创建和配置恢复服务保管库
本文介绍如何创建和配置用于存储备份和恢复点的 Azure 备份恢复服务保管库。 你还可以使用跨区域还原在次要区域中进行还原。
创建恢复服务保管库
恢复服务保管库是一个管理实体,它会存储一段时间内创建的恢复点,并提供用于执行备份相关操作的接口。 这些操作包括按需备份、执行还原和创建备份策略。
若要创建恢复服务保管库,请执行以下操作:
登录 Azure 门户。
搜索“备份中心”,然后转到“备份中心”仪表板。
在“概述”窗格中选择“保管库”。
选择“恢复服务保管库”>“继续”。
在“恢复服务保管库”窗格中输入以下值:
订阅:选择要使用的订阅。 如果你仅是一个订阅的成员,则会看到该名称。 如果不确定要使用哪个订阅,请使用默认订阅。 仅当工作或学校帐户与多个 Azure 订阅关联时,才会显示多个选项。
资源组:使用现有资源组,或创建一个新的资源组。 若要查看订阅中可用的资源组的列表,请选择“使用现有资源”,然后从下拉列表中选择一个资源。 若要创建新的资源组,请选择“新建”并输入新资源组的名称。 有关资源组的详细信息,请参阅 Azure 资源管理器概述。
保管库名称:输入一个易记名称,用于标识此保管库。 名称对于 Azure 订阅必须是唯一的。 指定的名称应至少包含 2 个字符,最多不超过 50 个字符。 名称必须以字母开头且只能包含字母、数字和连字符。
区域:为保管库选择地理区域。 若要创建保管库来保护任何数据源,该保管库必须位于数据源所在的区域。
重要
如果不确定数据源的位置,请关闭该窗口。 在门户中访问你的资源列表。 如果数据源位于多个区域中,请为每个区域创建恢复服务保管库。 先在第一个位置创建保管库,然后再在其他位置中创建保管库。 无需指定存储帐户即可存储备份数据。 恢复服务保管库和 Azure 备份会自动处理这种情况。
提供值后,选择“查看 + 创建”。
要完成恢复服务保管库的创建,请选择“创建”。
创建恢复服务保管库可能需要一段时间。 可在右上方的“通知”区域监视状态通知。 创建保管库后,它会显示在“恢复服务保管库”的列表中。 如果没有显示保管库,请选择“刷新”。
注意
Azure 备份现在支持不可变保管库,可帮助确保恢复点一旦创建就无法根据备份策略在到期前将其删除。 可以将不可变性设为不可逆转,以最大限度地保护备份数据免受各种威胁,包括勒索软件攻击和恶意行动者。 了解详细信息。
设置存储冗余
Azure 备份会自动处理保管库的存储。 需要指定如何复制该存储。
注意
在保管库中配置备份之前,请务必更改恢复服务保管库的存储复制类型。 配置备份后,将禁用修改选项。
如果尚未配置备份,请完成以下步骤以查看并修改设置。 如果已配置备份,并且必须更改存储复制类型,请查看下面的规避方法。
在“恢复服务保管库”窗格中,选择新保管库。 在“设置”部分中,选择“属性”。
在“属性”中的“备份配置”下,选择“更新”。
对于存储复制类型,请选择“异地冗余”、“本地冗余”或“区域冗余”。 然后,选择“保存”。
下面是选择存储复制类型的建议:
如果使用 Azure 作为主要备份存储终结点,建议继续使用默认的“异地冗余存储 (GRS)”设置。
如果不使用 Azure 作为主要备份存储终结点,请选择“本地冗余存储 (LRS)”以降低存储费用。
如果需要在区域中无停机使用数据并确保数据驻留,请选择区域冗余存储 (ZRS)。
注意
保管库的存储复制设置与 Azure 文件共享备份无关,因为当前解决方案基于快照,且没有数据传输到保管库。 快照与备份文件共享存储在同一个存储帐户中。
设置跨区域还原
通过“跨区域还原”选项,你可在次要的 Azure 配对区域中还原数据。 如果有审核或符合性要求,可以使用跨区域还原进行钻取。 主要区域中发生灾难时,也可以使用它来还原数据。
在开始之前,请注意以下信息:
- 仅支持对使用 GRS 复制类型的恢复服务保管库进行跨区域还原。
- 支持通过 Azure 资源管理器和加密的 Azure VM 创建的虚拟机 (VM)。 不支持通过经典部署模型创建的 VM。 可以还原 VM 或其磁盘。
- 支持托管在 Azure VM 上的 SQL Server 或 SAP HANA 数据库。 可以还原数据库或其文件。
- 没有专用终结点的保管库支持 MARS 代理(预览版)。
- 有关支持的托管类型和区域的列表,请查看支持矩阵。
- 使用跨区域还原将产生额外费用。 启用“跨区域还原”后,备份项最长可能需要在 48 小时后才出现在次要区域中。 详细了解定价。
- 在首次启用保护后,无法将跨区域还原恢复为 GRS 或 LRS。
- 目前,次要区域 RPO 为 36 小时。 这是因为主要区域中的 RPO 为 24 小时,最多可能需要 12 小时才能将备份数据从主要区域复制到次要区域。
- 查看使用跨区域还原所需的权限。
使用 GRS 冗余创建的保管库提供用于配置跨区域还原功能的选项。 每个 GRS 保管库都有一个链接到文档的横幅。
注意
在超级磁盘上运行的计算机目前暂不支持跨区域还原。 详细了解超级磁盘备份支持性。
为保管库配置跨区域还原:
在门户中,转到恢复服务保管库,然后选择“属性”(在“设置”下方) 。
在“备份配置”下,选择“更新”。
在“跨区域还原”下,选择“启用” 。
注意
如果有权访问受限制的配对区域,但仍无法在“备份配置”边栏选项卡中查看“跨区域还原”设置,请重新注册恢复服务资源提供程序。 若要重新注册提供程序,请转到 Azure 门户中的订阅,转到左侧导航栏上的“资源提供程序”,然后选择“Microsoft.RecoveryServices”>“重新注册” 。
有关通过跨区域还原进行备份和还原的详细信息,请参阅以下文章:
设置加密设置
默认情况下,恢复服务保管库中的数据是通过平台管理的密钥进行加密的。 无需执行任何显式操作即可启用这种加密。 这种加密适用于要备份到恢复服务保管库的所有工作负载。
可以选择自带密钥(客户管理的密钥)对此保管库中的备份数据进行加密。 如果要使用自己的密钥加密备份数据,则必须在将任何项目添加到此保管库之前指定加密密钥。 使用密钥启用加密后,此过程不可逆。
若要将保管库配置为通过客户管理的密钥进行加密,请执行以下操作:
- 为恢复服务保管库启用托管标识。
- 为保管库分配访问 Azure 密钥保管库中加密密钥的权限。
- 在 Azure 密钥保管库中启用软删除和清除保护。
- 将加密密钥分配给恢复服务保管库。
可以在这篇文章中找到每一个步骤的说明。
修改默认设置
在保管库中配置备份之前,我们强烈建议检查“存储复制类型”和“安全性”的默认设置。
默认情况下,“软删除”对新建的保管库设置为“已启用”,目的是防止意外或恶意删除备份数据 。 若要检查和修改设置,请按照这些步骤操作。
在决定从 GRS 改为使用 LRS 之前,请先根据场景在较低成本和较高数据持续性之间权衡。 如果在配置备份后必须从 GRS 改为使用 LRS,则有以下两种选项。 所做的选择将取决于保留备份数据的业务要求。
无需保留以前备份的数据
若要帮助保护新 LRS 保管库中的工作负载,需要删除 GRS 保管库中的当前保护和数据并重新配置备份。
警告
以下操作是破坏性的,无法撤消。 与受保护服务器关联的所有备份数据和备份项将被永久删除。 请谨慎操作。
停止并删除对 GRS 保管库的当前保护:
请按照步骤操作,在 GRS 保管库的属性中禁用软删除。
停止保护并删除现有 GRS 保管库中的备份。 在保管库仪表板菜单中,选择“备份项”。 如果需要将此处列出的项移动到 LRS 保管库,必须删除这些项及其备份数据。 请参阅删除云中受保护的项和删除本地受保护的项。
如果计划迁移 Azure 文件共享、SQL Server 实例或 SAP HANA 服务器,还需要取消注册它们。 在保管库仪表板菜单中,选择“备份基础结构”。 如需其他步骤,请查看取消注册与 Azure 文件共享关联的存储帐户、取消注册 SQL Server 实例或取消注册 SAP HANA 实例。
从 GRS 保管库中删除 Azure 文件共享、SQL Server 实例或 SAP HANA 服务器后,请继续配置新的 LRS 保管库中工作负载的备份。
必须保留以前备份的数据
如果需要将当前受保护的数据保留在 GRS 保管库中,并在新的 LRS 保管库中继续保护,则某些工作负载的选项受到限制:
对于 Microsoft Azure 恢复服务 (MARS),可停止保护但保留数据,并在新的 LRS 保管库中注册代理。 请注意:
- Azure 备份服务将继续保留 GRS 保管库的所有现有恢复点。
- 需要付费才能将恢复点保留在 GRS 保管库中。
- 只能还原 GRS 保管库中尚未过期的恢复点的备份数据。
- 需要在 LRS 保管库中创建数据的初始副本。
对于 Azure VM,可以对 GRS 保管库中的 VM 停止保护保留的数据,将该 VM 移到其他资源组,然后在 LRS 保管库中保护该 VM。 有关将 VM 移动到另一个资源组的信息,请参阅指南和限制。
一次只能将一个 VM 添加到一个保管库。 但是,新资源组中的 VM 可以添加到 LRS 保管库,因为它被视为不同的 VM。 请注意:
- Azure 备份服务将在 GRS 保管库中保留已备份的恢复点。
- 需要付费才能将恢复点保留在 GRS 保管库中。 有关详细信息,请参阅 Azure 备份定价。
- 如果需要,你将能够从 GRS 保管库还原 VM。
- LRS 保管库中对新资源组中 VM 的第一个备份将是初始副本。