Udostępnij za pośrednictwem


Ciągłość działania i odzyskiwanie po awarii

Notatka

Nowe i ulepszone Power Platform centrum administracyjne jest teraz dostępne w publicznej wersji zapoznawczej! Zaprojektowaliśmy nowe centrum administracyjne tak, aby było łatwiejsze w użyciu i wyposażone w nawigację zorientowaną na zadania, która pomaga szybciej osiągać określone wyniki. Będziemy publikować nową i zaktualizowaną dokumentację, gdy nowe Power Platform centrum administracyjne stanie się ogólnie dostępne.

Firmy oczekują, że ich aplikacje i dane klientów będą chronione i odporne na nieuniknione przestoje i zakłócenia. Ważne jest, aby mieć udokumentowany plan ciągłości działania, który ma na celu zminimalizowanie skutków przestojów. Upewnij się, że plan obejmuje interesariuszy, procesy i konkretne kroki, które należy podjąć w celu odzyskania i wznowienia operacji.

Microsoft zapewnia funkcje ciągłości działania i odzyskiwania po awarii (BCDR) we wszystkich środowiskach typu produkcyjnego w aplikacjach Dynamics 365 i Power Platform jako usługa (SAAS). W tym artykule opisano szczegóły i praktyki Microsoft w celu zapewnienia odporności danych produkcyjnych podczas awarii.

Na poniższym diagramie przedstawiono typową architekturę obszaru geograficznego obsługującego jeden lub wiele krajów. Mimo że lokalizacja geograficzna to wszystko Power Platform , czym muszą zająć się administratorzy, w ramach lokalizacji geograficznej Microsoft wdraża więcej infrastruktury, aby zapewnić skalowalność i dodatkową ochronę danych.

Diagram przedstawia typową architekturę obszaru geograficznego, który obsługuje jeden lub wiele krajów.

Lokalizacja geograficzna obejmuje co najmniej jeden Azure region, który zwykle składa się z trzech strefy dostępności, ale nie mniej niż dwóch stref dostępności.

Wbudowane odzyskiwanie po awarii w regionie ze strefami dostępności Azure

Microsoft uznaje, że elementy infrastruktury, takie jak sieć, zasilanie lub chłodzenie, mogą nieoczekiwanie ulec awarii, na przykład z powodu uderzenia pioruna. Może to mieć wpływ na co najmniej jedno centrum danych. Aby zapewnić odporność, zaprojektowaliśmy i wdrożyliśmy strefy dostępności, w których środowiska są replikowane w co najmniej dwóch odrębnych strefach.

Microsoft automatycznie wykrywa awarie na poziomie strefy dostępności i niemal natychmiast przełącza się do innych stref dostępności w regionie. Chroni to przed utratą danych, a zwykle czas przestoju jest bliski zeru. Ta funkcja w regionie jest dostępna dla środowisk produkcyjnych, w których oczekuje się, że będą hostować procesy i dane aplikacji o znaczeniu krytycznym dla firmy. Upewnij się, że chronisz się przed zakłóceniami, upewniając się, że procesy produkcyjne i dane nie są wdrażane w typach innych niż produkcyjne, takich jak piaskownica, deweloperzy lub środowiska w wersji próbnej.

Aby zapewnić bezproblemowe odzyskiwanie po awarii, strefy dostępności zapewniają wbudowaną odporność bez konieczności ręcznej interwencji. Dane klientów są synchronicznie replikowane w co najmniej dwóch strefach dostępności, co powoduje zerową utratę danych. Docelowy punkt odzyskiwania wynosi zero, a docelowy czas szybkiego odzyskiwania jest krótszy niż pięć minut. Jeśli w jednej strefie wystąpi awaria, ruch jest automatycznie przekierowywany do pozostałych stref przy minimalnych zakłóceniach w świadczeniu usług.

Tworzenie kopii zapasowych środowisk produkcyjnych

Przejście do stref dostępności stanowi znaczną poprawę w porównaniu z wcześniejszym procesem tworzenia kopii zapasowych i pracy w trybie failover dla Dynamics 365 i Power Platform obciążeń. Te obciążenia zazwyczaj wymagały skontaktowania się z obsługą klienta w celu ręcznej interwencji. Dane i usługi pozostają wysoce dostępne w regionie podstawowym dzięki wbudowanej nadmiarowości w czasie rzeczywistym w wielu strefach.

Najważniejsze ulepszenia obejmują:

  • Zawsze włączona odporność: środowiska są teraz automatycznie replikowane w wielu strefach dostępności, co eliminuje potrzebę tworzenia oddzielnych pomocniczych kopii zapasowych pod względem geograficznym.
  • Szybsze odzyskiwanie: dzięki replikacji synchronicznej między strefami przełączanie awaryjne w regionie jest niemal natychmiastowe, co minimalizuje zakłócenia i minimalną utratę danych.
  • Bezproblemowe działanie: w przeciwieństwie do tradycyjnych kopii zapasowych, które wymagają przywracania, strefy dostępności utrzymują środowisko w ciągłej aktywności.
  • Zmniejszona zależność od pomocy technicznej: Zautomatyzowane przełączanie w tryb failover w regionie podstawowym eliminuje konieczność kontaktowania się z pomocą techniczną Microsoft w przypadku większości scenariuszy odzyskiwania po awarii.

Ograniczona liczba klientów w niektórych regionach jest w trakcie przechodzenia na ulepszoną architekturę. Niezależnie od tego, czy region został przeniesiony, czy jest w trakcie, usługa zawsze przechowuje kopię zapasową danych środowiska w więcej niż jednym centrum danych.

Strefy dostępności są wystarczająco daleko od siebie, aby zmniejszyć prawdopodobieństwo awarii wpływającej na więcej niż jedną strefę, ale wystarczająco blisko, aby mieć połączenia o małych opóźnieniach z innymi strefami dostępności. Odległość między strefami dostępności wynosi zwykle 60 mil lub 100 kilometrów.

Klienci, którzy wymagają większej odległości w obrębie lokalizacji geograficznej, mogą zdecydować się na użycie samoobsługowego odzyskiwania po awarii w celu zachowania kopii w regionie pomocniczym. Dzięki tej funkcji klienci mogą kontrolować operacje trybu failover i przeprowadzać próbne odzyskiwanie po awarii zgodnie z opisem w poniższej sekcji.

Samoobsługowe odzyskiwanie po awarii między regionami (wersja zapoznawcza)

[Ta sekcja jest wstępną wersją dokumentacji i może ulec zmianie.]

Ważne

  • Jest to funkcja w wersji zapoznawczej.
  • Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje podlegają dodatkowym warunkom i są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.

Większość lokalizacji geograficznych składa się zazwyczaj z par regionów o minimalnej odległości 300 mil, gdy tylko jest to możliwe, aby chronić dane w przypadku awarii o dużym zakresie.

Samoobsługowe Power Platform odzyskiwanie po awarii to funkcja infrastruktury, która umożliwia klientom replikowanie środowiska na duże odległości i inicjowanie trybu failover środowiska między regionami w sposób samoobsługowy.

Klienci zazwyczaj mają wiele środowisk różnych typów utworzonych w dzierżawie. Ta funkcja jest dostępna specjalnie dla środowisk zarządzanych i można ją włączyć dla każdego środowiska. Obecnie ta funkcja nie jest dostępna w środowiskach produkcyjnych Finance and Operations.

Notatka

W wersji zapoznawczej ta funkcja jest bezpłatna i nie można jej wyłączyć. Gdy funkcja stanie się ogólnie dostępna, klienci w wersji zapoznawczej będą mogli ją zachować, postępując zgodnie ze szczegółami dotyczącymi kosztów i rozliczeń wymienionymi w tym artykule, lub zezwolić na jej wyłączenie przez Microsoft. Nie będzie to miało wpływu na lokalizację ani możliwości środowiska podstawowego, jeśli klient nie zdecyduje się na uaktualnienie w okresie ogólnej dostępności.

Koszt i rozliczenia samoobsługowego odzyskiwania po awarii

Środowiska, które aktywują odzyskiwanie po awarii, replikują wszystkie dane środowiska między dwoma regionami i mogą przechodzić w tryb failover między regionami. Replikowane dane różnych typów magazynu, takich jak baza danych, dziennik i plik, są dodawane do Dataverse używanej pojemności i rozliczane według tej samej stawki co magazyn podstawowy.

Aby można było korzystać z samoobsługowego odzyskiwania po awarii dla środowiska, środowisko musi być najpierw połączone z planem rozliczeń z płatnościązgodnie z rzeczywistym użyciem.

Jeśli Twoje środowisko korzysta już z planu rozliczeń z płatnością zgodnie z rzeczywistym użyciem, nie są wymagane żadne dalsze działania, a zreplikowana pojemność jest rozliczana w ramach subskrypcji Azure.

Jeśli środowisko jest skonfigurowane do pobierania pojemności z uprawnień do dyspozycyjności dzierżawy, wówczas uprawniona Dataverse pojemność jest zużywana jako pierwsza, Nadal wymagany jest plan rozliczeń z płatnością zgodnie z rzeczywistym użyciem, aby można było uniknąć nadmiarów pojemności. Dowiedz się, jak przydzielać pojemność i zarządzać nadwyżkami pojemności za pomocą planów rozliczeniowych płatności zgodnie z rzeczywistym użyciem. Dowiedz się więcej w artykule Wyświetlanie informacji o użyciu i rozliczeniach.

Włączanie samoobsługowego odzyskiwania po awarii

Po skonfigurowaniu rozliczeń zgodnie z powyższym opisem możesz włączyć samoobsługowe odzyskiwanie po awarii dla środowiska. Jest to jednorazowa akcja, która inicjuje obsługę zasobów i uruchamia proces replikacji danych między lokalizacją podstawową a lokalizacją pomocniczą. Może to potrwać do 48 godzin. Administratorzy otrzymają powiadomienie po zakończeniu procesu.

Włączenie odzyskiwania po awarii w środowisku nie ma wpływu na środowisko ani znajdujące się w nim dane.

Aby włączyć odzyskiwanie po awarii, wykonaj następujące kroki.

  1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator systemu.
  2. W okienku nawigacyjnym wybierz Zarządzanie.
  3. W okienku Zarządzaj, wybierz Środowiska. Zostanie wyświetlona strona Środowiska.
  4. Wybierz środowisko typu produkcyjnego, w którym chcesz włączyć samoobsługowe odzyskiwanie po awarii.
  5. Wybierz pozycję Odzyskiwanie po awarii na pasku poleceń w górnej części strony. Pojawia się panel Odzyskiwanie po awarii.
  6. Wybierz przełącznik, aby zmienić go na .
  7. Wybierz pozycję Zapisz.
  8. Środowisko zostanie na krótko umieszczone na stronie Edytowanie szczegółów.
  9. Pojawia się strona Szczegóły środowiska, wskazująca, że proces włączania funkcji został rozpoczęty.

Te dwa zdarzenia mogą wymagać użycia tej funkcji:

  • Próbne odzyskiwanie po awarii.
  • Reagowanie w sytuacjach awaryjnych w przypadku poważnej awarii regionalnej.

Próbne odzyskiwanie po awarii

Twoja firma może mieć ćwiczenia odzyskiwania po awarii udokumentowane jako wymaganie w wewnętrznych planach ciągłości działania. Niektóre branże i firmy mogą być zobowiązane przez przepisy rządowe do przeprowadzania audytów swoich możliwości BCDR. W takich przypadkach można przeprowadzić próbne odzyskiwanie po awarii w środowisku. Próbne odzyskiwanie po awarii umożliwia samoobsługowe odzyskiwanie po awarii bez utraty danych. Czas trwania akcji trybu failover może być nieco dłuższy, gdy wszystkie pozostałe dane są replikowane do regionu pomocniczego.

Zalecamy przeprowadzanie prób na kopii środowiska produkcyjnego, ponieważ wiąże się to z przestojami, które mogą trwać kilka minut. Na przykład można skopiować środowisko produkcyjne do środowiska typu piaskownicy, a następnie zmienić typ z piaskownicy na produkcyjny.

Reagowanie awaryjne w trybie failover

Tę opcję należy wybrać w sytuacji awaryjnej, to znaczy, gdy w regionie podstawowym wystąpiła awaria i dostęp do środowisk lub danych nie jest możliwy. W przypadku wybrania tej opcji środowisko zakończy się niepowodzeniem bez kopiowania kolejnych danych innych niż dane, które zostały zreplikowane przed wystąpieniem awarii.

Podczas reagowania na awarie zostanie wyświetlona ilość utraty danych reprezentowana w czasie, którą można porównać z celem punktu odzyskiwania (RPO), jeśli ustalisz, że jest to akceptowalne i zdecydujesz się kontynuować. Środowisko działa w stanie Uruchomione do momentu zakończenia odzyskiwania po awarii, a środowisko powróci do normalnego działania z regionu pomocniczego.

Powrót do regionu głównego

Po zakończeniu ćwiczenia lub po ograniczeniu awarii zalecamy przełączenie środowiska z powrotem do regionu podstawowego. Środowisko może działać z ograniczonymi zasobami w sparowanym regionie. Podczas tej operacji nie dochodzi do utraty danych.

Status odzyskiwania środowiska po awarii

Administratorzy mogą określić bieżący stan odzyskiwania po awarii i lokalizację środowiska na stronie Szczegóły środowiska. Administratorzy mogą również wybrać Odzyskiwanie po awarii na pasku poleceń, aby otworzyć okienko Odzyskiwanie po awarii.

Aby sprawdzić opóźnienie replikacji danych w dowolnym momencie, możesz wybrać Odzyskiwanie po awarii i wybrać Reagowanie na awarie jako przyczynę odzyskiwania po awarii. Spowoduje to otwarcie okna dialogowego potwierdzenia, które zawiera czas ostatniej replikacji między regionami dla danego środowiska. Możesz wybrać opcję Anuluj, jeśli Twoim jedynym celem było sprawdzenie potencjalnej utraty danych, jeśli wystąpiła operacja trybu działania po awarii. Pamiętaj, że czas ostatniej synchronizacji jest zawsze inny w różnych momentach, ponieważ dane są replikowane w sposób ciągły.

Dokumentowanie planu ciągłości działania

Zalecamy przeprowadzenie ćwiczeń odzyskiwania po awarii lub reagowania kryzysowego, jeśli zdecydujesz się na to, przed wystąpieniem prawdziwej katastrofy, abyś mógł udokumentować wszystkie kroki wymagane dla wszystkich punktów integracji, które są zewnętrzne dla Power Platform. Twoja firma jest wtedy lepiej przygotowana na odzyskanie sprawności w przypadku prawdziwej katastrofy.