從名稱來看,微軟的Azure Backup很容易讓人以為是基於雲端的備份服務,但實際上,這是多個備份產品的集合,基於雲端的Azure Backup服務只是其中之一,同時還包含本地端的備份軟體解決方案。
Azure Backup問世已將近10年,一開始只用於雲端上的Azure VM備份,以及透過本地端備份軟體,將備份轉存到雲端的應用,後來微軟將這項服務的範圍持續擴大,目前已能涵蓋Azure VM,以及架構在Azure VM上的資料庫備份,也能為Azure的儲存服務提供備份。
Azure Backup運作架構
Azure Backup同時涵蓋用戶本地端與Azure雲端的備份應用,由本地端基於代理程式的備份軟體,與Azure雲端上對應不同工作負載的備份服務共同組成。圖片來源/微軟
涵蓋本地端與雲端微軟環境的備份
Azure Backup適用於用戶本地端與Azure公有雲環境的資源備份,隨著備份環境的不同,作業架構也有異。
企業與組織的內部網路環境
Azure Backup在內網分為2種架構:
(1)直接備份到雲端
在內部網路環境受保護工作負載上,安裝微軟Azure還原服務(Microsoft Azure Recovery Services,MARS)代理程式,然後由MARS代理程式將來源端資料備份到雲端保存庫。
此模式的架構較單純,只需在欲備份的內網主機安裝MARS代理程式,但僅支援Windows主機備份。
MARS代理程式目前只支援64位元Windows作業系統,包括Windows 8到Windows 11的個人端電腦平臺,Windows Server 2016到2019的伺服器端平臺,以及Windows Storage Server 2012到2016的儲存伺服器平臺。
(2)經由MABS/DPM備份伺服器再到雲端
透過在內網安裝與建置Azure Backup Server(MABS)或System Center Data Protection Manager(DPM)等2種備份伺服器,來為企業內部環境的工作負載提供備份服務,可藉由MABS/DPM將來源端資料直接備份到雲端的儲存庫,或是先備份到MABS/DPM的磁碟,然後再轉存到雲端保存庫。
這個模式需在本地端透過實體或虛擬主機安裝MABS/DPM備份伺服器,但可支援更多類型的工作負載,包括:Windows 10/11與Windows Server主機,SQL、Exchange與SharePoint伺服器,與Hyper-V、VMware虛擬機器。
公有雲環境
Azure Backup支援7種Azure雲服務備份,包括:Azure VM,Azure Disk Storage區塊儲存(Azure Managed Disks),Azure File Storage檔案儲存(Azure File Shares),SQL Server in Azure VM,SAP HANA in Azure VM,PostgreSQL伺服器的Azure資料庫(以下簡稱為Azure PostgreSQL資料庫),Azure Blob物件儲存服務。
其中大多數服務的備份,都屬於無代理程式架構,無須代理程式或其他元件的中介,就能直接連結Azure Backup的服務。不過,與Azure VM相關的服務,則需要安裝延伸模組或代理程式,才能執行備份作業。
以Azure VM的備份來說,便分為3種模式:(1)直接備份到Azure儲存庫,透過VM上安裝快照延伸模組運作,這是Azure VM備份的標準模式,預設備份整臺VM,2023年新增可選擇僅備份作業系統磁碟的選項;(2)透過MARS代理程式備份,需在VM上安裝MARS,但可選擇備份還原特定資料夾、檔案或磁碟,備份粒度更精細;(3)將Azure VM先備份到Azure環境的MABS或DPM備份伺服器,再備份到Azure保存庫。
類似的,架構在Azure VM上的其他服務,如SQL Server in Azure VM,SAP HANA in Azure VM,也都會在VM上安裝對應的擴充模組(而非在資料庫),以執行將資料庫備份到保存庫的作業。
至於Azure PostgreSQL資料庫的備份,也會啟用一臺安裝備份延伸模組的Azure VM作為中介,稱作Worker VM,來處理備份作業,將資料轉存到保存庫。
Azure Backup備份中心統一管理備份
透過Azure Backup備份中心管理介面,可統一監控Azure雲端上不同類型工作負載的備份作業,並建立儲存備份複本的保存庫。圖片來源/微軟
提供多樣化備份模式
除針對Azure PostgreSQL資料庫,以及Azure Blob物件儲存的備份,Azure Backup對其他來源端工作負載的備份作業,都是以快照為基礎,面對不同的來源端工作負載,提供的備份模式與備份原則也有變化。
目前Azure Backup提供了完整、差異(Differential)、增量(Incremental)等3種基本備份模式,針對SQL Server與SAP HANA等2種資料庫,另外還有交易日誌備份(Transaction log)模式。
備份原則是由備份排程與保留期等2項參數構成,前者決定備份頻率,後者決定備份複本保留時間長短。除了排程備份外,也允許進行一次性的隨選備份。
在備份模式方面,除了SQL Server、SAP HANA與Azure Blob等3種來源端工作負載以外,而其餘類型的工作負載都是基於完整備份與增量備份等2種備份模式,不同工作負載提供的備份排程與保留期則所差異。
Azure VM備份排程是以每日或每週為單位,是基於快照的增量備份,保留期分為在本機端的「立即還原」保留期(1到5天),以及儲存庫端的保留期(預設30天)等兩部分。
Azure Disk區塊儲存服務與Azure File檔案儲存服務的備份作業,都是基於快照的增量備份,並提供每小時(1、2、4、6、8、12小時間隔)與每日等兩種備份頻率,保留期預設為30天。
SQL Server in Azure VM的備份,則以快照為基礎,提供完整、差異與交易日誌等3種備份模式,完整備份的排程可選擇每週或每日,差異備份為每日,交易日誌備份則可每15分鐘一次。在保留期方面,所有備份類型的最小保留期都是7天,差異備份最多可保留180天,日誌備份最長保留期為35天。
SAP HANA能支援4種基於快照的備份模式(完整、差異、增量、交易日誌),執行完整備份的頻率可選擇每日或每週,差異與增量備份的頻率都是每日1次,但同日只能兩者擇一執行,交易日誌備份能設為每15分鐘一次。在保留期方面,所有備份模式當中,最短均為7天,差異與增量備份可延長到180天,日誌備份最為35天。
非快照模式的備份
Azure PostgreSQL資料庫的備份機制是透過pg_dump指令,將資料庫內容轉出dump檔案,再進行備份,備份頻率目前則只提供手動隨選啟動,與每周排程等兩種,不過用戶可透過設定多個排程,在一週中的多天分別執行備份。備份保留時間則分為2種,使用標準備份保存庫(Vault-Standard)最長可保留7天到10年,預設為3個月。如果使用預覽階段的歸檔保存庫(Vault-Archive),保留期則為6個月到10年。
最特別的是Azure Blob物件儲存服務的備份,採用自動連續模式,無須設定排程,備份保留期預設30天,最長360天,到期後不會立即刪除,而是會以「軟性刪除」(Soft delete)的形式,再額外保留5天,然後才會實際刪除。
獨特的立即還原功能
針對Azure VM的備份,Azure Backup提供有別於其他類型工作負載的立即還原功能,來源端VM的快照複本會先在VM端本地暫時保存2天,在這段期間內可利用這些快照複本快速還原VM,2天後才會將快照複本轉存到後端的保存庫長期保存。圖片來源/微軟
提供多種還原精細度選項
無論哪一種來源端服務的還原作業,都是以備份時建立的還原點做為還原的基準,但Azure VM與Azure Blob的備份,提供了特別的還原模式。
Azure VM的還原,提供還原到新VM、僅還原VM磁碟,或將VM磁碟還原到原始VM等選項,還提供「立即還原(Instant Restore)」功能,用戶可在備份政策選項中設定,讓快照複本在VM本機保留1到5天(預設2天),而不傳送到保存庫,需要時可從VM本機端迅速還原,而無須從保存庫回傳資料。
SQL Server與SAP HANA資料庫的還原,則可選擇將日誌還原到指定時間點,或是將資料庫還原到特定時間點,或是將資料庫還原為檔案形式。
Azure Disk區塊儲存備份的還原作業,是以整臺磁碟為單位,而且只能還原為新磁碟,而不能覆蓋原始來源端磁碟。Azure File檔案儲存備份的還原則有兩種粒度可選,可還原整個共享儲存區,或還原個別檔案,並能選擇還原到原始位置或新位置。Azure Blob的還原是「連續性」的時間點還原功能,可將物件容器還原到保留期內的任意時間點。
其中Azure Disk、Azure File與Azure Blob的備份複本,都是存放在本機端,所以,還原時不須從保存庫傳輸資料,還原速度會更快。
跨區域還原
Azure VM,以及建立在Azure VM上的SQL Server與SAP HANA資料庫,都提供跨區域還原功能,可選擇將備份複本還原到配對的次要區域,但前提是保存庫必須設定GRS的遠端複製選項。
依工作負載類型搭配備份儲存庫
Azure Backup用於保存備份資料的儲存空間,是透過備份中心介面利用Azure Blob物件儲存空間上建立保存庫(Vault),細分為兩種類型,分別適用於不同的備份來源端。
一種是復原服務保存庫(Recovery Services Vault),可配合Azure的資源管理器(Resource Manager)部署,適用於大多數Azure Backup備份來源端,包括:Azure VM、SQL in Azure VM、SAP HANA in Azure VM、Azure File,以及透過MARS代理程式、MABS與DPM備份伺服器執行的備份。
其中Azure VM採用與其他服務不同的兩段式備份儲存,建立備份快照複本後,會依照用戶在「立即還原」選項中的設定,先在VM本機保留1到5天,再傳送到復原服務保存庫。根據來源端VM磁碟大小與資料異動量,將快照複本傳送到保存庫可能須耗時數天之久。
另外,Azure File是將快照複本存放在用戶的檔案儲存服務帳戶,而不會將備份實際傳送到保存庫,但基於套用備份原則等管理作業需要,還是需要建立對應的保存庫。
另一種是備份保存庫(Backup Vault),目前用於搭配Azure Blob物件儲存服務、Azure Disk區塊儲存服務,以及Azure PostgreSQL資料庫的備份儲存。
其中Azure Disk與Azure Blob的備份複本,實際上都是保存在儲存服務的來源儲存服務帳戶,不會將備份複際傳送到備份保存庫,例如Azure Disk的備份用快照複本是存放在快照集資源群組,但用戶仍需要設定備份保存庫,作為套用備份原則,與備份還原作業的管理單位。
至於Azure PostgreSQL資料庫的儲存,除了使用備份保存庫,還多了搭配目前仍在預覽階段的歸檔保存庫選項,構成兩層式的備份儲存架構。
備份複本的遠端複製
用戶可設定保存庫的遠端複製屬性,藉此在遠端另外保存一或多份備份複本,以提高備份複本的可用性。
復原服務保存庫與備份保存庫都提供3種遠端複製選項——本地備援(LRS)、異地備援(GRS)、區域備援(ZRS),預設是使用GRS。
備份複本的「軟性刪除」
為了避免保存庫中的備份複本遭到意外或惡意刪除,復原服務保存庫在搭配Azure VM類型的來源端時(包括Azure VM、SQL Server in Azure VM與SAP HANA in Azure VM),可啟用「軟性刪除」(Soft delete)的功能,即便用戶刪除備份複本,但復原服務保存庫仍會讓備份複本保留額外14天,也可視需要將軟性刪除時間延長到最多180天,在軟性刪除保留時間內,用戶仍可取消備份複本的刪除狀態,並用於還原,而且在Azure預設的14天軟性刪除保留期內,無須支付任何費用(但超過14天以後的軟性刪除保留資料,就需另外付費)。
建立復原服務保存庫時,系統預設啟用軟性刪除功能,但足夠權限的用戶可停用該保存庫的軟性刪除,為了預防由此產生安全漏洞,用戶可以宣告永久啟用(Always-On)特定保存庫的軟性刪除功能,如此一來,就能確保該保存庫的軟性刪除永遠啟用。
Azure Backup還有一項正在預覽階段的「增強型軟性刪除(Soft delete enhanced)」功能,進一步擴展原本的軟性刪除應用範圍,可同時適用於復原服務保存庫與備份保存庫,且能搭配更多類型的工作負載,還能將軟性刪除的備份項目註冊轉移到另一個保存庫。
防止誤刪備份的「軟性刪除」功能
Azure Backup提供特別的「軟性刪除」(Soft delete)功能(微軟文件稱為「虛刪除」),當備份複本刪除後,保存庫仍會讓備份複本保留額外14天,在這段保留時間內,用戶只需按下取消刪除(Undelete)選項,就能讓該複本回復正常保存狀態。圖片來源/微軟
集中式的備份作業管理
備份作業的執行與備份政策的設定,則視不同的備份環境而有別。針對本地端環境,備份作業的操作與管理,是透過MARS代理程式,或是MABS/DPM備份伺服器管理介面來執行。針對公有雲環境,可透過Azure備份中心的圖形介面,或是Azure CLI、Powershell、REST API的指令來管理。
微軟建議的管理介面是Azure備份中心,從Azure入口網站即可登入,並同時涵蓋目前已有7種Azure雲端服務工作負載備份的管理,包括備份作業的設定與啟動,備份原則的設定與調整,保存庫的建立與設定,備份作業的監控等工作,都可利用Azure備份中心來執行。
Azure還提供2項幫助管理大規模備份環境的工具,一為備份總管(Backup Explorer),可針對Azure VM類型的備份,透過儀表板呈現過去7天的備份相關資訊,並匯出資訊。另一為Azure備份報告(Backup Reports),可針對Azure VM類型工作負載(Azure VM、SQL Server/SAP HANA in Azure VM)、Azure檔案服務,以及透過MARS代理程式、MARS/DPM備份伺服器的備份,建立分析報告,藉此檢視備份作業趨勢,如耗用容量趨勢,備份成功率等。
提供加密與防刪改保護備份安全
Azure Backup的安全性機制提供3個部分的防護,分別是:存取權限控制、備份加密,以及備份防刪改。
其中存取權限控制是與Azure的角色型存取控制結合,可透過定義角色執行權限,避免非授權使用者接觸備份。Azure Backup預設了3種角色——備份參與者、備份操作員、備份讀取者,分別提供不同等級的操作權限,用戶也可自定角色權限。
在加密方面,備份保存庫與復原服務保存庫,都預設透過Azure Key Vault 加密金鑰服務,為保存庫中所有工作負載的備份提供加密。
在備份資料的防刪改方面,目前微軟在備份保存庫與復原服務保存庫,都提供預覽階段的不可變(Immutable)保存庫功能,可鎖定保存庫中的備份複本,在保留期限內都不可刪除,同時,還能進一步鎖定保存庫的不可變屬性,以避免不可變功能遭到停用。
依據不同類型工作負載來計價
針對Azure VM類型來源端,與使用雲端空間存防備份複本的用戶本地端伺服器,Azure Backup是依照容量等級、保存庫的遠端複製等級來按月計費。
針對Azure Disk、Azure File與Azure Blob這3種來源端的備份,由於不會將備份複本傳送到保存庫,所以也不會產生保存庫相關的費用,前2者會收取存放備份快照複本的容量費用,Azure File另外還會依執行個體容量計費。
除了Azure Blob以外,其餘類型工作負載的還原作業都無需付費。而Azure Blob的備份則無需付費,但還原時會依照將儲存容器還原到指定時間點的過程中,所耗用的資料處理量收費。
適用範圍廣、組成複雜的備份架構
整體來看,Azure Backup是適用範圍廣,但「成分」相當複雜的備份應用解決方案,不同元件之間的差異相當大。例如針對內網環境的MARS、MABS/DPM,與針對公有雲的備份服務之間相比,除了使用Azure雲端儲存空間作為備份保存庫這一共同點,彼此幾乎是完全脫鉤的,操作與管理都不相同。
而即便同樣是針對公有雲工作負載,Azure Backup對於不同來源端類型的運作架構,也存在很大差異,從計價方式、可用的備份政策、到備份儲存的保存庫,以及還原作業等,都各不相同。
簡而言之,基於Azure VM的工作負載是一大類(含基於VM的SQL Server/SAP HANA資料庫),但Azure Disk、Azure File與Azure Blob等儲存服務的備份架構,都各有許多不同。
雖然微軟提供了Azure備份中心這個統一的管理介面,有助於簡化管理問題,但對於同時使用多種不同類型工作負載的Azure用戶來說,要理解不同工作負載的備份運作架構,仍是相當大的負擔。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07