使用 Azure 备份服务器备份 VMware VM

项目
03/12/2024

本文介绍如何使用 Microsoft Azure 备份服务器 (MABS) 将 VMware ESXi 主机/vCenter 服务器上运行的 VMware VM 备份到 Azure。

VMware VM 保护工作流

若要使用 Azure 备份保护 VMware VM，需要：

设置一个安全通道，使 Azure 备份服务器能够通过 HTTPS 来与 VMware 服务器通信。
设置一个可供 Azure 备份服务器用来访问 VMware 服务器的 VMware 帐户。
将帐户凭据添加到 Azure 备份。
将 vCenter 或 ESXi 服务器添加到 Azure 备份服务器。
设置一个包含要备份的 VMware VM 的保护组，指定备份设置，并计划备份。

支持矩阵

本部分提供用于保护 VMware VM 的受支持方案。

支持的 VMware 功能

MABS 提供了备份 VMware 虚拟机时的以下功能：

无代理备份：MABS 不需要在 vCenter 或 ESXi 服务器上安装代理即可备份虚拟机。只需提供 IP 地址或完全限定的域名 (FQDN)，以及通过 MABS 对 VMware 服务器进行身份验证所使用的登录凭据。
云集成备份：MABS 保护磁盘和云的工作负载。 MABS 的备份和恢复工作流有助于管理长期保留和异地备份。
检测并保护 vCenter 管理的 VM：MABS 检测并保护 VMware 服务器（vCenter 或 ESXi 服务器）上部署的 VM。当部署规模增大时，使用 vCenter 来管理 VMware 环境。 MABS 还可以检测 vCenter 管理的 VM，支持保护大型部署。
文件夹级自动保护：vCenter 允许组织 VM 文件夹中的 VM。 MABS 可检测这些文件夹，支持在文件夹级别保护 VM 和添加所有子文件夹。保护文件夹时，MABS 不仅保护该文件夹中的 VM，还保护后续添加的 VM。 MABS 每天检测新的 VM，并自动对其进行保护。在递归文件夹中整理 VM 时，MABS 会自动检测并保护递归文件夹中部署的新 VM。
MABS 保护本地磁盘、网络文件系统 (NFS) 或群集存储中存储的 VM。
MABS 保护为实现负载均衡而迁移的 VM：由于迁移 VM 是为了实现负载均衡，因此 MABS 会自动检测并持续进行 VM 保护。
MABS 可以在不恢复整个 VM 的情况下恢复 Windows VM 中的文件/文件夹，这有助于更快地恢复必需的文件。

支持的 MABS 版本

MABS 版本	受支持的用于备份的 VMware VM 版本
MABS v4	VMware 服务器 8.0、7.0、6.7 或 6.5（许可版本）
MABS v3 UR2	VMware 服务器 7.0、6.7、6.5 或 6.0（经许可版本）
MABS v3 UR1	VMware 服务器 6.7、6.5、6.0 或 5.5（经许可版本）

先决条件和限制

开始备份 VMware 虚拟机之前，请查看以下限制和先决条件的列表。

如果一直使用 MABS 将 vCenter Server 作为使用服务器 FQDN 的 Windows Server 进行保护，则无法将该 vCenter Server 作为使用服务器 FQDN 的 VMware 服务器进行保护。
- 可以使用 vCenter Server 的静态 IP 地址作为解决方法。
- 如果要使用 FQDN，应停止作为 Windows Server 进行保护，删除保护代理，然后添加为使用 FQDN 的 VMware Server。
如果使用 vCenter 管理环境中的 ESXi 服务器，请将 vCenter（而非 ESXi）添加到 MABS 保护组。
无法在第一次 MABS 备份前备份用户快照。 MABS 完成第一次备份后，你可以备份用户快照。
MABS 无法通过直通磁盘和物理原始设备映射 (pRDM) 保护 VMware VM。
MABS 无法检测或保护 VMware vApps。
MABS 无法使用现有快照保护 VMware VM。
MABS v4 不支持 VMware 8.0 的数据集功能。

开始之前

验证运行的是否是支持备份的 vCenter/ESXi 版本。请参阅此处的支持矩阵。
确保已设置 Azure 备份服务器。如果没有，请在开始之前进行设置。应运行装有最新更新的 Azure 备份服务器。
确保以下网络端口处于打开状态：
- MABS 与 vCenter 之间的 TCP 443
- MABS 与 ESXi 主机之间的 TCP 443 和 TCP 902

与 vCenter 服务器建立安全连接

默认情况下，Azure 备份服务器通过 HTTPS 来与 VMware 服务器通信。若要设置 HTTPS 连接，请下载 VMware 证书颁发机构 (CA) 证书，并将其导入到 Azure 备份服务器。

准备阶段

如果不想使用 HTTPS，可以对所有 VMware 服务器禁用 HTTPS 证书验证。
通常，你会使用 vSphere Web 客户端从 Azure 备份服务器计算机上的浏览器连接到 vCenter/ESXi 服务器。首次执行此操作时，连接并不安全，会显示以下消息。
必须了解 Azure 备份服务器处理备份的方式。
- Azure 备份服务器首先将数据备份到本地磁盘存储。对于保护的数据，Azure 备份服务器将使用存储池，即，Azure 备份服务器用来存储磁盘恢复点的一组磁盘和卷。该存储池可以是直接附加存储 (DAS)、光纤通道 SAN，或者 iSCSI 存储设备或 SAN。必须确保为 VMware VM 数据的本地备份提供足够的存储空间。
- 然后，Azure 备份服务器会从本地磁盘存储备份到 Azure。
- 获取测算所需存储空间量的帮助。该信息适用于 DPM，但也适用于 Azure 备份服务器。

设置证书

按如下所述设置安全通道：

在 Azure 备份服务器上的浏览器中，输入 vSphere Web 客户端 URL。如果登录页未显示，请验证连接和浏览器代理设置。
在 vSphere Web 客户端登录页上，选择“下载受信任的根 CA 证书”。
随后将下载名为 download 的文件。根据所用的浏览器，此时会出现一条消息，询问是打开还是保存该文件。
以 .zip 扩展名将该文件保存在 Azure 备份服务器计算机上。
右键单击“download.zip”并选择“全部解压缩”。 .zip 文件的内容将解压缩到 certs 文件夹，其中包含：
- 根证书文件的扩展名以类似 .0 和 .1 的编号顺序开头。
- CRL 文件的扩展名以类似 .r0 或 .r1 的序列开头。 CRL 文件与证书关联。
在 certs 文件夹中，右键单击根证书文件 >“重命名”。
将根证书的扩展名更改为 .crt，并确认。文件图标将更改为表示根证书的图标。
右键单击根证书，然后在弹出菜单中选择“安装证书”。
在“证书导入向导”中，选择“本地计算机”作为证书的目标，然后选择“下一步” 。如果系统询问是否要允许对计算机所做的更改，请确认。
在“证书存储”页面上，选择“将所有证书放入下列存储”，然后选择“浏览”以选择证书存储。
在“选择证书存储”中，选择“受信任的根证书颁发机构”作为证书的目标文件夹，然后选择“确定”。
在“正在完成证书导入向导”中检查文件夹，然后选择“完成”。
确认导入证书后，登录到 vCenter 服务器以确认连接安全。

禁用 HTTPS 证书验证

如果你在组织中创建了安全边界并且不想要在 VMware 服务器与 Azure 备份服务器计算机之间使用 HTTPS 协议，请按如下所述禁用 HTTPS：

将以下文本复制并粘贴到 .txt 文件中。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\VMWare]
"IgnoreCertificateValidation"=dword:00000001

使用文件名 DisableSecureAuthentication.reg 将该文件保存在 Azure 备份服务器计算机上。
双击文件激活注册表项。

创建 VMware 角色

Azure 备份服务器需要一个有权访问 V-Center 服务器/ESXi 主机的用户帐户。创建一个具有特定特权的 VMware 角色，然后将某个用户帐户关联到该角色。

登录到 vCenter 服务器（如果不使用 vCenter 服务器，则登录到 ESXi 主机）。
在“导航器”面板中，选择“管理”。
在“管理”>“角色”中，选择“添加角色”图标（加号）。
在“创建角色”>“角色名称”中，输入 BackupAdminRole。角色名称可以是所需的任何名称，但应有助于识别该角色。
选择下表中汇总的特权，然后选择“确定”。新角色随即显示在“角色”窗格中的列表内。
- 选择父标签旁的图标展开父级，并查看子级特权。
- 若要选择 VirtualMachine 权限，需跳转几个级别转到父子层次结构。
- 不需要选择父特权中的所有子特权。

角色权限

下表说明了需要向你创建的用户帐户分配的特权：

注意

下表列出了针对 vCenter 6.0 和 vCenter 5.5 用户帐户的特权。

适用于 vCenter 6.0 用户帐户的特权	适用于 vCenter 5.5 用户帐户的特权
`Datastore.AllocateSpace`	`Network.Assign`
`Global.Manage custom attributes`	`Datastore.AllocateSpace`
`Global.Set custom attribute`	`VirtualMachine.Config.ChangeTracking`
`Host.Local operations.Create virtual machine`	`VirtualMachine.State.RemoveSnapshot`
`Network. Assign network`	`VirtualMachine.State.CreateSnapshot`
`Resource. Assign virtual machine to resource pool`	`VirtualMachine.Provisioning.DiskRandomRead`
`Virtual machine.Configuration.Add new disk`	`VirtualMachine.Interact.PowerOff`
`Virtual machine.Configuration.Advanced`	`VirtualMachine.Inventory.Create`
`Virtual machine.Configuration.Disk change tracking`	`VirtualMachine.Config.AddNewDisk`
`Virtual machine.Configuration.Host USB device`	`VirtualMachine.Config.HostUSBDevice`
`Virtual machine.Configuration.Query unowned files`	`VirtualMachine.Config.AdvancedConfig`
`Virtual machine.Configuration.Swapfile placement`	`VirtualMachine.Config.SwapPlacement`
`Virtual machine.Interaction.Power Off`	`Global.ManageCustomFields`
`Virtual machine.Inventory. Create new`
`Virtual machine.Provisioning.Allow disk access`
`Virtual machine.Provisioning. Allow read-only disk access`
`Virtual machine.Snapshot management.Create snapshot`
`Virtual machine.Snapshot management.Remove Snapshot`

创建 VMware 帐户

若要创建 VMware 帐户，请执行以下步骤：

在 vCenter Server 的“导航器”面板中，选择“用户和组”。如果不使用 vCenter 服务器，请在相应的 ESXi 主机上创建帐户。

此时会显示“vCenter 用户和组”面板。
在“vCenter 用户和组”面板中，选择“用户”选项卡，然后选择“添加用户”图标（加号）。
在“新建用户”对话框中，添加用户信息并选择“确定”。在此过程中，用户名是 BackupAdmin。
若要将用户帐户与角色关联，请在“导航器”面板中选择“全局权限”。

在“全局权限”面板中选择“管理”选项卡，然后选择“添加”图标（加号）。
在“全局权限 Root - 添加权限”中，选择“添加”选择用户或组。
在“选择用户/组”中，选择“BackupAdmin”>“添加”。在“用户”中，用户帐户采用“域\用户名”格式。若要使用其他域，请从“域”列表中选择该域。选择“确定”，将选定的用户添加到“添加权限”对话框中。
在“分配的角色”的下拉列表中，选择“BackupAdminRole”>“确定”。

新用户帐户和关联的角色将显示在“全局权限”面板的“管理”选项卡上的列表中。

在 Azure 备份服务器上添加帐户

若要在 Azure 备份服务器上添加帐户，请执行以下步骤：

打开 Azure 备份服务器。

如果在桌面上找不到该图标，请从应用列表中打开“Azure 备份”。
在 Azure 备份服务器控制台中，选择“管理”>“生产服务器”>“管理 VMware”。
在“管理凭据”对话框中，选择“添加”。
在“添加凭据”中，输入新凭据的名称和说明，并指定在 VMware 服务器上定义的用户名和密码。名称 Contoso Vcenter credential 用于标识此过程中的凭据。如果 VMware 服务器和 Azure 备份服务器不在同一个域中，请在用户名中指定域。
选择“添加”以添加新凭据。

添加 vCenter 服务器

若要将 vCenter Server 添加到 Azure 备份服务器，请执行以下步骤：

在 Azure 备份服务器控制台中，选择“管理”>“生产服务器”>“添加”。
在“生产服务器添加向导”>“选择生产服务器类型”页中，选择“VMware 服务器”，然后选择“下一步”。
在“选择计算机”中的“服务器名称/IP 地址”下，指定 VMware 服务器的 FQDN 或 IP 地址。如果所有 ESXi 服务器由同一个 vCenter 管理，请指定 vCenter 名称。否则请添加 ESXi 主机。
在“SSL 端口”中，输入用于与 VMware 服务器通信的端口。 443 是默认端口，但如果 VMware 服务器在不同的端口上侦听，则你可以更改端口。
在“指定凭据”中，选择先前创建的凭据。
选择“添加”将 VMware 服务器添加到服务器列表。然后，选择“下一步”。
在“摘要”页中选择“添加”，将 VMware 服务器添加到 Azure 备份服务器。新服务器会立即添加，无需在 VMware 服务器上安装代理。
在“完成”页上检查设置。

如果有多个 ESXi 主机不受 vCenter 服务器的管理，或者有多个 vCenter 服务器实例，则需要重新运行向导来添加服务器。

配置保护组

添加要备份的 VMware VM。保护组收集多个 VM，并将相同的数据保留和备份设置应用到组中的所有 VM。执行以下步骤：

在 Azure 备份服务器控制台中，选择“保护”>“新建”。
在“新建保护组”向导的欢迎页中，选择“下一步”。
在“选择保护组类型”页上，选择“服务器”，然后选择“下一步” 。此时会显示“选择组成员”页。
在“选择组成员”中，选择要备份的 VM（或 VM 文件夹）。然后，选择“下一步”。
- 选择某个文件夹时，也会选择该文件夹中的 VM 或子文件夹进行备份。可以取消选中不想要备份的文件夹或 VM。
如果 VM 或文件夹已在备份，则无法选择它。这可以确保不会为 VM 创建重复的恢复点。
在“选择数据保护方法”页中，输入保护组的名称和保护设置。若要备份到 Azure，请将短期保护设置为“磁盘”，并启用联机保护。然后，选择“下一步”。
在“指定短期目标”中，指定要在磁盘中备份数据多长时间。
- 在“保留期”中，指定保留磁盘恢复点的天数。
- 在“同步频率”中，指定创建磁盘恢复点的频率。
  - 如果不想要设置备份间隔，可以选中“紧靠在恢复点之前”，以便计划每个恢复点之前的那一刻运行备份。
  - 短期备份是完整备份而不是增量备份。
  - 选择“修改”以更改执行短期备份的时间/日期。
在“检查磁盘分配”中，检查为 VM 备份提供的磁盘空间。对于 VM。
- 建议的磁盘分配基于指定的保留期、工作负荷类型，以及受保护数据的大小。做出任何所需的更改，然后选择“下一步”。
- 数据大小： 保护组中数据的大小。
- 磁盘空间： 为保护组建议的磁盘空间量。若要修改此设置，所分配的总空间应比每个数据源预计增长量略大。
- 共置数据： 如果启用共置，受保护的多个数据源可以映射到单个副本和恢复点卷。并非所有工作负荷都支持归置。
- 自动增长： 如果启用此设置，当受保护组中的数据超过初始分配时，Azure 备份服务器会尝试将磁盘大小增加 25%。
- 存储池详细信息： 显示存储池的状态，包括总磁盘大小和剩余磁盘大小。
在“选择副本创建方法”页中指定如何创建初始备份，然后选择“下一步”。
- 默认设置为“自动通过网络”和“立即”。
- 若使用默认设置，则建议指定非高峰时间。选择“稍后”并指定日期和时间。
- 如果数据量很大或者网络状态欠佳，请考虑使用可移动介质脱机复制数据。
在“一致性检查选项”中，选择如何以及何时自动执行一致性检查。然后，选择“下一步”。
- 当副本数据变得不一致时，可以运行一致性检查；也可以根据设置的计划运行该检查。
- 如果不想配置自动一致性检查，可运行手动检查。为此，请右键单击保护组 >“执行一致性检查”。
在“指定联机保护数据”页中，选择要备份的 VM 或 VM 文件夹。可以选择单个成员，或者选择“全选”选择所有成员。然后，选择“下一步”。
在“指定联机备份计划”页中，指定将数据从本地存储备份到 Azure 的频率。
- 将根据计划生成数据的云恢复点。然后，选择“下一步”。
- 生成恢复点后，该恢复点将传输到 Azure 中的恢复服务保管库。
在“指定联机保留策略”页中，指明要在 Azure 中将通过每天/每周/每月/每年备份创建的恢复点保留多长时间。然后选择“下一步”。
- 在 Azure 中保留数据的时间长短没有限制。
- 唯一的限制是每个受保护实例的恢复点不可超过 9999 个。在本示例中，受保护的实例是 VMware 服务器。
在“摘要”页中检查设置，然后选择“创建组” 。

VMware 并行备份

注意

此功能适用于 MABS V3 UR1（及更高版本）。

早期版本的 MABS 仅跨保护组执行并行备份。借助 MABS V3 UR1（及更高版本），单个保护组中的所有 VMware VM 备份将并行进行，从而提高 VM 备份速度。所有 VMware 增量复制作业将并行运行。默认情况下，并行运行的作业数设置为 8。

你可以如下所示使用注册表项来修改作业数（默认情况下不存在此注册表项，你需要添加它）：

注册表项路径：HKLM\Software\Microsoft\Microsoft Data Protection Manager\Configuration\ MaxParallelIncrementalJobs
密钥类型：DWORD（32 位）VMware。数据：数字，该值应是为并行备份选择的虚拟机数（十进制）。

注意

你可以将作业数修改为较高的值。如果将作业数设置为 1，则复制作业将按顺序运行。若要将此数量增加到更大的值，则必须考虑 VMware 性能。考虑 VMWare vSphere Server 上正在使用的资源数量和所需的额外使用量，并确定要并行运行的增量复制作业的数量。此外，此更改将仅影响新创建的保护组。对于现有保护组，你必须临时向保护组中添加另一个 VM。这会相应地更新保护组配置。完成此过程后，可以从保护组中删除此 VM。

VMware vSphere 6.7、7.0 和 8.0

要备份 vSphere 6.7、7.0 和 8.0，请执行以下步骤：

在 MABS 服务器上启用 TLS 1.2

注意

VMware 6.7 及更高版本已启用 TLS 作为通信协议。

按如下所示设置注册表项：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

从 VMware VM 备份中排除磁盘

借助 MABS V3 UR1（及更高版本），你可以从 VMware VM 备份中排除特定的磁盘。配置脚本 ExcludeDisk.ps1 位于 C:\Program Files\Azure Backup Server\DPM\DPM\bin folder 中。

若要配置磁盘排除，请执行以下步骤：

识别要排除的 VMware VM 和磁盘详细信息

在 VMware 控制台上，转到你要为其排除磁盘的 VM 设置。
选择要排除的磁盘并记下该磁盘的路径。

例如，若要从 TestVM4 中排除硬盘 2，则硬盘 2 的路径为 [datastore1] TestVM4/TestVM4_1.vmdk。

配置 MABS 服务器

导航到为 VMware VM 配置了保护的 MABS 服务器，以配置磁盘排除。

获取在 MABS 服务器上受保护的 VMware 主机的详细信息。

$psInfo = get-DPMProductionServer
$psInfo

ServerName   ClusterName     Domain            ServerProtectionState
----------   -----------     ------            ---------------------
Vcentervm1                   Contoso.COM       NoDatasourcesProtected

选择 VMware 主机，然后列出 VMware 主机的 VM 保护。

$vmDsInfo = get-DPMDatasource -ProductionServer $psInfo[0] -Inquire
$vmDsInfo

Computer     Name     ObjectType
--------     ----     ----------
Vcentervm1  TestVM2      VMware
Vcentervm1  TestVM1      VMware
Vcentervm1  TestVM4      VMware

选择要为其排除磁盘的 VM。

$vmDsInfo[2]

Computer     Name      ObjectType
--------     ----      ----------
Vcentervm1   TestVM4   VMware

若要排除磁盘，请导航到 Bin 文件夹，并使用以下参数运行 ExcludeDisk.ps1 脚本：

注意

在运行此命令之前，请在 MABS 服务器上停止 DPMRA 服务。否则，该脚本将返回成功，但不会更新排除列表。在停止服务之前，请确保没有正在进行的作业。

若要在排除中添加/删除磁盘，请运行以下命令：
```
./ExcludeDisk.ps1 -Datasource $vmDsInfo[0] [-Add|Remove] "[Datastore] vmdk/vmdk.vmdk"
```
示例：

若要为 TestVM4 添加磁盘排除，请运行以下命令：
```
C:\Program Files\Azure Backup Server\DPM\DPM\bin> ./ExcludeDisk.ps1 -Datasource $vmDsInfo[2] -Add "[datastore1] TestVM4/TestVM4\_1.vmdk"
```
```
Creating C:\Program Files\Azure Backup Server\DPM\DPM\bin\excludedisk.xml
Disk : [datastore1] TestVM4/TestVM4\_1.vmdk, has been added to disk exclusion list.
```

验证是否已添加要排除的磁盘。

若要查看特定 VM 的现有排除，请运行以下命令：

./ExcludeDisk.ps1 -Datasource $vmDsInfo[0] [-view]

示例

C:\Program Files\Azure Backup Server\DPM\DPM\bin> ./ExcludeDisk.ps1 -Datasource $vmDsInfo[2] -view

<VirtualMachine>
  <UUID>52b2b1b6-5a74-1359-a0a5-1c3627c7b96a</UUID>
  <ExcludeDisk>[datastore1] TestVM4/TestVM4\_1.vmdk</ExcludeDisk>
</VirtualMachine>

为此 VM 配置保护后，保护期间不会列出已排除的磁盘。

注意

如果为已受保护的 VM 执行这些步骤，则需在添要排除的磁盘后手动运行一致性检查。

从排除中删除磁盘

若要从排除中删除磁盘，请运行以下命令：

C:\Program Files\Azure Backup Server\DPM\DPM\bin> ./ExcludeDisk.ps1 -Datasource $vmDsInfo[2] -Remove "[datastore1] TestVM4/TestVM4\_1.vmdk"

ApplicationQuiesceFault

回退到 VMware VM 的崩溃一致性备份

如果存在以下情况，运行 Windows 的 VMware VM 的应用程序一致性备份可能会失败，并出现 ApplicationQuiesceFault 错误：

VM 中的 VSS 提供程序未处于稳定状态。
VM 负载过大。

若要解决此静止错误，并使用崩溃一致性备份重试失败的应用程序一致性备份，请在运行 V4 UR1 或更高版本的 MABS 服务器上使用以下注册表项：

Name - FailbackToCrashConsistentBackup DWORD = 1
Path- SOFTWARE\\MICROSOFT\\MICROSOFT DATA PROTECTION MANAGER\\VMWare