Mi az Azure Database for PostgreSQL mentési szolgáltatása?

Az Azure Backup és az Azure database services összejött egy nagyvállalati szintű biztonsági mentési megoldás létrehozásához az Azure Database for PostgreSQL-kiszolgálókhoz, amelyek akár 10 évig megőrzik a biztonsági mentéseket. A hosszú távú megőrzés mellett a megoldás a következő képességeket kínálja:

• Ügyfél által vezérelt ütemezett és igény szerinti biztonsági mentés az egyes adatbázisszinteken.
• Adatbázisszintű visszaállítás bármely Azure Database for PostgreSQL-kiszolgálóra vagy bármilyen blobtárolóra.
• Az összes művelet és feladat központi monitorozása.
• A biztonsági mentések tárolása külön biztonsági és tartalék tartományokban. Ha a forráskiszolgáló vagy az előfizetés biztonsága sérül, a biztonsági másolatok biztonságban maradnak az Azure Backup-tárolóban (az Azure Backup felügyelt tárfiókjaiban).
• A pg_dump használata nagyobb rugalmasságot biztosít a visszaállításokhoz. Az adatbázis-verziók közötti visszaállítást is megteheti.

Ezt a megoldást önállóan vagy az Azure PostgreSQL natív biztonsági mentési megoldásán kívül is használhatja, amely akár 35 napig is megőrzést biztosít. A natív megoldás alkalmas működési helyreállításokra, például amikor a legújabb biztonsági másolatokból szeretne helyreállni. Az Azure Backup megoldás segít a megfelelőségi igények kielégítésében, és részletesebb és rugalmasabb biztonsági mentési/visszaállítási képességet biztosít.

Az önálló PostgreSQL-kiszolgálók tárolóalapú biztonsági mentéseinek módosítása

2025. március 28-án megszűnt az Azure Database for PostgreSQL egyetlen kiszolgálós üzembe helyezési lehetősége. Ezen a napon a módosítások az önálló Azure Backup for PostgreSQL-kiszolgálókon lettek implementálva. További információ a nyugdíjba vonulásról.

Az Azure Backup megfelelőségi és rugalmassági megoldásokat biztosít, beleértve a tárolóalapú biztonsági mentéseket és a visszaállítási pontok hosszú távú megőrzését. 2025. március 28-án a következő módosítások léptek érvénybe:

• A biztonsági mentési konfiguráció nem engedélyezett az új, egykiszolgálós PostgreSQL-számítási feladatokhoz.
• Az összes ütemezett biztonsági mentési feladat véglegesen megszűnik.
• Új biztonsági mentési szabályzatok létrehozása vagy meglévők módosítása ehhez a számítási feladathoz nem lehetséges.

A kivonás napján az egykiszolgálós PostgreSQL-adatbázisok ütemezett biztonsági mentési feladatai véglegesen leálltak. Nem hozhat létre új visszaállítási pontokat.

A meglévő, egykiszolgálós PostgreSQL-adatbázis biztonsági mentései azonban a biztonsági mentési szabályzatnak megfelelően maradnak meg. A visszaállítási pontok csak a megőrzési időszak lejárta után törlődnek. A visszaállítási pontok határozatlan ideig történő megőrzéséhez vagy a megőrzési időszak lejárta előtt történő törléséhez tekintse meg az Azure Üzletmenet-folytonossági központ konzolját.

A számlázás változásai

2025. március 31-étől már nem számítunk fel védett példány (PI) díjat a PostgreSQL egykiszolgálós adatbázisok védelméért. A biztonsági másolatok tárolásának díja azonban továbbra is érvényes. A tárolási díj elkerülése érdekében törölje az összes visszaállítási pontot az Azure Üzletmenet-folytonossági központból.

Feljegyzés

Az Azure Backup a megőrzési időszak lejárta után is megőrzi az utolsó visszaállítási pontot. Ez a funkció biztosítja, hogy a jövőben is hozzáférhessen az utolsó visszaállítási ponthoz. Az utolsó visszaállítási pontot csak manuálisan törölheti. Ha törölni szeretné az utolsó visszaállítási pontot, és el szeretné kerülni a tárolási díjat, állítsa le az adatbázis védelmét.

Változások a visszaállításban

A PostgreSQL egykiszolgálós adatbázisait a Visszaállítás fájlként funkcióval állíthatja vissza. Ezután manuálisan kell létrehoznia egy új rugalmas PostgreSQL-kiszolgálót a visszaállított fájlokból.

Feljegyzés

A Visszaállítás adatbázisként beállítás 2025. március 28-ától nem támogatott, de a Visszaállítás fájlként funkció továbbra is támogatott.

Biztonsági mentési folyamat

1. Biztonsági mentési rendszergazdaként megadhatja azokat a PostgreSQL-adatbázisokat, amelyekről biztonsági másolatot szeretne készíteni. Megadhatja az Azure Key Vault részleteit is, amelyek a megadott adatbázisokhoz való csatlakozáshoz szükséges hitelesítő adatokat tárolják. Az adatbázis-rendszergazda biztonságosan elhelyezi ezeket a hitelesítő adatokat a Key Vault-ban.

2. Az Azure Backup szolgáltatás ellenőrzi, hogy rendelkezik-e megfelelő engedélyekkel a megadott Azure Database for PostgreSQL-kiszolgálóval való hitelesítéshez és az adatbázisok biztonsági mentéséhez.

3. Az Azure Backup a védett Azure Database for PostgreSQL-kiszolgálóval való kommunikációhoz elindít egy feldolgozói szerepkört (virtuális gépet), amelyen telepítve van egy biztonsági mentési bővítmény. Ez a bővítmény egy koordinátorból és egy PostgreSQL beépülő modulból áll. A koordinátor munkafolyamatokat indít el különböző műveletekhez, például biztonsági mentéshez és visszaállításhoz. A beépülő modul kezeli a tényleges adatfolyamot.

4. Az ütemezett időpontban a koordinátor arra utasítja a beépülő modult, hogy kezdje el streamelni a biztonsági mentési adatokat az Azure Database for PostgreSQL-kiszolgálóról az (egyéni) használatával pg_dump .

5. A beépülő modul közvetlenül az Azure Backup felügyelt tárfiókjainak küldi el az adatokat (az Azure Backup-tároló maszkolja), így nincs szükség átmeneti helyre. Az adatok titkosítása Microsoft által felügyelt kulcsokkal történik. Az Azure Backup szolgáltatás tárfiókokban tárolja az adatokat.

Azure Backup-hitelesítés az Azure Database for PostgreSQL-kiszolgálóval

Az Azure Backup az Azure szigorú biztonsági irányelveit követi. A biztonsági másolatot készítendő erőforrás engedélyeit nem feltételezzük. A felhasználónak kifejezetten meg kell adnia ezeket az engedélyeket.

Key Vault-alapú hitelesítési modell

Az Azure Backup szolgáltatásnak minden biztonsági mentés során csatlakoznia kell az Azure Database for PostgreSQL-kiszolgálóhoz. Bár az adatbázisnak megfelelő felhasználónevet és jelszót (vagy kapcsolati sztringet) használnak a kapcsolat létrehozásához, ezek a hitelesítő adatok nem az Azure Backupban vannak tárolva. Ehelyett az adatbázis-rendszergazdának biztonságosan ki kell helyeznie ezeket a hitelesítő adatokat az Azure Key Vaultban titkos kulcsként.

A terheléskezelő adminisztrátor felelős a hitelesítő adatok kezeléséért és forgatásáért. Az Azure Backup a kulcstartó legfrissebb titkos adatait kéri a biztonsági mentéshez.

A PostgreSQL-adatbázis biztonsági mentéséhez szükséges engedélyek

1. Adja meg a következő hozzáférési engedélyeket az Azure Backup-tároló felügyelt identitásához:

   • Olvasás hozzáférés az Azure Database for PostgreSQL szerveren.
   • Key Vault titkos kulcsok felhasználói hozzáférése a Key Vaultban (titkos kulcsokra vonatkozó engedélyek lekérése és listázása ).

2. Hálózati látóvonal-hozzáférés beállítása:

   • Azure Database for PostgreSQL-kiszolgáló: Állítsa az Azure-szolgáltatásokhoz való hozzáférés engedélyezéseIgen értékre.
   • Key Vault: A megbízható Microsoft-szolgáltatások engedélyezéseigen értékre állítása.

3. Állítsa be az adatbázis-felhasználó biztonsági mentési jogosultságait az adatbázisban.

Feljegyzés

Ezeket az engedélyeket egyetlen kattintással megadhatja a biztonsági mentési folyamat konfigurálásához , ha ön, mint biztonsági mentési rendszergazda írási hozzáféréssel rendelkezik a kívánt erőforrásokhoz. Ha nem rendelkezik a szükséges engedélyekkel (ha több személy is érintett), használjon Azure Resource Manager-sablont.

A PostgreSQL-adatbázis visszaállításához szükséges engedélyek

A visszaállítási engedélyek hasonlóak a biztonsági mentéshez szükséges engedélyekhez. Manuálisan kell megadnia az engedélyeket a cél Azure Database for PostgreSQL-kiszolgálón és a megfelelő kulcstartóban. Ellentétben a biztonsági mentési folyamat konfigurálásával, az engedélyek közvetlen megadásának lehetősége jelenleg nem érhető el.

Győződjön meg arról, hogy az adatbázis-felhasználó (a kulcstartóban tárolt hitelesítő adatoknak megfelelően) a következő visszaállítási jogosultságokkal rendelkezik az adatbázisban:

• Csatolja a ALTER USER felhasználónevet CREATEDB.
• Rendelje hozzá a szerepkört azure_pg_admin az adatbázis-felhasználóhoz.

Microsoft Entra ID-alapú hitelesítési modell

Egy korábbi hitelesítési modell teljes egészében a Microsoft Entra-azonosítón alapult. A Key Vault-alapú hitelesítési modell (a korábban ismertetett módon) már elérhető alternatív lehetőségként a konfigurációs folyamat megkönnyítése érdekében.

A Microsoft Entra ID-alapú hitelesítési modell használatára vonatkozó automatizált szkript és kapcsolódó utasítások beszerzéséhez töltse le ezt a dokumentumot. Megfelelő engedélyeket biztosít egy Azure Database for PostgreSQL-kiszolgálónak biztonsági mentéshez és visszaállításhoz.

Feljegyzés

Az újonnan konfigurált védelem csak az új Key Vault hitelesítési modellel történik. A Microsoft Entra ID-alapú hitelesítéssel konfigurált védelemmel rendelkező meglévő biztonsági mentési példányok azonban továbbra is léteznek, és rendszeres biztonsági másolatokat készítenek. A biztonsági másolatok visszaállításához a Microsoft Entra ID-alapú hitelesítést kell követnie.

A hozzáférés manuális engedélyezésének lépései az Azure Database for PostgreSQL-kiszolgálón és a kulcstartón

Az Azure Backuphoz szükséges összes hozzáférési engedély megadásához kövesse az alábbi lépéseket.

Hozzáférési engedélyek az Azure Database for PostgreSQL-kiszolgálón

1. Állítsa be az Azure Backup-tároló olvasói hozzáférését a felügyelt identitáshoz az Azure Database for PostgreSQL-kiszolgálón.

   

2. Az Azure Database for PostgreSQL szerveren állítsa be a hálózati közvetlen hozzáférést az Azure-szolgáltatásokhoz való hozzáférés engedélyezésévelIgen értékre.

   

Hozzáférési engedélyek a kulcstartón

1. Állítsa be az Azure Backup-tároló Key Vault titkos kulcsainak felhasználói hozzáférését a kulcstartó felügyelt identitásához (titkos kulcsokra vonatkozó engedélyek lekérése és listázása ). Engedélyek hozzárendeléséhez szerepkör-hozzárendeléseket vagy hozzáférési szabályzatokat használhat. Nincs szükség mindkét mód használatával hozzáadni az engedélyeket, mert ez nem segít a hatékonyságban.

   • Az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC)-hitelesítés használata:

     1. A hozzáférési szabályzatokban állítsa be az engedélymodellt az Azure szerepköralapú hozzáférés-vezérlésére.

        

     2. Hozzáférés-vezérlés (IAM) esetén adjon hozzáférést az Azure Backup-tároló Key Vault titkos kulcstartójának felhasználói hozzáféréséhez a kulcstartóban lévő felügyelt identitáshoz. A szerepkört viselők képesek lesznek titkokat olvasni.

        

     További információ: Key Vault-kulcsok, tanúsítványok és titkos kulcsok hozzáférésének biztosítása azure-beli szerepköralapú hozzáférés-vezérléssel.

   • Hozzáférési szabályzatok használata:

     1. Az hozzáférési szabályzatokban állítsa be az engedélymodellt a tároló hozzáférési szabályzatra.
     2. Titkos kódok beolvasási és listázási engedélyeinek beállítása.

     

     További információt a Key Vault hozzáférési szabályzatának hozzárendelése (örökölt) című témakörben talál.

2. Állítsa be a hálózati kapcsolati hozzáférést a kulcstartón úgy, hogy engedélyezi a megbízható Microsoft-szolgáltatások számára a tűzfal megkerülését?beállítást Igen értékre.

   

Adatbázis-felhasználó biztonsági mentési jogosultságai az adatbázisban

Futtassa a következő lekérdezést a pgAdmin eszközben. Cserélje le username az adatbázis felhasználói azonosítóját.

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Feljegyzés

Ha egy adatbázis, amelyhez már konfigurálta a biztonsági mentést UserErrorMissingDBPermissions, a probléma megoldásához tekintse meg ezt a hibaelhárítási útmutatót .

A pgAdmin eszköz használata

Töltse le a pgAdmin eszközt , ha még nem rendelkezik vele. Ezzel az eszközzel csatlakozhat az Azure Database for PostgreSQL-kiszolgálóhoz. Emellett adatbázisokat és új felhasználókat is hozzáadhat ehhez a kiszolgálóhoz.

Hozzon létre egy új kiszolgálót egy tetszőleges névvel. Adja meg a gazdagép nevét/címét. Ez megegyezik az Azure Portal Azure PostgreSQL-erőforrásnézetében megjelenített Kiszolgálónév értékkel.

Győződjön meg arról, hogy hozzáadja az aktuális ügyfélazonosító-címet a kapcsolat tűzfalszabályaihoz.

Új adatbázisokat és adatbázis-felhasználókat adhat hozzá a kiszolgálóhoz. Az adatbázis felhasználói számára válassza a Bejelentkezés/csoportszerepkör lehetőséget a szerepkörök hozzáadásához. Győződjön meg arról, hogy a Can Login? értéke Igen.

Kapcsolódó tartalom

• Az Azure Database for PostgreSQL biztonsági mentésére vonatkozó gyakori kérdések.
• Az Azure Database for PostgreSQL biztonsági mentése az Azure Portal használatával.
• Hozzon létre egy biztonsági mentési szabályzatot PostgreSQL-adatbázisokhoz a REST API használatával.
• A PostgreSQL-adatbázisok biztonsági mentésének konfigurálása REST API használatával.
• Visszaállítás PostgreSQL-adatbázisokhoz REST API használatával.
• Azure Database for PostgreSQL-kiszolgáló kezelése az Azure Portal használatával.