Arquitetura e componentes de Backup do Azure

Use o Serviço de Backup do Azure para fazer backup de dados na plataforma de nuvem do Microsoft Azure. Este artigo resume a arquitetura, componentes e processos de Backup do Azure.

O que o Backup do Azure faz?

O Backup do Azure faz backup de dados, do estado da máquina e das cargas de trabalho em execução nas máquinas locais e VMs (máquinas virtuais) do Azure. Há vários cenários de Backup do Azure.

Como funciona o Backup do Azure?

Você pode fazer backup de computadores e dados usando vários métodos:

  • Fazer backup dos computadores locais:

    • Você pode fazer backup de computadores Windows locais diretamente no Azure usando o agente MARS (Serviços de Recuperação do Microsoft Azure) do Backup do Azure. Computadores Linux não tem suporte.
    • Você pode fazer backup de computadores locais em um servidor de backup – o DPM (System Center Data Protection Manager) ou o MABS (Servidor de Backup do Azure). Em seguida, você pode fazer backup do servidor de backup em um cofre dos Serviços de Recuperação no Azure.
  • Fazer backup de VMs do Azure:

    • Você pode fazer backup de VMs do Azure diretamente. O Backup do Azure instala uma extensão de backup no agente de VM do Azure em execução na VM. Essa extensão faz backup de toda a VM.
    • Você pode fazer backup de arquivos e pastas específicos na VM do Azure executando o agente MARS.
    • Você pode fazer backup de VMs do Azure para o MABS em execução no Azure e, em seguida, fazer backup do MABS em um cofre dos serviços de recuperação.

Saiba mais sobre quais itens podem ser submetidos a backup e cenários de backup com suporte.

Onde os dados são armazenados em backup?

O Backup do Azure armazena dados de backup em cofres - Cofres de Serviços de Recuperação e cofres de Backup. Um cofre é uma entidade de armazenamento online no Azure usada para armazenar dados como cópias de backup, pontos de recuperação e políticas de backup.

Os cofres têm os seguintes recursos:

  • Os cofres facilitam a organização dos dados de backup, minimizando a sobrecarga de gerenciamento.
  • É possível monitorar os itens submetidos a backup em um cofre, incluindo as máquinas locais e as VMs do Azure.
  • É possível gerenciar o acesso ao cofre com o controle de acesso baseado em função (RBAC do Azure).
  • Especifique como os dados no cofre são replicados para redundância:
    • Armazenamento localmente redundante (LRS): para proteger seus dados contra falhas de rack e unidade de servidor, você pode usar o LRS. O LRS replica seus dados três vezes em um único data center na região primária. O armazenamento com redundância local (LRS) fornece pelo menos 99,999999999% (11 noves) de durabilidade dos objetos em um determinado ano. Saiba mais
    • GRS (Armazenamento com redundância geográfica) : para proteger contra interrupções em toda a região, você pode usar o GRS. O GRS replica os dados em uma região secundária. Saiba mais.
    • ZRS (armazenamento com redundância de zona) : replica seus dados em zonas de disponibilidade, garantindo a residência de dados e a resiliência na mesma região. Saiba mais
    • Por padrão, os cofres dos Serviços de Recuperação usam o GRS.

Os cofres dos Serviços de Recuperação têm os seguintes recursos adicionais:

  • Em cada assinatura do Azure, você pode criar até 500 cofres.

Agentes de backup

O Backup do Azure fornece diferentes agentes de backup, dependendo do tipo de computador cujo backup está sendo feito:

Agente Detalhes
Agente MARS
  • É executado em máquinas de Servidores do Windows locais individuais para fazer backup de arquivos, pastas e estado do sistema.
  • É executado em VMs do Azure para fazer backup de arquivos, pastas e estado do sistema.
  • É executado em servidores MABS/DPM para fazer backup do disco de armazenamento local do MABS/DPM no Azure.
Extensão da VM do Azure É executado em VMs do Azure para fazer backup delas em um cofre.

Tipos de backup

A tabela a seguir explica os diferentes tipos de backups e quando eles são usados:

Tipo de backup Detalhes Usage
Full Um backup completo contém toda a fonte de dados. Consome mais largura de banda de rede do que backups diferenciais ou incrementais. Usado no backup inicial.
Differential Um backup diferencial armazena os blocos que foram alterados desde o backup completo inicial. Usa uma quantidade menor de armazenamento e rede, e não mantém cópias redundantes dos dados inalterados.

Ineficiente porque os blocos de dados inalterados entre os backups posteriores são transferidos e armazenados.
Não é usada pelo Backup do Azure.
Incremental Um backup incremental armazena apenas os blocos de dados que foram alterados desde o backup anterior. Alto armazenamento e eficiência de rede.

Com o backup incremental, não há necessidade de complementar com backups completos.
Usado pelo MABS/DPM para backups em disco e usado em todos os backups no Azure. Não usado para backup do SQL Server.

Tipos de backup do SQL Server

A tabela a seguir explica os diferentes tipos de backups usados para bancos de dados SQL Server e com que frequência eles são usados:

Tipo de backup Detalhes Usage
Backup completo Um backup completo do banco de dados faz backup do banco de dados inteiro. Ele contém todos os dados em um banco de dados específico ou em um conjunto de grupos de arquivos ou arquivos. Um backup completo também contém logs suficientes para recuperar esses dados. No máximo, você pode acionar um backup completo por dia.

Você pode optar por fazer um backup completo em um intervalo diário ou semanal.
Backup diferencial Um backup diferencial é baseado no backup de dados completo anterior mais recente.

Ele captura apenas os dados que foram alterados desde o backup completo.
No máximo, você pode acionar um backup diferencial por dia.

Você não pode configurar um backup completo e um backup diferencial no mesmo dia.
Backup de log de transações Um backup de log permite a restauração pontual até um determinado segundo. No máximo, você pode configurar backups de log de transações a cada 15 minutos.

Tipos de backup do SAP HANA

A seguinte tabela explica os diferentes tipos de backups usados para bancos de dados SAP HANA e com que frequência eles são usados:

Tipo de backup Detalhes Uso
Backup completo Um backup completo do banco de dados faz backup do banco de dados inteiro. Esse tipo de backup pode ser usado de maneira independente para restaurar a um ponto específico. No máximo, você pode agendar um backup completo por dia.

Você pode optar por agendar um backup completo em um intervalo diário ou semanal.
Backup diferencial Um backup diferencial é baseado no backup de dados completo anterior mais recente.

Ele captura apenas os dados que foram alterados desde o backup completo anterior.
No máximo, você pode agendar um backup diferencial por dia.

Você não pode configurar um backup completo e um backup diferencial no mesmo dia.
Backup incremental Um backup incremental é baseado no backup de dados completo/diferencial/incremental anterior mais recente.

Ele captura apenas os dados que foram alterados desde esse backup de dados anterior.
No máximo, você pode agendar um backup incremental por dia.

Não é possível agendar backups diferenciais e incrementais em um banco de dados; apenas um backup tipo delta pode ser agendado.

Você não pode configurar um backup completo e um backup diferencial no mesmo dia.
Backup de log de transações Um backup de log permite a restauração pontual até um determinado segundo. No máximo, você pode configurar backups de log de transações a cada 15 minutos.

Comparação de tipos de backup

O consumo do armazenamento, o RTO (objetivo do tempo de recuperação) e o consumo de rede variam para cada tipo de backup. A imagem a seguir mostra uma comparação dos tipos de backup:

  • A fonte de dados A é composta por 10 blocos de armazenamento, A1 até A10, dos quais é feito um backup mensal.
  • Os blocos A2, A3, A4 e A9 alteram-se no primeiro mês e o bloco A5 altera-se no próximo mês.
  • Para backups diferenciais, no segundo mês é feito o backup dos blocos que foram alterados, A2, A3, A4 e A9. No terceiro mês, é feito novamente o backup desses mesmos blocos, junto com o bloco A5 que foi alterado. O backup dos blocos alterados continua a ser feito até que o próximo backup completo aconteça.
  • Para backups incrementais, no segundo mês, os blocos A2, A3, A4 e A9 são marcados como alterados e transferidos. No terceiro mês, somente o bloco alterado A5 é marcado e transferido.

Diagrama mostrando que o consumo de armazenamento, o RTO (objetivo de tempo de recuperação) e o consumo de rede variam para cada tipo de backup.

Recursos de backup

A tabela a seguir resume os recursos aceitos para diferentes tipos de backup:

Recurso Backup direto de arquivos e pastas (usando o Agente MARS) Backup de VM do Azure Máquinas ou aplicativos com o MABS/DPM
Fazer backup para o cofre Sim Sim Sim
Fazer backup no disco do DPM/MABS e, em seguida, para o Azure Sim
Compactar os dados enviados para backup Sim Nenhuma compactação é usada durante a transferência de dados. O armazenamento está um pouco inflado, mas a restauração é mais rápida. Sim
Executa o backup incremental Sim Sim Sim
Fazer backup de discos com eliminação de duplicação Parcialmente

Para servidores do MABS/DPM implantados apenas localmente.

Legenda da tabela

Conceitos básicos de política de backup do Microsoft Azure

  • Uma política de backup é criada por cofre.
  • Uma política de backup pode ser criada para o backup das seguintes cargas de trabalho: VMs do Azure, SQL em VMs do Azure, SAP HANA em VMs do Azure e compartilhamentos de arquivos do Azure. A política para backup de arquivos e pastas usando o agente MARS é especificada no console do MARS.
    • Compartilhamento de Arquivo do Azure
  • Uma política pode ser atribuída a muitos recursos. Uma política de backup de VM do Azure pode ser usada para proteger várias VMs do Azure.
  • Uma política consiste em dois componentes
    • Agenda: Ao fazer o backup
    • Retenção: Por quanto tempo cada backup deverá ser mantido.
  • A programação pode ser definida como "diária" ou "semanal" com um ponto específico do tempo.
  • A retenção pode ser definida para pontos de backup "diários", "semanais", "mensais", "anuais".
    • "semanalmente" refere-se a um backup em um determinado dia da semana
    • "mensal" refere-se a um backup em um determinado dia do mês
    • "anualmente" refere-se a um backup em um determinado dia do ano
  • A retenção para pontos de backup "mensais" e "anuais" é chamada de LTR (Retenção de Longo Prazo)
  • Quando um cofre é criado, uma "DefaultPolicy" também é criada e pode ser usada para fazer backup de recursos.
  • Todas as alterações feitas no período de retenção de uma política de backup serão aplicadas retroativamente a todos os pontos de recuperação novos e mais antigos.

Impacto da alteração de política em pontos de recuperação

  • A duração da retenção foi aumentada/diminuída: Quando a duração da retenção é alterada, a nova duração de retenção também é aplicada aos pontos de recuperação existentes. Como resultado, alguns dos pontos de recuperação serão limpos. Se o período de retenção for aumentado, os pontos de recuperação existentes também terão uma retenção maior.
  • Alterado de diariamente para semanal: quando os backups agendados são alterados de diariamente para semana, os pontos de recuperação diários existentes são limpos.
  • Alterado de semanal para diário: os backups semanais existentes serão mantidos com base no número de dias restantes de acordo com a política de retenção atual.

Referência adicional

Arquitetura: backup de VM do Azure interno

  1. Para VMs do Azure selecionadas para backup, o Backup do Azure inicia um trabalho de backup de acordo com o agendamento de backup que você especificou.

  2. Se você optou por backups consistentes do aplicativo ou do sistema de arquivos, a VM precisa ter uma extensão de backup instalada para coordenar o processo de instantâneo.

    Se você optou por backups consistentes com falhas, nenhum agente será necessário nas VMs.

  3. Durante o primeiro backup, uma extensão de backup é instalada na VM, se a VM estiver em execução.

  4. Para VMs Windows que estão em execução, o Backup do Azure coordena com o Serviço de Cópias de Sombra de Volume (VSS) do Windows para tirar um instantâneo consistente com o aplicativo da VM.

    • Por padrão, o Backup do Azure obtém backups completos de VSS.
    • Se o Backup não puder usar um instantâneo consistente com o aplicativo, ele usará um instantâneo consistente com o arquivo do armazenamento subjacente (porque não ocorre nenhuma gravação do aplicativo enquanto a VM está parada).
  5. O Backup de VMs do Linux obtém um backup consistente com o arquivo. Para obter instantâneos consistentes de aplicativos, personalize manualmente os pré/pós-scripts.

  6. Para VMs do Windows, o Pacote Redistribuível do Microsoft Visual C++ 2013 (x64) versão 12.0.40660 é instalado, a inicialização do Serviço de Cópias de Sombra de Volume (VSS) é alterada para automático e um Serviço do Windows IaaSVmProvider é adicionado.

  7. Depois que o Backup faz o instantâneo, ele transfere os dados para o cofre.

    • O backup é otimizado fazendo backup de cada disco de VM em paralelo.
    • Para cada disco cujo backup está sendo feito, o Backup do Azure lê os blocos no disco e identifica e transfere apenas os blocos de dados que foram alterados (o delta) desde o backup anterior.
    • Os dados de instantâneo podem não ser copiados imediatamente para o cofre. Esse processo pode levar algumas horas em horários de pico. O tempo total de backup de uma VM será menor que 24 horas para políticas de backup diárias.

O diagrama mostra a arquitetura de backup da Máquina Virtual do Azure.

Arquitetura: backup direto de máquinas locais do Windows Server ou arquivos ou pastas da VM do Azure

  1. Para configurar o cenário, baixe e instale o agente MARS no computador. Em seguida, selecione o que será feito de backup, quando os backups serão executados e por quanto tempo eles serão mantidos no Azure.
  2. O backup inicial é executado de acordo com as configurações.
  3. O agente de MARS usa o VSS para criar um instantâneo pontual dos volumes selecionados para backup.
    • O agente MARS usa apenas a operação de gravação do sistema Windows para capturar o instantâneo.
    • Como o agente não usa todos os gravadores VSS do aplicativo, ele não captura instantâneos consistentes com os aplicativos.
  4. Depois de criar o instantâneo com o VSS, o agente de MARS cria um VHD (disco rígido virtual) na pasta de cache que você especificou na configuração do backup. O agente também armazena somas de verificação para cada bloco de dados. Eles são usados posteriormente para detectar os blocos alterados para backups incrementais subsequentes.
  5. Os backups incrementais são executados de acordo com a programação que você especifica, a menos que você execute um backup sob demanda.
  6. Nos backups incrementais, os arquivos alterados são identificados e um novo VHD é criado. O VHD é compactado, criptografado e enviado ao cofre.
  7. Depois do backup incremental, o novo VHD é mesclado ao VHD criado após a replicação inicial. O VHD mesclado contém o estado mais recente a ser usado para comparação para o backup em andamento.

Backup dos computadores do servidor local do Windows com o agente MARS

Arquitetura: backup para DPM/MABS

  1. Você instala o agente de proteção DPM ou MABS nos computadores que deseja proteger. Em seguida, você adiciona os computadores a um grupo de proteção do DPM.
    • Para proteger as máquinas locais, o servidor do DPM ou MABS deverá ser local.
    • Para proteger as VMs do Azure, o servidor do MABS deverá estar no Azure, em execução como uma VM do Azure.
    • Com MABS/DPM, você pode proteger o backup de volumes, compartilhamentos, arquivos e pastas. Você também pode proteger os computadores com ou sem sistema operacional (bare metal) e aplicativos específicos com configurações de backup de reconhecimento de aplicativo.
  2. Ao configurar a proteção de um computador ou aplicativo no DPM/MABS, você escolhe se vai fazer o backup no disco local do MABS/DPM, para armazenamento de curto prazo e no Azure para proteção online. Você também especifica quando o backup no armazenamento local do MABS/DPM e o backup online no Azure deverão ser executados.
  3. É feito o backup do disco da carga de trabalho protegida nos discos locais do MABS/DPM de acordo com o agendamento especificado.
  4. Os discos do MABS/DPM passam por backup para o cofre pelo agente MARS em execução no servidor DPM/MABS.

Backup de máquinas e cargas de trabalho protegidas pelo DPM ou MABS

Armazenamento da VM do Azure

As VMs do Azure usam discos para armazenar seu sistema operacional, aplicativos e dados. Cada VM do Azure tem pelo menos dois discos: um disco para o sistema operacional e um disco temporário. As VMs do Azure também podem ter discos de dados de aplicativos. Os discos são armazenados como VHDs.

  • Os VHDs são armazenados como blobs de páginas nas contas de armazenamento standard ou premium no Azure:
    • Armazenamento standard: suporte de disco confiável e de baixo custo para VMs que executam cargas de trabalho que não são sensíveis à latência. O armazenamento Standard pode usar discos SSD (unidade de estado sólido) padrão ou discos de unidade de disco rígido (HDD) padrão.
    • Armazenamento Premium: suporte a disco de alto desempenho. Usa discos SSD premium.
  • Há diferentes níveis de desempenho de discos:
    • Disco HHD Standard: com suporte de HDDs e usado para armazenamento econômico.
    • Disco SSD Standard: combina elementos de discos SSD Premium e discos HDD padrão. Oferece desempenho e confiabilidade mais consistentes do que com HDD, e ainda é econômico.
    • Disco SSD Premium: apoiado pelos SSDs e fornece alto desempenho e baixa latência para VMs que executam cargas de trabalho intensivas de E/S.
  • Os discos podem ser gerenciados ou não:
    • Discos não gerenciados: tipo tradicional de discos usados pelas VMs. Com esses discos, você cria sua própria conta de armazenamento e a especifica ao criar o disco. Você precisa descobrir como maximizar os recursos de armazenamento para suas VMs.
    • Discos gerenciados: o Azure cria e gerencia as contas de armazenamento para você. Você especifica o tamanho do disco e o nível de desempenho, e o Azure cria discos gerenciados para você. À medida que você adiciona discos e dimensiona VMs, o Azure lida com as contas de armazenamento.

Para obter mais informações sobre o armazenamento em disco e os tipos de disco disponíveis para VMs, consulte estes artigos:

Backup e restauração de VMs do Azure com armazenamento premium

Você pode fazer backup de VMs do Azure usando o armazenamento premium com o Backup do Azure:

  • Durante o processo de backup de VMs do armazenamento premium, o serviço de Backup criará um local de preparo temporário, chamado AzureBackup- , na conta do armazenamento. O tamanho do local de preparo é igual ao tamanho do instantâneo de ponto de recuperação.
  • Certifique-se de que a conta de armazenamento premium tenha espaço livre suficiente para acomodar o local de preparo temporário. Para obter mais informações, consulte Metas de escalabilidade para contas de armazenamento de blob de página Premium. Não modifique o local de preparo.
  • Após a conclusão do trabalho de backup, o local de preparo será excluído.
  • O preço do armazenamento usado para o local de preparo é consistente com os preços do armazenamento premium.

Ao restaurar VMs do Azure usando o armazenamento premium, você pode restaurá-las no armazenamento standard ou premium. Normalmente, você os restauraria para o armazenamento premium. Mas se você precisar apenas de um subconjunto de arquivos da VM, pode ser econômico restaurá-los para o armazenamento padrão.

Fazer backup e restaurar discos gerenciados

Você pode fazer backup de VMs do Azure com discos gerenciados:

  • Faça o backup de VMs com discos gerenciados da mesma maneira que faria com qualquer outra VM do Azure. Você pode fazer backup da VM diretamente nas configurações da máquina virtual ou pode habilitar o backup para VMs no cofre dos Serviços de Recuperação.
  • Você pode fazer backup de VMs em discos gerenciados por meio de coleções de RestorePoint criadas com base em discos gerenciados.
  • O Backup do Azure também dá suporte ao backup de VMs com discos gerenciados que foram criptografados usando Azure Disk Encryption.

Ao restaurar VMs com discos gerenciados, você pode restaurar em uma VM completa com discos gerenciados ou em uma conta de armazenamento:

  • Durante o processo de restauração, o Azure lida com discos gerenciados. Se você estiver usando a opção de conta de armazenamento, você gerenciará a conta de armazenamento criada durante o processo de restauração.
  • Se você restaurar uma VM gerenciada criptografada, verifique se as chaves e os segredos da VM existam no cofre de chaves antes de iniciar o processo de restauração.

Isolamento de dados com o Backup do Azure

Com o Backup do Azure, os dados de backup em cofre são armazenados na assinatura e no locatário do Azure gerenciados pela Microsoft. Usuários externos e convidados não têm acesso direto a esse armazenamento de backup ou seu conteúdo, garantindo o isolamento dos dados de backup do ambiente de produção onde reside a fonte de dados.

No Azure, todas as comunicações e dados em trânsito são transferidos com segurança com protocolos HTTPS e TLS 1.2+. Esses dados permanecem na rede de backbone do Azure garantindo uma transmissão de dados confiável e eficiente. Os dados de backup inativos são criptografados por padrão usando chaves gerenciadas pela Microsoft. Você também pode trazer suas próprias chaves para criptografia se precisar de maior controle sobre os dados. Para aprimorar a proteção, você pode usar a imutabilidade, que impede que os dados sejam alterados ou excluídos antes do período de retenção. O Backup do Azure oferece diversas opções, como exclusão temporária, interrupção do backup e exclusão ou retenção de dados se você precisar interromper backups a qualquer momento. Para proteger operações críticas, você pode adicionar MUA (Autorização Multiusuário), que acrescenta uma camada adicional de proteção usando um recurso do Azure chamado Azure Resource Guard.

Essa abordagem robusta garante que, mesmo em um ambiente comprometido, os backups existentes não possam ser adulterados ou excluídos por usuários não autorizados.

Próximas etapas