Como implementar a recuperação após desastre através do serviço de cópia de segurança e restauro na Gestão de API do Azure

APLICA-SE A: Developer | Básico | Padrão | Prémio

Ao publicar e gerenciar suas APIs por meio do Gerenciamento de API do Azure, você está aproveitando a tolerância a falhas e os recursos de infraestrutura que, de outra forma, projetaria, implementaria e gerenciaria manualmente. A plataforma Azure atenua uma grande fração de falhas potenciais a uma fração do custo.

Para se recuperar de problemas de disponibilidade que afetam seu serviço de Gerenciamento de API, esteja pronto para reconstituir seu serviço em outra região a qualquer momento. Dependendo do seu objetivo de tempo de recuperação, convém manter um serviço em espera em uma ou mais regiões. Você também pode tentar manter sua configuração e conteúdo sincronizados com o serviço ativo de acordo com seu objetivo de ponto de recuperação. Os recursos de backup e restauração de gerenciamento de API fornecem os blocos de construção necessários para implementar a estratégia de recuperação de desastres.

As operações de backup e restauração também podem ser usadas para replicar a configuração do serviço de Gerenciamento de API entre ambientes operacionais, por exemplo, desenvolvimento e preparação. Tenha cuidado que os dados de tempo de execução, como usuários e assinaturas, também serão copiados, o que nem sempre pode ser desejável.

Este artigo mostra como automatizar as operações de backup e restauração de sua instância de Gerenciamento de API usando uma conta de armazenamento externo. As etapas mostradas aqui usam os cmdlets Backup-AzApiManagement e Restore-AzApiManagement do Azure PowerShell ou o Api Management Service - Backup and Api Management Service - Restore REST APIs.

Aviso

Cada cópia de segurança expira após 30 dias. Se você tentar restaurar um backup após o período de expiração de 30 dias ter expirado, a restauração falhará com uma Cannot restore: backup expired mensagem.

Importante

A operação de restauração não altera a configuração personalizada do nome do host do serviço de destino. Recomendamos usar o mesmo nome de host personalizado e certificado TLS para serviços ativos e em espera, para que, após a conclusão da operação de restauração, o tráfego possa ser redirecionado para a instância em espera por uma simples alteração CNAME DNS.

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

• Uma instância de serviço de Gerenciamento de API. Se você não tiver uma, consulte Criar uma instância de serviço de Gerenciamento de API.

• Uma conta de armazenamento do Azure. Se não tiver uma, consulte Criar uma conta de armazenamento.

  • Crie um contêiner na conta de armazenamento para armazenar os dados de backup.

• A versão mais recente do Azure PowerShell, se você planeja usar cmdlets do Azure PowerShell. Se ainda não o fez, instale o Azure PowerShell.

Configurar o acesso à conta de armazenamento

Ao executar uma operação de backup ou restauração, você precisa configurar o acesso à conta de armazenamento. O Gerenciamento de API dá suporte a dois mecanismos de acesso ao armazenamento: uma chave de acesso do Armazenamento do Azure ou uma identidade gerenciada do Gerenciamento de API.

Configurar chave de acesso à conta de armazenamento

O Azure gera duas chaves de acesso de conta de armazenamento de 512 bits para cada conta de armazenamento. Essas chaves podem ser usadas para autorizar o acesso aos dados em sua conta de armazenamento por meio da autorização de Chave Compartilhada. Para visualizar, recuperar e gerenciar as chaves, consulte Gerenciar chaves de acesso da conta de armazenamento.

Configurar identidade gerenciada do Gerenciamento de API

Nota

O uso de uma identidade gerenciada pelo Gerenciamento de API para operações de armazenamento durante o backup e a restauração é suportado na versão 2021-04-01-preview da API REST de Gerenciamento de API ou posterior.

1. Habilite uma identidade gerenciada atribuída pelo sistema ou pelo usuário para o Gerenciamento de API em sua instância de Gerenciamento de API.

   • Se você habilitar uma identidade gerenciada atribuída pelo usuário, anote a ID do Cliente da identidade.
   • Se você fizer backup e restaurar para diferentes instâncias de Gerenciamento de API, habilite uma identidade gerenciada nas instâncias de origem e de destino.

2. Atribua a identidade à função de Colaborador de Dados de Blob de Armazenamento , com escopo para a conta de armazenamento usada para backup e restauração. Para atribuir a função, use o portal do Azure ou outras ferramentas do Azure.

Fazer backup de um serviço de Gerenciamento de API

PowerShell

Entre com o Azure PowerShell.

Nos seguintes exemplos:

• Uma instância de Gerenciamento de API chamada myapim está no grupo de recursos apimresourcegroup.
• Uma conta de armazenamento chamada backupstorageaccount está no grupo de recursos storageresourcegroup. A conta de armazenamento tem um contêiner chamado backups.
• Um blob de backup será criado com o nome ContosoBackup.apimbackup.

Definir variáveis no PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Acesso usando chave de acesso de armazenamento

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName -TargetBlobName $blobName

Acesso usando identidade gerenciada

Para configurar uma identidade gerenciada em sua instância de Gerenciamento de API para acessar a conta de armazenamento, consulte Configurar uma identidade gerenciada, anteriormente neste artigo.

Acesso usando identidade gerenciada atribuída ao sistema

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Acesso usando identidade gerenciada atribuída pelo usuário

Neste exemplo, uma identidade gerenciada atribuída pelo usuário chamada myidentity está no grupo de recursos identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

O backup é uma operação de longa execução que pode levar vários minutos para ser concluída. Durante esse tempo, o gateway de API continua a lidar com solicitações, mas o estado do serviço é Atualizando.

REST

Consulte Referência da API REST do Azure para obter informações sobre como autenticar e chamar APIs REST do Azure.

Para fazer backup de um serviço de Gerenciamento de API, emita a seguinte solicitação HTTP:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/backup?api-version={api-version}

onde:

• subscriptionId - ID da assinatura que contém o serviço de Gerenciamento de API do qual você está tentando fazer backup
• resourceGroupName - nome do grupo de recursos do seu serviço de Gerenciamento de API do Azure
• serviceName - o nome do serviço de Gerenciamento de API do qual você está fazendo um backup especificado no momento de sua criação
• api-version - uma versão válida da API REST, como 2021-08-01 ou 2021-04-01-preview.

No corpo da solicitação, especifique o nome da conta de armazenamento de destino, o nome do contêiner de blob, o nome do backup e o tipo de acesso de armazenamento. Se o contêiner de armazenamento não existir, a operação de backup o criará.

Acesso usando chave de acesso de armazenamento

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Acesso usando identidade gerenciada

Nota

O uso de uma identidade gerenciada pelo Gerenciamento de API para operações de armazenamento durante o backup e a restauração requer a versão 2021-04-01-preview da API REST de Gerenciamento de API ou posterior.

Acesso usando identidade gerenciada atribuída ao sistema

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Acesso usando identidade gerenciada atribuída pelo usuário

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Defina o valor do Content-Type cabeçalho da solicitação como application/json.

O backup é uma operação de longa execução que pode levar vários minutos para ser concluída. Se a solicitação for bem-sucedida e o processo de backup for iniciado, você receberá um código de status de 202 Accepted resposta com um Location cabeçalho. Faça GET solicitações para a URL no Location cabeçalho para descobrir o status da operação. Enquanto o backup estiver em andamento, você continuará a receber um código de 202 Accepted status. Durante esse tempo, o gateway de API continua a lidar com solicitações, mas o estado do serviço é Atualizando. Um código de resposta indica 200 OK a conclusão bem-sucedida da operação de backup.

Restaurar um serviço de Gerenciamento de API

Atenção

Evite alterações na configuração do serviço (por exemplo, APIs, políticas, aparência do portal do desenvolvedor) enquanto a operação de restauração estiver em andamento. As alterações podem ser substituídas.

PowerShell

Nos exemplos a seguir,

• Uma instância de Gerenciamento de API chamada myapim é restaurada a partir do blob de backup chamado ContosoBackup.apimbackup na conta de armazenamento backupstorageaccount.
• O blob de backup está em um contêiner chamado backups.

Definir variáveis no PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Acesso usando chave de acesso de armazenamento

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName -SourceBlobName $blobName

Acesso usando identidade gerenciada

Para configurar uma identidade gerenciada em sua instância de Gerenciamento de API para acessar a conta de armazenamento, consulte Configurar uma identidade gerenciada, anteriormente neste artigo.

Acesso usando identidade gerenciada atribuída ao sistema

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Acesso usando identidade gerenciada atribuída pelo usuário

Neste exemplo, uma identidade gerenciada atribuída pelo usuário chamada myidentity está no grupo de recursos identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

A restauração é uma operação de longa duração que pode levar até 45 minutos ou mais para ser concluída.

REST

Para restaurar um serviço de Gerenciamento de API a partir de um backup criado anteriormente, faça a seguinte solicitação HTTP:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/restore?api-version={api-version}

onde:

• subscriptionId - ID da assinatura que contém o serviço de Gerenciamento de API no qual você está restaurando um backup
• resourceGroupName - nome do grupo de recursos que contém o serviço de Gerenciamento de API do Azure no qual você está restaurando um backup
• serviceName - o nome do serviço de Gerenciamento de API que está sendo restaurado no especificado em seu momento de criação
• api-version - uma versão válida da API REST, como 2021-08-01 ou 2021-04-01-preview

No corpo da solicitação, especifique o nome da conta de armazenamento existente, o nome do contêiner de blob, o nome do backup e o tipo de acesso ao armazenamento.

Acesso usando chave de acesso de armazenamento

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Acesso usando identidade gerenciada

Nota

O uso de uma identidade gerenciada pelo Gerenciamento de API para operações de armazenamento durante o backup e a restauração requer a versão 2021-04-01-preview da API REST de Gerenciamento de API ou posterior.

Acesso usando identidade gerenciada atribuída ao sistema

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Acesso usando identidade gerenciada atribuída pelo usuário

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Defina o valor do Content-Type cabeçalho da solicitação como application/json.

A restauração é uma operação de longa duração que pode levar até 30 ou mais minutos para ser concluída. Se a solicitação for bem-sucedida e o processo de restauração for iniciado, você receberá um código de status de 202 Accepted resposta com um Location cabeçalho. Faça GET solicitações para a URL no Location cabeçalho para descobrir o status da operação. Enquanto a restauração estiver em andamento, você continuará a receber um código de 202 Accepted status. Um código de resposta indica 200 OK a conclusão bem-sucedida da operação de restauração.

Restrições

• A restauração de um backup é garantida apenas por 30 dias desde o momento de sua criação.
• Enquanto o backup estiver em andamento, evite alterações de gerenciamento no serviço, como upgrade ou downgrade de nível de preço, alteração no nome de domínio e muito mais.
• As alterações feitas na configuração do serviço (por exemplo, APIs, políticas e aparência do portal do desenvolvedor) enquanto a operação de backup está em processo podem ser excluídas do backup e serão perdidas.
• O backup não captura dados de log pré-agregados usados em relatórios mostrados na janela do Google Analytics no portal do Azure.
• O CORS (Cross-Origin Resource Sharing) não deve ser habilitado no serviço Blob na conta de armazenamento.
• O nível de preço do serviço que está sendo restaurado deve corresponder ao nível de preço do serviço de backup que está sendo restaurado.

Restrições de rede de armazenamento

Se a conta de armazenamento estiver habilitada para firewall, é recomendável usar a identidade gerenciada atribuída pelo sistema da instância de Gerenciamento de API para acessar a conta. Certifique-se de que a conta de armazenamento conceda acesso a serviços confiáveis do Azure.

O que não é feito backup

• Os dados de uso usados para criar relatórios analíticos não são incluídos no backup. Use a API REST de Gerenciamento de API do Azure para recuperar periodicamente relatórios de análise para proteção.
• Certificados TLS/SSL de domínio personalizados.
• Certificados de autoridade de certificação personalizados, que incluem certificados intermediários ou raiz carregados pelo cliente.
• Configurações de integração de rede virtual.
• Configuração de identidade gerenciada.
• Configuração de diagnóstico do Azure Monitor.
• Configurações de protocolos e cifras .
• Conteúdo do portal do desenvolvedor.

A frequência com que você executa backups de serviço afeta seu objetivo de ponto de recuperação. Para minimizá-lo, recomendamos implementar backups regulares e executar backups sob demanda depois de fazer alterações no serviço de Gerenciamento de API.

Próximos passos

Confira os seguintes recursos relacionados para o processo de backup/restauração:

• Automatizar a Cópia de Segurança da Gestão de API e restaurar com o Logic Apps
• Como mover o Gerenciamento de API do Azure entre regiões
• A camada Premium do Gerenciamento de API também oferece suporte à redundância de zona, que fornece resiliência e alta disponibilidade para uma instância de serviço em uma região específica do Azure (local).