Continuità aziendale e ripristino di emergenza
Business Application Platform (BAP) di Microsoft offre funzionalità di continuità aziendale e ripristino di emergenza (BCDR) a tutti gli ambienti di produzione in Dynamics 365 e nelle applicazioni SaaS di Power Platform. Questo articolo descrive i dettagli e le procedure adottate da Microsoft per garantire che i dati di produzione siano resilienti anche quando si verifica un'interruzione nell'area.
Backup degli ambienti di produzione
Microsoft si impegna a garantire i massimi livelli di disponibilità dei servizi per le applicazioni e i dati critici. Microsoft garantisce che l'infrastruttura di base e i servizi della piattaforma siano disponibili tramite la sua architettura di continuità aziendale e di ripristino di emergenza consentendo la ridondanza geografica, in cui tutti i dati provenienti dagli ambienti di produzione, esclusi gli ambienti predefiniti, vengono sottoposti a backup nell'area geografica secondaria associata. Questi backup sono denominati backup geo-secondari e vengono configurati durante la distribuzione dell'ambiente primario.
L'illustrazione precedente mostra che, quando l'area primaria A viene colpita da un'interruzione, viene eseguito il failover degli ambienti di produzione dell'area A all'area secondaria B, che è integra. Non viene intrapresa alcuna azione sugli altri tipi di ambienti, ad esempio quelli predefiniti, di valutazione, sandbox, di Teams o di sviluppo.
Per altre informazioni sulla protezione dei dati in ambienti non di produzione, vedi Eseguire il backup e il ripristino degli ambienti.
Come si viene avvisati di un'interruzione?
Il canale di comunicazione principale è il Dashboard sull'integrità dei servizi presente nelle interfacce di amministrazione di Power Platform e Microsoft. Il team di comunicazione Microsoft avvia il processo pubblicando le comunicazioni iniziali per avvisare dell'interruzione e pubblica gli aggiornamenti necessari sull'SHD come necessario. Per altre informazioni su come visualizzare i messaggi nell'interfaccia di amministrazione, consulta Dashboard della home page. Per informazioni più dettagliate, visita la pagina di preparazione.
Processi e criteri di failover e failback per la continuità aziendale
Il failover e il failback sono le due attività principali che vengono eseguite durante il processo di continuità aziendale e ripristino di emergenza (BCDR). Lo scopo di queste attività è ridurre al minimo l'impatto di un disastro sulla disponibilità e sulle prestazioni delle funzioni e delle applicazioni aziendali critiche.
Il failover è il processo di passaggio a un backup geo-secondario designato di tutti i sistemi e dati dal sito di produzione primario. Al termine dell'operazione di failover, l'ambiente di produzione sarà accessibile dal sito geo-secondario.
Importante
Mentre le app Finance and Operations funzionano nell'area secondaria dopo una manutenzione di failover, le distribuzioni dei pacchetti, Financial Reporting e i report Power BI non sono disponibili.
Il failback è il processo che ripristina la produzione nella posizione originale dopo un disastro o un periodo di manutenzione programmata.
Nell'ambito del processo di continuità aziendale e ripristino di emergenza standard di Microsoft, i clienti hanno la certezza che ogni servizio online all'interno di Microsoft rivede, testa e aggiorna il proprio piano BCDR ogni anno. Il report di convalida del piano di continuità aziendale e ripristino di emergenza di Microsoft Cloud è disponibile per i clienti nel Service Trust Portal.
Se si verifica un'interruzione imprevista a livello regionale, ad esempio un disastro naturale che colpisce l'intera area geografica di Azure, vengono eseguiti i seguenti passaggi e processi.
| Responsabilità di Microsoft | Responsabilità del cliente |
|---|---|
| Se Microsoft rileva un'interruzione e vede che i clienti sono interessati, il team addetto alle comunicazioni di Microsoft invia le comunicazioni necessarie e mantiene aggiornata la Dashboard di integrità dei servizi con le informazioni necessarie. | None |
| Se si verifica un'interruzione, Microsoft esegue un failover automatico delle istanze di produzione nell'area secondaria se non si verifica alcuna perdita di dati per il cliente. | None |
| Se si verifica un'interruzione, Microsoft determina che C'È PERDITA DI DATI e quindi il failover dell'ambiente non viene avviato senza il consenso/l'approvazione del cliente. | Una volta che il cliente è a conoscenza dell'interruzione in corso e vede il messaggio IMPACT, diventa sua responsabilità: - Contattare Microsoft tramite il supporto tecnico e individuare il livello di perdita dei dati che si verificherebbe se venisse avviato un failover. - Se la perdita di dati è a un livello accettabile per gli standard della propria organizzazione, il cliente deve fornire il proprio consenso tramite il supporto tecnico, affinché Microsoft avvii un failover. |
| Quando Microsoft determina che l'area geografica primaria è di nuovo online ed è pienamente operativa, esegue il FAILBACK sulle istanze di produzione. Durante il processo di failback pianificato non si verificano perdite di dati ma gli utenti potrebbero riscontrare brevi interruzioni o disconnessioni in questo arco temporale. | None |
Ripristino di emergenza self-service (anteprima)
[Questa sezione fa parte della documentazione non definitiva, pertanto è soggetta a modifiche.]
Importante
- Questa è una funzionalità di anteprima.
- Le funzionalità di anteprima non sono destinate ad essere utilizzate per la produzione e sono soggette a restrizioni. Queste funzionalità sono soggette a condizioni per l'utilizzo supplementari e sono disponibili prima di una versione ufficiale in modo che i clienti possano ottenere l'accesso iniziale e fornire feedback.
Il ripristino di emergenza è una funzionalità dell'infrastruttura Power Platform premium che consente ai clienti di avviare il failover dell'ambiente tra aree in modalità self-service. I clienti in genere hanno più ambienti di tipi diversi creati nel tenant. Questa funzionalità è disponibile specificamente per gli ambienti di tipo produzione e può essere attivata per ogni ambiente. Al momento questa funzionalità non è disponibile per gli ambienti di produzione per la finanza e le operazioni.
Abilitare il ripristino di emergenza self-service
È necessario attivare il ripristino di emergenza self-service per un ambiente prima di poter utilizzare la funzionalità. Si tratta di un'azione una tantum che esegue il provisioning delle risorse e avvia il processo di replica dei dati tra la posizione primaria e la posizione secondaria. Il completamento dell'operazione potrebbe richiedere fino a 48 ore. Gli amministratori ricevono una notifica al termine del processo.
L'attivazione del ripristino di emergenza in un ambiente non ha alcun impatto sull'ambiente o sui dati al suo interno.
Per attivare il ripristino di emergenza, attenersi alla seguente procedura.
- Nell'interfaccia di amministrazione di Power Platform, accedere all'elenco degli ambienti.
- Seleziona il tipo di ambiente di produzione in cui vuoi attivare il ripristino di emergenza self-service.
- Seleziona Ripristino di emergenza nella barra dei comandi, nella parte superiore della pagina. Viene visualizzato il riquadro Ripristino di emergenza.
- Seleziona l'interruttore per impostarlo su Abilitato.
- Seleziona Salva.
- L'ambiente viene temporaneamente inserito nella pagina Modifica dettagli.
- Viene visualizzata la pagina Dettagli ambiente, che indica che il processo di attivazione della funzionalità è iniziato.
Ci sono due motivi che potrebbero richiedere l'utilizzo di questa funzione:
- Eseguire il drill-down del ripristino di emergenza.
- Risposta alle emergenze in caso di grave interruzione regionale.
Drill del ripristino di emergenza
È possibile che l'azienda disponga di esercitazioni sul ripristino di emergenza documentate come requisito nei piani interni di continuità aziendale. Ci sono anche industrie e aziende che potrebbero essere obbligate dalle normative governative a eseguire audit sulle loro capacità BCDR. In questi casi, è possibile eseguire un'esercitazione sul ripristino di emergenza in un ambiente. Un'esercitazione sul ripristino di emergenza consente di eseguire il ripristino di emergenza self-service senza perdere dati. La durata dell'azione di failover potrebbe essere leggermente superiore mentre tutti i dati rimanenti vengono replicati nell'area secondaria.
È consigliabile eseguire le esercitazioni su una copia di un ambiente di produzione, poiché ciò comporta tempi di inattività che possono durare minuti. Ad esempio, è possibile copiare un ambiente di produzione in un ambiente di tipo sandbox e quindi modificare il tipo da sandbox a produzione.
Failover della risposta di emergenza
Questa opzione dovrebbe essere scelta durante un'emergenza, ovvero quando l'area primaria ha subito un'interruzione e l'accesso agli ambienti o ai dati non è possibile. Se si sceglie questa opzione, l'ambiente ha esito negativo senza copiare altri dati, oltre a quelli replicati prima che si verificasse l'interruzione.
Quando si esegue una risposta di emergenza, viene visualizzata la quantità di perdita di dati rappresentata nel tempo, che può essere confrontata con l'obiettivo del punto di ripristino (RPO), se si determina che è accettabile e si sceglie di continuare. L'ambiente funziona nello stato di esecuzione fino al completamento del recupero del disastro e al ritorno al normale funzionamento dell'ambiente dall'area secondaria.
Ritorno all'area primaria
Dopo aver completato l'esercitazione o dopo che un'interruzione è stata mitigata, è consigliabile riportare l'ambiente all'area primaria. Un ambiente che potrebbe operare con risorse limitate nella regione abbinata. Non vi è alcuna perdita di dati durante questa operazione.
Stato del ripristino di emergenza dell'ambiente
Gli amministratori possono determinare lo stato del ripristino di emergenza e la posizione correnti di un ambiente nella pagina Dettagli ambiente. Gli amministratori possono anche selezionare Ripristino di emergenza nella barra dei comandi per aprire il riquadro Ripristino di emergenza.
Per controllare la latenza di replica dei dati in qualsiasi momento, puoi selezionare Ripristino di emergenza e Risposta di emergenza come motivo del recupero del disastro. Verrà aperta una finestra di dialogo di conferma che include l'ora dell'ultima replica tra le aree per l'ambiente interessato. Puoi selezionare Annulla se l'unico scopo è quello di verificare la potenziale perdita di dati in caso di operazione di failover. Tieni presente che l'ora dell'ultima sincronizzazione è sempre diversa in momenti diversi, poiché i dati vengono replicati continuamente.
Documentazione del piano di continuità aziendale
Ti consigliamo di eseguire esercitazioni sul ripristino di emergenza o una risposta di emergenza, se lo desideri, prima che si verifichi un'emergenza reale, in modo da poter documentare tutti i passaggi necessari per tutti i punti di integrazione esterni a Power Platform. In questo caso, la tua azienda è più preparata per il ripristino in caso di un vero disastro.
Nota sull'anteprima
Durante l'anteprima, non è previsto alcun addebito per questa funzionalità e non può essere disattivata dal cliente. Quando la funzionalità raggiunge la disponibilità generale, i clienti dell'anteprima hanno la possibilità di mantenerla o di consentirne la disattivazione da Microsoft. Non ci sarà alcun impatto sulla posizione o sulle funzionalità dell'ambiente principale se scegli di non eseguire l'aggiornamento durante la disponibilità generale.