Continuidade dos negócios e recuperação de desastres
A Business Application Platform (BAP) da Microsoft fornece recursos de continuidade de negócios e recuperação de desastres (BCDR) para todos os ambientes dos tipos de produção nos aplicativos SAAS do Dynamics 365 e do Power Platform. Este artigo descreve detalhes e práticas que a Microsoft adota para garantir que seus dados de produção sejam resilientes durante interrupções regionais.
Backup de ambientes de produção
A Microsoft se dedica a garantir os mais altos níveis de disponibilidade de serviço para seus aplicativos e dados críticos. A Microsoft garante que a infraestrutura de linha de base e os serviços de plataforma estejam disponíveis por meio de sua arquitetura de continuidade de negócios e recuperação de desastres, permitindo redundância geográfica, em que o backup de todos os dados dos ambientes de produção – excluindo os ambientes padrão – é feito na região secundária emparelhada. Esses backups são chamados de backups geossecundários que são configurados durante o tempo em que o ambiente principal é implantado.
A ilustração acima mostra que quando a região primária A é afetada durante uma interrupção, os ambientes do tipo de produção da região A fazem failover para a região secundária B, que está íntegra. Nenhuma ação é tomada em outros tipos de ambientes como padrão, avaliação, área restrita, Teams ou desenvolvedor.
Para saber mais sobre proteção de dados em ambientes de não produção, consulte Fazer backup de ambientes e restaurá-los.
Como você será notificado sobre uma interrupção?
O principal canal de comunicação é via Service Health Dashboard (SHD) nos Centros de administração do Power Platform. A equipe de comunicação da Microsoft inicia o processo postando comunicações iniciais para notificá-lo sobre a interrupção e posta as atualizações necessárias no SHD, conforme necessário. Para obter mais informações sobre como visualizar suas mensagens no centro de administração, consulte Painel da home page. Para se preparar melhor, visite a página de preparação.
Processos e critérios de failover e failback para continuidade de negócios
Failover e failback são as duas principais tarefas realizadas durante o processo de continuidade de negócios e recuperação de desastres (BCDR). O objetivo é minimizar o impacto de um desastre na disponibilidade e no desempenho de funções e aplicativos críticos de negócios.
Failover é o processo de alternar para um backup geossecundário designado de todos os sistemas e dados do local de produção principal. Ao concluir a operação de failover, seu ambiente de produção estará acessível a partir do site geossecundário.
Importante
Embora os aplicativos de finanças e operações estejam operando na região secundária após uma manutenção de failover, implantações de pacotes, Financial Reporting e relatórios do Power BI não estão disponíveis.
A operação de Fallback é o processo de retornar a produção ao seu local original após um desastre ou um período de manutenção programado.
Como parte do padrão BCDR (continuidade de negócios e recuperação de desastres) da Microsoft, os clientes podem ter certeza de que cada serviço online da Microsoft analisa, testa e atualiza seu plano BCDR anualmente. O Relatório de Validação do Plano de Continuidade de Negócios e Recuperação de Desastres do Microsoft Cloud está disponível para os clientes no Portal de Confiança do Serviço.
Se ocorrer uma interrupção imprevista em toda a região, como um desastre natural que afete toda a região do Azure, as etapas e os processos a seguir ocorrerão.
| Responsabilidade da Microsoft | Responsabilidades dos clientes |
|---|---|
| Se a Microsoft detectar uma interrupção e vir os clientes sendo afetados, a equipe de comunicação da Microsoft enviará as comunicações necessárias e manterá o Painel de Integridade do Serviço atualizado com as informações necessárias. | Nenhum |
| Se uma paralisação ocorrer, a Microsoft vai realizar um failover automático das instâncias de produção para a região secundária se NÃO HOUVER PERDA DE DADOS para o cliente. | Nenhum |
| Se ocorrer uma paralisação, a Microsoft determinar que há PERDA DE DADOS, o failover do ambiente não será iniciado sem o consentimento/aprovação do cliente. | Assim que o cliente estiver ciente da interrupção contínua e perceber o IMPACTO, será de responsabilidade do cliente: - Para entrar em contato com a Microsoft através do suporte e descobrir o nível de perda de dados que ocorreria se um failover fosse iniciado. - Se a perda de dados estiver em um nível aceitável para os padrões da organização, os clientes deverão fornecer seu consentimento por meio do suporte para que a Microsoft inicie um failover. |
| Quando a Microsoft determina que a região primária está novamente online e totalmente operacional, um FAILBACK é executado nas instâncias de produção. Não há perda de dados durante o processo de failback planejado, mas os usuários podem enfrentar breves interrupções ou desconexões durante essa janela. | Nenhum |
Recuperação de desastre do autoatendimento (versão preliminar)
[Esta seção faz parte da documentação de pré-lançamento e está sujeita a alterações.]
Importante
- Este é um recurso em versão preliminar.
- Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos estão sujeitos a termos de uso suplementares e são disponibilizados antes de um lançamento oficial, de maneira que os clientes possam ter acesso antecipado e fazer comentários.
A recuperação de desastre é uma capacidade de infraestrutura Power Platform premium que permite aos clientes iniciar failover de ambiente entre regiões da maneira de autoatendimento. Os clientes normalmente têm vários ambientes de tipos diferentes criados nos locatários. Esse recurso está disponível especificamente para ambientes do tipo de produção e pode ser ativado para cada ambiente. No momento, esse recurso não está disponível para ambientes de produção de finanças e operações.
Ativar a recuperação de desastre do autoatendimento
Você precisa ativar a recuperação de desastres de autoatendimento para um ambiente antes de poder usar o recurso. Essa é uma ação única que provisiona recursos e inicia o processo de replicação de dados entre o local primário e o local secundário. Isso pode levar até 48 horas para ser concluído. Os administradores recebem uma notificação quando o processo é concluído.
Ativar a recuperação de desastres em um ambiente não tem impacto no ambiente ou nos dados contidos nele.
Para ativar a recuperação de desastres, conclua as etapas a seguir.
- Navegue até a lista de ambientes dentro do Centro de Administração do Power Platform.
- Selecione o ambiente do tipo de produção no qual você deseja ativar a recuperação de desastres de autoatendimento.
- Selecione Recuperação de Desastre na barra de comandos, na parte superior da página. O painel Recuperação de Desastre é exibido.
- Selecione a alternância para alterá-la para Habilitado.
- Selecione Salvar.
- O ambiente é colocado rapidamente na página Editar detalhes.
- A página Detalhes do ambiente é exibida, indicando que o processo de ativação do recurso foi iniciado.
Há dois motivos que podem exigir que você use esse recurso:
- Análise da recuperação de desastre.
- Resposta de emergência em caso de interrupção regional grave.
Análises da recuperação de desastre
Sua empresa pode ter exercícios de recuperação de desastres documentados como um requisito em seus planos internos de continuidade de negócios. Há também indústrias e empresas que podem ser obrigadas por regulamentações governamentais a realizar auditorias em seus recursos de BCDR. Nesses casos, você pode executar uma simulação de recuperação de desastres em um ambiente. Uma simulação de recuperação de desastres permite que você execute a recuperação de desastres de autoatendimento sem perder dados. A duração da ação de failover pode ser um pouco maior enquanto todos os dados restantes estão sendo replicados para a região secundária.
Recomendamos que as análises sejam realizadas em uma cópia de um ambiente de produção, pois isso envolve tempo de inatividade que pode durar minutos. Por exemplo, convém copiar um ambiente de produção para um ambiente de tipo área restrita e alterar o tipo de área restrita para produção.
Failover de resposta a emergências
Espera-se que essa opção seja escolhida durante uma emergência, ou seja, quando a região primária sofreu uma interrupção e o acesso a ambientes ou dados não é possível. Se você escolher essa opção, o ambiente falha sem copiar mais nenhum dado, além dos dados que foram replicados antes da paralisação.
Ao executar uma resposta de emergência, você vê a quantidade de perda de dados representada no tempo, que pode ser comparada ao RPO (Recovery Point Objective, objetivo de ponto de recuperação), se determinar que ela é aceitável e optar por continuar. O ambiente opera no estado de execução até que a recuperação de desastres seja concluída e o ambiente volte à operação normal da região secundária.
Alternância para região primária
Depois de concluir a perfuração ou depois que uma interrupção for atenuada, recomendamos que você alterne o ambiente para sua região primária. Um ambiente talvez operando com recursos limitados na região emparelhada. Não há perda de dados durante esta operação.
Status da recuperação de desastre do ambiente
Os administradores podem determinar o estado de recuperação de desastre atual e a localização de um ambiente na página Detalhes do ambiente. Os administradores também podem selecionar Recuperação de desastre na barra de comandos para abrir o painel Recuperação de desastre.
Para verificar a latência da replicação de dados a qualquer momento, você pode selecionar Recuperação de desastre e Resposta de emergência como o motivo da recuperação de desastre. Isso abre uma caixa de diálogo de confirmação que inclui o último tempo de replicação entre regiões para esse ambiente. Você poderá selecionar Cancelar se a única finalidade for verificar a perda de dados em potencial se houver uma operação de failover. Lembre-se de que o tempo da última sincronização é sempre diferente em momentos diferentes, já que os dados estão sendo replicados continuamente.
Documentando seu plano de continuidade de negócios
Será recomendável realizar exercícios de recuperação de desastre ou uma resposta de emergência, se você optar por isso, antes de um desastre real ocorrer, de maneira que você possa documentar todas as etapas necessárias para eventuais pontos de integração externos ao Power Platform. Nesse caso, sua empresa está mais preparada para a recuperação caso haja um desastre real.
Observação sobre a visualização
Durante a visualização, esse recurso não é cobrado e ele não pode ser desativado pelo cliente. Quando o recurso atinge a disponibilidade geral, os clientes de visualização têm a oportunidade de manter a funcionalidade ou permitir que ela seja desativada pela Microsoft. Não haverá impacto no local ou nos recursos do ambiente principal se você optar por não atualizar durante a disponibilidade geral.