Configurare il database per lo strumento snapshot coerente app Azure

Se si esegue la distribuzione in una macchina virtuale centralizzata, è necessario installare e configurare il client SAP HANA in modo che l'utente AzAcSnap possa eseguire hdbsql e hdbuserstore comandi. È possibile scaricare il client SAP HANA dal sito Web sap Development Tools.

Gli strumenti di snapshot comunicano con SAP HANA e necessitano di un utente con le autorizzazioni appropriate per avviare e rilasciare il punto di salvataggio del database. L'esempio seguente illustra la configurazione dell'utente sap HANA 2.0 e hdbuserstore per la comunicazione con il database SAP HANA.

I comandi di esempio seguenti configurano un utente (AZACSNAP) in SYSTEMDB in un database SAP HANA 2.0. Modificare l'indirizzo IP, i nomi utente e le password in base alle esigenze.

1. Connettersi a SYSTEMDB:

   hdbsql -n <IP_address_of_host>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD>
   

   Welcome to the SAP HANA Database interactive terminal.
   
   Type: \h for help with commands
   \q to quit
   
   hdbsql SYSTEMDB=>
   

2. Creare l'utente. Questo esempio crea l'utente AZACSNAP in SYSTEMDB:

   hdbsql SYSTEMDB=> CREATE USER AZACSNAP PASSWORD <AZACSNAP_PASSWORD_CHANGE_ME> NO FORCE_FIRST_PASSWORD_CHANGE;
   

3. Concedere le autorizzazioni utente. In questo esempio viene impostata l'autorizzazione per consentire all'utente di eseguire uno snapshot di archiviazione coerente con il AZACSNAP database:

   • Per le versioni di SAP HANA fino alla versione 2.0 SPS 03:

     hdbsql SYSTEMDB=> GRANT BACKUP ADMIN, CATALOG READ TO AZACSNAP;
     

   • Per le versioni di SAP HANA dalla versione 2.0 SPS 04, SAP ha aggiunto nuovi privilegi con granularità fine:

     hdbsql SYSTEMDB=> GRANT BACKUP ADMIN, DATABASE BACKUP ADMIN, CATALOG READ TO AZACSNAP;
     

4. Facoltativo: impedisci la scadenza della password dell'utente.

   Nota

   Prima di apportare questa modifica, rivolgersi ai criteri aziendali.

   Nell'esempio seguente viene disabilitata la scadenza della password per l'utente AZACSNAP . Senza questa modifica, la password dell'utente potrebbe scadere e impedire che gli snapshot vengano acquisiti correttamente.

   hdbsql SYSTEMDB=> ALTER USER AZACSNAP DISABLE PASSWORD LIFETIME;
   

5. Configurare l'archiviazione utente sicura di SAP HANA (modificare la password). Questo esempio usa il hdbuserstore comando della shell Linux per configurare l'archivio utenti sicuro SAP HANA:

   hdbuserstore Set AZACSNAP <IP_address_of_host>:30013 AZACSNAP <AZACSNAP_PASSWORD_CHANGE_ME>
   

6. Verificare di aver configurato correttamente l'archivio utente sicuro di SAP HANA. Usare il hdbuserstore comando per elencare l'output, simile all'esempio seguente. Altre informazioni sull'uso hdbuserstore sono disponibili nel sito Web SAP.

   hdbuserstore List
   

   DATA FILE : /home/azacsnap/.hdb/sapprdhdb80/SSFS_HDB.DAT
   KEY FILE : /home/azacsnap/.hdb/sapprdhdb80/SSFS_HDB.KEY
   
   KEY AZACSNAP
   ENV : <IP_address_of_host>:
   USER: AZACSNAP
   

Uso di SSL per la comunicazione con SAP HANA

AzAcSnap usa il comando di hdbsql SAP HANA per comunicare con SAP HANA. L'uso hdbsql di consente l'uso di opzioni SSL per crittografare la comunicazione con SAP HANA.

AzAcSnap usa sempre le opzioni seguenti quando si usa l'opzione azacsnap --ssl :

• -e: abilita la crittografia TLS/SSL. Il server sceglie il più alto disponibile.
• -ssltrustcert: specifica se convalidare il certificato del server.
• -sslhostnameincert "*": specifica il nome host che verifica l'identità del server. Quando si specifica "*" come nome host, il nome host del server non viene convalidato.

La comunicazione SSL richiede anche file dell'archivio chiavi e dell'archivio attendibilità. È possibile che questi file vengano archiviati in percorsi predefiniti in un'installazione linux. Tuttavia, per assicurarsi che il materiale della chiave corretto venga usato per i vari sistemi SAP HANA (nei casi in cui vengono usati file di archivio chiavi e archivi attendibili diversi per ogni sistema SAP HANA), AzAcSnap prevede che i file dell'archivio chiavi e dell'archivio attendibilità vengano archiviati nel securityPath percorso. Il file di configurazione AzAcSnap specifica questo percorso.

File dell'archivio chiavi

Se si usano più identificatori di sistema (SID) con lo stesso materiale della chiave, è più semplice creare collegamenti nel securityPath percorso come definito nel file di configurazione AzAcSnap. Assicurarsi che questi valori esistano per ogni SID che usa SSL.

• Per openssl: ln $HOME/.ssl/key.pem <securityPath>/<SID>_keystore
• Per commoncrypto: ln $SECUDIR/sapcli.pse <securityPath>/<SID>_keystore

Se si usano più SID con materiale di chiave diverso per SID, copiare (o spostare e rinominare) i file nel securityPath percorso definito nel file di configurazione AzAcSnap del SID.

• Per openssl: mv key.pem <securityPath>/<SID>_keystore
• Per commoncrypto: mv sapcli.pse <securityPath>/<SID>_keystore

Quando AzAcSnap chiama hdbsql, viene aggiunto -sslkeystore=<securityPath>/<SID>_keystore alla hdbsql riga di comando.

File dell'archivio attendibilità

Se si usano più SID con lo stesso materiale della chiave, creare collegamenti reali nel securityPath percorso definito nel file di configurazione AzAcSnap. Assicurarsi che questi valori esistano per ogni SID che usa SSL.

• Per openssl: ln $HOME/.ssl/trust.pem <securityPath>/<SID>_truststore
• Per commoncrypto: ln $SECUDIR/sapcli.pse <securityPath>/<SID>_truststore

Se si usano più SID con il materiale della chiave diverso per SID, copiare (o spostare e rinominare) i file nel securityPath percorso definito nel file di configurazione AzAcSnap del SID.

• Per openssl: mv trust.pem <securityPath>/<SID>_truststore
• Per commoncrypto: mv sapcli.pse <securityPath>/<SID>_truststore

Il <SID> componente dei nomi di file deve essere l'identificatore di sistema SAP HANA in tutte le maiuscole (ad esempio, H80 o PR1). Quando AzAcSnap chiama hdbsql, viene aggiunto -ssltruststore=<securityPath>/<SID>_truststore alla riga di comando.

Se si esegue azacsnap -c test --test hana --ssl openssl, dove SID si trova H80 nel file di configurazione, esegue le hdbsqlconnessioni come indicato di seguito:

hdbsql \
    -e \
    -ssltrustcert \
    -sslhostnameincert "*" \
    -sslprovider openssl \
    -sslkeystore ./security/H80_keystore \
    -ssltruststore ./security/H80_truststore
    "sql statement"

Nel codice precedente, il carattere barra rovesciata (\) è un ritorno a capo della riga di comando per migliorare la chiarezza dei più parametri passati nella riga di comando.

Gli strumenti snapshot comunicano con il database Oracle e necessitano di un utente con le autorizzazioni appropriate per abilitare e disabilitare la modalità di backup.

Dopo che AzAcSnap inserisce il database in modalità di backup, AzAcSnap esegue una query sul database Oracle per ottenere un elenco di file con modalità di backup attiva. Questo elenco di file viene inviato in un file esterno. Il file esterno si trova nello stesso percorso e nel nome di base del file di log, ma con un'estensione .protected-tables di file. Il file di log AzAcSnap descrive in dettaglio il nome del file di output.

I comandi di esempio seguenti illustrano l'installazione dell'utente del database Oracle (AZACSNAP), l'uso di mkstore per creare un portafoglio Oracle e i sqlplus file di configurazione necessari per la comunicazione con il database Oracle. Modificare l'indirizzo IP, i nomi utente e le password in base alle esigenze.

1. Connettersi al database Oracle:

   su – oracle
   sqlplus / AS SYSDBA
   

   SQL*Plus: Release 12.1.0.2.0 Production on Mon Feb 1 01:34:05 2021
   Copyright (c) 1982, 2014, Oracle. All rights reserved.
   Connected to:
   Oracle Database 12c Standard Edition Release 12.1.0.2.0 - 64bit Production
   SQL>
   

2. Creare l'utente. Questo esempio crea l'utente azacsnap :

   SQL> CREATE USER azacsnap IDENTIFIED BY password;
   

   User created.
   

3. Concedere le autorizzazioni utente. In questo esempio viene impostata l'autorizzazione per consentire azacsnap all'utente di inserire il database in modalità di backup:

   SQL> GRANT CREATE SESSION TO azacsnap;
   

   Grant succeeded.
   

   SQL> GRANT SYSBACKUP TO azacsnap;
   

   Grant succeeded.
   

   SQL> connect azacsnap/password
   

   Connected.
   

   SQL> quit
   

4. Facoltativo: impedisci la scadenza della password dell'utente. Senza questa modifica, la password dell'utente potrebbe scadere e impedire che gli snapshot vengano acquisiti correttamente.

   Nota

   Prima di apportare questa modifica, rivolgersi ai criteri aziendali.

   Questo esempio ottiene la scadenza della password per l'utente AZACSNAP :

   SQL> SELECT username,account_status,expiry_date,profile FROM dba_users WHERE username='AZACSNAP';
   

   USERNAME              ACCOUNT_STATUS                 EXPIRY_DA PROFILE
   --------------------- ------------------------------ --------- ------------------------------
   AZACSNAP              OPEN                           DD-MMM-YY DEFAULT
   

   Esistono alcuni metodi per disabilitare la scadenza delle password nel database Oracle. Per indicazioni, contattare l'amministratore del database. Un metodo consiste nel modificare il DEFAULT profilo dell'utente in modo che la durata della password sia illimitata:

   SQL> ALTER PROFILE default LIMIT PASSWORD_LIFE_TIME unlimited;
   

   Dopo aver apportato questa modifica all'impostazione del database, non dovrebbe essere presente alcuna data di scadenza della password per gli utenti con il DEFAULT profilo:

   SQL> SELECT username, account_status,expiry_date,profile FROM dba_users WHERE username='AZACSNAP';
   

   USERNAME              ACCOUNT_STATUS                 EXPIRY_DA PROFILE
   --------------------- ------------------------------ --------- ------------------------------
   AZACSNAP              OPEN                                     DEFAULT
   

5. Configurare il portafoglio Oracle (modificare la password).

   Il portafoglio Oracle fornisce un metodo per gestire le credenziali del database in più domini. Questa funzionalità usa un database stringa di connessione nella definizione dell'origine dati, che viene risolto con una voce nel portafoglio. Quando si usa correttamente il portafoglio Oracle, le password nella configurazione dell'origine dati non sono necessarie.

   Questa configurazione consente di usare il file amministrativo TNS (Oracle Transparent Network Substrate) con un alias stringa di connessione, che nasconde i dettagli del database stringa di connessione. Se le informazioni di connessione cambiano, è importante modificare il tnsnames.ora file anziché (potenzialmente) molte definizioni di origine dati.

   Eseguire i comandi seguenti nel server di database Oracle. Questo esempio usa il mkstore comando della shell Linux per configurare il portafoglio Oracle. Questi comandi vengono eseguiti nel server di database Oracle tramite credenziali utente univoche per evitare alcun impatto sul database in esecuzione. In questo esempio viene creato un nuovo utente (azacsnap) e vengono configurate in modo appropriato le variabili di ambiente.

   1. Ottenere le variabili di ambiente Oracle da usare nell'installazione. Eseguire i comandi seguenti come utente radice nel server di database Oracle:

      su - oracle -c 'echo $ORACLE_SID'
      

      oratest1
      

      su - oracle -c 'echo $ORACLE_HOME'
      

      /u01/app/oracle/product/19.0.0/dbhome_1
      

   2. Creare l'utente Linux per generare il portafoglio Oracle e i file associati *.ora usando l'output del passaggio precedente.

      Questi esempi usano la bash shell. Se si usa una shell diversa, ad esempio csh, assicurarsi di impostare correttamente le variabili di ambiente.

      useradd -m azacsnap
      echo "export ORACLE_SID=oratest1" >> /home/azacsnap/.bash_profile
      echo "export ORACLE_HOME=/u01/app/oracle/product/19.0.0/dbhome_1" >> /home/azacsnap/.bash_profile
      echo "export TNS_ADMIN=/home/azacsnap" >> /home/azacsnap/.bash_profile
      echo "export PATH=\$PATH:\$ORACLE_HOME/bin" >> /home/azacsnap/.bash_profile
      

   3. Come nuovo utente Linux (azacsnap), creare il portafoglio e *.ora i file.

      1. Passare all'utente creato nel passaggio precedente:

         sudo su - azacsnap
         

      2. Creare il portafoglio Oracle:

         mkstore -wrl $TNS_ADMIN/.oracle_wallet/ -create
         

         Oracle Secret Store Tool Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
         
         Enter password: <wallet_password>
         Enter password again: <wallet_password>
         

      3. Aggiungere le credenziali stringa di connessione al portafoglio Oracle. Nel comando di esempio seguente è AZACSNAP il stringa di connessione che AzAcSnap userà, azacsnap è l'utente del database Oracle e AzPasswd1 è la password del database dell'utente Oracle.

         mkstore -wrl $TNS_ADMIN/.oracle_wallet/ -createCredential AZACSNAP azacsnap AzPasswd1
         

         Oracle Secret Store Tool Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
         
         Enter wallet password: <wallet_password>
         

      4. Creare il file tnsnames-ora. Nel comando di esempio seguente impostare sull'indirizzo HOST IP del server di database Oracle. Impostare SID sul SID del database Oracle.

         echo "# Connection string
         AZACSNAP=\"(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=192.168.1.1)(PORT=1521))(CONNECT_DATA=(SID=oratest1)))\"
         " > $TNS_ADMIN/tnsnames.ora
         

      5. Creare il sqlnet.ora file:

         echo "SQLNET.WALLET_OVERRIDE = TRUE
         WALLET_LOCATION=(
             SOURCE=(METHOD=FILE)
             (METHOD_DATA=(DIRECTORY=\$TNS_ADMIN/.oracle_wallet))
         ) " > $TNS_ADMIN/sqlnet.ora
         

      6. Testare il portafoglio Oracle:

         sqlplus /@AZACSNAP as SYSBACKUP
         

         SQL*Plus: Release 19.0.0.0.0 - Production on Wed Jan 12 00:25:32 2022
         Version 19.3.0.0.0
         
         Copyright (c) 1982, 2019, Oracle.  All rights reserved.
         
         
         Connected to:
         Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

         SELECT MACHINE FROM V$SESSION WHERE SID=1;
         

         MACHINE
         ----------------------------------------------------------------
         oradb-19c
         

         quit
         

         Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

      7. Creare un archivio di file ZIP del portafoglio e *.ora dei file Oracle:

         cd $TNS_ADMIN
         zip -r wallet.zip sqlnet.ora tnsnames.ora .oracle_wallet
         

           adding: sqlnet.ora (deflated 9%)
           adding: tnsnames.ora (deflated 7%)
           adding: .oracle_wallet/ (stored 0%)
           adding: .oracle_wallet/ewallet.p12.lck (stored 0%)
           adding: .oracle_wallet/ewallet.p12 (deflated 1%)
           adding: .oracle_wallet/cwallet.sso.lck (stored 0%)
           adding: .oracle_wallet/cwallet.sso (deflated 1%)
         

   4. Copiare il file ZIP nel sistema di destinazione, ad esempio la macchina virtuale centralizzata che esegue AzAcSnap.

      Importante

      Se si esegue la distribuzione in una macchina virtuale centralizzata, è necessario installare e configurare Oracle Instant Client in tale macchina in modo che l'utente AzAcSnap possa eseguire sqlplus i comandi. È possibile scaricare Oracle Instant Client dalla pagina di download di Oracle.

      Per l'esecuzione corretta di SQL*Plus, scaricare sia il pacchetto richiesto (ad esempio Basic Light Package) che il pacchetto facoltativo SQL*Plus tools.

   5. Completare i passaggi seguenti nel sistema che esegue AzAcSnap:

      1. Distribuire il file ZIP copiato nel passaggio precedente.

         Questo passaggio presuppone che l'utente abbia già creato l'utente che esegue AzAcSnap (per impostazione predefinita, azacsnap) usando il programma di installazione azAcSnap.

         Nota

         È possibile usare la TNS_ADMIN variabile shell per consentire più destinazioni Oracle impostando il valore della variabile shell univoco per ogni sistema Oracle in base alle esigenze.

         export TNS_ADMIN=$HOME/ORACLE19c
         mkdir $TNS_ADMIN
         cd $TNS_ADMIN
         unzip ~/wallet.zip
         

         Archive:  wallet.zip
           inflating: sqlnet.ora
           inflating: tnsnames.ora
            creating: .oracle_wallet/
          extracting: .oracle_wallet/ewallet.p12.lck
           inflating: .oracle_wallet/ewallet.p12
          extracting: .oracle_wallet/cwallet.sso.lck
           inflating: .oracle_wallet/cwallet.sso
         

         Verificare che i file siano stati estratti correttamente:

         ls
         

         sqlnet.ora  tnsnames.ora  wallet.zip
         

         Supponendo di aver completato correttamente tutti i passaggi precedenti, è possibile connettersi al database usando il /@AZACSNAP stringa di connessione:

         sqlplus /@AZACSNAP as SYSBACKUP
         

         SQL*Plus: Release 21.0.0.0.0 - Production on Wed Jan 12 13:39:36 2022
         Version 21.1.0.0.0
         
         Copyright (c) 1982, 2020, Oracle.  All rights reserved.
         
         
         Connected to:
         Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         
         ```sql
         SQL> quit
         

         Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
         Version 19.3.0.0.0
         

      2. Testare la configurazione con AzAcSnap

         Dopo aver configurato AzAcSnap (ad esempio, azacsnap -c configure --configuration new) con oracle stringa di connessione (ad esempio, /@AZACSNAP), dovrebbe essere possibile connettersi al database Oracle.

         Verificare che la $TNS_ADMIN variabile sia impostata per il sistema di destinazione Oracle corretto. La $TNS_ADMIN variabile shell determina dove individuare il portafoglio e *.ora i file Oracle, quindi è necessario impostarlo prima di eseguire il azacsnap comando.

         ls -al $TNS_ADMIN
         

         total 16
         drwxrwxr-x.  3 orasnap orasnap   84 Jan 12 13:39 .
         drwx------. 18 orasnap sapsys  4096 Jan 12 13:39 ..
         drwx------.  2 orasnap orasnap   90 Jan 12 13:23 .oracle_wallet
         -rw-rw-r--.  1 orasnap orasnap  125 Jan 12 13:39 sqlnet.ora
         -rw-rw-r--.  1 orasnap orasnap  128 Jan 12 13:24 tnsnames.ora
         -rw-r--r--.  1 root    root    2569 Jan 12 13:28 wallet.zip
         

         Eseguire il azacsnap comando di test:

         cd ~/bin
         azacsnap -c test --test oracle --configfile ORACLE.json
         

         BEGIN : Test process started for 'oracle'
         BEGIN : Oracle DB tests
         PASSED: Successful connectivity to Oracle DB version 1903000000
         END   : Test process complete for 'oracle'
         

         Per l'esecuzione corretta azacsnap della $TNS_ADMIN variabile, è necessario configurare correttamente la variabile. È possibile aggiungerlo al file dell'utente o esportarlo prima di .bash_profile ogni esecuzione, ad esempio export TNS_ADMIN="/home/orasnap/ORACLE19c" ; cd /home/orasnap/bin ; ./azacsnap --configfile ORACLE19c.json -c backup --volume data --prefix hourly-ora19c --retention 12.

Gli strumenti snapshot emettono comandi per il database IBM Db2 usando il processore db2 della riga di comando per abilitare e disabilitare la modalità di backup.

Dopo che AzAcSnap inserisce il database in modalità di backup, esegue una query sul database IBM Db2 per ottenere un elenco di percorsi protetti, che fanno parte del database in cui è attiva la modalità di backup. Questo elenco viene inviato in un file esterno, che si trova nello stesso percorso e nel nome base del file di log, ma ha un'estensione .\<DBName>-protected-paths . Il file di log AzAcSnap descrive in dettaglio il nome del file di output.

AzAcSnap usa il processore db2 della riga di comando IBM Db2 per eseguire comandi SQL, ad esempio SET WRITE SUSPEND o SET WRITE RESUME. È quindi consigliabile installare AzAcSnap in uno dei modi seguenti:

• Eseguire l'installazione nel server di database e quindi completare l'installazione con la connettività locale Db2.
• Eseguire l'installazione in un sistema di backup centralizzato e quindi completare l'installazione con connettività remota Db2.

Connettività locale db2

Se è stato installato AzAcSnap nel server di database, assicurarsi di aggiungere l'utente azacsnap al gruppo Linux corretto e importare il profilo dell'utente dell'istanza db2. Usare l'esempio di installazione seguente.

autorizzazioni utente azacsnap

L'utente azacsnap deve appartenere allo stesso gruppo Db2 dell'utente dell'istanza del database. Nell'esempio seguente viene recuperata l'appartenenza al gruppo dell'utente db2tstdell'istanza di database dell'installazione ibm Db2:

id db2tst

uid=1101(db2tst) gid=1001(db2iadm1) groups=1001(db2iadm1)

Dall'output è possibile verificare che l'utente db2tst sia stato aggiunto al db2iadm1 gruppo. Aggiungere l'utente azacsnap al gruppo:

usermod -a -G db2iadm1 azacsnap

profilo utente azacsnap

L'utente azacsnap deve essere in grado di eseguire il db2 comando. Per impostazione predefinita, il db2 comando non è nelle azacsnap informazioni dell'utente $PATH .

Aggiungere il codice seguente al file dell'utente .bashrc . Usare il proprio valore di installazione IBM Db2 per INSTHOME.

# The following four lines have been added to allow this user to run the DB2 command line processor.
INSTHOME="/db2inst/db2tst"
if [ -f ${INSTHOME}/sqllib/db2profile ]; then
    . ${INSTHOME}/sqllib/db2profile
fi

Verificare che l'utente possa eseguire il processore della db2 riga di comando:

su - azacsnap
db2

(c) Copyright IBM Corporation 1993,2007
Command Line Processor for DB2 Client 11.5.7.0

You can issue database manager commands and SQL statements from the command
prompt. For example:
    db2 => connect to sample
    db2 => bind sample.bnd

For general help, type: ?.
For command help, type: ? command, where command can be
the first few keywords of a database manager command. For example:
 ? CATALOG DATABASE for help on the CATALOG DATABASE command
 ? CATALOG          for help on all of the CATALOG commands.

To exit db2 interactive mode, type QUIT at the command prompt. Outside
interactive mode, all commands must be prefixed with 'db2'.
To list the current command option settings, type LIST COMMAND OPTIONS.

For more detailed help, refer to the Online Reference Manual.

db2 => quit
DB20000I  The QUIT command completed successfully.

Configurare azacsnap ora per l'utente localhost. Dopo questo test preliminare perché l'utente azacsnap funziona correttamente, passare a configurare (azacsnap -c configure) con serverAddress=localhost e testare (azacsnap -c test --test db2) la connettività del database AzAcSnap.

Connettività remota Db2

Se AzAcSnap è stato installato in un sistema di backup centralizzato, usare l'esempio di installazione seguente per consentire l'accesso SSH all'istanza del database Db2.

Accedere al sistema AzAcSnap come azacsnap utente e generare una coppia di chiavi SSH pubblica/privata:

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/home/azacsnap/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/azacsnap/.ssh/id_rsa.
Your public key has been saved in /home/azacsnap/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:4cr+0yN8/dawBeHtdmlfPnlm1wRMTO/mNYxarwyEFLU azacsnap@db2-02
The key's randomart image is:
+---[RSA 2048]----+
|         ... o.  |
|          . . +. |
|        .. E + o.|
|       ....   B..|
|        S. . o *=|
|     . .  . o o=X|
|      o. . +  .XB|
|     .  + + + +oX|
|      ...+ . =.o+|
+----[SHA256]-----+

Ottenere il contenuto della chiave pubblica:

cat .ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCb4HedCPdIeft4DUp7jwSDUNef52zH8xVfu5sSErWUw3hhRQ7KV5sLqtxom7an2a0COeO13gjCiTpwfO7UXH47dUgbz+KfwDaBdQoZdsp8ed1WI6vgCRuY4sb+rY7eiqbJrLnJrmgdwZkV+HSOvZGnKEV4Y837UHn0BYcAckX8DiRl7gkrbZUPcpkQYHGy9bMmXO+tUuxLM0wBrzvGcPPZ azacsnap@db2-02

Accedere al sistema IBM Db2 come utente dell'istanza db2.

Aggiungere il contenuto della chiave pubblica dell'utente AzAcSnap al file dell'utente dell'istanza di authorized_keys Db2:

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCb4HedCPdIeft4DUp7jwSDUNef52zH8xVfu5sSErWUw3hhRQ7KV5sLqtxom7an2a0COeO13gjCiTpwfO7UXH47dUgbz+KfwDaBdQoZdsp8ed1WI6vgCRuY4sb+rY7eiqbJrLnJrmgdwZkV+HSOvZGnKEV4Y837UHn0BYcAckX8DiRl7gkrbZUPcpkQYHGy9bMmXO+tUuxLM0wBrzvGcPPZ azacsnap@db2-02" >> ~/.ssh/authorized_keys

Accedere al sistema AzAcSnap come utente e testare l'accesso azacsnap SSH:

ssh <InstanceUser>@<ServerAddress>

[InstanceUser@ServerName ~]$

Verificare che l'utente possa eseguire il processore della db2 riga di comando:

db2

(c) Copyright IBM Corporation 1993,2007
Command Line Processor for DB2 Client 11.5.7.0

You can issue database manager commands and SQL statements from the command
prompt. For example:
    db2 => connect to sample
    db2 => bind sample.bnd

For general help, type: ?.
For command help, type: ? command, where command can be
the first few keywords of a database manager command. For example:
 ? CATALOG DATABASE for help on the CATALOG DATABASE command
 ? CATALOG          for help on all of the CATALOG commands.

To exit db2 interactive mode, type QUIT at the command prompt. Outside
interactive mode, all commands must be prefixed with 'db2'.
To list the current command option settings, type LIST COMMAND OPTIONS.

For more detailed help, refer to the Online Reference Manual.

db2 => quit
DB20000I  The QUIT command completed successfully.

[prj@db2-02 ~]$ exit

logout
Connection to <serverAddress> closed.

Configurare SAP HANA

Esistono modifiche che è possibile applicare a SAP HANA per proteggere i backup e il catalogo dei log. Per impostazione predefinita, basepath_logbackup e basepath_catalogbackup vengono impostati in modo che SAP HANA inserisca i file correlati nella $(DIR_INSTANCE)/backup/log directory. È improbabile che questo percorso si trova in un volume configurato per lo snapshot di AzAcSnap, quindi gli snapshot di archiviazione non proteggeranno questi file.

Gli esempi di comando seguenti hdbsql illustrano l'impostazione dei percorsi del log e del catalogo nei volumi di archiviazione che AzAcSnap può creare snapshot. Assicurarsi di verificare che i valori nella riga di comando corrispondano alla configurazione locale di SAP HANA.

Configurare il percorso di backup del log

Questo esempio mostra una modifica al basepath_logbackup parametro :

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'basepath_logbackup') = '/hana/logbackups/H80' WITH RECONFIGURE"

Configurare il percorso di backup del catalogo

In questo esempio viene illustrata una modifica al basepath_catalogbackup parametro . Assicurarsi prima di tutto che il basepath_catalogbackup percorso esista nel file system. In caso contrario, creare il percorso con la stessa proprietà della directory.

ls -ld /hana/logbackups/H80/catalog

drwxr-x--- 4 h80adm sapsys 4096 Jan 17 06:55 /hana/logbackups/H80/catalog

Se è necessario creare il percorso, l'esempio seguente crea il percorso e imposta la proprietà e le autorizzazioni corrette. È necessario eseguire questi comandi come radice.

mkdir /hana/logbackups/H80/catalog
chown --reference=/hana/shared/H80/HDB00 /hana/logbackups/H80/catalog
chmod --reference=/hana/shared/H80/HDB00 /hana/logbackups/H80/catalog
ls -ld /hana/logbackups/H80/catalog

drwxr-x--- 4 h80adm sapsys 4096 Jan 17 06:55 /hana/logbackups/H80/catalog

L'esempio seguente modifica l'impostazione di SAP HANA:

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'basepath_catalogbackup') = '/hana/logbackups/H80/catalog' WITH RECONFIGURE"

Controllare i percorsi di backup del log e del catalogo

Dopo aver apportato le modifiche ai percorsi di backup del log e del catalogo, verificare che le impostazioni siano corrette usando il comando seguente.

In questo esempio le impostazioni vengono visualizzate come SYSTEM impostazioni. Questa query restituisce anche le impostazioni per il DEFAULT confronto.

hdbsql -jaxC -n <HANA_ip_address> - i 00 -U AZACSNAP "select * from sys.m_inifile_contents where (key = 'basepath_databackup' or key ='basepath_datavolumes' or key = 'basepath_logbackup' or key = 'basepath_logvolumes' or key = 'basepath_catalogbackup')"

global.ini,DEFAULT,,,persistence,basepath_catalogbackup,$(DIR_INSTANCE)/backup/log
global.ini,DEFAULT,,,persistence,basepath_databackup,$(DIR_INSTANCE)/backup/data
global.ini,DEFAULT,,,persistence,basepath_datavolumes,$(DIR_GLOBAL)/hdb/data
global.ini,DEFAULT,,,persistence,basepath_logbackup,$(DIR_INSTANCE)/backup/log
global.ini,DEFAULT,,,persistence,basepath_logvolumes,$(DIR_GLOBAL)/hdb/log
global.ini,SYSTEM,,,persistence,basepath_catalogbackup,/hana/logbackups/H80/catalog
global.ini,SYSTEM,,,persistence,basepath_datavolumes,/hana/data/H80
global.ini,SYSTEM,,,persistence,basepath_logbackup,/hana/logbackups/H80
global.ini,SYSTEM,,,persistence,basepath_logvolumes,/hana/log/H80

Configurare il timeout del backup del log

L'impostazione predefinita per SAP HANA per eseguire un backup del log è 900 di secondi (15 minuti). È consigliabile ridurre questo valore a 300 secondi (5 minuti). È quindi possibile eseguire backup regolari di questi file ,ad esempio ogni 10 minuti. È possibile eseguire questi backup aggiungendo i log_backup volumi alla OTHER sezione volume del file di configurazione.

hdbsql -jaxC -n <HANA_ip_address>:30013 -i 00 -u SYSTEM -p <SYSTEM_USER_PASSWORD> "ALTER SYSTEM ALTER CONFIGURATION ('global.ini', 'SYSTEM') SET ('persistence', 'log_backup_timeout_s') = '300' WITH RECONFIGURE"

Controllare il timeout del backup del log

Dopo aver apportato la modifica al timeout del backup del log, assicurarsi che il timeout sia impostato usando il comando seguente.

In questo esempio le impostazioni vengono visualizzate come SYSTEM impostazioni. Questa query restituisce anche le impostazioni per il DEFAULT confronto.

hdbsql -jaxC -n <HANA_ip_address> - i 00 -U AZACSNAP "select * from sys.m_inifile_contents where key like '%log_backup_timeout%' "

global.ini,DEFAULT,,,persistence,log_backup_timeout_s,900
global.ini,SYSTEM,,,persistence,log_backup_timeout_s,300

Applicare le modifiche seguenti al database Oracle per consentire il monitoraggio da parte dell'amministratore del database:

1. Configurare la registrazione degli avvisi Oracle.

   Usare i comandi ORACLE SQL seguenti mentre si è connessi al database per SYSDBA creare una stored procedure con l'account di database ORACLE SYSBACKUP predefinito. Questi comandi SQL consentono ad AzAcSnap di inviare messaggi a:

   • Output standard usando la PUT_LINE procedura nel DBMS_OUTPUT pacchetto.
   • Il file di database alert.log Oracle utilizzando la KSDWRT procedura nel DBMS_SYSTEM pacchetto.

   sqlplus / As SYSDBA
   

   GRANT EXECUTE ON DBMS_SYSTEM TO SYSBACKUP;
   CREATE PROCEDURE sysbackup.azmessage(in_msg IN VARCHAR2)
   AS
       v_timestamp VARCHAR2(32);
   BEGIN
       SELECT TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS')
           INTO v_timestamp FROM DUAL;
       SYS.DBMS_SYSTEM.KSDWRT(SYS.DBMS_SYSTEM.ALERT_FILE, in_msg);
   END azmessage;
   /
   SHOW ERRORS
   QUIT
   

Non è necessaria alcuna configurazione speciale del database per Db2 perché si usa l'ambiente del sistema operativo locale dell'utente dell'istanza.