在 Azure Stack Hub 上备份文件和应用程序

本文档介绍解决方案的体系结构和设计注意事项，该解决方案提供优化方法来备份和还原 Azure Stack 集线器上托管的基于 VM 的用户工作负荷的文件和应用程序。

下载此体系结构的 Visio 文件。

备份和还原是任何全面的业务连续性和灾难恢复策略的基本组成部分。 在混合环境中设计和实现一致且可靠的备份方法很有挑战性，但可以通过与 Microsoft Azure 提供的服务进行集成来大大简化。 这不仅适用于在传统的本地基础结构上运行的工作负荷，还适用于由第三方公有和私有云提供商托管的工作负荷。 但是，当混合环境结合 Azure Stack 组合产品（包括 Azure Stack 中心）时，与 Azure 云服务集成的好处特别明显。

尽管 Azure Stack 集线器的主要优点之一是它支持平台即服务 (PaaS) 模型，但它还可帮助客户将现有的基础结构即服务 (IaaS) 工作负荷。 此类工作负荷可能包括文件共享、Microsoft SQL Server 数据库、Microsoft SharePoint 场和 Microsoft Exchange Server 群集。 将这些虚拟机迁移到超聚合上运行的高复原群集上运行的 Vm，具有与 Microsoft Azure 一致的管理和编程模型，从而最大程度地减少管理和维护开销。

为了实现 Azure 集线器 Stack Vm 上运行的文件和应用程序的备份，Microsoft 建议使用一种混合方法，该方法依赖于云和本地组件的组合来提供可缩放、高性能、弹性、安全、直接管理和经济高效的备份解决方案。 此解决方案的核心组件是 Microsoft Azure 备份 Server (MABS) v3，这是 Azure 备份产品的一部分。 MABS 依赖于用于计算、网络和短期存储资源的 Azure Stack 集线器基础结构，同时利用基于 Azure 的存储作为长期备份存储。 这可以最大程度地减少或消除维护物理备份介质（如磁带）的需要。

 备注

MABS 基于 (DPM) Microsoft System Center Data Protection Manager，并提供类似的功能，只需几个差异。 但是，不支持将 DPM 与 Azure Stack 中心一起使用。

建议解决方案的体系结构

云组件包括以下服务：

• 托管此解决方案中包含的所有云资源的 Azure 订阅。

• 与 Azure 订阅关联的 Azure Active Directory (Azure AD) 租户，它提供 Azure AD 安全主体的身份验证，以授权对 Azure 资源的访问权限。

• Azure 区域中的 Azure 恢复服务保管库，最靠近将托管 Azure Stack 中心部署的本地数据中心。

根据本文档中所述的条件，云组件还可能包括以下服务：

• 本地数据中心与托管 Azure 恢复服务保管库的 Azure 区域之间的 Azure ExpressRoute 线路，配置了 Microsoft 对等互连以容纳更大的备份大小。

• Azure 导入/导出服务，用于启用 MABS 脱机备份到 Azure。

   备注

  到08/20，MABS 使用 Azure Data Box 脱机备份到 Azure 是预览版。

根据使用 Azure 导入/导出服务将 MABS 脱机备份到 Azure，解决方案可能还会在与恢复服务保管库相同的 Azure 区域中创建一个 Azure 存储帐户。

本地组件包括以下服务：

• 连接的部署模型中的 Azure Stack 集线器–集成系统，运行当前更新 (2002 到8月 2020) ，位于客户的本地数据中心内。

• Windows Server 2016 或 Windows Server 2019 VM 由 Azure Stack 集线器–集成系统并运行 MABS v3 更新版本 (UR) 1。

• Azure Stack 集线器 Vm，其中包含 MABS 保护代理，该代理管理 MABS Azure Stack 中心 VM 的备份和还原。 MABS 保护代理跟踪受保护工作负荷的更改，并将更改传输到 MABS 数据存储。 保护代理还标识其本地计算机上可受保护的数据，并在恢复过程中扮演角色。

• 在运行 MABS 的服务器上安装 Microsoft Azure 恢复服务 (MARS) 代理，提供 MABS 和 Azure 恢复服务保管库之间的集成。

   备注

  MARS 代理也称为 Azure 备份代理。

核心功能

建议的解决方案支持以下功能：运行 Windows Server 2019、2016、2012 R2、2012、2008 R2 SP1 (64 Azure Stack 集线器 Vm、Windows Management Framework 4.0) 、2008 SP2 (64 Windows Management Framework 4.0) 和 Windows 10 (64) ：

• 备份和还原新的技术文件系统 (NTFS) 和复原文件系统 (ReFS) 卷、共享、文件夹、文件和系统状态。

• 备份和还原 SQL Server 2019、2017、2016 (与所需的 service pack [SPs] ) 和 2014 (以及所需的 Sp) 实例及其数据库。

• 备份和还原 Exchange Server 2019 和 Exchange Server 2016 服务器和数据库，包括数据库可用性组中的独立服务器和数据库 (DAG) 。

• 在 DAG 中还原单个邮箱和邮箱数据库。

• 通过最新的 Sp) 场和前端 web 服务器内容，备份和还原 SharePoint 2019 和 SharePoint 2016 (。

• 还原 SharePoint 2019 和 SharePoint 2016 数据库、web 应用程序、文件、列表项和搜索组件。

   备注

  若要在 Azure Stack Hub 上部署 Windows 10 客户端操作系统，则必须具有 Windows 每用户许可，或已通过合格的多租户宿主 (QMTH) 购买了该操作系统。

MABS 实现了磁盘到磁盘到云 (D2D2C) 备份方案，主备份本地存储在承载 MABS 安装的服务器上。 然后，本地备份将复制到 Azure Site Recovery 保管库中。 本地磁盘的作用是短期存储，而保管库则提供长期存储。

 备注

与 DPM 不同，MABS 不支持磁带备份。

在高级别中，备份过程包含以下四个阶段：

1. 在要保护的计算机上安装 MABS 保护代理，并将其添加到保护组。

2. 为计算机或其应用设置保护，包括备份到 MABS 本地磁盘以进行短期存储，并设置为适用于长期存储的 Azure。 作为设置的一部分，你可以为这两种类型的备份指定备份计划。

3. 受保护的工作负荷根据指定的计划备份到本地 MABS 磁盘。

4. MABS 磁盘上存储的本地备份通过 MABS 服务器上运行的 MARS 代理备份到 Azure 恢复服务保管库。

先决条件

实现推荐的解决方案是为了满足以下先决条件：

• 访问 Azure 订阅，其权限足以在 Azure 区域中预配 Azure 恢复服务保管库，该存储库离托管 Azure Stack 中心部署的本地数据中心。

• 可从将托管 MABS 实例的 Azure Stack 中心 VM 访问 AD DS) 域 (的 Active Directory 域服务。

• 一个 Azure Stack 中心承载的 VM，它将运行 MABS 实例，满足在 Azure Stack 上安装 Azure 备份服务器 中列出的先决条件，以及与 DPM/MABS 网络支持中列出的 url 的出站连接。

   备注

  本文档稍后将更详细地介绍了 MABS 的额外磁盘空间和性能注意事项。

   备注

  若要验证托管 MABS 的 VM 是否已连接到 Azure 备份服务，可以使用 Azure 备份服务器 PowerShell 模块) 中包含的 DPMCloudConnection (cmdlet。

   备注

  MABS 还需要 SQL Server 的本地实例。 有关 SQL Server 要求的详细信息，请参阅 安装和升级 Azure 备份服务器。

可用性注意事项

Azure Stack 中心通过其基础结构的固有复原能力，有助于提高工作负荷的可用性。 你可以通过设计和实现解决方案来进一步提高此可用性的程度，目的是扩展工作负荷保护的范围。 这是 MABS 提供的附加值。 在 Azure Stack Hub 上运行的 MABS 的上下文中，需要更详细地探讨可用性的两个方面：

• MABS 及其数据存储的可用性

• MABS 保护的工作负荷的时间点还原功能的可用性

开发备份策略时，需要考虑两个这两个方案 (Rpo) 和恢复时间目标 (Rto) 。 RTO 和 RPO 代表组织内的各个业务功能规定的连续性需求。 RPO 指定一个时间段，该时间段表示受该数据的可用性影响的事件后可接受的最大数据丢失量。 RTO 指定可接受的最长持续时间，以便在影响这些功能可用性的事件后恢复业务职能。

 备注

通常，若要解决 Azure Stack 集线器工作负载的 RTO 要求，应考虑到 Azure Stack 基础结构、用户 Vm、应用程序和用户数据的恢复。 在此参考体系结构文档的上下文中，我们只对这两个组件中的最后两个应用程序和用户数据感兴趣-尽管我们还提供了有关新式备份存储 (MB) 功能的可用性的注意事项。

MABS 及其数据存储可用性依赖于托管 MABS 安装的 VM 的可用性及其本地和基于云的存储。 Azure Stack 中心 Vm 在设计上是高度可用的。 如果 MABS 发生故障，你可以从任何其他 Azure Stack 中心 VM 托管 MABS 恢复 Azure 备份保护的项。 但请注意，对于托管 MABS 的服务器，若要恢复通过在另一台服务器上运行的 MABS 执行的备份，则必须使用相同的 Azure Site Recovery 保管库注册这两台服务器。

 备注

通常，你可以部署 MABS 的另一个实例并将其配置为备份主要 MABS 部署，这类似于使用 DPM 时可用的主对辅助保护、链接和循环保护配置。 但是，MABS 不支持此方法，在此参考体系结构文档中所述的方案中，它不会产生有意义的可用性优势。

MABS 保护的工作负荷的时间点还原功能取决于数据类型、备份和保护策略的大范围。 若要了解这些依赖关系，必须更详细地了解这些概念。

数据类型

从 MABS 的角度来看，需要考虑两种数据类型：

• 文件数据 是通常驻留在文件服务器上的数据 (如 Microsoft Office 文件、文本文件或媒体文件) ，需要将这些数据作为平面文件进行保护。

• 应用程序数据 是应用程序服务器 (的数据，例如 Exchange 存储组、SQL Server 数据库或 SharePoint 场) ，这需要 MABS 知道相应的应用程序要求。

 备注

作为使用 MABS 进行文件数据备份的替代方法，可以直接在 Azure Stack 中心 Vm 上安装 MABS 代理，并将其本地文件系统直接备份到 Azure 恢复服务保管库。 但是，与 MABS 不同，此方法不提供集中管理，并且始终依赖基于云的存储进行备份和还原。

备份类型

无论是保护文件数据还是应用程序数据，保护都首先在 MABS 实例的本地存储中创建数据源的副本。 副本将按照你配置的设置定期同步或更新。 MABS 用于同步副本的方法取决于受保护的数据的类型。 如果将某个副本标识为不一致，则 MABS 将执行一致性检查，这是针对数据源的副本逐块验证。

对于服务器上的文件卷或共享，在初始完整备份之后，MABS protection 代理使用卷筛选器并更改日志来确定哪些文件已更改。 然后，它对这些文件执行校验和过程，以仅同步已更改的块。 在同步过程中，这些更改将传输到 MABS，然后应用于副本，从而将副本与数据源同步。

如果副本变得与其数据源不一致，MABS 会生成一个警报，该警报指定哪一台计算机和哪些数据源受到影响。 若要解决此问题，可以通过对副本启动一致性同步检查来修复副本。 在一致性检查过程中，MABS 执行逐块验证，并修复副本以使其与数据源保持一致。 你可以为保护组计划每日一次的一致性检查，也可以手动发起一致性检查。

MABS 会定期为受保护的数据源创建恢复点。 恢复点 是可以恢复的数据的版本。

对于应用程序数据，在 MABS 创建副本之后，卷筛选器会跟踪对属于应用程序文件的卷块所做的更改。 将更改传输到 MABS 服务器的方式取决于应用程序和同步的类型。 在 MABS 管理员控制台中标记为 " 同步 " 的操作类似于增量备份，并且在与副本结合使用时，它将创建应用程序数据的事务一致、准确的反射。

在 MABS 管理员控制台中标记为 " 快速完整备份 " 的同步类型时，会创建完整的卷影复制服务 (VSS) 快照，但仅将更改的块传输到 MABS 服务器。

每次快速完整备份都会为应用程序数据创建一个恢复点。 如果应用程序支持增量备份，则每次同步也将创建一个恢复点。 同步过程依赖于应用程序：

• 对于 Exchange 数据，同步将使用 Exchange VSS 编写器传输增量 VSS 快照。 为每个同步和每个快速完整备份创建恢复点。

• 对于日志传送、处于只读模式或者使用简单恢复模式 SQL Server 数据库，不支持增量备份。 仅在每次快速完整备份时创建恢复点。 对于所有其他 SQL Server 数据库，同步将传输事务日志备份，并在每次增量同步和快速完整备份时创建恢复点。 事务日志是指从上次备份事务日志以来对数据库执行的所有事务的连续记录。

• SharePoint 服务器不支持增量备份。 仅在每次快速完整备份时创建恢复点。

增量同步所需的时间比快速完整备份少。 但是，随着同步次数的增加，恢复数据所需的时间也在增加。 这是因为，MABS 必须还原上次完整备份，然后还原并应用所有增量同步，直至所选的恢复时间点为止。

若要实现更快的恢复时间，MABS 会定期执行快速完整备份，这将更新副本以包括已更改的块。 在快速完整备份期间，MABS 会先拍摄副本的快照，然后再使用更改的块更新副本。 为了实现更频繁的 Rpo 并减少数据丢失时段，MABS 还会在两次快速完整备份之间执行增量同步。

与文件数据保护一样，如果副本变得与其数据源不一致，MABS 会生成一个警报，该警报指定哪些服务器和哪些数据源受到影响。 若要解决不一致问题，可以通过对副本启动一致性同步检查来修复副本。 在一致性检查过程中，MABS 将对副本执行逐块验证，并修复该副本以使其重新与数据源保持一致。 你可以为保护组计划每日一次的一致性检查，也可以手动发起一致性检查。

保护策略

在计算机上安装 MABS 保护代理软件并将其数据添加到保护组时，计算机或其工作负荷将受到保护。 保护组用于配置和管理对计算机上的数据源的保护。 “保护组”是一组共享相同保护配置的数据源。 保护配置 是保护组共有的设置集合，例如保护组名称、保护策略、存储分配和副本创建方法。

MABS 在存储池中存储每个保护组成员的单独副本。 保护组成员可以包含以下数据源：

• 文件服务器或服务器群集上的卷、共享或文件夹。

• Exchange 服务器或服务器群集的存储组。

• SQL Server 或服务器群集的实例的数据库。

根据为该保护组设置的恢复目标，为每个保护组配置保护策略。 恢复目标 代表与组织的 Rto 和 rpo 相对应的数据保护要求。 在 MABS 中，它们是根据以下参数的组合定义的：

• 短期保留范围。 这会确定要在本地 MABS 存储上保留备份数据的时间。

• 同步和恢复点频率。 这与数据丢失容错直接对应，后者又反映了组织的 Rpo。 它还通过收集数据更改来确定 MABS 应将其本地副本与受保护的数据源同步的频率。 可以将同步频率设置为介于15分钟到24小时之间的任意时间间隔。 你还可以选择在创建恢复点之前进行同步，而不是按指定的时间计划进行同步。

• 短期恢复点计划。 这会确定应该在本地存储中为保护组创建多少恢复点。 对于文件保护，可选择希望创建恢复点的日期和时间。 对于支持增量备份的应用程序数据保护，同步频率决定了恢复点计划。

• 快速完整备份计划。 对于不支持增量备份的应用程序的数据保护，以及是否支持快速完整备份，这将决定恢复点计划。

• 联机备份计划。 这会确定在与本地 MABS 实例关联的 Azure 恢复服务保管库中创建本地备份副本的频率。 您可以按每天、每周、每月或每年的频率来计划计划，每日最多允许执行两次备份的频率。 MABS 会自动使用最近的本地副本创建用于联机备份的恢复点，而不会传输受保护数据源的新数据。

   备注

  恢复服务保管库支持最多9999个恢复点。

• 在线保留策略。 这会指定时间段，在此期间，每日、每周、每月和每年备份将保留在与本地 MABS 实例关联的 Azure Site Recovery 保管库中。

   备注

  若要联机保护数据源的最新内容，请在创建在线恢复点之前在本地磁盘上创建新的恢复点。

   备注

  默认情况下，Azure 恢复服务保管库是 异地冗余 的，这意味着复制到其存储的任何备份都将自动复制到属于预定义区域对的 Azure 区域。 如果复制设置足以满足复原需求，并且需要将存储成本降至最低，则可以选择将这些设置更改为 "本地冗余"。 但是，您应考虑保留默认设置。 此外，请记住，如果保管库包含任何受保护的项，则不能更改此选项。

   备注

  有关 Azure 区域对的列表，请参阅 业务连续性和灾难恢复 (BCDR) ： Azure 配对区域。

可扩展性和性能考虑

计划在 Azure Stack 集线器上部署 MABS 时，需要考虑分配给 VM (的处理、存储和网络资源量，以及托管部署的 Vm) 。 Microsoft 建议分配 2.33 ghz (GHz) 四核 CPU，以满足 MABS 处理需求，大约 10 GB 磁盘空间可容纳安装二进制文件。 其他存储要求可以分为以下几类：

• 备份所用的磁盘空间。 备份磁盘空间的一般建议是分配一个与要备份的所有数据的大小约1.5 倍的存储池磁盘空间。 将磁盘附加到 VM 后，MABS 会管理卷和磁盘空间管理。 可附加到 VM 的磁盘的数目取决于其大小。

   备注

  不应将备份存储在本地，超过五天。 早于5天的备份应卸载到 Azure Site Recovery 保管库中。

• MARS 代理缓存位置的磁盘空间。 请考虑在托管 MABS 安装的 VM 上使用驱动器 C 。

• 还原期间本地临时区域的磁盘空间。 请考虑使用托管 MABS 安装的 VM 上的临时驱动器 D 。

若要为托管 MABS 安装的 VM 设置存储，请使用具有高级性能层的托管磁盘。 预期性能特征为每秒2300个 i/o 操作数 (IOPS) 145，每个磁盘 (MB) 数。 (请注意，与 Azure 不同，不保证 Azure Stack 中心的性能。 )

若要获取更准确的存储空间，以适应 Azure Stack 基于集线器的工作负载备份，请考虑使用 Microsoft 下载中提供的 MABS 的 VM 大小计算器 Azure Stack。 计算器以 Microsoft Excel 工作簿的形式实现，该工作簿使用宏根据您提供的多个参数派生最佳 Azure Stack 中心大小调整信息。 这些参数包括：

• 包含要保护的 Vm 列表的源详细信息，包括：

• 受保护数据的大小

• 工作负荷类型 (Windows Server、SharePoint 或 SQL Server)

• 数据保持期（天）

默认情况下，每个工作负荷类型都与预定义的每日更改率 (或变动) 相关联。 如果这些值不反映环境中的实际使用模式，则可以选择调整这些值。

MABS 的 Azure Stack VM 大小计算器将使用你指定的信息来提供：

• 用于托管 MABS 安装的 Azure Stack 中心 VM 的估计大小。

• 承载备份数据所需的估计 MABS 磁盘空间量。

• 每个 (TB) 1 tb 的磁盘总数。

• 可供 MABS 使用的 IOPS。

• 根据受保护的数据的总大小和 MABS 使用情况) 的可用 IOPS 估计完成初始 (备份的估计时间。

• 每日备份完成的估计时间 (基于每日变动的总大小和可供 MABS 使用的 IOPS) 。

 备注

2018年4月发布了适用于 MABS 的 Azure Stack VM 大小计算器，这意味着它不会考虑到 MABS v3 中合并的优化 (包含 UR1) 中包含的优化。 不过，它包括特定于 MB 的增强功能，该功能是在2017年6月发布的 MABS v2 中引入的。

如果你使用 MABS 图形界面创建保护组，则每当你将数据源添加到保护组时，MABS 也会根据你指定的短期恢复目标自动计算本地磁盘空间分配。 此时，你可以选择在存储池中为你为组中的成员身份选择的每个数据源的副本和恢复点分配多少空间。 此外，还需要确保更改日志的受保护服务器的本地磁盘上有足够的空间。 MABS 为保护组的成员提供默认的空间分配。 有关不同 MABS 组件的默认空间分配的详细信息，请参阅 部署保护组文档。

请考虑使用默认的空间分配，除非您确定它们不能满足您的需求。 覆盖默认的分配可能会导致分配的空间过少或过多。 为恢复点分配的空间太少会阻止 MABS 存储足够多的恢复点来满足保持期目标。 分配过多的空间会浪费磁盘容量。 创建保护组后，如果为数据源分配了过少的空间，则可以增加每个数据源的副本卷和恢复点卷的分配量。 如果为保护组分配了过多的空间，则可以从保护组中删除数据源，并删除副本。 然后，将数据源添加到具有较小分配的保护组。

如果需要调整 Azure Stack 中心 VM 托管 MABS 后期部署的估计大小，以适应处理或存储要求的变化，你有三个基本选项可供选择：

• 实现垂直缩放。 这涉及到修改托管 MABS 的 Azure Stack 中心 Vm 的处理器、内存和磁盘资源的数量和类型。

• 实现水平缩放。 这涉及到预配或取消设置安装了 MABS 的 Azure Stack 集线器 Vm，以满足受保护工作负荷的处理需求。

• 修改保护策略。 这涉及更改保护策略的参数，包括保持期、恢复点计划和快速完整备份计划。

 备注

务必要记住的是，MABS 受恢复点数量、快速完整备份和增量备份的限制。 有关这些限制的详细信息，请参阅 恢复过程。

如果选择自动增大卷，则在生产数据增长时，MABS 的备份卷的帐户将会增加。 否则，MABS 会将备份存储限制为保护组中的数据源大小。

从网络角度来看，有两个主要选项可用于调整可用带宽：

• 增加 VM 大小。 对于 Azure Stack 集线器 Vm，其大小确定最大网络带宽。 但是，请务必注意，没有带宽保证;而是允许 Vm 利用可用带宽，直到达到其大小所确定的限制。

• 增加上行交换机的吞吐量。 Azure Stack 集线器系统支持一系列硬件交换机，这些交换机提供多种上行速度选择。 每个 Azure Stack 中心群集节点都具有两个到机箱顶部交换机的上行链路，以实现容错。 系统为关键基础结构分配了一半的上行容量，余数是 Azure Stack 服务和所有用户流量的共享容量。 以更快的速度部署的系统具有更多的可用带宽来备份流量。

通常，可以通过将第二个网络适配器附加到服务器来隔离网络流量，在 Azure Stack 集线器 Vm 的情况下，与 internet 的所有 VM 流量共享同一上行。 第二个虚拟网络适配器将不会在物理传输级别隔离流量。

若要适应更大的备份大小，可以考虑利用适用于 Microsoft 对等互连的 Azure ExpressRoute 连接 Azure Stack 中心虚拟网络与 Azure 恢复服务保管库之间的连接。 Azure ExpressRoute 通过连接提供商提供的专用连接将本地网络扩展到 Microsoft 云。 可以购买各种带宽的 ExpressRoute 线路，每秒50兆位 () Mbps， (Gbps) 每秒10千兆字节。

 备注

有关在 Azure Stack Hub 方案中实现 Azure ExpressRoute 的详细信息，请参阅 使用 Azure ExpressRoute 将 Azure Stack 中心连接到 azure。

 备注

MABS v3 利用内置于 MB 的增强功能，并通过在一致性检查期间仅传输已更改的数据来优化网络和存储的使用。

可管理性注意事项

从可管理性角度来看，影响备份和还原策略的主要注意事项之一是保护组的配置，以及用于确定哪些受保护的工作负荷应属于相同受保护组的标准。 如本文档前面所述， 保护组 是数据源（例如卷、共享或应用程序数据存储）的集合，这些数据源具有常见的备份和还原设置。 定义保护组时，需要指定：

• 要保护的数据源，如服务器和工作负载。

• 备份存储，包括短期和长期保护设置。

• 恢复点，这是可从中恢复备份数据的时间点。

• 分配的磁盘空间，它是为存储池的备份分配的磁盘空间量。

• 初始复制（初始复制）是数据源的初始备份的方法，它可以通过网络) 或脱机 (如通过 Azure 导入/导出服务) 等方式在线传输 (。

• 一致性检查，这是验证已备份数据的完整性的方法。

确定哪些受保护的工作负荷应属于相同的受保护组时，一些最常见的方法包括：

• 按计算机。 这会将计算机的所有数据源组合到同一个保护组中。

• 按工作负荷。 这会将文件和每个应用程序数据类型分隔到不同的保护组中。 但是，若要恢复托管多个工作负荷的服务器，可能需要从不同的保护组中进行多次还原。

• 通过 RPO 和 RTO。 此方法将具有相似 Rpo 的数据源组合在一起。 可以通过设置保护组的同步频率来控制 RPO，该频率决定了在意外中断期间 (度量时间) 的潜在数据丢失量。 在此参考体系结构文档中所述的方案中，可以通过在短期存储中设置保留期来控制 RTO。 这是因为，这会确定可以从本地短期存储（而不是基于云的长期存储）还原备份的时间段。 从本地短期存储备份会导致更快的还原。

• 按数据特性。 此方法将对数据更改频率、数据增长速率或其存储要求进行分组，作为分组条件。

命名保护组时，请使用唯一的有意义的名称。 名称可包含字母数字字符的任意组合并且可以包含空格，但长度不能超过64个字符。

此外，在创建保护组时，必须选择用于创建初始副本的方法。 初始复制会将选定要保护的所有数据复制到托管 MABS 的服务器，然后将其复制到 Azure Site Recovery 保管库中。 (每个阶段还会执行一致性检查。 ) MABS 可以通过网络自动创建副本，但你可以选择通过脱机备份、传输和还原数据来手动创建副本。

选择副本创建方法时，请参阅 通过网络进行初始复制时可用的信息，其中包括一个表，该表格提供了在给定不同的受保护数据大小和网络速度的情况下，通过网络自动创建副本所需的 MABS 时间。

脱机播种过程支持 Azure 导入/导出服务。 Azure 导入/导出服务提供了使用 SATA 磁盘将数据传输到 Azure 存储帐户的功能。 此功能适用于以下方案：客户有 tb 的初始备份数据和与 Azure 的低带宽网络连接。

脱机种子设定工作流涉及以下高级步骤：

1. 客户使用 AzureOfflineBackupDiskPrep 工具将初始备份数据复制到一个或多个 SATA 磁盘。

2. 此工具会在托管目标 Azure 存储帐户和 Azure 恢复服务保管库的订阅中自动生成 Azure 导入作业和 Azure AD 应用。 此应用的目的是为 Azure 备份提供对 Azure 导入服务的安全且具有范围的访问权限，这是脱机播种过程所必需的。

3. 客户将 SATA 驱动器寄给托管目标 Azure 存储帐户的 Azure 数据中心。

4. Azure 数据中心人员将数据从 SATA 磁盘复制到 Azure 存储帐户。

5. 工作流触发从 Azure 存储帐户到 Azure 恢复服务保管库的复制。

测试还原

除了采用最佳设计和实施的备份策略外，为每种类型的受保护工作负荷定义、记录和测试正确的还原过程也同样重要。 尽管 MABS 提供了自动验证已备份数据的完整性的内置一致性检查，但还原的测试应该是日常操作过程的一部分，这会根据还原工作负荷的状态来验证该完整性。 此类验证的结果应对工作负荷所有者提供。

通常情况下，测试还原往往非常困难，因为它需要与托管受保护工作负荷的环境非常相似。 Azure Stack 中心，其内置 DevOps 和基础结构即代码功能可大大简化应对这一挑战。

角色和职责

规划和实现基于 Azure Stack 集线器的工作负荷的备份和还原通常涉及多个利益干系人之间的交互：

• Azure Stack 中心操作员。 Azure Stack 中心操作员管理 Azure Stack 中心基础结构，确保有足够的计算、存储和网络资源实现全面的备份和还原解决方案，并使这些资源可供租户使用。 它们还与应用程序和数据所有者协作，帮助确定将其工作负荷部署到 Azure Stack 集线器的最佳方法。

• Azure 管理员。 Azure 管理员管理实现混合备份解决方案所需的 Azure 资源。

• Azure AD 管理员。 Azure AD 管理员管理 Azure AD 资源，包括用于设置、配置和管理 Azure 资源的用户和组对象。

• Azure Stack 中心租户 IT 人员。 这些利益干系人设计、实施和管理 MABS，包括其备份和还原。

• Azure Stack 中心用户。 这些用户提供了 RPO 和 RTO 要求，并提交了备份和还原数据和应用程序的请求。

安全注意事项

在混合方案中管理用户数据和应用程序，以保证其他安全注意事项。 这些注意事项可以分为以下几类：

• 备份加密

• Azure 恢复服务保管库保护

MABS 和 Azure 备份强制对静态备份和传输中的备份进行加密：

• 静态加密。 MABS 安装过程中的一个步骤涉及到提供一个通行短语，此密码随后用于在将所有备份上传到 Azure 恢复服务保管库之前对其进行加密。 仅当从该保管库下载备份后，才会进行解密。 通行短语仅适用于创建通行短语和本地安装的 MARS 代理的用户。 务必确保通行短语存储在安全的位置，因为当在 MABS 服务器上执行基于云的还原时，该密码在不同于其中发生备份的服务器上执行。

• 传输中加密。 MABS v3 依赖于) 协议版本 1.2 (的传输层安全性来保护与 Azure 的连接。

Azure 恢复服务保管库提供了许多用于进一步保护联机备份的机制，包括：

• Azure RBAC) (azure 基于角色的访问控制。 Azure RBAC 允许根据最低权限原则委托和隔离责任。 有三个与 Azure 备份相关的内置角色，可限制对备份管理操作的访问：

• 备份参与者。 提供了创建和管理备份的权限，但删除了恢复服务保管库并将访问权限委派给其他人除外。

• Backup 运算符。 提供与备份参与者相同的访问权限，但删除备份和管理备份策略除外。

• 备份读取器。 提供监视备份管理操作的访问权限。

• Azure 资源锁。 你可以选择创建和分配对 Azure Site Recovery 保管库的只读和删除锁定，以减轻意外或恶意更改或删除保管库的风险。

• 软删除。 软删除有助于保护保管库和备份数据免遭意外或恶意删除。 使用软删除时，如果用户删除备份项，则相应的数据将保留14天，允许在该时间段内不丢失数据的情况下进行恢复。 "软删除" 状态中的备份数据的额外14天的保留期不会产生任何费用。 默认情况下启用软删除。

• 保护安全敏感的操作。 每当尝试安全敏感操作（如更改密码）时，Azure 恢复服务保管库都会自动实现一层额外的身份验证。 这一额外验证可帮助确保只有经过授权的用户才执行这些操作。

• 可疑的活动监视和警报。 Azure 备份提供了对与 Azure 备份操作相关的安全敏感事件的内置监视和警报。 备份报表有助于实现使用跟踪、审核备份和还原，以及确定关键备份趋势。

DevOps 注意事项

尽管备份和还原被视为 IT 操作的一部分，但有一些特定于 DevOps 的注意事项需要合并到一个综合性的备份策略中。 Azure Stack 中心有助于自动部署各种工作负荷，包括基于 VM 的应用程序和服务。 你可以利用此功能来简化 MABS 部署 Azure Stack 中心 Vm，从而简化了多租户方案中的初始设置。 通过结合使用 Azure 资源管理器模板、VM 扩展和 DPM PowerShell 模块，可以自动执行 MABS 的配置，包括设置其保护组、保留设置和备份计划。 在 DevOps 的最佳实践精神中，将模板和脚本存储在源代码管理中，并通过管道配置它们的部署。 在需要重新创建还原文件和应用程序数据所需的基础结构的情况下，这些设置还有助于最大程度地减少恢复时间。

成本注意事项

考虑此参考体系结构文档中所述的备份解决方案的成本时，请记住同时考虑本地组件和基于云的组件。 本地组件的定价取决于 Azure Stack 集线器定价模型。 与 Azure 一样，Azure Stack 中心提供通过企业协议和云解决方案提供商计划提供的即用即付的方式。 这种安排包括每个 Windows Server VM 的每月价格。 如果可以选择利用现有的 Windows Server 许可证，则可以显著降低基础 VM 定价的成本。 尽管 MABS 依赖 SQL Server 作为其数据存储，但在运行该实例时，不会有任何与 SQL Server 实例相关联的许可费用，因为该实例专门用于 MABS。

与 Azure 相关的费用与使用以下资源关联：

• Azure 备份。 Azure 备份的定价主要取决于受保护的工作负荷的数量，以及每个 (的压缩和加密) 之前已备份的数据的大小。 在复制 Azure 恢复服务保管库内容时，此成本还受本地冗余存储 (LRS) 和异地冗余存储 (GRS) 的选择影响。 有关详细信息，请参阅 Azure 备份定价。

• Azure ExpressRoute。 Azure ExpressRoute 定价基于以下两种模型之一：

• 无限制数据。 这是每月费用，其中包含所有入站和出站数据传输。

• 计量数据。 这是每月收费，每 gb 的所有入站数据传输都是免费的，并按 gb 收费。

• Azure 导入/导出。 Azure 导入/导出成本包括设备处理的每个设备的一项固定费用。

• Azure 存储。 使用 Azure 导入/导出时，将应用标准的 Azure 存储费率和交易费用。

如果不使用 ExpressRoute，则在备份和还原期间，你可能需要考虑到 Internet 连接的带宽利用率增加。 成本会因多种因素而异，其中包括地理区域、当前带宽使用情况以及 Internet 服务提供商的选择。

替代解决方案

本参考体系结构文档中所述的推荐解决方案理解不是为在 Azure Stack Hub 上运行的用户工作负荷提供备份和还原功能的唯一方法。 客户具有其他选项，其中包括：

• 使用 Windows Server 操作系统中包含的 Windows Server 备份 功能进行本地备份和还原。 然后，用户可以将本地备份复制到长期存储。 此方法通过依赖于 Windows VSS 提供程序来支持应用程序一致的备份，但会增加本地磁盘空间使用和备份维护开销。

• 使用 Azure 备份和本地安装的 MARS 代理进行备份和还原。 此方法最大程度地减少了本地磁盘空间的使用，并自动执行了将备份上载到基于云的存储的过程。 但是，它不支持应用程序一致的备份。

• 备份和还原使用安装在同一数据中心但 Azure Stack 中心以外的备份解决方案进行备份和还原。 此方法可促进涉及到 Azure Stack 集线器断开连接部署模型的方案。

• Azure Stack 集线器–通过使用磁盘快照来备份和还原。 此方法要求已停止要备份的 VM，这通常不是关键业务工作负荷的可行选项，但在某些情况下可能是可接受的。

总结

总之，Azure Stack 中心是一种独特的产品，在许多方面与其他虚拟化平台不同。 因此，它对其 Vm 上运行的工作负荷的业务连续性策略有特殊的注意事项。 利用 Azure 服务有助于简化设计和实现策略。 此体系结构参考文档介绍了如何使用 MABS 备份已连接部署模型中 Azure Stack 中心 Vm 上的文件和应用程序数据。 此方法可让客户从 Azure Stack 集线器的复原能力和可管理性中获益，并从 Azure 云中的超大规模和全球存在中获益。

请务必注意，此处所述的备份解决方案仅重点介绍 Azure Stack 中心 Vm 上的文件和应用程序数据。 这只是总体业务连续性策略的一部分，应考虑影响工作负荷可用性的各种其他方案。 这些问题包括本地化的硬件和软件故障、系统中断、灾难性事件和大规模灾难。