Azure 備份可讓您設定可在儲存體帳戶中保護區塊 Blob 的作業與保存庫備份。 本文說明如何使用 Azure 入口網站來設定和管理一或多個儲存體帳戶的備份。 您也可以 使用 REST API 設定備份。
如需有關 Azure Blob 儲存體保存庫備份的正式發行,以及其如何透過抵禦勒索軟體和長期保留來增強詳細資料保護的資訊,請參閱 Microsoft 社群中樞部落格 (英文)。
在您開始之前
- Blob 的作業備份是本機備份解決方案,可在來源儲存體帳戶本身的指定期間內維護資料。 此解決方案不會在保存庫中維護額外的資料複本。 此解決方案可讓您保留資料以供還原,最多可達 360 天。 不過,長時間保留期間可能會導致還原作業期間所花費的時間更長。
- 解決方案只能用來對來源儲存體帳戶執行還原,且可能會導致資料遭到覆寫。
- 如果您透過呼叫 [刪除容器作業] 來刪除儲存體帳戶中的容器,則該容器無法使用還原作業來還原。 如果您稍後想要還原,請刪除個別的 Blob,而不是刪除整個容器。 此外,Microsoft 建議啟用容器的軟刪除,以及作業備份,以防止容器遭到意外刪除。
- 確定已為您的訂用帳戶註冊 Microsoft.DataProtection 提供者。
如需有關支援情境、限制和可用性的詳細資訊,請參閱支援矩陣 (support matrix)。
建立備份保存庫
備份保存庫是一個管理實體,可儲存一段時間內所建立的復原點,並提供介面以供執行備份相關作業。 這些作業包括製作隨選備份、執行還原,以及建立備份原則。 雖然 Blob 的作業備份是本機備份,且不會將資料「儲存」在保存庫中,但仍需要保存庫才能進行各種管理作業。
注意
備份保存庫與已經存在的復原服務保存庫不同,是新的資源,可用來備份新支援的工作負載。
如需有關如何建立備份保存庫的指示,請參閱備份保存庫文件。
將權限授與儲存體帳戶上的備份保存庫
作業備份也會藉由套用備份所擁有的刪除鎖定,來保護儲存體帳戶 (其包含要保護之 Blob) 免於遭到任何意外刪除。 這需要備份保管庫在需要保護的儲存體帳戶上具有特定權限。 為了方便使用,已將這些最小權限合併在儲存體帳戶備份參與者角色下。
建議您在設定備份之前,將此角色指派給備份保存庫。 不過,您也可以在設定備份時執行角色指派。
若要為您需要保護的儲存體帳戶指派必要角色,請遵循下列步驟:
注意
您也可以根據便利性,將角色指派給訂用帳戶或資源群組等級的保存庫。
在需要保護的儲存體帳戶中,移至左瀏覽刀鋒視窗上的 [存取控制 (IAM)] 索引標籤。
選取 [新增角色指派] 以指派所需的角色。
在 [新增角色指派] 刀鋒視窗中:
在 [角色] 下,選擇 [儲存體帳戶備份參與者]。
在 [存取權指派對象] 下,選擇 [使用者、群組或服務主體]。
搜尋您想要用來備份此儲存體帳戶中 Blob 的備份保存庫,然後從搜尋結果中加以選取。
選擇 [儲存]。
注意
角色指派最多可能需要 30 分鐘的時間才會生效。
建立備份原則
備份原則會定義復原點建立的排程和頻率,以及其在備份保存庫中的保留期間。 您可以重複使用相同的備份原則,設定將多個儲存體帳戶備份至保存庫。
若要建立備份原則,請遵循下列步驟:
點到 韌性>保護政策,然後選擇 + 建立政策>建立備份政策。
在 [開始: 建立原則] 頁面上,針對 [資料來源類型] 選取 [Azure Blob (Azure 儲存體)],然後選取 [繼續]。
在 [建立備份原則] 頁面上的 [基本] 索引標籤上,輸入 [原則名稱],然後從 [選取保存庫] 中,選擇您想要此原則與其建立關聯的保存庫。
檢閱此索引標籤中所選保存庫的詳細資料,然後選取 [下一步]。
在「排程 + 保留」 索引標籤上,根據需要輸入這些資料存放區的備份詳細資料、排程和保留。
- 若要針對保存庫備份、作業備份或兩者使用備份原則,請選取對應的核取方塊。
- 針對您選取的每個資料存放區,新增或編輯排程和保留設定:
- 保存庫備份:選擇 [每日] 和 [每週] 之間的備份頻率,指定需要建立備份復原點的排程,然後編輯預設保留規則 (選取 [編輯]) 或新增規則,以使用「祖-父-子」表示法來指定復原點的保留。
- 作業備份:這些是連續的,而且不需要排程。 編輯作業備份的預設規則,以指定必要的保留。
選取 [檢閱 + 建立]。
一旦審核成功,請選擇 [建立]。
設定備份
您可以使用單一備份原則,將一或多個儲存體帳戶備份至 Azure 區域中的相同保存庫。
若要為儲存體帳戶設定備份,請遵循下列步驟:
前往韌性>概覽,然後選擇 + 配置保護。
在 [配置保護] 窗格中,於 [資源管理者] 下,選取 數據源類型 為 Azure Blobs(Azure 儲存體),然後選取解決方案為 Azure 備份 來設定保護。
在 [設定備份] 頁面的 [基本] 索引標籤上,選擇 [Azure Blob (Azure 儲存體)] 作為 [資料來源類型],然後選取您想要其與儲存體帳戶建立關聯的「備份保存庫」作為 [保存庫]。
檢閱 [選取的備份保存庫詳細資料],然後選取 [下一步]。
在 [備份原則] 索引標籤上,選取您要用於保留的「備份原則」。 您也可以視需要建立新的備份原則。
檢閱 [選取的原則詳細資料],然後選取 [下一步]。
在 [設定備份] 頁面的 [資料來源] 索引標籤上,選取您要備份的「儲存體帳戶」。
您可以在區域中選取多個儲存體帳戶,以使用選取的原則進行備份。 視需要搜尋或篩選儲存體帳戶。
如果您在步驟 4 中選擇了保險庫備份策略,您也可以選取特定的容器進行備份。 在 [選取的容器] 資料行底下選取 [變更]。 在內容刀鋒視窗中,選擇 [瀏覽要備份的容器],然後取消選取不想要備份的容器。
當您選取要保護的儲存體帳戶和容器時,Azure 備份會執行下列驗證,以確保符合所有必要條件。
注意
備份整備欄顯示備份保管庫是否具有足夠的權限,以便為每個儲存體帳戶設定備份。
若是保存庫備份,要備份的容器數目小於 100。 根據預設,會選取所有容器;不過,您可以排除不應該備份的容器。 如果您的儲存體帳戶有 >100 個容器,您必須排除容器,將數目降低到 100 或以下。
注意
在保存庫備份的情況下,要備份的儲存體帳戶必須至少包含「1 個容器」。 如果選取的儲存體帳戶未包含任何容器,或未選取任何容器,則設定備份時可能會發生錯誤。
備份保管庫具有設定備份所需的權限;保管庫在所有選取的儲存帳戶上具有儲存帳戶備份參與者角色。 若驗證顯示錯誤,則選取的儲存體帳戶沒有儲存體帳戶備份參與者角色。 您可以根據目前的權限指派必要的角色。 錯誤訊息可協助您了解您是否有必要的權限,並採取適當的動作:
角色分配未完成:指出您 (使用者) 有權將 儲存體帳戶備份參與者 角色和儲存體帳戶所需的其他角色指派給保管庫。
選取角色,然後選取工具列上的 [指派缺少的角色],以自動將必要的角色指派給備份保存庫,並觸發自動重新驗證。
如果角色傳播所需的時間超過 10 分鐘,則驗證將會失敗。 在此案例中,您必須等候幾分鐘,然後選取 [重新驗證] 以重試驗證。
權限不足以進行角色指派:指出保存庫沒有必要的角色來設定備份,而您 (使用者) 也沒有足夠的權限來指派必要的角色。 為了讓角色指派更簡單,Azure 備份可讓您下載角色指派範本,您可以與具有指派儲存體帳戶角色之權限的使用者共用該範本。
注意
範本只包含所選儲存體帳戶的詳細資料。 如果有多個使用者需要為不同的儲存體帳戶指派角色,您可以據以選取並下載不同的範本。
若要以不同訂用帳戶中的記憶體帳戶設定備份作業(跨訂用帳戶備份),請從 [ 訂 用帳戶] 篩選中選擇替代訂用帳戶。 會顯示所選訂用帳戶的儲存體帳戶。
若要指派必要角色,請選取儲存體帳戶,然後選取 [下載角色指派範本] 以下載範本。 一旦角色指派完成,請選取 [重新驗證] 以再次驗證權限,然後設定備份。
一旦驗證成功,請選取 [檢閱 + 設定] 索引標籤。
檢閱 [檢閱 + 設定] 索引卷標的詳細資料,然後選取 [下一步] 以起始「設定備份」作業。
您將會收到關於保護設定狀態及其完成的通知。
使用儲存體帳戶的資料保護設定來設定備份
您可以直接從儲存體帳戶的 [資料保護] 設定,在儲存體帳戶中設定 Blob 的備份。
移至您要為其設定 Blob 備份的儲存體帳戶,然後移至左刀鋒視窗中的 [資料保護] (在 [資料管理] 下)。
在 [可用的資料保護] 選項中,第一個選項可讓您使用 Azure 備份來啟用作業備份。
選取對應至 [使用 Azure 備份啟用作業備份] 的核取方塊。 然後選取備份保存庫和您想要建立關聯的備份原則。 您可以視需要選取現有的保存庫和原則,或建立新的保存庫和原則。
重要
您應該已將 [儲存體帳戶備份參與者] 角色指派給選取的保存庫。 深入了解將權限授與儲存體帳戶上的備份保存庫。
如果您已指派必要的角色,請選取 [儲存] 以完成備份的設定。 遵循入口網站通知來追蹤備份的設定進度。
如果您尚未指派,請選取 [管理身分識別],並遵循下列步驟來指派角色。
在選取 [管理身分識別] 時,會將您帶至儲存體帳戶的 [身分識別] 刀鋒視窗。
選取 [新增角色指派] 以起始角色指派。
選擇您想要指派給角色的範圍、訂用帳戶、資源群組或儲存體帳戶。
如果您想要針對多個儲存體帳戶設定 Blob 的作業備份,建議您在資源群組等級指派角色。從 [角色] 下拉式清單中,選取 [儲存體帳戶備份參與者] 角色。
選取 [儲存] 以完成角色指派。
一旦成功完成,您就會透過入口網站收到通知。 您也可以看到新的角色已新增至所選保存庫的現有角色清單。
選取右上角的取消圖示 (x),以返回儲存體帳戶的 [資料保護] 刀鋒視窗。
回來之後,繼續設定備份。
對已備份之儲存體帳戶的影響
設定備份之後,系統會追蹤儲存體帳戶中區塊 Blob 的變更,並根據備份原則保留資料。 您會注意到已設定備份的儲存體帳戶中有下列變更:
儲存體帳戶上已啟用下列功能。 您可以在儲存體帳戶的 [資料保護] 索引標籤中檢視這些資料。
- 容器的時間點還原:備份原則中指定的保留期
- Blob 的虛刪除:備份原則中指定的保留期 + 5 天
- Blob 的版本設定
- Blob 變更摘要
如果用於備份的儲存體帳戶已經啟用了 容器的特定時間點還原 或 Blob 的軟刪除(在設定備份之前),備份會確保保留期至少符合備份原則中所定義的標準。 因此,針對每個屬性:
- 如果備份原則中的保留期大於儲存體帳戶中原先存在的保留期:會根據備份原則對儲存體帳戶的保留進行修改
- 如果備份原則中的保留期少於儲存體帳戶中原先存在的保留期:儲存體帳戶的保留期在原先設定的期間會保持不變。
![[資料保護] 索引標籤](media/blob-backup-configure-manage/data-protection.png)
受保護的儲存體帳戶上的備份會套用刪除鎖定。 鎖定的目的在於防止儲存體帳戶遭到意外刪除。 這可以在 [儲存體帳戶]>[鎖定] 下檢視。
管理備份
你可以將 [復原] 當作管理所有備份的單一控制介面。 關於 Azure Blobs 的備份,你可以使用 Resiliency 來執行以下操作:
如我們在上面所見,您可以使用這項服務來建立備份保存庫和備份策略。 您也可以在選取的訂用帳戶下,檢視所有保存庫和原則。
您可以使用 [ +設定保護 ] 按鈕,為任何記憶體帳戶設定備份。
您可以使用 [還原] 按鈕起始還原,並使用 [作業] 追蹤還原。 如需執行還原的詳細資訊,請參閱還原 Azure Blob 儲存體。
使用備份報告分析備份使用量。
欲了解更多資訊,請參閱 韌性概述。
停止保護
您可以根據需求來停止儲存體帳戶的作業備份。
注意
當您移除備份時,Azure 備份會自動從來源刪除 物件複寫原則 。 如果存在自訂鎖定,請手動移除政策。 如果您停止保護,其只會中斷儲存體帳戶與備份保存庫和工具 (例如備份中心) 的連線。 此動作不會停用 Blob 時間點還原、版本控制或變更佇列設定。
若要停止儲存體帳戶的備份,請遵循下列步驟:
移至要備份之儲存體帳戶的備份執行個體。
你可以從儲存體帳戶透過 [儲存體帳戶]>[資料保護]>[管理備份設定] 前往備份執行個體,或直接從 [復原] 透過[復原]>[受保護的項目] 前往備份執行個體,然後在篩選條件中將 [Azure 備份] 選為 [解決方案]。
從功能表中選取 [停止備份 ]。
停止備份之後,您可以從儲存體帳戶的資料保護刀鋒視窗停用其他儲存體資料保護功能 (之前為設定備份而啟用)。
更新備份實例
設定備份之後,您可以變更與備份實例相關聯的原則。 針對保存庫備份,您甚至可以變更為備份選取的容器。 若要更新備份實例,請遵循下列步驟:
移至 [備份保存庫] 儀表板。
在 [備份專案] 圖格上,選取 [Azure Blob][Azure 儲存體] 作為數據源類型。
在 [ 備份實例 ] 刀鋒視窗中,選取您要變更備份原則的備份實例,然後選取 [ 編輯備份實例]。
選取您要套用至儲存體帳戶 Blob 的新原則。
選擇 [儲存]。
下一步
相關內容
使用 Azure PowerShell、 Azure CLI、 REST API 還原 Azure 備份的 Azure Blob。