Infrastructure Backup Service best practices (Melhores práticas do Infrastructure Backup Service)Infrastructure Backup Service best practices

Aplica-se a: Modular Data Center, Azure Stack Hub robustoApplies to: Modular Data Center, Azure Stack Hub ruggedized

Reveja estas boas práticas regularmente para verificar se a sua instalação ainda está em conformidade quando são efetuadas alterações ao fluxo de funcionamento.Review these best practices regularly to verify that your installation is still in compliance when changes are made to the operation flow. Se encontrar algum problema durante a implementação destas boas práticas, contacte o Microsoft Support para obter ajuda.If you encounter any issues while implementing these best practices, contact Microsoft Support for help.

Configuração das melhores práticasConfiguration best practices

A cópia de segurança da infraestrutura é ativada por padrão durante a implementação de um novo sistema e armazenada internamente.Infrastructure backup is enabled by default during deployment of a new system and stored internally. Utilizando o portal Azure Stack ou PowerShell, pode fornecer um local de armazenamento externo para exportar as cópias de segurança para um local secundário.Using the Azure Stack portal or PowerShell, you can provide an external storage location to export the backups to a secondary location.

RedeNetworking

A cadeia universal de nomeação (UNC) para o caminho deve utilizar um nome de domínio totalmente qualificado (FQDN).The Universal Naming Convention (UNC) string for the path must use a fully qualified domain name (FQDN). O endereço IP pode ser utilizado se a resolução de nomes não for ' possível.IP address can be used if name resolution isn't possible. Uma cadeia unc especifica a localização de recursos, tais como ficheiros ou dispositivos partilhados.A UNC string specifies the location of resources such as shared files or devices.

EncriptaçãoEncryption

O certificado de encriptação é usado para encriptar dados de backup que são exportados para armazenamento externo.The encryption certificate is used to encrypt backup data that gets exported to external storage. O certificado pode ser um certificado auto-assinado, uma vez que o certificado é utilizado apenas para o transporte de chaves.The certificate can be a self-signed certificate since the certificate is only used to transport keys. Consulte New-SelfSignedCertificate para obter mais informações sobre como criar um certificado.Refer to New-SelfSignedCertificate for more info on how to create a certificate.

O certificado deve ser guardado num local seguro.The certificate must be stored in a secure location. O formato CER do certificado é utilizado apenas para encriptar dados e não utilizado para estabelecer comunicação.The CER format of the certificate is used to encrypt data only and not used to establish communication.

Melhores práticas operacionaisOperational best practices

Cópias de segurançaBackups

  • Os trabalhos de backup executam enquanto o sistema está em funcionamento para que não haja ' tempo de inatividade para as experiências de gestão ou aplicações de utilizadores.Backup jobs execute while the system is running so there's no downtime to the management experiences or user apps. Espere que os trabalhos de reserva levem 20 a 40 minutos para uma solução que ' esteja sob carga razoável.Expect the backup jobs to take 20-40 minutes for a solution that's under reasonable load.

  • Instruções adicionais fornecidas para fazer o back-up manual dos interruptores de rede e o hospedeiro de ciclo de vida do hardware (HLH).Additional instructions provided to manually back up network switches and the hardware lifecycle host (HLH).

Nomes de pastasFolder names

  • A infraestrutura cria automaticamente uma pasta MASBACKUP.Infrastructure creates MASBACKUP folder automatically. Esta é uma parte gerida pela Microsoft.This is a Microsoft-managed share. Pode criar ações ao mesmo nível do MASBACKUP.You can create shares at the same level as MASBACKUP. 'Não é recomendado criar pastas ou dados de armazenamento dentro do MASBACKUP que o Azure Stack não ' cria.It's not recommended to create folders or storage data inside of MASBACKUP that Azure Stack doesn't create.

  • Utilizador FQDN e região no seu nome de pasta para diferenciar dados de backup de diferentes nuvens.User FQDN and region in your folder name to differentiate backup data from different clouds. O FQDN da sua implementação e pontos finais da Stack Azure é a combinação do parâmetro região e do parâmetro Nome de Domínio Externo.The FQDN of your Azure Stack deployment and endpoints is the combination of the Region parameter and the External Domain Name parameter. Para mais informações, consulte a integração do datacenter Azure Stack - DNS.For more info, see Azure Stack datacenter integration - DNS.

Por exemplo, a parte de backup é AzSBackups hospedado em fileserver01.contoso.com.For example, the backup share is AzSBackups hosted on fileserver01.contoso.com. Nessa partilha de ficheiros pode haver uma pasta por Azure Stack implantação utilizando o nome de domínio externo e uma sub-dobragem que utiliza o nome da região.In that file share there may be a folder per Azure Stack deployment using the external domain name and a subfolder that uses the region name.

  • FQDN: contoso.comFQDN: contoso.com
  • Região: nycRegion: nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup

A MASBackup pasta é onde o Azure Stack armazena os seus dados de backup.The MASBackup folder is where Azure Stack stores its backup data. Não utilize esta pasta para armazenar os seus próprios dados.Don't use this folder to store your own data. Os OEMs também não devem utilizar esta pasta para armazenar quaisquer dados de backup.OEMs should also not use this folder to store any backup data.

Os OEMs são encorajados a armazenar dados de backup para os seus componentes sob a pasta da região.OEMs are encouraged to store backup data for their components under the region folder. Cada interruptor de rede, anfitrião de ciclo de vida de hardware (HLH), e assim por diante, pode ser armazenado na sua própria sub-dobra.Each network switch, hardware lifecycle host (HLH), and so on, may be stored in its own subfolder. Por exemplo:For example:

\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration

MonitorizaçãoMonitoring

Os seguintes alertas são suportados pelo sistema:The following alerts are supported by the system:

AlertaAlert DescriptionDescription RemediaçãoRemediation
A cópia de segurança falhou porque a parte do ficheiro está fora de capacidade.Backup failed because the file share is out of capacity. A partilha de ficheiros está fora de capacidade e o controlador de backup não pode exportar ficheiros de backup para o local.File share is out of capacity and backup controller can't export backup files to the location. Adicione mais capacidade de armazenamento e tente novamente.Add more storage capacity and try back up again. Elimine as cópias de segurança existentes (a partir da primeira mais antiga) para libertar espaço.Delete existing backups (starting from oldest first) to free up space.
A cópia de segurança falhou devido a problemas de conectividade.Backup failed due to connectivity problems. A rede entre a Azure Stack e a partilha de ficheiros está a ter problemas.Network between Azure Stack and the file share is experiencing issues. Aborde o problema da rede e tente fazer backup novamente.Address the network issue and try backup again.
O backup falhou devido a uma falha no caminho.Backup failed due to a fault in the path. O caminho da partilha de ficheiros não pode ser resolvido.The file share path can't be resolved. Mapear a partilha de um computador diferente para garantir que a partilha está acessível.Map the share from a different computer to ensure the share is accessible. Pode ser necessário atualizar o caminho se já não for válido.You may need to update the path if it's no longer valid.
A cópia de segurança falhou devido a um problema de autenticação.Backup failed due to authentication issue. Pode haver um problema com as credenciais ou um problema de rede que tenha impacto na autenticação.There might be an issue with the credentials or a network issue that impacts authentication. Mapear a partilha de um computador diferente para garantir que a partilha está acessível.Map the share from a different computer to ensure the share is accessible. Pode ser necessário atualizar as credenciais se já não forem válidas.You may need to update credentials if they're no longer valid.
O backup falhou devido a uma falha geral.Backup failed due to a general fault. O pedido falhado pode dever-se a um problema intermitente.The failed request could be due to an intermittent issue. Tente recuar de novo.Try to back up again. Chamada de apoio.Call support.

Componentes do Serviço de Backup de InfraestruturasInfrastructure Backup Service components

O Serviço de Backup da Infraestrutura inclui os seguintes componentes:The Infrastructure Backup Service includes the following components:

  • Controlador de backup de infraestrutura : O controlador de backup da infraestrutura é instantâneo e reside em todas as nuvens Azure Stack.Infrastructure Backup Controller : The Infrastructure Backup Controller is instantiated with and resides in every Azure Stack cloud.

  • Fornecedor de Recursos de Cópia de Segurança : O Fornecedor de Recursos de Cópia de Segurança (RP de backup) é composto pela interface do utilizador e APIs expondo a funcionalidade de backup básica para a infraestrutura Azure Stack.Backup Resource Provider : The Backup Resource Provider (Backup RP) is composed of the user interface and APIs exposing basic backup functionality for the Azure Stack infrastructure.

Controlador de backup de infraestruturasInfrastructure Backup Controller

O Controlador de Backup da Infraestrutura é um serviço de tecido de serviço que é instantâneo para uma nuvem Azure Stack.The Infrastructure Backup Controller is a Service Fabric service that gets instantiated for an Azure Stack Cloud. Os recursos de backup são criados a nível regional e capturam dados de serviços específicos da região a partir de AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault e RBAC.Backup resources are created at a regional level and capture region-specific service data from AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault, and RBAC.

Fornecedor de recursos de reservaBackup Resource Provider

O Fornecedor de Recursos De Cópia de Segurança apresenta uma interface de utilizador no portal Azure Stack para configuração básica e listagem de recursos de backup.The Backup Resource Provider presents a user interface in the Azure Stack portal for basic configuration and listing of backup resources. Os operadores podem fazer as seguintes ações na interface do utilizador:Operators can do the following actions in the user interface:

  • Ativar a cópia de segurança pela primeira vez fornecendo a localização externa, credenciais e chave de encriptação.Enable backup for the first time by providing external storage location, credentials, and encryption key.
  • Ver concluídos recursos de backup e recursos de estado sob criação.View completed created backup resources and status resources under creation.
  • Modifique o local de armazenamento onde o Controlador de Cópia de Segurança coloca dados de backup.Modify the storage location where Backup Controller places backup data.
  • Modifique as credenciais que o Controlador de Cópia de Segurança utiliza para aceder ao local de armazenamento externo.Modify the credentials that Backup Controller uses to access external storage location.
  • Modifique o certificado de encriptação que o Controlador de Backup utiliza para encriptar cópias de segurança.Modify the encryption certificate that Backup Controller uses to encrypt backups.

Requisitos do controlador de reservaBackup Controller requirements

Esta secção descreve requisitos importantes para o Serviço de Backup de Infraestruturas.This section describes important requirements for the Infrastructure Backup Service. Recomendamos que reveja a informação cuidadosamente antes de ativar a cópia de segurança para a sua instância Azure Stack e, em seguida, reencasse-a como necessário durante a implementação e posterior funcionamento.We recommend that you review the info carefully before you enable backup for your Azure Stack instance, and then refer back to it as necessary during deployment and subsequent operation.

Os requisitos incluem:The requirements include:

  • Requisitos de software : Descreve locais de armazenamento suportados e orientação de dimensionamento.Software requirements : Describes supported storage locations and sizing guidance.
  • Requisitos de rede : Descreve os requisitos de rede para diferentes locais de armazenamento.Network requirements : Describes network requirements for different storage locations.

Requisitos de softwareSoftware requirements

Locais de armazenamento suportadosSupported storage locations

Localização do armazenamentoStorage location DetalhesDetails
A partilha de ficheiros SMB hospedada num dispositivo de armazenamento dentro do ambiente de rede fidedigno.SMB file share hosted on a storage device within the trusted network environment. A SMB partilha no mesmo datacenter onde o Azure Stack é implantado ou num centro de dados diferente.SMB share in the same datacenter where Azure Stack is deployed or in a different datacenter. Várias instâncias Azure Stack podem usar a mesma partilha de ficheiros.Multiple Azure Stack instances can use the same file share.
Partilha de ficheiros SMB no Azure.SMB file share on Azure. Não apoiado atualmente.Not currently supported.
Armazenamento de bolhas em Azure.Blob storage on Azure. Não apoiado atualmente.Not currently supported.

Versões SMB suportadasSupported SMB versions

SMBSMB VersãoVersion
SMBSMB 3.x3.x

Encriptação SMBSMB encryption

O Serviço de Backup da Infraestrutura suporta a transferência de dados de backup para um local de armazenamento externo com encriptação SMB ativada no lado do servidor.The Infrastructure Backup Service supports transferring backup data to an external storage location with SMB encryption enabled on the server side. Se o servidor não suportar encriptação SMB ou não tiver a funcionalidade ativada, o Serviço de Backup da Infraestrutura volta a ser desencritado.If the server doesn't support SMB Encryption or doesn't have the feature enabled, the Infrastructure Backup Service falls back to unencrypted data transfer. Os dados de backup colocados no local de armazenamento externo são sempre encriptados em repouso e não dependem da encriptação SMB.Backup data placed on the external storage location is always encrypted at rest and is not dependent on SMB encryption.

Dimensionamento de localização de armazenamentoStorage location sizing

Recomendamos que volte pelo menos duas vezes por dia, e mantenha no máximo sete dias de backups.We recommend you back up at least twice a day, and keep at most seven days of backups. Este é o comportamento padrão quando ativa cópias de segurança de infraestrutura no Azure Stack.This is the default behavior when you enable infrastructure backups on Azure Stack.

Escala ambientalEnvironment Scale Tamanho projetado de backupProjected size of backup Quantidade total de espaço necessárioTotal amount of space required
4-16 nosmos4-16 nodes 20 GB20 GB 280 GB280 GB

Requisitos de redeNetwork requirements

Localização do armazenamentoStorage location DetalhesDetails
A partilha de ficheiros SMB hospedada num dispositivo de armazenamento dentro do ambiente de rede fidedigno.SMB file share hosted on a storage device within the trusted network environment. A porta 445 é necessária se a instância Azure Stack residir num ambiente com firewall.Port 445 is required if the Azure Stack instance resides in a firewalled environment. O Controlador de Backup da Infraestrutura iniciará uma ligação ao servidor de ficheiros SMB sobre a porta 445.Infrastructure Backup Controller will initiate a connection to the SMB file server over port 445.
Para utilizar o FQDN do servidor de ficheiros, o nome deve ser resolúvel a partir do PEP.To use the FQDN of the file server, the name must be resolvable from the PEP.

Nota

Não é necessário abrir portas de entrada.No inbound ports need to be opened.

Requisitos de encriptaçãoEncryption requirements

O Serviço de Backup da Infraestrutura utiliza um certificado com uma chave pública (. CER) para encriptar dados de backup.The Infrastructure Backup Service uses a certificate with a public key (.CER) to encrypt backup data. O certificado é utilizado para o transporte de chaves e não é utilizado para estabelecer uma comunicação autenticada segura.The certificate is used for transport of keys and is not used to establish secure authenticated communication. Por esta razão, o certificado pode ser um certificado auto-assinado.For this reason, the certificate can be a self-signed certificate. O Azure Stack não precisa de verificar a raiz ou a confiança para este certificado, pelo que o acesso externo à Internet não é necessário.Azure Stack doesn't need to verify root or trust for this certificate, so external internet access is not required.

O certificado auto-assinado vem em duas partes, uma com a chave pública e outra com a chave privada:The self-signed certificate comes in two parts, one with the public key and one with the private key:

  • Encripte os dados de backup: Certificado com a chave pública (exportado para . O ficheiro CER) é utilizado para encriptar dados de backup.Encrypt backup data: Certificate with the public key (exported to .CER file) is used to encrypt backup data.
  • Desencriptar dados de backup: Certificado com a chave privada (exportado para . O ficheiro PFX) é utilizado para desencriptar dados de backup.Decrypt backup data: Certificate with the private key (exported to .PFX file) is used to decrypt backup data.

O certificado com a chave pública (. CER) não é gerido por rotação secreta interna.The certificate with the public key (.CER) is not managed by internal secret rotation. Para rodar o certificado, tem de criar um novo certificado auto-assinado e atualizar as definições de backup com o novo ficheiro (. CER).To rotate the certificate, you must create a new self-signed certificate and update backup settings with the new file (.CER).

Todas as cópias de segurança existentes permanecem encriptadas utilizando a chave pública anterior.All existing backups remain encrypted using the previous public key. Novos reforços usam a nova chave pública.New backups use the new public key.

Por razões de segurança, o certificado utilizado durante a recuperação em nuvem com a chave privada (. PFX) não é persistido por Azure Stack.For security reasons, the certificate used during cloud recovery with the private key (.PFX) is not persisted by Azure Stack.

Limites de backup de infraestruturaInfrastructure Backup limits

Considere estes limites como planeia, implementa e opera as suas instâncias Microsoft Azure Stack.Consider these limits as you plan, deploy, and operate your Microsoft Azure Stack instances. A tabela a seguir descreve estes limites.The following table describes these limits.

Identificador de limiteLimit identifier LimiteLimit ComentáriosComments
Tipo de cópia de segurançaBackup type Cheio apenasFull only O Controlador de Backup da Infraestrutura suporta apenas cópias de segurança completas.Infrastructure Backup Controller only supports full backups. As cópias de segurança incrementais não são suportadas.Incremental backups are not supported.
Backups programadosScheduled backups Agendado e manualScheduled and manual O controlador de reserva suporta cópias de segurança programadas e a pedido.Backup controller supports scheduled and on-demand backups.
Máximos de trabalhos de backup simultâneosMaximum concurrent backup jobs 11 Apenas um trabalho de backup ativo é suportado por exemplo de Controlador de Reserva.Only one active backup job is supported per instance of Backup Controller.
Configuração do interruptor de redeNetwork switch configuration Não no âmbitoNot in scope O administrador deve fazer o back up da configuração do interruptor de rede utilizando ferramentas OEM.Admin must back up network switch configuration using OEM tools. Consulte a documentação para a Pilha Azure fornecida por cada fornecedor OEM.Refer to documentation for Azure Stack provided by each OEM vendor.
Anfitrião do ciclo de vida do hardwareHardware Lifecycle Host Não no âmbitoNot in scope A administração deve fazer o back up Hardware Lifecycle Host utilizando ferramentas OEM.Admin must back up Hardware Lifecycle Host using OEM tools. Consulte a documentação para a Pilha Azure fornecida por cada fornecedor OEM.Refer to documentation for Azure Stack provided by each OEM vendor.
Número máximo de ações de ficheirosMaximum number of file shares 11 Apenas uma partilha de ficheiros pode ser usada para armazenar dados de backup.Only one file share can be used to store backup data.
Fornecedores de recursos de valor acrescentado de backupBackup value-add resource providers No âmbitoIn scope A cópia de segurança da infraestrutura inclui cópia de segurança para Event Hubs RP, IoT Hub RP, Data Box Edge RP.Infrastructure backup includes backup for Event Hubs RP, IoT Hub RP, Data Box Edge RP.

Passos seguintesNext steps