Microsoft hat bekannt gegeben, dass Azure Backup ab dem 30. April 2025 das Sichern von virtuellen Maschinen von Typ „Trusted Launch“ auch mit der Standardrichtlinie unterstützt. Bisher war dazu eine erweiterte Richtlinie erforderlich. Diese auf den ersten Blick nicht ganz so spektakuläre Neuerung gibt mir Gelegenheit, auf den Unterscheid zwischen Managed-Disks-Snaphots und Blob-Snapshots einzugehen. Der ist nämlich nicht unbedeutend. In meinem Kurs Azure Cloud Architect gehe ich darauf noch tiefer ein.
Widmen wir uns zunächst dem Text der Ankündigung von Microsoft. Das Unternehmens aus Redmond schreibt hierzu: „Im Rahmen unserer fortlaufenden Bemühungen, die Sicherheit und Zuverlässigkeit zu verbessern, unterstützt Azure Backup ab dem 30. April 2025 virtuelle Computer mit vertrauenswürdigem Start auch in der Standardrichtlinie.“ Zum Zeitpunkt der Erstellung dieses Beitrages gilt das wie folgende Abbildung zeigt noch nicht:
Solche Trusted-Launch-VMs verwenden ein virtuelles Trusted Platform Modul (vTMP), Secure Boot und andere erweiterte Sicherheitsmaßnahmen, um virtuelle Maschinen vor Rootkits, Bootkits und anderer bösartiger Software zu schützen.
Sie können die Sicherung solcher Trusted-Launch-VMs mit der Standard-Richtlinie künftig nicht nur im Azure Portal beim zugehörigen Recovery Services Tresor konfigurieren, sondern auch mithilfe der REST-API-Version 2025-01-01, der Azure PowerShell-Version AZ 14.0.0 oder der Befehlszeilenschnittstelle Version 2.73.0 konfigurieren.
Hauptunterschied bei der Sicherungsrichtlinie zwischen „Standard“ und „Erweitert“ ist, dass Sie mit der Standard-Richtlinie nur 1 Mal am Tag (nach Zeitplan) sichern können (Adhoc-Sicherungen gehen natürlich immer) und dass die Aufbewahrung der Betriebsebene nur bis zu 5 Tage für eine schnelle Rücksicherung zur Verfügung steht.
Bei der erweiterten Richtlinie beträgt die maximale Aufbewahrung der Betriebsebene bis zu 30 Tage, Sie können auch mehrmals am Tag per Zeitplan sichern, es werden auch VMs mit Ultra Disks und SSD Premium v2 unterstützt UND als bisheriges Alleinstellungsmerkmal unterstützt die erweiterte Richtlinie Trusted Launch VMs.
Da fragt sich der eine oder andere möglicherweise, worin nun der Neuigkeitswert dieser Ankündigung besteht, wenn das Backup einer Trusted-Launch-VM mit „Azure Backup“ – die zugehörige Azure-Dienst-Entität im Hintergrund ist dann ein Recovery Services Tresor – beim Verwenden einer erweiterten Sicherungsrichtlinie auch bisher schon gelang.
Die Antwort ist schlicht Folgende: Der Sicherungsprozess beim anwendungskonsistenten Sichern von virtuellen Maschinen in Azure mit Azure Backup basiert auf der Zusammenarbeit der VM-Snapshot-Erweiterung und der Volume Copy Shadows Services (innerhalb der VM), dem Changed-Block-Tracking-Verfahren (CBT) sowie den Sicherungsdienst in Azure, dargestellt durch den Recovery Services Tresor sowie ggf. dem Business Continuity Center (ehemals Backup Center).
Was die Snapshot- Erstellung und Verwaltung indes betrifft, setzen die beiden Richtlinientypen „Standard“ und „Erweitert“ auf zwei unterschiedliche Verfahren, namentlich dem klassischen Managed-Disks-Snapshot (bei der Standard-Richtlinie) sowie Blob-Snapshots (bei der erweiterten Richtlinie). Das wiederum hat Auswirkungen auf Kosten, Haltbarkeit und Flexibilität.
Schauen wir uns die Unterscheide im Einzelnen an:
Managed-Disks-Snapshots versus Blob-Snapshots
Wer sich schon länger mit Azure-VMs befasst – oder meinen Kurs Azure Cloud Architect besucht – wird vermutlich wissen, dass verwaltete Datenträger von virtuellen Maschinen in Azure aus Sicht der VM zwar über das Netzwerk präsentierte Blockgeräte sind, in Azure aber als Page-Blobs (Objektspeicher, siehe Kasten) in einem von Microsoft verwalteten Speicherkonto abgelegt sind.
Netzwerk bedeutet aber auch Latenz, da ja der Datenträger nicht vom physischen Host (der die VM hostet) präsentiert wird. Dies würde lediglich für einen sogenannten nicht persistenten temporären Datenträger gelten, aber das ist ein anderes Thema.
Die Verbindung zwischen Managed Disks und VM erfolgt über das interne Azure-Netzwerk, was immerhin trotzdem eine erträglich niedrige Latenz und hohe Zuverlässigkeit bietet. Azure verwendet ein priorisiertes Netzwerkkanal für den Disk-Traffic, um sicherzustellen, dass die erwartete Leistung auch bei Netzwerkbelastung erhalten bleibt. Im Detail hängt die Latenz – die natürlich immer höher ist, als bei der temporären Disk – von verschiedenen Faktoren ab, einschließlich der VM-Größe und des Typs der Disk.
Von solchen verwalteten Datenträgern können jederzeit Snapshots – z. B. als kurzlebiger Backup-Workaround -angefertigt werden. Der Dienst Azure Backup macht sich diesen Umstand bei der Standard-Richtlinie zunutze. Sie können als Nutzer aber jederzeit auch ohne Azure Backup Snapshots ihrer verwalteten Datenträger anfertigen. Diese werden ebenso, wie der Datenträger selbst als Page-Blobs von Microsoft verwaltet. Ich komme gleich zum Unterschied zu den oben erwähnten Blob-Snapshots von Azure Backup.
Einen gewöhnlichen Managed-Disk-Snapshot können Sie jederzeit anfertigen, indem Sie im Azure-Portal zum gewünschten „Datenträger“ navigieren und (in der deutschen Lokalisierung) auf „Momentaufnahme erstellen“ klicken oder in Englisch auf „Create snapshot“.
Der Snapshot braucht dann noch einen Namen sowie die Angaben zum Momentausnahmentyp (Inkrementell oder Vollständig), Quelltyp (hier Disk), Quellabonnement, Quelldatenträger, Sicherheitstyp (hier Trusted Launch), VM-Generation, VM-Architektur und Speichertyp. Standardmäßig ist der Speichertyp für den Snapshot selbst „zonenredundant“. Die in der Abbildung ausgegrauten Werte ergeben sich aus dem angehängten Quelldatenträger.
Nach Fertigstellung des von Microsoft verwalteten Snapshots können Sie die Snapshot-Ressource im Azure Portal lokalisieren und daraus z. B. einen neuen Datenträger machen, den Snapshot kopieren oder eine VM-Imageversion erstellen.
Das gilt in gleicher Weise für einen Datenträger-Snapshot, der von Azure Backup im Rahmen einer Standard-Sicherungsrichtlinie automatisiert erstellt wurde. Da klappt in Kürze auch bei Trusted-Launch-VMs.
Jetzt zu den eigentlichen Unterschieden, bzw. Vor- und Nachteilen im Vergleich zu den von der erweiterten Richtlinie verwendeten Blob-Snapshots:
Der Hauptunterschied liegt in der Art und Weise, wie die Snapshots erstellt und gespeichert werden. Managed-Disk-Snapshots bieten eine vollständige und konsistente Sicherung der gesamten Disk, während ein Blob-Snapshot eine Momentaufnahme eines einzelnen Blobs darstellt.
Managed Disk Snapshots
- Ein Managed-Disk-Snapshot ist stets eine schreibgeschützte, absturzsichere vollständige Kopie einer Managed Disk. Er wird als Managed Disks gespeichert und bieten eine konsistente Sicherung der gesamten Disk.
- Managed-Disk-Snapshots sind speziell für das Sichern von VM-Daten konzipiert und bieten eine höhere Konsistenz und Zuverlässigkeit im Vergleich zu Blob-Snapshots.
- Managed-Disk-Snapshots haben Vorteile in Bezug auf Konsistenz und Zuverlässigkeit, weil Sie mehr Optionen für die Verwaltung und Sicherung von VMs erlauben.
- Dank deren Unterstützung mit der Standard-Richtlinie von Azure Backup lassen sie sich besser in bestehende Backup-Strategien und -Prozesse integrieren, was die Verwaltung und Automatisierung erleichtert.
- Allerdings – und das ist unter Umständen ein Nachteil – können Managed-Disk-Snapshots unter Umständen teurer sein.
Blob-Snapshots
- Ein Blob-Snapshot ist stets eine schreibgeschützte Version eines Blobs, die zu einem bestimmten Zeitpunkt erstellt wird.
- Blob-Snapshots sind identisch mit dem Basis-Blob, außer dass die URL des Snapshots einen DateTime-Wert enthält, der den Zeitpunkt der Erstellung angibt.
- Normalerweise werden Blob-Snapshots für die Sicherung und Wiederherstellung von Daten verwendet und können in verschiedenen Zugriffsebenen (Hot, Cool) gespeichert werden.
- Sie können Blob-Snapshots bei einem kundenverwalteten Speicherkonto jederzeit im Azure-Portal in ihrem Blob-Container oder über die REST-API erstellen.
- Allerdings müssen Sie beim Verwenden von Blob-Snapshots im Rahmen einer erweiterten Sicherungsrichtlinie von Azure Backup gar kein Speicherkonto erstellen und können demzufolge auch gar keinen Blob-Snapshot direkt anstoßen, wie bei einem eigenen Speicherkonto mit Container-Speicher.
- Vielmehr erstellt und verwaltet Azure Backup die Blob-Snapshots im Hintergrund, basierend auf der verwendeten erweiterten Backup-Richtlinie.
- „Sehen“ können Sie diese Art von Snapshot im Azure-Portal nur indirekt. Sie können z. B. im „Business Continuity Center“ auf „geschützte Elemente“ klicken und dort auf „Wiederherstellen“. Sie befinden sich dann sozusagen imaginär auf der Blob-Snapshot-Ebene, können jetzt z. B. im Abschnitt „Datenquelltyp“ bei „Datenquelltyp“ den Eintrag „Azure Virtual Machines“ wählen und im Abschnitt „Wiederherstellungsdetails“ bei „Lösung“ den Eintrag „Azure Backup“, um aus diesem Snapshot eine (neue) virtuelle Maschine wiederherzustellen. Schließlich wählen Sie im Abschnitt „Details zum geschützten Element“ durch Klick auf „Auswählen“ die geschützte VM aus:
Das Wiederherstellen eines VM (einschließlich aller ihrer Disks) aus Blob-Snapshots. Jede VM kann u. U. mehrere Disks haben.
Unabhängig davon, ob die Momentaufnahme als Teil des Sicherungsprozess einer VM-Sicherung mit der Standardrichtlinie auf Basis von Managed-Disks-Snapshots oder auf Basis von Blob-Snapshots mit der erweiterten Richtlinie erstellt wurde, können Sie eine Wiederherstellung natürlich jederzeit auf dem Recovery Services Tresor anstoßen.
Klicken Sie dazu „im“ Recovery Services Tresor im Abschnitt „Geschützte Elemente“ bei „Sicherungselemente“ auf die „1“ neben „Azure Virtual Machines.“ Danach suchen Sie in der Liste Ihrer VM-Sicherung die gewünschte heraus und klicken in der Spalte „Details“ auf den Link „View details“. Sofern wenigstens ein anwendungskonsistenter Wiederherstellungspunkt“ vorhanden ist können Sie jetzt durch Klick auf eine der beiden Schaltflächen wahlweise einen kompletten „Virtuellen Computer wiederherstellen“ oder eine „Dateiwiederherstellung“ initiieren.
Fazit
Sichern Sie Azure-VMs mit Azure Backup (Recovery Services Tresor heißt die Entität) können Sie das mit Hilfe der Standard-Sicherungsrichtlinie oder einer erweiterten Sicherungsrichtlinie tun. Erstere verwendet immer „Managed-Disk“-Snapshots, die erweiterte Richtlinie verwendet immer „Blob-Snapshots“. So weit so gut.
Handelt es sich bei der zu sichernden VM um eine Trusted-Launch-VM, ließ sich diese bisher nur mir der erweiterten Richtlinie erfolgreich sichern, ab dem 30. April gelingt dies auch mit der Standard-Richtlinie.
Managed Disks Snapshots sind jederzeit im Azure-Portal sichtbar und lassen sich auch ohne den Dienst Azure Backup von jedem beliebigen verwalteten Datenträger anfertigen, um daraus wieder einen „neuen Datenträger“ oder eine „VM-Imageversion“ zu erstellen.
Im Rahmen von Azure Backup werden Blob-Snapshots von Datenträger bei Verwendung der erweiterten Richtlinie im Hintergrund erstellt und als Page-Blobs verwaltet. Sie sind sonst nirgendwo sichtbar.
Unabhängig vom Szenario einer VM-Disk, die von Microsoft als Objekt in einem automatisch erstellten und verwalteten Objektspeicher (Storage Account) als Page-Blob ablegt wird, können Sie aber von jedem beliebigen Blob in ihren eigenen Speicherkonten jederzeit Snapshots erstellen. Dies können dann auch Block-Blobs oder Append-Blobs sein. Dies ermöglicht z. B. auch eine zeitpunktbezogene Widerherstellung eines Blobs oder Containers.
Bezogen auf VM-Datenträger sind Managed-Disk-Snapshot flexibler, weil sie zu diesem Zweck konzipiert wurden. Sie können aber je nach Typ und Eigenschaft des Quelldatenträger sowie der Redundanzeinstellungen des Sicherungsspeichers unter Umständen höhere Kosten verursachen.
Sie können natürlich auch manuell eine (z. B. von Hyper-V exportierte) VHD als Objekt in ein kundenverwaltetes Speicherkonto hochladen, um z. B. von dort aus, einen neuen Datenträger zu erstellen. In diesem Fall können Sie natürlich trotzdem Blob-Snapshots selbst erstellen, indem bei markiertem Objekt (hier eine VHD) auf „Momentaufnahme erstellen“ klicken.
