Freigeben über


Erstellen und Verwenden privater Endpunkte (V1-Benutzeroberfläche) für Azure Backup

Dieser Artikel enthält Informationen darüber, wie private Endpunkte für Azure Backup erstellt werden und in welchen Szenarien sie dazu beitragen, die Sicherheit Ihrer Ressourcen zu gewährleisten.

Hinweis

Azure Backup bietet jetzt eine neue Erfahrung zum Erstellen privater Endpunkte. Weitere Informationen

Vorbereitung

Stellen Sie sicher, dass Sie die Voraussetzungen und die unterstützten Szenarien überprüft haben, bevor Sie mit der Erstellung privater Endpunkte fortfahren.

Diese Details helfen Ihnen, die Einschränkungen und Bedingungen zu verstehen, die erfüllt werden müssen, bevor Sie private Endpunkte für Ihre Tresore erstellen.

Erste Schritte mit dem Erstellen privater Endpunkte für die Azure Backup

Die folgenden Abschnitte befassen sich mit den Schritten zum Erstellen und Verwenden privater Endpunkte für Azure Backup innerhalb Ihrer virtuellen Netzwerke.

Wichtig

Sie sollten die in diesem Dokument beschriebenen Schritte unbedingt in der genannten Reihenfolge durchführen. Andernfalls kann dies dazu führen, dass der Tresor nicht mehr mit dem Einsatz privater Endpunkte kompatibel ist und Sie den Vorgang mit einem neuen Tresor neu starten müssen.

Erstellen eines Recovery Services-Tresors

Private Endpunkte für Azure Backup können nur für Recovery Services-Tresore erstellt werden, die keine geschützten Elemente enthalten (oder für die in der Vergangenheit nicht versucht wurden, Elemente zu schützen oder zu registrieren). Sie sollten daher mit einem neu erstellten Tresor beginnen. Weitere Informationen zum Erstellen eines neuen Tresors finden Sie unter Erstellen und Konfigurieren eines Recovery Services-Tresors.

In diesem Abschnitt erfahren Sie, wie Sie einen Tresor mit dem Azure Resource Manager-Client erstellen. Dadurch wird ein Tresor erstellt, dessen verwaltete Identität bereits aktiviert ist.

Verweigern des öffentlichen Netzwerkzugriffs auf den Tresor

Sie können Ihre Tresore so konfigurieren, dass der Zugriff aus öffentlichen Netzwerken verweigert wird.

Folgen Sie diesen Schritten:

  1. Navigieren Sie dazu zu Tresor>Netzwerk.

  2. Wählen Sie auf der Registerkarte Öffentlicher Zugriff die Option Verweigern aus, um den Zugriff aus öffentlichen Netzwerken zu verhindern.

    Screenshot: Auswählen der Option „Verweigern“s

    Hinweis

  3. Wählen Sie Übernehmen aus, um die Änderungen zu speichern.

Aktivieren der verwalteten Identität für Ihren Tresor

Verwaltete Identitäten ermöglichen dem Tresor, private Endpunkte zu erstellen und zu nutzen. In diesem Abschnitt wird das Aktivieren der verwalteten Identität für Ihren Tresor erläutert.

  1. Navigieren Sie zu Ihrem Recovery Services-Tresor ->Identität.

    Ändern von „Identitätsstatus“ in „Ein“

  2. Ändern Sie den Status in Ein, und klicken Sie auf Speichern.

  3. Es wird eine Objekt-ID generiert, die die verwaltete Identität des Tresors darstellt.

    Hinweis

    Nach der Aktivierung darf die verwaltete Identität nicht deaktiviert werden (auch nicht vorübergehend). Die Deaktivierung der verwalteten Identität kann zu inkonsistentem Verhalten führen.

Erteilen von Berechtigungen für den Tresor zum Erstellen erforderlicher privater Endpunkte

Um die erforderlichen privaten Endpunkte für Azure Backup zu erstellen, muss der Tresor (bzw. die verwaltete Identität des Tresors) über Berechtigungen für die folgenden Ressourcengruppen verfügen:

  • Die Ressourcengruppe mit dem Ziel-VNET
  • Die Ressourcengruppe, in der die privaten Endpunkte erstellt werden sollen
  • Die Ressourcengruppe, die die privaten DNS-Zonen enthält, wie detailliert unter Erstellen privater Endpunkte für Azure Backup erläutert

Wir empfehlen, dem Tresor (der verwalteten Identität) die Rolle Mitwirkender für diese drei Ressourcengruppen zu gewähren. Die folgenden Schritte beschreiben, wie dies für eine bestimmte Ressourcengruppe erfolgt (was für jede der drei Ressourcengruppen erfolgen muss):

  1. Wechseln Sie zur Ressourcengruppe und dann auf der linken Leiste zu Zugriffssteuerung (IAM) .

  2. Wechseln Sie in Zugriffssteuerung (IAM) zu Rollenzuweisung hinzufügen.

    Hinzufügen einer Rollenzuweisung

  3. Wählen Sie im Bereich Rollenzuweisung hinzufügen die Option Mitwirkender als Rolle aus, und verwenden Sie den Namen des Tresors als Prinzipal. Wählen Sie Ihren Tresor und dann Speichern aus, wenn Sie fertig sind.

    Wählen von „Rolle“ und „Prinzipal“

Informationen zum Verwalten von Berechtigungen auf detaillierterer Ebene finden Sie unter Manuelles Erstellen von Rollen und Berechtigungen.

Erstellen privater Endpunkte für Azure Backup

In diesem Abschnitt wird erklärt, wie Sie einen privaten Endpunkt für Ihren Tresor erstellen.

  1. Navigieren Sie zu Ihrem oben erstellten Tresor, und wechseln Sie dann in der linken Navigationsleiste zu Private Endpunktverbindungen. Wählen Sie oben +Privater Endpunkt aus, um die Erstellung eines neuen privaten Endpunkts für diesen Tresor zu starten.

    Erstellen eines neuen privaten Endpunkts

  2. Sobald Sie sich im Prozess Privaten Endpunkt erstellen befinden, müssen Sie Details für die Herstellung der Verbindung mit Ihrem privaten Endpunkt angeben.

    1. Grundlagen: Geben Sie die grundlegenden Details für Ihre privaten Endpunkte ein. Die Region sollte mit der des Tresors und der Ressource, die gesichert wird, identisch sein.

      Grundlegende Informationen eingeben

    2. Ressource: Auf dieser Registerkarte müssen Sie die PaaS-Ressource auswählen, für die Sie Ihre Verbindung herstellen möchten. Wählen Sie Microsoft.RecoveryServices/vaults als Ressourcentyp für Ihr gewünschtes Abonnement. Wählen Sie anschließend den Namen Ihres Recovery Services-Tresors für Ressource und Azure Backup für Zielunterressource aus.

      Auswählen der Ressource für Ihre Verbindung

    3. Konfiguration: Geben Sie in der Konfiguration das virtuelle Netzwerk und Subnetz an, in dem der private Endpunkt erstellt werden soll. Dies ist das VNET mit der VM.

      Um eine private Verbindung herzustellen, benötigen Sie die erforderlichen DNS-Einträge. Basierend auf Ihrem Netzwerksetup können Sie zwischen den folgenden Möglichkeiten auswählen:

      • Integrieren Ihres privaten Endpunkts in eine private DNS-Zone: Wählen Sie Ja aus, wenn Sie die Integration fortsetzen möchten.
      • Verwenden des eigenen DNS-Servers: Wählen Sie Nein aus, wenn Sie einen eigenen DNS-Server verwenden möchten.

      Die Verwaltung von DNS-Einträgen für beide wird später beschrieben.

      Festlegen des virtuellen Netzwerks und des Subnetzes

    4. Optional können Sie für Ihren privaten Endpunkt Tags hinzufügen.

    5. Fahren Sie mit Überprüfen + erstellen fort, nachdem Sie die Details eingegeben haben. Klicken Sie nach Abschluss der Validierung auf Erstellen, um den privaten Endpunkt zu erstellen.

Genehmigen privater Endpunkte

Wenn der Benutzer, der den privaten Endpunkt erstellt, auch der Besitzer des Recovery Services-Tresors ist, wird der zuvor erstellte private Endpunkt automatisch genehmigt. Andernfalls muss der Besitzer des Tresors den privaten Endpunkt genehmigen, bevor er genutzt werden kann. In diesem Abschnitt wird die manuelle Genehmigung privater Endpunkte im Azure-Portal erläutert.

Weitere Informationen zum Genehmigen privater Endpunkte mithilfe des Azure Resource Manager-Clients finden Sie unter Manuelle Genehmigung privater Endpunkte mithilfe des Azure Resource Manager-Clients.

  1. Navigieren Sie in Ihrem Recovery Services-Tresor auf der linken Leiste zu Verbindungen mit privatem Endpunkt.

  2. Wählen Sie die Verbindung mit dem privaten Endpunkt aus, die Sie genehmigen möchten.

  3. Wählen Sie auf der oberen Leiste Genehmigen aus. Sie können auch Ablehnen oder Entfernen auswählen, wenn Sie die Verbindung mit dem Endpunkt ablehnen oder löschen möchten.

    Genehmigen privater Endpunkte

Verwalten von DNS-Einträgen

Wie bereits beschrieben, müssen die erforderlichen DNS-Einträge in Ihren privaten DNS-Zonen oder -Servern vorhanden sein, um eine private Verbindung herstellen zu können. Sie können Ihren privaten Endpunkt entweder direkt in die privaten Azure-DNS-Zonen integrieren oder Ihre benutzerdefinierten DNS-Server verwenden, um dies zu erreichen, je nach Ihren Netzwerkeinstellungen. Dies muss für alle drei Dienste durchgeführt werden: Sicherungen, Blobs und Warteschlangen.

Wenn Ihre DNS-Zone oder Ihr DNS-Server in einem Abonnement vorhanden ist, das sich von dem Abonnement mit dem privaten Endpunkt unterscheidet, ziehen Sie außerdem Erstellen von DNS-Einträgen, wenn der DNS-Server bzw. die DNS-Zone sich in einem anderen Abonnement befindet zurate.

Bei Integration privater Endpunkte in private Azure-DNS-Zonen

Wenn Sie Ihren privaten Endpunkt in private DNS-Zonen integrieren möchten, fügt Azure Backup die erforderlichen DNS-Einträge hinzu. Sie können die verwendeten privaten DNS-Zonen unter DNS-Konfiguration des privaten Endpunkts anzeigen. Wenn diese DNS-Zonen nicht vorhanden sind, werden sie beim Erstellen des privaten Endpunkts automatisch erstellt.

Hinweis

Die dem Tresor zugewiesene verwaltete Identität muss über Berechtigungen zum Hinzufügen von DNS-Einträgen in der privaten Azure DNS-Zone verfügen.

Sie müssen jedoch sicherstellen, dass Ihr virtuelles Netzwerk (das die zu sichernden Ressourcen enthält) ordnungsgemäß mit allen drei privaten DNS-Zonen verknüpft ist, wie unten beschrieben.

DNS-Konfiguration in der privaten Azure DNS-Zone

Hinweis

Wenn Sie Proxyserver verwenden, können Sie den Proxyserver umgehen oder Ihre Sicherungen über den Proxyserver ausführen. Fahren Sie mit den folgenden Abschnitten fort, um einen Proxyserver zu umgehen. Informationen zur Verwendung des Proxyservers zum Ausführen Ihrer Sicherungen finden Sie unter Details zum Proxyserversetup für den Recovery Services-Tresor.

Führen Sie für jede oben aufgeführte private DNS-Zone (für Sicherungen, Blobs und Warteschlangen) folgende Schritte aus:

  1. Navigieren Sie in der linken Navigationsleiste zur Option Virtuelle Netzwerklinks.

  2. Es sollte ein Eintrag für das virtuelle Netzwerk, für das Sie den privaten Endpunkt erstellt haben, wie unten abgebildet, angezeigt werden:

    Virtuelles Netzwerk für privaten Endpunkt

  3. Wenn kein Eintrag angezeigt wird, fügen Sie einen virtuellen Netzwerklink zu allen DNS-Zonen hinzu, die über keinen Eintrag verfügen.

    Hinzufügen einer virtuellen Netzwerkverknüpfung

Bei Verwendung benutzerdefinierter DNS-Server oder -Hostdateien

  • Wenn Sie einen benutzerdefinierten DNS-Server verwenden, können Sie eine bedingte Weiterleitung für die FDQNs des Sicherungsdiensts, der Blobs und der Warteschlangen nutzen, um die DNS-Anforderungen an Azure DNS (168.63.129.16) umzuleiten. Azure DNS leitet sie an die private Azure DNS-Zone um. Stellen Sie bei einem solchen Setup sicher, dass eine virtuelle Netzwerkverbindung für die private Azure DNS-Zone vorhanden ist, wie in diesem Abschnitt beschrieben.

    In der folgenden Tabelle sind die für Azure Backup erforderlichen privaten Azure DNS-Zonen aufgeführt:

    Zone Dienst
    privatelink.<geo>.backup.windowsazure.com Backup
    privatelink.blob.core.windows.net Blob
    privatelink.queue.core.windows.net Warteschlange

    Hinweis

    Im oben stehenden Text bezieht sich <geo> auf den Regionscode (z. B. eus und ne für „USA, Osten“ bzw. „Europa, Norden“). In den folgenden Listen finden Sie die Regionscodes:

  • Wenn Sie benutzerdefinierte DNS-Server oder Hostdateien verwenden und die private Azure DNS-Zone nicht eingerichtet haben, müssen Sie die für die privaten Endpunkte erforderlichen DNS-Einträge Ihren DNS-Servern oder der Hostdatei hinzufügen.

    • Für den Sicherungsdienst: Navigieren Sie zu dem privaten Endpunkt, den Sie erstellt haben, und wechseln Sie dann zu DNS-Konfiguration. Fügen Sie anschließend einen Eintrag für jeden FQDN und jede IP-Adresse hinzu, die in Ihrer DNS-Zone für Azure Backup als Einträge vom Typ A angezeigt werden.

      Wenn Sie eine Hostdatei für die Namensauflösung verwenden, nehmen Sie für jede IP und jeden FQDN entsprechende Einträge im Format <private ip><space><backup service privatelink FQDN> in der Hostdatei vor.

    • Für das Blob und die Warteschlange: Azure Backup erstellt die privaten Endpunkte für Blobs und Warteschlangen mithilfe der Berechtigungen für die verwaltete Identität. Die privaten Endpunkte für Blobs und Warteschlangen folgen einem Standardbenennungsmuster, sie beginnen mit <the name of the private endpoint>_ecs oder <the name of the private endpoint>_prot und haben das Suffix _blob und _queue.

      Navigieren Sie zu dem privaten Endpunkt, der von Azure Backup nach dem obigen Muster erstellt wurde, und wechseln Sie dann zu DNS-Konfiguration. Fügen Sie anschließend einen Eintrag für jeden FQDN und jede IP-Adresse hinzu, die in Ihrer DNS-Zone für Azure Backup als Einträge vom Typ A angezeigt werden.

      Wenn Sie eine Hostdatei für die Namensauflösung verwenden, nehmen Sie für jede IP und jeden FQDN entsprechende Einträge im Format <private ip><space><blob/queue FQDN> in der Hostdatei vor.

Hinweis

Azure Backup ordnet Ihrem Tresor möglicherweise ein neues Speicherkonto für die Sicherungsdaten zu, und die Erweiterung oder der Agent müssen auf die jeweiligen Endpunkte zugreifen. Weitere Informationen zum Hinzufügen weiterer DNS-Einträge nach der Registrierung und Sicherung finden Sie im Leitfaden im Abschnitt „Verwenden privater Endpunkte für die Sicherung“.

Verwenden privater Endpunkte für Azure Backup

Sobald die privaten Endpunkte, die für den Tresor in Ihrem VNET erstellt wurden, genehmigt sind, können Sie sie für Sicherungen und Wiederherstellungen nutzen.

Wichtig

Vergewissern Sie sich vor dem Fortfahren, dass Sie alle zuvor im Dokument erwähnten Schritte erfolgreich abgeschlossen haben. Zur Erinnerung: Sie müssen die Schritte in der folgenden Checkliste ausgeführt haben:

  1. (Neuen) Recovery Services-Tresor erstellt
  2. Den Tresor für die Nutzung der systemseitig zugewiesenen verwalteten Identität aktiviert
  3. Der verwalteten Identität des Tresors die entsprechenden Berechtigungen zugewiesen
  4. Einen privaten Endpunkt für Ihren Tresor erstellt
  5. Den privaten Endpunkt genehmigt (falls nicht automatisch genehmigt)
  6. Sichergestellt, dass alle DNS-Einträge ordnungsgemäß hinzugefügt wurden (mit Ausnahme von Blob- und Warteschlangeneinträgen für benutzerdefinierte Server, die in den folgenden Abschnitten behandelt werden)

Konnektivität des virtuellen Computers überprüft

Stellen Sie auf dem virtuellen Computer im gesperrten Netzwerk Folgendes sicher:

  1. Der virtuelle Computer sollte Zugriff auf Microsoft Entra ID haben.
  2. Führen Sie von Ihrem virtuellen Computer aus nslookup auf der Sicherungs-URL (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) aus, um die Konnektivität sicherzustellen. Dies sollte die in Ihrem virtuellen Netzwerk zugewiesene private IP zurückgeben.

Konfigurieren der Sicherung

Sobald Sie sichergestellt haben, dass die obige Prüfliste und der Zugriff erfolgreich abgeschlossen wurden, können Sie mit der Konfiguration der Sicherung von Workloads in den Tresor fortfahren. Wenn Sie einen benutzerdefinierten DNS-Server verwenden, müssen Sie DNS-Einträge für Blobs und Warteschlangen hinzufügen, die nach dem Konfigurieren der ersten Sicherung verfügbar sind.

DNS-Einträge für Blobs und Warteschlangen (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Registrierung

Nachdem Sie die Sicherung für mindestens eine Ressource in einem für private Endpunkte aktivierten Tresor konfiguriert haben, fügen Sie die erforderlichen DNS-Einträge für Blobs und Warteschlangen wie unten beschrieben hinzu.

  1. Navigieren Sie zu Ihrer Ressourcengruppe, und suchen Sie nach dem von Ihnen erstellten privaten Endpunkt.

  2. Neben dem von Ihnen angegebenen Namen des privaten Endpunkts werden zwei weitere private Endpunkte erstellt. Diese beginnen mit <the name of the private endpoint>_ecs und weisen den Suffix _blob bzw. _queue auf.

    Private Endpunktressourcen

  3. Navigieren Sie zu jedem dieser privaten Endpunkte. In der DNS-Konfigurationsoption sehen Sie für jeden der beiden privaten Endpunkte einen Eintrag mit einem FQDN und einer IP-Adresse. Fügen Sie diese beiden zu Ihrem benutzerdefinierten DNS-Server hinzu, zusätzlich zu den bereits beschriebenen. Wenn Sie eine Hostdatei verwenden, nehmen Sie für jede IP und jeden FQDN entsprechende Einträge in folgendem Format in der Hostdatei vor:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob-DNS-Konfiguration

Zusätzlich zu den oben genannten Einträgen ist nach der ersten Sicherung ein weiterer Eintrag erforderlich, der später besprochen wird.

Sichern und Wiederherstellen von Workloads in Azure VM (SQL und SAP HANA)

Sobald der private Endpunkt erstellt und genehmigt wurde, sind clientseitig keine weiteren Änderungen erforderlich, um den privaten Endpunkt zu verwenden (es sei denn, Sie verwenden SQL-Verfügbarkeitsgruppen, die später in diesem Abschnitt behandelt werden). Die gesamte Kommunikation und Datenübertragung aus Ihrem abgesicherten Netzwerk zum Tresor erfolgt über den privaten Endpunkt. Wenn Sie jedoch private Endpunkte für den Tresor entfernen, nachdem ein Server (SQL oder SAP HANA) bei ihm registriert wurde, müssen Sie den Container erneut beim Tresor registrieren. Sie müssen den Schutz für sie nicht aufheben.

DNS-Einträge für Blobs (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Sicherung

Nachdem Sie die erste Sicherung ausgeführt haben und einen benutzerdefinierten DNS-Server (ohne bedingte Weiterleitung) verwenden, ist es wahrscheinlich, dass Ihre Sicherung fehlschlägt. Wenn das passiert:

  1. Navigieren Sie zu Ihrer Ressourcengruppe, und suchen Sie nach dem von Ihnen erstellten privaten Endpunkt.

  2. Neben den drei bereits besprochenen privaten Endpunkten sehen Sie nun einen vierten privaten Endpunkt, dessen Name mit <the name of the private endpoint>_prot beginnt und den Suffix _blob aufweist.

    Privater Endpunkt mit dem Suffix „prot“

  3. Navigieren Sie zu diesem neuen privaten Endpunkt. In der DNS-Konfigurationsoption wird ein Eintrag mit einem FQDN und einer IP-Adresse angezeigt. Fügen Sie diese zu Ihrem privaten DNS-Server hinzu, zusätzlich zu den bereits beschriebenen.

    Wenn Sie eine Hostdatei verwenden, nehmen Sie für jede IP und jeden FQDN die entsprechenden Einträge in folgendem Format in der Hostdatei vor:

    <private ip><space><blob service privatelink FQDN>

Hinweis

An diesem Punkt sollten Sie in der Lage sein, nslookup vom virtuellen Computer aus auszuführen und die privaten IP-Adressen aufzulösen, wenn dies für die Azure Backup- und Azure Storage-URLs des Tresors erforderlich ist.

Bei Verwendung von SQL-Verfügbarkeitsgruppen

Wenn Sie SQL-Verfügbarkeitsgruppen (AG) verwenden, müssen Sie die bedingte Weiterleitung im benutzerdefinierten Verfügbarkeitsgruppen-DNS bereitstellen, wie unten beschrieben:

  1. Melden Sie sich bei Ihrem Domänencontroller an.

  2. Fügen Sie unter der DNS-Anwendung je nach Bedarf bedingte Weiterleitungen für alle drei DNS-Zonen (Sicherungen, Blobs und Warteschlangen) zur Host-IP 168.63.129.16 oder der benutzerdefinierten DNS-Server-IP-Adresse hinzu. Die folgenden Screenshots zeigen, wenn Sie auf die Azure-Host-IP weiterleiten. Wenn Sie einen eigenen DNS-Server verwenden, ersetzen Sie diese IP durch die IP Ihres DNS-Servers.

    Bedingte Weiterleitungen im DNS-Manager

    Neue bedingte Weiterleitung

Sichern und Wiederherstellen über den MARS-Agent und den DPM-Server

Wenn Sie den MARS-Agent zur Sicherung Ihrer lokalen Ressourcen verwenden, stellen Sie sicher, dass Ihr lokales Netzwerk (das die zu sichernden Ressourcen enthält) ein Peering mit dem virtuellen Azure-Netzwerk aufweist, das einen privaten Endpunkt für den Tresor enthält, damit Sie ihn nutzen können. Sie können dann mit der Installation des MARS-Agents fortfahren und die Sicherung wie hier beschrieben konfigurieren. Sie müssen jedoch sicherstellen, dass die gesamte Kommunikation für die Sicherung ausschließlich über das Peeringnetzwerk erfolgt.

Wenn Sie jedoch private Endpunkte für den Tresor entfernen, nachdem ein MARS-Agent bei ihm registriert wurde, müssen Sie den Container erneut beim Tresor registrieren. Sie müssen den Schutz für sie nicht aufheben.

Hinweis

  • Private Endpunkte werden nur mit DPM Server 2022 (10.22.123.0) und höher unterstützt.
  • Private Endpunkte werden nur mit MABS V4 (14.0.30.0) und höher unterstützt.

Löschen privater Endpunkte

Informationen zum Löschen privater Endpunkte finden Sie in diesem Abschnitt.

Weitere Themen

Erstellen eines Recovery Services-Tresors mit dem Azure Resource Manager-Client

Sie können den Recovery Services-Tresor erstellen und seine verwaltete Identität mit dem Azure Resource Manager-Client aktivieren (die Aktivierung der verwalteten Identität ist erforderlich, wie wir später sehen werden). Ein Beispiel hierfür finden Sie nachstehend:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Die obige JSON-Datei muss folgenden Inhalt aufweisen:

JSON-Code der Anforderung:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

JSON-Code der Antwort:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Hinweis

Der Tresor, der in diesem Beispiel mit dem Azure Resource Manager-Client erstellt wird, wurde bereits mit einer systemseitig zugewiesenen verwalteten Identität angelegt.

Verwalten von Berechtigungen für Ressourcengruppen

Die verwaltete Identität für den Tresor muss in der Ressourcengruppe und im virtuellen Netzwerk, in dem die privaten Endpunkte erstellt werden, über die folgenden Berechtigungen verfügen:

  • Microsoft.Network/privateEndpoints/* Erforderlich, um CRUD-Vorgänge (Create, Read, Update und Delete [Erstellen, Lesen, Aktualisieren und Löschen]) für private Endpunkte in der Ressourcengruppe auszuführen. Muss der Ressourcengruppe zugewiesen werden.
  • Microsoft.Network/virtualNetworks/subnets/join/action Erforderlich für das virtuelle Netzwerk, in dem private IP-Adressen mit dem privaten Endpunkt verbunden werden.
  • Microsoft.Network/networkInterfaces/read Erforderlich für die Ressourcengruppe, um die für den privaten Endpunkt erstellte Netzwerkschnittstelle abzurufen.
  • Rolle „Mitwirkender“ für die private DNS-Zone: Ist bereits vorhanden und kann verwendet werden, um die Berechtigungen Microsoft.Network/privateDnsZones/A/* und Microsoft.Network/privateDnsZones/virtualNetworkLinks/read bereitzustellen.

Sie können mithilfe einer der folgenden Methoden Rollen mit den erforderlichen Berechtigungen anlegen:

Manuelles Erstellen von Rollen und Berechtigungen

Erstellen Sie die folgenden JSON-Dateien, und legen Sie anschließend mit dem PowerShell-Befehl am Ende des Abschnitts Rollen an:

//PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Verwenden eines Skripts

  1. Starten Sie im Azure-Portal die Cloud Shell, und wählen Sie im PowerShell-Fenster Datei hochladen aus.

    „Datei hochladen“ im PowerShell-Fenster auswählen

  2. Laden Sie das folgende Skript hoch: VaultMsiPrereqScript

  3. Wechseln Sie zu Ihrem Stammordner (Beispiel: cd /home/user).

  4. Führen Sie folgendes Skript aus:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Die Parameter lauten wie folgt:

    • subscription: **SubscriptionId mit der Ressourcengruppe, in der der private Endpunkt für den Tresor erstellt werden soll, und dem Subnetz, an das der private Endpunkt des Tresors angefügt werden soll

    • vaultPEResourceGroup: Ressourcengruppe, in der die privaten Endpunkte für den Tresor erstellt werden sollen

    • vaultPESubnetResourceGroup: Ressourcengruppe des Subnetzes, mit dem der private Endpunkt verknüpft wird

    • vaultMsiName: MSI-Name des Tresors, der mit VaultName übereinstimmt

  5. Vervollständigen Sie die Authentifizierung. Das Skript berücksichtigt den Kontext des oben angegebenen Abonnements. Es erstellt die entsprechenden Rollen, falls sie im Mandanten fehlen, und weist dem MSI des Tresors Rollen zu.

Erstellen privater Endpunkte mit Azure PowerShell

Automatisch genehmigte private Endpunkte

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Manuelle Genehmigung privater Endpunkte mithilfe des Azure Resource Manager-Clients

  1. Rufen Sie mit GetVault die Verbindungs-ID für Ihren privaten Endpunkt ab.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Dadurch wird die Verbindungs-ID des privaten Endpunkts zurückgegeben. Der Name der Verbindung kann durch Nutzung des ersten Teils der Verbindungs-ID wie folgt abgerufen werden:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Rufen Sie die Verbindungs-ID des privaten Endpunkts (und den Namen des privaten Endpunkts, sofern erforderlich) aus der Antwort ab. Ersetzen Sie sie im folgenden JSON-Code und Azure Resource Manager-URI, und versuchen Sie, den Status in „Approved/Rejected/Disconnected“ zu ändern, wie im folgenden Beispiel veranschaulicht:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Einrichten eines Proxyservers für den Recovery Services-Tresor mit privatem Endpunkt

Führen Sie die folgenden Schritte aus, um einen Proxyserver für einen virtuellen Azure-Computer oder einen lokalen Computer zu konfigurieren:

  1. Fügen Sie die folgenden Domänen hinzu, auf die vom Proxyserver aus zugegriffen werden muss.

    Dienst Domänennamen Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    Die in den Abschnitten 56 und 59 in Microsoft 365 Common und Office Online erwähnten Domänen-URLs wurden aktualisiert.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Wie anwendbar.
  2. Erlauben Sie den Zugriff auf diese Domänen auf dem Proxyserver, und verknüpfen Sie die private DNS-Zone (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) mit dem virtuellen Netzwerk, in dem der Proxyserver erstellt wird, oder verwenden Sie einen benutzerdefinierten DNS-Server mit den entsprechenden DNS-Einträgen.

    Das virtuelle Netzwerk, in dem der Proxyserver ausgeführt wird, und das virtuelle Netzwerk, in dem die private Endpunkt-NIC erstellt wird, sollten per Peering verbunden werden, sodass der Proxyserver die Anforderungen an die private IP-Adresse umleiten kann.

    Hinweis

    Im oben stehenden Text bezieht sich <geo> auf den Regionscode (z. B. eus und ne für „USA, Osten“ bzw. „Europa, Norden“). In den folgenden Listen finden Sie die Regionscodes:

Das folgende Diagramm zeigt ein Setup (bei Verwendung der privaten Azure-DNS-Zonen) mit einem Proxyserver, dessen virtuelles Netzwerk mit einer privaten DNS-Zone mit erforderlichen DNS-Einträgen verknüpft ist. Der Proxyserver kann auch einen eigenen DNS-Server haben, und die oben genannten Domänen können bedingt an 168.63.129.16 weitergeleitet werden. Wenn Sie eine benutzerdefinierte DNS-Server-/-Hostdatei für die DNS-Auflösung verwenden, lesen Sie die Abschnitte zum Verwalten von DNS-Einträgen und Konfigurieren des Schutzes.

Diagramm eines Setups mit einem Proxyserver.

Erstellen von DNS-Einträgen, wenn der DNS-Server bzw. die DNS-Zone sich in einem anderen Abonnement befindet

In diesem Abschnitt werden die Fälle erläutert, in denen Sie eine DNS-Zone verwenden, die in einem Abonnement vorhanden ist, oder eine Ressourcengruppe, die sich von der Ressourcengruppe unterscheidet, die den privaten Endpunkt für den Recovery Services-Tresor enthält, z. B. eine Hub-and-Spoke-Topologie. Da die zum Erstellen von private Endpunkten (und der DNS-Einträge) verwendete verwaltete Identität nur über Berechtigungen für die Ressourcengruppe verfügt, in der die privaten Endpunkte erstellt werden, werden zusätzlich die erforderlichen DNS-Einträge benötigt. Verwenden Sie die folgenden PowerShell-Skripts, um DNS-Einträge zu erstellen.

Hinweis

Sehen Sie sich den gesamten unten beschriebenen Prozess an, um die erforderlichen Ergebnisse zu erzielen. Der Prozess muss zweimal wiederholt werden – einmal während der ersten Ermittlung (um die für Kommunikationsspeicherkonten erforderlichen DNS-Einträge zu erstellen) und dann noch einmal während der ersten Sicherung (um die für Back-End-Speicherkonten erforderlichen DNS-Einträge zu erstellen).

Schritt 1: Abrufen der erforderlichen DNS-Einträge

Verwenden Sie das Skript PrivateIP.ps1, um alle DNS-Einträge aufzulisten, die erstellt werden müssen.

Hinweis

In der folgenden Syntax bezieht sich subscription auf das Abonnement, in dem der private Endpunkt des Tresors erstellt werden soll.

Syntax für die Verwendung des Skripts

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Beispielausgabe

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Schritt 2: Erstellen von DNS-Einträgen

Erstellen Sie DNS-Einträge entsprechend den oben genannten Einträgen. Basierend auf dem verwendeten DNS-Typ gibt es zwei Alternativen zum Erstellen von DNS-Einträgen.

Fall 1: Wenn Sie einen benutzerdefinierten DNS-Server verwenden, müssen Sie manuell Einträge für jeden Datensatz aus dem obigen Skript erstellen und überprüfen, ob der FQDN (ResourceName.DNS) in eine private IP-Adresse innerhalb des virtuellen Netzwerks aufgelöst wird.

Fall 2: Wenn Sie Azure DNS Private Zones verwenden, können Sie das Skript CreateDNSEntries.ps1 verwenden, um automatisch DNS-Einträge in der Zone „Privates DNS“ zu erstellen. In der folgenden Syntax ist subscription das in der Zone „Privates DNS“ vorhandene Abonnement.

Syntax für die Verwendung des Skripts

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Zusammenfassung des gesamten Prozesses

Um den privaten Endpunkt für den Recovery Services-Tresor über diese Problemumgehung ordnungsgemäß einzurichten, müssen Sie folgende Schritte ausführen:

  1. Erstellen Sie einen privaten Endpunkt für den Tresor (wie weiter oben in diesem Artikel beschrieben).
  2. Lösen Sie die Ermittlung aus. Die Ermittlung für SQL/HANA schlägt mit UserErrorVMInternetConnectivityIssue fehl, da DNS-Einträge für das Kommunikationsspeicherkonto fehlen.
  3. Führen Sie die Skripts aus, um DNS-Einträge abzurufen und entsprechende DNS-Einträge für das zuvor in diesem Abschnitt erwähnte Kommunikationsspeicherkonto zu erstellen.
  4. Lösen Sie die Ermittlung erneut aus. Dieses Mal sollte die Ermittlung gelingen.
  5. Lösen Sie die Sicherung aus. Die Sicherung für SQL/HANA und MARS kann fehlschlagen, da DNS-Einträge für Back-End-Speicherkonten fehlen, wie weiter oben in diesem Abschnitt erwähnt.
  6. Führen Sie die Skripts aus, um DNS-Einträge für das Back-End-Speicherkonto zu erstellen.
  7. Lösen Sie die Sicherung erneut aus. Dieses Mal sollten die Sicherungen gelingen.

Häufig gestellte Fragen

Kann ich einen privaten Endpunkt für einen vorhandenen Recovery Services-Tresor erstellen?

Nein, private Endpunkte können nur für neue Recovery Services Vaults erstellt werden. Daher durfte der Tresor zu keiner Zeit Elemente enthalten, die durch ihn geschützt wurden. Vor der Einrichtung privater Endpunkte können keine Versuche erfolgen, Elemente im Tresor zu schützen.

Ich habe versucht, ein Element in meinem Tresor zu schützen, was aber nicht gelang, und der Tresor enthält immer noch keine geschützten Elemente. Kann ich private Endpunkte für diesen Tresor erstellen?

Nein, mit dem Tresor darf in der Vergangenheit nicht versucht worden sein, Elemente darin zu schützen.

Ich habe einen Tresor, der private Endpunkte für Sicherung und Wiederherstellung nutzt. Kann ich später private Endpunkte für diesen Tresor hinzufügen oder entfernen, auch wenn ich Sicherungselemente darin geschützt habe?

Ja. Wenn Sie bereits private Endpunkte für einen Tresor und geschützte Sicherungselemente darin erstellt haben, können Sie später je nach Bedarf private Endpunkte hinzufügen oder entfernen.

Kann der private Endpunkt für Azure Backup auch für Azure Site Recovery genutzt werden?

Nein, der private Endpunkt für Backup kann nur für Azure Backup genutzt werden. Sie müssen einen neuen privaten Endpunkt für Azure Site Recovery erstellen, sofern vom Dienst unterstützt.

Ich habe einen der Schritte in diesem Artikel versäumt und das Schützen meiner Datenquelle fortgesetzt. Kann ich weiterhin private Endpunkte verwenden?

Wenn Sie die Schritte im Artikel nicht befolgen und Elemente weiterhin schützen, kann dies dazu führen, dass der Tresor private Endpunkte nicht nutzen kann. Es wird daher empfohlen, sich auf diese Checkliste zu beziehen, bevor Sie mit dem Schützen von Elementen fortfahren.

Kann ich meinen eigenen DNS-Server verwenden, anstatt die private DNS-Zone in Azure oder eine integrierte private DNS-Zone zu nutzen?

Ja, Sie können Ihre eigenen DNS-Server verwenden. Stellen Sie jedoch sicher, dass alle erforderlichen DNS-Einträge wie in diesem Abschnitt beschrieben hinzugefügt werden.

Muss ich zusätzliche Schritte auf meinem Server durchführen, nachdem ich den in diesem Artikel beschriebenen Prozess befolgt habe?

Nachdem Sie den in diesem Artikel beschriebenen Prozess befolgt haben, müssen Sie keine weiteren Schritte unternehmen, um private Endpunkte für Sicherung und Wiederherstellung zu nutzen.

Nächste Schritte