NetBackup™ Snapshot Manager for Cloud 安装和升级指南
- 简介
- 第 I 部分. NetBackup Snapshot Manager for Cloud 安装和配置
- 准备 NetBackup Snapshot Manager for Cloud 安装
- 使用容器映像部署 NetBackup Snapshot Manager for Cloud
- 部署 NetBackup Snapshot Manager for Cloud 扩展
- 开始安装 NetBackup Snapshot Manager 扩展前
- 下载 NetBackup Snapshot Manager 扩展
- 在 VM 上安装 NetBackup Snapshot Manager 扩展
- 在 Azure 中的托管 Kubernetes 群集 (AKS) 上安装 NetBackup Snapshot Manager 扩展
- 在 AWS 中的托管 Kubernetes 群集 (EKS) 上安装 NetBackup Snapshot Manager 扩展
- 在 GCP 中的托管 Kubernetes 群集 (GKE) 上安装 NetBackup Snapshot Manager 扩展
- 使用 Kustomize 和 CR YAML 安装扩展
- 管理扩展
- NetBackup Snapshot Manager for Cloud 提供商
- 用于保护云主机/VM 上资产的配置
- Snapshot Manager for Cloud 目录库备份和恢复
- NetBackup Snapshot Manager for Cloud 资产保护
- NetBackup Snapshot Manager for Cloud 中的卷加密
- NetBackup Snapshot Manager for Cloud 安全
- 第 II 部分. NetBackup Snapshot Manager for Cloud 维护
- NetBackup Snapshot Manager for Cloud 日志记录
- 升级 NetBackup Snapshot Manager for Cloud
- 卸载 NetBackup Snapshot Manager for Cloud
- 准备卸载 NetBackup Snapshot Manager
- 备份 NetBackup Snapshot Manager
- 取消配置 NetBackup Snapshot Manager 插件
- 取消配置 NetBackup Snapshot Manager 代理
- 删除 NetBackup Snapshot Manager 代理
- 从独立 Docker 主机环境中删除 NetBackup Snapshot Manager
- 删除 NetBackup Snapshot Manager 扩展 - 基于 VM 或基于托管 Kubernetes 群集
- 还原 NetBackup Snapshot Manager
- 对 NetBackup Snapshot Manager for Cloud 进行故障排除
- 对 NetBackup Snapshot Manager 进行故障排除
- 如果 Windows 实例与 NetBackup Snapshot Manager 主机失去连接,SQL 快照或还原及粒度还原操作将失败
- 如果原始磁盘与实例分离,则磁盘级别快照还原将失败
- 即使将系统托管标识分配给控制节点池后,发现也无法工作
- GCP 从快照备份的性能问题
- 主机代理上的迁移后操作失败并显示错误消息
- 文件还原作业失败并显示错误消息
- 未收到 datamover 的确认
- 备份和还原作业失败并显示超时错误
- 使用加密密钥进行 GCP 还原失败并显示错误消息
- Amazon Redshift 群集和数据库在发现后不可用
- 共享 VPC 子网不可见
- 容器管理器可能无法及时生成临时注册容器
- GCP 从 VM 还原无法获取防火墙规则
- 参数化 VM 还原无法检索加密密钥
- 从安全类型为“可信启动”的 VM 的快照还原失败
- Snapshot Manager 无法针对指定的插件实例检索指定的云域
- 出现 SELinux 配置问题
- OCI 从快照备份和从备份副本还原出现性能问题
- 连接到 Amazon Linux 2023 计算机失败
- 从快照副本还原单个文件失败并显示错误
- Windows 云 VM 上的 MS SQL 应用程序备份、还原或 SFR 作业失败并显示错误
- 出现状态码 49 错误
- 从备份还原失败并显示错误
在 Microsoft Azure 上配置权限
NetBackup Snapshot Manager 必须有权访问 Microsoft Azure 资产,然后才能保护这些资产。您必须关联 NetBackup Snapshot Manager 用户可用于处理 Azure 资产的自定义角色。
以下是自定义角色定义(JSON 格式),它使 NetBackup Snapshot Manager 能够执行以下操作:
配置 Azure 插件和发现资产。
创建主机和磁盘快照。
将快照还原到原始位置或新位置。
删除快照。
表:Microsoft Azure 云提供商的 NetBackup Snapshot Manager 功能与权限
|
功能 |
任务/操作 |
所需权限 |
|---|---|---|
|
基于 VM | ||
|
从快照备份 |
为“从快照备份”创建共享访问签名 URI。 |
Microsoft.Storage/*/read |
|
为“从快照备份”生成共享访问签名 URI。 |
Microsoft.Compute/restorePointCollections/restorePoints/retrieveSasUris/action | |
|
获取从磁盘还原点进行读取的访问权限,以便在执行“从快照备份”时创建备份副本。 |
Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/beginGetAccess/action | |
|
成功执行“从快照备份”后,获取还原点的最终访问权限。 |
Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/endGetAccess/action | |
|
从快照创建备份 |
获取对快照数据的访问权限。 |
Microsoft.Compute/snapshots/beginGetAccess/action |
|
在将快照中的数据复制到备份后结束 URI。 |
Microsoft.Compute/snapshots/endGetAccess/action | |
|
从快照备份中还原 |
为受管磁盘创建共享访问签名 URI。 |
Microsoft.Compute/disks/beginGetAccess/action |
|
从快照备份后删除共享访问签名 URI。 |
Microsoft.Compute/disks/endGetAccess/action | |
|
保护虚拟机 |
列出 VM、VM 扩展集和挂接的磁盘。 |
Microsoft.Compute/*/read |
|
保护 SQL 数据库 |
列出要保护的 Azure SQL 数据库。 |
Microsoft.Sql/*/read |
|
从快照/还原点还原磁盘 |
创建用于还原的磁盘。 |
Microsoft.Compute/disks/write |
|
回滚还原/还原清理 |
在回滚还原中还原 VM。 或者 在还原工作流程出现故障时进行清理。 |
Microsoft.Compute/virtualMachines/delete |
|
还原磁盘 |
标识可用于还原磁盘/文件的磁盘挂接点。 |
Microsoft.Compute/virtualMachines/vmSizes/read |
|
清理 |
如果还原工作流程出现故障,在清理时删除公用 IP。当原始 VM 具有公用 IP 且备用位置还原失败时。 |
Microsoft.Network/publicIPAddresses/delete |
|
创建快照工作流程失败并因此发生回滚时,删除 RPC。 |
Microsoft.Compute/restorePointCollections/delete | |
|
列出资源(发现) |
获取资源组和位置信息。 |
Microsoft.Resources/*/read |
|
发现 |
列出订购,其可用于列出要保护的资产。 |
Microsoft.Subscription/*/read |
|
快照和还原 |
向快照添加标记,以指示标记是由 Snapshot Manager 创建的 将最初存在于 VM 中的标记添加到还原的 VM。 |
Microsoft.Resources/subscriptions/tagNames/tagValues/write Microsoft.Resources/subscriptions/tagNames/write |
|
快照 |
保护磁盘快照免遭意外删除。 |
Microsoft.Authorization/locks/* |
|
列出还原点 |
列出用于还原的快照(还原点)。 |
Microsoft.Compute/restorePointCollections/read |
|
列出快照 |
列出和映射 VM 的还原点。 |
Microsoft.Compute/restorePointCollections/restorePoints/read |
|
列出磁盘快照 |
列出磁盘还原点,以确保应用程序一致性。 |
Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/read |
|
写入快照 |
增量快照作为还原点(应用程序一致性)。 |
Microsoft.Compute/restorePointCollections/restorePoints/write |
|
快照清理 |
在还原失败时进行清理。 |
Microsoft.Compute/restorePointCollections/restorePoints/delete |
|
创建还原点集合 |
如果为 VM 触发了快照,则创建 RPC,每个 VM 1 个。 |
Microsoft.Compute/restorePointCollections/write |
|
还原 VM |
在还原中创建 VM。 |
Microsoft.Compute/virtualMachines/write |
|
打开已还原的 VM,如保护计划中所述。 |
Microsoft.Compute/virtualMachines/start/action | |
|
获取 ADE 扩展详细信息(如果已安装)。 |
Microsoft.Compute/virtualMachines/extensions/read | |
|
在还原时安装 ADE 扩展。 |
Microsoft.Compute/virtualMachines/extensions/write | |
|
更改 VM 的状态。停止 VM 以进行回滚还原。 |
Microsoft.Compute/virtualMachines/powerOff/action | |
|
列出网络,以还原到与原始资源相同的网络,或还原到用户选择的网络。 |
Microsoft.Network/*/read | |
|
列出客户管理的密钥。 |
Microsoft.KeyVault/vaults/keys/read | |
|
在工作流程出现故障时进行清理,以执行回滚还原。 |
Microsoft.Network/networkInterfaces/delete | |
|
将网络接口卡连接到还原的 VM。 |
Microsoft.Network/networkInterfaces/join/action | |
|
创建用于 VM 还原的网络接口卡。 |
Microsoft.Network/networkInterfaces/write | |
|
在还原期间将网络安全组连接到 VM。 |
Microsoft.Network/networkSecurityGroups/join/action | |
|
为 VM 还原创建网络安全组(如果原始 VM 有一个)。 |
Microsoft.Network/networkSecurityGroups/write | |
|
如果原始 VM 具有公用 IP,则在还原中附加公用 IP。 |
Microsoft.Network/publicIPAddresses/join/action | |
|
如果原始 VM 具有公用 IP,则在还原中创建公用 IP。 |
Microsoft.Network/publicIPAddresses/write | |
|
在子网中创建 VM,即加入子网。 |
Microsoft.Network/virtualNetworks/subnets/join/action | |
|
基于 Kubernetes 群集 | ||
|
获取群集信息 |
获取群集信息。 |
Microsoft.ContainerService/managedClusters/agentPools/read |
|
缩减/扩展 |
获取群集的功能。 |
Microsoft.ContainerService/managedClusters/read |
|
缩减 |
保持 VM 扩展集的状态。 |
Microsoft.Compute/virtualMachineScaleSets/delete/action |
|
扩展 |
保持 VM 扩展集的状态。 |
Microsoft.Compute/virtualMachineScaleSets/write |
|
Marketplace 部署 | ||
|
高可用性 |
将 Snapshot Manager 数据磁盘挂接到 VM 扩展集实例。 |
Microsoft.Compute/virtualMachineScaleSets/write |
|
(缩减)保持 VM 扩展集的状态。 |
Microsoft.Compute/virtualMachineScaleSets/delete/action | |
对于受支持的 PaaS 数据库,要使用托管标识执行发现、创建、删除、数据库身份验证和时间点还原操作(仅适用于 Azure SQL 和 Managed Instance 数据库),需要以下一组权限:
actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Subscription/*/read",
"Microsoft.Resources/*/read",
"Microsoft.ManagedIdentity/*/read",
"Microsoft.Sql/*/read",
"Microsoft.Sql/servers/databases/write",
"Microsoft.Sql/servers/databases/delete",
"Microsoft.Sql/managedInstances/databases/write",
"Microsoft.Sql/managedInstances/databases/delete",
"Microsoft.DBforMySQL/servers/read",
"Microsoft.DBforMySQL/servers/databases/read",
"Microsoft.DBforMySQL/flexibleServers/read",
"Microsoft.DBforMySQL/flexibleServers/databases/read",
"Microsoft.DBforMySQL/servers/databases/write",
"Microsoft.DBforMySQL/flexibleServers/databases/write",
"Microsoft.DBforMySQL/servers/databases/delete",
"Microsoft.DBforMySQL/flexibleServers/databases/delete",
"Microsoft.DBforPostgreSQL/servers/databases/delete",
"Microsoft.DBforPostgreSQL/flexibleServers/databases/delete",
"Microsoft.DBforPostgreSQL/servers/databases/write",
"Microsoft.DBforPostgreSQL/flexibleServers/databases/write",
"Microsoft.DBforPostgreSQL/servers/read",
"Microsoft.DBforPostgreSQL/servers/databases/read",
"Microsoft.DBforPostgreSQL/flexibleServers/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.DBforPostgreSQL/flexibleServers/databases/read"
],PaaS 工作负载所需的其他权限
"Microsoft.DBforMySQL/servers/read", "Microsoft.DBforMySQL/servers/databases/read", "Microsoft.DBforMySQL/flexibleServers/read", "Microsoft.DBforMySQL/flexibleServers/databases/read", "Microsoft.DBforPostgreSQL/servers/read", "Microsoft.DBforPostgreSQL/servers/databases/read", "Microsoft.DBforPostgreSQL/flexibleServers/read", "Microsoft.DBforMariaDB/servers/read", "Microsoft.DBforMariaDB/servers/databases/read", "Microsoft.DBforPostgreSQL/flexibleServers/databases/read", "Microsoft.Sql/*/write", "Microsoft.Sql/*/delete"
如果对 PaaS Azure SQL 和 Managed Instance 使用系统托管标识,请将同一组权限/规则应用于介质服务器和 Snapshot Manager。如果使用用户托管标识,请将同一用户托管标识挂接到介质服务器和 Snapshot Manager。
Azure Cosmos DB for NoSQL 所需的权限
"Microsoft.DocumentDB/databaseAccounts/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/throughputSettings/read" "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/throughputSettings/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/storedProcedures/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/storedProcedures/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/triggers/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/triggers/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/userDefinedFunctions/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/userDefinedFunctions/write", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/throughputSettings/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/throughputSettings/write"
Azure Cosmos DB for MongoDB 所需的权限
"Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/read", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/write", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/collections/read", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/collections/write", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/delete", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/collections/throughputSettings/read", "Microsoft.DocumentDB/databaseAccounts/mongodbDatabases/collections/throughputSettings/write", "Microsoft.DocumentDB/databaseAccounts/listKeys/action"
Microsoft Azure 对象存储的发现、备份、还原和身份验证需要以下权限集
{
"properties": {
"roleName": "cosp_minimal",
"description": "minimal permission required for cos protection.",
"assignableScopes": [
"/subscriptions/<Subsfription_ID>"
],
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.ApiManagement/service/*",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blob/read",
],
"notDataActions": []
}
]
}
}要使用 powershell 创建自定义角色,请执行 Azure 文档中提及的步骤。
例如:
New-AzureRmRoleDefinition -InputFile "C:\CustomRoles\ReaderSupportRole.json"
要使用 Azure CLI 创建自定义角色,请执行 Azure 文档中提及的步骤。
例如:
az role definition create --role-definition "~/CustomRoles/ ReaderSupportRole.json"
注意:
在创建角色之前,必须先将之前提供的角色定义(JSON 格式的文本)复制到 .json 文件,然后将该文件用作输入文件。在前面显示的示例命令中,ReaderSupportRole.json 将用作包含角色定义文本的输入文件。
要使用此角色,请执行以下操作:
将此角色分配给在 Azure 环境中运行的应用程序。
在 NetBackup Snapshot Manager 中,使用应用程序的凭据配置 Azure 脱离主机插件。