azure Stack 云实例化的一项 Service Fabric 服务。 备份资源是在区域级别创建的,并且从 AD、CA、Azure 资源管理器、CRP、SRP、NRP、Key Vault 和 RBAC 捕获特定于区域的服务数据。
备份资源提供程序
备份资源提供程序在 Azure Stack 门户中提供了用于进行基本配置并列出备份资源的用户界面。 操作员可在用户界面中执行以下操作:
- 通过提供外部存储位置、凭据和加密密钥首次启用备份。
- 查看已完成创建的备份资源和正在创建的资源。
- 修改备份控制器在其中放置备份数据的存储位置。
- 修改备份控制器用来访问外部存储位置的凭据。
- 修改备份控制器用来加密备份的加密证书。
备份控制器要求
本部分介绍基础结构备份服务的重要要求。 建议在为 Azure Stack 实例启用备份之前仔细查看此信息,并且在进行部署和执行后续操作的过程中按需重新参考。
这些要求包括:
- 软件要求:介绍了支持的存储位置和大小调整指南。
- 网络要求:介绍了不同存储位置的网络要求。
软件要求
支持的存储位置
存储位置 | 详细信息 |
---|---|
在可信网络环境中的存储设备上托管的 SMB 文件共享。 | 位于部署了 Azure Stack 的数据中心内或位于其他数据中心内的 SMB 共享。 多个 Azure Stack 实例可以使用同一个文件共享。 |
Azure 上的 SMB 文件共享。 | 目前不支持。 |
Azure 上的 Blob 存储。 | 目前不支持。 |
支持的 SMB 版本
SMB | 版本 |
---|---|
SMB | 3.x |
SMB 加密
如果服务器端启用了 SMB 加密,基础结构备份服务支持将备份数据传输到外部存储位置。 如果服务器不支持 SMB 加密或未启用该功能,则基础结构备份服务将回退到未加密的数据传输。 外部存储位置上放置的备份数据始终是静态加密的,并且不依赖于 SMB 加密。
存储位置大小调整
建议每天至少备份 2 次,并最多保留 7 天的备份。 在 Azure Stack 上启用基础结构备份时,这是默认行为。
环境规模 | 预计的备份大小 | 所需的空间总量 |
---|---|---|
4-16 个节点 | 20 GB | 280 GB |
网络要求
存储位置 | 详细信息 |
---|---|
在可信网络环境中的存储设备上托管的 SMB 文件共享。 | 如果 Azure Stack 实例驻留在具有防火墙的环境中,则端口 445 是必需的。 基础结构备份控制器将通过端口 445 启动到 SMB 文件服务器的连接。 |
若要使用文件服务器的 FQDN,该名称必须可从 PEP 解析。 |
注意
无需打开任何入站端口。
加密要求
基础结构备份服务使用包含公钥的证书 (.CER) 来加密备份数据。 该证书用于传输密钥,而不会用于建立经过身份验证的安全通信。 出于此原因,该证书可以是自签名证书。 Azure Stack 无需验证此证书的根或信任,因此无需外部 Internet 访问权限。
自签名证书有两个部分,一个部分包含公钥,另一个部分包含私钥:
- 加密备份数据:包含公钥的证书(导出到 .CER 文件)用于加密备份数据。
- 解密备份数据:包含私钥的证书(导出到 .PFX 文件)用于解密备份数据。
内部机密轮换不会管理包含公钥的证书 (.CER)。 若要轮换证书,必须创建新的自签名证书,并使用新文件 (.CER) 更新备份设置。
所有现有备份将使用以前的公钥保持加密状态。 新备份将使用新的公钥。
出于安全原因,Azure Stack 不会保留云恢复期间使用的包含私钥的证书 (.PFX)。
基础结构备份限制
在计划、部署和操作 Microsoft Azure Stack 实例时请考虑这些限制。 下表介绍了这些限制。
限制标识符 | 限制 | 注释 |
---|---|---|
备份类型 | 仅限完整 | 基础结构备份控制器仅支持完整备份。 不支持增量备份。 |
计划的备份 | 计划和手动 | 备份控制器支持计划备份和按需备份。 |
最大并发备份作业数 | 1 | 备份控制器的每个实例仅支持一个活动备份作业。 |
网络交换机配置 | 不在范围内 | 管理员必须使用 OEM 工具备份网络交换机配置。 请参阅每个 OEM 供应商提供的 Azure Stack 文档。 |
硬件生命周期主机 | 不在范围内 | 管理员必须使用 OEM 工具备份硬件生命周期主机。 请参阅每个 OEM 供应商提供的 Azure Stack 文档。 |
最大文件共享数 | 1 | 只能使用一个文件共享来存储备份数据。 |
备份增值资源提供程序 | 范围内 | 基础结构备份包括事件中心 RP、Data Box Edge RP 的备份。 |
后续步骤
- 详细了解基础结构备份服务。