Megosztás a következőn keresztül:

Az Azure Database for PostgreSQL biztonsági mentésének bemutatása

  • Cikk

Az Azure Backup és az Azure Database Services egy nagyvállalati szintű biztonsági mentési megoldást hoz létre az Azure Database for PostgreSQL-kiszolgálókhoz, amelyek akár 10 évig is megőrzik a biztonsági mentéseket. A hosszú távú megőrzés mellett a megoldás a következő képességeket kínálja:

  • Az ügyfél által felügyelt ütemezett és igény szerinti biztonsági mentések az egyes adatbázis szintjén.
  • Adatbázisszintű visszaállítás bármely PostgreSQL-kiszolgálóra vagy blobtárolóba.
  • Az összes művelet és feladat központi monitorozása.
  • Különálló biztonsági és tartalék tartományban tárolt biztonsági másolatok. Ha a forráskiszolgáló vagy az előfizetés bármilyen körülmények között sérül, a biztonsági másolatok biztonságban maradnak a Backup-tárolóban (az Azure Backup felügyelt tárfiókjaiban).
  • A pg_dump használata nagyobb rugalmasságot tesz lehetővé a visszaállításokban. Ez segít az adatbázis-verziók közötti visszaállításban

Ezt a megoldást önállóan vagy az Azure PostgreSQL által kínált natív biztonsági mentési megoldáson kívül is használhatja, amely akár 35 napig is megőrzést biztosít. A natív megoldás alkalmas működési helyreállításokra, például amikor a legújabb biztonsági másolatokból szeretne helyreállni. Az Azure Backup megoldás segít a megfelelőségi igényeknek való megfelelésben, valamint részletesebb és rugalmasabb biztonsági mentésben/visszaállításban.

Feljegyzés

Azure Database for PostgreSQL – Az önálló kiszolgáló a kivonási útvonalon van, és 2025. március 28-ra van ütemezve a kivonásra.

Ha jelenleg egy Azure Database for PostgreSQL- egykiszolgálós szolgáltatással rendelkezik, amely éles kiszolgálókat üzemeltet, örömmel tájékoztatjuk, hogy migrálhatja az Önálló Azure Database for PostgreSQL-kiszolgálót a rugalmas Azure Database for PostgreSQL-kiszolgálóra.

Az Azure Database for PostgreSQL – Rugalmas kiszolgáló egy teljes körűen felügyelt, éles üzemre kész> adatbázis-szolgáltatás, amely az Azure Backup nagyvállalati szintű biztonsági mentési megoldásával részletesebb vezérlést és rugalmasságot biztosít az adatbázis-kezelési funkciók és konfigurációs beállítások felett. A rugalmas Azure Database for PostgreSQL-kiszolgálóról további információt az Azure Database for PostgreSQL – Rugalmas kiszolgáló című témakörben talál.

Biztonsági mentési folyamat

  1. Biztonsági mentési rendszergazdaként megadhatja azokat az Azure PostgreSQL-adatbázisokat, amelyekről biztonsági másolatot szeretne készíteni. Emellett megadhatja annak az Azure Key Vaultnak a részleteit is, amely a megadott adatbázis(ok)hoz való csatlakozáshoz szükséges hitelesítő adatokat tárolja. Ezeket a hitelesítő adatokat az adatbázis-rendszergazda biztonságosan magozza az Azure Key Vaultban.
  2. A biztonsági mentési szolgáltatás ezután ellenőrzi, hogy rendelkezik-e megfelelő engedélyekkel a megadott PostgreSQL-kiszolgálóval való hitelesítéshez és az adatbázisok biztonsági mentéséhez.
  3. Az Azure Backup elindít egy feldolgozói szerepkört (VM) egy biztonsági mentési bővítményrel, amely telepítve van a védett PostgreSQL-kiszolgálóval való kommunikációhoz. Ez a bővítmény egy koordinátorból és egy PostgreSQL beépülő modulból áll. A koordinátor munkafolyamatokat indít el különböző műveletekhez, például biztonsági mentéshez és visszaállításhoz, és a beépülő modul kezeli a tényleges adatfolyamot.
  4. Az ütemezett időpontban a koordinátor kommunikál a beépülő modullal, hogy megkezdje a biztonsági mentési adatok átvitelét a PostgreSQL-kiszolgálóról pg_dump (egyéni) használatával.
  5. A beépülő modul közvetlenül az Azure Backup felügyelt tárfiókjainak küldi el az adatokat (a Backup-tároló maszkolja), így nincs szükség átmeneti helyre. Az adatok titkosítása Microsoft által felügyelt kulcsokkal történik, és az Azure Backup szolgáltatás tárolja a tárfiókokban.

A biztonsági mentési folyamatot bemutató diagram.

Azure Backup-hitelesítés a PostgreSQL-kiszolgálóval

Az Azure Backup az Azure által meghatározott szigorú biztonsági irányelveket követi; a biztonsági mentéshez szükséges erőforrás engedélyeit nem feltételezzük, és a felhasználónak explicit módon kell megadnia.

Kulcstartóalapú hitelesítési modell

Az Azure Backup szolgáltatásnak minden biztonsági mentés során csatlakoznia kell az Azure PostgreSQL-hez. Bár az adatbázisnak megfelelő felhasználónév + jelszó (vagy kapcsolati sztring) használja ezt a kapcsolatot, ezek a hitelesítő adatok nem az Azure Backupban vannak tárolva. Ehelyett ezeket a hitelesítő adatokat az adatbázis rendszergazdájának titkos kulcsként kell megadnia az Azure Key Vaultban. A számítási feladat rendszergazdája felelős a hitelesítő adatok kezeléséért és elforgatásáért; Az Azure Backup a kulcstartó legfrissebb titkos adatait kéri a biztonsági mentéshez.

A számítási feladatot vagy az adatbázis-folyamatot bemutató diagram.

Az Azure PostgreSQL-adatbázis biztonsági mentéséhez szükséges engedélyek készlete

  1. Adja meg a következő hozzáférési engedélyeket a Backup-tároló MSI-jének:

    • Olvasói hozzáférés az Azure PostgreSQL-kiszolgálón.
    • A Key Vault titkos kulcsainak felhasználói (vagy titkos kulcsok lekérése, listázása) hozzáférése az Azure Key Vaultban.

  2. Hálózati látóvonal-hozzáférés a következőn:

    • Az Azure PostgreSQL-kiszolgáló – Az Azure-szolgáltatások jelzőjének engedélyezése igen értékre van állítva.
    • A kulcstartó – Engedélyezi, hogy a megbízható Microsoft-szolgáltatások jelző igen értékre legyen állítva.

  3. Adatbázis-felhasználó biztonsági mentési jogosultságai az adatbázisban

Feljegyzés

Ezeket az engedélyeket egyetlen kattintással megadhatja a biztonsági mentési folyamat konfigurálásához, ha Ön (a biztonsági mentési rendszergazda) "írási" hozzáféréssel rendelkezik a kívánt erőforrásokhoz, vagy használjon ARM-sablont, ha nem rendelkezik a szükséges engedélyekkel (ha több személy is érintett).

Az Azure PostgreSQL-adatbázis visszaállításához szükséges engedélyek készlete

A visszaállítási engedélyek hasonlóak a biztonsági mentéshez szükséges engedélyekhez, és meg kell adnia az engedélyeket a cél PostgreSQL-kiszolgálón és annak megfelelő kulcstartóján. A biztonsági mentési folyamat konfigurálásához hasonlóan az engedélyek beágyazott engedélyezésének felülete jelenleg nem érhető el. Ezért manuálisan kell megadnia a hozzáférést a Postgres-kiszolgálón és a megfelelő kulcstartóban.

Emellett győződjön meg arról, hogy az adatbázis-felhasználó (a kulcstartóban tárolt hitelesítő adatoknak megfelelően) a következő visszaállítási jogosultságokkal rendelkezik az adatbázisban:

  • ALTER USER username CREATEDB;
  • Rendelje hozzá a szerepkört azure_pg_admin az adatbázis-felhasználóhoz.

Microsoft Entra ID alapú hitelesítési modell

Korábban elindítottunk egy másik hitelesítési modellt, amely teljes egészében a Microsoft Entra ID-n alapult. Most azonban alternatív lehetőségként biztosítjuk az új kulcstartó-alapú hitelesítési modellt (a fent leírtak szerint), ami megkönnyíti a konfigurációs folyamatot.

Töltse le ezt a dokumentumot , hogy lekérjen egy automatizált szkriptet és a kapcsolódó utasításokat a hitelesítési modell használatához. Megfelelő engedélyeket ad egy Azure PostgreSQL-kiszolgálónak a biztonsági mentéshez és a visszaállításhoz.

Feljegyzés

Az összes új konfigurálási védelem csak az új key vault hitelesítési modellel történik. A Microsoft Entra ID-alapú hitelesítéssel konfigurált összes meglévő biztonsági mentési példány azonban továbbra is létezik, és rendszeres biztonsági másolatokat készít. A biztonsági másolatok visszaállításához a Microsoft Entra ID-alapú hitelesítést kell követnie.

Hozzáférés manuális biztosítása az Azure PostgreSQL-kiszolgálóhoz és a kulcstartóhoz

Az Azure Backuphoz szükséges összes hozzáférési engedély megadásához tekintse meg a következő szakaszokat:

Hozzáférési engedélyek az Azure PostgreSQL-kiszolgálón

  1. Állítsa be a Backup-tároló MSI-olvasó hozzáférését az Azure PostgreSQL-kiszolgálón.

    Képernyőkép a Backup-tároló M S I-olvasó hozzáférésének beállításáról az Azure PostgreSQL-kiszolgálón.

  2. Hálózati látóvonal-hozzáférés az Azure PostgreSQL-kiszolgálón: Állítsa az "Azure-szolgáltatásokhoz való hozzáférés engedélyezése" jelzőt "Igen" értékre.

    Képernyőkép az Azure PostgreSQL-kiszolgálón a hálózati látóvonal-hozzáférés beállításáról.

Hozzáférési engedélyek az Azure Key Vaulton (a PostgreSQL-kiszolgálóhoz társítva)

  1. Állítsa be a Backup-tároló MSI Key Vault titkos kulcsainak felhasználói (vagy titkos kulcsok lekérése, listázása ) hozzáférését az Azure Key Vaultban. Engedélyek hozzárendeléséhez szerepkör-hozzárendeléseket vagy hozzáférési szabályzatokat használhat. Nem szükséges mindkét beállítással hozzáadni az engedélyt, mivel az nem segít.

    • Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) engedélyezése (azaz az engedélymodell azure-beli szerepköralapú hozzáférés-vezérlésre van beállítva):

    Képernyőkép a titkos felhasználói hozzáférés biztosítására vonatkozó lehetőségről.

    Képernyőkép a biztonsági mentési tároló M S I Key Vault titkos kulcstartójának felhasználói hozzáférésének megadásáról a kulcstartón.

    • Hozzáférési szabályzatok használata (azaz az engedélymodell tárolóelérési szabályzatra van állítva):

      • Titkos kódok beolvasási és listázási engedélyeinek beállítása.
      • Tudnivalók az Azure Key Vault hozzáférési szabályzatának hozzárendeléséről

      Az Engedélymodell használatával történő engedély megadásának lehetőségét ábrázoló képernyőkép a Tároló hozzáférési szabályzat modelljére van állítva.

  2. Hálózati látóvonal-hozzáférés a kulcstartón: Állítsa a Megbízható Microsoft-szolgáltatások jelzőt Igen értékre.

    Képernyőkép arról, hogy a Megbízható Microsoft-szolgáltatások engedélyezése jelölőt igen értékre állítja a kulcstartó hálózati látóvonal-hozzáféréséhez.

Adatbázis-felhasználó biztonsági mentési jogosultságai az adatbázisban

Futtassa a következő lekérdezést a PG felügyeleti eszközben (cserélje le a felhasználónevet az adatbázis felhasználói azonosítójával):

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Feljegyzés

Ha a UserErrorMissingDBPermissions szolgáltatással meghiúsul egy olyan adatbázis, amelyhez már konfigurálták a biztonsági mentést , tekintse meg ezt a hibaelhárítási útmutatót , amely segítséget nyújt a probléma megoldásához.

A PG felügyeleti eszköz használata

Töltse le a PG felügyeleti eszközt , ha még nem rendelkezik vele. Ezzel az eszközzel csatlakozhat az Azure PostgreSQL-kiszolgálóhoz. Emellett adatbázisokat és új felhasználókat is hozzáadhat ehhez a kiszolgálóhoz.

Képernyőkép az Azure PostgreSQL-kiszolgálóhoz p G felügyeleti eszközzel való csatlakozás folyamatról.

Hozzon létre egy új kiszolgálót egy tetszőleges névvel. Adja meg a gazdagép nevét/címét az Azure Portal Azure PostgreSQL-erőforrásnézetében megjelenített kiszolgálónévvel megegyező módon.

Képernyőkép az új kiszolgáló P G felügyeleti eszközzel történő létrehozásáról.

Képernyőkép a kiszolgáló nevével megegyező állomásnév vagy cím beírásának lehetőségével.

Győződjön meg arról, hogy hozzáadja az aktuális ügyfélazonosító-címet a tűzfalszabályokhoz, hogy a kapcsolat áthaladhasson.

Képernyőkép az aktuális ügyfél I D-cím tűzfalszabályokhoz való hozzáadásának folyamatával.

Új adatbázisokat és adatbázis-felhasználókat adhat hozzá a kiszolgálóhoz. Adatbázis-felhasználók számára adjon hozzá egy új bejelentkezési/csoportszerepkört". Győződjön meg arról, hogy a Bejelentkezés? beállítás értéke Igen.

Képernyőkép az új adatbázisok és adatbázis-felhasználók kiszolgálóhoz való hozzáadásának folyamatával.

Képernyőkép az adatbázis-felhasználók új bejelentkezési vagy csoportszerepkörének hozzáadásáról.

A can login beállítás ellenőrzésének képernyőképe Igen értékre van állítva.

Következő lépések

Azure Database for PostgreSQL biztonsági mentése