Nuvem de backup e cargas de trabalho no local para cloudBackup cloud and on-premises workloads to cloud

IntroduçãoIntroduction

O Azure Backup protege exaustivamente os seus ativos de dados em Azure através de uma solução simples, segura e económica que requer infraestruturas zero.Azure Backup comprehensively protects your data assets in Azure through a simple, secure, and cost-effective solution that requires zero-infrastructure. É a solução de proteção de dados incorporada do Azure para uma vasta gama de cargas de trabalho.It's Azure's built-in data protection solution for a wide range of workloads. Ajuda a proteger as cargas de trabalho críticas da sua missão que estão na nuvem, e garante que os seus backups estão sempre disponíveis e geridos em escala em toda a sua propriedade de backup.It helps protect your mission critical workloads running in the cloud, and ensures your backups are always available and managed at scale across your entire backup estate.

Público-alvoIntended audience

O público-alvo principal deste artigo são os administradores de TI e aplicações, e implementadores de grandes e médias organizações, que querem aprender sobre as capacidades da tecnologia de proteção de dados incorporada da Azure, Azure Backup, e como implementar eficientemente soluções que melhor protejam as suas implementações.The primary target audience for this article is IT and application administrators, and implementers of large and mid-sized organizations, who want to learn about the capabilities of Azure’s built-in data protection technology, Azure Backup, and how to efficiently implement solutions that better protect your deployments. O artigo assume que está familiarizado com as tecnologias core Azure, conceitos de proteção de dados e tem experiência em trabalhar com uma solução de backup.The article assumes you're familiar with core Azure technologies, data protection concepts and have experience working with a backup solution. As orientações abrangidas por este artigo podem facilitar a conceção da sua solução de backup no Azure utilizando padrões estabelecidos e evitar armadilhas conhecidas.The guidance covered in this article can make it easier to design your backup solution on Azure using established patterns and avoid known pitfalls.

Como este artigo é organizadoHow this article is organized

Embora seja fácil começar a proteger infraestruturas e aplicações no Azure, quando você garante que os recursos Azure subjacentes são configurado corretamente e sendo usados da melhor forma, você pode acelerar o seu tempo para valorizar.While it’s easy to start protecting infrastructure and applications on Azure, when you ensure that the underlying Azure resources are set up correctly and being used optimally you can accelerate your time to value. Este artigo abrange uma breve visão geral das considerações de design e orientação para configurar o idealmente a sua implementação de Backup Azure.This article covers a brief overview of design considerations and guidance for optimally configuring your Azure Backup deployment. Examina os componentes principais (por exemplo, cofre de serviços de recuperação, política de backup) e conceitos (por exemplo, governação) e como pensar neles e suas capacidades com ligações à documentação detalhada do produto.It examines the core components (for example, Recovery Services vault, Backup Policy) and concepts (for example, governance) and how to think of them and their capabilities with links to detailed product documentation.

ArquiteturaArchitecture

Arquitetura do Azure Backup

Cargas de TrabalhoWorkloads

O Azure Backup permite a proteção de dados para várias cargas de trabalho (no local e nuvem).Azure Backup enables data protection for various workloads (on-premises and cloud). É um mecanismo seguro e fiável de proteção de dados incorporado em Azure.It's a secure and reliable built-in data protection mechanism in Azure. Pode escalar perfeitamente a sua proteção através de várias cargas de trabalho sem qualquer sobrecarga de gestão para si.It can seamlessly scale its protection across multiple workloads without any management overhead for you. Existem vários canais de automatização também para permitir isso (via PowerShell, CLI, Azure Resource Manager e REST APIs.)There are multiple automation channels as well to enable this (via PowerShell, CLI, Azure Resource Manager templates, and REST APIs.)

  • Armazenamento escalável, durável e seguro - O Azure Backup utiliza um armazenamento blob fiável com segurança incorporada e funcionalidades de alta disponibilidade.Scalable, durable, and secure storage - Azure Backup uses reliable Blob storage with in-built security and high availability features. Pode escolher armazenamentos LRS, GRS ou RA-GRS para os seus dados de backup.You can choose LRS, GRS, or RA-GRS storages for your backup data.

  • Integração da carga de trabalho nativa - O Azure Backup proporciona integração nativa com Azure Workloads (VMs, SAP HANA, SQL em VMs Azure e até mesmo Ficheiros Azure) sem que você gere automatização ou infraestrutura para implantar agentes, escrever novos scripts ou armazenamento de provisões.Native workload integration - Azure Backup provides native integration with Azure Workloads (VMs, SAP HANA, SQL in Azure VMs and even Azure Files) without requiring you to manage automation or infrastructure to deploy agents, write new scripts or provision storage.

Plano de dadosData plane

  • Gestão automatizada de armazenamento – A Azure Backup automatiza o fornecimento e gestão de contas de armazenamento para os dados de backup para garantir que ele escala à medida que os dados de backup crescem.Automated storage management – Azure Backup automates provisioning and managing storage accounts for the backup data to ensure it scales as the backup data grows.

  • Proteção maliciosa de exclusão – Proteja contra quaisquer tentativas acidentais e maliciosas de eliminar as suas cópias de segurança através de uma eliminação suave das cópias de segurança.Malicious delete protection – Protect against any accidental and malicious attempts for deleting your backups via soft delete of backups. Os dados de backup eliminados são armazenados gratuitamente durante 14 dias e permitem a sua recuperação deste estado.The deleted backup data is stored for 14 days free of charge and allows it to be recovered from this state.

  • Segurança encriptada segura... O Azure Backup garante que os seus dados de backup são armazenados de forma segura, aproveitando as capacidades de segurança incorporadas da plataforma Azure como o Azure RBAC e a Encriptação.Secure encrypted backups- Azure Backup ensures your backup data is stored in a secure manner, leveraging built-in security capabilities of the Azure platform like Azure RBAC and Encryption.

  • Gestão do ciclo de vida de dados de backup - O Azure Backup limpa automaticamente os dados de backup mais antigos para cumprir as políticas de retenção.Backup data lifecycle management - Azure Backup automatically cleans up older backup data to comply with the retention policies. Também pode nivelar os seus dados do armazenamento operacional para o armazenamento do cofre.You can also tier your data from operational storage to vault storage.

Plano de gestãoManagement plane

  • Controlo de acessos – Os cofres (Serviços de Recuperação e cofres de backup) fornecem as capacidades de gestão e são acessíveis através do portal Azure, Backup Center, Dashboards Vault, SDK, CLI e até MESMO REST APIs.Access control – Vaults (Recovery Services and Backup vaults) provide the management capabilities and are accessible via the Azure portal, Backup Center, Vault dashboards, SDK, CLI, and even REST APIs. É também um limite Azure RBAC, proporcionando-lhe a opção de restringir o acesso a backups apenas para administradores de backup autorizados.It's also an Azure RBAC boundary, providing you the option to restrict access to backups only to authorized Backup Admins.

  • Gestão de políticas – As políticas de backup do Azure dentro de cada cofre definem quando as cópias de segurança devem ser ativadas e quanto tempo precisam de ser mantidas.Policy management – Azure Backup Policies within each vault define when the backups should be triggered and how long they need to be retained. Também pode gerir estas políticas e aplicá-las em vários itens.You can also manage these policies and apply them across multiple items.

  • Monitoring and Reporting – Azure Backup integra-se com o Log Analytics e fornece a capacidade de ver relatórios através de Livros de Trabalho.Monitoring and Reporting – Azure Backup integrates with Log Analytics and provides the ability to see reports via Workbooks as well.

  • Gestão snapshot – Azure Backup tira fotos para algumas cargas de trabalho nativas do Azure (VMs e Ficheiros Azure), gere estes instantâneos e permite restauros rápidos a partir deles.Snapshot management – Azure Backup takes snapshots for some Azure native workloads (VMs and Azure Files), manages these snapshots and allows fast restores from them. Esta opção reduz drasticamente o tempo de recuperação dos seus dados para o armazenamento original.This option drastically reduces the time to recover your data to the original storage.

Considerações de abóbadaVault considerations

O Azure Backup usa cofres (Serviços de Recuperação e cofres de reserva) para orquestrar e gerir backups.Azure Backup uses vaults (Recovery Services and Backup vaults) to orchestrate and manage backups. Também usa cofres para armazenar dados com reserva.It also uses vaults to store backed-up data. O design eficaz do cofre ajuda as organizações a estabelecer uma estrutura para organizar e gerir ativos de backup em Azure para apoiar as suas prioridades de negócio.Effective vault design helps organizations establish a structure to organize and manage backup assets in Azure to support your business priorities. Considere as seguintes diretrizes ao criar um cofre:Consider the following guidelines when creating a vault:

Alinhar com a estratégia de design de subscriçãoAlign to subscription design strategy

Uma vez que o cofre é traçado para uma subscrição, ajuste o seu design de cofre para atender à estratégia de design de subscrição, como a estratégia de categoria de aplicação, onde as subscrições são separadas com base em aplicações ou serviços específicos ou ao longo das linhas de arquétipos de aplicação.Since the vault is scoped to a subscription, fit your vault design to meet the subscription design strategy such as Application category strategy where subscriptions are separated based on specific applications or services or along the lines of application archetypes. Para obter mais informações, veja este artigo.For more information, see this article.

Cofre único ou múltiploSingle or multiple vault

Você pode usar um único cofre ou vários cofres para organizar e gerir o seu backup.You can use a single vault or multiple vaults to organize and manage your backup. Tenha em consideração as seguintes orientações:Consider the following guidelines:

  • Se as suas cargas de trabalho forem geridas por uma única subscrição e um único recurso, então pode usar um único cofre para monitorizar e gerir a sua propriedade de backup.If your workloads are all managed by a single subscription and single resource, then you can use a single vault to monitor and manage your backup estate.

  • Se as suas cargas de trabalho estiverem distribuídas por subscrições, então pode criar vários cofres, um ou mais por subscrição.If your workloads are spread across subscriptions, then you can create multiple vaults, one or more per subscription.

    • O Backup Center permite-lhe ter um único painel de vidro para gerir todas as tarefas relacionadas com a Cópia de Segurança.Backup Center allows you to have a single pane of glass to manage all tasks related to Backup. Saiba mais aqui.Learn more here.
    • Pode personalizar as suas opiniões com modelos de livros de trabalho.You can customize your views with workbook templates. Backup Explorer é um desses modelos para VMs Azure.Backup Explorer is one such template for Azure VMs. Saiba mais aqui.Learn more here.
    • Se precisa de uma política consistente através de cofres, então pode usar a política do Azure para propagar a política de backup em vários cofres.If you needed consistent policy across vaults, then you can use Azure policy to propagate backup policy across multiple vaults. Você pode escrever uma definição de Política Azure personalizada que usa o efeito 'deployifnotexists' para propagar uma política de backup em vários cofres.You can write a custom Azure Policy definition that uses the ‘deployifnotexists’ effect to propagate a backup policy across multiple vaults. Também pode atribuir esta definição de Política Azure a um determinado âmbito (subscrição ou RG), de modo a que implemente um recurso de "política de backup" a todos os cofres dos Serviços de Recuperação no âmbito da atribuição da Política Azure.You can also assign this Azure Policy definition to a particular scope (subscription or RG), so that it deploys a 'backup policy' resource to all Recovery Services vaults in the scope of the Azure Policy assignment. As definições da política de backup (tais como frequência de backup, retenção, e assim por diante) devem ser especificadas pelo utilizador como parâmetros na atribuição da Política Azure.The settings of the backup policy (such as backup frequency, retention, and so on) should be specified by the user as parameters in the Azure Policy assignment.
  • À medida que a sua pegada organizacional aumenta, talvez queira mover cargas de trabalho através de subscrições pelas seguintes razões: alinhar por política de backup, consolidar cofres, trocar por redundância mais baixa para economizar no custo (passar de GRS para LRS).As your organizational footprint grows, you might want to move workloads across subscriptions for the following reasons: align by backup policy, consolidate vaults, trade-off on lower redundancy to save on cost (move from GRS to LRS). O Azure Backup suporta a movimentação de um cofre de Serviços de Recuperação através de subscrições da Azure ou para outro grupo de recursos dentro da mesma subscrição.Azure Backup supports moving a Recovery Services vault across Azure subscriptions, or to another resource group within the same subscription. Saiba mais aqui.Learn more here.

Rever definições predefiniçõesReview default settings

Reveja as definições predefinidos do tipo de replicação de armazenamento e as definições de segurança para satisfazer os seus requisitos antes de configurar cópias de segurança no cofre.Review the default settings for Storage Replication type and Security settings to meet your requirements before configuring backups in the vault.

  • O tipo de replicação de armazenamento por padrão é definido para Geo-redundante (GRS).Storage Replication type by default is set to Geo-redundant (GRS). Uma vez configurada a cópia de segurança, a opção de modificação é desativada.Once you configure the backup, the option to modify is disabled. Siga estes passos para rever e modificar as definições.Follow these steps to review and modify the settings.

  • A eliminação suave por padrão está ativada em cofres recém-criados para proteger os dados de cópias de segurança de eliminações acidentais ou maliciosas.Soft delete by default is Enabled on newly created vaults to protect backup data from accidental or malicious deletes. Siga estes passos para rever e modificar as definições.Follow these steps to review and modify the settings.

  • Cross Region Restore permite restaurar VMs Azure em uma região secundária, que é uma região emparelhada Azure.Cross Region Restore allows you to restore Azure VMs in a secondary region, which is an Azure paired region. Esta opção permite-lhe realizar exercícios para cumprir os requisitos de auditoria ou conformidade, e restaurar o VM ou o seu disco se houver um desastre na região primária.This option allows you to conduct drills to meet audit or compliance requirements, and to restore the VM or its disk if there's a disaster in the primary region. CRR é uma funcionalidade de opt-in para qualquer cofre GRS.CRR is an opt-in feature for any GRS vault. Saiba mais aqui.Learn more here.

  • Antes de finalizar o seu design de abóbada, reveja as matrizes de suporte do cofre para entender os fatores que podem influenciar ou limitar as suas escolhas de design.Before finalizing your vault design, review the vault support matrixes to understand the factors that might influence or limit your design choices.

Considerações de Política de BackupBackup Policy considerations

A Política de Backup Azure tem dois componentes: Agendar (quando tomar cópias de segurança) e Retenção (quanto tempo para reter o backup).Azure Backup Policy has two components: Schedule (when to take backup) and Retention (how long to retain backup). Pode definir a política com base no tipo de dados que está a ser apoiado, requisitos de RTO/RPO, necessidades operacionais ou regulamentares de conformidade e tipo de carga de trabalho (por exemplo, VM, base de dados, ficheiros).You can define the policy based on the type of data that's being backed up, RTO/RPO requirements, operational or regulatory compliance needs and workload type (for example, VM, database, files). Saiba mais aqui.Learn more here.

Considere as seguintes orientações ao criar a Política de Backup:Consider the following guidelines when creating Backup Policy:

Considerações de agendamentoSchedule considerations

  • Considere agrupar VMs que requerem a mesma hora de início de programação, frequência e definições de retenção dentro de uma única política.Consider grouping VMs that require the same schedule start time, frequency, and retention settings within a single policy.

  • Certifique-se de que a hora de início programada de cópia de segurança é durante o tempo de aplicação não máximo de produção.Ensure the backup scheduled start time is during non-peak production application time.

  • Para distribuir tráfego de backup, considere apoiar diferentes VMs em diferentes horas do dia e certifique-se de que os tempos não se sobrepõem.To distribute backup traffic, consider backing up different VMs at different times of the day and make sure the times don't overlap.

Considerações de retençãoRetention considerations

  • A retenção a curto prazo pode ser "minutos" ou "diário".Short-term retention can be "minutes" or "daily". A retenção para pontos de backup "semanais", "mensais" ou "anoridos" é referida como retenção a longo prazo.Retention for "Weekly", "monthly" or "yearly" backup points is referred to as Long-term retention.

  • Retenção a longo prazo:Long-term retention:

    • Planejado (requisitos de conformidade) - se souber antecipadamente que os dados são necessários anos a partir do momento atual, então use a retenção a longo prazo.Planned (compliance requirements) - if you know in advance that data is required years from the current time, then use Long-term retention.
    • Não planeado (requisito a pedido) - se não souber com antecedência, use-o a pedido com definições específicas de retenção personalizadas (estas definições de retenção personalizadas não são impactadas pelas definições de política).Unplanned (on-demand requirement) - if you don't know in advance, then use you can use on-demand with specific custom retention settings (these custom retention settings aren't impacted by policy settings).
  • Backup a pedido com retenção personalizada - se precisar de fazer uma cópia de segurança não agendada através da política de backup, então pode usar uma cópia de segurança a pedido.On-demand backup with custom retention - if you need to take a backup not scheduled via backup policy, then you can use an on-demand backup. Isto pode ser útil para obter backups que não se encaixem na sua cópia de segurança programada ou para obter cópias de segurança granulares (por exemplo, várias cópias de segurança IaaS VM por dia, uma vez que o backup programado permite apenas uma cópia de segurança por dia).This can be useful for taking backups that don’t fit your scheduled backup or for taking granular backup (for example, multiple IaaS VM backups per day since scheduled backup permits only one backup per day). É importante notar que a política de retenção definida na política programada não se aplica a backups a pedido.It's important to note that the retention policy defined in scheduled policy doesn't apply to on-demand backups.

Otimizar a política de backupOptimize Backup Policy

  • À medida que os requisitos do seu negócio mudam, poderá ter de prolongar ou reduzir a duração da retenção.As your business requirements change, you might need to extend or reduce retention duration. Quando o fizer, pode esperar o seguinte:When you do so, you can expect the following:

    • Se a retenção for alargada, os pontos de recuperação existentes são marcados e mantidos de acordo com a nova política.If retention is extended, existing recovery points are marked and kept in accordance with the new policy.
    • Se a retenção for reduzida, os pontos de recuperação são marcados para poda no próximo trabalho de limpeza e subsequentemente eliminados.If retention is reduced, recovery points are marked for pruning in the next clean-up job, and subsequently deleted.
    • As últimas regras de retenção aplicam-se a todos os pontos de retenção (excluindo os pontos de retenção a pedido).The latest retention rules apply for all retention points (excluding on-demand retention points). Assim, se o período de retenção for prorrogado (por exemplo, para 100 dias), então quando a cópia de segurança é tomada, seguida da redução da retenção (por exemplo de 100 dias para sete dias), todos os dados de backup serão conservados de acordo com o último período de retenção especificado (ou seja, 7 dias).So if the retention period is extended (for example to 100 days), then when the backup is taken, followed by retention reduction (for example from 100 days to seven days), all backup data will be retained according to the last specified retention period (that is, 7 days).
  • O Azure Backup proporciona-lhe a flexibilidade para parar de proteger e gerir as suas cópias de segurança:Azure Backup provides you the flexibility to stop protecting and manage your backups:

    • Pare a proteção e retenha os dados de backup.Stop protection and retain backup data. Se estiver a retirar ou a desativar a sua fonte de dados (VM, aplicação), mas precisar de reter dados para fins de auditoria ou conformidade, então pode usar esta opção para impedir que todos os futuros trabalhos de backup protejam a sua fonte de dados e retenha os pontos de recuperação que foram apoiados.If you're retiring or decommissioning your data source (VM, application), but need to retain data for audit or compliance purposes, then you can use this option to stop all future backup jobs from protecting your data source and retain the recovery points that have been backed up. Em seguida, pode restaurar ou retomar a proteção VM.You can then restore or resume VM protection.

    • Parar a proteção e eliminar dados de cópia de segurança.Stop protection and delete backup data. Esta opção impedirá que todos os futuros trabalhos de backup protejam o seu VM e eliminarão todos os pontos de recuperação.This option will stop all future backup jobs from protecting your VM and delete all the recovery points. Não poderá restaurar o VM nem utilizar a opção de backup do Resume.You won't be able to restore the VM nor use Resume backup option.

    • Se retomar a proteção (de uma fonte de dados que foi interrompida com dados de retenção), então as regras de retenção serão aplicadas.If you resume protection (of a data source that has been stopped with retain data), then the retention rules will apply. Quaisquer pontos de recuperação caducados serão removidos (na hora prevista).Any expired recovery points will be removed (at the scheduled time).

  • Antes de completar o seu design de política, é importante estar ciente dos seguintes fatores que podem influenciar as suas escolhas de design.Before completing your policy design, it's important to be aware of the following factors that might influence your design choices.

    • Uma política de reserva é vista para um cofre.A backup policy is scoped to a vault.
    • Há um limite no número de itens por política (por exemplo, 100 VMs).There's a limit on the number of items per policy (for example, 100 VMs). Em escala, pode criar políticas duplicadas com os mesmos horários ou horários diferentes.To scale, you can create duplicate policies with the same or different schedules.
    • Não é possível eliminar seletivamente pontos de recuperação específicos.You can't selectively delete specific recovery points.
    • Não é possível desativar completamente a cópia de segurança programada e manter a fonte de dados num estado protegido.You can't completely disable the scheduled backup and keep the data source in a protected state. A cópia de segurança menos frequente que pode configurar com a apólice é ter uma cópia de segurança semanal programada.The least frequent backup you can configure with the policy is to have one weekly scheduled backup. Uma alternativa seria parar a proteção com os dados de retenção e permitir a proteção sempre que quiser fazer uma cópia de segurança, fazer uma cópia de segurança a pedido e, em seguida, desligar a proteção, mas reter os dados de backup.An alternative would be to stop protection with retain data and enable protection each time you want to take a backup, take an on-demand backup, and then turn off protection but retain the backup data. Saiba mais aqui.Learn more here.

Considerações de segurançaSecurity considerations

Para ajudá-lo a proteger os seus dados de backup e a satisfazer as necessidades de segurança do seu negócio, o Azure Backup fornece garantias de confidencialidade, integridade e disponibilidade contra ataques deliberados e abuso dos seus valiosos dados e sistemas.To help you protect your backup data and meet the security needs of your business, Azure Backup provides confidentiality, integrity, and availability assurances against deliberate attacks and abuse of your valuable data and systems. Considere as seguintes diretrizes de segurança para a sua solução de Backup Azure:Consider the following security guidelines for your Azure Backup solution:

Autenticação e autorizaçãoAuthentication and authorization

  • O controlo de acesso baseado em funções (Azure RBAC) permite uma gestão de acessos finos, a segregação de deveres dentro da sua equipa e a concessão apenas da quantidade de acesso aos utilizadores necessários para desempenharem os seus trabalhos.Azure role-based access control (Azure RBAC) enables fine-grained access management, segregation of duties within your team and granting only the amount of access to users necessary to perform their jobs. Saiba mais aqui.Learn more here.

  • A Azure Backup fornece três funções incorporadas para controlar operações de gestão de backup: colaboradores de backup, operadores e leitores.Azure Backup provides three built-in roles to control backup management operations: Backup contributors, operators, and readers. Saiba mais aqui.Learn more here.

  • O Azure Backup tem vários controlos de segurança incorporados no serviço para prevenir, detetar e responder a vulnerabilidades de segurança (Saiba mais)Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities (Learn more)

  • As contas de armazenamento utilizadas pelos cofres dos Serviços de Recuperação estão isoladas e não podem ser acedidas pelos utilizadores para fins maliciosos.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. O acesso só é permitido através de operações de gestão de Backup Azure, como a restauração.The access is only allowed through Azure Backup management operations, such as restore.

Encriptação de dados em trânsito e em repousoEncryption of data in transit and at rest

A encriptação protege os seus dados e ajuda-o a cumprir os seus compromissos de segurança organizacional e de conformidade.Encryption protects your data and helps you to meet your organizational security and compliance commitments.

  • Dentro do Azure, os dados em trânsito entre o armazenamento Azure e o cofre estão protegidos por HTTPS.Within Azure, data in transit between Azure storage and the vault is protected by HTTPS. Estes dados permanecem dentro da rede Azure.This data remains within the Azure network.

  • Os dados de backup são automaticamente encriptados utilizando as teclas geridas pela Microsoft.Backup data is automatically encrypted using Microsoft-managed keys. Em alternativa, pode utilizar as suas próprias chaves, também conhecidas como teclas geridas pelo cliente.Alternatively, you can use your own keys, also known as customer managed keys.

  • O Azure Backup suporta a cópia de segurança e a restauração de VMs Azure que têm os seus discos DE/S/Data encriptados com Encriptação do Disco Azure (ADE).Azure Backup supports backup and restore of Azure VMs that have their OS/data disks encrypted with Azure Disk Encryption (ADE). Saiba mais aqui.Learn more here.

Proteção de dados de backup de eliminações não intencionaisProtection of backup data from unintentional deletes

O Azure Backup fornece funcionalidades de segurança para ajudar a proteger os dados de backup mesmo após a eliminação.Azure Backup provides security features to help protect backup data even after deletion. Com a eliminação suave, se um utilizador eliminar a cópia de segurança (de uma base de dados VM, SQL Server, partilha de ficheiros Azure, base de dados SAP HANA) os dados de backup são retidos por 14 dias adicionais, permitindo a recuperação desse item de backup sem perda de dados.With soft delete, if a user deletes the backup (of a VM, SQL Server database, Azure file share, SAP HANA database) the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. Os 14 dias adicionais de retenção de dados de backup no estado de "soft delete" não lhe incorrem em qualquer custo.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Saiba mais aqui.Learn more here.

Monitorização e alertas de atividades suspeitasMonitoring and alerts of suspicious activity

O Azure Backup fornece capacidades de monitorização e alerta incorporadas para visualizar e configurar ações para eventos relacionados com a Azure Backup.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. Saiba mais aqui.Learn more here.

Funcionalidades de segurança para ajudar a proteger backups híbridosSecurity features to help protect hybrid backups

O serviço Azure Backup utiliza o agente Microsoft Azure Recovery Services (MARS) para fazer backup e restaurar ficheiros, pastas e o estado de volume ou sistema de um computador no local para o Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. A MARS agora fornece funcionalidades de segurança: uma palavra-passe para encriptar antes do upload e desencriptar após o download do Azure Backup, os dados de backup eliminados são retidos por mais 14 dias a partir da data de eliminação, e operação crítica (ex.MARS now provides security features: a passphrase to encrypt before upload and decrypt after download from Azure Backup, deleted backup data is retained for an additional 14 days from the date of deletion, and critical operation (ex. alterar uma palavra-passe) só pode ser realizada por utilizadores que tenham credenciais Azure válidas.changing a passphrase) can be performed only by users who have valid Azure credentials. Saiba mais aqui.Learn more here.

Considerações de redeNetwork considerations

A Azure Backup requer movimento de dados da sua carga de trabalho para o cofre dos Serviços de Recuperação.Azure Backup requires movement of data from your workload to the Recovery Services vault. O Azure Backup fornece várias capacidades para proteger os dados de backup de serem expostos inadvertidamente (como um ataque homem-no-meio na rede).Azure Backup provides several capabilities to protect backup data from being exposed inadvertently (such as a man-in-the-middle attack on the network). Tenha em consideração as seguintes orientações:Consider the following guidelines:

Conectividade InternetInternet connectivity

  • Backup Azure VM - toda a comunicação e transferência de dados necessárias entre o armazenamento e o serviço Azure Backup acontece dentro da rede Azure sem necessidade de aceder à sua rede virtual.Azure VM backup - all the required communication and data transfer between storage and Azure Backup service happens within the Azure network without needing to access your virtual network. Assim, a cópia de segurança dos VMs Azure colocados dentro de redes seguras não requer que você permita o acesso a quaisquer IPs ou FQDNs.So backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

  • As bases de dados SAP HANA em Azure VM, bases de dados do SQL Server em Azure VM - requer conectividade ao serviço de Backup Azure, Azure Storage e Azure Ative Directory.SAP HANA databases on Azure VM, SQL Server databases on Azure VM - requires connectivity to the Azure Backup service, Azure Storage, and Azure Active Directory. Isto pode ser conseguido utilizando pontos finais privados ou permitindo o acesso aos endereços IP públicos necessários ou FQDNs.This can be achieved by using private endpoints or by allowing access to the required public IP addresses or FQDNs. Não permitir a conectividade adequada aos serviços Azure necessários pode levar a falhas em operações como a descoberta de bases de dados, configurar backup, realizar backups e restaurar dados.Not allowing proper connectivity to the required Azure services may lead to failure in operations like database discovery, configuring backup, performing backups, and restoring data. Para obter uma orientação completa da rede durante a utilização de tags NSG, firewall Azure e HTTP Proxy, consulte estes artigos SQL e SAP HANA.For complete network guidance while using NSG tags, Azure firewall, and HTTP Proxy, refer to these SQL and SAP HANA articles.

  • Híbrido - o agente MARS (Microsoft Azure Recovery Services) requer acesso à rede para todas as operações críticas - instalar, configurar, fazer backup e restaurar.Hybrid - the MARS (Microsoft Azure Recovery Services) agent requires network access for all critical operations - install, configure, backup, and restore. O agente MARS pode ligar-se ao serviço Azure Backup sobre a Azure ExpressRoute utilizando o espreitamento público (disponível para circuitos antigos) e o esprevamento da Microsoft, utilizando pontos finais privados ou através de proxy/firewall com controlos de acesso apropriados.The MARS agent can connect to the Azure Backup service over Azure ExpressRoute by using public peering (available for old circuits) and Microsoft peering, using private endpoints or via proxy/firewall with appropriate access controls.

Pontos finais privados para backup AzurePrivate Endpoints for Azure Backup

O Azure Private Endpoint é uma interface de rede que o liga de forma privada e segura a um serviço alimentado pela Azure Private Link.Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. O Azure Backup permite-lhe fazer o backup seguro e restaurar os seus dados a partir dos cofres dos Serviços de Recuperação utilizando pontos finais privados.Azure Backup allows you to securely back up and restore your data from your Recovery Services vaults using private endpoints.

  • Quando ativa pontos finais privados para o cofre, eles só são usados para cópias de segurança e restauro de cargas de trabalho SQL e SAP HANA em backups de agentes Azure VM e MARS.When you enable private endpoints for the vault, they're only used for backup and restore of SQL and SAP HANA workloads in an Azure VM and MARS agent backups. Pode utilizar o cofre para a cópia de segurança de outras cargas de trabalho também (no entanto, não exigirão pontos finais privados).You can use the vault for the backup of other workloads as well (they won’t require private endpoints though). Além da cópia de segurança das cargas de trabalho SQL e SAP HANA e da cópia de segurança utilizando o agente MARS, os pontos finais privados também são utilizados para realizar a recuperação de ficheiros no caso de cópia de segurança Azure VM.In addition to the backup of SQL and SAP HANA workloads and backup using the MARS agent, private endpoints are also used to perform file recovery in the case of Azure VM backup. Saiba mais aqui.Learn more here.

  • O Azure Ative Directory não suporta atualmente pontos finais privados.Azure Active Directory doesn't currently support private endpoints. Assim, os IPs e FQDNs necessários para o Azure Ative Directory terão de ser autorizados a aceder à saída da rede segura ao realizar cópias de segurança de bases de dados em VMs Azure e cópia de segurança utilizando o agente MARS.So, IPs and FQDNs required for Azure Active Directory will need to be allowed outbound access from the secured network when performing backup of databases in Azure VMs and backup using the MARS agent. Também pode utilizar tags NSG e Azure Firewall para permitir o acesso ao Azure AD, conforme aplicável.You can also use NSG tags and Azure Firewall tags for allowing access to Azure AD, as applicable. Saiba mais sobre os pré-requisitos aqui.Learn more about the prerequisites here.

Considerações de governaçãoGovernance considerations

A governação em Azure é implementada principalmente com a Azure Policy e a Azure Cost Management.Governance in Azure is primarily implemented with Azure Policy and Azure Cost Management. A Azure Policy permite-lhe criar, atribuir e gerir definições políticas para impor regras para os seus recursos.Azure Policy allows you to create, assign, and manage policy definitions to enforce rules for your resources. Esta funcionalidade mantém esses recursos em conformidade com os seus padrões corporativos.This feature keeps those resources in compliance with your corporate standards. A Azure Cost Management permite-lhe acompanhar o uso da nuvem e as despesas para os seus recursos Azure e outros fornecedores de nuvem.Azure Cost Management allows you to track cloud usage and expenditures for your Azure resources and other cloud providers. Além disso, as seguintes ferramentas como Azure Price Calculator e Azure Advisor desempenham um papel importante no processo de gestão de custos.Also, the following tools such as Azure Price Calculator and Azure Advisor play an important role in the cost management process.

Azure Backup suporta dois cenários-chave através da política de Azure incorporadaAzure Backup support two key scenarios via built-in Azure Policy

  • Certifique-se de que as máquinas críticas de negócio recentemente criadas são automaticamente apoiadas com as definições de retenção certas.Ensure newly created business-critical machines are automatically backed up with the right retention settings. O Azure Backup fornece uma política incorporada (usando a Política Azure) que pode ser atribuída a todos os VMs Azure em um local especificado dentro de um grupo de subscrição ou recursos.Azure Backup provides a built-in policy (using Azure Policy) that can be assigned to all Azure VMs in a specified location within a subscription or resource group. Quando esta política é atribuída a um determinado âmbito, todos os novos VMs criados nesse âmbito são automaticamente configurados para cópia de segurança para um cofre existente no mesmo local e subscrição.When this policy is assigned to a given scope, all new VMs created in that scope are automatically configured for backup to an existing vault in the same location and subscription. O utilizador pode especificar o cofre e a política de retenção à qual os VMs apoiados devem estar associados.The user can specify the vault and the retention policy to which the backed-up VMs should be associated. Saiba mais aqui.Learn more here.

  • Certifique-se de que os cofres recém-criados têm diagnósticos habilitados a suportar relatórios.Ensure newly created vaults have diagnostics enabled to support reports. Muitas vezes, adicionar uma definição de diagnóstico manualmente por abóbada pode ser uma tarefa complicada.Often, adding a diagnostic setting manually per vault can be a cumbersome task. Além disso, qualquer novo cofre criado precisa de ter configurações de diagnóstico ativadas para que possa ver relatórios para este cofre.Also, any new vault created needs to have diagnostics settings enabled so you can view reports for this vault. Para simplificar a criação de configurações de diagnóstico em escala (com o Log Analytics como destino), o Azure Backup fornece uma Política de Azure incorporada.To simplify the creation of diagnostics settings at scale (with Log Analytics as the destination), Azure Backup provides a built-in Azure Policy. Esta política adiciona uma definição de diagnóstico de LA a todos os cofres de cada grupo de subscrição ou recursos.This policy adds an LA diagnostic setting to all vaults in each subscription or resource group. As seguintes secções fornecem instruções sobre como utilizar esta política.The following sections provide instructions on how to use this policy. Saiba mais aqui.Learn more here.

Considerações de custos de backup AzureAzure Backup cost considerations

As capacidades do serviço Azure Backup oferecem a flexibilidade para gerir eficazmente os seus custos, e ainda satisfazem os requisitos de negócio do BCDR (continuidade do negócio e recuperação de desastres).The Azure Backup service’s capabilities offer the flexibility to effectively manage your costs, and still meet your BCDR (business continuity and disaster recovery) business requirement. Tenha em consideração as seguintes orientações:Consider the following guidelines:

  • Utilize a calculadora de preços para avaliar e otimizar o custo ajustando várias alavancas.Use the pricing calculator to evaluate and optimize cost by adjusting various levers. Saiba mais aquiLearn more here

  • Backup Explorer: Utilize Backup Explorer ou Relatórios de Backup para compreender e otimizar o crescimento do armazenamento de backup, parar cópias de segurança para cargas de trabalho não críticas ou VMs eliminados.Backup Explorer: Use Backup Explorer or Backup Reports to understand and optimize backup storage growth, stopping backups for non-critical workloads or deleted VMs. Você pode obter uma visão agregada de toda a sua propriedade de uma perspetiva de reserva.You can get an aggregated view of your entire estate from a backup perspective. Isto inclui não só informações sobre os seus itens de backup, mas também recursos que não estão configurados para cópia de segurança.This includes not only information on your backup items, but also resources that aren't configured for backup. Isto garante que nunca perca a proteção de dados críticos no seu espólio em crescimento e as suas cópias de segurança são otimizadas para cargas de trabalho não críticas ou cargas de trabalho eliminadas.This ensures that you never miss protecting critical data in your growing estate and your backups are optimized for non-critical workloads or deleted workloads.

  • Otimizar a política de backupOptimize backup policy

    • Otimizar as definições de horário e retenção com base em arquétipos de carga de trabalho (por exemplo, críticos da missão, não críticos)Optimize schedule and retention settings based on workload archetypes (for example, mission-critical, non-critical)
    • Otimizar as definições de retenção para restauro instantâneoOptimize retention settings for Instant Restore
    • Escolha o tipo de backup certo para satisfazer os requisitos, enquanto toma em consideração os tipos de backup suportados (completos, incrementais, log, diferenciais) pela carga de trabalho em Azure Backup.Choose the right backup type to meet requirements, while taking supported backup types (full, incremental, log, differential) by the workload in Azure Backup into consideration.
  • Discos de backup seletivos: Excluir o disco (funcionalidade de pré-visualização) fornece uma escolha eficiente e económica para fazer o backup seletivo de dados críticos.Selectively backup disks: Exclude disk (preview feature) provides an efficient and cost-effective choice to selectively back up critical data. Por exemplo, faça uma errólhada quando não quiser fazer o back up do resto dos discos ligados a um VM.For example, back up only one disk when you don't want to back up the rest of the disks attached to a VM. Isto também é útil quando você tem várias soluções de backup.This is also useful when you have multiple backup solutions. Por exemplo, quando faz cópia de segurança das suas bases de dados ou dados com uma solução de backup de carga de trabalho (base de dados SQL Server na cópia de segurança Azure VM) e pretende utilizar a cópia de segurança do nível Azure VM para discos selecionados.For example, when you back up your databases or data with a workload backup solution (SQL Server database in Azure VM backup) and you want to use Azure VM level backup for selected disks.

  • O Azure Backup tira fotos dos VMs Azure e armazena-os juntamente com os discos para aumentar a criação de pontos de recuperação e acelerar as operações de restauro.Azure Backup takes snapshots of Azure VMs and stores them along with the disks to boost recovery point creation and to speed up restore operations. Isto é referido como Restauro Instantâneo.This is referred to as Instant Restore. Por predefinição, as imagens instante Restore são mantidas durante dois dias.By default, Instant Restore snapshots are kept for two days. Esta funcionalidade permite uma operação de restauro a partir destes instantâneos, reduzindo os tempos de restauro.This feature allows a restore operation from these snapshots by cutting down the restore times. Reduz o tempo necessário para transformar e copiar dados do cofre.It reduces the time needed to transform and copy data back from the vault. Como resultado, você verá os custos de armazenamento que correspondem a instantâneos tirados durante este período.As a result, you'll see storage costs that correspond to snapshots taken during this period. Saiba mais aqui.Learn more here.

  • O tipo de replicação de armazenamento do cofre de backup Azure por predefinição é definido para Geo-redundante (GRS).Azure Backup vault's Storage Replication type by default is set to Geo-redundant (GRS). Esta opção não pode ser alterada depois de proteger os itens.This option can't be changed after protecting items. O armazenamento geo-redundante (GRS) proporciona um nível mais elevado de durabilidade de dados do que o armazenamento localmente redundante (LRS), permite que um opt-in utilize o Cross Region Restore e custa mais.Geo-redundant storage (GRS) provides a higher level of data durability than Locally redundant storage (LRS), allows an opt-in to use Cross Region Restore and costs more. Reveja as compensações entre custos mais baixos e maior durabilidade dos dados, e decida o que é melhor para o seu cenário.Review the trade-offs between lower costs and higher data durability, and decide what's best for your scenario. Saiba mais aquiLearn more here

  • Se estiver a proteger a carga de trabalho que funciona dentro de um VM e do próprio VM, verifique se esta dupla proteção é necessária.If you're protecting both the workload running inside a VM and the VM itself, check to see if this dual protection is needed.

Questões de monitorização e alertaMonitoring and Alerting considerations

Como utilizador ou administrador de backup, deverá ser capaz de monitorizar todas as soluções de backup e ser notificado em cenários importantes.As a backup user or administrator, you should be able to monitor all backup solutions and get notified on important scenarios. Esta secção detalha as capacidades de monitorização e notificação fornecidas pelo serviço de backup Azure.This section details the monitoring and notification capabilities provided by the Azure Backup service.

MonitorizaçãoMonitoring

  • O Azure Backup fornece monitorização de trabalho incorporada para operações como configurar backup, backup, restaurar, eliminar backup, e assim por diante.Azure Backup provides in-built job monitoring for operations such as configuring backup, backup, restore, delete backup, and so on. Isto é traçado para o cofre, e ideal para monitorizar um único cofre.This is scoped to the vault, and ideal for monitoring a single vault. Saiba mais aqui.Learn more here.

  • Se você precisa monitorizar as atividades operacionais em escala, então o Backup Explorer fornece uma visão agregada de toda a sua propriedade de backup, permitindo uma análise detalhada de perfuração e resolução de problemas.If you need to monitor operational activities at scale, then Backup Explorer provides an aggregated view of your entire backup estate, enabling detailed drill-down analysis and troubleshooting. É um livro de trabalho incorporado do Azure Monitor que dá uma localização única e central para ajudá-lo a monitorizar as atividades operacionais em toda a propriedade de backup em Azure, abrangendo inquilinos, locais, subscrições, grupos de recursos e cofres.It's a built-in Azure Monitor workbook that gives a single, central location to help you monitor operational activities across the entire backup estate on Azure, spanning tenants, locations, subscriptions, resource groups, and vaults. Saiba mais aqui.Learn more here.

    • Use-o para identificar recursos que não estão configurados para backup, e certifique-se de que nunca perde a proteção de dados críticos na sua propriedade em crescimento.Use it to identify resources that aren't configured for backup, and ensure that you don't ever miss protecting critical data in your growing estate.
    • O painel de instrumentos proporciona atividades operacionais nos últimos sete dias (máximo).The dashboard provides operational activities for the last seven days (maximum). Se precisar de reter estes dados, poderá exportar como ficheiro Excel e retê-los.If you need to retain this data, then you can export as an Excel file and retain them.
    • Se você é um utilizador do Azure Lighthouse, você pode ver informações através de vários inquilinos, permitindo uma monitorização sem limites.If you're an Azure Lighthouse user, you can view information across multiple tenants, enabling boundary-less monitoring.
  • Se precisar de manter e ver as atividades operacionais a longo prazo, utilize relatórios.If you need to retain and view the operational activities for long-term, then use Reports. Um requisito comum para os administradores de backup é obter insights sobre cópias de segurança com base em dados que se estendem por um longo período de tempo.A common requirement for backup admins is to obtain insights on backups based on data that spans an extended period of time. Os casos de utilização para tal solução incluem:Use cases for such a solution include:

    • Alocação e previsão de armazenamento em nuvem consumido.Allocating and forecasting of cloud storage consumed.
    • Auditoria de backups e restauros.Auditing of backups and restores.
    • Identificar as principais tendências em diferentes níveis de granularidade.Identifying key trends at different levels of granularity.
  • Além dissoIn addition,

    • Pode enviar dados (por exemplo, empregos, políticas, e assim por diante) para o espaço de trabalho Log Analytics.You can send data (for example, jobs, policies, and so on) to the Log Analytics workspace. Isto permitirá que as funcionalidades dos Registos do Monitor Azure permitam a correlação de dados com outros dados de monitorização recolhidos pelo Azure Monitor, consolidar as entradas de registo de várias subscrições de Azure e inquilinos num local para análise em conjunto, utilizar consultas de registo para realizar análises complexas e obter informações profundas sobre as entradas de Log.This will enable the features of Azure Monitor Logs to enable correlation of data with other monitoring data collected by Azure Monitor, consolidate log entries from multiple Azure subscriptions and tenants into one location for analysis together, use log queries to perform complex analysis and gain deep insights on Log entries. Saiba mais aqui.Learn more here.
    • Pode enviar dados para o Event Hub para enviar entradas fora do Azure, por exemplo para um SIEM de terceiros (Informação de Segurança e Gestão de Eventos) ou outra solução de análise de registos.You can send data to Event Hub to send entries outside of Azure, for example to a third-party SIEM (Security Information and Event Management) or other log analytics solution. Saiba mais aqui.Learn more here.
    • Pode enviar dados para uma conta de Armazenamento Azure se pretender reter os seus dados de registo por mais de 90 dias para auditoria, análise estática ou backup.You can send data to an Azure Storage account if you want to retain your log data longer than 90 days for audit, static analysis, or backup. Se precisar apenas de reter os seus eventos durante 90 dias ou menos, não precisa de configurar arquivos para uma conta de armazenamento, uma vez que os eventos de Registo de Atividade são mantidos na plataforma Azure durante 90 dias.If you only need to retain your events for 90 days or less, you don't need to set up archives to a storage account, since Activity Log events are kept in the Azure platform for 90 days. Saiba mais.Learn more.

AlertasAlerting

  • Os alertas são, em primeiro lugar, uma forma de serem notificados para tomar medidas relevantes.Alerts are primarily a way to get notified to take relevant action. A secção alertas de cópia de segurança mostra alertas gerados pelo serviço de backup Azure.The Backup Alerts section shows alerts generated by the Azure Backup service.

  • O Azure Backup fornece um mecanismo de notificação de alerta incorporado via e-mail para falhas, avisos e operações críticas.Azure Backup provides an in-built alert notification mechanism via e-mail for failures, warnings, and critical operations. Pode especificar endereços de e-mail individuais ou listas de distribuição para ser notificado quando um alerta é gerado.You can specify individual email addresses or distribution lists to be notified when an alert is generated. Também pode escolher se deve ser notificado para cada alerta individual ou agrupar-se numa digestão de hora a hora e, em seguida, ser notificado.You can also choose whether to get notified for each individual alert or to group them in an hourly digest and then get notified.

    • Estes alertas são definidos pelo serviço e fornecem suporte para cenários limitados - falhas de backup/restauro, Parar a proteção com retenção de dados/proteção stop com dados de eliminação, e assim por diante.These alerts are defined by the service and provide support for limited scenarios - backup/restore failures, Stop protection with retain data/Stop protection with delete data, and so on. Saiba mais aqui.Learn more here.
    • Se for realizada uma operação destrutiva como a proteção stop com os dados de eliminação, é levantado um alerta e é enviado um e-mail aos proprietários de assinaturas, administradores e administradores, mesmo que as notificações não estejam configuradas para o cofre dos Serviços de Recuperação.If a destructive operation such as stop protection with delete data is performed, an alert is raised and an email is sent to subscription owners, admins, and co-admins even if notifications are not configured for the Recovery Services vault.
    • Certas cargas de trabalho podem gerar alta frequência de falhas (por exemplo, SQL Server a cada 15 minutos).Certain workloads can generate high frequency of failures (for example, SQL Server every 15 minutes). Para evitar que se sobreponha a alertas levantados para cada falha, os alertas são consolidados.To prevent getting overwhelmed with alerts raised for each failure occurrence, the alerts are consolidated. Saiba mais aqui.Learn more here.
    • Os alertas incorporados não podem ser personalizados e estão restritos a e-mails definidos no portal Azure.The in-built alerts can't be customized and are restricted to emails defined in the Azure portal.
  • Se precisar de criar alertas personalizados (por exemplo, alertas de trabalhos bem sucedidos) utilize o Log Analytics.If you need to create custom alerts (for example, alerts of successful jobs) then use Log Analytics. No Azure Monitor, pode criar os seus próprios alertas num espaço de trabalho log analytics.In Azure Monitor, you can create your own alerts in a Log Analytics workspace. As cargas de trabalho híbridas (DPM/MABS) também podem enviar dados para LA e usar LA para fornecer alertas comuns através de cargas de trabalho apoiadas pela Azure Backup.Hybrid workloads (DPM/MABS) can also send data to LA and use LA to provide common alerts across workloads supported by Azure Backup.

  • Também pode obter notificações através de registos de atividades de cofres incorporados nos Serviços de Recuperação.You can also get notifications through built-in Recovery Services vault activity logs. No entanto, suporta cenários limitados e não é adequado para operações como backup programado, que se alinha melhor com registos de recursos do que com registos de atividade.However, it supports limited scenarios and isn't suitable for operations such as scheduled backup, which aligns better with resource logs than with activity logs. Para saber mais sobre estas limitações e como pode utilizar o espaço de trabalho do Log Analytics para monitorizar e alertar em escala para todas as suas cargas de trabalho protegidas pela Azure Backup, consulte este artigo.To learn more about these limitations and how you can use Log Analytics workspace for monitoring and alerting at scale for all your workloads that are protected by Azure Backup, refer to this article.

Passos seguintesNext steps

Recomendamos que leia os seguintes artigos como pontos de partida para a utilização de Azure Backup:We recommend that you read the following articles as starting points for using Azure Backup: