Fazer cópias de segurança de bases de dados SAP HANA nas VMs do Azure

As bases de dados SAP HANA são cargas de trabalho críticas que requerem um objetivo de ponto de recuperação (RPO) baixo e retenção de longo prazo. Pode criar cópias de segurança de bases de dados SAP HANA em execução em máquinas virtuais (VMs) do Azure com Azure Backup.

Este artigo mostra como criar cópias de segurança de bases de dados SAP HANA em execução em VMs do Azure para um cofre dos Serviços de Recuperação do Azure Backup.

Neste artigo, vai aprender a:

  • Criar e configurar um cofre
  • Descobrir bases de dados
  • Configurar cópias de segurança
  • Executar uma tarefa de cópia de segurança a pedido

Nota

Veja a matriz de suporte de cópia de segurança do SAP HANA para saber mais sobre as configurações e cenários suportados.

Pré-requisitos

Veja os pré-requisitos e as secções O que faz o script de pré-registo para configurar a base de dados para cópia de segurança.

Estabelecer conectividade de rede

Para todas as operações, uma base de dados SAP HANA em execução numa VM do Azure requer conectividade ao serviço Azure Backup, ao Armazenamento do Azure e ao Azure Active Directory. Isto pode ser conseguido através de pontos finais privados ou ao permitir o acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada aos serviços do Azure necessários pode levar a falhas em operações como a deteção de bases de dados, configuração de cópias de segurança, execução de cópias de segurança e restauro de dados.

A tabela seguinte lista as várias alternativas que pode utilizar para estabelecer conectividade:

Opção Vantagens Desvantagens
Pontos finais privados Permitir cópias de segurança através de IPs privados dentro da rede virtual

Fornecer controlo granular no lado da rede e do cofre
Incorre em custos de pontos finais privados padrão
Etiquetas de serviço do NSG É mais fácil gerir à medida que as alterações ao intervalo são intercaladas automaticamente

Sem custos adicionais
Só pode ser utilizado com NSGs

Fornece acesso a todo o serviço
Azure Firewall etiquetas FQDN É mais fácil gerir, uma vez que os FQDNs necessários são geridos automaticamente Só pode ser utilizado com Azure Firewall
Permitir o acesso aos FQDNs/IPs do serviço Sem custos adicionais.

Funciona com todas as firewalls e aplicações de segurança de rede.

Também pode utilizar pontos finais de serviço para o Armazenamento e o Azure Active Directory. No entanto, para Azure Backup, tem de atribuir o acesso aos IPs/FQDNs correspondentes.
Pode ser necessário aceder a um vasto conjunto de IPs ou FQDNs.
Ponto Final de Serviço de Rede Virtual Pode ser utilizado para o Armazenamento do Azure (= cofre dos Serviços de Recuperação).

Proporciona um grande benefício para otimizar o desempenho do tráfego do plano de dados.
Não pode ser utilizado para Azure AD, serviço Azure Backup.
Aplicação Virtual de Rede Pode ser utilizado para o Armazenamento do Azure, Azure AD, serviço Azure Backup.

Plano de dados
  • Armazenamento do Azure: *.blob.core.windows.net, , *.queue.core.windows.net*.blob.storage.azure.net


Plano de gestão
Saiba mais sobre Azure Firewall etiquetas de serviço.
Adiciona sobrecarga ao tráfego do plano de dados e diminui o débito/desempenho.

Seguem-se mais detalhes sobre a utilização destas opções:

Pontos finais privados

Os pontos finais privados permitem-lhe ligar-se de forma segura a partir de servidores numa rede virtual ao cofre dos Serviços de Recuperação. O ponto final privado utiliza um IP do espaço de endereços da VNET para o cofre. O tráfego de rede entre os seus recursos dentro da rede virtual e o cofre passa pela rede virtual e por uma ligação privada na rede principal Microsoft. Isto elimina a exposição da Internet pública. Leia mais sobre os pontos finais privados para Azure Backup aqui.

Nota

Os pontos finais privados são suportados para Azure Backup e armazenamento do Azure. Azure AD suporta pontos finais privados na pré-visualização privada. Até estarem disponíveis de modo geral, a cópia de segurança do Azure suporta a configuração do proxy para o AAD para que não seja necessária conectividade de saída para as VMs HANA. Veja a secção de suporte de proxy para obter mais detalhes.

Etiquetas do NSG

Se utilizar Grupos de Segurança de Rede (NSG), utilize a etiqueta de serviço AzureBackup para permitir o acesso de saída ao Azure Backup. Além da etiqueta Azure Backup, também tem de permitir a conectividade para autenticação e transferência de dados ao criar regras de NSG semelhantes para Azure AD (AzureActiveDirectory) e Armazenamento do Azure (Armazenamento). Os passos seguintes descrevem o processo para criar uma regra para a etiqueta Azure Backup:

  1. Em Todos os Serviços, aceda a Grupos de segurança de rede e selecione o grupo de segurança de rede.

  2. Selecione Regras de segurança de saída em Definições.

  3. Selecione Adicionar. Introduza todos os detalhes necessários para a criação de uma nova regra, conforme descrito nas definições de regras de segurança. Certifique-se de que a opção Destino está definida como Etiqueta de Serviço e Etiqueta de serviço de destino está definida como AzureBackup.

  4. Selecione Adicionar para guardar a regra de segurança de saída recém-criada.

Também pode criar regras de segurança de saída do NSG para o Armazenamento do Azure e Azure AD. Para obter mais informações sobre etiquetas de serviço, veja este artigo.

Etiquetas do Azure Firewall

Se estiver a utilizar Azure Firewall, crie uma regra de aplicação com a etiqueta FQDNAzure Firewall AzureBackup. Isto permite todo o acesso de saída aos Azure Backup.

Permitir o acesso aos intervalos de IP do serviço

Se optar por permitir acesso aos IPs do serviço, veja os intervalos de IP no ficheiro JSON disponível aqui. Terá de permitir o acesso aos IPs correspondentes ao Azure Backup, Armazenamento do Microsoft Azure e Azure Active Directory.

Permitir o acesso aos FQDNs do serviço

Também pode utilizar os seguintes FQDNs para permitir o acesso aos serviços necessários a partir dos seus servidores:

Serviço Nomes de domínio a aceder Portas
Azure Backup *.backup.windowsazure.com 443
Storage do Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net
443
Azure AD Permita o acesso aos FQDNs nas secções 56 e 59 de acordo com este artigo Conforme aplicável

Utilizar um servidor proxy HTTP para encaminhar o tráfego

Nota

Atualmente, só suportamos o Proxy HTTP para tráfego do Azure Active Directory (Azure AD) para SAP HANA. Se precisar de remover os requisitos de conectividade de saída (para Azure Backup e tráfego do Armazenamento do Azure) para cópias de segurança de bases de dados através de Azure Backup em VMs HANA, utilize outras opções, como pontos finais privados.

Utilizar um servidor proxy HTTP para tráfego do AAD
  1. Aceda à pasta "opt/msawb/bin"

  2. Criar um novo ficheiro JSON com o nome "ExtensionSettingsOverrides.json"

  3. Adicione um par chave-valor ao ficheiro JSON da seguinte forma:

    {
        "UseProxyForAAD":true,
        "UseProxyForAzureBackup":false,
        "UseProxyForAzureStorage":false,
        "ProxyServerAddress":"http://xx.yy.zz.mm:port"
    }
    
  4. Altere as permissões e a propriedade do ficheiro da seguinte forma:

    chmod 750 ExtensionSettingsOverrides.json
    chown root:msawb ExtensionSettingsOverrides.json
    
  5. Não é necessário reiniciar qualquer serviço. O serviço Azure Backup tentará encaminhar o tráfego do AAD através do servidor proxy mencionado no ficheiro JSON.

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação é uma entidade de gestão que armazena pontos de recuperação criados ao longo do tempo e fornece uma interface para realizar operações relacionadas com cópias de segurança. Estas operações incluem a criação de cópias de segurança a pedido, a realização de restauros e a criação de políticas de cópia de segurança.

Para criar um cofre dos Serviços de Recuperação:

  1. Inicie sessão no portal do Azure.

  2. Procure Centro de cópias de segurança e, em seguida, aceda ao dashboard do Centro de cópias de segurança.

    Captura de ecrã que mostra onde procurar e seleciona

  3. No painel Descrição geral , selecione Cofre.

    Captura de ecrã do botão para criar um cofre dos Serviços de Recuperação.

  4. Selecione Cofre dos Serviços de> RecuperaçãoContinuar.

    Captura de ecrã que mostra onde selecionar Serviços de Recuperação como o tipo de cofre.

  5. No painel cofre dos Serviços de Recuperação , introduza os seguintes valores:

    • Subscrição: selecione a subscrição que pretende utilizar. Se for membro de apenas uma subscrição, vai ver esse nome. Se não tiver a certeza de qual a subscrição a utilizar, utilize a subscrição predefinida. Terá várias escolhas apenas se a sua conta escolar ou profissional estiver associada a mais do que uma subscrição do Azure.

    • Grupo de recursos: Utilize um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na sua subscrição, selecione Utilizar existente e, em seguida, selecione um recurso na lista pendente. Para criar um novo grupo de recursos, selecione Criar novo e, em seguida, introduza o nome. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.

    • Nome do cofre: introduza um nome amigável para identificar o cofre. O nome tem de ser exclusivo para a subscrição do Azure. Especifique um nome com um mínimo de 2 carateres e um máximo de 50 carateres. O nome tem de começar com uma letra e ser composto apenas por letras, números e hífenes.

    • Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer origem de dados, o cofre tem de estar na mesma região que a origem de dados.

      Importante

      Se não tiver a certeza da localização da sua origem de dados, feche a janela. Aceda à lista dos seus recursos no portal. Se tiver origens de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada uma. Crie o cofre na primeira localização antes de criar um cofre noutra localização. Não é necessário especificar contas de armazenamento para armazenar os dados da cópia de segurança. O cofre dos Serviços de Recuperação e o Azure Backup gerem esse processo automaticamente.

    Captura de ecrã a mostrar campos para configurar um cofre dos Serviços de Recuperação.

  6. Depois de fornecer os valores, selecione Rever + criar.

    Captura de ecrã a mostrar o botão

  7. Quando estiver pronto para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.

    Captura de ecrã que mostra o botão final

    Pode demorar algum tempo a criar o cofre dos Serviços de Recuperação. Monitorize as notificações de estado na área Notificações no canto superior direito. Depois de o cofre ser criado, é visível na lista de cofres dos Serviços de Recuperação. Se o cofre não for apresentado, selecione Atualizar.

    Captura de ecrã que mostra o botão para atualizar a lista de cofres de cópia de segurança.

Ativar o Restauro entre Regiões

No cofre dos Serviços de Recuperação, pode ativar o Restauro Entre Regiões. Tem de ativar o Restauro Entre Regiões antes de configurar e proteger as cópias de segurança nas bases de dados HANA. Saiba como ativar o Restauro entre Regiões.

Saiba mais sobre o Restauro entre Regiões.

Descobrir as bases de dados

  1. No portal do Azure, aceda ao Centro de cópias de segurança e clique em +Cópia de Segurança.

    Captura de ecrã a mostrar para começar a procurar bases de dados SAP HANA.

  2. Selecione SAP HANA na VM do Azure como o tipo de origem de dados, selecione um cofre dos Serviços de Recuperação a utilizar para cópia de segurança e, em seguida, clique em Continuar.

    Captura de ecrã a mostrar para selecionar uma base de dados SAP HANA na VM do Azure.

  3. Selecione Iniciar Deteção. Isto inicia a deteção de VMs linux desprotegidas na região do cofre.

    • Após a deteção, as VMs desprotegidas aparecem no portal, listadas pelo nome e pelo grupo de recursos.
    • Se uma VM não estiver listada como esperado, verifique se já tem uma cópia de segurança num cofre.
    • Várias VMs podem ter o mesmo nome, mas pertencem a diferentes grupos de recursos.

    Captura de ecrã a mostrar para selecionar Iniciar Deteção.

  4. Em Selecionar Máquinas Virtuais, selecione a ligação para transferir o script que fornece permissões para o serviço Azure Backup aceder às VMs SAP HANA para deteção de bases de dados.

  5. Execute o script em cada VM que aloja bases de dados SAP HANA que pretende criar uma cópia de segurança.

  6. Depois de executar o script nas VMs, em Selecionar Máquinas Virtuais, selecione as VMs. Em seguida, selecione Descobrir DBs.

  7. Azure Backup detetar todas as bases de dados SAP HANA na VM. Durante a deteção, Azure Backup regista a VM no cofre e instala uma extensão na VM. Nenhum agente está instalado na base de dados.

    Captura de ecrã a mostrar as bases de dados SAP HANA detetadas.

Configurar a cópia de segurança

Agora, ative a cópia de segurança.

  1. No Passo 2, selecione Configurar Cópia de Segurança.

    Captura de ecrã a mostrar para configurar a Cópia de Segurança.

  2. Em Selecionar itens para fazer uma cópia de segurança, selecione todas as bases de dados que pretende proteger >OK.

    Captura de ecrã a mostrar para selecionar bases de dados para fazer uma cópia de segurança.

  3. Em Política> de Cópia de SegurançaEscolha política de cópia de segurança, crie uma nova política de cópia de segurança para as bases de dados, de acordo com as instruções abaixo.

    Captura de ecrã a mostrar para escolher a política de cópia de segurança.

  4. Depois de criar a política, no menu Cópia de Segurança , selecione Ativar cópia de segurança.

    Ativar cópia de segurança

  5. Controle o progresso da configuração da cópia de segurança na área Notificações do portal.

Criar uma política de cópias de segurança

Uma política de cópia de segurança define quando as cópias de segurança são executadas e quanto tempo são retidas.

  • Uma política é criada ao nível do cofre.
  • Vários cofres podem utilizar a mesma política de cópias de segurança, mas deve aplicar a política a cada cofre.

Nota

Azure Backup não se ajusta automaticamente às alterações da hora de verão ao fazer uma cópia de segurança de uma base de dados SAP HANA em execução numa VM do Azure.

Modifique a política manualmente conforme necessário.

Especifique as definições de política da seguinte forma:

  1. Em Nome da política, introduza um nome para a nova política.

    Introduza o nome da política

  2. Em Política de Cópia de segurança completa, selecione uma Frequência de Cópia de Segurança: escolha Diária ou Semanal.

    • Diariamente: selecione a hora e o fuso horário em que começa a tarefa de cópia de segurança.
      • Tem de executar uma cópia de segurança completa. Não pode desativar esta opção.
      • Selecione Cópia de Segurança Completa para ver a política.
      • Não pode criar cópias de segurança diferenciais para cópias de segurança completas diárias.
    • Semanalmente: selecione o dia da semana, hora e fuso horário em que a tarefa de cópia de segurança é executada.

    Selecionar frequência de cópia de segurança

  3. Em Período de Retenção, configure as definições de retenção para a cópia de segurança completa.

    • Por predefinição, todas as opções estão selecionadas. Limpe os limites do período de retenção que não pretende utilizar e defina os limites que pretende utilizar.
    • O período de retenção mínimo para qualquer tipo de cópia de segurança (completo/diferencial/registo) é de sete dias.
    • Os pontos de recuperação são marcados para retenção com base no respetivo período de retenção. Por exemplo, se selecionar uma cópia de segurança completa diária, vai ser acionada apenas uma cópia de segurança completa por dia.
    • A cópia de segurança de um dia específico é marcada e mantida com base no período de retenção e definição semanais.
    • Os períodos de retenção mensais e anuais comportam-se de forma semelhante.
  4. No menu Política de Cópia de segurança completa, selecione OK para aceitar as definições.

  5. Selecione Cópia de Segurança Diferencial para adicionar uma política diferencial.

  6. Em Política de Cópia de segurança diferencial, selecione Ativar para abrir os controlos de frequência e retenção.

    • No máximo, pode acionar uma cópia de segurança diferencial por dia.
    • As cópias de segurança diferenciais podem ser retidas durante um máximo de 180 dias. Se precisar de uma maior retenção, deve utilizar cópias de segurança completas.

    Política de cópia de segurança diferencial

    Nota

    Pode escolher um diferencial ou um incremental como uma cópia de segurança diária, mas não ambos.

  7. Em Política de Cópia de Segurança Incremental, selecione Ativar para abrir os controlos de frequência e retenção.

    • No máximo, pode acionar uma cópia de segurança incremental por dia.
    • As cópias de segurança incrementais podem ser mantidas durante um máximo de 180 dias. Se precisar de uma maior retenção, deve utilizar cópias de segurança completas.

    Política de cópia de segurança incremental

  8. Selecione OK para guardar a política e voltar ao menu principal Política de cópia de segurança.

  9. Selecione Cópia de Segurança de Registos para adicionar uma política de cópia de segurança de registo transacional,

    • Em Cópia de Segurança do Registo, selecione Ativar. Isto não pode ser desativado, uma vez que o SAP HANA gere todas as cópias de segurança de registo.
    • Defina os controlos de frequência e retenção.

    Nota

    As cópias de segurança de registo só começam a fluir depois de concluída uma cópia de segurança completa com êxito.

  10. Selecione OK para guardar a política e voltar ao menu principal Política de cópia de segurança.

  11. Depois de concluir a definição da política de cópia de segurança, selecione OK.

Nota

Cada cópia de segurança de registo é encadeada à cópia de segurança completa anterior para formar uma cadeia de recuperação. Esta cópia de segurança completa será mantida até que a retenção da última cópia de segurança de registo tenha expirado. Isto pode significar que a cópia de segurança completa é retida por um período adicional para garantir que todos os registos podem ser recuperados. Vamos supor que um utilizador tem uma cópia de segurança completa semanal, diferencial diária e registos de 2 horas. Todos são retidos por 30 dias. Contudo, o total semanal só pode ser limpo/eliminado após a próxima cópia de segurança completa estar disponível, ou seja, após 30 + 7 dias. Por exemplo, uma cópia de segurança completa semanal ocorre a 16 de novembro. De acordo com a política de retenção, deve ser mantida até 16 de dezembro. A última cópia de segurança de registo para esta operação completa ocorre antes do próximo agendamento completo, no dia 22 de novembro. Até que este registo esteja disponível até 22 de dezembro, o 16 de novembro completo não pode ser eliminado. Assim, o 16 de novembro completo é retido até 22 de dezembro.

Executar uma cópia de segurança a pedido

As cópias de segurança são executadas de acordo com a agenda da política. Pode executar uma cópia de segurança a pedido da seguinte forma:

  1. No menu do cofre, selecione Itens de cópia de segurança.

  2. Em Itens de Cópia de Segurança, selecione a VM que executa a base de dados SAP HANA e, em seguida, selecione Fazer cópia de segurança agora.

  3. Em Fazer Cópia de Segurança Agora, selecione o tipo de cópia de segurança que pretende efetuar. Em seguida, selecione OK.

    O período de retenção desta cópia de segurança é determinado pelo tipo de cópia de segurança a pedido que executou.

    • As cópias de segurança completas a pedido são mantidas durante um mínimo de 45 dias e um máximo de 99 anos.
    • As cópias de segurança diferenciais a pedido são mantidas de acordo com o conjunto de retenção de registos na política.
    • As cópias de segurança incrementais a pedido não são atualmente suportadas.
  4. Monitorize as notificações do portal. Pode monitorizar o progresso da tarefa no dashboard > do cofre Tarefas> de Cópia deSegurança Em curso. Consoante o tamanho da base de dados, a criação da cópia de segurança inicial pode demorar algum tempo.

Executar a cópia de segurança do SAP HANA Studio numa base de dados com o Azure Backup ativado

Se quiser fazer uma cópia de segurança local (com o HANA Studio) de uma base de dados que está a ser criada uma cópia de segurança com Azure Backup, faça o seguinte:

  1. Aguarde que as cópias de segurança completas ou de registo da base de dados sejam concluídas. Verifique o estado no SAP HANA Studio/Cockpit.
  2. Desative as cópias de segurança de registo e defina o catálogo de cópias de segurança para o sistema de ficheiros para a base de dados relevante.
  3. Para tal, faça duplo clique emConfiguração> do systemdb> Selecionar Filtro deBase de Dados>(Registo).
  4. Defina enable_auto_log_backup como Não.
  5. Defina log_backup_using_backint como Falso.
  6. Defina catalog_backup_using_backint como Falso.
  7. Faça uma cópia de segurança completa a pedido da base de dados.
  8. Aguarde pela conclusão da cópia de segurança completa e da cópia de segurança do catálogo.
  9. Reverta as definições anteriores para as do Azure:
    • Defina enable_auto_log_backup como Sim.
    • Defina log_backup_using_backintcomo Verdadeiro.
    • Defina catalog_backup_using_backint como Verdadeiro.

Passos seguintes