Что такое резервное копирование Базы данных Azure для PostgreSQL?

Службы azure Backup и Базы данных Azure объединились для создания решения резервного копирования корпоративного класса для серверов Базы данных Azure для PostgreSQL, сохраняющих резервные копии до 10 лет. Помимо долгосрочного хранения, решение предлагает следующие возможности:

• Плановое резервное копирование по запросу, управляемое клиентом, на уровне отдельной базы данных.
• Уровень базы данных восстанавливается на любом сервере Базы данных Azure для PostgreSQL или в любом типе хранилища BLOB-объектов.
• Централизованный мониторинг всех операций и заданий.
• Хранение резервных копий в отдельных доменах безопасности и сбоя. Если исходный сервер или подписка скомпрометируются, резервные копии остаются безопасными в хранилище Azure Backup (в управляемых учетных записях хранения Azure Backup).
• pg_dump Использование для повышения гибкости при восстановлении. Можно восстановить в разных версиях базы данных.

Это решение можно использовать независимо или в дополнение к собственному решению резервного копирования в Azure PostgreSQL, которое обеспечивает хранение до 35 дней. Собственное решение подходит для оперативного восстановления, например, если надо выполнить восстановление из последней резервной копии. Решение Azure Backup помогает вам с учетом требований соответствия требованиям и обеспечивает более подробную и гибкую возможность резервного копирования и восстановления.

Вариант развертывания с одним сервером для Базы данных Azure для PostgreSQL отставлен 28 марта 2025 г. На этой дате изменения были реализованы на отдельных серверах Azure Backup для PostgreSQL. Узнайте больше о выходе на пенсию.

Azure Backup предоставляет решения для обеспечения соответствия нормативным требованиям и устойчивости, включая архивацию резервных копий и долгосрочное хранение точек восстановления. 28 марта 2025 г. в силу вступили следующие изменения:

• Конфигурация резервного копирования не допускается для новых рабочих нагрузок PostgreSQL с одним сервером.
• Все запланированные задания резервного копирования окончательно прекращены.
• Создание новых политик резервного копирования или изменение существующих для этой рабочей нагрузки невозможно.

На дату выхода на пенсию запланированные задания резервного копирования для баз данных PostgreSQL безвозвратно остановлены. Невозможно создать новые точки восстановления.

Тем не менее, ваши существующие резервные копии базы данных PostgreSQL сохраняются в соответствии с политикой резервного копирования. Точки восстановления будут удалены только после истечения срока хранения. Сведения о сохранении точек восстановления на неопределенный срок или их удалении до истечения срока хранения см. в консоли Центра непрерывности бизнес-процессов Azure.

По состоянию на 31 марта 2025 г. плата за защиту баз данных PostgreSQL с одним сервером (Protected Instance, PI) больше не взимается. Но плата за хранение резервных копий по-прежнему применяется. Чтобы избежать платы за хранение, удалите все точки восстановления из Центра непрерывности бизнес-процессов Azure.

Вы можете восстановить базы данных PostgreSQL с одним сервером с помощью restore as Files. Затем необходимо вручную создать гибкий сервер PostgreSQL из восстановленных файлов.

1. Администратор резервного копирования может указать базы данных PostgreSQL, которые вы планируете создать резервную копию. Вы также можете указать сведения о Azure Key Vault, в котором хранятся учетные данные, необходимые для подключения к указанным базам данных. Администратор базы данных безопасно заполняет эти учетные данные в Key Vault.

2. Служба Azure Backup проверяет наличие соответствующих разрешений для проверки подлинности с помощью указанного сервера Базы данных Azure для PostgreSQL и резервного копирования баз данных.

3. Azure Backup запускает рабочую роль (виртуальную машину) с расширением резервного копирования, установленным в нем, для взаимодействия с защищенным сервером Базы данных Azure для PostgreSQL. Это расширение состоит из координатора и подключаемого модуля PostgreSQL. Координатор активирует рабочие процессы для различных операций, таких как резервное копирование и восстановление. Подключаемый модуль управляет фактическим потоком данных.

4. В запланированное время координатор указывает подключаемому модулю начать потоковую передачу данных резервного копирования с сервера Базы данных Azure для PostgreSQL с помощью pg_dump (настраиваемого).

5. Подключаемый модуль отправляет данные непосредственно в управляемые учетные записи хранения Azure Backup, которые скрываются хранилищем Azure Backup, устраняя необходимость в промежуточном расположении. Данные шифруются с помощью ключей, управляемых корпорацией Майкрософт. Служба Azure Backup хранит данные в учетных записях хранения.

Azure Backup следует строгим рекомендациям по безопасности из Azure. Разрешения на резервное копирование ресурса не предполагаются. Пользователю необходимо явно предоставить эти разрешения.

Служба Azure Backup должна подключиться к серверу Базы данных Azure для PostgreSQL при каждом резервном копировании. Хотя имя пользователя и пароль (или строка подключения), соответствующие базе данных, используются для этого подключения, эти учетные данные не хранятся в Azure Backup. Вместо этого администратору базы данных необходимо безопасно разместить эти учетные данные в Azure Key Vault как секрет.

Администратор рабочей нагрузки отвечает за управление учетными данными и смену их. Azure Backup вызывает самые последние сведения о секрете из хранилища ключей, чтобы выполнить резервное копирование.

1. Предоставьте следующие разрешения доступа управляемому удостоверению хранилища Azure Backup:

   • Доступ только для чтения на сервере базы данных Azure для PostgreSQL.
   • Доступ пользователя секретов Key Vault в Key Vault (получение и перечисление разрешений на секреты).

2. Настройте доступ к сети с прямой видимостью:

   • Сервер базы данных Azure для PostgreSQL: установите Разрешить доступ к службам Azure на Да.
   • Key Vault: задайте для доверенных служб Майкрософтзначение "Да".

3. Задайте привилегии резервного копирования пользователя базы данных в базе данных.

Разрешения для восстановления похожи на те, которые требуются для резервного копирования. Необходимо вручную предоставить разрешения на целевой сервер Базы данных Azure для PostgreSQL и соответствующее хранилище ключей. В отличие от потока настройки резервного копирования, возможность предоставлять эти разрешения в настоящее время недоступна.

Убедитесь, что пользователь базы данных (соответствующие учетным данным, хранящимся в хранилище ключей), имеет следующие права восстановления в базе данных:

• ALTER USER Назначьте имя пользователяCREATEDB.
• Назначьте роль azure_pg_admin пользователю базы данных.

Более ранняя модель проверки подлинности была полностью основана на идентификаторе Microsoft Entra. Модель проверки подлинности на основе Key Vault (как описано ранее) теперь доступна в качестве альтернативного варианта, чтобы упростить процесс настройки.

Чтобы получить автоматизированный скрипт и связанные инструкции по использованию модели проверки подлинности на основе идентификаторов Microsoft Entra, скачайте этот документ. Он предоставляет соответствующий набор разрешений серверу Базы данных Azure для PostgreSQL для резервного копирования и восстановления.

Чтобы предоставить все необходимые разрешения доступа Azure Backup, выполните следующие действия.

1. Задайте доступ читателя хранилища Azure Backup для управляемого удостоверения на сервере Базы данных Azure для PostgreSQL.

   

2. Задайте сетевой доступ на сервере Базы данных Azure для PostgreSQL, задав для доступа к службам Azureзначение "Да".

   

1. Установите доступ пользователя секретов Key Vault хранилища Azure Backup для управляемого удостоверения в хранилище ключей (разрешения на получение и перечисление секретов). Для назначения разрешений можно использовать назначения ролей или политики доступа. Вам не нужно добавлять разрешения с помощью обоих вариантов, так как это не помогает.

   • Чтобы использовать авторизацию на основе ролей Azure (Azure RBAC):

     1. В политиках доступа задайте модель разрешений для управления доступом на основе ролей Azure.

        

     2. В области управления доступом (IAM) предоставьте пользователю Key Vault хранилища Azure Backup доступ к управляемому удостоверению в хранилище ключей. Носители этой роли смогут читать секреты.

        

     Дополнительные сведения см. в статье "Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью управления доступом на основе ролей Azure".

   • Чтобы использовать политики доступа:

     1. В политиках доступа задайте для модели разрешенийполитику доступа к Хранилищу.
     2. Задайте разрешения get и list для секретов.

     

     Более подробную информацию см. в статье "Назначение политики доступа Key Vault (устаревшая версия)".

2. Задайте сетевой доступ к хранилищу ключей, задав доверенные службы Майкрософт для обхода этого брандмауэра?Значение "Да".

   

Выполните следующий запрос в средстве pgAdmin . Замените username идентификатором пользователя базы данных.

DO $do$
DECLARE
sch text;
BEGIN
EXECUTE format('grant connect on database %I to %I', current_database(), 'username');
FOR sch IN select nspname from pg_catalog.pg_namespace
LOOP
EXECUTE format($$ GRANT USAGE ON SCHEMA %I TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL TABLES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON TABLES TO username $$, sch);
EXECUTE format($$ GRANT SELECT ON ALL SEQUENCES IN SCHEMA %I TO username $$, sch);
EXECUTE format($$ ALTER DEFAULT PRIVILEGES IN SCHEMA %I GRANT SELECT ON SEQUENCES TO username $$, sch);
END LOOP;
END;
$do$

Скачайте средство pgAdmin , если у вас его еще нет. Вы можете подключиться к серверу Базы данных Azure для PostgreSQL с помощью этого средства. Кроме того, на этот сервер можно добавлять базы данных и новых пользователей.

Создайте новый сервер с выбранным именем. Введите имя узла или адрес. Это то же, что и значение имени сервера , отображаемое в представлении ресурсов Azure PostgreSQL на портале Azure.

Убедитесь, что вы добавите текущий идентификатор клиента в правила брандмауэра для прохождения подключения.

На сервер можно добавлять новые базы данных и пользователей баз данных. Для пользователей базы данных выберите роль входа или группы , чтобы добавить роли. Убедитесь, что для входа задано значение "Да".

• Часто задаваемые вопросы о резервном копировании базы данных Azure для PostgreSQL.
• Резервное копирование базы данных Azure для PostgreSQL с помощью портала Azure.
• Создайте политику резервного копирования для баз данных PostgreSQL с помощью REST API.
• Настройте резервное копирование для баз данных PostgreSQL с помощью REST API.
• Восстановление баз данных PostgreSQL с помощью REST API.