备份 Azure VM 中的 SAP HANA 数据库
本文介绍如何将 Azure VM 上运行的 SAP HANA 数据库备份到 Azure 备份恢复服务保管库。
SAP HANA 数据库是关键工作负荷,要求较低的恢复点目标 (RPO) 和长期保留。 可以使用 Azure 备份来备份在 Azure 虚拟机 (VM) 上运行的 SAP HANA 数据库。
注意
若要详细了解支持的配置和方案,请参阅 SAP HANA 备份支持矩阵。
先决条件
若要为备份注册数据库,请参阅先决条件和预注册脚本的功能部分。
建立网络连接
对于所有操作,在 Azure VM 上运行的 SAP HANA 数据库需要连接到 Azure 备份服务、Azure 存储和 Microsoft Entra ID。 这可以通过使用专用终结点,或允许访问所需的公共 IP 地址或 FQDN 来实现。 如果不允许正确连接到所需的 Azure 服务,则可能会导致诸如数据库发现、配置备份、执行备份和还原数据等操作失败。
下表列出了可用于建立连接的各种备选方案:
| 选项 | 优点 | 缺点 |
|---|---|---|
| 专用终结点 | 允许通过虚拟网络中的专用 IP 进行备份 提供网络和保管库端的精细控制 |
产生标准专用终结点开销 |
| NSG 服务标记 | 由于范围更改会自动合并,因此更易于管理 无额外成本 |
仅可与 NSG 配合使用 提供对整个服务的访问 |
| Azure 防火墙 FQDN 标记 | 自动管理必需的 FQDN,因此更易于管理 | 只可用于 Azure 防火墙 |
| 允许访问服务 FQDN/IP | 无额外成本。 适用于所有网络安全设备和防火墙。 还可以将服务终结点用于存储。 但是,对于 Azure 备份和 Microsoft Entra ID,需要分配对相应 IP/FQDN 的访问权限。 |
可能需要访问一组广泛的 IP 或 FQDN。 |
| 虚拟网络服务终结点 | 可用于 Azure 存储。 提供很大的优势,可优化数据平面流量的性能。 |
不能用于 Microsoft Entra ID、Azure 备份服务。 |
| 网络虚拟设备 | 不能用于 Azure 存储、Microsoft Entra ID、Azure 备份服务。 数据平面
管理平面
详细了解 Azure 防火墙服务标记。 |
增加数据平面流量的开销,降低吞吐量/性能。 |
关于使用这些选项的更多细节如下:
专用终结点
使用专用终结点,可以从虚拟网络内的服务器安全地连接到恢复服务保管库。 专用终结点为保管库使用 VNET 地址空间中的 IP。 虚拟网络中的资源与保管库之间的网络流量将通过虚拟网络和 Microsoft 主干网络上的专用链接传输。 这样就不会从公共 Internet 泄露信息。
NSG 标记
如果使用网络安全组 (NSG),请使用 AzureBackup 服务标记以允许对 Azure 备份进行出站访问。 除了 Azure 备份标记外,还需要通过为 Microsoft Entra ID (AzureActiveDirectory) 和 Azure 存储(存储)创建类似的 NSG 规则,允许在连接后进行身份验证和数据传输。 以下步骤介绍了为 Azure 备份标记创建规则的过程:
在“所有服务”中转到“网络安全组”,然后选择“网络安全组”。
在“设置”下选择“出站安全规则”。
选择 添加 。 根据安全规则设置中所述,输入创建新规则所需的所有详细信息。 请确保将选项“目标”设置为“服务标记”,将“目标服务标记”设置为“AzureBackup”。
选择“添加”,保存新创建的出站安全规则。
同样,可以为 Azure 存储和 Microsoft Entra ID 创建 NSG 出站安全规则。 有关服务标记的详细信息,请参阅此文。
Azure 防火墙标记
如果使用 Azure 防火墙,请使用 AzureBackup Azure 防火墙 FQDN 标记创建应用程序规则。 这允许对 Azure 备份进行所有出站访问。
允许访问服务 IP 范围
如果选择允许访问服务 IP,请参阅此处的 JSON 文件中的 IP 范围。 你需要允许访问与 Azure 备份、Azure 存储和 Microsoft Entra ID 对应的 IP。
允许访问服务 FQDN
还可以使用以下 FQDN 以允许从服务器访问所需的服务:
| 服务 | 要访问的域名 | 端口 |
|---|---|---|
| Azure 备份 | *.backup.windowsazure.cn |
443 |
| Azure 存储 | *.blob.core.chinacloudapi.cn *.queue.core.chinacloudapi.cn *.blob.storage.chinacloudapi.cn |
443 |
| Azure AD | 依据本文的第 23 节中的内容,允许对 FQDN 的访问 | 443 如果适用 |
使用 HTTP 代理服务器路由流量
注意
目前,对于 SAP HANA,我们仅支持将 HTTP 代理用于 Microsoft Entra 流量。 如果需要通过 HANA VM 中的 Azure 备份功能去除数据库备份的出站连接要求(对于 Azure 备份和 Azure 存储流量),请使用其他选项,例如专用终结点。
将 HTTP 代理服务器用于 Microsoft Entra 流量
转到“opt/msawb/bin”文件夹
创建名为“ExtensionSettingsOverrides.json”的新 JSON 文件
将键值对添加到 JSON 文件,如下所示:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }更改文件的权限和所有权,如下所示:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json不需要重新启动任何服务。 Azure 备份服务会尝试通过 JSON 文件中提到的代理服务器路由 Microsoft Entra 流量。
使用出站规则
如果防火墙或 NSG 设置阻止 Azure 虚拟机中的 “management.chinacloudapi.cn” 域,快照备份将失败。
创建以下出站规则并允许域名执行数据库备份。 了解如何创建出站规则。
- 源:VM 的 IP 地址。
- 目标:服务标记。
- 目标服务标记:
AzureResourceManager
创建恢复服务保管库
恢复服务保管库是一个管理实体,它会存储一段时间内创建的恢复点,并提供用于执行备份相关操作的接口。 这些操作包括按需备份、执行还原和创建备份策略。
若要创建恢复服务保管库,请执行以下操作:
登录 Azure 门户。
搜索“备份中心”,然后转到“备份中心”仪表板。
在“概述”窗格中选择“保管库”。
选择“恢复服务保管库”>“继续” 。
在“恢复服务保管库”窗格中输入以下值:
订阅:选择要使用的订阅。 如果你仅是一个订阅的成员,则会看到该名称。 如果不确定要使用哪个订阅,请使用默认订阅。 仅当工作或学校帐户与多个 Azure 订阅关联时,才会显示多个选项。
资源组:使用现有资源组,或创建一个新的资源组。 若要查看订阅中可用的资源组的列表,请选择“使用现有资源”,然后从下拉列表中选择一个资源。 若要创建新的资源组,请选择“新建”并输入新资源组的名称。 有关资源组的详细信息,请参阅 Azure 资源管理器概述。
保管库名称:输入一个易记名称,用于标识此保管库。 名称对于 Azure 订阅必须是唯一的。 指定的名称应至少包含 2 个字符,最多不超过 50 个字符。 名称必须以字母开头且只能包含字母、数字和连字符。
区域:为保管库选择地理区域。 若要创建保管库来保护任何数据源,该保管库必须位于数据源所在的区域。
重要
如果不确定数据源的位置,请关闭该窗口。 在门户中访问你的资源列表。 如果数据源位于多个区域中,请为每个区域创建恢复服务保管库。 先在第一个位置创建保管库,然后再在其他位置中创建保管库。 无需指定存储帐户即可存储备份数据。 恢复服务保管库和 Azure 备份会自动处理这种情况。
提供值后,选择“查看 + 创建”。
要完成恢复服务保管库的创建,请选择“创建”。
创建恢复服务保管库可能需要一段时间。 可在右上方的“通知”区域监视状态通知。 创建保管库后,它会显示在“恢复服务保管库”的列表中。 如果没有显示保管库,请选择“刷新”。
注意
Azure 备份现在支持不可变保管库,可帮助确保恢复点一旦创建就无法根据备份策略在到期前将其删除。 可以将不可变性设为不可逆转,以最大限度地保护备份数据免受各种威胁,包括勒索软件攻击和恶意行动者。 了解详细信息。
启用跨区域还原
在恢复服务保管库中,可以启用跨区域还原。 了解如何开启跨区域还原。
详细了解跨区域还原。
发现数据库
在 Azure 门户中,转到“备份中心”并选择“+ 备份”。
选择“Azure VM 中的 SAP HANA”作为数据源类型,选择用于备份的恢复服务保管库,然后选择“继续”。
选择“开始发现”。 这会开始在保管库区域中发现未受保护的 Linux VM。
- 在发现后,未受保护的 VM 将显示在门户中,按名称和资源组列出。
- 如果某个 VM 未按预期列出,请检查它是否已在保管库中备份。
- 可能有多个 VM 同名,但属于不同的资源组。
在“选择虚拟机”中,选择脚本下载链接。此脚本可为 Azure 备份服务提供访问 SAP HANA VM 的权限,以进行数据库发现。
在托管要备份的 SAP HANA 数据库的每个 VM 上运行此脚本。
在 VM 上运行此脚本后,在“选择虚拟机”中选择 VM。 然后选择“发现 DB”。
Azure 备份可发现该 VM 上的所有 SAP HANA 数据库。 在发现期间,Azure Backup 将 VM 注册到保管库,并在该 VM 上安装扩展。 不会在数据库中安装任何代理。
配置备份
现在启用备份。
在步骤 2 中,选择“配置备份”。
在“选择要备份的项”中,选择要保护的所有数据库,然后选择“确定”。
在“备份策略”>“选择备份策略”中,按照下面的说明,为数据库创建一个新的备份策略。
创建策略后,在“备份菜单”中选择“启用备份” 。
在门户的“通知”区域跟踪备份配置进度。
创建备份策略
备份策略定义备份创建时间以及这些备份的保留时间。
- 策略是在保管库级别创建的。
- 多个保管库可以使用相同的备份策略,但必须向每个保管库应用该备份策略。
注意
备份在 Azure VM 中运行的 SAP HANA 数据库时,Azure 备份不会针对夏令时更改自动进行调整。
请根据需要手动修改策略。
按以下方式指定策略设置:
在“策略名称”处输入新策略的名称。
在“完整备份策略”中选择“备份频率”,然后选择“每日”或“每周”。
- 每日:选择开始备份作业的小时和时区。
- 你必须运行完整备份。 无法关闭此选项。
- 选择“完整备份”以查看策略。
- 对于每日完整备份,无法创建差异备份。
- 每周:选择运行备份作业的星期、小时和时区。
- 每日:选择开始备份作业的小时和时区。
在“保持期”中,对完整备份配置保留设置。
- 默认情况下将选择所有选项。 清除你不想使用的所有保持期限制,并设置要使用的选项。
- 任何备份类型(完整/差异/日志)的最短保持期均为七天。
- 恢复点已根据其保留范围标记为保留。 例如,如果选择每日完整备份,则每天只触发一次完整备份。
- 根据每周保持期和设置,将会标记并保留特定日期的备份。
- 每月和每年保留范围的行为类似。
在“完整备份策略”菜单中,选择“确定”接受设置。
选择“差异备份”,以添加差异策略。
在“差异备份策略”中,选择“启用”打开频率和保留控件。
- 每天最多可以触发一次差异备份。
- 差异备份最多可以保留 180 天。 如果需要保留更长时间,必须使用完整备份。
注意
可以选择差异备份或增量备份作为每日备份,但不能同时选择两者。
在“增量备份策略”中,选择“启用”以打开频率和保留控件 。
- 每天最多可以触发一次增量备份。
- 增量备份最多可以保留 180 天。 如果需要保留更长时间,必须使用完整备份。
选择“确定”保存策略,并返回“备份策略”主菜单。
请选择“日志备份”,以添加事务日志备份策略。
- 在“日志备份”中,选择“启用”。 由于 SAP HANA 管理所有日志备份,此类备份无法被禁用。
- 设置频率和保留期控制。
注意
日志备份仅在成功完成一次完整备份之后进行。
选择“确定”保存策略,并返回“备份策略”主菜单。
完成定义备份策略后,选择“确定”。
注意
每个日志备份都链接到上一个完整备份,以形成恢复链。 此完整备份将一直保留到最后一个日志备份的保留期结束为止。 这可能意味着完整备份会保留一段额外的时间,以确保所有日志都可以恢复。 假设用户有每周完整备份、每日差异备份和 2 小时日志备份。 所有这些备份都将保留 30 天。 但是,只有在下一个完整备份可用后(即 30 + 7 天后),才能真正清除/删除这个每周完整备份。 例如,每周完整备份在 11 月 16 日执行。 根据保留策略,它应保留到 12 月 16 日。 该完整备份的最后一次日志备份发生在下一次计划的完整备份之前,即 11 月 22 日。 必须等到 12 月 22 日此日志备份可用后,才能删除 11 月 16 日的完整备份。 因此,11 月 16 日的完整备份将保留到 12 月 22 日。
运行按需备份
备份根据策略计划运行。 了解如何运行按需备份。
在具有 Azure 备份的数据库上运行 SAP HANA 本机客户端备份
可以使用 SAP HANA 本机客户端(而不是 Backint)运行本地文件系统的按需备份。 详细了解如何使用 SAP 本机客户端管理操作。
使用 Backint 配置多流数据备份以提高吞吐量
若要配置多流数据备份,请参阅 SAP 文档。
了解支持的方案。