Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure-Sicherungsinfrastruktur
Azure Stack Hub besteht aus vielen Diensten, die das Portal (Azure Resource Manager) und die allgemeine Infrastrukturverwaltungserfahrung umfassen. Die App-ähnliche Verwaltungserfahrung von Azure Stack Hub konzentriert sich auf die Verringerung der Komplexität, die dem Betreiber der Lösung ausgesetzt ist.
Der Infrastruktursicherungsdienst wurde entwickelt, um die Komplexität der Sicherung und Wiederherstellung von Daten für Infrastrukturdienste zu internalisieren, um sicherzustellen, dass sich die Betreiber auf die Verwaltung der Lösung und die Aufrechterhaltung einer SLA für Benutzer konzentrieren können.
Das Auslagern der Sicherungsdaten auf einen externen Speicher ist erforderlich, um die Speicherung von Backups auf demselben System zu vermeiden. Wenn ein externer Speicherort erforderlich ist, hat der Administrator die Flexibilität festzulegen, wo die Daten entsprechend den bestehenden BC/DR-Richtlinien des Unternehmens gespeichert werden sollten.
Komponenten des Infrastruktursicherungsdiensts
Der Infrastruktursicherungsdienst umfasst die folgenden Komponenten:
-
Infrastruktursicherungscontroller
Der Infrastruktursicherungscontroller wird instanziiert und befindet sich in jeder Azure Stack Hub Cloud. -
Sicherungsressourcenanbieter
Der Sicherungsressourcenanbieter (Backup RP) besteht aus der Benutzeroberfläche und APIs, die grundlegende Sicherungsfunktionen für die Azure Stack Hub-Infrastruktur verfügbar macht.
Infrastruktursicherungscontroller
Der Infrastruktursicherungscontroller ist ein Service Fabric-Dienst, der für eine Azure Stack Hub Cloud instanziiert wird. Sicherungsressourcen werden auf regionaler Ebene erstellt und regionsspezifische Dienstdaten aus AD, CA, Azure Resource Manager, CRP, SRP, NRP, Key Vault, RBAC erfasst.
Sicherungsressourcenanbieter
Der Sicherungsressourcenanbieter stellt eine Benutzeroberfläche im Azure Stack Hub-Portal für die grundlegende Konfiguration und Auflistung von Sicherungsressourcen dar. Operatoren können die folgenden Aktionen auf der Benutzeroberfläche ausführen:
- Aktivieren Sie die Sicherung zum ersten Mal, indem Sie externen Speicherort, Anmeldeinformationen und Verschlüsselungsschlüssel bereitstellen.
- Anzeigen erstellter und abgeschlossener Sicherungsressourcen sowie Ressourcen mit dem Status "In Erstellung".
- Ändern Sie den Speicherort, an dem der Sicherungscontroller Sicherungsdaten platziert.
- Ändern Sie die Anmeldeinformationen, die der Sicherungscontroller für den Zugriff auf den externen Speicherort verwendet.
- Ändern Sie den Verschlüsselungsschlüssel, den der Sicherungscontroller zum Verschlüsseln von Sicherungen verwendet.
Anforderungen des Sicherungscontrollers
In diesem Abschnitt werden die wichtigen Anforderungen für den Infrastruktursicherungsdienst beschrieben. Wir empfehlen Ihnen, die Informationen sorgfältig zu überprüfen, bevor Sie die Sicherung für Ihre Azure Stack Hub-Instanz aktivieren, und während der Bereitstellung sowie des anschließenden Betriebs bei Bedarf darauf zurückzugreifen.
Zu den Anforderungen gehören:
- Softwareanforderungen – beschreibt unterstützte Speicherorte und Anleitungen zur Größenanpassung.
- Netzwerkanforderungen – beschreibt Netzwerkanforderungen für verschiedene Speicherorte.
Softwareanforderungen
Unterstützte Speicherorte
| Lagerort | Einzelheiten |
|---|---|
| SMB-Dateifreigabe, die auf einem Speichergerät in der vertrauenswürdigen Netzwerkumgebung gehostet wird. | SMB-Freigabe im selben Rechenzentrum, in dem Azure Stack Hub bereitgestellt wird, oder in einem anderen Rechenzentrum. Mehrere Azure Stack Hub-Instanzen können dieselbe Dateifreigabe verwenden. |
| SMB-Dateifreigabe in Azure. | Wird derzeit nicht unterstützt. |
| Blob-Speicher in Azure. | Wird derzeit nicht unterstützt. |
Unterstützte SMB-Versionen
| KMU | Version |
|---|---|
| KMU | 3.x |
SMB-Verschlüsselung
Der Infrastruktursicherungsdienst unterstützt die Übertragung von Sicherungsdaten an einen externen Speicherort mit aktivierter SMB-Verschlüsselung auf serverseitiger Seite. Wenn der Server die SMB-Verschlüsselung nicht unterstützt oder das Feature nicht aktiviert ist, fällt der Infrastruktursicherungsdienst auf unverschlüsselte Datenübertragung zurück. Sicherungsdaten, die am externen Speicherort gespeichert sind, werden immer im Ruhezustand verschlüsselt und sind nicht von der SMB-Verschlüsselung abhängig.
Größe des Speicherorts
Es wird empfohlen, dass Sie mindestens zweimal täglich eine Sicherung durchführen und höchstens sieben Tage lang Sicherungen aufbewahren. Dies ist das Standardverhalten, wenn Sie Infrastruktursicherungen auf Azure Stack Hub aktivieren.
| Umgebungsskala | Projizierte Größe der Sicherung | Gesamtmenge des benötigten Speicherplatzes |
|---|---|---|
| 4-16 Knoten | 20 GB | 280 GB |
| ASDK | 10 GB | 140 GB |
Netzwerkanforderungen
| Lagerort | Einzelheiten |
|---|---|
| SMB-Dateifreigabe, die auf einem Speichergerät in der vertrauenswürdigen Netzwerkumgebung gehostet wird. | Port 445 ist erforderlich, wenn sich die Azure Stack Hub-Instanz in einer firewallierten Umgebung befindet. Der Infrastruktursicherungscontroller initiiert eine Verbindung mit dem SMB-Dateiserver über Port 445. |
| Um den FQDN (Fully Qualified Domain Name) des Dateiservers zu verwenden, muss der Name vom PEP aufgelöst werden können. |
Firewallregeln
Stellen Sie sicher, dass Firewallregeln eingerichtet werden, um die Verbindung zwischen ERCS-VMs und dem externen Speicherort zuzulassen.
| Quelle | Ziel | Protokoll/Port |
|---|---|---|
| ERCS VM 1 | Lagerort | 445/SMB |
| ERCS VM 2 | Lagerort | 445/SMB |
| ERCS VM 3 | Lagerort | 445/SMB |
Hinweis
Es müssen keine eingehenden Ports geöffnet werden.
Verschlüsselungsanforderungen
Der Infrastruktursicherungsdienst verwendet ein Zertifikat mit einem öffentlichen Schlüssel (. CER) zum Verschlüsseln von Sicherungsdaten und einem Zertifikat mit dem privaten Schlüssel (. PFX) zum Entschlüsseln von Sicherungsdaten während der Cloudwiederherstellung. Die Länge des Zertifikatschlüssels muss 2048 Byte betragen.
- Das Zertifikat wird für den Transport von Schlüsseln verwendet und wird nicht verwendet, um eine sichere authentifizierte Kommunikation herzustellen. Aus diesem Grund kann das Zertifikat ein selbstsigniertes Zertifikat sein. Azure Stack Hub muss die Stamm- oder Vertrauensstellung für dieses Zertifikat nicht überprüfen, sodass kein externer Internetzugriff erforderlich ist.
Das selbstsignierte Zertifikat ist in zwei Teilen enthalten, eines mit dem öffentlichen Schlüssel und eines mit dem privaten Schlüssel:
- Verschlüsseln von Sicherungsdaten: Zertifikat mit dem öffentlichen Schlüssel (exportiert in . CER-Datei) wird zum Verschlüsseln von Sicherungsdaten verwendet.
- Entschlüsseln von Sicherungsdaten: Zertifikat mit dem privaten Schlüssel (exportiert in . PFX-Datei) wird zum Entschlüsseln von Sicherungsdaten verwendet.
Das Zertifikat mit dem öffentlichen Schlüssel (.CER) wird nicht durch die interne geheime Schlüsselrotation verwaltet. Um das Zertifikat zu drehen, müssen Sie ein neues selbstsigniertes Zertifikat erstellen und Sicherungseinstellungen mit der neuen Datei aktualisieren (. CER).
- Alle vorhandenen Sicherungen bleiben mit dem vorherigen öffentlichen Schlüssel verschlüsselt. Neue Sicherungen verwenden den neuen öffentlichen Schlüssel.
Das Zertifikat, das während der Cloudwiederherstellung mit dem privaten Schlüssel (.PFX) verwendet wird, wird aus Sicherheitsgründen nicht vom Azure Stack Hub gespeichert. Diese Datei muss während der Cloudwiederherstellung explizit bereitgestellt werden.
Infrastruktursicherungsgrenzwerte
Berücksichtigen Sie diese Grenzwerte beim Planen, Bereitstellen und Betreiben Ihrer Microsoft Azure Stack Hub-Instanzen. In der folgenden Tabelle werden diese Grenzwerte beschrieben.
Infrastruktursicherungsgrenzwerte
| Grenzwertbezeichner | Limit | Kommentare |
|---|---|---|
| Sicherungstyp | Nur vollständig | Der Infrastruktursicherungscontroller unterstützt nur vollständige Sicherungen. Inkrementelle Sicherungen werden nicht unterstützt. |
| Geplante Sicherungen | Geplant und manuell | Der Sicherungscontroller unterstützt geplante und on-Demand-Sicherungen. |
| Maximale Anzahl gleichzeitiger Sicherungsaufträge | 1 | Pro Instanz des Sicherungscontrollers wird nur ein aktiver Sicherungsauftrag unterstützt. |
| Netzwerkswitchkonfiguration | Nicht behandelte Bereiche | Der Administrator muss die Netzwerkswitchkonfiguration mithilfe von OEM-Tools sichern. Weitere Informationen finden Sie in der Dokumentation für Azure Stack Hub, die von jedem OEM-Anbieter bereitgestellt werden. |
| Hardwarelifecyclehost | Nicht behandelte Bereiche | Der Administrator muss den Hardwarelebenszyklus-Host mithilfe von OEM-Tools sichern. Weitere Informationen finden Sie in der Dokumentation für Azure Stack Hub, die von jedem OEM-Anbieter bereitgestellt werden. |
| Maximale Anzahl von Dateifreigaben | 1 | Zum Speichern von Sicherungsdaten kann nur eine Dateifreigabe verwendet werden. |
| Sichern von App Services, Functions, SQL und MySQL-Ressourcenanbieterdaten | Nicht behandelte Bereiche | Informationen zum Bereitstellen und Verwalten von Wert-Add-RPs, die von Microsoft erstellt wurden, finden Sie in den von Microsoft veröffentlichten Anleitungen. |
| Backup von Drittanbieter-Ressourcenanbietern | Nicht behandelte Bereiche | Informationen zum Bereitstellen und Verwalten von Wert-Add-RPs, die von Drittanbietern erstellt wurden, finden Sie in den von Drittanbietern veröffentlichten Anleitungen. |
Nächste Schritte
- Weitere Informationen zum Infrastruktursicherungsdienst finden Sie unter Sicherung und Datenwiederherstellung für Azure Stack Hub mit dem Infrastruktursicherungsdienst.