Как быстро обеспечить хранение в «облаке»
.
Общая информация
Windows Azure Backup позволяет создавать резервные копии файлов в одном из двух возможных сценариев:
- резервное копирование изолированного сервера;
- резервное копирование членов групп защиты, управляемых диспетчером Data Protection Manager из состава Microsoft System Center (DPM). Этот сценарий реализуем только при использовании DPM 2012 SP1 и DPM 2012 R2.
Для архивации в «облако» необходимо следующее:
- учетная запись Azure или подписка;
- сертификат;
- идентификационная фраза;
- агент Windows Azure Backup.
Рассмотрим подробнее необходимые компоненты.
Учетная запись Azure или подписка
Учетная запись Azure создается на сайте Windows Azure (/www.windowsazure.com). Неизвестно, как долго это предложение будет оставаться в силе, но сейчас, на момент написания статьи, существует возможность создания бесплатной пробной учетной записи. Пробная учетная запись позволяет протестировать основные функции службы, чтобы выбрать оптимальный вариант решения.
Если вы работаете как администратор службы под уже существующей учетной записью, то к своей подписке вам потребуется добавить службы восстановления Recovery Services. Собственную учетную запись можно добавить самостоятельно. Подробнее о разнице между учетной записью Azure и подпиской рассказано в документе «Управление учетными записями, подписками и административными ролями» (msdn.microsoft.com/en-us/library/windowsazure/hh531793.aspx).
Оформив подписку, создайте хранилище для резервных копий. Можно держать все резервные копии в одном хранилище, либо создать несколько хранилищ.
Сертификат
Сертификат используется для предоставления доступа к хранилищу, он должен быть загружен в хранилище. Сертификат необходимо импортировать на каждый сервер, к которому будет применяться архивация.
В качестве сертификата можно использовать любой действительный сертификат SSL, выданный доверенным удостоверяющим центром (CA), чьи корневые сертификаты распределяются через программу корневых сертификатов Microsoft. Сертификат должен удовлетворять следующим требованиям:
- сертификат должен быть в формате x.509 v3;
- должен существовать файл формата. cer, содержащий открытый ключ для загрузки в хранилище;
- длина ключа должна быть не менее 2048 разрядов;
- для сертификата должно действовать расширенное использование ключа (EKU) проверки подлинности клиента (ClientAuthentication);
- срок действия сертификата не должен превышать трех лет;
- сертификат должен храниться в персональном хранилище сертификатов на локальном компьютере, где устанавливается агент Windows Azure Backup;
- при установке сертификата он привязывается к закрытому ключу.
При отсутствии сертификата, выпущенного CA, можно вручную с помощью утилиты MakeCert.exe создать самоподписанный сертификат. Утилита MakeCert.exe входит в состав пакета SDK Windows (msdn.microsoft.com/en-us/windowsserver/bb980924.aspx). После загрузки SDK Windows файл MakeCert.exe можно найти в папке \Bin каталога установки SDK. Создать сертификат, отвечающий всем требованиям Microsoft, позволит следующая команда:
Makecert.exe -r -pe -n «CN=AZUREBACKUP» -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -e 12/12/2015 -len 2048 AZUREBACKUP.cer
Дату истечения срока действия, указанную здесь как 12/12/2015, можно изменить. Однако не следует устанавливать дату, отдаленную от текущего момента более чем на три года.
Идентификационная фраза
Идентификационная фраза используется для шифрования резервных копий перед их помещением в хранилище. К выбору и хранению идентификационной фразы следует подходить ответственно, поскольку эти данные не используются совместно с Microsoft. Иными словами, при утрате идентификационной фразы вы не сможете выполнить восстановление по резервной копии.
Для всех серверов можно использовать одну и ту же идентификационную фразу, что, однако, было бы подобно вводу одного и того же пароля для всех посещаемых вами веб-сайтов. Возможно? Да. Безопасно? Нет. Рекомендуется использовать разные идентификационные фразы для каждого сервера, архивируемого в «облако».
После загрузки сертификата не закрывайте веб-интерфейс доступа к хранилищу, поскольку он вам вскоре понадобится. Упоминая об идентификационной фразе, я не говорил о том, как ее установить. Рассмотрим это в разделе, посвященном установке агента Windows Azure Backup.
Агент Windows Azure Backup
Агент Windows Azure Backup можно загрузить с веб-сайта Windows Azure. Ссылка появляется при выборе хранилища резервных копий. Существует две разновидности клиента:
- для Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и DPM;
- для Windows Server Essentials.
Процесс установки происходит обычным образом. Предлагается указать местоположение кэша. Это должен быть том со свободным пространством, составляющим не менее 10% от объема набора архивируемых данных. Это место, куда агент Windows Azure Backup будет помещать резервную копию на время выполнения сжатия и шифрования перед копированием в хранилище.
Предлагается также указать идентификационную фразу. Ее можно создать самостоятельно, а можно поручить это мастеру (см. экран 1). Сохраните идентификационную фразу в надежном месте.
Экран 1. Создание идентификационной фразы |
По завершении установки агента нужно зарегистрировать сервер. Это позволит выбрать сертификат, который будет использоваться на данном сервере, и привести его в соответствие с сертификатом, уже загруженным в хранилище резервных копий.
В рамках сценария изолированного сервера можно зарегистрировать сервер, запустив агент Windows Azure Backup и выбрав вариант Register Server, как показано на экране 2.
Экран 2. Регистрация изолированного сервера с?помощью агента Windows Azure Backup |
Сервер DPM можно зарегистрировать из окна консоли администрирования DPM, как показано на экране 3.
Экран 3. Регистрация сервера DPM из окна консоли администрирования DPM |
Оба действия инициируют запуск одного и того же мастера регистрации.
Как работает Windows Azure Backup
Теперь, когда мы знаем, как настроить Windows Azure Backup, поговорим о том, что конкретно делает эта служба. Поскольку существует два сценария использования Windows Azure Backup, рассмотрим каждый из них отдельно.
Изолированный сервер. Как показано на рисунке 1, сценарий изолированного сервера предельно прост. Агент Windows Azure Backup, внешне подобный системе архивации данных Windows Server, предписывает службе теневого копирования тома (VSS) создать моментальный снимок архивируемого набора данных. Работа VSS предусматривает, что при создании моментального снимка данные приводятся в согласованное состояние, а затем фиксируются (то есть изменения блокируются). Чтобы обеспечить согласованное состояние, VSS получает от модулей записи инструкции по поводу того, как обрабатывать соответствующие наборы данных. Модуль записи есть для Microsoft SQL Server, Microsoft Exchange, реестра и т.д.
Рисунок 1. Работа агента Windows Azure Backup в случае изолированного сервера |
В случае Windows Azure Backup, VSS не использует модулей записи. На экране 4 показаны результаты выполнения команды VSSAdmin для вывода данных моментального снимка в ходе работы агента Windows Azure Backup. Как можно заметить, модули записи здесь не используются.
Экран 4. Выполнение команды VSSAdmin (модули записи не используются) |
Без модуля записи наборы данных, которые должны быть подготовлены к фиксации, не могут быть сформированы. Получается, что данные, требующие специального модуля записи VSS, нельзя заархивировать с помощью Windows Azure Backup. Это означает невозможность резервного копирования Exchange, SQL Server, состояния системы. Архивируются только файлы автономных данных. Однако если требуется архивировать SQL Server в «облачное» хранилище, не стоит падать духом. Для этого можно использовать решение на основе DPM.
Решение на основе DPM. DPM обеспечивает защиту различных серверов, создавая их резервные копии по группам защиты. Обычно этим функции DPM и ограничиваются. Однако если на DPM-сервере установить агент Windows Azure Backup, то можно осуществлять резервное копирование членов групп защиты в «облачное» хранилище, как показано на рисунке 2.
Рисунок 2. Решение на основе DPM |
После установки агента Windows Azure Backup в DPM появляется возможность выбора защиты в сети (см. экран 5). После включения и настройки этого варианта группы защиты DPM будут копироваться в «облачное» хранилище, то есть защита ваших данных распространится в «облако».
Экран 5. Выбор защиты в сети в DPM |
Как в случае изолированного сервера, так и при использовании решения на основе DPM, резервные копии создаются локально и шифруются с помощью идентификационной фразы, указанной при установке. Затем созданные резервные копии загружаются в «облачное» хранилище, где и остаются в течение периода, определяемого политикой хранения.
Ограничения
Для изолированного сервера и решений на основе DPM предусмотрены разные сроки хранения архивных данных. В изолированном сценарии резервные копии могут храниться до 30 дней. Срок хранения может быть установлен в планировщике агента Windows Azure Backup.
В сценарии с использованием DPM максимальный срок хранения резервных копий составляет 120 дней. Кроме того, существует предельное число в 120 резервных копий или предельный объем в 850 Гбайт для каждого защищенного источника данных. Эти параметры можно задать в мастере настройки групп защиты DPM.
Есть и другие ограничения, о которых следует знать. Windows Azure Backup нельзя применять в следующих случаях:
- используемый том отформатирован под файловую систему, отличную от NTFS;
- тип диска – не базовый;
- том предназначен только для чтения;
- том – автономный (вне сети);
- том находится на общем сетевом ресурсе.
Быстрый и простой способ архивации в «облако»
Хотите ли вы копировать файлы прямо в «облако» или намерены усилить защиту с помощью DPM, Windows Azure Backup позволяет быстро создавать внешние резервные копии. Следует, однако, знать, что с помощью этой службы могут быть защищены не все наборы данных. Дополнительную информацию можно найти на веб-странице документации по службам восстановления (www.windowsazure.com/en-us/documentation/services/recovery-services/).