使用 Azure Policy 为托管磁盘审核和强制执行备份
在一个组织中,备份或法规符合性管理员的主要职责之一是确保所有业务关键型计算机都以适当的保留期进行备份。
如今,Azure 备份提供各种内置策略(使用 Azure 策略)来帮助你自动确保将 Azure 虚拟机配置为进行备份。 根据备份团队和资源的组织方式,可以使用以下任一策略:
策略 1 - 应当为托管磁盘启用 Azure 备份
使用仅审核策略来识别未启用备份的磁盘。 但是,此策略不会自动为这些磁盘配置备份。 如果只是想评估磁盘的总体合规性,但不希望立即采取措施时,此策略非常有用。
策略 2 - 将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库
组织的中心备份团队可以使用此策略来配置备份到与受管辖 VM 相同的订阅和位置中的现有中央恢复服务保管库。 你可以选择在此策略的作用域中包括包含特定标记的 VM。
策略 3 - 将没有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库
此策略的工作方式与上面的策略 2 相同,唯一的区别在于,你可以使用此策略将包含特定标记的磁盘从此策略的作用域中排除。
支持的场景
在审核 AKS 群集并强制为其执行备份之前,请查看支持的以下方案:
内置策略当前仅支持 Azure 托管磁盘。 请确保在分配期间指定的备份保管库和备份策略是磁盘备份策略。
策略 2 和 3 一次可以分配给一个位置和订阅。 若要跨位置和订阅启用磁盘备份,需要创建策略分配的多个实例,位置和订阅的每个组合都需要创建一个实例。
对于策略 1、2 和 3,当前不支持管理组作用域。
对于策略 2 和 3,指定的保管库和为备份配置的磁盘可以位于不同的资源组下。
使用内置策略
以下步骤介绍了分配策略 2:将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库的端到端过程。 类似的说明也适用于其他策略。 分配后,将自动为在此作用域中创建的任何新托管磁盘配置备份。
若要分配策略 2,请执行以下步骤:
登录到 Azure 门户并导航到“策略”仪表板。
在左边的菜单中选择“定义”以获取跨 Azure 资源的所有内置策略的列表。
根据“类别=备份”条件筛选列表,然后选择名为将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库的策略。
- 选择该策略的名称。 然后,你将被重定向到此策略的详细定义。
选择窗格顶部的“分配”按钮。 随后会重定向到“分配策略”窗格。
在“基础”下,选择“范围”字段旁边的三个点 。 它会在右侧打开一个上下文窗格,可以在其中选择要应用策略的订阅。 还可以选择资源组,使该策略仅应用于特定资源组中的磁盘。
- 在“参数”选项卡中,从下拉列表中选择一个位置,然后选择保管库、此作用域中的磁盘必须关联的备份策略。 还可选择指定标记名称和标记值数组。 策略分配的作用域中将包括包含给定标记的任何指定值的磁盘。
确保将“效果”设置为 deployIfNotExists。
导航到“查看+创建”,然后选择“创建” 。
注意
- 使用修正启用现有托管磁盘的策略。
- 建议不要一次将此策略分配给 200 个以上的磁盘。 如果将此策略分配给超过 200 个磁盘,则可能导致备份触发时间比计划指定的时间晚几个小时。