Vytváření a používání privátních koncových bodů (prostředí v1) pro Azure Backup

Tento článek obsahuje informace o procesu vytváření privátních koncových bodů pro Službu Azure Backup a o scénářích, ve kterých privátní koncové body pomáhají udržovat zabezpečení vašich prostředků.

Poznámka:

Azure Backup teď poskytuje nové prostředí pro vytváření privátních koncových bodů. Další informace.

Než začnete

Než budete pokračovat v vytváření privátních koncových bodů, ujistěte se, že jste si přečetli požadavky a podporované scénáře .

Tyto podrobnosti vám pomůžou pochopit omezení a podmínky, které je potřeba splnit před vytvořením privátních koncových bodů pro vaše trezory.

Začínáme s vytvářením privátních koncových bodů pro zálohování

Následující části se zabývají kroky, které se týkají vytváření a používání privátních koncových bodů pro Službu Azure Backup ve vašich virtuálních sítích.

Důležité

Důrazně doporučujeme postupovat podle kroků ve stejném pořadí jako v tomto dokumentu. Pokud to neuděláte, může to vést k tomu, že se trezor vykresluje nekompatibilní s použitím privátních koncových bodů a vyžaduje restartování procesu s novým trezorem.

Vytvoření trezoru služby Recovery Services

Privátní koncové body pro zálohování je možné vytvořit jenom pro trezory služby Recovery Services, které nemají chráněné žádné položky (nebo se v minulosti nepokoušely o ochranu ani registraci žádné položky). Proto doporučujeme vytvořit nový trezor, se kterým začnete. Další informace o vytvoření nového trezoru najdete v tématu Vytvoření a konfigurace trezoru služby Recovery Services.

V této části se dozvíte, jak vytvořit trezor pomocí klienta Azure Resource Manageru. Tím se vytvoří trezor s již povolenou spravovanou identitou.

Odepření přístupu k trezoru veřejné sítě

Trezory můžete nakonfigurovat tak, aby odepřely přístup z veřejných sítí.

Postupujte následovně:

1. Přejděte do sítě trezoru>.

2. Na kartě Veřejný přístup vyberte Odepřít, abyste zabránili přístupu z veřejných sítí.

   

   Poznámka:

   • Jakmile odepřete přístup, budete mít přístup k trezoru, ale nemůžete přesunout data do a ze sítí, které neobsahují privátní koncové body. Další informace najdete v tématu Vytvoření privátních koncových bodů pro Azure Backup.
   • U trezorů s povoleným obnovením mezi oblastmi se v současné době nepodporuje odepření veřejného přístupu.

3. Chcete-li uložit změny, vyberte Použít .

Povolení spravované identity pro váš trezor

Spravované identity umožňují trezoru vytvářet a používat privátní koncové body. Tato část popisuje povolení spravované identity pro váš trezor.

1. Přejděte do trezoru služby Recovery Services –> Identita.

   

2. Změňte stav na Zapnuto a vyberte Uložit.

3. Vygeneruje se ID objektu, což je spravovaná identita trezoru.

   Poznámka:

   Po povolení nesmí být spravovaná identita zakázaná (ani dočasně). Zakázání spravované identity může vést k nekonzistentnímu chování.

Udělení oprávnění k vytvoření požadovaných privátních koncových bodů trezoru

K vytvoření požadovaných privátních koncových bodů pro Azure Backup musí mít trezor (spravovaná identita trezoru) oprávnění k následujícím skupinám prostředků:

• Skupina prostředků, která obsahuje cílovou virtuální síť
• Skupina prostředků, ve které se mají vytvořit privátní koncové body
• Skupina prostředků, která obsahuje zóny Privátní DNS, jak je popsáno podrobně

Doporučujeme udělit roli Přispěvatel pro tyto tři skupiny prostředků trezoru (spravovaná identita). Následující kroky popisují, jak to udělat pro konkrétní skupinu prostředků (to je potřeba provést pro každou ze tří skupin prostředků):

1. Přejděte do skupiny prostředků a na levém panelu přejděte na Řízení přístupu (IAM ).

2. Jakmile jste v Řízení přístupu, přejděte na Přidat přiřazení role.

   

3. V podokně Přidat přiřazení role zvolte Přispěvatel jako Roli a jako objekt zabezpečení použijte název trezoru. Vyberte trezor a po dokončení vyberte Uložit .

   

Pokud chcete spravovat oprávnění na podrobnější úrovni, přečtěte si článek o ručním vytváření rolí a oprávnění.

Vytvoření privátních koncových bodů pro Azure Backup

Tato část vysvětluje, jak vytvořit privátní koncový bod pro váš trezor.

1. Přejděte do svého trezoru vytvořeného výše a přejděte na připojení privátního koncového bodu na levém navigačním panelu. Výběrem možnosti +Privátní koncový bod v horní části začněte vytvářet nový privátní koncový bod pro tento trezor.

   

2. Po vytvoření privátního koncového bodu budete muset zadat podrobnosti pro vytvoření připojení privátního koncového bodu.

   1. Základy: Vyplňte základní podrobnosti pro vaše privátní koncové body. Oblast by měla být stejná jako trezor a zálohovaný prostředek.

      

   2. Prostředek: Tato karta vyžaduje, abyste vybrali prostředek PaaS, pro který chcete vytvořit připojení. Jako typ prostředku požadovaného předplatného vyberte Microsoft.RecoveryServices/vaults . Po dokončení zvolte název trezoru služby Recovery Services jako prostředek a AzureBackup jako cílový dílčí prostředek.

      

   3. Konfigurace: V konfiguraci zadejte virtuální síť a podsíť, ve které chcete privátní koncový bod vytvořit. Bude to virtuální síť, ve které je virtuální počítač k dispozici.

      Pokud se chcete připojit soukromě, potřebujete požadované záznamy DNS. Na základě nastavení sítě můžete zvolit jednu z následujících možností:

      • Integrace privátního koncového bodu s privátní zónou DNS: Pokud chcete integrovat, vyberte ano .
      • Použijte vlastní server DNS: Pokud chcete použít vlastní server DNS, vyberte možnost Ne .

      Správa záznamů DNS pro obě tyto záznamy jsou popsány později.

      

   4. Volitelně můžete přidat značky pro privátní koncový bod.

   5. Po zadání podrobností pokračujte ve kontrole a vytvoření. Po dokončení ověření vyberte Vytvořit a vytvořte privátní koncový bod.

Schválení privátních koncových bodů

Pokud je uživatel, který vytváří privátní koncový bod, zároveň vlastníkem trezoru služby Recovery Services, privátní koncový bod vytvořený výše se automaticky schválí. Jinak musí vlastník trezoru před použitím schválit privátní koncový bod. Tato část popisuje ruční schválení privátních koncových bodů prostřednictvím webu Azure Portal.

Přečtěte si téma Ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manageru pro schvalování privátních koncových bodů pomocí klienta Azure Resource Manageru.

1. V trezoru služby Recovery Services přejděte na levém panelu na připojení privátního koncového bodu.

2. Vyberte připojení privátního koncového bodu, které chcete schválit.

3. Na horním panelu vyberte Schválit . Pokud chcete odmítnout nebo odstranit připojení koncového bodu, můžete také vybrat možnost Odmítnout nebo odebrat .

   

Správa záznamů DNS

Jak je popsáno výše, potřebujete požadované záznamy DNS ve vašich privátních zónách NEBO serverech DNS, abyste se mohli připojit soukromě. Privátní koncový bod můžete buď integrovat přímo se zónami Azure Private DNS, nebo použít vlastní servery DNS, abyste toho dosáhli v závislosti na vašich předvolbách sítě. To bude potřeba provést pro všechny tři služby: zálohování, objekty blob a fronty.

Pokud se navíc vaše zóna DNS nebo server nachází v předplatném, které se liší od předplatného, které obsahuje privátní koncový bod, podívejte se také na vytvoření záznamů DNS, pokud je server DNS nebo zóna DNS přítomna v jiném předplatném.

Při integraci privátních koncových bodů se zónami Azure Private DNS

Pokud se rozhodnete integrovat privátní koncový bod s privátními zónami DNS, Azure Backup přidá požadované záznamy DNS. Můžete zobrazit privátní zóny DNS používané v konfiguraci DNS privátního koncového bodu. Pokud tyto zóny DNS nejsou k dispozici, vytvoří se automaticky při vytváření privátního koncového bodu.

Poznámka:

Spravovaná identita přiřazená k trezoru by měla mít oprávnění k přidání záznamů DNS do zóny Azure Privátní DNS.

Musíte ale ověřit, že vaše virtuální síť (která obsahuje prostředky, které se mají zálohovat) je správně propojená se všemi třemi privátními zónami DNS, jak je popsáno níže.

Poznámka:

Pokud používáte proxy servery, můžete se rozhodnout obejít proxy server nebo provést zálohy prostřednictvím proxy serveru. Pokud chcete obejít proxy server, pokračujte následujícími částmi. Pokud chcete proxy server použít k provádění záloh, přečtěte si podrobnosti o nastavení proxy serveru pro trezor služby Recovery Services.

Ověření propojení virtuální sítě v privátních zónách DNS

Pro každou privátní zónu DNS uvedenou výše (pro zálohování, objekty blob a fronty) postupujte takto:

1. Na levém navigačním panelu přejděte na příslušnou možnost propojení virtuální sítě.

2. Měli byste vidět položku pro virtuální síť, pro kterou jste vytvořili privátní koncový bod, podobně jako v následujícím příkladu:

   

3. Pokud položku nevidíte, přidejte odkaz na virtuální síť ke všem zónám DNS, které je nemají.

   

Při použití vlastního serveru DNS nebo souborů hostitelů

• Pokud používáte vlastní server DNS, můžete k přesměrování požadavků DNS na Azure DNS (168.63.129.16) použít podmíněný předávací modul pro zálohování služby, objekty blob a plně kvalifikované názvy domén front. Azure DNS ho přesměruje do zóny Azure Privátní DNS. V takovém nastavení se ujistěte, že existuje propojení virtuální sítě pro zónu Azure Privátní DNS, jak je uvedeno v této části.

  Následující tabulka uvádí zóny Azure Privátní DNS vyžadované službou Azure Backup:

  Zóna	Služba
  privatelink.<geo>.backup.windowsazure.com	Backup
  privatelink.blob.core.windows.net	Objekt blob
  privatelink.queue.core.windows.net	Fronta

  Poznámka:

  Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a Severní Evropu). Kódy oblastí najdete v následujících seznamech:

  • Všechny veřejné cloudy
  • Čína
  • Německo
  • Vláda USA
  • Seznam geografického kódu – ukázkový KÓD XML

• Pokud používáte vlastní servery DNS nebo hostitelské soubory a nemáte nastavení zóny Azure Privátní DNS, musíte přidat záznamy DNS vyžadované privátními koncovými body na servery DNS nebo do souboru hostitele.

  • Pro službu zálohování: Přejděte do privátního koncového bodu, který jste vytvořili, a pak přejděte do konfigurace DNS. Pak přidejte položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy Typu A ve vaší zóně DNS pro zálohování.

    Pokud pro překlad názvů používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle formátu - <private ip><space><backup service privatelink FQDN>.

  • Pro objekt blob a frontu: Azure Backup vytvoří privátní koncové body pro objekty blob a fronty pomocí oprávnění spravované identity. Privátní koncové body pro objekty blob a fronty se řídí standardním vzorem pojmenování, začínají <the name of the private endpoint>_ecs nebo <the name of the private endpoint>_prota mají příponu _blob a _queue v uvedeném pořadí.

    Přejděte na privátní koncový bod vytvořený službou Azure Backup podle výše uvedeného vzoru a pak přejděte do konfigurace DNS. Pak přidejte položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy Typu A ve vaší zóně DNS pro zálohování.

    Pokud pro překlad názvů používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle formátu - <private ip><space><blob/queue FQDN>.

Poznámka:

Azure Backup může přidělit nový účet úložiště pro váš trezor pro zálohovaná data a rozšíření nebo agent potřebuje přístup k příslušným koncovým bodům. Další informace o tom, jak přidat další záznamy DNS po registraci a zálohování, najdete v doprovodných materiálech v části Použití privátních koncových bodů pro zálohování .

Použití privátních koncových bodů pro zálohování

Jakmile jsou privátní koncové body vytvořené pro trezor ve vaší virtuální síti schválené, můžete je začít používat k provádění záloh a obnovení.

Důležité

Než budete pokračovat, ujistěte se, že jste dokončili všechny kroky uvedené výše v dokumentu. K rekapitulace je nutné provést kroky v následujícím kontrolním seznamu:

1. Vytvoření (nového) trezoru služby Recovery Services
2. Povolení trezoru pro použití spravované identity přiřazené systémem
3. Přiřazení relevantních oprávnění ke spravované identitě trezoru
4. Vytvoření privátního koncového bodu pro váš trezor
5. Schválení privátního koncového bodu (pokud není automaticky schváleno)
6. Ujistili jste se, že jsou všechny záznamy DNS správně přidané (kromě záznamů objektů blob a front pro vlastní servery, které budou popsány v následujících částech).

Kontrola připojení virtuálního počítače

Na virtuálním počítači v uzamčené síti se ujistěte, že platí následující:

1. Virtuální počítač by měl mít přístup k ID Microsoft Entra.
2. Spusťte nástroj nslookup na adrese URL zálohování (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z virtuálního počítače, abyste zajistili připojení. Tím by se měla vrátit privátní IP adresa přiřazená ve vaší virtuální síti.

Konfigurace zálohování

Jakmile zajistíte úspěšné dokončení výše uvedeného kontrolního seznamu a přístupu, můžete pokračovat v konfiguraci zálohování úloh do trezoru. Pokud používáte vlastní server DNS, budete muset přidat položky DNS pro objekty blob a fronty, které jsou k dispozici po konfiguraci první zálohy.

Záznamy DNS pro objekty blob a fronty (pouze pro vlastní servery DNS nebo hostitelské soubory) po první registraci

Po nakonfigurování zálohování alespoň jednoho prostředku v trezoru s povoleným privátním koncovým bodem přidejte požadované záznamy DNS pro objekty blob a fronty, jak je popsáno níže.

1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

2. Kromě názvu privátního koncového bodu, který vám poskytl, uvidíte, že se vytvářejí dva další privátní koncové body. <the name of the private endpoint>_ecs Začínají a mají příponu _blob a _queue v uvedeném pořadí.

   

3. Přejděte ke každému z těchto privátních koncových bodů. V možnosti konfigurace DNS pro každý ze dvou privátních koncových bodů uvidíte záznam s plně kvalifikovaným názvem domény a IP adresou. Kromě těch, které jsou popsané výše, přidejte obě tyto možnosti na vlastní server DNS. Pokud používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP/plně kvalifikovaný název domény podle následujícího formátu:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

Kromě výše uvedených položek je po první záloze potřeba ještě další položka, která je popsána později.

Zálohování a obnovení úloh na virtuálním počítači Azure (SQL a SAP HANA)

Po vytvoření a schválení privátního koncového bodu se na straně klienta nevyžadují žádné další změny pro použití privátního koncového bodu (pokud nepoužíváte skupiny dostupnosti SQL, které probereme dále v této části). Veškerá komunikace a přenos dat ze zabezpečené sítě do trezoru se provede prostřednictvím privátního koncového bodu. Pokud ale odeberete privátní koncové body trezoru po registraci serveru (SQL nebo SAP HANA), budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte zastavovat ochranu.

Záznamy DNS pro objekty blob (pouze pro vlastní servery DNS nebo hostitelské soubory) po prvním zálohování

Po spuštění první zálohy a použití vlastního serveru DNS (bez podmíněného předávání) je pravděpodobné, že vaše zálohování selže. Pokud k tomu dojde:

1. Přejděte do skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

2. Kromě tří privátních koncových bodů, které jsme probírali dříve, uvidíte čtvrtý privátní koncový bod s názvem začínajícím <the name of the private endpoint>_prot a příponou _blob.

   

3. Přejděte na tento nový privátní koncový bod. V možnosti konfigurace DNS uvidíte záznam s plně kvalifikovaným názvem domény a IP adresou. Přidejte je do svého privátního serveru DNS, kromě těch, které jsou popsány výše.

   Pokud používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle následujícího formátu:

   <private ip><space><blob service privatelink FQDN>

Poznámka:

V tomto okamžiku byste měli být schopni spustit nástroj nslookup z virtuálního počítače a po dokončení překladu na privátní IP adresy na adresy URL zálohování a úložiště trezoru.

Při používání skupin dostupnosti SQL

Při používání skupin dostupnosti SQL (AG) budete muset zřídit podmíněné předávání ve vlastním DNS skupiny dostupnosti, jak je popsáno níže:

1. Přihlaste se ke svému řadiči domény.

2. V rámci aplikace DNS přidejte podmíněné předávání pro všechny tři zóny DNS (zálohování, objekty blob a fronty) do IP adresy hostitele 168.63.129.16 nebo vlastní IP adresy serveru DNS podle potřeby. Následující snímky obrazovky ukazují, když předáváte IP adresu hostitele Azure. Pokud používáte vlastní server DNS, nahraďte IP adresou vašeho serveru DNS.

   

   

Zálohování a obnovení prostřednictvím agenta MARS a serveru DPM

Při použití agenta MARS k zálohování místních prostředků se ujistěte, že je vaše místní síť (obsahující vaše prostředky zálohované) v partnerském vztahu s virtuální sítí Azure, která obsahuje privátní koncový bod trezoru, abyste ho mohli použít. Pak můžete pokračovat v instalaci agenta MARS a nakonfigurovat zálohování podle podrobných informací. Musíte ale zajistit, aby veškerá komunikace pro zálohování probíhala pouze prostřednictvím partnerské sítě.

Pokud ale odeberete privátní koncové body trezoru po registraci agenta MARS, budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte zastavovat ochranu.

Poznámka:

• Privátní koncové body jsou podporovány pouze se serverem DPM 2022 (10.22.123.0) a novějším.
• Privátní koncové body se podporují jenom s MABS V4 (14.0.30.0) a novějším.

Odstranění privátních koncových bodů

V této části se dozvíte, jak odstranit privátní koncové body.

Další témata

Vytvoření trezoru služby Recovery Services pomocí klienta Azure Resource Manageru

Pomocí klienta Azure Resource Manageru můžete vytvořit trezor služby Recovery Services a povolit jeho spravovanou identitu (povolení spravované identity se vyžaduje, jak uvidíme později). Ukázka toho, jak to udělat, je sdílená níže:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Výše uvedený soubor JSON by měl obsahovat následující obsah:

Požadavek JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

JSON odpovědi:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Poznámka:

Trezor vytvořený v tomto příkladu prostřednictvím klienta Azure Resource Manageru je již vytvořen se spravovanou identitou přiřazenou systémem.

Správa oprávnění pro skupiny prostředků

Spravovaná identita trezoru musí mít ve skupině prostředků a virtuální síti, kde se vytvoří privátní koncové body, následující oprávnění:

• Microsoft.Network/privateEndpoints/* To je nutné k provedení OPERACE CRUD u privátních koncových bodů ve skupině prostředků. Měla by být přiřazena skupině prostředků.
• Microsoft.Network/virtualNetworks/subnets/join/action To se vyžaduje ve virtuální síti, kde se privátní IP adresa připojuje k privátnímu koncovému bodu.
• Microsoft.Network/networkInterfaces/read K získání síťového rozhraní vytvořeného pro privátní koncový bod je potřeba ve skupině prostředků.
• Privátní DNS role Přispěvatel zóny Tato role již existuje a lze ji použít k poskytování Microsoft.Network/privateDnsZones/A/* a Microsoft.Network/privateDnsZones/virtualNetworkLinks/read oprávněním.

K vytvoření rolí s požadovanými oprávněními můžete použít jednu z následujících metod:

Ruční vytváření rolí a oprávnění

Vytvořte následující soubory JSON a pomocí příkazu PowerShellu na konci oddílu vytvořte role:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Použití skriptu

1. Spusťte Cloud Shell na webu Azure Portal a v okně PowerShellu vyberte Nahrát soubor.

   

2. Nahrajte následující skript: VaultMsiPrereqScript

3. Přejděte do domovské složky (například: cd /home/user)

4. Spusťte tento skript:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Toto jsou parametry:

   • předplatné: **SubscriptionId, která má skupinu prostředků, ve které se má vytvořit privátní koncový bod trezoru, a podsíť, ve které se připojí privátní koncový bod trezoru.

   • vaultPEResourceGroup: Skupina prostředků, ve které se vytvoří privátní koncový bod trezoru

   • vaultPESubnetResourceGroup: Skupina prostředků podsítě, ke které se privátní koncový bod připojí

   • vaultMsiName: Název MSI trezoru, který je stejný jako název VaultName

5. Dokončete ověřování a skript převezme kontext daného předplatného uvedeného výše. Vytvoří příslušné role, pokud v tenantovi chybí, a přiřadí role msi trezoru.

Vytváření privátních koncových bodů pomocí Azure PowerShellu

Automaticky schválené privátní koncové body

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manageru

1. Pomocí funkce GetVault získejte ID Připojení privátního koncového bodu pro privátní koncový bod.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Tím se vrátí ID Připojení ion privátního koncového bodu. Název připojení lze načíst pomocí první části ID připojení následujícím způsobem:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Získejte ID Připojení ion privátního koncového bodu (a název privátního koncového bodu bez ohledu na to, kde je to potřeba), a nahraďte ho v následujícím identifikátoru URI JSON a Azure Resource Manageru a zkuste změnit stav na "Approved/Rejected/Disconnected", jak je znázorněno v ukázce níže:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Nastavení proxy serveru pro trezor služby Recovery Services s privátním koncovým bodem

Pokud chcete nakonfigurovat proxy server pro virtuální počítač Azure nebo místní počítač, postupujte takto:

1. Přidejte následující domény, ke kterým je potřeba přistupovat z proxy serveru.

   Služba	Názvy domén	Port
   Azure Backup	*.backup.windowsazure.com	443
   Azure Storage	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra ID Aktualizované adresy URL domény uvedené v částech 56 a 59 v Microsoftu 365 Common a Office Online	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Podle potřeby.

2. Povolte přístup k těmto doménám na proxy serveru a propojte privátní zónu DNS ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, ) s virtuální sítí, *.privatelink.queue.core.windows.netve které je vytvořen proxy server nebo používá vlastní server DNS s příslušnými položkami DNS.
   
   Virtuální síť, ve které je spuštěný proxy server, a virtuální síť, ve které se vytvoří síťová karta privátního koncového bodu, by měla být v partnerském vztahu, což by proxy serveru umožnilo přesměrovat požadavky na privátní IP adresu.

   Poznámka:

   Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a Severní Evropu). Kódy oblastí najdete v následujících seznamech:

   • Všechny veřejné cloudy
   • Čína
   • Německo
   • Vláda USA
   • Seznam geografického kódu – ukázkový KÓD XML

Následující diagram znázorňuje nastavení (při používání zón Azure Privátní DNS) s proxy serverem, jehož virtuální síť je propojená s privátní zónou DNS s požadovanými položkami DNS. Proxy server může mít také vlastní server DNS a výše uvedené domény je možné podmíněně předávat na verzi 168.63.129.16. Pokud pro překlad DNS používáte vlastní soubor serveru DNS nebo hostitele, přečtěte si části týkající se správy položek DNS a konfigurace ochrany.

Vytvoření položek DNS, pokud je server DNS nebo zóna DNS přítomna v jiném předplatném

V této části probereme případy, kdy používáte zónu DNS, která se nachází v předplatném, nebo skupinu prostředků, která se liší od skupiny prostředků, která obsahuje privátní koncový bod pro trezor služby Recovery Services, jako je hvězdicová topologie. Protože spravovaná identita používaná k vytváření privátních koncových bodů (a položek DNS) má oprávnění pouze ke skupině prostředků, ve které jsou vytvořeny privátní koncové body, jsou navíc potřeba požadované položky DNS. K vytvoření položek DNS použijte následující skripty PowerShellu.

Poznámka:

Pokud chcete dosáhnout požadovaných výsledků, projděte si celý postup popsaný níže. Proces se musí opakovat dvakrát – jednou během prvního zjišťování (pro vytvoření záznamů DNS požadovaných pro účty úložiště komunikace) a potom jednou během první zálohy (pro vytvoření záznamů DNS požadovaných pro účty úložiště back-endu).

Krok 1: Získání požadovaných položek DNS

Pomocí skriptu PrivateIP.ps1 zobrazte seznam všech položek DNS, které je potřeba vytvořit.

Poznámka:

Následující subscription syntaxe odkazuje na předplatné, ve kterém se má vytvořit privátní koncový bod trezoru.

Syntaxe pro použití skriptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Ukázkový výstup

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2: Vytvoření položek DNS

Vytvořte záznamy DNS odpovídající výše uvedeným položkám. Na základě typu DNS, který používáte, máte dvě alternativy pro vytváření záznamů DNS.

Případ 1: Pokud používáte vlastní server DNS, musíte ručně vytvořit záznamy pro každý záznam z výše uvedeného skriptu a ověřit, že plně kvalifikovaný název domény (ResourceName.DNS) se překládá na privátní IP adresu v rámci virtuální sítě.

Případ 2: Pokud používáte zónu Azure Privátní DNS, můžete pomocí skriptu CreateDNSEntries.ps1 automaticky vytvořit položky DNS v zóně Privátní DNS. V následující syntaxi je tasubscription, kde Privátní DNS Zóna existuje.

Syntaxe pro použití skriptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Souhrn celého procesu

Pokud chcete správně nastavit privátní koncový bod pro trezor služby Recovery Services pomocí tohoto alternativního řešení, musíte:

1. Vytvořte privátní koncový bod pro trezor (jak je popsáno výše v článku).
2. Aktivace zjišťování Zjišťování pro SQL/HANA selže s chybou UserErrorVMInternet Připojení ivityIssue, protože pro účet úložiště komunikace chybí položky DNS.
3. Spuštěním skriptů získejte položky DNS a vytvořte odpovídající položky DNS pro účet úložiště komunikace uvedený výše v této části.
4. Retrigger discovery. Tentokrát by zjišťování mělo proběhnout úspěšně.
5. Aktivace zálohování Zálohování pro SQL/HANA a MARS může selhat, protože pro účty úložiště back-end chybí položky DNS, jak je uvedeno výše v této části.
6. Spuštěním skriptů vytvořte položky DNS pro účet úložiště back-endu.
7. Zálohování retriggeru Tentokrát by zálohování mělo proběhnout úspěšně.

Nejčastější dotazy

Můžu vytvořit privátní koncový bod pro existující trezor služby Recovery Services?

Ne, privátní koncové body je možné vytvářet jenom pro nové trezory služby Recovery Services. Trezor tedy nesmí mít nikdy žádné položky chráněné. Ve skutečnosti se před vytvořením privátních koncových bodů nedají provádět žádné pokusy o ochranu žádné položky v trezoru.

Pokusil(a) jsem se chránit položku v trezoru, ale selhala a trezor stále neobsahuje žádné položky, které jsou v něm chráněné. Můžu pro tento trezor vytvořit privátní koncové body?

Ne, trezor nesmí mít žádné pokusy o ochranu všech položek v minulosti.

Mám trezor, který používá privátní koncové body pro zálohování a obnovení. Můžu později přidat nebo odebrat privátní koncové body pro tento trezor, i když mám zálohované položky chráněné do tohoto trezoru?

Ano. Pokud jste už pro trezor vytvořili privátní koncové body a chráněné zálohované položky, můžete později podle potřeby přidat nebo odebrat privátní koncové body.

Je možné privátní koncový bod pro Azure Backup použít také pro Azure Site Recovery?

Ne, privátní koncový bod pro zálohování se dá použít jenom pro Azure Backup. Pokud je služba podporovaná službou, budete muset pro Azure Site Recovery vytvořit nový privátní koncový bod.

Chyběl jsem jeden z kroků v tomto článku a pokračoval jsem v ochraně zdroje dat. Můžu dál používat privátní koncové body?

Nesledujte kroky v článku a pokračujte v ochraně položek, což může vést k tomu, že trezor nebude moct používat privátní koncové body. Před pokračováním v ochraně položek proto doporučujeme odkazovat na tento kontrolní seznam.

Můžu místo zóny Privátního DNS Azure nebo integrované privátní zóny DNS používat vlastní server DNS?

Ano, můžete použít vlastní servery DNS. Ujistěte se ale, že jsou všechny požadované záznamy DNS přidané podle návrhu v této části.

Musím po provedení postupu v tomto článku provést na serveru nějaké další kroky?

Po provedení postupu popsaného v tomto článku nemusíte provádět další práci při použití privátních koncových bodů pro zálohování a obnovení.

Další kroky

• Přečtěte si o všech funkcích zabezpečení ve službě Azure Backup.