Fazer backup de várias VMs do SQL Server por meio do cofre dos Serviços de Recuperação
Os bancos de dados do SQL Server são cargas de trabalho críticas que exigem um baixo RPO (objetivo de ponto de recuperação) e retenção de longo prazo. Você pode fazer backup de bancos de dados do SQL Server em execução em VMs (máquinas virtuais) do Azure usando o Backup do Azure.
Este artigo mostra como fazer backup de um banco de dados do SQL Server em execução em uma VM do Azure em um cofre dos Serviços de Recuperação do Backup do Azure.
Observação
Confira a matriz de suporte de backup do SQL para saber mais sobre as configurações e cenários com suporte.
Pré-requisitos
Antes de fazer backup de um banco de dados do SQL Server, verifique os seguintes critérios:
Identifique ou crie um cofre dos Serviços de Recuperação na mesma região e assinatura da VM que hospeda a Instância do SQL Server.
Verifique se a VM tem conectividade de rede.
Verifique se o Agente de Máquina Virtual do Azure está instalado na VM.
Certifique-se de que a versão .NET 4.6.2 ou superior esteja instalada na VM.
Cuidado
O suporte para backups de VMs SQL executando .NET Framework 4.6.1 ou inferior será descontinuado em breve porque essas versões estão oficialmente fora de suporte. Recomendamos que você atualize o .NET Framework para a versão 4.6.2 ou superior para garantir que não haja falhas de backup.
Verifique se os bancos de dados do SQL Server seguem as diretrizes de nomenclatura de banco de dados do Backup do Azure.
Garanta que o comprimento combinado do nome da VM do SQL Server e do nome do grupo de recursos não exceda 84 caracteres no caso de VMs do Azure Resource Manager (ou 77 caracteres no caso de VMs clássicas). Essa limitação é porque alguns caracteres são reservados pelo serviço.
Verifique que não haja nenhuma outra solução de backup habilitada para o banco de dados. Desabilite todos os outros backups do SQL Server antes de você fazer backup do banco de dados.
Ao usar o SQL Server 2008 R2 ou o SQL Server 2012, você poderá enfrentar o problema de fuso horário para o backup, conforme descrito aqui. Verifique se você tem as atualizações cumulativas mais recentes para evitar o problema relacionado ao fuso horário descrito acima. Se a aplicação das atualizações na instância do SQL Server na VM do Azure não for viável, desabilite o horário de verão para o fuso horário na máquina virtual.
Observação
Você pode habilitar o Backup do Azure para uma VM do Azure e também para um banco de dados do SQL Server em execução na VM sem nenhum conflito.
Estabelecer conectividade de rede
Para todas as operações, uma VM do SQL Server requer conectividade com o serviço de Backup do Azure, o Armazenamento do Azure e o Microsoft Entra ID. Isso pode ser feito usando pontos de extremidade privados ou concedendo acesso aos endereços IP públicos ou FQDNs necessários. Não permitir a conectividade adequada com os serviços do Azure necessários pode levar a uma falha em operações como descoberta de banco de dados, configuração de backup, realização de backups e restauração de dados.
A seguinte tabela lista as várias alternativas que você pode usar para estabelecer a conectividade:
Opção | Vantagens | Desvantagens |
---|---|---|
Pontos de extremidade privados | Permitir backups por IPs privados dentro da rede virtual Fornecer controle granular na rede e no lado do cofre |
Incorre em custos de ponto de extremidade privado padrão |
Marcas de serviço do NSG | Mais fácil de ser gerenciada, pois as alterações de intervalo são mescladas automaticamente Sem custos adicionais |
Pode ser usada somente com NSGs Fornece acesso a todo o serviço |
Marcas de FQDN do Firewall do Azure | Mais fácil de ser gerenciada, pois os FQDNs necessários são gerenciados automaticamente | Pode ser usada somente com o Firewall do Azure |
Permitir o acesso a FQDNs/IPs de serviço | Sem custo adicional. Funciona com todos os dispositivos e firewalls de segurança de rede. Também é possível usar pontos de extremidade de serviço no Armazenamento e no Microsoft Entra ID. No entanto, no caso do Backup do Azure, é necessário atribuir o acesso aos IPs/FQDNs correspondentes. |
Pode ser necessário acessar um amplo conjunto de IPs ou FQDNs. |
Usar um proxy HTTP | Único ponto de acesso à Internet para VMs | Custos adicionais para execução de uma VM com o software de proxy |
As seções a seguir dão mais detalhes sobre como usar essas opções.
Observação
Você pode usar os scripts de teste de conectividade do Backup do Azure para diagnosticar por conta própria os problemas de conectividade de rede no ambiente do Windows.
Pontos de extremidade privados
Os pontos de extremidade privados permitem que você se conecte com segurança de servidores dentro de uma rede virtual ao seu cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço da VNET para o cofre. O tráfego de rede entre seus recursos dentro da rede virtual e o cofre passa pela rede virtual e por um link privado na rede de backbone da Microsoft. Isso elimina a exposição à Internet pública. Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.
Marcas do NSG
Se você usar o NSG (grupo de segurança de rede), use a tag de serviço AzureBackup para permitir o acesso de saída ao Backup do Azure. Além da marca do Backup do Azure, você também precisará permitir a conectividade para autenticação e transferência de dados criando regras de NSG semelhantes para o Microsoft Entra ID (AzureActiveDirectory) e o Armazenamento do Azure (Armazenamento). As seguintes etapas descrevem o processo para criar uma regra para a tag do Backup do Azure:
Em Todos os Serviços, acesse Grupos de segurança de rede e selecione o grupo de segurança de rede.
Selecione Regras de segurança de saída em Configurações.
Selecione Adicionar. Insira todos os detalhes necessários para criar uma regra, conforme descrito em Configurações da regra de segurança. Verifique se a opção Destino está definida como Tag de Serviço e se Marca de serviço de destino está definida como AzureBackup.
Selecione Adicionar para salvar a regra de segurança de saída recém-criada.
De maneira semelhante, é possível criar regras de segurança de saída de NSG para o Armazenamento do Azure e o Microsoft Entra ID.
Marcas do Firewall do Azure
Se estiver usando o Firewall do Azure, crie uma regra de aplicativo usando a tag de FQDN do Firewall do Azure AzureBackup. Isso permite todo o acesso de saída ao Backup do Azure.
Observação
Atualmente, o Backup do Azure não oferece suporte à Regra de aplicativo com inspeção TLS habilitada no Firewall do Azure.
Permitir o acesso aos intervalos de IP de serviço
Se você optar por permitir o acesso a IPs de serviço, confira os intervalos de IP no arquivo JSON disponível aqui. Você precisará permitir o acesso aos IPs correspondentes ao Backup do Azure, ao Armazenamento do Azure e ao Microsoft Entra ID.
Permitir o acesso a FQDNs de serviço
Também é possível usar os seguintes FQDNs para permitir o acesso aos serviços necessários de seus servidores:
Serviço | Nomes de domínio a serem acessados | Portas |
---|---|---|
Serviço de Backup do Azure | *.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Azure AD | *.login.microsoft.com Permitir acesso a FQDNs nas seções 56 e 59 de acordo com este artigo |
443 Conforme aplicável |
Permitir conectividade para servidores por trás de balanceadores de carga internos
Ao usar um balanceador de carga interno, você precisa permitir que a conectividade de saída de máquinas virtuais atrás do balanceador de carga interno execute backups. Para fazer isso, você pode usar uma combinação de balanceadores de carga padrão internos e externos para criar uma conectividade de saída. Saiba mais sobre a configuração para criar uma configuração de saída somente para VMs no pool de back-end do balanceador de carga interno.
Usar um servidor proxy HTTP para rotear o tráfego
Quando você faz backup de um banco de dados do SQL Server em uma VM do Azure, a extensão de backup na VM usa as APIs HTTPS para enviar comandos de gerenciamento para o Backup do Azure e dados para o Armazenamento do Azure. A extensão de backup também usa o Microsoft Entra ID para autenticação. Roteie o tráfego de extensão de backup para esses três serviços por meio do proxy HTTP. Use a lista de IPs e FQDNs mencionados acima para permitir o acesso aos serviços necessários. Não há suporte para os servidores proxy autenticados.
Observação
Desabilite o proxy para comunicações de localhost dentro da VM. O proxy será cumprido para comunicações de saída da VM de SQL.
Diretrizes de nomenclatura de banco de dados para o Backup do Azure
Evite usar os seguintes elementos em nomes de banco de dados:
- Espaços à esquerda ou à direita
- Pontos de exclamação (!) à direita
- Colchetes de fechamento (])
- Ponto-e-vírgula (;)
- Barra (/)
- Percentual (%)
A configuração de Backup do SQL não dá suporte a aspas simples no nome do banco de dados e causa falha na implantação. Se houver algum banco de dados com aspas simples, recomendamos renomeá-lo ou adotar a abordagem de backup nativa.
O antialiasing está disponível para caracteres não compatíveis com a tabela do Azure, mas recomendamos evitá-los. Para obter informações, consulte Noções básicas sobre o modelo de dados do serviço Tabela.
Não há suporte para vários bancos de dados na mesma instância SQL com diferença de uso de maiúsculas.
Não há suporte para alterar o invólucro de um banco de dados SQL após a configuração da proteção.
Observação
A operação Configurar Proteção para bancos de dados com caracteres especiais, como {
, '}
, [
, ]
, ,
, =
, -
, (
, )
, .
, +
, &
, ;
, '
, ou /
, em seu nome não é suportada. Você pode alterar o nome do banco de dados ou habilitar a Proteção Automática, que deverá proteger com êxito esses bancos de dados.
Criar um cofre dos Serviços de Recuperação
Um cofre dos Serviços de Recuperação é uma entidade de gerenciamento que armazena pontos de recuperação criados ao longo do tempo e que fornece uma interface para executar operações relacionadas a backup. Essas operações incluem fazer backups sob demanda, executar restaurações e criar políticas de backup.
Para criar um cofre de Serviços de Recuperação:
Entre no portal do Azure.
Pesquise Centro de Continuidade de Negócios e acesse o painel do Centro de Continuidade de Negócios.
No painel Cofre, selecione+Cofre.
Selecione Cofre dos Serviços de Recuperação>Continuar.
No painel cofre dos Serviços de Recuperação, insira os seguintes valores:
Assinatura: selecione a assinatura a ser utilizada. Se você for um membro de apenas uma assinatura, verá esse nome. Se você não tem certeza de qual assinatura usar, use a assinatura padrão. Só haverá múltiplas opções se a sua conta corporativa ou de estudante estiver associada a várias assinaturas do Azure.
Grupo de recursos: Use um grupo de recursos existente ou crie um novo. Para ver uma lista de grupos de recursos disponíveis na assinatura, selecione Usar existente e depois selecione um recurso na lista suspensa. Para criar um grupo de recursos, selecione Criar e insira o nome. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
Nome do cofre: digite um nome amigável para identificar o cofre. O nome deve ser exclusivo para a assinatura do Azure. Especifique um nome que tenha, pelo menos, dois, porém, não mais de 50 caracteres. O nome deve começar com uma letra e consistir apenas em letras, números e hifens.
Região: selecione a região geográfica do cofre. Para criar um cofre para ajudar a proteger qualquer fonte de dados, o cofre deve estar na mesma região que a fonte de dados.
Importante
Se você não tem certeza da localização da fonte de dados, feche a janela. Vá para a lista de seus recursos no portal. Se você tiver fontes de dados em várias regiões, crie um cofre dos Serviços de Recuperação para cada região. Crie o cofre na primeira localização antes de criar um cofre em outra localização. Não é necessário especificar contas de armazenamento para armazenar os dados de backup. O cofre dos Serviços de Recuperação e o Backup do Azure cuidam disso automaticamente.
Depois de fornecer os valores, selecione Examinar + criar.
Para concluir a criação do cofre dos Serviços de Recuperação, selecione Criar.
Pode levar um tempo para criar o cofre dos Serviços de Recuperação. Monitore as notificações de status na área Notificações no canto superior direito. Depois que o cofre for criado, ele será exibido na lista de cofres dos Serviços de Recuperação. Se o cofre não for exibido, selecione Atualizar.
Observação
O Backup do Azure agora suporta os cofres imutáveis que ajudam você a garantir que os pontos de recuperação, uma vez criados, não possam ser excluídos antes de expirarem, de acordo com a política de backup. Você pode tornar a imutabilidade irreversível para a máxima proteção dos seus dados de backup contra várias ameaças, incluindo ataques de ransomware e agentes mal-intencionados. Saiba mais.
Descobrir bancos de dados do SQL Server
Como descobrir os bancos de dados em execução em uma VM:
No portal do Azure, acesse o Centro de backup e clique em +Backup.
Selecione SQL na VM do Azure como o tipo de fonte de origem, selecione o cofre dos Serviços de Recuperação que você criou e clique em Continuar.
Em Meta de Backup>Descobrir BDs em VMs, selecione Iniciar Descoberta para pesquisar as VMs não protegidas na assinatura. Essa pesquisa poderá levar alguns instantes, dependendo do número de máquinas virtuais não protegidas na assinatura.
As VMs não protegidas devem ser exibidas na lista após a descoberta, listadas por nome e grupo de recursos.
Se uma VM não estiver listada conforme o esperado, veja se ela já foi copiada em backup em um cofre.
Várias VMs podem ter o mesmo nome, mas elas pertencerão a diferentes grupos de recursos.
Na lista de VM, selecione a VM que executa o banco de dados do SQL Server >Descobrir BDs.
Acompanhe a descoberta de banco de dados em Notificações. O tempo necessário para essa ação depende do número de bancos de dados de VM. Quando os bancos de dados selecionados são descobertos, é exibida uma mensagem de êxito.
O Backup do Azure descobre todos os bancos de dados do SQL Server na VM. Durante a descoberta, ocorrem os seguintes eventos em segundo plano:
O Backup do Azure registra a VM no cofre para backup da carga de trabalho. O backup de todos os bancos de dados na VM registrada pode ser realizado apenas para esse cofre.
O Backup do Azure instala a extensão AzureBackupWindowsWorkload na VM. Nenhum agente é instalado em um Banco de Dados SQL.
O Backup do Azure cria a conta de serviço NT Service\AzureWLBackupPluginSvc na VM.
- Todas as operações de backup e restauração usam a conta de serviço.
- NT Service\AzureWLBackupPluginSvc precisa de permissões de sysadmin do SQL. Todas as VMs do SQL Server criadas no Marketplace são fornecidas com a SqlIaaSExtension instalada. A extensão AzureBackupWindowsWorkload usa a SQLIaaSExtension para obter automaticamente as permissões necessárias.
Se você não criou a VM por meio do Marketplace ou se você está em um SQL 2008/2008 R2, a VM provavelmente não tem a SqlIaaSExtension instalada e a operação de descoberta falha com a mensagem de erro UserErrorSQLNoSysAdminMembership. Para corrigir esse problema, siga as instruções em Definir permissões de VM.
Configurar o backup
Em Meta de Backup>Etapa 2: Configurar Backup, selecione Configurar Backup.
Selecione Adicionar recursos para ver todos os grupos de disponibilidade registrados e as instâncias autônomas do SQL Server.
Na tela Selecionar itens para backup, escolha a seta à esquerda de uma linha para expandir a lista de todos os bancos de dados desprotegidos nessa instância ou no grupo de disponibilidade Always On.
Selecione todos os bancos de dados que deseja proteger e selecione OK.
Para otimizar as cargas de backup, o Backup do Azure define um número máximo de bancos de dados em um trabalho de backup como 50.
Para proteger mais de 50 bancos de dados, configure vários backups.
Para habilitar a instância inteira ou o grupo de disponibilidade Always On, na lista suspensa PROTEÇÃO AUTOMÁTICA, selecione ATIVADA e, em seguida, selecione OK.
Observação
O recurso de proteção automática não só permite a proteção em todos os bancos de dados existentes de uma só vez, mas protege automaticamente quaisquer novos bancos de dados adicionados a essa instância ou ao grupo de disponibilidade.
Defina a Política de backup. Você tem as seguintes opções:
Selecione a política padrão como HourlyLogBackup.
Escolher uma política de backup existente criada anteriormente para SQL.
Definir uma nova política baseada no seu período de retenção e o RPO.
Selecione Habilitar Backup para enviar a operação Configurar Proteção e acompanhar o progresso da configuração na área Notificações do portal.
Criar uma política de backup
Uma política de backup define quando os backups são feitos e por quanto tempo eles são mantidos.
- Uma política é criada no nível do cofre.
- Vários cofres podem usar a mesma política de backup, mas você deve aplicar a política de backup a cada cofre.
- Quando você cria uma política de backup, um backup completo diário é o padrão.
- Você poderá adicionar um backup diferencial, mas somente se configurar backups completos para que ocorram semanalmente.
- Saiba mais sobre os diferentes tipos de políticas de backup.
Para criar uma política de backup:
Vá para o Centro de backup e clique em + Política.
Selecione SQL Server na VM do Azure como o tipo de fonte de origem, selecione o cofre no qual a política deve ser criada e clique em Continuar.
Em Nome da política, insira um nome para a nova política.
Selecione o link Editar correspondente ao Backup completo para modificar as configurações padrão.
- Selecione uma Frequência de Backup. Escolha uma opção entre Diária ou Semanal.
- Para Diária, selecione a hora e fuso horário quando o trabalho de backup começar. Você não pode criar backups diferenciais para backups diários completos.
Em PERÍODO DE RETENÇÃO, por padrão, todas as opções estão selecionadas. Desmarque os limites de período de retenção que não deseja usar e defina os intervalos a serem usados.
- O período de retenção mínimo para qualquer tipo de backup (completo, diferencial e de log) é de sete dias.
- Os pontos de recuperação são marcados para retenção com base em seu intervalo de retenção. Por exemplo, se você selecionar um backup completo diário, apenas um backup completo será disparado a cada dia.
- O backup para um dia específico é marcado e mantido com base no período de retenção semanal e a configuração de retenção semanal.
- Os períodos de retenção mensal e anual comportam-se de maneira semelhante.
Selecione OK para aceitar a configuração de backups completos.
Selecione o link Editar correspondente ao Backup diferencial para modificar as configurações padrão.
- Em Política de Backup Diferencial, selecione Habilitar para abrir os controles de retenção e frequência.
- Você pode acionar apenas um backup diferencial por dia. Um backup diferencial não pode ser disparado no mesmo dia que um backup completo.
- Backups diferenciais podem ser retidos por até 180 dias.
- O período de retenção de backup diferencial não pode ser maior do que o do backup completo (já que os backups diferenciais dependem dos backups completos para recuperação).
- Não há suporte para o backup diferencial no banco de dados mestre.
Selecione o link Editar correspondente ao Backup de log para modificar as configurações padrão
- Em Backup de Log, selecione Habilitar e, em seguida, defina os controles de retenção e frequência.
- Os Backups de log podem ocorrer a cada 15 minutos e podem ser mantidos por 35 dias.
- Se o banco de dados estiver no modelo de recuperação simples, a agenda de backup de log para esse banco de dados será colocado em pausa e, portanto, nenhum backup de log será disparado.
- Se o modelo de recuperação do banco de dados for alterado de Completo para Simples, os backups de log serão colocados em pausa em até 24 horas após a alteração no modelo de recuperação. Da mesma forma, se o modelo de recuperação for alterado de Simples, implicando o suporte dos backups de log no banco de dados, os agendamentos de backups de log serão habilitados em até 24 horas após a alteração no modelo de recuperação.
No menu Política de backup, escolha se deseja ou não habilitar a Compactação de Backup SQL. Essa opção está desabilitada por padrão. Se habilitada, o SQL Server enviará um fluxo de backup compactado para o VDI. O Backup do Azure substitui os padrões no nível da instância pela cláusula COMPRESSION/NO_COMPRESSION dependendo do valor desse controle.
Depois de concluir as edições à política de backup, selecione OK.
Observação
Cada backup de log é encadeado ao backup completo anterior para formar uma cadeia de recuperação. Esse backup completo será retido até que a retenção do último backup de log tenha expirado. Isso pode significar que o backup completo é mantido por um período extra para garantir que todos os logs possam ser recuperados. Vamos supor que você tenha um backup completo semanal, diferencial diário e logs de duas horas. Todos eles são retidos por 30 dias. No entanto, o backup completo semanal poderá ser realmente limpo/excluído somente depois que o próximo backup completo estiver disponível, ou seja, após 30 + 7 dias. Digamos, por exemplo, que um backup completo semanal ocorra em 16 de novembro. De acordo com a política de retenção, ele deve ficar retido até 16 de dezembro. O último backup de log para esse completo ocorre antes do próximo completo agendado, em 22 de novembro. Até que esse log esteja disponível até 22 de dezembro, o completo de 16 de novembro não poderá ser excluído. Portanto, o completo de 16 de novembro é mantido até 22 de dezembro.
Habilitar a proteção automática
É possível habilitar a proteção automática para fazer backup automaticamente de todos os bancos de dados existentes e dos bancos de dados que serão adicionados no futuro a uma instância autônoma do SQL Server ou a um grupo de disponibilidade Always On.
- Não há nenhum limite para o número de bancos de dados que podem ser selecionados para a proteção automática de uma só vez. A descoberta normalmente é executada a cada oito horas. A proteção automática de um banco de dados recém-descoberto será disparada dentro de 32 horas. No entanto, você pode descobrir e proteger novos bancos de dados imediatamente se executar uma descoberta manualmente selecionando a opção Redescobrir BDs.
- Se a operação de proteção automática no banco de dados recém-descoberto falhar, ocorrerão três novas tentativas. Se todas as três novas tentativas falharem, o banco de dados não será protegido.
- Você não pode proteger bancos de dados seletivamente nem excluí-los da proteção em uma instância no momento em que habilita a proteção automática.
- Se sua instância já inclui alguns bancos de dados protegidos, eles permanecerão protegidos sob as respectivas políticas mesmo depois de você ativar a proteção automática. Todos os bancos de dados desprotegidos adicionados posteriormente terão apenas uma política que você define no momento da habilitação da proteção automática, listada em Configurar Backup. No entanto, você pode alterar posteriormente a política associada a um banco de dados protegido automaticamente.
- Se a operação Configurar Proteção para o banco de dados recém-descoberto falhar, ela não vai gerar um alerta. No entanto, um trabalho de backup com falha pode ser encontrado na página Trabalhos de backup.
Para habilitar a proteção automática:
Em Itens para backup, selecione a instância na qual deseja habilitar a proteção automática.
Selecione a lista suspensa em PROTEÇÃO AUTOMÁTICA, escolha ATIVADA e, em seguida, selecione OK.
O backup é configurado para todos os bancos de dados juntos e pode ser acompanhado em Trabalhos de Backup.
Caso precise desabilitar a proteção automática, selecione o nome da instância em Configurar Backup e selecione Desabilitar Proteção Automática para a instância. Todos os bancos de dados continuarão a ser submetidos a backup, mas os bancos de dados futuros não serão protegidos automaticamente.
Próximas etapas
Saiba como: