Fazer backup de uma máquina virtual no Azure com a CLI do Azure

  • Artigo

A CLI do Azure é utilizada para criar e gerir recursos do Azure a partir da linha de comandos ou em scripts. Pode criar cópias de segurança em intervalos regulares para manter os seus dados protegidos. O Azure Backup cria pontos de recuperação que podem ser armazenados em cofres de recuperação georredundantes. Este artigo mostra em detalhe como criar cópias de segurança de máquinas virtuais (VMs) no Azure com a CLI do Azure. Também pode realizar estes passos com o Azure PowerShell ou no portal do Azure.

Este início rápido ativa a cópia de segurança numa VM do Azure existente. Se tiver de criar uma nova, pode criá-la com a CLI do Azure.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

  • Este início rápido requer a versão 2.0.18 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação é um contentor lógico que armazena os dados da cópia de segurança de todos os recursos protegidos, como as VMs do Azure. Quando a tarefa de cópia de segurança de um recurso protegido é executada, cria um ponto de recuperação dentro do cofre dos Serviços de Recuperação. Em seguida, pode utilizar um destes pontos de recuperação para restaurar dados para um determinado ponto no tempo.

Crie um cofre dos Serviços de Recuperação com az backup vault create. Especifique o mesmo grupo de recursos e a mesma localização da VM que quer proteger. Se utilizou o início rápido da VM, então criou:

  • um grupo de recursos com o nome myResourceGroup,
  • uma VM com o nome myVM,
  • recursos na localização eastus.
az backup vault create --resource-group myResourceGroup \
    --name myRecoveryServicesVault \
    --location eastus

Por predefinição, o cofre dos Serviços de Recuperação está definido para Armazenamento georredundante. O armazenamento com redundância geográfica garante que seus dados de backup sejam replicados para uma região secundária do Azure que esteja a centenas de quilômetros de distância da região primária. Se a configuração de redundância de armazenamento precisar ser modificada, use az backup vault backup-properties set cmdlet.

az backup vault backup-properties set \
    --name myRecoveryServicesVault  \
    --resource-group myResourceGroup \
    --backup-storage-redundancy "LocallyRedundant/GeoRedundant"

Ativar a cópia de segurança em VMs do Azure

Crie uma política de proteção para definir: quando é executada uma tarefa de cópia de segurança e durante quanto tempo os pontos de recuperação são armazenados. A política de proteção predefinida executa uma tarefa de cópia de segurança todos os dias e mantém os pontos de recuperação durante 30 dias. Pode utilizar estes valores da política predefinida para proteger rapidamente a sua VM. Para ativar a proteção da cópia de segurança de uma VM, utilize az backup protection enable-for-vm. Especifique o grupo de recursos e a VM a proteger e, em seguida, a política a utilizar:

az backup protection enable-for-vm \
    --resource-group myResourceGroup \
    --vault-name myRecoveryServicesVault \
    --vm myVM \
    --policy-name DefaultPolicy

Nota

Se a VM não estiver no mesmo grupo de recursos do vault, myResourceGroup se refere ao grupo de recursos onde o vault foi criado. Em vez do nome da VM, forneça o ID da VM, conforme indicado abaixo.

az backup protection enable-for-vm \
    --resource-group myResourceGroup \
    --vault-name myRecoveryServicesVault \
    --vm $(az vm show -g VMResourceGroup -n MyVm --query id | tr -d '"') \
    --policy-name DefaultPolicy

Importante

Ao usar a CLI para habilitar o backup de várias VMs ao mesmo tempo, certifique-se de que uma única política não tenha mais de 100 VMs associadas a ela. Esta é uma prática recomendada. Atualmente, o cliente PowerShell não bloqueia explicitamente se houver mais de 100 VMs, mas a verificação está planejada para ser adicionada no futuro.

Pré-requisitos para fazer backup de VMs criptografadas

Para habilitar a proteção em VMs criptografadas (criptografadas usando BEK e KEK), você deve fornecer a permissão do serviço Backup do Azure para ler chaves e segredos do cofre de chaves. Para fazer isso, defina uma política de acesso keyvault com as permissões necessárias, conforme demonstrado abaixo:

# Enter the name of the resource group where the key vault is located on this variable
AZ_KEYVAULT_RGROUP=TestKeyVaultRG

# Enter the name of the key vault on this variable
AZ_KEYVAULT_NAME=TestKeyVault

# Get the object id for the Backup Management Service on your subscription
AZ_ABM_OBJECT_ID=$( az ad sp list --display-name "Backup Management Service" --query '[].objectId' -o tsv --only-show-errors )

# This command will grant the permissions required by the Backup Management Service to access the key vault
az keyvault set-policy --key-permissions get list backup --secret-permissions get list backup \
  --resource-group $AZ_KEYVAULT_RGROUP --name $AZ_KEYVAULT_NAME --object-id $AZ_ABM_OBJECT_ID

Iniciar uma tarefa de cópia de segurança

Para iniciar uma cópia de segurança agora em vez de aguardar até que a política predefinida execute a tarefa na hora agendada, utilize az backup protection backup-now. Esta primeira tarefa de cópia de segurança cria um ponto de recuperação completo. Todas as tarefas de cópia de segurança que se seguem a esta cópia de segurança inicial criam pontos de recuperação incrementais. Os pontos de recuperação incrementais são eficientes em termos de armazenamento e tempo, uma vez que só transferem as alterações feitas desde a última cópia de segurança.

Os parâmetros seguintes são utilizados para criar a cópia de segurança da VM:

  • --container-name é o nome da VM
  • --item-name é o nome da VM
  • O valor --retain-until deve ser definido como a última data disponível, no formato de data em UTC (dd-mm-aaaa), até à qual pretende que o ponto de recuperação esteja disponível.

O exemplo seguinte cria uma cópia de segurança da VM com o nome myVM e define a expiração do ponto de recuperação como 18 de outubro de 2017:

az backup protection backup-now \
    --resource-group myResourceGroup \
    --vault-name myRecoveryServicesVault \
    --container-name myVM \
    --item-name myVM \
    --backup-management-type AzureIaaSVM
    --retain-until 18-10-2017

Monitorizar a tarefa de cópia de segurança

Para monitorizar o estado das tarefas de criação de cópias de segurança, utilize az backup job list:

az backup job list \
    --resource-group myResourceGroup \
    --vault-name myRecoveryServicesVault \
    --output table

A saída é semelhante ao exemplo seguinte, o qual mostra que a tarefa de criação da cópia de segurança está InProgress (Em curso):

Name      Operation        Status      Item Name    Start Time UTC       Duration
--------  ---------------  ----------  -----------  -------------------  --------------
a0a8e5e6  Backup           InProgress  myvm         2017-09-19T03:09:21  0:00:48.718366
fe5d0414  ConfigureBackup  Completed   myvm         2017-09-19T03:03:57  0:00:31.191807

Quando o Estado da tarefa de cópia de segurança mostrar Concluído, a VM estará protegida com os Serviços de Recuperação e tem armazenado um ponto de recuperação completo.

Limpar a implementação

Quando já não precisar, pode desativar a proteção na VM, remover os pontos de restauro e o cofre dos Serviços de Recuperação e, em seguida, eliminar o grupo de recursos e os recursos da VM associados. Se tiver utilizado uma VM já existente, pode ignorar o último comando az group delete para manter o grupo de recursos e a VM.

Se pretender experimentar um tutorial de Cópia de Segurança que explica como restaurar dados para a VM, aceda a Passos seguintes.

az backup protection disable \
    --resource-group myResourceGroup \
    --vault-name myRecoveryServicesVault \
    --container-name myVM \
    --item-name myVM \
    --backup-management-type AzureIaaSVM
    --delete-backup-data true
az backup vault delete \
    --resource-group myResourceGroup \
    --name myRecoveryServicesVault \
az group delete --name myResourceGroup

Próximos passos

Neste início rápido, criou um cofre dos Serviços de Recuperação, ativou a proteção numa VM e criou o ponto de recuperação inicial. Para saber mais sobre o Azure Backup e os Serviços de Recuperação, prossiga para os tutoriais.

Back up multiple Azure VMs(Fazer uma cópia de segurança de várias VMs do Azure)