Säkerhetskopiera SAP HANA-databaser i virtuella Azure-datorer
Den här artikeln beskriver hur du säkerhetskopierar SAP HANA-databaser som körs på virtuella Azure-datorer till ett Azure Backup Recovery Services-valv.
SAP HANA-databaser är kritiska arbetsbelastningar som kräver ett lågt mål för återställningspunkter (RPO) och långsiktig kvarhållning. Du kan säkerhetskopiera SAP HANA-databaser som körs på virtuella Azure-datorer med hjälp av Azure Backup.
Kommentar
Mer information om konfigurationer och scenarier som stöds finns i supportmatrisen för SAP HANA-säkerhetskopiering.
Förutsättningar
Se förutsättningarna och avsnittet Vad förregistreringsskriptet gör för att konfigurera databasen för säkerhetskopiering.
Etablera nätverksanslutning
För alla åtgärder kräver en SAP HANA-databas som körs på en virtuell Azure-dator anslutning till Azure Backup-tjänsten, Azure Storage och Microsoft Entra-ID:t. Detta kan uppnås med hjälp av privata slutpunkter eller genom att tillåta åtkomst till nödvändiga offentliga IP-adresser eller FQDN:er. Om du inte tillåter korrekt anslutning till de nödvändiga Azure-tjänsterna kan det leda till fel i åtgärder som databasidentifiering, konfiguration av säkerhetskopiering, säkerhetskopiering och återställning av data.
I följande tabell visas de olika alternativ som du kan använda för att upprätta anslutningen:
Alternativ | Fördelar | Nackdelar |
---|---|---|
Privata slutpunkter | Tillåt säkerhetskopiering via privata IP-adresser i det virtuella nätverket Ge detaljerad kontroll på nätverks- och valvsidan |
Medför privata standardkostnader för slutpunkter |
NSG-tjänsttaggar | Enklare att hantera när intervalländringar sammanfogas automatiskt Inga ytterligare kostnader |
Kan endast användas med NSG:er Ger åtkomst till hela tjänsten |
FQDN-taggar för Azure Firewall | Enklare att hantera eftersom de nödvändiga FQDN:erna hanteras automatiskt | Kan endast användas med Azure Firewall |
Tillåt åtkomst till tjänst-FQDN/IP-adresser | Inga ytterligare kostnader. Fungerar med alla nätverkssäkerhetsinstallationer och brandväggar. Du kan också använda tjänstslutpunkter för Storage. För Azure Backup och Microsoft Entra-ID måste du dock tilldela åtkomsten till motsvarande IP-adresser/FQDN:er. |
En bred uppsättning IP-adresser eller FQDN:er kan behöva nås. |
Tjänstslutpunkt för virtuellt nätverk | Kan användas för Azure Storage. Ger stora fördelar för att optimera prestanda för dataplanstrafik. |
Det går inte att använda för Microsoft Entra-ID, Azure Backup-tjänsten. |
Virtuell nätverksinstallation | Kan användas för Azure Storage, Microsoft Entra ID, Azure Backup-tjänsten. Dataplan
Hanteringsplan
Läs mer om Tjänsttaggar för Azure Firewall. |
Lägger till omkostnader för dataplanstrafik och minskar dataflödet/prestandan. |
Mer information om hur du använder dessa alternativ delas nedan:
Privata slutpunkter
Med privata slutpunkter kan du ansluta säkert från servrar i ett virtuellt nätverk till Recovery Services-valvet. Den privata slutpunkten använder en IP-adress från VNET-adressutrymmet för valvet. Nätverkstrafiken mellan dina resurser i det virtuella nätverket och valvet överförs via ditt virtuella nätverk och en privat länk i Microsofts stamnätverk. Detta eliminerar exponering från det offentliga Internet. Läs mer om privata slutpunkter för Azure Backup här.
Kommentar
Privata slutpunkter stöds för Azure Backup och Azure Storage. Microsoft Entra-ID har stöd för privata slutpunkter i privat förhandsversion. Tills de är allmänt tillgängliga stöder Azure Backup konfiguration av proxy för Microsoft Entra-ID så att ingen utgående anslutning krävs för virtuella HANA-datorer. Mer information finns i avsnittet proxysupport.
NSG-taggar
Om du använder nätverkssäkerhetsgrupper (NSG) använder du azurebackup-tjänsttaggen för att tillåta utgående åtkomst till Azure Backup. Förutom Azure Backup-taggen måste du även tillåta anslutning för autentisering och dataöverföring genom att skapa liknande NSG-regler för Microsoft Entra ID (AzureActiveDirectory) och Azure Storage(Storage). Följande steg beskriver processen för att skapa en regel för Azure Backup-taggen:
I Alla tjänster går du till Nätverkssäkerhetsgrupper och väljer nätverkssäkerhetsgruppen.
Under Inställningar väljer du Utgående säkerhetsregler.
Välj Lägg till. Ange all information som krävs för att skapa en ny regel enligt beskrivningen i inställningar för säkerhetsregel. Kontrollera att alternativet Mål är inställt på Tjänsttagg och Måltjänsttagg är inställt på AzureBackup.
Välj Lägg till för att spara den nyss skapade utgående säkerhetsregeln.
På samma sätt kan du skapa utgående NSG-säkerhetsregler för Azure Storage och Microsoft Entra-ID. Mer information om tjänsttaggar finns i den här artikeln.
Azure Firewall-taggar
Om du använder Azure Firewall skapar du en programregel med hjälp av FQDN-taggen Azure Firewall i AzureBackup. Detta ger all utgående åtkomst till Azure Backup.
Kommentar
Azure Backup stöder för närvarande inte den TLS-inspektionsaktiverade programregeln i Azure Firewall.
Tillåt åtkomst till tjänstens IP-intervall
Om du väljer att tillåta åtkomst till tjänst-IP-adresser läser du IP-intervallen i JSON-filen som är tillgänglig här. Du måste tillåta åtkomst till IP-adresser som motsvarar Azure Backup, Azure Storage och Microsoft Entra ID.
Tillåt åtkomst till tjänstens fullständiga domännamn
Du kan också använda följande FQDN för att tillåta åtkomst till de tjänster som krävs från dina servrar:
Tjänst | Domännamn som ska nås | Hamnar |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Tillåt åtkomst till fullständiga domännamn i avsnitten 56 och 59 enligt följande artikel |
443 I förekommande fall |
Använd en HTTP-proxyserver för att dirigera trafik
Kommentar
För närvarande stöder vi endast HTTP-proxy för Microsoft Entra-trafik för SAP HANA. Om du behöver ta bort utgående anslutningskrav (för Azure Backup och Azure Storage-trafik) för databassäkerhetskopior via Azure Backup på virtuella HANA-datorer använder du andra alternativ, till exempel privata slutpunkter.
Använda en HTTP-proxyserver för Microsoft Entra-trafik
Gå till mappen "opt/msawb/bin"
Skapa en ny JSON-fil med namnet "ExtensionSettingsOverrides.json"
Lägg till ett nyckel/värde-par i JSON-filen på följande sätt:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }
Ändra behörigheter och ägarskap för filen enligt följande:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
Ingen omstart av någon tjänst krävs. Azure Backup-tjänsten försöker dirigera Microsoft Entra-trafiken via proxyservern som nämns i JSON-filen.
Använda regler för utgående trafik
Om brandväggs- eller NSG-inställningarna blockerar domänen från den “management.azure.com”
virtuella Azure-datorn misslyckas säkerhetskopieringar av ögonblicksbilder.
Skapa följande regel för utgående trafik och tillåt att domännamnet säkerhetskopierar databasen. Lär dig hur du skapar regler för utgående trafik.
- Källa: DEN virtuella datorns IP-adress.
- Mål: Tjänsttagg.
- Måltjänsttagg:
AzureResourceManager
Skapa ett Recovery Services-valv
Ett Recovery Services-valv är en hanteringsentitet som lagrar återställningspunkter som skapas över tid och som tillhandahåller ett gränssnitt för att utföra säkerhetskopieringsrelaterade åtgärder. Dessa åtgärder omfattar att göra säkerhetskopieringar på begäran, utföra återställningar och skapa säkerhetskopieringsprinciper.
Så här skapar du ett Recovery Services-valv:
Logga in på Azure-portalen.
Sök efter Säkerhetskopieringscenter och gå sedan till instrumentpanelen i säkerhetskopieringscentret.
I fönstret Översikt väljer du Valv.
Välj Recovery Services-valvet>Fortsätt.
I fönstret Recovery Services-valv anger du följande värden:
Prenumeration: Välj den prenumeration som du vill använda. Om du bara är medlem i en prenumeration ser du det namnet. Om du inte är säker på vilken prenumeration du ska använda använder du standardprenumerationen. Du kan bara välja mellan flera alternativ om ditt arbets- eller skolkonto är associerat med mer än en Azure-prenumeration.
Resursgrupp: Använd en befintlig resursgrupp eller skapa en ny. Om du vill visa en lista över tillgängliga resursgrupper i din prenumeration väljer du Använd befintlig och väljer sedan en resurs i listrutan. Om du vill skapa en ny resursgrupp väljer du Skapa ny och anger sedan namnet. Mer information om resursgrupper finns i Översikt över Azure Resource Manager.
Valvnamn: Ange ett eget namn för att identifiera valvet. Namnet måste vara unikt för Azure-prenumerationen. Ange ett namn som innehåller minst 2 tecken, men inte fler än 50. Namnet måste börja med en bokstav och får endast innehålla bokstäver, siffror och bindestreck.
Region: Välj den geografiska regionen för valvet. För att du ska kunna skapa ett valv för att skydda alla datakällor måste valvet finnas i samma region som datakällan.
Viktigt!
Om du inte är säker på platsen för datakällan stänger du fönstret. Gå till listan med resurser i portalen. Om du har datakällor i flera regioner, skapar du ett Recovery Services-valv i varje region. Skapa valvet på den första platsen innan du skapar ett valv på en annan plats. Du behöver inte ange lagringskonton för att lagra säkerhetskopieringsdata. Recovery Services-valvet och Azure Backup hanterar detta automatiskt.
När du har angett värdena väljer du Granska och skapa.
Välj Skapa för att slutföra skapandet av Recovery Services-valvet.
Det kan ta en stund innan Recovery Services-valvet har skapats. Övervaka statusmeddelandena i området Meddelanden uppe till höger. När valvet har skapats visas det i listan över Recovery Services-valv. Om valvet inte visas väljer du Uppdatera.
Kommentar
Azure Backup stöder nu oföränderliga valv som hjälper dig att se till att återställningspunkter när de har skapats inte kan tas bort innan de upphör att gälla enligt säkerhetskopieringsprincipen. Du kan göra oföränderligheten oåterkallelig för maximalt skydd mot dina säkerhetskopierade data från olika hot, inklusive utpressningstrojanattacker och skadliga aktörer. Läs mer.
Aktivera återställning mellan regioner
I Recovery Services-valvet kan du aktivera återställning mellan regioner. Lär dig hur du aktiverar återställning mellan regioner.
Läs mer om återställning mellan regioner.
Identifiera databaserna
I Azure Portal går du till Säkerhetskopieringscenter och väljer +Säkerhetskopiering.
Välj SAP HANA på en virtuell Azure-dator som datakällatyp, välj ett Recovery Services-valv som ska användas för säkerhetskopiering och välj sedan Fortsätt.
Välj Starta identifiering. Detta initierar identifiering av oskyddade virtuella Linux-datorer i valvregionen.
- Efter identifieringen visas oskyddade virtuella datorer i portalen, listade efter namn och resursgrupp.
- Om en virtuell dator inte visas som förväntat kontrollerar du om den redan har säkerhetskopierats i ett valv.
- Flera virtuella datorer kan ha samma namn, men de tillhör olika resursgrupper.
I Välj virtuella datorer väljer du länken för att ladda ned skriptet som ger behörighet för Azure Backup-tjänsten att komma åt de virtuella SAP HANA-datorerna för databasidentifiering.
Kör skriptet på varje virtuell dator som är värd för SAP HANA-databaser som du vill säkerhetskopiera.
När du har kört skriptet på de virtuella datorerna går du till Välj virtuella datorer och väljer de virtuella datorerna. Välj sedan Identifiera databaser.
Azure Backup identifierar alla SAP HANA-databaser på den virtuella datorn. Under identifieringen registrerar Azure Backup den virtuella datorn med valvet och installerar ett tillägg på den virtuella datorn. Ingen agent är installerad på databasen.
Konfigurera säkerhetskopiering
Aktivera nu säkerhetskopiering.
I steg 2 väljer du Konfigurera säkerhetskopiering.
I Välj objekt att säkerhetskopiera väljer du alla databaser som du vill skydda >OK.
I Säkerhetskopieringsprincip>Välj säkerhetskopieringsprincip skapar du en ny säkerhetskopieringsprincip för databaserna i enlighet med anvisningarna nedan.
När du har skapat principen går du till menyn Säkerhetskopiering och väljer Aktivera säkerhetskopiering.
Spåra säkerhetskopieringskonfigurationens förlopp i området Meddelanden i portalen.
Skapa en säkerhetskopieringspolicy
En säkerhetskopieringsprincip definierar när säkerhetskopieringar tas och hur länge de behålls.
- En policy skapas på valvnivå.
- Flera valv kan använda samma säkerhetskopieringspolicy, men du måste tillämpa säkerhetskopieringspolicyn på varje valv.
Kommentar
Azure Backup justeras inte automatiskt för ändringar i sommartid när du säkerhetskopierar en SAP HANA-databas som körs på en virtuell Azure-dator.
Ändra principen manuellt efter behov.
Ange principinställningarna på följande sätt:
I Policynamn anger du ett namn för den nya policyn.
I Policy för fullständig säkerhetskopia väljer du en Säkerhetskopieringsfrekvens och väljer Dagligen eller Varje vecka.
- Dagligen: Välj den timme och tidszon där säkerhetskopieringsjobbet börjar.
- Du måste köra en fullständig säkerhetskopia. Du kan inte inaktivera det här alternativet.
- Klicka på Fullständig säkerhetskopia för att se principen.
- Du kan inte skapa differentiella säkerhetskopior för dagliga fullständiga säkerhetskopior.
- Varje vecka: Välj den veckodag, timme och tidszon där säkerhetskopieringsjobbet körs.
- Dagligen: Välj den timme och tidszon där säkerhetskopieringsjobbet börjar.
I Kvarhållningsintervall konfigurerar du kvarhållningsinställningar för den fullständiga säkerhetskopieringen.
- Som standard är alla alternativ markerade. Rensa alla begränsningar för kvarhållningsintervall som du inte vill använda och ange de som du gör.
- Den minsta kvarhållningsperioden för alla typer av säkerhetskopior (fullständig/differentiell/logg) är sju dagar.
- Återställningspunkter taggas för kvarhållning baserat på deras kvarhållningsintervall. Om du till exempel väljer en daglig fullständig säkerhetskopia utlöses endast en fullständig säkerhetskopia varje dag.
- Säkerhetskopieringen för en viss dag taggas och behålls baserat på det veckovisa kvarhållningsintervallet och inställningen.
- De månatliga och årliga kvarhållningsintervallen fungerar på liknande sätt.
På menyn Policy för fullständig säkerhetskopia väljer du OK för att acceptera inställningarna.
Välj Differentiell säkerhetskopiering för att lägga till en differentiell princip.
I Policy för differentiell säkerhetskopia väljer du Aktivera för att öppna kontrollerna för frekvens och kvarhållning.
- Du kan endast utlösa en differentiell säkerhetskopia per dag.
- Differentiella säkerhetskopior kan behållas i upp till 180 dagar. Om du behöver längre kvarhållning måste du använda fullständiga säkerhetskopior.
Kommentar
Du kan välja antingen en differentiell eller en inkrementell som en daglig säkerhetskopia, men inte båda.
I Inkrementell säkerhetskopieringsprincip väljer du Aktivera för att öppna kontrollerna för frekvens och kvarhållning.
- Som mest kan du utlösa en inkrementell säkerhetskopiering per dag.
- Inkrementella säkerhetskopior kan behållas i högst 180 dagar. Om du behöver längre kvarhållning måste du använda fullständiga säkerhetskopior.
Välj OK för att spara policyn och återgå till huvudmenyn Säkerhetskopieringspolicy.
Välj Loggsäkerhetskopiering för att lägga till en princip för säkerhetskopiering av transaktionsloggar.
- I Loggsäkerhetskopiering väljer du Aktivera. Detta kan inte inaktiveras eftersom SAP HANA hanterar alla loggsäkerhetskopior.
- Ange frekvens- och kvarhållningskontroller.
Kommentar
Loggsäkerhetskopior börjar bara flöda när en fullständig säkerhetskopia har slutförts.
Välj OK för att spara policyn och återgå till huvudmenyn Säkerhetskopieringspolicy.
När du har definierat säkerhetskopieringsprincipen väljer du OK.
Kommentar
Varje loggsäkerhetskopia är länkad till den tidigare fullständiga säkerhetskopian för att skapa en återställningskedja. Den här fullständiga säkerhetskopian behålls tills kvarhållningen av den senaste loggsäkerhetskopian har upphört att gälla. Det kan innebära att den fullständiga säkerhetskopian behålls under en extra period för att se till att alla loggar kan återställas. Anta att en användare har en fullständig säkerhetskopia varje vecka, dagliga differentiella loggar och 2-timmarsloggar. Alla behålls i 30 dagar. Men varje vecka full kan verkligen rensas upp / tas bort först efter nästa fullständiga säkerhetskopiering är tillgänglig, det villa, efter 30 + 7 dagar. Till exempel sker en veckovis fullständig säkerhetskopiering den 16 november. Enligt kvarhållningsprincipen bör den behållas fram till den 16 december. Den sista loggsäkerhetskopian för den här fullständiga inträffar innan nästa schemalagda fullständiga, den 22 november. Förrän den här loggen är tillgänglig förrän den 22 december kan den 16 november inte tas bort. Så den 16 november är full behålls fram till 22 dec.
Köra en säkerhetskopiering på begäran
Säkerhetskopieringar körs i enlighet med principschemat. Lär dig hur du kör en säkerhetskopiering på begäran.
Köra säkerhetskopiering av SAP HANA-inbyggda klienter på en databas med Azure Backup
Du kan köra en säkerhetskopiering på begäran med hjälp av SAP HANA-interna klienter till det lokala filsystemet i stället för Backint. Läs mer om hur du hanterar åtgärder med hjälp av SAP-interna klienter.
Konfigurera säkerhetskopiering av data med flera överordnade data för högre dataflöde med hjälp av Backint
Information om hur du konfigurerar säkerhetskopiering av data med flera överordnade data finns i SAP-dokumentationen.
Lär dig mer om scenarier som stöds.
Granska säkerhetskopieringsstatus
Azure Backup synkroniserar regelbundet datakällan mellan tillägget som är installerat på den virtuella datorn och Azure Backup-tjänsten och visar säkerhetskopieringsstatusen i Azure Portal. I följande tabell visas säkerhetskopieringsstatusen (fyra) för en datakälla:
Säkerhetskopieringstillstånd | beskrivning |
---|---|
Frisk | Den senaste säkerhetskopieringen lyckades. |
Ohälsosam | Den senaste säkerhetskopieringen misslyckades. |
NotReachable | För närvarande sker ingen synkronisering mellan tillägget på den virtuella datorn och Azure Backup-tjänsten. |
IRPending | Den första säkerhetskopieringen på datakällan har inte inträffat ännu. |
Vanligtvis sker synkronisering varje timme. Men på tilläggsnivå avsöker Azure Backup var 5:e minut för att söka efter ändringar i statusen för den senaste säkerhetskopieringen jämfört med den tidigare. Om den tidigare säkerhetskopieringen lyckades men den senaste säkerhetskopieringen misslyckades synkroniserar Azure Backup den informationen till tjänsten för att uppdatera säkerhetskopieringsstatusen i Azure Portal i enlighet med Felfri eller Inte felfri.
Om ingen datasynkronisering sker i Azure Backup-tjänsten på mer än 2 timmar visar Azure Backup säkerhetskopieringsstatusen notReachable. Det här scenariot kan inträffa om den virtuella datorn stängs av under en längre period eller om det finns ett problem med nätverksanslutningen på den virtuella datorn, vilket gör att synkroniseringen upphör. När den virtuella datorn är i drift igen och tilläggstjänsterna startas om återupptas datasynkroniseringsåtgärden till tjänsten och säkerhetskopieringsstatusen ändras till Felfri eller Inte felfri baserat på statusen för den senaste säkerhetskopieringen.