Cum putem proteja mașinile virtuale din Azure folosind Recovery Services

Bogdan Păun

System Engineer Microsoft 365

Ce este serviciul de Recovery Services din Azure?

Recovery Services este serviciul Azure ce ajută la crearea și stocarea copiilor de siguranță, a politicilor de salvare a datelor sau a punctelor de recuperare, indiferent că vorbim de date din Azure sau din infrastructura locală. Toate aceste informații sunt stocate într-un „seif”, în esență un cont de storage, protejat.

Recovery Services are 2 componente principale, ce permit salvarea datelor si recuperarea lor ulterioara, si anume Azure Backup si Azure Site Recovery.

Azure Backup vs Azure Site Recovery

Azure Backup și Azure Site Recovery sunt servicii asemănătoare, în sensul că ambele fac copii de siguranță ale datelor, oferind posibilitatea restaurării datelor la nevoie. Cu toate acestea, cele 2 servicii au roluri diferite în oferirea de suport pentru continuitatea afacerii și a recuperării datelor în caz de dezastru.

Azure Backup este utilizat de obicei pentru protecția datelor la un nivel granular, de exemplu recuperarea unei prezentări de pe un laptop protejat, în cazul coruperii copiei locale.

Pe de altă parte, Azure Site Recovery este utilizat, de exemplu, pentru menținerea unei imagini de siguranță a laptop-ului ca ansamblu, pe o mașină virtuala, într-un datacenter din altă locație.

Atât serviciile de Azure Backup cât și Azure Site Recovery suportă backup incremental indiferent de tipul storage-ului  pe care se va tine copia de siguranță (discuri fizice, casete sau cont de storage din Azure).

Dacă luăm de exemplu 10 blocuri de date, A1 – A10, pentru care facem backup lunar, iar din acele blocuri de date avem blocurile A2, A3, A4 și A9 care suferă modificări în prima lună și blocul A5 care se modifică în luna următoare, în funcție de tipul de backup avem:

  • Backup complet – fiecare sesiune de backup copiază întregul calup de 10 blocuri de date.
  • Backup diferențial – fiecare sesiune intermediară de backup, copiază și reține doar blocurile de date modificate din momentul backup-ului inițial. Cu toate acestea, la următorul backup complet, se vor realiza copii a toate blocurile de date.
  • Backup incremental – metoda de backup care are cea mai bună eficiență de stocare și transfer al datelor, prin copierea doar a blocurilor de date modificate, imediat la următorul backup programat. Folosind backup-ul incremental se elimină nevoia de backup-uri complete la intervale regulate.

Din punct de vedere al securității datelor, tot traficul între echipamentele unde sunt stocate datele inițiale și contul de storage asociat Recovery Services, este criptat folosind Advanced Encryption Standard 256, atât în tranzit cât și în staționare.

Pentru a putea seta procesul de backup pentru mașinile virtuale din Azure, este necesară setarea criptării în interiorul mașinii virtuale. Azure Backup suportă Azure Disk Encription, ce folosește Bitlocker la mașinile virtuale cu Windows si dm-crypt la cele cu Linux.

Atenție: Odată setat „seiful” Recovery Services, doar clientul are acces la cheia de decriptare a acestora. Microsoft nu păstrează nicio copie a cheii generate si nici nu are acces ulterior la ea. Prin urmare, în situația pierderii acestei chei de către client, se pierde și accesul la datele criptate cu acea cheie.

În paragrafele următoare, voi trata mai în detaliu pașii ce trebuie urmați pentru activarea serviciului de backup pentru mașinile virtuale din Azure, adăugând un al doilea nivel de protecție a datelor de pe respectivele mașini.

În funcție de numărul de mașini virtuale ce se doresc a fi protejate și de dorința de a proteja mașini virtuale deja existente sau de a configura backup-ul de la bun început, din procesul de configurare al mașinii virtuale se poate începe fie din meniul „Operations” al mașinii virtuale ,fie din setările „seifului” de Recovery Services.

În acest articol urmărim activarea serviciului de backup pentru o mașină virtuală nou creată din meniul „Operations” al acesteia.

Din portalul Azure, selectăm mașina virtuală pentru care dorim activarea serviciului de backup, fie direct de pe Dashboard, fie din meniul principal -> All Services -> Virtual Machines.

În meniul de administrare al mașinii virtuale, în secțiunea Operations, selectăm Backup, accesând astfel meniul de configurare și activare al serviciului de backup.

În zona de definire a „seifului” pentru Recovery Services avem opțiunea de a selecta un „seif” existent sau de a crea unul nou.

Dacă se optează pentru crearea unui „seif” Recovery Services nou, prin selectarea opțiunii „Create new”, acesta va fi creat automat în aceeași zonă și același grup de resurse ca și mașina virtuală.

Dacă se dorește crearea „seifului” cu alte caracteristici decât cele standard, atunci acesta trebuie creat separat, anterior începerii procesului de activare a backup-ului pentru mașina virtuală, prin accesarea meniului Recovery Services din tab-ul All Services.

În momentul în care selectăm Adaugă un nou „seif” Recovery Services, se deschide o nouă fereastră, solicitând introducerea unui nume, selectarea subscripției, a grupului de resurse și locația unde se va crea acesta.

  • În câmpul Name, introducem o denumire după care să identificăm ușor „seiful” creat.
  • La secțiunea Resource group, selectăm Create new dacă dorim crearea unui nou grup de resurse  sau alegem Select existing daca dorim adăugarea serviciului de Recovery pe un grup existent.
  • Selectăm regiunea geografică și implicit datacenter-ul în care vor fi găzduite datele, de la secțiunea Location.
  • Prin apăsarea butonului Create pornim crearea „seifului” de găzduire a datelor protejate prin Recovery Services.

 Notă: La crearea „seifului” de Recovery Services, acestuia i se alocă în mod standard un cont de storage cu reziliența geo-redundantă (datele sunt stocate în 2 datacenter-e din aceeași zonă geografică). Dacă se dorește scăderea costurilor, reziliența datelor poate fi schimbată pe redundanța locală, însă în acest mod, datele vor avea copii doar într-un singur datacenter (3 copii).

Următorul pas, după crearea / selectarea „seifului” de Recovery Services ce va fi utilizat pentru protecția datelor, este configurarea politicii de protecție (Backup Policy) la care se pot păstra valorile predefinite sau putem crea o politică complet nouă, care să ne acopere cerințele.

Politica de backup definește o matrice ce stabilește la ce interval se fac snapshot-urile datelor și cât timp se mențin acele snapshot-uri pe contul de backup.

Pentru mașinile virtuale, prin politica de backup, putem stabili maxim 1 snapshot / zi.

Aplicarea politicii de backup și pornirea protejării datelor prin copierea lor în „seiful” serviciului de Recovery Services, se face prin apăsarea butonului Enable Backup.

Odată finalizat procesul de configurare, în meniul de management al mașinii virtuale, putem deschide sub-meniul Backup din tab-ul Operations și vizualiza detaliile procesului de backup, inclusiv statusul actual, politica aplicată, data și ora la care s-a finalizat ultimul backup și punctele de recuperare disponibile.

Pentru ca procesul de protejare a datelor să funcționeze corect și să poată proteja o mașină virtuală din Azure, este necesar ca pe mașina virtuală respectivă să avem instalat Azure VM Agent.

Pentru mașinile virtuale create direct în Azure, acest lucru nu reprezintă un impediment, deoarece acest agent este instalat automat la crearea mașinii virtuale.

Dar dacă vrem sa protejăm mașini virtuale ce au fost migrate din infrastructura locală, este necesar să instalăm manual agentul ce ne va permite conectarea la mașina, prin utilizarea kit-ului agent MSI.

Pentru orice întrebări legate de acest articol și ducerea la bun sfârșit a task-urile descrise, mă puteți contacta.