O que é o backup do Banco de Dados do Azure para PostgreSQL?

O Backup do Azure e os serviços de banco de dados do Azure se uniram para criar uma solução de backup de classe empresarial para servidores do Banco de Dados do Azure para PostgreSQL que retém backups por até 10 anos. Além da retenção de longo prazo, a solução oferece os seguintes recursos:

• Backups agendados e sob demanda controlados pelo cliente no nível do banco de dados individual.
• Restaurações no nível do banco de dados para qualquer servidor do Banco de Dados do Azure para PostgreSQL ou para qualquer tipo de armazenamento de blobs.
• Monitoramento centralizado de todas as operações e trabalhos.
• Armazenamento de backups em domínios de falha e segurança separados. Se o servidor de origem ou assinatura ficar comprometido, os backups permanecerão seguros no cofre de Backup do Azure (em contas de armazenamento gerenciado do Backup do Azure).
• Uso de pg_dump para maior flexibilidade em restaurações. Você pode restaurar entre versões do banco de dados.

Você pode usar essa solução de forma independente ou além da solução de backup nativa no PostgreSQL do Azure, que oferece retenção por até 35 dias. A solução nativa é adequada para recuperações operacionais, como quando se deseja recuperar os backups mais recentes. A solução de Backup do Azure ajuda você com suas necessidades de conformidade e fornece uma funcionalidade de backup/restauração mais granular e flexível.

Alterações nos backups protegidos para servidores single PostgreSQL

A opção de implantação de servidor único para o Banco de Dados do Azure para PostgreSQL foi desativada em 28 de março de 2025. Nessa data, as alterações foram implementadas pelo Azure Backup para servidores individuais de PostgreSQL. Saiba mais sobre a aposentadoria.

O Backup do Azure fornece soluções de conformidade e resiliência, incluindo backups seguros e retenção prolongada de pontos de restauração. Em 28 de março de 2025, as seguintes alterações entraram em vigor:

• A configuração de backup não é permitida para novas cargas de trabalho de servidor único do PostgreSQL.
• Todos os trabalhos de backup agendados são permanentemente descontinuados.
• A criação de novas políticas de backup ou modificação das existentes para essa carga de trabalho não é possível.

Na data de desativação, os trabalhos de backup agendados para bancos de dados de servidor único do PostgreSQL foram permanentemente interrompidos. Não é possível criar novos pontos de restauração.

No entanto, os backups de banco de dados de servidor único do PostgreSQL existentes são mantidos de acordo com a política de backup. Os pontos de restauração serão excluídos somente após a expiração do período de retenção. Para manter os pontos de restauração indefinidamente ou excluí-los antes do término do período de retenção, consulte o console do Centro de Continuidade de Negócios do Azure.

Alterações na cobrança

A partir de 31 de março de 2025, você não será mais cobrado pela taxa de PI (Instância Protegida) para proteger seus bancos de dados de servidor único do PostgreSQL. Mas a taxa para armazenar seus backups ainda se aplica. Para evitar a taxa de armazenamento, exclua todos os pontos de restauração do Centro de Continuidade de Negócios do Azure.

Observação

O Backup do Azure mantém o último ponto de restauração mesmo após a expiração de seu período de retenção. Esse recurso garante que você tenha acesso ao último ponto de restauração para uso futuro. Você só pode excluir o último ponto de restauração manualmente. Se você quiser excluir o último ponto de restauração e evitar a taxa de armazenamento, interrompa a proteção do banco de dados.

Alterações na restauração

Você pode restaurar bancos de dados de servidor único do PostgreSQL usando Restaurar como Arquivos. Em seguida, você precisa criar manualmente um novo servidor flexível postgreSQL a partir dos arquivos restaurados.

Observação

A opção Restaurar como Banco de Dados não tem suporte a partir de 28 de março de 2025, mas ainda há suporte para Restaurar como Arquivos .

Processo de backup

1. Como administrador de backup, você pode especificar os bancos de dados PostgreSQL que pretende fazer backup. Você também pode especificar os detalhes do Azure Key Vault, que armazena as credenciais necessárias para se conectar aos bancos de dados especificados. O administrador do banco de dados armazena com segurança essas credenciais no Key Vault.

2. O serviço de Backup do Azure valida que ele tem permissões apropriadas para autenticar com o servidor do Banco de Dados do Azure para PostgreSQL especificado e fazer backup de seus bancos de dados.

3. O Backup do Azure inicia um trabalho (máquina virtual), com uma extensão de backup instalada, para se comunicar com o servidor do Banco de Dados do Azure para PostgreSQL protegido. Essa extensão consiste em um coordenador e um plugin do PostgreSQL. O coordenador dispara fluxos de trabalho para várias operações, como backup e restauração. O plug-in gerencia o fluxo de dados real.

4. No horário agendado, o coordenador instrui o plugin a começar o streaming de dados de backup do servidor do Banco de Dados do Azure para PostgreSQL usando pg_dump (personalizado).

5. O plug-in envia os dados diretamente para as contas de armazenamento gerenciado do Backup do Azure (mascaradas pelo cofre de Backup do Azure), eliminando a necessidade de um local de preparo. Os dados são criptografados por meio de chaves gerenciadas pela Microsoft. O serviço de Backup do Azure armazena os dados em contas de armazenamento.

Autenticação do Azure Backup com o servidor do Azure Database for PostgreSQL

O Backup do Azure segue diretrizes de segurança estritas do Azure. As permissões no recurso a ser protegido não são presumidas. O usuário precisa conceder explicitamente essas permissões.

Modelo de autenticação baseado em Key Vault

O serviço de Backup do Azure precisa se conectar ao servidor do Banco de Dados do Azure para PostgreSQL enquanto faz cada backup. Embora um nome de usuário e uma senha (ou uma cadeia de conexão) que correspondam ao banco de dados sejam usados para fazer essa conexão, essas credenciais não são armazenadas com o Backup do Azure. Em vez disso, o administrador do banco de dados precisa armazenar essas credenciais com segurança no Azure Key Vault como segredo.

O administrador da carga de trabalho é responsável por gerenciar e alternar credenciais. O Backup do Azure solicita os detalhes secretos mais recentes do cofre de chaves para fazer o backup.

Permissões necessárias para o backup do banco de dados PostgreSQL

1. Conceda as seguintes permissões de acesso à identidade gerenciada do cofre de Backup do Azure:

   • Acesso do Leitor no servidor do Banco de Dados do Azure para PostgreSQL.
   • Acesso do Usuário de Segredos do Key Vault no Key Vault (Obter e Listar permissões em segredos).

2. Definir acesso à rede com linha de visão em:

   • Servidor do Banco de Dados do Azure para PostgreSQL: defina Permitir acesso aos serviços do Azure como Sim.
   • Key Vault: defina Permitir serviços confiáveis da Microsoft como Sim.

3. Defina os privilégios de backup do usuário do banco de dados no banco de dados.

Observação

Você pode conceder essas permissões no fluxo configurar backup com um único clique se, como administrador de backup, tiver acesso de gravação aos recursos pretendidos. Se você não tiver as permissões necessárias (quando várias personas estiverem envolvidas), use um modelo do Azure Resource Manager.

Permissões necessárias para a restauração do banco de dados PostgreSQL

As permissões para restauração são semelhantes às necessárias para backup. Você precisa conceder manualmente as permissões no servidor de destino do Banco de Dados do Azure para PostgreSQL e no cofre de chaves correspondente. Ao contrário do fluxo de configuração de backup a experiência para conceder essas permissões em linha atualmente não está disponível.

Verifique se o usuário do banco de dados (correspondente às credenciais armazenadas no cofre de chaves) tem os seguintes privilégios de restauração no banco de dados:

• Atribuir um nome de usuário ALTER USER de CREATEDB.
• Atribua a função azure_pg_admin ao usuário do banco de dados.

Modelo de autenticação baseado em ID do Microsoft Entra

Um modelo de autenticação anterior foi inteiramente baseado na ID do Microsoft Entra. O modelo de autenticação baseado em Key Vault (conforme explicado anteriormente) agora está disponível como uma opção alternativa para facilitar o processo de configuração.

Para obter um script automatizado e instruções relacionadas para usar o modelo de autenticação baseado em ID do Microsoft Entra, baixe este documento. Ele concede um conjunto apropriado de permissões a um servidor do Banco de Dados do Azure para PostgreSQL para backup e restauração.

Observação

Toda a proteção recém-configurada ocorre apenas com o novo modelo de autenticação do Key Vault. No entanto, todas as instâncias de backup existentes com proteção configurada por meio da autenticação baseada em ID do Microsoft Entra continuarão a existir e terão backups regulares feitos. Para restaurar esses backups, você precisa seguir a autenticação baseada em ID do Microsoft Entra.

Etapas para conceder acesso manualmente no servidor do Banco de Dados do Azure para PostgreSQL e no cofre de chaves

Para conceder todas as permissões de acesso necessárias ao Backup do Azure, use as etapas a seguir.

Permissões de acesso no servidor do Banco de Dados do Azure para PostgreSQL

1. Definir acesso Leitor do cofre de Backup do Azure para a identidade gerenciada no servidor do Banco de Dados do Azure para PostgreSQL.

   

2. Defina o acesso de linha de visão de rede no servidor do Banco de Dados do Azure para PostgreSQL definindo Permitir acesso aos serviços do Azure como Sim.

   

Permissões de acesso no cofre de chaves

1. Definir acesso Usuário de Segredos do Key Vault do cofre de Backup do Azure para a identidade gerenciada no key vault (Obter e Listar permissões em segredos). Para atribuir permissões, você pode usar atribuições de função ou políticas de acesso. Você não precisa adicionar as permissões usando ambas as opções, pois isso não ajuda.

   • Para usar a autorização do RBAC (controle de acesso baseado em função) do Azure:

     1. Nas políticas de acesso, defina o modelo de permissão como controle de acesso baseado em função do Azure.

        

     2. Em Controle de acesso (IAM), conceda acesso ao Usuário de Segredos do Key Vault do cofre de Backup do Azure para a identidade gerenciada no key vault. Os portadores dessa função poderão ler segredos.

        

     Para obter mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com o controle de acesso baseado em função do Azure.

   • Para usar políticas de acesso:

     1. Em Políticas de acesso, defina Modelo de permissão como Política de acesso do cofre.
     2. Definir permissões Obter e Listar em segredos.

     

     Para obter mais informações, consulte Configurar uma política de acesso do Key Vault (herdado).

2. Defina o acesso direto à rede no cofre de chaves, configurando Permitir que serviços confiáveis da Microsoft ignorem este firewall? para Sim.

   

Privilégios de backup dos usuários do banco de dados

Execute a consulta a seguir na ferramenta pgAdmin . Substitua username pela ID do usuário do banco de dados.

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Observação

Se um banco de dados para o qual você já configurou o backup estiver falhando UserErrorMissingDBPermissions, consulte este guia de solução de problemas para obter assistência para resolver o problema.

Usar a ferramenta pgAdmin

Baixe a ferramenta pgAdmin se você ainda não a tiver. Você pode se conectar ao servidor do Banco de Dados do Azure para PostgreSQL por meio dessa ferramenta. Além disso, você pode adicionar bancos de dados e novos usuários a esse servidor.

Crie um novo servidor com um nome de sua escolha. Insira o nome/endereço do host. É o mesmo que o valor do nome do servidor exibido na exibição de recurso do PostgreSQL do Azure no portal do Azure.

Certifique-se de adicionar o endereço de ID do cliente atual às regras de firewall para que a conexão seja concluída.

Você pode adicionar novos bancos de dados e usuários de banco de dados ao servidor. Para usuários de banco de dados, selecione Logon/Função de Grupo para adicionar funções. Verifique se Pode fazer login? esteja definido como Sim.

Conteúdo relacionado

• Perguntas frequentes sobre o backup do Banco de Dados do Azure para PostgreSQL.
• Faça backup do Banco de Dados do Azure para PostgreSQL usando o portal do Azure.
• Crie uma política de backup para bancos de dados PostgreSQL usando a API REST.
• Configure o backup para bancos de dados PostgreSQL usando a API REST.
• Restaurar bancos de dados PostgreSQL usando a API REST.
• Gerencie um servidor do Banco de Dados do Azure para PostgreSQL usando o portal do Azure.