資料保護概觀
Azure 儲存體提供適用於 Blob 儲存體和 Azure Data Lake Storage Gen2 的資料保護,以協助您準備需要復原已刪除或已覆寫資料的案例。 請務必考慮如何在發生可能危及資料的事件之前妥善保護您的資料。 本指南可協助您事先決定您案例所需的資料保護功能,以及如何實作這些功能。 如果您應該要復原已刪除或已覆寫的資料,此概觀也會根據您的案例提供如何繼續的指導。
在 Azure 儲存體檔中,資料保護指的是保護儲存體帳戶和其中的資料免於遭到刪除或修改,或在資料遭到刪除或修改後還原資料的策略。 Azure 儲存體也提供災害復原的選項,包括多個層級的備援,以保護您的資料免受因硬體問題或天然災害所造成的服務中斷的影響。 客戶管理的(非計劃性) 容錯移轉是另一個災害復原選項,可讓您在主要區域無法使用時容錯移轉至次要區域。 如需如何保護資料免於服務中斷的詳細資訊,請參閱災害復原。
基本資料保護的建議
如果您要尋找儲存體帳戶及其所含資料的基本資料保護涵蓋範圍,Microsoft 建議您採取下列步驟來開始:
- 設定儲存體帳戶的 Azure Resource Manager 鎖定,以防止帳戶遭到刪除或設定變更。 深入了解...
- 啟用儲存體帳戶的容器虛刪除來復原已刪除的容器及其內容。 深入了解...
- 以固定間隔儲存 Blob 的狀態:
下一節將詳細說明這些選項,以及其他案例的其他資料保護選項。
如需這些功能的相關成本概觀,請參閱成本考量摘要。
資料保護選項的概觀
下表摘要說明針對常見資料保護案例 Azure 儲存體中的可用選項。 選擇適用於您情況的案例,以深入瞭解您可以使用的選項。 目前,並非所有功能都適用於已啟用階層命名空間的儲存體帳戶。
| 案例 | 資料保護選項 | 建議 | 保護權益 | 適用於 Data Lake Storage |
|---|---|---|---|---|
| 防止刪除或修改儲存體帳戶。 | Azure Resource Manager 鎖定 深入了解... |
使用 Azure Resource Manager 鎖定來鎖定所有儲存體帳戶,以防止刪除儲存體帳戶。 | 保護儲存體帳戶免於刪除或設定變更。 不會保護帳戶中的容器或 Blob 不遭到刪除或覆寫。 |
Yes |
| 防止刪除 Blob 版本,以取得您所控制的間隔。 | Blob 版本的不變性原則 深入了解... |
在個別 Blob 版本上設定不變性原則,以保護業務關鍵性文件,例如,為了符合法律或法規合規性需求。 | 保護 Blob 版本免於遭到刪除,並防止其中繼資料遭到覆寫。 覆寫作業會建立新版本。 如果至少有一個容器已啟用版本層級不變性,儲存體帳戶也會受到保護以避免刪除。 如果容器中至少存在一個 Blob,容器刪除就會失敗。 |
No |
| 防止容器及其 Blob 在您控制的間隔內被刪除或修改。 | 容器的不變性原則 深入了解... |
在容器上設定不變性原則,以保護業務關鍵性文件,例如,為了符合法律或法規合規性需求。 | 保護容器及其 Blob 不受所有刪除和覆寫。 當法律保留或鎖定的時間型保留原則生效時,儲存體帳戶也會受到保護以避免刪除。 未設定不變性原則的容器不會受到刪除保護。 |
Yes |
| 在指定的間隔內還原已刪除的容器。 | 容器虛刪除 深入了解... |
針對所有儲存體帳戶啟用容器虛刪除,最小保留間隔為 7 天。 啟用 Blob 版本設定和 Blob 虛刪除以及容器虛刪除,以保護容器中的個別 Blob。 將需要不同保留期限的容器儲存在不同的儲存體帳戶中。 |
已刪除的容器及其內容可能會在保留期間內還原。 只能還原容器層級的作業 (例如,刪除容器)。 如果刪除了容器中的個別 Blob,則容器虛刪除無法還原該 Blob。 |
Yes |
| 在覆寫 Blob 時,自動將 Blob 的狀態儲存在舊版中。 | Blob 版本設定 深入了解... |
對於需要為 Blob 資料提供最佳保護的儲存體帳戶,啟用 Blob 版本控制以及容器虛刪除和 Blob 虛刪除。 將不需要版本設定的 Blob 資料儲存在個別帳戶中,以限制成本。 |
每個 Blob 寫入作業會建立新版本。 如果刪除或覆寫目前版本,則可以從舊版還原 Blob 的目前版本。 | No |
| 在指定的間隔內還原已刪除的 Blob 或 Blob 版本。 | Blob 虛刪除 深入了解... |
對所有儲存體帳戶啟用 Blob 虛刪除,最小保留間隔為 7 天。 啟用 Blob 版本設定和容器虛刪除以及 Blob 虛刪除,以實現對 Blob 資料的最佳保護。 將需要不同保留期間的 Blob 儲存在不同的儲存體帳戶中。 |
已刪除的 Blob 或 Blob 版本可能會在保留期間內還原。 | Yes |
| 將一組區塊 Blob 還原至先前的時間點。 | 還原時間點 深入了解... |
若要使用時間點還原還原為先前的狀態,請設計您的應用程式來刪除個別區塊 Blob,而不是刪除容器。 | 一組區塊 Blob 可能會還原成其過去特定點的狀態。 僅還原對區塊 Blob 上執行的作業。 不會還原在容器、分頁 Blob 或附加 Blob 上執行的任何作業。 |
No |
| 在指定的時間點手動儲存 Blob 的狀態。 | Blob 快照集 深入了解... |
當版本設定不適用於您的案例,基於成本或其他考慮因素,或者當儲存體帳戶啟用了階層命名空間時,建議作為 Blob 版本設定的替代方案。 | 如果覆寫 Blob,可能會從快照集還原 Blob。 如果刪除 Blob,也會刪除快照集。 | 是的,在預覽版 |
| Blob 可以刪除或覆寫,但資料會定期複製到第二個儲存體帳戶。 | Azure Blob 保存庫備份 深入了解 |
啟用保存庫備份,以將您的資料異地復本備份到沒有直接存取權的 Microsoft 租用戶 | 提供基本容器的選擇性備份,並讓個別容器還原到不同於來源儲存體帳戶的儲存體帳戶 | No 自行打造的解決方案,以將資料複製到第二個帳戶 支援 AzCopy 和 Azure Data Factory。 不支持物件複寫。 |
依資源類型的資料保護
下表摘要說明根據所保護資源的 Azure 儲存體資料保護選項。
| 資料保護選項 | 保護帳戶免遭刪除 | 保護容器免遭刪除 | 保護物件免遭刪除 | 保護物件不遭覆寫 |
|---|---|---|---|---|
| Azure Blob 保存庫備份 |
No | .是 | .是 | Yes |
| Azure Resource Manager 鎖定 | Yes | 否1 | No | No |
| Blob 版本的不變性原則 | 是2 | 是3 | Yes | 是4 |
| 容器的不變性原則 | 是5 | Yes | .是 | Yes |
| 容器虛刪除 | No | .是 | 無 | No |
| Blob 版本設定6 | No | 無 | .是 | Yes |
| Blob 虛刪除 | No | 無 | .是 | Yes |
| 時間點還原6 | No | 無 | .是 | Yes |
| Blob 快照集 | No | 無 | 無 | Yes |
| 將資料複製到第二個帳戶的自助式解決方案7 | No | .是 | .是 | Yes |
1 Azure Resource Manager 鎖定無法防止容器遭到刪除。
2 如果至少有一個容器已啟用版本層級的固定儲存體,則儲存體帳戶刪除會失敗。
3 如果容器中至少有一個 Blob 存在,則無論是否已鎖定或解除鎖定原則,容器刪除作業都會失敗。
4 覆寫 Blob 目前版本的內容會建立新的版本。 永久性原則會保護版本的中繼資料免於遭到覆寫。
5 當法務保存措施或鎖定限時保留原則在容器範圍內生效時,儲存體帳戶也會受到保護而無法刪除。
6 目前不支援 Data Lake Storage 工作負載。
7 AzCopy 和 Azure Data Factory 是同時支援 Blob 儲存體和 Data Lake Storage 工作負載的選項。 只有 Blob 儲存體工作負載支援物件複寫。
復原已刪除或已覆寫的資料
如果您需要復原已覆寫或刪除的資料,您要如何繼續進行取決於您已啟用的資料保護選項以及受影響的資源。 下表說明您在復原資料時可以採取的動作。
| 已刪除或覆寫的資源 | 可能的復原動作 | 復原的需求 |
|---|---|---|
| 儲存體帳戶 | 嘗試復原的已刪除儲存體帳戶 深入了解... |
儲存體帳戶最初是使用 Azure Resource Manager 部署模型所建立,且已在過去 14 天內刪除。 自原始帳戶刪除之後,尚未建立具有相同名稱的新儲存體帳戶。 |
| 容器 | 復原虛刪除的容器及其內容 深入了解... |
已啟用容器虛刪除,且容器虛刪除保留期間尚未過期。 |
| 容器和 Blob | 從第二個儲存體帳戶還原資料 | 所有容器和 Blob 作業都已有效地複寫至第二個儲存體帳戶。 |
| Blob (任何類型) | 從先前的版本還原 Blob1 深入了解... |
Blob 版本設定已啟用,而且 Blob 有一或多個先前的版本。 |
| Blob (任何類型) | 復原虛刪除的 Blob 深入了解... |
已啟用 Blob 虛刪除,且虛刪除保留間隔未過期。 |
| Blob (任何類型) | 從快照集還原 Blob 深入了解... |
Blob 具有一或多個快照集。 |
| 區塊 Blob 的集合 | 將一組區塊 Blob 復原至其較早時間點的狀態1 深入了解... |
時間點還原已啟用,且還原點在保留間隔內。 儲存體帳戶尚未遭盜用或損毀。 |
| Blob 版本 | 復原虛刪除的版本1 深入了解... |
已啟用 Blob 虛刪除,且虛刪除保留間隔未過期。 |
1 目前不支援 Data Lake Storage 工作負載。
成本考量摘要
下表摘要說明本指南中所述的各種資料保護選項的成本考量。
| 資料保護選項 | 成本考量 |
|---|---|
| 適用於儲存體帳戶的 Azure Resource Manager 鎖定 | 設定儲存體帳戶的鎖定無須付費。 |
| Blob 版本的不變性原則 | 無須支付任何費用即可在容器上啟用版本層級的永久性。 在 Blob 版本上建立、修改或刪除限時保留原則或法務保存措施時,會導致寫入交易費用。 |
| 容器的不變性原則 | 在容器上設定永久性原則並不收費。 |
| 容器虛刪除 | 啟用儲存體帳戶的容器虛刪除並不收費。 虛刪除容器中的資料會以作用中資料的相同費率計費,直到永久刪除虛刪除的容器為止。 |
| Blob 版本設定 | 針對儲存體帳戶啟用 Blob 版本設定並不收費。 啟用 Blob 版本設定之後,帳戶中 Blob 上的每個寫入或刪除作業都會建立新的版本,而這可能會導致容量成本增加。 Blob 版本的計費依據是唯一的區塊或頁面。 因此,成本會隨著基礎 Blob 從特定版本分出而增加。 變更 Blob 或 Blob 版本的階層可能會對帳單產生影響。 如需詳細資訊,請參閱價格和帳單。 使用生命週期管理以視需要刪除較舊版本以控制成本。 如需詳細資訊,請參閱藉由自動化 Azure Blob 儲存體存取層將成本最佳化。 |
| Blob 虛刪除 | 啟用儲存體帳戶的 Blob 虛刪除並不收費。 虛刪除 Blob 中的資料會以作用中資料的相同費率計費,直到永久刪除虛刪除的 Blob 為止。 |
| 還原時間點 | 針對儲存體帳戶啟用時間點還原並不收費;不過,啟用時間點還原也會啟用 Blob 版本設定、虛刪除和變更摘要,每個都可能產生其他費用。 當您執行還原作業時,需要支付時間點還原的費用。 還原作業的成本取決於所要還原的資料量。 如需詳細資訊,請參閱價格和帳單。 |
| Blob 快照集 | 快照集中的資料會根據唯一的區塊或頁面計費。 因此,成本會隨著基礎 Blob 從快照集分出而增加。 變更 Blob 或快照集的階層可能會對帳單產生影響。 如需詳細資訊,請參閱價格和帳單。 使用生命週期管理以視需要刪除較舊快照集以控制成本。 如需詳細資訊,請參閱藉由自動化 Azure Blob 儲存體存取層將成本最佳化。 |
| 保存庫備份 | 針對保存庫備份,您將會產生備份儲存體費用或執行個體費用,以及備份來源帳戶上的來源端成本 (與物件複寫相關)。 請參閱定價。 |
| 將資料複製到第二個儲存體帳戶 | 維護第二個儲存體帳戶中的資料時,將會產生容量和交易成本。 如果第二個儲存體帳戶位於與來源帳戶不同的區域,則將資料複製到該第二個帳戶時將會額外產生輸出費用。 |
災害復原
Azure 儲存體會一律維護資料的多個複本,以保護該資料不受計劃性和非計劃性事件影響,包括暫時性硬體故障、網路或電力中斷和大規模天然災害。 備援可確保您的儲存體帳戶即使在發生失敗時也能滿足可用性和持久性目標。 如需關於如何設定儲存體帳戶以取得高可用性的詳細資訊,請參閱 Azure 儲存體備援。
如果您的儲存體帳戶設定為異地備援,您可以選擇在資料中心發生故障期間起始從主要區域到次要區域的非計劃性容錯移轉。 如需詳細資訊,請參閱災害復原規劃和容錯移轉。
客戶管理的容錯移轉目前僅支援在預覽狀態下啟用階層命名空間的儲存體帳戶。 如需詳細資訊,請參閱災害復原規劃和容錯移轉。