Pular para o conteúdo principal

Laboratório Técnico: Create and configure a backup policy

Questões

Questão 1 — Múltipla Escolha

Uma equipe de operações precisa garantir que máquinas virtuais em três regiões diferentes do Azure sejam protegidas por backups com políticas distintas: uma com retenção de 30 dias, outra com 90 dias e uma terceira com 1 ano. O Recovery Services Vault foi criado na região Leste dos EUA.

Qual afirmação descreve corretamente a relação entre vaults e regiões nesse cenário?

A) Um único vault pode proteger VMs de qualquer região, pois o backup é um serviço global do Azure.

B) É necessário criar um vault separado em cada região onde as VMs estão hospedadas, pois o vault deve ser co-localizado com os recursos protegidos.

C) O vault pode proteger VMs de outras regiões, mas os dados de backup sempre trafegam para a região do vault, o que pode aumentar custos e latência.

D) Um único vault pode conter políticas distintas aplicadas a VMs de regiões diferentes, desde que as VMs estejam na mesma assinatura.

Questão 2 — Cenário Técnico

Um administrador configurou um backup de VM no Azure Backup com a seguinte política:

Frequência: Diária
Horário: 02:00 UTC
Retenção de ponto diário: 7 dias
Retenção de ponto semanal: 4 semanas (domingo)
Retenção de ponto mensal: Não configurada
Retenção de ponto anual: Não configurada

Após 35 dias, o administrador verifica que existem pontos de recuperação com mais de 7 dias ainda disponíveis. Ele conclui que a política está com defeito.

Qual é a explicação correta para esse comportamento?

A) O Azure Backup ignora a retenção diária quando há sobreposição com pontos semanais, mantendo o ponto mais antigo como referência.

B) Os pontos de domingo que se qualificam como pontos semanais são retidos por 4 semanas, mesmo que o prazo de 7 dias da retenção diária já tenha expirado, pois as regras de retenção se acumulam.

C) Existe um período de carência de 30 dias no Azure Backup antes que qualquer ponto de recuperação seja excluído, independente da política configurada.

D) A política foi sobrescrita por uma política padrão do vault que impõe retenção mínima de 30 dias.

Questão 3 — Verdadeiro ou Falso

Ao excluir um Recovery Services Vault no Azure, a operação é concluída com sucesso mesmo que existam itens de backup protegidos e dados retidos dentro do vault.

Questão 4 — Cenário Técnico

Uma empresa precisa proteger um banco de dados SQL Server hospedado em uma VM do Azure. O administrador navega até o Recovery Services Vault, tenta adicionar o backup, mas o SQL Server não aparece na lista de workloads disponíveis para seleção.

Vault: vault-producao-eastus
Tipo de backup: Azure Virtual Machine -> (SQL Server não listado)

Qual é a causa mais provável e a ação correta?

A) O backup de SQL Server em VM não é suportado pelo Azure Backup; a solução correta é usar o Azure SQL Managed Instance.

B) O tipo de carga de trabalho correto para SQL Server em VM é SQL in Azure VM, e a extensão AzureBackupWindowsWorkload precisa ser instalada e registrada na VM antes que o SQL apareça como item protegível.

C) O vault precisa ser recriado com o tipo Application Aware habilitado durante a criação, pois essa opção não pode ser alterada após o provisionamento.

D) O SQL Server só é visível no vault após a execução manual de um snapshot inicial via Azure CLI com o parâmetro --workload-type MSSQL.

Questão 5 — Múltipla Escolha

Um administrador precisa garantir que os dados de backup de VMs críticas não possam ser excluídos por nenhum operador, mesmo em caso de credenciais comprometidas, durante um período mínimo de 90 dias após a criação do ponto de recuperação.

Qual recurso do Azure Backup atende diretamente a esse requisito?

A) Habilitar Soft Delete no vault com retenção de 90 dias, pois ele protege os dados contra exclusão acidental por 14 dias adicionais após a solicitação.

B) Aplicar um Azure Policy que negue a operação Microsoft.RecoveryServices/vaults/delete para todos os operadores.

C) Configurar Immutability no vault com a opção Locked, impedindo que qualquer entidade modifique ou exclua pontos de recuperação antes do término do período configurado.

D) Criar um bloqueio de recurso do tipo ReadOnly no vault, que impede exclusões enquanto estiver ativo.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Explicação:

  • Um Recovery Services Vault é um recurso regional: ele só pode proteger recursos localizados na mesma região onde o vault foi criado. Essa é uma limitação arquitetural fundamental, não uma restrição de assinatura ou política.
  • A alternativa A é falsa porque o Azure Backup não é um serviço global; o vault é explicitamente atrelado a uma região.
  • A alternativa C descreve um comportamento incorreto: não é possível usar um vault de uma região para proteger VMs de outra região, independentemente de considerações de custo.
  • A alternativa D mistura corretamente o escopo de assinatura com o escopo regional, mas a premissa está errada: o vault não atravessa regiões. Para o cenário descrito, a solução correta é criar um vault em cada região.

Gabarito — Questão 2

Resposta: B

Explicação:

  • O Azure Backup aplica as regras de retenção de forma aditiva: um ponto de recuperação é mantido enquanto qualquer regra de retenção ainda o cubra. Um ponto criado em um domingo pode se qualificar simultaneamente como ponto diário e ponto semanal.
  • Nesse caso, o ponto do domingo é retido por 4 semanas pela regra semanal, mesmo que a regra diária de 7 dias já tenha expirado para aquela data.
  • A alternativa A inverte a lógica: o Azure Backup não ignora a retenção diária; ele mantém o ponto pelo prazo mais longo entre todas as regras aplicáveis.
  • As alternativas C e D descrevem comportamentos inexistentes no produto. Não há período de carência global de 30 dias, e políticas padrão do vault não sobrescrevem políticas customizadas já aplicadas.

Gabarito — Questão 3

Resposta: Falso

Explicação:

  • O Azure Backup impõe uma proteção explícita que impede a exclusão de um vault que contenha itens protegidos ou dados retidos. A operação de exclusão falha com erro até que todos os itens de backup sejam desassociados e os dados de retenção sejam removidos ou expirados.
  • Essa restrição existe justamente para evitar perda acidental de dados de recuperação. O administrador deve parar a proteção de cada item, excluir os dados de backup associados e, somente então, excluir o vault.
  • Esse comportamento é relevante em cenários de descomissionamento de ambientes e é um ponto de falha comum em automações que tentam destruir recursos em ordem incorreta.

Gabarito — Questão 4

Resposta: B

Explicação:

  • O Azure Backup distingue entre o backup da VM como um todo (snapshot de disco) e o backup da carga de trabalho SQL Server dentro da VM. Para o segundo cenário, o tipo correto é SQL in Azure VM, e a extensão AzureBackupWindowsWorkload precisa ser instalada na VM e os bancos de dados precisam ser descobertos pelo vault antes de aparecerem como itens protegíveis.
  • O processo correto inclui: selecionar o vault, usar a opção Discover DBs apontando para a VM, o que instala a extensão e registra as instâncias SQL automaticamente.
  • A alternativa A está errada: o backup de SQL Server em VM é amplamente suportado e é um cenário de uso primário do Azure Backup.
  • As alternativas C e D descrevem comportamentos fictícios: não existe tipo de vault Application Aware configurado na criação, e não há parâmetro CLI --workload-type MSSQL para snapshot inicial.

Gabarito — Questão 5

Resposta: C

Explicação:

  • O recurso Immutability com modo Locked impede que qualquer entidade, incluindo administradores globais, exclua ou modifique pontos de recuperação durante o período configurado. Uma vez bloqueado, o modo Locked não pode ser revertido, o que o torna adequado para requisitos de conformidade e proteção contra ataques de ransomware com comprometimento de credenciais.
  • A alternativa A descreve o Soft Delete, que protege contra exclusão acidental oferecendo uma janela de recuperação de 14 dias após a solicitação de exclusão. Ele não impede a exclusão por operadores privilegiados e não garante os 90 dias exigidos no enunciado.
  • A alternativa B aplica uma restrição ao vault como recurso, mas não protege os pontos de recuperação internos contra exclusão por operadores com permissão no vault.
  • A alternativa D usa um bloqueio ReadOnly que impede exclusão do vault em si, mas não protege operações de gerenciamento de backup dentro do vault, como exclusão de pontos de recuperação via API do serviço de backup.