Continuidade de negócio e recuperação após desastre
Nota
O centro de administração novo e melhorado do Power Platform está agora em pré-visualização pública! Concebemos o novo centro de administração para ser mais fácil de utilizar, com uma navegação orientada para tarefas que o ajuda a alcançar resultados específicos mais rapidamente. Publicaremos documentação nova e atualizada à medida que o novo centro de administração do Power Platform passar para disponibilidade geral.
As empresas esperam que as suas aplicações e dados de clientes sejam protegidos e resilientes durante falhas e interrupções inevitáveis. É importante ter um plano de continuidade de negócios documentado que vise minimizar os efeitos das falhas. Certifique-se de que o plano inclua intervenientes, processos e etapas específicas a serem tomadas para recuperar e retomar as operações.
A Microsoft fornece capacidades de continuidade de negócio e recuperação após desastre (BCDR) para todos os ambientes do tipo de produção em aplicações de software como um serviço (SaaS) do Dynamics 365 e do Power Platform. Este artigo descreve os detalhes e as práticas que a Microsoft adota para garantir que os seus dados de produção sejam resilientes durante falhas.
O diagrama a seguir mostra uma arquitetura típica de uma geografia que atende a um ou vários países. Embora a localização geográfica seja tudo o que os seus administradores do Power Platform precisam se preocupar, dentro da geografia, o Microsoft implementa mais infraestrutura para fornecer escala e proteção adicional para os seus dados.
Uma geografia inclui pelo menos uma região do Azure que normalmente é composta por três zonas de disponibilidade, mas não menos de duas zonas de disponibilidade.
Recuperação após desastre integrada na região com zonas de disponibilidade do Azure
A Microsoft reconhece que componentes de infraestrutura como rede, energia ou arrefecimento podem falhar inesperadamente, por exemplo, devido a um raio. Isto pode afetar um ou mais datacenters. Para garantir a resiliência, arquitetamos e implementamos zonas de disponibilidade, nas quais os seus ambientes são replicados em pelo menos duas zonas distintas.
A Microsoft deteta automaticamente falhas a nível da zona de disponibilidade e alterna para outras zonas de disponibilidade na região quase instantaneamente. Isso protege-o de qualquer perda de dados e, geralmente, o tempo de inatividade é quase zero. Esta capacidade na região está disponível para ambientes do tipo produção que devem alojar processos e dados de aplicações críticas para os negócios. Certifique-se de que se protege contra interrupções, certificando-se de que os seus processos e dados de produção não sejam implementados em tipos que não sejam de produção, como sandbox, de programador ou ambiente de avaliação.
Para garantir uma recuperação após desastre perfeita, as zonas de disponibilidade fornecem resiliência integrada sem a necessidade de intervenção manual. Os dados do cliente são replicados de forma síncrona em pelo menos duas zonas de disponibilidade, resultando em zero perda de dados. O objetivo do ponto de recuperação é zero e o objetivo de recuperação rápida, ou objetivo de tempo de recuperação, é inferior a cinco minutos. Se uma zona apresentar uma falha, o tráfego é automaticamente redirecionado para as zonas restantes com interrupção mínima do serviço.
Cópia de segurança dos ambientes de produção
A transição para zonas de disponibilidade representa uma melhoria significativa em relação ao processo anterior de cópia de segurança e ativação pós-falha para cargas de trabalho do Dynamics 365 e Power Platform. Essas cargas de trabalho normalmente exigiam entrar em contacto com o suporte ao cliente para intervenção manual. Os seus dados e serviços permanecem altamente disponíveis na região principal, com redundância integrada em tempo real em várias zonas.
As principais melhorias incluem:
- Resiliência sempre ativa: os seus ambientes agora são replicados automaticamente em várias zonas de disponibilidade, eliminando a necessidade de cópias de segurança geo-secundárias separadas.
- Recuperação mais rápida com a replicação síncrona entre zonas, a ativação pós-falha dentro de uma região é quase instantânea, minimizando interrupções e perda mínima de dados.
- Experiência perfeita: ao contrário das cópias de segurança tradicionais, que exigem restauro, as zonas de disponibilidade mantêm o seu ambiente continuamente ativo.
- Dependência de suporte reduzida: a ativação pós-falha automatizada na região principal elimina a necessidade de entrar em contacto com o suporte da Microsoft para a maioria dos cenários de recuperação após desastre.
Um número limitado de clientes em determinadas regiões está em processo de transição para a arquitetura melhorada. Quer a região tenha transitado ou esteja em processo, o serviço mantém sempre uma cópia de segurança dos dados do ambiente em mais do que um centro de dados.
As zonas de disponibilidade estão suficientemente afastadas para reduzir a probabilidade de uma interrupção afetar mais de uma zona, mas próximas o suficiente para ter ligações de baixa latência a outras zonas de disponibilidade. A distância entre as zonas de disponibilidade é geralmente de 60 milhas, ou 100 quilómetros.
Os clientes que exigem maior distância dentro de uma região geográfica podem optar por usar a recuperação após desastre de e gestão personalizada para manter uma cópia numa região secundária. Com esta funcionalidade, os clientes podem controlar operações de ativação pós-falha e executar testes de recuperação após desastre, conforme descrito na secção a seguir.
Recuperação após desastre de gestão personalizada entre regiões (pré-visualização)
[Esta secção é documentação de pré-lançamento e está sujeita a alterações.]
Importante
- Esta é uma funcionalidade de pré-visualização.
- As caraterísticas de pré-visualização não se destinam a utilização em produção e podem ter funcionalidade restrita. Estas caraterísticas estão sujeitas aos termos de utilização suplementares disponíveis antes do lançamento oficial, para que os clientes possam ter acesso antecipadamente e enviar comentários.
A maioria das geografias é normalmente composta por pares de regiões com uma distância mínima de 300 milhas sempre que possível, para proteger os seus dados em desastres de grande alcance.
A recuperação após desastre de gestão automática é uma capacidade de infraestrutura do Power Platform que permite que os clientes repliquem o seu ambiente em longas distâncias e iniciem a ativação pós-falha de ambiente entre regiões de maneira autónoma.
Normalmente, os clientes têm vários ambientes de diferentes tipos criados no respetivo inquilino. Esta capacidade está disponível especificamente para Ambientes Geridos do tipo de produção e pode ser ativada para cada ambiente. Atualmente, esta capacidade não está disponível para ambientes de produção de finanças e operações.
Nota
Durante a pré-visualização, esta caraterística é gratuita e não pode desativá-la. Quando a funcionalidade atingir a disponibilidade geral, os clientes de pré-visualização podem mantê-la seguindo os detalhes de custo e faturação listados neste artigo ou permitir que seja desativada pela Microsoft. Não haverá impacto na localização ou nas capacidades do ambiente principal se optar por não atualizar a versão durante a disponibilidade geral.
Custo e faturação da recuperação após desastre de gestão personalizada
Os ambientes que ativam a recuperação após desastre replicam todos os dados do ambiente entre duas regiões e podem efetuar ativação pós-falhas entre as regiões. Dados replicados de diferentes tipos de armazenamento, como Base de Dados, Registo e Ficheiro, são adicionados à capacidade do Dataverse consumida e faturada à mesma taxa que o armazenamento principal.
Para usar a recuperação após desastre autónoma para um ambiente, o ambiente deve primeiro ser associado a um plano de faturação pré-pago.
Se o seu ambiente já utiliza um plano de faturação pay as you go, não é necessária nenhuma ação adicional e a capacidade replicada é faturada à sua subscrição do Azure.
Se o seu ambiente estiver configurado para extrair capacidade do direito de capacidade do Dataverse do inquilino, a capacidade autorizada será consumida primeiro, ainda sendo necessário um plano de faturação pay-as-you-go para que possa evitar ultrapassagens de capacidade. Saiba como alocar capacidade e gerir situações de ultrapassagem da capacidade através de planos de faturação pay as you go. Saiba mais em Ver informações de utilização e de faturação.
Ativar a recuperação após desastre de gestão personalizada
Depois de configurar a faturação conforme descrito acima, pode ativar a recuperação após desastre de gestão personalizada para um ambiente. Esta é uma ação única que aprovisiona recursos e inicia o processo de replicação de dados entre a localização principal e a localização secundária. Isto pode levar até 48 horas a ser concluído. Os administradores recebem uma notificação quando o processo for concluído.
Ativar a recuperação após desastre num ambiente não afeta o ambiente nem os dados nele contidos.
Para utilizar a recuperação após desastre, conclua os passos a seguir.
- Inicie sessão no Centro de administração do Power Platform como administrador de sistema.
- No painel de navegação, selecione Gerir.
- No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.
- Selecione o ambiente do tipo de produção no qual pretende ativar a recuperação após desastre de gestão personalizada.
- Selecione Recuperação após desastre na barra de comando, no topo da página. O painel Recuperação Após Desastre aparece.
- Selecione o comutador para alterá-lo para Ativada.
- Selecione Guardar.
- O ambiente é colocado na página Editar detalhes por um curto espaço de tempo.
- A página Detalhes do ambiente aparece a indicar que o processo de ativação da caraterística foi iniciado.
Esses dois eventos podem exigir que use esta funcionalidade:
- Teste de recuperação após desastre.
- Resposta de emergência em caso de interrupção regional de grandes proporções.
Testes de recuperação após desastre
A sua empresa pode ter testes de recuperação após desastre documentados como um requisito nos seus planos internos de continuidade de negócio. Algumas indústrias e empresas podem ser obrigadas por regulamentos governamentais a realizar auditorias sobre as respetivas capacidades BCDR. Nestes casos, pode executar um teste de recuperação após desastre num ambiente. Um exercício de recuperação após desastre permite que execute a recuperação após desastre de gestão personalizada sem perder dados. A duração da ação de ativação pós-falha pode ser um pouco mais longa enquanto todos os dados restantes estão a ser replicados para a região secundária.
Recomendamos que realize testes numa cópia de um ambiente de produção, pois isto envolve tempo de inatividade que pode durar minutos. Por exemplo, talvez pretenda copiar um ambiente de produção para um ambiente do tipo de sandbox e, em seguida, altere o tipo de sandbox para produção.
Ativação pós-falha de resposta a emergências
Escolheria esta opção seja durante uma emergência, ou seja, quando a região principal tenha sofrido uma interrupção e o acesso a ambientes ou dados não seja possível. Se escolher esta opção, o ambiente falhará sem copiar mais dados, além dos dados que foram replicados antes de a interrupção ocorrer.
Ao realizar uma resposta de emergência, vê a quantidade de perda de dados representada em tempo, que pode ser comparada ao seu ponto de recuperação objetivo, se determinar que é aceitável e optar por continuar. O ambiente opera no estado de Execução até que a recuperação após desastre seja concluída e o ambiente volte à operação normal a partir da região secundária.
Mudar de volta para a região primária
Depois de concluir o teste ou depois de uma interrupção ter sido atenuada, recomendamos que mude de volta o ambiente para a respetiva região primária. Um ambiente pode operar com recursos limitados na região emparelhada. Não há perda de dados durante esta operação.
Estado do ambiente de recuperação após desastre
Os administradores podem determinar o estado atual da recuperação após desastre e a localização de um ambiente na página Detalhes do ambiente. Os administradores também podem selecionar Recuperação Após Desastre na barra de comando para abrir o painel de Recuperação Após Desastre.
Para verificar a latência da replicação de dados a qualquer momento, pode selecionar Recuperação Após Desastre e, em seguida, selecionar Resposta a emergências como o motivo da recuperação após desastre. Isto abre uma caixa de diálogo de confirmação que inclui o último tempo de replicação entre regiões para esse ambiente. Pode selecionar Cancelar se o seu único objetivo for verificar a perda potencial de dados caso haja uma operação de ativação pós-falha. Lembre-se de que o tempo da última sincronização é sempre diferente em momentos diferentes, uma vez que os dados estão a ser replicados continuamente.
Documente o seu plano de continuidade de negócio
Recomendamos que realize testes de recuperação após desastre ou uma resposta a emergências antes que ocorra um desastre real, para que possa documentar todos os passos necessários para quaisquer pontos de integração externos ao Power Platform. A sua empresa está então mais preparada para a recuperação em caso de desastre real.