Zálohování, to je velké téma. Přijde na přetřes vždy až v okamžiku, když jde o ztrátu dat nebo nedostupnost služeb. Takže to v reálu vypadá tak, že se nasadí nějaký zálohovací systém, nakonfigurují úlohy a život plyne dál. Není otázkou, jestli se někdy něco stane, ale kdyse to stane. Jakmile dojde k nějaké ztrátě dat, požádáte administrátora o obnovu a ejhle, data se (možná) nedaří obnovit. Administrátor ukončí veškeré snahy tím, že se to nedaří a že jste říkali, že chcete data zálohovat a ne obnovovat. Náš software je přece, jak už z názvu vyplívá, zálohovací a nikoliv obnovovacíJ
Windows Azure vstupuje také do této oblasti a nabízí poměrně zajímavé služby. K dispozici je cloud služba Windows Azure Backup, která je sice ještě v režimu preview, nicméně plně funkční. Pokud tedy chcete řešit zálohování vašich serverů bez vstupních investic, s možností okamžitě začít služby využívat a platit jenom za skutečně využívány prostor, je Azure Backup určitě hodně zajímavou alternativou k běžným zálohovacím systémům. Vaše data budou bezpečně uložena v dobře zajištěných a vysoce dostupných datových centrech v Evropě a vy tak můžete získat velmi snadno řešení pro „offsite backup“ s jednoduchým přístupem k zálohovaným datům.
Pokud se podíváme na možnosti zálohování pomocí nástrojů Microsoft, tak máme k dispozici primárně dvě možnosti. První z nich je dobře známý a dodnes hojně využívaný Windows Server Backup a pak mnohem robustnější a hlavně centralizované řešení System Center Data Protection Manager. Právě tyto dvě možnosti Azure backup rozšiřuje a doplňuje. V tomto článku si ukážeme, jak využít první způsob, tedy zálohování jednotlivých serverů pomocí Azure Backup Agenta. V dalším článku si popíšeme a ukážeme, jak využít tuto službu přímo v DPM 2012 SP1.
Zálohy v cloudu můžete spravovat pomocí uživatelsky dobře známého prostředí v operačních systémech Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 Essentials a System Center Data Protection Manager. Jakmile jsou data uložena v cloudu, jakýkoliv autorizovaný uživatel může provádět jejich obnovu.
Jak už jsem zmiňoval dříve, jedná se o zálohy umístěné mimo vaši organizaci. Odpadá tedy péče o zálohovací prostředí a media, nemusíte řešit bezpečné umístění zálohovacích pásek apod. Důležité je, že zálohování je přírůstkové, přenášejí se vždy jenom změny od poslední zálohy. Tím se značně redukuje množství dat, které musíte zálohovat a logicky musí „protéct“ do internetu, a snižuje nároky na rychlost internetového připojení. Logické ale je, že první replika se do cloud úložiště přenést musí.
Jelikož se jedná o cloud službu, je zde logická závislost na internetovém připojení, ale upřímně, kde dnes není. Na druhou stranu v případě totální ztráty produkčního prostředí máte data vždy bezpečně k dispozici a z jakéhokoliv jiného místa.
Opět jsme u výhody cloudu, tedy platíte pouze za to, co skutečně využíváte a „konzumujete“. V případě Azure Backup je účtováno průměrné denní množství komprimovaných dat uložených v Azure za zúčtovací období jeden měsíc. Prvních 5GB je zdarma.
Více o účtování najdete zde: http://www.windowsazure.com/en-us/pricing/details/backup/
Prvním krokem je samotná aktivace Backup Vault. Pokud nemáte aktivní předplatné Azure, aktivujte si trial zde: http://www.windowsazure.com/en-us/pricing/free-trial/
Po aktivaci Azure Backup uvidíte na portálu službu Recovery Services.
Můžeme tedy vytvořit nový Backup Vault.
Po vytvoření nové služby (můžete jich využívat více) mám k dispozici přehled o množství registrovaných a tedy zálohovaných serverů a množství zálohovaných dat. Abychom mohli spustit zálohování serveru, musíme nejprve na vybrané servery nainstalovat agenta a na portálu Azure servery zaregistrovat. Agent je ke stažení přímo na stránce služby. Certifikát pro komunikaci nemusí být komerční, můžete využít self-signed. Každý server může mít certifikát vlastní, nebo můžete pro účely zálohování využít jeden společný. Záleží čistě na vašich bezpečnostních pravidlech a procesech.
Pro testování služby jsem si v Azure vytvořil dva virtuální servery s operačními systémy Windows Server 2008 R2 SP1 a Windows Server 2012. Pro oba systémy jsou postupy, principy a konfigurace totožné.
Nejprve se tedy připojím na svůj server přímo z konzole Azure pomocí RDP a vygeneruju si vlastní certifikát s privátním klíčem. Pokud nevyužijete certifikát komerční nebo z vlastní certifikační autority, vygenerujte si certifikát pomocí makecert.exe.
Více informací naleznete zde: http://msdn.microsoft.com/en-us/library/dn169036.aspx
Po stažení utility makecert.exe spusťte následující příkaz pro vygenerování certifikátu:
makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 CertificateName.cer
V mém případě použiju pro oba servery společný výše vytvořený certifikát a provedu export. Soubor ve formátu .cer nahraju do Azure úložiště a soubor ve formátu .pfx (s privátním klíčem) nahraju na každý zálohovaný server. Pokud mám certifikáty s privátním klíčem na zálohovaných serverech, je nutné nahrát certifikát do úložiště Azure.
Nyní je zapotřebí nainstalovat na zálohované servery Azure Backup agenta, který je ke stažení přímo v konzoli Azure u služby Recovery Services.
Po stažení agenta je zcela na vás, jakým způsobem zajistíte jeho distribuci na zálohované servery. Instalační proces je standartní a není nutné ho zde popisovat. Po několika málo krocích dojde k rychlé instalaci agenta, jehož ikonu hned naleznete na ploše serveru nebo ve start nabídce.
Pokud spustíte aplikaci Windows Azure Backup, otevře se vám velmi povědomé prostředí. Ano, je to prostředí zcela totožné s klasickým Windows Server Backup. Nejenže prostředí je stejné, ale i konfigurace a princip fungování je totožný, což je pro správce serverů příjemné. Pokud se rozhodnete, že na server doinstalujete také komponentu Windows Server Backup, je to samozřejmě možné a obě služby se mohou vzájemně doplňovat. Můžete tak využívat nejen záloh na lokální disky a úložiště, ale doplnit tento systém o zálohy do prostředí Azure.
Nyní už zbývá zálohované servery do Backup Vault zaregistrovat. Registraci spustíte v pravé části konzole a registrací vás opět provede průvodce. Nejprve je nutné zadat nastavení proxy, pokud ho server pro přístup do internetu využívá. V dalším kroku vyberete certifikát, který jsme nahráli do lokálního úložiště serveru. Vaše zálohovaná data jsou šifrovaná a tak je v posledním kroku nutné uvést heslo (passphraze), které bude použito pro šifrování a dešifrování. Nakonec budete informováni o úspěšné registraci serveru. Ověřit to můžeme samozřejmě přímo na portálu Azure.
Služba Azure Backup je v provozu, agenti jsou nainstalováni a servery zaregistrovány. Stačí už jenom na serverech naplánovat zálohovací úlohy. Tuto akci nemusíme nijak detailně popisovat, protože je totožná s dobře známým Windows Server Backup. Spustí se průvodce, zvolíte adresáře, které mají být zálohovány (nelze system state), interval provádění záloh (maximálně 3x denně) a dobu, po jakou se mají zálohy uchovat. Po naplánování a případném ručním spuštění úlohy se začnou vaše data přesouvat do cloudu. Jaká data jsou v Azure zálohována vidíte opět v přehledu na portálu Azure.
Dosud jsme řešili zálohování dat, pojďme se ale podívat, jak zálohovaná data obnovit. A zde je velmi zajímavá a atraktivní možnost. Zálohovaná data můžete obnovit nejen z vlastního zálohovaného serveru, ale také z ostatních registrovaných serverů v Azure. Přímo v aplikace Azure Backup a spuštění obnovy se vás průvodce zeptá, zda chcete obnovit data vašeho serveru nebo zálohovaná data jiného registrovaného serveru.
Pokud si zvolíte možnost jiného serveru, vylistují se vám servery a jejich zálohované adresáře. Pak už stačí pouze vybrat bod obnovy z kalendáře a místo, kam se má obnova provést. Velmi jednoduše a elegantně tak můžete provést obnovu dat ze serveru, který zhavaroval nebo se odporoučel do věčných lovišť. V takovém případě je samozřejmě nutné znát a uvést heslo, které jste pro daného agenta zadávali pro šifrování při registraci serveru do Backup Vault.
Tímto způsobem jsou zálohovaná data serveru chráněna před obnovou kýmkoliv na jiný server. Můžete samozřejmě pro vybrané servery využívat stejné heslo a pak budete vesele zálohovat a obnovovat data mezi servery bez nutnosti cokoliv zadávat. Po dokončení průvodce dojde k obnově dat vybraného serveru a data jsou okamžitě k dispozici. Tímto způsobem mohu od sebe zálohovaná data zabezpečit s využitím jednoho Backup Vault a jednoho společného certifikátu.
Rychlé, jednoduché, efektivní, bezpečné, funkční. Díky tomuto řešení mohu poměrně elegantně vyřešit zálohování vybraných kritických serverů nebo menší organizace. Nemusím kupovat žádný zálohovací software, nemusím kupovat diskové úložiště pro zálohy a řešit péči o něj, ale hlavně mám zálohy uložené mimo vlastní organizaci. A nezapomínejte, platíte pouze za skutečně využívaný diskový prostor.
Zkuste si provést orientační výpočet zde:
http://www.windowsazure.com/en-us/pricing/calculator/?scenario=data-management
Popsané řešení v této první části je samozřejmě pracnější v případě záloh velkého množství serverů. Netřeba ale zoufat, protože Azure Backup lze využít také jako další úložiště pro System Center Data Protection Manager. DPM je vynikající nástroj z rodiny System Center pro centrální zálohování velkých prostředí, kde jsou všechny zálohy konfigurovány a řízeny z jednoho jediného místa. Jak lze Azure Backup pro DPM konfigurovat a využít si ukážeme v dalším článku.
Zálohování, to je (stále) velké téma. Podobně začínal článek, které byl publikován v minulém vydání TechNet Flash a který si můžete přečíst zde. Záměrně první větu ponechám i v tomto článku, protože budeme v tématu zálohování do prostředí Azure pokračovat. Velká část tohoto tématu už byla v předchozím příspěvku zmíněna, dovolte ale pro začátek zopakovat základní fakta.
Azure Backup je cloud služba společnosti Microsoft pro účely zálohování. Díky této službě můžete velmi rychle a efektivně bez vstupních nákladů spustit zálohování do vysoce dostupných a zabezpečených datových center společnosti Microsoft. Tuto službu můžete využívat dvěma způsoby. První způsob byl popsán v předchozím příspěvku a týká se zálohování jednotlivých Windows serverů pomocí Azure Backup Agenta. Tento článek se bude věnovat druhému způsobu a to využití Azure Backup jako externího online úložiště pro centrální zálohovací nástroj System Center Data Protection Manager.
Všechna vaše data jsou v datovém centru uložena v zašifrované podobě a nikdo jiný kromě vás (nebo majitele certifikátu a hesla) nemůže zálohovaná data použít a obnovit.
Ve službě Azure Backup je účtováno průměrné denní množství komprimovaných dat uložených v Azure za zúčtovací období jeden měsíc. Prvních 5GB je zdarma.
Více o účtování najdete zde: http://www.windowsazure.com/en-us/pricing/details/backup/
Jedná se o cloud službu a proto je zde klíčová závislost na internetové konektivitě. Odměnou za tuto závislost je vysoce dostupné úložiště, které je účtováno na základě skutečného využití a vždy k dispozici v případě totální havárie nebo destrukce celého vašeho datového centra.
Orientační výpočet ceny můžete provést zde:
http://www.windowsazure.com/en-us/pricing/calculator/?scenario=data-management
Pro jistotu přikládám i odkaz pro spuštění trial verze Windows Azure:
http://www.windowsazure.com/en-us/pricing/free-trial/
Na úvod jsou tyto informace jistě dostačující, pojďme se tedy podívat, jak využít tuto službu s produktem System Center Data Protection Manager (dále DPM). Zbývá jenom zmínit kroky, které jsme už provedli ke spuštění celého řešení v předchozím článku. Nejprve je nutné vytvořit přímo v portálu Windows Azure tzv. Backup Vault.
Jedná se o úložiště/trezor pro ukládání vašich záloh. Pro účely DPM si vytvořím další, abych oddělil zálohovaná data jednotlivých serverů od dat zálohovaných pomocí DPM.
Na následujícím obrázku vidíte dvě aktivní úložiště pro zálohy.
Cílem tohoto článku není popisovat produkt DPM a proto jenom velmi stručně. Nástroj je členem rodiny System Center a jeho cílem je zajistit organizacím centrální, efektivní, spolehlivé a uživatelsky přívětivé zálohování Microsoft prostředí.
Více o DPM zde: http://technet.microsoft.com/en-us/library/hh758173.aspx
Pro zálohování je možné využívat nejen disková úložiště a páskové knihovny, ale také online úložiště Windows Azure. K tomu je nutné implementovat verzi 2012 SP1 a poslední Cumulative Update 2. Dříve než budete pokračovat, je samozřejmě nutné definovat disková úložiště, nainstalovat DPM agenty na zálohované fyzické a virtuální servery a provést základní konfiguraci celého prostředí. Možná si říkáte, proč je nutné připojovat k DPM diskové úložiště, když chci zálohovat do Azure? Nutné to je, protože všechny zálohy musí být vždy nejprve provedeny na diskové úložiště DPM a teprve potom je provedena záloha této diskové repliky do Azure Backup. DPM agent tedy provádí zálohu dat serverů na disky DPM a teprve tato data jsou zálohována do online úložiště. Pokud budete řešit zálohovací okna, nemusíte se obávat spustit zálohu do Azure klidně v produkčním čase, protože produkční servery se zálohovat nebudou. Záloha bude probíhat pouze z DPM serveru. Vytížení internetové konektivity lze definovat při registraci DPM serveru.
Abychom mohli nově vytvořené online úložiště připojit, je nutné náš DPM server do Azure registrovat. Prvním krokem je přihlášení na portál Windows Azure (http://manage.windowsazure.com) a přímo v části Recovery Services stáhnout a nainstalovat na DPM server Azure Backup Agenta.
Do našeho nově vytvořeného Backup Vault je samozřejmě nutné nahrát certifikát DPM serveru. V mém scénáři použiju totožný certifikát, který jsem využíval v prvním díle pro zálohování jednotlivých serverů. Jenom připomenu, že se nemusí jednat o certifikát komerční, ale vytvořil jsem si vlastní pomocí makecert.exe.
Po výše uvedených krocích, tedy upload certifikátu a instalaci Azure Backup agenta, spustím konzoli DPM a v části Administrace zvolím Register.
Spustí se jednoduchý průvodce podobný průvodci agenta Azure na Windows Serveru. Jakmile vyberu certifikát, průvodce mě po „osahání“ Azure Subscription nabídne Backup Vault, který chci používat.
V dalším kroku registrace můžete konfigurovat, jak se bude zálohování chovat k vaší internetové konektivitě.
Pokud se později rozhodneme vybraná data obnovit, DPM musí nejprve zálohovaná data z Windows Azure obnovit do dočasné složky a až po kompletním přesunu provede obnovu do námi definovaného cíle. Pamatujte na to, abyste v následujícím kroku vybrali složku s dostatečnou kapacitou.
Posledním krokem registrace je volba námi už dříve zmiňovaného hesla (passphrase), které je použito pro zašifrování a samozřejmě také dešifrování našich dat v úložišti Windows Azure.
Tímto je celý proces registrace ukončen a jeho úspěšnost si můžete ověřit v konzoli Windows Azure v části Servers našeho Backup Vault.
V přechozím příspěvku jsme si ukázali, že v části Protected Items máme zobrazeny zálohované adresáře serverů. U DPM se vám zobrazí pouze informace, že máte v této části zálohovaná data, která jsou asociována s vaším DPM serverem. Tento obsah zcela logicky Microsoft nevidí, a nelze ho na portálu interpretovat.
Nyní už zbývá pouze začlenit naše online úložiště do zálohovacích úloh DPM. V logice tvorby Protection Group se vůbec nic nemění, celý proces je stejný, pouze se rozšiřuje o možnost zvolit zálohování do online a definovat interval pro vytváření bodů obnovy (Recovery Points).
Po vytvoření Protection Groups dojde k vytvoření repliky a následně bodů obnovy na diskovém úložišti a poté podle stanoveného plánu začnou data cestovat do Azure. Přehled o množství využívaného prostoru získáte opět na portálu Azure v části Dashboard.
Pokud bude nutné provést obnovu dat, proces v DPM je stále stejný pro všechny typy úložišť. Stačí se přemístit v konzoli DPM do části Recovery a jako zdroj pro obnovu vybrat Online a nabízený bod obnovy v kalendáři. Po ukončení průvodce se spustí proces obnovy tak, jak jsme si popsali výše a hrdinství je u konce. Využívání online úložiště v prostředí DPM je velmi intuitivní a zapadá do zažitých úkonů administrátora.
Představili jsme si druhý způsob využití Microsoft cloud služby Azure Backup. Určitě se jedná o hodně zajímavé řešení, které může významně doplnit vaši stávající infrastrukturu pro zálohování a zajistit další stupeň bezpečnosti a ochrany zálohovaných dat. Zároveň odpadá péče o zálohovací zařízení, nutnost odnášet pásky do jiných lokalit nebo banky apod. V principu nástroje DPM se vůbec nic nemění a služba Azure Backup pouze rozšiřuje možnosti zálohování o další úložiště. Pokud máte implementován DPM server, určitě tuto možnost vyzkoušejte alespoň v rámci trial subscription Windows Azure. Nemáte-li DPM implementován, můžete se vždy obrátit na odborníky, kteří vám jistě velmi rádi produkt naimplementují a celé popisované řešení pomohou zprovoznit.