Panoramica del backup delle macchine virtuali di Azure

Questo articolo descrive come il servizio Backup di Azure esegue il backup di macchine virtuali di Azure.

Backup di Azure offre backup indipendenti e isolati per prevenire la distruzione accidentale dei dati nelle macchine virtuali. I backup vengono archiviati in un insieme di credenziali di Servizi di ripristino con gestione incorporata dei punti di ripristino. La configurazione e il ridimensionamento sono semplici, i backup sono ottimizzati ed è possibile eseguire facilmente il ripristino in base alle esigenze.

Come parte del processo di backup, viene creato uno snapshot e i dati vengono trasferiti nell'insieme di credenziali di Servizi di ripristino senza alcun impatto sui carichi di lavoro di produzione. Lo snapshot fornisce diversi livelli di coerenza, come descritto qui.

Backup di Azure offre anche offerte specializzate per carichi di lavoro di database come SQL Server e SAP HANA che supportano il carico di lavoro, offrono un RPO di 15 minuti (obiettivo del punto di ripristino) e consentono il backup e il ripristino di singoli database.

Processo di backup

Di seguito è illustrato come Backup di Azure completa un backup per le macchine virtuali di Azure:

  1. Per le macchine virtuali di Azure selezionate per il backup, Backup di Azure avvia un processo di backup in base alla pianificazione di backup specificata.
  2. Durante il primo backup, un'estensione di backup viene installata nella macchina virtuale se quest'ultima è in esecuzione.
  3. Per le macchine virtuali Windows in esecuzione, Backup si coordina con il Servizio Copia Shadow del volume (VSS) di Windows per ottenere uno snapshot della macchina virtuale coerente con l'app.
    • Per impostazione predefinita, Backup esegue backup VSS completi.
    • Se non riesce a creare uno snapshot coerente con l'app, Backup usa uno snapshot coerente con i file dell'archiviazione sottostante (poiché non viene eseguita alcuna operazione di scrittura delle applicazioni durante l'arresto della macchina virtuale).
  4. Per le macchine virtuali Linux, Backup crea un backup coerente con i file. Per gli snapshot coerenti con l'app è necessario personalizzare manualmente i pre-/post-script.
  5. Dopo l'acquisizione dello snapshot, Backup trasferisce i dati all'insieme di credenziali.
    • Il backup viene ottimizzato eseguendo il backup di ogni disco della macchina virtuale in parallelo.
    • Per ogni disco di cui viene eseguito il backup, Backup di Azure legge i blocchi sul disco e identifica e trasferisce solo i blocchi di dati modificati (il delta) rispetto al backup precedente.
    • È possibile che i dati dello snapshot non vengano copiati immediatamente nell'insieme di credenziali. Questa operazione potrebbe richiedere alcune ore nei momenti di picco. Il tempo totale di backup per una macchina virtuale sarà inferiore a 24 ore per i criteri di backup giornalieri.
  6. Le modifiche apportate a una macchina virtuale Windows dopo l'abilitazione di Backup di Azure sono:
    • Microsoft Visual C++ 2013 Redistributable(x64) - 12.0.40660 è installato nella macchina virtuale
    • Tipo di avvio del servizio Copia Shadow del volume (VSS) modificato in automatico da manuale
    • Viene aggiunto il servizio Windows IaaSVmProvider

Architettura del backup delle macchine virtuali di Azure

Crittografia dei backup delle macchine virtuali di Azure

Quando si esegue il backup di macchine virtuali di Azure con Backup di Azure, viene eseguita la crittografia dei dati inattivi delle macchine virtuali con la crittografia del servizio di archiviazione. Backup di Azure può anche eseguire il backup di macchine virtuali di Azure crittografate tramite Crittografia dischi di Azure.

Crittografia Dettagli Supporto
Crittografia del servizio di archiviazione Con la crittografia del servizio di archiviazione di Azure, Archiviazione di Azure fornisce la crittografia dei dati inattivi crittografando automaticamente i dati prima di archiviarli. Archiviazione di Azure decrittografa anche i dati prima di recuperarli. Backup di Azure supporta i backup delle macchine virtuali con due tipi di crittografia del servizio di archiviazione:
  • Crittografia del servizio di archiviazione con chiavi gestite dalla piattaforma: questa crittografia è per impostazione predefinita per tutti i dischi nelle macchine virtuali. Per altre informazioni , vedere qui.
  • Crittografia del servizio di archiviazione con chiavi gestite dal cliente. Con la chiave gestita dalla chiave gestita si gestiscono le chiavi usate per crittografare i dischi. Per altre informazioni , vedere qui.
  • Backup di Azure usa SSE per la crittografia dei dati inattivi delle macchine virtuali di Azure.
    Azure Disk Encryption Crittografia dischi di Azure crittografa sia il sistema operativo che i dischi dati per le macchine virtuali di Azure.

    Crittografia dischi di Azure si integra con le chiavi di crittografia BitLocker (BEK), protette in un insieme di credenziali delle chiavi come segreti. Crittografia dischi di Azure si integra anche con le chiavi di crittografia della chiave (KEK) di Azure Key Vault.
    Backup di Azure supporta il backup di macchine virtuali di Azure gestite e non gestite crittografate solo con bek o con bek insieme alle chiavi KEK.

    Sia le chiavi BEK che le chiavi KEK vengono sottoposte a backup e crittografate.

    Poiché viene eseguito il backup di KEK e BEK, gli utenti con le autorizzazioni necessarie possono ripristinare le chiavi e i segreti nell'insieme di credenziali delle chiavi, se necessario. Questi utenti possono anche ripristinare la macchina virtuale crittografata.

    Le chiavi crittografate e i segreti non possono essere letti da utenti non autorizzati o da Azure.

    Per le macchine virtuali di Azure gestite e non gestite, Backup supporta entrambe le macchine virtuali crittografate solo con bek o macchine virtuali crittografate con bek insieme alle chiavi KEK.

    Le chiavi BEK (segreti) di cui è stato eseguito il backup e le chiavi (chiavi) vengono crittografate. Possono essere letti e usati solo quando vengono ripristinati nell'insieme di credenziali delle chiavi dagli utenti autorizzati. Né gli utenti non autorizzati, o Azure, possono leggere o usare chiavi o segreti di cui è stato eseguito il backup.

    Viene eseguito anche il backup dei BEK. Pertanto, se i BEK vengono persi, gli utenti autorizzati possono ripristinare i BEK nell'insieme di credenziali delle chiavi e ripristinare le macchine virtuali crittografate. Solo gli utenti con il livello di autorizzazioni necessario possono eseguire il backup e il ripristino di macchine virtuali o segreti crittografati.

    Creazione di snapshot

    Backup di Azure acquisisce snapshot in base alla pianificazione del backup.

    • Macchine virtuali Windows: Per le macchine virtuali Windows, il servizio Backup coordina il Servizio Copia Shadow del volume per acquisire uno snapshot coerente con l'app dei dischi delle macchine virtuali. Per impostazione predefinita, Backup di Azure esegue un backup completo del Servizio Copia Shadow del volume (tronca i log dell'applicazione, ad esempio SQL Server al momento del backup per ottenere un backup coerente a livello di applicazione). Se si usa un database SQL Server nel backup di macchine virtuali di Azure, è possibile modificare l'impostazione per eseguire un backup di copia vss (per mantenere i log). Per altre informazioni, vedi questo articolo.

    • Macchine virtuali Linux: Per acquisire snapshot coerenti con l'app delle macchine virtuali Linux, usare lo script di pre-linux e il framework di post-script per scrivere script personalizzati per garantire la coerenza.

      • Backup di Azure richiama solo i pre-/post-script scritti dal cliente.
      • Se gli script di pre-script e post-script vengono eseguiti correttamente, Backup di Azure contrassegna il punto di ripristino come coerente con l'applicazione. Tuttavia, quando si usano script personalizzati, si è responsabili della coerenza con l'applicazione.
      • Altre informazioni su come configurare gli script.

    Coerenza degli snapshot

    La tabella seguente illustra i diversi tipi di coerenza degli snapshot:

    Snapshot Dettagli Ripristino Considerazioni
    Coerenza con le applicazioni Il backup coerenti con le app acquisiscono contenuto in memoria e operazioni di I/O in sospeso. Gli snapshot coerenti con l'app usano un writer VSS (o script di pre/post per Linux) per garantire la coerenza dei dati dell'app prima che si verifichi un backup. Quando si ripristina una macchina virtuale con uno snapshot coerente con l'app, viene avviata la macchina virtuale. Non si verificano problemi di perdita o danneggiamento dei dati. Le app vengono avviate in uno stato coerente. Windows: tutti i writer vss hanno avuto esito positivo

    Linux: gli script di pre/post sono configurati e riusciti
    Coerente con il file system I backup coerenti con il file system garantiscono la coerenza eseguendo contemporaneamente uno snapshot di tutti i file.

    Quando si ripristina una macchina virtuale con uno snapshot coerente con il file system, viene avviata la macchina virtuale. Non si verificano problemi di perdita o danneggiamento dei dati. Le app devono implementare uno specifico meccanismo di correzione per assicurarsi che i dati ripristinati siano coerenti. Windows: Alcuni writer vss non sono riusciti

    Linux: impostazione predefinita (se gli script di pre/post non sono configurati o non sono riusciti)
    Coerenza con l'arresto anomalo del sistema Gli snapshot coerenti con l'arresto anomalo del sistema si verificano in genere se una macchina virtuale di Azure viene arrestata al momento del backup. Solo i dati già esistenti sul disco al momento del backup vengono acquisiti e sottoposti a backup. Inizia con il processo di avvio della macchina virtuale seguito da un controllo del disco per correggere gli errori di danneggiamento. Tutti i dati in memoria o le operazioni di scrittura che non sono stati trasferiti sul disco prima della perdita dell'arresto anomalo. Le app implementano una propria procedura di verifica dei dati. Ad esempio, un'app di database può usare il log delle transazioni per la verifica. Se il log delle transazioni contiene voci che non sono presenti nel database, il software di database esegue il rollback delle transazioni fino a quando i dati non sono coerenti. La macchina virtuale è in stato di arresto (arrestato/deallocato).

    Nota

    Se lo stato di provisioning è riuscito, Backup di Azure esegue backup coerenti con il file system. Se lo stato di provisioning non è disponibile o non è riuscito, vengono eseguiti backup coerenti con l'arresto anomalo. Se lo stato di provisioning sta creando o eliminando, ciò significa che Backup di Azure sta riprovando le operazioni.

    Considerazioni sul backup e sul ripristino

    Considerazioni Dettagli
    Disco Il backup dei dischi della macchina virtuale è parallelo. Ad esempio, se una macchina virtuale ha quattro dischi, il servizio Backup tenta di eseguire il backup di tutti e quattro i dischi in parallelo. Il backup è incrementale (solo i dati modificati).
    Pianificazione Per ridurre il traffico di backup, eseguire il backup di macchine virtuali diverse in momenti diversi del giorno e assicurarsi che i tempi non si sovrapponga. Il backup di macchine virtuali nello stesso momento crea problemi di traffico.
    Preparazione dei backup Tenere presente il tempo necessario per preparare il backup. che include l'installazione o l'aggiornamento dell'estensione di backup, nonché la generazione di uno snapshot in base alla pianificazione del backup.
    Trasferimento dei dati Considerare il tempo necessario per Backup di Azure per identificare le modifiche incrementali dal backup precedente.

    In caso di backup incrementale, Backup di Azure determina le modifiche calcolando il checksum del blocco. Gli eventuali blocchi modificati vengono contrassegnati per il trasferimento nell'insieme di credenziali. Il servizio analizza i blocchi identificati per tentare di ridurre ulteriormente la quantità di dati da trasferire. Dopo aver valutato tutti i blocchi modificati, Backup di Azure trasferisce le modifiche nell'insieme di credenziali.

    Può verificarsi un ritardo tra la creazione dello snapshot e la copia nell'insieme di credenziali. Nei momenti di picco possono essere necessarie fino a otto ore per trasferire gli snapshot nell'insieme di credenziali. Il tempo di backup per una macchina virtuale sarà inferiore a 24 ore per il backup giornaliero.
    Backup iniziale anche se il tempo totale di backup per i backup incrementali è inferiore a 24 ore, potrebbe non essere così per il primo backup. Il tempo necessario per il backup iniziale dipenderà dalla dimensione dei dati e dal momento in cui viene elaborato il backup.
    Coda di ripristino Backup di Azure elabora i processi di ripristino da più account di archiviazione contemporaneamente e inserisce le richieste di ripristino in una coda.
    Copia di ripristino Durante il processo di ripristino i dati vengono copiati dall'insieme di credenziali all'account di archiviazione.

    Il tempo di ripristino totale dipende dalle operazioni di I/O al secondo e dalla velocità effettiva dell'account di archiviazione.

    Per ridurre il tempo di copia, selezionare un account di archiviazione non impegnato con altre operazioni di lettura e scrittura di applicazioni.

    Nota

    Backup di Azure ora consente di eseguire il backup delle macchine virtuali di Azure più volte al giorno usando i criteri avanzati. Con questa funzionalità è anche possibile definire la durata in cui i processi di backup attivano e allineano la pianificazione del backup con le ore lavorative in cui sono presenti aggiornamenti frequenti in Azure Macchine virtuali. Altre informazioni

    Prestazioni del backup

    Questi scenari comuni possono influire sul tempo totale di backup:

    • Aggiunta di un nuovo disco a una macchina virtuale di Azure protetta: Se una macchina virtuale esegue un backup incrementale e viene aggiunto un nuovo disco, il tempo di backup aumenterà. Il tempo di backup totale potrebbe essere superiore a 24 ore a causa della replica iniziale del nuovo disco insieme alla replica differenziale dei dischi esistenti.
    • Dischi frammentati: Le operazioni di backup sono più veloci quando le modifiche del disco sono contigue. Se invece le modifiche sono distribuite e frammentate su un disco, il backup sarà più lento.
    • Varianza del disco: Se i dischi protetti sottoposti a backup incrementale hanno una varianza giornaliera di oltre 200 GB, il backup può richiedere molto tempo (più di otto ore) per completare.
    • Versioni di backup: La versione più recente di Backup (nota come versione di Ripristino immediato) usa un processo più ottimizzato rispetto al confronto checksum per identificare le modifiche. Tuttavia, se si usa ripristino istantaneo ed è stato eliminato uno snapshot di backup, il backup passa al confronto checksum. In questo caso, l'operazione di backup supererà 24 ore (o avrà esito negativo).

    Prestazioni di ripristino

    Questi scenari comuni possono influire sul tempo di ripristino totale:

    • Il tempo di ripristino complessivo dipende dal numero di operazioni di input/output al secondo (IOPS) e dalla velocità effettiva dell'account di archiviazione.
    • Può subire modifiche se l'account di archiviazione di destinazione viene caricato con altre operazioni di lettura e scrittura dell'applicazione. Per migliorare l'operazione di ripristino, selezionare un account di archiviazione non caricato con altri dati dell'applicazione.

    Procedure consigliate

    Quando si configurano backup per macchine virtuali, è consigliabile seguire queste procedure:

    • Modificare l'ora di pianificazione predefinita impostata in un criterio. Se, ad esempio, l'ora predefinita per il criterio è impostata su 00:00, applicare un incremento di alcuni minuti affinché le risorse vengano usate in modo ottimale.
    • Se si ripristinano macchine virtuali da un singolo insieme di credenziali, è consigliabile usare account di archiviazione per utilizzo generico v2 diversi per assicurarsi che l'account di archiviazione di destinazione non venga limitato. Ad esempio, ogni macchina virtuale deve avere un account di archiviazione diverso. Ad esempio, se vengono ripristinate 10 macchine virtuali, usare 10 account di archiviazione diversi.
    • Per il backup delle macchine virtuali che usano l'archiviazione Premium con ripristino istantaneo, è consigliabile allocare spazio disponibile al 50% dello spazio di archiviazione allocato totale, necessario solo per il primo backup. Lo spazio libero del 50% non è un requisito per i backup dopo il completamento del primo backup
    • Il limite relativo al numero di dischi per account di archiviazione dipende dalla modalità con cui le applicazioni in esecuzione in una macchina virtuale IaaS accedono ai dischi. Come regola generale, se sono presenti da 5 a 10 o più dischi in un solo account di archiviazione, bilanciare il carico spostando alcuni dischi in account di archiviazione separati.
    • Per ripristinare le macchine virtuali con dischi gestiti con PowerShell, specificare il parametro aggiuntivo TargetResourceGroupName per specificare il gruppo di risorse a cui verranno ripristinati i dischi gestiti, altre informazioni qui.

    Costi di backup

    Per il backup di macchine virtuali di Azure con Backup di Azure vengono applicati i prezzi di Backup di Azure.

    La fatturazione non viene avviata fino al termine del primo backup riuscito. A questo punto inizia la fatturazione sia per le macchine virtuali di archiviazione sia per quelle protette. La fatturazione continua fino a quando i dati di backup per la macchina virtuale vengono archiviati in un insieme di credenziali. Se si arresta la protezione per una macchina virtuale, ma sono presenti dati di backup della macchina virtuale in un insieme di credenziali, la fatturazione continuerà.

    La fatturazione relativa a una macchina virtuale specifica viene interrotta solo se viene arrestata la protezione e vengono eliminati i dati di backup. Quando si arresta la protezione e non vi sono processi di backup attivi, la dimensione dell'ultimo backup della macchina virtuale completato correttamente diventa la dimensione dell'istanza protetta usata per la fatturazione mensile.

    Il calcolo delle dimensioni dell'istanza protetta è basato sulle dimensioni effettive della macchina virtuale. Le dimensioni della macchina virtuale sono la somma di tutti i dati nella macchina virtuale, esclusi l'archiviazione temporanea. I prezzi si basano sui dati effettivi archiviati nei dischi dati, non sulla dimensione massima supportata per ogni disco dati collegato alla macchina virtuale.

    Analogamente, la fattura dell'archiviazione di backup si basa sulla quantità di dati archiviati in Backup di Azure, ovvero la somma dei dati effettivi in ogni punto di ripristino.

    Ad esempio, prendere una macchina virtuale di dimensioni standard A2 con due dischi dati aggiuntivi con dimensioni massime di 32 TB. La tabella seguente mostra i dati effettivi archiviati in ognuno di questi dischi:

    Disco Dimensioni massime Dati effettivi presenti
    Disco del sistema operativo 32 TB 17 GB
    Disco locale/temporaneo 135 GB 5 GB (non incluso per il backup)
    Disco dati 1 32 TB 30 GB
    Disco dati 2 32 TB 0 GB

    In questo caso, la dimensione effettiva della macchina virtuale è 17 GB + 30 GB + 0 GB = 47 GB. Questa dimensione dell'istanza protetta (47 GB) diventa la base per la fattura mensile. Man mano che la quantità di dati nella macchina virtuale aumenta, le dimensioni dell'istanza protetta usate per le modifiche alla fatturazione corrispondono.

    Passaggi successivi