O que é o Backup do Banco de Dados do Azure para PostgreSQL?

O Backup do Azure e os serviços de banco de dados do Azure se uniram para criar uma solução de backup de classe empresarial para o Banco de Dados do Azure para servidores PostgreSQL que retém backups por até 10 anos. Além da retenção a longo prazo, a solução oferece as seguintes capacidades:

• Cópias de segurança ad-hoc e agendadas controladas pelo cliente ao nível de bases de dados individuais.
• Restaurações ao nível de base de dados para qualquer servidor Azure Database para PostgreSQL ou para qualquer tipo de armazenamento de blobs.
• Monitorização central de todos os trabalhos e operações.
• Armazenamento de backups em domínios de segurança e falhas separados. Se o servidor de origem ou a assinatura forem comprometidos, os backups permanecerão seguros no cofre do Backup do Azure (nas contas de armazenamento gerenciado do Backup do Azure).
• Utilização de pg_dump para maior flexibilidade nas restaurações. Você pode restaurar através de várias versões de banco de dados.

Você pode usar essa solução de forma independente ou adicional à solução de backup nativa no Azure PostgreSQL, que oferece retenção por até 35 dias. A solução nativa é adequada para recuperações operacionais, como quando você deseja se recuperar dos backups mais recentes. A solução de Backup do Azure ajuda você com suas necessidades de conformidade e fornece um recurso de backup/restauração mais granular e flexível.

Alterações nos backups em cofre para servidores individuais PostgreSQL

A opção de implantação de servidor único para o Banco de Dados do Azure para PostgreSQL foi desativada em 28 de março de 2025. Nessa data, as alterações foram implementadas no Backup do Azure para servidores únicos PostgreSQL. Saiba mais sobre a aposentadoria.

O Backup do Azure fornece soluções de conformidade e resiliência, incluindo backups em cofre e retenção de longo prazo de pontos de restauração. Em 28 de março de 2025, entraram em vigor as seguintes alterações:

• A configuração de backup não é permitida para novas cargas de trabalho de servidor único PostgreSQL.
• Todos os trabalhos de backup agendados são descontinuados permanentemente.
• A criação de novas políticas de backup ou a modificação das existentes para essa carga de trabalho não é possível.

Na data de desativação, os trabalhos de backup agendados para bancos de dados de servidor único PostgreSQL foram permanentemente interrompidos. Não é possível criar novos pontos de restauração.

No entanto, seus backups de banco de dados de servidor único PostgreSQL existentes são mantidos de acordo com a política de backup. Os pontos de restauração serão excluídos somente após a expiração do período de retenção. Para manter os pontos de restauração indefinidamente ou excluí-los antes da expiração do período de retenção, consulte o console do Centro de Continuidade de Negócios do Azure.

Alterações na faturação

A partir de 31 de março de 2025, não será mais cobrada a taxa de Instância Protegida (PI) para proteger seus bancos de dados de servidor único PostgreSQL. Mas a taxa para armazenar seus backups ainda se aplica. Para evitar a taxa de armazenamento, exclua todos os pontos de restauração do Centro de Continuidade de Negócios do Azure.

Nota

O Backup do Azure mantém o último ponto de restauração mesmo após a expiração de seu período de retenção. Esse recurso garante que você tenha acesso ao último ponto de restauração para uso futuro. Você só pode excluir o último ponto de restauração manualmente. Se você quiser excluir o último ponto de restauração e evitar a taxa de armazenamento, interrompa a proteção do banco de dados.

Alterações no restauro

Você pode restaurar bases de dados de um único servidor PostgreSQL usando Restaurar como arquivos. Então você precisa criar manualmente um novo servidor flexível PostgreSQL a partir dos arquivos restaurados.

Nota

A opção Restaurar como banco de dados não é suportada a partir de 28 de março de 2025, mas a opção Restaurar como arquivos ainda é suportada.

Processo de cópia de segurança

1. Como administrador de backup, você pode especificar os bancos de dados PostgreSQL dos quais pretende fazer backup. Você também pode especificar os detalhes do Cofre de Chaves do Azure, que armazena as credenciais necessárias para se conectar aos bancos de dados especificados. O administrador do banco de dados semeia essas credenciais com segurança no Cofre de Chaves.

2. O serviço de Backup do Azure valida se ele tem permissões apropriadas para autenticar com o Banco de Dados do Azure especificado para o servidor PostgreSQL e fazer backup de seus bancos de dados.

3. O Backup do Azure cria uma função de trabalho (máquina virtual), com uma extensão de backup instalada nela, para se comunicar com o Banco de Dados do Azure protegido para o servidor PostgreSQL. Esta extensão consiste em um coordenador e um plugin PostgreSQL. O coordenador aciona fluxos de trabalho para várias operações, como backup e restauração. O plugin gerencia o fluxo de dados real.

4. No horário agendado, o coordenador instrui o plug-in a iniciar o streaming dos dados de backup do Banco de Dados do Azure para o servidor PostgreSQL usando pg_dump (personalizado).

5. O plug-in envia os dados diretamente para as contas de armazenamento gerenciado do Backup do Azure (mascaradas pelo cofre do Backup do Azure), eliminando a necessidade de um local de preparação. Os dados são encriptados através de chaves geridas pela Microsoft. O serviço de Backup do Azure armazena os dados em contas de armazenamento.

Autenticação de Backup do Azure com o Banco de Dados do Azure para servidor PostgreSQL

O Backup do Azure segue diretrizes de segurança rígidas do Azure. As permissões no recurso a ser copiado para backup não estão presumidas. O usuário precisa dar explicitamente essas permissões.

Modelo de autenticação baseado no Key Vault

O serviço de Backup do Azure precisa se conectar ao Banco de Dados do Azure para servidor PostgreSQL enquanto faz cada backup. Embora um nome de usuário e uma senha (ou uma cadeia de conexão) que correspondam ao banco de dados sejam usados para fazer essa conexão, essas credenciais não são armazenadas com o Backup do Azure. Em vez disso, o administrador do banco de dados precisa armazenar com segurança essas credenciais no Azure Key Vault como um segredo.

O administrador da carga de trabalho é responsável pelo gerenciamento e rotação de credenciais. O Backup do Azure solicita os detalhes secretos mais recentes do cofre de chaves para fazer o backup.

Permissões necessárias para backup de banco de dados PostgreSQL

1. Conceda as seguintes permissões de acesso à identidade gerenciada do cofre do Backup do Azure:

   • Acesso de leitor no Banco de Dados do Azure para servidor PostgreSQL.
   • Key Vault Secrets Acesso do usuário no Key Vault (Obter e Listar permissões em segredos).

2. Defina o acesso à linha de visão da rede em:

   • Banco de Dados do Azure para servidor PostgreSQL: defina Permitir acesso aos serviços do Azure como Sim.
   • Cofre de Chaves: defina Permitir serviços confiáveis da Microsoft como Sim.

3. Defina os privilégios de backup do usuário do banco de dados no banco de dados.

Nota

Você pode conceder essas permissões dentro do fluxo de configuração de backup com um único clique se você, como administrador de backup, tiver acesso de escrita aos recursos desejados. Se você não tiver as permissões necessárias (quando várias personas estiverem envolvidas), use um modelo do Azure Resource Manager.

Permissões necessárias para a restauração do banco de dados PostgreSQL

As permissões para restauração são semelhantes às que você precisa para backup. Você precisa conceder manualmente as permissões no Banco de Dados do Azure de destino para o servidor PostgreSQL e o cofre de chaves correspondente. Ao contrário do fluxo de configurar backup, a experiência para conceder essas permissões diretamente não está disponível no momento.

Verifique se o usuário do banco de dados (correspondente às credenciais armazenadas no cofre de chaves) tem os seguintes privilégios de restauração no banco de dados:

• Atribua um ALTER USER nome de usuário de CREATEDB.
• Atribua a função azure_pg_admin ao usuário do banco de dados.

Modelo de autenticação baseado em ID do Microsoft Entra

Um modelo de autenticação anterior era inteiramente baseado no Microsoft Entra ID. O modelo de autenticação baseado no Cofre da Chave (como explicado anteriormente) está agora disponível como uma opção alternativa para facilitar o processo de configuração.

Para obter um script automatizado e instruções relacionadas para usar o modelo de autenticação baseado em ID do Microsoft Entra, baixe este documento. Ele concede um conjunto apropriado de permissões a um Banco de Dados do Azure para servidor PostgreSQL para backup e restauração.

Nota

Toda a proteção recém-configurada ocorre apenas com o novo modelo de autenticação do Cofre da Chave. No entanto, todas as instâncias de backup existentes com proteção configurada por meio da autenticação baseada em ID do Microsoft Entra continuarão a existir e terão backups regulares realizados. Para restaurar esses backups, você precisa seguir a autenticação baseada em ID do Microsoft Entra.

Etapas para conceder acesso manualmente no Banco de Dados do Azure para o servidor PostgreSQL e no cofre de chaves

Para conceder todas as permissões de acesso de que o Backup do Azure precisa, use as etapas a seguir.

Permissões de acesso no Banco de Dados do Azure para servidor PostgreSQL

1. Defina o acesso do Leitor do cofre do Backup do Azure para a identidade gerenciada no Banco de Dados do Azure para o servidor PostgreSQL.

   

2. Defina o acesso de linha de visão de rede no Banco de Dados do Azure para o servidor PostgreSQL definindo Permitir acesso aos serviços do Azure como Sim.

   

Permissões de acesso no cofre de chaves

1. Defina o acesso do usuário aos Segredos do Cofre da Chave do cofre do Backup do Azure para a identidade gerenciada no cofre de chaves (permissões Obter e Listar segredos). Para atribuir permissões, você pode usar atribuições de função ou políticas de acesso. Você não precisa adicionar as permissões usando ambas as opções, porque isso não ajuda.

   • Para usar a autorização de controle de acesso baseado em função do Azure (Azure RBAC):

     1. Em Políticas de acesso, defina Modelo de permissão como controle de acesso baseado em função do Azure.

        

     2. No Controle de acesso (IAM), conceda à identidade gerida o acesso de Usuário de Segredos do Cofre de Chaves no cofre de chaves para o cofre do Azure Backup. Os portadores desse papel poderão ler segredos.

        

     Para obter mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Azure Key Vault com o controle de acesso baseado em funções do Azure.

   • Para usar políticas de acesso:

     1. Em Políticas de acesso, defina Modelo de permissão como Política de acesso do Vault.
     2. Defina as permissões de Obter e Listar em segredos.

     

     Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave (legado).

2. Defina o acesso à linha de visão da rede no cofre de chaves definindo Permitir que serviços confiáveis da Microsoft ignorem esse firewall? para Sim.

   

Privilégios de backup do utilizador em relação ao banco de dados

Execute a seguinte consulta na ferramenta pgAdmin . Substitua username pelo ID de usuário do banco de dados.

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Nota

Se um banco de dados para o qual você já configurou o backup estiver falhando UserErrorMissingDBPermissions, consulte este guia de solução de problemas para obter assistência na resolução do problema.

Utilize a ferramenta pgAdmin

Descarregue a ferramenta pgAdmin se ainda não a tiver. Você pode se conectar ao Banco de Dados do Azure para servidor PostgreSQL por meio dessa ferramenta. Além disso, você pode adicionar bancos de dados e novos usuários a este servidor.

Crie um novo servidor com um nome à sua escolha. Introduza o nome/endereço do anfitrião. É o mesmo que o valor Nome do servidor exibido na exibição de recursos do Azure PostgreSQL no portal do Azure.

Certifique-se de adicionar o endereço do ID do cliente atual às regras de firewall para que a conexão seja estabelecida.

Você pode adicionar novos bancos de dados e usuários de banco de dados ao servidor. Para usuários do banco de dados, selecione Login/Função de Grupo para adicionar funções. Certifique-se de que Pode iniciar sessão? está definido como Sim.

Conteúdo relacionado

• Perguntas frequentes sobre o Backup do Banco de Dados do Azure para PostgreSQL.
• Faça backup do Banco de Dados do Azure para PostgreSQL usando o portal do Azure.
• Crie uma política de backup para bancos de dados PostgreSQL usando a API REST.
• Configure o backup para bancos de dados PostgreSQL usando a API REST.
• Restaure bancos de dados PostgreSQL usando a API REST.
• Gerencie um Banco de Dados do Azure para servidor PostgreSQL usando o portal do Azure.