本文說明 Azure Backup 如何利用內建 的 Azure Policy 定義來自動化稽核並強制執行 Azure 管理磁碟的備份設定。 這些內建政策確保組織對業務關鍵機器的保留要求符合規定。
作為備份與合規管理員,請選擇最適合團隊結構與資源組織的政策,以自動設定 Azure 管理磁碟的備份。
Azure 管理磁碟備份的 Azure 原則類型
下表列出了允許你自動管理 Azure 受管磁碟實例備份的各種政策類型:
| 原則類型 | Description |
|---|---|
| 政策 1 | 找出未啟用備份的 Azure 管理磁碟。 |
| 政策 2 | 在相同區域的現有備份保存庫中為內含特定標籤的 Azure 受控磁碟設定備份。 |
| 政策 3 | 為沒有指定標籤的 Azure 管理磁碟設定備份,並將其配置到同一地區的現有備份保險庫中。 |
原則 1 - 受控磁碟應啟用 Azure 備份
使用 僅審核 的政策來識別未啟用備份的磁碟。 不過,此原則不會自動設定這些磁碟的備份。 當你只想評估硬碟的整體合規性,但不打算立即採取行動時,這很有用。
原則 2 - 在相同區域的現有備份保存庫中為內含特定標籤的 Azure 磁碟 (受控磁碟) 設定備份。
組織的中央備份團隊可使用此政策將 Azure 管理磁碟備份至同一訂閱與地點內的現有中央備份庫。 您可以選擇在此原則的範圍內,包含內含特定標籤的磁碟。
原則 3 - 在相同區域的現有備份保存庫中為不含特定標籤的 Azure 磁碟 (受控磁碟) 設定備份。
此原則的運作方式與上述原則 2 相同,唯一的差異在於您可以使用此原則,在此原則的範圍內排除包含特定標籤的磁碟。
使用 Azure Policy 進行 Azure 管理磁碟備份的支援與不支援情境
在您審核並強制執行 Azure 管理磁碟備份之前,請先檢視以下支援與不支援的情境:
| 原則類型 | 支援 | 不支援 |
|---|---|---|
| 政策1、2、3 | 僅支援 Azure 管理磁碟。 確保指派時指定的備份保險庫與備份政策為磁碟備份政策。 |
目前不支援管理群組範圍。 |
| 政策二與三 | 一次只能指派給單一地點和訂用帳戶。 若要啟用多個位置和訂用帳戶的磁碟備份,您必須建立多個指派原則的執行個體,每個位置與訂用帳戶組合建立一個。 指定的保險庫與設定的備份磁碟可以屬於不同的資源群組。 |
指派內建的 Azure 原則以進行 Azure 管理磁碟備份
本節說明指派原則 2 的端對端程序:在相同位置的現有備份保存庫中,將包含特定標籤的受控磁碟備份設定到指定範圍。 類似的指示亦適用於其他原則。 指派之後,在範圍中建立的任何新受控磁碟都會自動設定備份。
若要指派原則 2,請遵循下列步驟:
登入 Azure 入口網站,並前往 [原則] 儀表板。
在左側功能表選取 [定義],取得跨 Azure 資源的所有內建原則清單。
篩選 Category=Backup 的清單,然後選取名為「在相同位置的現有備份保存庫中,將包含特定標籤的受控磁碟備份設定到指定範圍」的原則。
- 選取原則的名稱。 接著,系統會將您重新導向至此原則的詳細定義。
選取窗格頂端的 [指派] 按鈕。 這會將您重新導向至 [指派原則] 窗格。
在 [基本] 下,選取 [範圍] 欄位旁的三個點。 此時會開啟右側的內容窗格,您可在此處選取要套用原則的訂用帳戶。 您也可以視情況選取資源群組,讓原則只套用到特定資源群組的磁碟。
- 在 [參數] 索引標籤,從下拉式功能表選擇一個位置,然後選取保存庫、必須與範圍內的磁碟必須建立關聯的備份原則,以及儲存這些磁碟快照集的資源群組。 您也可以選擇指定的標籤名稱和標籤值的陣列。 磁碟如果包含特定標籤的任何指定值,就會包含在原則指派的範圍。
確保 [效果] 設為 deployIfNotExists。
前往 [檢查+建立] 並選取 [建立]。
附註
- 運用補救來啟用現有受控磁碟的原則。
- 我們建議不要將此政策分配給超過 200 顆磁碟。 否則,備用作業會比預定時間延遲數小時。