Práticas recomendadas do Serviço de Backup de Infraestrutura – MDC (Data Center Modular)

Aplica-se a: Data Center Modular, Azure Stack Hub robusto

Examine essas práticas recomendadas regularmente para verificar se a instalação ainda está em conformidade quando são feitas alterações no fluxo de operação. Se você encontrar problemas ao implementar essas práticas recomendadas, entre em contato com Suporte da Microsoft para obter ajuda.

Práticas recomendadas de configuração

O backup de infraestrutura é habilitado por padrão durante a implantação de um novo sistema e armazenado internamente. Usando o portal do Azure Stack ou o PowerShell, você pode fornecer um local de armazenamento externo para exportar os backups para um local secundário.

Rede

A cadeia de caracteres UNC (convenção de nomenclatura universal) para o caminho deve usar um FQDN (nome de domínio totalmente qualificado). Um endereço IP poderá ser usado se a resolução de nomes não for possível. Uma cadeia de caracteres UNC especifica o local dos recursos, como arquivos ou dispositivos compartilhados.

Criptografia

O certificado de criptografia é usado para criptografar os dados de backup que são exportados para o armazenamento externo. O certificado pode ser um certificado autoassinado, pois ele só é usado para transportar chaves. Para obter mais informações sobre como criar um certificado, consulte a documentação de New-SelfSignedCertificate.

O certificado deve ser armazenado em um local seguro. O formato CER do certificado é usado para criptografar dados somente e não é usado para estabelecer a comunicação.

Práticas recomendadas operacionais

Backups

  • Os trabalhos de backup são executados enquanto o sistema está em execução, portanto, não há tempo de inatividade para as experiências de gerenciamento ou aplicativos de usuário. Os trabalhos de backup demoram de 20 a 40 minutos para uma solução que esteja sob carga razoável.

  • Instruções adicionais fornecidas para fazer backup manual de comutadores de rede e do HLH (host do ciclo de vida do hardware).

Nomes de pasta

  • A infraestrutura cria uma pasta MASBACKUP automaticamente. Este é um compartilhamento gerenciado pela Microsoft. Você pode criar compartilhamentos no mesmo nível que MASBACKUP. Não é recomendável criar pastas ou dados de armazenamento dentro do MASBACKUP que o Azure Stack não cria.

  • O FQDN do usuário e a região no nome da pasta diferenciam os dados de backup de nuvens diferentes. O FQDN da implantação e dos pontos de extremidade do Azure Stack é a combinação do parâmetro Region e do parâmetro External Domain Name . Para obter mais informações, consulte Integração do datacenter do Azure Stack – DNS.

Por exemplo, o compartilhamento de backup é AzSBackups hospedado no fileserver01.contoso.com. Nesse compartilhamento de arquivos, pode haver uma pasta por implantação do Azure Stack usando o nome de domínio externo e uma subpasta que usa o nome da região.

  • FQDN: contoso.com
  • Região: nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup

A MASBackup pasta é onde o Azure Stack armazena seus dados de backup. Não use essa pasta para armazenar seus próprios dados. Os OEMs também não devem usar essa pasta para armazenar dados de backup.

Os OEMs são incentivados a armazenar dados de backup para seus componentes na pasta da região. Você pode armazenar cada comutador de rede, host do ciclo de vida de hardware (HLH) e assim por diante, em sua própria subpasta. Por exemplo:

\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration

Monitoramento

Os seguintes alertas são suportados pelo sistema:

Alerta Descrição Remediação
O backup falhou porque o compartilhamento de arquivos está sem capacidade. O compartilhamento de arquivos está sem capacidade e o controlador de backup não pode exportar arquivos de backup para o local. Adicione mais capacidade de armazenamento e tente fazer backup novamente. Exclua backups existentes (começando pelo mais antigo primeiro) para liberar espaço.
O backup falhou devido a problemas de conectividade. A rede entre o Azure Stack e o compartilhamento de arquivos está enfrentando problemas. Resolva o problema de rede e tente fazer backup novamente.
O backup falhou devido a uma erro no caminho. O caminho do compartilhamento de arquivos não pode ser resolvido. Mapeie o compartilhamento de um computador diferente para garantir que ele seja acessível. Talvez seja necessário atualizar o caminho se ele não for mais válido.
O backup falhou devido a um problema de autenticação. Pode haver um problema com as credenciais ou um problema de rede que afeta a autenticação. Mapeie o compartilhamento de um computador diferente para garantir que ele seja acessível. Talvez seja necessário atualizar as credenciais se elas não forem mais válidas.
O backup falhou devido a uma problema geral. A falha na solicitação pode ser devido a um problema intermitente. Tente fazer backup novamente. Contate o suporte.

Componentes do Serviço de Backup de Infraestrutura

O Serviço de Backup de Infraestrutura inclui os seguintes componentes:

  • Controlador de Backup de Infraestrutura: o Controlador de Backup de Infraestrutura é instanciado com e reside em todas as nuvens do Azure Stack.

  • Provedor de Recursos de Backup: o RP (Provedor de Recursos de Backup) é composto pela interface do usuário e pelas APIs que expõem a funcionalidade básica de backup para a infraestrutura do Azure Stack.

Controlador de Backup de Infraestrutura

O Controlador de Backup de Infraestrutura é um serviço do Service Fabric que é instanciado para um Azure Stack Cloud. Os recursos de backup são criados em um nível regional e capturam dados de serviço específicos da região do AD, ca, Resource Manager do Azure, CRP, SRP, NRP, Key Vault e RBAC.

Provedor de Recursos de Backup

O Provedor de Recursos de Backup apresenta uma interface do usuário no portal do Azure Stack para configuração básica e listagem de recursos de backup. Os operadores podem executar as seguintes ações na interface do usuário:

  • Habilite o backup pela primeira vez fornecendo local de armazenamento externo, credenciais e chave de criptografia.
  • Exibir recursos de backup criados e recursos de status concluídos na criação.
  • Modifique o local de armazenamento em que o Controlador de Backup coloca os dados de backup.
  • Modifique as credenciais que o Controlador de Backup usa para acessar o local de armazenamento externo.
  • Modifique o certificado de criptografia que o Controlador de Backup usa para criptografar backups.

Requisitos do Controlador de Backup

Esta seção descreve requisitos importantes para o Serviço de Backup de Infraestrutura. Recomendamos que você examine as informações cuidadosamente antes de habilitar o backup para sua instância do Azure Stack e, em seguida, faça referência a ela conforme necessário durante a implantação e a operação subsequente.

Estes requisitos incluem:

  • Requisitos de software: descreve os locais de armazenamento com suporte e as diretrizes de dimensionamento.
  • Requisitos de rede: descreve os requisitos de rede para diferentes locais de armazenamento.

Requisitos de software

Locais de armazenamento compatíveis

Local de armazenamento Detalhes
Compartilhamento de arquivos SMB hospedado em um dispositivo de armazenamento dentro do ambiente de rede confiável. Compartilhamento SMB no mesmo datacenter em que o Azure Stack é implantado ou em um datacenter diferente. Várias instâncias do Azure Stack podem usar o mesmo compartilhamento de arquivos.
Compartilhamento de arquivos SMB no Azure. Não há suporte no momento.
Armazenamento de blobs no Azure. Não há suporte no momento.

Versões do SMB com suporte

SMB Versão
SMB 3.x

Criptografia SMB

O Serviço de Backup de Infraestrutura dá suporte à transferência de dados de backup para um local de armazenamento externo com criptografia SMB habilitada no lado do servidor. Se o servidor não der suporte à Criptografia SMB ou não tiver o recurso habilitado, o Serviço de Backup de Infraestrutura retornará à transferência de dados não criptografados. Os dados de backup colocados no local de armazenamento externo são sempre criptografados em repouso e não dependem da criptografia SMB.

Dimensionamento do local de armazenamento

Recomendamos que você faça backup pelo menos duas vezes por dia e mantenha no máximo sete dias de backups. Esse é o comportamento padrão quando você habilita backups de infraestrutura no Azure Stack.

Escala do Ambiente Tamanho projetado do backup Quantidade total de espaço necessária
4 a 16 nós 20 GB 280 GB

Requisitos de rede

Local de armazenamento Detalhes
Compartilhamento de arquivos SMB hospedado em um dispositivo de armazenamento dentro do ambiente de rede confiável. A porta 445 será necessária se a instância do Azure Stack residir em um ambiente com firewall. O Controlador de Backup de Infraestrutura iniciará uma conexão com o servidor de arquivos SMB pela porta 445.
Para usar o FQDN do servidor de arquivos, o nome deve ser resolvível do PEP.

Observação

Nenhuma porta de entrada precisa ser aberta.

Requisitos de criptografia

O Serviço de Backup de Infraestrutura usa um certificado com uma chave pública (. CER) para criptografar dados de backup. O certificado é usado para transporte de chaves e não é usado para estabelecer comunicação autenticada segura. Por esse motivo, o certificado pode ser um certificado autoassinado. O Azure Stack não precisa verificar a raiz ou a confiança desse certificado, portanto, o acesso externo à Internet não é necessário.

O certificado autoassinado vem em duas partes, uma com a chave pública e outra com a chave privada:

  • Criptografar dados de backup: certificado com a chave pública (exportado para . Arquivo CER) é usado para criptografar dados de backup.
  • Descriptografar dados de backup: certificado com a chave privada (exportado para . O arquivo PFX) é usado para descriptografar dados de backup.

O certificado com a chave pública (. CER) não é gerenciado pela rotação de segredo interno. Para girar o certificado, você deve criar um novo certificado autoassinado e atualizar as configurações de backup com o novo arquivo (. CER).

Todos os backups existentes permanecem criptografados usando a chave pública anterior. Novos backups usam a nova chave pública.

Por motivos de segurança, o certificado usado durante a recuperação de nuvem com a chave privada (. O PFX) não é persistido pelo Azure Stack.

Limites de Backup de Infraestrutura

Considere esses limites ao planejar, implantar e operar suas instâncias do Microsoft Azure Stack. A tabela a seguir descreve esses limites.

Identificador de limite Limite Comentários
Tipo de backup Somente completo O Controlador de Backup de Infraestrutura só dá suporte a backups completos. Não há suporte para backups incrementais.
Backups agendados Agendado e manual O controlador de backup dá suporte a backups agendados e sob demanda.
Máximo de trabalhos de backup simultâneos 1 Há suporte apenas para um trabalho de backup ativo por instância do Controlador de Backup.
Configuração do comutador de rede Não está no escopo Administração deve fazer backup da configuração do comutador de rede usando ferramentas OEM. Consulte a documentação do Azure Stack fornecida por cada fornecedor do OEM.
Host do ciclo de vida do hardware Não está no escopo Administração deve fazer backup do Host do Ciclo de Vida de Hardware usando ferramentas OEM. Consulte a documentação do Azure Stack fornecida por cada fornecedor do OEM.
Número máximo de compartilhamentos de arquivos 1 Somente um compartilhamento de arquivo pode ser usado para armazenar dados de backup.
Provedores de recursos de agregação de valor de backup Dentro do escopo O backup de infraestrutura inclui backup para RP dos Hubs de Eventos, RP do Data Box Edge.

Próximas etapas