Considere uma situação na qual o Azure Stack Hub hospeda máquinas virtuais (VMs) que executam cargas de trabalho do usuário. Há uma necessidade de fazer backup e restaurar os arquivos e aplicativos das cargas de trabalho. Este artigo de arquitetura de referência descreve uma abordagem que oferece uma solução otimizada para atividades de backup e restauração.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
Os componentes de nuvem incluem os seguintes serviços:
- Uma assinatura do Azure que hospeda todos os recursos de nuvem incluídos nesta solução.
- Um locatário do Microsoft Entra associado à assinatura do Azure. Ele fornece autenticação de entidades de segurança do Microsoft Entra para autorizar o acesso aos recursos do Azure.
- Um cofre dos Serviços de Recuperação do Azure na região do Azure mais próximo do datacenter local que hospeda a implantação do Azure Stack Hub.
Dependendo dos critérios apresentados neste artigo, os componentes de nuvem também podem incluir os seguintes serviços:
Um circuito de Rota Expressa do Azure que conecta o datacenter local e a região do Azure que hospeda o cofre dos Serviços de Recuperação do Azure. O circuito está configurado para ter emparelhamento da Microsoft para acomodar tamanhos de backup maiores.
O serviço de Importação/Exportação do Azure, para habilitar backups offline do MABS no Azure.
Nota
A partir de 20/08, o backup offline do MABS para o Azure que usa o Azure Data Box está em visualização.
Dependendo do uso do serviço de Importação/Exportação do Azure para backup offline do MABS no Azure, a solução também pode ter uma conta de Armazenamento do Azure na mesma região do Azure que o cofre dos Serviços de Recuperação.
Os componentes locais incluem os seguintes serviços:
Um sistema integrado ao Azure Stack Hub no modelo de implantação conectado que executa a atualização atual (2002 a partir de agosto de 2020) e localizado no datacenter local do cliente.
Uma VM do Windows Server 2016 ou Windows Server 2019 hospedada pelo sistema integrado do Azure Stack Hub e que executa o MABS v3 Update Release (UR) 1.
VMs do Azure Stack Hub com o agente de proteção MABS, que gerencia backups e restaurações da VM MABS Azure Stack Hub. O agente de proteção do MABS rastreia as alterações nas cargas de trabalho protegidas e transfere as alterações para o armazenamento de dados do MABS. O agente de proteção também identifica dados em seu computador local que podem ser protegidos e desempenha um papel no processo de recuperação.
Um agente dos Serviços de Recuperação do Microsoft Azure (MARS) instalado no servidor que executa o MABS. O agente integra o MABS e o cofre dos Serviços de Recuperação do Azure.
Nota
Um agente MARS também é conhecido como um agente de Backup do Azure.
Componentes
Alternativas
A solução recomendada descrita neste artigo não é a única maneira de fornecer funcionalidade de backup e restauração para cargas de trabalho de usuário executadas no Azure Stack Hub. Os clientes têm outras opções, incluindo:
- Backup e restauração locais usando o recurso Backup do Windows Server incluído no sistema operacional Windows Server. Os usuários podem copiar backups locais para armazenamento de longo prazo. Essa abordagem oferece suporte a backups consistentes com aplicativos confiando em provedores VSS do Windows, mas aumenta o uso de espaço em disco local e a sobrecarga de manutenção de backup.
- Backup e restauração usando o Backup do Azure com o agente MARS instalado localmente. Essa abordagem minimiza o uso de espaço em disco local e automatiza o processo de upload de backups para o armazenamento baseado em nuvem. No entanto, ele não oferece suporte a backups consistentes com aplicativos.
- Backup e restauração usando uma solução de backup instalada no mesmo datacenter, mas fora do Azure Stack Hub. Essa abordagem facilita cenários que envolvem um modelo de implantação desconectado do Azure Stack Hub.
- Backup e restauração no nível do Azure Stack Hub usando instantâneos de disco. Essa abordagem requer que a VM cujo backup está sendo feito seja interrompida, o que normalmente não é uma opção viável para cargas de trabalho críticas para os negócios, mas pode ser aceitável em alguns cenários.
Detalhes do cenário
O backup e a restauração são componentes essenciais de qualquer estratégia abrangente de continuidade de negócios e recuperação de desastres. Projetar e implementar uma abordagem de backup consistente e confiável em um ambiente híbrido é um desafio, mas pode ser consideravelmente simplificado com a integração com os serviços do Microsoft Azure. Isso se aplica não apenas às cargas de trabalho executadas na infraestrutura local tradicional, mas também àquelas hospedadas por provedores de nuvem públicos e privados de terceiros. No entanto, os benefícios da integração com os serviços do Azure são evidentes quando os ambientes híbridos incorporam ofertas de portfólio do Azure Stack, incluindo o Azure Stack Hub.
Embora um dos principais pontos fortes do Azure Stack Hub seja que ele dá suporte ao modelo de plataforma como serviço (PaaS), ele também ajuda os clientes a modernizar suas cargas de trabalho de infraestrutura como serviço (IaaS) existentes. Essas cargas de trabalho podem incluir compartilhamentos de arquivos, bancos de dados do Microsoft SQL Server, farms do Microsoft SharePoint e clusters do Microsoft Exchange Server. Migrá-los para VMs executadas em clusters hiperconvergentes e altamente resilientes com modelos administrativos e de programação consistentes com o Microsoft Azure resulta em sobrecarga minimizada de gerenciamento e manutenção.
Para implementar o backup de arquivos e aplicativos executados em VMs do Azure Stack Hub, a Microsoft recomenda uma abordagem híbrida que depende de uma combinação de componentes locais e na nuvem para oferecer uma solução de backup escalável, eficiente, resiliente, segura, simples de gerenciar e econômica. O componente central desta solução é o Microsoft Azure Backup Server (MABS) v3, que faz parte da oferta de Backup do Azure. O MABS depende da infraestrutura do Azure Stack Hub para recursos de computação, rede e armazenamento de curto prazo e usa o armazenamento baseado no Azure para servir como armazenamento de backup de longo prazo. Essa abordagem minimiza ou elimina a necessidade de manter mídia de backup física, como fitas.
Nota
O MABS é baseado no Microsoft System Center Data Protection Manager (DPM) e fornece funcionalidade semelhante com apenas algumas diferenças. No entanto, o DPM não é suportado para uso com o Azure Stack Hub.
Funcionalidade principal
A solução proposta oferece suporte à seguinte funcionalidade em VMs do Azure Stack Hub que executam o Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2 SP1 (64 bits com o Windows Management Framework 4.0), 2008 SP2 (64 bits com o Windows Management Framework 4.0) e Windows 10 (64 bits):
Backup e restauração de volumes, compartilhamentos, pastas, arquivos e estado do sistema de arquivos de nova tecnologia (NTFS) e sistema de arquivos resiliente (ReFS).
Backup e restauração de instâncias do SQL Server 2019, 2017, 2016 (com service packs (SPs) necessários) e 2014 (com SPs necessários) e seus bancos de dados.
Backup e restauração de servidores e bancos de dados Exchange Server 2019 e Exchange Server 2016, incluindo servidores autônomos e bancos de dados em um grupo de disponibilidade de banco de dados (DAG).
Restauração de caixas de correio individuais e bancos de dados de caixa de correio em um DAG.
Backup e restauração de farms do SharePoint 2019 e SharePoint 2016 (com os SPs mais recentes) e conteúdo do servidor Web front-end.
Restauração de bancos de dados, aplicativos Web, arquivos, itens de lista e componentes de pesquisa do SharePoint 2019 e do SharePoint 2016.
Nota
Para implantar sistemas operacionais cliente Windows 10 no Azure Stack Hub, você deve ter o licenciamento por usuário do Windows ou tê-lo comprado por meio de um Hoster Multilocatário Qualificado (QMTH).
O MABS implementa o esquema de backup de disco para disco para nuvem (D2D2C), com o backup primário armazenado localmente no servidor que hospeda a instalação do MABS. Os backups locais são copiados para um cofre do Azure Site Recovery. O disco local funciona como armazenamento de curto prazo, enquanto o cofre fornece armazenamento de longo prazo.
Nota
Ao contrário do DPM, o MABS não suporta backups em fita.
O processo de backup consiste nas seguintes quatro etapas:
- Instalar o agente de proteção MABS em um computador que você deseja proteger e adicioná-lo a um grupo de proteção.
- Você configura a proteção para o computador ou seu aplicativo, incluindo backup para discos locais MABS para armazenamento de curto prazo e para o Azure para armazenamento de longo prazo. Como parte da configuração, você especifica o agendamento de backup para ambos os tipos de backups.
- A carga de trabalho protegida faz backup para os discos MABS locais de acordo com a programação especificada.
- O backup local armazenado em discos MABS é copiado para o cofre dos Serviços de Recuperação do Azure pelo agente MARS executado no servidor MABS.
Pré-requisitos
A implementação da solução recomendada depende do cumprimento dos seguintes pré-requisitos:
Acesso a uma assinatura do Azure, com permissões suficientes para provisionar um cofre dos Serviços de Recuperação do Azure na região do Azure mais próxima de um datacenter local que hospeda a implantação do Azure Stack Hub.
Um domínio dos Serviços de Domínio Ative Directory (AD DS) acessível a partir de uma VM do Azure Stack Hub que hospedará uma instância do MABS.
Uma VM hospedada no Azure Stack Hub que executará uma instância do MABS, satisfazendo os pré-requisitos listados em Instalar o Servidor de Backup do Azure no Azure Stack e com conectividade de saída para URLs listadas no suporte de rede DPM/MABS.
Nota
Espaço em disco adicional e considerações de desempenho para MABS são descritas com mais detalhes mais adiante neste artigo.
Nota
Para validar se a VM que hospeda o MABS tem conectividade com o serviço de Backup do Azure, você pode usar o cmdlet Get-DPMCloudConnection (incluído no módulo PowerShell do Servidor de Backup do Azure).
Nota
O MABS também requer uma instância local do SQL Server. Para obter detalhes sobre os requisitos do SQL Server, consulte Instalar e atualizar o Servidor de Backup do Azure.
Tipos de dados
Do ponto de vista do MABS, há dois tipos de dados a considerar:
- Dados de arquivo são dados que normalmente residem em servidores de arquivos (como arquivos do Microsoft Office, arquivos de texto ou arquivos de mídia) e que precisam ser protegidos como arquivos simples.
- Dados de aplicativo são dados que existem em servidores de aplicativos (como grupos de armazenamento do Exchange, bancos de dados do SQL Server ou farms do SharePoint) e que exigem que o MABS esteja ciente dos requisitos de aplicativo correspondentes.
Nota
Como alternativa ao backup de dados de arquivo com MABS, é possível instalar o agente MABS diretamente em uma VM do Azure Stack Hub e fazer backup de seu sistema de arquivos local diretamente em um cofre dos Serviços de Recuperação do Azure. No entanto, ao contrário do MABS, essa abordagem não fornece gerenciamento centralizado e sempre depende do armazenamento baseado em nuvem para backups e restaurações.
Tipos de backup
Quer esteja a proteger dados de ficheiros ou de aplicações, a proteção começa com a criação de uma réplica da origem de dados no armazenamento local de uma instância do MABS. A réplica é sincronizada ou atualizada em intervalos regulares de acordo com as configurações que você definir. O método que o MABS usa para sincronizar a réplica depende do tipo de dados que estão sendo protegidos. Se uma réplica for identificada como inconsistente, o MABS executará uma verificação de consistência, que é uma verificação bloco a bloco da réplica em relação à fonte de dados.
Para um volume de arquivo ou compartilhamento em um servidor, após o backup completo inicial, o agente de proteção MABS usa um filtro de volume e um diário de alterações para determinar quais arquivos foram alterados. Em seguida, ele executa um procedimento de soma de verificação para esses arquivos para sincronizar apenas os blocos alterados. Durante a sincronização, essas alterações são transferidas para o MABS e, em seguida, aplicadas à réplica, sincronizando assim a réplica com a fonte de dados.
Se uma réplica se tornar inconsistente com sua fonte de dados, o MABS gerará um alerta que especifica qual computador e quais fontes de dados serão afetadas. Para resolver o problema, você pode reparar a réplica iniciando uma sincronização com verificação de consistência na réplica. Durante uma verificação de consistência, o MABS executa uma verificação bloco a bloco e repara a réplica para devolvê-la à consistência com a fonte de dados. Você pode agendar uma verificação de consistência diária para grupos de proteção ou iniciar uma verificação de consistência manualmente.
Em intervalos regulares que você pode configurar, o MABS cria um ponto de recuperação para a fonte de dados protegida. Um ponto de recuperação é uma versão dos dados que podem ser recuperados.
Para dados de aplicativos, depois que a réplica é criada pelo MABS, as alterações em blocos de volume que pertencem a arquivos de aplicativo são controladas pelo filtro de volume. Como as alterações são transferidas para o servidor MABS depende do aplicativo e do tipo de sincronização. A operação rotulada como sincronização no MABS Administrator Console é análoga a um backup incremental e cria um reflexo transacionalmente consistente e preciso dos dados do aplicativo quando combinado com a réplica.
Durante o tipo de sincronização rotulado como backup completo expresso no MABS Administrator Console, um instantâneo completo do VSS (Serviço de Cópias de Sombra de Volume) é criado, mas apenas os blocos alterados são transferidos para o servidor MABS.
Cada backup completo expresso cria um ponto de recuperação para os dados do aplicativo. Se o aplicativo oferecer suporte a backups incrementais, cada sincronização também criará um ponto de recuperação. O processo de sincronização depende do aplicativo:
- Para dados do Exchange, a sincronização transfere um instantâneo VSS incremental usando o gravador VSS do Exchange. Os pontos de recuperação são criados para cada sincronização e para cada backup completo expresso.
- Os bancos de dados do SQL Server enviados em log, no modo somente leitura ou que usam o modelo de recuperação simples não oferecem suporte ao backup incremental. Os pontos de recuperação são criados apenas para cada backup completo expresso. Para todos os outros bancos de dados do SQL Server, a sincronização transfere um backup de log de transações, com pontos de recuperação criados para cada sincronização incremental e backup completo expresso. O log de transações é um registro serial de todas as transações que foram executadas no banco de dados desde o último backup do log de transações.
- Os servidores do SharePoint não oferecem suporte ao backup incremental. Os pontos de recuperação são criados apenas para cada backup completo expresso.
As sincronizações incrementais exigem menos tempo do que o necessário para fazer um backup completo expresso. No entanto, o tempo necessário para recuperar dados aumenta à medida que o número de sincronizações aumenta. Isso ocorre porque o MABS deve restaurar o último backup completo e, em seguida, restaurar e aplicar todas as sincronizações incrementais até o ponto no tempo especificado para recuperação.
Para permitir um tempo de recuperação mais rápido, o MABS executa regularmente um backup completo expresso, que atualiza a réplica para incluir os blocos alterados. Durante o backup completo expresso, o MABS tira um instantâneo da réplica antes de atualizá-la usando os blocos alterados. Para habilitar RPOs mais frequentes e reduzir a janela de perda de dados, o MABS também executa sincronizações incrementais no tempo entre dois backups completos expressos.
Assim como acontece com a proteção de dados de arquivo, se uma réplica se tornar inconsistente com sua fonte de dados, o MABS gerará um alerta que especifica qual servidor e quais fontes de dados serão afetadas. Para resolver a inconsistência, você pode reparar a réplica iniciando uma sincronização com verificação de consistência na réplica. Durante uma verificação de consistência, o MABS executa uma verificação bloco a bloco da réplica e a repara para trazê-la de volta à consistência com as fontes de dados. Você pode agendar uma verificação de consistência diária para grupos de proteção ou iniciar uma verificação de consistência manualmente.
Políticas de proteção
Um computador ou sua carga de trabalho fica protegido quando você instala o software do agente de proteção MABS no computador e adiciona os dados do computador ou sua carga de trabalho a um grupo de proteção. Os grupos de proteção são usados para configurar e gerenciar a proteção de fontes de dados em computadores. Um grupo de proteção é uma coleção de fontes de dados que compartilham a mesma configuração de proteção. A configuração de proteção é a coleção de configurações comuns a um grupo de proteção, como o nome do grupo de proteção, a política de proteção, as alocações de armazenamento e o método de criação de réplica.
O MABS armazena uma réplica separada de cada membro do grupo de proteção no pool de armazenamento. Um membro do grupo de proteção pode conter fontes de dados como:
- Um volume, compartilhamento ou pasta em um servidor de arquivos ou cluster de servidores.
- Um grupo de armazenamento de um servidor Exchange ou cluster de servidores.
- Um banco de dados de uma instância do SQL Server ou cluster de servidores.
Para cada grupo de proteção, você configura uma política de proteção baseada em suas metas de recuperação para esse grupo de proteção. As metas de recuperação representam requisitos de proteção de dados que correspondem aos RTOs e RPOs da sua organização. Dentro do MABS, eles são definidos com base em uma combinação dos seguintes parâmetros:
Intervalo de retenção de curto prazo. Isso determina por quanto tempo você deseja reter os dados de backup no armazenamento MABS local.
Sincronização e freqüências de ponto de recuperação. Isso corresponde diretamente à tolerância à perda de dados, que, por sua vez, reflete os RPOs da sua organização. Ele também determina com que frequência o MABS deve sincronizar suas réplicas locais com fontes de dados protegidas coletando suas alterações de dados. Você pode definir a frequência de sincronização para qualquer intervalo entre 15 minutos e 24 horas. Você também pode optar por sincronizar imediatamente antes de um ponto de recuperação ser criado, em vez de em um cronograma especificado.
Cronograma de pontos de recuperação de curto prazo. Isso estabelece quantos pontos de recuperação devem ser criados no armazenamento local para o grupo de proteção. Para proteção de arquivos, selecione os dias e horários para os quais deseja que os pontos de recuperação sejam criados. Para proteção de dados de aplicativos que oferecem suporte a backups incrementais, a frequência de sincronização determina o agendamento do ponto de recuperação.
Expresse o agendamento de backup completo. Este é o cronograma de ponto de recuperação para proteção de dados de aplicativos que não oferecem suporte a backups incrementais e oferecem suporte a backups completos expressos.
Agendamento de backup on-line. Isso determina a frequência de criação de uma cópia de backups locais no cofre dos Serviços de Recuperação do Azure associado à instância MABS local. Você pode agendar diariamente, semanalmente, mensalmente ou anualmente, com frequência máxima permitida de dois backups por dia. O MABS cria automaticamente um ponto de recuperação para backups online usando a réplica local mais recente, sem transferir novos dados da fonte de dados protegida.
Nota
Um cofre dos Serviços de Recuperação suporta até 9.999 pontos de recuperação.
Política de retenção online. Isso especifica o período de tempo durante o qual os backups diários, semanais, mensais e anuais são mantidos no cofre do Azure Site Recovery associado à instância MABS local.
Nota
Para proteger o conteúdo mais recente da fonte de dados online, crie um novo ponto de recuperação no disco local antes de criar um ponto de recuperação online.
Nota
Por padrão, o cofre dos Serviços de Recuperação do Azure é redundante geograficamente, o que significa que qualquer backup copiado para seu armazenamento é replicado automaticamente para uma região do Azure que faz parte de um par de regiões predefinido. Você pode alterar as configurações de replicação para redundantes localmente se isso for suficiente para suas necessidades de resiliência e se precisar minimizar os custos de armazenamento. No entanto, você deve considerar manter a configuração padrão. Esta opção não pode ser alterada se o cofre contiver itens protegidos.
Nota
Para obter a listagem de pares de regiões do Azure, consulte Business continuity and disaster recovery (BCDR): Azure Paired Regions.
Restaurações de testes
Além de uma estratégia de backup otimizada projetada e implementada, é igualmente importante definir, documentar e testar o processo de restauração para cada tipo de carga de trabalho protegida. Embora o MABS forneça verificações de consistência internas que verificam automaticamente a integridade dos backups de dados, os testes de restaurações devem fazer parte dos procedimentos operacionais de rotina. O teste valida uma restauração examinando o estado das cargas de trabalho restauradas. Os resultados dos testes devem estar disponíveis para os proprietários da carga de trabalho.
Em geral, o teste de restaurações tende a ser desafiador porque requer um ambiente que se assemelha muito àquele que hospeda as cargas de trabalho protegidas. O Azure Stack Hub, com seu DevOps interno e infraestrutura como recursos de código, simplifica muito a abordagem desse desafio.
Funções e responsabilidades
O planejamento e a implementação de backup e restauração de cargas de trabalho baseadas no Azure Stack Hub normalmente envolvem a interação entre muitas partes interessadas:
- Operadores do Azure Stack Hub. Os operadores do Azure Stack Hub gerenciam a infraestrutura do Azure Stack Hub, garantindo que haja recursos de computação, armazenamento e rede suficientes para implementar uma solução abrangente de backup e restauração e disponibilizar esses recursos para os locatários. Eles também colaboram com proprietários de aplicativos e dados para ajudar a determinar a abordagem ideal para implantar suas cargas de trabalho no Azure Stack Hub.
- Administradores do Azure. Os administradores do Azure gerenciam os recursos do Azure necessários para implementar soluções de backup híbridas.
- Administradores do Microsoft Entra. Os administradores do Microsoft Entra gerenciam recursos do Microsoft Entra, incluindo objetos de usuário e grupo usados para provisionar, configurar e gerenciar recursos do Azure.
- Equipe de TI do locatário do Azure Stack Hub. Essas partes interessadas projetam, implementam e gerenciam MABS, incluindo os backups e restaurações do MABS.
- Usuários do Azure Stack Hub. Esses usuários fornecem requisitos de RPO e RTO e enviam solicitações para fazer backup e restaurar dados e aplicativos.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.
O Azure Stack Hub ajuda a aumentar a disponibilidade da carga de trabalho devido à resiliência inerente à sua infraestrutura. Você pode aumentar ainda mais a disponibilidade projetando e implementando soluções que ampliam o escopo da proteção da carga de trabalho. Esta é a mais-valia que o MABS proporciona. No contexto do MABS executado no Azure Stack Hub, há dois aspetos da disponibilidade que precisam ser explorados com mais detalhes:
- A disponibilidade do MABS e seus armazenamentos de dados
- A disponibilidade do recurso de restauração point-in-time de cargas de trabalho protegidas por MABS;
Você precisa considerar ambos ao desenvolver uma estratégia de backup orientada por RPOs (Recovery Point Objetives, objetivos de ponto de recuperação) e RTOs (Recovery Time Objetives, objetivos de tempo de recuperação). RTO e RPO representam requisitos de continuidade que são estipulados por funções de negócios dentro de uma organização. O RPO designa um período de tempo que representa a perda de dados máxima aceitável devido a um incidente que torna os dados indisponíveis por um tempo. O RTO designa a duração máxima aceitável de tempo que pode levar para restabelecer o acesso às funções de negócios após um incidente que torna as funções indisponíveis.
Nota
Para atender aos requisitos de RTO para cargas de trabalho do Azure Stack Hub, você deve levar em conta a recuperação da infraestrutura do Azure Stack, VMs de usuário, aplicativos e dados do usuário. Neste artigo, consideramos apenas os dois últimos deles, aplicativos e dados do usuário, embora também apresentemos considerações sobre a disponibilidade da funcionalidade Modern Backup Storage (MBS).
A disponibilidade do MABS e seus armazenamentos de dados depende da disponibilidade da VM que hospeda a instalação do MABS e seu armazenamento local e baseado em nuvem. As VMs do Azure Stack Hub são altamente disponíveis por design. Se houver uma falha do MABS, você terá a capacidade de restaurar itens protegidos pelo Backup do Azure de qualquer outra VM do Azure Stack Hub que hospede MABS. Observe, no entanto, que para um servidor que hospeda MABS recuperar backups que foram feitos usando MABS que é executado em outro servidor, ambos os servidores devem ser registrados com o mesmo cofre do Azure Site Recovery.
Nota
Em geral, você pode implantar outra instância do MABS e configurá-la para fazer backup da implantação principal do MABS. Isso é semelhante às configurações de proteção primária para secundária, encadeamento e proteção cíclica que estão disponíveis quando você usa o DPM. No entanto, essa abordagem não é suportada para MABS e não produz vantagens significativas de disponibilidade no cenário descrito neste artigo.
A capacidade de restauração point-in-time de cargas de trabalho protegidas por MABS, depende em grande medida do tipo de dados, seus backups e suas políticas de proteção. Para entender essas dependências, é necessário explorar esses conceitos mais detalhadamente.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
O gerenciamento de dados e aplicativos do usuário em cenários híbridos justifica considerações adicionais de segurança. Essas considerações podem ser agrupadas nas seguintes categorias:
- Encriptação de cópias de segurança
- Proteção do cofre dos Serviços de Recuperação do Azure
O MABS e o Backup do Azure impõem a criptografia de backups em repouso e em trânsito:
- Encriptação em repouso. Durante a instalação do MABS, o usuário fornece uma senha. Essa senha é usada para criptografar todos os backups antes que eles sejam carregados em um cofre dos Serviços de Recuperação do Azure. A desencriptação ocorre apenas depois de as cópias de segurança serem descarregadas desse cofre. A senha está disponível apenas para o usuário que a criou e para o agente MARS instalado localmente. É fundamental garantir que a senha seja armazenada em um local seguro, pois ela serve como mecanismo de autorização ao executar restaurações baseadas em nuvem em um servidor MABS diferente daquele onde os backups ocorreram.
- Encriptação em trânsito. O MABS v3 depende do protocolo TLS (Transport Layer Security) versão 1.2 para proteger suas conexões com o Azure.
O cofre dos Serviços de Recuperação do Azure oferece mecanismos que protegem ainda mais os backups online, incluindo:
- Controlo de acesso baseado em funções do Azure (RBAC do Azure). O RBAC do Azure permite delegar e segregar responsabilidades de acordo com o princípio de menor privilégio. Há três funções internas relacionadas ao Backup do Azure que restringem o acesso às operações de gerenciamento de backup:
- Contribuidor de backup. Fornece acesso para criar e gerenciar backups, exceto para excluir o cofre dos Serviços de Recuperação e delegar acesso a outras pessoas.
- Operador de backup. Fornece acesso equivalente ao do Colaborador de Backup, exceto para remover backups e gerenciar políticas de backup.
- Leitor de backup. Fornece acesso para monitorar as operações de gerenciamento de backup.
- Azure Resource Locks. Você pode criar e atribuir bloqueios somente leitura e excluir a um cofre do Azure Site Recovery para reduzir o risco de o cofre ser acidental ou mal-intencionado alterado ou excluído.
- Eliminação recuperável. A exclusão suave ajuda a proteger os dados do cofre e do backup contra exclusões acidentais ou maliciosas. Com a exclusão suave, se um usuário excluir um item de backup, os dados correspondentes são retidos por 14 dias, permitindo sua recuperação sem perda de dados durante esse período. A retenção de 14 dias de dados de backup no estado de exclusão suave não incorre em nenhum custo. A exclusão suave está habilitada por padrão.
- Proteção de operações sensíveis em termos de segurança. O cofre dos Serviços de Recuperação do Azure implementa automaticamente outra camada de autenticação sempre que uma operação sensível à segurança, como alterar uma frase secreta, é tentada. Essa validação extra ajuda a garantir que apenas usuários autorizados façam essas operações.
- Monitoramento e alertas de atividades suspeitas. O Backup do Azure fornece monitoramento e alerta internos de eventos sensíveis à segurança relacionados às operações do Backup do Azure. Os relatórios de backup facilitam o rastreamento de uso, a auditoria de backups e restaurações e a identificação das principais tendências de backup.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.
Ao considerar o custo da solução de backup descrita neste artigo, lembre-se de levar em conta os componentes locais e baseados em nuvem. O preço dos componentes locais é determinado pelo modelo de preços do Azure Stack Hub. Tal como acontece com o Azure, o Azure Stack Hub oferece um acordo de pagamento conforme a utilização que está disponível através de contratos empresariais e do programa Fornecedor de Soluções na Nuvem. Essa disposição inclui um preço mensal por VM do Windows Server. Se você puder usar licenças existentes do Windows Server, poderá reduzir significativamente esse custo até o preço base da VM. O MABS depende do SQL Server como seu armazenamento de dados, mas não há custo de licenciamento associado à execução dessa instância do SQL Server se ela for usada apenas para MABS.
Há cobranças relacionadas ao Azure pelo uso dos seguintes recursos:
- Backup do Azure. O preço do Backup do Azure é amplamente determinado pelo número de cargas de trabalho protegidas e pelo tamanho dos backups de dados (antes da compactação e da criptografia) para cada um. O custo também é afetado pela escolha entre armazenamento com redundância local (LRS) e armazenamento com redundância geográfica (GRS) para a replicação do conteúdo do cofre dos Serviços de Recuperação do Azure. Para obter detalhes, consulte Preços do Backup do Azure.
- Azure ExpressRoute. O preço do Azure ExpressRoute baseia-se num de dois modelos:
- Dados ilimitados. Esta é uma taxa mensal com todas as transferências de dados de entrada e saída incluídas.
- Dados limitados. Esta é uma taxa mensal com todas as transferências de dados de entrada gratuitas e transferências de dados de saída cobradas por gigabyte.
- Azure Import/Exportar. O custo da Importação/Exportação do Azure inclui uma taxa fixa por dispositivo para o tratamento de dispositivos.
- Armazenamento do Azure. Quando você usa o Azure Import/Export, aplicam-se taxas padrão de Armazenamento do Azure e taxas de transação.
Sem a Rota Expressa, talvez seja necessário levar em conta o aumento do uso de largura de banda de suas conexões com a Internet para backups e restaurações. O custo variará dependendo de muitos fatores, incluindo a área geográfica, o uso atual da largura de banda e o provedor de serviços de Internet.
Excelência operacional
A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.
Capacidade de gestão
Um dos principais fatores que afetam sua estratégia de backup e restauração é a configuração dos grupos de proteção e os critérios usados para decidir quais cargas de trabalho protegidas devem pertencer aos mesmos grupos protegidos. Conforme descrito anteriormente neste artigo, um grupo de proteção é uma coleção de fontes de dados, como volumes, compartilhamentos ou armazenamentos de dados de aplicativos que têm configurações comuns de backup e restauração. Ao definir um grupo de proteção, você precisa especificar:
- Fontes de dados, como servidores e cargas de trabalho que você deseja proteger.
- Armazenamento de backup, incluindo configurações de proteção de curto e longo prazo.
- Pontos de recuperação, que são pontos no tempo a partir dos quais os dados de backup podem ser recuperados.
- Espaço em disco alocado, que é a quantidade de espaço em disco do pool de armazenamento alocado para backups.
- Replicação inicial, que é o método usado para o backup inicial de fontes de dados. O método pode ser uma transferência online (através de uma rede) ou uma transferência offline (como através do serviço de Importação/Exportação do Azure).
- O método de verificação de consistência, que é o método de verificação da integridade dos backups de dados.
Os seguintes métodos são frequentemente usados para decidir quais cargas de trabalho protegidas devem pertencer aos mesmos grupos protegidos:
- Por computador. Esse método combina todas as fontes de dados de um computador no mesmo grupo de proteção.
- Por carga de trabalho. Esse método separa arquivos e cada tipo de dados de aplicativo em diferentes grupos de proteção. No entanto, a recuperação de um servidor que hospeda várias cargas de trabalho pode exigir várias restaurações de diferentes grupos de proteção.
- Por RPO e RTO. Esse método agrupa fontes de dados com RPOs semelhantes. Você controla o RPO definindo a frequência de sincronização para o grupo de proteção, que determina a quantidade de perda potencial de dados (medida no tempo) durante interrupções inesperadas. No cenário descrito neste artigo, você controla o RTO definindo o período de retenção dentro do armazenamento de curto prazo. Isso determina o período durante o qual os backups podem ser restaurados a partir do armazenamento local de curto prazo, em vez do armazenamento de longo prazo baseado em nuvem. O backup a partir do armazenamento local de curto prazo resulta em uma restauração mais rápida.
- Por características dos dados. Esse método leva em conta a frequência das alterações de dados, a taxa de crescimento de dados ou seus requisitos de armazenamento como critérios para agrupamentos.
Ao nomear grupos de proteção, use nomes exclusivos e significativos. Um nome pode ser qualquer combinação de caracteres alfanuméricos e espaços de até 64 caracteres.
Ao criar um grupo de proteção, você escolhe um método para criar a réplica inicial. A replicação inicial copia todos os dados selecionados para proteção para o servidor que hospeda MABS, e os copia para o cofre do Azure Site Recovery. Ambas as cópias são verificadas quanto à sua consistência. O MABS pode criar réplicas automaticamente pela rede, mas você pode criar réplicas manualmente fazendo backup, transferindo e restaurando dados offline.
Para obter informações sobre como escolher o método de criação de réplica, consulte Replicação inicial pela rede. O artigo tem uma tabela que fornece estimativas de quanto tempo o MABS leva para criar uma réplica automaticamente pela rede para vários tamanhos de dados protegidos e velocidades de rede.
O processo de propagação offline dá suporte ao uso do serviço de Importação/Exportação do Azure, que pode transferir dados para uma conta de Armazenamento do Azure usando discos SATA. Esse recurso pode ser usado quando o backup online é muito lento devido à quantidade de dados de backup ou à velocidade da conexão de rede com o Azure.
O fluxo de trabalho de propagação offline tem as seguintes etapas:
- Copie os dados de backup iniciais para um ou mais discos SATA usando a ferramenta AzureOfflineBackupDiskPrep.
- A ferramenta gera automaticamente um trabalho de Importação do Azure e um aplicativo Microsoft Entra na assinatura que hospeda a conta de Armazenamento do Azure de destino e o cofre dos Serviços de Recuperação do Azure. O aplicativo fornece ao Backup do Azure acesso seguro e com escopo ao Serviço de Importação do Azure, conforme exigido pelo processo de propagação offline.
- Você envia os discos para o datacenter do Azure que hospeda a conta de Armazenamento do Azure de destino.
- A equipe do datacenter do Azure copia dados dos discos para a conta de Armazenamento do Azure.
- O fluxo de trabalho dispara uma cópia da conta de Armazenamento do Azure para o cofre dos Serviços de Recuperação do Azure.
DevOps
Embora o backup e a restauração sejam considerados parte das operações de TI, há algumas considerações específicas de DevOps que merecem ser incorporadas em uma estratégia de backup abrangente. O Azure Stack Hub facilita a implantação automatizada de várias cargas de trabalho, incluindo aplicativos e serviços baseados em VM. Você pode usar esse recurso para simplificar a implantação do MABS em VMs do Azure Stack Hub, o que simplifica a configuração inicial em cenários multilocatário. Ao combinar modelos do Azure Resource Manager, extensões de VM e o módulo PowerShell do DPM, é possível automatizar a configuração do MABS, incluindo a configuração de seus grupos de proteção, configurações de retenção e agendamentos de backup. No espírito das práticas recomendadas de DevOps, você deve armazenar modelos e scripts em um recurso de controle de origem e configurar sua implantação usando pipelines. Essas práticas ajudam a minimizar o tempo de recuperação nos casos em que a infraestrutura necessária para restaurar dados de arquivos e aplicativos precisa ser recriada.
Eficiência de desempenho
Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.
Ao planejar implantar o MABS no Azure Stack Hub, você precisa considerar a quantidade de recursos de processamento, armazenamento e rede alocados para as VMs que hospedam a implantação. A Microsoft recomenda alocar uma CPU quad-core de 2,33 gigahertz (GHz) para satisfazer as necessidades de processamento MABS e cerca de 10 GB de espaço em disco para acomodar os binários de instalação. Outros requisitos de armazenamento podem ser categorizados da seguinte forma:
Espaço em disco para backups. A recomendação geral para espaço em disco de backup é alocar um pool de armazenamento de espaço em disco equivalente a cerca de 1,5 vezes o tamanho de todos os dados cujo backup deve ser feito. Depois que os discos são conectados à VM, o MABS gerencia o gerenciamento de volume e espaço em disco. O número de discos que você pode anexar a uma VM depende de seu tamanho.
Nota
Você não deve armazenar backups localmente por mais de cinco dias. Os backups com mais de cinco dias devem ser descarregados para o cofre do Azure Site Recovery.
Espaço em disco para o local de cache do agente MARS. Considere o uso da unidade C na VM que hospeda a instalação do MABS.
Espaço em disco para a área de preparo local durante as restaurações. Considere usar a unidade temporária D na VM que hospeda a instalação do MABS.
Para provisionar armazenamento para a VM que hospeda a instalação do MABS, use discos gerenciados na camada de desempenho Premium. As características de desempenho esperadas são 2.300 operações de E/S por segundo (IOPS) e 145 MB/s por disco. Ao contrário do Azure, não há garantias de desempenho para o Azure Stack Hub.
Para obter uma estimativa mais precisa do armazenamento necessário para acomodar backups de carga de trabalho baseados no Azure Stack Hub, considere usar a Calculadora de Tamanho de VM do Azure Stack para MABS, que está disponível em Downloads da Microsoft. A calculadora é implementada como uma pasta de trabalho do Microsoft Excel que tem macros que derivam informações de dimensionamento ideais do Azure Stack Hub baseadas em vários parâmetros fornecidos. Estes parâmetros incluem:
- Detalhes de origem que incluem uma lista das VMs a serem protegidas, incluindo para cada uma:
- O tamanho dos dados protegidos
- O tipo de carga de trabalho (Windows Server, SharePoint ou SQL Server)
- Intervalo de retenção de dados, em dias
Cada tipo de carga de trabalho está, por padrão, associado a uma taxa diária predefinida de alterações (ou rotatividade). Você pode ajustar esses valores se eles não refletirem os padrões de uso em seu ambiente.
A Calculadora de Tamanho de VM do Azure Stack para MABS usa as informações especificadas para fornecer:
- Um tamanho estimado da VM do Azure Stack Hub que hospeda a instalação do MABS.
- Uma quantidade estimada de espaço em disco MABS necessária para hospedar dados de backup.
- Um número total de discos de 1 terabyte (TB) cada.
- A taxa de IOPS disponível para uso de MABS.
- Um tempo estimado para concluir o backup inicial. A estimativa é baseada no tamanho total dos dados protegidos e nas IOPS disponíveis para uso do MABS.
- Um tempo estimado para concluir backups diários. A estimativa é baseada no tamanho total da rotatividade diária e no IOPS disponível para uso do MABS.
Nota
A Calculadora de Tamanho de VM do Azure Stack para MABS foi lançada em abril de 2018, o que significa que não leva em conta as otimizações incorporadas ao MABS v3 (incluindo as incluídas no UR1). No entanto, ele inclui aprimoramentos específicos do MBS, que foi introduzido no MABS v2 lançado em junho de 2017.
Se você criar um grupo de proteção usando a interface gráfica do MABS, sempre que adicionar uma fonte de dados a um grupo de proteção, o MABS calculará a alocação de espaço em disco local com base nas metas de recuperação de curto prazo especificadas. Em seguida, você pode decidir quanto espaço alocar no pool de armazenamento para réplicas e pontos de recuperação para cada fonte de dados no grupo. Você precisa garantir que haja espaço suficiente nos discos locais dos servidores protegidos para o diário de alterações. O MABS fornece alocações de espaço padrão para os membros do grupo de proteção. Para obter detalhes sobre as alocações de espaço padrão para diferentes componentes do MABS, consulte a documentação Implantar grupos de proteção.
Considere usar as alocações de espaço padrão, a menos que você saiba que elas não atendem às suas necessidades. Substituir as alocações padrão pode resultar na alocação de muito pouco ou muito espaço. A alocação de muito pouco espaço para os pontos de recuperação pode impedir que o MABS armazene pontos de recuperação suficientes para atender aos objetivos do intervalo de retenção. A alocação de muito espaço desperdiça a capacidade do disco. Depois de criar um grupo de proteção, se você tiver alocado muito pouco espaço para uma fonte de dados, poderá aumentar as alocações para os volumes de réplica e ponto de recuperação para cada fonte de dados. Se você alocou muito espaço para o grupo de proteção, poderá remover a fonte de dados do grupo de proteção e excluir a réplica. Em seguida, adicione a fonte de dados ao grupo de proteção com alocações menores.
Após a implantação, se você precisar ajustar o dimensionamento estimado das VMs do Azure Stack Hub que hospedam MABS para acomodar alterações nos requisitos de processamento ou armazenamento, você tem três opções:
- Implemente o dimensionamento vertical. Isso requer que você modifique a quantidade e o tipo de processador, memória e recursos de disco das VMs do Azure Stack Hub que hospedam MABS.
- Implemente o dimensionamento horizontal. Isso requer o provisionamento ou desprovisionamento das VMs do Azure Stack Hub que têm MABS instalado para corresponder às demandas de processamento das cargas de trabalho protegidas.
- Modifique as políticas de proteção. Isso requer a alteração dos parâmetros das políticas de proteção, incluindo intervalo de retenção, agendamento de ponto de recuperação e agendamento de backup completo expresso.
Nota
O MABS está sujeito a limites em relação ao número de pontos de recuperação, backups completos expressos e backups incrementais. Para obter detalhes sobre esses limites, consulte Processo de recuperação.
Se você optar por aumentar os volumes automaticamente, o MABS contabilizará o aumento do volume de backup à medida que os dados de produção crescem. Caso contrário, o MABS limita o armazenamento de backup ao tamanho das fontes de dados no grupo de proteção.
Existem duas opções principais para ajustar a largura de banda disponível:
- Aumente o tamanho da VM. Para VMs do Azure Stack Hub, o tamanho determina a largura de banda máxima da rede. No entanto, não há garantias de largura de banda. Em vez disso, as VMs podem usar a quantidade de largura de banda disponível até o limite determinado pelo seu tamanho.
- Aumente a taxa de transferência dos switches de uplink. Os sistemas do Azure Stack Hub suportam uma variedade de comutadores de hardware que oferecem várias opções de velocidades de uplink. Cada nó de cluster do Azure Stack Hub tem dois uplinks para os switches top-of-rack para tolerância a falhas. O sistema aloca metade da capacidade de uplink para infraestrutura crítica e o restante é capacidade compartilhada para serviços do Azure Stack e todo o tráfego de usuários. Os sistemas implantados com velocidades mais rápidas têm mais largura de banda disponível para o tráfego de backup.
Embora seja possível segregar o tráfego de rede anexando um segundo adaptador de rede a um servidor, todo o tráfego de VM do Azure Stack Hub à Internet compartilha o mesmo uplink. Um segundo adaptador de rede virtual não segrega o tráfego no nível de transporte físico.
Para acomodar tamanhos de backup maiores, você pode considerar usar o Azure ExpressRoute com o emparelhamento da Microsoft para se conectar entre as redes virtuais do Azure Stack Hub e o cofre dos Serviços de Recuperação do Azure. O Azure ExpressRoute estende as redes locais para a nuvem da Microsoft através de uma ligação privada fornecida por um fornecedor de conectividade. Você pode comprar circuitos ExpressRoute para uma ampla gama de larguras de banda, de 50 Mbps a 10 Gbps.
Nota
Para obter detalhes sobre como implementar o Azure ExpressRoute em cenários do Azure Stack Hub, consulte Conectar o Azure Stack Hub ao Azure usando o Azure ExpressRoute.
Nota
O MABS v3 usa aprimoramentos integrados ao MBS e otimiza o uso da rede e do armazenamento transferindo apenas dados alterados durante as verificações de consistência.
Resumo
O Azure Stack Hub é uma oferta exclusiva que difere em muitos aspetos de outras plataformas de virtualização. Como tal, merece uma consideração especial no que diz respeito às estratégias de continuidade de negócios para cargas de trabalho executadas em suas VMs. Usar os serviços do Azure simplifica o design e a estratégia de implementação. Neste artigo, exploramos o uso do MABS para fazer backup de dados de arquivos e aplicativos em VMs do Azure Stack Hub no modelo de implantação conectado. Essa abordagem permite que os clientes se beneficiem da resiliência e da capacidade de gerenciamento do Azure Stack Hub, bem como da hiperescala e da presença global da nuvem do Azure.
A solução de backup descrita aqui se concentra exclusivamente em dados de arquivos e aplicativos em VMs do Azure Stack Hub. Isso é apenas uma parte de uma estratégia geral de continuidade de negócios que deve levar em conta vários outros cenários que afetam a disponibilidade da carga de trabalho. Alguns exemplos são: falhas localizadas de hardware e software, interrupções do sistema, eventos catastróficos e desastres em grande escala.
Próximos passos
- Guias de instruções - Contas de armazenamento de backup no Azure Stack
- Guias de instruções - Backup de VMs no Azure Stack Hub usando o Commvault
- Backup de cargas de trabalho na nuvem e no local para a nuvem
- Instalar o Servidor de Backup do Azure
- Backup de arquivos e aplicativos no Azure Stack
- Backup de um farm do SharePoint no Azure Stack
- Backup de um SQL Server no Azure Stack
Recursos relacionados
Orientações híbridas relacionadas:
- Design de arquitetura híbrida
- Opções híbridas do Azure
- Considerações de design de aplicativo híbrido
Arquiteturas relacionadas: