Copia de seguridad de Azure Database for PostgreSQL con retención a largo plazo

  • Artículo

En este artículo, se describe cómo hacer una copia de seguridad del servidor de Azure Database for PostgreSQL. Antes de comenzar, revise las configuraciones admitidas, las consideraciones de las características y las limitaciones conocidas.

Configuración de la copia de seguridad en bases de datos de Azure PostgreSQL

Puede configurar la copia de seguridad de varias bases de datos en varios servidores de Azure PostgreSQL. Para configurar la copia de seguridad en las bases de datos de Azure Database for PostgreSQL mediante Azure Backup, siga estos pasos:

  1. Vaya a Almacén de Backup>+Copia de seguridad.

    Captura de pantalla que muestra la opción para agregar una copia de seguridad.

    Captura de pantalla que muestra la opción para agregar información de copia de seguridad.

    También puede navegar a esta página desde el Centro de copias de seguridad.

  2. Seleccione o cree una directiva de Backup que defina la programación de la copia de seguridad y la duración de la retención.

    Captura de pantalla que muestra la opción para agregar una directiva de copia de seguridad.

  3. Seleccione las bases de datos de Azure Database for PostgreSQL que se van a copiar: elija uno de los servidores de Azure Database for PostgreSQL entre las suscripciones si se encuentran en la misma región que el almacén. Expanda la flecha para ver la lista de bases de datos dentro de un servidor.

    Nota:

    • No es necesario realizar la copia de seguridad de las bases de datos azure_maintenance y azure_sys. Además, no se puede realizar una copia de seguridad de una base de datos de la que ya se haya hecho una copia de seguridad en un almacén de Backup.
    • Se puede hacer una copia de seguridad de los servidores de Azure PostgreSQL habilitados para puntos de conexión privados mediante la habilitación de servicios de Microsoft de confianza en la configuración de red.

    Captura de pantalla que muestra la opción para seleccionar una base de datos PostgreSQL de Azure.

    Captura de pantalla que muestra cómo elegir un servidor de Azure Database for PostgreSQL.

  4. Asigne una instancia de Azure Key Vault que almacene las credenciales para conectarse a la base de datos seleccionada. Ya debería haber creado los secretos pertinentes en el almacén de claves. Para asignar el almacén de claves en el nivel de fila individual, haga clic en Select a key vault and secret (Seleccionar un almacén de claves y un secreto). También puede asignar el almacén de claves seleccionando varias filas y haciendo clic en Assign key vault (Asignar almacén de claves) en el menú superior de la cuadrícula.

    Captura de pantalla que muestra cómo asignar Azure Key Vault.

  5. Para especificar la información del secreto, use una de las siguientes opciones:

    1. Escribir el identificador URI del secreto: use esta opción si el identificador URI del secreto es compartido o conocido por usted. Puede copiar el identificador URI del secreto desde el almacén de claves>Secretos (seleccione un secreto)>Identificador secreto.

      Captura de pantalla en la que se muestra cómo especificar la URL secreta.

      Sin embargo, con esta opción, Azure Backup no obtiene visibilidad sobre el almacén de claves al que se ha hecho referencia. Por lo tanto, no se pueden conceder en línea los permisos de acceso al almacén de claves. El administrador de copias de seguridad y el administrador de Postgres y el almacén de claves deben asegurarse de que el acceso al almacén de claves del almacén de copia de seguridad se conceda manualmente fuera del flujo de configuración de copia de seguridad para que la operación de copia de seguridad se realice correctamente.

    2. Seleccionar el almacén de claves: use esta opción si conoce el nombre del secreto y el almacén de claves. Con esta opción, usted (administrador de copias de seguridad con acceso de escritura al almacén de claves) puede conceder en línea los permisos de acceso al almacén de claves. El almacén de claves y el secreto pueden existir previamente o crearse sobre la marcha. Asegúrese de que el secreto sea la cadena de conexión del servidor PG en formato ADO.net actualizado con las credenciales del usuario de base de datos al que se han concedido los privilegios de "copia de seguridad" en el servidor. Obtenga más información sobre cómo crear secretos en el almacén de claves.

      Captura de pantalla en la que se muestra cómo asignar un almacén de secretos.

      Captura de pantalla que muestra la selección del secreto de Azure Key Vault.

  6. Cuando se completa la actualización de la información del secreto, la validación se inicia una vez actualizada la información del almacén de claves.

    Nota:

    • En este caso, el servicio de copia de seguridad valida si tiene todos los permisos de acceso necesarios para leer los detalles del secreto del almacén de claves y conectarse a la base de datos.
    • Si faltan uno o varios permisos de acceso, se mostrará uno de estos mensajes de error: Role assignment not done (Asignación de roles no realizada) o User cannot assign roles (El usuario no puede asignar roles) .

    Captura de pantalla que muestra la validación del secreto.

    • User cannot assign roles (El usuario no puede asignar roles): este mensaje se muestra cuando usted (el administrador de copias de seguridad) no tiene acceso de escritura en el servidor postgreSQL o en el almacén de claves para asignar los permisos que faltan, como se muestra en View details (Ver detalles). Descargue la plantilla de asignación desde el botón de acción y haga que la ejecuten el administrador de PostgreSQL o del almacén de claves. Se trata de una plantilla de ARM que le ayuda a asignar los permisos necesarios en los recursos necesarios. Una vez que la plantilla se ejecute correctamente, haga clic en Re-validate (Volver a validar) en la página Configure Backup (Configurar copia de seguridad).

      Captura de pantalla que muestra la opción para descargar la plantilla de asignación de roles.

    • Role assignment not done (Asignación de roles no realizada): este mensaje se muestra cuando usted (el administrador de copias de seguridad) tiene acceso de escritura en el servidor postgreSQL o en el almacén de claves para asignar los permisos que faltan, como se muestra en View details (Ver detalles). Use el botón de acción Assign missing roles (Asignar roles que faltan) del menú de acciones superior para conceder en línea los permisos en el servidor postgreSQL y en el almacén de claves.

      Captura de pantalla que muestra el mensaje de error sobre la asignación de roles no realizada.

  7. Seleccione Assign missing roles (Asignar roles que faltan) en el menú superior y asigne los roles. Una vez que se inicia el proceso, se conceden al almacén de copia de seguridad los permisos de acceso que faltan en el almacén de claves o el servidor PG. Puede definir el ámbito en el que se deben conceder los permisos de acceso. Una vez completada la acción, se inicia una nueva validación.

    Captura de pantalla que muestra la opción para asignar los roles que faltan.

    Captura de pantalla que muestra cómo definir el ámbito del permiso de acceso.

    Captura de pantalla que muestra los secretos de acceso del almacén de copia de seguridad desde el almacén de claves.

    Captura de pantalla que muestra el proceso para iniciar la conexión de prueba.

    Captura de pantalla que muestra cómo proporcionar las credenciales de usuario para ejecutar la prueba.

  8. Mantenga los registros con el estado de preparación para la copia de seguridad establecido como Correcto para continuar con el último paso de envío de la operación.

    Captura de pantalla que muestra que la preparación para la copia de seguridad es correcta.

    Captura de pantalla que muestra la página de revisión de la configuración de copia de seguridad.

  9. Envíe la operación de configuración de copia de seguridad y realice un seguimiento del progreso en Backup instances (Instancias de Backup).

    Captura de pantalla que muestra el envío de la configuración de copia de seguridad y el seguimiento del progreso.

Creación de una directiva de copia de seguridad

Puede crear una directiva de copia de seguridad sobre la marcha durante la configuración del flujo de copia de seguridad. También puede ir a Centro de copias de seguridad>Directivas de Backup>Agregar.

  1. En Nombre, escriba un nombre para la nueva directiva.

    Captura de pantalla que muestra el proceso para especificar un nombre para la nueva directiva.

  2. Defina la programación de las copias de seguridad.

    Actualmente, solo está disponible la opción de copia de seguridad semanal. Sin embargo, puede programar las copias de seguridad varios días de la semana.

  3. Defina la configuración de Retención.

    Puede agregar una o varias reglas de retención. En cada regla de retención se suponen entradas para copias de seguridad específicas, así como el almacén de datos y el tiempo que se retienen esas copias de seguridad.

  4. Para almacenar las copias de seguridad en uno de los dos almacenes de datos (o niveles), elija Backup data store (Almacén de datos de copia de seguridad) (nivel Estándar) o Archive data store (Almacén de datos de archivo) (en versión preliminar).

  5. Elija la opción On-expiry (Al expirar) para mover la copia de seguridad al almacén de datos de archivo cuando expire en el almacén de datos de copia de seguridad.

    Nota:

    Si no hay ninguna otra regla de retención, se aplica la regla de retención predeterminada, que a su vez tiene un valor predeterminado de tres meses.

    • La duración de la retención oscila entre siete días y diez años en el almacén de datos de copia de seguridad.
    • La duración de la retención oscila entre seis meses y diez años en el almacén de datos de archivo.

    Captura de pantalla en la que se muestra la elección de

Nota

Las reglas de retención se evalúan en un orden de prioridad predeterminado. La prioridad más alta es para la regla anual, seguida de la regla mensual y, luego, la semanal. La configuración de referencia predeterminada se aplica en caso de que no haya ninguna otra regla que cumpla los requisitos. Por ejemplo, el mismo punto de recuperación puede ser la primera copia de seguridad correcta que se realiza cada semana, así como la primera copia de seguridad correcta realizada cada mes. Sin embargo, dado que la prioridad de la regla mensual es mayor que la de la regla semanal, se aplica la retención correspondiente a la primera copia de seguridad correcta realizada cada mes.

Creación de los secretos en el almacén de claves

El secreto es la cadena de conexión del servidor PG en formato ADO.net actualizado con las credenciales del usuario de base de datos al que se han concedido los privilegios de copia de seguridad en el servidor. Copie la cadena de conexión del servidor PG y edítela en un editor de texto para actualizar el identificador de usuario y la contraseña.

Captura de pantalla que muestra la cadena de conexión del servidor PG como un secreto.

Captura de pantalla que muestra la opción para crear un secreto de cadena de conexión de servidor PG.

Ejecución de un script de PowerShell para conceder privilegios a los usuarios de base de datos

El script de PowerShell generado dinámicamente durante la configuración de la copia de seguridad acepta el usuario de base de datos como entrada, junto con las credenciales del administrador de PG, para conceder los privilegios relacionados con la copia de seguridad al usuario de base de datos en la base de datos.

La herramienta PSQL debe estar presente en la máquina y se debe establecer correctamente la variable de entorno PATH en la ruta de acceso de la herramienta PSQL.

Captura de pantalla que muestra la opción para buscar la aplicación de configuración del entorno.

Captura de pantalla que muestra la opción para establecer el entorno en Propiedades del sistema.

Captura de pantalla que muestra las variables de entorno predeterminadas.

Captura de pantalla que muestra las variables de entorno que debe establecer.

Asegúrese de que la configuración de seguridad de la conexión de la instancia de Azure Database for PostgreSQL incluya en la lista de permitidos la dirección IP de la máquina para permitir la conectividad de red.

Ejecución de una copia de seguridad a petición

Para desencadenar una copia de seguridad fuera de la programación especificada en la directiva, vaya a Instancias de Backup ->Hacer copia de seguridad ahora. Elija una regla de retención en la lista de las que se definieron en la directiva de Backup asociada.

Captura de pantalla que muestra la opción para ir a la lista de reglas de retención que se definieron en la directiva de copia de seguridad asociada.

Captura de pantalla que muestra la opción elegir las reglas de retención que se definieron en la directiva de copia de seguridad asociada.

Seguimiento de un trabajo de copia de seguridad

El servicio Azure Backup crea un trabajo para las copias de seguridad programadas o si desencadena una operación de copia de seguridad a petición para su seguimiento. Para ver el estado del trabajo de copia de seguridad:

  1. Vaya a la pantalla Instancia de copia de seguridad.

    En ella se muestra el panel de trabajos que cuenta con la operación y el estado de los últimos siete días.

    Captura de pantalla que muestra el panel de claves.

  2. Para ver el estado del trabajo de copia de seguridad, seleccione Ver todos para ver los trabajos en curso y pasados de esta instancia de copia de seguridad.

    Captura de pantalla que muestra cómo seleccionar la opción Ver todo.

  3. Revise la lista de trabajos de copia de seguridad y restauración, así como su estado. Seleccione un trabajo de la lista de trabajos para ver los detalles del mismo.

    Captura de pantalla que muestra la selección del trabajo para ver los detalles.

Pasos siguientes