Erwerben und Konfigurieren eines Sicherungsservers für Das Analytics Platform System
Ein Windows-System ohne Appliance kann als Sicherungsserver mit den Sicherungs- und Wiederherstellungsfunktionen in Analytics Platform System (APS) und Parallel Data Warehouse (PDW) fungieren. In diesem Artikel wird beschrieben, wie Sie das System konfigurieren.
Grundlagen des Sicherungsservers
Der Sicherungsserver:
- Wird von Ihrem eigenen IT-Team bereitgestellt und verwaltet.
- Erfordert keine PDW-spezifische Software oder Tools. PDW installiert keine Software auf dem Sicherungsserver.
- Befindet sich in Ihrem eigenen Nicht-Appliance-Rack. Sie kann nicht innerhalb der APS-Appliance platziert werden.
- Kann mit dem InfiniBand-Netzwerk der Appliance verbunden werden. Sicherungen können über InfiniBand oder Ethernet ausgeführt werden. Wir empfehlen InfiniBand aus Leistungsgründen.
- Befindet sich in Ihrer eigenen Kundendomäne, nicht in der Appliance-Domäne. Es gibt keine Vertrauensstellung zwischen Ihrer Kundendomäne und der Appliance-Domäne.
- Hosten Sie eine Sicherungsdateifreigabe, bei der es sich um eine Windows-Dateifreigabe handelt, die das Server Message Block (SMB)-Netzwerkprotokoll auf Anwendungsebene verwendet. Die Freigabeberechtigungen für Sicherungsdateien gewähren einem Windows-Domänenbenutzer, in der Regel einem dedizierten Sicherungsbenutzer, die Möglichkeit, Sicherungs- und Wiederherstellungsvorgänge für die Freigabe auszuführen. Die Benutzernamen- und Kennwortanmeldeinformationen des Windows-Domänenbenutzers werden in PDW gespeichert, sodass PDW Sicherungs- und Wiederherstellungsvorgänge für die Sicherungsdateifreigabe ausführen kann.
Ermitteln der Kapazitätsanforderungen
Die Systemanforderungen für den Sicherungsserver hängen fast vollständig von Ihrer eigenen Arbeitsauslastung ab. Bevor Sie einen Sicherungsserver erwerben oder bereitstellen, ermitteln Sie Ihre Kapazitätsanforderungen. Der Sicherungsserver muss nicht nur für Sicherungen reserviert sein, solange er die Leistungs- und Speicheranforderungen Ihrer Workload verarbeitet. Sie können auch über mehrere Sicherungsserver verfügen, um jede Datenbank auf einem von mehreren Servern zu sichern und wiederherzustellen.
Verwenden Sie das Arbeitsblatt für die Kapazitätsplanung des Sicherungsservers, um Ihre Kapazitätsanforderungen zu ermitteln.
Abrufen des Sicherungsservers
Sobald Sie Ihre Kapazitätsanforderungen besser verstehen, planen Sie die Server und Netzwerkkomponenten, die Sie kaufen oder bereitstellen müssen. Integrieren Sie die folgende Liste der Anforderungen in Ihren Einkaufsplan, und kaufen Sie dann Ihren Server oder stellen Sie einen vorhandenen Server bereit.
Softwareanforderungen
Jeder Dateiserver, der das SMB-Protokoll (Windows File Sharing) verwendet.
Wir empfehlen Windows Server 2012 oder höher, um:
- Nutzen Sie den Leistungsvorteil der Dateivorzuweisung über SMB.
- Verwenden Sie die Instant File Initialization (IFI) für Sicherungsvorgänge. Ihr IT-Team verwaltet diese Einstellung auf dem Sicherungsserver. Der PDW Configuration Manager (dwconfig.exe) legt die IFI auf Ihrem Sicherungsserver nicht fest oder steuert sie nicht. Frühere Versionen von Windows verfügen nicht über IFI, können aber weiterhin als Sicherungsserver verwendet werden.
Netzwerkanforderungen
Obwohl nicht erforderlich, empfehlen wir InfiniBand als Verbindungstyp für Sicherungsserver. So bereiten Sie die Verbindung des Ladeservers mit dem InfiniBand-Netzwerk der Appliance vor:
- Planen Sie, den Server nah genug an der Appliance zu installieren, damit Sie ihn mit den InfiniBand-Switches der Appliance verbinden können. Weitere Informationen von Mellanox Technologies über InfiniBand finden Sie im Whitepaper " Einführung in InfiniBand.For more information from Mellanox Technologies about InfiniBand, see the whitepaper, Introduction to InfiniBand.
- Kaufen Sie einen Mellanox ConnectX-3 FDR InfiniBand Single- oder Dual-Port-Netzwerkadapter. Es wird empfohlen, den Netzwerkadapter mit zwei Ports zur Fehlertoleranz bei der Datenübertragung zu erwerben. Für hohe Verfügbarkeit ist ein zwei Port-Netzwerkadapter erforderlich.
- Erwerben Sie zwei FDR InfiniBand-Kabel für eine duale Anschlusskarte oder ein FDR InfiniBand-Kabel für eine einzelne Anschlusskarte. Die FDR InfiniBand-Kabel verbinden den Ladeserver mit dem InfiniBand-Netzwerk der Appliance. Die Kabellänge hängt vom Abstand zwischen dem Ladeserver und dem Appliance-InfiniBand-Schalter gemäß Ihrer Umgebung ab.
Verbinden des Servers mit den InfiniBand-Netzwerken
Führen Sie die folgenden Schritte aus, um den Ladeserver mit dem InfiniBand-Netzwerk zu verbinden. Wenn der Server das InfiniBand-Netzwerk nicht verwendet, überspringen Sie diesen Schritt.
Racken Sie den Server nah genug an der Appliance, damit Sie ihn mit dem InfiniBand-Netzwerk der Appliance verbinden können.
Installieren Sie den InfiniBand Mellanox ConnectX-3 FDR InfiniBand-Netzwerkadapter auf dem Ladeserver.
Verwenden Sie die FDR-Kabel, um den InfiniBand-Netzwerkadapter mit einem der beiden InfiniBand-Switches im ersten Appliance-Rack zu verbinden.
Installieren und konfigurieren Sie den entsprechenden Windows-Treiber für den InfiniBand-Netzwerkadapter.
InfiniBand-Treiber für Windows werden von der OpenFabrics Alliance entwickelt, einem Branchenkonsortium von InfiniBand-Anbietern. Möglicherweise wurde der richtige Treiber mit dem InfiniBand-Netzwerkadapter verteilt. Falls nicht, laden Sie den Treiber von OpenFabrics Alliance herunter.
Konfigurieren Sie die InfiniBand- und DNS-Einstellungen für die Netzwerkadapter. Konfigurationsanweisungen finden Sie unter Konfigurieren von InfiniBand-Netzwerkadaptern.
Konfigurieren der Sicherungsdateifreigabe
PDW greift über eine UNC-Dateifreigabe auf den Sicherungsserver zu. So richten Sie die Dateifreigabe ein:
Erstellen Sie einen Ordner auf dem Sicherungsserver zum Speichern Ihrer Sicherungen.
Erstellen Sie eine Dateifreigabe, die als Sicherungsfreigabe bezeichnet wird, für den Sicherungsordner.
Legen Sie ein Windows-Domänenkonto in Ihrer Kundendomäne fest, das Sie für die Durchführung von Sicherungen und Wiederherstellungen verwenden möchten. Aus Sicherheitsgründen empfiehlt es sich, ein dediziertes Konto als Sicherungsbenutzer zu verwenden.
Fügen Sie der Sicherungsfreigabe Berechtigungen hinzu, sodass nur vertrauenswürdige Konten und ein Domänensicherungskonto auf den Freigabespeicherort zugreifen, lesen und schreiben können.
Fügen Sie die Anmeldeinformationen für das Sicherungsdomänenkonto zu PDW hinzu.
Beispiel:
EXEC sp_pdw_add_network_credentials '10.192.147.63', 'seattle\david', '********';
Weitere Informationen finden Sie in den folgenden gespeicherten Prozeduren:
Sichern Ihrer Daten
Sie können jetzt mit dem Sichern von Daten auf Ihrem Sicherungsserver beginnen.
Verwenden Sie zum Sichern von Daten einen Abfrageclient, um eine Verbindung mit SQL Server PDW herzustellen und dann Befehle zu übermitteln BACKUP DATABASE OR RESTORE DATABASE
. Verwenden Sie die DISK=
Klausel, um den Sicherungsserver und den Sicherungsspeicherort anzugeben.
Wichtig
Denken Sie daran, die InfiniBand-IP-Adresse des Sicherungsservers zu verwenden. Andernfalls werden die Daten anstelle von InfiniBand über Ethernet kopiert.
Beispiel:
BACKUP DATABASE Invoices TO DISK = '\\10.172.14.255\backups\yearly\Invoices2013Full';
RESTORE DATABASE Invoices2013Full
FROM DISK = '\\10.172.14.255\backups\yearly\Invoices2013Full'
Weitere Informationen finden Sie unter:
Sicherheitshinweise
Der Sicherungsserver ist nicht mit der privaten Domäne für die Appliance verbunden. Sie befindet sich in Ihrem eigenen Netzwerk. Es gibt keine Vertrauensstellung zwischen Ihrer eigenen Domäne und ihrer privaten Appliance-Domäne.
Da PDW-Sicherungen nicht auf der Appliance gespeichert werden, ist Ihr IT-Team für die Verwaltung aller Aspekte der Sicherungssicherheit verantwortlich. Diese Aspekte umfassen beispielsweise die Verwaltung der Sicherheit der Sicherungsdaten, die Sicherheit des Servers, der zum Speichern von Sicherungen verwendet wird, und die Sicherheit der Netzwerkinfrastruktur, die den Sicherungsserver mit der APS-Appliance verbindet.
Verwalten von Netzwerkanmeldeinformationen
Der Netzwerkzugriff auf das Sicherungsverzeichnis basiert auf der Windows-Standarddateifreigabesicherheit. Bevor Sie eine Sicherung durchführen, müssen Sie ein Windows-Konto erstellen oder festlegen, das zum Authentifizieren von PDW für das Sicherungsverzeichnis verwendet wird. Dieses Windows-Konto benötigt die Berechtigung, auf das Sicherungsverzeichnis zuzugreifen, es zu erstellen und darin zu schreiben.
Wichtig
Um Sicherheitsrisiken in Verbindung mit Ihren Daten zu reduzieren, empfehlen wir, dass Sie ein Windows-Konto ausschließlich zum Ausführen der Sicherungs- und Wiederherstellungsvorgänge festlegen. Definieren Sie das Konto so, dass es nur Berechtigungen für den Sicherungsspeicherort besitzt.
Um den Benutzernamen und das Kennwort in PDW zu speichern, verwenden Sie die sp_pdw_add_network_credentials gespeicherte Prozedur. PDW verwendet den Windows-Anmeldeinformations-Manager zum Speichern und Verschlüsseln von Benutzernamen und Kennwörtern auf dem Knoten "Steuerelement" und "Compute". Die Anmeldeinformationen werden nicht mit dem BACKUP DATABASE
Befehl gesichert.
Um Netzwerkanmeldeinformationen aus PDW zu entfernen, verwenden Sie die gespeicherte sp_pdw_remove_network_credentials Prozedur.
Um alle in SQL Server PDW gespeicherten Netzwerkanmeldeinformationen auflisten zu können, verwenden Sie die sys.dm_pdw_network_credentials dynamische Verwaltungsansicht.
Sichere Kommunikation
Vorgänge auf dem Ladeserver können einen UNC-Pfad verwenden, um Daten von außerhalb des vertrauenswürdigen internen Netzwerks abzurufen. Ein Angreifer im Netzwerk oder mit der Möglichkeit, die Namensauflösung zu beeinflussen, kann Daten, die an die PDW gesendet werden, abfangen oder ändern. Diese Situation stellt ein Manipulations- und Informationsveröffentlichungsrisiko dar. So verringern Sie das Risiko von Manipulationen:
Für die Verbindung muss eine Anmeldung erforderlich sein.
Legen Sie auf dem Ladeserver die folgende Gruppenrichtlinienoption unter "Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen" fest:
Microsoft-Netzwerkclient: Kommunikation digital signieren (immer): Aktiviert.