Azure Backup Architektur und Komponenten

Sie können den Azure Backup-Dienst verwenden, um Daten auf der Microsoft Azure Cloudplattform zu sichern. In diesem Artikel werden Azure Backup Architektur, Komponenten und Prozesse zusammengefasst.

Was macht Azure Backup?

Azure Backup sichert Daten, den Maschinenzustand und Workloads, die auf lokalen Computern und Azure-VM-Instanzen ausgeführt werden. Es gibt eine Reihe von Azure Backup Szenarien.

Wie funktioniert Azure Backup?

Sie können Computer und Daten mithilfe verschiedener Methoden sichern:

• Sicherung von lokalen Maschinen:

  • Sie können lokale Windows Computer mithilfe des Azure Backup Microsoft Azure Recovery Services (MARS)-Agents direkt auf Azure sichern. Linux-Computer werden nicht unterstützt.
  • Sie können lokale Computer auf einem Sicherungsserver sichern – entweder System Center Data Protection Manager (DPM) oder Microsoft Azure Backup Server (MABS). Anschließend können Sie den Sicherungsserver in einem Azure-Wiederherstellungsdienste-Tresor sichern.

• Azure VMs sichern:

  • Sie können Azure-VMs direkt sichern. Azure Backup installiert eine Sicherungserweiterung auf dem vm-Agent Azure, der auf dem virtuellen Computer ausgeführt wird. Diese Erweiterung sichert die gesamte VM.
  • Sie können bestimmte Dateien und Ordner auf der Azure VM sichern, indem Sie den MARS-Agent ausführen.
  • Sie können Azure-VMs in die MABS sichern, die in Azure ausgeführt werden, und die MABS dann in einen Recovery Services-Tresor sichern.

Erfahren Sie mehr über die sicherbaren Elemente und über unterstützte Sicherungsszenarien.

Wo werden die Daten gesichert?

Azure Backup speichert gesicherte Daten in Tresoren – Recovery Services Vaults und Backup Vaults. Ein Tresor ist eine Onlinespeicherentität in Azure, die zum Speichern von Daten verwendet wird, z. B. Sicherungskopien, Wiederherstellungspunkte und Sicherungsrichtlinien.

Tresore bieten die folgenden Features:

• Tresore vereinfachen die Organisation Ihrer Sicherungsdaten und minimieren gleichzeitig den Verwaltungsaufwand.
• Sie können gesicherte Elemente in einem Tresor überwachen, einschließlich Azure VMs und lokalen Computern.
• Sie können den Tresorzugriff mit Azure rollenbasierten Zugriffssteuerung (Azure RBAC) verwalten.
• Sie können angeben, wie die Daten im Tresor repliziert werden sollen, um für Redundanz zu sorgen:
  • Lokal redundanter Speicher (LRS): Um Ihre Daten vor Server-Rack- und Laufwerksausfällen zu schützen, können Sie LRS verwenden. LRS repliziert Ihre Daten dreimal innerhalb eines einzigen Rechenzentrums in der Primärregion. LRS bietet eine Beständigkeit von mindestens 99,999999999 % (elf Neunen) für Objekte über ein bestimmtes Jahr. Weitere Informationen
  • Georedundanter Speicher (Geo-Redundant Storage, GRS) : Sie können GRS zum Schutz vor regionsweiten Ausfällen verwenden. GRS repliziert Ihre Daten in einer sekundären Region. Erfahren Sie mehr.
  • Zonenredundanter Speicher (ZRS) repliziert Ihre Daten in Verfügbarkeitszonen und gewährleistet dadurch Data Residency und Resilienz in derselben Region. Weitere Informationen
  • Recovery Services-Tresore verwenden standardmäßig GRS.

Recovery Services-Tresore bieten die folgenden zusätzlichen Features:

• In jedem Azure-Abonnement können Sie bis zu 500 Tresore erstellen.

Sicherungsagenten

Azure Backup stellt verschiedene Sicherungs-Agents bereit, je nachdem, welche Art von Computer gesichert wird:

Sicherungstypen

In der folgenden Tabelle werden die verschiedenen Sicherungstypen und deren Verwendung erläutert:

SQL Server Sicherungstypen

In der folgenden Tabelle werden die verschiedenen Arten von Sicherungen erläutert, die für SQL Server Datenbanken verwendet werden und wie oft sie verwendet werden:

SAP HANA Sicherungstypen

In der folgenden Tabelle werden die verschiedenen Arten von Sicherungen erläutert, die für SAP HANA Datenbanken verwendet werden und wie oft sie verwendet werden:

Vergleich von Sicherungstypen

Speicherverbrauch, RTO (Recovery Time Objective) und Netzwerkauslastung variieren je nach Art der Sicherung. In der folgenden Abbildung ist ein Vergleich der Sicherungstypen dargestellt:

• Die Datenquelle A besteht aus 10 Speicherblöcken (A1–A10), die monatlich gesichert werden.
• Die Blöcke A2, A3, A4 und A9 ändern sich im ersten Monat, der Block A5 ändert sich im nächsten Monat.
• Bei differenziellen Sicherungen werden im zweiten Monat die geänderten Blöcke A2, A3, A4 und A9 gesichert. Im dritten Monat werden die gleichen Blöcke erneut gesichert – zusammen mit dem geänderten Block A5. Die geänderten Blöcke werden bis zur nächsten vollständigen Sicherung immer wieder gesichert.
• Bei inkrementellen Sicherungen werden die Blöcke A2, A3, A4 und A9 im zweiten Monat als geändert gekennzeichnet und übertragen. Im dritten Monat wird nur der geänderte Block A5 gekennzeichnet und übertragen.

Sicherungsfunktionen

Die folgende Tabelle enthält eine Zusammenfassung der für die verschiedenen Sicherungstypen unterstützten Features:

Funktion	Direkte Sicherung von Dateien und Ordnern (mit dem MARS-Agent)	Azure VM Backup	Computer oder Apps mit DPM/MABS
Sicherung in einem Tresor
Sichern Sie auf den DPM/MABS-Datenträger und anschließend auf Azure
Komprimierung der gesendeten Daten für die Sicherung		Daten werden unkomprimiert übertragen. Etwas höherer Speicherbedarf, aber schnellere Wiederherstellung.
Inkrementelle Sicherung ausführen
Sicherung deduplizierter Datenträger			Nur für lokal bereitgestellte DPM-/MABS-Server

Grundlagen der Sicherungsrichtlinien

• Eine Sicherungsrichtlinie wird pro Tresor erstellt.
• Eine Sicherungsrichtlinie kann für die Sicherung folgender Workloads erstellt werden: Azure VMs, SQL in Azure VMs, SAP HANA in Azure VMs und Azure Dateifreigaben. Die Richtlinie für Datei- und Ordnersicherungen mit dem MARS-Agent wird in der MARS-Konsole angegeben.
  • Azure Dateifreigabe
• Eine Richtlinie kann einer Vielzahl von Ressourcen zugewiesen werden. Eine Azure VM-Sicherungsrichtlinie kann verwendet werden, um viele Azure VMs zu schützen.
• Eine Richtlinie besteht aus zwei Komponenten.
  • Zeitplan: Diese Komponente gibt an, wann eine Sicherung durchgeführt werden soll.
  • Aufbewahrung: Diese Komponente gibt an, wie lange jede einzelne Sicherung beibehalten werden soll.
• Der Zeitplan kann als „täglich“ oder „wöchentlich“ mit einem bestimmten Zeitpunkt definiert werden.
• Die Aufbewahrung kann für die Sicherungspunkte „täglich“, „wöchentlich“, „monatlich“ oder „jährlich“ definiert werden.
  • „Wöchentlich“ bezieht sich auf eine Sicherung an einem bestimmten Tag der Woche.
  • „Monatlich“ bezieht sich auf eine Sicherung an einem bestimmten Tag des Monats.
  • „Jährlich“ bezieht sich auf eine Sicherung an einem bestimmten Tag des Jahres.
• Die Aufbewahrung für die Sicherungspunkte „monatlich“ und „jährlich“ wird als „Langzeitaufbewahrung“ (Long Term Retention, LTR) bezeichnet.
• Wenn ein Tresor erstellt wurde, wird auch eine Standardrichtlinie mit dem Namen „DefaultPolicy“ erstellt. Diese kann zum Sichern von Ressourcen verwendet werden.
• Jede Änderung der Aufbewahrungsdauer für eine Sicherungsrichtlinie wird nicht nur auf neue Wiederherstellungspunkte, sondern auch rückwirkend auf alle älteren Wiederherstellungspunkte angewendet.

Auswirkung von Richtlinienänderungen auf Wiederherstellungspunkte

• Erhöhte/gesenkte Aufbewahrungsdauer: Wenn die Aufbewahrungsdauer geändert wird, wird die neue Aufbewahrungsdauer auch auf die vorhandenen Wiederherstellungspunkte angewendet. Das resultiert darin, dass einige Wiederherstellungspunkte bereinigt werden. Wenn der Aufbewahrungszeitraum erhöht wird, wird auch die Aufbewahrung der vorhandenen Wiederherstellungspunkte verlängert.
• Änderung von täglich zu wöchentlich: Wenn die geplanten Sicherungen von täglich auf wöchentlich umgestellt werden, werden die vorhandenen täglichen Wiederherstellungspunkte bereinigt.
• Änderung von wöchentlich in täglich: Die vorhandenen wöchentlichen Sicherungen werden entsprechend der aktuellen Aufbewahrungsrichtlinie basierend auf der Anzahl der verbleibenden Tage beibehalten.
• Zeitplan-Tage/Tags werden geändert, die Aufbewahrung bleibt jedoch unverändert: Vorhandene Wiederherstellungspunkte verfallen weiterhin gemäß ihren aktuellen Aufbewahrungseinstellungen. Neue Wiederherstellungspunkte werden für die gelöschten Zeitplan-Tage oder Tags nicht mehr erstellt. Da Azure VM-Sicherung inkrementell ist, erfolgt die Speicherreduzierung allmählich und hängt davon ab, wie viele Daten in abgelaufenen Wiederherstellungspunkten von neueren beibehaltenen Wiederherstellungspunkten überschrieben wurden.

Zusätzliche Referenz

• Azure-VM-Maschine: Wie man Richtlinien erstellt und ändert.
• SQL Server Datenbank auf Azure VM-Maschine: Wie man zum Erstellen und Ändern von Richtlinien.
• Azure-Dateifreigabe: So erstellen und ändern Sie eine Richtlinie.
• SAP HANA: Erstellen und ändern Richtlinie.
• MARS: Informationen zum Erstellen und Ändern von Richtlinien
• Gibt es Beschränkungen bei der Planung der Datensicherung basierend auf der Art der Arbeitslast?
• Was passiert mit den bestehenden Wiederherstellungspunkten, wenn ich meine Aufbewahrungsrichtlinie ändere?

Architektur: Integrierte Azure VM-Sicherung

1. Für Azure VMs, die für die Sicherung ausgewählt sind, startet Azure Backup einen Sicherungsauftrag gemäß dem von Ihnen angegebenen Sicherungszeitplan.

2. Wenn Sie sich für anwendungs- oder dateisystemkonsistente Sicherungen entschieden haben, muss auf der VM eine Sicherungserweiterung installiert sein, um den Momentaufnahmeprozess zu koordinieren.

   Wenn Sie sich für absturzkonsistente Sicherungen entschieden haben, sind keine Agents in den virtuellen Computern erforderlich.

3. Während der ersten Sicherung wird auf dem virtuellen Computer eine Sicherungserweiterung installiert, wenn die VM ausgeführt wird.

   • Für Windows VMs wird die erweiterung VMSnapshot installiert.
   • Für Linux-VMs wird die VMSnapshotLinux-Erweiterung installiert.

4. Für die unter Windows ausgeführten VMs koordiniert Azure Backup mit dem Windows Volume Shadow Copy Service (VSS), um einen anwendungskonsistenten Schnappschuss der VM zu erstellen.

   • Backup erstellt standardmäßig vollständige VSS-Sicherungen.
   • Wenn Backup keine App-konsistente Momentaufnahme erstellen kann, wird eine dateikonsistente Momentaufnahme des zugrunde liegenden Speichers erstellt (weil keine Schreibvorgänge der Anwendung stattfinden, solange die VM beendet ist).

5. Für virtuelle Linux-Computer erstellt Backup eine dateikonsistente Sicherung. Zur Erstellung App-konsistenter Momentaufnahmen müssen Sie Pre- und Postskripts manuell anpassen.

6. Für Windows-VMs wird Microsoft Visual C++ 2015 Redistributable (x64) Version 14.40.33810.0 installiert, der Start des Volumeschattenkopiediensts (Volume Shadow Copy Service, VSS) wird auf automatisch umgestellt, und es wird ein Windows-Dienst IaaSVmProvider hinzugefügt.

7. Nachdem Backup die Momentaufnahme erstellt hat, werden die Daten in den Tresor übertragen.

   • Zur Optimierung der Sicherung werden die einzelnen VM-Datenträger parallel gesichert.
   • Für jeden Datenträger, der gesichert wird, liest Azure Backup die Blöcke auf dem Datenträger und identifiziert und überträgt nur die Datenblöcke, die sich seit der vorherigen Sicherung geändert haben (das Delta).
   • Momentaufnahmedaten werden möglicherweise nicht sofort in den Tresor kopiert. Zu Spitzenzeiten vergehen unter Umständen mehrere Stunden. Bei täglichen Sicherungsrichtlinien beträgt die Gesamtdauer der Sicherung eines virtuellen Computers weniger als 24 Stunden.

Architektur: Direkte Sicherung von lokalen Windows Server Computern oder Azure VM-Dateien oder -Ordnern

1. Um das Szenario einzurichten, müssen Sie den MARS-Agent herunterladen und auf dem Computer installieren. Anschließend wählen Sie aus, was gesichert werden soll, wann Sicherungen ausgeführt werden und wie lange sie in Azure aufbewahrt werden.
2. Die erste Sicherung wird gemäß Ihren Sicherungseinstellungen ausgeführt.
3. Der MARS-Agent erstellt mit VSS eine Momentaufnahme der für die Sicherung ausgewählten Volumes.
   • Der MARS-Agent verwendet nur den Windows Systemschreibvorgang, um die Momentaufnahme zu erfassen.
   • Weil der Agent keine anwendungsspezifischen VSS Writer verwendet, erfasst er keine anwendungskonsistenten Momentaufnahmen.
4. Nach der Erstellung der Momentaufnahme mit VSS erstellt der MARS-Agent eine virtuelle Festplatte (Virtual Hard Disk, VHD) in dem Cacheordner, den Sie beim Konfigurieren der Sicherung angegeben haben. Außerdem speichert der Agent Prüfsummen für die einzelnen Datenblöcke. Diese werden später verwendet, um bei nachfolgenden inkrementellen Sicherungen geänderte Blöcke zu erkennen.
5. Inkrementelle Sicherungen werden gemäß dem angegebenen Zeitplan ausgeführt, sofern Sie keine bedarfsgesteuerte Sicherung ausführen.
6. Bei inkrementellen Sicherungen werden geänderte Dateien identifiziert, und eine neue virtuelle Festplatte wird erstellt. Die VHD wird komprimiert und verschlüsselt und dann an den Tresor gesendet.
7. Nach Abschluss der inkrementellen Sicherung wird die neue VHD mit der VHD zusammengeführt, die nach der ersten Replikation erstellt wurde. Durch diese zusammengeführte VHD erhalten Sie den aktuellen Zustand zum Vergleich für die laufende Sicherung.

Architektur: Sicherung mit DPM/MABS

1. Sie installieren den DPM- oder MABS-Schutz-Agent auf den Computern, die Sie schützen möchten. Dann fügen Sie die Computer einer DPM-Schutzgruppe hinzu.
   • Zum Schutz von lokalen Computern muss sich der DPM- oder MABS-Server in Ihrer lokalen Umgebung befinden.
   • Um Azure VMs zu schützen, muss sich der MABS-Server in Azure befinden, der als Azure VM ausgeführt wird.
   • Mit DPM/MABS können Sie Sicherungsvolumes, Freigaben, Dateien und Ordner schützen. Sie können auch den Systemstatus eines Computers (durch Bare-Metal-Sicherung) sowie spezifische Apps mit App-fähigen Sicherungseinstellungen schützen.
2. Wenn Sie den Schutz für einen Computer oder eine App in DPM/MABS einrichten, wählen Sie die Sicherung auf dem lokalen MABS/DPM-Datenträger für den kurzfristigen Speicher und zum Azure für den Onlineschutz aus. Außerdem geben Sie an, wann die Sicherung auf lokalen DPM/MABS-Speicher ausgeführt werden soll und wann die Onlinesicherung für Azure ausgeführt werden soll.
3. Der Datenträger der geschützten Workload wird gemäß dem angegebenen Zeitplan auf den lokalen MABS-/DPM-Datenträgern gesichert.
4. Die DPM-/MABS-Datenträger werden von dem auf dem DPM-/MABS-Server ausgeführten MARS-Agent im Tresor gesichert.

Azure VM-Speicher

Azure VMs verwenden Datenträger, um ihr Betriebssystem, ihre Apps und Daten zu speichern. Jede Azure VM verfügt über mindestens zwei Datenträger: einen Datenträger für das Betriebssystem und einen temporären Datenträger. Azure VMs können auch Über Datenträger für App-Daten verfügen. Datenträger werden als VHDs gespeichert.

• VHDs werden als Seitenblobs in Standard- oder Premium-Speicherkonten in Azure gespeichert:
  • Standard-Speicher: Zuverlässige, kostengünstige Datenträgerunterstützung für VMs mit Workloads, die nicht latenzempfindlich sind. Standardspeicher kann Standard-SSDs oder Standard-HDDs verwenden.
  • Storage Premium: Unterstützung von Hochleistungsdatenträgern. Verwendet Premium-SSDs.
• Für Datenträger sind verschiedene Leistungsstufen verfügbar:
  • Standard-HDD: Unterstützt von HDDs und wird für kostengünstigen Speicher verwendet.
  • Standard-SSD: Kombiniert Elemente von Premium-SSDs und Standard-HDDs. Bietet eine konsistentere Leistung und Zuverlässigkeit als HDD, ist aber dennoch kostengünstig.
  • Premium SSD: Unterstützt von SSDs und bietet hohe Leistung und niedrige Latenz für VMs, die E/A-intensive Workloads ausführen.
• Datenträger können verwaltet oder nicht verwaltet sein:
  • Nicht verwaltete Datenträger: Herkömmliche Datenträgertypen, die von VMs verwendet werden. Bei diesen Datenträgern erstellen Sie Ihr eigenes Speicherkonto und geben es beim Erstellen des Datenträgers an. Dann müssen Sie herausfinden, wie Sie die Speicherressourcen für Ihre VMs maximieren können.
  • Managed disks: Azure erstellt und verwaltet die Speicherkonten für Sie. Sie geben die Datenträgergröße und Leistungsstufe an, und Azure verwaltete Datenträger für Sie erstellt. Wenn Sie Datenträger hinzufügen und VMs skalieren, verarbeitet Azure die Speicherkonten.

Weitere Informationen zu Datenträgerspeicher und den verfügbaren Datenträgertypen für VMs finden Sie in den folgenden Artikeln:

• Azure Managed Disks für Linux-VMs
• Verfügbare Datenträgertypen für VMs

Sichern und Wiederherstellen von Azure VMs mit Premium-Speicher

Sie können Azure VMs sichern, indem Sie Premiumspeicher mit Azure Backup verwenden:

• Während des Vorgangs zum Sichern virtueller Computer mit Storage Premium erstellt der Backup-Dienst im Speicherkonto einen temporären Stagingspeicherort mit dem Namen AzureBackup- . Die Größe des Stagingspeicherorts entspricht der Größe der Momentaufnahme des Wiederherstellungspunkts.
• Stellen Sie sicher, dass das Premium-Speicherkonto über genügend freien Speicherplatz für den temporären Stagingspeicherort verfügt. Weitere Informationen finden Sie unter Skalierbarkeitsziele für Premium-Seitenblob-Speicherkonten. Ändern Sie den Stagingspeicherort nicht.
• Nach Abschluss des Sicherungsauftrags wird der Zwischenspeicherort gelöscht.
• Die Kosten für den Speicher, der für den Zwischenlagerungsort genutzt wird, entsprechen den Premiumspeicherpreisen.

Wenn Sie Azure VMs mithilfe von Premiumspeicher wiederherstellen, können Sie sie auf Premium- oder Standardspeicher wiederherstellen. In der Regel werden die VMs in Storage Premium wiederhergestellt. Wenn Sie jedoch nur eine Teilmenge der Dateien des virtuellen Computers benötigen, kann die Wiederherstellung in Storage Standard kostengünstiger sein.

Sichern und Wiederherstellen von verwalteten Datenträgern

Sie können Azure VMs mit verwalteten Datenträgern sichern:

• Sie sichern VMs mit verwalteten Datenträgern auf die gleiche Weise wie andere Azure VM. Sie können den virtuellen Computer direkt über die Einstellungen des virtuellen Computers sichern oder die Sicherung für virtuelle Computer im Recovery Services-Tresor aktivieren.
• Virtuelle Computer können auf verwalteten Datenträgern über RestorePoint-Sammlungen gesichert werden, die auf verwalteten Datenträgern aufbauen.
• Azure Backup unterstützt auch das Sichern von VMs mit verwalteten Datenträgern, die mit Azure Disk Encryption verschlüsselt wurden.

Virtuelle Computer mit verwalteten Datenträgern können als vollständiger virtueller Computer mit verwalteten Datenträgern oder in einem Speicherkonto wiederhergestellt werden:

• Während des Wiederherstellungsvorgangs verarbeitet Azure die verwalteten Datenträger. Bei Verwendung der Speicherkontooption verwalten Sie das Speicherkonto, das während des Wiederherstellungsvorgangs erstellt wird.
• Wenn Sie einen verschlüsselten verwalteten VM wiederherstellen, müssen Sie vor dem Starten des Wiederherstellungsvorgangs sicherstellen, dass die Schlüssel und Geheimnisse für den virtuellen Computer im Schlüsseltresor vorhanden sind.

Datenisolation mit Azure Backup

Mit Azure Backup werden die gesicherten Sicherungsdaten in von Microsoft verwalteten Azure-Abonnements und -Mandanten gespeichert. Externe Benutzer oder Gäste haben keinen direkten Zugriff auf diesen Sicherungsspeicher oder deren Inhalte, um die Isolierung von Sicherungsdaten aus der Produktionsumgebung sicherzustellen, in der sich die Datenquelle befindet.

In Azure werden alle Kommunikationen und Daten während der Übertragung sicher mit HTTPS und TLS 1.2+Protokollen übertragen. Diese Daten verbleiben im Azure Backbone-Netzwerk, das eine zuverlässige und effiziente Datenübertragung gewährleistet. Die ruhenden Sicherungsdaten werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie können auch eigene Schlüssel für die Verschlüsselung verwenden, wenn Sie eine bessere Kontrolle über die Daten benötigen. Um den Schutz zu verbessern, können Sie die Unveränderlichkeit benutzen, wodurch verhindert wird, dass Daten vor dem Aufbewahrungszeitraum geändert oder gelöscht werden. Azure Backup bietet Ihnen verschiedene Optionen wie soft delete, das Beenden von Sicherungen und Löschen von Daten oder das Aufbewahren von Daten, wenn Sie Sicherungen jederzeit stoppen müssen. Um kritische Vorgänge zu schützen, können Sie Multi-User Authorization (MUA) hinzufügen, die mithilfe einer Azure Ressource namens Azure Resource Guard zusätzliche Schutzebenen hinzufügt.

Dieser robuste Ansatz stellt sicher, dass vorhandene Sicherungen selbst in einer kompromittierten Umgebung von nicht autorisierten Benutzern weder manipuliert noch gelöscht werden können.

Erfahren Sie mehr über gesicherte Backups für die folgenden Datenquellen:

• Azure Files
• Azure Blob
• Azure Data Lake Storage, Azure Kubernetes
• PostgreSQL - Flexibler Server
• PostgreSQL-Datenbank
• SAP ASE(Sybase)-Datenbank

Nächste Schritte

• Sehen Sie sich die Supportmatrix an, um Informationen zu unterstützten Features und zu Einschränkungen für Sicherungsszenarien zu erhalten.
• Richten Sie die Sicherung für eines der folgenden Szenarien ein:
  • Sicherung von Azure-VMs.
  • Sichern Sie Windows-Computer direkt, ohne einen Sicherungsserver zu verwenden.
  • Richten Sie MABS ein für das Backup nach Azure ein und sichern Sie dann die Workloads auf MABS.
  • Richten Sie DPM für die Sicherung auf Azure ein und sichern Sie anschließend Workloads auf DPM.
  • Sichern einer SharePoint-Farm in Azure Stack.
  • Backup SQL Server auf Azure Stack.