Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocí služby Azure Backup můžete zálohovat a obnovovat data z trezorů služby Recovery Services pomocí privátních koncových bodů. Privátní koncové body používají jednu nebo více privátních IP adres z vaší virtuální sítě Azure k efektivnímu přenesení služby do vaší virtuální sítě.
Tento článek vám pomůže pochopit, jak fungují privátní koncové body pro Azure Backup v prostředí verze 1 při vytváření privátních koncových bodů. Poskytuje scénáře, kdy použití privátních koncových bodů pomáhá udržovat zabezpečení vašich prostředků.
Azure Backup také poskytuje prostředí verze 2 pro vytváření a používání privátních koncových bodů. Další informace.
Důležité informace před zahájením
Privátní koncové body pro nové trezory služby Recovery Services můžete vytvářet jenom v případě, že do trezoru nejsou zaregistrované žádné položky. Před pokusem o ochranu všech položek v trezoru musíte vytvořit privátní koncové body. V současné době se ale nepodporují privátní koncové body pro trezory Backup.
Klíče přímo spravované zákazníkem (CMK) s klíčovým trezorem s omezeným přístupem v síti se nepodporují v trezoru, který je povolený pro privátní koncové body.
Jedna virtuální síť může obsahovat privátní koncové body pro více trezorů služby Recovery Services. Jeden trezor služby Recovery Services může mít rovněž privátní koncové body ve více virtuálních sítích. Pro trezor můžete vytvořit maximálně 12 privátních koncových bodů.
Pokud je přístup k veřejné síti pro trezor nastavený na Povolit ze všech sítí, umožňuje trezor zálohování a obnovení z libovolného počítače zaregistrovaného do trezoru. Pokud je přístup k veřejné síti pro trezor nastavený na Odepřít, umožňuje trezor zálohování a obnovení pouze z počítačů registrovaných do trezoru, které požadují zálohy nebo obnovení prostřednictvím privátních IP adres přidělených trezoru.
Připojení privátního koncového bodu pro Azure Backup používá v podsíti celkem 11 privátních IP adres, včetně IP adres, které Azure Backup používá pro úložiště. Toto číslo může být vyšší pro určité oblasti Azure. Při pokusu o vytvoření privátních koncových bodů pro Azure Backup doporučujeme mít k dispozici dostatek privátních IP adres (/25).
I když Azure Backup i Azure Site Recovery používají trezor služby Recovery Services, tento článek popisuje použití privátních koncových bodů pouze pro Službu Azure Backup.
Privátní koncové body pro Azure Backup nezahrnují přístup k ID Microsoft Entra. Potřebujete poskytnout přístup k ID Microsoft Entra samostatně.
IP adresy a plně kvalifikované názvy domén (FQDN), které jsou potřeba pro Microsoft Entra ID, aby fungovalo v dané oblasti, potřebují, aby byl zajištěn odchozí přístup ze zabezpečené sítě, když provádíte:
- Zálohování databází na virtuálních počítačích Azure
- Záloha, která používá agenta Mars (Microsoft Azure Recovery Services).
Můžete také použít značky skupiny zabezpečení sítě (NSG) a značky služby Azure Firewall pro povolení přístupu k ID Microsoft Entra, jak je to možné.
Pokud jste ho zaregistrovali před 1. květnem 2020, musíte u předplatného znovu zaregistrovat poskytovatele prostředků služby Recovery Services. Pokud chcete poskytovatele znovu zaregistrovat, přejděte na webu Azure Portal do svého předplatného, v nabídce vlevo přejděte k poskytovateli prostředků a pak vyberte Microsoft.RecoveryServices>Znovu zaregistrovat.
Obnovení mezi oblastmi pro zálohování databází SQL Serveru a SAP HANA není podporováno, pokud má úložiště povoleny privátní koncové body.
Když přesunete trezor služby Recovery Services, který už používá privátní koncové body do nového tenanta, budete muset aktualizovat trezor služby Recovery Services, aby se znovu vytvořila a znovu nakonfiguruje spravovaná identita trezoru. Podle potřeby vytvořte privátní koncové body v novém tenantovi. Pokud tyto úlohy neuděláte, operace zálohování a obnovení začnou selhávat. Je také potřeba překonfigurovat všechna oprávnění řízení přístupu na základě role v Azure (Azure RBAC) v rámci předplatného.
Doporučené a podporované scénáře
I když jsou pro trezor povolené privátní koncové body, používají se k zálohování a obnovení úloh SQL Serveru a SAP HANA ve virtuálních počítačích Azure, k zálohování pomocí agenta MARS a pomocí System Center Data Protection Manager (DPM). Úložiště můžete také použít pro zálohování jiných úloh, i když nevyžadují soukromé koncové body. Kromě záloh úloh SQL Serveru a SAP HANA a záloh prostřednictvím agenta MARS se privátní koncové body používají k obnovení souborů pro zálohy virtuálních počítačů Azure.
Následující tabulka poskytuje více informací:
| Scenario | Doporučení |
|---|---|
| Zálohování úloh na virtuálním počítači Azure (SQL Server, SAP HANA), zálohování prostřednictvím agenta MARS, serveru DPM | Doporučujeme používat privátní koncové body, abyste mohli zálohovat a obnovovat bez nutnosti přidávat do seznamu povolených jakékoli IP adresy nebo plně kvalifikované názvy domén pro služby Azure Backup nebo Azure Storage z vašich virtuálních sítí. V tomto scénáři se ujistěte, že virtuální počítače, které hostují databáze SQL, mají přístup k IP adresám nebo plně kvalifikovaným názvům domén Microsoft Entra. |
| Zálohování virtuálních počítačů Azure | Záloha virtuálního počítače nevyžaduje povolení přístupu k žádným IP adresám nebo FQDN. Proto nevyžaduje privátní koncové body pro zálohování a obnovení disků. Obnovení souborů z trezoru, který obsahuje privátní koncové body, by však bylo omezeno na virtuální sítě, které obsahují privátní koncový bod trezoru. Pokud používáte nespravované disky v seznamu řízení přístupu (ACL), ujistěte se, že účet úložiště obsahující disky umožňuje přístup k důvěryhodným službám Microsoftu, pokud je v seznamu ACL. |
| Azure Files zálohování | Záloha služby Azure Files je uložená v místním účtu úložiště. Proto nevyžaduje privátní koncové body pro zálohování a obnovení. |
| Změna virtuální sítě pro privátní koncový bod v trezoru a virtuálním počítači | Zastavte ochranu zálohování a nakonfigurujte ochranu zálohování v novém trezoru s povolenými privátními koncovými body. |
Poznámka:
Privátní koncové body jsou podporovány pouze s DPM 2022, Microsoft Azure Backup Serverem (MABS) v4 a novějším.
Nepodporovaný scénář
V případě operací zálohování a obnovení není privátní trezor služby Recovery Services s podporou privátního koncového bodu kompatibilní s trezorem klíčů Azure s podporou privátního koncového bodu pro ukládání klíčů CMK do trezoru služby Recovery Services.
Rozdíl v síťových připojeních pro privátní koncové body
Jak už bylo zmíněno dříve, privátní koncové body jsou zvláště užitečné pro zálohování úloh (SQL Server a SAP HANA) na virtuálních počítačích Azure a zálohování agentů MARS.
Ve všech scénářích (s privátními koncovými body nebo bez těchto privátních koncových bodů) se rozšíření úloh (pro zálohování instancí SQL Serveru i SAP HANA spuštěných uvnitř virtuálních počítačů Azure) a agent MARS připojují k Microsoft Entra ID. Provádějí volání na plně kvalifikované názvy domén uvedené v částech 56 a 59 v Microsoftu 365 Common a Office Online.
Kromě těchto připojení se při instalaci rozšíření úloh nebo agenta MARS pro trezor služby Recovery Services bez privátních koncových bodů vyžaduje připojení k následujícím doménám:
| Služba | Názvy domén | Přístav |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Povolte přístup k plně kvalifikovaným názvům domén v částech 56 a 59. |
443 Podle potřeby |
Při instalaci rozšíření úloh nebo agenta MARS pro trezor služby Recovery Services s privátním koncovým bodem jsou zahrnuté následující koncové body:
| Služba | Názvy domén | Přístav |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Povolte přístup k plně kvalifikovaným názvům domén v částech 56 a 59. |
443 Podle potřeby |
Poznámka:
V předchozím textu <geo> odkazuje na kód oblasti (například eus usa – východ a ne severní Evropa). Další informace o kódech oblastí najdete v následujícím seznamu:
Chcete-li automaticky aktualizovat agenta MARS, povolte přístup k download.microsoft.com/download/MARSagent/*.
V případě trezoru služby Recovery Services s nastavením privátního koncového bodu by překládání FQDN (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) mělo vrátit privátní IP adresu. Toho dosáhnete pomocí:
- Zóny služby Azure Private DNS.
- Vlastní DNS.
- Položky DNS v souborech hostitelů
- Podmíněné předávací servery do Azure DNS nebo Azure Privátní DNS zóny.
Privátní koncové body pro objekty blob a fronty se řídí standardním vzorem pojmenování. Začínají <name of the private endpoint>_ecs nebo <name of the private endpoint>_prota mají příponu _blob a _queue (v uvedeném pořadí).
Poznámka:
Doporučujeme používat zóny Azure Private DNS. Umožňují spravovat záznamy DNS pro objekty blob a fronty pomocí služby Azure Backup. Spravovaná identita přiřazená k trezoru se používá k automatizaci přidávání záznamů DNS při každém přidělení nového účtu úložiště pro zálohovaná data.
Pokud jste proxy server DNS nakonfigurovali pomocí proxy serverů třetích stran nebo firewallů, musí být předchozí názvy domén povoleny a přesměrovány na jednu z těchto možností:
- Vlastní DNS obsahující záznamy DNS pro výše uvedené plně kvalifikované názvy domén
- 168.63.129.16 ve virtuální síti Azure, která má propojené privátní zóny DNS
Následující příklad ukazuje službu Azure Firewall, která se používá jako proxy DNS k přesměrování dotazů na název domény pro trezor služby Recovery Services, objekt blob, fronty a ID Microsoft Entra na 168.63.129.16.
Další informace najdete v tématu Vytváření a používání privátních koncových bodů.
Nastavení připojení k síti pro trezor s privátními koncovými body
Privátní koncový bod pro Recovery Services je přidružený k síťovému rozhraní (NIC). Aby připojení privátních koncových bodů fungovala, musí se veškerý provoz služby Azure přesměrovat do síťového rozhraní. Tohoto přesměrování můžete dosáhnout přidáním mapování DNS pro soukromé IP adresy, které jsou spojeny se síťovým rozhraním, ve vztahu ke službě, objektu blob nebo adrese URL fronty.
Když se rozšíření zálohování úloh nainstalují na virtuální počítač zaregistrovaný v trezoru služby Recovery Services s privátním koncovým bodem, rozšíření se pokusí připojit k privátní adrese URL služeb Azure Backup: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com Pokud privátní adresa URL nefunguje, rozšíření se pokusí veřejnou adresu URL: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Poznámka:
V předchozím textu <geo> odkazuje na kód oblasti (například eus usa – východ a ne severní Evropa). Další informace o kódech oblastí najdete v následujícím seznamu:
Tyto soukromé adresy URL jsou specifické pro úložiště. Přes tyto koncové body mohou komunikovat pouze rozšíření a agenti, kteří jsou zaregistrovaní v úložišti záloh. Pokud je přístup k veřejné síti pro trezor služby Recovery Services nakonfigurovaný jako Odepřít, toto nastavení omezuje klienty, kteří ve virtuální síti neběží, od žádostí o operace zálohování a obnovení v trezoru.
Doporučujeme nastavit přístup k veřejné síti na Odepřít spolu s nastavením privátního koncového bodu. Vzhledem k tomu, že se rozšíření a agent pokusí použít privátní adresu URL, *.privatelink.<geo>.backup.windowsazure.com měl by překlad DNS adresy URL vrátit odpovídající privátní IP adresu přidruženou k privátnímu koncovému bodu.
Řešení překladu DNS jsou:
- Zóny soukromé DNS Azure
- Vlastní DNS
- Položky DNS v souborech hostitelů
- Podmíněné předávací služby do Azure DNS nebo privátních zón DNS Azure
Když vytvoříte privátní koncový bod pro Recovery Services prostřednictvím webu Azure Portal s možností Integrace s privátní zónou DNS , vytvoří se požadované položky DNS pro privátní IP adresy pro služby Azure Backup (*.privatelink.<geo>backup.windowsazure.com) automaticky při každém přidělení prostředku. V jiných řešeních je potřeba vytvořit záznamy DNS pro tyto plně kvalifikované názvy domén ručně ve vlastním DNS nebo v souborech hostitelů.
Ruční správa záznamů DNS pro objekty blob a fronty po zjištění virtuálního počítače pro komunikační kanál najdete v záznamech DNS pro objekty blob a fronty (pouze pro vlastní servery DNS nebo soubory hostitelů) po první registraci. Ruční správa záznamů DNS po prvním zálohování objektů blob účtu úložiště záloh najdete v záznamech DNS pro objekty blob (pouze pro vlastní servery DNS nebo hostitelské soubory) po první záloze.
V podokně privátního koncového bodu, který jste vytvořili pro úložiště Recovery Services, najdete privátní IP adresy pro FQDN.
Následující diagram ukazuje, jak funguje řešení privátních FQDN služeb pomocí privátní zóny DNS.
Rozšíření úloh spuštěné na virtuálním počítači Azure vyžaduje připojení k alespoň dvěma účtům úložiště. První se používá jako komunikační kanál prostřednictvím fronty zpráv. Druhým je ukládání zálohovach dat. Agent MARS vyžaduje přístup k jednomu účtu úložiště používanému k ukládání zálohovach dat.
Pro trezor s aktivovaným privátním koncovým bodem vytvoří služba Azure Backup privátní koncový bod pro tyto účty úložiště. Tato akce brání tomu, aby veškerý síťový provoz související se službou Azure Backup (provoz řídicí roviny ke službě a zálohovaná data do úložného objektu blob) opustil virtuální síť. Kromě cloudových služeb Azure Backup vyžadují rozšíření úloh a agent připojení k účtům Azure Storage a ID Microsoft Entra.
Předpokladem je, že trezor služby Recovery Services vyžaduje oprávnění k vytváření dalších privátních koncových bodů ve stejné skupině prostředků. Doporučujeme také poskytnout úložišti Recovery Services oprávnění k vytváření záznamů DNS v privátních zónách DNS (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Trezor služby Recovery Services vyhledá privátní zóny DNS ve skupinách prostředků, ve kterých se vytvoří virtuální síť a privátní koncový bod. Pokud má oprávnění k přidání položek DNS do těchto zón, vytvoří tyto položky. Jinak je musíte vytvořit ručně.
Poznámka:
Integrace s privátními zónami DNS v různých předplatných není v tomto prostředí podporována.
Následující diagram ukazuje, jak funguje překlad názvů pro účty úložiště, které používají privátní zónu DNS.
