Azure Database for PostgreSQL-Sicherung mit Langzeitaufbewahrung

In diesem Artikel wird beschrieben, wie Sie einen Azure Database for PostgreSQL-Server sichern. Überprüfen Sie vor Beginn die unterstützten Konfigurationen sowie Überlegungen und bekannte Einschränkungen in Bezug auf Features.

Konfigurieren der Sicherung für Azure PostgreSQL-Datenbanken

Sie können die Sicherung für mehrere Datenbanken auf mehreren Azure PostgreSQL-Servern konfigurieren. Führen Sie zum Konfigurieren der Sicherung für die Azure PostgreSQL-Datenbanken mit Azure Backup die folgenden Schritte aus:

  1. Wechseln Sie zu Sicherungstresor –>+Sicherung.

    Screenshot: Option zum Hinzufügen einer Sicherung

    Screenshot: Option zum Hinzufügen von Sicherungsinformationen

    Alternativ können Sie über das Backup Center zu dieser Seite navigieren.

  2. Wählen Sie eine Sicherungsrichtlinie aus, oder erstellen Sie eine Sicherungsrichtlinie, die den Sicherungszeitplan und die Aufbewahrungsdauer definiert.

    Screenshot: Option zum Hinzufügen einer Sicherungsrichtlinie

  3. Wählen Sie die zu sichernden Azure PostgreSQL-Datenbanken aus: Wählen Sie einen der Azure PostgreSQL-Server abonnementübergreifend aus, wenn sie sich in derselben Region wie der Tresor befinden. Klappen Sie die Liste der Datenbanken innerhalb eines Servers auf, indem Sie auf den Pfeil klicken.

    Hinweis

    • Sie müssen die Datenbanken azure_maintenance und azure_sys nicht sichern. Darüber hinaus können Sie eine Datenbank, die bereits in einem Sicherungstresor gesichert ist, nicht sichern.
    • Azure PostgreSQL-Server mit privaten Endpunkten können gesichert werden, indem vertrauenswürdige Microsoft-Dienste in den Netzwerkeinstellungen zugelassen werden.

    Screenshot: Option zum Auswählen einer Azure PostgreSQL-Datenbank

    Screenshot: Auswählen eines Azure PostgreSQL-Servers

  4. Weisen Sie einen Azure-Schlüsseltresor zu, in dem die Anmeldeinformationen gespeichert werden, um eine Verbindung mit der ausgewählten Datenbank herzustellen. Sie sollten die relevanten Geheimnisse bereits im Schlüsseltresor erstellt haben. Klicken Sie auf Schlüsseltresor und Geheimnis auswählen, um den Schlüsseltresor einzeln auf Zeilenebene zuzuweisen. Sie können den Schlüsseltresor auch zuweisen, indem Sie die Zeilen mehrfach auswählen und im oberen Menü des Rasters auf Schlüsseltresor zuweisen klicken.

    Screenshot: Zuweisen von Azure Key Vault

  5. Verwenden Sie eine der folgenden Optionen, um die Geheimnisinformationen anzugeben:

    1. Geheimnis-URI eingeben: Verwenden Sie diese Option, wenn der Geheimnis-URI für Sie freigegeben/bekannt ist. Sie können den Geheimnis-URI aus dem Schlüsseltresor kopieren –>Geheimnis (Geheimnis auswählen) –>Geheimnisbezeichner.

      Screenshot: Eingabe des Geheimnis-URI

      Mit dieser Option erhält Azure Backup jedoch keine Informationen zum Schlüsseltresor, auf den Sie verwiesen haben. Daher können die Zugriffsberechtigungen für den Schlüsseltresor nicht inline zugewiesen werden. Der Sicherungsadministrator muss zusammen mit dem Postgres- und/oder Schlüsseltresoradministrator sicherstellen, dass der Zugriff auf den Schlüsseltresor manuell außerhalb des Sicherungskonfigurationsablaufs gewährt wird, damit der Sicherungsvorgang erfolgreich ist.

    2. Schlüsseltresor auswählen: Verwenden Sie diese Option, wenn Sie den Schlüsseltresor und den Geheimnisnamen kennen. Mit dieser Option können Sie (Sicherungsadministrator mit Schreibzugriff auf den Schlüsseltresor) die Zugriffsberechtigungen für den Schlüsseltresor inline zuweisen. Der Schlüsseltresor und das Geheimnis können bereits vorhanden sein oder neu erstellt werden. Vergewissern Sie sich, dass es sich beim Geheimnis um die Verbindungszeichenfolge des PG-Servers im ADO.net-Format handelt, die mit den Anmeldeinformationen des Datenbankbenutzers aktualisiert wurde, der auf dem Server die Sicherungsberechtigung erhalten hat. Erfahren Sie mehr über das Erstellen von Geheimnissen im Schlüsseltresor.

      Screenshot: Zuweisen eines Geheimnisspeichers

      Screenshot: Auswahl des Geheimnisses in Azure Key Vault

  6. Wenn die Aktualisierung der Geheimnisinformationen abgeschlossen ist, beginnt die Überprüfung, nachdem die Schlüsseltresorinformationen aktualisiert wurden.

    Hinweis

    • Hier überprüft der Sicherungsdienst, ob er über alle erforderlichen Zugriffsberechtigungen verfügt, um Geheimnisdetails aus dem Schlüsseltresor zu lesen und eine Verbindung mit der Datenbank herzustellen.
    • Wenn eine oder mehrere Zugriffsberechtigungen fehlen, wird eine der folgenden Fehlermeldungen angezeigt: „Rollenzuweisung nicht durchgeführt“ oder „Benutzer kann keine Rollen zuweisen“ .

    Screenshot: Validierung des Geheimnisses

    • Benutzer kann keine Rollen zuweisen: Diese Meldung wird angezeigt, wenn Sie (der Sicherungsadministrator) keinen Schreibzugriff auf den PostgreSQL-Server und/oder den Schlüsseltresor haben, um fehlende Berechtigungen zuzuweisen, wie unter Details anzeigen aufgeführt. Laden Sie die Zuweisungsvorlage über die Aktionsschaltfläche herunter, und lassen Sie sie vom PostgreSQL- und/oder Schlüsseltresoradministrator ausführen. Es handelt sich um eine ARM-Vorlage, die Ihnen hilft, die notwendigen Berechtigungen für die erforderlichen Ressourcen zuzuweisen. Nachdem die Vorlage erfolgreich ausgeführt wurde, klicken Sie auf der Seite „Sicherung konfigurieren“ auf Erneut überprüfen.

      Screenshot: Option zum Herunterladen der Vorlage für die Rollenzuweisung

    • Rollenzuweisung nicht durchgeführt: Diese Meldung wird angezeigt, wenn Sie (der Sicherungsadministrator) Schreibzugriff auf den PostgreSQL-Server und/oder den Schlüsseltresor haben, um fehlende Berechtigungen zuzuweisen, wie unter Details anzeigen aufgeführt. Verwenden Sie die Aktionsschaltfläche Fehlende Rollen zuweisen im oberen Aktionsmenü, um Berechtigungen für den PostgreSQL-Server und/oder den Schlüsseltresor inline zuzuweisen.

      Screenshot: Fehler bei nicht erfolgter Rollenzuweisung

  7. Wählen Sie im oberen Menü die Option Fehlende Rollen zuweisen aus, und weisen Sie Rollen zu. Sobald der Prozess startet, werden die fehlenden Zugriffsberechtigungen auf dem KV- und/oder PG-Server für den Sicherungstresor gewährt. Sie können den Bereich definieren, in dem die Zugriffsberechtigungen erteilt werden sollen. Nach Abschluss der Aktion wird die erneute Überprüfung gestartet.

    Screenshot: Option zum Zuweisen fehlender Rollen

    Screenshot: Definieren des Umfangs der Zugriffsberechtigung

    Screenshot: Zugriff auf Geheimnisse im Schlüsseltresor durch den Sicherungstresor

    Screenshot: Prozess zum Starten der Testverbindung

    Screenshot: Angeben von Benutzeranmeldeinformationen zum Ausführen des Tests

  8. Behalten Sie die Datensätze mit Status „Erfolg“ für die Sicherungsbereitschaft bei, um mit dem letzten Schritt der Übermittlung des Vorgangs fortzufahren.

    Screenshot: Sicherungsbereitschaft erfolgreich

    Screenshot: Seite zur Überprüfung der Sicherungskonfiguration

  9. Übermitteln Sie den Vorgang zur Sicherungskonfiguration, und verfolgen Sie den Fortschritt unter Sicherungsinstanzen nach.

    Screenshot: Übermittlung der Sicherungskonfiguration und Nachverfolgung des Fortschritts

Erstellen der Sicherungsrichtlinie

Sie können während des Ablaufs zur Sicherungskonfiguration eine Sicherungsrichtlinie erstellen. Wechseln Sie alternativ zu Backup Center –>Sicherungsrichtlinien –>Hinzufügen.

  1. Geben Sie unter Name einen Namen für die neue Richtlinie ein.

    Screenshot: Prozess zum Eingeben eines Namens für die neue Richtlinie

  2. Legen Sie den Sicherungszeitplan fest.

    Derzeit ist nur die Option zur wöchentlichen Sicherung verfügbar. Sie können die Sicherungen jedoch an mehreren Wochentagen planen.

  3. Legen Sie die Einstellungen für die Aufbewahrung fest.

    Sie können eine oder mehrere Aufbewahrungsregeln hinzufügen. Jede Aufbewahrungsregel nimmt Eingaben für bestimmte Sicherungen und den Datenspeicher sowie die Aufbewahrungsdauer für diese Sicherungen an.

  4. Um Ihre Sicherungen in einem der beiden Datenspeicher (oder Ebenen) zu speichern, wählen Sie Sicherungsdatenspeicher (Standardebene) oder Archivdatenspeicher (in der Vorschau) aus.

  5. Wählen Sie Ablauf aus, wenn Sie die Sicherung nach Ablauf im Sicherungsdatenspeicher in den Archivdatenspeicher verschieben möchten.

    Hinweis

    Die Standardaufbewahrungsregel wird angewandt, wenn keine andere Aufbewahrungsregel vorhanden ist. Sie hat einen Standardwert von drei Monaten.

    • Die Aufbewahrungsdauer reicht im Sicherungsdatenspeicher von sieben Tagen bis zu zehn Jahren.
    • Die Aufbewahrungsdauer reicht im Archivdatenspeicher von sechs Monaten bis zu zehn Jahren.

    Screenshot: Auswählen von „Nach Ablauf“, um die Sicherung nach Ablauf in den Archivdatenspeicher zu verschieben

Hinweis

Die Aufbewahrungsregeln werden in einer vordefinierten Reihenfolge ausgewertet. Die oberste Priorität hat die Regel „Jährlich“, gefolgt von der Regel „Monatlich“ und dann von der Regel „Wöchentlich“. Die Standardeinstellungen für die Aufbewahrung werden angewendet, wenn keine anderen Regeln zutreffen. Beispielsweise kann derselbe Wiederherstellungspunkt sowohl die erste erfolgreiche Sicherung, die jede Woche erstellt wird, als auch die erste erfolgreiche Sicherung, die jeden Monat erstellt wird, sein. Da die Priorität der monatlichen Regel jedoch höher als die der wöchentlichen Regel ist, gilt die Aufbewahrungsregel, die der ersten erfolgreichen, monatlich erstellten Sicherung entspricht.

Erstellen von Geheimnissen im Schlüsseltresor

Das Geheimnis ist die Verbindungszeichenfolge des PG-Servers im ADO.net-Format, die mit den Anmeldeinformationen des Datenbankbenutzers aktualisiert wurde, der auf dem Server die Sicherungsberechtigungen erhalten hat. Kopieren Sie die Verbindungszeichenfolge vom PG-Server, und bearbeiten Sie sie in einem Text-Editor, um die Benutzer-ID und das Kennwort zu aktualisieren.

Screenshot: Verbindungszeichenfolge des PG-Servers als Geheimnis

Screenshot: Option zum Erstellen einer Verbindungszeichenfolge des PG-Servers als Geheimnis

Ausführen eines PowerShell-Skripts zum Zuweisen von Berechtigungen für Datenbankbenutzer

Das während der Sicherungskonfigurierung dynamisch generierte PowerShell-Skript akzeptiert den Datenbankbenutzer als Eingabe zusammen mit den PG-Administratoranmeldeinformationen, um dem Datenbankbenutzer sicherungsbezogene Berechtigungen für die Datenbank zu gewähren.

Das PSQL-Tool muss auf dem Computer vorhanden sein, und die PATH-Umgebungsvariable muss entsprechend auf den Pfad der PSQL-Tools festgelegt sein.

Screenshot: Option zum Durchsuchen der Anwendung für Umgebungseinstellungen

Screenshot: Option zum Festlegen der Umgebung in den Systemeigenschaften

Screenshot: Standardumgebungsvariablen

Screenshot: Umgebungsvariablen, die festgelegt werden müssen

Stellen Sie sicher, dass die Einstellungen für Verbindungssicherheit in der Azure PostgreSQL-Instanz die IP-Adresse des Computers zulassen, um Netzwerkkonnektivität zuzulassen.

Ausführen einer On-Demand-Sicherung

Wenn Sie eine Sicherung ohne den in der Richtlinie angegebenen Zeitplan starten möchten, wechseln Sie zu Sicherungsinstanzen –>Jetzt sichern. Wählen Sie Aufbewahrungsregeln in der Liste aus, die in der zugehörigen Sicherungsrichtlinie definiert wurden.

Screenshot: Option zum Navigieren zur Liste der Aufbewahrungsregeln, die in der zugeordneten Sicherungsrichtlinie definiert wurden

Screenshot: Option zum Auswählen von Aufbewahrungsregeln, die in der zugeordneten Sicherungsrichtlinie definiert wurden

Nachverfolgen eines Sicherungsauftrags

Der Dienst Azure Backup erstellt einen Auftrag für geplante Sicherungen, und Sie können eine bedarfsgesteuerte Sicherung zur Nachverfolgung auslösen. So zeigen Sie den Status des Sicherungsauftrags an

  1. Navigieren Sie zum Bildschirm Sicherungsinstanz.

    Hier wird das Dashboard „Aufträge“ mit Betrieb und Status der letzten sieben Tage angezeigt.

    Screenshot: Dashboard „Aufträge“

  2. Wenn Sie den Status des Sicherungsauftrags anzeigen möchten, wählen Sie Alle anzeigen aus, um laufende und bisherige Aufträge dieser Sicherungsinstanz anzuzeigen.

    Screenshot: Auswählen der Option „Alle anzeigen“

  3. Überprüfen Sie die Liste der Sicherungs- und Wiederherstellungsaufträge und deren Status. Wählen Sie in der Liste mit den Aufträgen einen Auftrag aus, um die Auftragsdetails anzuzeigen.

    Screenshot: Auswählen des Auftrags zum Anzeigen von Details

Nächste Schritte