Fazer várias cópias de segurança das VMs do SQL Server a partir do cofre dos Serviços de Recuperação
Os bancos de dados do SQL Server são cargas de trabalho críticas que exigem um RPO (Recovery Point Objetive, objetivo de ponto de recuperação) baixo e retenção de longo prazo. Você pode fazer backup de bancos de dados do SQL Server em execução em máquinas virtuais (VMs) do Azure usando o Backup do Azure.
Este artigo mostra como fazer backup de um banco de dados do SQL Server em execução em uma VM do Azure para um cofre dos Serviços de Recuperação de Backup do Azure.
Nota
Consulte a matriz de suporte de backup SQL para saber mais sobre as configurações e cenários suportados.
Pré-requisitos
Antes de fazer backup de um banco de dados do SQL Server, verifique os seguintes critérios:
Identifique ou crie um cofre dos Serviços de Recuperação na mesma região e assinatura que a VM que hospeda a instância do SQL Server.
Verifique se a VM tem conectividade de rede.
Certifique-se de que o Agente de Máquina Virtual do Azure está instalado na VM.
Verifique se a versão do .NET 4.6.2 ou superior está instalada na VM.
Atenção
O suporte para backups de SQL VMs que executam o .NET Framework 4.6.1 ou inferior será preterido em breve porque essas versões estão oficialmente fora de suporte. Recomendamos que você atualize o .NET Framework para a versão 4.6.2 ou superior para garantir que não haja falhas de backup.
Certifique-se de que os bancos de dados do SQL Server sigam as diretrizes de nomenclatura de banco de dados para o Backup do Azure.
Certifique-se de que o comprimento combinado do nome da VM do SQL Server e do nome do grupo de recursos não exceda 84 caracteres para VMs do Azure Resource Manager (ou 77 caracteres para VMs clássicas). Essa limitação ocorre porque alguns caracteres são reservados pelo serviço.
Verifique se você não tem outras soluções de backup habilitadas para o banco de dados. Desative todos os outros backups do SQL Server antes de fazer backup do banco de dados.
Ao usar o SQL Server 2008 R2 ou o SQL Server 2012, você pode se deparar com o problema de fuso horário para backup, conforme descrito aqui. Certifique-se de que você está nas atualizações cumulativas mais recentes para evitar o problema relacionado ao fuso horário descrito acima. Se a aplicação das atualizações à instância do SQL Server na VM do Azure não for viável, desabilite o horário de verão (DST) para o fuso horário na máquina virtual.
Nota
Você pode habilitar o Backup do Azure para uma VM do Azure e também para um banco de dados do SQL Server em execução na VM sem conflito.
Estabelecer conectividade de rede
Para todas as operações, uma VM do SQL Server requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e a ID do Microsoft Entra. Isso pode ser conseguido usando pontos de extremidade privados ou permitindo o acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços necessários do Azure pode levar a falhas em operações como descoberta de banco de dados, configuração de backup, execução de backups e restauração de dados.
A tabela a seguir lista as várias alternativas que você pode usar para estabelecer conectividade:
Opção | Vantagens | Desvantagens |
---|---|---|
Pontos finais privados | Permitir backups em IPs privados dentro da rede virtual Forneça controle granular na rede e no lado do cofre |
Incorre em custos de terminais privados padrão |
Etiquetas de serviço do NSG | Mais fácil de gerenciar à medida que as alterações de intervalo são mescladas automaticamente Sem custos adicionais |
Pode ser usado apenas com NSGs Fornece acesso a todo o serviço |
Tags FQDN do Firewall do Azure | Mais fácil de gerenciar, pois os FQDNs necessários são gerenciados automaticamente | Pode ser usado apenas com o Firewall do Azure |
Permitir acesso a FQDNs/IPs de serviço | Sem custos adicionais. Funciona com todos os dispositivos de segurança de rede e firewalls. Você também pode usar pontos de extremidade de serviço para Armazenamento e ID do Microsoft Entra. No entanto, para o Backup do Azure, você precisa atribuir o acesso aos IPs/FQDNs correspondentes. |
Um amplo conjunto de IPs ou FQDNs pode ser necessário para ser acessado. |
Utilizar um proxy HTTP | Ponto único de acesso à Internet para VMs | Custos adicionais para executar uma VM com o software proxy |
As seções a seguir fornecem mais detalhes sobre o uso dessas opções.
Nota
Você pode usar os scripts de teste de conectividade do Backup do Azure para autodiagnosticar os problemas de conectividade de rede no ambiente Windows.
Pontos finais privados
Os pontos finais privados permitem-lhe ligar-se de forma segura a partir de servidores numa rede virtual ao cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço VNET para seu cofre. O tráfego de rede entre seus recursos dentro da rede virtual e o cofre viaja pela sua rede virtual e um link privado na rede de backbone da Microsoft. Isso elimina a exposição da internet pública. Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.
Etiquetas do NSG
Se você usar NSG (Grupos de Segurança de Rede), use a marca de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da tag Backup do Azure, você também precisa permitir a conectividade para autenticação e transferência de dados criando regras NSG semelhantes para Microsoft Entra ID (AzureActiveDirectory) e Azure Storage(Storage). As etapas a seguir descrevem o processo para criar uma regra para a marca do Backup do Azure:
Em Todos os Serviços, aceda a Grupos de segurança de rede e selecione o grupo de segurança de rede.
Selecione Regras de segurança de saída em Definições.
Selecione Adicionar. Introduza todos os detalhes necessários para a criação de uma nova regra, conforme descrito nas definições de regras de segurança. Verifique se a opção Destino está definida como Etiqueta de Serviço e a Etiqueta de serviço de Destino está definida como AzureBackup.
Selecione Adicionar para guardar a regra de segurança de saída recém-criada.
Da mesma forma, você pode criar regras de segurança de saída NSG para o Armazenamento do Azure e a ID do Microsoft Entra.
Etiquetas do Azure Firewall
Se você estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a marca FQDN do Firewall do Azure AzureBackup. Isso permite todo o acesso de saída ao Backup do Azure.
Nota
Atualmente, o Backup do Azure não oferece suporte à Regra de Aplicativo habilitada para inspeção TLS no Firewall do Azure.
Permitir o acesso aos intervalos de IP do serviço
Se você optar por permitir IPs de serviço de acesso, consulte os intervalos de IP no arquivo JSON disponível aqui. Terá de permitir o acesso aos IPs correspondentes ao Azure Backup, Armazenamento do Microsoft Azure e Microsoft Entra ID.
Permitir o acesso aos FQDNs do serviço
Você também pode usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:
Serviço | Nomes de domínio a aceder | Portas |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Permita o acesso aos FQDNs nas secções 56 e 59 de acordo com este artigo |
443 Conforme aplicável |
Permitir a conectividade dos servidores atrás dos balanceador de carga internos
Ao utilizar um balanceador de carga interno, é necessário permitir a conectividade de saída das máquinas virtuais atrás do balanceador de carga interno para fazer cópias de segurança. Para fazer isso, você pode usar uma combinação de balanceadores de carga padrão internos e externos para criar uma conectividade de saída. Saiba mais sobre a configuração para criar uma configuração somente de saída para VMs no pool de back-end do balanceador de carga interno.
Utilizar um servidor proxy HTTP para encaminhar o tráfego
Quando faz uma cópia de segurança de uma base de dados do SQL Server numa VM do Azure, a extensão da cópia de segurança na VM utiliza as APIs HTTPS para enviar comandos de gestão para o Azure Backup e dados para o Armazenamento do Microsoft Azure. A extensão de cópia de segurança também utiliza o Microsoft Entra ID para autenticação. Encaminhe o tráfego da extensão da cópia de segurança destes três serviços através do proxy HTTP. Use a lista de IPs e FQDNs mencionados acima para permitir o acesso aos serviços necessários. Não há suporte para servidores proxy autenticados.
Nota
Desative o proxy para comunicações localhost dentro da VM. O proxy será honrado pelas comunicações de saída da VM SQL.
Diretrizes de nomenclatura de banco de dados para o Backup do Azure
Evite usar os seguintes elementos em nomes de banco de dados:
- Espaços à direita e à frente
- Pontos de exclamação à direita (!)
- Colchetes de fechamento (])
- Ponto e vírgula (;)
- Barra (/)
- Percentagem (%)
A configuração do Backup SQL não oferece suporte à cotação única no nome do banco de dados e causa falha na implantação. Se houver algum banco de dados com aspas simples, recomendamos que você renomeie o banco de dados ou adote a abordagem de backup nativo.
O aliasing está disponível para caracteres não suportados, mas recomendamos evitá-los. Para obter mais informações, consulte Noções Básicas sobre o Modelo de Dados do Serviço Tabela.
Não há suporte para vários bancos de dados na mesma instância SQL com diferença de invólucro.
Não há suporte para alterar o invólucro de um banco de dados SQL após a configuração da proteção.
Nota
A operação Configurar Proteção para bancos de dados com caracteres especiais, como {
, '}
, , [
, ]
,
, -
(
.
)
=
&
;
+
'
ou /
, em seu nome não é suportada. Você pode alterar o nome do banco de dados ou habilitar a Proteção Automática, que pode proteger esses bancos de dados com êxito.
Criar um cofre dos Serviços de Recuperação
Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e fornece uma interface para executar operações relacionadas ao backup. Essas operações incluem a realização de backups sob demanda, a execução de restaurações e a criação de políticas de backup.
Para criar um cofre dos Serviços de Recuperação:
Inicie sessão no portal do Azure.
Procure Centro de backup e, em seguida, vá para o painel Centro de backup.
No painel Visão geral, selecione Vault.
Selecione Recovery Services vault>Continue.
No painel Cofre dos Serviços de Recuperação, insira os seguintes valores:
Subscrição: selecione a subscrição que pretende utilizar. Se for membro de apenas uma subscrição, vai ver esse nome. Se você não tiver certeza de qual assinatura usar, use a assinatura padrão. Terá várias escolhas apenas se a sua conta escolar ou profissional estiver associada a mais do que uma subscrição do Azure.
Grupo de recursos: use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na sua subscrição, selecione Utilizar existente e, em seguida, selecione um recurso na lista pendente. Para criar um novo grupo de recursos, selecione Criar novo e insira o nome. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
Nome do cofre: insira um nome amigável para identificar o cofre. O nome tem de ser exclusivo para a subscrição do Azure. Especifique um nome com um mínimo de 2 carateres e um máximo de 50 carateres. O nome tem de começar com uma letra e ser composto apenas por letras, números e hífenes.
Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.
Importante
Se não tiver certeza da localização da fonte de dados, feche a janela. Aceda à lista dos seus recursos no portal. Se tiver origens de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada uma. Crie o cofre no primeiro local antes de criar um cofre em outro local. Não é necessário especificar contas de armazenamento para armazenar os dados da cópia de segurança. O cofre dos Serviços de Recuperação e o Azure Backup gerem esse processo automaticamente.
Depois de introduzir os valores, selecione Rever + criar.
Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.
Pode demorar algum tempo a criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre é criado, ele aparece na lista de cofres dos Serviços de Recuperação. Se o cofre não aparecer, selecione Atualizar.
Nota
O Backup do Azure agora dá suporte a cofres imutáveis que ajudam a garantir que os pontos de recuperação depois de criados não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para máxima proteção aos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Mais informações.
Descobrir bases de dados do SQL Server
Como descobrir bancos de dados em execução em uma VM:
No portal do Azure, vá para Centro de backup e clique em +Backup.
Selecione SQL na VM do Azure como o tipo de fonte de dados, selecione o cofre dos Serviços de Recuperação que você criou e clique em Continuar.
Em Objetivo da Cópia de Segurança>Detetar BDs em VMs, selecione Iniciar Deteção para procurar VMs desprotegidas na subscrição. Essa pesquisa pode demorar um pouco, dependendo do número de VMs desprotegidas na assinatura.
As VMs desprotegidas devem aparecer na lista após a deteção, listadas por nome e grupo de recursos.
Se uma VM não estiver listada como esperado, verifique se já foi feito backup em um cofre.
Várias VMs podem ter o mesmo nome, mas pertencerão a grupos de recursos diferentes.
Na lista VM, selecione a VM que executa o banco de dados >do SQL Server Discover DBs.
Acompanhe a descoberta de banco de dados em Notificações. O tempo necessário para essa ação depende do número de bancos de dados VM. Quando as bases de dados selecionadas são detetadas, é apresentada uma mensagem de êxito.
O Azure Backup deteta todas as bases de dados do SQL Server na VM. Durante a descoberta, os seguintes elementos ocorrem em segundo plano:
O Backup do Azure registra a VM no cofre para backup de carga de trabalho. É possível fazer backup de todos os bancos de dados na VM registrada somente neste cofre.
O Azure Backup instala a extensão AzureBackupWindowsWorkload na VM. Nenhum agente está instalado em um banco de dados SQL.
O Azure Backup cria a conta de serviço NT Service\AzureWLBackupPluginSvc na VM.
- Todas as operações de cópia de segurança e restauro utilizam a conta de serviço.
- NT Service\AzureWLBackupPluginSvc requer permissões de sysadmin do SQL. Todas as VMs do SQL Server criadas no Marketplace vêm com o SqlIaaSExtension instalado. A extensão AzureBackupWindowsWorkload utiliza a SQLIaaSExtension para obter automaticamente as permissões necessárias.
Se você não criou a VM do Marketplace ou se estiver no SQL 2008 e 2008 R2, a VM pode não ter o SqlIaaSExtension instalado e a operação de descoberta falhará com a mensagem de erro UserErrorSQLNoSysAdminMembership. Para corrigir esse problema, siga as instruções em Definir permissões de VM.
Configurar a cópia de segurança
Em Meta de Backup>Etapa 2: Configurar Backup, selecione Configurar Backup.
Selecione Adicionar recursos para ver todos os grupos de disponibilidade registrados e instâncias autônomas do SQL Server.
Na tela Selecionar itens para backup, selecione a seta à esquerda de uma linha para expandir a lista de todos os bancos de dados desprotegidos nessa instância ou no grupo de disponibilidade Always On.
Escolha todos os bancos de dados que deseja proteger e selecione OK.
Para otimizar as cargas da cópia de segurança, o Azure Backup define o número máximo de bases de dados numa tarefa de cópia de segurança como 50.
Para proteger mais de 50 bancos de dados, configure vários backups.
Para habilitar a instância inteira ou o grupo de disponibilidade Always On, na lista suspensa AUTOPROTECT, selecione ON e, em seguida, selecione OK.
Nota
O recurso de proteção automática não só permite a proteção em todos os bancos de dados existentes de uma só vez, mas também protege automaticamente quaisquer novos bancos de dados adicionados a essa instância ou ao grupo de disponibilidade.
Defina a política de backup. Pode optar por uma das seguintes opções:
Selecione a política padrão como HourlyLogBackup.
Escolha uma política de cópias de segurança existente criada anteriormente para SQL.
Defina uma nova política com base no RPO e no período de retenção.
Selecione Ativar Backup para enviar a operação Configurar Proteção e acompanhar o progresso da configuração na área Notificações do portal.
Criar uma política de cópias de segurança
Uma política de cópias de segurança define quando as cópias de segurança são feitas e por quanto tempo são retidas.
- Uma política é criada ao nível do cofre.
- Vários cofres podem utilizar a mesma política de cópias de segurança, mas deve aplicar a política a cada cofre.
- Por predefinição, quando cria uma política de cópias de segurança, é criada uma cópia de segurança completa diariamente.
- Pode adicionar uma cópia de segurança diferencial, mas apenas se configurar a realização de cópias de segurança completas semanalmente.
- Saiba mais sobre os diferentes tipos de políticas de backup.
Para criar uma política de cópias de segurança:
Vá para Centro de backup e clique em +Política.
Selecione SQL Server na VM do Azure como o tipo de fonte de dados, selecione o cofre sob o qual a política deve ser criada e clique em Continuar.
Em Nome da política, introduza um nome para a nova política.
Selecione o link Editar correspondente ao backup completo para modificar as configurações padrão.
- Selecione uma frequência de backup. Escolha Diário ou Semanal.
- Para Diária, selecione a hora e o fuso horário nos quais a tarefa de cópia de segurança começa. Não pode criar cópias de segurança diferenciais para cópias de segurança completas diárias.
Em INTERVALO DE RETENÇÃO, todas as opções são selecionadas por padrão. Limpe os limites de intervalo de retenção que não deseja e defina os intervalos a serem usados.
- O período mínimo de retenção para qualquer tipo de backup (completo, diferencial e log) é de sete dias.
- Os pontos de recuperação são marcados para retenção com base no respetivo período de retenção. Por exemplo, se selecionar uma cópia de segurança completa diária, vai ser acionada apenas uma cópia de segurança completa por dia.
- O backup para um dia específico é marcado e retido com base no intervalo de retenção semanal e na configuração de retenção semanal.
- Os intervalos de retenção mensais e anuais comportam-se de forma semelhante.
Selecione OK para aceitar a configuração para backups completos.
Selecione o link Editar correspondente ao Backup diferencial para modificar as configurações padrão.
- Em Política de Cópia de segurança diferencial, selecione Ativar para abrir os controlos de frequência e retenção.
- Você pode acionar apenas um backup diferencial por dia. Um backup diferencial não pode ser acionado no mesmo dia que um backup completo.
- As cópias de segurança diferenciais podem ser retidas durante um máximo de 180 dias.
- O período de retenção de backup diferencial não pode ser maior do que o do backup completo (já que os backups diferenciais dependem dos backups completos para recuperação).
- O Backup Diferencial não é suportado para o banco de dados mestre.
Selecione o link Editar correspondente ao Backup de log para modificar as configurações padrão
- Em Cópia de Segurança de Registo, selecione Ativar e, em seguida, defina os controlos de frequência e retenção.
- Os backups de log podem ocorrer a cada 15 minutos e podem ser retidos por até 35 dias.
- Se o banco de dados estiver no modelo de recuperação simples, o agendamento de backup de log para esse banco de dados será pausado e, portanto, nenhum backup de log será acionado.
- Se o modelo de recuperação do banco de dados mudar de Completo para Simples, os backups de log serão pausados dentro de 24 horas após a alteração no modelo de recuperação. Da mesma forma, se o modelo de recuperação mudar de Simples, implicando que os backups de log agora podem ser suportados para o banco de dados, os agendamentos de backups de log serão habilitados dentro de 24 horas após a alteração no modelo de recuperação.
No menu Política de backup, escolha se deseja habilitar a compactação do Backup SQL ou não. Esta opção está desativada por padrão. Se habilitado, o SQL Server enviará um fluxo de backup compactado para a VDI. O Backup do Azure substitui os padrões de nível de instância pela cláusula COMPRESSION / NO_COMPRESSION, dependendo do valor desse controle.
Depois de concluir as edições na política de cópias de segurança, selecione OK.
Nota
Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será mantido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que você tenha um backup completo semanal, diferencial diário e logs de 2 horas. Todos eles são retidos por 30 dias. Mas, o completo semanal pode ser realmente limpo / excluído apenas depois que o próximo backup completo estiver disponível, ou seja, após 30 + 7 dias. Por exemplo, um backup completo semanal acontece em 16 de novembro. De acordo com a política de retenção, ele deve ser mantido até 16 de dezembro. O último backup de log para este completo acontece antes do próximo completo agendado, em 22 de novembro. Até que este log esteja disponível até 22 de dezembro, o 16 de novembro completo não pode ser excluído. Assim, o dia 16 de novembro fica retido até 22 de dezembro.
Ativar a proteção automática
Você pode habilitar a proteção automática para fazer backup automático de todos os bancos de dados existentes e futuros em uma instância autônoma do SQL Server ou em um grupo de disponibilidade Always On.
- Não há limite para o número de bancos de dados que você pode selecionar para proteção automática de cada vez. O Discovery normalmente é executado a cada oito horas. A proteção automática de um banco de dados recém-descoberto será acionada dentro de 32 horas. No entanto, você pode descobrir e proteger novos bancos de dados imediatamente se executar manualmente uma descoberta selecionando a opção Rediscover DBs .
- Se a operação de proteção automática no banco de dados recém-descoberto falhar, ela será repetida três vezes. Se todas as três tentativas falharem, o banco de dados não será protegido.
- Não é possível proteger ou excluir seletivamente bancos de dados da proteção em uma instância no momento em que você habilita a proteção automática.
- Se sua instância já incluir alguns bancos de dados protegidos, eles permanecerão protegidos sob suas respetivas políticas mesmo depois que você ativar a proteção automática. Todos os bancos de dados desprotegidos adicionados posteriormente terão apenas uma única política definida no momento da habilitação da proteção automática, listada em Configurar backup. No entanto, você pode alterar a política associada a um banco de dados protegido automaticamente posteriormente.
- Se a operação Configurar Proteção para o banco de dados recém-descoberto falhar, ela não disparará um alerta. No entanto, uma tarefa de backup com falha pode ser encontrada na página Trabalhos de backup.
Para ativar a proteção automática:
Em Itens para backup, selecione a instância para a qual você deseja habilitar a proteção automática.
Selecione a lista suspensa em AUTOPROTECT, escolha ON e, em seguida, selecione OK.
O backup é configurado para todos os bancos de dados juntos e pode ser rastreado em trabalhos de backup.
Se você precisar desabilitar a proteção automática, selecione o nome da instância em Configurar Backup e, em seguida, selecione Desabilitar Autoprotect para a instância. O backup de todos os bancos de dados continuará a ser feito, mas os bancos de dados futuros não serão protegidos automaticamente.
Próximos passos
Aprenda a: