Sauvegarder des bases de données SAP HANA dans des machines virtuelles Azure
Cet article explique comment sauvegarder des bases de données SAP HANA s’exécutant sur des machines virtuelles Azure pour un coffre Recovery Services de la Sauvegarde Azure.
Les bases de données SAP HANA sont des charges de travail critiques nécessitant un faible objectif de point de récupération (RPO) et une conservation à long terme. Vous pouvez sauvegarder les bases de données SAP HANA qui s’exécutent sur les machines virtuelles Azure en utilisant Sauvegarde Azure.
Notes
Consultez la matrice de prise en charge des sauvegardes SAP HANA pour en savoir plus sur les configurations et les scénarios pris en charge.
Prérequis
Reportez-vous aux sections Conditions préalables et Ce que fait le script de préinscription pour configurer la base de données pour la sauvegarde.
Établir la connectivité réseau
Pour toutes les opérations, une base de données SAP HANA s’exécutant sur une machine virtuelle Azure nécessite une connectivité au service Sauvegarde Azure, au stockage Azure et à Microsoft Entra ID. Pour ce faire, vous pouvez utiliser des points de terminaison privés ou autoriser l’accès aux IP publiques ou aux noms de domaine complets (FQDN) requis. Le fait de ne pas permettre une connectivité appropriée aux services Azure requis pourrait entraîner l’échec d’opérations telles que la détection de base de données, la configuration de la sauvegarde, l’exécution de sauvegardes et la restauration de données.
Le tableau suivant répertorie les différentes alternatives que vous pouvez utiliser pour établir la connectivité :
Option | Avantages | Inconvénients |
---|---|---|
Points de terminaison privés | Autorisent les sauvegardes sur des adresses IP privées au sein du réseau virtuel Fournissent un contrôle approfondi du côté du réseau et du coffre |
Engendre des coûts de point de terminaison privé standard |
Balises de service NSG | Plus faciles à gérer car les modifications apportées à la plage sont fusionnées automatiquement Aucun coût supplémentaire |
Peut être utilisé uniquement avec les groupes de sécurité réseau Fournit l’accès à l’ensemble du service |
Balises FQDN de Pare-feu Azure | Plus faciles à gérer, car les FQDN requis sont gérés automatiquement | Utilisabes avec Pare-feu Azure uniquement |
Autoriser l’accès aux FQDN/adresses IP du service | Aucun coût supplémentaire Fonctionne avec toutes les appliances de sécurité réseau et tous les pare-feu. Vous pouvez également utiliser des points de terminaison de service pour le Stockage. Toutefois, pour la Sauvegarde Azure et pour Azure Active Directory, vous devez affecter l’accès aux adresses IP/noms de domaine complets correspondants. |
Il pourrait être nécessaire d’accéder à un large éventail d’adresses IP ou de FQDN. |
Point de terminaison de service de réseau virtuel | Vous pouvez l’utiliser pour le Stockage Azure. Offre un avantage important pour optimiser les performances du trafic du plan de données. |
Impossible d’utiliser Microsoft Entra ID, le service Sauvegarde Azure. |
Appliance virtuelle réseau | Peut être utilisé pour le Stockage Azure, Microsoft Entra ID, le service Sauvegarde Azure. Plan de données
Plan de gestion
Apprenez-en davantage sur les étiquettes de service du Pare-feu Azure. |
Ajoute une surcharge au trafic du plan de données et réduit le débit/les performances. |
De plus amples informations sur l’utilisation de ces options sont disponibles ci-dessous :
Instances Private Endpoint
Les points de terminaison privés vous permettent de vous connecter en toute sécurité à votre coffre Recovery Services à partir de serveurs situés dans un réseau virtuel. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre coffre. Le trafic réseau entre vos ressources dans le réseau virtuel et le coffre transite via votre réseau virtuel et une liaison privée sur le réseau principal de Microsoft. Cela élimine l’exposition de l’Internet public. Pour en savoir plus sur les points de terminaison privés pour Sauvegarde Azure, cliquez ici.
Notes
Les points de terminaison privés sont pris en charge pour Sauvegarde Azure et Stockage Azure. Microsoft Entra ID prend en charge les points de terminaison privés en préversion privée. Tant qu’elles ne sont pas généralement disponibles, la sauvegarde Azure prend en charge la configuration du proxy pour Microsoft Entra ID afin qu’aucune connectivité sortante n’est requise pour les machines virtuelles HANA. Pour plus d'informations, consultez la section prise en charge de proxy.
Balises NSG
Si vous utilisez des groupes de sécurité réseau (NSG), utilisez la balise de service AzureBackup pour autoriser l’accès sortant vers Sauvegarde Azure. En plus de l’étiquette pour Sauvegarde Azure, vous devez également autoriser la connectivité pour l’authentification et le transfert de données en créant des règles NSG similaires pour Microsoft Entra ID (AzureActiveDirectory) et Stockage Azure (Storage). Les étapes suivantes décrivent le processus de création d’une règle pour la balise de Sauvegarde Azure :
Dans Tous les services, accédez àGroupes de sécurité réseau et sélectionnez le groupe de sécurité réseau.
Sous PARAMÈTRES, sélectionnez Règles de sécurité de trafic sortant.
Sélectionnez Ajouter. Entrez toutes les informations nécessaires à la création d’une nouvelle règle, comme décrit dans paramètres de règle de sécurité. Vérifiez que l’option Destination est définie sur Balise de service et l’option Balise de service de destination sur AzureBackup.
Sélectionnez Ajouter pour enregistrer la règle de sécurité de trafic sortant que vous venez de créer.
Vous pouvez également créer des règles de sécurité sortante de groupe de sécurité réseau pour Stockage Azure et Microsoft Entra ID. Pour plus d’informations sur les balises de service, consultez cet article.
Balises Pare-feu Azure
Si vous utilisez Pare-feu Azure, créez une règle d’application en utilisant la balise FQDN de Pare-feu Azure AzureBackup. Cela autorise tout accès sortant vers Sauvegarde Azure.
Remarque
Sauvegarde Azure ne prend pas en charge la règle d’application Inspection TLS activée du service Pare-feu Azure.
Autoriser l’accès aux plages d’adresses IP du service
Si vous choisissez d’autoriser l’accès aux adresses IP du service, reportez-vous aux plages d’adresses IP répertoriées dans le fichier JSON accessible ici. Vous devez autoriser l’accès aux adresses IP correspondant à Sauvegarde Azure, Stockage Azure et Microsoft Entra ID.
Autoriser l’accès aux FQDN du service
Vous pouvez également utiliser les FQDN suivants pour autoriser l’accès aux services requis à partir de vos serveurs :
Service | Noms de domaine auxquels accéder | Ports |
---|---|---|
Sauvegarde Azure | *.backup.windowsazure.com |
443 |
Stockage Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Autoriser l’accès aux FQDN en vertu des sections 56 et 59 conformément à cet article |
443 Le cas échéant |
Utiliser un serveur proxy HTTP pour acheminer le trafic
Remarque
Actuellement, nous prenons uniquement en charge le proxy HTTP pour le trafic Microsoft Entra pour SAP HANA. Si vous devez supprimer des exigences de connectivité sortante (pour le trafic de Sauvegarde Azure et de Stockage Azure) pour les sauvegardes de base de données via Sauvegarde Azure dans des machines virtuelles HANA, utilisez d’autres options, telles que des points de terminaison privés.
Utilisation d’un serveur proxy HTTP pour le trafic Microsoft Entra
Accédez au dossier « opt/msawb/bin ».
Créez un fichier JSON nommé « ExtensionSettingsOverrides.json »
Ajoutez une paire clé-valeur au fichier JSON comme suit :
{ "UseProxyForAAD":true, "UseProxyForAzureBackup":false, "UseProxyForAzureStorage":false, "ProxyServerAddress":"http://xx.yy.zz.mm:port" }
Modifiez les autorisations et la propriété du fichier comme suit :
chmod 750 ExtensionSettingsOverrides.json chown root:msawb ExtensionSettingsOverrides.json
Aucun service ne doit être redémarré. Le service Sauvegarde Azure tente de router le trafic Microsoft Entra via le serveur proxy mentionné dans le fichier JSON.
Utiliser des règles de trafic sortant
Si les paramètres du pare-feu ou du groupe de sécurité réseau bloquent le domaine “management.azure.com”
à partir d’une machine virtuelle Azure, les sauvegardes d’instantanés échouent.
Créez la règle de trafic sortant suivante et autorisez le nom de domaine à effectuer la sauvegarde de la base de données. Découvrez comment créer des règles sortantes.
- Source : adresse IP de la machine virtuelle.
- Destination : étiquette de service.
- Étiquette du service de destination :
AzureResourceManager
Créer un coffre Recovery Services
Un coffre Recovery Services est une entité de gestion qui stocke les points de récupération créés au fil du temps et fournit une interface permettant d’effectuer des opérations liées à la sauvegarde. Ces opérations comprennent l’exécution de sauvegardes à la demande, l’exécution de restaurations et la création de stratégies de sauvegarde.
Pour créer un archivage de Recovery Services :
Connectez-vous au portail Azure.
Recherchez Centre de sauvegarde, puis accédez au tableau de bord Centre de sauvegarde.
Dans le volet Vue d’ensemble, sélectionnez Coffre.
Sélectionnez Coffre Recovery Services>Continuer.
Dans le volet coffre Recovery Services, entrez les valeurs suivantes :
Abonnement : sélectionnez l'abonnement souhaité. Si vous êtes membre d’un seul abonnement, son nom s’affiche. Si vous ne savez pas quel abonnement utiliser, utilisez l’abonnement par défaut. Vous ne disposez de plusieurs choix que si votre compte professionnel ou scolaire est associé à plusieurs abonnements Azure.
Groupe de ressources : Utilisez un groupe de ressources existant ou créez-en un. Pour voir la liste des groupes de ressources disponibles dans votre abonnement, sélectionnez Utiliser existant, puis sélectionnez une ressource dans la liste déroulante. Pour créer un nouveau groupe de ressources, sélectionnez Créer, puis saisissez le nom. Pour plus d’informations sur les groupes de ressources, consultez Vue d’ensemble d’Azure Resource Manager.
Nom du coffre : Entrez un nom convivial pour identifier le coffre. Le nom doit être unique pour l’abonnement Azure. Spécifiez un nom composé d’au moins deux caractères, mais sans dépasser 50 caractères. Il doit commencer par une lettre et ne peut être constitué que de lettres, chiffres et traits d’union.
Région : Sélectionnez la région géographique du coffre. Pour que vous puissiez créer un coffre pour aider à protéger une source de données, le coffre doit se trouver dans la même région que la source de données.
Important
Si vous n’êtes pas sûr de l’emplacement de votre source de données, fermez la fenêtre. Accédez à la liste de vos ressources dans le portail. Si vous possédez des sources de données dans plusieurs régions, créez un coffre Recovery Services pour chaque région. Créez le coffre du premier emplacement avant de créer celui d’un autre emplacement. Il est inutile de spécifier des comptes de stockage dans lesquels héberger les données de sauvegarde. Le coffre Recovery Services et Sauvegarde Azure gèrent cela automatiquement.
Après avoir défini les valeurs, sélectionnez Vérifier + créer.
Pour finir de créer le coffre Recovery Services, sélectionnez Créer.
La création du coffre Recovery Services peut prendre un certain temps. Surveillez les notifications d’état dans la zone Notifications dans l’angle supérieur droit. Une fois créé, le coffre apparaît dans la liste des coffres Recovery Services. S’il n’apparaît pas, sélectionnez Actualiser.
Notes
Sauvegarde Azure prend désormais en charge les coffres immuables qui vous permettent de vous assurer que les points de récupération, une fois créés, ne peuvent pas être supprimés avant leur expiration conformément à la stratégie de sauvegarde. Vous pouvez également rendre l’immuabilité irréversible pour une protection maximale de vos données de sauvegarde contre diverses menaces, notamment les attaques par ransomware et les acteurs malveillants. Plus d’informations
Activer la restauration inter-région
Dans le coffre Recovery Services, vous pouvez activer la restauration inter-région. Découvrez comment activer la restauration inter-région.
Apprenez-en davantage sur la restauration inter-région.
Détecter les bases de données
Sur le Portail Azure, accédez à Centre de sauvegarde, puis sélectionnez + Sauvegarde.
Sélectionnez SAP HANA sur machine virtuelle Azure comme type de source de données, sélectionnez un coffre Recovery Services à utiliser pour la sauvegarde, puis sélectionnez Continuer.
Sélectionnez Démarrer la découverte. Cette opération lance la détection des machines virtuelles Linux non protégées dans la région du coffre.
- Après la détection, les machines virtuelles non protégées apparaissent dans le portail en étant répertoriées par nom et groupe de ressources.
- Si une machine virtuelle n’est pas répertoriée alors qu’elle devrait l’être, vérifiez si elle a déjà été sauvegardée dans un coffre.
- Plusieurs machines virtuelles peuvent avoir le même nom, mais appartenir à différents groupes de ressources.
Dans Sélectionner les machines virtuelles, sélectionnez le lien pour télécharger le script qui donne les autorisations au service Sauvegarde Azure d’accéder aux machines virtuelles SAP HANA pour la découverte des bases de données.
Exécutez le script sur chacune des machines virtuelles hébergeant les bases de données SAP HANA que vous souhaitez sauvegarder.
Après avoir exécuté le script sur les machines virtuelles, dans Sélectionner les machines virtuelles, sélectionnez les machines souhaitées. Sélectionnez ensuite Découvrir les bases de données.
Le service Sauvegarde Azure détecte toutes les bases de données SAP HANA résidant sur la machine virtuelle. Lors de la détection, le service Sauvegarde Azure inscrit la machine virtuelle auprès du coffre et y installe une extension. Aucun agent n’est installé sur la base de données.
Configurer une sauvegarde
Maintenant, activez la sauvegarde.
À l’étape 2, sélectionnez Configurer la sauvegarde.
Dans Sélectionner les éléments à sauvegarder, sélectionnez toutes les bases de données que vous souhaitez protéger, puis >OK.
Dans Stratégie de sauvegarde>Choisir une stratégie de sauvegarde, créez une stratégie de sauvegarde pour les bases de données en suivant les instructions ci-dessous.
Après avoir créé la stratégie, dans le menu Sauvegarde, sélectionnez Activer la sauvegarde.
Vous pouvez suivre la progression de la configuration de la sauvegarde dans la zone Notifications du portail.
Créer une stratégie de sauvegarde
Une stratégie de sauvegarde définit le moment auquel les sauvegardes sont effectuées, ainsi que leur durée de rétention.
- Une stratégie est créée au niveau du coffre.
- Plusieurs coffres peuvent utiliser la même stratégie de sauvegarde, mais vous devez appliquer la stratégie de sauvegarde à chaque coffre.
Notes
Sauvegarde Azure ne s’ajuste pas automatiquement au changement d’heure lorsque vous sauvegardez une base de données SAP HANA qui s’exécute dans une machine virtuelle Azure.
Modifiez la stratégie manuellement en fonction des besoins.
Spécifiez les paramètres de stratégie comme suit :
Dans Nom de la stratégie, entrez le nom de la nouvelle stratégie.
Dans Stratégie de sauvegarde complète, comme Fréquence de sauvegarde, sélectionnez Tous les jours ou Toutes les semaines.
- Daily (Quotidienne) : sélectionnez l’heure et le fuseau horaire de début du travail de sauvegarde.
- Vous devez exécuter une sauvegarde complète. Vous ne pouvez pas désactiver cette option.
- Sélectionnez Sauvegarde complète pour afficher la stratégie.
- Si vous choisissez des sauvegardes complètes quotidiennes, vous ne pouvez pas créer de sauvegardes différentielles.
- Hebdomadaire : sélectionnez le jour de la semaine, l’heure et le fuseau horaire de début du travail de sauvegarde.
- Daily (Quotidienne) : sélectionnez l’heure et le fuseau horaire de début du travail de sauvegarde.
Dans Durée de rétention, configurez les paramètres de rétention pour la sauvegarde complète.
- Par défaut, toutes les options sont sélectionnées. Désactivez les limites de durée de rétention que vous ne souhaitez pas utiliser et définissez celles qui vous intéressent.
- La période de rétention minimale est de sept jours pour tous les types de sauvegardes (complète/différentielle/fichier journal).
- Des points de récupération sont marqués pour la rétention et varient selon la durée de rétention. Par exemple, si vous sélectionnez une sauvegarde complète quotidienne, seule une sauvegarde complète est déclenchée chaque jour.
- La sauvegarde d’un jour spécifique est marquée et conservée conformément à la durée de rétention hebdomadaire et aux paramètres.
- Les durées de rétention mensuelle et annuelle ont le même comportement.
Dans le menu de stratégie Sauvegarde complète, cliquez sur OK pour accepter les paramètres.
Sélectionnez Sauvegarde différentielle pour ajouter une stratégie différentielle.
Dans la stratégie Sauvegarde différentielle, sélectionnez Activer pour ouvrir les contrôles de fréquence et de rétention.
- Vous pouvez déclencher au plus une sauvegarde différentielle par jour.
- Les sauvegardes différentielles peuvent être conservées jusqu’à 180 jours. Si vous avez besoin d’une durée de rétention supérieure, vous devez utiliser des sauvegardes complètes.
Notes
Vous pouvez choisir une sauvegarde différentielle ou incrémentielle comme sauvegarde quotidienne, mais pas les deux.
Dans la stratégie Sauvegarde incrémentielle, sélectionnez Activer pour ouvrir les contrôles de fréquence et de rétention.
- Vous pouvez déclencher au plus une sauvegarde incrémentielle par jour.
- Les sauvegardes incrémentielles peuvent être conservées jusqu’à 180 jours. Si vous avez besoin d’une durée de rétention supérieure, vous devez utiliser des sauvegardes complètes.
Sélectionnez OK pour enregistrer la stratégie et revenir au menu principal Stratégie de sauvegarde.
Sélectionnez Sauvegarde de fichier journal pour ajouter une stratégie de sauvegarde de fichier journal.
- Dans Sauvegarde de fichier journal, sélectionnez Activer. Cette option ne peut pas être désactivée, car SAP HANA gère toutes les sauvegardes de fichiers journaux.
- Définissez les contrôles de fréquence et de rétention.
Notes
Les sauvegardes de fichiers journaux ne commencent à s’effectuer qu’en cas de réussite d’une sauvegarde complète.
Sélectionnez OK pour enregistrer la stratégie et revenir au menu principal Stratégie de sauvegarde.
Après avoir défini la stratégie de sauvegarde, sélectionnez OK.
Notes
Chaque sauvegarde de fichier journal est chaînée à la sauvegarde complète précédente pour former une chaîne de récupération. Cette sauvegarde complète est conservée jusqu’à la fin de la durée de conservation de la dernière sauvegarde de fichier journal. Il est donc possible que la sauvegarde complète soit conservée pour une durée supplémentaire afin que tous les journaux puissent être récupérés. Supposons que l’utilisateur effectue une sauvegarde complète hebdomadaire, une sauvegarde différentielle par jour, et que les journaux enregistrent deux heures d’activité. Tous sont conservés 30 jours. Cependant, la sauvegarde complète hebdomadaire ne peut être réellement nettoyée/supprimée que lorsque la sauvegarde complète suivante est disponible, à savoir après 30 + 7 jours. Par exemple, une sauvegarde complète hebdomadaire a lieu le 16 novembre. Conformément à la stratégie de conservation, elle doit être conservée jusqu’au 16 décembre. La dernière sauvegarde de fichier journal de cette sauvegarde complète a lieu avant la prochaine sauvegarde complète planifiée, le 22 novembre. Tant que ce journal n’est pas disponible, jusqu’au 22 décembre, la sauvegarde complète du 16 novembre ne peut pas être supprimée. La sauvegarde complète du 16 novembre est donc conservée jusqu’au 22 décembre.
Exécuter une sauvegarde à la demande
Les sauvegardes s’exécutent conformément à la planification de la stratégie. Découvrez comment exécuter une sauvegarde à la demande.
Exécuter une sauvegarde de clients natifs SAP HANA sur une base de données avec la Sauvegarde Azure
Vous pouvez exécuter une sauvegarde à la demande avec des clients natifs SAP HANA sur le système de fichiers local au lieu de Backint. Découvrez comment gérer les opérations avec des clients natifs SAP.
Configurer des sauvegardes de données multidiffusion pour un débit plus élevé à l’aide de Backint
Pour configurer des sauvegardes de données multidiffusion, consultez la documentation SAP.
Découvrez les scénarios pris en charge.
Passer en revue l’état de la sauvegarde
Sauvegarde Azure synchronise régulièrement la source de données entre l’extension installée sur la machine virtuelle et le service Sauvegarde Azure, et affiche l’état de sauvegarde dans le portail Azure. Le tableau suivant répertorie l’état de sauvegarde (quatre) d’une source de données :
État de la sauvegarde | Description |
---|---|
Healthy | La dernière sauvegarde a réussi. |
Non intègre | La dernière sauvegarde a échoué. |
NotReachable | Il n’existe actuellement aucune synchronisation entre l’extension sur la machine virtuelle et le service Sauvegarde Azure. |
IrPending | La première sauvegarde sur la source de données n’a pas encore eu lieu. |
En règle générale, la synchronisation se produit toutes les heures. Toutefois, au niveau de l’extension, Sauvegarde Azure interroge toutes les 5 minutes pour vérifier les modifications apportées à l’état de la dernière sauvegarde par rapport à la sauvegarde précédente. Par exemple, si la sauvegarde précédente a réussi, mais que la dernière sauvegarde a échoué, Sauvegarde Azure synchronise ces informations au service pour mettre à jour l’état de sauvegarde dans le portail Azure en conséquence Saine ou Non saine.
Si aucune synchronisation de données ne se produit sur le service Sauvegarde Azure pendant plus de 2 heures, Sauvegarde Azure affiche l’état de sauvegarde comme NotReachable. Ce scénario peut se produire si la machine virtuelle est arrêtée pendant une période prolongée ou s’il existe un problème de connectivité réseau sur la machine virtuelle, ce qui entraîne l’arrêt de la synchronisation. Une fois la machine virtuelle opérationnelle et les services d’extension redémarrés, l’opération de synchronisation des données sur le service reprend et l’état de sauvegarde passe à Sain ou Non sain en fonction de l’état de la dernière sauvegarde.