Dieser Artikel erschien zuerst auf Ralfs Blog.
Das hat mich dann doch interessiert: Azure Backup ganz einfach einzurichten? Daten sichern in die Cloud? Sofort fielen mir all die Vorbehalte ein, die es da gibt, so mit Keys, Privacy und so. Also mal selbst probieren und schauen, wie einfach und wie konfigurierbar das ist. Und siehe da: Es geht wirklich ganz einfach.
Die Vorbereitungen
Auf Azure-Seite findet sich das alles unter „Recovery Services“ (heißt ausnahmsweise mal gleich in englischer und in deutscher Oberfläche. Da ich hier in Deutsch schreibe, nehm ich für den Rest aber die deutsche Oberfläche).
Zuerst muss ein „Sicherheitstresor“ angelegt werden. Ein Blick auf die Preise ist grundsätzlich empfehlenswert, so auch hier. Richtet sich nach der Anzahl der Instanzen und der Menge der gesicherten Bytes und ist gar nicht so teuer… Details siehe am Ende des Artikels.
Wo waren wir? Ach ja, Sicherungstresor anlegen (man kann auch mehr als einen haben…): Schnellerfassung: Name, Region, fertig. Das war schon mal ganz einfach. Was macht man jetzt damit? Mal einen Blick hinein werfen. Da gibt es einige Menüpunkte die noch mit „Vorschau“ gekennzeichnet sind (für mich steht da geistig immer ein „Vorsicht“ statt „Vorschau“). Fangen wir mal mit dem üblichen Dashboard an.
Im Dashboard wird schnell klar, dass Azure Backup zwei Arten von Computern unterscheidet:
- Windows-Server sonstwo
- Windows Server in der Azure-Cloud
Dann wollen wir uns die beiden Installationswege auch getrennt anschauen. Wir fangen mal mit den nicht-Azure-Servern an.
Vorgehen für nicht-Azure-Cloud-Server
Installation des Agenten
Ganz oben in der rechten Dashboard-Spalte finden sich die Download-Links für die Agenten für
- Windows Server
- System Center DPM
- Windows Client
- Windows Server Essentials
Mit dem Windows Client hab ich gar nicht gerechnet, daher hab ich mir vorab schon einen Server aufgesetzt (Ich hab da mal was vorbereitet…). Einen Windows Server 2012 R2 um genau zu sein. Unterstützt wird übrigens OS Version ab Windows Server 2008 R2 SP1 sowie Windows Server Essentials 2012 und neuer. Windows 7 und 8 auf Clientseite. VOllständige Liste siehe Link am Ende des Artikels.
Einfach den Installer runterladen und (mit erhöhten Rechten natürlich) starten. Der Installationsordner muss über mindestens 1 GB freien Speicherplatz verfügen, der Cachespeicherort ca. 5%-10% des zu sichernden Volumens (bei mir war der Text zum Installationsordner schon in Deutsch, zum Cachespeicherort noch ein Englisch. Brandaktuell!). Auf Seite 2 die Proxykonfiguration überschreiben falls nötig (offensichtlich wird HTTP bzw. HTTPS verwendet), und Installation starten (.NET Framework 4.5 und Powershell waren bei mir schon installiert).
Die Registrierung
Nach Abschluss der Installation steht da was von „Mit Registrierung fortfahren“. Da klicken wir mal drauf. Aha. Da werden jetzt „Tresoranmeldeinformationen“ gefordert. Hab ich noch nicht. Steht aber dabei, wo die herkommen: Von der Schnellstartseite (also Dashboard) im Azure Backup Tresor. Dann schauen wir mal dort nach… und tatsächlich. Da gibt es einen Punkt „Tresoranmeldedaten“. Draufklicken generiert eine XML-Datei, die irgendwo lokal auf dem zu sichernden Server abgelegt wird. Wer will, kann sie sich auch im Editor ansehen. Die Datei ist recht klein und übersichtlich und enthält – neben Subscription ID etc – auch den privaten Key des Management-Zertifikats. Im Gegensatz zu früheren Versionen von Azure Backup wird mittlerweile das notwendige Zertifikat automatisch erstellt (Fingerprint siehe in der rechten Spalte des Dashboards). Hm. Da wäre jetzt eigentlich Schluss für einige, die alles selbst machen wollen, was mit Keys zu tun hat. Aber ich sag nur: Dranbleiben! Bis zum Schluss in der Zusammenfassung!
Fast schon überflüssig der Hinweis, dass man mit dieser Datei also besonders vorsichtig umgehen sollte (ich mein, da steht „Tresoranmeldedaten“, das ist sicher kein File, dass ich an alle weiterverteile, oder?). Wer die Datei in die Finger bekommt, kann weitere Server im entsprechenden Backup-Tresor anmelden. Zugriff auf vorhandenen Backups hat er damit aber übrigens nicht, das werden wir später noch sehen warum. Die Anmelde-Datei wird übrigens nach 2 Tagen ungültig, daher empfiehlt es sich, einfach für jeden neu zu registrierenden Server die Datei erneut runterzuladen. Leider gibt es bis jetzt noch kein Powershell-CMDlet zum runterladen, aber ich bin mir sicher, das kommt auch noch.
Also dann. Tresoranmeldedatendatei (ein wundervolles Wort…) erfolgreich runtergeladen, dann zurück zu unserem Registrierungsprozess, der wartet ja auf die Datei. Auswählen, wird überprüft, und nochmal schnell draufschauen, ob Region, Tresor usw. korrekt ist. Weiterklicken. Aaah, hier kommt’s. Ein Passwort! Mindestens 16 Zeichen! Mit dem werden alle Sicherungen verschlüsselt, bevor sie zu Azure gehen! Clientseitig! Lokal! Vor dem Transfer! Das Passwort (bzw. der Passphrase) wird nicht an Azure übermittelt, es bleibt bei mir (bzw. bei ihnen natürlich :-). Da gibt es sogar einen Button „Passphrase generieren“, und schon hat man irgendwas mit 36 Zeichen! Aber wir sind ja von Natur aus misstrauisch, also tippen wir selber was ein. Ich zum Beispiel hab einen Satz hier aus diesem Blog genommen… Passphrase speichern? Das ist dann im Klartext, also bitte nicht auf c:\temp ablegen!
Im letzten Schritt wird der Server dann im Azure Backup registriert. Das kann man dann im Portal auch wieder sehen. Dort einfach auf die Karte „Registrierte Elemente“ und dann als Typ „Windows-Server“. Da sollte der neue Server dann stehen, hoffentlich mit einem grünen Haken. Nach Abschluss der Agenten-Installation auf dem Server kommt normalerweise die Konfiguration des Backups, das schauen wir uns weiter unten an. Zuerst noch schnell die Schritte für das Backup von Azure-VMs::
Vorgehen für Azure-VMs
Auf Azure-VMs wird der Agent mittels Erweiterungspaket installiert. Dies geschieht automatisch, wenn der Server registriert wird im Sicherungstresor registriert wird. Hierzu den Reiter Registrierte Elemente öffnen und in der unteren Zeile „Registrieren“ wählen. Da wird dann in zwei Spalten angezeigt, was alles gesichert werden kann an VMs und was bereits registriert ist. Sollte hier eine VM fehlen, einfach nochmal schließen und auch in der unteren Zeile zuerst auf „Ermitteln“ gehen und dann nochmal auf „Registrieren“. Die gewünschte VM anhaken und fertig.
Ebenfalls in der untersten Zeile findet sich auch noch der Punkt „Schützen“ (kommt gleich) und „Registrierung aufheben“. Letzteres entfernt den gerade ausgewählten Server aus der liste, sofern noch keine Sicherung vorgenommen wurde. Ansonsten muss zuerst die Sicherung entfernt werden und dann erst kann die Registrierung aufgehoben werden.
Wurde die VM erfolgreich registriert (dann hat sie einen grünen Haken, den Vorgang kann man auch nachlesen im Reiter „Aufträge“), dann unten auf „Schützen“ klicken. Hier kann man nun – im Gegensatz zu den nicht-Azure-Servern) nur den kompletten Server auswählen, nicht einzelne Dateien. Anschließend kann die Sicherungsrichtlinie ausgewählt werden, die vorgegebene DefaultPolicy sieht eine tägliche Sicherung vor mit 30 Tagen Aufbewahrung. Eine feinere Einstellung (wie bei nicht-Azure-Servern) ist hier nicht möglich. Es lassen sich aber weitere Sicherungsrichtlinien erstellen und zuweisen (Reiter „Richtlinien“). Nach Abschluss dieses Punktes wird die VM automatisch gesichert, eine weitere Konfiguration ist weder möglich noch nötig.
Tja, das war es auch schon. Irgendwie viel einfacher… Beim Backup von Azure-VMs wird also stets die gesamte VM gesichert (scheint so eine Art Snapshot zu sein? Mal nachfragen). Bei nicht-Azure-Servern können einzelne Dateien ausgewählt oder abgewählt werden und es wird quasi ein weiterer möglicher Speicherplatz hinzugefügt. Wie wird das jetzt konfiguriert? Hier die Antwort:
Das Backup
Bisher haben wir also für nicht-Azure-Servern:
- ein Zertifikat für den Registrierungsprozess (automatisch) erzeugt,
- den Agenten lokal installiert
- ein super-kompliziertes Passwort für die Komplettverschlüsselung eingegeben (und auf einem sicheren Medium gespeichert)
- haben damit den Server in Azure registriert zur möglichen Sicherung.
…und für Azure-VMs:
- die VM ausgewählt, registriert und geschützt.
- und sind damit fertig.
Jetzt fehlt also nur noch die eigentliche Sicherung auf den nicht-Azure-Servern, und dazu hat sich wahrscheinlich schon das „Microsoft Azure Backup“-Fenster geöffnet. Worauf warten wir dann noch? Los geht’s! Da das ziemlich Standard ist (ich mein, kennst du ein Backup-Programm, kennst du sie alle…) geh ich jetzt etwas rascher drüber.
Unter Eigenschaften lässt sich das Verschlüsselungspasswort ändern, die Proxy-Einstellungen anpassen, und die Bandbreite einschränken. Unter „Sicherung planen“ wie erwartet die Angaben zu „Was“, „Wann“, „Wie oft“ und „Wie lange“ gesichert werden soll. Das „Wohin“ ist ja klar… Bis zu dreimal täglich kann gesichert werden, und die Standard-Aufbewahrungsrichtlinie sagt:
- Tagessicherung für 180 Tage aufheben
- Wochensicherung (also die Tagessicherung, die am Samstag oder so erstellt wurde) 2 Jahre aufheben
- Monatssicherung (also die Tagessicherung, die am Samstag der letzten Woche erstellt wurde) 5 Jahre aufheben
- Jahressicherung (also die Tagessicherung, die am Samstag der letzten Woche des März erstellt wurde) 10 Jahre aufheben.
Natürlich lässt sich das alles anpassen auf eigene Bedürfnisse. Auf der Folgeseite kommt dann das leidige Thema Erstsicherung zur Sprache. Bei der Erstsicherung muss ja erst mal alles rüber, anschließend sind’s ja dann nur noch die Änderungen, also von der Datenmenge gesehen deutlich weniger. Die Erstsicherung kann entweder über Netz oder Offline erstellt werden. Die Offline-Variante hab ich noch nicht ausprobiert, da schreib ich dann noch einen Blogbeitrag dazu. Also für heute erst mal über Netz. Ich bin dann zurück und hab nur gezielte Ordner ausgewählt und nicht den ganzen Server.
Nochmal bestätigen, und der Job wird angelegt. Für die Ungeduldigen gibt es auch die Aktion „Jetzt sichern“, dann geht’s gleich los. Das war es auch schon. So im Gesamten gesehen gar nicht schwierig oder kompliziert, oder?
Zusammenfassung
Dann nochmal schnell die Zusammenfassung: Azure Backup Service bietet für
- Azure VMs das tägliche Sichern der kompletten VM in einen Sicherungstresor
- nicht-Azure-Servern ein Windows-Backup-ähnliches Programm, dass als Ablageort für die Sicherungen den Azure Sicherungstresor verwendet.
Eine zusätzliche Absicherung der Azure-VM-Backups ist nicht notwendig, da sich die Backup-Daten im gleichen Sicherheitskontext befinden wir die eigentliche VM.
Eine zusätzliche Absicherung der nicht-Azure-VMs erfolgt durch Verschlüsselung mit einem mind. 16stelligen Passphrase auf dem lokalen Client VOR der Übertragung zu Azure. Die Registrierung erfolgt über ein Management-Zertifikat, das automatisch geniert wird, aber auch gerne selbst erstellt werden kann (im Dashboard des Tresors findet sich unten der Punkt „Zertifikat verwalten“ mit der Upload-Möglichkeit, auch für selfsigned Zertifikate. Muss ich mal noch ausprobieren…).
Also für mich hört sich das ganz brauchbar an, oder? Ich hab auch gleich noch meinen Windows 8.1-Laptop gesichert, war genauso einfach:
- Agent runterladen
- Zugangsdaten runterladen
- Installieren
- Registrieren
- Backup konfigurieren
- Starten.
Jetzt werde ich mich mal am Restore versuchen. Im nächsten Blogpost. Oder mit der Offline-Erstsicherung. Mal schauen. Bis dann…
Linkliste
Hier noch ein paar Links zum Thema:
- Übersicht über Windows Azure Backup, TechNet Library
- Microsoft Azure Library zu Backup
- Administer Azure Backup with Windows PowerShell
- Preisbeispiele
http://faq-o-matic.net/?p=6733