Vytváření a používání privátních koncových bodů (verze v1) pro Azure Backup

Tento článek obsahuje informace o procesu vytváření privátních koncových bodů pro Službu Azure Backup a o scénářích, ve kterých privátní koncové body pomáhají udržovat zabezpečení vašich prostředků.

Poznámka:

Azure Backup teď poskytuje nové prostředí pro vytváření privátních koncových bodů. Další informace.

Než začnete

Než budete pokračovat v vytváření privátních koncových bodů, ujistěte se, že jste si přečetli požadavky a podporované scénáře .

Tyto podrobnosti vám pomůžou pochopit omezení a podmínky, které je potřeba dodržet před vytvořením soukromých koncových bodů pro vaše trezory.

Začínáme s vytvářením privátních koncových bodů pro zálohování

Následující části se zabývají kroky, které se týkají vytváření a používání privátních koncových bodů pro Službu Azure Backup ve vašich virtuálních sítích.

Důležité

Důrazně doporučujeme postupovat podle kroků ve stejném pořadí jako v tomto dokumentu. Pokud to neuděláte, může to vést k tomu, že se trezor stane nekompatibilním pro používání soukromých koncových bodů a bude vyžadovat, abyste proces zahájili s novým trezorem.

Vytvořit úložiště recovery služeb

Privátní koncové body pro zálohování je možné vytvořit jenom pro trezory služby Recovery Services, které nemají chráněné žádné položky (nebo se v minulosti nepokoušely o ochranu ani registraci žádné položky). Proto doporučujeme vytvořit nový trezor, abyste s ním mohli začít. Další informace o vytvoření nového trezoru najdete v tématu Vytvoření a konfigurace trezoru služby Recovery Services.

V této části se dozvíte, jak vytvořit trezor pomocí klienta Azure Resource Manageru. Tím se vytvoří trezor, u kterého je již aktivována spravovaná identita.

Odepřít veřejné síti přístup k trezoru

Trezory můžete nakonfigurovat tak, aby odepřely přístup z veřejných sítí.

Postupujte následovně:

1. Přejděte do trezoru>Sítě.

2. Na kartě Veřejný přístup vyberte Odepřít, abyste zabránili přístupu z veřejných sítí.

   

   Poznámka:

   • Po odepření přístupu můžete k trezoru dál přistupovat, ale nemůžete přesouvat data do a ze sítí, které neobsahují privátní koncové body. Další informace najdete v tématu Vytvoření privátních koncových bodů pro Azure Backup.
   • Pokud je odepřen veřejný přístup a privátní koncový bod není povolený, zálohování proběhne úspěšně, ale operace obnovení pro všechny úlohy kromě virtuálních počítačů selžou. Obnovení na úrovni položek virtuálního počítače ale také selže. Ujistěte se, že jste pečlivě nakonfigurovali omezení sítě.

3. Chcete-li uložit změny, vyberte Použít .

Povolit spravovanou identitu pro váš trezor

Spravované identity umožňují úložišti vytvářet a používat privátní koncové body. Tato sekce popisuje, jak povolit spravovanou identitu pro váš trezor.

1. Přejděte do trezoru služby Recovery Services –> Identita.

   

2. Změňte stav na Zapnuto a vyberte Uložit.

3. Je vygenerováno ID objektu, což je spravovaná identita úložiště.

   Poznámka:

   Po povolení nesmí být spravovaná identita zakázaná (ani dočasně). Zakázání spravované identity může vést k nekonzistentnímu chování.

Udělte oprávnění trezoru k vytvoření požadovaných privátních koncových bodů.

K vytvoření požadovaných privátních koncových bodů pro Azure Backup musí mít trezor (spravovaná identita trezoru) oprávnění k následujícím skupinám prostředků:

• Skupina prostředků, která obsahuje cílovou VNet.
• Skupina prostředků, kde mají být vytvořeny soukromé koncové body
• Skupina prostředků, která obsahuje soukromé DNS zóny, jak je podrobně popsáno

Doporučujeme udělit roli Přispěvatel trezoru (spravovaná identita) pro tyto tři skupiny prostředků. Následující kroky popisují, jak to udělat pro konkrétní skupinu prostředků (to je potřeba provést pro každou ze tří skupin prostředků):

1. Přejděte do skupiny prostředků a na levém panelu přejděte na Řízení přístupu (IAM ).

2. Jakmile jste v Řízení přístupu, přejděte na Přidat přiřazení role.

   

3. V podokně Přidat přiřazení role zvolte Přispěvatel jako Roli a jako Hlavní komponent použijte název trezoru. Vyberte svůj trezor a po dokončení klikněte na Uložit.

   

Pokud chcete spravovat oprávnění na podrobnější úrovni, přečtěte si článek o ručním vytváření rolí a oprávnění.

Vytvoření privátních koncových bodů pro Azure Backup

Tato část vysvětluje, jak vytvořit privátní koncový bod pro váš úložiště.

1. Přejděte do svého trezoru vytvořeného výše a v levém navigačním panelu vyberte Privátní koncová připojení. K vytvoření nového privátního koncového bodu pro tento trezor vyberte +Privátní koncový bod nahoře.

   Poznámka:

   Privátní koncový bod musí mít jedinečný název.

   

2. Jakmile se ocitnete v procesu Vytvoření privátního koncového bodu, budete muset zadat podrobnosti pro vytvoření vašeho privátního koncového bodu.

   1. Základy: Vyplňte základní detaily pro vaše privátní cílové body. Oblast by měla být stejná jako úložiště a prostředek, který je zálohován.

      

   2. Prostředek: Tato záložka vyžaduje, abyste vybrali prostředek PaaS, pro který chcete vytvořit připojení. Jako typ prostředku požadovaného předplatného vyberte Microsoft.RecoveryServices/vaults . Jakmile dokončíte, vyberte název svého trezoru Recovery Services jako Zdroj a AzureBackup jako Cílový podzdroj.

      

   3. Konfigurace: V konfiguraci zadejte virtuální síť a podsíť, ve které chcete privátní koncový bod vytvořit. Bude to virtuální síť, ve které je virtuální počítač k dispozici.

      Pokud se chcete připojit soukromě, potřebujete požadované záznamy DNS. Na základě nastavení sítě můžete zvolit jednu z následujících možností:

      • Integrace privátního koncového bodu s privátní zónou DNS: Pokud chcete integrovat, vyberte ano .
      • Použijte vlastní server DNS: Pokud chcete použít vlastní server DNS, vyberte možnost Ne .

      Správa záznamů DNS pro obojí je popsána později.

      

   4. Volitelně můžete přidat tagy pro privátní koncový bod.

   5. Po zadání podrobností pokračujte ke kontrole a vytvoření. Po dokončení ověření vyberte Vytvořit a vytvořte privátní koncový bod.

Schválení privátních koncových bodů

Pokud je uživatel, který vytváří privátní koncový bod, zároveň vlastníkem trezoru služby Recovery Services, privátní koncový bod vytvořený výše se automaticky schválí. Jinak musí vlastník trezoru schválit soukromý koncový bod, než bude možné jej použít. Tato část popisuje ruční schválení privátních koncových bodů prostřednictvím webu Azure Portal.

Viz Ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manager pro schvalování privátních koncových bodů.

1. Ve vašem trezoru služeb obnovení přejděte na Private endpoint connections v levém panelu.

2. Vyberte připojení privátního koncového bodu, které chcete schválit.

3. Na horním panelu vyberte Schválit . Pokud chcete odmítnout nebo odstranit připojení koncového bodu, můžete také vybrat možnost Odmítnout nebo odebrat .

   

Správa záznamů DNS

Jak je popsáno výše, potřebujete požadované záznamy DNS ve vašich privátních zónách NEBO serverech DNS, abyste se mohli připojit soukromě. Privátní koncový bod můžete buď integrovat přímo se zónami Azure Private DNS, nebo použít vlastní servery DNS, abyste toho dosáhli v závislosti na vašich předvolbách sítě. To bude potřeba provést pro všechny tři služby: Zálohování, Bloby a Fronty.

Pokud se navíc vaše zóna DNS nebo server nachází v předplatném, které se liší od předplatného, které obsahuje privátní koncový bod, podívejte se také na vytvoření záznamů DNS, pokud je server DNS nebo zóna DNS přítomna v jiném předplatném.

Při integraci privátních koncových bodů se zónami Azure Private DNS

Pokud se rozhodnete integrovat privátní koncový bod s privátními zónami DNS, Azure Backup přidá požadované záznamy DNS. Můžete zobrazit privátní zóny DNS používané v konfiguraci DNS privátního koncového bodu. Pokud tyto zóny DNS nejsou k dispozici, vytvoří se automaticky při vytváření privátního koncového bodu.

Poznámka:

Spravovaná identita přiřazená k trezoru by měla mít oprávnění k přidání záznamů DNS do zóny Azure Privátní DNS.

Musíte ale ověřit, že vaše virtuální síť (která obsahuje prostředky, které se mají zálohovat) je správně propojená se všemi třemi privátními zónami DNS, jak je popsáno níže.

Poznámka:

Pokud používáte proxy servery, můžete se rozhodnout obejít proxy server nebo provést zálohy prostřednictvím proxy serveru. Pokud chcete obejít proxy server, pokračujte následujícími částmi. Pokud chcete proxy server použít k provádění záloh, přečtěte si podrobnosti o nastavení proxy serveru pro trezor služby Recovery Services.

Ověření propojení virtuální sítě v privátních zónách DNS

Pro každou soukromou DNS zónu uvedenou výše (pro zálohování, blobů a front), postupujte následovně:

1. Na levém navigačním panelu přejděte na příslušnou možnost propojení virtuální sítě.

2. Měli byste vidět položku pro virtuální síť, pro kterou jste vytvořili privátní koncový bod, podobně jako v následujícím příkladu:

   

3. Pokud položku nevidíte, přidejte odkaz na virtuální síť ke všem zónám DNS, které je nemají.

   

Při použití vlastního serveru DNS nebo hostitelských souborů

• Pokud používáte vlastní server DNS, můžete k přesměrování požadavků DNS na Azure DNS (168.63.129.16) použít podmíněný směrovač pro FQDN záložní služby, blob a frontu. Azure DNS ho přesměruje do zóny Azure Privátní DNS. V takovém nastavení se ujistěte, že existuje propojení virtuální sítě pro zónu Azure Privátní DNS, jak je uvedeno v této části.

  Následující tabulka uvádí zóny Azure Privátní DNS vyžadované službou Azure Backup:

  Zóna	Služba
  privatelink.<geo>.backup.windowsazure.com	Backup
  privatelink.blob.core.windows.net	Bublina
  privatelink.queue.core.windows.net	Fronta

  Poznámka:

  Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a Severní Evropu). Kódy oblastí najdete v následujících seznamech:

  • Všechny veřejné cloudy
  • Čína
  • Německo
  • Vláda USA
  • Seznam geografického kódu – ukázkový KÓD XML

• Pokud používáte vlastní servery DNS nebo hostitelské soubory a nemáte nastavení zóny Azure Privátní DNS, musíte přidat záznamy DNS vyžadované privátními koncovými body na servery DNS nebo do souboru hostitele.

  • Pro službu zálohování: Přejděte do privátního koncového bodu, který jste vytvořili, a pak přejděte do konfigurace DNS. Poté přidejte záznam pro každý FQDN a IP adresu zobrazenou jako záznamy typu A ve vaší DNS zóně pro Backup.

    Pokud používáte soubor hostitele pro překlad názvů, zadejte odpovídající záznamy v souboru hostitele pro každou IP adresu a úplný název domény podle formátu - <private ip><space><backup service privatelink FQDN>.

  • Pro blob a frontu: Azure zálohování vytváří soukromé koncové body pro objekty typu blob a fronty pomocí oprávnění řízené identity. Privátní koncové body pro objekty blob a fronty se řídí standardním schématem pojmenování, začínají na <the name of the private endpoint>_ecs nebo <the name of the private endpoint>_prot, a končí příponou _blob a _queue v uvedeném pořadí.

    Přejděte na privátní koncový bod vytvořený službou Azure Backup podle výše uvedeného vzoru a pak přejděte do konfigurace DNS. Poté přidejte záznam pro každý FQDN a IP adresu zobrazenou jako záznamy typu A ve vaší DNS zóně pro Backup.

    Pokud používáte soubor hostitele pro překlad názvů, zadejte odpovídající záznamy v souboru hostitele pro každou IP adresu a úplný název domény podle formátu - <private ip><space><blob/queue FQDN>.

Poznámka:

Azure Backup může přidělit nový úložný účet pro váš trezor k uchování záložních dat a rozšíření nebo agent potřebuje přistupovat k příslušným koncovým bodům. Další informace o tom, jak přidat další záznamy DNS po registraci a zálohování, najdete v doprovodných materiálech v části Použití privátních koncových bodů pro zálohování .

Použití privátních koncových bodů pro zálohování

Jakmile jsou vytvořeny privátní koncové body pro trezor ve vaší virtuální síti a schváleny, můžete je začít používat pro zálohování a obnovu.

Důležité

Než budete pokračovat, ujistěte se, že jste dokončili všechny kroky uvedené výše v dokumentu. K rekapitulace je nutné provést kroky v následujícím kontrolním seznamu:

1. Vytvořil(a) nový úložiště služeb pro obnovu
2. Povolení úložišti použití systémově přiřazené spravované identity
3. Byla přiřazena relevantní oprávnění ke Spravované identitě trezoru.
4. Vytvořen soukromý koncový bod pro váš trezor
5. Schválení privátního koncového bodu (pokud není automaticky schváleno)
6. Zajistíme, aby všechny DNS záznamy byly správně přidány (s výjimkou blob a frontových záznamů pro vlastní servery, které budou diskutovány v následujících sekcích).

Kontrola připojení virtuálního počítače

Na virtuálním počítači v uzamčené síti se ujistěte, že platí následující:

1. Virtuální počítač by měl mít přístup k ID Microsoft Entra.
2. Spusťte nástroj nslookup na adrese URL zálohování (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z virtuálního počítače, abyste zajistili připojení. Tím by se měla vrátit privátní IP adresa přiřazená ve vaší virtuální síti.

Konfigurace zálohování

Jakmile zajistíte úspěšné dokončení výše uvedeného kontrolního seznamu a přístupu, můžete pokračovat v konfiguraci zálohování úloh do trezoru. Pokud používáte vlastní server DNS, budete muset přidat položky DNS pro bloky dat (bloby) a fronty, které budou k dispozici po dokončení konfigurace první zálohy.

Záznamy DNS pro blobové a frontové služby (pouze pro vlastní servery DNS nebo soubory hostitelů) po prvním zaregistrování

Po nakonfigurování zálohování alespoň jednoho prostředku v trezoru s povoleným privátním přístupovým bodem přidejte požadované záznamy DNS pro bloby a fronty, jak je popsáno níže.

1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

2. Kromě názvu privátního koncového bodu, který jste zadali vy, uvidíte, že se vytvářejí dva další privátní koncové body. Tyto začínají s <the name of the private endpoint>_ecs a jsou zakončeny s _blob a _queue v uvedeném pořadí.

   

3. Přejděte ke každému z těchto privátních koncových bodů. V možnosti konfigurace DNS pro každý ze dvou privátních koncových bodů uvidíte záznam s plně kvalifikovaným názvem domény a IP adresou. Kromě těch, které jsou popsané výše, přidejte obě tyto možnosti na vlastní server DNS. Pokud používáte hosts soubor, vytvořte odpovídající položky v hosts souboru pro každou IP/FQDN podle následujícího formátu:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

Kromě výše uvedených položek je po první záloze potřeba ještě další položka, která je popsána později.

Zálohování a obnovení úloh na virtuálním počítači Azure (SQL a SAP HANA)

Po vytvoření a schválení privátního koncového bodu se na straně klienta nevyžadují žádné další změny pro použití privátního koncového bodu (pokud nepoužíváte skupiny dostupnosti SQL, které probereme dále v této části). Veškerá komunikace a přenos dat ze zabezpečené sítě do trezoru se provede prostřednictvím privátního koncového bodu. Pokud ale odeberete privátní koncové body trezoru poté, co do něj byl zaregistrován server (SQL nebo SAP HANA), budete muset kontejner v něm znovu zaregistrovat. Nemusíte zastavovat ochranu pro ně.

Záznamy DNS pro bloby (pouze pro vlastní servery DNS nebo hostitelské soubory) po prvním zálohování.

Po spuštění první zálohy a použití vlastního serveru DNS (bez podmíněného předávání) je pravděpodobné, že vaše zálohování selže. Pokud k tomu dojde:

1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

2. Kromě tří privátních koncových bodů, které jsme probírali dříve, uvidíte čtvrtý privátní koncový bod s názvem začínajícím <the name of the private endpoint>_prot a příponou _blob.

   

3. Přejděte na tento nový privátní koncový bod. V možnosti konfigurace DNS uvidíte záznam s FQDN a IP adresou. Přidejte je do svého privátního serveru DNS, kromě těch, které jsou popsány výše.

   Pokud používáte soubor hostitele, vytvořte odpovídající záznamy v souboru hostitele pro každou IP adresu a FQDN (plně kvalifikovaný název domény) podle následujícího formátu:

   <private ip><space><blob service privatelink FQDN>

Poznámka:

V tomto okamžiku byste měli být schopni spustit nslookup z virtuálního počítače a získat privátní IP adresy, když řešíte URL adresy pro zálohování a úložiště trezoru.

Při používání skupin dostupnosti SQL

Při používání skupin dostupnosti SQL (AG) budete muset zřídit podmíněné předávání ve vlastním DNS pro AG, jak je popsáno níže:

1. Přihlaste se ke svému řadiči domény.

2. V rámci aplikace DNS přidejte podmíněné přeposílače pro všechny tři zóny DNS (Zálohy, Bloby a Fronty) do IP adresy hostitele 168.63.129.16 nebo vlastní IP adresy serveru DNS podle potřeby. Následující snímky obrazovky ukazují, kdy přesměrováváte na IP adresu hostitele Azure. Pokud používáte vlastní server DNS, nahraďte IP adresou vašeho serveru DNS.

   

   

Zálohování a obnovení prostřednictvím agenta MARS a serveru DPM

Při použití agenta MARS k zálohování místních prostředků se ujistěte, že je vaše místní síť (obsahující prostředky, které mají být zálohovány) propojena s virtuální sítí Azure, která obsahuje privátní koncový bod trezoru, abyste ho mohli použít. Pak můžete pokračovat v instalaci agenta MARS a nakonfigurovat zálohování podle podrobných informací. Musíte ale zajistit, aby veškerá komunikace pro zálohování probíhala pouze prostřednictvím partnerské sítě.

Pokud odstraníte soukromé koncové body trezoru poté, co byl k němu zaregistrován agent MARS, budete muset kontejner znovu registrovat u trezoru. Nemusíte zastavovat ochranu pro ně.

Poznámka:

• Privátní koncové body jsou podporovány pouze se serverem DPM 2022 (10.22.123.0) a novějším.
• Privátní koncové body jsou podporovány pouze pro MABS V4 (14.0.30.0) a novější.

Odstranění privátních koncových bodů

Podívejte se na tuto část a zjistěte, jak odstranit privátní koncové body.

Další témata

Vytvoření trezoru služby Recovery Services pomocí klienta Azure Resource Manageru

Pomocí klienta Azure Resource Manageru můžete vytvořit trezor služby Recovery Services a povolit jeho spravovanou identitu (povolení spravované identity se vyžaduje, jak uvidíme později). Ukázka toho, jak to udělat, je sdílená níže:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Výše uvedený soubor JSON by měl obsahovat následující obsah:

Žádost JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Odpověď JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Poznámka:

Trezor, vytvořený v tomto příkladu prostřednictvím klienta Azure Resource Manageru, již disponuje identitou spravovanou systémem.

Správa oprávnění ve skupinách prostředků

Spravovaná identita pro trezor musí mít ve skupině prostředků a virtuální síti, kde se vytvoří soukromé koncové body, následující oprávnění:

• Microsoft.Network/privateEndpoints/* To je nutné k provedení CRUD operací u privátních koncových bodů ve skupině prostředků. Mělo by být přiřazeno skupině prostředků.
• Microsoft.Network/virtualNetworks/subnets/join/action To se vyžaduje ve virtuální síti, kde se privátní IP adresa připojuje k privátnímu koncovému bodu.
• Microsoft.Network/networkInterfaces/read Toto je vyžadováno na skupině prostředků k vytvoření síťového rozhraní pro soukromý koncový bod.
• Role přispěvatele privátní DNS zóny Tato role již existuje a lze ji použít k poskytování Microsoft.Network/privateDnsZones/A/* a Microsoft.Network/privateDnsZones/virtualNetworkLinks/read oprávnění.

K vytvoření rolí s požadovanými oprávněními můžete použít jednu z následujících metod:

Ruční vytváření rolí a oprávnění

Vytvořte následující soubory JSON a pomocí příkazu PowerShellu na konci oddílu vytvořte role:

//PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Použití skriptu

1. Spusťte Cloud Shell na webu Azure Portal a v okně PowerShellu vyberte Nahrát soubor.

   

2. Nahrajte následující skript: VaultMsiPrereqScript

3. Přejděte do domovské složky (například: cd /home/user)

4. Spusťte tento skript:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Toto jsou parametry:

   • předplatné: **SubscriptionId, která obsahuje skupinu prostředků, kde má být vytvořen privátní koncový bod pro trezor, a podsíť, k níž bude připojen privátní koncový bod trezoru.

   • vaultPEResourceGroup: Skupina prostředků, kde bude vytvořen privátní koncový bod pro trezor

   • vaultPESubnetResourceGroup: Skupina prostředků podsítě, ke které se privátní koncový bod připojí

   • vaultMsiName: Název MSI trezoru, který je stejný jako VaultName

5. Dokončete ověřování a skript převezme kontext daného předplatného uvedeného výše. Vytvoří příslušné role, pokud v tenantovi chybí, a přiřadí role k MSI trezoru.

Vytváření privátních koncových bodů pomocí Azure PowerShellu

Automaticky schválené soukromé koncové body

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manageru

1. K získání ID připojení privátního koncového bodu pro privátní koncový bod použijte GetVault .

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Tím se vrátí ID připojení privátního koncového bodu. Název připojení lze načíst pomocí první části ID připojení následujícím způsobem:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Získejte ID připojení privátního koncového bodu (a název privátního koncového bodu, kdekoliv je to potřeba) z odpovědi a nahraďte ho v následujícím URI JSON a Azure Resource Manageru a zkuste změnit stav na „Schváleno/Odmítnuto/Odpojeno“, jak je znázorněno v ukázce níže:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Nastavte proxy server pro trezor Recovery Services s privátním koncovým bodem

Pokud chcete nakonfigurovat proxy server pro virtuální počítač Azure nebo místní počítač, postupujte takto:

1. Přidejte následující domény, ke kterým je potřeba přistupovat z proxy serveru.

   Služba	Názvy domén	Přístav
   Azure Backup	*.backup.windowsazure.com	443
   Azure Storage	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra ID Aktualizované adresy URL domény uvedené v částech 56 a 59 v Microsoft 365 a Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Podle potřeby.

2. Povolte přístup k těmto doménám na proxy serveru a propojte privátní zónu DNS ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, ) s virtuální sítí, *.privatelink.queue.core.windows.netve které je vytvořen proxy server nebo používá vlastní server DNS s příslušnými položkami DNS.
   
   Virtuální síť, ve které je spuštěný proxy server, a virtuální síť, ve které je vytvořena síťová karta privátního koncového bodu, by měly být propojeny, což by proxy serveru umožnilo přesměrovat požadavky na soukromou IP adresu.

   Poznámka:

   Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a Severní Evropu). Kódy oblastí najdete v následujících seznamech:

   • Všechny veřejné cloudy
   • Čína
   • Německo
   • Vláda USA
   • Seznam geografického kódu – ukázkový KÓD XML

Následující diagram znázorňuje nastavení (při používání zón Azure Privátní DNS) s proxy serverem, jehož virtuální síť je propojená s privátní zónou DNS s požadovanými položkami DNS. Proxy server může mít také vlastní server DNS a výše uvedené domény je možné podmíněně předávat na verzi 168.63.129.16. Pokud používáte vlastní DNS server/host soubor pro řešení DNS, podívejte se na sekce správa DNS záznamů a konfigurace ochrany.

3. Aby se agent MARS automaticky aktualizoval, povolte přístup k download.microsoft.com/download/MARSagent/*.

Vytvoření položek DNS, pokud je server DNS nebo zóna DNS přítomna v jiném předplatném

V této části probereme případy, kdy používáte zónu DNS nacházející se v určitém předplatném, nebo skupinu prostředků, která je odlišná od té, jež obsahuje privátní koncový bod pro úložiště služeb obnovy, například v topologii hub-and-spoke. Protože spravovaná identita používaná k vytváření privátních koncových bodů (a položek DNS) má oprávnění pouze ke skupině prostředků, ve které jsou vytvořeny privátní koncové body, jsou navíc potřeba požadované položky DNS. K vytvoření položek DNS použijte následující skripty PowerShellu.

Poznámka:

Pokud chcete dosáhnout požadovaných výsledků, projděte si celý postup popsaný níže. Proces se musí opakovat dvakrát – jednou během prvního zjišťování (pro vytvoření záznamů DNS požadovaných pro účty úložiště komunikace) a potom jednou během první zálohy (pro vytvoření záznamů DNS požadovaných pro účty úložiště back-endu).

Krok 1: Získání požadovaných položek DNS

Pomocí skriptu PrivateIP.ps1 zobrazte seznam všech položek DNS, které je potřeba vytvořit.

Poznámka:

Následující subscription syntaxe odkazuje na předplatné, ve kterém bude vytvořen privátní koncový bod trezoru.

Syntaxe pro použití skriptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Ukázkový výstup

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2: Vytvoření položek DNS

Vytvořte záznamy DNS odpovídající výše uvedeným položkám. Na základě typu DNS, který používáte, máte dvě alternativy pro vytváření záznamů DNS.

Případ 1: Pokud používáte vlastní server DNS, musíte ručně vytvořit položky pro každý záznam ze skriptu výše a ověřit, že FQDN (ResourceName.DNS) se překládá na privátní IP adresu v rámci VNET.

Případ 2: Pokud používáte zónu Azure Privátní DNS, můžete pomocí skriptu CreateDNSEntries.ps1 automaticky vytvořit položky DNS v zóně Privátní DNS. V následující syntaxi je část subscription, kde existuje soukromá zóna DNS.

Syntaxe pro použití skriptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Souhrn celého procesu

Pokud chcete správně nastavit soukromý koncový bod pro trezor služby Recovery Services pomocí tohoto alternativního řešení, musíte:

1. Vytvořte privátní koncový bod pro trezor (jak je popsáno výše v článku).
2. Aktivace zjišťování Zjišťování pro SQL/HANA selže s chybou UserErrorVMInternetConnectivityIssue , protože pro účet úložiště komunikace chybí položky DNS.
3. Spuštěním skriptů získejte položky DNS a vytvořte odpovídající položky DNS pro účet úložiště komunikace uvedený výše v této části.
4. Znovu spustit objevení. Tentokrát by zjišťování mělo proběhnout úspěšně.
5. Aktivace zálohování Zálohování pro SQL/HANA a MARS může selhat, protože pro účty úložiště back-end chybí položky DNS, jak je uvedeno výše v této části.
6. Spusťte skripty k vytvoření položek DNS pro účet úložiště v zázemí.
7. Znovu spustit zálohování. Tentokrát by zálohování mělo proběhnout úspěšně.

Nejčastější dotazy

Můžu vytvořit soukromý koncový bod pro existující trezor služby Recovery Services?

Ne, privátní koncové body lze vytvářet pouze pro nové úložiště Recovery Services Vaults. Takže trezor pravděpodobně nikdy žádné položky chráněné neměl. Ve skutečnosti nelze učinit žádné pokusy o ochranu jakýchkoli položek v trezoru, dokud nejsou vytvořeny soukromé koncové body.

Pokusil(a) jsem se chránit položku v trezoru, ale selhala a trezor stále neobsahuje žádné položky, které jsou v něm chráněné. Mohu vytvořit soukromé koncové body pro tento trezor?

Ne, zdá se, že v minulosti nebyly žádné pokusy o ochranu předmětů v trezoru.

Mám trezor, který používá privátní koncové body pro zálohování a obnovu. Mohu později přidat nebo odebrat privátní koncové body pro tento trezor, i když mám do něj chráněné zálohy?

Ano. Pokud jste již vytvořili soukromé koncové body pro trezor a chránili do něj zálohované položky, můžete později podle potřeby tyto soukromé koncové body přidat nebo odebrat.

Je možné privátní koncový bod pro Azure Backup použít také pro Azure Site Recovery?

Ne, privátní koncový bod pro zálohování se dá použít jenom pro Azure Backup. Pokud je služba podporovaná službou, budete muset pro Azure Site Recovery vytvořit nový privátní koncový bod.

Chyběl jsem jeden z kroků v tomto článku a pokračoval jsem v ochraně zdroje dat. Mohu stále používat privátní koncové body?

Pokud nebudete postupovat podle kroků v článku a budete pokračovat v ochraně položek, může to vést k tomu, že trezor nebude moct používat soukromé koncové body. Před ochranou položek je proto doporučeno podívat se na tento kontrolní seznam.

Můžu místo zóny Privátního DNS Azure nebo integrované privátní zóny DNS používat vlastní server DNS?

Ano, můžete použít vlastní servery DNS. Ujistěte se ale, že jsou všechny požadované záznamy DNS přidané podle návrhu v této části.

Musím po provedení postupu v tomto článku provést na serveru nějaké další kroky?

Po provedení postupu popsaného v tomto článku nemusíte provádět další práci při použití privátních koncových bodů pro zálohování a obnovení.

Další kroky

• Přečtěte si o všech funkcích zabezpečení ve službě Azure Backup.