本教學說明如何利用 Resiliency 備份運行於 Azure 虛擬機(VM)上的 SAP Adaptive Server Enterprise(ASE)(Sybase)資料庫。
了解在 Azure VM 上 SAP ASE 資料庫備份的受支援組態和案例。
先決條件
在設定 SAP ASE 資料庫以進行備份之前,請先檢閱下列必要條件:
在與執行 SAP ASE 的 VM 相同的區域和訂用帳戶中識別或建立復原服務保存庫。
允許從 VM 連線到網際網路,以便其能夠存取 Azure。
SAP ASE 伺服器 VM 名稱和資源組名的總長度必須在 Azure Resource Manager (ARM) VM 中為 <= 84 個字元(在傳統 VM 中為 77 個字元),因為服務會保留一些字元。
VM 必須安裝 python >= 3.6.15 (建議 - Python3.10), 並已安裝要求模組。 默認 sudo python3 必須執行 python 3.6.15 或更高版本。 在系統中執行 python3 和 sudo python3 以檢查 Python 版本來驗證。 若要變更預設版本,請將 python3 連結至 python 3.6.15 或更高版本。
在裝載 SAP ASE 資料庫的虛擬機中執行 SAP ASE 備份組態腳本(預先註冊腳本)。 此指令碼可讓 ASE 系統做好備份準備。
為備份作業指派以下權限和設定:
權限/設定 說明 操作員角色 為資料庫使用者啟用此 ASE 資料庫角色,以便為備份和還原作業建立自訂資料庫使用者,並在預先註冊指令碼中傳入該使用者。 Map external file 權限 啟用此角色以允許資料庫檔案存取。 Own any database 權限 允許差異備份。 資料庫的允許增量傾印應為 True。 Trunc log on chkpt 權限 針對您想要使用 ASE 備份保護的所有資料庫停用此權限。 可讓您將資料庫記錄備份至復原服務保存庫。 了解更多關於 SAP note - 2921874 - "trunc log on chkpt" in databases with HADR - SAP ASE - SAP for Me。備註
Master 資料庫不支援記錄備份。 對於其他系統資料庫,只有在資料庫的記錄檔與其資料檔分開儲存時,才能支援記錄備份。 預設情況下,系統資料庫會將資料檔與記錄檔建立在同一個資料庫裝置上,這會導致無法進行記錄備份。 若要啟用記錄備份,資料庫管理員必須將記錄檔的位置變更為不同的裝置。
使用 Azure 內建角色來設定備份 — 將角色與作用範圍指派給資源。 下列參與者角色可讓您在資料庫 VM 上執行設定 保護 作業:
資源 (存取控制) 角色 使用者、群組或服務主體 執行 ASE 資料庫的來源 Azure VM 虛擬機貢獻者 可讓您設定備份作業。
建立 Azure 備份的自訂角色
若要建立 Azure 備份的自訂角色,請執行下列 bash 命令:
備註
在這些每一個命令之後,確保執行 go 命令以執行該陳述式。
使用單一登錄 (SSO) 角色使用者登入資料庫。
isql -U sapsso -P <password> -S <sid> -X建立角色。
create role azurebackup_role將操作員角色授與給新的角色。
grant role oper_role to azurebackup_role啟用細微的權限。
sp_configure 'enable granular permissions', 1使用
SA角色使用者登入資料庫。isql -U sapsa -P <password> -S <sid> -X切換至 master 資料庫。
use master將 map external file 權限授與給新的角色。
grant map external file to azurebackup_role使用 SSO 角色使用者身分再次登入。
isql -U sapsso -P <password> -S <sid> -X建立一個使用者。
sp_addlogin backupuser, <password>將自訂角色授與給該使用者。
grant role azurebackup_role to backupuser將自訂角色設為該使用者的預設角色。
sp_modifylogin backupuser, "add default role", azurebackup_role以 SA 使用者身分,將 own any database 權限授與給自訂角色。
grant own any database to azurebackup_role再次以 SA 使用者身分登入資料庫。
isql -U sapsa -P <password> -S <sid> -X啟用檔案存取。
sp_configure "enable file access", 1在資料庫上啟用差異備份。
use master go sp_dboption <database_name>, 'allow incremental dumps', true go在資料庫上停用 trunc log on chkpt。
use master go sp_dboption <database_name>, 'trunc log on chkpt', false go
建立網路連線
進行所有作業時,在 Azure VM 上執行的 SAP ASE 資料庫都需要連線到 Azure 備份服務、Azure 儲存體和 Microsoft Entra ID。 您可以使用私有端點或允許存取所需的公用IP位址或完整域名 FQDN 來達成此連線。 如果您不允許適當的 Azure 服務連線,可能會導致作業失敗,例如資料庫探索、設定備份、執行備份和還原數據。
下表列出可用來建立連線的各種替代方案:
| 選項 | 優點 | 缺點 |
|---|---|---|
| 私人終端節點 | 允許透過虛擬網路中的私人 IP 進行備份。 在網路和保存庫端提供細微的控制。 |
會產生標準私人端點的費用。 |
| 網路安全性群組 (NSG) 服務標籤 | 由於範圍變更會自動合併,因此更易於管理。 不需額外費用。 |
僅搭配 NSG 使用。 提供整個服務的存取權。 |
| Azure 防火牆 FQDN 標籤 | 由於必要的 FQDN 是自動受管理的,因此更易於管理。 | 僅搭配 Azure 防火牆使用。 |
| 允許存取服務 FQDN/IP | 不需額外費用。 適用於所有網路安全性應用裝置和防火牆。 您也可以使用儲存體的服務端點。 不過,針對 Azure 備份和 Microsoft Entra ID,您必須將存取權指派給相對應的 IP/FQDN。 |
可能需要存取一組廣泛的 IP 或 FQDN。 |
| 虛擬網路服務端點 | 用於 Azure 儲存體。 提供可將資料平面流量效能最佳化的重大優點。 |
無法用於 Microsoft Entra ID、Azure 備份服務。 |
| 網路虛擬設備 | 用於 Azure 儲存體、Microsoft Entra ID、Azure 備份服務。 資料平面 - Azure 儲存體: *.blob.core.windows.net、*.queue.core.windows.net、*.blob.storage.azure.net 管理平面 - Microsoft Entra ID:允許存取 Microsoft 365 Common 與 Office Online 第 56 和 59 區段中所述的 FQDN。 - Azure 備份服務: .backup.windowsazure.com 深入了解 Azure 防火牆服務標籤。 |
增加資料平面流量的額外負荷,並降低輸送量/效能。 |
下列各節詳細說明連線選項的使用方式。
私人終端節點
私人端點可讓您從虛擬網路中的伺服器安全地連線到您的復原服務保存庫。 私人端點會針對您的保存庫使用虛擬網路 (VNET) 位址空間中的 IP。 您在虛擬網路中的資源與保存庫之間的網路流量,會透過您的虛擬網路和 Microsoft 骨幹網路上的私人連結來傳輸。 這項作業可排除來自公用因特網的暴露。 深入了解 Azure 備份的私人端點。
備註
- Azure 備份和 Azure 儲存體支援私人端點。 Microsoft Entra 標識碼支援私人端點。 在正式推出之前,Azure 備份支援為 Microsoft Entra ID 設定 Proxy,這樣 ASE VM 就不需要輸出連線。 如需詳細資訊,請參閱 Proxy 支援一節。
- SAP ASE 預先註冊指令碼 (ASE 工作負載指令碼) 的下載作業需要網際網路存取。 不過,在已啟用私人端點 (PE) 的 VM 上,預先註冊指令碼無法直接下載這些工作負載指令碼。 因此,有必要在本機 VM 或另一台可以存取網際網路的 VM 上下載指令碼,然後使用 SCP 或任何其他傳輸方法將其移至已啟用 PE 的 VM。
網路安全性群組標籤
如果您使用網路安全性群組 (NSG),請使用 AzureBackup 服務標籤,以允許對 Azure 備份進行輸出存取。 除了 Azure 備份標籤之外,您還必須透過為 Microsoft Entra ID 和 Azure 儲存體 (儲存體) 建立類似的 NSG 規則,以允許用於驗證和資料傳輸的連線。
若要建立 Azure 備份標記的規則,請遵循下列步驟:
- 在 [Azure 入口網站] 中,移至 [網路安全性群組],然後選取 [網路安全性群組]。
- 在 [ 設定] 窗格中,選取 [ 輸出安全性規則]。
- 選取 ,然後新增。
- 輸入建立新規則所需的所有詳細資料。 確定將 [目的地] 設定為 [服務標籤],並將 [目的地服務標籤] 設定為
AzureBackup。 - 選取 [新增] 以儲存新建立的輸出安全性規則。
同樣地,您也可以建立 Azure 儲存體和 Microsoft Entra ID 的 NSG 輸出安全性規則。 深入瞭解 服務標籤。
Azure 防火牆標籤
如果您使用 Azure 防火牆,請使用 AzureBackup Azure 防火牆 FQDN 標籤來建立應用程式規則。 此規則允許對 Azure 備份進行的所有輸出存取。
備註
Azure 備份目前不支援 Azure 防火牆上已啟用 TLS 檢查的應用程式規則。
允許存取服務 IP 範圍
如果您選擇允許存取服務 IP,請參閱 JSON 檔案中的 IP 範圍。 您必須允許存取對應至 Azure 備份、Azure 儲存體 和 Microsoft Entra ID 的 IP。
允許存取服務 FQDN
您也可以使用下列 FQDN 來允許從伺服器存取所需的服務:
| 服務 | 要存取的網域名稱 | 港口 |
|---|---|---|
| Azure 備份 | *.backup.windowsazure.com |
443 |
| Azure 儲存體 | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 依據這篇文章,允許存取 56 和 59 小節下的 FQDN。 |
443 依適用情況。 |
使用 HTTP Proxy 伺服器以路由流量
備註
目前,SAP ASE 資料庫僅支援適用於 Microsoft Entra ID 流量的 HTTP Proxy。 如果您需要透過 ASE VM 中的 Azure 備份,移除資料庫備份的輸出連線需求 (Azure 備份和 Azure 儲存體流量),請使用其他方法,例如,私人端點。
對 Microsoft Entra ID 流量使用 HTTP Proxy 伺服器
若要使用 HTTP Proxy 伺服器來路由傳送 Microsoft Entra ID 的流量,請遵循下列步驟:
在資料庫中,移至
opt/msawb/bin資料夾。建立名為
ExtensionSettingsOverrides.json的新 JSON 檔案。將機碼值組新增至 JSON 檔案,如下所示:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }變更檔案的存取權限和擁有權,如下所示:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
備註
不需要重新啟動任何服務。 Azure 備份服務會嘗試透過 JSON 檔案中所述的 Proxy 伺服器路由傳送 Microsoft Entra ID 流量。
使用輸出規則
如果 防火牆 或 NSG 設定封鎖來自 Azure 虛擬機的 management.azure.com 網域,快照集備份就會失敗。
建立下列輸出規則,並允許網域名稱備份資料庫。 了解如何建立輸出規則。
來源:VM 的 IP 位址。
目的地服務標籤。
目的地服務標籤:
AzureResourceManager
建立復原服務保存庫
復原服務保管庫是管理實體,用於儲存隨時間建立的復原點。 它提供了一個介面來執行備份相關操作。 這些作業包括製作隨選備份、執行還原,以及建立備份原則。
若要建立復原服務保存庫:
登入 Azure 入口網站。
搜尋 「韌性」,然後進入 韌性 儀表板。
在 [保存庫 ] 窗格中,選取 [+ 保存庫]。
選取 [復原服務保存庫]>[繼續]。
![此螢幕快照顯示在何處選取 [復原服務] (Recovery Services) 作為保存庫類型。](../includes/media/backup-create-rs-vault/backup-center-select-recovery-services-vault.png)
在 [復原服務保存庫] 窗格中,輸入下列值:
訂用帳戶:選取要使用的訂用帳戶。 如果您是唯一一個訂用帳戶的成員,就會看到該名稱。 如果您不確定要使用哪個訂用帳戶,請使用預設的訂用帳戶。 只有在您的公司或學校帳戶與多個 Azure 訂用帳戶相關聯時,才會出現多個選擇。
資源群組:使用現有的資源群組或建立新的資源群組。 若要檢視訂用帳戶中可用資源群組的清單,請選取 [使用現有]。 然後在下拉式清單中選取資源。 若要建立新的資源群組,請選取 [新建],然後輸入名稱。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀。
保存庫名稱:輸入易記名稱以識別保存庫。 這個名稱對 Azure 訂用帳戶必須是唯一的。 指定的名稱至少要有 2 個字元,但不能超過 50 個字元。 名稱開頭必須是字母,且只能包含字母、數字和連字號。
區域:選取保存庫的地理區域。 若要建立保存庫以協助保護任何數據源,保存庫 必須 位於與數據源相同的區域中。
這很重要
如果不確定資料來源的位置,請關閉視窗。 在入口網站中,移至您的資源清單。 如果您在多個區域中有資料來源,請為每個區域建立一個復原服務保存庫。 先在第一個位置建立保存庫,然後再於另一個位置建立保存庫。 您不需要指定儲存體帳戶來儲存備份資料。 復原服務保存庫和 Azure 備份會自動處理該步驟。
提供值之後,請選取 [檢閱 + 建立]。
若要完成建立復原服務保存庫,請選取 [建立]。
建立復原服務保存庫可能需要一點時間。 監視右上角 [通知] 區域中的狀態通知。 保存庫建立之後,就會出現在復原服務保存庫的清單中。 如果保存庫未出現,請選取 [重新整理]。
Azure 備份現在支援不可變保存庫,可協助您確保在建立復原點之後,無法根據備份原則在到期之前刪除它們。 您可以使不變性不可逆轉,以獲得最大程度的保護,以保護您的備份資料免受各種威脅,包括勒索軟體攻擊和惡意行為者。 深入瞭解 Azure 備份不可變保存庫。
啟用跨區域還原
在復原服務保存庫中,您可以啟用 跨區域還原 ,讓您將資料庫還原至次要區域。 了解如何開啟跨區域還原。
探索 SAP ASE 資料庫
若要探索 SAP ASE 資料庫,請遵循下列步驟:
前往韌性選項,然後選擇+ 配置保護。
在 [ 設定保護 ] 窗格中,選取 [以Azure 管理的資源]、Azure VM 中的 [數據源類型 ] 作為 SAP ASE (Sybase),以及 [ 解決方案 ] 作為 [Azure 備份]。
選取繼續。
在 [ 開始:設定備份] 窗格的 [ 保存庫] 底下,按兩下 [ 選取保存庫]。
在 [ 選取保存庫] 窗格的 [ 依名稱篩選] 底下,輸入裝載 SAP ASE 資料庫的保存庫名稱。
從清單中選取保存庫,然後按一下 [選取]。
在 [ 開始:設定備份] 窗格中,選取 [ 繼續]。
在 [ 備份目標] 窗格中,選取 [ 開始探索 ] 以起始在保存庫區域中未受保護的Linux VM 探索。
備註
- 進行探索之後,未受保護的 VM 會出現在入口網站中,並依照名稱和資源群組列出。
- 如果 VM 未如預期列出,請檢查該 VM 是否已備份在保存庫中。
- 如果多個 VM 屬於不同的資源群組,可以有相同的名稱。
在 [ 選取虛擬機 ] 窗格中,下載提供 Azure 備份服務許可權的前置發行腳本,以存取 SAP ASE VM 以進行資料庫探索。
在每個裝載 SAP ASE 資料庫以進行備份的 VM 上執行指令碼。
在 VM 上執行文稿之後,請在 [ 選取虛擬機 ] 窗格上選取 VM,然後選取 [ 探索 DB]。
Azure 備份會探索 VM 上的所有 SAP ASE 資料庫。 在探索期間,Azure 備份會向保存庫註冊 VM,並在 VM 上安裝延伸模組。 資料庫上不會安裝代理程式。
設定 SAP ASE (Sybase) 資料庫備份
資料庫探索程式完成之後,Azure 備份會重新導向至 [ 備份目標 ] 窗格,讓您為裝載 SAP ASE 資料庫的所選 VM 設定備份設定。
若要設定 SAP ASE 資料庫的備份作業,請遵循下列步驟:
在 [ 備份目標] 窗格的 [步驟 2] 底下,選取 [ 設定備份]。
在 [ 設定備份 ] 窗格的 [ 備份原則 ] 標籤中,於 [ 備份原則 ] 之下,選取 [ 建立資料庫的新原則 ]。
備份原則會定義備份的進行時間和備份的保留時間長度。
- 原則會建立於保存庫層級上。
- 多個保存庫可以使用相同的備份原則,但您必須將備份原則套用至每個保存庫。
在 [ 建立原則] 窗格的 [ 原則名稱] 底下,輸入新原則的名稱。
在 [完整備份] 底下,選取 [編輯]。
在 [ 完整備份原則 ] 窗格中,選取 [備份頻率],然後視需要選取 [ 每日 ] 或 [ 每周 ]。
每日:選取備份作業開始的小時和時區。
備註
- 您必須執行完整備份。 您無法關閉此選項。
- 移至 [完整備份原則] 以檢視原則設定。
- 您無法為每日完整備份建立差異備份。
每週:選取備份作業執行的星期幾、小時和時區。
下列螢幕擷取畫面顯示完整備份的備份排程。
在 [保留範圍] 上,定義完整備份的保留範圍。
備註
- 依預設會選取所有選項。 請清除您不想要使用的任何保留範圍限制,並設定您想要使用的那些限制。
- 所有備份類型 (完整/差異/記錄) 的最小保留期間皆為七天。
- 復原點會根據其保留範圍標記為保留。 例如,如果您選取每日完整備份,每天只會觸發一次完整備份。
- 系統會根據每週保留範圍和設定,標記和保留特定日期的備份。
- 每月和每年保留範圍會以類似方式運作。
選取 [確定 ] 以儲存原則設定。
在 [ 建立原則] 窗格的 [ 差異備份] 底下,選取 [ 編輯 ] 以新增差異原則。
在 [ 差異備份原則 ] 窗格中,選取 [ 啟用 ] 以開啟頻率和保留控件。
備註
- 您每天最多可以觸發一次差異備份。
- 差異備份最多可以保留 180 天。 如果您需要保留更久,則必須使用完整備份。
選取 [確定 ] 以儲存原則設定。
在 [ 備份原則] 窗格的 [ 記錄備份] 底下,選取 [ 編輯 ] 以新增事務歷史記錄備份原則。
在 [ 記錄備份原則] 窗格中,選取 [ 啟用 ] 以設定頻率和保留控件。
備註
- 只有在順利完成一個完整備份後,記錄備份才會開始運作。
- 每個記錄備份都會連結到先前的完整備份,以形成復原鏈結。 系統會保留此完整備份,直到最後一個記錄備份的保留期到期為止。 這可能表示完整備份會保留一段額外的時間,以確保可以復原所有記錄。 假設使用者每週進行完整備份、每日進行差異備份,並每2小時記錄一次日誌。 所有這些項目都會保留 30 天。 但每周完整備份只能在下一次完整備份可用之後清除/刪除,也就是 30 + 7 天后。 例如,如果在 11 月 16 日執行每周完整備份,則會根據保留原則將它儲存到 12 月 16 日為止。 此完整備份的最後一次記錄備份會在 11 月 22 日,在下次排定的完整備份之前進行。 由於此記錄備份仍可存取到 12 月 22 日,因此在該日期之前,無法刪除第 11 月 16 日的完整備份。 因此,11 月 16 日的完整備份會保留到 12 月 22 日。
選取 [確定 ] 以儲存記錄備份原則設定。
在 [ 建立原則] 窗格中,選取 [確定 ] 以完成備份原則建立。
在 [ 設定備份] 窗格的 [ 備份原則 ] 索引卷標的 [ 備份原則] 底下,從下拉式清單中選取新的原則,然後選取 [ 新增]。
選取 [設定備份]。
在 [ 選取要備份的專案 ] 窗格中,選取 [要保護的資料庫],然後選取 [ 下一步]。
在 [ 設定備份] 窗格的 [ 檢閱] 索引卷標上,檢閱備份組態。
選取 [啟用備份] 以啟動備份作業。
執行 SAP ASE 資料庫的隨選備份
若要執行 SAP ASE 資料庫的隨選備份,請遵循下列步驟:
進入 復原能力,然後選擇 保存庫。
在 [ 保存庫] 窗格中,從用來設定備份的清單中選取 [復原服務保存庫]。
在所選的 復原服務保存庫上,選取 備份專案。
在 [備份專案] 窗格中,選取 [備份管理類型] 作為 Azure VM 中的 SAP ASE (Sybase)。
針對隨選備份選取 [資料庫] 的檢視詳細資料。
選取 [立即備份] 以進行隨選備份。
在 [立即備份] 窗格上,選擇您想要執行的備份類型,然後選取 [確定]。 您選擇的隨選備份類型會決定此備份的保留期間。
- 隨選完整備份的保留時間最短為 45 天,最長為 99 年。
- 隨選差異備份會依照原則中所設定的記錄保留進行保留。
