将 SAP HANA 工作负载备份和还原到 Amazon S3 - SAP HANA 开启Amazon
先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SAP HANA 工作负载备份和还原到 Amazon S3

本节提供有关设置和使用Amazon Backint 代理将 SAP HANA 工作负载备份和还原到 Amazon S3 的信息。

主题

先决条件

在您的 SAP HANA 系统在亚马逊 EC2 实例上成功运行后,请使用亚马逊 EC2 系统管理器文档或使用Amazon Backint 安装程序验证以下先决条件来安装Amazon Backint 代理。

Amazon Identity and Access Management

  1. 要访问使用 Syst Amazon ems Manager 安装Amazon Backint 代理所需的Amazon资源,您必须将AmazonSSMManagedInstanceCore托管策略附加到您的 IAM 角色。

    注意

    如果您选择使用Amazon Backint 安装程序安装 B Amazon ackint 代理,则可以跳过此步骤。

  2. 要允许您的 Amazon EC2 实例访问您的目标 Amazon S3 存储桶,您必须创建或更新具有以下权限的内联 IAM 策略,并将其附加到您的 EC2 服务角色。替换资源名称(例如 S3 存储桶名称)以匹配您的资源名称。您必须提供Amazon地区和 Amazon S3 存储桶拥有者账户 ID 以及 Amazon S3 存储桶名称。

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*",
                "arn:aws:s3:::bucket-name"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        },
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "s3:PutObjectTagging",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws:s3:::bucket-name/folder-name/*"
          }
    ]
}
    注意

    如果要允许跨账户备份和还原,则必须在策略中的委托人元素下添加您的账户详细信息。有关委托人策略的更多信息,请参阅 Identity and A ccess Managem Amazon ent 用户指南中的 Amazon JSON 策略元素:委托人。此外,您必须确保 S3 存储桶策略允许您的账户执行上述 IAM 策略示例中指定的操作。有关更多信息,请参阅《Amazon S3 开发人员指南》中的存储桶所有者授予跨账户存储桶权限的示例。

有关托管策略和内联策略的更多信息,请参阅 IAM 用户指南

Amazon Systems Manager 代理(SSM 代理)

要使用 Syst Amazon ems Manager 代理(SSM 代理)文档安装Amazon Backint 代理,必须安装 Syst Amazon ems Manager 代理(SSM 代理)版本 2.3.274.0 或更高版本,并且您的实例必须是为 Systems Manager 配置的托管实例。Amazon如果要使用Amazon Backint 安装程序安装Amazon Backint 代理,可以跳过此步骤。有关托管实例的更多信息,请参阅 Amazon Systems Manager 托管实例。要更新 SSM 代理,请参阅使用 Run Command 更新 SSM 代理

注意

如果您不将AmazonSSMManagedInstanceCore策略附加到您的 EC2 实例角色,SSM 代理将无法运行。

亚马逊 S3 存储桶

安装Amazon Backint 代理时,必须提供要存储 SAP HANA 备份的 S3 存储桶的名称。只有 2019 年 5 月之后创建的 Amazon S3 存储桶与 B Amazon ackint 代理兼容。如果您没有 2019 年 5 月之后创建的存储桶,请在目标区域中创建新的 S3 存储桶。此外,请确保要用于存储备份的 Amazon S3 存储桶未启用公有访问权限。如果 S3 存储桶启用了公有访问权限,则备份将失败。

Amazon Backint 代理支持使用 VPC 终端节点备份到 Amazon S3。Amazon S3 网关端点可以提高性能,并有可能帮助避免超时。它提高了安全性,同时降低了成本。有关更多信息,请参阅 VPC 端点

S3 存储类别 —Amazon Backint 代理支持将 SAP HANA 数据库备份到具有 S3 标准、S3 标准-IA、S3 单区-IA 和 S3 智能分层存储类别的 Amazon S3 存储桶。Bac Amazon kint 代理不支持 S3 低冗余、深度存档和 Glacier 存储类别。默认情况下,S3 标准存储类用于存储您的备份。您可以通过修改Amazon Backint 代理配置文件来更改用于备份的存储类别。或者,您可以通过 S3 LifeCycle 配置或直接使用将备份文件更改为支持的存储类别之一 APIs。要了解有关 Amazon S3 存储类别的更多信息,请参阅《Amazon S3 开发人员指南》中的 Amazon S3 存储类别

注意

S3 Intelligent-Tiering 存储类别支持在四个访问层之间移动对象。它还支持将对象移动到存档层。但是,适用于 SAP HANA 的Amazon Backint 代理不支持从存档层进行备份和恢复。要恢复或删除存档层中的对象,必须先恢复存档的 S3 对象,然后才能使用Amazon Backint 代理启动恢复或删除操作。

加密 —Amazon Backint 代理支持使用带有Amazon KMS (KMS) 的服务器端加密来加密您的 SAP HANA 备份文件,同时将其存储在 Amazon S3 中。您可以使用aws-managed-key调用的aws/s3加密备份,也可以使用存储在 KMS 中的自定义对称Amazon KMS 密钥进行加密。要使用存储在 KMS(Amazon托管或自定义)中的密钥加密备份文件,您必须在安装过程中提供 KMS ARN,或者稍后更新Amazon Backint 代理配置文件。要了解有关使用Amazon KMS 加密您的 S3 对象的更多信息,请参阅《密Amazon钥管理服务开发人员指南》中的 Amazon S3 如何使用Amazon KMS。或者,您也可以使用 Amazon S3 管理的密钥为 Amazon S3 存储桶启用默认加密。要详细了解如何为您的存储桶启用默认加密,请参阅《Amazon S3 控制台用户指南》中的如何为 Amazon S3 存储桶启用默认加密?

对象锁定-您可以使用带有 S3 对象锁定的 write-once-read-many(WORM) 模型存储对象。如果要防止在特定时间段或无限期意外删除或覆盖 SAP HANA 备份文件,请使用 S3 对象锁定。如果启用了 S3 对象锁定,则在保留期到期之前,您无法使用 SAP HANA Cockpit、SAP HANA Studio 或 SQL 命令删除 Amazon S3 中存储的 SAP HANA 备份。要了解 S3 对象锁定,请参阅《Amazon S3 开发人员指南》中的使用 S3 对象锁定以锁定对象

对象标记-默认情况下,Amazon Backint 代理会在将 SAP HANA 备份文件存储在 S3 存储桶中Amazon BackintAgentVersion时添加一个名为的标签。此标签有助于识别Amazon备份 SAP HANA 数据库时使用的 Backint 版本和 SAP HANA 版本。您可以从 S3 控制台或使用列出标签的值 APIs。要禁用默认标记,请修改Amazon Backint 代理配置文件。

数据边界

Amazon Backint Agent 必须安装在您的 EC2 亚马逊实例上。要下载安装二进制文件,您的 EC2 实例需要访问Amazon托管安装程序包的托管的 S3 存储桶。如果您的组织使用数据边界策略来控制环境中对 Amazon S3 的访问,则可能需要明确允许这些服务拥有的存储桶,以便 EC2 实例可以检索所需的安装程序。以下策略显示了一个服务控制策略示例,该策略允许通过资源外围访问服务拥有的资源,策略 NotResource 元素中列出了相关的服务拥有的存储桶。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceResourcePerimeterAWSResources",
      "Effect": "Deny",
      "Action": "*",
      "NotResource": [
        "arn:aws:s3:::awssap-backint-agent",
        "arn:aws:s3:::awssap-backint-agent/*"
      ],
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:ResourceOrgID": "<organization id>",
          "aws:PrincipalTag/dp:exclude:resource": "true"
        }
      }
    }
  ]
}

以下策略显示了 VPC 终端节点策略示例,该策略允许通过 VPC 终端节点访问特定服务拥有的资源。相关服务拥有的存储桶列在语句的 Resource 元素中。

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsToAWSOwnedResources",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awssap-backint-agent",
                "arn:aws:s3:::awssap-backint-agent/*"
            ]
        }
    ]
}

对于Amazon GovCloud,将存储桶名称替换为 s3: //-gov-east awssap-backint-agent-us -1 或 s3: //-gov-west-1。awssap-backint-agent-us

Amazon CLI

Amazon Backint 代理安装利用 CL Amazon I 来验证 S3 存储桶的属性。要安装或更新Amazon CLI,请参阅安装或更新到最新版本的Amazon CLI