Fazer backup de bancos de dados do SAP HANA em VMs do Azure
Este artigo descreve como fazer backup de bancos de dados SAP HANA em execução em VMs do Azure em um cofre dos Serviços de Recuperação do Backup do Azure.
Os bancos de dados SAP HANA são cargas de trabalho críticas que exigem um baixo RPO (objetivo de ponto de recuperação) e retenção de longo prazo. Você pode fazer backup de bancos de dados SAP HANA em execução em VMs (máquinas virtuais) do Azure usando o Backup do Azure.
Observação
Confira a matriz de suporte de backup do SAP HANA para saber mais sobre as configurações e os cenários com suporte.
Pré-requisitos
Veja as seções pré-requisitos e O que o script de pré-registro faz para configurar o banco de dados de backup.
Estabelecer conectividade de rede
Para todas as operações, um banco de dados SAP HANA sendo executado em uma VM do Azure requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Isso pode ser feito usando pontos de extremidade privados ou concedendo acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços necessários do Azure pode levar a falhas em operações, como a descoberta do banco de dados, configuração de backup, execução de backups e restauração de dados.
A seguinte tabela lista as várias alternativas que você pode usar para estabelecer a conectividade:
Opção | Vantagens | Desvantagens |
---|---|---|
Pontos de extremidade privados | Permitir backups por IPs privados dentro da rede virtual Fornecer controle granular na rede e no lado do cofre |
Incorre em custos de ponto de extremidade privado padrão |
Marcas de serviço do NSG | Mais fácil de ser gerenciada, pois as alterações de intervalo são mescladas automaticamente Sem custos adicionais |
Pode ser usada somente com NSGs Fornece acesso a todo o serviço |
Marcas de FQDN do Firewall do Azure | Mais fácil de ser gerenciada, pois os FQDNs necessários são gerenciados automaticamente | Pode ser usada somente com o Firewall do Azure |
Permitir o acesso a FQDNs/IPs de serviço | Sem custo adicional. Funciona com todos os dispositivos e firewalls de segurança de rede. Também é possível usar pontos de extremidade de serviço para Armazenamento. Porém, no caso do Backup do Azure e da ID do Microsoft Entra, é necessário atribuir o acesso aos IPs/FQDNs correspondentes. |
Um amplo conjunto de IPs ou FQDNs pode ser necessário para ser acessado. |
Ponto de Extremidade de Serviço de Rede Virtual | Pode ser usado para o Armazenamento do Azure. Fornece um grande benefício para otimizar o desempenho do tráfego do plano de dados. |
Não pode ser usado com a ID do Microsoft Entra, serviço de Backup do Azure. |
Solução de Virtualização de Rede | Pode ser usado no Armazenamento do Azure, ID do Microsoft Entra, serviço de Backup do Azure. Plano de dados
Plano de gerenciamento
Saiba mais sobre as Marcas de serviço do Firewall do Azure. |
Adiciona sobrecarga ao tráfego do plano de dados e diminui a taxa de transferência/o desempenho. |
Mais detalhes sobre como usar essas opções são compartilhados abaixo:
Pontos de extremidade privados
Os pontos de extremidade privados permitem que você se conecte com segurança de servidores dentro de uma rede virtual ao seu cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço da VNET para o cofre. O tráfego de rede entre seus recursos dentro da rede virtual e o cofre passa pela rede virtual e por um link privado na rede de backbone da Microsoft. Isso elimina a exposição à Internet pública. Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.
Observação
Há suporte para pontos de extremidade privados para o Backup e o armazenamento do Azure. A ID do Microsoft Entra tem suporte para os pontos de extremidade privados na versão prévia privada. Até que eles estejam geralmente disponíveis, o backup do Azure dá suporte à configuração do proxy para a ID do Microsoft Entra para que nenhuma conectividade de saída seja necessária nas VMs do HANA. Para obter mais informações, consulte a seção de suporte ao proxy.
Marcas do NSG
Se você usar o NSG (grupo de segurança de rede), use a tag de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da marca do Backup do Azure, você também precisará permitir a conectividade para autenticação e transferência de dados criando regras de NSG semelhantes para o Microsoft Entra ID (AzureActiveDirectory) e o Armazenamento do Azure (Armazenamento). As seguintes etapas descrevem o processo para criar uma regra para a tag do Backup do Azure:
Em Todos os Serviços, acesse Grupos de segurança de rede e selecione o grupo de segurança de rede.
Selecione Regras de segurança de saída em Configurações.
Selecione Adicionar. Insira todos os detalhes necessários para criar uma regra, conforme descrito em Configurações da regra de segurança. Verifique se a opção Destino está definida como Tag de Serviço e se Marca de serviço de destino está definida como AzureBackup.
Selecione Adicionar para salvar a regra de segurança de saída recém-criada.
De maneira semelhante, é possível criar regras de segurança de saída de NSG para o Armazenamento do Azure e o Microsoft Entra ID. Para obter mais informações sobre as marcas de serviço, confira este artigo.
Marcas do Firewall do Azure
Se estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a tag de FQDN do Firewall do Azure AzureBackup. Isso permite todo o acesso de saída ao Backup do Azure.
Observação
Atualmente, o Backup do Azure não oferece suporte à Regra de aplicativo com inspeção TLS habilitada no Firewall do Azure.
Permitir o acesso aos intervalos de IP de serviço
Se você optar por permitir o acesso a IPs de serviço, confira os intervalos de IP no arquivo JSON disponível aqui. Você precisará permitir o acesso aos IPs correspondentes ao Backup do Azure, ao Armazenamento do Azure e ao Microsoft Entra ID.
Permitir o acesso a FQDNs de serviço
Também é possível usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:
Serviço | Nomes de domínio a serem acessados | Portas |
---|---|---|
Serviço de Backup do Azure | *.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Permitir acesso a FQDNs nas seções 56 e 59 de acordo com este artigo |
443 Conforme aplicável |
Usar um servidor proxy HTTP para rotear o tráfego
Observação
Atualmente, só oferecemos suporte ao Proxy HTTP para o tráfego do Microsoft Entra para SAP HANA. Se quiser remover os requisitos de conectividade de saída (para tráfego de Backup do Azure e Armazenamento do Microsoft Azure) para backups de banco de dados pelo Backup do Microsoft Azure em VMs HANA, use outras opções, como pontos de extremidade privados.
Usando um servidor proxy HTTP para o tráfego do Microsoft Entra
Vá até a pasta "opt/msawb/bin"
Crie um arquivo JSON chamado "ExtensionSettingsOverrides.json"
Adicione um par chave-valor ao arquivo JSON da seguinte maneira:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }
Altere as permissões e a propriedade do arquivo da seguinte maneira:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
Não é necessário reiniciar nenhum serviço. O serviço de Backup do Azure tentará rotear o tráfego do Microsoft Entra pelo servidor proxy mencionado no arquivo JSON.
Usar regras de saída
Se as configurações de Firewall ou NSG bloquearem o domínio “management.azure.com”
da Máquina Virtual do Azure, os backups de instantâneo falharão.
Crie a seguinte regra de saída e permita que o nome de domínio faça o backup do banco de dados. Saiba como criar regras de saída.
- Origem: endereço de IP da VM.
- Destino: Marca de Serviço.
- Marca de Serviço de Destino:
AzureResourceManager
Criar um cofre dos Serviços de Recuperação
Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e que fornece uma interface para executar operações relacionadas a backup. Essas operações incluem fazer backups sob demanda, executar restaurações e criar políticas de backup.
Para criar um cofre de Serviços de Recuperação:
Entre no portal do Azure.
Procure o Centro de backup e acesse o painel Centro de backup.
No painel Visão geral, selecione Cofre.
Selecione Cofre dos Serviços de Recuperação>Continuar.
No painel cofre dos Serviços de Recuperação, insira os seguintes valores:
Assinatura: selecione a assinatura a ser utilizada. Se você for um membro de apenas uma assinatura, verá esse nome. Se você não tem certeza de qual assinatura usar, use a assinatura padrão. Só haverá múltiplas opções se a sua conta corporativa ou de estudante estiver associada a várias assinaturas do Azure.
Grupo de recursos: Use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na assinatura, selecione Usar existente e depois selecione um recurso na lista suspensa. Para criar um grupo de recursos, selecione Criar e insira o nome. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
Nome do cofre: digite um nome amigável para identificar o cofre. O nome deve ser exclusivo para a assinatura do Azure. Especifique um nome que tenha, pelo menos, dois, porém, não mais de 50 caracteres. O nome deve começar com uma letra e consistir apenas em letras, números e hifens.
Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.
Importante
Se você não tem certeza da localização da fonte de dados, feche a janela. Vá para a lista de seus recursos no portal. Se você tiver fontes de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada região. Crie o cofre na primeira localização antes de criar um cofre em outra localização. Não é necessário especificar contas de armazenamento para armazenar os dados de backup. O cofre dos Serviços de Recuperação e o Backup do Azure cuidam disso automaticamente.
Depois de fornecer os valores, selecione Examinar + criar.
Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.
Pode levar um tempo para criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre for criado, ele será exibido na lista de cofres dos Serviços de Recuperação. Se o cofre não for exibido, selecione Atualizar.
Observação
O Backup do Azure agora suporta os cofres imutáveis que ajudam você a garantir que os pontos de recuperação, uma vez criados, não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para a máxima proteção dos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Saiba mais.
Habilitar Restauração entre Regiões
No cofre dos Serviços de Recuperação, você pode habilitar a Restauração entre Regiões. Saiba mais sobre como ativar a Restauração entre Regiões.
Saiba mais sobre a Restauração entre Regiões.
Descobrir os bancos de dados
No portal do Azure, acesse o Centro de backup e clique em +Backup.
Selecione SAP HANA na VM do Azure como o tipo de fonte de origem, selecione um cofre dos Serviços de Recuperação para usar como backup e selecione Continuar.
Selecione Iniciar Descoberta. Isso inicia a descoberta de VMs do Linux desprotegidas na região do cofre.
- Após a descoberta, as VMs não protegidas aparecem no portal, listadas por nome e grupo de recursos.
- Se uma VM não estiver listada conforme o esperado, verifique se ela já foi copiada em backup em um cofre.
- Várias VMs podem ter o mesmo nome, mas elas pertencerão a diferentes grupos de recursos.
Em Selecionar Máquinas Virtuais, selecione o link para baixar o script que fornece permissões para que o serviço de Backup do Azure acesse as VMs SAP HANA para descoberta de banco de dados.
Execute o script em cada VM que hospeda os bancos de dados SAP HANA dos quais você deseja fazer backup.
Depois de executar o script nas VMs, em Selecionar Máquinas Virtuais, selecione as VMs. Em seguida, selecione Descobrir BDs.
O Backup do Azure descobre todos os bancos de dados do SAP HANA na VM. Durante a descoberta, o Backup do Azure registra a VM com o cofre e instala uma extensão na VM. Nenhum agente é instalado no banco de dados.
Configurar o backup
Agora, habilite o backup.
Na Etapa 2, selecione Configurar Backup.
Em Selecionar itens para fazer backup, selecione todos os bancos de dados que deseja proteger >OK.
Em Política de Backup>Escolher política de backup, crie uma política de backup para os bancos de dados, de acordo com as instruções abaixo.
Depois de criar a política, no menu Backup, selecione Habilitar backup.
Acompanhe o progresso da configuração de backup na área de Notificações do portal.
Criar uma política de backup
Uma política de backup define quando os backups são feitos e por quanto tempo eles são mantidos.
- Uma política é criada no nível do cofre.
- Vários cofres podem usar a mesma política de backup, mas você deve aplicar a política de backup a cada cofre.
Observação
Backup do Azure ajuste automático para alterações de horário de verão ao fazer o SAP HANA de dados em execução em uma VM do Azure.
Modifique a política manualmente, se necessário.
Especifique as configurações de política da seguinte maneira:
Em Nome da política, insira um nome para a nova política.
Em Política de Backup Completo, selecione uma Frequência de Backup escolhendo Diária ou Semanal.
- Diariamente: selecione a hora e fuso horário em que o trabalho de backup começa.
- Você precisa executar um backup completo. Você não pode desativar essa opção.
- Selecione Backup Completo para exibir a política.
- Você não pode criar backups diferenciais para backups diários completos.
- Semanalmente: selecione o dia da semana, a hora e o fuso horário em que o trabalho de backup é executado.
- Diariamente: selecione a hora e fuso horário em que o trabalho de backup começa.
Em Período de Retenção, defina as configurações de retenção para o backup completo.
- Por padrão, todas as opções são selecionadas. Desmarque os limites de período de retenção que você não deseja usar e marque os que você deseja.
- O período de retenção mínimo para qualquer tipo de backup (completo/diferencial/log) é de sete dias.
- Os pontos de recuperação são marcados para retenção com base em seu intervalo de retenção. Por exemplo, se você selecionar um backup completo diário, apenas um backup completo será disparado a cada dia.
- O backup para um dia específico é marcado e mantido com base na configuração e no período de retenção semanal.
- Os intervalos de retenção mensal e anual comportam-se de maneira semelhante.
No menu de política de Backup Completo, clique em OK para aceitar as configurações.
Selecione Backup Diferencial para adicionar uma política diferencial.
Em Política de Backup Diferencial, selecione Habilitar para abrir os controles de retenção e frequência.
- No máximo, você pode acionar um backup diferencial por dia.
- Backups diferenciais podem ser retidos por até 180 dias. Se você precisar de retenção mais longa, deverá usar os backups completos.
Observação
Você pode escolher um diferencial ou um incremental como um backup diário, mas não ambos.
Em Política de Backup Incremental, selecione Habilitar para abrir os controles de retenção e frequência.
- No máximo, você pode disparar um backup incremental por dia.
- Backups incrementais podem ser retidos por até 180 dias. Se você precisar de retenção mais longa, deverá usar os backups completos.
Selecione OK para salvar a política e retornar para o menu principal da Política de backup.
Selecione Backup de Log para adicionar uma política de backup de log transacional.
- Em Backup de Log, selecione Habilitar. Isso não pode ser desabilitado, pois o SAP HANA gerencia todos os backups de log.
- Defina a frequência e os controles de retenção.
Observação
Os backups de log só começam a fluir depois que um backup completo bem-sucedido é concluído.
Selecione OK para salvar a política e retornar para o menu principal da Política de backup.
Depois de terminar de definir a política de backup, selecione OK.
Observação
Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será retido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que o usuário tenha um backup de log completo semanal, diferencial diário e logs de 2 horas. Todos eles são retidos por 30 dias. No entanto, o backup completo semanal poderá ser realmente limpo/excluído somente depois que o próximo backup completo estiver disponível, ou seja, após 30 + 7 dias. Digamos, por exemplo, que um backup completo semanal ocorra em 16 de novembro. De acordo com a política de retenção, ele deve ficar retido até 16 de dezembro. O último backup de log para esse completo ocorre antes do próximo completo agendado, em 22 de novembro. Até que esse log esteja disponível até 22 de dezembro, o completo de 16 de novembro não poderá ser excluído. Portanto, o completo de 16 de novembro é mantido até 22 de dezembro.
Executar um backup sob demanda
Os backups são executados de acordo com o agendamento da política. Saiba como executar um backup sob demanda.
Executar o backup de clientes nativos do SAP HANA em um banco de dados com o Backup do Azure
É possível executar um backup sob demanda usando clientes nativos do SAP HANA para o sistema de arquivos local em vez do Backint. Saiba mais sobre como gerenciar operações usando clientes nativos do SAP.
Configurar backups de dados multistreaming para obter uma maior taxa de transferência usando o Backint
Para configurar backups de dados multistreaming, confira a documentação do SAP.
Saiba mais sobre os cenários com suporte.
Examinar o status do backup
O Backup do Azure sincroniza periodicamente a fonte de dados entre a extensão instalada na VM e o serviço de Backup do Azure e mostra o status do backup no portal do Azure. A tabela a seguir lista o status de backup (quatro) de uma fonte de dados:
Estado do backup | Descrição |
---|---|
Healthy | O último backup foi bem-sucedido. |
Não Íntegro | O último backup falhou. |
NotReachable | No momento, não há nenhuma sincronização entre a extensão na VM e o serviço de Backup do Azure. |
IRPending | O primeiro backup na fonte de dados ainda não ocorreu. |
Geralmente, a sincronização ocorre a cada hora. No entanto, no nível de extensão, o Backup do Azure sonda a cada 5 minutos para verificar se há alterações no status do backup mais recente em comparação com o anterior. Por exemplo, se o backup anterior for bem-sucedido, mas o backup mais recente tiver falhado, o Backup do Azure sincroniza essas informações com o serviço para atualizar o status de backup no portal do Azure de acordo com Íntegro ou Não íntegro.
Se nenhuma sincronização de dados ocorrer com o serviço de Backup do Azure por mais de 2 horas, o Backup do Azure mostrará o status de backup como NotReachable. Esse cenário pode ocorrer se a VM for desligada por um longo período ou se houver um problema de conectividade de rede na VM, fazendo com que a sincronização cesse. Depois que a VM estiver operacional novamente e os serviços de extensão forem reiniciados, a operação de sincronização de dados para o serviço será retomada e o status do backup será alterado para Íntegro ou Não íntegro com base no status do último backup.