基礎結構備份服務的參考
Azure 備份基礎結構
Azure Stack Hub 是由許多服務所組成,包含入口網站 (Azure Resource Manager) 和整體的基礎結構管理體驗。 Azure Stack Hub 類似應用程式的管理體驗,著重於降低解決方案操作員所需要面對的操作複雜性。
「基礎結構備份服務」旨在將基礎結構服務在備份與還原資料上的複雜性內部化,以確保操作員可以專注在管理解決方案及維持對使用者的 SLA 上。
需要將備份資料匯出到外部共用,才能避免將備份儲存在相同系統上。 需要外部共用這點,可讓系統管理員有根據現有的公司 BC/DR 政策,來決定資料儲存位置的彈性。
基礎結構備份服務元件
基礎結構備份服務包括下列元件:
- 基礎結構備份控制器
Azure Stack Hub 雲端會具現化基礎結構備份控制器,且每個 Azure Stack Hub 雲端中都有基礎結構備份控制器。 - 備份資源提供者
備份資源提供者 (備份 RP) 是由使用者介面,以及會公開 Azure Stack Hub 基礎結構基本備份功能的 API 所組成。
基礎結構備份控制器
基礎結構備份控制器是一種會未 Azure Stack Hub 雲端來具現化的 Service Fabric 服務。 備份資源是在區域層級建立的,且會從 AD、CA、Azure Resource Manager、CRP、SRP、NRP、Key Vault、RBAC 擷取區域特定的服務資料。
備份資源提供者
備份資源提供者代表 Azure Stack Hub 入口網站中,基本設定和備份資源清單的使用者介面。 操作員可以在使用者介面中執行下列動作:
- 藉由提供外部儲存位置、認證和加密金鑰,來啟用第一次的備份。
- 檢視已完成建立的備份資源,和正在建立的狀態資源。
- 修改備份控制器存放備份資料的儲存位置。
- 修改備份控制器用來存取外部儲存位置的認證。
- 修改備份控制器用來加密備份的加密金鑰。
備份控制器的需求
本節描述基礎結構備份服務的重要需求。 建議您先仔細檢閱資訊,再啟用 Azure Stack Hub 執行個體的備份,然後在部署和後續作業期間,必要時回顧參考。
這些需求包括:
- 軟體需求 - 說明支援的儲存位置和大小調整指導方針。
- 網路需求 - 說明不同儲存位置的網路需求。
軟體需求
支援的儲存位置
| 儲存位置 | 詳細資料 |
|---|---|
| 裝載在信任的網路環境中儲存裝置上的 SMB 檔案共用。 | 位於已部署 Azure Stack Hub 的同一個資料中心,或位於不同資料中心的 SMB 共用。 多個 Azure Stack Hub 執行個體可以使用相同的檔案共用。 |
| 在 Azure 上的 SMB 檔案共用。 | 目前不支援。 |
| 在 Azure 上的 Blob 儲存體。 | 目前不支援。 |
支援的 SMB 版本
| SMB | 版本 |
|---|---|
| SMB | 3.x |
SMB 加密
基礎結構備份服務支援在伺服器端已啟用 SMB 加密的情況下,將備份資料傳輸到外部儲存位置。 如果伺服器不支援 SMB 加密或未啟用此功能,則基礎結構備份服務會切換回未加密的資料傳輸。 放在外部儲存位置的備份資料一律會在待用時加密,而且不會相依於 SMB 加密。
儲存位置大小調整
建議您一天至少備份兩次,並保留最多七天份的備份。 這是在 Azure Stack Hub 上啟用基礎結構備份時的預設行為。
| 環境規模 | 預估的備份大小 | 所需的空間總容量 |
|---|---|---|
| 4-16 個節點 | 20 GB | 280 GB |
| ASDK | 10 GB | 140 GB |
網路需求
| 儲存位置 | 詳細資料 |
|---|---|
| 裝載在信任的網路環境中儲存裝置上的 SMB 檔案共用。 | 若 Azure Stack Hub 執行個體位於防火牆保護的環境中,則需要使用連接埠 445。 基礎結構備份控制器會透過連接埠 445,起始對 SMB 檔案伺服器的連線。 |
| 若要使用檔案伺服器的 FQDN,名稱必須可從 PEP 進行解析。 |
防火牆規則
請務必設定防火牆規則,以允許 ERCS VM 之間可連線到外部儲存位置。
| 來源 | 目標 | 通訊協定/連接埠 |
|---|---|---|
| ERCS VM 1 | 儲存位置 | 445/SMB |
| ERCS VM 2 | 儲存位置 | 445/SMB |
| ERCS VM 3 | 儲存位置 | 445/SMB |
注意
不需要開啟任何輸入連接埠。
加密需求
基礎結構備份服務會使用具有公開金鑰 (.CER) 的憑證來加密備份資料,並在雲端復原期間使用具有私密金鑰 (.PFX) 的憑證來解密備份資料。 憑證金鑰長度必須是 2048 個位元組。
- 憑證用於傳輸金鑰,不會用來建立經驗證的安全通訊。 因此,憑證會是自我簽署的憑證。 Azure Stack Hub 不需要驗證此憑證的根或信任,因此不需要外部的網際網路存取權。
自我簽署的憑證有兩個部分,一個是具有公開公鑰,另一個是具有私密金鑰:
- 加密備份資料:具有公開金鑰 (匯出至 .CER 檔案) 的憑證用於加密備份資料。
- 解密備份資料:具有私密金鑰 (匯出至 .PFX 檔案) 的憑證用於解密備份資料。
內部密碼輪替不會管理具有公開金鑰 (.CER) 的憑證。 若要輪替憑證,您必須建立新的自我簽署憑證,並使用新的檔案 (.CER) 更新備份設定。
- 所有現存的備份將使用過去的公開金鑰保持加密狀態。 新的備份將會使用新的公開金鑰。
基於安全理由,Azure Stack Hub 不會保留雲端復原期間所使用具有私密金鑰 (.PFX) 的憑證。 這個檔案在雲端復原期間必須明確提供。
基礎結構備份限制
當您規劃、部署和操作 Microsoft Azure Stack Hub 執行個體時,請考慮這些限制。 下表描述了這些限制。
基礎結構備份限制
| 限制識別碼 | 限制 | 註解 |
|---|---|---|
| 備份類型 | 僅限完整備份 | 基礎結構備份控制器只支援完整備份。 不支援支援增量備份。 |
| 排定的備份 | 已排定和手動 | 備份控制器支援已排定的備份和隨選備份。 |
| 並行備份作業的數目上限 | 1 | 備份控制器的每個執行個體只支援一個作用中的備份作業。 |
| 網路交換器設定 | 不在範圍中 | 系統管理員必須使用 OEM 工具來備份網路交換器設定。 請參閱各 OEM 廠商所提供的 Azure Stack Hub 文件。 |
| 硬體生命週期主機 | 不在範圍中 | 系統管理員必須使用 OEM 工具來備份硬體生命週期主機。 請參閱各 OEM 廠商所提供的 Azure Stack Hub 文件。 |
| 檔案共用的數目上限 | 1 | 只有一個檔案共用可以用來儲存備份資料。 |
| 備份應用程式服務、函式、SQL、MySQL 資源提供者資料 | 不在範圍中 | 如需部署和管理由 Microsoft 所建立的加值 RP,請參閱發行的指導方針。 |
| 備份第三方資源提供者 | 不在範圍中 | 如需部署和管理由第三方所建立的加值 RP,請參閱發行的指導方針。 |
後續步驟
- 若要深入了解基礎結構備份服務,請參閱使用基礎結構備份服務進行 Azure Stack Hub 的備份和資料復原。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應