如何使用 Azure API 管理中的服务备份和还原实现灾难恢复

项目
12/09/2022

通过 Azure API 管理来发布和管理 API，即可充分利用容错和基础结构功能，否则需手动设计、实现和管理这些功能。 Azure 平台通过花费少量成本消除大量潜在故障。

要从影响 API 管理服务的可用性问题中恢复过来，请随时准备在另一个区域重新构建服务。根据恢复时间目标，你可能希望在一个或多个区域中保留备用服务。你还可以根据自己的恢复点目标，尝试将其配置和内容与活动服务保持同步。 API 管理备份和还原功能为实施灾难恢复策略提供了必要的构建基块。

备份和还原操作还可用于在操作环境（例如，开发环境和过渡环境）之间复制 API 管理服务配置。请注意，运行时数据（如用户和订阅）也将被复制，这可能并不总是理想的。

本文介绍如何使用外部存储帐户自动执行 API 管理实例的备份和还原操作。此处显示的步骤使用 Azure PowerShell cmdlet Backup-AzApiManagement 和 Restore-AzApiManagement，或者使用 API 管理服务 - 备份和 API 管理服务 - 还原这两个 REST API。

警告

每个备份都会在 30 天后过期。如果在 30 天有效期到期后尝试还原备份，还原会失败并显示 Cannot restore: backup expired 消息。

重要

还原操作不会更改目标服务的自定义主机名配置。我们建议对活动服务和备用服务使用相同的自定义主机名和 TLS 证书，以便在还原操作完成后，可以通过简单的 DNS CNAME 更改将流量重定向到备用实例。

注意

若要与 Azure 交互，建议使用 Azure Az PowerShell 模块。请参阅安装 Azure PowerShell 以开始使用。若要了解如何迁移到 Az PowerShell 模块，请参阅将 Azure PowerShell 从 AzureRM 迁移到 Az。

可用性

重要

此功能在 API 管理的“高级”、“标准”、“基本”和“开发人员”层中可用。

先决条件

API Management 服务实例。如果没有，请参阅创建 API 管理服务实例。
一个 Azure 存储帐户。如果没有，请参阅创建存储帐户。
- 在存储帐户中创建一个容器来保存备份数据。
最新版本的 Azure PowerShell（如果你计划使用 Azure PowerShell cmdlet）。安装 Azure PowerShell（如果尚未安装）。

配置存储帐户访问权限

运行备份或还原操作时，需要配置对存储帐户的访问权限。 API 管理支持两种存储访问机制：Azure 存储访问密钥和 API 管理托管标识。

配置存储帐户访问密钥

Azure 为每个存储帐户生成两个 512 位存储帐户访问密钥。这些密钥可用于通过共享密钥授权来授予对你存储帐户中数据的访问权限。要查看、检索和管理密钥，请参阅管理存储帐户访问密钥。

配置 API 管理托管标识

注意

API 管理 REST API 2021-04-01-preview 或更高版本支持在备份和还原期间使用 API 管理托管标识进行存储操作。

在 API 管理实例中为 API 管理启用系统分配的托管标识或用户分配的托管标识。
- 如果启用用户分配的托管标识，请记下该标识的“客户端 ID”。
- 如果要备份和还原到不同的 API 管理实例，请在源实例和目标实例中都启用托管标识。
为该标识分配“存储 Blob 数据参与者”角色，该角色的范围限定为用于备份和还原的存储帐户。若要分配角色，请使用 Azure 门户或其他 Azure 工具。

使用 Azure PowerShell 登录。

在以下示例中：

资源组 apimresourcegroup 中有一个名为 myapim 的 API 管理实例。
资源组 storageresourcegroup 中有一个名为 backupstorageaccount 的存储帐户。存储帐户具有一个名为 backups 的容器。
将创建一个名为 ContosoBackup.apimbackup 的备份 Blob。

在 PowerShell 中设置变量：

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

使用存储访问密钥进行访问

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName -TargetBlobName $blobName

使用托管标识进行访问

要在 API 管理实例中配置托管标识来访问存储帐户，请参阅本文前面的配置托管标识。

使用系统分配的托管标识进行访问

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

使用用户分配的托管标识进行访问

在此示例中，资源组 identityresourcegroup 中有一个名为 myidentity 的用户分配的托管标识。

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

备份是一项长时间运行的操作，可能需要几分钟才能完成。

若要了解如何验证和调用 Azure REST API，请查看 Azure REST API 参考。

要备份 API 管理服务，请发出以下 HTTP 请求：

POST https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/backup?api-version={api-version}

其中：

subscriptionId - 订阅的 ID，该订阅包含的 API 管理服务是你尝试备份的
resourceGroupName - Azure API 管理服务的资源组名称
serviceName - 正在创建其备份的 API 管理服务的名称，在创建时指定
api-version - 有效的 REST API 版本，例如 2021-08-01 或 2021-04-01-preview。

在请求正文中，指定目标存储帐户名称、Blob 容器名称、备份名称和存储访问类型。如果存储容器不存在，备份操作将创建存储容器。

使用存储访问密钥进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

使用托管标识进行访问

注意

若要在备份和还原期间使用 API 管理托管标识进行存储操作，需有 API 管理 REST API 版本 2021-04-01-preview 或更高版本。

使用系统分配的托管标识进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

使用用户分配的托管标识进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

将 Content-Type 请求标头的值设置为 application/json。

备份是一项长时间运行的操作，可能需要几分钟才能完成。如果请求已成功且备份过程已开始，则会收到带有 Location 标头的 202 Accepted 响应状态代码。向 Location 头中的 URL 发出 GET 请求以查明操作状态。当备份正在进行时，你将继续收到 202 Accepted 状态代码。响应代码 200 OK 指示备份操作成功完成。

还原 API 管理服务

注意

在进行还原操作时，避免更改服务配置（例如 API、策略、开发人员门户外观）。更改可能会被覆盖。

PowerShell
REST

在以下示例中，

名为 myapim 的 API 管理实例从存储帐户 backupstorageaccount 中名为 ContosoBackup.apimbackup 的备份 Blob 中恢复。
备份 Blob 位于名为 backups 的容器中。

在 PowerShell 中设置变量：

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup;

使用存储访问密钥进行访问

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey$st

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName -SourceBlobName $blobName

使用托管标识进行访问

要在 API 管理实例中配置托管标识来访问存储帐户，请参阅本文前面的配置托管标识。

使用系统分配的托管标识进行访问

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

使用用户分配的托管标识进行访问

在此示例中，资源组 identityresourcegroup 中有一个名为 myidentity 的用户分配的托管标识。

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

还原是一项长时间运行的操作，可能需要长达 45 分钟或更长时间才能完成。

若要从之前创建的备份还原 API 管理服务，请发出以下 HTTP 请求：

POST https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/restore?api-version={api-version}

其中：

subscriptionId - 订阅 ID，该订阅包含的 API 管理服务是需要将备份还原到其中的
resourceGroupName - 资源组的名称，该资源组包含的 Azure API 管理服务是需要将备份还原到其中的
serviceName - 要将备份还原到其中的 API 管理服务的名称，在创建时指定
api-version - 有效的 REST API 版本，例如 2021-08-01 或 2021-04-01-preview

在请求正文中，指定现有存储帐户名称、Blob 容器名称、备份名称和存储访问类型。

使用存储访问密钥进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

使用托管标识进行访问

注意

若要在备份和还原期间使用 API 管理托管标识进行存储操作，需有 API 管理 REST API 版本 2021-04-01-preview 或更高版本。

使用系统分配的托管标识进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

使用用户分配的托管标识进行访问

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

将 Content-Type 请求标头的值设置为 application/json。

还原是长时间运行的操作，可能需要长达 30 分钟或更长时间才能完成。如果请求已成功且还原过程已开始，则会收到带有 Location 标头的 202 Accepted 响应状态代码。向 Location 头中的 URL 发出 GET 请求以查明操作状态。当还原正在进行时，你将继续收到 202 Accepted 状态代码。响应代码 200 OK 指示还原操作成功完成。

约束

从创建时开始，备份还原仅保证 30 天。
在备份过程中，避免在服务中进行管理更改，例如定价层升级或降级、域名更改等。
在正在进行备份操作时对服务配置（例如，API、策略和开发人员门户外观）所做的更改可能不会包含在备份中，将会丢失。
备份不会捕获 Azure 门户的“分析”窗口中显示的报告中使用的预聚合日志数据。
不得在存储帐户中的 Blob 服务上启用跨源资源共享 (CORS)。
要还原到的服务的定价层必须与正在还原的备份服务的定价层匹配。

存储网络约束

使用存储访问密钥进行访问

如果存储帐户启用了防火墙并使用存储密钥进行访问，则客户必须允许其存储帐户上的 Azure API 管理控制平面 IP 地址集，这样才能正常进行备份或还原。存储帐户可以位于除 API 管理服务所在区域之外的任意 Azure 区域中。例如，如果 API 管理服务位于中国北部，则 Azure 存储帐户可以位于中国北部 2，并且客户需要在防火墙中打开控制平面 IP 13.64.39.16（中国北部的 API 管理控制平面 IP）。这是因为对 Azure 存储的请求不会从同一 Azure 区域中的计算（Azure API 管理控制平面）进行 SNAT 转换后发送到公共 IP。跨区域存储请求将在经过 SNAT 转换后发送到公共 IP 地址。

使用托管标识进行访问

如果使用 API 管理的系统分配的托管标识来访问启用了防火墙的存储帐户，请确保该存储帐户向受信任的 Azure 服务授予访问权限。

不备份的内容

用于创建分析报表的用法数据不包括在备份中。使用 Azure API 管理 REST API 定期检索分析报表以保证安全。
自定义域 TLS/SSL 证书。
自定义 CA 证书，包括由客户上传的中间证书或根证书。
虚拟网络集成设置。
托管标识配置。
Azure Monitor 诊断配置。
协议和密码设置。
开发人员门户内容。

执行服务备份的频率会影响恢复点目标。为了最大程度减少它，建议实施定期备份，以及在对 API 管理服务进行更改后执行按需备份。

后续步骤

请查看以下相关资源来了解备份/还原过程：

使用逻辑应用自动执行 API 管理备份和还原
如何跨区域移动 Azure API 管理
API 管理“高级”层还支持区域冗余，该功能可为特定 Azure 区域（位置）中的服务实例提供复原能力和高可用性。

如何使用 Azure API 管理中的服务备份和还原实现灾难恢复

可用性

先决条件

配置存储帐户访问权限

配置存储帐户访问密钥

配置 API 管理托管标识

备份 API 管理服务

使用存储访问密钥进行访问

使用托管标识进行访问

使用系统分配的托管标识进行访问

使用用户分配的托管标识进行访问

使用存储访问密钥进行访问

使用托管标识进行访问

使用系统分配的托管标识进行访问

使用用户分配的托管标识进行访问

还原 API 管理服务

使用存储访问密钥进行访问

使用托管标识进行访问

使用系统分配的托管标识进行访问

使用用户分配的托管标识进行访问

使用存储访问密钥进行访问

使用托管标识进行访问

使用系统分配的托管标识进行访问

使用用户分配的托管标识进行访问

约束

存储网络约束

使用存储访问密钥进行访问

使用托管标识进行访问

不备份的内容

后续步骤

其他资源

其他资源