Hyper-V从内网到云的备份管理

■ 顾武雄

关于Hyper-V的备份管理问题，实际上当您所部署的Hyper-V服务器数量并不多时，只需要善用操作系统内置的Windows Server Backup功能，就可以满足虚拟机从备份到复原的需求了。至于高级的异地备份策略，本文将进一步告诉您，如何结合Microsoft Azure让关键的虚拟机直接备上云，让您轻松彻底保护企业私有云系统的运行。

备份经验谈

记得早些年Windows Server 2008刚上市不久时，经常听到许多IT人员抱怨说道：“这个Windows Server 2008什么都好，就是少了NTBackup功能，那个内置Windows Server Backup功能难用死了。”

后来笔者实际去使用时，发现的确实在有够难用，因为它居然连备份来源的选择都只能够以磁盘为单位，而无法自行挑选仅要备份的文件夹。

还好这个看似不适用的Windows Server Backup功能，到了Windows Server 2008 R2以后就有了明显的改良设计，因为它已经可以让管理员选择所要备份的源文档与文件夹。

而到了Windows Server 2012以后的版本那就更赞了，因为它除了可以用来备份选定的文件、文件夹、系统状态以及创建裸机还原之外，还可以进一步集成Microsoft云的Windows Azure Online Backup，让重要的文件数据与Hyper-V虚拟机等文件数据，可以直接备份到微软云的存储空间。

当您的企业中所部署的Windows Server 2012 Hyper-V主机只有一至两部时，针对上面所运行的虚拟机备份与还原，实际上只要通过Windows Server 2012或R2以上版本中所内置的Windows Server Backup功能，就可以做好平日的计划备份作业，一旦发生因硬件故障、软件设计错误以及各种人为问题所造成的灾害时，便可简单快速的将虚拟机的运行还原到选定的时间点。

另外笔者所亲身接触过辅导过的企业当中，大部分都还有严格要求IT部门，必须对重要的系统与数据进一步做到所谓的异地备份。

而传统上常见的做法有两种，拥有较多IT预算的单位，通常会在本地与异地各部署一部存储设备(Storage)，然后藉由设备本身所内置的差异复写功能，来达到异地备份的目标。至于IT预算较少的做法，则可能选择通过外接的小型存储设备(NAS或USB磁盘)或磁带的备份方式，然后以人工输送将备份媒体轮替置放到异地位置保存。

如今有了Microsoft Azure云服务，企业IT异地备份的任务确实能够简化许多，因为不再需要采购与部署存储设备，只要利用现行广泛高速的Internet网络带宽，就可以将重要的文件数据、虚拟机轻松备份至云存储空间中，让Microsoft原厂来帮我们守护数据安全。

Windows Azure立即试用网站：

http://www.windowsazure.com/zh-tw/pricing/free-trial/

安装Windows Server Backup功能

由 于Windows Server Backup功能无论是在Windows Server 2012或Windows Server 2012 R2默认安装中都是没有被安装的，因此我们必须从“服务器管理员”界面中，点击开启“添加角色及功能”向导界面来进行安装。在“安装类型”页面中，请选取“角色型或功能型安装”项。点击“下一步”继续。

在“服务器选取项”页面中，可以选取即将安装Windows Server Backup功能的Windows Server 2012服务器，当然这一部被选取的服务器必须是运行中的Hyper-V服务器角色，如此一来后续才能够来进行在线虚拟机的备份。点击“下一步”继续。在“功能”页面中，请勾选“Windows Server Backup”功能项。点击“下一步”按钮。在“确认”页面中请点击“安装”按钮即可。

完成了Windows Server Backup功能的安装之后，后续如果想要开启此工具，只要点击位于“服务器管理员”的“工具”下拉选单，便可以找到“Windows Server Backup”选项，当然您也可以选择从应用程序页面的“系统管理工具”中找到它。

设置虚拟机一次性备份

在Windows Server Backup工具界面中，我们可以从位于“本地备份”的“操作”窗口之中，看到主要的功能选项，分别有备份计划、一次性备份以及复原。在此我们必须先点击“一次性备份”继续。

在“一次性备份向导”的界面中，首先来到“备份选项”页面，在此如果曾经有创建过相关的计划备份，则会发现其中的“计划备份选项”与“不同选项”都是可以选取的，在此选取“不同选项”并点击“下一步”。

在“选取备份设置”页面中，分别有“完整服务器”与“自定义”两个选项可以选择，前者为备份整部服务器的所有磁盘与数据，后者则是可以让我们自行挑选所要备份的磁盘、文件夹以及文件。选取“自定义”选项并点击“下一步”按钮。在“选取要备份的项”页面中，默认并没有任何备份项已加入。点击“添加项”。

在如图1所示的页面中，我们便可以将“Hyper-V”节点展开来，然后选取所要备份的虚拟机项。此外请注意其中的一段警示信息：“执行备份时，包含在备份中的任何虚拟机可能会暂时进入已存储的状态”。点击“确定”按钮。回到上一页面后点选“下一步”继续。

在“选定目的地类型”页面中，您可以选择要将Hyper-V虚拟机备份到“本地磁盘机”还是“远程共享文件夹”，如果您本地有另一颗独立外接的存储设备或硬盘机，笔者会建议您选择前者选项。点击“下一步”按钮。在 “选取备份目的地”页面中，请从下拉选单中选取准备用来存放的硬盘机，并且确认剩余可用空间是足够的。点击“下一步”按钮。

图1 选取要备份的虚拟机

至于如果备份目的地类型是选择“远程共享文件夹”，则将会开启“选定远程文件夹”页面，在此便需要输入UNC格式的共享连接路径，然后选择是否要继承共享路径的访问权限，如果选择了不要继承，则必须在下一步的页面中设置自定义的认证帐户与密码。在此范例中我们选择“继承”即可。点击“下一步”。

在“确认”页面中，请再一次确认所要备份的虚拟机项，以及所设置的备份目的地皆无误之后。点击“备份”按钮。在“备份进度”页面中，便可以看到目前所选取的每一个来源虚拟机的备份进度。由于此备份的作业进度是在背景中进行的，因此您可以点击“关闭”按钮，随时如果需要查看目前备份进度，只要再点击开启此备份项即可。

设置虚拟机计划备份

当完成了Windows Server Backup中的一次性备份功能之后，要如何为Hyper-V虚拟机设置计划备份呢？

请在“操作”窗口之中点击“备份计划”，来开启“备份计划向导”界面。在此如果您曾经有设置过计划备份设置，可以选取“修改备份”项。点击“下一步”继续。

在“选取备份设置”页面中，请同样选取“自定义”。点击“下一步”按钮。在“选取要备份的项”页面中，请点击“添加项”按钮将准备要备份的Hyper-V虚拟机加入即可。点击“下一步”。在“选定备份时间”页面中，您可以先挑选“一天一次”或“一天多次”的计划备份，然后再挑选备份的时间点即可。点击“下一步”按钮。

在“选定目的地类型”页面中，可以选择的目的地类型有“备份至备份专用的硬盘”、“备份到磁盘区”以及“备份到共享网络文件夹”，在此将以选取“备份到磁盘区”为范例。点击“下一步”按钮。在“保留或变更备份目的地”页面中，如果您之前有设置过计划备份，则在此可以选择“保留目前的备份目的地”项或是“修改备份存放目的地”项。点击“下一步”按钮。

在“确认”页面中，请确认所设置的备份目的地以及所选取的备份项皆无误。点击“完成”按钮。在成功完成备份计划设置之后，属性中将会提示您最近一次的计划备份将于什么日期与时间来执行。然后点击“关闭”按钮。

一旦所设置的Hyper-V备份计划时间来到时，我们便可以在本地备份清单之中，看到一项备份讯息描述为：“应用程序的备份进行中Hyper-V”。当我们将上一步骤中的计划备份进行中的选项连续点击之后，将会开启“备份”页面。在此将可以检视到每一部Hyper-V虚拟机的备份状态。点击“确定”。如果您想要查看备份的详细记录，可以点击位在左下角的“检视所有备份文件的清单”连接。

在Hyper-V虚拟机的详细备份记录中，我们可以清楚知道究竟虚拟机的完整备份包含了哪一些文件，以及它的相关标识符。

从内网还原虚拟机备份

在企业近端网络之中，无论您备份Hyper-V虚拟机的方式，是使用一次性备份还是备份计划方式来完成，都可以通过复原功能来将虚拟机快速复原到选定的时间点。做法很容易，请点击位于“操作”窗口之中的“复原”项，将会开启“复原向导”界面，在“开始使用”的页面中，首先必须选取存储备份文件的来源位置，可以是位于Hyper-V本地连接的硬盘或是其他网络共享位置。

在“选取备份日期”页面中，请先挑选欲还原的备份日期，然后再挑选欲还原的时间点。进一步可以点击“可复原项”中的超链接继续。在“可复原项”页面中，可以检视到目前可以复原的虚拟机清单。点击“关闭”按钮。回到上一步骤页面中点击“下一步”。

在“选取复原类型”页面中，可以选取所要复原的数据类型，分别有“文件和文件夹”、“Hyper-V”以及磁盘区，在此我们选取“Hyper-V”。点击“下一步”。在“选取要还原的项”页面中，请勾选所要还原的Hyper-V虚拟机项。点击“下一步”。

在“选定复原选项”页面中，可以选择要将选定的虚拟机复原到原始位置、替代位置或是特定的文件夹之中。在此如果您不打算将备份的虚拟机，复原到正在运行中的虚拟机，请选择“复制到文件夹”项。如果要还原与覆盖掉正在运行中的虚拟机，则请选取“复制到原始位置”。点击“下一步”。

在“确认”页面中，可以看到准备进行复原的Hyper-V虚拟机清单。确认后点击“复原”。接着您将会看到正在在线复原中的Hyper-V虚拟机进度。您可以点击“关闭”按钮来暂时关闭窗口。最后，您可以看见成功完成在线复原的Hyper-V虚拟机。点击“关闭”按钮。

关于在Windows Server Backup中成功复原Hyper-V虚拟机的信息，我们可以在“本地备份”的活动窗口之中查看到。

创建Azure备份保存库

无论您是要将公司内的重要数据还是Hyper-V虚拟机，通过Internet网络连接备份到Azure云存储空间中，都必须预先创建好专属备份用途的保存库，如此一来后续才能够进一步从此保存库的连接中，来还原文件数据到企业内部网络之中。

请在登录Microsoft Azure管理网站之后，点击至“复原服务”节点页面。然后点击“创建新的保存库”连接，来添加一个自定义的保存库。在此您必须选择使用“备份保存库”类型，然后给它一个全新的保存库名称，至于“地区”建议您选择“东亚”即可。

一段时间之后在“复原服务”的页面中，所创建的保存库状态便会显示为“作用中”，即表示您可以准备开始使用它了。在此您仍可以继续创建其他用途的保存库，未来如果不再需要使用某一个保存库，为了减少存储量您可以在此进行删除。

想要让企业中的某一些Windows Server服务器来连接Azure保存库，以便进行之后的计划备份作业。首先就必须在该服务器上产生计算机证书，然后将含有公开密钥的证书文件上传至Azure保存库之中，来作为认证注册服务器的安全验证方式。请在“复原服务”的页面中点击“管理证书”以开启证书上传页面，然后再点击页面中的文件夹小图示，来选取本地计算机中已准备好的服务器证书文件。点击页面右下角的打勾图示即可开始上传。如果上传过程之中发生错误，则可以通过“详细数据”连接的点击来查看可能的原因。点击“确定”。

取得Azure保存库所需的证书

对于许多初次接触Azure复原服务保存库的IT人员来说，最常遭遇的问题就是所产生的CA证书文件无法成功上传的错误。

当您在上传证书文件却出现错误信息时，在第一时间您应该是先点击“详细数据”连接，来了解发生失败的原因为何，然后试着解决该问题。

必须注意的是，证书除了需要在有效期限之内，其有效期限还不能够大于三年。此外，证书的使用目的必须是包含“客户端验证”类型，而且密钥的加密等级必须至少在2048bit以上才可。

其实当我们通过MMC的“证书”管理界面，在要求计算机证书时，其中“私密密钥”页面中，默认便是采用的2048 bit强度的设置了。在此您并不需要将它设置成“可汇出私密密钥”，后续便可以用来注册至Azure的保存库之中。

请注意:针对Hyper-V虚拟机结合Azure的云备份，所需要的服务器证书必须从Hyper-V服务器上来要求与产生，也就是创建备份来源服务器的专属证书。

在完成了证书的要求之后，您将可以在证书的“详细数据”页面中，看到它的有效期限（一般都是一年），而公开密钥的加密强度、签章算法以及主体名称等信息，同样也都可以在这里检视到。

一旦在确认了所产生的证书信息无误之后，就可以来将该证书进行汇出，以便待回上传至Azure复原服务的保存库之中。

请在证书项的上方，按下鼠标右键并依次点击“所有任务”→“汇出”选项。在设置过程中，您可以自定义证书文件(.cer)导出的存放路径，至于其他设置则可以全部采用默认值即可。在完成了服务器证书的汇出之后，就可以再度尝试证书的上传。

关于企业CA默认计算机证书的有效期限，通常是365天（即一年），而应用程序原则（用途）默认则是设置为客户端验证与服务器验证。如果您想要修改这些设置，可以从“证书授权单位”界面中首先开启“证书模板”控制台，然后找到默认的“计算机”模板，并按下鼠标右键点击“复制模板”选项，即可开启“新模板的属性”页面了。

在此您将可以自定义此证书模板的名称、有效期间、加密编译、延伸以及安全性等设置。

完成新模板的创建之后，只要是有开放注册权限的网域用户，就可以在证书要求的设置页面中，找到并注册此新证书模板。

准备安装Azure复原服务Agent

如果想要将企业网络中的Windows Server 2012 R2 Hyper-V虚拟机备份至Azure复原服务的保存库中，除了需要事先在复原服务中注册好服务器证书之外，还得在Hyper-V的服务器上安装好“Microsoft Azure备份代理程序”，如此一来后续才能在结合“Windows Server Backup”功能，来运行计划备份的任务。

在Azure复原服务的保存库页面中，首先点击“下载保存库认证”文件备用，然后再点击“下载Azure备份代理程序”项中的连接，来完成代理安装程序的下载继续。

注意：目前Microsoft Azure备份代理程序可集成使用的备份来源，在Windows Server部分包括了Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1、Windows Server 2012 Essentials。在Windows Client部分则必须是64位版本的Windows 7、Windows 8以及 Windows 8.1。

开始安装Azure复原服务Agent

准备好了Azure保存库认证文件与备份代理程序之后。就可以在Hyper-V服务器系统中执行备份代理程序的安装。

首次安装时应该会出现Microsoft Visual C++2012套件的安装程序，接着将会开启“安装设置”页面，您可根据需要来自定安装程序的路径与快取位置，其中快取数据的位置所在空间大小，至少必须是后续备份数据的5%以上。在“Proxy组态”的页面中。

如果您公司服务器的外网网络连接是需要通过代理服务器（Proxy）才能连接的话，那么就需要在“Proxy组态”页面中，设置Proxy的地址以及端口，必要的话可能还得输入连接的用户名称与密码才能通行。

例如，如果您公司的Proxy服务是由Microsoft的ISA Server或TMG所提供，这时便可以通过Active Directory的账户验证机制，来确认该网域账户是否有被允许连接外网网络。

在“Microsoft Update选择加入”页面中，强烈建议您选取“当我检查更新时使用Microsoft Update”项，以便能让Azure复原服务代理程序始终保持在最新版本，可以防止可能因兼容性问题所导致的备份与复原失败。在“安装”页面中，则会自动检查是否已经预安装了Microsoft.NET Framework 4.5与Windows PowerShell功能，如果尚未安装则将会随着Azure复原服务代理程序一并完成安装。

来到“注册服务器向导”页面时，首先就必须点击“浏览”按钮，来上传前面步骤中所下载的“保存库认证”文件。加载后只要确认其中的备份保存库名称正确即可。点击“下一步”按钮。在“加密设置”页面中，可以让我们自定义一组16个字符的密码，或是点击“产生复杂密码”的按钮。藉由此密码来加密保护往后所要备份的文件数据。

接着也务必点击“浏览”按钮，来选定密码存储的位置，此文件必须妥善保存，以防范密码可能忘记的问题，因为Microsoft在线服务并不负责帮您保管此密码设置。点击“完成”按钮。一旦您所设置的复杂密码通过检验，便会在“服务器注册”的页面中，显示此密码文件的存储路径。在默认的状态下点击“完成”按钮时，将会自动开启Azure复原服务代理程序管理界面。

若是您从Windows Server 2012 R2所提供的“Windows Server Backup”功能界面中，也可以发现它多出了一个“备份”的节点页面，点击后所看到的操作界面与这里所看到的是一样的，后续我们将可以中间窗口的属性页面，检视到目前最新的备份与复原作业状态，万一有发生备份或还原失败的错误讯息，也可以从各自作业项的“详细数据”中，来找出可能的问题与解决方案。

在右侧的“操作”窗口中，可以让我们依照管理需求来选择注册服务器、计划备份、立即备份、复原数据、变更属性以及开启入口网站等功能。其中的“注册服务器”功能，由于我们在前面步骤中已经依照标准程序完成设置，因此无须再重复执行。

创建虚拟机计划备份至Azure云

将Hyper-V虚拟机备份到Microsoft Azure与备份到近端网络的做法是大同小异的。

无论是一次性的备份作业还是计划备份，都是同样只要在专用的“操作”窗口之中，点击“立即备份”选项以及“计划备份”选项即可，在此过程中只要明确设置备份来源以及备份的计划时间即可。

异地备份小秘诀： 针对Hyper-V虚拟机的异地备份的方式，其实更好的做法是，首先设置将虚拟机在离峰时间备份至本地的存储设备(例如：NAS)，然后再设置Azure的另一个计划备份，并将虚拟机的备份文件一并备份至Azure的云保存库之中。如此一来不仅可以改善备份的效率，也能够解决第一时间的紧急复原的需要。

从Azure云还原虚拟机

只要目前受保护的Hyper-V主机可以正常连接网际网络，就可以随时经由“Microsoft Azure Backup”工具，来将先前备份的虚拟机从云还原到本地。请点击位于“操作”窗口中的“复原数据”继续。

首先在“入门”页面中，必须先选择原先创建备份所在的服务器，如果就是本地服务器，请直接点击“下一步”继续，否则必须先从“其他服务器”选项中来挑选正确的服务器。在“选取恢复模式”的页面中，可以选择“浏览文件”或“搜索文件”模式，来进行接下来的复原设置。在“选取磁盘区和日期”页面中，可以选取备份的磁盘组与备份的日期以及时间点。点击“下一步”按钮。

在“选取要复原的项”页面中，您从文件夹的浏览之中选取要复原的虚拟机文件。当您只想复原虚拟机的某一个虚拟硬盘，而不是整个虚拟机的所有文件时，在此就可以仅挑选该备份项即可。点击“下一步”继续。

在“选定复原选项”页面中，您可以选择将备份文件复原至原始位置或选定的其他位置。而当预复原的备份文件已经存在目的地时，还可以决定要同时拥有两个版本还是覆写现有版本，或是只要目的地文件已存在时便略过。最后还可以决定是否要连同文件原有的访问控制清单（ACL）一并复原。点击“下一步”。

一旦确认了备份的来源与复原的目的地设置无误之后，就可以点击“复原”按钮。整个还原的时间长短取决于现有的网络带宽和主机效能。

修改与停用虚拟机计划备份

无论是备份的数据来源还是计划，皆有可能会因为IT政策的变更而需要进行修改，甚至于停止此备份计划或者删除所有存储的备份等。

若是您出现了以上任何变更的需求，都只要点击位于“Microsoft Azure Backup”界面中的“变更保留范围”连接，来开启“计划备份向导”设置即可解决此问题。

在此您将可以先检视到目前的备份设置，包括了备份项、排除的文件以及计划设置。在下方位置则可以根据目前的需求，来选择变更备份项或时间、停止此备份计划以及停止此备份计划并删除所有已存储的备份。

以选择“变更备份项或时间”来说，在点击“下一步”按钮之后，将可以检视到目前的备份数量与使用的存储空间。点击“完成”按钮，将会正式暂停目前的计划备份任务，而备份数据将会持续保留到下一回修改备份原则为止。

其他可能遭遇的问题

以MSDN订阅用户来说，对于Azure计划备份Hyper-V虚拟机功能的使用，若某一天遭遇计划备份失败，最有可能的原因除了网络连接方面的故障问题之外，就是遭遇Azure额度已达上限的问题。

然而通常这个时候您应该也会收到来Microsoft的Email通知。此时便是目前所使用的Azure服务已遭停用，原因是本月的额度已达上限，看来连带影响的还有运行中的Hyper-V虚拟机备份。

这时候如果我们去开启“Microsoft Azure Backup”管理界面，肯定会看到好几个任务失败的错误信息，连续点击其中一个任务项，将可以看到详细数据，属性中同样是告知我们目前备份订阅已到期，解决方法只有两个，一是直接到官网选择升级成付费的版本，二则是等下个月再尝试继续使用吧。

结语：

尽管Windows Server 2012/R2以及Windows Server 2016版本所内置的Windows Server Backup功能，本身就已经能做好Hyper-V基本的备份任务了，不过当您企业中所部署的虚拟机数量相当多的时候，奉劝您还是采用更专业的System Center Data Protection Manager备份系统，并且结合Microsoft Azure的云备份空间，来达到内网与云完全集中化备份管理的方式，肯定会更加理想，毕竟关于虚拟化平台整体的备份架构设计，还必须考虑到性能、可靠性以及安全性方面等议题。