基礎結構備份服務最佳做法 - Modular Data Center (MDC)

適用於:模組化資料中心、Azure Stack Hub Ruggedized

請定期檢閱這些最佳做法,以確認對作業流程進行變更後,您的安裝仍然遵照最佳做法。 如果在實作這些最佳做法時遇到任何問題,請連絡 Microsoft 支援服務以取得協助。

組態的最佳作法

在部署新系統並且儲存在內部時,預設會啟用基礎結構備份。 您可以使用 Azure Stack 入口網站或 PowerShell 來提供外部儲存體位置,以將備份匯出到次要位置。

網路

路徑的通用命名慣例 (UNC) 字串必須使用完整網域名稱 (FQDN)。 如果無法進行名稱解析,則可以使用 IP 位址。 UNC 字串會指定資源的位置,例如共用的檔案或裝置。

加密

加密憑證用於將匯出到外部儲存位置的備份資料加密。 由於憑證僅用來傳輸金鑰,因此憑證可以是自我簽署的憑證。 如需如何建立憑證的詳細資訊,請參閱 New-SelfSignedCertificate 的文件。

憑證必須儲存在安全的位置。 憑證的 CER 格式是用來加密資料,而不是用來建立通訊。

作業的最佳作法

備份

  • 備份作業會在系統執行時進行,因此對管理體驗或使用者應用程式來說,不會有停機時間。 對於合理負載下的解決方案,備份作業預計會花費 20-40 分鐘。

  • 提供手動備份網路交換器和硬體生命週期主機 (HLH) 的其他指示。

資料夾名稱

  • 基礎結構會自動建立 MASBACKUP 資料夾。 這是 Microsoft 管理的共用。 您可以在與 MASBACKUP 相同的層級建立共用。 不建議您在 MASBACKUP 資料夾內,建立 Azure Stack 未建立的資料夾或儲存體資料。

  • 請使用資料夾名稱中的 FQDN 和區域,區分來自不同雲端的備份資料。 您 Azure Stack 部署和端點的 FQDN 是區域參數和外部網域名稱參數的組合。 如需詳細資訊,請參閱 Azure Stack 資料中心整合 - DNS

例如,備份共用是裝載在 fileserver01.contoso.com 上的 AzSBackups。 在該檔案共用中,每個 Azure Stack 部署可能都會有一個使用外部網域名稱的資料夾,和一個使用區域名稱的子資料。

  • FQDN:contoso.com
  • 區域:nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup

MASBackup 資料夾是 Azure Stack 儲存其備份資料的地方。 請勿使用此資料夾來儲存您自己的資料。 OEM 也不應該使用此資料夾來儲存任何備份資料。

我們鼓勵 OEM 將其元件的備份資料,儲存在區域資料夾底下。 您可以將每個網路交換器、硬體生命週期主機 (HLH) 等等,都儲存在其專屬的子資料夾中。 例如:

\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration

監視

系統支援下列警示:

警示 描述 修復
由於檔案共用容量不足,因此備份失敗。 由於檔案共用容量不足,因此備份控制器無法將備份檔案匯出到該位置。 請新增更多的儲存容量,然後重試備份。 請刪除現有的備份 (從最舊的備份開始) 以釋出空間。
由於連線問題,因此備份失敗。 Azure Stack 與檔案共用之間的網路發生問題。 請解決網路問題,然後重試備份。
由於路徑有誤,因此備份失敗。 無法解析檔案共用路徑。 請從不同的電腦對應共用,以確保共用是可存取的。 若路徑已不再有效,您可能會需要更新路徑。
由於驗證問題,因此備份失敗。 認證可能有問題,或有網路問題影響驗證。 請從不同的電腦對應共用,以確保共用是可存取的。 若認證已不再有效,您可能會需要更新認證。
由於一般錯誤,因此備份失敗。 可能是因為間歇性問題而導致要求失敗。 再次嘗試備份。 請致電支援部門。

基礎結構備份服務元件

基礎結構備份服務包括下列元件:

  • 基礎結構備份控制器:Azure Stack 雲端會具現化基礎結構備份控制器,且每個 Azure Stack 雲端中都有基礎結構備份控制器。

  • 備份資源提供者:備份資源提供者 (備份 RP) 是由使用者介面,以及會公開 Azure Stack 基礎結構基本備份功能的 API 所組成。

基礎結構備份控制器

基礎結構備份控制器是一種會未 Azure Stack 雲端來具現化的 Service Fabric 服務。 備份資源是在區域層級建立的,且會從 AD、CA、Azure Resource Manager、CRP、SRP、NRP、Key Vault 和 RBAC 擷取區域特定的服務資料。

備份資源提供者

備份資源提供者代表 Azure Stack 入口網站中,基本設定和備份資源清單的使用者介面。 操作員可以在使用者介面中執行下列動作:

  • 藉由提供外部儲存位置、認證和加密金鑰,來啟用第一次的備份。
  • 檢視已完成建立的備份資源,和正在建立的狀態資源。
  • 修改備份控制器存放備份資料的儲存位置。
  • 修改備份控制器用來存取外部儲存位置的認證。
  • 修改備份控制器用來加密備份的加密憑證。

備份控制器的需求

本節描述基礎結構備份服務的重要需求。 建議您先仔細檢閱資訊,再啟用 Azure Stack 執行個體的備份,然後在部署和後續作業期間,必要時回顧參考。

這些需求包括:

  • 軟體需求:說明支援的儲存位置和大小調整指導方針。
  • 網路需求:說明不同儲存位置的網路需求。

軟體需求

支援的儲存位置

儲存位置 詳細資料
裝載在信任的網路環境中儲存裝置上的 SMB 檔案共用。 位於已部署 Azure Stack 的同一個資料中心,或位於不同資料中心的 SMB 共用。 多個 Azure Stack 執行個體可以使用相同的檔案共用。
在 Azure 上的 SMB 檔案共用。 目前不支援。
在 Azure 上的 Blob 儲存體。 目前不支援。

支援的 SMB 版本

SMB 版本
SMB 3.x

SMB 加密

基礎結構備份服務支援在伺服器端已啟用 SMB 加密的情況下,將備份資料傳輸到外部儲存位置。 如果伺服器不支援 SMB 加密或未啟用此功能,則基礎結構備份服務會切換回未加密的資料傳輸。 放在外部儲存位置的備份資料一律會在待用時加密,而且不會相依於 SMB 加密。

儲存位置大小調整

建議您一天至少備份兩次,並保留最多七天份的備份。 這是在 Azure Stack 上啟用基礎結構備份時的預設行為。

環境規模 預估的備份大小 所需的空間總容量
4-16 個節點 20 GB 280 GB

網路需求

儲存位置 詳細資料
裝載在信任的網路環境中儲存裝置上的 SMB 檔案共用。 若 Azure Stack 執行個體位於防火牆保護的環境中,則需要使用連接埠 445。 基礎結構備份控制器會透過連接埠 445,起始對 SMB 檔案伺服器的連線。
若要使用檔案伺服器的 FQDN,名稱必須可從 PEP 進行解析。

注意

不需要開啟任何輸入連接埠。

加密需求

基礎結構備份服務會使用具有公開金鑰 (.CER) 的憑證來加密備份資料。 憑證用於傳輸金鑰,不會用來建立經驗證的安全通訊。 因此,憑證會是自我簽署的憑證。 Azure Stack 不需要驗證此憑證的根或信任,因此不需要外部的網際網路存取權。

自我簽署的憑證有兩個部分,一個是具有公開公鑰,另一個是具有私密金鑰:

  • 加密備份資料:具有公開金鑰 (匯出至 .CER 檔案) 的憑證用於加密備份資料。
  • 解密備份資料:具有私密金鑰 (匯出至 .PFX 檔案) 的憑證用於解密備份資料。

內部密碼輪替不會管理具有公開金鑰 (.CER) 的憑證。 若要輪替憑證,您必須建立新的自我簽署憑證,並使用新的檔案 (.CER) 更新備份設定。

所有現存的備份將使用過去的公開金鑰保持加密狀態。 新的備份將會使用新的公開金鑰。

基於安全理由,Azure Stack 不會保留雲端復原期間所使用具有私密金鑰 (.PFX) 的憑證。

基礎結構備份限制

當您規劃、部署和操作 Microsoft Azure Stack 執行個體時,請考慮這些限制。 下表描述了這些限制。

限制識別碼 限制 註解
備份類型 僅限完整備份 基礎結構備份控制器只支援完整備份。 不支援支援增量備份。
排定的備份 已排定和手動 備份控制器支援已排定的備份和隨選備份。
並行備份作業的數目上限 1 備份控制器的每個執行個體只支援一個作用中的備份作業。
網路交換器設定 不在範圍中 系統管理員必須使用 OEM 工具來備份網路交換器設定。 請參閱各 OEM 廠商所提供的 Azure Stack 文件。
硬體生命週期主機 不在範圍中 系統管理員必須使用 OEM 工具來備份硬體生命週期主機。 請參閱各 OEM 廠商所提供的 Azure Stack 文件。
檔案共用的數目上限 1 只有一個檔案共用可以用來儲存備份資料。
備份加值資源提供者 範圍內 基礎結構備份包含事件中樞 RP、資料箱 Edge RP 的備份。

後續步驟