Panoramica del backup delle macchine virtuali di Azure

Questo articolo descrive come il servizio Backup di Azure esegue il backup di macchine virtuali (VM) di Azure.

Backup di Azure offre backup indipendenti e isolati per la protezione dalla distruzione accidentale dei dati nelle macchine virtuali. I backup vengono archiviati in un insieme di credenziali di Servizi di ripristino con gestione incorporata dei punti di ripristino. La configurazione e il ridimensionamento sono semplici, i backup sono ottimizzati ed è possibile eseguire facilmente il ripristino in base alle esigenze.

Come parte del processo di backup, viene creato uno snapshot e i dati vengono trasferiti all'insieme di credenziali di Servizi di ripristino senza alcun impatto sui carichi di lavoro di produzione. Lo snapshot offre diversi livelli di coerenza, come descritto qui. È possibile scegliere un backup coerente con l'applicazione/coerente con i file dell'agente o un backup coerente con l'arresto anomalo dell'agente nei criteri di backup.

Backup di Azure offre anche offerte specializzate per carichi di lavoro di database come SQL Server e SAP HANA che supportano il carico di lavoro, offrono rpo di 15 minuti (obiettivo del punto di ripristino) e consentono il backup e il ripristino di singoli database.

Processo di backup

Di seguito è illustrato come Backup di Azure completa un backup per le macchine virtuali di Azure:

  1. Per le macchine virtuali di Azure selezionate per il backup, Backup di Azure avvia un processo di backup in base alla pianificazione di backup specificata.

  2. Se si è scelto di eseguire backup coerenti con l'applicazione o il file system, la macchina virtuale deve disporre di un'estensione di backup installata per coordinare il processo di snapshot.

    Se si è scelto di eseguire backup coerenti con l'arresto anomalo, non sono necessari agenti nelle macchine virtuali.

  3. Durante il primo backup, un'estensione di backup viene installata nella macchina virtuale se quest'ultima è in esecuzione.

  4. Per le macchine virtuali Windows in esecuzione, Backup di Azure in coordinamento con il Servizio Copia Shadow del volume di Windows (VSS) per acquisire uno snapshot coerente con le app delle macchine virtuali.

    • Per impostazione predefinita, Backup esegue backup VSS completi.
    • Se non riesce a creare uno snapshot coerente con l'app, Backup usa uno snapshot coerente con i file dell'archiviazione sottostante (poiché non viene eseguita alcuna operazione di scrittura delle applicazioni durante l'arresto della macchina virtuale).
  5. Per le macchine virtuali Linux, Backup crea un backup coerente con i file. Per gli snapshot coerenti con l'app è necessario personalizzare manualmente i pre-/post-script.

  6. Per le macchine virtuali Windows viene installato Microsoft Visual C++ 2013 Redistributable (x64) versione 12.0.40660, l'avvio del Servizio Copia Shadow del volume (VSS) viene modificato in automatico e viene aggiunto un servizio Windows IaaSVmProvider.

  7. Dopo l'acquisizione dello snapshot, Backup trasferisce i dati all'insieme di credenziali.

    • Il backup viene ottimizzato eseguendo il backup di ogni disco della macchina virtuale in parallelo.
    • Per ogni disco di cui viene eseguito il backup, Backup di Azure legge i blocchi sul disco e identifica e trasferisce solo i blocchi di dati modificati (il delta) rispetto al backup precedente.
    • È possibile che i dati dello snapshot non vengano copiati immediatamente nell'insieme di credenziali. Questa operazione potrebbe richiedere alcune ore nei momenti di picco. Il tempo totale di backup per una macchina virtuale sarà inferiore a 24 ore per i criteri di backup giornalieri.

Il diagramma mostra l'architettura di backup delle macchine virtuali di Azure.

Crittografia dei backup delle macchine virtuali di Azure

Quando si esegue il backup di macchine virtuali di Azure con Backup di Azure, viene eseguita la crittografia dei dati inattivi delle macchine virtuali con la crittografia del servizio di archiviazione. Backup di Azure può anche eseguire il backup di macchine virtuali di Azure crittografate usando Crittografia dischi di Azure.

Crittografia Dettagli Supporto
Crittografia del servizio di archiviazione Con SSE, Archiviazione di Azure fornisce la crittografia dei dati inattivi crittografando automaticamente i dati prima di archiviarli. Archiviazione di Azure decrittografa anche i dati prima di recuperarli. Backup di Azure supporta i backup delle macchine virtuali con due tipi di crittografia del servizio di archiviazione:
  • Crittografia del servizio di archiviazione con chiavi gestite dalla piattaforma: questa crittografia è per impostazione predefinita per tutti i dischi nelle macchine virtuali. Altre informazioni sono disponibili qui.
  • Crittografia del servizio di archiviazione con chiavi gestite dal cliente. Con la chiave gestita dalla chiave gestita si gestiscono le chiavi usate per crittografare i dischi. Altre informazioni sono disponibili qui.
  • Backup di Azure usa la crittografia del servizio di archiviazione inattivi delle macchine virtuali di Azure.
    Azure Disk Encryption Crittografia dischi di Azure crittografa sia il sistema operativo che i dischi dati per le macchine virtuali di Azure.

    Crittografia dischi di Azure si integra con le chiavi BEK (BitLocker Encryption Key), protette in un insieme di credenziali delle chiavi come segreti. Crittografia dischi di Azure si integra anche con le chiavi di crittografia delle chiavi di Azure Key Vault.
    Backup di Azure supporta il backup di macchine virtuali di Azure gestite e non gestite crittografate solo con i bek o con le chiavi BEK insieme alle chiavi KEK.

    Sia le chiavi BEK che le chiavi KEK vengono sottoposte a backup e crittografate.

    Poiché viene eseguito il backup di KEK e BEK, gli utenti con le autorizzazioni necessarie possono ripristinare chiavi e segreti nell'insieme di credenziali delle chiavi, se necessario. Questi utenti possono anche recuperare la macchina virtuale crittografata.

    Le chiavi crittografate e i segreti non possono essere letti da utenti non autorizzati o da Azure.

    Per le macchine virtuali di Azure gestite e non gestite, Backup supporta entrambe le macchine virtuali crittografate solo con i bek o le macchine virtuali crittografate con le chiavi BEK insieme alle chiavi KEK.

    Le chiavi BEK (segreti) di cui è stato eseguito il backup e le chiavi (chiavi) vengono crittografate. Possono essere letti e usati solo quando vengono ripristinati nell'insieme di credenziali delle chiavi dagli utenti autorizzati. Né gli utenti non autorizzati, o Azure, possono leggere o usare chiavi o segreti di cui è stato eseguito il backup.

    Anche i bek vengono sottoposti a backup. Pertanto, se i BEK vengono persi, gli utenti autorizzati possono ripristinare i BEK nell'insieme di credenziali delle chiavi e ripristinare le macchine virtuali crittografate. Solo gli utenti con il livello di autorizzazioni necessario possono eseguire il backup e il ripristino di macchine virtuali crittografate o chiavi e segreti.

    Creazione di snapshot

    Backup di Azure crea snapshot in base alla pianificazione del backup.

    Se si è scelto di eseguire backup coerenti con l'applicazione o il file system, la macchina virtuale deve avere un'estensione di backup installata per coordinare il processo di snapshot. Per i backup coerenti con l'arresto anomalo del disco senza agente, l'agente di macchine virtuali non è necessario per gli snapshot.

    • Macchine virtuali Windows: per le macchine virtuali Windows, il servizio Backup coordina il servizio Copia Shadow del volume per acquisire uno snapshot coerente con l'app dei dischi delle macchine virtuali. Per impostazione predefinita, Backup di Azure esegue un backup completo del Servizio Copia Shadow del volume( tronca i log dell'applicazione, ad esempio SQL Server al momento del backup per ottenere un backup coerente a livello di applicazione). Se si usa un database di SQL Server nel backup di macchine virtuali di Azure, è possibile modificare l'impostazione per eseguire un backup di copia vss (per conservare i log). Per altre informazioni, vedi questo articolo.

    • Macchine virtuali Linux: per creare snapshot coerenti con l'app delle macchine virtuali Linux, usare lo script di pre-linux e il framework di post-script per scrivere script personalizzati per garantire la coerenza.

      • Backup di Azure richiama solo i pre-/post-script scritti dal cliente.
      • Se i pre-script e i post-script vengono eseguiti correttamente, Backup di Azure contrassegna il punto di ripristino come coerente con l'applicazione. Tuttavia, quando si usano script personalizzati, si è responsabili della coerenza con l'applicazione.
      • Altre informazioni su come configurare gli script.

    Coerenza degli snapshot

    La tabella seguente illustra i diversi tipi di coerenza degli snapshot:

    Snapshot Dettagli Ripristino Considerazioni
    Coerenza con le applicazioni Questa è l'impostazione predefinita nei criteri di backup della macchina virtuale. Il backup coerenti con le app acquisiscono contenuto in memoria e operazioni di I/O in sospeso. Gli snapshot coerenti con l'app usano un writer VSS (o script di pre/post per Linux) per garantire la coerenza dei dati dell'app prima che si verifichi un backup. Quando si ripristina una macchina virtuale con uno snapshot coerente con l'app, la macchina virtuale viene avviata. Non si verificano problemi di perdita o danneggiamento dei dati. Le app vengono avviate in uno stato coerente. Windows: tutti i writer vss hanno avuto esito positivo

    Linux: gli script di pre/post sono configurati e riusciti
    Coerente con il file system Questa è l'impostazione predefinita nei criteri di backup della macchina virtuale. I backup coerenti con il file system garantiscono la coerenza acquisendo uno snapshot di tutti i file nello stesso momento.

    Quando si ripristina una macchina virtuale con uno snapshot coerente con il file system, la macchina virtuale viene avviata. Non si verificano problemi di perdita o danneggiamento dei dati. Le app devono implementare uno specifico meccanismo di correzione per assicurarsi che i dati ripristinati siano coerenti. Windows: Alcuni writer vss non sono riusciti

    Linux: impostazione predefinita (se gli script di pre/post non sono configurati o non riusciti)
    Coerenza con l'arresto anomalo del sistema Lo snapshot coerente con l'arresto anomalo del sistema è un'impostazione di consenso esplicito nei criteri di backup della macchina virtuale. Backup di Azure esegue anche backup coerenti con l'arresto anomalo del sistema se la macchina virtuale non è in esecuzione durante il backup e quando i backup coerenti con l'applicazione/file hanno esito negativo.

    Solo i dati già esistenti sul disco al momento dell'operazione di backup vengono acquisiti e sottoposti a backup; i dati nella cache host di lettura/scrittura non vengono acquisiti.
    Inizia con il processo di avvio della macchina virtuale seguito da un controllo del disco per correggere gli errori di danneggiamento. Eventuali operazioni di scrittura o dati in memoria che non sono state trasferite sul disco prima che si verifichi un arresto anomalo del sistema. Le app implementano una propria procedura di verifica dei dati. Ad esempio, un'app di database può usare il log delle transazioni per la verifica. Se il log delle transazioni contiene voci che non si trovano nel database, il software di database esegue il rollback delle transazioni fino a quando i dati non sono coerenti. Quando si è scelto di eseguire il backup dell'applicazione/del file system e la macchina virtuale è in stato di arresto (arrestato/deallocato) e quando lo snapshot viene ritentato.

    Si è scelto di eseguire backup coerenti con l'arresto anomalo dell'agente

    Nota

    Se lo stato di provisioning è riuscito, Backup di Azure esegue backup coerenti con il file system. Se lo stato di provisioning non è disponibile o non è riuscito, vengono eseguiti backup coerenti con l'arresto anomalo del sistema. Se lo stato di provisioning sta creando o eliminando, significa che Backup di Azure sta ritentando le operazioni.

    Considerazioni su backup e ripristino

    Considerazioni Dettagli
    Disco Il backup dei dischi delle macchine virtuali è parallelo. Ad esempio, se una macchina virtuale ha quattro dischi, il servizio Backup tenta di eseguire il backup di tutti e quattro i dischi in parallelo. Il backup è incrementale (solo i dati modificati).
    Pianificazione Per ridurre il traffico di backup, eseguire il backup di diverse macchine virtuali in diverse ore del giorno, assicurandosi che non vi siano sovrapposizioni. Il backup di macchine virtuali nello stesso momento crea problemi di traffico.
    Preparazione dei backup Tenere conto del tempo di preparazione dei backup, Il tempo di preparazione può includere l'installazione o l'aggiornamento dell'estensione di backup e l'attivazione di uno snapshot in base alla pianificazione del backup.
    Trasferimento dei dati Tenere conto del tempo necessario a Backup di Azure per individuare le modifiche incrementali nel backup precedente.

    In caso di backup incrementale, Backup di Azure determina le modifiche calcolando il checksum del blocco. Gli eventuali blocchi modificati vengono contrassegnati per il trasferimento nell'insieme di credenziali. Il servizio analizza i blocchi identificati per tentare di ridurre ulteriormente la quantità di dati da trasferire. Al termine della valutazione di tutti i blocchi modificati, Backup di Azure trasferisce le modifiche all'insieme di credenziali.

    Può verificarsi un ritardo tra la creazione dello snapshot e la copia nell'insieme di credenziali. Nei momenti di picco possono essere necessarie fino a otto ore per trasferire gli snapshot nell'insieme di credenziali. Il tempo di backup per una macchina virtuale sarà inferiore a 24 ore per il backup giornaliero.
    Backup iniziale Il tempo totale di backup per i backup incrementali è inferiore a 24 ore, che potrebbe non essere il caso del primo backup. Il tempo necessario per il backup iniziale dipenderà dalla dimensione dei dati e dal momento in cui viene elaborato il backup.
    Coda di ripristino Backup di Azure processi di ripristino da più account di archiviazione contemporaneamente e inserisce le richieste di ripristino in una coda.
    Copia di ripristino Durante il processo di ripristino i dati vengono copiati dall'insieme di credenziali all'account di archiviazione.

    Il tempo totale di ripristino dipende dalle operazioni di I/O al secondo e dalla velocità effettiva dell'account di archiviazione.

    Per ridurre il tempo di copia, selezionare un account di archiviazione non impegnato con altre operazioni di lettura e scrittura di applicazioni.

    Nota

    Backup di Azure ora consente di eseguire il backup delle macchine virtuali di Azure più volte al giorno usando i criteri avanzati. Con questa funzionalità, è anche possibile definire la durata in cui i processi di backup attivano e allineano la pianificazione del backup con le ore lavorative in cui si verificano aggiornamenti frequenti delle macchine virtuali di Azure. Altre informazioni.

    Prestazioni del backup

    Questi scenari comuni possono influire sul tempo totale di backup:

    • Aggiunta di un nuovo disco a una macchina virtuale di Azure protetta: se una macchina virtuale è in fase di backup incrementale e viene aggiunto un nuovo disco, il tempo di backup aumenterà. Il tempo di backup totale potrebbe essere superiore a 24 ore a causa della replica iniziale del nuovo disco insieme alla replica differenziale dei dischi esistenti.
    • Dischi frammentati: le operazioni di backup sono più veloci quando le modifiche al disco sono contigue. Se invece le modifiche sono distribuite e frammentate su un disco, il backup sarà più lento.
    • Varianza del disco: se i dischi protetti sottoposti a backup incrementale hanno una varianza giornaliera di oltre 200 GB, il backup può richiedere molto tempo (più di otto ore) per il completamento.
    • Versioni di backup: la versione più recente di Backup (nota come versione di ripristino istantaneo) usa un processo più ottimizzato rispetto al confronto dei checksum per identificare le modifiche. Tuttavia, se si usa il ripristino istantaneo ed è stato eliminato uno snapshot di backup, il backup passa al confronto dei checksum. In questo caso, l'operazione di backup richiederà più di 24 ore (o avrà esito negativo).

    Prestazioni di ripristino

    Questi scenari comuni possono influire sul tempo totale di ripristino:

    • Il tempo di ripristino complessivo dipende dal numero di operazioni di input/output al secondo (IOPS) e dalla velocità effettiva dell'account di archiviazione.
    • Può subire modifiche se l'account di archiviazione di destinazione viene caricato con altre operazioni di lettura e scrittura dell'applicazione. Per migliorare l'operazione di ripristino, selezionare un account di archiviazione non caricato con altri dati dell'applicazione.

    Procedure consigliate

    Quando si configurano backup per macchine virtuali, è consigliabile seguire queste procedure:

    • Modificare l'ora di pianificazione predefinita impostata in un criterio. Se, ad esempio, l'ora predefinita per il criterio è impostata su 00:00, applicare un incremento di alcuni minuti affinché le risorse vengano usate in modo ottimale.
    • Se si ripristinano macchine virtuali da un singolo insieme di credenziali, è consigliabile usare account di archiviazione v2 per utilizzo generico diversi per assicurarsi che l'account di archiviazione di destinazione non venga limitato. Ad esempio, ogni macchina virtuale deve avere un account di archiviazione diverso. Ad esempio, se vengono ripristinate 10 macchine virtuali, usare 10 account di archiviazione diversi.
    • Per il backup di macchine virtuali che usano l'archiviazione Premium con ripristino istantaneo, è consigliabile allocare spazio disponibile del 50% dello spazio di archiviazione allocato totale, necessario solo per il primo backup. Lo spazio disponibile al 50% non è un requisito per i backup dopo il completamento del primo backup
    • Il limite relativo al numero di dischi per account di archiviazione dipende dalla modalità con cui le applicazioni in esecuzione in una macchina virtuale IaaS accedono ai dischi. Come regola generale, se sono presenti da 5 a 10 o più dischi in un solo account di archiviazione, bilanciare il carico spostando alcuni dischi in account di archiviazione separati.
    • Per ripristinare le macchine virtuali con dischi gestiti con PowerShell, specificare il parametro aggiuntivo TargetResourceGroupName per specificare il gruppo di risorse in cui verranno ripristinati i dischi gestiti, altre informazioni sono disponibili qui.

    Costi di backup

    Per il backup di macchine virtuali di Azure con Backup di Azure vengono applicati i prezzi di Backup di Azure.

    La fatturazione non viene avviata fino al termine del primo backup riuscito. A questo punto inizia la fatturazione sia per le macchine virtuali di archiviazione sia per quelle protette. La fatturazione continua fino a quando tutti i dati di backup per la macchina virtuale vengono archiviati in un insieme di credenziali. Se si arresta la protezione per una macchina virtuale, ma sono presenti dati di backup della macchina virtuale in un insieme di credenziali, la fatturazione continuerà.

    La fatturazione relativa a una macchina virtuale specifica viene interrotta solo se viene arrestata la protezione e vengono eliminati i dati di backup. Quando si arresta la protezione e non vi sono processi di backup attivi, la dimensione dell'ultimo backup della macchina virtuale completato correttamente diventa la dimensione dell'istanza protetta usata per la fatturazione mensile.

    Se si è scelto di eseguire backup coerenti con l'applicazione basata su agente o coerenti con il file system, il calcolo delle dimensioni dell'istanza protetta si basa sulle dimensioni effettive della macchina virtuale. Le dimensioni della macchina virtuale sono la somma di tutti i dati nella macchina virtuale, esclusa l'archiviazione temporanea. I prezzi si basano sui dati effettivi archiviati nei dischi dati, non sulle dimensioni massime supportate per ogni disco dati collegato alla macchina virtuale.

    Nota

    Per i backup senza agente coerenti con l'arresto anomalo del sistema, vengono attualmente addebitati 0,5 istanze protette per macchina virtuale durante l'anteprima.

    Analogamente, la fattura dell'archiviazione di backup si basa sulla quantità di dati archiviati in Backup di Azure, ovvero la somma dei dati effettivi in ogni punto di ripristino.

    Ad esempio, prendere una macchina virtuale di dimensioni A2 Standard con due dischi dati aggiuntivi con una dimensione massima di 32 TB ciascuno. La tabella seguente illustra i dati effettivi archiviati in ognuno di questi dischi:

    Disco Dimensioni massime Dati effettivi presenti
    Disco del sistema operativo 32 TB 17 GB
    Disco locale/temporaneo 135 GB 5 GB (non incluso per il backup)
    Disco dati 1 32 TB 30 GB
    Disco dati 2 32 TB 0 GB

    In questo caso, la dimensione effettiva della macchina virtuale è 17 GB + 30 GB + 0 GB = 47 GB. Questa dimensione dell'istanza protetta (47 GB) diventa la base per la fattura mensile. Man mano che aumenta la quantità di dati nella macchina virtuale, le dimensioni dell'istanza protetta usate per le modifiche alla fatturazione corrispondono.

    Passaggi successivi