Een overzicht van Azure VM-back-up

Versleuteling Details Ondersteuning
SSE Met SSE biedt Azure Storage versleuteling in rust door gegevens automatisch te versleutelen voordat u deze opslaat. Azure Storage ontsleutelt ook gegevens voordat u deze opvraagt. Azure Backup ondersteunt back-ups van VM's met twee typen Storage serviceversleuteling:
  • SSE met door platform beheerde sleutels:deze versleuteling is standaard voor alle schijven in uw VM's. Zie hier meer.
  • SSE met door de klant beheerde sleutels. Met CMK beheert u de sleutels die worden gebruikt om de schijven te versleutelen. Zie hier meer.
  • Azure Backup gebruikt SSE voor at-rest-versleuteling van Azure VMs.
    Azure Disk Encryption Azure Disk Encryption versleutelt zowel besturingssysteem als gegevensschijf voor Azure VM's.

    Azure Disk Encryption is geïntegreerd met BitLocker-versleutelingssleutels (BEK's), die als geheim worden beschermd in een sleutelkluis. Azure Disk Encryption is ook geïntegreerd met Azure Key Vault-sleutelversleutelingssleutels (KKS).
    Azure Backup ondersteunt back-up van beheerde en niet-beheerde Azure VM's die alleen zijn versleuteld met BEK's of met BEK's samen met KKS.

    Zowel BEK's als KKS worden geback-upt en versleuteld.

    Omdat ERK's en BEK's een back-up maken, kunnen gebruikers met de benodigde machtigingen sleutels en geheimen zo nodig terugzetten naar de sleutelkluis. Deze gebruikers kunnen ook de versleutelde VM herstellen.

    Versleutelde sleutels en geheimen kunnen niet worden gelezen door onbevoegde gebruikers of door Azure.

    Voor beheerde en niet-beheerde Azure-VM's ondersteunt Back-up beide VM's die zijn versleuteld met alleen BEK's of VM's die zijn versleuteld met BEK's samen met KKS.

    De back-up-BEK's (geheimen) en KEK's (sleutels) worden versleuteld. Ze kunnen alleen worden gelezen en gebruikt wanneer ze worden teruggezet naar de sleutelkluis door geautoriseerde gebruikers. Onbevoegde gebruikers of Azure kunnen geen back-uptoetsen of -geheimen lezen of gebruiken.

    Er wordt ook een back-up van BEK's gebruikt. Dus als de BEK's verloren gaan, kunnen geautoriseerde gebruikers de BEK's terugzetten naar de sleutelkluis en de versleutelde VM's herstellen. Alleen gebruikers met het benodigde machtigingsniveau kunnen een back-up maken van versleutelde VM's of sleutels en geheimen.

    Momentopname maken

    Azure Backup maakt momentopnamen volgens de back-upplanning.

    • Windows VM's: Voor Windows VM's coördineert de Back-upservice met VSS om een app-consistente momentopname van de VM-schijven te maken. Azure Backup neemt standaard een volledige VSS-back-up (hierdoor worden de logboeken van toepassingen, zoals SQL Server op het moment van back-up, afgekapt om consistente back-up op toepassingsniveau te krijgen). Als u een database SQL Server Azure VM-back-up gebruikt, kunt u de instelling wijzigen om een BACK-up VSS kopiëren te maken (om logboeken te behouden). Zie dit artikel voor meer informatie.

    • Linux-VM's: Als u app-consistente momentopnamen van Linux-VM's wilt maken, gebruikt u het Linux-prescript- en postscript-framework om uw eigen aangepaste scripts te schrijven om consistentie te garanderen.

      • Azure Backup roept alleen de scripts aan die door u zijn geschreven.
      • Als de prescripts en post-scripts zijn uitgevoerd, markeert Azure Backup het herstelpunt als toepassings consistent. Wanneer u echter aangepaste scripts gebruikt, bent u uiteindelijk verantwoordelijk voor de consistentie van de toepassing.
      • Meer informatie over het configureren van scripts.

    Momentopnameconsistentie

    In de volgende tabel worden de verschillende typen momentopnameconsistentie uitgelegd:

    Momentopname Details Herstel Overweging
    Toepassings consistent In app-consistente back-ups wordt geheugeninhoud en in behandeling zijnde I/O-bewerkingen vastge leggen. App-consistente momentopnamen gebruiken een VSS-schrijver (of pre/post scripts voor Linux) om ervoor te zorgen dat de app-gegevens consistent zijn voordat er een back-up wordt gemaakt. Wanneer u een VM herstelt met een app-consistente momentopname, wordt de VM opgebootsd. Er is geen beschadiging of verlies van gegevens. De apps beginnen in een consistente staat. Windows: Alle VSS-schrijvers zijn geslaagd

    Linux: Pre/post scripts zijn geconfigureerd en geslaagd
    Consistent bestandssysteem Consistente back-ups van bestandssysteem bieden consistentie door een momentopname van alle bestanden tegelijk te maken.

    Wanneer u een VM herstelt met een consistente momentopname van het bestandssysteem, wordt de VM opgevijfd. Er is geen beschadiging of verlies van gegevens. Apps moeten hun eigen 'fix-up'-mechanisme implementeren om ervoor te zorgen dat herstelde gegevens consistent zijn. Windows: Sommige VSS-schrijvers zijn mislukt

    Linux: Standaard (als pre-/postscripts niet zijn geconfigureerd of mislukt)
    Crash-consistent Crash-consistente momentopnamen treden meestal op als een Azure VM wordt afgesloten op het moment van back-up. Alleen de gegevens die al aanwezig zijn op de schijf op het moment van back-up, worden vastgelegd en een back-up gemaakt. Begint met het VM-opstartproces, gevolgd door een schijfcontrole om fouten in beschadiging op te lossen. Gegevens in het geheugen of schrijfbewerkingen die niet naar de schijf zijn overgebracht voordat de crash verloren ging. Apps implementeren hun eigen gegevensverificatie. Een database-app kan bijvoorbeeld het transactielogboek gebruiken voor verificatie. Als het transactielogboek vermeldingen bevat die niet in de database staan, worden transacties terug gerold in de databasesoftware totdat de gegevens consistent zijn. VM is uitgeschakeld (gestopt/ toegewezen) staat.

    Opmerking

    Als de inrichtingstoestand is geslaagd,worden in Azure Backup consistente back-ups van het bestandssysteem gemaakt. Als de inrichtingstoestand niet beschikbaar of mislukt is,worden crash-consistente back-ups gemaakt. Als de inrichtingstoestand wordt gemaakt ofverwijderd,betekent dit dat Azure Backup de bewerkingen opnieuw gaat uitvoeren.

    Overwegingen voor back-up maken en herstellen

    Overweging Details
    Schijf Back-up van VM-schijven is parallel. Als een VM bijvoorbeeld vier schijven heeft, probeert de back-upservice een back-up van alle vier de schijven parallel te maken. Back-up is incrementeel (alleen gewijzigde gegevens).
    Planning Als u back-upverkeer wilt beperken, maakt u op verschillende tijdstippen van de dag een back-up van verschillende VM's en zorgt u ervoor dat de tijden elkaar niet overlappen. Als u tegelijkertijd een back-up van VM's maakt, worden er files veroorzaakt.
    Back-ups voorbereiden Houd rekening met de tijd die nodig is om de back-up voor te bereiden. De voorbereidingstijd omvat het installeren of bijwerken van de back-upextensie en het activeren van een momentopname volgens de back-upplanning.
    Gegevensoverdracht Houd rekening met de tijd die nodig is voor Azure Backup om de incrementele wijzigingen van de vorige back-up te identificeren.

    In een incrementele back-up bepaalt Azure Backup de wijzigingen door de checksum van het blok te berekenen. Als een blok wordt gewijzigd, wordt dit gemarkeerd voor overdracht naar de kluis. De service analyseert de geïdentificeerde blokken om te proberen de hoeveelheid gegevens die moet worden doorverplaatst verder te minimaliseren. Nadat u alle gewijzigde blokken hebt evalueren, worden de wijzigingen door Azure Backup overgeboekt naar de kluis.

    Er kan een vertraging zijn tussen het maken van de momentopname en het kopiëren naar de kluis. Op piekmomenten kan het maximaal acht uur duren voordat de momentopnamen naar de kluis worden overgebracht. De back-uptijd voor een VM is minder dan 24 uur voor de dagelijkse back-up.
    Eerste back-up Hoewel de totale back-uptijd voor incrementele back-ups kleiner is dan 24 uur, is dat mogelijk niet het geval voor de eerste back-up. De tijd die nodig is voor de eerste back-up is afhankelijk van de grootte van de gegevens en wanneer de back-up wordt verwerkt.
    Wachtrij herstellen Azure Backup-processen herstellen taken uit meerdere opslagaccounts tegelijk en er worden herstelaanvragen in een wachtrij geplaatst.
    Kopie herstellen Tijdens het herstelproces worden gegevens gekopieerd uit de kluis naar het opslagaccount.

    De totale hersteltijd is afhankelijk van de I/O-bewerkingen per seconde (IOPS) en de doorvoer van het opslagaccount.

    Als u de kopieertijd wilt beperken, selecteert u een opslagaccount dat niet is geladen met andere toepassingen, schrijft en leest.

    Back-upprestaties

    Deze veelvoorkomende scenario's kunnen van invloed zijn op de totale back-uptijd:

    • Een nieuwe schijf toevoegen aan een beveiligde Azure VM: Als een VM een incrementele back-up ondergaat en er een nieuwe schijf wordt toegevoegd, wordt de back-uptijd groter. De totale back-uptijd kan meer dan 24 uur duren vanwege de eerste replicatie van de nieuwe schijf, samen met deltareplicatie van bestaande schijven.
    • Gefragmenteerde schijven: Back-upbewerkingen gaan sneller wanneer schijfwijzigingen aaneengesloten zijn. Als wijzigingen zijn verspreid en gefragmenteerd over een schijf, is de back-up trager.
    • Schijfverloop: Als beveiligde schijven die een incrementele back-up hebben een dagelijkse karrn van meer dan 200 GB hebben, kan het maken van een back-up lang duren (meer dan acht uur).
    • Back-upversies: De nieuwste versie van Back-up (ook wel de versie Direct herstellen genoemd) gebruikt een geoptimaliseerder proces dan checksumvergelijking voor het identificeren van wijzigingen. Maar als u Direct herstellen gebruikt en een momentopname van een back-up hebt verwijderd, schakelt de back-up over naar checksumvergelijking. In dit geval is de back-upbewerking langer dan 24 uur (of mislukt).

    Prestaties herstellen

    Deze veelvoorkomende scenario's kunnen van invloed zijn op de totale hersteltijd:

    • De totale hersteltijd is afhankelijk van de invoer-/uitvoerbewerkingen per seconde (IOPS) en de doorvoer van het opslagaccount.
    • De totale hersteltijd kan worden beïnvloed als het doelopslagaccount is geladen met andere bewerkingen voor het lezen en schrijven van toepassingen. Als u de herstelbewerking wilt verbeteren, selecteert u een opslagaccount dat niet is geladen met andere toepassingsgegevens.

    Best practices

    Wanneer u VM-back-ups configureert, raden we u aan de volgende procedures te volgen:

    • Wijzig de standaardplanningstijden die zijn ingesteld in een beleid. Als de standaardtijd in het beleid bijvoorbeeld 12:00 uur is, verhoogt u de tijdsinstelling met enkele minuten, zodat resources optimaal worden gebruikt.
    • Als u VM's uit één kluis herstelt, raden we u ten zeerste aan verschillende algemene V2-opslagaccounts te gebruiken om ervoor te zorgen dat het doelopslagaccount niet wordt beperkt. Elke VM moet bijvoorbeeld een ander opslagaccount hebben. Als bijvoorbeeld tien VM's worden hersteld, gebruikt u 10 verschillende opslagaccounts.
    • Voor back-up van VM's die gebruikmaken van premiumopslag met Instant Restore, wordt u aangeraden 50% vrije ruimte toe te wijzen aan de totale toegewezen opslagruimte, die alleen nodig is voor de eerste back-up. De 50% vrije ruimte is geen vereiste voor back-ups nadat de eerste back-up is voltooid
    • De limiet voor het aantal schijven per opslagaccount is ten opzichte van de mate van toegang tot de schijven door toepassingen die worden uitgevoerd op een VM (Infrastructure as a Service) (IaaS). Als er in het algemeen 5 tot 10 schijven of meer aanwezig zijn op één opslagaccount, moet u de belasting in evenwicht brengen door sommige schijven te verplaatsen naar afzonderlijke opslagaccounts.
    • Als u VM's wilt herstellen met beheerde schijven met PowerShell, geeft u de aanvullende parameter TargetResourceGroupName op om de resourcegroep op te geven waarop beheerde schijven worden hersteld, meer informatie hier.

    Back-upkosten

    Azure VM's die een back-up maken met Azure Backup zijn onderhevig aan Azure Backup-prijzen.

    Facturering begint pas als de eerste succesvolle back-up is gemaakt. Op dit moment begint de facturering voor zowel opslag als beveiligde VM's. Facturering gaat door zolang eventuele back-upgegevens voor de VM worden opgeslagen in een kluis. Als u de beveiliging voor een VM stopt, maar back-upgegevens voor de VM aanwezig zijn in een kluis, wordt de facturering voortgezet.

    Facturering voor een opgegeven VM stopt alleen als de beveiliging is gestopt en alle back-upgegevens worden verwijderd. Wanneer de beveiliging stopt en er geen actieve back-uptaken zijn, wordt de grootte van de laatste succesvolle VM-back-up de beveiligde exemplaargrootte die wordt gebruikt voor de maandelijkse factuur.

    De berekening van de grootte van het beveiligde exemplaar is gebaseerd op de werkelijke grootte van de VM. De grootte van de VM is de som van alle gegevens in de VM, met uitzondering van de tijdelijke opslag. Prijzen zijn gebaseerd op de werkelijke gegevens die zijn opgeslagen op de gegevensschijf, niet op de maximale ondersteunde grootte voor elke gegevensschijf die is gekoppeld aan de VM.

    Op dezelfde manier is de factuur voor back-upopslag gebaseerd op de hoeveelheid gegevens die is opgeslagen in Azure Backup, wat de som is van de werkelijke gegevens in elk herstelpunt.

    Neem bijvoorbeeld een A2 Standard-formaat VM met twee extra gegevensschijfjes met een maximale grootte van 32 TB per stuk. In de volgende tabel ziet u de werkelijke gegevens die op elk van deze schijven zijn opgeslagen:

    Schijf Maximale grootte Werkelijke gegevens aanwezig
    OS-schijf 32 TB 17 GB
    Lokale/tijdelijke schijf 135 GB 5 GB (niet inbegrepen voor back-up)
    Gegevensschijf 1 32 TB 30 GB
    Gegevensschijf 2 32 TB 0 GB

    De werkelijke grootte van de VM is in dit geval 17 GB + 30 GB + 0 GB = 47 GB. Deze grootte van beveiligde exemplaren (47 GB) wordt de basis voor de maandelijkse factuur. Naarmate de hoeveelheid gegevens in de VM toeneemt, wordt de grootte van de beveiligde instantie die wordt gebruikt voor factureringswijzigingen overeenkomend.

    Volgende stappen

    In dit artikel wordt beschreven hoe met de Azure Backup-service een back-up wordt gemaakt van virtuele Azure-machines (VM's).

    Azure Backup biedt onafhankelijke en geïsoleerde back-ups om te voorkomen dat de gegevens op uw VM's onbedoeld worden vernietigd. Back-ups worden opgeslagen in een herstelservices-kluis met ingebouwde beheer van herstelpunten. Configuratie en schaalbaarheid zijn eenvoudig, back-ups zijn geoptimaliseerd en u kunt eenvoudig herstellen wanneer dat nodig is.

    Als onderdeel van het back-upproces wordt een momentopnamegemaakt en worden de gegevens overgebracht naar de herstelservices-kluis zonder dat dit gevolgen heeft voor de werkbelasting van de productie. De momentopname biedt verschillende consistentieniveaus, zoals hier wordt beschreven.

    Azure Backup heeft ook gespecialiseerde aanbiedingen voor databasewerkbelastingen zoals SQL Server en SAP HANA die werkbelastingsbewust zijn, 15 minuten RPO bieden (doel herstelpunt) en back-up en herstel van afzonderlijke databases toestaan.

    Back-upproces

    Dit is hoe Azure Backup een back-up voor Azure VM's voltooit:

    1. Voor Azure VM's die zijn geselecteerd voor back-up, start Azure Backup een back-up taak volgens het back-upschema dat u opgeeft.

    2. Tijdens de eerste back-up wordt een back-upextensie geïnstalleerd op de VM als de VM wordt uitgevoerd.

    3. Voor Windows VM's die worden uitgevoerd, coördineert Back-up met Windows Volume Shadow Copy Service (VSS) om een app-consistente momentopname van de VM te maken.

      • Back-up maakt standaard volledige VSS-back-ups.
      • Als back-up geen app-consistente momentopname kan maken, neemt u een bestands consistent momentopname van de onderliggende opslag (omdat er geen toepassings schrijft terwijl de VM wordt gestopt).
    4. Voor Linux-VM's is back-up een bestands consistente back-up. Voor app-consistente momentopnamen moet u handmatig pre-/postscripts aanpassen.

    5. Nadat Back-up de momentopname heeft gemaakt, worden de gegevens naar de kluis overgeboekt.

      • De back-up wordt geoptimaliseerd door parallel een back-up van elke VM-schijf te maken.
      • Voor elke schijf die een back-up maakt, leest Azure Backup de blokken op de schijf voor en identificeert en worden alleen de gegevensblokken geïdentificeerd die zijn gewijzigd (de delta) sinds de vorige back-up.
      • Momentopnamegegevens worden mogelijk niet direct naar de kluis gekopieerd. Het kan enkele uren duren op piekmomenten. De totale back-uptijd voor een VM is minder dan 24 uur voor dagelijks back-upbeleid.
    6. Wijzigingen in een Windows VM nadat Azure Backup is ingeschakeld, zijn:

      • Microsoft Visual C++ 2013 Redistributable(x64) - 12.0.40660 is geïnstalleerd in de VM
      • Opstarttype van vss -service (Volume Shadow Copy) gewijzigd in automatisch van handmatig
      • IaaSVmProvider Windows-service wordt toegevoegd
    7. Wanneer de gegevensoverdracht is voltooid, wordt de momentopname verwijderd en wordt er een herstelpunt gemaakt.

    Azure virtual machine backup architecture

    Versleuteling van Azure VM-back-ups

    Wanneer u een back-up van Azure VMs met Azure Backup hebt, worden VM's in rust versleuteld met Storage Service Encryption (SSE). Azure Backup kan ook een back-up maken van Azure VM's die worden versleuteld met Behulp van Azure Disk Encryption.