AZ-104
Deep Dive
Azure Backup es el servicio centralizado de copia de seguridad de Azure. El AZ-104 evalúa la configuración de políticas, tipos de vault, opciones de restauración y protección de datos.
Contenido
Azure tiene dos tipos de vault para almacenar backups. Elegir el correcto es crítico y evaluado en el examen.
| Dimensión | Recovery Services Vault | Backup Vault (nuevo) |
|---|---|---|
| Cargas de trabajo | VMs Azure, SQL en VM, SAP HANA en VM, Azure Files, MABS, DPM, Windows Server (MARS) | Azure Disks, Azure Blobs, Azure Database for PostgreSQL, AKS |
| Site Recovery | Sí — Azure Site Recovery usa RSV | No |
| Modelo | Legado pero completo. Será reemplazado gradualmente. | Nuevo modelo. Más simple, APIs REST nativas. |
| Redundancia de vault | LRS, GRS, ZRS | LRS, GRS, ZRS |
| Cross-Region Restore | Sí (con GRS activado) | Sí (para cargas compatibles) |
| RBAC granular | Roles de Backup (Backup Contributor, Operator, Reader) | Roles de Backup similares |
Para el examen
En el AZ-104 actual, la mayoría de preguntas sobre backup se refieren a Recovery Services Vault (VMs, SQL en VM, Azure Files). Si la pregunta menciona "Blobs" o "Discos" como objeto de backup nativo, el vault puede ser el Backup Vault. El RSV sigue siendo el vault principal para Site Recovery.
Azure VMs
Backup a nivel de disco (snapshot). Soporte para discos Premium, Ultra. Consistent crash + app-consistent (VSS en Windows, scripts pre/post en Linux).
SQL Server en VM
Point-in-time recovery a nivel de base de datos. Auto-protection: nuevas BDs en la instancia se protegen automáticamente.
Azure Files (File Shares)
Backup a nivel de share completo. Restore granular: archivos individuales o carpetas. Los snapshots son instantáneos (incremental).
On-premises (Windows Server / MABS)
Backup directo de archivos, carpetas y estado del sistema. Sin VM intermedia. El agente MARS se descarga del vault.
Componentes de una política
Frecuencia de backup
Cuándo se ejecuta el backup: daily, weekly, hourly (Enhanced). Para SQL: Full + Differential + Log.
Retención (retention range)
Cuánto tiempo se guardan los recovery points. GFS (Grandfather-Father-Son): políticas diferenciadas para daily/weekly/monthly/yearly.
Redundancia del vault
LRS (local), GRS (geo-redundante), ZRS (zone-redundante). Afecta el costo del almacenamiento del backup.
Hora de backup
Ventana de tiempo en que Azure ejecuta el backup. Para VMs con Enhanced policy: múltiples puntos al día.
Políticas GFS (Grandfather-Father-Son)
GFS permite retenciones diferenciadas según la antigüedad del recovery point. Permite retener solo un backup mensual/anual durante años sin guardar todos los backups diarios.
Azure Policy para backup a escala
Puedes usar Azure Policy para asegurar que todas las VMs nuevas en una suscripción/RG se asocien automáticamente a un Recovery Services Vault con una política de backup. Built-in policy: Configure backup on VMs with a given tag to an existing recovery services vault.
| Opción | Qué restaura | Destino | Cuándo usar |
|---|---|---|---|
| Replace existing (VM) | VM completa | Reemplaza la VM original en el mismo RG | Recuperar la misma VM — sobrescribe discos y configuración |
| Create new (VM) | VM completa | Nueva VM en región/RG a elegir | No quieres sobrescribir la original, o restauras en otra región/RG |
| Restore disks | Discos VHD en Storage Account | Storage Account de tu elección | Quieres adjuntar los discos a una VM existente o usarlos en un flujo personalizado |
| File Recovery (ILR) | Archivos o carpetas individuales | Monta el snapshot como volumen en otra VM | Recuperar solo un archivo sin restaurar la VM completa |
| Cross-Region Restore | VM o datos desde región secundaria | Región secundaria del vault GRS | Región primaria no disponible — DR de región completa |
| Point-in-time (SQL) | BD SQL a un punto en el tiempo | Misma instancia o nueva instancia SQL | Recuperar de corrupción de datos, borrado accidental |
Instant Restore (Operational Tier)
Para VMs Azure, Azure Backup mantiene los snapshots localmente (en el mismo RG que la VM) durante 1-5 días antes de transferirlos al vault. Restaurar desde estos snapshots locales es mucho más rápido que restaurar desde el vault — segundos/minutos vs. horas. Configurable en la política de backup.
Soft Delete
Cuando Soft Delete está activado (por defecto desde 2020), al eliminar un backup o detener la protección de un recurso, los datos de backup se retienen 14 días adicionales antes de ser purgados permanentemente.
→ Estado del ítem eliminado: Soft Deleted
→ Para recuperar: "Undelete" en el vault → restores el estado a "Stop protection with retain data"
→ Para purgar inmediatamente: "Undelete" primero, luego "Delete backup data" definitivamente
→ Durante esos 14 días se cobra el almacenamiento del backup
Protege contra borrado accidental y ataques de ransomware.
Enhanced Soft Delete (Always-on)
Opción más segura: Soft Delete siempre activo e irrevocable (no se puede desactivar). Protege contra administradores maliciosos que podrían desactivar Soft Delete antes de borrar backups.
Immutable Vault
Los recovery points no pueden ser eliminados antes de su fecha de expiración definida en la política. Protección máxima contra ransomware y actores maliciosos con acceso de admin.
• Locked: no se puede desactivar la inmutabilidad (máx. seguridad)
• Unlocked: se puede desactivar si es necesario
• Compatible con Azure Policy para enforcement a escala
MARS Agent (Microsoft Azure Recovery Services Agent)
Agente ligero instalado en Windows Server o Windows VM. Hace backup directamente a Azure. Solo archivos, carpetas y estado del sistema.
Servidores Windows que no necesitan backup a nivel de aplicación. Simple y sin infraestructura intermedia.
MABS (Microsoft Azure Backup Server)
Servidor de backup on-premises free (sin licencia adicional). Hace backup a disco local Y a Azure. Soporta cargas de trabajo: VMs Hyper-V/VMware, SQL, SharePoint, Exchange.
Entornos on-prem que necesitan backup application-aware con disco local + cloud como secundario.
Comparación: MARS vs MABS vs Azure Backup Extension (VM)
| Característica | MARS Agent | MABS | VM Extension |
|---|---|---|---|
| Ubicación | On-prem / Azure VM | On-prem server dedicado | Azure VM |
| Backup VMs Hyper-V/VMware | ✗ | ✓ | No aplica |
| SQL app-aware | ✗ | ✓ | ✓ (con extensión SQL) |
| Backup a disco local | ✗ | ✓ (DPM storage pool) | Snapshot local (Instant Restore) |
| Costo licencia | Gratis | Gratis (MABS) / Licencia (DPM) | Gratis (incluido) |
Backup Center
Panel centralizado para gestionar y monitorizar todos los backups de la organización (múltiples vaults, suscripciones). Vista unificada de jobs, alertas, cumplimiento de políticas.
Azure Monitor + Alerts
Configura alertas para eventos críticos: backup fallido, vault borrado, Soft Delete desactivado. Los logs de backup se envían a Log Analytics para consultas KQL.
Reports (Backup Reports)
Reportes en Power BI embebido: tendencias de uso de storage, jobs históricos, cobertura de recursos. Requiere configurar diagnósticos al Log Analytics Workspace.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un administrador elimina accidentalmente todos los recovery points de una VM en el Recovery Services Vault. Soft Delete estaba activado. ¿Cuánto tiempo tiene para recuperar los datos antes de que sean purgados permanentemente?