详细步骤
备份存储库是CBR服务的基本单元,使用CBR服务前必须要先购买备份存储库。如果使用量超过购买的容量后将不能再进行备份,因此购买存储库时建议购买自动扩容存储库,避免因为容量问题导致备份失败。
- 登录云备份管理控制台。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 单击“
”,选择“存储 > 云备份 CBR”。选择对应的备份目录。
- 在界面右上角单击“购买云服务器备份存储库”。
- 选择计费模式。
- 包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。
- 按需计费是后付费模式,根据实际使用量进行计费,可以随时购买或删除存储库。费用直接从账户余额中扣除。
如果选择的是按需计费的存储库,则自动扩容建议选择“立即配置”,避免因为容量问题导致备份失败。
- 选择是否启用备份锁定,也可以后续选择开启。
开启备份锁定后,可以避免备份被误删除或者恶意删除,提升数据安全性。
开启备份锁定后,该功能无法关闭,存储库和备份副本将不允许手动删除,请详细阅读说明并确认是否开启,建议开启。
- 其余选项按需配置,具体操作可参见购买云服务器备份存储库。
配置备份策略
存储库购买完成后,可以进行备份策略或复制策略的创建、修改、删除、绑定至存储库等操作。
具体操作请参照策略管理章节。
开启存储库备份锁定
如果在购买存储库时已选择启用备份锁定,可以跳过该步骤。
开启备份锁定为了保护备份的安全,即使在被病毒攻击后、认证信息泄漏的情况下,也能够保证备份数据不被误删。
- 登录云备份管理控制台。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 单击“
”,选择“存储 > 云备份 CBR”。选择对应的备份目录。
- 在任一备份页面,找到目标存储库,单击存储库所在列的“更多 > 开启备份锁定”。
- 在备份锁定弹框中,打开备份锁定开关。
图1 备份锁定
- 单击“确定”。
返回存储库列表,可以看到目标存储库的“备份锁定”列显示为已开启。
![](https://support.huaweicloud.com/bestpractice-cbr/public_sys-resources/note_3.0-zh-cn.png)
开启备份锁定后,该功能无法关闭,存储库和备份副本将不允许手动删除,请详细阅读说明并确认是否开启,建议开启。
备份恢复
当遭受勒索病毒攻击后,当前尚无有效工具能够破解勒索病毒,唯一的方案只能通过备份快速恢复数据。通过备份恢复云服务器时,首先判断该备份是否已被勒索病毒感染,如果备份正常,则参考使用云服务器备份恢复数据;如果备份为勒索加密备份,则建议的备份恢复操作如下:
- 用IAM管理员账号登录登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 在控制台的左侧导航窗格中选择“计算 > 弹性云服务器 ECS”,进入弹性云服务器界面。
- 按照通过规格选型引导购买云服务器在独立的VPC内购买弹性云服务器。
此处使用独立VPC,防止勒索病毒在干净区域内感染。
- 在IAM控制台的左侧导航窗格中选择“存储 > 云备份 CBR”,进入云备份服务界面。
- 在左侧导航栏单击“云服务器备份 > 备份副本”,在备份列表上方,可以通过备份名称、存储库ID、服务器名称、服务器ID等条件搜索,搜索需要恢复的云服务器备份。
图2 筛选备份
- 单击选中的云服务器备份,进入详情页后,单击“磁盘级备份”。
- 单击“创建磁盘”,进入到“购买磁盘”界面,按需创建磁盘。
- 待磁盘创建成功后,将磁盘挂载到步骤3创建的虚拟机上,登录虚拟机查看磁盘下的数据是否正常。
- 步骤9中正常的未加密的数据,可以通过对象存储obsutil工具上传到对象存储桶里。
- 在控制台的左侧导航窗格中选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务界面。
- 单击“权限管理 > 权限 > 创建自定义策略”,策略名称填写ransomware_anti_access,策略配置方式选择json视图,填写权限如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:HeadBucket", "obs:object:GetObjectAcl", "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:*", "OBS:*:*:bucket:ransomware_anti_bucket_tmp" ] } ] }
单击“确定”。
- 单击“用户组 > 创建用户组”,输入用户组名“ransomware_anti_group”,单击确定后,在该用户组的操作栏里单击“授权”,选择策略“ransomware_anti_access”后,确定。
- 单击“创建用户”,输入用户名ransomware_anti_user,访问方式选择“编程访问”,凭证类型选择“访问密钥”,单击“下一步”,选择用户组“ransomware_anti_group”后,“创建用户”创建子用户。
- 创建成功后,获取用户的AK/SK信息,参考obsutil上传对象,将文件上传到临时桶里后,下载即可。
- 文件传输完成后,删除虚拟机,删除临时用户、权限组和临时桶。
周期性演练(可选)
根据数据安全法,需要对数据容灾备份定期开展数据恢复测试。恢复是指利用备份软件把所备份的数据内容恢复到数据源。由于业务系统日常运行过程中,经常无法直接在所备份的服务器进行真实环境恢复操作。但为了验证备份数据的可用性以及备份方案完整性、可靠性以及应对未来系统突发事件发生,可以通过备份新建资源的方式来对备份介质以及备份方案进行检验,来确保备份的可恢复验证。
通过数据备份可开展定期恢复演练,具体步骤可参见云服务器备份演练。