Habilitación automática de la copia de seguridad al crear máquinas virtuales mediante Azure PolicyAuto-Enable Backup on VM Creation using Azure Policy

Una de las principales responsabilidades de un administrador de copia de seguridad o de cumplimiento en una organización es asegurarse de que se realiza una copia de seguridad de todas las máquinas críticas para la empresa con el período de retención adecuado.One of the key responsibilities of a Backup or Compliance Admin in an organization is to ensure that all business-critical machines are backed up with the appropriate retention.

En la actualidad, Azure Backup proporciona una variedad de directivas integradas (con Azure Policy) para ayudarle a garantizar automáticamente que las máquinas virtuales de Azure estén configuradas para la copia de seguridad.Today, Azure Backup provides a variety of built-in policies (using Azure Policy) to help you automatically ensure that your Azure virtual machines are configured for backup. En función de cómo estén organizados los equipos y los recursos de copia de seguridad, puede usar cualquiera de las siguientes directivas:Depending on how your backup teams and resources are organized, you can use any one of the below policies:

Directiva 1: Configuración de la copia de seguridad en las VM sin una etiqueta dada en un almacén de Recovery Services existente en la misma ubicaciónPolicy 1 - Configure backup on VMs without a given tag to an existing recovery services vault in the same location

Si su organización tiene un equipo central de copia de seguridad que administra las copias de seguridad en todos los equipos de la aplicación, puede usar esta directiva para configurar la copia de seguridad en un almacén de Recovery Services central existente en la misma suscripción y ubicación que las máquinas virtuales que se controlan.If your organization has a central backup team that manages backups across application teams, you can use this policy to configure backup to an existing central Recovery Services vault in the same subscription and location as the VMs being governed. Puede optar por excluir máquinas virtuales que contengan una determinada etiqueta del ámbito de esta directiva.You can choose to exclude VMs which contain a certain tag, from the scope of this policy.

Directiva 2: [versión preliminar] Configuración de la copia de seguridad en las VM con una etiqueta dada en un almacén de Recovery Services existente en la misma ubicaciónPolicy 2 - [Preview] Configure backup on VMs with a given tag to an existing recovery services vault in the same location

Esta directiva funciona igual que la directiva 1 anterior, con la única diferencia de que puede usar esta directiva para incluir máquinas virtuales que contengan una etiqueta determinada en el ámbito de esta directiva.This policy works the same as Policy 1 above, with the only difference being that you can use this policy to include VMs which contain a certain tag, in the scope of this policy.

Directiva 3: [versión preliminar] Configuración de la copia de seguridad en las VM sin una etiqueta dada en un nuevo almacén de Recovery Services con una directiva predeterminadaPolicy 3 - [Preview] Configure backup on VMs without a given tag to a new recovery services vault with a default policy

Si organiza aplicaciones en grupos de recursos dedicados y desea que las copias de seguridad se realicen en el mismo almacén, esta directiva le permite administrar automáticamente esta acción.If you organize applications in dedicated resource groups and want to have them backed up by the same vault, this policy allows you to automatically manage this action. Puede optar por excluir máquinas virtuales que contengan una determinada etiqueta del ámbito de esta directiva.You can choose to exclude VMs which contain a certain tag, from the scope of this policy.

Directiva 4: [versión preliminar] Configuración de la copia de seguridad en las VM con una etiqueta dada en un nuevo almacén de Recovery Services con una directiva predeterminadaPolicy 4 - [Preview] Configure backup on VMs with a given tag to a new recovery services vault with a default policy

Esta directiva funciona igual que la directiva 3 anterior, con la única diferencia de que puede usar esta directiva para incluir máquinas virtuales que contengan una etiqueta determinada en el ámbito de esta directiva.This policy works the same as Policy 3 above, with the only difference being that you can use this policy to include VMs which contain a certain tag, in the scope of this policy.

Además de lo anterior, Azure Backup también proporciona una directiva de solo auditoría: Azure Backup debe estar habilitado para máquinas virtuales.In addition to the above, Azure Backup also provides an audit-only policy - Azure Backup should be enabled for Virtual Machines. Esta directiva identifica las máquinas virtuales que no tienen habilitada la copia de seguridad, pero no configura automáticamente las copias de seguridad de estas máquinas virtuales.This policy identifies which virtual machines do not have backup enabled, but doesn't automatically configure backups for these VMs. Esto resulta útil cuando solo está pensando en evaluar el cumplimiento general de las máquinas virtuales, pero no desea tomar medidas inmediatamente.This is useful when you are only looking to evaluate the overall compliance of the VMs but not looking to take action immediately.

Escenarios admitidosSupported Scenarios

  • La directiva integrada solo se admite actualmente para máquinas virtuales de Azure.The built-in policy is currently supported only for Azure VMs. Los usuarios deben tener cuidado para asegurarse de que la directiva de retención especificada durante la asignación sea una directiva de retención de máquinas virtuales.Users must take care to ensure that the retention policy specified during assignment is a VM retention policy. Consulte este documento para ver todas las SKU de máquina virtual que admite esta directiva.Refer to this document to see all the VM SKUs supported by this policy.

  • Las directivas 1 y 2 se pueden asignar a una única ubicación y suscripción a la vez.Policies 1 and 2 can be assigned to a single location and subscription at a time. Para habilitar la copia de seguridad de máquinas virtuales entre ubicaciones y suscripciones, es necesario crear varias instancias de la asignación de directiva, una para cada combinación de ubicación y suscripción.To enable backup for VMs across locations and subscriptions, multiple instances of the policy assignment need to be created, one for each combination of location and subscription.

  • En el caso de las directivas 1 y 2, actualmente no se admite el ámbito del grupo de administración.For Policies 1 and 2, management group scope is currently unsupported.

  • Para las directivas 1 y 2, el almacén especificado y las máquinas virtuales configuradas para la copia de seguridad pueden pertenecer a distintos grupos de recursos.For Policies 1 and 2, the specified vault and the VMs configured for backup can be under different resource groups.

  • Las directivas 1, 2, 3 y 4 no están disponibles actualmente en nubes nacionales.Policies 1, 2, 3 and 4 are currently not available in national clouds.

  • Las directivas 3 y 4 se pueden asignar a una sola suscripción a la vez (o a un grupo de recursos dentro de una suscripción).Policies 3 and 4 can be assigned to a single subscription at a time (or a resource group within a subscription).

Nota

A la funcionalidad que se describe en las secciones siguientes también se puede acceder a través del Centro de copias de seguridad.The functionality described in the following sections can also be accessed via Backup center. El Centro de copias de seguridad es una experiencia de administración unificada individual en Azure.Backup center is a single unified management experience in Azure. Permite que las empresas controlen, supervisen, operen y analicen copias de seguridad a escala.It enables enterprises to govern, monitor, operate, and analyze backups at scale. Con esta solución, es posible realizar la mayoría de las operaciones de administración de copia de seguridad de claves sin limitarse al ámbito de un almacén individual.With this solution, you can perform most of the key backup management operations without being limited to the scope of an individual vault.

Uso de directivas integradasUsing the built-in policies

En los pasos siguientes se describe el proceso de un extremo a otro de asignación de la directiva 1: Configuración de la copia de seguridad en las VM sin una etiqueta dada en un almacén de Recovery Services existente en la misma ubicación a un ámbito determinado.The below steps describe the end-to-end process of assigning Policy 1: Configure backup on VMs without a given tag to an existing recovery services vault in the same location to a given scope. Se aplicarán instrucciones similares para las otras directivas.Similar instructions will apply for the other policies. Una vez asignadas, las nuevas máquinas virtuales creadas en el ámbito se configuran automáticamente para la copia de seguridad.Once assigned, any new VM created in the scope is automatically configured for backup.

  1. Inicie sesión en Azure Portal y vaya al panel Directiva.Sign in to the Azure portal and navigate to the Policy Dashboard.
  2. Seleccione Definiciones en el menú de la izquierda para obtener una lista de todas las directivas integradas en los recursos de Azure.Select Definitions in the left menu to get a list of all built-in policies across Azure Resources.
  3. Filtre la lista por Categoría=Copia de seguridad y seleccione la directiva denominada "Configurar la copia de seguridad para máquinas virtuales de una ubicación en un almacén central existente de la misma ubicación".Filter the list for Category=Backup and select the policy named 'Configure backup on VMs of a location to an existing central Vault in the same location'. Panel de directivasPolicy Dashboard
  4. Seleccione el nombre de la directiva.Select the name of the policy. Se le redirigirá a la definición detallada de dicha directiva.You'll be redirected to the detailed definition for this policy. Panel de definición de directivaPolicy Definition pane
  5. Seleccione el botón Asignar en la parte superior del panel.Select the Assign button at the top of the pane. Esta acción le redirigirá al panel Asignar directiva.This redirects you to the Assign Policy pane.
  6. En Conceptos básicos, seleccione los tres puntos situados junto al campo Ámbito.Under Basics, select the three dots next to the Scope field. Se abrirá el panel de contexto adecuado, donde podrá seleccionar la suscripción en la que se va a aplicar la directiva.This opens up a right context pane where you can select the subscription for the policy to be applied on. También puede seleccionar un grupo de recursos, de modo que la directiva se aplique solo a las máquinas virtuales de un grupo de recursos determinado.You can also optionally select a resource group, so that the policy is applied only for VMs in a particular resource group. Conceptos básicos de la asignación de directivaPolicy Assignment Basics
  7. En la pestaña Parámetros, elija una ubicación de la lista desplegable y seleccione el almacén y la directiva de copia de seguridad a la que se deben asociar las máquinas virtuales del ámbito.In the Parameters tab, choose a location from the drop-down, and select the vault and backup policy to which the VMs in the scope must be associated. También puede especificar un nombre de etiqueta y una matriz de valores de etiqueta.You can also choose to specify a tag name and an array of tag values. Una máquina virtual que contenga cualquiera de los valores especificados para la etiqueta especificada se excluirá del ámbito de la asignación de directiva.A VM which contains any of the specified values for the given tag will be excluded from the scope of the policy assignment. Parámetros de la asignación de directivaPolicy Assignment Parameters
  8. Asegúrese de que Efecto esté establecido en deployIfNotExists.Ensure that Effect is set to deployIfNotExists.
  9. Vaya a Revisar + crear y seleccione Crear.Navigate to Review+create and select Create.

Nota

También se puede usar Azure Policy en máquinas virtuales existentes, mediante la corrección.Azure Policy can also be used on existing VMs, using remediation.

Nota

Se recomienda que esta directiva no se asigne a más de 200 máquinas virtuales a la vez.It's recommended that this policy not be assigned to more than 200 VMs at a time. Si la directiva está asignada a más de 200 máquinas virtuales, puede ocurrir que la copia de seguridad se desencadene unas horas después de lo especificado en la programación.If the policy is assigned to more than 200 VMs, it can result in the backup being triggered a few hours later than that specified by the schedule.

Pasos siguientesNext Steps

Más información acerca de Azure PolicyLearn more about Azure Policy