¿Qué es la copia de seguridad de Azure Database for PostgreSQL?

Azure Backup y los servicios de base de datos de Azure se han unido para crear una solución de copia de seguridad de clase empresarial para servidores de Azure Database for PostgreSQL que conserva las copias de seguridad durante un máximo de 10 años. Además de la retención a largo plazo, la solución ofrece las siguientes funcionalidades:

• Copias de seguridad programadas y a petición, controladas por el cliente, a nivel individual de base de datos.
• Restauraciones a nivel de base de datos en cualquier servidor de Azure Database for PostgreSQL o en cualquier tipo de almacenamiento de blobs.
• Supervisión central de todas las operaciones y trabajos.
• Almacenamiento de copias de seguridad en dominios de seguridad y error independientes. Si el servidor de origen o la suscripción se ponen en peligro, las copias de seguridad permanecen seguras en el almacén de Azure Backup (en cuentas de almacenamiento administradas de Azure Backup).
• Uso de pg_dump para una mayor flexibilidad en las restauraciones. Puede restaurar entre diferentes versiones de la base de datos.

Puede usar esta solución de forma independiente o además de la solución de copia de seguridad nativa en Azure PostgreSQL, que ofrece retención durante un máximo de 35 días. La solución nativa es adecuada para las recuperaciones operativas, como la recuperación a partir de las copias de seguridad más recientes. La solución Azure Backup le ayuda con sus necesidades de cumplimiento y proporciona una funcionalidad de copia de seguridad y restauración más detallada y flexible.

Cambios en las copias de seguridad resguardadas para servidores individuales de PostgreSQL

La opción de implementación de servidor único para Azure Database for PostgreSQL se retiró el 28 de marzo de 2025. En esa fecha, los cambios se implementaron en servidores únicos de Azure Backup for PostgreSQL. Obtenga más información sobre la retirada.

Azure Backup proporciona soluciones de cumplimiento normativo y resiliencia, incluidas las copias de seguridad almacenadas y la retención a largo plazo de los puntos de restauración. El 28 de marzo de 2025, se aplicaron los siguientes cambios:

• No se permite la configuración de copia de seguridad para las nuevas cargas de trabajo de servidor único de PostgreSQL.
• Todos los trabajos de copia de seguridad programados se descontinuan permanentemente.
• No es posible crear nuevas directivas de copia de seguridad ni modificar las existentes para esta carga de trabajo.

En la fecha de retirada, los trabajos de copia de seguridad programados para las bases de datos de servidor único de PostgreSQL se detienen permanentemente. No se pueden crear nuevos puntos de restauración.

Sin embargo, las copias de seguridad de base de datos de servidor único de PostgreSQL existentes se conservan de acuerdo con la directiva de copia de seguridad. Los puntos de restauración se eliminarán solo después de la expiración del período de retención. Para conservar los puntos de restauración indefinidamente o eliminarlos antes de la expiración de su período de retención, consulte la consola del Centro de continuidad empresarial de Azure.

Cambios en la facturación

A partir del 31 de marzo de 2025, ya no se le cobrará la tarifa de instancia protegida (PI) para proteger las bases de datos de servidor único de PostgreSQL. Pero todavía se aplica la tarifa por almacenar las copias de seguridad. Para evitar la tarifa de almacenamiento, elimine todos los puntos de restauración del Centro de continuidad empresarial de Azure.

Nota:

Azure Backup conserva el último punto de restauración incluso después de la expiración de su período de retención. Esta característica garantiza que tiene acceso al último punto de restauración para su uso futuro. Solo puede eliminar el último punto de restauración manualmente. Si desea eliminar el último punto de restauración y evitar la tarifa de almacenamiento, detenga la protección de la base de datos.

Cambios en la restauración

Puede restaurar bases de datos de servidor único de PostgreSQL mediante Restaurar como archivos. A continuación, debe crear manualmente un nuevo servidor flexible de PostgreSQL a partir de los archivos restaurados.

Nota:

La opción Restaurar como base de datos no se admite desde el 28 de marzo de 2025, pero la opción Restaurar como archivos sigue siendo compatible.

Proceso de copia de seguridad

1. Como administrador de copia de seguridad, puede especificar las bases de datos de PostgreSQL de las que pretende realizar una copia de seguridad. También puede especificar los detalles de Azure Key Vault, que almacena las credenciales necesarias para conectarse a las bases de datos especificadas. El administrador de bases de datos inicializa estas credenciales de forma segura en Key Vault.

2. El servicio Azure Backup valida que tiene los permisos adecuados para autenticarse con el servidor de Azure Database for PostgreSQL especificado y para realizar una copia de seguridad de sus bases de datos.

3. Azure Backup pone en marcha un rol de trabajo (máquina virtual) con una extensión de copia de seguridad instalada en él para comunicarse con el servidor protegido de Azure Database for PostgreSQL. Esta extensión consta de un coordinador y un complemento de PostgreSQL. El coordinador desencadena flujos de trabajo para varias operaciones, como la copia de seguridad y la restauración. El complemento administra el flujo de datos real.

4. En el momento programado, el coordinador indica al complemento que empiece a transmitir los datos de copia de seguridad desde el servidor de Azure Database for PostgreSQL mediante pg_dump (personalizado).

5. El complemento envía los datos directamente a las cuentas de almacenamiento administradas de Azure Backup (enmascaradas por el almacén de Azure Backup), lo que elimina la necesidad de una ubicación de almacenamiento provisional. Los datos se cifran mediante claves administradas por Microsoft. El servicio Azure Backup almacena los datos en las cuentas de almacenamiento.

Autenticación de Azure Backup con el servidor de Azure Database for PostgreSQL

Azure Backup sigue las directrices de seguridad estrictas de Azure. No se asumen los permisos del recurso de copia de seguridad. El usuario debe conceder explícitamente esos permisos.

Modelo de autenticación basado en Key Vault

El servicio Azure Backup debe conectarse al servidor de Azure Database for PostgreSQL mientras realiza cada copia de seguridad. Aunque se usa un nombre de usuario y una contraseña (o una cadena de conexión) que corresponden a la base de datos para realizar esta conexión, estas credenciales no se almacenan con Azure Backup. En su lugar, el administrador de la base de datos debe inicializar estas credenciales de forma segura en Azure Key Vault como secreto.

El administrador de cargas de trabajo es responsable de administrar y rotar las credenciales. Azure Backup llama a los detalles del secreto más reciente del almacén de claves para realizar la copia de seguridad.

Permisos necesarios para la copia de seguridad de la base de datos de PostgreSQL

1. Conceda los permisos de acceso siguientes a la identidad administrada del almacén de Azure Backup:

   • Acceso de Lector en el servidor de Azure Database for PostgreSQL.
   • Acceso de Usuario de secretos de Key Vault en Key Vault (permisos de Obtener y Enumerar sobre secretos).

2. Establezca el acceso de línea de visión de red en:

   • Servidor de Azure Database for PostgreSQL: establezca Permitir el acceso a los servicios de Azure en Sí.
   • Key Vault: establezca Permitir servicios de Microsoft de confianza en Sí.

3. Establezca los privilegios de copia de seguridad del usuario de la base de datos en la base de datos.

Nota:

Puede conceder estos permisos dentro del flujo de configuración de copia de seguridad con un solo clic si, como administrador de copia de seguridad, tiene acceso de escritura en los recursos deseados. Si no tiene los permisos necesarios (cuando intervienen varios roles), use una plantilla de Azure Resource Manager.

Permisos necesarios para la restauración de bases de datos de PostgreSQL

Los permisos para la restauración son similares a los que necesita para la copia de seguridad. Debe conceder manualmente los permisos en el servidor de Azure Database for PostgreSQL de destino y el almacén de claves correspondiente. A diferencia del flujo configurar copia de seguridad, la experiencia para conceder estos permisos de forma directa actualmente no está disponible.

Asegúrese de que el usuario de la base de datos (correspondiente a las credenciales almacenadas en el almacén de claves) tenga los siguientes privilegios de restauración en la base de datos:

• Asigne un ALTER USER nombre de usuario de CREATEDB.
• Asigne el rol azure_pg_admin al usuario de la base de datos.

Modelo de autenticación basada en id. de Microsoft Entra

Un modelo de autenticación anterior se basaba completamente en el identificador de Entra de Microsoft. El modelo de autenticación basado en Key Vault (como se explicó anteriormente) ya está disponible como una opción alternativa para facilitar el proceso de configuración.

Para obtener un script automatizado y instrucciones relacionadas para usar el modelo de autenticación basado en id. de Microsoft Entra, descargue este documento. Concede un conjunto adecuado de permisos a un servidor de Azure Database for PostgreSQL para la copia de seguridad y restauración.

Nota:

Toda la protección recién configurada solo tiene lugar con el nuevo modelo de autenticación de Key Vault. Sin embargo, todas las instancias de copia de seguridad existentes con protección configurada a través de la autenticación basada en id. de Microsoft Entra seguirán existiendo y tendrán copias de seguridad periódicas realizadas. Para restaurar estas copias de seguridad, debe seguir la autenticación basada en id. de Microsoft Entra.

Pasos para conceder acceso manualmente en el servidor de Azure Database for PostgreSQL y en el almacén de claves

Para conceder todos los permisos de acceso que Necesita Azure Backup, siga estos pasos.

Permisos de acceso en el servidor de Azure Database for PostgreSQL

1. Establezca el acceso de Lector del almacén de Azure Backup para la identidad administrada en el servidor de Azure Database for PostgreSQL.

   

2. Establezca el acceso de línea de visión de red en el servidor de Azure Database for PostgreSQL estableciendo Permitir el acceso a los servicios de Azure en Sí.

   

Permisos de acceso en el almacén de claves

1. Establezca el acceso de Usuario de secretos de Key Vault del almacén de Azure Backup a la identidad administrada en el Key Vault (permisos Obtener y Enumerar sobre secretos). Para asignar permisos, puede usar asignaciones de roles o directivas de acceso. No es necesario agregar los permisos mediante ambas opciones, ya que no ayuda.

   • Para usar la autorización de control de acceso basado en rol (RBAC) de Azure:

     1. En Directivas de acceso, establezca Modelo de permisos en El control de acceso basado en rol de Azure.

        

     2. En Control de acceso (IAM), conceda al Usuario de secretos de Key Vault del almacén de Azure Backup acceso a la identidad administrada en el almacén de claves. Los portadores de ese rol podrán leer secretos.

        

     Para más información, consulte Proporcionar acceso a claves, certificados y secretos de Key Vault con el control de acceso basado en rol de Azure.

   • Para usar directivas de acceso:

     1. En Directivas de acceso, establezca Modelo de permisos en Directiva de acceso del almacén.
     2. Establezca los permisos Obtener y Enumerar secretos.

     

     Para más información, consulte Asignar una directiva de acceso de Key Vault (heredado).

2. Configure el acceso de línea de visión de red en el almacén de claves estableciendo Permitir que los servicios de Microsoft de confianza omitan este firewall en Sí.

   

Privilegios de copia de seguridad del usuario en la base de datos

Ejecute la consulta siguiente en la herramienta pgAdmin . Reemplace por username el identificador de usuario de la base de datos.

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Nota:

Si se produce un error UserErrorMissingDBPermissionsen una base de datos para la que ya configuró la copia de seguridad, consulte esta guía de solución de problemas para obtener ayuda para resolver el problema.

Uso de la herramienta pgAdmin

Descargue la herramienta pgAdmin si aún no la tiene. Puede conectarse al servidor de Azure Database for PostgreSQL mediante esta herramienta. Además, puede agregar bases de datos y nuevos usuarios a este servidor.

Cree un nuevo servidor con el nombre que prefiera. Escriba el nombre de host o la dirección. Es el mismo que el valor nombre del servidor que se muestra en la vista de recursos de Azure PostgreSQL en Azure Portal.

Asegúrese de agregar la dirección del Id. de cliente actual a las reglas de firewall para que se permita la conexión.

Puede agregar nuevas bases de datos y usuarios de base de datos al servidor. Para los usuarios de la base de datos, seleccione Inicio de sesión o rol de grupo para agregar roles. Asegúrese de que ¿Puede iniciar sesión? está establecido en Sí.

Contenido relacionado

• Preguntas más frecuentes sobre la copia de seguridad de Azure Database for PostgreSQL.
• Realice una copia de seguridad de Azure Database for PostgreSQL mediante Azure Portal.
• Cree una directiva de copia de seguridad para las bases de datos postgreSQL mediante la API REST.
• Configure la copia de seguridad de las bases de datos postgreSQL mediante la API REST.
• Restaure las bases de datos de PostgreSQL mediante la API REST.