你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 备份的软删除

  • 项目

对安全问题(例如恶意软件、勒索软件、入侵)的关注在逐渐上升。 这些安全问题可能会代价高昂(就金钱和数据来说)。 为了防范此类攻击,Azure 备份现提供可帮助保护备份数据(即使数据已删除)的安全功能。

其中的一项功能是软删除。 在使用软删除的情况下,即使恶意行动者删除了备份(或用户意外删除了备份数据),备份数据也仍会保留 14 天,因此可以恢复该备份项,而不会丢失数据。 以“软删除”状态将备份数据额外保留 14 天不会向你收取任何费用。

软删除保护适用于以下服务:

此流程图显示了启用软删除时备份项的不同步骤和状态:

软删除的备份项的生命周期

启用和禁用软删除

软删除在新创建的保管库上默认启用,目的是防止意外或恶意删除备份数据。 建议不要禁用此功能。 唯一应该考虑禁用软删除的情况是,你打算将受保护的项移到新保管库,需要在删除后重新进行保护,因此等不及要求的 14 天(例如在测试环境中)。

若要在保管库上禁用软删除,必须具有该保管库的“备份参与者”角色(你应有权在保管库上执行 Microsoft.RecoveryServices/Vaults/backupconfig/write)。 如果禁用此功能,将来删除任何受保护项将导致立即删除,而无法还原。 禁用此功能之前,以软删除状态存在的备份数据将在 14 天内保持软删除状态。 若要立即永久删除这些项,则需先取消删除,然后再次将其删除,这样就可以永久删除它们。

务必记住,禁用软删除后,将对所有类型的工作负载禁用该功能。 例如,不能仅对 SQL Server 或 SAP HANA DB 禁用软删除,而仍对同一保管库中的虚拟机启用软删除。 可以创建单独的保管库以进行精细控制。

提示

若要在组织中的用户禁用保管库的软删除时接收警报/通知,请使用针对 Azure 备份的 Azure Monitor 警报。 由于禁用软删除是一种潜在的破坏性操作,建议你在这种情况下使用警报系统来监视所有此类操作,并针对任何非预期的操作采取措施。

注意

  • 还可以使用多用户授权 (MUA) 增加一层额外的保护,防止禁用软删除。 了解详细信息
  • 目前只有恢复服务保管库支持用于软删除的 MUA。

具有延长保留期的 Always On 软删除

软删除在所有新创建的保管库上默认启用。 “Always On 软删除”状态是一项选择加入功能。 一旦启用,就无法禁用(不可逆)。

此外,可以延长已删除备份数据的保留期,从 14 天到 180 天不等。 默认情况下,保管库的保留期设置为 14 天(按照基本软删除),可以根据需要进行延长。 软删除对前 14 天的保留免费;但是,超过 14 天的保留期则需要收取费用。 详细了解定价情况。

使用 Azure 门户禁用软删除

若要禁用软删除,请执行以下步骤:

  1. 在 Azure 门户中,转到保管库,然后转到“设置”>“属性”。
  2. 在“属性”窗格中,选择“安全设置更新”。
  3. 在“安全和软删除设置”窗格中,清除禁用软删除所需的复选框。

屏幕截图显示如何禁用软删除。

使用 Azure PowerShell 禁用软删除

重要

使用 Azure PowerShell 进行软删除所需的 Az.RecoveryServices 版本最低为 2.2.0。 可使用 Install-Module -Name Az.RecoveryServices -Force 获取最新版本。

若要禁用,请使用 Set-AzRecoveryServicesVaultBackupProperty PowerShell cmdlet。

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

使用 REST API 禁用软删除

若要使用 REST API 禁用软删除功能,请参阅此处所述的步骤。

永久删除软删除的备份项

如果在禁用此功能之前备份数据处于软删除状态,则会保持软删除状态。 若要立即永久删除这些项,请取消删除,然后再次将其删除,这样就可以永久删除它们。

使用 Azure 门户

执行以下步骤:

  1. 按照步骤禁用软删除

  2. 在 Azure 门户中,请切换到保管库,转到“备份项”并选择已软删除的项。

    选择已软删除的项

  3. 选择“撤消删除”选项。

    选择“撤消删除”

  4. 此时会出现一个窗口。 选择“撤消删除”。

    选择“撤消删除”

  5. 选择“删除备份数据”,永久删除备份数据。

    选择“删除备份数据”

  6. 键入备份项的名称以确认你要删除恢复点。

    键入备份项的名称

  7. 若要删除项的备份数据,请选择“删除”。 一条通知消息将让你获悉备份数据已删除。

使用 Azure PowerShell

如果在禁用软删除之前删除了项,则它们将处于已软删除状态。 若要立即删除它们,需要反转删除操作,然后再次执行。

确定处于已软删除状态的项。


Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

然后反转启用软删除时执行的删除操作。

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

由于软删除现在已禁用,删除操作将导致立即删除备份数据。

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

使用 REST API

如果在禁用软删除之前删除了项,则它们将处于已软删除状态。 若要立即删除它们,需要反转删除操作,然后再次执行。

  1. 首先,使用此处提到的步骤撤消删除操作。
  2. 然后遵循此处所述的步骤,使用 REST API 禁用软删除功能。
  3. 然后,使用此处所述的 REST API 删除备份。

常见问题

是否需要对每个保管库启用软删除功能?

否。这是一项内置功能,默认情况下为所有恢复服务保管库启用。

是否可以配置在完成删除操作后,以软删除状态保留数据的天数?

否。删除操作完成后,数据将额外保留固定的 14 天。

是否需要支付这额外 14 天数据保留的费用?

否。14 天额外保留是软删除功能免费附送的。

如果数据处于软删除状态,是否可以执行还原操作?

否。需要取消删除已软删除的资源才能还原。 取消删除操作会将资源恢复到“停止保护并保留数据”状态,然后,你可以还原到任意时间点。 在此状态下,垃圾回收器将保持暂停状态。

快照的生命周期是否与保管库中恢复点的生命周期相同?

是的。

如何针对软删除的资源再次触发计划的备份?

先取消删除,然后执行恢复操作,即可再次保护资源。 恢复操作将关联某个备份策略,以触发具有选定保持期的计划备份。 此外,在恢复操作完成后,垃圾回收器会立即运行。 若要从超出到期日期的恢复点执行还原,建议在触发恢复操作之前执行此还原操作。

如果保管库中有软删除的项,我可以删除保管库吗?

如果保管库中存在处于软删除状态的备份项,则无法删除恢复服务保管库。 完成删除操作 14 天后,软删除的项将永久删除。 如果不能等 14 天,则请禁用软删除,接着取消删除软删除的项,然后再次将其删除,这样就可以永久删除它们。 在确保没有受保护项和软删除项以后,可以删除保管库。

是否可以在删除后的 14 天软删除期之前删除数据?

否。 不能强制删除已软删除的项。 它们将在 14 天后自动删除。 启用此安全功能是为了保护备份的数据不被意外删除或恶意删除。 你应等待 14 天,然后再对该项执行任何其他操作。 不会对已软删除的项收费。 如果需要重新保护新保管库中 14 天内标记为软删除的项,请联系 Microsoft 客户支持。

是否可以在 PowerShell 或 CLI 中执行软删除操作?

可以使用 PowerShell 执行软删除操作。 目前,CLI 不受支持。

后续步骤