Eseguire il backup di database SAP HANA nelle VM di Azure
Questo articolo descrive come eseguire il backup di database SAP HANA in esecuzione in macchine virtuali di Azure in un insieme di credenziali di Servizi di ripristino Backup di Azure.
I database SAP HANA sono carichi di lavoro critici che richiedono un obiettivo del punto di ripristino (RPO) basso e la conservazione a lungo termine. È possibile eseguire il backup di database SAP HANA in esecuzione nelle macchine virtuali (VM) di Azure usando Backup di Azure.
Nota
Per altre informazioni sulle configurazioni e sugli scenari supportati, vedere la matrice di supporto per il backup di SAP HANA.
Prerequisiti
Fare riferimento alle sezioni Prerequisiti e Funzionalità dello script di pre-registrazione per configurare il database per il backup.
Stabilire la connettività di rete
Per tutte le operazioni, un database SAP HANA in esecuzione in una macchina virtuale di Azure richiede la connettività al servizio Backup di Azure, Archiviazione di Azure e all'ID Microsoft Entra. Questa operazione può essere eseguita usando endpoint privati oppure consentendo l'accesso agli indirizzi IP pubblici o FQDN richiesti. La mancata connettività corretta ai servizi di Azure necessari potrebbe causare errori in operazioni come l'individuazione del database, la configurazione del backup, l'esecuzione di backup e il ripristino dei dati.
La tabella seguente elenca le varie alternative che è possibile usare per stabilire la connettività:
| Opzione | Vantaggi | Svantaggi |
|---|---|---|
| Endpoint privati | Consentire i backup tramite indirizzi IP privati all'interno della rete virtuale Offerta di un controllo granulare lato rete e lato insieme di credenziali |
Costi standard per endpoint privati |
| Tag del servizio NSG | Più facile da gestire man mano che le modifiche all'intervallo vengono unite automaticamente Nessun costo aggiuntivo |
Può essere usato solo con gruppi di sicurezza di rete Accesso consentito all'intero servizio |
| Tag FQDN di Firewall di Azure | Gestione semplificata perché i FQDN necessari vengono gestiti automaticamente | Utilizzabile solo con Firewall di Azure |
| Accesso consentito a FQDN/IP del servizio | Senza costi aggiuntivi. Funziona con tutti i firewall e le appliance di sicurezza di rete. È anche possibile usare gli endpoint di servizio per l'archiviazione. Tuttavia, per Backup di Azure e Microsoft Entra ID, è necessario assegnare l'accesso agli INDIRIZZI IP/FQDN corrispondenti. |
È possibile accedere a un ampio set di indirizzi IP o FQDN. |
| Rete virtuale endpoint di servizio | Può essere usato per Archiviazione di Azure. Offre grandi vantaggi per ottimizzare le prestazioni del traffico del piano dati. |
Non è possibile usare per Microsoft Entra ID, Backup di Azure servizio. |
| Appliance virtuale di rete | Può essere usato per Archiviazione di Azure, Microsoft Entra ID, Backup di Azure servizio. Piano dati
Piano di gestione
Altre informazioni sui tag del servizio Firewall di Azure. |
Aggiunge overhead al traffico del piano dati e riduce la velocità effettiva/prestazioni. |
Altre informazioni sull'uso di queste opzioni sono condivise di seguito:
Endpoint privati
Gli endpoint privati consentono di connettersi in modo sicuro dai server all'interno di una rete virtuale nell'insieme di credenziali di Servizi di ripristino. L'endpoint privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale per l'insieme di credenziali. Il traffico di rete tra le risorse all'interno della rete virtuale e l'insieme di credenziali si sposta attraverso la rete virtuale e un collegamento privato nella rete backbone Microsoft. In questo modo si elimina l'esposizione dalla rete Internet pubblica. Altre informazioni sugli endpoint privati per Backup di Azure sono disponibili qui.
Nota
Gli endpoint privati sono supportati per Backup di Azure e archiviazione di Azure. Microsoft Entra ID supporta endpoint privati in anteprima privata. Fino a quando non sono disponibili a livello generale, backup di Azure supporta la configurazione del proxy per l'ID Microsoft Entra in modo che non sia necessaria alcuna connettività in uscita per le macchine virtuali HANA. Per altre informazioni, vedere la sezione relativa al supporto proxy.
Tag NSG
Se si usano gruppi di sicurezza di rete (NSG), usare il tag del servizio AzureBackup per consentire l'accesso in uscita a Backup di Azure. Oltre al tag Backup di Azure, è anche necessario consentire la connettività per l'autenticazione e il trasferimento dei dati creando regole del gruppo di sicurezza di rete simili per Microsoft Entra ID (AzureActiveDirectory) e Archiviazione di Azure(Storage). I passaggi seguenti descrivono il processo di creazione di una regola per il tag di Backup di Azure:
In Tutti i servizi, passare a Gruppi di sicurezza di rete e selezionare il gruppo di sicurezza di rete.
In Impostazioni selezionare Regole di sicurezza in uscita.
Selezionare Aggiungi. Immettere tutti i dettagli necessari per la creazione di una nuova regola, come descritto nelle impostazioni delle regole di sicurezza. Assicurarsi che l'opzione Destinazione sia impostata su Tag del servizio e che l'opzione Tag del servizio di destinazione sia impostata su AzureBackup.
Selezionare Aggiungi per salvare la regola di sicurezza in uscita appena creata.
È possibile creare in modo analogo le regole di sicurezza in uscita del gruppo di sicurezza di rete per Archiviazione di Azure e Microsoft Entra ID. Per altre informazioni sui tag di servizio, vedere questo articolo.
Tag del Firewall di Azure
Se si usa Firewall di Azure, creare una regola dell'applicazione usando il tag FQDN di Firewall di Azure AzureBackup. In questo modo si consente l'accesso in uscita a Backup di Azure.
Nota
Backup di Azure attualmente non supporta Regola dell'applicazione abilitata per l'ispezione TLS in Firewall di Azure.
Consentire l'accesso agli intervalli IP del servizio
Se si decide di consentire l'accesso agli IP del servizio, fare riferimento agli intervalli IP nel file JSON disponibile qui. È necessario consentire l'accesso agli indirizzi IP corrispondenti a Backup di Azure, Archiviazione di Azure e Microsoft Entra ID.
Accesso consentito a FQDN del servizio
È anche possibile usare gli FQDN seguenti per consentire l'accesso ai servizi richiesti dai server:
| Service | Nomi di dominio a cui accedere | Porti |
|---|---|---|
| Backup di Azure | *.backup.windowsazure.com |
443 |
| Archiviazione di Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Azure AD | *.login.microsoft.com Consentire l'accesso agli FQDN nelle sezioni 56 e 59 come indicato in questo articolo |
443 Come applicabile |
Usare un server proxy HTTP per instradare il traffico
Nota
Attualmente è supportato solo il proxy HTTP per il traffico Microsoft Entra per SAP HANA. Se è necessario rimuovere i requisiti di connettività in uscita (per il traffico Backup di Azure e Archiviazione di Azure) per i backup del database tramite Backup di Azure nelle macchine virtuali HANA, usare altre opzioni, ad esempio endpoint privati.
Uso di un server proxy HTTP per il traffico Microsoft Entra
Passare alla cartella "opt/msawb/bin"
Creare un nuovo file JSON denominato "ExtensionSettingsOverrides.json"
Aggiungere una coppia chiave-valore al file JSON come segue:
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }Modificare le autorizzazioni e la proprietà del file come indicato di seguito:
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.jsonNon è necessario riavviare alcun servizio. Il servizio Backup di Azure tenterà di instradare il traffico di Microsoft Entra tramite il server proxy indicato nel file JSON.
Usare le regole in uscita
Se le impostazioni del firewall o del gruppo di sicurezza di rete bloccano il “management.azure.com” dominio dalla macchina virtuale di Azure, i backup degli snapshot avranno esito negativo.
Creare la regola in uscita seguente e consentire al nome di dominio di eseguire il backup del database. Informazioni su come creare regole in uscita.
- Origine: indirizzo IP della macchina virtuale.
- Destinazione: tag del servizio.
- Tag del servizio di destinazione:
AzureResourceManager
Creare un insieme di credenziali di Servizi di ripristino
Un insieme di credenziali di Servizi di ripristino è un'entità di gestione che archivia i punti di ripristino creati nel tempo e fornisce un'interfaccia per l'esecuzione di operazioni correlate al backup. Queste operazioni includono l'esecuzione di backup su richiesta, l'esecuzione di ripristini e la creazione di criteri di backup.
Per creare un insieme di credenziali dei servizi di ripristino:
Accedere al portale di Azure.
Cercare Centro backup e quindi passare al dashboard Centro backup.
Nel riquadro Panoramica selezionare Insieme di credenziali.
Selezionare Insieme di credenziali di Servizi di ripristino>Continua.
Nel riquadro Insieme di credenziali di Servizi di ripristino immettere i valori seguenti:
Sottoscrizione: selezionare la sottoscrizione da usare. Se si è un membro di una sola sottoscrizione, verrà visualizzato tale nome. Se non si è certi della sottoscrizione da usare, usare la sottoscrizione predefinita. Sono disponibili più opzioni solo se l'account aziendale o dell'istituto di istruzione è associato a più sottoscrizioni di Azure.
Gruppo di risorse: usare un gruppo di risorse esistente oppure crearne uno nuovo. Per visualizzare un elenco dei gruppi di risorse disponibili nella sottoscrizione, selezionare Usa esistente e quindi selezionare una risorsa nell'elenco a discesa. Per creare un nuovo gruppo di risorse, selezionare Crea nuovo e quindi immettere il nome. Per altre informazioni sui gruppi di risorse, vedere Panoramica di Azure Resource Manager.
Nome dell'insieme di credenziali: immettere un nome descrittivo per identificare l'insieme di credenziali. Il nome deve essere univoco nella sottoscrizione di Azure. Specificare un nome con un minimo di 2 caratteri e un massimo di 50 caratteri. Il nome deve iniziare con una lettera e deve contenere solo lettere, numeri e trattini.
Area: selezionare l'area geografica per l'insieme di credenziali. Per poter creare un insieme di credenziali per proteggere qualsiasi origine dati, l'insieme di credenziali deve trovarsi nella stessa area dell'origine dati.
Importante
In caso di dubbi sulla posizione dell'origine dati, chiudere la finestra. Passare all'elenco delle risorse nel portale. Se si hanno origini dati in più aree, creare un insieme di credenziali di Servizi di ripristino per ogni area. Creare l'insieme di credenziali nella prima località prima di crearne uno in un'altra. Non è necessario specificare gli account di archiviazione per archiviare i dati di backup. Questo aspetto viene gestito automaticamente dall'insieme di credenziali di Servizi di ripristino e da Backup di Azure.
Dopo avere specificato i valori, selezionare Rivedi e crea.
Per completare la creazione dell'insieme di credenziali di Servizi di ripristino, selezionare Crea.
La creazione dell'insieme di credenziali di Servizi di ripristino può richiedere del tempo. Monitorare le notifiche di stato nell'area Notifiche in alto a destra. Al termine della creazione, l'insieme di credenziali verrà visualizzato nell'elenco degli insiemi di credenziali dei servizi di ripristino. Se l'insieme di credenziali non viene visualizzato, selezionare Aggiorna.
Nota
Backup di Azure supporta ora insiemi di credenziali non modificabili che consentono di assicurarsi che dopo la creazione i punti di ripristino non possano essere eliminati prima della scadenza in base ai criteri di backup. È possibile rendere irreversibile l'immutabilità per la massima protezione dei dati di backup da varie minacce, tra cui attacchi ransomware e attori malintenzionati. Altre informazioni.
Abilitare il ripristino tra aree
Nell'insieme di credenziali di Servizi di ripristino è possibile abilitare il ripristino tra aree. Informazioni su come attivare il ripristino tra aree.
Altre informazioni sul ripristino tra aree.
Individuare i database
Nel portale di Azure passare al Centro backup e selezionare +Backup.
Selezionare SAP HANA nella macchina virtuale di Azure come tipo di origine dati, selezionare un insieme di credenziali di Servizi di ripristino da usare per il backup e quindi selezionare Continua.
Selezionare Avvia individuazione. Viene avviata l'individuazione delle macchine virtuali Linux non protette nell'area dell'insieme di credenziali.
- Le VM non protette verranno visualizzate nel portale dopo l'individuazione, elencate per nome e gruppo di risorse.
- Se una VM non è elencata come previsto, verificare se ne è già stato eseguito il backup in un insieme di credenziali.
- Più macchine virtuali possono avere lo stesso nome, ma in questo caso appartengono a gruppi di risorse differenti.
In Seleziona macchine virtuali selezionare il collegamento per scaricare lo script che fornisce le autorizzazioni per il servizio Backup di Azure per accedere alle macchine virtuali SAP HANA per l'individuazione del database.
Eseguire lo script in ogni macchina virtuale che ospita i database SAP HANA di cui eseguire il backup.
Dopo aver eseguito lo script nelle macchine virtuali, selezionarle in Seleziona macchine virtuali. Selezionare quindi Individua database.
Backup di Azure individua tutti i database SAP HANA presenti nella macchina virtuale. Durante l'individuazione, Backup di Azure registra la VM con l'insieme di credenziali e installa l'estensione. Nel database non vengono installati agenti.
Configurare il backup
Ora abilitare il backup.
Nel passaggio 2 selezionare Configura backup.
In Selezionare gli elementi di cui eseguire il backup selezionare tutti i database da proteggere>.
In Criteri di backup>Scegliere i criteri di backup creare un nuovo criterio di backup per i database, seguendo le istruzioni seguenti.
Dopo aver creato i criteri, scegliere Abilita backup dal menu Backup.
Per tenere traccia dello stato di avanzamento della configurazione di backup, vedere l'area Notifiche del portale.
Creare un criterio di backup
Un criterio di backup definisce quando vengono acquisiti i backup e per quanto tempo vengono conservati.
- Un criterio viene creato a livello di insieme di credenziali.
- Più insiemi di credenziali possono usare gli stessi criteri di backup, ma è necessario applicare i criteri di backup a ogni insieme di credenziali.
Nota
Backup di Azure non regola automaticamente le modifiche all'ora legale durante il backup di un database SAP HANA in esecuzione in una macchina virtuale di Azure.
Modificare manualmente i criteri in base alle esigenze.
Specificare le impostazioni del criterio come segue:
In Nome criterio immettere un nome per il nuovo criterio.
Nel criterio Backup completo selezionare una frequenza di backup scegliendo Giornaliero o Settimanale.
- Giornaliero: selezionare l'ora e il fuso orario in cui inizia il processo di backup.
- È necessario eseguire un backup completo. Non è possibile disattivare questa opzione.
- Selezionare Backup completo per visualizzare il criterio.
- Se si sceglie di eseguire backup completi giornalieri, non è possibile creare backup differenziali.
- Settimanale: selezionare il giorno della settimana, l'ora e il fuso orario in cui viene eseguito il processo di backup.
- Giornaliero: selezionare l'ora e il fuso orario in cui inizia il processo di backup.
In Intervallo conservazione configurare le impostazioni di conservazione per il backup completo.
- Per impostazione predefinita, sono selezionate tutte le opzioni. Deselezionare gli eventuali limiti dell'intervallo di conservazione che non si vogliono usare e impostare quelli da usare.
- Il periodo di conservazione minimo di qualsiasi tipo di backup (completo/differenziale/del log) è di sette giorni.
- I punti di recupero vengono contrassegnati per la conservazione, in base al relativo intervallo. Ad esempio, se si seleziona un backup completo giornaliero, viene attivato solo un backup completo ogni giorno.
- Il backup di un giorno specifico viene contrassegnato e conservato in base all'intervallo e all'impostazione di conservazione settimanale.
- L'intervallo di conservazione mensile e annuale si comporta allo stesso modo.
Nel menu del criterio Backup completo selezionare OK per accettare le impostazioni.
Selezionare Backup differenziale per aggiungere un criterio differenziale.
Nel criterio Backup differenziale selezionare Abilita per accedere alle opzioni di frequenza e conservazione.
- Al massimo, è possibile attivare un backup differenziale al giorno.
- I backup differenziali possono essere conservati al massimo per 180 giorni. Se è necessario conservarli più a lungo, usare i backup completi.
Nota
È possibile scegliere un backup quotidiano differenziale o incrementale, ma non entrambi.
In Criteri di backup incrementale selezionare Abilita per aprire i controlli relativi a frequenza e conservazione.
- È possibile attivare al massimo un backup differenziale al giorno.
- I backup incrementali possono essere conservati per un massimo di 180 giorni. Se è necessario conservarli più a lungo, usare i backup completi.
Selezionare OK per salvare il criterio e tornare al menu principale Criteri di backup.
Selezionare Backup del log per aggiungere un criterio per i backup del log delle transazioni.
- In Backup del log selezionare Abilita. Questo non può essere disabilitato, perché SAP HANA gestisce tutti i backup del log.
- Impostare la frequenza e i controlli di conservazione.
Nota
I backup del log iniziano a fluire solo dopo il corretto completamento di un backup completo.
Selezionare OK per salvare il criterio e tornare al menu principale Criteri di backup.
Dopo aver completato la definizione dei criteri di backup, selezionare OK.
Nota
Ogni backup del log viene concatenato al backup completo precedente per formare una catena di recupero. Questo backup completo verrà mantenuto fino alla scadenza della conservazione dell'ultimo backup del log. Questo potrebbe significare che il backup completo viene mantenuto per un periodo aggiuntivo per assicurarsi che tutti i log possano essere ripristinati. Si supponga che un utente abbia un backup completo settimanale, un log differenziale giornaliero e 2 ore. Vengono tutti conservati per 30 giorni. Tuttavia, l'intero settimanale può essere effettivamente pulito/eliminato solo dopo che il backup completo successivo è disponibile, ovvero dopo 30 + 7 giorni. Ad esempio, un backup completo settimanale viene eseguito il 16 novembre. In base ai criteri di conservazione, deve essere conservato fino al 16 dicembre. L'ultimo backup del log per questa versione completa si verifica prima del successivo completo in programma, il 22 novembre. Questo log è disponibile fino al 22 dicembre e fino a quel momento non sarà possibile eliminare il backup completo del 16 novembre. Il backup completo del 16 novembre, quindi, viene mantenuto fino al 22 dicembre.
Eseguire un backup su richiesta
I backup vengono eseguiti in base alla pianificazione dei criteri. Informazioni su come eseguire un backup su richiesta.
Eseguire il backup dei client nativi SAP HANA in un database con Backup di Azure
È possibile eseguire un backup su richiesta usando i client nativi SAP HANA nel file system locale invece di Backint. Altre informazioni su come gestire le operazioni usando client nativi SAP.
Configurare backup di dati multistreaming per una maggiore velocità effettiva usando Backint
Per configurare i backup di dati multi-streaming, vedere la documentazione SAP.
Informazioni sugli scenari supportati.
Esaminare lo stato del backup
Backup di Azure sincronizza periodicamente l'origine dati tra l'estensione installata nella macchina virtuale e il servizio Backup di Azure e mostra lo stato del backup nella portale di Azure. La tabella seguente elenca lo stato di backup (quattro) per un'origine dati:
| Stato backup | Descrizione |
|---|---|
| Integra | L'ultimo backup ha esito positivo. |
| Non integra | L'ultimo backup non è riuscito. |
| NotReachable | Attualmente non è presente alcuna sincronizzazione tra l'estensione nella macchina virtuale e il servizio Backup di Azure. |
| IRPending | Il primo backup nell'origine dati non è ancora stato eseguito. |
In genere, la sincronizzazione viene eseguita ogni ora. Tuttavia, a livello di estensione, Backup di Azure esegue il polling ogni 5 minuti per verificare la presenza di eventuali modifiche nello stato del backup più recente rispetto a quello precedente. Ad esempio, se il backup precedente ha esito positivo ma il backup più recente non è riuscito, Backup di Azure sincronizza tali informazioni con il servizio per aggiornare lo stato del backup nel portale di Azure di conseguenza a Integro o Non integro.
Se non si verifica alcuna sincronizzazione dei dati nel servizio Backup di Azure per più di 2 ore, Backup di Azure visualizza lo stato del backup come NotReachable. Questo scenario può verificarsi se la macchina virtuale viene arrestata per un periodo prolungato o si verifica un problema di connettività di rete nella macchina virtuale, causando la chiusura della sincronizzazione. Quando la macchina virtuale è nuovamente operativa e i servizi di estensione vengono riavviati, l'operazione di sincronizzazione dei dati al servizio riprende e lo stato del backup cambia in Integro o Non integro in base allo stato dell'ultimo backup.
Passaggi successivi
- Informazioni su come ripristinare i database SAP HANA in esecuzione nelle VM di Azure
- Informazioni su come gestire i database SAP HANA di cui è stato eseguito il backup con Backup di Azure