Udostępnij za pośrednictwem

Ciągłość działania i odzyskiwanie po awarii

  • Artykuł

Platforma Business Application Platform (BAP) firmy Microsoft zapewnia funkcje Business Continuity and Disaster Recovery (BCDR) dla wszystkich typ produkcji środowisk w aplikacjach Dynamics 365 i Power Platform SAAS. W tym artykule opisano szczegóły i praktyki stosowane przez firmę Microsoft w celu zapewnienia odporności danych produkcyjnych podczas awarii regionalnej.

Tworzenie kopii zapasowych środowisk produkcyjnych

Microsoft dokłada wszelkich starań, aby zapewnić najwyższy poziom dostępności usług dla krytycznych aplikacji i danych. Microsoft zapewnia dostępność podstawowej infrastruktury i usług platformy dzięki ciągłości biznesowej i architekturze odzyskiwanie po awarii, umożliwiając redundancję geograficzną, w której wszystkie dane ze środowisk produkcyjnych - z wyłączeniem środowisk domyślnych - są archiwizowane w sparowanym, drugorzędnym regionie. Te kopie zapasowe są określane jako Geo-dodatkowe kopie zapasowe, które są konfigurowane w czasie, gdy wdrażane jest środowisko podstawowe.

Diagram przedstawiający replikę pomocniczą danych i infrastruktury obliczeniowej.

Powyższa ilustracja pokazuje, że gdy region podstawowy A zostanie dotknięty awarią, środowiska typu produkcyjnego z regionu A przełączają się awaryjnie do regionu dodatkowego B, który jest zdrowy. Żadne działania nie są podejmowane w przypadku innych typów środowisk, takich jak domyślne, próbne, piaskownica, zespoły lub deweloper.

Aby dowiedzieć się więcej na temat ochrony danych w środowiskach nieprodukcyjnych, zobacz Tworzenie kopii zapasowych i przywracanie środowisk.

W jaki sposób zostaniesz powiadomiony o awarii?

 Podstawowym kanałem komunikacji jest Pulpit nawigacyjny kondycji usługi (SHD) w centrach administracyjnych Microsoft i Power Platform. Zespół ds. komunikacji Microsoft inicjuje proces, publikując wstępne komunikaty w celu powiadomienia użytkownika o przerwie w dostawie i w razie potrzeby publikując niezbędne aktualizacje w SHD. Aby uzyskać więcej informacji na temat przeglądania wiadomości w centrum administracyjnym, zobacz Panel strony głównej. Aby lepiej się przygotować, odwiedź stronę gotowości.    

Procesy Przełączania awaryjnego i przywracania po awarii oraz kryteria ciągłości działania

Przełączanie awaryjne (failover) i przywracanie po awarii (failback) to dwa główne zadania wykonywane podczas procesu ciągłości działania i odzyskiwania po awarii (BCDR), których celem jest zminimalizowanie wpływu awarii na dostępność i wydajność krytycznych funkcji biznesowych i aplikacji.

Tryb failover to proces przełączania się do wyznaczonej pomocniczej geograficznie kopii zapasowej wszystkich systemów i danych z podstawowej lokacji produkcyjnej. Po zakończeniu operacji przełączania awaryjnego środowisko produkcyjne jest dostępne z lokalizacji geograficznej.

Ważne

Mimo że aplikacje finansowe i operacyjne działają w regionie pomocniczym po konserwacji pracy awaryjnej, wdrożenia pakietów, Financial Reporting i raportowanie Power BI nie są dostępne.

Przywrócenie po awarii to proces przywracania produkcji do jej pierwotnej lokalizacji po katastrofie lub zaplanowanym okresie konserwacji.

W ramach standardu Microsoft Business Continuity and Disaster Recovery (BCDR) klienci mogą być pewni, że każda usługa online w ramach Microsoft corocznie przegląda, testuje i aktualizuje swój plan BCDR. Microsoft Cloud Ciągłość działania i odzyskiwanie po awarii Plan Validation Report jest udostępniany klientom na Service Trust Portal.

Jeśli wystąpi nieprzewidziana awaria w całym regionie, taka jak klęska żywiołowa, która ma wpływ na cały region Azure, zostaną wykonane następujące kroki i procesy.

Zakres odpowiedzialności firmy Microsoft Zakres odpowiedzialności klienta
Jeśli Microsoft wykryje awarię i zauważy, że ma ona wpływ na klientów, zespół ds. komunikacji Microsoftu wysyła niezbędne komunikaty i aktualizuje Pulpit nawigacyjny kondycji usługi o niezbędne informacje. None
Jeśli wystąpi awaria, Microsoft wykona automatyczne przełączenie awaryjne instancji produkcyjnej do regionu pomocniczego, jeśli klient NIE utraci danych. None
Jeśli wystąpi awaria, Microsoft ustali, że nastąpiła UTRATA DANYCH, a następnie awaria środowiska nie zostanie zainicjowana bez zgody/zatwierdzenia klienta. Gdy klient jest świadomy trwającej awarii i widzi WPŁYW, to na nim spoczywa odpowiedzialność:
- Aby skontaktować się z firmą Microsoft za pośrednictwem pomocy technicznej i dowiedzieć się, jaki poziom utraty danych wystąpi w przypadku zainicjowania przełączania awaryjnego.
- Jeśli utrata danych jest na akceptowalnym poziomie zgodnie ze standardami organizacji, klienci powinni przekazać zgodę za pośrednictwem pomocy technicznej, aby Microsoft zainicjował przełączenie awaryjne.
Gdy Microsoft ustali, że region podstawowy jest z powrotem online i jest w pełni operacyjny, na instancjach produkcyjnych wykonywane jest PRZYWRACANIE PO AWARII. Podczas planowanego procesu przywracania po awarii nie dochodzi do utraty danych, ale użytkownicy mogą doświadczyć krótkich przerw lub rozłączeń w tym okresie. None

Samoobsługowe odzyskiwanie danych po awarii (wersja zapoznawcza)

[Ta sekcja jest wstępną wersją dokumentacji i może ulec zmianie.]

Ważne

  • Jest to funkcja w wersji zapoznawczej.
  • Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje podlegają dodatkowym warunkom i są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.

Odzyskiwanie po awarii to funkcja infrastruktury premium Power Platform, która umożliwia klientom inicjowanie przełączania awaryjnego środowiska między regionami w sposób samoobsługowy. Klienci zazwyczaj mają wiele środowisk różnych typów utworzonych w dzierżawie. Ta funkcja jest dostępna specjalnie dla środowisk produkcyjnych i można ją włączyć dla każdego środowiska. Obecnie ta funkcja nie jest dostępna w środowiskach produkcyjnych Finance and Operations.

Włączanie samoobsługowego odzyskiwania po awarii

Aby można było korzystać z tej funkcji, należy włączyć samoobsługowe odzyskiwanie po awarii dla środowiska. Jest to jednorazowa akcja, która inicjuje obsługę zasobów i uruchamia proces replikacji danych między lokalizacją podstawową a lokalizacją pomocniczą. Może to potrwać do 48 godzin. Administratorzy otrzymają powiadomienie po zakończeniu procesu.

Włączenie odzyskiwania po awarii w środowisku nie ma wpływu na środowisko ani znajdujące się w nim dane.

Aby włączyć odzyskiwanie po awarii, wykonaj następujące kroki.

  1. Przejdź do listy środowisk w centrum administracyjnym Power Platform.
  2. Wybierz środowisko typu produkcyjnego, w którym chcesz włączyć samoobsługowe odzyskiwanie po awarii.
  3. Wybierz pozycję Odzyskiwanie po awarii na pasku poleceń w górnej części strony. Pojawia się panel Odzyskiwanie po awarii.
  4. Wybierz przełącznik, aby zmienić go na .
  5. Wybierz pozycję Zapisz.
  6. Środowisko zostanie na krótko umieszczone na stronie Edytowanie szczegółów.
  7. Pojawia się strona Szczegóły środowiska, wskazująca, że proces włączania funkcji został rozpoczęty.

Istnieją dwa powody, które mogą wymagać użycia tej funkcji:

  • Próbne odzyskiwanie po awarii.
  • Reagowanie w sytuacjach awaryjnych w przypadku poważnej awarii regionalnej.

Próbne odzyskiwanie po awarii

Twoja firma może mieć ćwiczenia odzyskiwania po awarii udokumentowane jako wymaganie w wewnętrznych planach ciągłości działania. Istnieją również branże i firmy, które mogą być zobowiązane przez przepisy rządowe do przeprowadzania audytów swoich możliwości BCDR. W takich przypadkach można przeprowadzić próbne odzyskiwanie po awarii w środowisku. Próbne odzyskiwanie po awarii umożliwia samoobsługowe odzyskiwanie po awarii bez utraty danych. Czas trwania akcji trybu failover może być nieco dłuższy, podczas gdy wszystkie pozostałe dane są replikowane do regionu pomocniczego.

Zalecamy, aby ćwiczenia były przeprowadzane na kopii środowiska produkcyjnego, ponieważ wiąże się to z przestojem, który może trwać kilka minut. Na przykład można skopiować środowisko produkcyjne do środowiska typu piaskownicy, a następnie zmienić typ z piaskownicy na produkcyjny.

Reagowanie awaryjne w trybie failover

Oczekuje się, że ta opcja zostanie wybrana w sytuacji awaryjnej — to znaczy, gdy w regionie podstawowym wystąpiła awaria i dostęp do środowisk lub danych nie jest możliwy. W przypadku wybrania tej opcji środowisko zakończy się niepowodzeniem bez kopiowania kolejnych danych innych niż dane, które zostały zreplikowane przed wystąpieniem awarii.

Podczas reagowania na awarie zostanie wyświetlona ilość utraty danych reprezentowana w czasie, którą można porównać z celem punktu odzyskiwania (RPO), jeśli ustalisz, że jest to akceptowalne i zdecydujesz się kontynuować. Środowisko działa w stanie uruchomienia, dopóki odzyskiwanie po awarii nie zostanie ukończone, a środowisko nie powróci do normalnego działania z regionu pomocniczego.

Powrót do regionu głównego

Po zakończeniu ćwiczenia lub po ograniczeniu awarii zalecamy przełączenie środowiska z powrotem do regionu podstawowego. Środowisko może działać z ograniczonymi zasobami w sparowanym regionie. Podczas tej operacji nie dochodzi do utraty danych.

Status odzyskiwania środowiska po awarii

Administratorzy mogą określić bieżący stan odzyskiwania po awarii i lokalizację środowiska na stronie Szczegóły środowiska. Administratorzy mogą również wybrać Odzyskiwanie po awarii na pasku poleceń, aby otworzyć okienko Odzyskiwanie po awarii.

Aby sprawdzić opóźnienie replikacji danych w dowolnym momencie, możesz wybrać Odzyskiwanie po awarii i wybrać Reagowanie na awarie jako przyczynę odzyskiwania po awarii. Spowoduje to otwarcie okna dialogowego potwierdzenia, które zawiera czas ostatniej replikacji między regionami dla danego środowiska. Możesz wybrać opcję Anuluj, jeśli Twoim jedynym celem było sprawdzenie potencjalnej utraty danych, jeśli wystąpiła operacja trybu działania po awarii. Należy pamiętać, że czas ostatniej synchronizacji jest zawsze inny w różnych momentach, ponieważ dane są replikowane w sposób ciągły.

Dokumentowanie planu ciągłości działania

Zalecamy przeprowadzenie ćwiczeń odzyskiwania po awarii lub reagowania kryzysowego, jeśli zdecydujesz się na to, przed wystąpieniem prawdziwej katastrofy, abyś mógł udokumentować wszystkie kroki wymagane dla wszystkich punktów integracji, które są zewnętrzne dla Power Platform. W takim przypadku Twoja firma jest lepiej przygotowana na odzyskanie sprawności, jeśli dojdzie do prawdziwej katastrofy.

Uwaga na temat podglądu

W wersji zapoznawczej ta funkcja jest bezpłatna i klient nie może jej wyłączyć. Gdy funkcja osiągnie ogólną dostępność, klienci w wersji zapoznawczej będą mogli zachować tę funkcję lub zezwolić na jej wyłączenie przez Microsoft. Nie będzie to miało wpływu na lokalizację ani możliwości środowiska podstawowego, jeśli klient nie zdecyduje się na uaktualnienie w okresie ogólnej dostępności.