Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文介绍如何将Azure VM 上运行的SAP HANA数据库备份到 Azure Backup 恢复服务保管库。
SAP HANA数据库是关键工作负载,它们需要低恢复点目标(RPO)和长期保留。 可以使用 Azure Backup 备份在Azure virtual machines(VM)上运行的SAP HANA数据库。 还可以备份Azure VM 上的SAP HANA系统复制数据库和备份Azure VM 上的SAP HANA数据库实例快照。
若要了解支持的SAP HANA数据库备份和还原方案、区域可用性和限制,请参阅 support 矩阵。 有关常见问题,请参阅 常见问题。
先决条件
若要为备份注册数据库,请参阅先决条件和预注册脚本的功能部分。
建立网络连接
对于所有操作,在Azure VM上运行的SAP HANA数据库需要连接到Azure Backup服务、Azure Storage和Microsoft Entra ID。 这可以通过使用专用终结点或允许access到所需的公共 IP 地址或 FQDN 来实现。 不允许与所需Azure服务建立适当的连接可能会导致数据库发现、配置备份、执行备份和还原数据等作失败。
下表列出了可用于建立连接的各种备选方案:
| 选项 | 优点 | 缺点 |
|---|---|---|
| 专用终结点 | 允许通过virtual network内的专用 IP 进行备份 提供网络和保管库端的精细控制 |
产生标准专用终结点 费用 |
| NSG 服务标记 | 由于范围更改会自动合并,因此更易于管理 无额外成本 |
仅可与 NSG 配合使用 为整个服务提供访问 |
| Azure Firewall FQDN 标记 | 由于必需的 FQDN 是自动管理的,因此管理起来更加容易。 | 只能与Azure Firewall一起使用 |
| 允许访问服务的FQDN/IP | 无额外成本。 适用于所有网络安全设备和防火墙。 还可以将服务端点用于存储。 但是,对于 Azure Backup 和 Microsoft Entra ID,需要将访问权限分配给相应的 IP/FQDN。 |
可能需要访问一组广泛的 IP 或 FQDN。 |
| 虚拟网络服务终结点 | 可用于Azure Storage。 提供很大的优势,可优化数据平面流量的性能。 |
不能用于Microsoft Entra ID、Azure Backup服务。 |
| 网络虚拟设备 | 可用于Azure Storage、Microsoft Entra ID、Azure Backup服务。 数据平面
管理平面
详细了解 Azure Firewall 服务标记。 |
增加数据平面流量的开销,降低吞吐量/性能。 |
关于使用这些选项的更多细节如下:
专用终结点
专用终结点允许您从虚拟网络内的服务器安全地连接到恢复服务保管库。 专用终结点使用来自 VNET 地址空间的 IP 地址用于您的保管库。 您的虚拟网络内部资源与保管库之间的网络流量通过您的虚拟网络以及Microsoft主干网中的私有链接进行传输。 这样就消除了来自公共互联网的暴露。 阅读有关 Azure Backup 专用端点的详细信息,请点击此处。
注意
Azure Backup和Azure Storage支持私有终结点。 Microsoft Entra ID在私密预览中支持专用终结点。 在全面公开发布之前,Azure 备份支持为 Microsoft Entra ID 设置代理,这样 HANA 虚拟机无需出站连接。 有关详细信息,请参阅代理支持部分。
NSG 标记
如果使用网络安全组(NSG),请使用 AzureBackup 服务标签允许出站访问 Azure Backup。 除了Azure Backup标记之外,你还需要通过为Microsoft Entra ID(AzureActiveDirectory)和Azure存储(Storage)创建类似的NSG规则,以允许身份验证和数据传输的连接。 以下步骤描述为Azure Backup标记创建规则的过程:
在“所有服务”中转到“网络安全组”,然后选择“网络安全组”。
在“设置”下选择“出站安全规则”。
选择 添加 。 根据安全规则设置中所述,输入创建新规则所需的所有详细信息。 请确保将选项“目标”设置为“服务标记”,将“目标服务标记”设置为“AzureBackup”。
选择“添加”,保存新创建的出站安全规则。
同样,可以为Azure Storage和Microsoft Entra ID创建 NSG 出站安全规则。 有关服务标记的详细信息,请参阅此文。
Azure Firewall标记
如果使用 Azure Firewall,请使用 AzureBackup 和 Azure Firewall FQDN 标签 创建应用程序规则。 这允许所有出站访问 Azure Backup。
注意
Azure Backup目前不支持在 Azure Firewall 上启用 TLS 检查Application Rule。
允许访问服务的 IP 范围
如果选择允许访问服务 IP,请参阅 JSON 文件中所提供的 IP 范围此处。 需要允许对应于 Azure Backup、Azure Storage 和 Microsoft Entra ID 的 IP 访问权限。
允许访问服务的完全合格域名 (FQDN)
您还可以使用以下完全限定域名 (FQDN) 来允许您的服务器访问所需的服务:
| 服务 | 要访问的域名 | 端口 |
|---|---|---|
| Azure Backup | *.backup.windowsazure.cn |
443 |
| Azure Storage | *.blob.core.chinacloudapi.cn *.queue.core.chinacloudapi.cn *.blob.storage.chinacloudapi.cn |
443 |
| Azure AD | *.login.microsoft.com 根据本文的第23节,允许访问FQDN。 |
443 如果适用 |
使用 HTTP 代理服务器路由流量
注意
目前,我们仅支持 SAP HANA Microsoft Entra 流量的 HTTP 代理。 如果需要消除通过 HANA 虚拟机中的 Azure Backup 对数据库备份的出站连接要求(涉及 Azure Backup 和 Azure Storage 流量),可以使用其他选项,例如使用专用终结点。
使用 HTTP 代理服务器处理 Microsoft Entra 的流量
转到“opt/msawb/bin”文件夹
创建名为“ExtensionSettingsOverrides.json”的新 JSON 文件
将键值对添加到 JSON 文件,如下所示:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }更改文件的权限和所有权,如下所示:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json不需要重新启动任何服务。 Azure Backup服务将尝试通过 JSON 文件中提到的代理服务器路由Microsoft Entra 流量。
使用出站规则
如果防火墙或 NSG 设置阻止来自Azure虚拟机的 “management.chinacloudapi.cn” 域,快照备份将失败。
创建以下出站规则,并允许域名进行数据库备份。 了解如何创建出站规则。
- 源:VM 的 IP 地址。
- 目标:服务标签。
- 目标服务标记:
AzureResourceManager
创建恢复服务保管库
恢复服务保管库是一个管理实体,用于存储一段时间内创建的恢复点。 它提供用于执行备份相关作的接口。 这些操作包括按需备份、执行还原和创建备份策略。
若要创建恢复服务保管库,请执行以下操作:
登录到 Azure portal。
搜索“备份中心”,然后转到“备份中心”仪表板。
在“ 概述 ”窗格中,选择“ + 保管库”。
选择“恢复服务保管库”>“继续”。
在“恢复服务保管库”窗格中输入以下值:
订阅:选择要使用的订阅。 如果你仅是一个订阅的成员,则会看到该名称。 如果不确定要使用哪个订阅,请使用默认订阅。 仅当工作或学校帐户与多个Azure订阅相关联时,才会显示多个选择。
资源组:使用现有资源组,或创建一个新的资源组。 若要查看订阅中可用资源组的列表,请选择“ 使用现有资源组”。 然后在下拉列表中选择资源。 若要创建新的资源组,请选择“新建”并输入新资源组的名称。 有关资源组的详细信息,请参阅 Azure Resource Manager 概述。
保管库名称:输入一个易记名称,用于标识此保管库。 该名称在 Azure 订阅中必须是唯一的。 指定的名称应至少包含 2 个字符,最多不超过 50 个字符。 名称必须以字母开头且只能包含字母、数字和连字符。
区域:为备份保管库选择地理区域。 若要创建保管库来保护任何数据源,该保管库必须位于数据源所在的区域。
重要
如果不确定数据源的位置,请关闭该窗口。 在门户中访问你的资源列表。 如果数据源位于多个区域中,请为每个区域创建恢复服务保管库。 先在第一个地点创建保管库,然后再在其他地点创建保管库。 无需指定存储帐户来存储备份数据。 恢复服务保管库和Azure Backup自动处理该步骤。
提供值后,选择“ 查看 + 创建”。
要完成恢复服务保管库的创建,请选择“创建”。
创建恢复服务保管库可能需要一段时间。 可在右上方的“通知”区域监视状态通知。 创建保管库后,它会显示在“恢复服务保管库”的列表中。 如果保管库未出现,请选择刷新。
Azure Backup现在支持不可变保管库,可帮助确保在创建恢复点后,无法根据备份策略在到期之前删除它们。 你可以使不可变性不可逆,以帮助保护备份数据免受各种威胁,包括勒索软件攻击和恶意参与者。 详细了解Azure Backup不可变保管库。
启用跨区域恢复
在恢复服务保管库中,可以启用跨区域还原。 了解如何开启跨区域还原。
了解更多关于跨区域恢复的信息。
发现数据库
在Azure portal中,转到 Backup center 并选择 +Backup。
在 Azure VM 中选择 SAP HANA 作为数据源类型,选择要用于备份的恢复服务保管库,然后选择 Continue。
在 “备份目标 ”窗格中,选择“ 启动发现”。 这将开始在保管库所在区域检测未受保护的 Linux VM。
- 在发现后,未受保护的 VM 将显示在门户中,按名称和资源组列出。
- 如果某个 VM 未按预期列出,请检查它是否已在保管库中备份。
- 可能有多个 VM 同名,但属于不同的资源组。
在 选择虚拟机 中,选择链接以下载脚本,该脚本为 Azure 备份服务提供访问 SAP HANA 虚拟机进行数据库发现的权限。
在要备份SAP HANA数据库的每个 VM 上运行脚本。
在 VM 上运行脚本后,在 Select Virtual Machines 中,选择 VM。 然后选择“检查数据库”。
Azure Backup发现 VM 上的所有SAP HANA数据库。 在发现期间,Azure Backup向保管库注册 VM,并在 VM 上安装扩展。 不会在数据库中安装任何代理。
配置备份
现在启用备份。
在步骤 2 中,选择“配置备份”。
在“选择要备份的项”窗格中,选择所有要保护的数据库,然后单击>确定。
对于 备份策略,请选择备份策略,或根据以下说明为数据库创建新的备份策略。
创建策略后,在“备份菜单”中选择“启用备份” 。
可以在门户的 “通知 ”区域中跟踪备份配置进度。
创建备份策略
备份策略定义备份创建时间以及这些备份的保留时间。
- 策略是在保管库级别创建的。
- 多个保管库可以使用相同的备份策略,但必须向每个保管库应用该备份策略。
注意
在备份Azure VM 中运行的SAP HANA数据库时,Azure Backup不会自动调整夏令时更改。
请根据需要手动修改策略。
按以下方式指定策略设置:
在“策略名称”处输入新策略的名称。
在“完整备份策略”中选择“备份频率”,然后选择“每日”或“每周”。
-
每日:选择开始备份作业的小时和时区。
- 你必须运行完整备份。 无法关闭此选项。
- 选择“完整备份”以查看策略。
- 对于每日完整备份,无法创建差异备份。
- 每周:选择运行备份作业的星期、小时和时区。
-
每日:选择开始备份作业的小时和时区。
在“保留期限”中,为完整备份配置保留策略。
- 默认情况下将选择所有选项。 清除你不想使用的所有保持期限制,并设置要使用的选项。
- 任何备份类型(完整/差异/日志)的最短保持期均为七天。
- 恢复点已根据其保留范围标记为保留。 例如,如果选择每日完整备份,则每天只触发一次完整备份。
- 根据每周保留范围和设置,会标记并保留特定日期的备份。
- 每月和年度保留范围的行为类似。
在“完整备份策略”菜单中,选择“确定”接受设置。
选择“差异备份”,以添加差异策略。
在“差异备份策略”中,选择“启用”以打开频率和保留设置。
- 每天最多可以触发一次差异备份。
- 差异备份最多可以保留 180 天。 如果需要保留更长时间,必须使用完整备份。
注意
可以选择差异备份或增量备份作为每日备份,但不能同时选择两者。
在“增量备份策略”中,选择“启用”以打开频率和保留控件 。
- 每天最多可以触发一次增量备份。
- 增量备份最多可以保留 180 天。 如果需要保留更长时间,必须使用完整备份。
选择“确定”保存策略,并返回“备份策略”主菜单。
请选择“日志备份”,以添加事务日志备份策略。
- 在“日志备份”中,选择“启用”。 无法禁用此功能,因为SAP HANA管理所有日志备份。
- 设置频率和保留期控制。
注意
日志备份仅在成功完成一次完整备份之后进行。
选择“确定”保存策略,并返回“备份策略”主菜单。
完成定义备份策略后,选择“确定”。
注意
日志备份和增量备份链接到完整备份,形成恢复链。 完整备份将保留到最后一个依赖备份(日志或增量)的保留期到期。 这可能意味着将完整备份保留一段时间,以确保可以恢复所有依赖备份。 假设用户每周有一次完整备份、每日增量日志和 2 小时日志。 所有这些备份都将保留 30 天。 但是,只有在下一个完整备份可用后(即 30 + 7 天后),才能真正清除/删除这个每周完整备份。 例如,每周完整备份在 11 月 16 日执行。 根据保留策略,它应保留到 12 月 16 日。 该完整备份的最后一次日志备份发生在计划于 11 月 22 日执行的下一次完整备份之前。 在 12 月 22 日之前此日志可用前,不能删除 11 月 16 日的完整备份。 因此,11 月 16 日的完整备份将保留到 12 月 22 日。 同样的逻辑适用于增量备份:如果每日增量备份保留期为30天,那么下一个完整备份(11月22日)之前的最后一个增量备份将在12月22日过期,因此11月16日的完整备份也将保留到12月22日。
如果备份处于软删除状态,则应用相同的链接和保留依赖项。 软删除的备份会在策略保留期之外再保留 14 天,之后才会被永久删除。
运行按需备份
备份根据策略计划运行。 了解如何运行按需备份。
在具有Azure Backup的数据库上运行SAP HANA本机客户端备份
可以运行按需备份,使用 SAP HANA 原生客户端连接到本地文件系统,而不是使用 Backint。 详细了解如何使用 SAP 本机客户端管理操作。
使用 Backint 配置多流数据备份以提高吞吐量
若要配置多流数据备份,请参阅 SAP 文档。
了解支持的方案。
查看备份状态
Azure Backup定期同步 VM 上安装的扩展与 Azure Backup 服务之间的数据源,并在Azure portal中显示备份状态。 下表列出了数据源的(四种)备份状态:
| 备份状态 | 说明 |
|---|---|
| 健康 | 上次备份成功。 |
| 不正常 | 上次备份失败。 |
| NotReachable | VM 上的扩展与 Azure Backup 服务之间当前没有发生同步。 |
| IRPending | 数据源上的第一个备份尚未进行。 |
通常,同步每一小时发生一次。 在扩展级别,Azure Backup 每隔5分钟轮询一次,以检查最新备份与上一次备份状态相比是否有任何更改。 例如,如果上一个备份成功但最新备份失败,Azure Backup会将该信息同步到服务以相应地更新Azure portal中的备份状态,Healthy或 Unhealthy。
如果在超过 2 小时内未向 Azure Backup 服务同步数据,Azure Backup 将显示备份状态为 NotReachable。 如果 VM 长时间关闭或 VM 上存在网络连接问题,导致同步停止,则可能会出现这种情况。 VM 再次运行后,扩展服务重新启动,数据同步操作会恢复,并且备份状态会根据上次备份的状态更改为 “Healthy” 或 “Unhealthy”。
后续步骤
- 使用 Azure 门户恢复在 Azure 虚拟机上运行的 SAP HANA 数据库。
- 使用 Azure CLI还原运行在 Azure VM 上的 SAP HANA 数据库。
- 使用 Azure portal 管理由 Azure Backup 备份的 SAP HANA 数据库。
使用 Azure CLI 管理由 Azure Backup 备份的 SAP HANA 数据库。