Fundamentação Teórica: Create an Azure Backup Vault
1. Intuição Inicial​
No conteúdo anterior, você aprendeu sobre o Recovery Services Vault, um cofre capaz de proteger VMs, bancos de dados e máquinas on-premises, além de suportar recuperação de desastres via Azure Site Recovery.
O Azure Backup Vault é um cofre mais novo, criado para uma categoria especÃfica de workloads modernos do Azure. Pense na distinção assim: o Recovery Services Vault é um cofre de uso geral, construÃdo há anos e que protege um espectro amplo de recursos. O Backup Vault é um cofre especializado, projetado do zero para integrar serviços nativos Azure mais recentes com uma arquitetura de API mais moderna.
A analogia: se o Recovery Services Vault é um cofre bancário tradicional que guarda de tudo (joias, documentos, dinheiro), o Backup Vault é um cofre digital especializado, construÃdo especificamente para ativos digitais nativos de nuvem, com protocolos mais modernos de acesso e gestão.
Na prática, o Backup Vault serve para proteger recursos como:
- Azure Disks (managed disks independentes de VMs)
- Azure Blobs (proteção operacional de contas de armazenamento)
- Azure Database for PostgreSQL
- Azure Kubernetes Service (AKS)
- Azure Database for MySQL Flexible Server
2. Contexto​
A Microsoft introduziu o Backup Vault como parte de uma modernização da plataforma de backup. O Recovery Services Vault foi construÃdo sobre APIs mais antigas e tem limitações arquiteturais para suportar novos serviços Azure com a mesma elegância.
O Backup Vault existe porque a Microsoft precisava de um recurso que:
- Suportasse a API de backup de nova geração (Datasource API) usada por serviços mais recentes
- Oferecesse Backup Center como ponto central de gerenciamento de forma mais nativa
- Integrasse com Azure Policy de forma mais flexÃvel para novos workloads
- Permitisse evolução independente sem quebrar compatibilidade do Recovery Services Vault
O ponto crÃtico para o AZ-104: você deve saber qual vault usar para cada workload. Usar o tipo errado simplesmente não funciona; os serviços novos não aparecem como opção no Recovery Services Vault.
3. Construção dos Conceitos​
3.1 Componentes do Backup Vault​
Backup Vault: o contêiner regional que armazena dados de backup e metadados de configuração para os workloads suportados.
Backup Policy: conjunto de regras que define frequência de backup, retenção e tier de armazenamento. No Backup Vault, as polÃticas são especÃficas por tipo de datasource.
Datasource: qualquer recurso Azure que pode ser protegido pelo vault. Cada tipo de datasource tem suas próprias regras de polÃtica e comportamento.
Backup Instance: a associação entre um datasource especÃfico e uma polÃtica. Quando você habilita o backup de um Azure Disk especÃfico com uma polÃtica, isso cria uma Backup Instance.
3.2 Redundância de Armazenamento​
Assim como no Recovery Services Vault, o Backup Vault oferece opções de redundância. Porém, existem diferenças importantes:
| Tipo | Sigla | Disponibilidade no Backup Vault |
|---|---|---|
| Locally Redundant Storage | LRS | DisponÃvel |
| Geo-Redundant Storage | GRS | DisponÃvel |
| Zone-Redundant Storage | ZRS | DisponÃvel (em regiões suportadas) |
A regra de imutabilidade de configuração se repete: a redundância só pode ser alterada antes do primeiro backup ser executado.
3.3 Identidade Gerenciada (Managed Identity)​
Este é um conceito exclusivamente relevante no Backup Vault que merece atenção especial.
O Backup Vault usa Managed Identity para acessar recursos Azure durante operações de backup e restore. Isso significa que, ao contrário de credenciais tradicionais, o vault se autentica no Azure AD automaticamente sem que você precise gerenciar senhas ou certificados.
Dois tipos de Managed Identity:
- System-assigned: criada automaticamente quando habilitada no vault; vinculada ao ciclo de vida do vault. Se o vault for excluÃdo, a identidade é excluÃda
- User-assigned: criada independentemente e pode ser associada a múltiplos recursos
Para que o backup funcione, você deve conceder à identidade do vault as permissões RBAC corretas nos recursos que serão protegidos. Por exemplo, para fazer backup de um Azure Disk, o vault precisa da role Disk Backup Reader no disco de origem e Disk Snapshot Contributor no Resource Group de destino dos snapshots.
3.4 Backup Tiers​
O Backup Vault suporta dois tiers de armazenamento para certos datasources:
Operational Tier (Snapshot Tier): os dados de backup ficam armazenados na mesma região, como snapshots ou dados operacionais. Restauração mais rápida, retenção menor, custo mais baixo por acesso.
Vault Tier: os dados são transferidos para o armazenamento do vault, com retenção mais longa e proteção adicional contra exclusão acidental.
Nem todos os datasources suportam ambos os tiers. Por exemplo, o backup de Azure Blobs opera exclusivamente no Operational Tier (os dados ficam na própria conta de storage). O backup de Azure Disks pode usar apenas o Vault Tier a partir de certo ponto.
4. Visão Estrutural​
5. Funcionamento na Prática​
Ciclo de vida do Backup Vault​
O fluxo tem uma etapa que não existe no Recovery Services Vault e que é frequentemente esquecida: a configuração de RBAC para a Managed Identity. Sem essa etapa, o backup falha com erros de permissão.
Permissões necessárias por datasource​
| Datasource | Role no recurso de origem | Role no destino |
|---|---|---|
| Azure Disk | Disk Backup Reader no disco | Disk Snapshot Contributor no RG de snapshots |
| Azure Blob | Storage Account Backup Contributor na conta | N/A (operacional, sem destino externo) |
| PostgreSQL Flexible | Backup Reader no servidor | N/A |
| AKS | Reader no cluster AKS | Contributor no RG de snapshots |
6. Formas de Implementação​
6.1 Portal Azure​
Quando usar: criação pontual, ambientes de aprendizado, configuração inicial.
Passos:
- Pesquise "Backup vaults" no portal Azure
- Clique em "Create"
- Preencha:
- Subscription: subscription correta
- Resource Group: existente ou novo
- Backup vault name: 2 a 50 caracteres, alfanumérico e hifens
- Region: mesma região dos recursos a proteger
- Backup storage redundancy: LRS, ZRS ou GRS
- Clique em "Review + Create" e depois "Create"
Após a criação, acesse o vault:
- Em Identity, habilite a System-assigned Managed Identity
- Navegue até o recurso a proteger e atribua as roles RBAC necessárias à identidade do vault
- Crie uma Backup Policy compatÃvel com o datasource desejado
- Configure a Backup Instance (proteja o recurso especÃfico)
6.2 Azure CLI​
Quando usar: automação, scripts repetÃveis, pipelines.
# Criar Resource Group
az group create \
--name rg-backupvault-prod \
--location brazilsouth
# Criar Backup Vault
az dataprotection backup-vault create \
--resource-group rg-backupvault-prod \
--vault-name bvault-prod-brazilsouth \
--location brazilsouth \
--storage-settings datastore-type="VaultStore" type="LocallyRedundant"
# Habilitar Managed Identity (system-assigned)
az dataprotection backup-vault update \
--resource-group rg-backupvault-prod \
--vault-name bvault-prod-brazilsouth \
--type SystemAssigned
Note que o comando é
az dataprotection, nãoaz backup. O Backup Vault usa o namespace de API Microsoft.DataProtection, enquanto o Recovery Services Vault usa Microsoft.RecoveryServices. Isso reflete a diferença arquitetural entre os dois.
# Criar polÃtica para Azure Disk
az dataprotection backup-policy create \
--resource-group rg-backupvault-prod \
--vault-name bvault-prod-brazilsouth \
--name policy-disk-daily \
--policy @disk-policy.json
6.3 Azure PowerShell​
Quando usar: ambientes Windows corporativos, automação integrada com scripts PowerShell existentes.
# Criar Backup Vault
$storagesetting = New-AzDataProtectionBackupVaultStorageSettingObject `
-Type LocallyRedundant `
-DataStoreType VaultStore
New-AzDataProtectionBackupVault `
-ResourceGroupName "rg-backupvault-prod" `
-VaultName "bvault-prod-brazilsouth" `
-Location "brazilsouth" `
-StorageSetting $storagesetting
# Habilitar Managed Identity
$vault = Get-AzDataProtectionBackupVault `
-ResourceGroupName "rg-backupvault-prod" `
-VaultName "bvault-prod-brazilsouth"
Update-AzDataProtectionBackupVault `
-ResourceGroupName "rg-backupvault-prod" `
-VaultName "bvault-prod-brazilsouth" `
-IdentityType SystemAssigned
O módulo PowerShell correspondente é
Az.DataProtection, nãoAz.RecoveryServices. Certifique-se de ter o módulo instalado:Install-Module Az.DataProtection.
6.4 ARM Template​
Quando usar: Infrastructure as Code, implantações versionadas e repetÃveis.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.DataProtection/backupVaults",
"apiVersion": "2023-01-01",
"name": "bvault-prod-brazilsouth",
"location": "[resourceGroup().location]",
"identity": {
"type": "SystemAssigned"
},
"properties": {
"storageSettings": [
{
"datastoreType": "VaultStore",
"type": "LocallyRedundant"
}
]
}
}
]
}
6.5 Terraform​
Quando usar: ambientes multi-cloud, times que já adotaram Terraform como IaC padrão.
resource "azurerm_resource_group" "backup" {
name = "rg-backupvault-prod"
location = "Brazil South"
}
resource "azurerm_data_protection_backup_vault" "main" {
name = "bvault-prod-brazilsouth"
resource_group_name = azurerm_resource_group.backup.name
location = azurerm_resource_group.backup.location
datastore_type = "VaultStore"
redundancy = "LocallyRedundant"
identity {
type = "SystemAssigned"
}
}
7. Controle e Segurança​
RBAC no Backup Vault​
O Backup Vault usa as mesmas roles especÃficas de backup do Recovery Services Vault para acesso administrativo ao vault em si. Para os recursos protegidos, usa roles especÃficas por datasource via Managed Identity.
| Role (no vault) | Capacidade |
|---|---|
| Backup Contributor | Criar/gerenciar backups, polÃticas e instâncias |
| Backup Operator | Disparar backups, restaurar. Não pode configurar |
| Backup Reader | Somente leitura |
Soft Delete no Backup Vault​
O Backup Vault também suporta Soft Delete. Quando habilitado:
- Dados de backup são retidos por um perÃodo configurável após exclusão
- A exclusão pode ser desfeita durante o perÃodo de retenção
- O vault com itens em soft delete não pode ser excluÃdo
Imutabilidade​
Idêntica ao Recovery Services Vault em conceito:
| Estado | Comportamento |
|---|---|
| Disabled | Sem proteção |
| Enabled (unlocked) | Imutável, mas reversÃvel |
| Enabled (locked) | Imutável e irreversÃvel |
8. Tomada de Decisão​
Backup Vault vs Recovery Services Vault​
Esta é a decisão mais importante relacionada ao tema:
| Workload a proteger | Vault correto | Motivo |
|---|---|---|
| Azure Virtual Machines | Recovery Services Vault | Não suportado no Backup Vault |
| SQL Server em VMs | Recovery Services Vault | Não suportado no Backup Vault |
| Azure Files | Recovery Services Vault | Não suportado no Backup Vault |
| On-premises (MARS/MABS) | Recovery Services Vault | Não suportado no Backup Vault |
| Azure Managed Disks | Backup Vault | Suportado apenas no Backup Vault |
| Azure Blob Storage | Backup Vault | Suportado apenas no Backup Vault |
| PostgreSQL Flexible Server | Backup Vault | Suportado apenas no Backup Vault |
| AKS | Backup Vault | Suportado apenas no Backup Vault |
| MySQL Flexible Server | Backup Vault | Suportado apenas no Backup Vault |
Redundância de armazenamento​
| Situação | Melhor escolha | Motivo |
|---|---|---|
| Disks crÃticos de produção | GRS | Proteção contra desastre regional |
| Blobs operacionais com retenção curta | LRS | Backup operacional; custo menor |
| Ambiente de dev/test | LRS | Custo mÃnimo |
| Requisito de disponibilidade zonal | ZRS | Protege contra falha de zona |
9. Boas Práticas​
Nomeclatura padronizada: use convenção como bvault-[ambiente]-[regiao], como bvault-prod-brazilsouth, para diferenciar claramente de Recovery Services Vaults.
Habilitar Managed Identity imediatamente: não crie o vault sem habilitar a identidade gerenciada na sequência. Sem ela, nenhuma Backup Instance pode ser criada.
Documentar e automatizar as atribuições de RBAC: as permissões da Managed Identity nos recursos são o ponto de falha mais comum. Automatize via ARM/Terraform/Bicep para garantir consistência.
Separar vaults por ambiente e workload type: não misture Disks e Blobs no mesmo vault se eles pertencem a ambientes distintos (prod vs dev), pois isso complica RBAC e polÃticas.
Testar restore regularmente: o backup de Disks, por exemplo, cria snapshots incrementais. Um restore nunca testado pode revelar problemas na hora errada.
Usar tags: aplique Environment, Owner, CostCenter e Application para visibilidade de custo e governança.
10. Erros Comuns​
Erro: tentar proteger uma VM com Backup Vault Por que acontece: confusão entre os dois tipos de vault. Como evitar: memorize a tabela de workloads. VMs sempre vão para Recovery Services Vault.
Erro: esquecer de atribuir RBAC à Managed Identity Por que acontece: o Recovery Services Vault não exige essa etapa, então quem migra de um para o outro esquece. Como evitar: inclua a etapa de RBAC no checklist ou template de criação de Backup Vault. Automatize via IaC.
Erro: usar namespace CLI/PowerShell errado
Por que acontece: tentar usar az backup ou Az.RecoveryServices para gerenciar Backup Vault.
Como evitar: lembre que Backup Vault usa az dataprotection e Az.DataProtection.
Erro: alterar redundância após o primeiro backup Por que acontece: mesma armadilha do Recovery Services Vault; o operador não configura antes de iniciar a proteção. Como evitar: configure storage redundancy antes de criar qualquer Backup Instance.
Erro: não configurar o Resource Group de snapshots antes de proteger Disks Por que acontece: ao proteger um Azure Disk, é necessário informar um Resource Group onde os snapshots serão armazenados. Muitos operadores não provisionam este RG antecipadamente. Como evitar: crie o Resource Group de snapshots como parte do processo de provisionamento do ambiente, antes de configurar backups.
11. Operação e Manutenção​
Monitoramento​
No Backup Center (hub centralizado que agrega tanto Recovery Services Vaults quanto Backup Vaults), monitore:
- Backup jobs: falhas indicam problemas de permissão, conectividade ou configuração
- Backup instances: instâncias com status "Protection Error" exigem atenção imediata
- Datasource health: alertas integrados ao Azure Monitor
Limites importantes​
| Limite | Valor |
|---|---|
| Backup Vaults por subscription | Sem limite documentado (organizar por RG) |
| Backup Instances por vault | 2000 instâncias |
| PolÃticas por vault | 100 polÃticas |
| Retenção máxima (Disk backup) | 30 dias no Vault Tier |
| Retenção máxima (Blob backup) | 360 dias operacional |
| Retenção máxima (PostgreSQL) | 10 anos no Vault Tier |
Gestão de custos​
Custos compostos por:
- Instância protegida: baseado no tipo e tamanho do datasource
- Armazenamento: volume de snapshots ou dados no vault (LRS, ZRS, GRS)
- Transações de restore: operações de leitura e escrita durante restauração
12. Integração e Automação​
Backup Center​
O Backup Center é o painel unificado que agrega Recovery Services Vaults e Backup Vaults em uma única visão. É o ponto central para:
- Monitorar jobs de backup de ambos os tipos de vault
- Criar polÃticas e instâncias de backup
- Executar restores
- Configurar alertas e relatórios
Azure Policy para Backup Vault​
PolÃticas integradas disponÃveis:
- Configure backup for Azure Disks: garante que managed disks sejam automaticamente protegidos ao serem criados
- Configure backup for Azure Blobs: aplica proteção operacional a contas de storage
Automação via API REST​
O Backup Vault usa o namespace Microsoft.DataProtection nas chamadas REST:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DataProtection/backupVaults/{vaultName}?api-version=2023-01-01
Com body:
{
"location": "brazilsouth",
"identity": {
"type": "SystemAssigned"
},
"properties": {
"storageSettings": [
{
"datastoreType": "VaultStore",
"type": "LocallyRedundant"
}
]
}
}
13. Resumo Final​
O que é: contêiner regional da nova geração de backup do Azure, baseado na API Microsoft.DataProtection, projetado para proteger workloads nativos modernos como Managed Disks, Blobs, PostgreSQL Flexible e AKS.
Pontos essenciais:
- O Backup Vault é distinto do Recovery Services Vault e suporta workloads diferentes
- Usa o namespace Microsoft.DataProtection (CLI:
az dataprotection, PowerShell:Az.DataProtection) - Requer Managed Identity habilitada e RBAC configurado nos recursos a proteger
- Redundância de armazenamento só pode ser alterada antes do primeiro backup
- O Backup Center unifica a visão de ambos os tipos de vault
- Soft Delete e Imutabilidade estão disponÃveis com o mesmo comportamento do Recovery Services Vault
Diferenças crÃticas entre Backup Vault e Recovery Services Vault:
| Aspecto | Backup Vault | Recovery Services Vault |
|---|---|---|
| Namespace API | Microsoft.DataProtection | Microsoft.RecoveryServices |
| CLI | az dataprotection | az backup |
| PowerShell | Az.DataProtection | Az.RecoveryServices |
| Managed Identity obrigatória | Sim, para acessar recursos | Não (usa extensão de VM) |
| Workloads suportados | Disks, Blobs, PostgreSQL, AKS, MySQL | VMs, SQL, Files, On-premises, SAP |
| ASR (Site Recovery) | Não suportado | Suportado |
| Maturidade | Mais recente | Mais maduro e amplo |
O que precisa ser lembrado para o AZ-104:
- Identifique o workload corretamente e escolha o vault correspondente
- Backup Vault exige RBAC na Managed Identity como etapa obrigatória pós-criação
- O namespace CLI e PowerShell é diferente do Recovery Services Vault
- O Resource Group de destino de snapshots deve existir antes de proteger Azure Disks
- Configurar redundância de storage antes de qualquer Backup Instance