Efetuar cópias de segurança de várias VMs do SQL Server a partir do cofre dos Serviços de Recuperação

Os bancos de dados do SQL Server são cargas de trabalho críticas que exigem um RPO (Recovery Point Objetive, objetivo de ponto de recuperação) baixo e retenção de longo prazo. Você pode fazer backup de bancos de dados do SQL Server em execução em máquinas virtuais (VMs) do Azure usando o Backup do Azure.

Este artigo mostra como fazer backup de um banco de dados do SQL Server em execução em uma VM do Azure para um cofre dos Serviços de Recuperação de Backup do Azure.

Nota

Consulte a matriz de suporte de backup SQL para saber mais sobre as configurações e cenários suportados.

Pré-requisitos

Antes de fazer backup de um banco de dados do SQL Server, verifique os seguintes critérios:

1. Identifique ou crie um cofre dos Serviços de Recuperação na mesma região e assinatura que a VM que hospeda a instância do SQL Server.

2. Verifique se a VM tem conectividade de rede.

3. Certifique-se de que o Agente de Máquina Virtual do Azure está instalado na VM.

4. Verifique se a versão do .NET 4.6.2 ou superior está instalada na VM.

   Atenção

   O suporte para backups de SQL VMs que executam o .NET Framework 4.6.1 foi preterido devido ao fim do suporte oficial. Recomendamos atualizar para o .NET Framework 4.6.2 ou superior para evitar falhas de backup.

5. Certifique-se de que os bancos de dados do SQL Server sigam as diretrizes de nomenclatura de banco de dados para o Backup do Azure.

6. Certifique-se de que o comprimento combinado do nome da VM do SQL Server e do nome do grupo de recursos não exceda 84 caracteres para VMs do Azure Resource Manager (ou 77 caracteres para VMs clássicas). Essa limitação ocorre porque alguns caracteres são reservados pelo serviço.

7. Verifique se você não tem outras soluções de backup habilitadas para o banco de dados. Desative todos os outros backups do SQL Server antes de fazer backup do banco de dados.

8. Ao usar o SQL Server 2008 R2 ou o SQL Server 2012, você pode se deparar com o problema de fuso horário para backup, conforme descrito aqui. Certifique-se de que você está nas atualizações cumulativas mais recentes para evitar o problema relacionado ao fuso horário descrito acima. Se a aplicação das atualizações à instância do SQL Server na VM do Azure não for viável, desabilite o horário de verão (DST) para o fuso horário na máquina virtual.

Nota

Você pode habilitar o Backup do Azure para uma VM do Azure e também para um banco de dados do SQL Server em execução na VM sem conflito.

Estabelecer conectividade de rede

Para todas as operações, uma VM do SQL Server requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Isso pode ser conseguido usando pontos de extremidade privados ou permitindo o acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços necessários do Azure pode levar a falhas em operações como descoberta de banco de dados, configuração de backup, execução de backups e restauração de dados.

A tabela a seguir lista as várias alternativas que você pode usar para estabelecer conectividade:

Opção	Vantagens	Desvantagens
Pontos finais privados	Permitir backups em IPs privados dentro da rede virtual Forneça controle granular na rede e no lado do cofre	Incorre em custos de endpoints privados padrão
Etiquetas de serviço do NSG	Mais fácil de gerenciar à medida que as alterações de intervalo são mescladas automaticamente Sem custos adicionais	Pode ser usado apenas com NSGs Fornece acesso a todo o serviço
Tags FQDN do Azure Firewall	Mais fácil de gerenciar, pois os FQDNs necessários são gerenciados automaticamente	Pode ser usado apenas com o Firewall do Azure
Permitir acesso aos FQDNs/IPs de serviço	Sem custos adicionais. Funciona com todos os dispositivos de segurança de rede e firewalls. Você também pode usar pontos de extremidade de serviço para Armazenamento e ID do Microsoft Entra. No entanto, para o Backup do Azure, você precisa atribuir o acesso aos IPs/FQDNs correspondentes.	Pode ser necessário aceder a um amplo conjunto de endereços IP ou FQDNs.
Utilizar um proxy HTTP	Ponto único de acesso à Internet para VMs	Custos adicionais para executar uma VM com o software proxy

As seções a seguir fornecem mais detalhes sobre o uso dessas opções.

Nota

Você pode usar os scripts de teste de conectividade do Backup do Azure para autodiagnosticar os problemas de conectividade de rede no ambiente Windows.

Pontos finais privados

Os pontos finais privados permitem-lhe ligar-se de forma segura, a partir de servidores numa rede virtual, ao cofre do serviço de recuperação. O ponto de extremidade privado usa um endereço IP do espaço de endereços da rede virtual para o seu cofre. O tráfego de rede entre os seus recursos dentro da rede virtual e o cofre trafega pela sua rede virtual e um link privado na rede principal da Microsoft. Isto elimina a exposição proveniente da internet pública. Leia mais sobre endpoints privados para o Backup do Azure aqui.

Etiquetas do NSG

Se você usar NSG (Grupos de Segurança de Rede), use a marca de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da tag Backup do Azure, você também precisa permitir a conectividade para autenticação e transferência de dados criando regras NSG semelhantes para Microsoft Entra ID (AzureActiveDirectory) e Azure Storage(Storage). As etapas a seguir descrevem o processo para criar uma regra para a etiqueta Azure Backup.

1. Em Todos os Serviços, vá para Grupos de segurança de rede e selecione o grupo de segurança de rede.

2. Selecione Regras de segurança de saída em Configurações.

3. Selecione Adicionar. Insira todos os detalhes necessários para criar uma nova regra, conforme descrito nas configurações da regra de segurança. Verifique se a opção Destino está definida como Etiqueta de Serviço e a Etiqueta de serviço de Destino está definida como AzureBackup.

4. Selecione Adicionar para salvar a regra de segurança de saída recém-criada.

Da mesma forma, pode criar regras de segurança de saída NSG para o Armazenamento do Azure e o Microsoft Entra ID.

Etiquetas do Azure Firewall

Se você estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a marca FQDN do Firewall do Azure AzureBackup. Isto permite todo o acesso de saída para o Backup do Azure.

Nota

Atualmente, o Backup do Azure não oferece suporte à inspeção TLS habilitadaRegra de Aplicação no Firewall do Azure.

Permitir o acesso aos intervalos de IP do serviço

Se você optar por permitir IPs de serviço de acesso, consulte os intervalos de IP no arquivo JSON disponível aqui. Terá de permitir o acesso aos IPs correspondentes ao Azure Backup, ao Azure Storage e ao Microsoft Entra ID.

Permitir o acesso aos FQDNs do serviço

Você também pode usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:

Serviço	Nomes de domínio que devem ser acedidos	Portas
Azure Backup	*.backup.windowsazure.com	443
Armazenamento do Azure	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
Azure AD	*.login.microsoft.com Permitir o acesso a FQDNs nos termos das seções 56 e 59 de acordo com este artigo	443 Conforme aplicável

Permitir conectividade para servidores localizados atrás de balanceadores de carga internos

Ao utilizar um balanceador de carga interno, é necessário permitir a conectividade de saída das máquinas virtuais atrás do balanceador de carga interno para fazer cópias de segurança. Para fazer isso, você pode usar uma combinação de balanceadores de carga padrão internos e externos para criar uma conectividade de saída. Saiba mais sobre a configuração para criar uma configuração somente de saída para VMs no pool de back-end do balanceador de carga interno.

Utilizar um servidor proxy HTTP para encaminhar o tráfego

Quando faz uma cópia de segurança de uma base de dados do SQL Server numa VM do Azure, a extensão da cópia de segurança na VM utiliza as APIs HTTPS para enviar comandos de gestão para o Azure Backup e dados para o Armazenamento do Microsoft Azure. A extensão de cópia de segurança também utiliza o Microsoft Entra ID para autenticação. Encaminhe o tráfego da extensão de backup destes três serviços através do proxy HTTP. Use a lista de IPs e FQDNs mencionados acima para permitir o acesso aos serviços necessários. Não há suporte para servidores proxy autenticados.

Nota

Desative o proxy para comunicações localhost dentro da VM. O proxy será utilizado para as comunicações de saída da VM SQL.

Diretrizes de nomenclatura de banco de dados para o Backup do Azure

• Evite usar os seguintes elementos em nomes de banco de dados:

  • Espaços finais e iniciais
  • Pontos de exclamação finais (!)
  • Colchetes de fechamento (])
  • Ponto e vírgula (;)
  • Barra (/)
  • Percentagem (%)

• A configuração do Backup SQL não oferece suporte à cotação única no nome do banco de dados e causa falha na implantação. Se houver algum banco de dados com aspas simples, recomendamos que você renomeie o banco de dados ou adote a abordagem de backup nativo.

• A opção de aliasing está disponível para caracteres não suportados, mas recomendamos evitá-los. Para obter mais informações, consulte Noções básicas sobre o modelo de dados do serviço de tabela.

• Não há suporte para vários bancos de dados na mesma instância SQL com diferença de invólucro.

• Não há suporte para alterar o invólucro de um banco de dados SQL após a configuração da proteção.

Nota

A operação Configurar Proteção para bancos de dados com caracteres especiais, como {, '}, [, ], ,, =, -, (, ), ., +, &, ;, ', ou /, no seu nome não é compatível. Você pode alterar o nome do banco de dados ou habilitar a Proteção Automática, que pode proteger esses bancos de dados com êxito.

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo. Ele fornece uma interface para executar operações relacionadas ao backup. Essas operações incluem a realização de backups sob demanda, a execução de restaurações e a criação de políticas de backup.

Para criar um Cofre de Serviços de Recuperação:

1. Entre no portal do Azure.

2. Pesquise o Centro de Continuidade de Negócios e vá para o painel do Centro de Continuidade de Negócios .

   

3. No painel Vault, selecione + Vault.

   

4. Selecione Recovery Services vault>Continue.

   

5. No painel Cofre dos Serviços de Recuperação , insira os seguintes valores:

   • Assinatura: selecione a assinatura a ser usada. Se fores membro de apenas uma subscrição, verás esse nome. Se você não tiver certeza de qual assinatura usar, use a assinatura padrão. Várias opções aparecem somente se sua conta corporativa ou de estudante estiver associada a mais de uma assinatura do Azure.

   • Grupo de recursos: use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na sua subscrição, selecione Utilizar existente. Em seguida, selecione um recurso na lista suspensa. Para criar um novo grupo de recursos, selecione Criar novo e insira o nome. Para obter mais informações sobre grupos de recursos, consulte Visão geral do Azure Resource Manager.

   • Nome do cofre: insira um nome amigável para identificar o cofre. O nome tem de ser exclusivo para a subscrição do Azure. Especifique um nome com um mínimo de 2 carateres e um máximo de 50 carateres. O nome tem de começar com uma letra e ser composto apenas por letras, números e hífenes.

   • Região: Selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.

     Importante

     Se não tiver certeza da localização da fonte de dados, feche a janela. Aceda à lista dos seus recursos no portal. Se tiver origens de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada uma. Crie o cofre no primeiro local antes de criar um cofre em outro local. Não é necessário especificar contas de armazenamento para armazenar os dados de backup. O cofre dos Serviços de Recuperação e o Backup do Azure lidam com essa etapa automaticamente.

     

6. Depois de fornecer os valores, selecione Analisar + criar.

7. Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.

   Pode demorar algum tempo para criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Após a criação do cofre, aparece na lista de cofres dos Serviços de Recuperação. Se o cofre não aparecer, selecione Atualizar.

   

O Backup do Azure agora dá suporte a cofres imutáveis que ajudam a garantir que, após a criação de pontos de recuperação, eles não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para máxima proteção para proteger seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Saiba mais sobre os cofres imutáveis do Backup do Azure.

Descobrir bases de dados do SQL Server

Para descobrir bancos de dados em execução em uma VM, siga estas etapas:

1. No portal do Azure, vá para Centro de Continuidade de Negócios e, em seguida, + Configurar proteção.

2. No painel Configurar proteção , selecione Tipo de fonte de dados como SQL na VM do Azure e selecione Continuar.

   

3. No painel Iniciar: Configurar Backup , em Vault, clique em Selecionar vault.

4. No painel Selecionar um cofre , escolha o cofre dos Serviços de Recuperação criado na lista na qual deseja fazer backup do banco de dados e clique em Selecionar.

5. No painel Iniciar: Configurar Backup , selecione Continuar.

6. No painel Meta de Backup , em Descobrir DBs em VMs, selecione Iniciar Descoberta para procurar VMs desprotegidas na assinatura. Essa pesquisa pode demorar um pouco, dependendo do número de VMs desprotegidas na assinatura.

7. No painel Selecionar Máquina Virtual , selecione as VMs que executam o banco de dados do SQL Server e selecione Descobrir DBs.

   

   Nota

   • As VMs desprotegidas devem aparecer na lista após a deteção, listadas por nome e grupo de recursos.
   • ** Se uma VM não estiver listada como espera, verifique se já foi criado um backup num cofre de segurança.
   • Várias VMs podem ter o mesmo nome, mas pertencerão a grupos de recursos diferentes.

Você pode acompanhar a descoberta do banco de dados em Notificações. O tempo necessário para essa ação depende do número de bancos de dados VM. Quando as bases de dados selecionadas são detetadas, é apresentada uma mensagem de êxito.

O Azure Backup deteta todas as bases de dados do SQL Server na VM. Durante a descoberta, os seguintes elementos ocorrem em segundo plano:

• O Backup do Azure registra a VM no cofre para backup de carga de trabalho. É possível fazer backup de todos os bancos de dados na VM registrada somente neste cofre.

• O Azure Backup instala a extensão AzureBackupWindowsWorkload na VM. Nenhum agente está instalado em um banco de dados SQL.

• O Azure Backup cria a conta de serviço NT Service\AzureWLBackupPluginSvc na VM.

  • Todas as operações de cópia de segurança e restauro utilizam a conta de serviço.
  • O NT Service\AzureWLBackupPluginSvc requer permissões de administrador do sistema no SQL. Todas as VMs do SQL Server criadas no Marketplace vêm com o SqlIaaSExtension instalado. A extensão AzureBackupWindowsWorkload utiliza a SQLIaaSExtension para obter automaticamente as permissões necessárias.

• Se você não criou a VM do Marketplace ou se estiver no SQL 2008 e 2008 R2, a VM pode não ter o SqlIaaSExtension instalado e a operação de descoberta falhará com a mensagem de erro UserErrorSQLNoSysAdminMembership. Para corrigir esse problema, siga as instruções em Definir permissões de VM.

  

Configurar a cópia de segurança

Para configurar o backup do banco de dados SQL, siga estas etapas:

1. No painel Meta de Backup , em Etapa 2: Configurar Backup, selecione Configurar Backup.

   

2. Selecione Adicionar recursos para ver todos os grupos de disponibilidade registrados e instâncias autônomas do SQL Server.

   

3. Na tela Selecionar itens para backup , selecione a seta à esquerda de uma linha para expandir a lista de todos os bancos de dados desprotegidos nessa instância ou no grupo de disponibilidade Always On.

   

4. Escolha todos os bancos de dados que deseja proteger e selecione OK.

   

   Para otimizar as cargas da cópia de segurança, o Azure Backup define o número máximo de bases de dados numa tarefa de cópia de segurança como 50.

   • Para proteger mais de 50 bancos de dados, configure vários backups.

   • Para habilitar a instância inteira ou o grupo de disponibilidade Always On, na lista suspensa AUTOPROTECT, selecione ON e, em seguida, selecione OK.

     Nota

     O recurso de proteção automática não só permite a proteção em todos os bancos de dados existentes de uma só vez, mas também protege automaticamente quaisquer novos bancos de dados adicionados a essa instância ou ao grupo de disponibilidade.

5. Defina a política de backup. Pode optar por uma das seguintes opções:

   • Selecione a política padrão como HourlyLogBackup.

   • Escolha uma política de cópias de segurança existente criada anteriormente para SQL.

   • Defina uma nova política com base no RPO e no período de retenção.

     

6. Selecione Ativar Backup para enviar a operação Configurar Proteção e acompanhar o progresso da configuração na área Notificações do portal.

   

Criar uma política de cópias de segurança

Uma política de cópias de segurança define quando as cópias de segurança são feitas e por quanto tempo são retidas.

• Uma política é criada ao nível do cofre.
• Vários cofres podem utilizar a mesma política de backup, mas deve aplicar a política de backup a cada cofre.
• Por predefinição, quando cria uma política de cópias de segurança, é criada uma cópia de segurança completa diariamente.
• Pode adicionar uma cópia de segurança diferencial, mas apenas se configurar a realização de cópias de segurança completas semanalmente.
• Saiba mais sobre os diferentes tipos de políticas de backup.

Para criar uma política de cópias de segurança:

1. Vá para Centro de backup e clique em +Política.

2. Selecione SQL Server na VM do Azure como o tipo de fonte de dados, selecione o cofre sob o qual a política deve ser criada e clique em Continuar.

   

3. Em Nome da política, insira um nome para a nova política.

   

4. Selecione o link Editar correspondente ao backup completo para modificar as configurações padrão.

   • Selecione uma frequência de backup. Escolha Diário ou Semanal.
   • Em Diário, selecione a hora e o fuso horário quando o trabalho de backup começa. Não é possível criar cópias de segurança diferenciais para cópias de segurança diárias completas.

   

5. Em INTERVALO DE RETENÇÃO, todas as opções são selecionadas por padrão. Limpe os limites de intervalo de retenção que não deseja e, em seguida, defina os intervalos a serem utilizados.

   • O período mínimo de retenção para qualquer tipo de backup (completo, diferencial e log) é de sete dias.
   • Os pontos de recuperação são marcados para retenção com base no respetivo intervalo de retenção. Por exemplo, se você selecionar um backup completo diário, apenas um backup completo será acionado para cada dia.
   • A cópia de segurança para um dia específico é etiquetada e mantida com base no intervalo de retenção semanal e na configuração de retenção semanal.
   • Os intervalos de retenção mensais e anuais comportam-se de forma semelhante.

   

6. Selecione OK para aceitar a configuração para backups completos.

7. Selecione o link Editar correspondente ao Backup diferencial para modificar as configurações padrão.

   • Em Política de Backup Diferencial, selecione Habilitar para abrir os controles de frequência e retenção.
   • Você pode iniciar apenas um backup diferencial por dia. Um backup diferencial não pode ser acionado no mesmo dia que um backup completo.
   • As cópias de segurança diferenciais podem ser mantidas por até 180 dias.
   • O período de retenção de backup diferencial não pode ser maior do que o do backup completo (já que os backups diferenciais dependem dos backups completos para recuperação).
   • O Backup Diferencial não é suportado para o banco de dados mestre.

   

8. Selecione o link Editar correspondente ao Backup de log para modificar as configurações padrão

   • Em Backup de Log, selecione Habilitar e defina os controles de frequência e retenção.
   • Os backups de log podem ocorrer a cada 15 minutos e podem ser retidos por até 35 dias.
   • Se o banco de dados estiver no modelo de recuperação simples, o agendamento de backup de log para esse banco de dados será pausado e, portanto, nenhum backup de log será acionado.
   • Se o modelo de recuperação do banco de dados mudar de Completo para Simples, os backups de log serão pausados dentro de 24 horas após a alteração no modelo de recuperação. Da mesma forma, se o modelo de recuperação mudar de Simples, implicando que os backups de log agora podem ser suportados para o banco de dados, os agendamentos de backups de log serão habilitados dentro de 24 horas após a alteração no modelo de recuperação.

   

9. No menu Política de backup , escolha se deseja habilitar a compactação do Backup SQL ou não. Esta opção está desativada por padrão. Se habilitado, o SQL Server enviará um fluxo de backup compactado para a VDI. O Backup do Azure substitui os padrões de nível de instância pela cláusula COMPRESSION / NO_COMPRESSION, dependendo do valor desse controle.

10. Depois de concluir as edições na política de backup, selecione OK.

Nota

Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será mantido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que você tenha um backup completo semanal, diferencial diário e logs de 2 horas. Todos eles são retidos por 30 dias. Mas, o backup total semanal pode ser realmente apagado/excluído apenas depois que o próximo backup completo estiver disponível, ou seja, após 37 dias. Por exemplo, um backup completo semanal acontece em 16 de novembro. De acordo com a política de retenção, ele deve ser mantido até 16 de dezembro. O último backup de log para esta cópia completa ocorre antes da próxima cópia completa agendada, a 22 de novembro. Até que este log esteja disponível no dia 22 de dezembro, o log completo de 16 de novembro não pode ser excluído. Assim, o dia 16 de novembro completo fica retido até 22 de dezembro.

Ativar a proteção automática

Você pode habilitar a proteção automática para fazer backup automático de todos os bancos de dados existentes e futuros em uma instância autônoma do SQL Server ou em um grupo de disponibilidade Always On.

• Não há limite para o número de bancos de dados que você pode selecionar para proteção automática de cada vez. O Discovery normalmente é executado a cada oito horas. A proteção automática de um banco de dados recém-descoberto será acionada dentro de 32 horas. No entanto, você pode descobrir e proteger novos bancos de dados imediatamente se executar manualmente uma descoberta selecionando a opção Rediscover DBs .
• Se a operação de proteção automática no banco de dados recém-descoberto falhar, ela será repetida três vezes. Se todas as três tentativas falharem, o banco de dados não será protegido.
• Não é possível proteger ou excluir seletivamente bancos de dados da proteção em uma instância no momento em que você habilita a proteção automática.
• Se sua instância já incluir alguns bancos de dados protegidos, eles permanecerão protegidos sob suas respetivas políticas mesmo depois que você ativar a proteção automática. Todos os bancos de dados desprotegidos adicionados posteriormente terão apenas uma única política definida no momento da habilitação da proteção automática, listada em Configurar backup. No entanto, você pode alterar a política associada a um banco de dados protegido automaticamente posteriormente.
• Se a operação Configurar Proteção para o banco de dados recém-descoberto falhar, ela não disparará um alerta. No entanto, uma tarefa de backup falhada pode ser encontrada na página de Tarefas de backup.

Para ativar a proteção automática:

1. Em Itens para backup, selecione a instância para a qual você deseja habilitar a proteção automática.

2. Selecione a lista suspensa em AUTOPROTECT, escolha ON e, em seguida, selecione OK.

   

3. O backup é configurado para todos os bancos de dados juntos e pode ser rastreado em trabalhos de backup.

Se você precisar desabilitar a proteção automática, selecione o nome da instância em Configurar Backup e, em seguida, selecione Desabilitar Autoprotect para a instância. O backup de todos os bancos de dados continuará a ser feito, mas os bancos de dados futuros não serão protegidos automaticamente.

Próximos passos

Aprenda a:

• Restaurar bases de dados do SQL Server a partir de um backup
• Gerenciar bancos de dados SQL Server de backup

Conteúdo relacionado

• Faça backup de bancos de dados do SQL Server em VMs do Azure usando o Backup do Azure via API REST.
• Restaure bancos de dados do SQL Server em VMs do Azure com a API REST.
• Gerencie bancos de dados do SQL Server em VMs do Azure com o portal do Azure, CLI do Azure, API REST.