Azure 备份基础结构
Azure Stack Hub 包含许多服务,这些服务包括门户(Azure 资源管理器)和整体基础结构管理体验。 Azure Stack Hub 的应用式管理体验侧重于减少向解决方案操作员公开的复杂性。
基础结构备份服务旨在使基础结构服务备份和还原数据的复杂性进行内部化,确保操作员可以专注于管理解决方案和维护用户的 SLA。
需要将备份数据导出到外部共享,以避免在同一系统上存储备份。 要求外部共享使管理员能够灵活地确定基于现有公司 BC/DR 策略存储数据的位置。
基础结构备份服务组件
基础结构备份服务包含以下组件:
-
基础结构备份控制器
基础设施备份控制器在每个 Azure Stack Hub 云中实例化并驻留。 -
备份资源提供程序
备份资源提供程序(备份 RP)由用户界面和 API 组成,用于公开 Azure Stack Hub 基础结构的基本备份功能。
基础结构备份控制器
基础结构备份控制器是一种为 Azure Stack Hub 云环境实例化的 Service Fabric 服务。 备份资源在区域级别创建,并从 AD、CA、Azure 资源管理器、CRP、SRP、NRP、Key Vault、RBAC 捕获特定于区域的服务数据。
备份资源提供程序
备份资源提供程序在 Azure Stack Hub 门户中提供一个用户界面,用于基本配置和备份资源列表。 操作员可以在用户界面中执行以下操作:
- 通过提供外部存储位置、凭据和加密密钥,首次启用备份。
- 查看已创建的备份资源和正在创建的状态资源。
- 修改备份控制器放置备份数据的存储位置。
- 修改备份控制器用于访问外部存储位置的凭据。
- 修改备份控制器用于加密备份的加密密钥。
备份控制器要求
本部分介绍基础结构备份服务的重要要求。 建议在为 Azure Stack Hub 实例启用备份之前仔细查看信息,然后在部署和后续作期间根据需要重新引用它。
要求包括:
- 软件要求 - 介绍支持的存储位置和大小调整指南。
- 网络要求 - 描述不同存储位置的网络要求。
软件要求
受支持的存储位置
| 存储位置 | 详细信息 |
|---|---|
| 托管在受信任网络环境中的存储设备上的 SMB 文件共享。 | SMB 共享可以位于部署 Azure Stack Hub 的同一数据中心,也可以位于其他数据中心。 多个 Azure Stack Hub 实例可以使用同一文件共享。 |
| Azure 上的 SMB 文件共享。 | 当前不支持。 |
| Azure 上的 Blob 存储。 | 当前不支持。 |
支持的 SMB 版本
| SMB | 版本 |
|---|---|
| SMB | 3.x |
SMB 加密
基础结构备份服务支持在服务器端启用 SMB 加密的情况下将数据传输到外部存储位置。 如果服务器不支持 SMB 加密或未启用该功能,则基础结构备份服务将回退到未加密的数据传输。 放置在外部存储位置上的备份数据始终是静态加密的,不依赖于 SMB 加密。
存储位置尺寸确定
建议每天至少备份两次,最多保留七天的备份。 这是在 Azure Stack Hub 上启用基础结构备份时的默认行为。
| 环境规模 | 备份的预计大小 | 所需的总空间量 |
|---|---|---|
| 4-16 个节点 | 20 GB | 280 GB |
| ASDK | 10 GB | 140 GB |
网络要求
| 存储位置 | 详细信息 |
|---|---|
| 托管在受信任网络环境中的存储设备上的 SMB 文件共享。 | 如果 Azure Stack Hub 实例驻留在防火墙环境中,则需要端口 445。 基础结构备份控制器将通过端口 445 启动与 SMB 文件服务器的连接。 |
| 若要使用文件服务器的 FQDN,名称必须可从 PEP 解析。 |
防火墙规则
请确保设置防火墙规则,以允许 ERCS VM 与外部存储位置之间的连接。
| 来源 | 目标 | 协议/端口 |
|---|---|---|
| ERCS VM 1 | 存储位置 | 445/SMB |
| ERCS VM 2 | 存储位置 | 445/SMB |
| ERCS VM 3 | 存储位置 | 445/SMB |
注释
无需打开入站端口。
加密要求
基础结构备份服务将使用带有公钥的证书(.CER)来加密备份数据,并使用带有私钥的证书(.PFX)在云恢复期间解密备份数据。 证书密钥长度必须为 2048 字节。
- 该证书用于传输密钥,不用于建立经过身份验证的安全通信。 因此,证书可以是自签名证书。 Azure Stack Hub 不需要验证此证书的根或信任,因此不需要外部 Internet 访问。
自签名证书分为两个部分,一个包含公钥,一个包含私钥:
- 加密备份数据:具有公钥的证书(导出到 .CER 文件)用于加密备份数据。
- 解密备份数据:使用私钥的证书(导出到 .PFX 文件用于解密备份数据。
具有公钥的证书(。CER) 不受内部机密轮换管理。 若要轮换证书,需要创建新的自签名证书并使用新文件更新备份设置()。CER)。
- 所有现有备份都使用以前的公钥保持加密状态。 新备份使用新的公钥。
使用带有私钥(.PFX)的证书进行云恢复时,出于安全原因,Azure Stack Hub 不会保留该证书。 在云恢复期间,需要显式提供此文件。
基础结构备份限制
规划、部署和管理 Azure Stack Hub 实例时,请考虑这些限制。 下表描述了这些限制。
基础结构备份限制
| 限制标识符 | 限度 | 注释 |
|---|---|---|
| 备份类型 | 仅限完整 | 基础结构备份控制器仅支持完整备份。 不支持增量备份。 |
| 定期备份 | 计划和手动 | 备份控制器支持计划备份和按需备份。 |
| 最大并发备份作业数 | 1 | 每个备份控制器实例仅支持一个活动备份作业。 |
| 网络交换机配置 | 不在范围内 | 管理员必须使用 OEM 工具备份网络交换机配置。 请参阅每个 OEM 供应商提供的 Azure Stack Hub 文档。 |
| 硬件生命周期管理主机 | 不在范围内 | 管理员必须使用 OEM 工具备份硬件生命周期主机。 请参阅每个 OEM 供应商提供的 Azure Stack Hub 文档。 |
| 文件共享的最大数目 | 1 | 只能使用一个文件共享来存储备份数据。 |
| 备份应用服务、功能、SQL、mysql 资源提供商数据 | 不在范围内 | 请参阅已发布的指南,了解如何部署和管理由微软创建的增值资源提供程序。 |
| 对第三方资源提供程序进行备份 | 不在范围内 | 请参阅已发布的指南,了解如何部署和管理第三方供应商创建的增值 RP。 |
后续步骤
- 若要详细了解基础结构备份服务,请参阅 使用基础结构备份服务的 Azure Stack Hub 的备份和数据恢复。