Vytvoření a použití privátních koncových bodů pro Azure Backup

Tento článek obsahuje informace o procesu vytváření privátních koncových bodů pro Azure Backup a scénářích, ve kterých privátní koncové body pomáhají udržovat zabezpečení vašich prostředků.

Než začnete

Než budete pokračovat k vytváření privátních koncových bodů, ujistěte se, že jste si přečetli požadavky a podporované scénáře .

Tyto podrobnosti vám pomůžou pochopit omezení a podmínky, které je potřeba splnit před vytvořením privátních koncových bodů pro vaše trezory.

Začínáme s vytvářením privátních koncových bodů pro službu Backup

Následující části popisují kroky při vytváření a používání privátních koncových bodů pro Azure Backup ve vašich virtuálních sítích.

Důležité

Důrazně doporučujeme postupovat podle kroků ve stejném pořadí, jak je uvedeno v tomto dokumentu. Pokud to neuděláte, může se trezor vykreslovat jako nekompatibilní pro použití privátních koncových bodů a vyžadovat restartování procesu s novým trezorem.

Vytvoření trezoru Služeb zotavení

Privátní koncové body pro službu Backup je možné vytvořit pouze pro trezory služby Recovery Services, které nemají chráněné žádné položky (nebo se v minulosti žádné položky nepokoušely o ochranu nebo registraci). Proto doporučujeme vytvořit nový trezor, se kterým začnete. Další informace o vytvoření nového trezoru najdete v tématu Vytvoření a konfigurace trezoru služby Recovery Services.

V této části se dozvíte, jak vytvořit trezor pomocí klienta Azure Resource Manager. Tím se vytvoří trezor s již povolenou spravovanou identitou.

Odepření přístupu k trezoru z veřejné sítě

Trezory můžete nakonfigurovat tak, aby odepřely přístup z veřejných sítí.

Postupujte takto:

  1. Přejděte do části Sítě trezoru>.

  2. Na kartě Veřejný přístup vyberte Odepřít , aby se zabránilo přístupu z veřejných sítí.

    Snímek obrazovky znázorňující, jak vybrat možnost Odepřít

    Poznámka

    Jakmile přístup odepřete, budete mít stále přístup k trezoru, ale nemůžete přesouvat data do ani z sítí, které neobsahují privátní koncové body. Další informace najdete v tématu Vytvoření privátních koncových bodů pro Azure Backup.

  3. Výběrem možnosti Použít změny uložte.

Povolení spravované identity pro trezor

Spravované identity umožňují trezoru vytvářet a používat privátní koncové body. Tato část popisuje povolení spravované identity pro váš trezor.

  1. Přejděte do trezoru služby Recovery Services –>Identita.

    Změna stavu identity na Zapnuto

  2. Změňte Stav na Zapnuto a vyberte Uložit.

  3. Vygeneruje se ID objektu , což je spravovaná identita trezoru.

    Poznámka

    Po povolení nesmí být spravovaná identita zakázaná (ani dočasně). Zakázání spravované identity může vést k nekonzistentnímu chování.

Udělení oprávnění trezoru k vytvoření požadovaných privátních koncových bodů

Pokud chcete vytvořit požadované privátní koncové body pro Azure Backup, trezor (spravovaná identita trezoru) musí mít oprávnění k následujícím skupinám prostředků:

  • Skupina prostředků obsahující cílovou virtuální síť
  • Skupina prostředků, ve které se mají vytvořit privátní koncové body
  • Skupina prostředků obsahující Privátní DNS zón, jak je podrobně popsáno tady.

Doporučujeme udělit trezoru (spravované identitě) roli Přispěvatel pro tyto tři skupiny prostředků. Následující postup popisuje, jak to udělat pro konkrétní skupinu prostředků (to je potřeba udělat pro každou ze tří skupin prostředků):

  1. Přejděte do skupiny prostředků a na levém panelu přejděte na Access Control (IAM).

  2. V Access Control přejděte na Přidání přiřazení role.

    Přidat přiřazení role

  3. V podokně Přidat přiřazení role zvolte Roli přispěvatele a jako objekt zabezpečení použijte Název trezoru. Vyberte trezor a po dokončení vyberte Uložit .

    Volba role a objektu zabezpečení

Pokud chcete spravovat oprávnění na podrobnější úrovni, přečtěte si téma Ruční vytváření rolí a oprávnění.

Vytvoření privátních koncových bodů pro Azure Backup

Tato část vysvětluje, jak vytvořit privátní koncový bod pro váš trezor.

  1. Přejděte do trezoru vytvořeného výše a na levém navigačním panelu přejděte na Připojení privátních koncových bodů . V horní části vyberte +Privátní koncový bod a začněte pro tento trezor vytvářet nový privátní koncový bod.

    Vytvoření nového privátního koncového bodu

  2. V procesu vytvoření privátního koncového bodu budete muset zadat podrobnosti pro vytvoření připojení privátního koncového bodu.

    1. Základy: Vyplňte základní podrobnosti o privátních koncových bodech. Oblast by měla být stejná jako trezor a zálohovaný prostředek.

      Vyplnění základních podrobností

    2. Prostředek: Tato karta vyžaduje, abyste vybrali prostředek PaaS, pro který chcete vytvořit připojení. Vyberte Microsoft. RecoveryServices/trezory z typu prostředku pro požadované předplatné. Po dokončení zvolte název trezoru služby Recovery Services jako Prostředek a Jako dílčí prostředek Cílzvolte AzureBackup.

      Vyberte prostředek pro vaše připojení.

    3. Konfigurace: V konfiguraci zadejte virtuální síť a podsíť, ve které se má privátní koncový bod vytvořit. Bude to virtuální síť, ve které se virtuální počítač nachází.

      Pokud se chcete připojit soukromě, potřebujete požadované záznamy DNS. V závislosti na nastavení sítě můžete zvolit jednu z následujících možností:

      • Integrace privátního koncového bodu se zónou privátního DNS: Pokud chcete provést integraci, vyberte Ano .
      • Použít vlastní server DNS: Pokud chcete použít vlastní server DNS, vyberte Ne .

      Správa záznamů DNS pro oba tyto záznamy je popsána dále.

      Určení virtuální sítě a podsítě

    4. Volitelně můžete přidat značky pro privátní koncový bod.

    5. Po zadání podrobností pokračujte v části Zkontrolovat a vytvořit . Po dokončení ověření vyberte Vytvořit a vytvořte privátní koncový bod.

Schválení privátních koncových bodů

Pokud je uživatel, který vytváří privátní koncový bod, zároveň vlastníkem trezoru služby Recovery Services, bude privátní koncový bod vytvořený výše automaticky schválen. Jinak musí vlastník trezoru schválit privátní koncový bod, aby ho mohl použít. Tato část popisuje ruční schvalování privátních koncových bodů prostřednictvím Azure Portal.

Informace o použití klienta Azure Resource Manager ke schvalování privátních koncových bodů najdete v tématu Ruční schvalování privátních koncových bodů pomocí klienta Azure Resource Manager.

  1. V trezoru služby Recovery Services přejděte na levém panelu na Připojení privátních koncových bodů .

  2. Vyberte připojení privátního koncového bodu, které chcete schválit.

  3. Na horním panelu vyberte Schválit . Pokud chcete připojení koncového bodu odmítnout nebo odstranit, můžete také vybrat Odmítnout nebo Odebrat .

    Schválení privátních koncových bodů

Správa záznamů DNS

Jak je popsáno výše, potřebujete požadované záznamy DNS v zónách nebo serverech privátního DNS, abyste se mohli připojit soukromě. Privátní koncový bod můžete buď integrovat přímo se zónami privátního DNS Azure, nebo k tomu použít vlastní servery DNS, a to na základě vašich síťových předvoleb. To bude potřeba provést pro všechny tři služby: Zálohování, objekty blob a fronty.

Kromě toho platí, že pokud se vaše zóna nebo server DNS nachází v předplatném, které se liší od předplatného obsahujícího privátní koncový bod, přečtěte si také téma Vytvoření záznamů DNS, když se server DNS nebo zóna DNS nachází v jiném předplatném.

Při integraci privátních koncových bodů s privátními zónami DNS Azure

Pokud se rozhodnete integrovat privátní koncový bod se zónami privátního DNS, služba Backup přidá požadované záznamy DNS. Používané privátní zóny DNS můžete zobrazit v části Konfigurace DNS privátního koncového bodu. Pokud tyto zóny DNS nejsou k dispozici, vytvoří se automaticky při vytváření privátního koncového bodu. Musíte ale ověřit, že vaše virtuální síť (která obsahuje prostředky, které se mají zálohovat) je správně propojená se všemi třemi privátními zónami DNS, jak je popsáno níže.

Konfigurace DNS v privátní zóně DNS Azure

Poznámka

Pokud používáte proxy servery, můžete proxy server obejít nebo provést zálohování prostřednictvím proxy serveru. Pokud chcete obejít proxy server, pokračujte následujícími částmi. Pokud chcete k zálohování použít proxy server, projděte si podrobnosti o nastavení proxy serveru pro trezor služby Recovery Services.

Pro každou privátní zónu DNS uvedenou výše (pro zálohování, objekty blob a fronty) postupujte takto:

  1. Na levém navigačním panelu přejděte na příslušnou možnost propojení virtuálních sítí .

  2. Měla by se zobrazit položka pro virtuální síť, pro kterou jste vytvořili privátní koncový bod, jak je znázorněno níže:

    Virtuální síť pro privátní koncový bod

  3. Pokud položku nevidíte, přidejte propojení virtuální sítě ke všem zónám DNS, které je nemají.

    Přidat propojení virtuální sítě

Při použití vlastního serveru DNS nebo souborů hostitele

Pokud používáte vlastní servery DNS, budete muset vytvořit požadované zóny DNS a přidat záznamy DNS vyžadované privátními koncovými body na servery DNS. Pro objekty blob a fronty můžete také použít moduly pro podmíněné předávání.

Pro službu Backup

  1. Na serveru DNS vytvořte zónu DNS pro zálohování podle následujících zásad vytváření názvů:

    Zóna Služba
    privatelink.<geo>.backup.windowsazure.com Backup

    Poznámka

    Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a severní Evropu). Kódy oblastí najdete v následujících seznamech:

  2. Dále musíme přidat požadované záznamy DNS. Pokud chcete zobrazit záznamy, které je potřeba přidat do zóny DNS zálohování, přejděte na privátní koncový bod, který jste vytvořili výše, a na levém navigačním panelu přejděte na možnost konfigurace DNS .

    Konfigurace DNS pro vlastní server DNS

  3. Přidejte jednu položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy typu A ve vaší zóně DNS pro zálohování. Pokud k překladu názvů používáte soubor hostitele, vytvořte v souboru hostitele odpovídající záznamy pro každou IP adresu a plně kvalifikovaný název domény v následujícím formátu:

    <private ip><space><backup service privatelink FQDN>

Poznámka

Jak je znázorněno na snímku obrazovky výše, plně kvalifikované názvy domén znázorňují xxxxxxxx.<geo>.backup.windowsazure.com a nikoli xxxxxxxx.privatelink.<geo>.backup.windowsazure.com. V takových případech nezapomeňte zahrnout (a v případě potřeby přidat) .privatelink. podle zadaného formátu.

Pro služby Blob a Queue Services

Pro objekty blob a fronty můžete použít moduly pro podmíněné předávání nebo vytvořit zóny DNS na serveru DNS.

Pokud používáte podmíněné služby pro předávání

Pokud používáte podmíněné služby pro předávání, přidejte moduly pro předávání pro plně kvalifikované názvy domén objektů blob a front následujícím způsobem:

FQDN IP adresa
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Pokud používáte privátní zóny DNS

Pokud pro objekty blob a fronty používáte zóny DNS, musíte nejprve tyto zóny DNS vytvořit a později přidat požadované záznamy A.

Zóna Služba
privatelink.blob.core.windows.net Objekt blob
privatelink.queue.core.windows.net Fronta

V tuto chvíli vytvoříme zóny pro objekty blob a fronty pouze při použití vlastních serverů DNS. Přidání záznamů DNS se provede později ve dvou krocích:

  1. Při registraci první instance zálohování, tedy při první konfiguraci zálohování
  2. Při spuštění prvního zálohování

Tyto kroky provedeme v následujících částech.

Použití privátních koncových bodů pro zálohování

Jakmile jsou privátní koncové body vytvořené pro trezor ve vaší virtuální síti schválené, můžete je začít používat k zálohování a obnovení.

Důležité

Než budete pokračovat, ujistěte se, že jste úspěšně dokončili všechny kroky uvedené výše v dokumentu. Pokud si to chcete zrekapitulovat, musíte mít dokončené kroky v následujícím kontrolním seznamu:

  1. Vytvoření (nového) trezoru služby Recovery Services
  2. Povolení použití spravované identity přiřazené systémem v trezoru
  3. Přiřazení příslušných oprávnění ke spravované identitě trezoru
  4. Vytvoření privátního koncového bodu pro váš trezor
  5. Schválení privátního koncového bodu (pokud není schváleno automaticky)
  6. Ujistili jste se, že jsou správně přidané všechny záznamy DNS (s výjimkou záznamů objektů blob a front pro vlastní servery, které budou popsány v následujících částech).

Kontrola připojení virtuálního počítače

Na virtuálním počítači v uzamčené síti se ujistěte, že platí následující:

  1. Virtuální počítač by měl mít přístup k Azure AD.
  2. Abyste zajistili připojení, spusťte příkaz nslookup na adrese URL zálohy (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z vašeho virtuálního počítače. Měla by vrátit privátní IP adresu přiřazenou ve vaší virtuální síti.

Konfigurace zálohování

Jakmile zajistíte úspěšné dokončení výše uvedeného kontrolního seznamu a přístupu, můžete pokračovat v konfiguraci zálohování úloh do trezoru. Pokud používáte vlastní server DNS, budete muset přidat položky DNS pro objekty blob a fronty, které jsou k dispozici po konfiguraci první zálohy.

Záznamy DNS pro objekty blob a fronty (pouze pro vlastní servery DNS nebo soubory hostitelů) po první registraci

Po nakonfigurování zálohování alespoň jednoho prostředku v trezoru s povoleným privátním koncovým bodem přidejte požadované záznamy DNS pro objekty blob a fronty, jak je popsáno níže.

  1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

  2. Kromě vámi zadaného názvu privátního koncového bodu uvidíte vytváření dalších dvou privátních koncových bodů. Začínají na <the name of the private endpoint>_ecs a mají příponu _blob a _queue v uvedeném pořadí.

    Prostředky privátního koncového bodu

  3. Přejděte na každý z těchto privátních koncových bodů. V možnosti konfigurace DNS pro každý ze dvou privátních koncových bodů uvidíte záznam s plně kvalifikovaným názvem domény a IP adresou. Oba tyto možnosti přidejte k vlastnímu serveru DNS kromě výše popsaných serverů. Pokud používáte soubor hostitele, vytvořte odpovídající položky v souboru hostitele pro každou IP adresu nebo plně kvalifikovaný název domény v následujícím formátu:

    <private ip><space><blob service privatelink FQDN> <private ip><space><queue service privatelink FQDN>

    Konfigurace DNS objektu blob

Kromě výše uvedeného je po první záloze potřeba ještě další položka, kterou si probereme později.

Zálohování a obnovení úloh na virtuálním počítači Azure (SQL a SAP HANA)

Po vytvoření a schválení privátního koncového bodu se pro použití privátního koncového bodu na straně klienta nevyžadují žádné další změny (pokud nepoužíváte skupiny dostupnosti SQL, které probereme dále v této části). Veškerá komunikace a přenos dat ze zabezpečené sítě do trezoru se bude provádět prostřednictvím privátního koncového bodu. Pokud ale odeberete privátní koncové body trezoru po registraci serveru (SQL nebo SAP HANA), budete muset znovu zaregistrovat kontejner v trezoru. Nemusíte u nich zastavovat ochranu.

Záznamy DNS pro objekty blob (pouze pro vlastní servery DNS nebo soubory hostitelů) po prvním zálohování

Po spuštění prvního zálohování a použití vlastního serveru DNS (bez podmíněného předávání) je pravděpodobné, že zálohování selže. Pokud k tomu dojde:

  1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

  2. Kromě tří privátních koncových bodů popsaných dříve uvidíte čtvrtý privátní koncový bod s názvem začínajícím <the name of the private endpoint>_prot na a příponou _blob.

    Privátní endpoing s příponou

  3. Přejděte na tento nový privátní koncový bod. V možnosti konfigurace DNS uvidíte záznam s plně kvalifikovaným názvem domény a IP adresou. Kromě výše popsaných položek je přidejte na svůj privátní server DNS.

    Pokud používáte soubor hostitele, vytvořte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény v následujícím formátu:

    <private ip><space><blob service privatelink FQDN>

Poznámka

V tuto chvíli byste měli být schopni spustit příkaz nslookup z virtuálního počítače a provést překlad na privátní IP adresy v adresách URL zálohování a úložiště trezoru.

Při použití skupin dostupnosti SQL

Pokud používáte skupiny dostupnosti SQL, budete muset zřídit podmíněné předávání ve vlastním DNS skupiny dostupnosti, jak je popsáno níže:

  1. Přihlaste se ke svému řadiči domény.

  2. V aplikaci DNS přidejte k IP adrese hostitele 168.63.129.16 nebo vlastní IP adresu serveru DNS podmíněné předávání pro všechny tři zóny DNS (zálohování, objekty blob a fronty). Následující snímky obrazovky se zobrazují při přeposílání na IP adresu hostitele Azure. Pokud používáte vlastní server DNS, nahraďte ip adresou vašeho serveru DNS.

    Podmíněné servery pro předávání ve Správci DNS

    Nový podmíněný modul pro předávání

Zálohování a obnovení prostřednictvím agenta MARS a serveru DPM

Poznámka

  • Privátní koncové body jsou podporovány pouze se serverem DPM 2022 a novějším.
  • Privátní koncové body se zatím v MABS nepodporují.

Pokud k zálohování místních prostředků používáte agenta MARS, ujistěte se, že je vaše místní síť (obsahující vaše prostředky, které se mají zálohovat) v partnerském vztahu s virtuální sítí Azure, která obsahuje privátní koncový bod trezoru, abyste ji mohli použít. Pak můžete pokračovat v instalaci agenta MARS a nakonfigurovat zálohování, jak je podrobně popsáno tady. Musíte ale zajistit, aby veškerá komunikace pro zálohování všechna probíhá pouze prostřednictvím partnerské sítě.

Pokud ale odeberete privátní koncové body trezoru po registraci agenta MARS, budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte jim zastavovat ochranu.

Odstraňování privátních koncových bodů

V této části se dozvíte, jak odstranit privátní koncové body.

Další témata

Vytvoření trezoru služby Recovery Services pomocí klienta Azure Resource Manager

Pomocí klienta Azure Resource Manager můžete vytvořit trezor služby Recovery Services a povolit jeho spravovanou identitu (povolení spravované identity se vyžaduje, jak uvidíme později). Ukázka, jak to udělat, je sdílená níže:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Výše uvedený soubor JSON by měl mít následující obsah:

Žádost o JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Json odpovědi:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Poznámka

Trezor vytvořený v tomto příkladu prostřednictvím klienta Azure Resource Manager je už vytvořený se spravovanou identitou přiřazenou systémem.

Správa oprávnění ve skupinách prostředků

Spravovaná identita trezoru musí mít následující oprávnění ve skupině prostředků a virtuální síti, kde se budou privátní koncové body vytvářet:

  • Microsoft.Network/privateEndpoints/* To se vyžaduje k provedení CRUD na privátních koncových bodech ve skupině prostředků. Měl by být přiřazený ke skupině prostředků.
  • Microsoft.Network/virtualNetworks/subnets/join/action To se vyžaduje ve virtuální síti, kde se privátní IP adresa připojuje k privátnímu koncovému bodu.
  • Microsoft.Network/networkInterfaces/read To se vyžaduje ve skupině prostředků k získání síťového rozhraní vytvořeného pro privátní koncový bod.
  • Privátní DNS role Přispěvatel zóny Tato role již existuje a dá se použít k poskytování Microsoft.Network/privateDnsZones/A/* a Microsoft.Network/privateDnsZones/virtualNetworkLinks/read oprávněním.

K vytvoření rolí s požadovanými oprávněními můžete použít jednu z následujících metod:

Ruční vytváření rolí a oprávnění

Vytvořte následující soubory JSON a pomocí příkazu PowerShellu na konci oddílu vytvořte role:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Použití skriptu

  1. Spusťte Cloud Shell v Azure Portal a v okně PowerShellu vyberte Nahrát soubor.

    Výběr možnosti Nahrát soubor v okně PowerShellu

  2. Nahrajte následující skript: VaultMsiPrereqScript

  3. Přejděte do domovské složky (například: cd /home/user)

  4. Spusťte tento skript:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Jedná se o parametry:

    • subscription: **SubscriptionId obsahující skupinu prostředků, ve které se má vytvořit privátní koncový bod trezoru, a podsíť, ke které se připojí privátní koncový bod trezoru.

    • vaultPEResourceGroup: Skupina prostředků, ve které se vytvoří privátní koncový bod trezoru.

    • vaultPESubnetResourceGroup: Skupina prostředků podsítě, ke které se připojí privátní koncový bod.

    • vaultMsiName: Název MSI trezoru, který je stejný jako Název trezoru

  5. Dokončete ověřování a skript převezme kontext daného předplatného uvedeného výše. Vytvoří příslušné role, pokud v tenantovi chybí, a přiřadí role k MSI trezoru.

Vytváření privátních koncových bodů pomocí Azure PowerShell

Automaticky schválené privátní koncové body

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ruční schvalování privátních koncových bodů pomocí klienta Azure Resource Manager

  1. K získání ID připojení privátního koncového bodu pro privátní koncový bod použijte GetVault .

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Tím se vrátí ID připojení privátního koncového bodu. Název připojení lze načíst pomocí první části ID připojení následujícím způsobem:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Získejte z odpovědi ID připojení privátního koncového bodu (a v případě potřeby název privátního koncového bodu), nahraďte ho v následujícím identifikátoru URI JSON a Azure Resource Manager a zkuste změnit stav na Schváleno/Odmítnuto/Odpojeno, jak je znázorněno v následující ukázce:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Nastavení proxy serveru pro trezor služby Recovery Services s privátním koncovým bodem

Pokud chcete nakonfigurovat proxy server pro virtuální počítač Azure nebo místní počítač, postupujte takto:

  1. Přidejte následující domény, ke kterým je potřeba přistupovat z proxy serveru.

    Služba Názvy domén Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net 443
    Azure Active Directory Aktualizované adresy URL domén uvedené v oddílech 56 a 59 v Microsoft 365 Common a Office Online. *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net Podle potřeby.
  2. Povolte přístup k těmto doménám na proxy serveru a propojte privátní zónu DNS ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) s virtuální sítí, ve které je vytvořený proxy server, nebo používá vlastní server DNS s příslušnými položkami DNS. Virtuální síť, ve které běží proxy server, a virtuální síť, ve které se vytvoří síťová karta privátního koncového bodu, by měly být v partnerském vztahu, což proxy serveru umožní přesměrovat požadavky na privátní IP adresu.

    Poznámka

    Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a severní Evropa). Kódy oblastí najdete v následujících seznamech:

Následující diagram znázorňuje nastavení (při používání zón Azure Privátní DNS) s proxy serverem, jehož virtuální síť je propojená s privátní zónou DNS s požadovanými položkami DNS. Proxy server může mít také vlastní server DNS a výše uvedené domény lze podmíněně předávat na adresu 168.63.129.16. Pokud k překladu DNS používáte vlastní server DNS nebo soubor hostitele, projděte si část věnovanou správě záznamů DNS a konfiguraci ochrany.

Diagram znázorňující nastavení s proxy serverem

Vytvoření záznamů DNS, pokud je server DNS nebo zóna DNS v jiném předplatném

V této části probereme případy, kdy používáte zónu DNS, která je v předplatném, nebo skupinu prostředků, která se liší od té, která obsahuje privátní koncový bod pro trezor služby Recovery Services, například hvězdicovou topologii. Vzhledem k tomu, že spravovaná identita používaná k vytváření privátních koncových bodů (a položek DNS) má oprávnění jenom ve skupině prostředků, ve které se vytvářejí privátní koncové body, jsou navíc potřeba požadované položky DNS. K vytvoření položek DNS použijte následující skripty PowerShellu.

Poznámka

Pokud chcete dosáhnout požadovaných výsledků, projděte si celý proces popsaný níže. Proces se musí opakovat dvakrát – jednou během prvního zjišťování (k vytvoření záznamů DNS požadovaných pro účty úložiště komunikace) a pak jednou během prvního zálohování (k vytvoření záznamů DNS požadovaných pro účty back-endového úložiště).

Krok 1: Získání požadovaných položek DNS

Pomocí skriptuPrivateIP.ps1 zobrazíte seznam všech položek DNS, které je potřeba vytvořit.

Poznámka

Následující subscription syntaxe odkazuje na předplatné, ve kterém se má vytvořit privátní koncový bod trezoru.

Syntaxe pro použití skriptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Ukázkový výstup

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2: Vytvoření záznamů DNS

Vytvořte záznamy DNS odpovídající výše uvedeným položkám. V závislosti na typu DNS, který používáte, máte dvě alternativy pro vytváření záznamů DNS.

Případ 1: Pokud používáte vlastní server DNS, musíte ručně vytvořit záznamy pro každý záznam z výše uvedeného skriptu a ověřit, že se plně kvalifikovaný název domény (ResourceName.DNS) přeloží na privátní IP adresu ve virtuální síti.

Případ 2: Pokud používáte zónu Azure Privátní DNS, můžete pomocí skriptuCreateDNSEntries.ps1 automaticky vytvořit položky DNS v zóně Privátní DNS. V následující syntaxi je tosubscription, kde existuje Privátní DNS Zóna.

Syntaxe pro použití skriptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Shrnutí celého procesu

Pokud chcete správně nastavit privátní koncový bod pro rsV prostřednictvím tohoto alternativního řešení, musíte:

  1. Vytvořte privátní koncový bod pro trezor (jak je popsáno výše v článku).
  2. Aktivujte zjišťování. Zjišťování pro SQL/HANA selže s chybou UserErrorVMInternetConnectivityIssue , protože pro účet úložiště komunikace chybí položky DNS.
  3. Spuštěním skriptů získejte záznamy DNS a vytvořte odpovídající položky DNS pro účet úložiště komunikace, který je uvedený výše v této části.
  4. Znovu aktivujte zjišťování. Tentokrát by zjišťování mělo proběhnout úspěšně.
  5. Aktivujte zálohování. Zálohování pro SQL/HANA a MARS může selhat, protože pro back-endové účty úložiště chybí záznamy DNS, jak je uvedeno výše v této části.
  6. Spuštěním skriptů vytvořte položky DNS pro účet back-endového úložiště.
  7. Znovu aktivujte zálohování. Tentokrát by zálohování mělo proběhnout úspěšně.

Nejčastější dotazy

Můžu vytvořit privátní koncový bod pro existující trezor služby Backup?

Ne, privátní koncové body je možné vytvářet jenom pro nové trezory služby Backup. Trezor tedy nikdy neměl chráněné žádné položky. Ve skutečnosti není možné před vytvořením privátních koncových bodů provádět žádné pokusy o ochranu položek trezoru.

Pokusil(a) jsem se chránit položku v trezoru, ale nepovedlo se to a trezor stále neobsahuje žádné chráněné položky. Můžu pro tento trezor vytvořit privátní koncové body?

Ne, trezor se v minulosti nesmí pokoušet chránit žádné položky.

Mám trezor, který pro zálohování a obnovení používá privátní koncové body. Můžu později přidat nebo odebrat privátní koncové body pro tento trezor, i když k němu mám chráněné zálohované položky?

Ano. Pokud jste už vytvořili privátní koncové body pro trezor a chráněné zálohované položky, můžete později přidat nebo odebrat privátní koncové body podle potřeby.

Je možné privátní koncový bod pro Azure Backup použít také pro Azure Site Recovery?

Ne, privátní koncový bod pro službu Backup je možné použít jenom pro Azure Backup. Pokud ho služba podporuje, budete muset vytvořit nový privátní koncový bod pro Azure Site Recovery.

Vynechal(a) jsem jeden z kroků v tomto článku a pokračoval jsem v ochraně zdroje dat. Můžu dál používat privátní koncové body?

Pokud nebudete postupovat podle kroků v článku a budete pokračovat v ochraně položek, může dojít k tomu, že trezor nebude moct používat privátní koncové body. Proto doporučujeme, abyste si před ochranou položek projděte tento kontrolní seznam.

Můžu místo zóny privátního DNS Azure nebo integrované privátní zóny DNS použít vlastní server DNS?

Ano, můžete použít vlastní servery DNS. Ujistěte se ale, že jsou přidané všechny požadované záznamy DNS, jak navrhuje tato část.

Musím na serveru po provedení postupu v tomto článku provést nějaké další kroky?

Po provedení postupu popsaného v tomto článku nemusíte provádět další práci, abyste k zálohování a obnovení používali privátní koncové body.

Další kroky