Fazer cópias de segurança de bases de dados SAP HANA nas VMs do Azure
Este artigo descreve como fazer backup de bancos de dados SAP HANA em execução em VMs do Azure em um cofre dos Serviços de Recuperação de Backup do Azure.
Os bancos de dados SAP HANA são cargas de trabalho críticas que exigem um RPO (Recovery Point Objetive, objetivo de ponto de recuperação) baixo e retenção de longo prazo. Você pode fazer backup de bancos de dados SAP HANA em execução em máquinas virtuais (VMs) do Azure usando o Backup do Azure.
Nota
Consulte a matriz de suporte de backup do SAP HANA para saber mais sobre as configurações e cenários suportados.
Pré-requisitos
Consulte os pré-requisitos e as seções O que o script de pré-registro faz para configurar o banco de dados para backup.
Estabelecer conectividade de rede
Para todas as operações, um banco de dados SAP HANA em execução em uma VM do Azure requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Isso pode ser conseguido usando pontos de extremidade privados ou permitindo o acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços necessários do Azure pode levar a falhas em operações como descoberta de banco de dados, configuração de backup, execução de backups e restauração de dados.
A tabela a seguir lista as várias alternativas que você pode usar para estabelecer conectividade:
Opção | Vantagens | Desvantagens |
---|---|---|
Pontos finais privados | Permitir backups em IPs privados dentro da rede virtual Forneça controle granular na rede e no lado do cofre |
Incorre em custos de terminais privados padrão |
Etiquetas de serviço do NSG | Mais fácil de gerenciar à medida que as alterações de intervalo são mescladas automaticamente Sem custos adicionais |
Pode ser usado apenas com NSGs Fornece acesso a todo o serviço |
Tags FQDN do Firewall do Azure | Mais fácil de gerenciar, pois os FQDNs necessários são gerenciados automaticamente | Pode ser usado apenas com o Firewall do Azure |
Permitir acesso a FQDNs/IPs de serviço | Sem custos adicionais. Funciona com todos os dispositivos de segurança de rede e firewalls. Você também pode usar pontos de extremidade de serviço para armazenamento. No entanto, para o Backup do Azure e o Microsoft Entra ID, você precisa atribuir o acesso aos IPs/FQDNs correspondentes. |
Um amplo conjunto de IPs ou FQDNs pode ser necessário para ser acessado. |
Ponto de extremidade do serviço de rede virtual | Pode ser usado para o Armazenamento do Azure. Fornece grandes benefícios para otimizar o desempenho do tráfego de plano de dados. |
Não pode ser usado para o Microsoft Entra ID, serviço de Backup do Azure. |
Dispositivo Virtual de Rede | Pode ser usado para o Armazenamento do Azure, ID do Microsoft Entra, serviço de Backup do Azure. Plano de dados
Plano de gestão
Saiba mais sobre as tags de serviço do Firewall do Azure. |
Adiciona sobrecarga ao tráfego do plano de dados e diminui a taxa de transferência/desempenho. |
Mais detalhes sobre o uso dessas opções são compartilhados abaixo:
Pontos finais privados
Os pontos finais privados permitem-lhe ligar-se de forma segura a partir de servidores numa rede virtual ao cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço VNET para seu cofre. O tráfego de rede entre seus recursos dentro da rede virtual e o cofre viaja pela sua rede virtual e um link privado na rede de backbone da Microsoft. Isso elimina a exposição da internet pública. Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.
Nota
Os pontos de extremidade privados têm suporte para o Backup do Azure e o armazenamento do Azure. O Microsoft Entra ID tem suporte a pontos finais privados em visualização privada. Até que estejam geralmente disponíveis, o backup do Azure dá suporte à configuração de proxy para o Microsoft Entra ID para que nenhuma conectividade de saída seja necessária para VMs HANA. Para obter mais informações, consulte a seção de suporte a proxy.
Etiquetas do NSG
Se você usar NSG (Grupos de Segurança de Rede), use a marca de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da tag Backup do Azure, você também precisa permitir a conectividade para autenticação e transferência de dados criando regras NSG semelhantes para Microsoft Entra ID (AzureActiveDirectory) e Azure Storage(Storage). As etapas a seguir descrevem o processo para criar uma regra para a marca do Backup do Azure:
Em Todos os Serviços, aceda a Grupos de segurança de rede e selecione o grupo de segurança de rede.
Selecione Regras de segurança de saída em Definições.
Selecione Adicionar. Introduza todos os detalhes necessários para a criação de uma nova regra, conforme descrito nas definições de regras de segurança. Verifique se a opção Destino está definida como Etiqueta de Serviço e a Etiqueta de serviço de Destino está definida como AzureBackup.
Selecione Adicionar para guardar a regra de segurança de saída recém-criada.
Da mesma forma, você pode criar regras de segurança de saída NSG para o Armazenamento do Azure e a ID do Microsoft Entra. Para obter mais informações sobre tags de serviço, consulte este artigo.
Etiquetas do Azure Firewall
Se você estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a marca FQDN do Firewall do Azure AzureBackup. Isso permite todo o acesso de saída ao Backup do Azure.
Nota
Atualmente, o Backup do Azure não oferece suporte à Regra de Aplicativo habilitada para inspeção TLS no Firewall do Azure.
Permitir o acesso aos intervalos de IP do serviço
Se você optar por permitir IPs de serviço de acesso, consulte os intervalos de IP no arquivo JSON disponível aqui. Terá de permitir o acesso aos IPs correspondentes ao Azure Backup, Armazenamento do Microsoft Azure e Microsoft Entra ID.
Permitir o acesso aos FQDNs do serviço
Você também pode usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:
Serviço | Nomes de domínio a aceder | Portas |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Permita o acesso aos FQDNs nas secções 56 e 59 de acordo com este artigo |
443 Conforme aplicável |
Utilizar um servidor proxy HTTP para encaminhar o tráfego
Nota
Atualmente, suportamos apenas o proxy HTTP para o tráfego do Microsoft Entra para SAP HANA. Se você precisar remover os requisitos de conectividade de saída (para o Backup do Azure e o tráfego do Armazenamento do Azure) para backups de banco de dados por meio do Backup do Azure em VMs HANA, use outras opções, como pontos de extremidade privados.
Usando um servidor proxy HTTP para o tráfego do Microsoft Entra
Vá para a pasta "opt/msawb/bin"
Crie um novo arquivo JSON chamado "ExtensionSettingsOverrides.json"
Adicione um par chave-valor ao arquivo JSON da seguinte maneira:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }
Altere as permissões e a propriedade do arquivo da seguinte maneira:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
Não é necessário reiniciar qualquer serviço. O serviço de Backup do Azure tentará rotear o tráfego do Microsoft Entra por meio do servidor proxy mencionado no arquivo JSON.
Usar regras de saída
Se as configurações de Firewall ou NSG bloquearem o domínio da Máquina Virtual do Azure, os “management.azure.com”
backups de instantâneo falharão.
Crie a seguinte regra de saída e permita que o nome de domínio faça o backup do banco de dados. Aprenda a criar regras de saída.
- Fonte: Endereço IP da VM.
- Destino: etiqueta de serviço.
- Etiqueta de serviço de destino:
AzureResourceManager
Criar um cofre dos Serviços de Recuperação
Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e fornece uma interface para executar operações relacionadas ao backup. Essas operações incluem a realização de backups sob demanda, a execução de restaurações e a criação de políticas de backup.
Para criar um cofre dos Serviços de Recuperação:
Inicie sessão no portal do Azure.
Procure Centro de backup e, em seguida, vá para o painel Centro de backup.
No painel Visão geral, selecione Vault.
Selecione Recovery Services vault>Continue.
No painel Cofre dos Serviços de Recuperação, insira os seguintes valores:
Subscrição: selecione a subscrição que pretende utilizar. Se for membro de apenas uma subscrição, vai ver esse nome. Se você não tiver certeza de qual assinatura usar, use a assinatura padrão. Terá várias escolhas apenas se a sua conta escolar ou profissional estiver associada a mais do que uma subscrição do Azure.
Grupo de recursos: use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na sua subscrição, selecione Utilizar existente e, em seguida, selecione um recurso na lista pendente. Para criar um novo grupo de recursos, selecione Criar novo e insira o nome. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
Nome do cofre: insira um nome amigável para identificar o cofre. O nome tem de ser exclusivo para a subscrição do Azure. Especifique um nome com um mínimo de 2 carateres e um máximo de 50 carateres. O nome tem de começar com uma letra e ser composto apenas por letras, números e hífenes.
Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.
Importante
Se não tiver certeza da localização da fonte de dados, feche a janela. Aceda à lista dos seus recursos no portal. Se tiver origens de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada uma. Crie o cofre no primeiro local antes de criar um cofre em outro local. Não é necessário especificar contas de armazenamento para armazenar os dados da cópia de segurança. O cofre dos Serviços de Recuperação e o Azure Backup gerem esse processo automaticamente.
Depois de introduzir os valores, selecione Rever + criar.
Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.
Pode demorar algum tempo a criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre é criado, ele aparece na lista de cofres dos Serviços de Recuperação. Se o cofre não aparecer, selecione Atualizar.
Nota
O Backup do Azure agora dá suporte a cofres imutáveis que ajudam a garantir que os pontos de recuperação depois de criados não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para máxima proteção aos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Mais informações.
Ativar restauração entre regiões
No cofre dos Serviços de Recuperação, você pode habilitar a Restauração entre Regiões. Saiba como ativar a Restauração entre regiões.
Saiba mais sobre a Restauração entre Regiões.
Descubra as bases de dados
No portal do Azure, vá para Centro de backup e selecione +Backup.
Selecione SAP HANA na VM do Azure como o tipo de fonte de dados, selecione um cofre dos Serviços de Recuperação a ser usado para backup e selecione Continuar.
Selecione Iniciar descoberta. Isso inicia a descoberta de VMs Linux desprotegidas na região do vault.
- Após a descoberta, as VMs desprotegidas aparecem no portal, listadas por nome e grupo de recursos.
- Se uma VM não estiver listada conforme o esperado, verifique se já foi feito backup em um cofre.
- Várias VMs podem ter o mesmo nome, mas pertencem a grupos de recursos diferentes.
Em Selecionar Máquinas Virtuais, selecione o link para baixar o script que fornece permissões para o serviço de Backup do Azure acessar as VMs do SAP HANA para descoberta de banco de dados.
Execute o script em cada VM que hospeda bancos de dados SAP HANA dos quais você deseja fazer backup.
Depois de executar o script nas VMs, em Selecionar Máquinas Virtuais, selecione as VMs. Em seguida, selecione Descobrir DBs.
O Backup do Azure descobre todos os bancos de dados SAP HANA na VM. Durante a descoberta, o Backup do Azure registra a VM no cofre e instala uma extensão na VM. Nenhum agente está instalado no banco de dados.
Configurar a cópia de segurança
Agora habilite o backup.
Na Etapa 2, selecione Configurar backup.
Em Selecionar itens para backup, selecione todos os bancos de dados que deseja proteger >OK.
Em Política>de backup Escolha a política de backup, crie uma nova política de backup para os bancos de dados, de acordo com as instruções abaixo.
Depois de criar a política, no menu Backup , selecione Ativar backup.
Acompanhe o progresso da configuração de backup na área Notificações do portal.
Criar uma política de cópias de segurança
Uma política de backup define quando os backups são feitos e por quanto tempo eles são mantidos.
- Uma política é criada ao nível do cofre.
- Vários cofres podem utilizar a mesma política de cópias de segurança, mas deve aplicar a política a cada cofre.
Nota
O Backup do Azure não se ajusta automaticamente para alterações de horário de verão ao fazer backup de um banco de dados SAP HANA em execução em uma VM do Azure.
Modifique a política manualmente conforme necessário.
Especifique as configurações de política da seguinte maneira:
Em Nome da política, introduza um nome para a nova política.
Em Política de Cópia de segurança completa, selecione uma Frequência de Cópia de Segurança: escolha Diária ou Semanal.
- Diariamente: selecione a hora e o fuso horário em que o trabalho de backup começa.
- Você deve executar um backup completo. Não é possível desativar esta opção.
- Selecione Cópia de Segurança Completa para ver a política.
- Não pode criar cópias de segurança diferenciais para cópias de segurança completas diárias.
- Semanal: selecione o dia da semana, a hora e o fuso horário em que a tarefa de backup é executada.
- Diariamente: selecione a hora e o fuso horário em que o trabalho de backup começa.
Em Intervalo de retenção, defina as configurações de retenção para o backup completo.
- Por padrão, todas as opções são selecionadas. Limpe todos os limites de intervalo de retenção que você não deseja usar e defina aqueles que você faz.
- O período mínimo de retenção para qualquer tipo de backup (completo/diferencial/log) é de sete dias.
- Os pontos de recuperação são marcados para retenção com base no respetivo período de retenção. Por exemplo, se selecionar uma cópia de segurança completa diária, vai ser acionada apenas uma cópia de segurança completa por dia.
- O backup para um dia específico é marcado e retido com base no intervalo de retenção semanal e na configuração.
- Os períodos de retenção mensais e anuais comportam-se de forma semelhante.
No menu Política de Cópia de segurança completa, selecione OK para aceitar as definições.
Selecione Backup diferencial para adicionar uma política diferencial.
Em Política de Cópia de segurança diferencial, selecione Ativar para abrir os controlos de frequência e retenção.
- No máximo, pode acionar uma cópia de segurança diferencial por dia.
- As cópias de segurança diferenciais podem ser retidas durante um máximo de 180 dias. Se precisar de uma maior retenção, deve utilizar cópias de segurança completas.
Nota
Você pode escolher um diferencial ou um incremental como backup diário, mas não ambos.
Em Política de backup incremental, selecione Habilitar para abrir os controles de frequência e retenção.
- No máximo, você pode acionar um backup incremental por dia.
- Os backups incrementais podem ser retidos por um período máximo de 180 dias. Se precisar de uma maior retenção, deve utilizar cópias de segurança completas.
Selecione OK para guardar a política e voltar ao menu principal Política de cópia de segurança.
Selecione Backup de log para adicionar uma política de backup de log transacional,
- Em Backup de Log, selecione Ativar. Isso não pode ser desativado, pois o SAP HANA gerencia todos os backups de log.
- Defina os controles de frequência e retenção.
Nota
Os backups de log só começam a fluir depois que um backup completo bem-sucedido é concluído.
Selecione OK para guardar a política e voltar ao menu principal Política de cópia de segurança.
Depois de concluir a definição da política de backup, selecione OK.
Nota
Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será mantido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que um usuário tenha um backup completo semanal, diferencial diário e logs de 2 horas. Todos eles são retidos por 30 dias. Mas, o completo semanal pode ser realmente limpo / excluído apenas depois que o próximo backup completo estiver disponível, ou seja, após 30 + 7 dias. Por exemplo, um backup completo semanal acontece em 16 de novembro. De acordo com a política de retenção, ele deve ser mantido até 16 de dezembro. O último backup de log para este completo acontece antes do próximo completo agendado, em 22 de novembro. Até que este log esteja disponível até 22 de dezembro, o 16 de novembro completo não pode ser excluído. Assim, o dia 16 de novembro fica retido até 22 de dezembro.
Executar uma cópia de segurança a pedido
Os backups são executados de acordo com o cronograma da política. Saiba como executar um backup sob demanda.
Execute o backup de clientes nativos do SAP HANA em um banco de dados com o Backup do Azure
Você pode executar um backup sob demanda usando clientes nativos do SAP HANA para o sistema de arquivos local em vez de Backint. Saiba mais sobre como gerenciar operações usando clientes nativos SAP.
Configurar backups de dados multistreaming para maior taxa de transferência usando Backint
Para configurar backups de dados multistreaming, consulte a documentação do SAP.
Saiba mais sobre os cenários suportados.
Revisar o status do backup
O Backup do Azure sincroniza periodicamente a fonte de dados entre a extensão instalada na VM e o serviço de Backup do Azure e mostra o status do backup no portal do Azure. A tabela a seguir lista o (quatro) status de backup de uma fonte de dados:
Estado de backup | Description |
---|---|
Saudável | O último backup foi bem-sucedido. |
Insalubridade | O último backup falhou. |
NotAcessível | Atualmente, não há nenhuma sincronização ocorrendo entre a extensão na VM e o serviço de Backup do Azure. |
IRPending | O primeiro backup na fonte de dados ainda não ocorreu. |
Geralmente, a sincronização ocorre a cada hora. No entanto, no nível de extensão, o Backup do Azure sonda a cada 5 minutos para verificar se há alterações no status do backup mais recente em comparação com o anterior. Por exemplo, se o backup anterior for bem-sucedido, mas o backup mais recente tiver falhado, o Backup do Azure sincronizará essas informações com o serviço para atualizar o status do backup no portal do Azure de acordo com Íntegro ou Não Íntegro.
Se nenhuma sincronização de dados ocorrer com o serviço de Backup do Azure por mais de 2 horas, o Backup do Azure mostrará o status do backup como NotReachable. Esse cenário pode ocorrer se a VM for desligada por um período prolongado ou se houver um problema de conectividade de rede na VM, fazendo com que a sincronização seja interrompida. Quando a VM estiver operacional novamente e os serviços de extensão forem reiniciados, a operação de sincronização de dados com o serviço será retomada e o status do backup será alterado para Íntegro ou Não Íntegro com base no status do último backup.