SAP HANA-adatbázisok biztonsági mentése Azure-beli virtuális gépeken
Ez a cikk azt ismerteti, hogyan készíthet biztonsági másolatot az Azure-beli virtuális gépeken futó SAP HANA-adatbázisokról egy Azure Backup Recovery Services-tárolóra.
Az SAP HANA-adatbázisok kritikus fontosságú számítási feladatok, amelyek alacsony helyreállítási pontot (RPO) és hosszú távú megőrzést igényelnek. Azure-beli virtuális gépeken (virtuális gépeken) futó SAP HANA-adatbázisokról az Azure Backup használatával készíthet biztonsági másolatot.
Megjegyzés
A támogatott konfigurációkkal és forgatókönyvekkel kapcsolatos további információkért tekintse meg az SAP HANA biztonsági mentési támogatási mátrixát .
Tekintse meg az előfeltételeket és az előregisztrációs szkripttel kapcsolatos szakaszokat az adatbázis biztonsági mentésre való beállításához.
Egy Azure-beli virtuális gépen futó SAP HANA-adatbázis minden művelethez csatlakoztatni kell az Azure Backup szolgáltatást, az Azure Storage-t és a Microsoft Entra-azonosítót. Ez privát végpontok használatával vagy a szükséges nyilvános IP-címekhez vagy teljes tartománynevekhez való hozzáférés engedélyezésével érhető el. Ha nem engedélyezi a megfelelő kapcsolatot a szükséges Azure-szolgáltatásokkal, az olyan műveletek meghiúsulásához vezethet, mint az adatbázis-felderítés, a biztonsági mentés konfigurálása, a biztonsági mentések végrehajtása és az adatok visszaállítása.
Az alábbi táblázat a kapcsolat létesítéséhez használható különböző alternatívákat sorolja fel:
Beállítás | Előnye | Hátrányai |
---|---|---|
Privát végpontok | Biztonsági másolatok engedélyezése privát IP-címeken a virtuális hálózaton belül Részletes vezérlés biztosítása a hálózat és a tároló oldalán |
A privát végpontok szokásos költségei |
NSG-szolgáltatáscímkék | Könnyebben kezelhető, mivel a tartománymódosítások automatikusan egyesülnek Nincs további költség |
Csak NSG-k esetén használható Hozzáférést biztosít a teljes szolgáltatáshoz |
Azure Firewall teljes tartománynév címkéi | Egyszerűbb kezelés, mivel a szükséges teljes tartománynevek kezelése automatikusan megtörténik | Csak az Azure Firewall használatával használható |
A szolgáltatás teljes tartományneveinek/IP-címeinek hozzáférésének engedélyezése | Nincs további költség. Minden hálózati biztonsági berendezéssel és tűzfallal együttműködik. A Storage szolgáltatásvégpontjait is használhatja. Az Azure Backup és a Microsoft Entra ID esetében azonban hozzá kell rendelnie a hozzáférést a megfelelő IP-címekhez/teljes tartománynevekhez. |
Előfordulhat, hogy az IP-címek vagy teljes tartománynevek széles halmazát kell elérni. |
Virtuális hálózati szolgáltatásvégpont | Az Azure Storage-hoz használható. Nagy előnyt biztosít az adatsík-forgalom teljesítményének optimalizálásához. |
Nem használható a Microsoft Entra ID-hoz, az Azure Backup szolgáltatáshoz. |
Hálózati virtuális berendezés | Használható az Azure Storage, a Microsoft Entra ID és az Azure Backup szolgáltatáshoz. Adatsík
Felügyeleti sík
További információ az Azure Firewall szolgáltatáscímkékről. |
Többletterhelést ad az adatsík forgalmához, és csökkenti az átviteli sebességet/teljesítményt. |
Az alábbi lehetőségek használatával kapcsolatos további részletek az alábbiakban találhatók:
A privát végpontok lehetővé teszik, hogy egy virtuális hálózaton belüli kiszolgálókról biztonságosan csatlakozhasson a helyreállítási tárhoz. A privát végpont a tároló virtuális hálózat címteréből származó IP-címet használ. A virtuális hálózaton belüli erőforrások és a tároló közötti hálózati forgalom a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton halad át. Ez kiküszöböli a nyilvános internetről való kitettséget. Az Azure Backup privát végpontjairól itt olvashat bővebben.
Megjegyzés
A privát végpontok az Azure Backup és az Azure Storage esetében támogatottak. A Microsoft Entra ID támogatja a privát végpontokat a privát előzetes verzióban. Amíg általánosan el nem érhetőek, az Azure Backup támogatja a Microsoft Entra ID proxy beállítását, hogy a HANA virtuális gépekhez ne legyen szükség kimenő kapcsolatra. További információkért tekintse meg a proxytámogatási szakaszt.
Hálózati biztonsági csoportok (NSG) használata esetén az AzureBackup szolgáltatás címkével engedélyezheti a kimenő hozzáférést az Azure Backuphoz. Az Azure Backup-címke mellett engedélyeznie kell a hitelesítéshez és az adatátvitelhez való kapcsolódást is, ha hasonló NSG-szabályokat hoz létre a Microsoft Entra ID (AzureActiveDirectory) és az Azure Storage (Storage) számára. Az alábbi lépések az Azure Backup-címke szabályának létrehozásának folyamatát ismertetik:
A Minden szolgáltatás területen válassza a Hálózati biztonsági csoportok lehetőséget, és válassza ki a hálózati biztonsági csoportot.
A Beállítások területen válassza a Kimenő biztonsági szabályok elemet.
Válassza a Hozzáadás lehetőséget. Adja meg az új szabály létrehozásához szükséges összes adatot a biztonsági szabályok beállításaiban leírtak szerint. Győződjön meg arról, hogy a Cél beállítás szolgáltatáscímkére van állítva, a célszolgáltatás címkéje pedig AzureBackup.
Válassza a Hozzáadás lehetőséget az újonnan létrehozott kimenő biztonsági szabály mentéshez.
Hasonlóképpen létrehozhat NSG kimenő biztonsági szabályokat az Azure Storage-hoz és a Microsoft Entra ID-hoz. A szolgáltatáscímkékről további információt ebben a cikkben talál.
Ha Azure Firewallt használ, hozzon létre egy alkalmazásszabályt az AzureBackup Azure Firewall FQDN-címkével. Ez lehetővé teszi az Összes kimenő hozzáférést az Azure Backuphoz.
Megjegyzés
Az Azure Backup jelenleg nem támogatja a TLS-vizsgálatra engedélyezett alkalmazásszabályt az Azure Firewallon.
Ha engedélyezi a hozzáférési szolgáltatás IP-címeit, tekintse meg az itt elérhető JSON-fájl IP-tartományait. Engedélyeznie kell a hozzáférést az Azure Backup, Azure Storage és Microsoft Entra ID IP-címekhez.
A következő teljes tartománynevek használatával is engedélyezheti a szükséges szolgáltatások elérését a kiszolgálókról:
Szolgáltatás | Elérendő tartománynevek | Portok |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Engedélyezze a teljes tartománynevekhez való hozzáférést ennek a cikknek az 56. és 59. szakasza szerint |
443 Adott esetben |
Megjegyzés
Jelenleg csak a Microsoft Entra-forgalom HTTP-proxyja támogatott az SAP HANA-hoz. Ha el kell távolítania a kimenő kapcsolati követelményeket (az Azure Backup és az Azure Storage-forgalom esetében) az adatbázis biztonsági mentéséhez az Azure Backupon keresztül a HANA-beli virtuális gépeken, használjon más lehetőségeket, például privát végpontokat.
Nyissa meg az "opt/msawb/bin" mappát
Új JSON-fájl létrehozása "ExtensionSettingsOverrides.json" néven
Adjon hozzá egy kulcs-érték párot a JSON-fájlhoz az alábbiak szerint:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }
Módosítsa a fájl engedélyeit és tulajdonjogát az alábbiak szerint:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
Nincs szükség a szolgáltatás újraindítására. Az Azure Backup szolgáltatás megpróbálja átirányítani a Microsoft Entra-forgalmat a JSON-fájlban említett proxykiszolgálón keresztül.
Ha a tűzfal vagy az NSG beállításai blokkolják a tartományt az “management.azure.com”
Azure Virtual Machine-ból, a pillanatképek biztonsági mentése sikertelen lesz.
Hozza létre a következő kimenő szabályt, és engedélyezze a tartománynév számára az adatbázis biztonsági mentését. Ismerje meg a gyakori tudnivalókat a kimenő szabályok létrehozásához.
- Forrás: A virtuális gép IP-címe.
- Cél: Szolgáltatáscímke.
- Célszolgáltatás címkéje:
AzureResourceManager
A Recovery Services-tárolók olyan felügyeleti entitások, amelyek az idő múlásával létrehozott helyreállítási pontokat tárolják, és egy felületet biztosítanak a biztonsági mentéssel kapcsolatos műveletek végrehajtásához. Ezek a műveletek magukban foglalják az igény szerinti biztonsági mentéseket, a visszaállításokat és a biztonsági mentési szabályzatok létrehozását.
Egy Recovery Services-tároló létrehozásához:
Jelentkezzen be az Azure Portalra.
Keresse meg az Üzletmenet-folytonossági központot, majd nyissa meg az Üzletmenet-folytonossági központ irányítópultját .
A Tároló panelen válassza a +Tároló lehetőséget.
Válassza a Recovery Services-tároló>folytatása lehetőséget.
A Recovery Services-tároló panelen adja meg a következő értékeket:
Előfizetés: Válassza ki a használni kívánt előfizetést. Ha csak egyetlen előfizetés tagja, azt a nevet fogja látni. Ha nem biztos abban, hogy melyik előfizetést szeretné használni, használja az alapértelmezett előfizetést. Csak akkor lesz több választási lehetőség, ha a munkahelyi vagy iskolai fiók több Azure-előfizetéshez van társítva.
Erőforráscsoport: Használjon egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Az előfizetésben elérhető erőforráscsoportok listájának megtekintéséhez válassza a Meglévő használata lehetőséget, majd válasszon ki egy erőforrást a legördülő listában. Új erőforráscsoport létrehozásához válassza az Új létrehozása lehetőséget, majd adja meg a nevet. További információ az erőforráscsoportokkal kapcsolatban: Az Azure Resource Manager áttekintése.
Tároló neve: Adjon meg egy rövid nevet a tároló azonosításához. A névnek egyedinek kell lennie az Azure-előfizetésben. Olyan nevet adjon meg, amely legalább 2, legfeljebb 50 karakterből áll. A névnek egy betűvel kell kezdődnie, és csak betűket, számokat és kötőjeleket tartalmazhat.
Régió: Válassza ki a tároló földrajzi régióját. Ahhoz, hogy létrehozhasson egy tárolót az adatforrások védelme érdekében, a tárolónak ugyanabban a régióban kell lennie, mint az adatforrás.
Fontos
Ha nem biztos az adatforrás helyében, zárja be az ablakot. Nyissa meg az erőforrások listáját a portálon. Ha több régióban rendelkezik adatforrásokkal, minden egyes régióban hozzon létre egy Recovery Services-tárolót. Hozza létre a tárolót az első helyen, mielőtt létrehoz egy tárolót egy másik helyen. Az adatok biztonsági másolatának tárolásához nincs szükség tárfiókok megadására. A Recovery Services-tároló és az Azure Backup szolgáltatás ezt automatikusan kezeli.
Az értékek megadása után válassza a Felülvizsgálat + létrehozás elemet.
A Recovery Services-tároló létrehozásának befejezéséhez válassza a Létrehozás lehetőséget.
A Recovery Services-tároló létrehozása eltarthat egy ideig. Figyelje az állapotértesítéseket a jobb felső sarokban található Értesítések területen. A tároló létrehozása után megjelenik a Recovery Services-tárolók listájában. Ha a tároló nem jelenik meg, válassza a Frissítés lehetőséget.
Megjegyzés
Az Azure Backup mostantól támogatja a nem módosítható tárolókat, amelyek segítenek biztosítani, hogy a létrehozott helyreállítási pontok ne törölhetők legyenek a lejáratuk előtt a biztonsági mentési szabályzatnak megfelelően. A megváltoztathatatlanságot visszafordíthatatlanná teheti, hogy a biztonsági mentési adatok a különböző fenyegetésektől, például a zsarolóvírus-támadásoktól és a rosszindulatú szereplőktől származó maximális védelmet biztosíthassa. További információ.
A Recovery Services-tárolóban engedélyezheti a régiók közötti visszaállítást. Ismerje meg , hogyan kapcsolhatja be a régiók közötti visszaállítást.
További információ a régiók közötti visszaállításról.
Az Azure Portalon nyissa meg a Biztonsági mentési központot , és válassza a +Biztonsági mentés lehetőséget.
Az azure-beli virtuális gépen válassza az SAP HANA-t adatforrástípusként, válasszon ki egy helyreállítási tárat a biztonsági mentéshez, majd válassza a Folytatás lehetőséget.
Válassza a Felderítés indítása lehetőséget. Ez nem védett Linux rendszerű virtuális gépek felderítését kezdeményezi a tárolórégióban.
- A felderítés után a nem védett virtuális gépek megjelennek a portálon, név és erőforráscsoport szerint felsorolva.
- Ha egy virtuális gép nem a várt módon szerepel a listán, ellenőrizze, hogy már van-e biztonsági mentés egy tárolóban.
- Több virtuális gépnek is lehet ugyanaz a neve, de különböző erőforráscsoportokhoz tartoznak.
A Virtuális gépek kiválasztása lapon válassza ki a hivatkozást az Azure Backup szolgáltatás számára az adatbázis-felderítéshez szükséges SAP HANA virtuális gépek eléréséhez szükséges engedélyeket biztosító szkript letöltéséhez.
Futtassa a szkriptet minden olyan SAP HANA-adatbázist üzemeltető virtuális gépen, amelyről biztonsági másolatot szeretne készíteni.
Miután futtatta a szkriptet a virtuális gépeken, a Virtuális gépek kiválasztása területen válassza ki a virtuális gépeket. Ezután válassza a DBs felderítése lehetőséget.
Az Azure Backup felderíti a virtuális gépen található összes SAP HANA-adatbázist. A felderítés során az Azure Backup regisztrálja a virtuális gépet a tárolóval, és egy bővítményt telepít a virtuális gépre. Nincs telepítve ügynök az adatbázisra.
Most engedélyezze a biztonsági mentést.
A 2. lépésben válassza a Biztonsági mentés konfigurálása lehetőséget.
A Biztonsági mentéshez használandó elemek kijelölése területen jelölje ki az összes, az OK-t védeni >kívánt adatbázist.
A Biztonsági mentési házirend>kiválasztása biztonsági mentési szabályzatban hozzon létre egy új biztonsági mentési szabályzatot az adatbázisokhoz az alábbi utasításoknak megfelelően.
A szabályzat létrehozása után a Biztonsági mentés menüben válassza a Biztonsági mentés engedélyezése lehetőséget.
Kövesse nyomon a biztonsági mentés konfigurációjának állapotát a portál Értesítések területén.
A biztonsági mentési szabályzat meghatározza, hogy mikor és mennyi ideig tart a biztonsági mentés.
- A szabályzat a tárolószinten jön létre.
- Több tároló is használhatja ugyanazt a biztonsági mentési szabályzatot, de a biztonsági mentési szabályzatot alkalmazni kell minden egyes tárolóra.
Megjegyzés
Az Azure Backup nem módosítja automatikusan a nyári időszámítás változásait egy Azure-beli virtuális gépen futó SAP HANA-adatbázis biztonsági mentésekor.
Szükség szerint módosítsa manuálisan a szabályzatot.
Adja meg a szabályzat beállításait az alábbiak szerint:
A Szabályzat neve lehetőségnél adja meg az új szabályzat nevét.
A Teljes biztonsági mentés pontban válassza ki a Biztonsági mentés gyakorisága, majd a Naponta vagy Hetente lehetőséget.
- Naponta: Válassza ki azt az órát és időzónát, amelyben a biztonsági mentési feladat megkezdődik.
- Teljes biztonsági mentést kell futtatnia. Ezt a beállítást nem kapcsolhatja ki.
- A Teljes biztonsági mentés kiválasztásával megtekintheti a szabályzatot.
- Nem hozhat létre különbözeti biztonsági mentéseket a napi rendszerességű teljes biztonsági mentések esetén.
- Heti: Válassza ki annak a hétnek, órának és időzónának a napját, amelyben a biztonsági mentési feladat fut.
- Naponta: Válassza ki azt az órát és időzónát, amelyben a biztonsági mentési feladat megkezdődik.
Az adatmegőrzési tartományban konfigurálja a teljes biztonsági mentés adatmegőrzési beállításait.
- Alapértelmezés szerint minden beállítás ki van választva. Törölje a nem használni kívánt adatmegőrzési tartomány korlátozásait, és állítsa be azokat.
- A biztonsági mentések (teljes/különbségi/naplók) minimális megőrzési ideje hét nap.
- A rendszer a helyreállítási pontokat a megőrzési időtartamuk alapján jelöli megőrzésre. Ha például napi rendszerességű teljes biztonsági mentést választ, a rendszer naponta csak egy teljes biztonsági mentést indít el.
- Egy adott napra vonatkozó biztonsági mentés a heti megőrzési tartomány és beállítás alapján van megjelölve és megtartva.
- A havi és éves megőrzési időtartamok hasonló módon viselkednek.
A Teljes biztonsági mentési szabályzat menüben kattintson az OK gombra a beállítások elfogadásához.
Különbségi szabályzat hozzáadásához válassza a Különbségi biztonsági mentés lehetőséget.
A Különbözeti biztonsági mentési szabályzat pontban válassza az Engedélyezés lehetőséget, hogy megnyissa a gyakorisági és megőrzési beállításokat.
- Legfeljebb napi egy különbözeti biztonsági mentést kezdeményezhet.
- A különbözeti biztonsági mentéseket legfeljebb 180 napig lehet megőrizni. Ha hosszabb megőrzésre van szüksége, akkor teljes biztonsági mentést kell használnia.
Megjegyzés
Választhat különbséget vagy növekményeset napi biztonsági mentésként, de mindkettőt nem.
A Növekményes biztonsági mentési házirendben válassza az Engedélyezés lehetőséget a gyakorisági és adatmegőrzési vezérlők megnyitásához.
- Legfeljebb naponta egy növekményes biztonsági mentést indíthat el.
- A növekményes biztonsági mentések legfeljebb 180 napig őrizhetők meg. Ha hosszabb megőrzésre van szüksége, akkor teljes biztonsági mentést kell használnia.
Kattintson az OK gombra, hogy mentse a szabályzatot, és visszatérjen a fő Biztonsági mentési szabályzat menübe.
Válassza a Napló biztonsági mentése lehetőséget egy tranzakciós napló biztonsági mentési szabályzatának hozzáadásához,
- A Napló biztonsági mentése területen válassza az Engedélyezés lehetőséget. Ez nem tiltható le, mivel az SAP HANA kezeli az összes napló biztonsági mentését.
- Állítsa be a gyakoriság- és adatmegőrzési vezérlőket.
Megjegyzés
A napló biztonsági mentései csak a sikeres teljes biztonsági mentés befejezése után kezdődnek.
Kattintson az OK gombra, hogy mentse a szabályzatot, és visszatérjen a fő Biztonsági mentési szabályzat menübe.
A biztonsági mentési szabályzat definiálása után válassza az OK gombot.
Megjegyzés
Minden napló biztonsági mentése az előző teljes biztonsági mentéshez van láncban, hogy helyreállítási láncot alakítson ki. Ez a teljes biztonsági mentés mindaddig megmarad, amíg az utolsó napló biztonsági mentése lejárt. Ez azt jelentheti, hogy a teljes biztonsági mentés megmarad egy további időszakra, hogy az összes napló helyreállítható legyen. Tegyük fel, hogy a felhasználó heti teljes biztonsági mentéssel, napi különbségekkel és 2 órás naplókkal rendelkezik. Mindegyik 30 napig megmarad. A heti teljes adat azonban csak a következő teljes biztonsági mentést követően, azaz 30+ 7 nap után tisztítható meg/törölhető. Például egy heti teljes biztonsági mentés történik nov 16-án. A megőrzési szabályzat szerint azt dec. 16-ig kell megőrizni. A teljes napló utolsó biztonsági mentése a következő ütemezett teljes, nov 22-i megtelt előtt történik. Amíg ez a napló december 22-ig nem érhető el, a nov. 16-i teljes nem törölhető. Tehát a nov. 16-i teljes érték dec. 22-ig megmarad.
A biztonsági mentések a szabályzat ütemezésének megfelelően futnak. Megtudhatja, hogyan futtathat igény szerinti biztonsági mentést.
Igény szerinti biztonsági mentést futtathat az SAP HANA natív ügyfeleivel a helyi fájlrendszerbe a Backint helyett. További információ a műveletek sap natív ügyfelekkel történő kezeléséről.
Többstreaming-adat biztonsági mentésének konfigurálása nagyobb átviteli sebességhez a Backint használatával
A többrétegű adatmentések konfigurálásához tekintse meg az SAP dokumentációját.
Ismerje meg a támogatott forgatókönyveket.
Az Azure Backup rendszeresen szinkronizálja az adatforrást a virtuális gépen telepített bővítmény és az Azure Backup szolgáltatás között, és megjeleníti a biztonsági mentés állapotát az Azure Portalon. Az alábbi táblázat egy adatforrás (négy) biztonsági mentési állapotát sorolja fel:
Biztonsági mentés állapota | Leírás |
---|---|
Egészséges | Az utolsó biztonsági mentés sikeres. |
Egészségtelen | Az utolsó biztonsági mentés sikertelen volt. |
Nem érhető el | Jelenleg nincs szinkronizálás a virtuális gép bővítménye és az Azure Backup szolgáltatás között. |
IRPending | Az adatforrás első biztonsági mentése még nem történt meg. |
A szinkronizálás általában óránként történik. A bővítmény szintjén azonban az Azure Backup 5 percenként lekérdezi, hogy a legutóbbi biztonsági mentés állapotában történt-e változás az előzőhöz képest. Ha például az előző biztonsági mentés sikeres volt, de a legutóbbi biztonsági mentés sikertelen volt, az Azure Backup szinkronizálja ezeket az adatokat a szolgáltatással, hogy a biztonsági mentés állapota az Azure Portalon megfelelően kifogástalan vagy kifogástalan állapotú legyen.
Ha 2 óránál hosszabb ideig nem történik adatszinkronizálás az Azure Backup szolgáltatással, az Azure Backup nem elérhetőként jeleníti meg a biztonsági mentés állapotát. Ez a forgatókönyv akkor fordulhat elő, ha a virtuális gép hosszabb időre leáll, vagy hálózati kapcsolati probléma lép fel a virtuális gépen, ami miatt a szinkronizálás leáll. Miután a virtuális gép újra működik, és a bővítményszolgáltatások újraindulnak, a szolgáltatás adatszinkronizálási művelete folytatódik, és a biztonsági mentés állapota kifogástalan vagy nem megfelelő állapotúra változik az utolsó biztonsági mentés állapota alapján.
- Megtudhatja, hogyan állíthatja vissza az Azure-beli virtuális gépeken futó SAP HANA-adatbázisokat
- Megtudhatja, hogyan kezelheti az Azure Backup használatával biztonsági másolatot készítő SAP HANA-adatbázisokat