Cloud Storage Backint-Agent für SAP HANA

Sie können Cloud Storage direkt für Sicherungen und Wiederherstellungen sowohl für lokale als auch für Cloud-Installationen verwenden. Dazu verwenden Sie den von SAP zertifizierten Cloud Storage Backint-Agent für SAP HANA (Backint-Agent).

Der Backint-Agent ist in SAP HANA eingebunden, sodass Sie Sicherungen mithilfe der nativen SAP-Sicherungs- und Wiederherstellungsfunktionen direkt in Cloud Storage speichern und abrufen können.

Wenn Sie den Backint-Agent verwenden, müssen Sie keinen nichtflüchtigen Speicher für Sicherungen verwenden.

Erläuterungen zur Installation des Backint-Agents finden Sie in der Installationsanleitung für den Cloud Storage-Backint-Agent in SAP HANA.

Weitere Informationen zur SAP-Zertifizierung des Backint-Agents finden Sie unter:

Sicherungen in Cloud Storage-Buckets speichern

Der Backint-Agent speichert Ihre SAP HANA-Sicherungen in einem Cloud Storage-Bucket.

Wenn Sie einen Bucket erstellen, können Sie den Bucket-Speicherort und die Bucket-Speicherklasse auswählen.

Ein Bucket-Standort kann regional, dual-regional oder multiregional sein. Welche davon Sie auswählen, hängt davon ab, ob Sie den Standort Ihrer Daten, die Latenzanforderungen für Sicherungen und Wiederherstellungen sowie den Schutz vor regionalen Ausfällen einschränken müssen. Weitere Informationen finden Sie unter Bucket-Standorte.

Wählen Sie dual- oder multiregionale Buckets in Regionen aus, die mit den Regionen identisch sind, in denen Ihre SAP HANA-Instanzen ausgeführt werden, oder in der Nähe dieser Regionen.

Wählen Sie die Speicherklasse danach aus, wie lange Sie Ihre Sicherungen aufbewahren müssen, wie oft Sie darauf zugreifen und welche Kosten anfallen. Weitere Informationen finden Sie unter Speicherklassen.

Multistreaming-Datensicherungen mit dem Backint-Agent

SAP HANA verwendet Multistreaming, wenn die Datenbank, die Sie sichern, größer als 128 GB ist. Der Backint-Agent unterstützt Multistreaming.

Multistreaming ist nützlich, um den Durchsatz zu erhöhen und Datenbanken zu sichern, die größer als 5 TB sind. Dies ist die maximale Größe für ein einzelnes Objekt in Cloud Storage.

Die optimale Anzahl von Kanälen, die Sie für Multistreaming verwenden, hängt vom verwendeten Cloud Storage-Bucket-Typ und der Umgebung ab, in der SAP HANA ausgeführt wird. Berücksichtigen Sie auch die Durchsatzleistung des mit Ihrer HANA-Instanz verbundenen Datenlaufwerks sowie die Bandbreite, die Ihr Administrator für Sicherungsaktivitäten zuweist.

Sie können den Durchsatz anpassen, wenn Sie die Anzahl der Streams ändern oder den Durchsatz mithilfe des Parameters #RATE_LIMIT_MB in parameters.txt, der Konfigurationsdatei des Backint-Agents, begrenzen.

Bei einem multiregionalen Bucket beginnen Sie mit acht Kanälen. Dafür legen Sie den Parameter parallel_data_backup_backint_channels in der SAP HANA-Konfigurationsdatei global.ini auf 8 fest.

Bei einem regionalen Bucket beginnen Sie mit zwölf Kanälen. Dazu legen Sie parallel_data_backup_backint_channels in der Datei 12 auf global.ini fest.

Nach Bedarf passen Sie die Anzahl der Kanäle an, um Ihre Ziele in der Sicherungsleistung zu erreichen.

Wie in der SAP HANA-Dokumentation angegeben, benötigt jeder zusätzliche Kanal einen E/A-Puffer von 512 MB. Dazu geben Sie die Größe des E/A-Puffers an und verwenden dafür den Parameter data_backup_buffer_size appropriately im Abschnitt "Sicherung" der Datei global.ini. Weitere Informationen zum Einfluss der E/A-Puffergröße auf die Sicherungszeiten finden Sie im SAP-Hinweis 2657261.

Weitere Informationen zum Multistreaming finden Sie im Administratorhandbuch für SAP HANA, das für Ihre SAP HANA-Version spezifisch ist, unter Multistreaming-Datensicherungen mit Sicherungstools von Drittanbietern.

Authentifizierung und Zugriffssteuerung für den Backint-Agent

Google Cloud verwendet Dienstkonten, um Programme wie den Backint-Agent zu identifizieren und zu steuern, auf welche Google Cloud-Ressourcen die Programme zugreifen können.

Erforderliche Cloud Storage-Berechtigungen

Dem Dienstkonto des Backint-Agents muss Berechtigungen für die Google Cloud-Ressourcen gewährt werden, auf die der Backint-Agent zugreift. Die Rolle "Storage-Objekt-Administrator" bietet Berechtigungen zum Auflisten, Abrufen, Erstellen und Löschen von Objekten in Cloud Storage-Buckets.

Sie können die Berechtigungen für das Dienstkonto auf Projekt- oder Bucket-Ebene festlegen. Wenn Sie sie auf Projektebene festlegen, gewähren Sie dem Backint-Agent Zugriff auf alle Buckets in Ihrem Projekt. Wenn Sie sie auf Bucket-Ebene festlegen, gewähren Sie dem Backint-Agent nur Zugriff auf einen einzelnen Bucket. Weitere Informationen zu Cloud Storage-Bucket-Berechtigungen finden Sie unter:

Dienstkontooptionen für den Backint-Agent

Wenn SAP HANA auf einer Compute Engine-VM ausgeführt wird, verwendet der Backint-Agent standardmäßig das Dienstkonto der VM.

Wenn Sie das VM-Dienstkonto verwenden, hat der Backint-Agent die gleichen Berechtigungen auf Projektebene wie alle anderen Programme auf der VM.

Für die strengste Zugriffssteuerung erstellen Sie für den Backint-Agent ein separates Dienstkonto und gewähren Sie dem Dienstkonto Zugriff auf den Bucket auf Bucket-Ebene.

Wenn SAP HANA nicht auf einer Compute Engine-VM ausgeführt wird, müssen Sie für den Backint-Agent ein Dienstkonto erstellen. Erstellen Sie das Dienstkonto im Google Cloud-Projekt, das den Cloud Storage-Bucket enthält, den der Backint-Agent verwendet.

Wenn Sie ein Dienstkonto für den Backint-Agent erstellen, müssen Sie auch einen Dienstkontoschlüssel erstellen. Sie speichern den Schlüssel auf der SAP HANA-VM und geben den Pfad zum Schlüssel in der Datei parameters.txt an. Wenn SAP HANA auf einer Compute Engine-VM ausgeführt wird und der Pfad zu einem Schlüssel angegeben wird, wird der Backint-Agent angewiesen, das mit dem Schlüssel verknüpfte Dienstkonto anstelle des VM-Dienstkontos zu verwenden.

Wenn Sie diese Konfigurationsmethode verwenden, sollten Sie Ihre Schlüssel regelmäßig rotieren, um sich vor unbefugtem Zugriff zu schützen.

Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, der vom Cloud Key Management Service zum Verschlüsseln Ihrer Sicherungen in Cloud Storage generiert wird, müssen Sie Ihrem Dienstkonto Zugriff auf den Verschlüsselungsschlüssel gewähren. Weitere Informationen finden Sie unter Einem Dienstkonto einen Cloud KMS-Schlüssel zuweisen.

Updates für den Backint-Agent

Google Cloud veröffentlicht in regelmäßigen Abständen neue Versionen des Backint-Agents, die Sie ohne zusätzliche Kosten herunterladen und installieren können.

Zum Aktualisieren des Backint-Agents muss der SAP HANA-Host Remote HTTP-Anfragen an https://www.googleapis.com/ unterstützen.

Informationen zum Aktualisieren einer vorhandenen Instanz des Backint-Agents finden Sie unter Backint-Agent auf eine neue Version aktualisieren.

Verschlüsselung für Sicherungen

Cloud Storage verschlüsselt Ihre Daten immer, bevor sie auf ein Laufwerk geschrieben werden. Um eine eigene zusätzliche Verschlüsselungsebene anzuwenden, können Sie Ihre eigenen Verschlüsselungsschlüssel für die serverseitige Verschlüsselung der Backint-Agent-Sicherungen verwenden.

Sie haben zwei Möglichkeiten, Ihre eigenen Schlüssel mit dem Backint-Agent bereitzustellen:

Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden möchten, geben Sie den Pfad zum Schlüssel im Parameter #KMS_KEY_NAME in der Datei parameters.txt an. Außerdem müssen Sie der VM oder dem Backint-Agent-Dienstkonto Zugriff auf den Schlüssel gewähren. Weitere Informationen dazu, wie Sie einem Dienstkonto Zugriff auf einen Verschlüsselungsschlüssel gewähren, finden Sie unter Ein Dienstkonto einem Cloud KMS-Schlüssel zuweisen.

Wenn Sie einen vom Kunden bereitgestellten Verschlüsselungsschlüssel verwenden möchten, geben Sie den Pfad zum Schlüssel im Parameter #ENCRYPTION_KEY in der Datei parameters.txt an. Der Schlüssel muss ein base64-codierter AES-256-Schlüsselstring sein, wie unter Vom Kunden bereitgestellte Verschlüsselungsschlüssel beschrieben.

Wenn sowohl #KMS_KEY_NAME als auch #ENCRYPTION_KEY angegeben sind, verwendet der Backint-Agent #ENCRYPTION_KEY.

Konfigurationsoptionen für den Backint-Agent

Sie können in der Konfigurationsdatei parameters.txt eine Reihe von Optionen für den Backint-Agent festlegen.

Wenn Sie den Backint-Agent zum ersten Mal herunterladen, enthält die Datei parameters.txt nur zwei Parameter:

  • #BUCKET
  • #DISABLE_COMPRESSION

Beachten Sie, dass # Teil des Parameters ist und keine Kommentaranzeige.

Sie geben jeden Parameter in einer neuen Zeile an. Parameter und Werte trennen Sie durch ein Leerzeichen.

Die Konfigurationsparameter des Backint-Agents sind in der folgenden Tabelle aufgeführt.

Parameter und Wert Beschreibung
#BUCKET bucket-name Ein erforderlicher Parameter, der den Namen des Cloud Storage-Buckets angibt, in den der Backint-Agent schreibt und aus dem er liest. Der Backint-Agent erstellt Sicherungsobjekte mit der Speicherklasse des Buckets und unterstützt alle Speicherklassen. Der Backint-Agent verwendet die Compute Engine-Standardverschlüsselung, um inaktive Daten zu verschlüsseln.
#CHUNK_SIZE_MB MB Optionaler Parameter, der die Größe der HTTPS-Anfragen an Cloud Storage während Sicherungs- oder Wiederherstellungsvorgängen steuert. Die standardmäßige Chunk-Größe beträgt 100 MB. Dementsprechend bleibt ein einzelner HTTP-Anfragestream zu oder von Cloud Storage geöffnet, bis 100 MB Daten übertragen wurden. 100 MB bieten den meisten Nutzern ein ausgewogenes Verhältnis zwischen Durchsatz und Zuverlässigkeit. Da der Backint-Agent fehlgeschlagene HTTP-Anfragen mehrmals wiederholt, bevor der ganze Vorgang fehlschlägt, führen kleinere Chunk-Größen dazu, dass weniger Daten noch einmal übertragen werden müssen, wenn eine Anfrage fehlschlägt. Größere Chunk-Größen können den Durchsatz verbessern, erfordern jedoch eine höhere Speichernutzung und mehr Zeit zum erneuten Senden von Daten im Falle einer fehlgeschlagenen Anfrage.
#DISABLE_COMPRESSION

Optionaler Parameter, der die Standardkomprimierung im laufenden Betrieb deaktiviert, wenn der Backint-Agent Sicherungen in den Cloud Storage-Bucket schreibt. #DISABLE_COMPRESSION ist standardmäßig angegeben.

Es wird empfohlen, #DISABLE_COMPRESSION festzulegen. Durch die Komprimierung werden zwar die Speicherkosten für Sicherungen in Cloud Storage gesenkt, sie erfordert aber während Sicherungsvorgängen mehr CPU-Verarbeitung und verlangsamt den effektiven Sicherungsdurchsatz.

Unabhängig von dieser Einstellung unterstützt der Backint-Agent während eines Wiederherstellungsvorgangs entweder komprimierte oder nicht komprimierte Sicherungsdateien.

#ENCRYPTION_KEY path/to/key/file Gibt einen Pfad zu einem vom Kunden bereitgestellten Verschlüsselungsschlüssel an, der von Cloud Storage zum Verschlüsseln von Sicherungen verwendet wird. Der Pfad muss als vollständig qualifizierter Pfad zu einem base64-codierten AES-256-Schlüssel angegeben werden.

Weitere Informationen zur Verwendung eigener Verschlüsselungsschlüssel in Google Cloud finden Sie unter Vom Kunden bereitgestellte Verschlüsselungsschlüssel.

#KMS_KEY_NAME path/to/key/file Gibt einen Pfad zu einem vom Kunden verwalteten Verschlüsselungsschlüssel an, der vom Cloud Key Management Service generiert wird. Cloud Storage verwendet diesen Schlüssel zum Verschlüsseln von Sicherungen.

Wenn SAP HANA auf einer Compute Engine-VM ausgeführt wird, muss der Schlüssel für die VM zugänglich sein. Wenn SAP HANA nicht in Google Cloud ausgeführt wird, muss der Cloud KMS-Schlüssel mit dem Backint-Agent-Dienstkonto verknüpft sein. Weitere Informationen finden Sie unter Dienstkonten.

Geben Sie den Pfad im folgenden Format an: projects/key_project/locations/location/keyRings/key_ring_name/cryptoKeys/key_name

Wobei:

  • key_project ist die ID des Projekts, das mit dem Schlüssel verknüpft ist.
  • location ist die regionale Verfügbarkeit des Schlüssels. Weitere Informationen finden Sie unter Standorttypen für Cloud KMS.
  • key_ring_name ist der Name des Schlüsselbunds, der den Schlüssel enthält.
  • key_name ist der Name des Schlüssels.

Weitere Informationen zum Verwalten eigener Verschlüsselungsschlüssel in Google Cloud finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

#MAX_GCS_RETRY integer Definiert, wie oft der Backint-Agent einen fehlgeschlagenen Versuch, in Cloud Storage zu lesen und zu schreiben, wiederholt. Der Standardwert ist 5. Dies ist der empfohlene Wert.
#RATE_LIMIT_MB MB Optionaler Parameter, der eine Obergrenze für die ausgehende Bandbreite von Compute Engine während Sicherungs- oder Wiederherstellungsvorgängen festlegt. Standardmäßig begrenzt Google Cloud die Netzwerkbandbreite für den Backint-Agent nicht. Wenn sie festgelegt wird, kann der Durchsatz variieren, überschreitet jedoch nicht den angegebenen Grenzwert.
#SERVICE_ACCOUNT path/to/key/file Optionaler Parameter, der den vollständig qualifizierten Pfad zum JSON-codierten Google Cloud-Dienstkontoschlüssel angibt, wenn die Compute Engine-Standardauthentifizierung nicht verwendet wird. Wenn Sie #SERVICE_ACCOUNT angeben, wird der Backint-Agent angewiesen, den Schlüssel bei der Authentifizierung beim Cloud Storage-Dienst zu verwenden. Die Compute Engine-Standardauthentifizierung wird empfohlen.

Logging für den Backint-Agent

Zusätzlich zu den von SAP HANA in backup.log gespeicherten Logs schreibt der Backint-Agent Betriebs- und Kommunikationsfehlerereignisse in Logdateien im Unterverzeichnis logs in /usr/sap/SID/SYS/global/hdb/opt/backint/backint-gcs.

Wenn die Größe einer Logdatei 10 MB erreicht, rotiert der Backint-Agent die Logdateien.

Bei Bedarf können Sie die Logging-Konfiguration des Backint-Agents in /usr/sap/SID/SYS/global/hdb/opt/backint/backint-gcs/logging.properties bearbeiten.

Der Backint-Agent unterstützt auch Cloud Logging. Informationen zum Aktivieren von Cloud Logging finden Sie in der Installationsanleitung für den Cloud Storage-Backint-Agent für SAP HANA.

Backint-Agent in SAP HANA-Systemen mit horizontaler Skalierung verwenden

In SAP HANA-Systemen mit horizontaler Skalierung müssen Sie im System den Backint-Agent auf jedem Knoten installieren.

Sie können diese Dateien in einem freigegebenen NFS-Verzeichnis ablegen, um die Verwaltung der Konfigurationsdatei "parameters.txt" und des Dienstkontoschlüssels des Backint-Agents zu vereinfachen.