Abilitare automaticamente il backup durante la creazione di macchine virtuali con Criteri di AzureAuto-Enable Backup on VM Creation using Azure Policy

Una delle responsabilità principali di un amministratore di backup o di conformità in un'organizzazione è garantire che tutti i computer cruciali per l'azienda vengano sottoposti a backup con il periodo di conservazione appropriato.One of the key responsibilities of a Backup or Compliance Admin in an organization is to ensure that all business-critical machines are backed up with the appropriate retention.

Attualmente, backup di Azure offre un'ampia gamma di criteri predefiniti, usando criteri di Azure, che consentono di verificare automaticamente che le macchine virtuali di Azure siano configurate per il backup.Today, Azure Backup provides a variety of built-in policies (using Azure Policy) to help you automatically ensure that your Azure virtual machines are configured for backup. A seconda di come sono organizzati i team e le risorse di backup, è possibile usare uno dei criteri seguenti:Depending on how your backup teams and resources are organized, you can use any one of the below policies:

Criteri 1: configurare il backup nelle VM senza un determinato tag in un insieme di credenziali di servizi di ripristino esistente nello stesso percorsoPolicy 1 - Configure backup on VMs without a given tag to an existing recovery services vault in the same location

Se l'organizzazione dispone di un team di backup centrale che gestisce i backup tra i team di applicazioni, è possibile usare questo criterio per configurare il backup in un insieme di credenziali di servizi di ripristino centrale esistente nella stessa sottoscrizione e nella stessa posizione delle macchine virtuali da governare.If your organization has a central backup team that manages backups across application teams, you can use this policy to configure backup to an existing central Recovery Services vault in the same subscription and location as the VMs being governed. È possibile scegliere di escludere le VM che contengono un determinato tag, dall'ambito di questi criteri.You can choose to exclude VMs which contain a certain tag, from the scope of this policy.

Criterio 2-[Anteprima] configurare il backup nelle VM con un determinato tag in un insieme di credenziali di servizi di ripristino esistente nello stesso percorsoPolicy 2 - [Preview] Configure backup on VMs with a given tag to an existing recovery services vault in the same location

Questo criterio funziona come il criterio 1 precedente, con la sola differenza che è possibile usare questo criterio per includere VM che contengono un determinato tag nell'ambito di questi criteri.This policy works the same as Policy 1 above, with the only difference being that you can use this policy to include VMs which contain a certain tag, in the scope of this policy.

Criterio 3-[Anteprima] configurare il backup nelle VM senza un tag specificato in un nuovo insieme di credenziali di servizi di ripristino con criteri predefinitiPolicy 3 - [Preview] Configure backup on VMs without a given tag to a new recovery services vault with a default policy

Se si organizzano applicazioni in gruppi di risorse dedicati e si vuole eseguirne il backup dallo stesso insieme di credenziali, questo criterio consente di gestire automaticamente l'azione.If you organize applications in dedicated resource groups and want to have them backed up by the same vault, this policy allows you to automatically manage this action. È possibile scegliere di escludere le VM che contengono un determinato tag, dall'ambito di questi criteri.You can choose to exclude VMs which contain a certain tag, from the scope of this policy.

Criteri 4-[Anteprima] configurare il backup nelle VM con un determinato tag in un nuovo insieme di credenziali di servizi di ripristino con un criterio predefinitoPolicy 4 - [Preview] Configure backup on VMs with a given tag to a new recovery services vault with a default policy

Questo criterio funziona allo stesso modo del criterio 3, con la sola differenza che è possibile usare questo criterio per includere le macchine virtuali contenenti un determinato tag nell'ambito di questi criteri.This policy works the same as Policy 3 above, with the only difference being that you can use this policy to include VMs which contain a certain tag, in the scope of this policy.

Oltre a quanto sopra, backup di Azure fornisce anche un criterio di solo controllo : backup di Azure deve essere abilitato per le macchine virtuali.In addition to the above, Azure Backup also provides an audit-only policy - Azure Backup should be enabled for Virtual Machines. Questo criterio identifica le macchine virtuali in cui non è abilitato il backup, ma non configura automaticamente i backup per queste macchine virtuali.This policy identifies which virtual machines do not have backup enabled, but doesn't automatically configure backups for these VMs. Questa operazione è utile quando si desidera valutare la conformità complessiva delle macchine virtuali, ma non si desidera eseguire immediatamente un'azione.This is useful when you are only looking to evaluate the overall compliance of the VMs but not looking to take action immediately.

Scenari SupportatiSupported Scenarios

  • I criteri predefiniti sono attualmente supportati solo per le macchine virtuali di Azure.The built-in policy is currently supported only for Azure VMs. Gli utenti devono prestare attenzione per assicurarsi che i criteri di conservazione specificati durante l'assegnazione siano criteri di conservazione delle macchine virtuali.Users must take care to ensure that the retention policy specified during assignment is a VM retention policy. Fare riferimento a questo documento per visualizzare tutti gli SKU di VM supportati da questo criterio.Refer to this document to see all the VM SKUs supported by this policy.

  • I criteri 1 e 2 possono essere assegnati a una singola posizione e a una sottoscrizione alla volta.Policies 1 and 2 can be assigned to a single location and subscription at a time. Per abilitare il backup per le macchine virtuali tra percorsi e sottoscrizioni, è necessario creare più istanze dell'assegnazione dei criteri, una per ogni combinazione di percorso e sottoscrizione.To enable backup for VMs across locations and subscriptions, multiple instances of the policy assignment need to be created, one for each combination of location and subscription.

  • Per i criteri 1 e 2, l'ambito del gruppo di gestione non è al momento supportato.For Policies 1 and 2, management group scope is currently unsupported.

  • Per i criteri 1 e 2, l'insieme di credenziali specificato e le macchine virtuali configurate per il backup possono trovarsi in gruppi di risorse diversi.For Policies 1 and 2, the specified vault and the VMs configured for backup can be under different resource groups.

  • I criteri 1, 2, 3 e 4 non sono attualmente disponibili nei cloud nazionali.Policies 1, 2, 3 and 4 are currently not available in national clouds.

  • I criteri 3 e 4 possono essere assegnati a una singola sottoscrizione alla volta (o a un gruppo di risorse all'interno di una sottoscrizione).Policies 3 and 4 can be assigned to a single subscription at a time (or a resource group within a subscription).

Nota

È anche possibile accedere alle funzionalità descritte nelle sezioni seguenti tramite Backup Center.The functionality described in the following sections can also be accessed via Backup center. Backup Center è una singola esperienza di gestione unificata in Azure.Backup center is a single unified management experience in Azure. Consente alle aziende di gestire, monitorare, utilizzare e analizzare i backup su larga scala.It enables enterprises to govern, monitor, operate, and analyze backups at scale. Con questa soluzione, è possibile eseguire la maggior parte delle operazioni di gestione di backup chiave senza limitarsi all'ambito di un singolo insieme di credenziali.With this solution, you can perform most of the key backup management operations without being limited to the scope of an individual vault.

Uso dei criteri predefinitiUsing the built-in policies

I passaggi seguenti descrivono il processo end-to-end di assegnazione dei criteri 1: configurare il backup nelle macchine virtuali senza un tag specificato in un insieme di credenziali di servizi di ripristino esistente nello stesso percorso a un ambito specifico.The below steps describe the end-to-end process of assigning Policy 1: Configure backup on VMs without a given tag to an existing recovery services vault in the same location to a given scope. Per gli altri criteri si applicano istruzioni analoghe.Similar instructions will apply for the other policies. Una volta assegnato, qualsiasi nuova macchina virtuale creata nell'ambito viene configurata automaticamente per il backup.Once assigned, any new VM created in the scope is automatically configured for backup.

  1. Accedere al portale di Azure e passare al dashboard dei criteri .Sign in to the Azure portal and navigate to the Policy Dashboard.
  2. Selezionare definizioni nel menu a sinistra per ottenere un elenco di tutti i criteri predefiniti tra le risorse di Azure.Select Definitions in the left menu to get a list of all built-in policies across Azure Resources.
  3. Filtrare l'elenco per Category = backup e selezionare il criterio denominato ' Configure backup on VMS of a location to an existing Central Vault nello stesso percorso '.Filter the list for Category=Backup and select the policy named 'Configure backup on VMs of a location to an existing central Vault in the same location'. Dashboard dei criteriPolicy Dashboard
  4. Selezionare il nome del criterio.Select the name of the policy. Si verrà reindirizzati alla definizione dettagliata per questo criterio.You'll be redirected to the detailed definition for this policy. Riquadro definizione criteriPolicy Definition pane
  5. Selezionare il pulsante assegna nella parte superiore del riquadro.Select the Assign button at the top of the pane. Viene quindi reindirizzati al riquadro assegna criterio .This redirects you to the Assign Policy pane.
  6. In nozioni di base selezionare i tre puntini di sospensione accanto al campo ambito .Under Basics, select the three dots next to the Scope field. Verrà aperto un riquadro di contesto a destra in cui è possibile selezionare la sottoscrizione per il criterio da applicare.This opens up a right context pane where you can select the subscription for the policy to be applied on. Facoltativamente, è anche possibile selezionare un gruppo di risorse, in modo che i criteri vengano applicati solo per le macchine virtuali in un determinato gruppo di risorse.You can also optionally select a resource group, so that the policy is applied only for VMs in a particular resource group. Nozioni fondamentali sull'assegnazione di criteriPolicy Assignment Basics
  7. Nella scheda parametri scegliere un percorso dall'elenco a discesa e selezionare l'insieme di credenziali e i criteri di backup a cui è necessario associare le VM nell'ambito.In the Parameters tab, choose a location from the drop-down, and select the vault and backup policy to which the VMs in the scope must be associated. È anche possibile scegliere di specificare un nome di tag e una matrice di valori di tag.You can also choose to specify a tag name and an array of tag values. Una macchina virtuale che contiene i valori specificati per il tag specificato verrà esclusa dall'ambito dell'assegnazione dei criteri.A VM which contains any of the specified values for the given tag will be excluded from the scope of the policy assignment. Parametri di assegnazione dei criteriPolicy Assignment Parameters
  8. Verificare che l' effetto sia impostato su deployIfNotExists.Ensure that Effect is set to deployIfNotExists.
  9. Passare a Verifica + crea e selezionare Crea.Navigate to Review+create and select Create.

Nota

Criteri di Azure può essere usato anche nelle macchine virtuali esistenti, usando la correzione.Azure Policy can also be used on existing VMs, using remediation.

Nota

Si consiglia di non assegnare questo criterio a più di 200 di macchine virtuali alla volta.It's recommended that this policy not be assigned to more than 200 VMs at a time. Se il criterio è assegnato a più di 200 macchine virtuali, il backup potrebbe essere attivato alcune ore dopo il valore specificato dalla pianificazione.If the policy is assigned to more than 200 VMs, it can result in the backup being triggered a few hours later than that specified by the schedule.

Passaggi successiviNext Steps

Altre informazioni su criteri di AzureLearn more about Azure Policy