Fazer backup de arquivos e aplicativos no Azure Stack Hub

Considere uma situação em que o Azure Stack Hub hospeda VMs (máquinas virtuais) que executam cargas de trabalho do usuário. É necessário fazer backup e restaurar os arquivos e aplicativos das cargas de trabalho. Este artigo de arquitetura de referência descreve uma abordagem que fornece uma solução otimizada para atividades de backup e restauração.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Os componentes de nuvem incluem os seguintes serviços:

• Uma assinatura do Azure que hospeda todos os recursos de nuvem que fazem parte desta solução.
• Um locatário do Microsoft Entra associado à assinatura do Azure. Ele fornece autenticação de entidades de segurança do Microsoft Entra para autorizar o acesso aos recursos do Azure.
• Um cofre de Serviços de Recuperação do Azure na região do Azure mais próxima de um datacenter local que hospeda a implantação do Hub de Pilha do Azure.

Dependendo dos critérios apresentados neste artigo, os componentes de nuvem também podem incluir os seguintes serviços:

• Um circuito do Azure ExpressRoute que conecta o datacenter local e a região do Azure que hospeda o cofre dos Serviços de Recuperação do Azure. O circuito está configurado para ter emparelhamento da Microsoft para acomodar tamanhos de backup maiores.

• O serviço de Importação/Exportação do Azure, para habilitar backups offline do MABS no Azure.

  Observação

  A partir de 20/08, o backup offline do MABS no Azure que usa o Azure Data Box está em versão prévia.

Dependendo do uso do serviço de Importação/Exportação do Azure para backup offline do MABS no Azure, a solução também pode ter uma conta de Armazenamento do Azure na mesma região do Azure que o cofre dos Serviços de Recuperação.

Os componentes locais incluem os seguintes serviços:

• Um sistema integrado ao Azure Stack Hub no modelo de implantação conectado que executa a atualização atual (2002 a partir de agosto de 2020) e localizado no datacenter local do cliente.

• Uma VM do Windows Server 2016 ou Windows Server 2019 hospedada pelo sistema integrado do Azure Stack Hub e que executa o UR (Versão de Atualização do MABS v3) 1.

• VMs do Azure Stack Hub com o agente de proteção do MABS, que gerencia backups e restaurações da VM do Azure Stack Hub do MABS. O agente de proteção do MABS rastreia as alterações nas cargas de trabalho protegidas e transfere as alterações para o armazenamento de dados do MABS. O agente de proteção também identifica dados em seu computador local que podem ser protegidos e desempenha um papel no processo de recuperação.

• Um agente MARS (Serviços de Recuperação do Microsoft Azure) instalado no servidor que executa o MABS. O agente integra o MABS e o cofre dos Serviços de Recuperação do Azure.

  Observação

  O agente de MARS também é denominado agente de Backup do Azure.

Componentes

• Azure Stack Hub
• Microsoft Entra ID
• Conta de Armazenamento do Azure
• Azure ExpressRoute

Alternativas

A solução recomendada descrita neste artigo não é a única maneira de fornecer funcionalidade de backup e restauração para cargas de trabalho de usuários executadas no Azure Stack Hub. Os clientes têm outras opções, incluindo:

• Backup e restauração locais usando o recurso Windows Server Backup incluído no sistema operacional Windows Server. Os usuários podem copiar backups locais para armazenamento de longo prazo. Essa abordagem dá suporte a backups consistentes com aplicativos contando com provedores VSS do Windows, mas aumenta o uso do espaço em disco local e a sobrecarga de manutenção de backup.
• Faça backup e restaure usando o Backup do Azure com o agente MARS instalado localmente. Essa abordagem minimiza o uso de espaço em disco local e automatiza o processo de upload de backups para armazenamento baseado em nuvem. No entanto, ele não oferece suporte a backups consistentes com aplicativos.
• Faça backup e restaure usando uma solução de backup instalada no mesmo datacenter, mas fora do Azure Stack Hub. Essa abordagem facilita cenários que envolvem um modelo de implantação desconectado do Azure Stack Hub.
• Backup e restauração no nível do Azure Stack Hub usando instantâneos de disco. Essa abordagem requer que a VM cujo backup está sendo feito seja interrompida, o que normalmente não é uma opção viável para cargas de trabalho críticas para os negócios, mas pode ser aceitável em alguns cenários.

Detalhes do cenário

O backup e a restauração são componentes essenciais de qualquer estratégia abrangente de continuidade de negócios e recuperação de desastres. Projetar e implementar uma abordagem de backup consistente e confiável em um ambiente híbrido é um desafio, mas pode ser consideravelmente simplificado com a integração com os serviços do Microsoft Azure. Isso se aplica não apenas às cargas de trabalho executadas na infraestrutura local tradicional, mas também àquelas hospedadas por provedores de nuvem pública e privada de terceiros. No entanto, os benefícios da integração com os serviços do Azure são evidentes quando os ambientes híbridos incorporam ofertas de portfólio do Azure Stack, incluindo o Azure Stack Hub.

Embora um dos principais pontos fortes do Azure Stack Hub seja que ele dá suporte ao modelo de PaaS (plataforma como serviço), ele também ajuda os clientes a modernizar suas cargas de trabalho de IaaS (infraestrutura como serviço) existentes. Essas cargas de trabalho podem incluir compartilhamentos de arquivos, bancos de dados do Microsoft SQL Server, farms do Microsoft SharePoint e clusters do Microsoft Exchange Server. Migrá-los para VMs executadas em clusters hiperconvergentes e altamente resilientes que têm modelos administrativos e de programação consistentes com o Microsoft Azure resulta em sobrecarga minimizada de gerenciamento e manutenção.

Para implementar o backup de arquivos e aplicativos executados em VMs do Azure Stack Hub, a Microsoft recomenda uma abordagem híbrida que depende de uma combinação de componentes locais e de nuvem para fornecer uma solução de backup escalonável, de alto desempenho, resiliente, segura, simples de gerenciar e econômica. O componente central dessa solução é o MABS (Servidor de Backup do Microsoft Azure) v3, que faz parte da oferta do Backup do Azure. O MABS depende da infraestrutura do Azure Stack Hub para recursos de computação, rede e armazenamento de curto prazo e usa o armazenamento baseado no Azure para servir como o armazenamento de backup de longo prazo. Essa abordagem minimiza ou elimina a necessidade de manter mídia física de backup, como fitas.

Funcionalidade principal

A solução proposta dá suporte à seguinte funcionalidade em VMs do Azure Stack Hub que executam Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2 SP1 (64 bits com Windows Management Framework 4.0), 2008 SP2 (64 bits com Windows Management Framework 4.0) e Windows 10 (64 bits):

• Backup e restauração de volumes, compartilhamentos, pastas, arquivos e estado do sistema do sistema NTFS (New Technology File System) e do ReFS (Resilient File System).

• Backup e restauração de instâncias do SQL Server 2019, 2017, 2016 (com SPs (service packs) necessários) e 2014 (com SPs necessários) e seus bancos de dados.

• Backup e restauração de servidores e bancos de dados do Exchange Server 2019 e Exchange Server 2016, incluindo servidores autônomos e bancos de dados em um grupo de disponibilidade de banco de dados (DAG).

• Restauração de caixas de correio individuais e bancos de dados de caixa de correio em um DAG.

• Backup e restauração de farms do SharePoint 2019 e do SharePoint 2016 (com os SPs mais recentes) e conteúdo do servidor Web front-end.

• Restauração de bancos de dados, aplicativos Web, arquivos, itens de lista e componentes de pesquisa do SharePoint 2019 e do SharePoint 2016.

  Observação

  Para implantar sistemas operacionais cliente Windows 10 no Azure Stack Hub, você deve ter o licenciamento por usuário do Windows ou tê-lo comprado por meio de um QMTH (Hoster Multilocatário Qualificado).

O MABS implementa o esquema de backup D2D2C (disco para disco, na nuvem), com o backup primário armazenado localmente no servidor que hospeda a instalação do MABS. Os backups locais são copiados para um cofre do Azure Site Recovery. O disco local funciona como armazenamento de curto prazo, enquanto o cofre fornece armazenamento de longo prazo.

O processo de backup consiste nas seguintes quatro fases:

1. Você instala o agente de proteção MABS em um computador que deseja proteger e o adiciona a um grupo de proteção.
2. Você configura a proteção para o computador ou seu aplicativo, incluindo backup em discos locais do MABS para armazenamento de curto prazo e no Azure para armazenamento de longo prazo. Como parte da configuração, você especifica o agendamento de backup para ambos os tipos de backups.
3. É feito o backup do disco da carga de trabalho protegida nos discos locais do MABS/DPM de acordo com o agendamento especificado.
4. O backup local armazenado em discos MABS é copiado para o cofre dos Serviços de Recuperação do Azure pelo agente MARS executado no servidor MABS.

Pré-requisitos

A implementação da solução recomendada depende do cumprimento dos seguintes pré-requisitos:

• Acesso a uma assinatura do Azure, com permissões suficientes para provisionar um cofre dos Serviços de Recuperação do Azure na região do Azure mais próxima de um datacenter local que hospeda a implantação do Azure Stack Hub.

• Um domínio do AD DS (Active Directory Domain Services) que pode ser acessado de uma VM do Azure Stack Hub que hospedará uma instância do MABS.

• Uma VM hospedada no Azure Stack Hub que executará uma instância do MABS, atendendo aos pré-requisitos listados em Instalar o Servidor de Backup do Azure no Azure Stack e com conectividade de saída para URLs listadas no suporte de rede do DPM/MABS.

  Observação

  Considerações adicionais de espaço em disco e desempenho para MABS são descritas com mais detalhes posteriormente neste artigo.

  Observação

  Para validar se a VM que hospeda o MABS tem conectividade com o serviço de Backup do Azure, você pode usar o cmdlet Get-DPMCloudConnection (incluído no módulo PowerShell do Servidor de Backup do Azure).

  Observação

  O MABS também requer uma instância local do SQL Server. Para obter detalhes sobre os requisitos do SQL Server, consulte Instalar e atualizar o Servidor de Backup do Azure.

Tipos de dados

Da perspectiva do MABS, há dois tipos de dados a serem considerados:

• Dados de arquivo são dados que normalmente residem em servidores de arquivos (como arquivos do Microsoft Office, arquivos de texto ou arquivos de mídia) e que precisam ser protegidos como arquivos simples.
• Dados de aplicativo são dados que existem em servidores de aplicativos (como grupos de armazenamento do Exchange, bancos de dados do SQL Server ou farms do SharePoint) e que exigem que o MABS esteja ciente dos requisitos de aplicativo correspondentes.

Tipos de backup

Se você estiver protegendo dados de arquivo ou dados de aplicativos, a proteção começa com a criação de uma réplica da fonte de dados no armazenamento local de uma instância do MABS. A réplica é sincronizada ou atualizada em intervalos regulares de acordo com as configurações que você definir. O método que o MABS usa para sincronizar a réplica depende do tipo de dados que está sendo protegido. Se uma réplica for identificada como inconsistente, o MABS executará uma verificação de consistência, que é uma verificação bloco a bloco da réplica em relação à fonte de dados.

Para um volume de arquivo ou compartilhamento em um servidor, após o backup completo inicial, o agente de proteção MABS usa um filtro de volume e um diário de alterações para determinar quais arquivos foram alterados. Em seguida, ele executa um procedimento de soma de verificação para esses arquivos para sincronizar apenas os blocos alterados. Durante a sincronização, essas alterações são transferidas para o MABS e, em seguida, aplicadas à réplica, sincronizando assim a réplica com a fonte de dados.

Se uma réplica se tornar inconsistente com sua fonte de dados, o MABS gerará um alerta que especifica qual computador e quais fontes de dados são afetadas. Para resolver o problema, você pode reparar a réplica iniciando uma sincronização com verificação de consistência na réplica. Durante uma verificação de consistência, o MABS executa uma verificação bloco a bloco e repara a réplica para retorná-la à consistência com a fonte de dados. Você pode programar uma verificação de consistência diária para grupos de proteção ou iniciar manualmente uma verificação de consistência.

Em intervalos regulares que você pode configurar, o MABS cria um ponto de recuperação para a fonte de dados protegida. Um ponto de recuperação é uma versão dos dados que pode ser recuperada.

Para dados de aplicativos, após a réplica ser criada pelo MABS, as alterações nos blocos de volumes que pertencem a arquivos de aplicativos são rastreadas pelo filtro de volume. A forma como as alterações são transferidas para o servidor MABS depende do aplicativo e do tipo de sincronização. A operação rotulada sincronização no Console do Administrador do MABS é análoga a um backup incremental e cria um reflexo transacionalmente consistente e preciso dos dados do aplicativo quando combinada com a réplica.

Durante o tipo de sincronização que é rotulado backup completo expresso No Console do Administrador do MABS, um instantâneo completo do Volume Shadow Copy Service (VSS) é criado, mas apenas os blocos alterados são transferidos para o servidor MABS.

Cada backup completo expresso cria um ponto de recuperação para dados de aplicativo. Se o aplicativo oferecer suporte a backups incrementais, cada sincronização também criará um ponto de recuperação. O processo de sincronização depende do aplicativo:

• Para dados do Exchange, a sincronização transfere um instantâneo VSS incremental usando o gravador VSS do Exchange. São criados pontos de recuperação para cada sincronização e backup completo expresso.
• SQL Server – Os bancos de dados com envio de log e no modo somente leitura ou que usam o modelo de recuperação simples não têm suporte para backup incremental. Os pontos de recuperação são criados para cada backup completo expresso apenas. Para todos os outros bancos de dados SQL Server, a sincronização transfere um backup do log de transações, criando pontos de recuperação para cada sincronização incremental e backup completo expresso. O log de transações é um registro serial de todas as transações realizadas com relação ao banco de dados desde o último backup do log de transações.
• Os servidores do SharePoint não oferecem suporte a backup incremental. Os pontos de recuperação são criados para cada backup completo expresso apenas.

As sincronizações incrementais exigem menos tempo do que um backup completo expresso. No entanto, o tempo necessário para recuperar dados aumenta conforme o número de sincronizações. Isso acontece porque o precisa restaurar o último backup completo e depois restaurar e aplicar todas as sincronizações incrementais até o ponto no tempo especificado para recuperação.

Para permitir um tempo mais rápido de recuperação, o MABS executa um backup completo expresso regularmente, que atualiza a réplica para incluir os blocos alterados. Durante o backup completo expresso, o MABS cria um instantâneo da réplica antes de atualizar a réplica com os blocos alterados. Para permitir RPOs mais frequentes e reduzir a janela de perda de dados, o MABS também executa sincronizações incrementais no tempo entre dois backups completos expressos.

Assim como na proteção de dados de arquivo, se uma réplica se tornar inconsistente com sua fonte de dados, o MABS gerará um alerta que especifica qual servidor e quais fontes de dados serão afetados. Para resolver a inconsistência, você pode reparar a réplica iniciando uma sincronização com verificação de consistência na réplica. Durante a verificação de consistência, o MABS realiza uma verificação bloco a bloco e repara a réplica para deixá-la novamente consistente com as fontes de dados. Você pode programar uma verificação de consistência diária para grupos de proteção ou iniciar manualmente uma verificação de consistência.

Políticas de proteção

Um computador ou sua carga de trabalho fica protegido quando você instala o software do agente de proteção MABS no computador e adiciona os dados do computador ou sua carga de trabalho a um grupo de proteção. Os grupos de proteção são usados para configurar e gerenciar a proteção de fontes de dados em computadores. Um grupo de proteção é uma coleção de fontes de dados que compartilham a mesma configuração de proteção. A configuração de proteção é a coleção de configurações comuns a um grupo de proteção, como o nome do grupo de proteção, a política de proteção, as alocações de armazenamento e o método de criação de réplica.

O MABS armazena uma réplica separada de cada membro do grupo de proteção no pool de armazenamento. Um membro do grupo de proteção pode conter fontes de dados como:

• Um volume, compartilhamento ou pasta em um servidor de arquivos ou cluster de servidores.
• Um grupo de armazenamento de um servidor Exchange ou cluster de servidores.
• Um banco de dados de uma instância do SQL Server ou cluster de servidores.

Para cada grupo de proteção, você configura uma política de proteção baseada em suas metas de recuperação para esse grupo de proteção. As metas de recuperação representam os requisitos de proteção de dados que correspondem aos RTOs e RPOs da sua organização. No MABS, eles são definidos com base em uma combinação dos seguintes parâmetros:

• Período de retenção de curto prazo. Isso determina por quanto tempo você deseja reter os dados de backup no armazenamento MABS local.

• Frequências de sincronização e ponto de recuperação. Isso corresponde diretamente à tolerância à perda de dados, que, por sua vez, reflete os RPOs da sua organização. Ele também determina a freqüência com que o MABS deve sincronizar suas réplicas locais com fontes de dados protegidas, coletando suas alterações de dados. Você pode definir a frequência de sincronização para qualquer intervalo entre 15 minutos e 24 horas. Você também pode optar por executar a sincronização antes da criação de um ponto de recuperação, em vez de uma data agendada específica.

• Agendamento de ponto de recuperação de curto prazo. Isso estabelece quantos pontos de recuperação devem ser criados no armazenamento local para o grupo de proteção. Para proteção de arquivos, selecione os dias e horários para os quais deseja que os pontos de recuperação sejam criados. Para proteção de dados de aplicativos que suportam backups incrementais, a frequência de sincronização determina o agendamento do ponto de recuperação.

• Agendamento de backup completo expresso. Esse é o agendamento do ponto de recuperação para proteção de dados de aplicativos que não dão suporte a backups incrementais e dão suporte a backups completos expressos.

• Agenda de backup online. Isso determina a frequência de criação de uma cópia de backups locais no cofre dos Serviços de Recuperação do Azure associada à instância do MABS local. Você pode agendar diariamente, semanalmente, mensalmente ou anualmente, com frequência máxima permitida de dois backups por dia. O MABS cria automaticamente um ponto de recuperação para backups online usando a réplica local mais recente, sem transferir novos dados da fonte de dados protegida.

  Observação

  Um cofre dos Serviços de Recuperação dá suporte a até 9.999 pontos de recuperação.

• Política de retenção on-line. Isso especifica o período de tempo durante o qual os backups diários, semanais, mensais e anuais são retidos no cofre do Azure Site Recovery associado à instância local do MABS.

  Observação

  Para proteger o conteúdo mais recente da fonte de dados online, crie um novo ponto de recuperação no disco local antes de criar um ponto de recuperação online.

  Observação

  Por padrão, o cofre dos Serviços de Recuperação do Azure é geo-redundante, o que significa que qualquer backup copiado para seu armazenamento é automaticamente replicado para uma região do Azure que faz parte de um par de regiões predefinido. Você pode alterar as configurações de replicação para localmente redundante se isso for suficiente para suas necessidades de resiliência e se precisar minimizar os custos de armazenamento. No entanto, você deve considerar manter a configuração padrão. Esta opção não pode ser alterada se o cofre contiver itens protegidos.

  Observação

  Para obter a lista de pares de regiões do Azure, consulte Continuidade de negócios e recuperação de desastres (BCDR): Regiões emparelhadas do Azure.

Testando restaurações

Além de uma estratégia de backup projetada e implementada de maneira ideal, é igualmente importante definir, documentar e testar o processo de restauração para cada tipo de carga de trabalho protegida. Embora o MABS forneça verificações de consistência internas que verificam automaticamente a integridade dos backups de dados, o teste de restaurações deve fazer parte dos procedimentos operacionais de rotina. O teste valida uma restauração examinando o estado das cargas de trabalho restauradas. Os resultados do teste devem estar disponíveis para os proprietários da carga de trabalho.

Em geral, o teste de restaurações tende a ser desafiador porque requer um ambiente que se assemelhe muito àquele que hospeda as cargas de trabalho protegidas. O Azure Stack Hub, com seus recursos internos de DevOps e infraestrutura como código, simplifica muito o enfrentamento desse desafio.

Funções e responsabilidades

O planejamento e a implementação de backup e restauração de cargas de trabalho baseadas no Azure Stack Hub normalmente envolvem a interação entre muitos stakeholders:

• Operadores do Azure Stack Hub. Os operadores do Azure Stack Hub gerenciam a infraestrutura do Azure Stack Hub, garantindo que haja recursos de computação, armazenamento e rede suficientes necessários para implementar uma solução abrangente de backup e rastauração e disponibilizar esses recursos aos locatários. Eles também colaboram com proprietários de aplicativos e dados para ajudar a determinar a abordagem ideal para implantar suas cargas de trabalho no Azure Stack Hub.
• Administradores do Azure. Os administradores do Azure gerenciam os recursos do Azure necessários para implementar soluções de backup híbrido.
• Administradores do Microsoft Entra. Os administradores do Microsoft Entra gerenciam recursos do Microsoft Entra, incluindo objetos de usuário e grupo que são usados para provisionar, configurar e gerenciar recursos do Azure.
• Equipe de TI do locatário do Azure Stack Hub. Essas partes interessadas projetam, implementam e gerenciam o MABS, incluindo os backups e restaurações do MABS.
• Usuários do Azure Stack Hub. Esses usuários fornecem requisitos de RPO e RTO e enviam solicitações para fazer backup e restaurar dados e aplicativos.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

O Azure Stack Hub ajuda a aumentar a disponibilidade da carga de trabalho por meio da resiliência inerente à sua infraestrutura. Você pode aumentar ainda mais a disponibilidade projetando e implementando soluções que ampliam o escopo da proteção da carga de trabalho. Este é o valor agregado que o MABS oferece. No contexto do MABS executado no Azure Stack Hub, há dois aspectos de disponibilidade que precisam ser explorados com mais detalhes:

• A disponibilidade do MABS e seus armazenamentos de dados
• A disponibilidade do recurso de restauração pontual de cargas de trabalho protegidas por MABS

Você precisa considerar ambos ao desenvolver uma estratégia de backup orientada por objetivos de ponto de recuperação (RPOs) e objetivos de tempo de recuperação (RTOs). RTO e RPO representam requisitos de continuidade estipulados por funções de negócios dentro de uma organização. O RPO designa um período de tempo que representa a perda máxima aceitável de dados devido a um incidente que torna os dados indisponíveis por um tempo. O RTO designa a duração máxima aceitável de tempo que pode levar para restabelecer o acesso às funções comerciais após um incidente que torna as funções indisponíveis.

A disponibilidade do MABS e seus armazenamentos de dados depende da disponibilidade da VM que hospeda a instalação do MABS e seu armazenamento local e baseado em nuvem. As VMs do Azure Stack Hub são altamente disponíveis por design. Se houver uma falha de MABS, você poderá restaurar itens protegidos pelo Backup do Azure de qualquer outra VM do Azure Stack Hub que hospede o MABS. Observe, no entanto, que para um servidor que hospeda o MABS recuperar backups feitos usando o MABS executado em outro servidor, ambos os servidores devem ser registrados no mesmo cofre do Azure Site Recovery.

A capacidade de restauração pontual de cargas de trabalho protegidas por MABS depende em grande parte do tipo de dados, de seus backups e de suas políticas de proteção. Para entender essas dependências, é necessário explorar esses conceitos com mais detalhes.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

O gerenciamento de dados e aplicativos do usuário em cenários híbridos garante considerações de segurança adicionais. Essas considerações podem ser agrupadas nas seguintes categorias:

• Criptografia de backup
• Proteção de cofre dos Serviços de Recuperação do Azure

O MABS e o Backup do Azure impõem a criptografia de backups em repouso e em trânsito:

• Criptografia em repouso. Durante a instalação do MABS, o usuário fornece uma senha. Essa senha é usada para criptografar todos os backups antes de serem carregados em um cofre dos Serviços de Recuperação do Azure. A descriptografia ocorre somente depois que os backups são baixados desse cofre. A senha está disponível apenas para o usuário que a criou e para o agente MARS instalado localmente. É fundamental garantir que a senha seja armazenada em um local seguro, pois ela serve como mecanismo de autorização ao executar restaurações baseadas em nuvem em um servidor MABS diferente daquele em que os backups ocorreram.
• Criptografia em trânsito. O MABS v3 depende do protocolo TLS (Transport Layer Security) versão 1.2 para proteger suas conexões com o Azure.

O cofre dos Serviços de Recuperação do Azure oferece mecanismos que protegem ainda mais os backups online, incluindo:

• Controle de acesso baseado em função do Azure (RBAC do Azure). O Azure RBAC permite delegar e segregar responsabilidades de acordo com o princípio do menor privilégio. Há três funções internas relacionadas ao Backup do Azure que restringem o acesso às operações de gerenciamento de backup:
  • Colaborador de Backup. Fornece acesso para criar e gerenciar backups, exceto para excluir o cofre dos Serviços de Recuperação e delegar acesso a outros.
  • Operador de backup. Fornece acesso equivalente ao do Colaborador de Backup, exceto para remover backups e gerenciar políticas de backup.
  • Leitor de Backup. Fornece acesso para monitorar as operações de gerenciamento de backup.
• Bloqueios de recursos do Azure. Você pode criar e atribuir bloqueios somente leitura e excluir em um cofre do Azure Site Recovery para reduzir o risco de o cofre ser alterado ou excluído acidental e maliciosamente.
• Exclusão temporária. A exclusão reversível ajuda a proteger os dados do cofre e do backup contra exclusões acidentais ou mal-intencionadas. Com a exclusão reversível, se um usuário excluir um item de backup, os dados correspondentes serão retidos por 14 dias, permitindo sua recuperação sem perda de dados durante esse período. A retenção de 14 dias dos dados de backup no estado de "exclusão temporária" não incorre em custos. A exclusão suave está habilitada por padrão.
• Proteção de operações sensíveis à segurança. O cofre dos Serviços de Recuperação do Azure implementa automaticamente outra camada de autenticação sempre que uma operação sensível à segurança, como alterar uma senha, é tentada. Essa validação extra ajuda a garantir que apenas os usuários autorizados executem essas operações.
• Monitoramento e alertas de atividades suspeitas. O Backup do Azure fornece monitoramento e alertas integrados de eventos sensíveis à segurança relacionados às operações de Backup do Azure. Os relatórios de backup facilitam o rastreamento de uso, a auditoria de backups e restaurações e a identificação das principais tendências de backup.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Ao considerar o custo da solução de backup descrita neste artigo, lembre-se de levar em conta os componentes locais e baseados na nuvem. O preço dos componentes locais é determinado pelo modelo de preços do Azure Stack Hub. Assim como no Azure, o Azure Stack Hub oferece um acordo de pagamento conforme o uso, disponível por meio de contratos corporativos e do programa Provedor de Soluções na Nuvem. Esse arranjo inclui um preço mensal para cada VM do Windows Server. Se você tiver a opção de usar licenças existentes do Windows Server, poderá reduzir significativamente o custo para o preço básico da VM. O MABS depende do SQL Server como seu armazenamento de dados, mas não há nenhum custo de licenciamento associado à execução dessa instância do SQL Server se ela for usada apenas para o MABS.

As cobranças relacionadas ao Azure estão associadas ao uso dos seguintes recursos:

• Backup do Azure. O preço do Backup do Azure é amplamente determinado pelo número de cargas de trabalho protegidas e pelo tamanho dos backups de dados (antes da compactação e criptografia) para cada um. O custo também é afetado pela escolha entre LRS (armazenamento com redundância local) e GRS (armazenamento com redundância geográfica) para a replicação do conteúdo do cofre dos Serviços de Recuperação do Azure. Confira Preços do Backup do Azure para obter detalhes.
• Azure ExpressRoute. O preço do Azure ExpressRout é baseado em um dos dois modelos:
  • Dados ilimitados. Esta é uma taxa mensal com todas as transferências de dados de entrada e saída incluídas.
  • Dados limitados. Esta é uma taxa mensal com todas as transferências de dados de entrada gratuitas e transferências de dados de saída cobradas por gigabyte.
• Importação/Exportação do Azure. O custo da Importação/Exportação do Azure inclui uma taxa fixa por dispositivo para o tratamento do dispositivo.
• Armazenamento do Azure. Quando você usa a Importação/Exportação do Azure, aplicam-se taxas de transação e taxas de transação padrão do Armazenamento do Azure.

Sem o ExpressRoute, talvez seja necessário considerar o aumento do uso da largura de banda de suas conexões com a Internet para backups e restaurações. O custo varia de acordo com muitos fatores, incluindo área geográfica, uso atual da largura de banda e provedor de serviços de Internet.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Capacidade de gerenciamento

Um dos principais fatores que afetam sua estratégia de backup e restauração é a configuração de grupos de proteção e os critérios que você usa para decidir quais cargas de trabalho protegidas devem pertencer aos mesmos grupos protegidos. Conforme descrito anteriormente neste artigo, um grupo de proteção é uma coleção de fontes de dados, como volumes, compartilhamentos ou armazenamentos de dados de aplicativos, que têm configurações comuns de backup e restauração. Ao definir um grupo de proteção, você precisa especificar:

• Fontes de dados, como servidores e cargas de trabalho que você deseja proteger.
• Armazenamento de backup, incluindo configurações de proteção de curto e longo prazo.
• Pontos de recuperação, que são pontos no tempo a partir dos quais os dados de backup podem ser recuperados.
• Espaço em disco alocado, que é a quantidade de espaço em disco do pool de armazenamento alocado para backups.
• Replicação inicial, que é o método usado para o backup inicial de fontes de dados. O método pode ser uma transferência online (por uma rede) ou uma transferência offline (como por meio do serviço de Importação/Exportação do Azure).
• O método de verificação de consistência, que é o método de verificação da integridade dos backups de dados.

Os métodos a seguir são frequentemente usados para decidir quais cargas de trabalho protegidas devem pertencer aos mesmos grupos protegidos:

• Por computador. Esse método combina todas as fontes de dados de um computador no mesmo grupo de proteção.
• Por carga de trabalho. Este método separa arquivos e cada tipo de dados de aplicativo em diferentes grupos de proteção. No entanto, a recuperação de um servidor que hospeda várias cargas de trabalho pode exigir várias restaurações de diferentes grupos de proteção.
• Por RPO e RTO. Esse método agrupa fontes de dados com RPOs semelhantes. Você controla o RPO definindo a frequência de sincronização para o grupo de proteção, que determina a quantidade de perda potencial de dados (medida em tempo) durante interrupções inesperadas. No cenário descrito neste artigo, você controla o RTO definindo o período de retenção no armazenamento de curto prazo. Isso determina o período durante o qual os backups podem ser restaurados do armazenamento local de curto prazo, em vez do armazenamento de longo prazo baseado em nuvem. O backup do armazenamento local de curto prazo resulta em uma restauração mais rápida.
• Por características de dados. Esse método considera a frequência de alterações de dados, a taxa de crescimento de dados ou seus requisitos de armazenamento como critérios para agrupamentos.

Ao nomear grupos de proteção, use nomes exclusivos e significativos. Um nome pode ser qualquer combinação de caracteres alfanuméricos e espaços de até 64 caracteres.

Ao criar um grupo de proteção, você escolhe um método para criar a réplica inicial. A replicação inicial copia todos os dados selecionados para proteção para o servidor que hospeda o MABS e, em seguida, copia-os para o cofre do Azure Site Recovery. Ambas as cópias são verificadas quanto à consistência. O MABS pode criar réplicas automaticamente pela rede, mas você pode criar réplicas manualmente fazendo backup, transferindo e restaurando dados offline.

Para obter informações sobre como escolher o método de criação de réplica, consulte Replicação inicial pela rede. O artigo tem uma tabela que fornece estimativas de quanto tempo o MABS leva para criar uma réplica automaticamente pela rede para vários tamanhos de dados protegidos e velocidades de rede.

O processo de propagação offline dá suporte ao uso do serviço de Importação/Exportação do Azure, que pode transferir dados para uma conta de Armazenamento do Azure usando discos SATA. Essa funcionalidade pode ser usada quando o backup online é muito lento devido à quantidade de dados de backup ou à velocidade da conexão de rede com o Azure.

O fluxo de trabalho de propagação offline tem as seguintes etapas::

1. Você copia os dados de backup iniciais para um ou mais discos SATA usando a ferramenta AzureOfflineBackupDiskPrep.
2. A ferramenta gera automaticamente um trabalho de importação do Azure e um aplicativo do Microsoft Entra na assinatura que hospeda a conta de armazenamento do Azure de destino e o cofre dos Serviços de Recuperação do Azure. O aplicativo fornece ao Backup do Azure acesso seguro e com escopo ao Serviço de Importação do Azure, conforme exigido pelo processo de propagação offline.
3. Você envia os discos para o datacenter do Azure que hospeda a conta de armazenamento do Azure de destino.
4. A equipe do datacenter do Azure copia dados dos discos para a conta de Armazenamento do Azure.
5. O fluxo de trabalho dispara uma cópia da conta de Armazenamento do Azure para o cofre dos Serviços de Recuperação do Azure.

DevOps

Embora o backup e a restauração sejam considerados parte das operações de TI, há algumas considerações específicas do DevOps que valem a pena incorporar a uma estratégia de backup abrangente. O Azure Stack Hub facilita a implantação automatizada de várias cargas de trabalho, incluindo aplicativos e serviços baseados em VM. Você pode usar essa funcionalidade para simplificar a implantação do MABS em VMs do Azure Stack Hub, o que simplifica a configuração inicial em cenários multilocatários. Ao combinar modelos do Azure Resource Manager, extensões de VM e o módulo do PowerShell do DPM, é possível automatizar a configuração do MABS, incluindo a configuração de seus grupos de proteção, configurações de retenção e agendamentos de backup. No espírito das práticas recomendadas de DevOps, você deve armazenar modelos e scripts em um recurso de controle do código-fonte e configurar sua implantação usando pipelines. Essas práticas ajudam a minimizar o tempo de recuperação nos casos em que a infraestrutura necessária para restaurar dados de arquivos e aplicativos precisa ser recriada.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

Ao planejar implantar o MABS no Azure Stack Hub, você precisa considerar a quantidade de recursos de processamento, armazenamento e rede alocados para as VMs que hospedam a implantação. A Microsoft recomenda alocar uma CPU quad-core de 2,33 gigahertz (GHz) para atender às necessidades de processamento do MABS e cerca de 10 GB de espaço em disco para acomodar os binários de instalação. Outros requisitos de armazenamento podem ser categorizados da seguinte forma:

• Espaço em disco para backups. A recomendação geral para o espaço em disco de backup é alocar um pool de armazenamento de espaço em disco equivalente a cerca de 1,5 vezes o tamanho de todos os dados que devem ser copiados. Depois que os discos são anexados à VM, o MABS gerencia o gerenciamento de volume e espaço em disco. O número de discos que você pode anexar a uma VM depende do tamanho dela.

  Observação

  Você não deve armazenar backups localmente por mais de cinco dias. Os backups com mais de cinco dias devem ser descarregados para o cofre do Azure Site Recovery.

• Espaço em disco para o local do cache do agente MARS. Considere usar a unidade C na VM que hospeda a instalação do MABS.

• Espaço em disco para a área de preparo local durante as restaurações. Considere usar a unidade temporária D na VM que hospeda a instalação do MABS.

Para provisionar o armazenamento para a VM que hospeda a instalação do MABS, use discos gerenciados no nível de desempenho Premium. As características de desempenho esperadas são 2.300 operações de E/S por segundo (IOPS) e 145 MB/s por disco. Ao contrário do Azure, não há garantias de desempenho para o Azure Stack Hub.

Para obter uma estimativa mais precisa do armazenamento necessário para acomodar backups de carga de trabalho baseados no Azure Stack Hub, considere usar a Calculadora de tamanho de VM do Azure Stack para MABS, que está disponível em Microsoft Downloads. A calculadora é implementada como uma pasta de trabalho do Microsoft Excel que tem macros que derivam informações ideais de dimensionamento do Azure Stack Hub com base em vários parâmetros que você fornece. Os parâmetros incluem:

• Detalhes da fonte que incluem uma lista das VMs a serem protegidas, incluindo para cada uma:
  • O tamanho dos dados protegidos
  • O tipo de carga de trabalho (Windows Server, SharePoint ou SQL Server)
• Intervalo de retenção de dados, em dias

Cada tipo de carga de trabalho é, por padrão, associado a uma taxa diária predefinida de alterações (ou rotatividade). Você pode ajustar esses valores se eles não refletirem os padrões de uso em seu ambiente.

A Calculadora de Tamanho de VM do Azure Stack para MABS usa as informações especificadas para fornecer:

• Um tamanho estimado da VM do Azure Stack Hub que hospeda a instalação do MABS.
• Uma quantidade estimada de espaço em disco MABS necessária para hospedar dados de backup.
• Um número total de discos de 1 terabyte (TB) cada.
• A taxa de IOPS disponível para uso do MABS.
• Um tempo estimado para concluir o backup inicial. A estimativa é baseada no tamanho total dos dados protegidos e no IOPS disponível para uso do MABS.
• Um tempo estimado para concluir backups diários. A estimativa é baseada no tamanho total da rotatividade diária e no IOPS disponível para uso do MABS.

Se você criar um grupo de proteção usando a interface gráfica do MABS, sempre que adicionar uma fonte de dados a um grupo de proteção, o MABS calculará a alocação de espaço em disco local com base nas metas de recuperação de curto prazo especificadas. Em seguida, você pode decidir quanto espaço alocar no pool de armazenamento para réplicas e pontos de recuperação para cada fonte de dados no grupo. Você precisa garantir que haja espaço suficiente nos discos locais dos servidores protegidos para o diário de alterações. O MABS fornece alocações de espaço padrão para os membros do grupo de proteção. Para obter detalhes sobre as alocações de espaço padrão para diferentes componentes do MABS, consulte Implantar documentação de grupos de proteção.

Considere usar as alocações de espaço padrão, a menos que você saiba que elas não atendem às suas necessidades. A substituição das alocações padrão pode resultar na alocação de muito pouco espaço ou espaço demais. Alocar muito pouco espaço aos pontos de recuperação pode evitar que o MABS armazene pontos de recuperação suficientes para atender seus objetivos de período de retenção. A alocação de espaço excessivo desperdiça a capacidade do disco. Depois de criar um grupo de proteção, se você alocou muito pouco espaço para uma fonte de dados, poderá aumentar as alocações para os volumes de réplica e ponto de recuperação para cada fonte de dados. Se você alocou muito espaço para o grupo de proteção, poderá remover a fonte de dados do grupo de proteção e excluir a réplica. Em seguida, adicione a fonte de dados ao grupo de proteção com alocações menores.

Após a implantação, se você precisar ajustar o dimensionamento estimado das VMs do Azure Stack Hub que hospedam o MABS para acomodar alterações nos requisitos de processamento ou armazenamento, você terá três opções:

• Implementar dimensionamento vertical. Isso requer que você modifique a quantidade e o tipo de processador, memória e recursos de disco das VMs do Azure Stack Hub que hospedam o MABS.
• Implementar dimensionamento horizontal. Isso requer o provisionamento ou desprovisionamento das VMs do Azure Stack Hub que têm o MABS instalado para corresponder às demandas de processamento das cargas de trabalho protegidas.
• Modificar as políticas de proteção Isso requer a alteração dos parâmetros das políticas de proteção, incluindo o período de retenção, a programação do ponto de recuperação e a programação de backup completo expresso.

Se você optar por aumentar os volumes automaticamente, o MABS contabilizará o aumento do volume de backup à medida que os dados de produção aumentam. Caso contrário, o MABS limitará o armazenamento de backup ao tamanho das fontes de dados no grupo de proteção.

Existem duas opções principais para ajustar a largura de banda disponível:

• Aumente o tamanho da VM. Para VMs do Azure Stack Hub, o tamanho determina a largura de banda máxima da rede. No entanto, não há garantias de largura de banda. Em vez disso, as VMs usam a quantidade de largura de banda disponível até o limite determinado por seu tamanho.
• Aumente a taxa de transferência dos switches de uplink. Os sistemas do Azure Stack Hub dão suporte a uma variedade de switches de hardware que oferecem várias opções de velocidades de uplink. Cada nó de cluster do Azure Stack Hub tem dois uplinks para a parte superior dos switches de rack para tolerância a falhas. O sistema aloca metade da capacidade de uplink para infraestrutura crítica e o restante é capacidade compartilhada para serviços do Azure Stack e todo o tráfego do usuário. Sistemas implantados com velocidades mais rápidas têm mais largura de banda disponível para tráfego de backup.

Embora seja possível segregar o tráfego de rede anexando um segundo adaptador de rede a um servidor, todo o tráfego da VM do Azure Stack Hub para a Internet compartilha o mesmo uplink. Um segundo adaptador de rede virtual não segregará o tráfego no nível de transporte físico.

Para acomodar tamanhos de backup maiores, você pode considerar o uso do Azure ExpressRoute com o emparelhamento da Microsoft para se conectar entre as redes virtuais do Azure Stack Hub e o cofre dos Serviços de Recuperação do Azure. O Azure ExpressRoute estende as redes locais até a nuvem da Microsoft por meio de conexão privada fornecida por um provedor de conectividade. Você adquire circuitos do ExpressRoute para uma variedade de larguras de banda (de 50 Mbps a 10 Gbps).

Resumo

O Azure Stack Hub é uma oferta exclusiva, que difere em muitos aspectos de outras plataformas de virtualização. Por isso, ele merece consideração especial em relação às estratégias de continuidade de negócios para cargas de trabalho executadas em suas VMs. O uso dos serviços do Azure simplifica a estratégia de design e implementação. Neste artigo, exploramos o uso do MABS para fazer backup de dados de arquivos e aplicativos em VMs do Azure Stack Hub no modelo de implantação conectado. Essa abordagem permite que os clientes se beneficiem da resiliência e da capacidade de gerenciamento do Azure Stack Hub e da hiperescala e da presença global da nuvem do Azure.

A solução de backup descrita aqui se concentra exclusivamente em dados de arquivo e aplicativo em VMs do Azure Stack Hub. Esta é apenas uma parte de uma estratégia geral de continuidade de negócios que deve levar em conta vários outros cenários que afetam a disponibilidade da carga de trabalho. Alguns exemplos são: falhas localizadas de hardware e software, interrupções do sistema, eventos catastróficos e desastres em grande escala.

Próximas etapas

• Guias de instruções – Contas de armazenamento de backup no Azure Stack
• Guias de instruções – Backup de VMs no Azure Stack Hub usando o Commvault
• Fazer backup de cargas de trabalho na nuvem e no local para a nuvem
• Instalar o Servidor de Backup do Azure
• Fazer backup de arquivos e aplicativos no Azure Stack
• Fazer backup de um farm do SharePoint no Azure Stack
• Fazer backup de um SQL Server no Azure Stack

Recursos relacionados

Orientações híbridas relacionadas:

• Projeto de arquitetura híbrida
• Opções híbridas do Azure
• Considerações de design de aplicativo híbrido

Arquiteturas relacionadas

• Recuperação de desastre para VMs do Azure Stack Hub
• Fazer backup de dados e aplicativos locais na nuvem