Infraestrutura Backup Service boas práticas - Modular Data Center (MDC)

Aplica-se a: Modular Data Center, Azure Stack Hub robusto

Reveja estas boas práticas regularmente para verificar se a sua instalação ainda está em conformidade quando são efetuadas alterações ao fluxo de funcionamento. Se encontrar algum problema durante a implementação destas boas práticas, contacte o Microsoft Support para obter ajuda.

Configuração das melhores práticas

A cópia de segurança da infraestrutura é ativada por padrão durante a implementação de um novo sistema e armazenada internamente. Utilizando o portal Azure Stack ou PowerShell, pode fornecer um local de armazenamento externo para exportar as cópias de segurança para um local secundário.

Rede

A cadeia universal de nomeação (UNC) para o caminho deve utilizar um nome de domínio totalmente qualificado (FQDN). Um endereço IP pode ser usado se a resolução de nome não for possível. Uma cadeia unc especifica a localização de recursos, tais como ficheiros ou dispositivos partilhados.

Encriptação

O certificado de encriptação é usado para encriptar dados de backup que são exportados para armazenamento externo. O certificado pode ser um certificado auto-assinado, uma vez que o certificado é utilizado apenas para o transporte de chaves. Para obter mais informações sobre como criar um certificado, consulte a documentação do New-SelfSignedCertificate.

O certificado deve ser guardado num local seguro. O formato CER do certificado é utilizado apenas para encriptar dados e não utilizado para estabelecer comunicação.

Melhores práticas operacionais

Cópias de segurança

  • Os trabalhos de backup executam enquanto o sistema está em funcionamento para que não haja tempo de inatividade para as experiências de gestão ou aplicações de utilizadores. Espere que os trabalhos de reserva levem 20 a 40 minutos para uma solução que esteja sob carga razoável.

  • Instruções adicionais fornecidas para fazer o back-up manual dos interruptores de rede e o anfitrião do ciclo de vida do hardware (HLH).

Nomes de pasta

  • A infraestrutura cria automaticamente uma pasta MASBACKUP. Esta é uma parte gerida pela Microsoft. Pode criar ações ao mesmo nível do MASBACKUP. Não é recomendado criar pastas ou dados de armazenamento dentro do MASBACKUP que o Azure Stack não cria.

  • O utilizador FQDN e região no nome da sua pasta diferencia dados de backup de diferentes nuvens. O FQDN da sua implementação e pontos finais da Stack Azure é a combinação do parâmetro Região e do parâmetro Nome de Domínio Externo. Para mais informações, consulte a integração do datacenter Azure Stack - DNS.

Por exemplo, a parte de reserva é a AzSBackups hospedada em fileserver01.contoso.com. Nessa partilha de ficheiros, pode haver uma pasta por Azure Stack implantação usando o nome de domínio externo e uma sub-máquina que usa o nome da região.

  • FQDN: contoso.com
  • Região: nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup

A MASBackup pasta é onde o Azure Stack armazena os seus dados de backup. Não utilize esta pasta para armazenar os seus próprios dados. Os OEMs também não devem utilizar esta pasta para armazenar quaisquer dados de backup.

Os OEMs são encorajados a armazenar dados de backup para os seus componentes sob a pasta da região. Pode armazenar cada interruptor de rede, anfitrião de ciclo de vida de hardware (HLH), e assim por diante, na sua própria sub-página. Por exemplo:

\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration

Monitorização

Os seguintes alertas são suportados pelo sistema:

Alerta Description Remediação
A cópia de segurança falhou porque a parte do ficheiro está fora de capacidade. A partilha de ficheiros está fora de capacidade e o controlador de backup não pode exportar ficheiros de backup para a localização. Adicione mais capacidade de armazenamento e tente novamente. Elimine as cópias de segurança existentes (a partir da primeira mais antiga) para libertar espaço.
A cópia de segurança falhou devido a problemas de conectividade. A rede entre a Azure Stack e a partilha de ficheiros está a ter problemas. Aborde o problema da rede e tente fazer backup novamente.
A cópia de segurança falhou devido a uma falha no caminho. O caminho da partilha de ficheiros não pode ser resolvido. Mapear a partilha de um computador diferente para garantir que a partilha está acessível. Pode ser necessário atualizar o caminho se já não for válido.
A cópia de segurança falhou devido a um problema de autenticação. Pode haver um problema com as credenciais ou um problema de rede que tenha impacto na autenticação. Mapear a partilha de um computador diferente para garantir que a partilha está acessível. Pode ter de atualizar as credenciais se já não forem válidas.
A cópia de segurança falhou devido a uma falha geral. O pedido falhado pode dever-se a um problema intermitente. Tente recuar de novo. Chamada de apoio.

Componentes do Serviço de Backup de Infraestruturas

O Serviço de Backup da Infraestrutura inclui os seguintes componentes:

  • Controlador de backup de infraestrutura: O controlador de backup da infraestrutura é instantâneo e reside em todas as nuvens Azure Stack.

  • Fornecedor de Recursos de Cópia de Segurança: O Fornecedor de Recursos de Cópia de Segurança (RP de backup) é composto pela interface do utilizador e APIs expondo a funcionalidade de backup básica para a infraestrutura Azure Stack.

Controlador de backup de infraestruturas

O Controlador de Backup da Infraestrutura é um serviço Service Fabric que é instantâneo para uma Nuvem Azure Stack. Os recursos de backup são criados a nível regional e capturam dados de serviços específicos da região a partir de AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault e RBAC.

Fornecedor de recursos de backup

O Fornecedor de Recursos De Cópia de Segurança apresenta uma interface de utilizador no portal Azure Stack para configuração básica e listagem de recursos de backup. Os operadores podem realizar as seguintes ações na interface do utilizador:

  • Ativar a cópia de segurança pela primeira vez fornecendo a localização externa, credenciais e chave de encriptação.
  • Ver concluídos recursos de backup e recursos de estado sob criação.
  • Modifique o local de armazenamento onde o Controlador de Cópia de Segurança coloca dados de backup.
  • Modifique as credenciais que o Controlador de Cópia de Segurança utiliza para aceder ao local de armazenamento externo.
  • Modifique o certificado de encriptação que o Controlador de Backup utiliza para encriptar cópias de segurança.

Requisitos do controlador de backup

Esta secção descreve requisitos importantes para o Serviço de Backup de Infraestruturas. Recomendamos que reveja a informação cuidadosamente antes de ativar a cópia de segurança para a sua instância Azure Stack e, em seguida, reencasse-a como necessário durante a implementação e posterior funcionamento.

Os requisitos incluem:

  • Requisitos de software: Descreve locais de armazenamento suportados e orientação de dimensionamento.
  • Requisitos de rede: Descreve os requisitos de rede para diferentes locais de armazenamento.

Requisitos de software

Locais de armazenamento suportados

Localização do armazenamento Detalhes
A partilha de ficheiros SMB hospedada num dispositivo de armazenamento dentro do ambiente de rede fidedigno. A SMB partilha no mesmo datacenter onde o Azure Stack é implantado ou num centro de dados diferente. Várias instâncias Azure Stack podem usar a mesma partilha de ficheiros.
Partilha de ficheiros SMB no Azure. Não apoiado atualmente.
Armazenamento de bolhas em Azure. Não apoiado atualmente.

Versões SMB suportadas

SMB Versão
SMB 3.x

Encriptação SMB

O Serviço de Backup da Infraestrutura suporta a transferência de dados de backup para um local de armazenamento externo com encriptação SMB ativada no lado do servidor. Se o servidor não suportar encriptação SMB ou não tiver a funcionalidade ativada, o Serviço de Backup da Infraestrutura volta a ser desencritado. Os dados de backup colocados no local de armazenamento externo são sempre encriptados em repouso e não dependem da encriptação SMB.

Armazenamento tamanho da localização

Recomendamos que recue pelo menos duas vezes por dia e mantenha no máximo sete dias de backups. Este é o comportamento padrão quando ativa cópias de segurança de infraestrutura no Azure Stack.

Escala ambiental Tamanho projetado de backup Quantidade total de espaço necessário
4-16 nosmos 20 GB 280 GB

Requisitos da rede

Localização do armazenamento Detalhes
A partilha de ficheiros SMB hospedada num dispositivo de armazenamento dentro do ambiente de rede fidedigno. A porta 445 é necessária se a instância Azure Stack residir num ambiente com firewall. O Controlador de Backup da Infraestrutura iniciará uma ligação ao servidor de ficheiros SMB sobre a porta 445.
Para utilizar o FQDN do servidor de ficheiros, o nome deve ser resolúvel a partir do PEP.

Nota

Não é necessário abrir portas de entrada.

Requisitos de encriptação

O Serviço de Backup da Infraestrutura utiliza um certificado com uma chave pública (. CER) para encriptar dados de backup. O certificado é utilizado para o transporte de chaves e não é utilizado para estabelecer uma comunicação autenticada segura. Por esta razão, o certificado pode ser um certificado auto-assinado. O Azure Stack não precisa de verificar a raiz ou a confiança deste certificado, pelo que não é necessário aceder à Internet externa.

O certificado auto-assinado vem em duas partes, uma com a chave pública e outra com a chave privada:

  • Encrimedam dados de backup: Certificado com a chave pública (exportado para . O ficheiro CER) é utilizado para encriptar dados de backup.
  • Desencriptar dados de backup: Certificado com a chave privada (exportado para . O ficheiro PFX) é utilizado para desencriptar dados de backup.

O certificado com a chave pública (. CER) não é gerido por rotação secreta interna. Para rodar o certificado, tem de criar um novo certificado auto-assinado e atualizar as definições de backup com o novo ficheiro (. CER).

Todas as cópias de segurança existentes permanecem encriptadas utilizando a chave pública anterior. Novos reforços usam a nova chave pública.

Por razões de segurança, o certificado utilizado durante a recuperação em nuvem com a chave privada (. PFX) não é persistido por Azure Stack.

Limites de backup de infraestrutura

Considere estes limites como planeia, implemente e opere as suas Microsoft Azure instâncias Stack. A tabela a seguir descreve estes limites.

Identificador de limite Limite Comentários
Tipo de cópia de segurança Cheio apenas O Controlador de Backup da Infraestrutura suporta apenas cópias de segurança completas. As cópias de segurança incrementais não são suportadas.
Backups programados Agendado e manual O controlador de reserva suporta cópias de segurança programadas e a pedido.
Máximos de trabalhos de backup simultâneos 1 Apenas um trabalho de backup ativo é suportado por exemplo de Controlador de Reserva.
Configuração do interruptor de rede Não no âmbito O administrador deve fazer o back up da configuração do interruptor de rede utilizando ferramentas OEM. Consulte a documentação para a Pilha Azure fornecida por cada fornecedor OEM.
Anfitrião do ciclo de vida de hardware Não no âmbito A Administra deve fazer o back up Hardware Lifecycle Host utilizando ferramentas OEM. Consulte a documentação para a Pilha Azure fornecida por cada fornecedor OEM.
Número máximo de ações de ficheiros 1 Apenas uma partilha de ficheiros pode ser usada para armazenar dados de backup.
Fornecedores de recursos de valor acrescentado de backup No âmbito A cópia de segurança da infraestrutura inclui cópia de segurança para Event Hubs RP, IoT Hub RP, Data Box Edge RP.

Passos seguintes