Realice una copia de seguridad de los datos locales de ONTAP en Azure Blob Storage con NetApp Backup and Recovery
Complete algunos pasos en NetApp Backup and Recovery para comenzar a realizar copias de seguridad de datos de volumen desde sus sistemas ONTAP locales a un sistema de almacenamiento secundario y al almacenamiento de blobs de Azure.
|
Los "sistemas ONTAP locales" incluyen los sistemas FAS, AFF y ONTAP Select . |
NOTA Para cambiar hacia y desde las cargas de trabajo de NetApp Backup and Recovery, consulte"Cambiar a diferentes cargas de trabajo de NetApp Backup and Recovery" .
Identificar el método de conexión
Elija cuál de los dos métodos de conexión usará al configurar copias de seguridad de sistemas ONTAP locales a Azure Blob.
-
Conexión pública: conecte directamente el sistema ONTAP al almacenamiento de blobs de Azure mediante un punto de conexión público de Azure.
-
Conexión privada: utilice una VPN o ExpressRoute y enrute el tráfico a través de un punto final privado de VNet que use una dirección IP privada.
Opcionalmente, también puede conectarse a un sistema ONTAP secundario para volúmenes replicados utilizando la conexión pública o privada.
El siguiente diagrama muestra el método de conexión pública y las conexiones que debe preparar entre los componentes. Puede usar un agente de consola que haya instalado en sus instalaciones o un agente de consola que haya implementado en la red virtual de Azure.
El siguiente diagrama muestra el método de conexión privada y las conexiones que debe preparar entre los componentes. Puede usar un agente de consola que haya instalado en sus instalaciones o un agente de consola que haya implementado en la red virtual de Azure.
Prepare su agente de consola
El agente de consola es el software principal para la funcionalidad de la consola de NetApp . Se requiere un agente de consola para realizar copias de seguridad y restaurar sus datos de ONTAP .
Crear o cambiar agentes de consola
Si ya tiene un agente de consola implementado en su red virtual de Azure o en sus instalaciones, entonces está todo listo.
De lo contrario, deberá crear un agente de consola en una de esas ubicaciones para realizar una copia de seguridad de los datos de ONTAP en el almacenamiento de blobs de Azure. No puedes usar un agente de consola que esté implementado en otro proveedor de nube.
-
"Instalar un agente de consola en una región de Azure Government"
NetApp Backup and Recovery es compatible con las regiones de Azure Government cuando el agente de consola se implementa en la nube, no cuando se instala en sus instalaciones. Además, debe implementar el agente de consola desde Azure Marketplace. No es posible implementar el agente de la consola en una región gubernamental desde el sitio web de Console SaaS.
Preparar la red para el agente de consola
Asegúrese de que el agente de consola tenga las conexiones de red necesarias.
-
Asegúrese de que la red donde está instalado el agente de consola permita las siguientes conexiones:
-
Una conexión HTTPS a través del puerto 443 a NetApp Backup and Recovery y a su almacenamiento de objetos Blob("ver la lista de puntos finales" )
-
Una conexión HTTPS a través del puerto 443 a su LIF de administración de clúster ONTAP
-
Para que la funcionalidad de búsqueda y restauración de NetApp Backup and Recovery funcione, el puerto 1433 debe estar abierto para la comunicación entre el agente de la consola y los servicios SQL de Azure Synapse.
-
Se requieren reglas de grupo de seguridad entrante adicionales para las implementaciones de Azure y Azure Government. Ver "Reglas para el agente de consola en Azure" Para más detalles.
-
-
Habilite un punto de conexión privado de VNet para el almacenamiento de Azure. Esto es necesario si tiene una conexión ExpressRoute o VPN desde su clúster ONTAP a la VNet y desea que la comunicación entre el agente de la consola y el almacenamiento de blobs permanezca en su red privada virtual (una conexión privada).
Verificar o agregar permisos al agente de la consola
Para utilizar la funcionalidad de búsqueda y restauración de NetApp Backup and Recovery, debe tener permisos específicos en el rol del agente de consola para que pueda acceder al área de trabajo de Azure Synapse y a la cuenta de almacenamiento de Data Lake. Vea los permisos a continuación y siga los pasos si necesita modificar la política.
Debe registrar el proveedor de recursos de Azure Synapse Analytics (llamado "Microsoft.Synapse") con su suscripción. "Vea cómo registrar este proveedor de recursos para su suscripción" . Debe ser el Propietario o Colaborador de la suscripción para registrar al proveedor de recursos.
-
Identifique el rol asignado a la máquina virtual del agente de consola:
-
En el portal de Azure, abra el servicio Máquinas virtuales.
-
Seleccione la máquina virtual del agente de consola.
-
En Configuración, seleccione Identidad.
-
Seleccione Asignaciones de roles de Azure.
-
Tome nota de la función personalizada asignada a la máquina virtual del agente de consola.
-
-
Actualizar el rol personalizado:
-
En el portal de Azure, abra su suscripción de Azure.
-
Seleccione Control de acceso (IAM) > Roles.
-
Seleccione los puntos suspensivos (…) para el rol personalizado y luego seleccione Editar.
-
Seleccione JSON y agregue los siguientes permisos:
Details
"Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/listAccountSas/action", "Microsoft.KeyVault/vaults/read", "Microsoft.KeyVault/vaults/accessPolicies/write", "Microsoft.Network/networkInterfaces/read", "Microsoft.Resources/subscriptions/locations/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/locks/*", "Microsoft.Network/privateEndpoints/write", "Microsoft.Network/privateEndpoints/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write", "Microsoft.Network/virtualNetworks/join/action", "Microsoft.Network/privateDnsZones/A/write", "Microsoft.Network/privateDnsZones/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/read", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Resources/deployments/delete", "Microsoft.ManagedIdentity/userAssignedIdentities/assign/action", "Microsoft.Synapse/workspaces/write", "Microsoft.Synapse/workspaces/read", "Microsoft.Synapse/workspaces/delete", "Microsoft.Synapse/register/action", "Microsoft.Synapse/checkNameAvailability/action", "Microsoft.Synapse/workspaces/operationStatuses/read", "Microsoft.Synapse/workspaces/firewallRules/read", "Microsoft.Synapse/workspaces/replaceAllIpFirewallRules/action", "Microsoft.Synapse/workspaces/operationResults/read", "Microsoft.Synapse/workspaces/privateEndpointConnectionsApproval/action"
-
Seleccione Revisar + actualizar y luego seleccione Actualizar.
-
Verificar los requisitos de la licencia
Necesitará verificar los requisitos de licencia tanto para Azure como para la consola:
-
Antes de poder activar NetApp Backup and Recovery para su clúster, deberá suscribirse a una oferta de Console Marketplace de pago por uso (PAYGO) de Azure o comprar y activar una licencia BYOL de NetApp Backup and Recovery de NetApp. Estas licencias son para su cuenta y se pueden usar en múltiples sistemas.
-
Para obtener la licencia PAYGO de NetApp Backup and Recovery, necesitará una suscripción a "Oferta de consola de NetApp de Azure Marketplace" . La facturación de NetApp Backup and Recovery se realiza a través de esta suscripción.
-
Para obtener una licencia BYOL de NetApp Backup and Recovery, necesitará el número de serie de NetApp que le permite utilizar el servicio durante la duración y la capacidad de la licencia. "Aprenda a administrar sus licencias BYOL" .
-
-
Necesita tener una suscripción de Azure para el espacio de almacenamiento de objetos donde se ubicarán sus copias de seguridad.
Regiones compatibles
Puede crear copias de seguridad desde sistemas locales a Azure Blob en todas las regiones, incluidas las regiones de Azure Government. Usted especifica la región donde se almacenarán las copias de seguridad cuando configura el servicio.
Prepare sus clústeres ONTAP
Necesitará preparar su sistema local de origen ONTAP y cualquier sistema local secundario ONTAP o Cloud Volumes ONTAP .
La preparación de sus clústeres ONTAP implica los siguientes pasos:
-
Descubra sus sistemas ONTAP en NetApp Console
-
Verificar los requisitos del sistema ONTAP
-
Verificar los requisitos de red de ONTAP para realizar copias de seguridad de datos en el almacenamiento de objetos
-
Verificar los requisitos de red de ONTAP para replicar volúmenes
Descubra sus sistemas ONTAP en NetApp Console
Tanto su sistema ONTAP local de origen como cualquier sistema ONTAP local secundario o sistemas Cloud Volumes ONTAP deben estar disponibles en la página Sistemas de la consola de NetApp .
Necesitará saber la dirección IP de administración del clúster y la contraseña de la cuenta de usuario administrador para agregar el clúster. "Aprenda a descubrir un clúster" .
Verificar los requisitos del sistema ONTAP
Asegúrese de que se cumplan los siguientes requisitos de ONTAP :
-
Mínimo de ONTAP 9.8; se recomienda ONTAP 9.8P13 y posterior.
-
Una licencia de SnapMirror (incluida como parte del paquete Premium o del paquete de protección de datos).
Nota: El “Paquete de nube híbrida” no es necesario cuando se utiliza NetApp Backup and Recovery.
Aprenda cómo "Administrar sus licencias de clúster" .
-
La hora y la zona horaria están configuradas correctamente. Aprenda cómo "Configurar el tiempo de su clúster" .
-
Si va a replicar datos, debe verificar que los sistemas de origen y destino ejecuten versiones de ONTAP compatibles antes de replicar datos.
Verificar los requisitos de red de ONTAP para realizar copias de seguridad de datos en el almacenamiento de objetos
Debe configurar los siguientes requisitos en el sistema que se conecta al almacenamiento de objetos.
-
Para una arquitectura de respaldo en abanico, configure los siguientes ajustes en el sistema principal.
-
Para una arquitectura de respaldo en cascada, configure los siguientes ajustes en el sistema secundario.
Se necesitan los siguientes requisitos de red del clúster ONTAP :
-
El clúster ONTAP inicia una conexión HTTPS a través del puerto 443 desde el LIF entre clústeres al almacenamiento de blobs de Azure para operaciones de copia de seguridad y restauración.
ONTAP lee y escribe datos hacia y desde el almacenamiento de objetos. El almacenamiento de objetos nunca se inicia, simplemente responde.
-
ONTAP requiere una conexión entrante desde el agente de la consola al LIF de administración del clúster. El agente de consola puede residir en una red virtual de Azure.
-
Se requiere un LIF entre clústeres en cada nodo de ONTAP que aloje los volúmenes que desea respaldar. El LIF debe estar asociado con el IPspace que ONTAP debe usar para conectarse al almacenamiento de objetos. "Obtenga más información sobre IPspaces" .
Cuando configura NetApp Backup and Recovery, se le solicita el espacio IP que desea utilizar. Debes elegir el espacio IP con el que está asociado cada LIF. Ese podría ser el espacio IP "predeterminado" o un espacio IP personalizado que usted creó.
-
Los LIF de los nodos y entre clústeres pueden acceder al almacén de objetos.
-
Se han configurado servidores DNS para la máquina virtual de almacenamiento donde se encuentran los volúmenes. Vea cómo "Configurar servicios DNS para la SVM" .
-
Si utiliza un espacio IP diferente al predeterminado, es posible que necesite crear una ruta estática para obtener acceso al almacenamiento de objetos.
-
Actualice las reglas de firewall, si es necesario, para permitir conexiones del servicio NetApp Backup and Recovery desde ONTAP al almacenamiento de objetos a través del puerto 443 y tráfico de resolución de nombres desde la máquina virtual de almacenamiento al servidor DNS a través del puerto 53 (TCP/UDP).
Verificar los requisitos de red de ONTAP para replicar volúmenes
Si planea crear volúmenes replicados en un sistema ONTAP secundario mediante NetApp Backup and Recovery, asegúrese de que los sistemas de origen y destino cumplan con los siguientes requisitos de red.
Requisitos de red de ONTAP local
-
Si el clúster está en sus instalaciones, debe tener una conexión desde su red corporativa a su red virtual en el proveedor de la nube. Normalmente se trata de una conexión VPN.
-
Los clústeres ONTAP deben cumplir requisitos adicionales de subred, puerto, firewall y clúster.
Dado que puede replicar en Cloud Volumes ONTAP o en sistemas locales, revise los requisitos de emparejamiento para los sistemas ONTAP locales. "Consulte los requisitos previos para el peering de clústeres en la documentación de ONTAP" .
Requisitos de red de Cloud Volumes ONTAP
-
El grupo de seguridad de la instancia debe incluir las reglas de entrada y salida requeridas: específicamente, reglas para ICMP y los puertos 11104 y 11105. Estas reglas están incluidas en el grupo de seguridad predefinido.
Prepare Azure Blob como destino de copia de seguridad
-
Puede utilizar sus propias claves personalizadas administradas para el cifrado de datos en el asistente de activación en lugar de utilizar las claves de cifrado administradas predeterminadas por Microsoft. En este caso, necesitará tener la suscripción de Azure, el nombre de Key Vault y la clave. "Aprende a usar tus propias llaves" .
Tenga en cuenta que la copia de seguridad y la recuperación admiten políticas de acceso de Azure como modelo de permisos. El modelo de permisos de control de acceso basado en roles de Azure (Azure RBAC) no es compatible actualmente.
-
Si desea tener una conexión más segura a través de Internet público desde su centro de datos local a la red virtual, existe una opción para configurar un punto de conexión privado de Azure en el asistente de activación. En este caso, necesitará conocer la VNet y la subred para esta conexión. "Consulte los detalles sobre el uso de un punto final privado" .
Cree su cuenta de almacenamiento de blobs de Azure
De forma predeterminada, el servicio crea cuentas de almacenamiento para usted. Si desea utilizar sus propias cuentas de almacenamiento, puede crearlas antes de iniciar el asistente de activación de copia de seguridad y luego seleccionar esas cuentas de almacenamiento en el asistente.
Activar copias de seguridad en sus volúmenes ONTAP
Active las copias de seguridad en cualquier momento directamente desde su sistema local.
Un asistente lo guiará a través de los siguientes pasos principales:
También puedesMostrar los comandos API en el paso de revisión, para que pueda copiar el código para automatizar la activación de la copia de seguridad para sistemas futuros.
Iniciar el asistente
-
Acceda al asistente para activar copias de seguridad y recuperación mediante una de las siguientes maneras:
-
Desde la página Sistemas de la Consola, seleccione el sistema y seleccione Habilitar > Volúmenes de respaldo junto al servicio de Respaldo y recuperación en el panel derecho.
Si el destino de Azure para sus copias de seguridad existe en la página Sistemas de la consola, puede arrastrar el clúster de ONTAP al almacenamiento de objetos Blob de Azure.
-
Seleccione Volúmenes en la barra de Copia de seguridad y recuperación. Desde la pestaña Volúmenes, seleccione Acciones*
icono y seleccione *Activar copia de seguridad para un solo volumen (que aún no tenga habilitada la replicación o la copia de seguridad en el almacenamiento de objetos).
La página de Introducción del asistente muestra las opciones de protección, incluidas instantáneas locales, replicación y copias de seguridad. Si realizó la segunda opción en este paso, aparecerá la página Definir estrategia de respaldo con un volumen seleccionado.
-
-
Continúe con las siguientes opciones:
-
Si ya tienes un agente de consola, ya estás listo. Simplemente seleccione Siguiente.
-
Si aún no tiene un agente de consola, aparecerá la opción Agregar un agente de consola. Consulte Prepare su agente de consola .
-
Seleccione los volúmenes que desea respaldar
Seleccione los volúmenes que desea proteger. Un volumen protegido es aquel que tiene una o más de las siguientes opciones: política de instantáneas, política de replicación, política de copia de seguridad a objeto.
Puede elegir proteger los volúmenes FlexVol o FlexGroup ; sin embargo, no puede seleccionar una combinación de estos volúmenes al activar la copia de seguridad de un sistema. Vea cómo"Activar la copia de seguridad para volúmenes adicionales en el sistema" (FlexVol o FlexGroup) después de haber configurado la copia de seguridad para los volúmenes iniciales.
|
|
Tenga en cuenta que si los volúmenes que elija ya tienen políticas de instantáneas o de replicación aplicadas, las políticas que seleccione más adelante sobrescribirán estas políticas existentes.
-
En la página Seleccionar volúmenes, seleccione el volumen o los volúmenes que desea proteger.
-
Opcionalmente, filtre las filas para mostrar solo volúmenes con determinados tipos de volumen, estilos y más para facilitar la selección.
-
Después de seleccionar el primer volumen, puede seleccionar todos los volúmenes FlexVol (los volúmenes FlexGroup se pueden seleccionar uno a la vez solamente). Para realizar una copia de seguridad de todos los volúmenes FlexVol existentes, marque primero un volumen y luego marque la casilla en la fila del título.
-
Para realizar una copia de seguridad de volúmenes individuales, marque la casilla de cada volumen.
-
-
Seleccione Siguiente.
Definir la estrategia de backup
Definir la estrategia de backup implica configurar las siguientes opciones:
-
Ya sea que desee una o todas las opciones de respaldo: instantáneas locales, replicación y respaldo en almacenamiento de objetos
-
Arquitectura
-
Política de instantáneas locales
-
Objetivo y política de replicación
Si los volúmenes que elige tienen políticas de instantáneas y replicación diferentes a las políticas que selecciona en este paso, se sobrescribirán las políticas existentes. -
Realizar copias de seguridad de la información de almacenamiento de objetos (proveedor, cifrado, redes, política de copia de seguridad y opciones de exportación).
-
En la página Definir estrategia de respaldo, elija una o todas las siguientes opciones. Los tres están seleccionados por defecto:
-
Instantáneas locales: si está realizando una replicación o una copia de seguridad en un almacenamiento de objetos, se deben crear instantáneas locales.
-
Replicación: crea volúmenes replicados en otro sistema de almacenamiento ONTAP .
-
Copia de seguridad: realiza copias de seguridad de los volúmenes en el almacenamiento de objetos.
-
-
Arquitectura: Si eligió replicación y copia de seguridad, elija uno de los siguientes flujos de información:
-
En cascada: la información fluye del almacenamiento primario al secundario y del secundario al de objetos.
-
Distribución en abanico: la información fluye desde el almacenamiento primario al secundario y desde el primario al almacenamiento de objetos.
Para obtener detalles sobre estas arquitecturas, consulte"Planifique su viaje de protección" .
-
-
Instantánea local: elija una política de instantáneas existente o cree una nueva.
Para crear una política personalizada antes de activar la instantánea, consulte"Crear una política" . Para crear una política, seleccione Crear nueva política y haga lo siguiente:
-
Introduzca el nombre de la póliza.
-
Seleccione hasta cinco horarios, normalmente de diferentes frecuencias.
-
Seleccione Crear.
-
-
Replicación: Establezca las siguientes opciones:
-
Objetivo de replicación: seleccione el sistema de destino y SVM. Opcionalmente, seleccione el agregado o los agregados de destino y el prefijo o sufijo que se agregarán al nombre del volumen replicado.
-
Política de replicación: elija una política de replicación existente o cree una nueva.
Para crear una política personalizada antes de activar la replicación, consulte"Crear una política" . Para crear una política, seleccione Crear nueva política y haga lo siguiente:
-
Introduzca el nombre de la póliza.
-
Seleccione hasta cinco horarios, normalmente de diferentes frecuencias.
-
Seleccione Crear.
-
-
-
Copia de seguridad del objeto: si seleccionó Copia de seguridad, configure las siguientes opciones:
-
Proveedor: Seleccione Microsoft Azure.
-
Configuración del proveedor: ingrese los detalles del proveedor y la región donde se almacenarán las copias de seguridad.
Cree una nueva cuenta de almacenamiento o seleccione una existente.
Cree su propio grupo de recursos que administre el contenedor de Blobs o seleccione el tipo de grupo de recursos y el grupo.
Si desea proteger sus archivos de respaldo para que no se modifiquen ni eliminen, asegúrese de que la cuenta de almacenamiento se haya creado con el almacenamiento inmutable habilitado utilizando un período de retención de 30 días. Si desea organizar en niveles los archivos de respaldo más antiguos en Azure Archive Storage para optimizar aún más los costos, asegúrese de que la cuenta de almacenamiento tenga la regla de ciclo de vida adecuada. -
Clave de cifrado: si creó una nueva cuenta de almacenamiento de Azure, ingrese la información de la clave de cifrado que le proporcionó el proveedor. Elija si utilizará las claves de cifrado de Azure predeterminadas o elegirá sus propias claves administradas por el cliente desde su cuenta de Azure para administrar el cifrado de sus datos.
Si elige utilizar sus propias claves administradas por el cliente, ingrese al almacén de claves y a la información de la clave.
Si eligió una cuenta de almacenamiento de Microsoft existente, la información de cifrado ya está disponible, por lo que no necesita ingresarla ahora. -
Redes: elija el espacio IP y si utilizará un punto final privado. El punto final privado está deshabilitado de forma predeterminada.
-
El espacio IP en el clúster ONTAP donde residen los volúmenes que desea respaldar. Los LIF entre clústeres para este espacio IP deben tener acceso a Internet saliente.
-
De manera opcional, elija si utilizará un punto de conexión privado de Azure que haya configurado previamente. "Obtenga información sobre el uso de un punto de conexión privado de Azure" .
-
-
Política de respaldo: seleccione una política de copia de seguridad en almacenamiento de objetos existente o cree una nueva.
Para crear una política personalizada antes de activar la copia de seguridad, consulte"Crear una política" . Para crear una política, seleccione Crear nueva política y haga lo siguiente:
-
Introduzca el nombre de la póliza.
-
Seleccione hasta cinco horarios, normalmente de diferentes frecuencias.
-
Para las políticas de copia de seguridad a objeto, configure las configuraciones DataLock y Ransomware Resilience. Para obtener más detalles sobre DataLock y Ransomware Resilience, consulte"Configuración de la política de copia de seguridad en objeto" .
-
Seleccione Crear.
-
-
Exportar copias de instantáneas existentes al almacenamiento de objetos como copias de respaldo: si hay copias de instantáneas locales para volúmenes en este sistema que coinciden con la etiqueta de programación de respaldo que acaba de seleccionar para este sistema (por ejemplo, diaria, semanal, etc.), se muestra este mensaje adicional. Marque esta casilla para que todas las instantáneas históricas se copien en el almacenamiento de objetos como archivos de respaldo para garantizar la protección más completa para sus volúmenes.
-
-
Seleccione Siguiente.
Revise sus selecciones
Esta es la oportunidad de revisar sus selecciones y realizar ajustes, si es necesario.
-
En la página Revisar, revise sus selecciones.
-
Opcionalmente, marque la casilla para Sincronizar automáticamente las etiquetas de la política de instantáneas con las etiquetas de la política de replicación y copia de seguridad. Esto crea instantáneas con una etiqueta que coincide con las etiquetas de las políticas de replicación y copia de seguridad.
-
Seleccione Activar copia de seguridad.
NetApp Backup and Recovery comienza a realizar las copias de seguridad iniciales de sus volúmenes. La transferencia de línea base del volumen replicado y el archivo de respaldo incluye una copia completa de los datos del sistema de almacenamiento principal. Las transferencias posteriores contienen copias diferenciales de los datos del sistema de almacenamiento primario contenidos en las copias instantáneas.
Se crea un volumen replicado en el clúster de destino que se sincronizará con el volumen principal.
Se crea una cuenta de almacenamiento de Blobs en el grupo de recursos ingresado y los archivos de respaldo se almacenan allí. Se muestra el panel de control de copias de seguridad de volumen para que pueda supervisar el estado de las copias de seguridad.
También puede supervisar el estado de los trabajos de copia de seguridad y restauración mediante el"Página de seguimiento de trabajos" .
Mostrar los comandos API
Es posible que desee mostrar y, opcionalmente, copiar los comandos API utilizados en el asistente Activar copia de seguridad y recuperación. Es posible que desee hacer esto para automatizar la activación de la copia de seguridad en sistemas futuros.
-
Desde el asistente Activar copia de seguridad y recuperación, seleccione Ver solicitud de API.
-
Para copiar los comandos al portapapeles, seleccione el icono Copiar.