Fazer backup de bancos de dados do SAP HANA em VMs do Azure

Este artigo descreve como fazer backup de bancos de dados SAP HANA em execução em VMs do Azure em um cofre dos Serviços de Recuperação do Backup do Azure.

Os bancos de dados SAP HANA são cargas de trabalho críticas que exigem um baixo RPO (objetivo de ponto de recuperação) e retenção de longo prazo. Você pode fazer backup de bancos de dados SAP HANA em execução em VMs (máquinas virtuais) do Azure usando o Backup do Azure.

Observação

Confira a matriz de suporte de backup do SAP HANA para saber mais sobre as configurações e os cenários com suporte.

Pré-requisitos

Veja as seções pré-requisitos e O que o script de pré-registro faz para configurar o banco de dados de backup.

Estabelecer conectividade de rede

Para todas as operações, um banco de dados SAP HANA sendo executado em uma VM do Azure requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Isso pode ser feito usando pontos de extremidade privados ou concedendo acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços necessários do Azure pode levar a falhas em operações, como a descoberta do banco de dados, configuração de backup, execução de backups e restauração de dados.

A seguinte tabela lista as várias alternativas que você pode usar para estabelecer a conectividade:

Opção Vantagens Desvantagens
Pontos de extremidade privados Permitir backups por IPs privados dentro da rede virtual

Fornecer controle granular na rede e no lado do cofre
Incorre em custos de ponto de extremidade privado padrão
Marcas de serviço do NSG Mais fácil de ser gerenciada, pois as alterações de intervalo são mescladas automaticamente

Sem custos adicionais
Pode ser usada somente com NSGs

Fornece acesso a todo o serviço
Marcas de FQDN do Firewall do Azure Mais fácil de ser gerenciada, pois os FQDNs necessários são gerenciados automaticamente Pode ser usada somente com o Firewall do Azure
Permitir o acesso a FQDNs/IPs de serviço Sem custo adicional.

Funciona com todos os dispositivos e firewalls de segurança de rede.

Também é possível usar pontos de extremidade de serviço para Armazenamento. Porém, no caso do Backup do Azure e da ID do Microsoft Entra, é necessário atribuir o acesso aos IPs/FQDNs correspondentes.
Um amplo conjunto de IPs ou FQDNs pode ser necessário para ser acessado.
Ponto de Extremidade de Serviço de Rede Virtual Pode ser usado para o Armazenamento do Azure.

Fornece um grande benefício para otimizar o desempenho do tráfego do plano de dados.
Não pode ser usado com a ID do Microsoft Entra, serviço de Backup do Azure.
Solução de Virtualização de Rede Pode ser usado no Armazenamento do Azure, ID do Microsoft Entra, serviço de Backup do Azure.

Plano de dados
  • Armazenamento do Microsoft Azure: *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net


Plano de gerenciamento
Saiba mais sobre as Marcas de serviço do Firewall do Azure.
Adiciona sobrecarga ao tráfego do plano de dados e diminui a taxa de transferência/o desempenho.

Mais detalhes sobre como usar essas opções são compartilhados abaixo:

Pontos de extremidade privados

Os pontos de extremidade privados permitem que você se conecte com segurança de servidores dentro de uma rede virtual ao seu cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço da VNET para o cofre. O tráfego de rede entre seus recursos dentro da rede virtual e o cofre passa pela rede virtual e por um link privado na rede de backbone da Microsoft. Isso elimina a exposição à Internet pública. Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.

Observação

Há suporte para pontos de extremidade privados para o Backup e o armazenamento do Azure. A ID do Microsoft Entra tem suporte para os pontos de extremidade privados na versão prévia privada. Até que eles estejam geralmente disponíveis, o backup do Azure dá suporte à configuração do proxy para a ID do Microsoft Entra para que nenhuma conectividade de saída seja necessária nas VMs do HANA. Para obter mais informações, consulte a seção de suporte ao proxy.

Marcas do NSG

Se você usar o NSG (grupo de segurança de rede), use a tag de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da marca do Backup do Azure, você também precisará permitir a conectividade para autenticação e transferência de dados criando regras de NSG semelhantes para o Microsoft Entra ID (AzureActiveDirectory) e o Armazenamento do Azure (Armazenamento). As seguintes etapas descrevem o processo para criar uma regra para a tag do Backup do Azure:

  1. Em Todos os Serviços, acesse Grupos de segurança de rede e selecione o grupo de segurança de rede.

  2. Selecione Regras de segurança de saída em Configurações.

  3. Selecione Adicionar. Insira todos os detalhes necessários para criar uma regra, conforme descrito em Configurações da regra de segurança. Verifique se a opção Destino está definida como Tag de Serviço e se Marca de serviço de destino está definida como AzureBackup.

  4. Selecione Adicionar para salvar a regra de segurança de saída recém-criada.

De maneira semelhante, é possível criar regras de segurança de saída de NSG para o Armazenamento do Azure e o Microsoft Entra ID. Para obter mais informações sobre as marcas de serviço, confira este artigo.

Marcas do Firewall do Azure

Se estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a tag de FQDN do Firewall do Azure AzureBackup. Isso permite todo o acesso de saída ao Backup do Azure.

Observação

Atualmente, o Backup do Azure não oferece suporte à Regra de aplicativo com inspeção TLS habilitada no Firewall do Azure.

Permitir o acesso aos intervalos de IP de serviço

Se você optar por permitir o acesso a IPs de serviço, confira os intervalos de IP no arquivo JSON disponível aqui. Você precisará permitir o acesso aos IPs correspondentes ao Backup do Azure, ao Armazenamento do Azure e ao Microsoft Entra ID.

Permitir o acesso a FQDNs de serviço

Também é possível usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:

Serviço Nomes de domínio a serem acessados Portas
Serviço de Backup do Azure *.backup.windowsazure.com 443
Armazenamento do Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net
443
Azure AD *.login.microsoft.com

Permitir acesso a FQDNs nas seções 56 e 59 de acordo com este artigo
443

Conforme aplicável

Usar um servidor proxy HTTP para rotear o tráfego

Observação

Atualmente, só oferecemos suporte ao Proxy HTTP para o tráfego do Microsoft Entra para SAP HANA. Se quiser remover os requisitos de conectividade de saída (para tráfego de Backup do Azure e Armazenamento do Microsoft Azure) para backups de banco de dados pelo Backup do Microsoft Azure em VMs HANA, use outras opções, como pontos de extremidade privados.

Usando um servidor proxy HTTP para o tráfego do Microsoft Entra
  1. Vá até a pasta "opt/msawb/bin"

  2. Crie um arquivo JSON chamado "ExtensionSettingsOverrides.json"

  3. Adicione um par chave-valor ao arquivo JSON da seguinte maneira:

    {
        "UseProxyForAAD":true,
        "UseProxyForAzureBackup":false,
        "UseProxyForAzureStorage":false,
        "ProxyServerAddress":"http://xx.yy.zz.mm:port"
    }
    
  4. Altere as permissões e a propriedade do arquivo da seguinte maneira:

    chmod 750 ExtensionSettingsOverrides.json
    chown root:msawb ExtensionSettingsOverrides.json
    
  5. Não é necessário reiniciar nenhum serviço. O serviço de Backup do Azure tentará rotear o tráfego do Microsoft Entra pelo servidor proxy mencionado no arquivo JSON.

Usar regras de saída

Se as configurações de Firewall ou NSG bloquearem o domínio “management.azure.com” da Máquina Virtual do Azure, os backups de instantâneo falharão.

Crie a seguinte regra de saída e permita que o nome de domínio faça o backup do banco de dados. Saiba como criar regras de saída.

  • Origem: endereço de IP da VM.
  • Destino: Marca de Serviço.
  • Marca de Serviço de Destino: AzureResourceManager

Captura de tela que mostra as configurações de regra de saída.

Criar um cofre dos Serviços de Recuperação

Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e que fornece uma interface para executar operações relacionadas a backup. Essas operações incluem fazer backups sob demanda, executar restaurações e criar políticas de backup.

Para criar um cofre de Serviços de Recuperação:

  1. Entre no portal do Azure.

  2. Procure o Centro de backup e acesse o painel Centro de backup.

    Captura de tela que mostra onde procurar e selecionar o ''Centro de backup''.

  3. No painel Visão geral, selecione Cofre.

    Captura de tela do botão para criar um cofre dos Serviços de Recuperação.

  4. Selecione Cofre dos Serviços de Recuperação>Continuar.

    Captura de tela que mostra onde selecionar os Serviços de Recuperação como o tipo de cofre.

  5. No painel cofre dos Serviços de Recuperação, insira os seguintes valores:

    • Assinatura: selecione a assinatura a ser utilizada. Se você for um membro de apenas uma assinatura, verá esse nome. Se você não tem certeza de qual assinatura usar, use a assinatura padrão. Só haverá múltiplas opções se a sua conta corporativa ou de estudante estiver associada a várias assinaturas do Azure.

    • Grupo de recursos: Use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na assinatura, selecione Usar existente e depois selecione um recurso na lista suspensa. Para criar um grupo de recursos, selecione Criar e insira o nome. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.

    • Nome do cofre: digite um nome amigável para identificar o cofre. O nome deve ser exclusivo para a assinatura do Azure. Especifique um nome que tenha, pelo menos, dois, porém, não mais de 50 caracteres. O nome deve começar com uma letra e consistir apenas em letras, números e hifens.

    • Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.

      Importante

      Se você não tem certeza da localização da fonte de dados, feche a janela. Vá para a lista de seus recursos no portal. Se você tiver fontes de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada região. Crie o cofre na primeira localização antes de criar um cofre em outra localização. Não é necessário especificar contas de armazenamento para armazenar os dados de backup. O cofre dos Serviços de Recuperação e o Backup do Azure cuidam disso automaticamente.

    Captura de tela que mostra os campos para configurar um cofre dos Serviços de Recuperação.

  6. Depois de fornecer os valores, selecione Examinar + criar.

  7. Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.

    Pode levar um tempo para criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre for criado, ele será exibido na lista de cofres dos Serviços de Recuperação. Se o cofre não for exibido, selecione Atualizar.

    Captura de tela que mostra o botão para atualizar a lista de cofres de backup.

Observação

O Backup do Azure agora suporta os cofres imutáveis que ajudam você a garantir que os pontos de recuperação, uma vez criados, não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para a máxima proteção dos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Saiba mais.

Habilitar Restauração entre Regiões

No cofre dos Serviços de Recuperação, você pode habilitar a Restauração entre Regiões. Saiba mais sobre como ativar a Restauração entre Regiões.

Saiba mais sobre a Restauração entre Regiões.

Descobrir os bancos de dados

  1. No portal do Azure, acesse o Centro de backup e clique em +Backup.

    Captura de tela mostrando como iniciar a verificação de SAP HANA bancos de dados.

  2. Selecione SAP HANA na VM do Azure como o tipo de fonte de origem, selecione um cofre dos Serviços de Recuperação para usar como backup e selecione Continuar.

    Captura de tela mostrando a seleção de SAP HANA banco de dados na VM do Azure.

  3. Selecione Iniciar Descoberta. Isso inicia a descoberta de VMs do Linux desprotegidas na região do cofre.

    • Após a descoberta, as VMs não protegidas aparecem no portal, listadas por nome e grupo de recursos.
    • Se uma VM não estiver listada conforme o esperado, verifique se ela já foi copiada em backup em um cofre.
    • Várias VMs podem ter o mesmo nome, mas elas pertencerão a diferentes grupos de recursos.

    Captura de tela mostrando para selecionar Iniciar descoberta.

  4. Em Selecionar Máquinas Virtuais, selecione o link para baixar o script que fornece permissões para que o serviço de Backup do Azure acesse as VMs SAP HANA para descoberta de banco de dados.

  5. Execute o script em cada VM que hospeda os bancos de dados SAP HANA dos quais você deseja fazer backup.

  6. Depois de executar o script nas VMs, em Selecionar Máquinas Virtuais, selecione as VMs. Em seguida, selecione Descobrir BDs.

  7. O Backup do Azure descobre todos os bancos de dados do SAP HANA na VM. Durante a descoberta, o Backup do Azure registra a VM com o cofre e instala uma extensão na VM. Nenhum agente é instalado no banco de dados.

    Captura de tela mostrando os bancos de SAP HANA descobertos.

Configurar o backup

Agora, habilite o backup.

  1. Na Etapa 2, selecione Configurar Backup.

    Captura de tela mostrando a configuração do Backup.

  2. Em Selecionar itens para fazer backup, selecione todos os bancos de dados que deseja proteger >OK.

    Captura de tela mostrando a seleção de bancos de dados para fazer o backup.

  3. Em Política de Backup>Escolher política de backup, crie uma política de backup para os bancos de dados, de acordo com as instruções abaixo.

    Captura de tela mostrando a escolha da política de backup.

  4. Depois de criar a política, no menu Backup, selecione Habilitar backup.

    Habilitar backup

  5. Acompanhe o progresso da configuração de backup na área de Notificações do portal.

Criar uma política de backup

Uma política de backup define quando os backups são feitos e por quanto tempo eles são mantidos.

  • Uma política é criada no nível do cofre.
  • Vários cofres podem usar a mesma política de backup, mas você deve aplicar a política de backup a cada cofre.

Observação

Backup do Azure ajuste automático para alterações de horário de verão ao fazer o SAP HANA de dados em execução em uma VM do Azure.

Modifique a política manualmente, se necessário.

Especifique as configurações de política da seguinte maneira:

  1. Em Nome da política, insira um nome para a nova política.

    Inserir o nome da política

  2. Em Política de Backup Completo, selecione uma Frequência de Backup escolhendo Diária ou Semanal.

    • Diariamente: selecione a hora e fuso horário em que o trabalho de backup começa.
      • Você precisa executar um backup completo. Você não pode desativar essa opção.
      • Selecione Backup Completo para exibir a política.
      • Você não pode criar backups diferenciais para backups diários completos.
    • Semanalmente: selecione o dia da semana, a hora e o fuso horário em que o trabalho de backup é executado.

    Selecionar a frequência de backup

  3. Em Período de Retenção, defina as configurações de retenção para o backup completo.

    • Por padrão, todas as opções são selecionadas. Desmarque os limites de período de retenção que você não deseja usar e marque os que você deseja.
    • O período de retenção mínimo para qualquer tipo de backup (completo/diferencial/log) é de sete dias.
    • Os pontos de recuperação são marcados para retenção com base em seu intervalo de retenção. Por exemplo, se você selecionar um backup completo diário, apenas um backup completo será disparado a cada dia.
    • O backup para um dia específico é marcado e mantido com base na configuração e no período de retenção semanal.
    • Os intervalos de retenção mensal e anual comportam-se de maneira semelhante.
  4. No menu de política de Backup Completo, clique em OK para aceitar as configurações.

  5. Selecione Backup Diferencial para adicionar uma política diferencial.

  6. Em Política de Backup Diferencial, selecione Habilitar para abrir os controles de retenção e frequência.

    • No máximo, você pode acionar um backup diferencial por dia.
    • Backups diferenciais podem ser retidos por até 180 dias. Se você precisar de retenção mais longa, deverá usar os backups completos.

    Política de backup diferencial

    Observação

    Você pode escolher um diferencial ou um incremental como um backup diário, mas não ambos.

  7. Em Política de Backup Incremental, selecione Habilitar para abrir os controles de retenção e frequência.

    • No máximo, você pode disparar um backup incremental por dia.
    • Backups incrementais podem ser retidos por até 180 dias. Se você precisar de retenção mais longa, deverá usar os backups completos.

    Política de backup incremental

  8. Selecione OK para salvar a política e retornar para o menu principal da Política de backup.

  9. Selecione Backup de Log para adicionar uma política de backup de log transacional.

    • Em Backup de Log, selecione Habilitar. Isso não pode ser desabilitado, pois o SAP HANA gerencia todos os backups de log.
    • Defina a frequência e os controles de retenção.

    Observação

    Os backups de log só começam a fluir depois que um backup completo bem-sucedido é concluído.

  10. Selecione OK para salvar a política e retornar para o menu principal da Política de backup.

  11. Depois de terminar de definir a política de backup, selecione OK.

Observação

Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será retido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que o usuário tenha um backup de log completo semanal, diferencial diário e logs de 2 horas. Todos eles são retidos por 30 dias. No entanto, o backup completo semanal poderá ser realmente limpo/excluído somente depois que o próximo backup completo estiver disponível, ou seja, após 30 + 7 dias. Digamos, por exemplo, que um backup completo semanal ocorra em 16 de novembro. De acordo com a política de retenção, ele deve ficar retido até 16 de dezembro. O último backup de log para esse completo ocorre antes do próximo completo agendado, em 22 de novembro. Até que esse log esteja disponível até 22 de dezembro, o completo de 16 de novembro não poderá ser excluído. Portanto, o completo de 16 de novembro é mantido até 22 de dezembro.

Executar um backup sob demanda

Os backups são executados de acordo com o agendamento da política. Saiba como executar um backup sob demanda.

Executar o backup de clientes nativos do SAP HANA em um banco de dados com o Backup do Azure

É possível executar um backup sob demanda usando clientes nativos do SAP HANA para o sistema de arquivos local em vez do Backint. Saiba mais sobre como gerenciar operações usando clientes nativos do SAP.

Configurar backups de dados multistreaming para obter uma maior taxa de transferência usando o Backint

Para configurar backups de dados multistreaming, confira a documentação do SAP.

Saiba mais sobre os cenários com suporte.

Examinar o status do backup

O Backup do Azure sincroniza periodicamente a fonte de dados entre a extensão instalada na VM e o serviço de Backup do Azure e mostra o status do backup no portal do Azure. A tabela a seguir lista o status de backup (quatro) de uma fonte de dados:

Estado do backup Descrição
Healthy O último backup foi bem-sucedido.
Não Íntegro O último backup falhou.
NotReachable No momento, não há nenhuma sincronização entre a extensão na VM e o serviço de Backup do Azure.
IRPending O primeiro backup na fonte de dados ainda não ocorreu.

Geralmente, a sincronização ocorre a cada hora. No entanto, no nível de extensão, o Backup do Azure sonda a cada 5 minutos para verificar se há alterações no status do backup mais recente em comparação com o anterior. Por exemplo, se o backup anterior for bem-sucedido, mas o backup mais recente tiver falhado, o Backup do Azure sincroniza essas informações com o serviço para atualizar o status de backup no portal do Azure de acordo com Íntegro ou Não íntegro.

Se nenhuma sincronização de dados ocorrer com o serviço de Backup do Azure por mais de 2 horas, o Backup do Azure mostrará o status de backup como NotReachable. Esse cenário pode ocorrer se a VM for desligada por um longo período ou se houver um problema de conectividade de rede na VM, fazendo com que a sincronização cesse. Depois que a VM estiver operacional novamente e os serviços de extensão forem reiniciados, a operação de sincronização de dados para o serviço será retomada e o status do backup será alterado para Íntegro ou Não íntegro com base no status do último backup.

Captura de tela que mostra o status de backup do banco de dados do SAP HANA.

Próximas etapas