Azure 備份的架構與元件
您可以使用 Azure 備份服務將資料備份至 Microsoft Azure 雲端平台。 本文將摘要說明 Azure 備份的架構、元件和程序。
Azure 備份有何功能?
Azure 備份會備份在內部部署機器和 Azure 虛擬機器 (VM) 執行個體上執行的資料、機器狀態和工作負載。 有許多 Azure 備份案例。
Azure 備份如何運作?
您可以使用數種方法來備份機器和資料:
備份內部部署機器:
- 您可以透過使用 Azure 備份 Microsoft Azure 復原服務 (MARS) 代理程式,將內部部署 Windows 機器直接備份至 Azure。 不支援 Linux 機器。
- 您可以將內部部署機器備份至備份伺服器,System Center Data Protection Manager (DPM) 或 Microsoft Azure 備份伺服器 (MABS)。 然後,您可以將備份伺服器備份至 Azure 中的復原服務保存庫。
備份 Azure VM:
- 您可以直接備份 Azure VM。 Azure 備份會對在 VM 上執行的 Azure VM 代理程式安裝備份擴充功能。 此擴充功能會備份整個 VM。
- 您可以透過執行 MARS 代理程式,來備份 Azure VM 上的特定檔案和資料夾。
- 您可以將 Azure VM 備份至在 Azure 中執行的 MABS,然後您可以將 MABS 備份至復原服務保存庫。
資料會備份到哪裡?
Azure 備份會將備份的資料儲存在保存庫 - 復原服務保存庫和備份保存庫。 保存庫是 Azure 中的線上儲存實體,用來保存備份複本、復原點和備份原則等資料。
保存庫具有下列功能:
- 保存庫可輕鬆地組織您的備份資料,同時可減輕管理負擔。
- 您可以監視保存庫中的備份項目,包括 Azure VM 和內部部署機器。
- 您可以使用 Azure 角色型存取控制 (Azure RBAC) 來管理保存庫的存取。
- 您可以指定如何複寫保存庫中的資料以提供備援:
復原服務保存庫具有下列其他功能:
- 在每個 Azure 訂用帳戶中,您最多可以建立 500 個保存庫。
備份代理程式
Azure 備份會根據所備份的電腦類型,提供不同的備份代理程式:
| 專員 | 詳細資料 |
|---|---|
| MARS 代理程式 |
|
| Azure VM 延伸模組 | 在 Azure VM 上執行,以將它們備份至保存庫。 |
備份類型
下表說明不同類型的備份,以及其使用時機:
| 備份類型 | 詳細資料 | 使用方式 |
|---|---|---|
| 完整 | 完整備份包含整個資料來源。 採用比差異或增量備份更多的網路頻寬。 | 用於初始備份。 |
| 差異 | 差異備份會儲存自初始完整備份後變更的區塊。 使用較少的網路和儲存體,而且不會保留未變更資料的備援複本。 效率不佳,因為會傳輸並儲存稍後的備份間未變更的資料區塊。 |
Azure 備份未使用。 |
| 增量 | 增量備份只儲存上一次備份之後有變更的資料區塊。 高儲存體和網路效率。 使用增量備份時,不需要補充完整備份。 |
由 DPM/MABS 用於磁碟備份,並且用於所有備份至 Azure 的作業。 不適用於 SQL Server 備份。 |
SQL Server 備份類型
下表說明適用於 SQL Server 資料庫的各種備份類型及使用頻率:
| 備份類型 | 詳細資料 | 使用方式 |
|---|---|---|
| 完整備份 | 完整資料庫備份會備份整個資料庫。 它包含特定資料庫中或一組檔案群組或檔案中的所有資料。 完整備份也包含足夠的記錄來復原該資料。 | 您一天最多只能觸發一個完整備份。 您可以選擇以每天或每週的間隔執行完整備份。 |
| 差異備份 | 差異備份是以之前最近一次的完整資料備份為基礎。 只會擷取自完整備份後已變更的資料。 |
您一天最多只能觸發一個差異備份。 您無法在同一天同時設定完整備份和差異備份。 |
| 交易記錄備份 | 記錄備份可讓特定時間點還原,還原到特定的一秒。 | 您最多可設定每 15 分鐘一次的交易記錄備份。 |
SAP Hana 備份類型
下表說明適用於 SAP Hana 資料庫的各種備份類型及使用頻率:
| 備份類型 | 詳細資料 | 使用方式 |
|---|---|---|
| 完整備份 | 完整資料庫備份會備份整個資料庫。 這種類型的備份可單獨用來還原至特定點。 | 您每天最多可以排程一次完整備份。 您可以選擇以每日或每週的排程間隔來進行完整備份。 |
| 差異備份 | 差異備份是以之前最近一次的完整資料備份為基礎。 只會擷取自上一次完整備份之後有所變更的資料。 |
您每天最多可以排程一次差異備份。 您無法在同一天同時設定完整備份和差異備份。 |
| 增量備份 | 增量備份以最近一次完整/差異/增量資料備份為基礎。 只會擷取自上一次資料備份之後有所變更的資料。 |
您每天最多可以排程一次增量備份。 您無法對同一個資料同時排程差異備份和增量備份,一次只能排程一種類型的差別備份。 您無法在同一天同時設定完整備份和差異備份。 |
| 交易記錄備份 | 記錄備份可讓特定時間點還原,還原到特定的一秒。 | 您最多可設定每 15 分鐘一次的交易記錄備份。 |
各種備份類型的比較
每一種備份的儲存體耗用量、復原時間目標 (RTO) 以及網路耗用量都不相同。 下圖顯示了不同備份類型的比較:
- 資料來源 A 由 A1-A10 這 10 個儲存體區塊所組成,每月備份一次。
- 區塊 A2、A3、A4 和 A9 在第一個月有所變更,而 A5 則在下個月有所變更。
- 若使用差異備份,將會在第二個月備份有所變更的區塊 A2、A3、A4 和 A9。 在第三個月會再次備份這一些相同區塊,以及有所變更的區塊 A5。 在執行下次完整備份之前,都會繼續備份有所變更的區塊。
- 若使用增量備份,將在第二個月將區塊 A2、A3、A4 和 A9 標示為已變更且已傳輸。 在第三個月,只標示區塊 A5 有所變更,而加以傳輸。
備份功能
下表摘要說明了不同備份類型所支援的功能:
| 功能 | 直接備份檔案和資料夾 (使用 MARS 代理程式) | Azure VM 備份 | 使用 DPM/MABS 的機器或應用程式 |
|---|---|---|---|
| 備份至保存庫 |  |
|
|
| 備份至 DPM/MABS 磁碟,再備份至 Azure | |
||
| 壓縮要備份的傳輸資料 | |
傳輸資料時不使用壓縮。 儲存體會略為膨脹,但還原速度較快。 | |
| 執行增量備份 | |
|
|
| 備份已刪除重複資料的磁碟 |  僅用於內部部署的 DPM/MABS 伺服器。 |
備份原則基本資訊
- 每個保存庫都會建立備份原則。
- 您可以針對下列工作負載的備份作業建立備份原則:Azure VM、Azure VM 中的 SQL、Azure VM 中的 SAP Hana,以及 Azure 檔案共用。 您可以在 MARS 主控台中指定使用 MARS 代理程式備份檔案和資料夾的原則。
- Azure 檔案共用
- 您可以將一個原則指派給多項資源。 Azure VM 備份原則可用來保護許多 Azure VM。
- 原則是由兩個元件所組成
- 排程:製作備份的時間
- 保留期:每個備份應保留的時間長度。
- 排程可以定義為「每日」或「每週」的特定時間點。
- 您可以定義「每日」、「每週」、「每月」、「每年」備份點的保留期。
- 「每週」指的是在一週中的某一天進行備份
- 「每月」指的是在一個月中的某一天進行備份
- 「每年」指的是在一年中的某一天進行備份
- 「每月」、「每年」備份點的保留期也稱為長期保留 (LTR)
- 在建立保存庫時,也會建立 “DefaultPolicy”,並可用於備份資源。
- 對備份原則的保留範圍所做的任何變更,除了套用到新復原點以外,也會追溯套用到所有舊的復原點。
原則變更對復原點的影響
- 增加/減少保留期間:變更保留期間時,也會將新的保留期間套用至現有的復原點。 這樣會清除部分復原點。 當保留期間增加時,現有的復原點也會將增加其保留期間。
- 從每天變更為每週:當排程的備份從每天變更為每週時,會清除現有的每日復原點。
- 從每週變更為每日:現有的每週備份會依據目前的保留原則,在剩餘的天數中保留。
其他參考
- Azure VM 機器:如何建立和修改原則。
- Azure VM 機器中的 SQL Server 資料庫:如何建立和修改原則。
- Azure 檔案共用:如何建立和修改原則。
- SAP Hana:如何建立和修改原則。
- MARS:如何建立和修改原則。
- 根據工作負載的類型排程備份是否有任何限制?
- 如果我變更保留原則,現有的復原點會發生什麼事?
結構:內建 Azure VM 備份
針對已選取進行備份的 Azure VM,Azure 備份會根據您指定的備份排程開始備份工作。
如果您選擇應用程式或文件系統一致備份,則 VM 必須安裝備份延伸模組,以協調快照集程序。
如果您選擇損毀一致備份,則 VM 中不需要代理程式。
第一次備份時,如果 VM 正在執行,則會在 VM 上安裝備份延伸模組。
- 如果是 Windows VM,會安裝 VMSnapshot 延伸模組。
- 如果是 Linux VM,會安裝 VMSnapshot Linux 延伸模組。
針對執行中的 Windows VM,Azure 備份會與 Windows 磁碟區陰影複製服務 (VSS) 協調,以取得 VM 的應用程式一致快照集。
- 根據預設,備份服務會建立完整的 VSS 備份。
- 如果備份服務無法建立應用程式一致快照集,則會建立基礎儲存體的檔案一致性快照 (因為 VM 停止時,不會有任何應用程式寫入作業)。
針對 Linux VM,備份服務會建立檔案一致性備份。 若要建立應用程式一致快照集,必須手動自訂前/後指令碼。
針對 Windows VM,已安裝 Microsoft Visual C++ 2013 可轉散發套件 (x64) 12.0.40660 版、啟動磁碟區陰影複製服務 (VSS) 會變更為自動,並且會新增 Windows 服務 IaaSVmProvider。
備份服務建立快照集之後,會將資料傳輸至保存庫。
- 備份是透過以平行方式備份每個 VM 磁碟來最佳化。
- 針對每個要備份的磁碟,Azure 備份會讀取磁碟上的區塊,並只識別並傳輸自上次備份之後變更的資料區塊 (差異)。
- 快照集資料可能不會立即複製到保存庫。 在尖峰時間可能需要數小時的時間。 針對每日備份原則,VM 的總備份時間會小於 24 小時。
結構:內部部署 Windows Server 機器或 Azure VM 檔案或資料夾的直接備份
- 為了設定案例,請在您的機器下載並安裝 MARS 代理程式。 接著,選取所要備份的內容、執行備份的時間,以及要保留於 Azure 中的時間長度。
- 初始備份會依據您的備份設定來執行。
- MARS 代理程式會使用 VSS 對已選取要進行備份的磁碟區進行時間點快照集。
- MARS 代理程式只會使用 Windows 系統寫入作業來擷取快照集。
- 由於這個代理程式並不會使用任何應用程式 VSS 寫入器,因此不會擷取應用程式一致快照集。
- 使用 VSS 取得快照集後,MARS 代理程式會在您設定備份時所指定的快取資料夾中建立虛擬硬碟 (VHD)。 該代理程式也會儲存每個資料區塊的總和檢查碼。 這些資料日後會用來偵測變更區塊,以進行後續的增量備份。
- 除非您執行隨選備份,否則增量備份會依據指定的排程執行。
- 執行增量備份時,會識別已變更的檔案,並建立新的 VHD。 VHD 會先經過壓縮和加密,才會傳送至保存庫。
- 增量備份完成後,新的 VHD 會與初始複寫後所建立的 VHD 合併在一起。 這個合併的 VHD 會提供要用來與執行中的備份進行比較的最新狀態。
結構:備份至 DPM/MABS
- 請在所要保護的機器上安裝 DPM 或 MABS 保護代理程式。 接著將機器新增至 DPM 保護群組。
- 若要保護內部部署機器,DPM 或 MABS 伺服器必須位於內部部署環境。
- 若要保護 Azure VM,MABS 伺服器必須位於 Azure 中,以 Azure VM 的形式執行。
- 您可以使用 DPM/MABS 保護備份磁碟區、共用、檔案及資料夾。 您也可以保護機器的系統狀態 (裸機),也能以應用程式感知備份設定保護特定應用程式。
- 當您在 DPM/MABS 中設定對電腦或應用程式的保護時,您選擇要備份至短期儲存的 MABS/DPM 本機磁碟,並備份至 Azure 以進行線上保護。 此外,您也指定了何時應執行備份至本機 DPM/MABS 儲存體的作業,以及何時應執行 Azure 的線上備份。
- 受保護的工作負載磁碟會根據您指定的排程備份至本機 MABS/DPM 磁碟。
- DPM/MABS 磁碟將由在 DPM/MABS 伺服器上執行的 MARS 代理程式備份至保存庫。
Azure VM 儲存體
Azure VM 會使用磁碟來儲存其作業系統、應用程式和資料。 每部 Azure VM 至少會有兩個磁碟:一個用於作業系統,另一個為暫存磁碟。 Azure VM 還可以有用於應用程式資料的資料磁碟。 磁碟會儲存為 VHD。
- 在 Azure 的標準或進階儲存體帳戶中,VHD 會儲存為分頁 Blob:
- 標準儲存體:為執行的工作負載不受延遲影響的 VM 提供可靠、低成本的磁碟支援。 標準儲存體可以使用標準固態硬碟 (SSD) 磁碟,或標準硬碟 (HDD) 磁碟。
- 進階儲存體:高效能磁碟支援。 使用進階 SSD 磁碟。
- 磁碟有不同的效能層級:
- 標準 HDD 磁碟:採用 HDD,並用於符合成本效益的儲存體。
- 標準 SSD 磁碟:結合進階 SSD 磁碟與標準 HDD 磁碟的元素。 提供比 HDD 更為一致的效能和可靠性,但仍具成本效益。
- 進階 SSD 磁碟:採用 SSD 磁碟,為執行 I/O 密集工作負載的 VM 提供高效能、低延遲。
- 磁碟可以是受控或非受控的:
- 非受控磁碟:虛擬機器所使用的傳統型磁碟。 對於這些磁碟,您可以建立自己的儲存體帳戶,並在建立磁碟時指定該帳戶。 接著,您必須找出充分運用 VM 儲存體資源的方法。
- 受控磁碟:Azure 會為您建立及管理儲存體帳戶。 您只需指定磁碟的大小和效能層級,Azure 就會幫您建立和管理磁碟。 當您新增磁碟和調整 VM 時,Azure 會處理儲存體帳戶。
如需磁碟儲存體和 VM 可用磁碟類型的詳細資訊,請參閱下列文章:
使用進階儲存體來備份和還原 Azure VM
您可以透過 Azure 備份,使用進階儲存體來備份 Azure VM:
- 使用進階儲存體備份 VM 時,備份服務會在儲存體帳戶中建立名為 AzureBackup- 的暫存位置。 暫存位置的大小等於復原點快照集的大小。
- 確定進階儲存體帳戶有足夠的可用空間可容納暫存位置。 如需詳細資訊,請參閱 進階分頁 Blob 儲存體帳戶的可擴縮性目標。 請勿修改暫存位置。
- 備份作業完成後,就會刪除暫存位置。
- 用於暫存位置的儲存體,價格會與進階儲存體價格一致。
使用進階儲存體還原 Azure VM 時,您可以選擇將其還原至進階或標準儲存體。 通常會選擇還原至進階儲存體。 但是,如果您只需要 VM 中的部分檔案,將其還原至標準儲存體可能會比較符合成本效益。
備份及還原受控磁碟
您可以備份具有受控磁碟的 Azure VM:
- 備份使用受控磁碟的 VM 時,所使用相同的方式與備份任何其他 Azure VM 時相同。 您可以直接從虛擬機器設定備份 VM,或是為復原服務保存庫中的 VM 啟用備份。
- 您可以透過以受控磁碟為基礎的 RestorePoint 集合來備份受控磁碟上的 VM。
- Azure 備份也支援備份使用 Azure 磁碟加密進行加密的受控磁碟 VM。
在還原具有受控磁碟的 VM 時,您可以還原至具有受控磁碟的完整 VM,或是還原至儲存體帳戶:
- 在還原期間,Azure 會管理受控磁碟。 如果有使用 [儲存體帳戶] 選項,則會管理在還原期間建立的儲存體帳戶。
- 若您要還原加密的受控 VM,請先確定金鑰保存庫中已有 VM 金鑰和祕密,再開始還原。
使用 Azure 備份的資料隔離
使用 Azure 備份時,保存的備份資料會儲存在受 Microsoft 管理的 Azure 訂用帳戶和租用戶中。 外部使用者或來賓無法直接存取此備份儲存體或其內容,以確保備份資料與資料來源所在的生產環境隔離。
在 Azure 中,傳輸中的所有通訊和資料都會使用 HTTPS 和 TLS 1.2+ 通訊協定安全地進行傳輸。 此資料會保留在 Azure 骨幹網路上,以確保可靠且有效率的資料傳輸。 待用備份資料預設會使用 Microsoft 管理的金鑰來進行加密。 如果您需要更充分地控制資料,也可以攜帶自己的金鑰進行加密。 若要增強保護,您可以使用不變性,這可防止資料在其保留期間之前遭到變更或刪除。 Azure 備份提供各種選項,例如虛刪除、停止備份和刪除資料,或是保留資料 (如果您需要隨時停止備份)。 若要保護重要作業,您可以使用名為 Azure Resource Guard 的 Azure 資源,新增添加額外保護層的多使用者授權 (MUA)。
這種健全的方法可確保即使是在遭到入侵的環境中,未經授權的使用者也無法竄改或刪除現有的備份。
下一步
- 檢閱支援矩陣,以了解備份案例的支援功能和限制。
- 設定其中一個案例的備份:
- 備份 Azure VM。
- 直接備份 Windows 機器,而不使用備份伺服器。
- 設定 MABS 以備份至 Azure,然後將工作負載備份至 MABS。
- 設定 DPM 以備份至 Azure,然後將工作負載備份至 DPM。