本文介绍了 Azure 备份如何使用内置的 Azure Policy 定义来自动审核和强制执行 Azure 文件的备份配置,确保符合组织数据保护标准。
根据备份团队的结构和资源组织,可以从以下选项中选择最合适的策略,以确保有效且一致的备份管理。
下表列出了允许自动管理 Azure 文件存储实例备份的各种策略类型:
| 策略类型 | DESCRIPTION |
|---|---|
| 策略 1 | 为没有指定标记的 Azure 文件配置备份,并将其保存到同一位置的现有恢复服务保管库中。 |
| 策略 2 | 在同一位置的现有恢复服务保管库中,为具有指定标签的 Azure 文件配置备份。 |
| 策略 3 | 使用新策略为没有给定标记的 Azure 文件配置备份到新的恢复服务保管库。 |
| 策略 4 | 使用新策略将具有给定标记的 Azure 文件存储备份配置到新的恢复服务保管库。 |
| 策略 5 | 验证是否在 Azure 文件上启用了 Azure 备份。 |
此策略强制对所有 Azure 文件进行备份,通过将其配置为使用与存储帐户位于相同位置和订阅中的现有中央恢复服务库。 它适用于中心团队管理订阅中所有资源的备份的情况。 可以使用特定标记排除存储帐户中的 Azure 文件,以优化策略范围。
该策略会检查存储帐户中的 TagNames 和 TagValues 以确定排除项。 它从符合性报告中排除具有指定标记的任何存储帐户。 该策略使用提供的参数评估每个存储帐户及其文件共享,并在 Azure 门户中显示结果。
评估工作流按以下条件运行:
存储帐户已在恢复服务保管库中注册:如果文件共享已备份,则不采取任何措施。 如果没有,并且存储帐户已链接到策略中指定的恢复服务保管库,则启用备份。 如果链接到不同的恢复服务保管库,则会跳过备份。
存储帐户未注册到恢复服务保管库:存储帐户注册到指定的恢复服务保管库,并且会自动备份存储帐户中的所有文件共享。
此策略通过将所有 Azure 文件存储定向到与存储帐户位于同一位置和订阅的指定恢复服务保管库来强制实施所有 Azure 文件存储的备份。 适合有中心团队负责管理备份的组织。 可以通过设置所需的 TagName 和 TagValue,将策略范围限制为具有特定标记的存储帐户。
策略基于提供的标记检查存储帐户,并应用备份设置。 如果它在符合条件的帐户中找到未受保护的文件共享,则会应用以下逻辑并在 Azure 门户中显示结果:
存储帐户已注册到恢复服务保管库:如果所有文件共享都已备份,则策略不采取任何措施。 如果任何文件共享未配置备份,并且存储帐户与策略中指定的恢复服务保管库匹配,则启用备份。 如果存储帐户链接到其他恢复服务保管库,则策略不会进行更改。
存储帐户未注册到任何恢复服务保管库:策略向指定的恢复服务保管库注册存储帐户,并自动启动其所有文件共享的备份作。
备注
具有指定包含标记的存储帐户会在评估期间显示,并在合规性报告中显示。
此策略通过在存储帐户所在的同一位置和资源组中部署恢复服务保管库,为所有 Azure 文件强制实施备份。 它适用于应用程序团队在其自己的资源组中管理备份的组织。 可以排除具有特定标记的存储帐户(TagName 和 TagValue)以优化策略范围。 该策略基于定义的参数检查每个存储帐户,跳过具有排除标记的存储帐户,并从符合性报告中省略这些存储帐户。
评估工作流按以下条件运行:
存储帐户已注册到恢复服务保管库:如果所有文件共享都已备份,则策略不采取任何措施。 如果文件共享未设置备份,并且与策略中指定的恢复服务保管库位于同一个存储帐户中,则备份将在运行一次性修正任务后开始。 此任务仅运行一次;同一帐户中将来的文件共享会自动备份。
存储帐户未注册到任何恢复服务保管库:该策略在存储帐户所在的资源组和位置中创建新的恢复服务保管库。 然后,它会将这个存储帐户自动注册到该保管库,并自动备份该帐户中的所有文件共享。
此策略通过创建与存储帐户相同的位置和资源组中的恢复服务保管库,为所有 Azure 文件强制实施备份。 它适用于这样的组织:应用程序团队在专用资源组中自行管理备份和还原操作。 可以将策略范围限制为具有特定标记(TagName 和 TagValue)的存储帐户,以便进行精确控制。
该策略基于定义的参数检查每个存储帐户。 它包括与指定标记匹配的帐户,并在 Azure 门户中反映其符合性状态。
评估工作流按以下条件运行:
存储帐户已在恢复服务保管库中注册:如果所有文件共享都已备份,则策略不采取任何作。 如果任何文件共享没有配置备份,而它在与策略中指定的恢复服务保管库相同的存储帐户中,那么备份将在运行一次性修正任务后开始。 完成此任务后,将自动备份同一帐户中将来的文件共享。
存储帐户未注册到任何恢复服务保管库:该策略在存储帐户所在的位置和资源组中创建新的恢复服务保管库,使用此保管库注册存储帐户,并自动备份其中的所有文件共享。
此策略验证是否使用 Azure 备份配置了 Azure 文件保护,这是一种安全且经济高效的解决方案,用于保护 Azure 工作负荷。 它生成一个报告,其中列出了符合和不符合的资源。
下表列出了可用策略类型的受支持和不支持的方案:
| 策略类型 | 已支持 | 不支持 |
|---|---|---|
| 策略 1 和 2 | 一次可以分配到单个位置和订阅。 若要为跨位置和订阅的文件启用备份,需要创建策略分配的多个实例,每个位置与订阅的组合都有一个。 - 指定用于备份配置的保管库和 Azure 文件可以位于不同的资源组中。 |
当前不支持管理组范围。 |
| 策略 3 和 4 | 可以一次分配到单个订阅(或订阅中的资源组)。 |
本部分概述了分配策略 1 的端到端步骤。 相同的说明适用于其他策略。 分配后,策略会自动为在定义范围内创建的任何新文件共享配置备份。
若要为 Azure 文件存储备份分配策略 1,请执行以下步骤:
在 Azure 门户中,转到 “策略>创作>定义 ”,查看 Azure 资源中的所有内置策略。
在“ 策略定义 ”窗格中,将 “类别 ”列表筛选为 “备份”,将 策略类型 作为 “内置”,然后选择名为 “为 Azure 文件共享配置备份”的策略,而不为同一位置的现有恢复服务保管库指定标记。
在所选策略窗格中,查看策略详细信息,然后选择“ 分配策略”。
在“分配策略”窗格的“基本信息”选项卡上,选择对应于“范围”的“更多”图标。
在右侧上下文窗格中,选择要应用策略的订阅。
还可以选择资源组,以便策略仅适用于特定资源组中的 VM。
在“ 参数 ”选项卡上,提供作用域中 Azure 文件必须关联的 位置、 保管库名称、 备份策略名称 。
还可以指定标记名称和标记值的数组。 包含给定标记的任何指定值的文件共享将从策略分配的范围中排除。
确保 效果 设置为
deployIfNotExists。在“查看 + 创建”选项卡上,选择“创建”。
备注
避免将此策略同时分配给 200 多个文件共享 ,因为它可能会将备份触发器延迟数小时,超出计划时间。