Konfiguracja bazy danych dla narzędzia Migawka Spójna Aplikacji w Azure

Jeśli wdrażasz na scentralizowanej maszynie wirtualnej, musisz zainstalować i skonfigurować klienta SAP HANA, aby użytkownik AzAcSnap mógł uruchamiać polecenia hdbsql i hdbuserstore. Klienta SAP HANA można pobrać z witryny internetowej SAP Development Tools.

Narzędzia do tworzenia migawek komunikują się z SAP HANA i potrzebują użytkownika z odpowiednimi uprawnieniami, aby zainicjować i zwolnić punkt zapisu bazy danych. W poniższym przykładzie przedstawiono konfigurację użytkownika oprogramowania SAP HANA 2.0 oraz hdbuserstore komunikację z bazą danych SAP HANA.

Poniższe przykładowe polecenia konfigurują użytkownika (AZACSNAP) w bazie danych SYSTEMDB w bazie danych SAP HANA 2.0. W razie potrzeby zmień adres IP, nazwy użytkowników i hasła.

1. Nawiązywanie połączenia z bazą danych SYSTEMDB:

   hdbsql -n <IP_address_of_host>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD>
   

   Welcome to the SAP HANA Database interactive terminal.
   
   Type: \h for help with commands
   \q to quit
   
   hdbsql SYSTEMDB=>
   

2. Utwórz użytkownika. Ten przykład tworzy użytkownika AZACSNAP w bazie danych SYSTEMDB.

   hdbsql SYSTEMDB=> CREATE USER AZACSNAP PASSWORD <AZACSNAP_PASSWORD_CHANGE_ME> NO FORCE_FIRST_PASSWORD_CHANGE;
   

3. Przyznaj użytkownikowi uprawnienia. W tym przykładzie ustawiono uprawnienie użytkownika AZACSNAP , aby umożliwić wykonywanie migawki magazynu spójnej z bazą danych:

   • W przypadku wersji SAP HANA do wersji 2.0 SPS 03:

     hdbsql SYSTEMDB=> GRANT BACKUP ADMIN, CATALOG READ TO AZACSNAP;
     

   • Dla wersji SAP HANA począwszy od 2.0 SPS 04, SAP dodał nowe szczegółowe uprawnienia:

     hdbsql SYSTEMDB=> GRANT BACKUP ADMIN, DATABASE BACKUP ADMIN, CATALOG READ TO AZACSNAP;
     

4. Opcjonalnie: Uniemożliwiaj wygasanie hasła użytkownika.

   Uwaga

   Przed wprowadzeniem tej zmiany sprawdź zasady firmowe.

   Poniższy przykład wyłącza wygaśnięcie hasła dla AZACSNAP użytkownika. Bez tej zmiany hasło użytkownika może wygasnąć i uniemożliwić prawidłowe wykonywanie migawek.

   hdbsql SYSTEMDB=> ALTER USER AZACSNAP DISABLE PASSWORD LIFETIME;
   

5. Skonfiguruj bezpieczny magazyn użytkowników SAP HANA (zmień hasło). W tym przykładzie hdbuserstore użyto polecenia z powłoki systemu Linux do skonfigurowania bezpiecznego magazynu użytkowników sap HANA:

   hdbuserstore Set AZACSNAP <IP_address_of_host>:30013 AZACSNAP <AZACSNAP_PASSWORD_CHANGE_ME>
   

   Uwaga

   Ten krok, aby skonfigurować bezpieczne repozytorium KEY użytkowników SAP HANA, musi zostać wykonany dla wszystkich baz danych SAP HANA, z którymi AzAcSnap będzie się komunikować. Jeśli na przykład moduł AzAcSnap jest włączony client01 i masz zainstalowany serwer bazy danych SAP HANA na hostach dbserver01 oraz dbserver02, to polecenie hdbuserstore Set musi zostać uruchomione dwa razy, aby skonfigurować dwa klucze na client01, dzięki czemu program AzAcSnap będzie mógł komunikować się z obydwoma serwerami.

6. Sprawdź, czy poprawnie skonfigurowaliśmy bezpieczny magazyn użytkowników sap HANA. Użyj polecenia , hdbuserstore aby wyświetlić listę danych wyjściowych, podobnie jak w poniższym przykładzie. Więcej informacji na temat korzystania z usługi hdbuserstore jest dostępnych w witrynie internetowej SAP.

   hdbuserstore List
   

   DATA FILE : /home/azacsnap/.hdb/sapprdhdb80/SSFS_HDB.DAT
   KEY FILE : /home/azacsnap/.hdb/sapprdhdb80/SSFS_HDB.KEY
   
   KEY AZACSNAP
     ENV : <IP_address_of_host>:
     USER: AZACSNAP
   

   Uwaga

   Wartość KEY pola jest używana dla pytania konfiguracji "Jaki jest klucz magazynu użytkownika SAP HANA HDB (np. hdbuserstore List)?".

Używanie protokołu SSL do komunikacji z platformą SAP HANA

Moduł AzAcSnap używa polecenia platformy SAP HANA do komunikowania hdbsql się z platformą SAP HANA. Korzystanie hdbsql z opcji PROTOKOŁU SSL umożliwia szyfrowanie komunikacji z platformą SAP HANA.

AzAcSnap zawsze używa następujących opcji podczas korzystania z opcji azacsnap --ssl.

• -e: włącza szyfrowanie TLS/SSL. Serwer wybiera najwyższy dostępny.
• -ssltrustcert: określa, czy należy zweryfikować certyfikat serwera.
• -sslhostnameincert "*": określa nazwę hosta, który weryfikuje tożsamość serwera. Po określeniu "*" jako nazwy hosta nazwa hosta serwera nie jest weryfikowana.

Komunikacja SSL wymaga również plików magazynu kluczy i magazynu zaufania. Te pliki mogą być przechowywane w domyślnych lokalizacjach w instalacji systemu Linux. Jednak w celu zapewnienia, że odpowiedni materiał kluczy jest używany w różnych systemach SAP HANA (w przypadkach, w których pliki repozytorium kluczy i repozytorium zaufania są używane dla każdego systemu SAP HANA), AzAcSnap oczekuje, że pliki repozytorium kluczy i repozytorium zaufania będą przechowywane w lokalizacji securityPath. Plik konfiguracji AzAcSnap określa tę lokalizację.

Pliki magazynu kluczy

Jeśli używasz wielu identyfikatorów systemowych (SID) z tym samym materiałem klucza, łatwiej jest utworzyć łącza do securityPath lokalizacji zdefiniowanej w pliku konfiguracji AzAcSnap. Upewnij się, że te wartości istnieją dla każdego identyfikatora SID korzystającego z protokołu SSL.

• Dla elementu openssl: ln $HOME/.ssl/key.pem <securityPath>/<SID>_keystore
• Dla elementu commoncrypto: ln $SECUDIR/sapcli.pse <securityPath>/<SID>_keystore

Jeśli używasz wielu identyfikatorów SID z różnym materiałem klucza dla każdego identyfikatora SID, skopiuj (lub przenieś i zmień nazwę) pliki do lokalizacji securityPath zdefiniowanej w pliku konfiguracji AzAcSnap identyfikatora SID.

• Dla elementu openssl: mv key.pem <securityPath>/<SID>_keystore
• Dla elementu commoncrypto: mv sapcli.pse <securityPath>/<SID>_keystore

Gdy AzAcSnap wywołuje hdbsql, -sslkeystore=<securityPath>/<SID>_keystore jest dodawane do wiersza poleceń hdbsql.

Pliki magazynu zaufania

Jeśli używasz wielu identyfikatorów SID z tym samym materiałem kluczowym, utwórz twarde linki do lokalizacji securityPath, jak zdefiniowano w pliku konfiguracyjnym AzAcSnap. Upewnij się, że te wartości istnieją dla każdego identyfikatora SID korzystającego z protokołu SSL.

• Dla elementu openssl: ln $HOME/.ssl/trust.pem <securityPath>/<SID>_truststore
• Dla elementu commoncrypto: ln $SECUDIR/sapcli.pse <securityPath>/<SID>_truststore

Jeśli używasz wielu identyfikatorów SID z różnym materiałem klucza dla każdego identyfikatora SID, skopiuj (lub przenieś i zmień nazwę) pliki do lokalizacji securityPath, zgodnie z tym, co określono w pliku konfiguracyjnym AzAcSnap dla danego identyfikatora SID.

• Dla elementu openssl: mv trust.pem <securityPath>/<SID>_truststore
• Dla elementu commoncrypto: mv sapcli.pse <securityPath>/<SID>_truststore

Składnik <SID> nazw plików musi być identyfikatorem systemu SAP HANA we wszystkich wielkich literach (na przykład H80 lub PR1). Gdy AzAcSnap wywołuje hdbsql, dodaje -ssltruststore=<securityPath>/<SID>_truststore do wiersza polecenia.

Jeśli uruchomisz azacsnap -c test --test hana --ssl openssl, gdzie SID jest ustawione jako H80 w pliku konfiguracyjnym, wykonuje połączenia hdbsql w następujący sposób:

hdbsql \
    -e \
    -ssltrustcert \
    -sslhostnameincert "*" \
    -sslprovider openssl \
    -sslkeystore ./security/H80_keystore \
    -ssltruststore ./security/H80_truststore
    "sql statement"

W poprzednim kodzie znak ukośnika odwrotnego (\) służy jako kontynuacja wiersza, aby poprawić przejrzystość wielu parametrów przekazywanych w linii poleceń.

Narzędzia migawek komunikują się z bazą danych Oracle i potrzebują użytkownika z odpowiednimi uprawnieniami, aby włączyć i wyłączyć tryb tworzenia kopii zapasowej.

Gdy azAcSnap umieści bazę danych w trybie tworzenia kopii zapasowej, azAcSnap wysyła zapytanie do bazy danych Oracle, aby uzyskać listę plików, które mają tryb tworzenia kopii zapasowej jako aktywny. Ta lista plików jest wysyłana do pliku zewnętrznego. Plik zewnętrzny znajduje się w tej samej lokalizacji i nazwie podstawowej co plik dziennika, ale z .protected-tables rozszerzeniem nazwy pliku. (Plik dziennika AzAcSnap zawiera szczegóły nazwy pliku wyjściowego).

Poniższe przykładowe polecenia pokazują konfigurację użytkownika bazy danych Oracle (AZACSNAP), użycie polecenia mkstore do utworzenia portfela Oracle oraz sqlplus pliki konfiguracji wymagane do komunikacji z bazą danych Oracle. W razie potrzeby zmień adres IP, nazwy użytkowników i hasła.

1. Połącz się z bazą danych Oracle:

   su – oracle
   sqlplus / AS SYSDBA
   

   SQL*Plus: Release 12.1.0.2.0 Production on Mon Feb 1 01:34:05 2021
   Copyright (c) 1982, 2014, Oracle. All rights reserved.
   Connected to:
   Oracle Database 12c Standard Edition Release 12.1.0.2.0 - 64bit Production
   SQL>
   

2. Utwórz użytkownika. W tym przykładzie zostanie azacsnap utworzony użytkownik:

   SQL> CREATE USER azacsnap IDENTIFIED BY password;
   

   User created.
   

3. Przyznaj użytkownikowi uprawnienia. W tym przykładzie ustawiono uprawnienie użytkownika azacsnap , aby zezwolić na umieszczenie bazy danych w trybie tworzenia kopii zapasowej:

   SQL> GRANT CREATE SESSION TO azacsnap;
   

   Grant succeeded.
   

   SQL> GRANT SYSBACKUP TO azacsnap;
   

   Grant succeeded.
   

   SQL> connect azacsnap/password
   

   Connected.
   

   SQL> quit
   

4. Opcjonalnie: Uniemożliwiaj wygasanie hasła użytkownika. Bez tej zmiany hasło użytkownika może wygasnąć i uniemożliwić prawidłowe wykonywanie migawek.

   Uwaga

   Przed wprowadzeniem tej zmiany sprawdź zasady firmowe.

   Ten przykład pobiera wygaśnięcie hasła dla AZACSNAP użytkownika:

   SQL> SELECT username,account_status,expiry_date,profile FROM dba_users WHERE username='AZACSNAP';
   

   USERNAME              ACCOUNT_STATUS                 EXPIRY_DA PROFILE
   --------------------- ------------------------------ --------- ------------------------------
   AZACSNAP              OPEN                           DD-MMM-YY DEFAULT
   

   Istnieje kilka metod wyłączania wygasania haseł w bazie danych Oracle. Skontaktuj się z administratorem bazy danych, aby uzyskać wskazówki. Jedną z metod jest zmodyfikowanie DEFAULT profilu użytkownika w taki sposób, aby okres istnienia hasła był nieograniczony:

   SQL> ALTER PROFILE default LIMIT PASSWORD_LIFE_TIME unlimited;
   

   Po wprowadzeniu tej zmiany w ustawieniu bazy danych nie powinno być daty wygaśnięcia hasła dla użytkowników, którzy mają DEFAULT profil:

   SQL> SELECT username, account_status,expiry_date,profile FROM dba_users WHERE username='AZACSNAP';
   

   USERNAME              ACCOUNT_STATUS                 EXPIRY_DA PROFILE
   --------------------- ------------------------------ --------- ------------------------------
   AZACSNAP              OPEN                                     DEFAULT
   

5. Skonfiguruj portfel Oracle (zmień hasło).

   Portfel Oracle udostępnia metodę zarządzania poświadczeniami bazy danych w wielu domenach. Ta funkcjonalność używa ciągu połączenia bazy danych w definicji źródła danych, który jest rozwiązywany za pomocą wpisu w portfelu. W przypadku prawidłowego korzystania z portfela Oracle hasła w konfiguracji źródła danych są niepotrzebne.

   Ta konfiguracja umożliwia korzystanie z pliku administracyjnego Oracle Transparent Network Substrat (TNS) z aliasem parametry połączenia, który ukrywa szczegóły bazy danych parametry połączenia. Jeśli informacje o połączeniu zmieniają się, wystarczy zmienić plik tnsnames.ora zamiast potencjalnie wielu definicji źródła danych.

   Uruchom następujące polecenia na serwerze bazy danych Oracle. W tym przykładzie mkstore użyto polecenia z powłoki systemu Linux do skonfigurowania portfela Oracle. Te polecenia są uruchamiane na serwerze bazy danych Oracle za pośrednictwem unikatowych poświadczeń użytkownika, aby uniknąć wpływu na uruchomioną bazę danych. W tym przykładzie zostanie utworzony nowy użytkownik (azacsnap) i odpowiednio skonfiguruje zmienne środowiskowe.

   1. Pobierz zmienne środowiskowe Oracle, które mają być używane w konfiguracji. Uruchom następujące polecenia jako użytkownik główny na serwerze bazy danych Oracle:

      su - oracle -c 'echo $ORACLE_SID'
      

      oratest1
      

      su - oracle -c 'echo $ORACLE_HOME'
      

      /u01/app/oracle/product/19.0.0/dbhome_1
      

   2. Utwórz użytkownika systemu Linux, aby wygenerować portfel Oracle i skojarzone *.ora pliki przy użyciu danych wyjściowych z poprzedniego kroku.

      Te przykłady używają powłoki bash. Jeśli używasz innej powłoki (na przykład csh), pamiętaj, aby poprawnie ustawić zmienne środowiskowe.

      useradd -m azacsnap
      echo "export ORACLE_SID=oratest1" >> /home/azacsnap/.bash_profile
      echo "export ORACLE_HOME=/u01/app/oracle/product/19.0.0/dbhome_1" >> /home/azacsnap/.bash_profile
      echo "export TNS_ADMIN=/home/azacsnap" >> /home/azacsnap/.bash_profile
      echo "export PATH=\$PATH:\$ORACLE_HOME/bin" >> /home/azacsnap/.bash_profile
      

   3. Jako nowy użytkownik systemu Linux (azacsnap) utwórz portfel i *.ora pliki.

      1. Przejdź do użytkownika utworzonego w poprzednim kroku:

         sudo su - azacsnap
         

      2. Utwórz portfel Oracle:

         mkstore -wrl $TNS_ADMIN/.oracle_wallet/ -create
         

         Oracle Secret Store Tool Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
         
         Enter password: <wallet_password>
         Enter password again: <wallet_password>
         

      3. Dodaj poświadczenia danych połączenia do portfela Oracle. W poniższym przykładowym poleceniu AZACSNAP to łańcuch połączenia, którego użyje AzAcSnap, azacsnap to użytkownik bazy danych Oracle, a AzPasswd1 to hasło użytkownika bazy danych Oracle.

         mkstore -wrl $TNS_ADMIN/.oracle_wallet/ -createCredential AZACSNAP azacsnap AzPasswd1
         

         Oracle Secret Store Tool Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
         
         Enter wallet password: <wallet_password>
         

      4. tnsnames-ora Utwórz plik. W poniższym przykładowym poleceniu ustaw HOST na adres IP serwera bazy danych Oracle. Ustaw SID jako SID bazy danych Oracle.

         echo "# Connection string
         AZACSNAP=\"(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=192.168.1.1)(PORT=1521))(CONNECT_DATA=(SID=oratest1)))\"
         " > $TNS_ADMIN/tnsnames.ora
         

      5. sqlnet.ora Utwórz plik:

         echo "SQLNET.WALLET_OVERRIDE = TRUE
         WALLET_LOCATION=(
             SOURCE=(METHOD=FILE)
             (METHOD_DATA=(DIRECTORY=\$TNS_ADMIN/.oracle_wallet))
         ) " > $TNS_ADMIN/sqlnet.ora
         

      6. Przetestuj portfel Oracle:

         sqlplus /@AZACSNAP as SYSBACKUP
         

         SQL*Plus: Release 19.0.0.0.0 - Production on Wed Jan 12 00:25:32 2022
         Version 19.3.0.0.0
         
         Copyright (c) 1982, 2019, Oracle.  All rights reserved.
         
         
         Connected to:
         Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

         SELECT MACHINE FROM V$SESSION WHERE SID=1;
         

         MACHINE
         ----------------------------------------------------------------
         oradb-19c
         

         quit
         

         Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

      7. Utwórz archiwum plików ZIP portfela i *.ora plików Oracle:

         cd $TNS_ADMIN
         zip -r wallet.zip sqlnet.ora tnsnames.ora .oracle_wallet
         

           adding: sqlnet.ora (deflated 9%)
           adding: tnsnames.ora (deflated 7%)
           adding: .oracle_wallet/ (stored 0%)
           adding: .oracle_wallet/ewallet.p12.lck (stored 0%)
           adding: .oracle_wallet/ewallet.p12 (deflated 1%)
           adding: .oracle_wallet/cwallet.sso.lck (stored 0%)
           adding: .oracle_wallet/cwallet.sso (deflated 1%)
         

   4. Skopiuj plik ZIP do systemu docelowego (na przykład scentralizowanej maszyny wirtualnej z uruchomionym modułem AzAcSnap).

      Ważne

      Jeśli wdrażasz na scentralizowanej maszynie wirtualnej, musisz zainstalować i skonfigurować na nim klienta Oracle Instant Client, aby użytkownik AzAcSnap mógł uruchamiać sqlplus polecenia. Możesz pobrać Oracle Instant Client ze strony pobrań Oracle.

      Aby program SQL*Plus działał poprawnie, pobierz zarówno wymagany pakiet (na przykład Podstawowy pakiet light) jak i opcjonalny pakiet narzędzi SQL*Plus.

   5. Wykonaj następujące kroki w systemie z uruchomionym modułem AzAcSnap:

      1. Wdróż plik ZIP skopiowany w poprzednim kroku.

         W tym kroku przyjęto założenie, że użytkownik już utworzył narzędzie AzAcSnap (domyślnie azacsnap) przy użyciu instalatora AzAcSnap.

         Uwaga

         Można użyć zmiennej TNS_ADMIN powłoki, aby zezwolić na wiele obiektów docelowych Oracle, ustawiając unikatową wartość zmiennej powłoki dla każdego systemu Oracle zgodnie z potrzebami.

         export TNS_ADMIN=$HOME/ORACLE19c
         mkdir $TNS_ADMIN
         cd $TNS_ADMIN
         unzip ~/wallet.zip
         

         Archive:  wallet.zip
           inflating: sqlnet.ora
           inflating: tnsnames.ora
            creating: .oracle_wallet/
          extracting: .oracle_wallet/ewallet.p12.lck
           inflating: .oracle_wallet/ewallet.p12
          extracting: .oracle_wallet/cwallet.sso.lck
           inflating: .oracle_wallet/cwallet.sso
         

         Sprawdź, czy pliki zostały wyodrębnione poprawnie:

         ls
         

         sqlnet.ora  tnsnames.ora  wallet.zip
         

         Zakładając, że wszystkie poprzednie kroki zostały wykonane poprawnie, powinno być możliwe nawiązanie połączenia z bazą danych, korzystając z /@AZACSNAP ciągu połączenia.

         sqlplus /@AZACSNAP as SYSBACKUP
         

         SQL*Plus: Release 21.0.0.0.0 - Production on Wed Jan 12 13:39:36 2022
         Version 21.1.0.0.0
         
         Copyright (c) 1982, 2020, Oracle.  All rights reserved.
         
         
         Connected to:
         Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         
         ```sql
         SQL> quit
         

         Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

      2. Sprawdź konfigurację za pomocą AzAcSnap

         Po skonfigurowaniu AzAcSnap (na przykład azacsnap -c configure --configuration new) przy użyciu ciągu połączenia Oracle (na przykład /@AZACSNAP) powinno być możliwe podłączenie się do bazy danych Oracle.

         Sprawdź, czy zmienna $TNS_ADMIN jest ustawiona dla poprawnego systemu docelowego Oracle. Zmienna $TNS_ADMIN powłoki określa, gdzie zlokalizować portfel i *.ora pliki Oracle, więc należy ustawić ją przed uruchomieniem azacsnap polecenia.

         ls -al $TNS_ADMIN
         

         total 16
         drwxrwxr-x.  3 orasnap orasnap   84 Jan 12 13:39 .
         drwx------. 18 orasnap sapsys  4096 Jan 12 13:39 ..
         drwx------.  2 orasnap orasnap   90 Jan 12 13:23 .oracle_wallet
         -rw-rw-r--.  1 orasnap orasnap  125 Jan 12 13:39 sqlnet.ora
         -rw-rw-r--.  1 orasnap orasnap  128 Jan 12 13:24 tnsnames.ora
         -rw-r--r--.  1 root    root    2569 Jan 12 13:28 wallet.zip
         

         Uruchom polecenie testowe azacsnap :

         cd ~/bin
         azacsnap -c test --test oracle --configfile ORACLE.json
         

         BEGIN : Test process started for 'oracle'
         BEGIN : Oracle DB tests
         PASSED: Successful connectivity to Oracle DB version 1903000000
         END   : Test process complete for 'oracle'
         

         Aby $TNS_ADMIN działał poprawnie, należy skonfigurować zmienną azacsnap poprawnie. Możesz dodać go do pliku użytkownika .bash_profile lub wyeksportować przed każdym uruchomieniem (na przykład export TNS_ADMIN="/home/orasnap/ORACLE19c" ; cd /home/orasnap/bin ; ./azacsnap --configfile ORACLE19c.json -c backup --volume data --prefix hourly-ora19c --retention 12).

Narzędzia migawek wydają polecenia do bazy danych IBM Db2 przy użyciu programu db2 wiersza polecenia w celu włączenia i wyłączenia trybu tworzenia kopii zapasowej.

Gdy azAcSnap umieści bazę danych w trybie tworzenia kopii zapasowej, wysyła zapytanie do bazy danych IBM Db2, aby uzyskać listę ścieżek chronionych, które są częścią bazy danych, w której tryb tworzenia kopii zapasowej jest aktywny. Ta lista jest wysyłana do pliku zewnętrznego, który znajduje się w tej samej lokalizacji i nazwie podstawowej co plik dziennika, ale ma .\<DBName>-protected-paths rozszerzenie. (Plik dziennika AzAcSnap zawiera szczegóły nazwy pliku wyjściowego).

AzAcSnap używa procesora db2 wiersza polecenia IBM Db2 do wydawania poleceń SQL, takich jak SET WRITE SUSPEND lub SET WRITE RESUME. Dlatego należy zainstalować moduł AzAcSnap na jeden z następujących sposobów:

• Zainstaluj na serwerze bazy danych, a następnie ukończ konfigurację z lokalną łącznością Db2.
• Zainstaluj w scentralizowanym systemie kopii zapasowych, a następnie ukończ konfigurację z użyciem zdalnego połączenia Db2.

Łączność lokalna db2

Jeśli na serwerze bazy danych zainstalowano moduł AzAcSnap, pamiętaj, aby dodać azacsnap użytkownika do odpowiedniej grupy systemu Linux i zaimportować profil użytkownika wystąpienia db2. Użyj poniższej przykładowej konfiguracji.

uprawnienia użytkownika azacsnap

azacsnap Użytkownik powinien należeć do tej samej grupy Db2 co użytkownik bazy danych instance. Poniższy przykład pobiera członkostwo w grupie użytkownika wystąpienia bazy danych zainstalowanego w IBM Db2 db2tst:

id db2tst

uid=1101(db2tst) gid=1001(db2iadm1) groups=1001(db2iadm1)

Z danych wyjściowych możesz potwierdzić, że db2tst użytkownik został dodany do db2iadm1 grupy. azacsnap Dodaj użytkownika do grupy:

usermod -a -G db2iadm1 azacsnap

azacsnap profil użytkownika

Użytkownik azacsnap musi mieć możliwość uruchomienia db2 polecenia. Domyślnie polecenie db2 nie znajduje się w informacjach użytkownika azacsnap$PATH.

Dodaj następujący kod do pliku użytkownika .bashrc . Użyj własnej wartości instalacji IBM Db2 dla elementu INSTHOME.

# The following four lines have been added to allow this user to run the DB2 command line processor.
INSTHOME="/db2inst/db2tst"
if [ -f ${INSTHOME}/sqllib/db2profile ]; then
    . ${INSTHOME}/sqllib/db2profile
fi

Przetestuj, czy użytkownik może uruchomić procesor wiersza poleceń za pomocą polecenia db2.

su - azacsnap
db2

(c) Copyright IBM Corporation 1993,2007
Command Line Processor for DB2 Client 11.5.7.0

You can issue database manager commands and SQL statements from the command
prompt. For example:
    db2 => connect to sample
    db2 => bind sample.bnd

For general help, type: ?.
For command help, type: ? command, where command can be
the first few keywords of a database manager command. For example:
 ? CATALOG DATABASE for help on the CATALOG DATABASE command
 ? CATALOG          for help on all of the CATALOG commands.

To exit db2 interactive mode, type QUIT at the command prompt. Outside
interactive mode, all commands must be prefixed with 'db2'.
To list the current command option settings, type LIST COMMAND OPTIONS.

For more detailed help, refer to the Online Reference Manual.

db2 => quit
DB20000I  The QUIT command completed successfully.

Teraz skonfiguruj azacsnap dla użytkownika localhost. Po wstępnym teście, gdy azacsnap użytkownik działa prawidłowo, przejdź do konfigurowania (azacsnap -c configure) serverAddress=localhost i testowania łączności bazy danych AzAcSnap.azacsnap -c test --test db2

Łączność zdalna db2

Jeśli program AzAcSnap został zainstalowany w scentralizowanym systemie kopii zapasowych, użyj poniższej przykładowej konfiguracji, aby zezwolić na dostęp SSH do wystąpienia bazy danych Db2.

Zaloguj się do systemu AzAcSnap jako azacsnap użytkownik i wygeneruj parę kluczy publicznego/prywatnego SSH:

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/home/azacsnap/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/azacsnap/.ssh/id_rsa.
Your public key has been saved in /home/azacsnap/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:4cr+0yN8/dawBeHtdmlfPnlm1wRMTO/mNYxarwyEFLU azacsnap@db2-02
The key's randomart image is:
+---[RSA 2048]----+
|         ... o.  |
|          . . +. |
|        .. E + o.|
|       ....   B..|
|        S. . o *=|
|     . .  . o o=X|
|      o. . +  .XB|
|     .  + + + +oX|
|      ...+ . =.o+|
+----[SHA256]-----+

Pobierz zawartość klucza publicznego:

cat .ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCb4HedCPdIeft4DUp7jwSDUNef52zH8xVfu5sSErWUw3hhRQ7KV5sLqtxom7an2a0COeO13gjCiTpwfO7UXH47dUgbz+KfwDaBdQoZdsp8ed1WI6vgCRuY4sb+rY7eiqbJrLnJrmgdwZkV+HSOvZGnKEV4Y837UHn0BYcAckX8DiRl7gkrbZUPcpkQYHGy9bMmXO+tUuxLM0wBrzvGcPPZ azacsnap@db2-02

Zaloguj się do systemu IBM Db2 jako użytkownik instancji Db2.

Dodaj zawartość klucza publicznego użytkownika AzAcSnap do pliku użytkownika authorized_keys wystąpienia db2:

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCb4HedCPdIeft4DUp7jwSDUNef52zH8xVfu5sSErWUw3hhRQ7KV5sLqtxom7an2a0COeO13gjCiTpwfO7UXH47dUgbz+KfwDaBdQoZdsp8ed1WI6vgCRuY4sb+rY7eiqbJrLnJrmgdwZkV+HSOvZGnKEV4Y837UHn0BYcAckX8DiRl7gkrbZUPcpkQYHGy9bMmXO+tUuxLM0wBrzvGcPPZ azacsnap@db2-02" >> ~/.ssh/authorized_keys

Zaloguj się do systemu AzAcSnap jako użytkownik i przetestuj azacsnap dostęp za pomocą protokołu SSH:

ssh <InstanceUser>@<ServerAddress>

[InstanceUser@ServerName ~]$

Przetestuj, czy użytkownik może uruchomić procesor wiersza poleceń za pomocą polecenia db2.

db2

(c) Copyright IBM Corporation 1993,2007
Command Line Processor for DB2 Client 11.5.7.0

You can issue database manager commands and SQL statements from the command
prompt. For example:
    db2 => connect to sample
    db2 => bind sample.bnd

For general help, type: ?.
For command help, type: ? command, where command can be
the first few keywords of a database manager command. For example:
 ? CATALOG DATABASE for help on the CATALOG DATABASE command
 ? CATALOG          for help on all of the CATALOG commands.

To exit db2 interactive mode, type QUIT at the command prompt. Outside
interactive mode, all commands must be prefixed with 'db2'.
To list the current command option settings, type LIST COMMAND OPTIONS.

For more detailed help, refer to the Online Reference Manual.

db2 => quit
DB20000I  The QUIT command completed successfully.

[prj@db2-02 ~]$ exit

logout
Connection to <serverAddress> closed.

Narzędzia migawki wydają polecenia do bazy danych programu Microsoft SQL Server bezpośrednio w celu włączenia i wyłączenia trybu tworzenia kopii zapasowej.

AzAcSnap łączy się bezpośrednio z programem Microsoft SQL Server przy użyciu podanego ciągu połączenia w celu wydania poleceń SQL, takich jak ALTER SERVER CONFIGURATION SET SUSPEND_FOR_SNAPSHOT_BACKUP = ON lub ALTER SERVER CONFIGURATION SET SUSPEND_FOR_SNAPSHOT_BACKUP = OFF. Ciąg połączenia określi, czy instalacja znajduje się na serwerze bazy danych, czy na serwerze scentralizowanej kopii zapasowej. Typowe instalacje modułu AzAcSnap byłyby na serwerze bazy danych, aby zapewnić, że funkcje, takie jak opróżnianie plików, mogą działać zgodnie z oczekiwaniami. Jeśli na serwerze bazy danych zainstalowano moduł AzAcSnap, upewnij się, że użytkownik z uruchomionym programem azacsnap ma wymagane uprawnienia.

azacsnap uprawnienia użytkownika

Zapoznaj się z artykułem Wprowadzenie do narzędzia Azure Application Consistent Snapshot. Użytkownik powinien mieć uprawnienia do przełączania programu Microsoft SQL Server w tryb tworzenia kopii zapasowych oraz mieć uprawnienia do opróżniania buforów we/wy do skonfigurowanych woluminów.

Skonfiguruj (.\azacsnap.exe -c configure) przy użyciu poprawnych wartości dla programu Microsoft SQL Server i przetestuj (.\azacsnap.exe -c test --test mssql) łączność bazy danych azacsnap. Uruchamianie polecenia testowego azacsnap

.\azacsnap.exe -c test --test mssql

BEGIN : Test process started for 'mssql'
BEGIN : Database tests
PASSED: Successful connectivity to MSSQL version 16.00.1115
END   : Test process complete for 'mssql'

Konfigurowanie oprogramowania SAP HANA

Istnieją zmiany, które można zastosować do platformy SAP HANA, aby chronić kopie zapasowe dzienników i wykaz. Domyślnie basepath_logbackup i basepath_catalogbackup są ustawione tak, aby platforma SAP HANA umieściła powiązane pliki w katalogu $(DIR_INSTANCE)/backup/log. Jest mało prawdopodobne, że ta lokalizacja znajduje się na woluminie, na którym moduł AzAcSnap jest skonfigurowany do tworzenia migawek, więc migawki pamięci masowej nie będą chronić tych plików.

W poniższych hdbsql przykładach poleceń pokazano, jak ustawić ścieżki dziennika i katalogu do lokalizacji na woluminach magazynu, które AzAcSnap może migawkować. Upewnij się, że wartości w wierszu polecenia są zgodne z lokalną konfiguracją platformy SAP HANA.

Konfigurowanie lokalizacji kopii zapasowej dziennika

W tym przykładzie przedstawiono zmianę parametru basepath_logbackup :

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'basepath_logbackup') = '/hana/logbackups/H80' WITH RECONFIGURE"

Konfigurowanie lokalizacji kopii zapasowej katalogu

W tym przykładzie pokazano zmianę parametru basepath_catalogbackup . Najpierw upewnij się, że basepath_catalogbackup ścieżka istnieje w systemie plików. Jeśli nie, utwórz ścieżkę z tymi samymi uprawnieniami własności co katalog.

ls -ld /hana/logbackups/H80/catalog

drwxr-x--- 4 h80adm sapsys 4096 Jan 17 06:55 /hana/logbackups/H80/catalog

Jeśli musisz utworzyć ścieżkę, poniższy przykład tworzy ścieżkę i ustawia poprawną własność i uprawnienia. Należy uruchomić te polecenia jako root.

mkdir /hana/logbackups/H80/catalog
chown --reference=/hana/shared/H80/HDB00 /hana/logbackups/H80/catalog
chmod --reference=/hana/shared/H80/HDB00 /hana/logbackups/H80/catalog
ls -ld /hana/logbackups/H80/catalog

drwxr-x--- 4 h80adm sapsys 4096 Jan 17 06:55 /hana/logbackups/H80/catalog

Poniższy przykład zmienia ustawienie platformy SAP HANA:

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'basepath_catalogbackup') = '/hana/logbackups/H80/catalog' WITH RECONFIGURE"

Sprawdzanie lokalizacji kopii zapasowych dziennika i katalogu

Po wprowadzeniu zmian w lokalizacjach kopii zapasowych dziennika i katalogu upewnij się, że ustawienia są poprawne, używając następującego polecenia.

W tym przykładzie ustawienia są wyświetlane jako SYSTEM. To zapytanie zwraca również DEFAULT ustawienia do porównania.

hdbsql -jaxC -n <HANA_ip_address> - i 00 -U AZACSNAP "select * from sys.m_inifile_contents where (key = 'basepath_databackup' or key ='basepath_datavolumes' or key = 'basepath_logbackup' or key = 'basepath_logvolumes' or key = 'basepath_catalogbackup')"

global.ini,DEFAULT,,,persistence,basepath_catalogbackup,$(DIR_INSTANCE)/backup/log
global.ini,DEFAULT,,,persistence,basepath_databackup,$(DIR_INSTANCE)/backup/data
global.ini,DEFAULT,,,persistence,basepath_datavolumes,$(DIR_GLOBAL)/hdb/data
global.ini,DEFAULT,,,persistence,basepath_logbackup,$(DIR_INSTANCE)/backup/log
global.ini,DEFAULT,,,persistence,basepath_logvolumes,$(DIR_GLOBAL)/hdb/log
global.ini,SYSTEM,,,persistence,basepath_catalogbackup,/hana/logbackups/H80/catalog
global.ini,SYSTEM,,,persistence,basepath_datavolumes,/hana/data/H80
global.ini,SYSTEM,,,persistence,basepath_logbackup,/hana/logbackups/H80
global.ini,SYSTEM,,,persistence,basepath_logvolumes,/hana/log/H80

Konfigurowanie limitu czasu tworzenia kopii zapasowej dziennika

Ustawieniem domyślnym dla platformy SAP HANA do wykonywania kopii zapasowej dziennika jest 900 sekund (15 minut). Zalecamy zmniejszenie tej wartości do 300 sekund (5 minut). Następnie można uruchamiać regularne kopie zapasowe tych plików (na przykład co 10 minut). Te kopie zapasowe można wykonać, dodając log_backup woluminy do OTHER sekcji woluminu pliku konfiguracji.

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'log_backup_timeout_s') = '300' WITH RECONFIGURE"

Sprawdź limit czasu tworzenia kopii zapasowej dziennika

Po wprowadzeniu zmiany limitu czasu tworzenia kopii zapasowej dziennika upewnij się, że limit czasu został ustawiony przy użyciu następującego polecenia.

W tym przykładzie ustawienia są wyświetlane jako SYSTEM ustawienia. To zapytanie zwraca również DEFAULT ustawienia do porównania.

hdbsql -jaxC -n <HANA_ip_address> - i 00 -U AZACSNAP "select * from sys.m_inifile_contents where key like '%log_backup_timeout%' "

global.ini,DEFAULT,,,persistence,log_backup_timeout_s,900
global.ini,SYSTEM,,,persistence,log_backup_timeout_s,300

Zastosuj następujące zmiany do bazy danych Oracle, aby umożliwić monitorowanie przez administratora bazy danych:

1. Konfigurowanie rejestrowania alertów Oracle.

   Użyj następujących poleceń Oracle SQL podczas nawiązywania połączenia z bazą danych, SYSDBA aby utworzyć procedurę składowaną na domyślnym koncie bazy danych Oracle SYSBACKUP. Te polecenia SQL umożliwiają modułowi AzAcSnap wysyłanie komunikatów do:

   • Standardowe dane wyjściowe z użyciem procedury PUT_LINE w pakiecie DBMS_OUTPUT.
   • Plik bazy danych Oracle alert.log przy użyciu procedury KSDWRT w pakiecie DBMS_SYSTEM.

   sqlplus / As SYSDBA
   

   GRANT EXECUTE ON DBMS_SYSTEM TO SYSBACKUP;
   CREATE PROCEDURE sysbackup.azmessage(in_msg IN VARCHAR2)
   AS
       v_timestamp VARCHAR2(32);
   BEGIN
       SELECT TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS')
           INTO v_timestamp FROM DUAL;
       SYS.DBMS_SYSTEM.KSDWRT(SYS.DBMS_SYSTEM.ALERT_FILE, in_msg);
   END azmessage;
   /
   SHOW ERRORS
   QUIT
   

Dla bazy danych Db2 nie jest wymagana żadna specjalna konfiguracja bazy danych, ponieważ używasz lokalnego środowiska systemu operacyjnego użytkownika wystąpienia.

W przypadku programu Microsoft SQL Server nie jest wymagana żadna specjalna konfiguracja bazy danych, ponieważ używamy lokalnego środowiska systemu operacyjnego użytkownika.