Übersicht über die Geschäftskontinuität mit Azure SQL-DatenbankOverview of business continuity with Azure SQL Database

Geschäftskontinuität in Azure SQL-Datenbank bezieht sich auf die Mechanismen, Richtlinien und Verfahren, die es Ihrem Unternehmen ermöglichen, angesichts von Störungen, insbesondere in der Computerinfrastruktur, weiter zu arbeiten.Business continuity in Azure SQL Database refers to the mechanisms, policies, and procedures that enable your business to continue operating in the face of disruption, particularly to its computing infrastructure. In den meisten Fällen behandelt Azure SQL-Datenbank die Störungen, die in der Cloudumgebung auftreten können, und hält Ihre Anwendungen und Geschäftsprozesse am Laufen.In the most of the cases, Azure SQL Database will handle the disruptive events that might happen in the cloud environment and keep your applications and business processes running. Es gibt jedoch einige Störungen, die von SQL-Datenbank nicht automatisch behandelt werden können, wie z. B.:However, there are some disruptive events that cannot be handled by SQL Database automatically such as:

  • Ein Benutzer hat versehentlich eine Zeile in einer Tabelle gelöscht oder aktualisiert.User accidentally deleted or updated a row in a table.
  • Ein bösartiger Angreifer konnte erfolgreich Daten oder eine Datenbank löschen.Malicious attacker succeeded to delete data or drop a database.
  • Ein Erdbeben hat einen Stromausfall verursacht und das Datencenter vorübergehend deaktiviert.Earthquake caused a power outage and temporary disabled data-center.

Diese Übersicht beschreibt die Funktionen, die Azure SQL-Datenbank für Geschäftskontinuität und Notfallwiederherstellung bereitstellt.This overview describes the capabilities that Azure SQL Database provides for business continuity and disaster recovery. Erfahren Sie etwas über Optionen, Empfehlungen und Tutorials für die Wiederherstellung nach Störungen, die Datenverluste nach sich ziehen oder dazu führen können, dass Ihre Datenbank und Ihre Anwendungen nicht mehr verfügbar sind.Learn about options, recommendations, and tutorials for recovering from disruptive events that could cause data loss or cause your database and application to become unavailable. Erfahren Sie, was zu tun ist, wenn ein Benutzer- oder Anwendungsfehler die Datenintegrität gefährdet, eine Azure-Region ausfällt oder Wartungsaufgaben für Ihre Anwendung ausgeführt werden müssen.Learn what to do when a user or application error affects data integrity, an Azure region has an outage, or your application requires maintenance.

Funktionen von SQL-Datenbank zum Sicherstellen der GeschäftskontinuitätSQL Database features that you can use to provide business continuity

Aus Datenbankperspektive gibt es vier große potenzielle Störungsszenarien:From a database perspective, there are four major potential disruption scenarios:

  • Lokale Hardware- oder Softwarefehler, die Auswirkung auf den Datenbankknoten haben, z.B. Festplattenfehler.Local hardware or software failures affecting the database node such as a disk-drive failure.
  • Beschädigte oder gelöschte Daten – in der Regel durch einen Anwendungs- oder Benutzerfehler verursacht.Data corruption or deletion typically caused by an application bug or human error. Derartige Fehler sind anwendungsspezifisch und werden normalerweise nicht vom Datenbankdienst erkannt.Such failures are application-specific and typically cannot be detected by the database service.
  • Ausfall des Rechenzentrums, möglicherweise durch eine Naturkatastrophe verursacht.Datacenter outage, possibly caused by a natural disaster. Dieses Szenario erfordert gewisse Georedundanz mit Anwendungsfailover in ein alternatives Datencenter.This scenario requires some level of geo-redundancy with application failover to an alternate datacenter.
  • Upgrade- oder Wartungsfehler – unerwartete Probleme, die während geplanter Upgrades oder Wartungsarbeiten an der Infrastruktur auftreten, können ein schnelles Rollback zu einem früheren Datenbankzustand erfordern.Upgrade or maintenance errors, unanticipated issues that occur during planned infrastructure maintenance or upgrades may require rapid rollback to a prior database state.

Um das Risiko lokaler Hardware- und Softwarefehler zu mindern, bietet SQL-Datenbank eine Hochverfügbarkeitsarchitektur, die nach diesen Fehlern eine automatische Wiederherstellung mit einer SLA von bis zu 99,995 Prozent Verfügbarkeit gewährleistet.To mitigate the local hardware and software failures, SQL Database includes a high availability architecture, which guarantees automatic recovery from these failures with up to 99.995% availability SLA.

Um Ihr Unternehmen vor Datenverlusten zu schützen, werden von SQL-Datenbank automatisch wöchentliche vollständige Datenbanksicherungen, alle 12 Stunden differenzielle Datenbanksicherungen und alle 5–10 Minuten Transaktionsprotokollsicherungen durchgeführt.To protect your business from data loss, SQL Database automatically creates full database backups weekly, differential database backups every 12 hours, and transaction log backups every 5 - 10 minutes . Die Sicherungen werden für alle Dienstebenen mindestens 7 Tage im RA-GRS-Speicher vorgehalten.The backups are stored in RA-GRS storage for at least 7 days for all service tiers. Alle Dienstebenen außer „Basic“ unterstützen konfigurierbare Aufbewahrungszeiträume von bis zu 35 Tagen für die Point-in-Time-Wiederherstellung.All service tiers except Basic support configurable backup retention period for point-in-time restore, up to 35 days.

SQL-Datenbank bietet außerdem mehrere Funktionen für Geschäftskontinuität, mit denen sich verschiedene ungeplante Szenarien reduzieren lassen.SQL Database also provides several business continuity features, that you can use to mitigate various unplanned scenarios.

Wiederherstellen einer Datenbank innerhalb derselben Azure-RegionRecover a database within the same Azure region

Mit automatischen Datenbanksicherungen können Sie eine Datenbank auf einen Zeitpunkt in der Vergangenheit zurücksetzen.You can use automatic database backups to restore a database to a point in time in the past. Auf diese Weise können Sie Datenbeschädigungen aufgrund von menschlichem Versagen wiederherstellen.This way you can recover from data corruptions caused by human errors. Mit der Point-in-Time-Wiederherstellung können Sie auf demselben Server eine neue Datenbank erstellen, die dem Zustand der Daten vor der Beschädigung entspricht.The poin-in-time restore allows you to create a new database in the same server that represents the state of data prior to the corrupting event. Bei den meisten Datenbanken dauern die Wiederherstellungsvorgänge weniger als 12 Stunden.For most databases the restore operations takes less than 12 hours. Das Wiederherstellen einer sehr großen oder sehr aktiven Datenbank kann länger dauern.It may take longer to recover a very large or very active database. Weitere Informationen zur Wiederherstellungszeit finden Sie unter Wiederherstellungszeit für Datenbanken.For more information about recovery time, see database recovery time.

Wenn der maximal unterstützte Aufbewahrungszeitraum für die Point-in-Time-Wiederherstellung für Ihre Anwendung nicht ausreicht, können Sie ihn verlängern, indem Sie eine Richtlinie für die Langzeitaufbewahrung für die Datenbanken konfigurieren.If the maximum supported backup retention period for point-in-time restore (PITR) is not sufficient for your application, you can extend it by configuring a long-term retention (LTR) policy for the database(s). Weitere Informationen finden Sie unter Langfristiges Aufbewahren von Sicherungen.For more information, see Long-term backup retention.

Vergleichen der Georeplikation mit FailovergruppenCompare geo-replication with failover groups

Autofailover-Gruppen vereinfachen die Bereitstellung und die Verwendung von Georeplikation und fügen die zusätzlichen Funktionen wie in der folgenden Tabelle beschrieben hinzu:Auto-failover groups simplify the deployment and usage of geo-replication and add the additional capabilities as described in the following table:

GeoreplikationGeo-replication FailovergruppenFailover groups
Automatisches FailoverAutomatic failover NeinNo JaYes
Gleichzeitiges Failover für mehrere DatenbankenFail over multiple databases simultaneously NeinNo JaYes
Aktualisieren der Verbindungszeichenfolge nach einem FailoverUpdate connection string after failover JaYes NeinNo
Unterstützung verwalteter InstanzenManaged instance supported NeinNo JaYes
Kann sich in der selben Region wie die primäre Instanz befindenCan be in same region as primary JaYes NeinNo
Mehrere ReplikateMultiple replicas JaYes NeinNo
Unterstützung der LeseskalierungSupports read-scale JaYes JaYes
     

Wiederherstellen einer Datenbank auf dem vorhandenen ServerRecover a database to the existing server

Es kommt zwar sehr selten vor, aber es ist möglich, dass ein Azure-Rechenzentrum ausfällt.Although rare, an Azure data center can have an outage. Ein solcher Ausfall kann den Geschäftsbetrieb einige wenige Minuten oder mehrere Stunden unterbrechen.When an outage occurs, it causes a business disruption that might only last a few minutes or might last for hours.

  • Eine Möglichkeit ist, einfach zu warten, bis die Datenbank wieder online ist, wenn der Rechenzentrumsausfall behoben wurde.One option is to wait for your database to come back online when the data center outage is over. Dies funktioniert bei Anwendungen, bei denen die Datenbank nicht notwendigerweise online sein muss.This works for applications that can afford to have the database offline. Beispiele hierfür sind Entwicklungsprojekte oder kostenlose Testversionen, mit denen Sie nicht ständig arbeiten müssen.For example, a development project or free trial you don't need to work on constantly. Wenn ein Rechenzentrum ausfällt, wissen Sie nicht, wie lange der Ausfall dauern kann, daher ist diese Option nur dann in Erwägung zu ziehen, wenn Sie Ihre Datenbank eine Zeit lang nicht benötigen.When a data center has an outage, you do not know how long the outage might last, so this option only works if you don't need your database for a while.
  • Eine andere Möglichkeit besteht im Wiederherstellen einer Datenbank auf einem beliebigen Server in einer beliebigen Azure-Region mit georedundanten Datenbanksicherungen (Geowiederherstellung).Another option is to restore a database on any server in any Azure region using geo-redundant database backups (geo-restore). Die Geowiederherstellung verwendet eine georedundante Sicherung als Quelle und kann selbst dann zum Wiederherstellen einer Datenbank verwendet werden, wenn die Datenbank oder das Rechenzentrum aufgrund eines Ausfalls nicht mehr verfügbar ist.Geo-restore uses a geo-redundant backup as its source and can be used to recover a database even if the database or datacenter is inaccessible due to an outage.
  • Sie können eine schnelle Wiederherstellung nach einem Ausfall durchführen, wenn Sie entweder eine sekundäre Geodatenbank mithilfe der aktiven Georeplikation oder eine Autofailover-Gruppe für Ihre Datenbank oder Datenbanken konfiguriert haben.Finally, you can quickly recover from an outage if you have configured either geo-secondary using active geo-replication or an auto-failover group for your database or databases. Je nach gewählter Technologie können Sie entweder manuelles oder automatisches Failover verwenden.Depending on your choice of these technologies, you can use either manual or automatic failover. Während das eigentliche Failover nur wenige Sekunden dauert, benötigt der Dienst mindestens 1 Stunde, um es zu aktivieren.While failover itself takes only a few seconds, the service will take at least 1 hour to activate it. Diese Zeit ist erforderlich, um sicherzustellen, dass das Failover durch das Ausmaß des Ausfalls gerechtfertigt ist.This is necessary to ensure that the failover is justified by the scale of the outage. Darüber hinaus kann das Failover aufgrund der asynchronen Replikation zu einem geringfügigen Datenverlust führen.Also, the failover may result in small data loss due to the nature of asynchronous replication.

Wenn Sie Ihren Plan für die Geschäftskontinuität entwickeln, müssen Sie wissen, wie viel Zeit maximal vergehen darf, bis die Anwendung nach einer Störung vollständig wiederhergestellt ist.As you develop your business continuity plan, you need to understand the maximum acceptable time before the application fully recovers after the disruptive event. Die Zeit, die für die vollständige Wiederherstellung einer Anwendung erforderlich ist, wird als RTO (Recovery Time Objective) bezeichnet.The time required for application to fully recover is known as Recovery time objective (RTO). Sie müssen auch herausfinden, über welchen Zeitraum kürzlich durchgeführter Datenupdates (in einem bestimmten Zeitraum) maximal verloren gehen dürfen, wenn die Anwendung nach einer unvorhergesehenen Störung wiederhergestellt wird.You also need to understand the maximum period of recent data updates (time interval) the application can tolerate losing when recovering from an unplanned disruptive event. Der potenzielle Datenverlust wird als RPO (Recovery Point Objective) bezeichnet.The potential data loss is known as Recovery point objective (RPO).

Andere Wiederherstellungsmethoden bieten andere RPO- und RTO-Ebenen.Different recovery methods offer different levels of RPO and RTO. Sie können eine bestimmte Wiederherstellungsmethode auswählen oder verschiedene Methoden kombinieren, um Anwendungen vollständig wiederherzustellen.You can choose a specific recovery method, or use a combination of methods to achieve full application recovery. In der folgenden Tabelle werden die RPO- und RTO-Werte der einzelnen Wiederherstellungsoptionen verglichen.The following table compares RPO and RTO of each recovery option. Gruppen für automatisches Failover vereinfachen die Bereitstellung und die Verwendung von Georeplikation und fügen die zusätzlichen Funktionen hinzu, wie in der folgenden Tabelle beschrieben.Auto-failover groups simplify the deployment and usage of geo-replication and adds the additional capabilities as described in the following table.

WiederherstellungsmethodeRecovery method RTORTO RPORPO
Geowiederherstellung von georeplizierten SicherungenGeo-restore from geo-replicated backups 12 Stunden12 h 1 Stunde1 h
Autofailover-GruppenAuto-failover groups 1 Stunde1 h 5 s5 s
Manuelles Datenbank-FailoverManual database failover 30 s30 s 5 s5 s

Hinweis

Manuelles Datenbank-Failover bezieht sich auf das Failover einer einzelnen Datenbank mithilfe des ungeplanten Modus auf seine georeplizierte sekundäre Datenbank.Manual database failover refers to failover of a single database to its geo-replicated secondary using the unplanned mode. Ausführliche Informationen zu RTO und RPO für das automatische Failover finden Sie in der Tabelle weiter oben in diesem Artikel.See the table earlier in this article for details of the auto-failover RTO and RPO.

Verwenden Sie Autofailover-Gruppen, wenn Ihre Anwendung einen Teil der folgenden Kriterien erfüllt:Use auto-failover groups if your application meets any of these criteria:

  • Sie ist geschäftskritisch.Is mission critical.
  • Es ist eine Vereinbarung zum Servicelevel (SLA) vorhanden, die keine Ausfallzeit von 12 Stunden oder länger erlaubt.Has a service level agreement (SLA) that does not allow for 12 hours or more of downtime.
  • Ausfallzeiten können Kosten aufgrund finanzieller Haftung nach sich ziehen.Downtime may result in financial liability.
  • Daten ändern sich sehr schnell, und ein Datenverlust über eine Stunde ist nicht akzeptabel.Has a high rate of data change and 1 hour of data loss is not acceptable.
  • Die zusätzlichen Kosten für die Georeplikation sind niedriger als die potenziellen Kosten aufgrund der finanziellen Haftung und die damit einhergehenden Geschäftsverluste.The additional cost of active geo-replication is lower than the potential financial liability and associated loss of business.

Sie könnten z. B. je nach den Anforderungen Ihrer Anwendung eine Kombination aus Datenbanksicherungen und aktiver Georeplikation verwenden.You may choose to use a combination of database backups and active geo-replication depending upon your application requirements. Überlegungen zum Entwurf eigenständiger Datenbanken und zum Einsatz von Pools für elastische Datenbanken mit diesen Funktionen für Geschäftskontinuität finden Sie unter Entwerfen einer Anwendung für die cloudbasierte Notfallwiederherstellung und Strategien für die Notfallwiederherstellung mit Pools für elastische Datenbanken.For a discussion of design considerations for stand-alone databases and for elastic pools using these business continuity features, see Design an application for cloud disaster recovery and Elastic pool disaster recovery strategies.

Die nachstehenden Abschnitte bieten eine Übersicht über die Schritte, die zur Wiederherstellung mithilfe von Datenbanksicherungen oder der aktiven Georeplikation erforderlich sind.The following sections provide an overview of the steps to recover using either database backups or active geo-replication. Weitere Schritte einschließlich der Planungsanforderungen und Schritte nach der Wiederherstellung sowie Informationen zum Simulieren eines Ausfalls, um eine Strategie für die Notfallwiederherstellung zu entwickeln, finden Sie unter Notfallwiederherstellung für SQL-Datenbank.For detailed steps including planning requirements, post recovery steps, and information about how to simulate an outage to perform a disaster recovery drill, see Recover a SQL Database from an outage.

Vorbereiten auf einen AusfallPrepare for an outage

Unabhängig von der Funktion für die Geschäftskontinuität, die Sie einsetzen werden, müssen Sie folgende Aktivitäten ausführen:Regardless of the business continuity feature you use, you must:

  • Ermitteln und Vorbereiten des Zielservers, einschließlich IP-Firewallregeln auf Serverebene, Anmeldedaten und Berechtigungen auf Ebene der Masterdatenbank.Identify and prepare the target server, including server-level IP firewall rules, logins, and master database level permissions.
  • Bestimmen, wie Clients und Clientanwendungen an den neuen Server umgeleitet werden sollen.Determine how to redirect clients and client applications to the new server
  • Dokumentieren weiterer Abhängigkeiten wie z.B. Überwachungseinstellungen und Warnungen.Document other dependencies, such as auditing settings and alerts

Wenn die Vorbereitung nicht sorgfältig durchgeführt wird, dauert es länger, Anwendungen nach einem Failover oder einer Datenbank-Wiederherstellung wieder online zu schalten. Zudem werden voraussichtlich weitere Problembehandlungsmaßnahmen zu einem Zeitpunkt erforderlich sein, zu dem Sie bereits unter Stress stehen – eine ungünstige Kombination.If you do not prepare properly, bringing your applications online after a failover or a database recovery takes additional time and likely also require troubleshooting at a time of stress - a bad combination.

Failover auf eine georeplizierte sekundäre DatenbankFail over to a geo-replicated secondary database

Wenn Sie aktive Georeplikation oder automatische Failovergruppen als Wiederherstellungsmechanismus verwenden, können Sie eine Richtlinie für automatisches Failover konfigurieren oder manuelles ungeplantes Failover verwenden.If you are using active geo-replication or auto-failover groups as your recovery mechanism, you can configure an automatic failover policy or use manual unplanned failover. Sobald das Failover initiiert wurde, bewirkt es, dass die sekundäre Datenbank zur neuen primären Datenbank wird und neue Transaktionen aufzeichnen sowie auf Abfragen antworten kann. Hierbei entsteht ein minimaler Datenverlust für noch nicht replizierte Daten.Once initiated, the failover causes the secondary to become the new primary and ready to record new transactions and respond to queries - with minimal data loss for the data not yet replicated. Informationen zum Entwerfen des Failoverprozesses finden Sie unter Entwerfen einer Anwendung für die cloudbasierte Notfallwiederherstellung.For information on designing the failover process, see Design an application for cloud disaster recovery.

Hinweis

Wenn das Rechenzentrum wieder online geschaltet wird, werden die alten primären Datenbanken automatisch wieder mit der neuen primären Datenbank verbunden und damit zu sekundären Datenbanken.When the data center comes back online the old primaries automatically reconnect to the new primary and become secondary databases. Wenn Sie die primäre Datenbank wieder in den ursprünglichen Bereich verschieben müssen, können Sie manuell ein geplantes Failover initiieren (Failback).If you need to relocate the primary back to the original region, you can initiate a planned failover manually (failback).

Ausführen einer GeowiederherstellungPerform a geo-restore

Wenn Sie die automatischen Sicherungen mit georedundanter Speicherung (standardmäßig aktiviert) verwenden, können Sie die Datenbank mit Geowiederherstellung wiederherstellen.If you are using the automated backups with geo-redundant storage (enabled by default), you can recover the database using geo-restore. Die Wiederherstellung erfolgt in den meisten Fällen innerhalb von 12 Stunden. Es entsteht ein Datenverlust von bis zu einer Stunde – je nachdem, wann die letzte Protokollsicherung durchgeführt und repliziert wurde.Recovery usually takes place within 12 hours - with data loss of up to one hour determined by when the last log backup was taken and replicated. Solange die Wiederherstellung nicht abgeschlossen ist, kann die Datenbank keine Transaktionen aufzeichnen oder auf Abfragen antworten.Until the recovery completes, the database is unable to record any transactions or respond to any queries. Beachten Sie, dass die Datenbank mit der Geowiederherstellung nur auf den letzten verfügbaren Zeitpunkt wiederhergestellt wird.Note, geo-restore only restores the database to the last available point in time.

Hinweis

Wenn das Rechenzentrum wieder online ist, bevor Sie Ihre Anwendung auf die wiederhergestellte Datenbank umstellen, können Sie die Wiederherstellung abbrechen.If the data center comes back online before you switch your application over to the recovered database, you can cancel the recovery.

Ausführen von Aufgaben nach dem Failover bzw. nach der WiederherstellungPerform post failover / recovery tasks

Nach einer Wiederherstellung müssen Sie unabhängig vom Wiederherstellungsmechanismus folgende zusätzliche Aufgaben ausführen, damit Ihre Anwendungen wieder vollständig einsatzfähig sind und von Ihren Benutzern wieder in vollem Umfang verwendet werden können:After recovery from either recovery mechanism, you must perform the following additional tasks before your users and applications are back up and running:

  • Umleiten von Clients und Clientanwendungen an den neuen ServerRedirect clients and client applications to the new server and restored database
  • Sicherstellen, dass geeignete IP-Firewallregeln auf Serverebene vorhanden sind, damit Benutzer eine Verbindung herstellen können (oder Verwenden von Firewallregeln auf Datenbankebene, um entsprechende Regeln zu aktivieren).Ensure appropriate server-level IP firewall rules are in place for users to connect or use database-level firewalls to enable appropriate rules.
  • Sicherstellen, dass die geeigneten Anmeldeinformationen und Berechtigungen auf Ebene der Masterdatenbank vorhanden sind (oder Verwenden von eigenständigen Benutzern)Ensure appropriate logins and master database level permissions are in place (or use contained users)
  • Konfigurieren der erforderlichen ÜberwachungConfigure auditing, as appropriate
  • Konfigurieren der erforderlichen WarnungenConfigure alerts, as appropriate

Hinweis

Wenn Sie eine Failovergruppe verwenden und eine Verbindung mit den Datenbanken über den Lese-/Schreiblistener herstellen, erfolgt die Umleitung nach einem Failover an die Anwendung automatisch und transparent.If you are using a failover group and connect to the databases using the read-write lstener, the redirection after failover will happen automatically and transparently to the application.

Durchführen eines Anwendungsupgrades mit minimalen AusfallzeitenUpgrade an application with minimal downtime

Zuweilen muss eine Anwendung aufgrund geplanter Wartungsmaßnahmen offline geschaltet werden – beispielsweise für Anwendungsupgrades.Sometimes an application must be taken offline because of planned maintenance such as an application upgrade. Der Artikel Verwalten von Anwendungsupgrades beschreibt, wie Sie mithilfe der aktiven Georeplikation parallele Upgrades Ihrer Cloudanwendung ermöglichen und so Ausfallzeiten während Upgrades minimieren. Gleichzeitig können Sie mit dieser Funktion einen Wiederherstellungspfad bereitstellen, falls etwas schiefgeht.Manage application upgrades describes how to use active geo-replication to enable rolling upgrades of your cloud application to minimize downtime during upgrades and provide a recovery path if something goes wrong.

Nächste SchritteNext steps

Überlegungen zum Anwendungsentwurf für Einzeldatenbanken und Pools für elastische Datenbanken finden Sie unter Entwerfen einer Anwendung für die cloudbasierte Notfallwiederherstellung und Strategien für die Notfallwiederherstellung mit Pools für elastische Datenbanken.For a discussion of application design considerations for stand-alone databases and for elastic pools, see Design an application for cloud disaster recovery and Elastic pool disaster recovery strategies.