Tutorial: Fazer backup do banco de dados SAP ASE (Sybase) usando o Centro de Continuidade de Negócios do Azure

Este tutorial descreve como fazer backup de um banco de dados do SAP Adaptive Server Enterprise (Sybase) que está em execução em uma VM (Máquina Virtual) do Azure usando o Centro de Continuidade de Negócios do Azure.

Saiba mais sobre as configurações e cenários com suporte para backup de banco de dados DO SAP ASE em VMs do Azure.

Pré-requisitos

Antes de configurar o banco de dados SAP ASE para backup, examine os seguintes pré-requisitos:

• Identifique ou crie um cofre dos Serviços de Recuperação na mesma região e assinatura da VM que executa o SAP ASE.

• Permita a conectividade da VM com a Internet para que ela possa alcançar o Azure.

• O comprimento combinado do nome da VM do servidor SAP ASE e do nome do Grupo de Recursos deve ter <= 84 caracteres para VMs do ARM (Azure Resource Manager) (e 77 caracteres para VMs clássicas), pois o serviço reserva alguns caracteres.

• A VM deve ter python >= 3.6.15 (recomendado– Python3.10) com o módulo de solicitações instalado. O sudo python3 padrão deve executar o Python 3.6.15 ou superior. Valide executando python3 e sudo python3 em seu sistema para verificar a versão do Python. Para alterar a versão padrão, vincule o Python3 ao Python 3.6.15 ou superior.

• Execute o script de configuração de backup do SAP ASE (script de pré-registro) na máquina virtual que hospeda o banco de dados SAP ASE. Esse script prepara o sistema ASE para backup.

• Atribua os seguintes privilégios e configurações para a operação de backup:

  Privilégio/Configuração	Descrição
  Função de operador	Habilite essa função de banco de dados ASE para o usuário do banco de dados criar um usuário de banco de dados personalizado para as operações de backup e restauração e passá-la no script de pré-registro.
  Privilégio Mapear de arquivo externo	Habilite essa função para permitir o acesso ao arquivo de banco de dados.
  Privilégio Possuir qualquer banco de dados	Permite backups diferenciais. O Permitir despejos incrementais para o banco de dados deve ser Verdadeiro.
  Privilégio Trunc log on chkpt	Desabilite esse privilégio para todos os bancos de dados que você deseja proteger usando o Backup do ASE. Permite que você faça backup do log de banco de dados no cofre dos serviços de recuperação. Saiba mais sobre o SAP note - 2921874 - "trunc log on chkpt" in databases with HADR - SAP ASE - SAP for Me.

  Observação

  Não há suporte para os backups de log do banco de dados mestre. Quanto aos outros bancos de dados do sistema, os backups de log só poderão ser suportados se os arquivos de log do banco de dados forem armazenados separadamente dos seus arquivos de dados. Por padrão, os bancos de dados do sistema são criados com os arquivos de dados e de log no mesmo dispositivo do banco de dados, o que impede os backups de log. Para habilitar os backups de log, o administrador do banco de dados deve alterar o local dos arquivos de log em um dispositivo separado.

• Use as funções internas do Azure para configurar a atribuição de backup de funções e escopo para os recursos. A seguinte função colaborador permite que você execute a operação Configurar Proteção na VM do banco de dados:

  Recurso (controle de acesso)	Função	Utilizador, grupo ou principal de serviço
  VM do Azure de origem executando o banco de dados ASE	Colaborador de Máquina Virtual	Permite configurar a operação de backup.

Criar uma função personalizada para o Backup do Azure

Para criar uma função personalizada para o Backup do Azure, execute os seguintes comandos bash:

Observação

Após cada um desses comandos, verifique se você executa o comando go para executar a instrução.

1. Entre no banco de dados com o usuário da função de SSO (logon único).

    isql -U sapsso -P <password> -S <sid> -X
   

2. Crie uma função.

    create role azurebackup_role
   

3. Conceda a função de operador à nova função.

    grant role oper_role to azurebackup_role
   

4. Habilite permissões granulares.

    sp_configure 'enable granular permissions', 1
   

5. Entre no banco de dados com o usuário da função SA.

    isql -U sapsa -P <password> -S <sid> -X
   

6. Alterne para o banco de dados mestre.

    use master
   

7. Conceda o privilégio de mapear arquivo externo à nova função.

    grant map external file to azurebackup_role
   

8. Entre novamente usando o usuário da função SSO.

    isql -U sapsso -P <password> -S <sid> -X
   

9. Crie um usuário.

    sp_addlogin backupuser, <password>
   

10. Conceda a função personalizada ao usuário.

     grant role azurebackup_role to backupuser
    
    

11. Defina a função personalizada como o padrão para o usuário.

     sp_modifylogin backupuser, "add default role", azurebackup_role
    

12. Conceda o privilégio de possuir qualquer banco de dados à função personalizada como usuário do SA.

     grant own any database to azurebackup_role
    

13. Entre no banco de dados como usuário SA novamente.

     isql -U sapsa -P <password> -S <sid> -X
    

14. Habilitar o acesso ao arquivo.

     sp_configure "enable file access", 1
    

15. Habilite o backup diferencial no banco de dados.

     use master
     go
     sp_dboption <database_name>, 'allow incremental dumps', true
     go
    

16. Desabilite trunc log on chkpt no banco de dados.

     use master
     go
     sp_dboption <database_name>, 'trunc log on chkpt', false
     go
    

Estabelecer conectividade de rede

Para todas as operações, um banco de dados SAP ASE em execução em uma VM do Azure requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Você pode obter essa conectividade usando pontos de extremidade privados ou permitindo o acesso aos endereços IP públicos necessários ou FQDNs (Nomes de Domínio Totalmente Qualificados). Se você não permitir a conectividade adequada com os serviços necessários do Azure, isso poderá levar a falhas nas operações, como descoberta de banco de dados, configuração de backup, execução de backups e restauração de dados.

A tabela a seguir lista as várias alternativas que você pode usar para estabelecer a conectividade:

Opção	Vantagens	Desvantagens
Pontos de extremidade privados	Permitir backups em IPs privados na rede virtual. Forneça controle granular no lado da rede e do cofre.	Incorre em custos de ponto de extremidade privado padrão.
Marcas de serviço NSG (Grupo de Segurança de Rede)	Mais fácil de gerenciar porque as alterações de intervalo são mescladas automaticamente. Sem custos extras.	Usado somente com NSGs. Fornece acesso a todo o serviço.
Marcas de FQDN do Firewall do Azure	Mais fácil de gerenciar, pois os FQDNs necessários são gerenciados automaticamente.	Usado somente com o Firewall do Azure.
Permitir o acesso a FQDNs/IPs de serviço	Sem custos extras. Funciona com todos os dispositivos e firewalls de segurança de rede. Também é possível usar pontos de extremidade de serviço para Armazenamento. Porém, no caso do Backup do Azure e da ID do Microsoft Entra, é necessário atribuir o acesso aos IPs/FQDNs correspondentes.	Um amplo conjunto de IPs ou FQDNs pode ser necessário para ser acessado.
Ponto de Extremidade de Serviço de Rede Virtual	Usado para o Armazenamento do Microsoft Azure. Fornece um grande benefício para otimizar o desempenho do tráfego do plano de dados.	Não pode ser usado com a ID do Microsoft Entra, serviço de Backup do Azure.
Solução de Virtualização de Rede	Usado para o Armazenamento do Azure, a ID do Microsoft Entra, o serviço de Backup do Azure. Plano de dados – Armazenamento do Microsoft Azure: *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net Plano de gerenciamento - ID do Microsoft Entra: permitir acesso a FQDNs mencionados nas seções 56 e 59 do Microsoft 365 Common e do Office Online. – Serviço de Backup do Azure: .backup.windowsazure.com Saiba mais sobre as Marcas de serviço do Firewall do Azure.	Adiciona sobrecarga ao tráfego do plano de dados e diminui a taxa de transferência/o desempenho.

As seções a seguir detalham o uso das opções de conectividade.

Pontos de extremidade privados

Os pontos de extremidade privados permitem que você se conecte com segurança de servidores em uma rede virtual ao cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço da VNET (Rede Virtual) para o cofre. O tráfego de rede entre seus recursos na rede virtual e o cofre percorre sua rede virtual e um link privado na rede de backbone da Microsoft. Essa operação elimina a exposição à internet pública. Saiba mais sobre pontos de extremidade privados para o Backup do Azure.

Observação

• Há suporte para pontos de extremidade privados para o Backup e o armazenamento do Azure. O Microsoft Entra ID tem suporte para pontos de extremidade privados. Até que eles estejam em disponibilidade geral, o backup do Azure dá suporte à configuração de proxy para a ID do Microsoft Entra para que nenhuma conectividade de saída seja necessária para VMs do ASE. Para obter mais informações, consulte a seção de suporte ao proxy.
• A operação de download do script de Pré-registro do SAP ASE (scripts de carga de trabalho do ASE) requer acesso à Internet. Contudo, nas VMs com Ponto de Extremidade Privado (PE) habilitado, o script de pré-registro não pode baixar esses scripts de carga de trabalho diretamente. Por isso, é necessário baixar o script em uma VM local ou outra VM com acesso à Internet e usar o SCP ou qualquer outro método de transferência para movê-lo para a VM habilitada para PE.

Marcas do Grupo de Segurança de Rede

Se você usar o NSG (grupo de segurança de rede), use a tag de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da marca do Backup do Azure, você precisa permitir a conectividade para autenticação e transferência de dados criando regras do NSG semelhantes para o Microsoft Entra ID e o Armazenamento do Azure (Armazenamento).

Para criar uma regra para a marca do Backup do Azure, siga estas etapas:

1. No portal do Azure, vá para grupos de segurança de rede e selecione o grupo de segurança de rede.
2. No painel Configurações , selecione regras de segurança de saída.
3. Selecione Adicionar.
4. Insira todos os detalhes necessários para criar uma nova regra. Verifique se o Destino está definido como Marca de Serviço e Marca de serviço de destino está definida como AzureBackup.
5. Selecione Adicionar para salvar a regra de segurança de saída recém-criada.

De maneira semelhante, é possível criar regras de segurança de saída de NSG para o Armazenamento do Azure e o Microsoft Entra ID. Saiba mais sobre marcas de serviço.

Marcas do Firewall do Azure

Se estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a tag de FQDN do Firewall do Azure AzureBackup. Essa regra permite todo o acesso de saída ao Backup do Azure.

Observação

Atualmente, o Backup do Azure não oferece suporte à Regra de aplicativo com inspeção TLS habilitada no Firewall do Azure.

Permitir o acesso aos intervalos de IP de serviço

Se você optar por permitir IPs de serviço de acesso, consulte os intervalos de IP no arquivo JSON. Você precisa permitir o acesso a IPs correspondentes ao Backup do Azure, ao Armazenamento do Azure e à ID do Microsoft Entra.

Permitir o acesso a FQDNs de serviço

Também é possível usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:

Serviço	Nomes de domínio a serem acessados	Portas
Serviço de Backup do Azure	*.backup.windowsazure.com	443
Armazenamento do Azure	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
Microsoft Entra ID	*.login.microsoft.com Permita acesso a FQDNs nas seções 56 e 59 de acordo com este artigo.	443 Conforme aplicável.

Usar um servidor proxy HTTP para rotear o tráfego

Observação

Atualmente, o proxy HTTP para o tráfego de ID do Microsoft Entra só tem suporte para o banco de dados SAP ASE. Se você precisar remover os requisitos de conectividade de saída (para o Backup do Azure e o tráfego do Armazenamento do Azure) para backups de banco de dados por meio do Backup do Azure em VMs do ASE, use outras opções, como pontos de extremidade privados.

Usar um servidor proxy HTTP para o tráfego de ID do Microsoft Entra

Para usar um servidor proxy HTTP para rotear o tráfego para a ID do Microsoft Entra, siga estas etapas:

1. No banco de dados, vá para a pasta opt/msawb/bin.

2. Crie um novo arquivo JSON denominado ExtensionSettingsOverrides.json.

3. Adicione um par chave-valor ao arquivo JSON da seguinte maneira:

   {
      "UseProxyForAAD":true,
      "UseProxyForAzureBackup":false,
      "UseProxyForAzureStorage":false,
      "ProxyServerAddress":"http://xx.yy.zz.mm:port"
   }
   

4. Altere as permissões e a propriedade do arquivo da seguinte maneira:

   chmod 750 ExtensionSettingsOverrides.json
   chown root:msawb ExtensionSettingsOverrides.json
   

Observação

Não é necessário reiniciar nenhum serviço. O serviço de Backup do Azure tentará rotear o tráfego da ID do Microsoft Entra por meio do servidor proxy mencionado no arquivo JSON.

Usar regras de saída

Se a configuração de Firewall ou NSG bloquear o management.azure.com domínio da Máquina Virtual do Azure, os backups de instantâneo falharão.

Crie a seguinte regra de saída e permita que o nome de domínio faça backup do banco de dados. Saiba como criar as regras de saída.

• Origem: endereço de IP da VM.

• Destino: Marca de Serviço.

• Marca de Serviço de Destino: AzureResourceManager

  

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e que fornece uma interface para executar operações relacionadas a backup. Essas operações incluem fazer backups sob demanda, executar restaurações e criar políticas de backup.

Para criar um cofre de Serviços de Recuperação:

1. Entre no portal do Azure.

2. Pesquise Centro de Continuidade de Negócios e vá para o painel do Centro de Continuidade de Negócios.

   

3. No painel Cofre, selecione+Cofre.

   

4. Selecione Cofre dos Serviços de Recuperação>Continuar.

   

5. No painel cofre dos Serviços de Recuperação, insira os seguintes valores:

   • Assinatura: selecione a assinatura a ser utilizada. Se você for um membro de apenas uma assinatura, verá esse nome. Se você não tem certeza de qual assinatura usar, use a assinatura padrão. Só haverá múltiplas opções se a sua conta corporativa ou de estudante estiver associada a várias assinaturas do Azure.

   • Grupo de recursos: Use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na assinatura, selecione Usar existente e depois selecione um recurso na lista suspensa. Para criar um grupo de recursos, selecione Criar e insira o nome. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.

   • Nome do cofre: digite um nome amigável para identificar o cofre. O nome deve ser exclusivo para a assinatura do Azure. Especifique um nome que tenha, pelo menos, dois, porém, não mais de 50 caracteres. O nome deve começar com uma letra e consistir apenas em letras, números e hifens.

   • Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.

     Importante

     Se você não tem certeza da localização da fonte de dados, feche a janela. Vá para a lista de seus recursos no portal. Se você tiver fontes de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada região. Crie o cofre na primeira localização antes de criar um cofre em outra localização. Não é necessário especificar contas de armazenamento para armazenar os dados de backup. O cofre dos Serviços de Recuperação e o Backup do Azure cuidam disso automaticamente.

     

6. Depois de fornecer os valores, selecione Examinar + criar.

7. Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.

   Pode levar um tempo para criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre for criado, ele será exibido na lista de cofres dos Serviços de Recuperação. Se o cofre não for exibido, selecione Atualizar.

   

Observação

O Backup do Azure agora suporta os cofres imutáveis que ajudam você a garantir que os pontos de recuperação, uma vez criados, não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para a máxima proteção dos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Saiba mais.

Habilitar Restauração entre Regiões

No cofre dos Serviços de Recuperação, você pode habilitar a Restauração entre Regiões que permite restaurar o banco de dados para uma região secundária. Saiba mais sobre como ativar a Restauração entre Regiões.

Descobrir os bancos de dados DO SAP ASE

Para descobrir os bancos de dados SAP ASE, siga estas etapas:

1. Vá para o Centro de Continuidade dos Negócios e selecione + Configurar proteção.

2. No painel Configurar proteção, selecioneRecurso gerenciado peloAzure, tipo de fonte de dados como SAP ASE (Sybase) na VM do Azure e Solução como Backup do Azure.

   

3. Selecione Continuar.

4. No painel Iniciar: Configurar Backup , em Cofre, clique em Selecionar cofre.

   

5. No painel Selecionar um Cofre , em Filtrar por nome, digite o nome do cofre que hospeda o banco de dados SAP ASE.

6. Escolha o cofre na lista e clique em Selecionar.

7. No painel Iniciar de configuração do backup, selecione Continuar.

8. No painel Meta de Backup, selecione Iniciar Descoberta para começar a descoberta de VMs Linux desprotegidas na região do cofre.

   

   Observação

   • Após a descoberta, as VMs não protegidas aparecem no portal, listadas por nome e grupo de recursos.
   • Se uma VM não estiver listada conforme o esperado, verifique se ela já fez backup em um cofre.
   • Várias VMs poderão ter o mesmo nome se pertencerem a grupos de recursos diferentes.

9. No painel Selecionar Máquinas Virtuais, baixe o script prepost que concede permissões para o serviço Azure Backup acessar as VMs do SAP ASE para descoberta de banco de dados.

   

10. Execute o script em cada VM que hospeda bancos de dados SAP ASE que você deseja fazer backup.

11. Depois de executar o script nas VMs, no painel Selecionar Máquinas Virtuais , selecione as VMs e selecione Descobrir Bancos de Dados.

    O Backup do Azure descobre todos os bancos de dados SAP ASE na VM. Durante a descoberta, o Backup do Azure registra a VM com o cofre e instala uma extensão na VM. Nenhum agente é instalado no banco de dados.

Configurar o backup do banco de dados SAP ASE (Sybase)

Após a conclusão do processo de descoberta do banco de dados, o Backup do Azure redireciona para o painel Meta de Backup , permitindo que você defina as configurações de backup para a VM selecionada que hospeda o banco de dados SAP ASE.

Para configurar a operação de backup para o banco de dados SAP ASE, siga estas etapas:

1. No painel de metas de Backup, na Etapa 2, selecione: Configurar Backup.

   

2. No painel Configurar Backup , na guia Política de Backup , em Política de Backup, selecione Criar uma nova política para os bancos de dados.

   

   Uma política de backup define quando os backups são feitos e por quanto tempo eles são mantidos.

   • Uma política é criada no nível do cofre.
   • Vários cofres podem usar a mesma política de backup, mas você deve aplicar a política de backup a cada cofre.

3. No painel Criar política , no nome da política, insira um nome para a nova política.

   

4. Em Backup completo, selecione Editar.

5. No painel política de Backup Completo , selecione uma Frequência de Backup e selecione Diariamente ou Semanalmente, conforme necessário.

   • Diariamente: selecione a hora e o fuso horário no qual o trabalho de backup começa.

     Observação

     • Você precisa executar um backup completo. Você não pode desativar essa opção.
     • Vá para a política de Backup Completo para exibir as configurações de política.
     • Você não pode criar backups diferenciais para backups diários completos.

   • Semanalmente: selecione o dia da semana, hora e fuso horário no qual o trabalho de backup é executado.

   A captura de tela a seguir mostra o agendamento de backup para backups completos.

   

6. No Intervalo de Retenção, defina o intervalo de retenção para o backup completo.

   Observação

   • Por padrão, todas as opções permanecem selecionadas. Desmarque os limites de intervalo de retenção que você não deseja usar e defina os que você deseja.
   • O período de retenção mínimo para qualquer tipo de backup (completo/diferencial/log) é de sete dias.
   • Os pontos de recuperação são marcados para retenção com base em seu intervalo de retenção. Por exemplo, se você selecionar um backup completo diário, apenas um backup completo será disparado a cada dia.
   • O backup para um dia específico é marcado e mantido com base na configuração e no período de retenção semanal.
   • Os intervalos de retenção mensal e anual comportam-se de maneira semelhante.

7. Selecione OK para salvar a configuração da política.

8. No painel Criar Política , em Backup Diferencial, selecione Editar para adicionar uma política diferencial.

9. No painel Política de Backup Diferencial , selecione Habilitar para abrir os controles de frequência e retenção.

   Observação

   • No máximo, você pode acionar um backup diferencial por dia.
   • Backups diferenciais podem ser retidos por até 180 dias. Se você precisar de retenção mais longa, deverá usar os backups completos.

10. Selecione OK para salvar a configuração da política.

11. No painel Política de Backup , em Backup de log, selecione Editar para adicionar uma política de backup de log transacional.

12. No painel de política de Backup de Log , selecione Habilitar para definir os controles de frequência e retenção.

    Observação

    • Os backups de log só começam a fluir depois que um backup completo bem-sucedido é concluído.
    • Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo é mantido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que o usuário tenha um backup completo semanal, diferencial diário e logs de duas horas. Todos eles são retidos por 30 dias. No entanto, o backup completo semanal só poderá ser limpo/excluído depois que o próximo backup completo estiver disponível, ou seja, após 30 + sete dias. Por exemplo, se um backup completo semanal for executado em 16 de novembro, ele permanecerá armazenado até 16 de dezembro de acordo com a política de retenção. O backup de log final para esse backup completo ocorre em 22 de novembro, antes do próximo backup completo agendado. Como esse backup de log permanece acessível até 22 de dezembro, o backup completo de 16 de novembro não pode ser excluído até essa data. Como resultado, o backup completo de 16 de novembro é mantido até 22 de dezembro.

13. Selecione OK para salvar a configuração da política de backup de log.

14. No painel Criar Política , selecione OK para concluir a criação da política de backup.

15. No painel Configurar Backup , na guia Política de Backup , em Política de Backup, selecione a nova política na lista suspensa e selecione Adicionar.

16. Selecione Configurar backup.

17. No painel Selecionar itens para backup , selecione os Bancos de Dados para proteção e selecione Avançar.

    

18. No painel Configurar Backup , na guia Revisão , examine a configuração de backup.

    

19. Selecione Habilitar Backup para iniciar a operação de backup.

Executar um backup sob demanda para o banco de dados SAP ASE

Para executar backups sob demanda para o banco de dados SAP ASE, siga estas etapas:

1. Acesse o Centro de Continuidade dos Negócios e selecione Cofres.

2. No painel Cofres selecione o cofre de Serviços de Recuperação na lista usada para configurar o backup.

3. No cofre dos Serviços de Recuperação selecionado, selecione Itens de Backup.

4. No painel Item de Backup , selecione o Tipo de Gerenciamento de Backup como SAP ASE (Sybase) na VM do Azure.

5. Selecione exibir detalhes do Banco de Dados para backup sob demanda.

6. Selecione Fazer backup agora para fazer backup sob demanda.

   

7. No painel Fazer backup agora, escolha o tipo de backup que você deseja executar e selecione OK. O tipo de backup sob demanda escolhido determina o período de retenção desse backup.

   • Os backups completos sob demanda são mantidos por um mínimo de 45 dias e um máximo de 99 anos.
   • Os backups diferenciais sob demanda são retidos de acordo com o conjunto de retenção de log na política.

   

Próximas etapas

• Restaure o banco de dados SAP ASE em VMs do Azure usando o portal do Azure.
• Gerencie e monitore o backup do banco de dados SAP ASE usando o portal do Azure.
• Solucionar problemas de backup de banco de dados do SAP ASE (Sybase).