Compartir vía


Copia de seguridad de bases de datos de SAP HANA en máquinas virtuales de Azure

Este artículo describe cómo realizar una copia de seguridad de las bases de datos de SAP HANA que se ejecutan en máquinas virtuales de Azure en un almacén de Azure Backup Recovery Services.

Las bases de datos de SAP HANA son cargas de trabajo críticas que requieren un objetivo de punto de recuperación (RPO) bajo y retención a largo plazo. Puede hacer una copia de seguridad de las bases de datos de SAP HANA que se ejecutan en máquinas virtuales de Azure mediante Azure Backup.

Nota

Consulte la matriz de compatibilidad de copia de seguridad de SAP HANA para más información sobre las configuraciones y los escenarios admitidos.

Prerrequisitos

Consulte las secciones sobre requisitos previos y Qué hace el script de registro previo para configurar la base de datos para la copia de seguridad.

Establecimiento de conectividad de red

En todas las operaciones, una base de datos SAP HANA que se ejecuta en una máquina virtual de Azure necesita conectividad con el servicio Azure Backup, Azure Storage y Microsoft Entra ID. Esto puede lograrse mediante puntos de conexión privados o si se permite el acceso a las direcciones IP públicas o FQDN necesarios. No permitir la conectividad adecuada con los servicios de Azure necesarios podría provocar errores en operaciones como las de detección de bases de datos, configuración de copias de seguridad, realización de copias de seguridad y restauración de datos.

En la tabla siguiente se enumeran las distintas alternativas que se pueden usar para establecer la conectividad:

Opción Ventajas Desventajas
Puntos de conexión privados Permite copias de seguridad a través de direcciones IP privadas dentro de la red virtual

Proporciona un control pormenorizado de la red y el almacén
Incurre en costos estándar de punto de conexión privado
Etiquetas de servicio de NSG Más fácil de administrar ya que los cambios de intervalo se combinan automáticamente

Sin costos adicionales.
Solo se puede usar con grupos de seguridad de red.

Proporciona acceso a todo el servicio.
Etiquetas de FQDN de Azure Firewall Más facilidad de administración, ya que los FQDN necesarios se administran automáticamente Solo se puede usar con Azure Firewall.
Permite el acceso a los FQDN/IP del servicio Sin costos adicionales.

Funciona con todos los firewalls y dispositivos de seguridad de red.

También puede usar puntos de conexión de servicio para Storage. Sin embargo, en el caso de Azure Backup y Microsoft Entra ID, debe asignar el acceso a las direcciones IP o FQDN correspondientes.
Es posible que sea necesario acceder a un amplio conjunto de direcciones IP o FQDN.
Punto de conexión de servicio de red virtual Se puede usar para Azure Storage.

Proporciona una gran ventaja para optimizar el rendimiento del tráfico del plano de datos.
No se puede usar para Microsoft Entra ID ni el servicio Azure Backup.
Aplicación virtual de red Se puede usar para Azure Storage, Microsoft Entra ID y el servicio Azure Backup.

Plano de datos
  • Azure Storage: *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net


Plano de administración
Más información sobre las etiquetas del servicio Azure Firewall.
Agrega sobrecarga al tráfico del plano de datos y reduce el rendimiento.

A continuación se proporcionan más detalles sobre el uso de estas opciones:

Puntos de conexión privados

Los puntos de conexión privados permiten conectar de forma segura desde los servidores de una red virtual al almacén de Recovery Services. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual del almacén. El tráfico de red entre los recursos dentro de la red virtual y el almacén viaja a través de la red virtual y un vínculo privado en la red troncal de Microsoft. Esto elimina la exposición de la red pública de Internet. Obtenga más información sobre los puntos de conexión privados para Azure Backup aquí.

Nota

Los puntos de conexión privados son compatibles con Azure Backup y Azure Storage. Microsoft Entra ID admite puntos de conexión privados en la versión preliminar privada. Hasta que estén disponibles de forma general, Azure Backup admite la configuración de proxy para Microsoft Entra ID, de modo que no se requiere conectividad saliente para las VM de HANA. Para obtener más información, vea la sección sobre compatibilidad del proxy.

Etiquetas de NSG

Si emplea grupos de seguridad de red (NSG), use la etiqueta de servicio de AzureBackup para permitir el acceso de salida a Azure Backup. Además de la etiqueta de Azure Backup, también debe permitir la conectividad para la autenticación y la transferencia de datos mediante la creación de reglas de NSG similares para Microsoft Entra ID (AzureActiveDirectory) y Azure Storage (Storage). En los pasos siguientes se describe el proceso para crear una regla para la etiqueta de Azure Backup:

  1. En Todos los servicios, vaya a Grupos de seguridad de red y seleccione el grupo de seguridad de red.

  2. En Configuración, seleccione Reglas de seguridad de salida.

  3. Seleccione Agregar. Escriba todos los detalles necesarios para crear una nueva regla, como se explica en Configuración de reglas de seguridad. Asegúrese de que la opción Destino esté establecida en Etiqueta de servicio y de que Etiqueta de servicio de destino esté establecido en AzureBackup.

  4. Seleccione Agregar para guardar la regla de seguridad de salida recién creada.

Puede crear reglas de seguridad de salida de NSG para Azure Storage y Microsoft Entra ID de forma similar. Para más información sobre las etiquetas de servicio, consulte este artículo.

Etiquetas de Azure Firewall

Si usa Azure Firewall, cree una regla de aplicación mediante la etiqueta de FQDN de Azure Firewall AzureBackup. Esto permite el acceso de salida total a Azure Backup.

Nota:

Azure Backup no admite actualmente la Inspección de TLS habilitada Regla de aplicación en Azure Firewall.

Permitir el acceso a los intervalos de direcciones IP del servicio

Si decide permitir el acceso a las direcciones IP del servicio, vea los intervalos de direcciones IP en el archivo JSON disponible aquí. Deberá permitir el acceso a direcciones IP correspondientes a Azure Backup, Azure Storage y Microsoft Entra ID.

Permitir el acceso a los FQDN del servicio

También puede usar los siguientes FQDN para permitir el acceso a los servicios necesarios desde los servidores:

Servicio Nombres de dominio a los que se va a acceder Puertos
Azure Backup *.backup.windowsazure.com 443
Azure Storage *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net
443
Azure AD *.login.microsoft.com

Permitir el acceso a los FQDN conforme a las secciones 56 y 59 según este artículo
443

Según corresponda

Empleo de un servidor proxy HTTP para enrutar el tráfico

Nota:

Actualmente, solo se admite el proxy HTTP para el tráfico de Microsoft Entra para SAP HANA. Si necesita quitar los requisitos de conectividad de salida (para el tráfico de Azure Backup y Azure Storage) para las copias de seguridad de bases de datos a través de Azure Backup en máquinas virtuales de HANA, use otras opciones, como puntos de conexión privados.

Uso de un servidor proxy HTTP para el tráfico de Microsoft Entra
  1. Vaya a la carpeta "opt/msawb/bin".

  2. Cree un nuevo archivo JSON de nombre "ExtensionSettingOverrides.json"

  3. Agregue un par clave-valor al archivo JSON como se indica a continuación:

    {
        "UseProxyForAAD":true,
        "UseProxyForAzureBackup":false,
        "UseProxyForAzureStorage":false,
        "ProxyServerAddress":"http://xx.yy.zz.mm:port"
    }
    
  4. Cambie los permisos y la propiedad del archivo de la siguiente manera:

    chmod 750 ExtensionSettingsOverrides.json
    chown root:msawb ExtensionSettingsOverrides.json
    
  5. No es necesario reiniciar ningún servicio. El servicio Azure Backup intentará enrutar el tráfico de Microsoft Entra a través del servidor proxy mencionado en el archivo JSON.

Uso de reglas de salida

Si la configuración del firewall o el grupo de seguridad de red bloquea el dominio “management.azure.com” de la máquina virtual de Azure, se producirá un error en las copias de seguridad de instantáneas.

Cree la siguiente regla de salida y permita que el nombre de dominio realice la copia de seguridad de la base de datos. Más información sobre cómo crear reglas de salida.

  • Origen: dirección IP de la VM.
  • Destino: etiqueta de servicio.
  • Etiqueta de servicio de destino: AzureResourceManager

Captura de pantalla que muestra la configuración de la regla de salida.

Creación de un almacén de Recovery Services

Un almacén de Recovery Services es una entidad de administración que almacena los puntos de recuperación creados a lo largo del tiempo y proporciona una interfaz para realizar operaciones relacionadas con la copia de seguridad. Entre dichas operaciones se incluye realizar copias de seguridad a petición, realizar restauraciones y crear directivas de copia de seguridad.

Para crear un almacén de Recovery Services:

  1. Inicie sesión en Azure Portal.

  2. Busque Centro de copias de seguridad y vaya al panel Centro de copias de seguridad.

    Captura de pantalla en la que se muestra dónde buscar y seleccionar

  3. En el panel de información general, seleccione Almacén.

    Captura de pantalla del botón para crear un almacén de Recovery Services.

  4. Seleccione Almacén de Recovery Services>Continuar.

    Captura de pantalla en la que se muestra dónde seleccionar Recovery Services como tipo de almacén.

  5. En el panel del almacén de Recovery Services, escriba los valores siguientes:

    • Suscripción: seleccione la suscripción que vaya a usar. Si es miembro de una sola suscripción, verá solo ese nombre. Si no está seguro de la suscripción que debe usar, seleccione la opción predeterminada. Solo hay varias opciones si la cuenta profesional o educativa está asociada a más de una suscripción de Azure.

    • Grupo de recursos: Use un grupo de recursos existente o cree uno. Para ver la lista de los grupos de recursos disponibles en una suscripción, seleccione Usar existente y, a continuación, un recurso de la lista desplegable. Para crear un grupo de recursos, seleccione Crear nuevo y escriba un nombre. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.

    • Nombre del almacén: escriba un nombre descriptivo para identificar el almacén. El nombre debe ser único para la suscripción de Azure. Especifique un nombre que tenga entre 2 y 50 caracteres. El nombre debe comenzar por una letra y consta solo de letras, números y guiones.

    • Región: seleccione la región geográfica del almacén. Si quiere crear un almacén para proteger cualquier origen de datos, el almacén debe estar en la misma región que el origen de datos.

      Importante

      Si no está seguro de la ubicación del origen de datos, cierre la ventana. Vaya a la lista de recursos en el portal. Si tiene orígenes de datos en varias regiones, cree un almacén de Recovery Services para cada una de ellas. Cree el almacén en la primera ubicación, antes de crear un almacén en otra ubicación. No es preciso especificar cuentas de almacenamiento para almacenar los datos de la copia de seguridad. Tanto el almacén de Recovery Services como Azure Backup lo controlan automáticamente.

      Captura de pantalla en la que se muestran los campos para configurar un almacén de Recovery Services.

  6. Después de especificar los valores, seleccione Revisar y crear.

  7. Para terminar de crear el almacén de Recovery Services, seleccione Crear.

    La creación del almacén de Recovery Services puede tardar unos minutos. Supervise las notificaciones de estado en el área de notificaciones de la parte superior derecha. Tras crear el almacén, este aparece en la lista de almacenes de Recovery Services. Si el almacén no aparece, seleccione Actualizar.

    Captura de pantalla que muestra el botón para actualizar la lista de almacenes de copia de seguridad.

Nota

Azure Backup ahora admite los almacenes inmutables que ayudan a garantizar que los puntos de recuperación creados no se puedan eliminar antes de su expiración, según la directiva de copia de seguridad. Puede hacer irreversible la inmutabilidad para ofrecer la máxima protección a los datos de copia de seguridad datos contra diversas amenazas, incluidos los ataques de ransomware y los actores malintencionados. Más información.

Habilitación de la restauración entre regiones

En el almacén de Recovery Services, puede habilitar la restauración entre regiones. Más información sobre cómo activar la restauración entre regiones.

Más información sobre la restauración entre regiones.

Detección de bases de datos

  1. En Azure Portal, vaya al Centro de copia de seguridad y seleccione +Copia de seguridad.

    Captura de pantalla en la que se muestra cómo empezar a comprobar bases de datos de SAP HANA.

  2. Seleccione SAP HANA en Azure VM como tipo de origen de datos, seleccione un almacén de Recovery Services que se usará para la copia de seguridad y, después, seleccione Continuar.

    Captura de pantalla en la que se muestra la selección de una base de datos de SAP HANA en una máquina virtual de Azure.

  3. Seleccione Iniciar detección. Se iniciará la detección de máquinas virtuales de Linux no protegidas en la región del almacén.

    • Tras la detección, las máquinas virtuales no protegidas aparecen en el portal, enumeradas por nombre y grupo de recursos.
    • Si una máquina virtual no aparece en la lista como cabría esperar, compruebe que no se haya copiado ya en un almacén.
    • Varias máquinas virtuales pueden tener el mismo nombre pero pertenecer a distintos grupos de recursos.

    Captura de pantalla en la que se muestra la selección de Iniciar detección.

  4. En Seleccionar máquinas virtuales, seleccione el vínculo para descargar el script que proporciona permisos para que el servicio Azure Backup obtenga acceso a las máquinas virtuales de SAP HANA para la detección de bases de datos.

  5. Ejecute el script en cada máquina virtual que hospede bases de datos de SAP HANA de las que desee hacer una copia de seguridad.

  6. Tras ejecutar el script en las máquinas virtuales, seleccione las máquinas virtuales en Seleccionar máquinas virtuales. A continuación, seleccione Detectar bases de datos.

  7. Azure Backup detecta todas las bases de datos de SAP HANA en la máquina virtual. Durante la detección, Azure Backup registra la máquina virtual con el almacén e instala una extensión en la máquina virtual. No se instala ningún agente en la base de datos.

    Captura de pantalla en la que se muestran las bases de datos de SAP HANA detectadas.

Configuración de la copia de seguridad

Ahora habilite la copia de seguridad.

  1. En el paso 2, seleccione Configurar copia de seguridad.

    Captura de pantalla en la que se muestra Configurar copia de seguridad.

  2. En Seleccione los elementos de los que desea hacer una copia de seguridad, seleccione todas las bases de datos que desee proteger y haga clic en >Aceptar.

    Captura de pantalla en la que se muestra la selección de las bases de datos de las que se va a realizar una copia de seguridad.

  3. En Directiva de copia de seguridad>Elegir directiva de copia de seguridad, cree una directiva de copia de seguridad para las bases de datos, según las instrucciones siguientes.

    Captura de pantalla en la que se muestra la elección de la directiva de copia de seguridad.

  4. Tras crear la directiva, en el menú Copia de seguridad, seleccione Habilitar copia de seguridad.

    Habilitación de la copia de seguridad

  5. Realice el seguimiento del progreso de la configuración de copia de seguridad en el área Notificaciones del portal.

Crear una directiva de copia de seguridad

Una directiva de copia de seguridad define cuándo se realizan las copias de seguridad y cuánto tiempo se conservan.

  • Una directiva se crea en el nivel de almacén.
  • Varios almacenes pueden usar la misma directiva de copia de seguridad, pero debe aplicar la directiva de copia de seguridad a cada almacén.

Nota:

Azure Backup no se ajusta automáticamente a los cambios del horario de verano cuando realiza la copia de seguridad de una base de datos de SAP HANA en una máquina virtual de Azure.

Modifique la directiva de forma manual según sea necesario.

Especifique la configuración de la directiva como se muestra a continuación:

  1. En Nombre de la directiva, escriba un nombre para la nueva directiva.

    Escribir nombre de la directiva

  2. En el menú Full Backup policy (Directiva de copia de seguridad completa), seleccione un valor para Backup Frequency (Frecuencia de copia de seguridad) entre Daily (Diaria) o Weekly (Semanal).

    • Diaria: Seleccione la zona horaria y la hora a la que comienza el trabajo de copia de seguridad.
      • Debe ejecutar una copia de seguridad completa. No se puede desactivar esta opción.
      • Seleccione Copia de seguridad completa para ver la directiva.
      • No puede crear copias de seguridad diferenciales para copias de seguridad completas diarias.
    • Semanal: seleccione el día de la semana, la hora y la zona horaria en la que se ejecuta el trabajo de copia de seguridad.

    Seleccionar una frecuencia de copia de seguridad

  3. En Duración de retención, configure las opciones de retención de la copia de seguridad completa.

    • De forma predeterminada, se seleccionan todas las opciones. Borre los límites de duración de retención que no desee usar y establezca los que sí quiera utilizar.
    • El período de retención mínimo para cualquier tipo de copia de seguridad (completa, diferencial o de registro) es de siete días.
    • Los puntos de recuperación se etiquetan para la retención en función de su duración de retención. Por ejemplo, si selecciona la frecuencia diaria, solo se desencadena una copia de seguridad completa cada día.
    • La copia de seguridad de un día específico se etiqueta y se retiene según la duración de retención semanal y la configuración.
    • La duración de retención mensual y anual se comporta de forma similar.
  4. En el menú de la directiva de copia de seguridad completa, seleccione Aceptar para aceptar la configuración.

  5. Para agregar una directiva de copia de seguridad diferencial, seleccione Copia de seguridad diferencial.

  6. En Differential Backup policy (Directiva de copia de seguridad diferencial), seleccione Enable (Habilitar) para abrir los controles de retención y frecuencia.

    • A lo sumo, puede desencadenar una copia de seguridad diferencial al día.
    • Como máximo, las copias de seguridad diferenciales se pueden retener durante 180 días. Si necesita más tiempo de retención, debe usar copias de seguridad completas.

    Directiva de copia de seguridad diferencial

    Nota:

    Puede elegir si la copia de seguridad diaria es diferencial o incremental, pero no ambas.

  7. En Incremental Backup policy (Directiva de copia de seguridad incremental), seleccione Habilitar para abrir los controles de retención y frecuencia.

    • A lo sumo, puede desencadenar una copia de seguridad incremental al día.
    • Como máximo, las copias de seguridad incrementales se pueden retener durante 180 días. Si necesita más tiempo de retención, debe usar copias de seguridad completas.

    Directiva de copia de seguridad incremental

  8. Seleccione Aceptar para guardar la directiva y volver al menú principal de la directiva de copia de seguridad.

  9. Para agregar una directiva de copia de seguridad del registro de transacciones, seleccione Copia de seguridad de registros.

    • En Copia de seguridad de registros, seleccione Habilitar. No se puede deshabilitar, dado que SAP HANA administra todas las copias de seguridad de registros.
    • Establezca los controles de frecuencia y retención.

    Nota:

    Las copias de seguridad de registros comienzan el flujo solo después de que se haya completado correctamente una copia de seguridad completa.

  10. Seleccione Aceptar para guardar la directiva y volver al menú principal de la directiva de copia de seguridad.

  11. Al acabar de definir la directiva de copia de seguridad, seleccione Aceptar.

Nota:

Cada copia de seguridad de registros está encadenada a la copia de seguridad completa anterior para formar una cadena de recuperación. Esta copia de seguridad completa se conservará hasta que expire la retención de la última copia de seguridad de registros. Esto puede significar que la copia de seguridad completa se conservará durante un período adicional para asegurarse de que se pueden recuperar todos los registros. Supongamos que el usuario tiene una copia de seguridad completa semanal, una copia diferencial diaria y registros de 2 horas. Todos ellos se conservan 30 días. Sin embargo, la copia completa semanal puede limpiarse o eliminarse en realidad solo después de que esté disponible la siguiente copia de seguridad completa, es decir, después de 30+7 días. Por ejemplo, una copia de seguridad completa semanal se produce el 16 de noviembre. Según la directiva de retención, debe conservarse hasta el 16 de diciembre. La última copia de seguridad de registros de esta copia completa se produce antes de la siguiente copia completa programada, el 22 de noviembre. Hasta que este registro esté disponible el 22 de diciembre, no se puede eliminar la copia completa del 16 de noviembre. Por lo tanto, la copia completa del 16 de noviembre se conserva hasta el 22 de diciembre.

Ejecución de una copia de seguridad a petición

Las copias de seguridad se ejecutan según la programación de la directiva. Aprenda cómo ejecutar una copia de seguridad a petición.

Ejecución de una copia de seguridad del cliente nativo de SAP HANA en una base de datos con Azure Backup

Puede ejecutar una copia de seguridad a petición mediante clientes nativos de SAP HANA en el sistema de archivos local en lugar de Backint. Obtenga más información sobre cómo administrar operaciones mediante clientes nativos de SAP.

Configuración de copias de seguridad de datos multistreaming para lograr un mayor rendimiento mediante Backint

Para configurar copias de seguridad de datos multistreaming, consulte la documentación de SAP.

Obtenga información sobre los escenarios admitidos.

Revisión del estado de copia de seguridad

Azure Backup sincroniza periódicamente el origen de datos entre la extensión instalada en la máquina virtual y el servicio Azure Backup y muestra el estado de copia de seguridad en Azure Portal. En la tabla siguiente se muestra el estado de copia de seguridad (cuatro) de un origen de datos:

Estado de copia de seguridad Descripción
Healthy La última copia de seguridad se realizó correctamente.
Incorrecto Error en la última copia de seguridad.
NotReachable Actualmente no se produce ninguna sincronización entre la extensión en la máquina virtual y el servicio Azure Backup.
IRPending La primera copia de seguridad del origen de datos aún no se ha producido.

Por lo general, la sincronización se produce cada hora. Sin embargo, en el nivel de extensión, Azure Backup sondea cada 5 minutos para comprobar si hay cambios en el estado de la copia de seguridad más reciente en comparación con el anterior. Por ejemplo, si la copia de seguridad anterior se realizó correctamente, pero se produjo un error en la última copia de seguridad, Azure Backup sincroniza esa información con el servicio para actualizar el estado de la copia de seguridad en Azure Portal en consecuencia a Correcto o Incorrecto.

Si no se produce ninguna sincronización de datos con el servicio Azure Backup durante más de 2 horas, Azure Backup muestra el estado de la copia de seguridad como NotReachable. Este escenario puede producirse si la máquina virtual se apaga durante un período prolongado o hay un problema de conectividad de red en la máquina virtual, lo que hace que la sincronización deje de funcionar. Una vez que la máquina virtual vuelva a funcionar y los servicios de extensión se reinicien, se reanuda la operación de sincronización de datos en el servicio y el estado de la copia de seguridad cambia a Correcto o Incorrecto en función del estado de la última copia de seguridad.

Captura de pantalla que muestra el estado de copia de seguridad de la base de datos de SAP HANA.

Pasos siguientes