基础结构备份服务参考
Azure 备份基础结构
Azure Stack Hub 由许多服务构成,其中包括门户、Azure 资源管理器和整个基础结构管理体验。 Azure Stack Hub 的类似于应用的管理体验注重于减轻解决方案操作员面临的复杂性。
基础结构备份服务旨在将备份和还原基础结构服务数据的复杂性内部化,确保操作员能够专注于管理解决方案,持续为用户履行 SLA。
为避免将备份存储在同一系统上,要求将备份数据导出到外部共享。 要求使用外部共享使得管理员可以根据现有的公司业务连续性/灾难恢复策略来灵活地决定要将数据存储在何处。
基础结构备份服务组件
基础结构备份服务包括以下组件:
- 基础结构备份控制器
基础结构备份控制器随每个 Azure Stack Hub 云一起实例化并驻留在其中。 - 备份资源提供程序
备份资源提供程序(备份 RP)包括了用户界面和 API 来公开 Azure Stack Hub 基础结构的基本备份功能。
基础结构备份控制器
基础结构备份控制器是为 Azure Stack Hub 云实例化的一项 Service Fabric 服务。 备份资源是在区域级别创建的,并且从 AD、CA、Azure 资源管理器、CRP、SRP、NRP、Key Vault 和 RBAC 捕获特定于区域的服务数据。
备份资源提供程序
备份资源提供程序在 Azure Stack Hub 门户中提供了用于进行基本配置并列出备份资源的用户界面。 操作员可以在用户界面中执行以下操作:
- 通过提供外部存储位置、凭据和加密密钥首次启用备份。
- 查看已完成创建的备份资源和正在创建的资源。
- 修改备份控制器在其中放置备份数据的存储位置。
- 修改备份控制器用来访问外部存储位置的凭据。
- 修改备份控制器用来加密备份的加密密钥。
备份控制器要求
本部分介绍基础结构备份服务的重要要求。 建议在为 Azure Stack Hub 实例启用备份之前仔细查看此信息,并且在进行部署和执行后续操作的过程中按需重新参阅。
这些要求包括:
- 软件要求 - 介绍了支持的存储位置和大小调整指南。
- 网络要求 - 介绍了不同存储位置的网络要求。
软件要求
支持的存储位置
| 存储位置 | 详细信息 |
|---|---|
| 在可信网络环境中的存储设备上托管的 SMB 文件共享。 | 位于部署了 Azure Stack Hub 的数据中心内或位于其他数据中心内的 SMB 共享。 多个 Azure Stack Hub 实例可以使用同一个文件共享。 |
| Azure 上的 SMB 文件共享。 | 目前不支持。 |
| Azure 上的 Blob 存储。 | 目前不支持。 |
支持的 SMB 版本
| SMB | 版本 |
|---|---|
| SMB | 3.x |
SMB 加密
如果服务器端启用了 SMB 加密,基础结构备份服务支持将备份数据传输到外部存储位置。 如果服务器不支持 SMB 加密或未启用该功能,则基础结构备份服务将回退到未加密的数据传输。 外部存储位置上放置的备份数据始终是静态加密的,并且不依赖于 SMB 加密。
存储位置大小调整
建议每天至少进行两次备份,并且保留最多七天的备份。 在 Azure Stack Hub 上启用基础结构备份时,这是默认行为。
| 环境规模 | 预计的备份大小 | 所需的空间总量 |
|---|---|---|
| 4-16 个节点 | 20 GB | 280 GB |
| ASDK | 10 GB | 140 GB |
网络要求
| 存储位置 | 详细信息 |
|---|---|
| 在可信网络环境中的存储设备上托管的 SMB 文件共享。 | 如果 Azure Stack Hub 实例驻留在具有防火墙的环境中,则端口 445 是必需的。 基础结构备份控制器将通过端口 445 启动到 SMB 文件服务器的连接。 |
| 若要使用文件服务器的 FQDN,必须可以通过 PEP 解析该名称。 |
防火墙规则
请确保设置防火墙规则,以允许在 ERCS VM 与外部存储位置之间建立连接。
| Source | 目标 | 协议/端口 |
|---|---|---|
| ERCS VM 1 | 存储位置 | 445/SMB |
| ERCS VM 2 | 存储位置 | 445/SMB |
| ERCS VM 3 | 存储位置 | 445/SMB |
注意
无需打开任何入站端口。
加密要求
基础结构备份服务将在执行云恢复期间,使用包含公钥的证书 (.CER) 来加密备份数据,并使用包含私钥的证书 (.PFX) 来解密备份数据。 证书密钥长度必须为 2048 个字节。
- 该证书用于传输密钥,而不会用于建立经过身份验证的安全通信。 出于此原因,该证书可以是自签名证书。 Azure Stack Hub 无需验证此证书的根或信任,因此无需外部 Internet 访问权限。
自签名证书有两个部分,一个部分包含公钥,另一个部分包含私钥:
- 加密备份数据:包含公钥的证书(导出到 .CER 文件)用于加密备份数据。
- 解密备份数据:包含私钥的证书(导出到 .PFX 文件)用于解密备份数据。
内部机密轮换不会管理包含公钥的证书 (.CER)。 若要轮换证书,需要创建新的自签名证书,并使用新的文件 (.CER) 更新备份设置。
- 所有现有备份将使用以前的公钥保持加密状态。 新备份将使用新的公钥。
出于安全原因,Azure Stack Hub 不会保留云恢复期间使用的包含私钥的证书 (.PFX)。 在云恢复期间,需要显式提供此文件。
基础结构备份限制
在计划、部署和操作 Azure Stack Hub 实例时请考虑这些限制。 下表介绍了这些限制。
基础结构备份限制
| 限制标识符 | 限制 | 注释 |
|---|---|---|
| 备份类型 | 仅限完整 | 基础结构备份控制器仅支持完整备份。 不支持增量备份。 |
| 计划的备份 | 计划和手动 | 备份控制器支持计划备份和按需备份。 |
| 最大并发备份作业数 | 1 | 备份控制器的每个实例仅支持一个活动备份作业。 |
| 网络交换机配置 | 不在范围内 | 管理员必须使用 OEM 工具备份网络交换机配置。 请参阅每个 OEM 供应商提供的 Azure Stack Hub 文档。 |
| 硬件生命周期主机 | 不在范围内 | 管理员必须使用 OEM 工具备份硬件生命周期主机。 请参阅每个 OEM 供应商提供的 Azure Stack Hub 文档。 |
| 最大文件共享数 | 1 | 只能使用一个文件共享来存储备份数据。 |
| 备份应用服务、函数、SQL、mysql 资源提供程序数据 | 不在范围内 | 请参阅已发布的用于部署和管理由 Microsoft 创建的增值 RP 的指南。 |
| 备份第三方资源提供程序 | 不在范围内 | 请参阅已发布的用于部署和管理由第三方供应商创建的增值 RP 的指南。 |
后续步骤
- 若要详细了解基础结构备份服务,请参阅使用基础结构备份服务对 Azure Stack Hub 进行备份和数据恢复。