Entwerfen und Implementieren einer Sicherungsstrategie für Azure Virtual Desktop

  • 6 Minuten

In dieser Lektion wird beschrieben, wie der Azure Backup-Dienst Azure Virtual Machines (VMs) sichert.

Azure Backup bietet unabhängige und isolierte Sicherungen zum Schutz vor dem versehentlichen Löschen der Daten auf Ihren VMs. Sicherungen werden in einem Recovery Services-Tresor mit integrierter Verwaltung von Wiederherstellungspunkten gespeichert. Konfiguration und Skalierung sind unkompliziert. Sicherungen werden außerdem optimiert und können bei Bedarf problemlos wiederhergestellt werden.

Im Rahmen des Sicherungsvorgangs wird eine Momentaufnahme erstellt, und die Daten werden ohne Auswirkungen auf Produktionsworkloads in den Recovery Services-Tresor übertragen. Die Momentaufnahme bietet unterschiedliche Konsistenzebenen. Sie können sich für eine Agent-basierte anwendungskonsistente/dateikonsistente Sicherung oder eine absturzkonsistente Sicherung ohne Agent in der Sicherungsrichtlinie entscheiden.

Sicherungsprozess

Hier erfahren Sie, wie Azure Backup eine Sicherung für Azure-VMs durchführt:

  1. Für Azure-VMs, die zur Sicherung ausgewählt sind, startet Azure Backup einen Sicherungsauftrag gemäß dem von Ihnen angegebenen Sicherungszeitplan.

  2. Wenn Sie sich für anwendungs- oder dateisystemkonsistente Sicherungen entschieden haben, muss auf der VM eine Sicherungserweiterung installiert sein, um den Momentaufnahmeprozess zu koordinieren. Wenn Sie sich für absturzkonsistente Sicherungen entschieden haben, sind keine Agents in den virtuellen Computern erforderlich.

  3. Während der ersten Sicherung wird auf dem virtuellen Computer eine Sicherungserweiterung installiert, wenn die VM ausgeführt wird.

  4. Bei ausgeführten Windows-VMs erstellt Azure Backup in Koordination mit dem Volumeschattenkopie-Dienst (Volume Shadow Copy Service, VSS) von Windows eine App-konsistente Momentaufnahme der VM.

    • Backup erstellt standardmäßig vollständige VSS-Sicherungen.
    • Wenn Backup keine App-konsistente Momentaufnahme erstellen kann, wird eine dateikonsistente Momentaufnahme des zugrunde liegenden Speichers erstellt (weil keine Schreibvorgänge der Anwendung stattfinden, solange die VM beendet ist).

  5. Für virtuelle Linux-Computer erstellt Backup eine dateikonsistente Sicherung. Zur Erstellung App-konsistenter Momentaufnahmen müssen Sie Pre- und Postskripts manuell anpassen.

  6. Für Windows-VMs wird Microsoft Visual C++ 2013 Redistributable (x64) Version 12.0.40660 installiert, der Start von Volume Shadow Copy Service (VSS) wird auf automatisch geändert, und ein Windows Service IaaSVmProvider wird hinzugefügt.

  7. Nachdem Backup die Momentaufnahme erstellt hat, werden die Daten in den Tresor übertragen.

    • Zur Optimierung der Sicherung werden die einzelnen VM-Datenträger parallel gesichert.
    • Für jeden Datenträger, der gesichert wird, liest Azure Backup die Blöcke auf dem Datenträger und identifiziert und überträgt nur die Datenblöcke, die sich seit der vorherigen Sicherung geändert haben (das Delta).
    • Momentaufnahmedaten werden möglicherweise nicht sofort in den Tresor kopiert. Zu Spitzenzeiten vergehen unter Umständen mehrere Stunden. Bei täglichen Sicherungsrichtlinien beträgt die Gesamtdauer der Sicherung eines virtuellen Computers weniger als 24 Stunden.

Verschlüsseln von Azure-VM-Sicherungen

Wenn Sie Azure-VMs mit Azure Backup sichern, werden ruhende VMs mit der Speicherdienstverschlüsselung (SSE) verschlüsselt. Azure Backup kann auch virtuelle Azure-Computer sichern, die mit Azure Disk Encryption verschlüsselt wurden.

Verschlüsselung Details Unterstützen
SSE Mit SSE bietet Azure Storage eine Verschlüsselung im Ruhezustand, indem Daten vor der Speicherung automatisch verschlüsselt werden. Azure Storage entschlüsselt auch Daten vor dem Abrufen. Azure Backup unterstützt Sicherungen von VMs mit zwei Arten von Speicherdienstverschlüsselung: SSE mit plattformseitig verwalteten Schlüsseln: Diese Verschlüsselung gilt standardmäßig für alle Datenträger auf Ihren VMs. SSE mit von Kunden verwalteten Schlüsseln (CMK). Mit CMK verwalten Sie die Schlüssel, die zum Verschlüsseln der Datenträger verwendet werden. Azure Backup verwendet SSE zur Verschlüsselung ruhender Azure-VMs.
Azure-Datenträgerverschlüsselung Azure Disk Encryption verschlüsselt sowohl Betriebssystemdatenträger als auch sonstige Datenträger für Azure-VMs.

Azure Disk Encryption kann in BitLocker-Verschlüsselungsschlüssel (BEK) integriert werden, die in einem Schlüsseltresor als Geheimnisse geschützt werden. Azure Disk Encryption kann auch in Azure Key Vault-Schlüssel für die Schlüsselverschlüsselung (Key Encryption Keys, KEK) integriert werden.		 Azure Backup unterstützt die Sicherung verwalteter und nicht verwalteter Azure-VMs, die nur mit BEKs oder sowohl mit BEKs als auch mit KEKs verschlüsselt sind.

Sowohl BEKs als auch KEKs werden gesichert und verschlüsselt.

Da KEKs und BEKs gesichert werden, können Benutzer mit den erforderlichen Berechtigungen bei Bedarf Schlüssel und Geheimnisse im Schlüsseltresor wiederherstellen. Diese Benutzer können auch die verschlüsselte VM wiederherstellen.

Verschlüsselte Schlüssel und Geheimnisse können von nicht dafür autorisierten Benutzern oder von Azure nicht gelesen werden.

Backup unterstützt die Sicherung verwalteter und nicht verwalteter Azure-VMs, die nur mit BEKs oder sowohl mit BEKs als auch mit KEKs verschlüsselt sind.

Die gesicherten BEKs (Geheimnisse) und KEKs (Schlüssel) werden verschlüsselt. Sie können nur gelesen und verwendet werden, wenn sie von autorisierten Benutzern im Schlüsseltresor wiederhergestellt werden. Weder nicht autorisierte Benutzer noch Azure können gesicherte Schlüssel oder Geheimnisse lesen oder verwenden.

BEKs werden auch gesichert. Wenn die BEKs verloren gehen, können autorisierte Benutzer die BEKs im Schlüsseltresor wiederherstellen und so auch die verschlüsselten VMs wiederherstellen. Nur Benutzer mit den entsprechenden Berechtigungen können verschlüsselte VMs oder Schlüssel und Geheimnisse sichern und wiederherstellen.

Erstellung der Momentaufnahme

Azure Backup erstellt Momentaufnahmen gemäß des Sicherungszeitplans.

Wenn Sie sich für anwendungs- oder dateisystemkonsistente Sicherungen entschieden haben, muss auf der VM eine Sicherungserweiterung installiert sein, um den Momentaufnahmeprozess zu koordinieren.

Virtuelle Windows-Computer: Für virtuelle Windows-Computer erstellt der Backup-Dienst in Zusammenarbeit mit VSS eine App-konsistente Momentaufnahme der VM-Datenträger. Standardmäßig führt Azure Backup eine vollständige VSS-Sicherung durch (die Protokolle der Anwendung, z. B. SQL Server zum Zeitpunkt der Sicherung, werden abgeschnitten, um eine konsistente Sicherung auf Anwendungsebene zu erhalten). Wenn Sie in einer Azure-VM-Sicherung eine SQL Server-Datenbank verwenden, können Sie die Einstellung ändern, um eine VSS-Kopiesicherung (zum Beibehalten von Protokollen) zu erstellen.