Azure 备份的不可变保管库通过阻止任何可能导致恢复点丢失的操作来帮助保护您的备份数据。 您可以将不可变保管库设置锁定,以使其无法被更改。 还可以使用 WORM(写入一次,读取许多)存储进行备份,以防止任何恶意执行组件禁用不可变性和删除备份。
开始前的注意事项
- 不可变保管库在所有 Azure 公共和美国政府区域中都可用。
- 恢复服务保管库和备份保管库支持不可变保管库功能。
- 启用不可变性会阻止你对保管库及其受保护项执行特定操作。
- 启用不可变性是对金库的可逆操作。 但是,您可以选择将操作设为不可逆,以防止恶意参与者禁用保管库并执行破坏性操作。
- 不可变性适用于保管库中的所有数据。 保管库中所有受保护的实例都应用了不可变性。
- 不可变性不适用于 Blob、文件和磁盘等资源的操作备份。
- 确保资源提供程序已在您的订阅
Microsoft.RecoveryServices中注册。 否则,区域冗余和保管库属性选项(如不可变性设置)将无法访问。
不可变性的工作原理
Azure 备份将数据与生产工作负荷隔离开来。 可以执行管理操作来对备份进行管理,包括删除恢复点的操作。
在某些情况下,你可能希望通过防止恶意行为者执行可能导致备份丢失的操作来使备份数据不可变。 可以使用保管库上的不可变性设置来阻止此类作并帮助保护备份数据,即使恶意执行组件尝试删除它们以影响数据的可恢复性。
使不可变性不可逆
保管库的不可变性是可逆的设置。 如果需要允许删除备份数据,可以禁用不可变性。
但是,我们建议在对不可变性的影响感到满意后,锁定保管库以使不可变保管库设置不可逆,并为备份启用 WORM 存储。 这些选择有助于确保不良参与者无法禁用不可变性。
不可变保管库设置接受以下三种状态:
| 不可变保管库设置的状态 | 说明 |
|---|---|
| 已禁用 | 保管库未启用不可变性,并且不会阻止任何操作。 |
| 已启用 | 保管库已启用不可变性,并且不允许导致备份丢失的操作。 可以禁用该设置。 |
| 启用并锁定 | 保管库已设置不可变性并启用了 WORM 存储,且不允许导致备份丢失的操作。 不可变保管库设置现已锁定,无法禁用。 不可变性锁定不可逆。 确保你对使用它的决定是经过充分信息的。 |
受限操作
不可变性可防止您在保管库上执行以下操作,这些操作可能导致数据丢失。
| 操作类型 | 说明 |
|---|---|
| 通过删除数据停止保护 | 受保护的项目在其各自的到期日期之前无法删除其恢复点。 但仍可停止对实例的保护,同时永久保留数据或直到其到期。 |
| 修改备份策略以减少保留期 | 在不可变保管库中,禁止执行任何缩短备份策略中保留期的操作。 但是,可以进行策略更改,以延长保留期。 还可以更改备份策略的计划。 如果任何项目已暂停备份,则无法应用保留期的增加。 |
| 更改备份策略以减少保留期 | 阻止任何尝试将与备份项关联的备份策略替换为另一个保留期低于现有策略的备份策略。 但是,可以将策略替换为具有较长保留期的策略。 |