Рекомендации по защите, резервному копированию и восстановлению данных службы хранилища Azure
В этой статье описаны варианты защиты данных и резервного копирования в службе хранилища Azure, сценарии самостоятельного восстановления и возможности восстановления с поддержкой Майкрософт.
Параметры защиты, резервного копирования и восстановления данных
Защита данных службы хранилища Azure относится к стратегиям для:
- Защита учетной записи хранения и данных в ней от удаления или изменения.
- Восстановление данных после удаления или изменения.
В этом разделе представлены доступные параметры защиты данных, резервного копирования и восстановления. Дополнительные сведения см. в статье Параметры резервного копирования и защиты данных.
Параметры защиты данных и резервного копирования
В следующих разделах представлены сценарии защиты данных и рекомендуемые варианты защиты.
- Сценарий 1. Защита учетной записи хранения
- Сценарий 2. Защита контейнера BLOB-объектов
- Сценарий 3. Защита файлов BLOB-объектов
Сценарий 1. Защита учетной записи хранения
Включите блокировку azure Resource Manager (ARM), чтобы заблокировать все учетные записи хранения и предотвратить удаление учетной записи хранения. Дополнительные сведения о блокировке ARM см. в статье Применение блокировки Resource Manager Azure к учетной записи хранения.
Преимущества и ограничения:
- Защищает учетную запись хранения от удаления или изменения конфигурации.
- Не защищает контейнеры или большие двоичные объекты в учетной записи от удаления или перезаписи.
- Он поддерживает Azure Data Lake Storage (ADLS) 2-го поколения.
Сценарий 2. Защита контейнера BLOB-объектов
Включите политики неизменяемости в контейнере для защиты критически важных для бизнеса документов, например для соответствия юридическим или нормативным требованиям.
Преимущества и ограничения:
- Защищает контейнер и его большие двоичные объекты от всех удалений и перезаписей.
- Если действует законная или заблокированная политика хранения на основе времени, учетная запись хранения также защищена от удаления. Контейнеры, для которых не задана политика неизменяемости, не защищены от удаления.
- Он поддерживает ADLS 2-го поколения в предварительной версии.
Дополнительные сведения о политиках неизменяемости в контейнере см. в статье Хранение критически важных для бизнеса данных BLOB-объектов с неизменяемым хранилищем.
Включите обратимое удаление контейнера для восстановления удаленного контейнера в течение указанного интервала.
Преимущества и ограничения:
- Удаленный контейнер и его содержимое могут быть восстановлены в течение срока хранения. Для минимального интервала хранения рекомендуется использовать семь дней.
- Можно восстановить только операции на уровне контейнера, такие как "Удалить контейнер". Обратимое удаление контейнера не позволяет восстановить отдельный BLOB-объект в контейнере, если он удален.
- Он поддерживает ADLS 2-го поколения.
Дополнительные сведения о обратимом удалении контейнеров см. в разделе Обратимое удаление контейнеров.
Сценарий 3. Защита файлов BLOB-объектов
Включите политики неизменяемости для версии BLOB-объекта, чтобы предотвратить удаление версии BLOB-объекта в течение управляемого интервала.
Преимущества и ограничения:
- Защищает версию BLOB-объекта от удаления, а его метаданные — от перезаписи. Операция перезаписи создает новую версию.
- Если хотя бы для одного контейнера включена неизменяемость на уровне версии, учетная запись хранения также защищена от удаления.
- Удаление контейнера завершается ошибкой, если в контейнере существует хотя бы один большой двоичный объект.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения о политиках неизменяемости в версии BLOB-объекта см. в статье Хранение данных, критически важных для бизнеса, с помощью неизменяемого хранилища.
Включите обратимое удаление BLOB-объекта, чтобы восстановить удаленный BLOB-объект или версию BLOB-объекта в течение указанного интервала.
Преимущества:
- Удаленный BLOB-объект или версия BLOB-объекта могут быть восстановлены в течение срока хранения. Для минимального интервала хранения рекомендуется использовать семь дней.
- Он поддерживает ADLS 2-го поколения.
Дополнительные сведения о обратимом удалении BLOB-объектов см. в разделе Обратимое удаление больших двоичных объектов.
Включите snapshot BLOB-объектов, чтобы вручную сохранить состояние большого двоичного объекта в определенный момент времени.
Преимущества и ограничения:
- Большой двоичный объект может быть восстановлен из snapshot, если большой двоичный объект перезаписан. Однако при удалении большого двоичного объекта также удаляются моментальные снимки.
- Он поддерживает ADLS 2-го поколения в предварительной версии.
Дополнительные сведения о моментальных снимках BLOB-объектов см. в разделе Моментальные снимки BLOB-объектов.
Включите управление версиями BLOB-объектов, чтобы автоматически сохранять состояние большого двоичного объекта в предыдущей версии при его перезаписи.
Преимущества и ограничения:
- Каждая операция записи BLOB-объекта создает новую версию. Текущая версия большого двоичного объекта может быть восстановлена из предыдущей версии, если текущая версия удалена или перезаписана.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения об использовании версий BLOB-объектов см. в разделе Управление версиями BLOB-объектов.
Включите восстановление на определенный момент времени, чтобы восстановить набор блочных BLOB-объектов до предыдущей точки во времени.
Преимущества и ограничения:
- Набор блочных BLOB-объектов может быть возвращен в их состояние в определенный момент в прошлом.
- Только операции, выполняемые с блочных BLOB-объектов, возвращаются.
- Все операции, выполняемые с контейнерами, страничными blob-объектами или добавляемыми BLOB-объектами, не возвращаются.
- Он недоступен для ADLS 2-го поколения.
Дополнительные сведения о восстановлении на определенный момент времени см. в статье Восстановление на определенный момент времени для блочных BLOB-объектов.
Копирование данных во вторую учетную запись с помощью репликации объектов службы хранилища Azure или таких средств, как AzCopy или Фабрика данных Azure.
Преимущества и ограничения:
- Данные можно восстановить из второй учетной записи хранения, если основная учетная запись каким-либо образом скомпрометирована.
- Поддерживаются AzCopy и Фабрика данных Azure.
- Репликация объектов не поддерживается.
Параметры восстановления данных
В следующих разделах описаны сценарии восстановления данных и возможные варианты восстановления.
- Сценарий 1. Восстановление учетной записи хранения
- Сценарий 2. Восстановление контейнера BLOB-объектов
- Сценарий 3. Восстановление файлов BLOB-объектов
Вы можете восстановить данные после включения параметров защиты данных и резервного копирования .
Сценарий 1. Восстановление учетной записи хранения
См. раздел Восстановление удаленных учетных записей хранения из портал Azure.
Сценарий 2. Восстановление контейнера BLOB-объектов
Восстановите обратимо удаленный контейнер и его содержимое.
Требования к восстановлению:
- Обратимое удаление контейнера включено.
- Срок хранения обратимого удаления контейнера еще не истек.
Дополнительные сведения см. в статье Включение обратимого удаления контейнеров и управление ими.
Восстановление из второй учетной записи хранения.
Требования для восстановления. Все операции с контейнерами и большими двоичными объектами реплицированы во вторую учетную запись хранения.
Сценарий 3. Восстановление файлов BLOB-объектов
Восстановление BLOB-объектов до предыдущих версий с помощью управления версиями BLOB-объектов.
Требования к восстановлению:
- Управление версиями BLOB-объектов включено.
- Большой двоичный объект имеет одну или несколько предыдущих версий.
Дополнительные сведения см. в статье Включение управления версиями BLOB-объектов и управление ими.
В настоящее время этот параметр не поддерживается для рабочих нагрузок ADLS.
Процедуры восстановления:
Перейдите к затронутму BLOB-объекту из портал Azure.
Выберите многоточие (...) для большого двоичного объекта, который требуется восстановить.
Выберите Просмотреть версии.
Выберите версию, из которую требуется восстановить.
Выберите Сделать текущую версию.
Восстановление BLOB-объектов с помощью обратимого удаления BLOB-объектов.
Требования к восстановлению:
- Обратимое удаление BLOB-объектов включено.
- Срок хранения обратимого удаления не истек.
Дополнительные сведения см. в статье Управление обратимо удаленными BLOB-объектами и их восстановление.
Восстановление набора блочных BLOB-объектов через момент времени.
Требования к восстановлению:
- Восстановление на определенный момент времени включено.
- Точка восстановления находится в пределах интервала хранения.
- Учетная запись хранения не была скомпрометирована или повреждена.
Дополнительные сведения см. в статье Выполнение восстановления на определенный момент времени для данных блочных BLOB-объектов.
Восстановление BLOB-объектов с помощью моментальных снимков.
Требования для восстановления. Большой двоичный объект имеет один или несколько моментальных снимков. Дополнительные сведения см. в статье Создание snapshot BLOB-объекта и управление им в .NET.
Процедуры восстановления:
Перейдите к затронутму BLOB-объекту из портал Azure.
Выберите многоточие (...) для большого двоичного объекта, который требуется восстановить.
Выберите Просмотреть моментальные снимки.
Выберите snapshot, который требуется для восстановления.
Выберите Повысить уровень.
Рекомендации для Azure RBAC
Еще одна рекомендация, чтобы избежать случайного удаления учетной записи, заключается в ограничении числа пользователей, имеющих разрешения на удаление учетной записи с помощью управления доступом на основе ролей (Azure RBAC).
Ниже приведены некоторые рекомендуемые методы.
- Предоставьте доступ только пользователям.
- Ограничьте количество владельцев подписки.
- Используйте Microsoft Entra управление привилегированными пользователями.
- Назначение ролей группам, а не пользователям.
- Назначьте роли, используя уникальный идентификатор роли, а не имя роли.
Дополнительные сведения см. в статье Рекомендации по Azure RBAC.
Восстановление хранилища не поддерживается
Корпорация Майкрософт не поддерживает следующие сценарии восстановления хранилища:
- Восстановление очереди службы хранилища Azure не поддерживается.
- Восстановление записей таблиц службы хранилища Azure не поддерживается, а восстановление удаленных таблиц поддерживается. Дополнительные сведения см. в разделе Поддерживаемая служба восстановления хранилища.
- Восстановление файлов BLOB-объектов Azure без включения защиты файлов BLOB-объектов не поддерживается, но восстановление удаленного контейнера поддерживается. Дополнительные сведения см. в разделе Поддерживаемая служба восстановления хранилища.
Поддерживаемая восстановление хранилища
В этом разделе описывается несколько поддерживаемых сценариев восстановления хранилища при выполнении некоторых предварительных требований.
- Сценарий 1. Восстановление учетной записи хранения (восстановление учетной записи хранения ARM)
- Сценарий 2. Восстановление классической учетной записи хранения
- Сценарий 3. Восстановление контейнера
- Сценарий 4. Восстановление данных и файловой системы ADLS 2-го поколения
- Сценарий 5. Восстановление таблиц
- Сценарий 6. Восстановление диска
Корпорация Майкрософт прилагает все усилия для восстановления данных, но не может гарантировать объем данных, которые можно восстановить.
Сценарий 1. Восстановление учетной записи хранения (восстановление учетной записи хранения ARM)
Предварительные требования:
- Учетная запись хранения была удалена в течение последних 14 дней.
- Учетная запись хранения была создана с помощью модели развертывания Resource Manager Azure.
- Новая учетная запись хранения с тем же именем не была создана с момента удаления исходной учетной записи.
- Пользователю, восстанавливающим учетную запись хранения, должна быть назначена роль Azure RBAC, которая предоставляет разрешения Microsoft.Storage/storageAccounts/write . Сведения о встроенных ролях Azure RBAC, которые предоставляют это разрешение, см. в статье Встроенные роли Azure.
- Убедитесь, что группа ресурсов, которая удалила учетную запись хранения, существует. Если группа ресурсов была удалена, ее необходимо повторно создать вручную.
- [Только для конкретных случаев] Если удаленная учетная запись хранения использовала управляемые клиентом ключи с azure Key Vault, а хранилище ключей также было удалено, перед восстановлением учетной записи хранения необходимо восстановить хранилище ключей. Дополнительные сведения см. в статье Общие сведения о восстановлении azure Key Vault.
Предложения:
- Восстановление учетной записи хранения из существующей учетной записи хранения.
- Восстановите учетную запись хранения с помощью запроса в службу поддержки.
Дополнительные сведения см. в статье Восстановление удаленных учетных записей хранения из портал Azure.
Сценарий 2. Восстановление классической учетной записи хранения
Предварительные требования:
- Новая учетная запись хранения с тем же именем не была создана с момента удаления исходной учетной записи.
- Учетная запись хранения была удалена в течение последних 14 дней.
Предложения:
- Обратитесь за помощью к инженерам поддержки, чтобы оценить ситуацию.
Сценарий 3. Восстановление контейнера
Предварительные требования:
- Репликация учетной записи хранения была настроена на геоизбыточное хранилище (GRS), геоизбыточное хранилище (GZRS), геоизбыточное хранилище с доступом на чтение (RAGZRS) или геоизбыточное хранилище с доступом на чтение (RA-GRS) перед удалением контейнера. Учетные записи хранения с LRS не поддерживаются для восстановления удаленного контейнера.
Предложения:
- Обратитесь за помощью к инженерам поддержки, чтобы оценить ситуацию.
Сценарий 4. Восстановление данных и файловой системы ADLS 2-го поколения
Предварительные требования:
- Учетная запись хранения с включенным иерархическим пространством имен (HNS).
- Файл или папка ADLS 2-го поколения были удалены в течение трех дней.
Предложения:
- Обратитесь за помощью к инженерам поддержки, чтобы оценить ситуацию.
Сценарий 5. Восстановление таблиц
Предварительные требования:
- Вся таблица удаляется с помощью операции DELETE Table без изменения входных данных таблицы.
Предложения:
- Обратитесь за помощью к инженерам поддержки, чтобы оценить ситуацию.
Сценарий 6. Восстановление диска
Предварительные требования:
- Предварительные требования для восстановления диска зависят от нескольких факторов. Например, включено ли обратимое удаление? Или диск восстановления ссылается на управляемый или неуправляемый диск?
Предложения:
- Обратитесь за помощью к инженерам поддержки, чтобы оценить ситуацию.
Восстановление удаленных учетных записей хранения из портал Azure
Конечные пользователи могут восстановить удаленную учетную запись хранения из портал Azure двумя способами:
Восстановление удаленной учетной записи из существующей учетной записи хранения.
Восстановите учетную запись с помощью запроса в службу поддержки.
Восстановление удаленной учетной записи хранения из другой учетной записи хранения
Чтобы восстановить удаленную учетную запись хранения из другой учетной записи хранения, выполните следующие действия.
Перейдите к списку учетной записи хранения в портал Azure.
Нажмите кнопку Восстановить , чтобы открыть панель Восстановление удаленной учетной записи .
Выберите подписку для учетной записи, которую вы хотите восстановить, в раскрывающемся списке Подписка .
В раскрывающемся списке выберите учетную запись для восстановления. Если учетная запись хранения, которую вы хотите восстановить, отсутствует в раскрывающемся списке, ее невозможно восстановить.
Нажмите кнопку Восстановить , чтобы восстановить учетную запись. На портале отображается уведомление о том, что восстановление выполняется.
Дополнительные сведения см. в статье Восстановление удаленной учетной записи из портал Azure.
Восстановление учетных записей хранения с помощью запроса в службу поддержки
В портал Azure перейдите к разделу Справка и поддержка.
Выберите Создать запрос на поддержку.
На вкладке Описание проблемы в поле Тип проблемы выберите Техническая.
В поле Подписка выберите подписку, содержащую удаленную учетную запись хранения.
В поле Служба выберите Управление учетными записями хранения.
В поле Ресурс выберите любой ресурс учетной записи хранения. Удаленная учетная запись хранения не отображается в списке.
Добавьте краткую сводку по проблеме.
В поле Тип проблемы выберите Удаление и восстановление.
В поле Подтип проблемы выберите Восстановить удаленную учетную запись хранения.
На следующем снимку экрана показан пример заполнения вкладки Описание проблемы :
Перейдите на вкладку Рекомендуемое решение и выберите Восстановление учетной записи хранения, контролируемой клиентом.
В раскрывающемся списке выберите учетную запись для восстановления. Если учетная запись хранения, которую вы хотите восстановить, отсутствует в раскрывающемся списке, ее невозможно восстановить.
Выберите Восстановить, чтобы восстановить учетную запись. На портале отображается уведомление о том, что восстановление выполняется.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.