Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con Azure Backup, puede realizar copias de seguridad y restaurar los datos desde los almacenes de Recovery Services mediante puntos de conexión privados. Los puntos de conexión privados usan una o varias direcciones IP privadas de la red virtual de Azure para incorporar eficazmente el servicio a la red virtual.
Este artículo le ayuda a comprender cómo funcionan los puntos de conexión privados para Azure Backup en la experiencia de la versión 1 de creación de puntos de conexión privados. Proporciona escenarios en los que el uso de puntos de conexión privados ayuda a mantener la seguridad de los recursos.
Azure Backup también proporciona una experiencia de versión 2 para crear y usar puntos de conexión privados. Más información.
Consideraciones antes de empezar
Solo puede crear puntos de conexión privados para nuevas bóvedas de Recovery Services si no hay ningún elemento registrado en la bóveda. Debe crear puntos de conexión privados antes de intentar proteger cualquier elemento de la bóveda. Sin embargo, actualmente no se admiten puntos de conexión privados para las bóvedas de copia de seguridad.
Las claves administradas por el cliente (CMK) con un almacén de claves con restricción de red no se admiten con un almacén de claves que esté habilitado para puntos de conexión privados.
Una red virtual puede contener puntos de conexión privados para varios almacenes de Recovery Services. Además, una bóveda de servicios de recuperación puede tener puntos de conexión privados en varias redes virtuales. Puede crear un máximo de 12 puntos de conexión privados para una bóveda.
Si el acceso a la red pública para la bóveda está establecido en Permitir desde todas las redes, la bóveda permite respaldos y restauraciones desde cualquier máquina registrada en la bóveda. Si el acceso a la red pública para el almacén se establece en Denegar, el almacén solo permite copias de seguridad y restauraciones de las máquinas registradas en el almacén que solicitan copias de seguridad o restauraciones a través de direcciones IP privadas asignadas para el almacén.
Una conexión de punto de conexión privado para Azure Backup usa un total de 11 direcciones IP privadas en la subred, incluidas las direcciones IP que Usa Azure Backup para el almacenamiento. Este número puede ser mayor para determinadas regiones de Azure. Se recomienda tener suficientes direcciones IP privadas (/25) disponibles al intentar crear puntos de conexión privados para Azure Backup.
Aunque Tanto Azure Backup como Azure Site Recovery usan un almacén de Recovery Services, en este artículo se describe el uso de puntos de conexión privados solo para Azure Backup.
Los puntos de conexión privados para Azure Backup no incluyen el acceso al identificador de Microsoft Entra. Debe proporcionar acceso a Microsoft Entra ID por separado.
Las direcciones IP y los nombres de dominio completos (FQDN) necesarios para que el identificador de Entra de Microsoft funcione en una región necesitan que se permita el acceso saliente desde la red protegida al realizar:
- Copia de seguridad de bases de datos en máquinas virtuales (VM) de Azure.
- Una copia de seguridad que utiliza el agente de Microsoft Azure Recovery Services (MARS).
También puede usar etiquetas de grupo de seguridad de red (NSG) y etiquetas de Azure Firewall para permitir el acceso a Microsoft Entra ID, según corresponda.
Debe volver a registrar el proveedor de recursos de Recovery Services con su suscripción si se registró antes del 1 de mayo de 2020. Para volver a registrar el proveedor, vaya a su suscripción en el portal de Azure, diríjase a Proveedor de recursos en el menú de la izquierda y luego seleccione Microsoft.RecoveryServices>Volver a registrar.
No se admite la restauración entre regiones para las copias de seguridad de bases de datos de SQL Server y SAP HANA si la bóveda tiene habilitados endpoints privados.
Al mover una bóveda de Recovery Services que ya está utilizando puntos de conexión privados a un nuevo tenant, debe actualizar la bóveda de Recovery Services para recrear y reconfigurar la identidad administrada de la bóveda. Cree puntos de conexión privados en el nuevo inquilino según sea necesario. Si no realiza estas tareas, las operaciones de copia de seguridad y restauración comenzarán a generar errores. Además, los permisos de control de acceso basado en rol (RBAC) de Azure configurados dentro de la suscripción deben volver a configurarse.
Escenarios recomendados y soportados
Aunque los puntos de conexión privados están habilitados para el almacén, se utilizan solo para la copia de seguridad y restauración de cargas de trabajo de SQL Server y SAP HANA en una máquina virtual de Azure, para la copia de seguridad utilizando el agente de MARS y para System Center Data Protection Manager (DPM). También puede usar el almacén para la copia de seguridad de otras cargas de trabajo, aunque estas no requieren puntos de conexión privados. Además de las copias de seguridad de cargas de trabajo y copias de seguridad de SQL Server y SAP HANA a través del agente de MARS, los puntos de conexión privados se usan para realizar la recuperación de archivos para las copias de seguridad de máquinas virtuales de Azure.
En la tabla siguiente se proporciona más información:
| Scenario | Recomendaciones |
|---|---|
| Copia de seguridad de cargas de trabajo en una máquina virtual de Azure (SQL Server, SAP HANA), copia de seguridad a través del agente de MARS, servidor DPM | Se recomienda el uso de puntos de conexión privados para permitir realizar copias de seguridad y restaurar sin necesidad de agregar a una lista de permisos las direcciones IP o FQDN para Azure Backup o Azure Storage desde tus redes virtuales. En ese escenario, asegúrese de que las máquinas virtuales que hospedan las bases de datos SQL pueden comunicarse con direcciones IP o FQDN de Microsoft Entra. |
| Copia de seguridad de máquina virtual de Azure | Una copia de seguridad de máquina virtual no requiere que permita el acceso a direcciones IP o FQDN. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración de discos. Sin embargo, la recuperación de archivos de una bóveda que contiene puntos de conexión privados se restringiría a aquellas redes virtuales que tienen un punto de conexión privado para la bóveda. Cuando use discos no administrados en una lista de control de acceso (ACL), asegúrese de que la cuenta de almacenamiento que contiene los discos permite el acceso a servicios de Microsoft de confianza si está en una ACL. |
| Copia de seguridad de Azure Files | Una copia de seguridad de Azure Files se almacena en la cuenta de almacenamiento local. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración. |
| Cambio de red virtual para un punto de acceso privado en la bóveda y la máquina virtual | Detenga la protección de copia de seguridad y configure la protección de copia de seguridad en una nueva bóveda con puntos de conexión privados habilitados. |
Nota
Los puntos de conexión privados solo se admiten con DPM 2022, Microsoft Azure Backup Server (MABS) v4 y versiones posteriores.
Escenario no admitido
Para las operaciones de copia de seguridad y restauración, un almacén de Recovery Services habilitado para punto de conexión privado no es compatible con un almacén de claves de Azure habilitado para puntos de conexión privados para almacenar CMK en un almacén de Recovery Services.
Diferencia en las conexiones de red para puntos de conexión privados
Como se mencionó anteriormente, los puntos de conexión privados son especialmente útiles para las copias de seguridad de cargas de trabajo (SQL Server y SAP HANA) en máquinas virtuales de Azure y copias de seguridad de agentes de MARS.
En todos los escenarios (con o sin puntos de conexión privados), las extensiones de carga de trabajo (para la copia de seguridad de instancias de SQL Server y SAP HANA que se ejecutan dentro de máquinas virtuales de Azure) y el agente de MARS realizan llamadas de conexión al identificador de Microsoft Entra. Realizan las llamadas a FQDN mencionadas en las secciones 56 y 59 de Microsoft 365 Common y Office Online.
Además de estas conexiones, cuando se instala la extensión de carga de trabajo o el agente de MARS para una bóveda de servicios de recuperación sin puntos de conexión privados, se requiere conectividad con los siguientes dominios:
| Servicio | Nombres de dominio | Puerto |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59. |
443 Según corresponda |
Cuando se instala la extensión de carga de trabajo o el agente de MARS para un almacén de Recovery Services con un punto de conexión privado, están implicados los siguientes puntos de conexión.
| Servicio | Nombres de dominio | Puerto |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59. |
443 Según corresponda |
Nota
En el texto anterior, <geo> hace referencia al código de región (por ejemplo, eus para Este de EE. UU. y ne Norte de Europa). Para obtener más información sobre los códigos de región, consulte la lista siguiente:
Para actualizar automáticamente el agente de MARS, permita el acceso a download.microsoft.com/download/MARSagent/*.
Sin embargo, para un almacén de Recovery Services con la configuración de punto de conexión privado, la resolución de nombres para el FQDN (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) debe devolver una dirección IP privada. Puede lograrlo mediante:
- Zonas DNS privadas de Azure.
- DNS personalizado.
- Entradas DNS en archivos host.
- Reenviadores condicionales a Azure DNS o zonas de Azure DNS privado.
Los puntos de conexión privados para blobs y colas siguen un patrón de nomenclatura estándar. Comienzan con <name of the private endpoint>_ecs o <name of the private endpoint>_prot, y están sufijados con _blob y _queue (respectivamente).
Nota
Se recomienda usar zonas DNS privadas de Azure. Permiten administrar los registros DNS para blobs y colas mediante Azure Backup. La identidad administrada asignada a la bóveda se usa para automatizar la adición de registros DNS siempre que se asigna una nueva cuenta de almacenamiento para los datos de copia de seguridad.
Si configuró un servidor proxy DNS mediante servidores proxy de terceros o firewalls, los nombres de dominio anteriores deben permitirse y redirigirse a una de estas opciones:
- DNS personalizado que tiene registros DNS para los FQDN anteriores
- 168.63.129.16 en la red virtual de Azure que tiene zonas DNS privadas vinculadas a ella
En el ejemplo siguiente se muestra cómo Azure Firewall se utiliza como proxy DNS para redirigir las consultas de nombres de dominio de un almacén de Recovery Services, blobs, colas y el ID de Microsoft Entra a 168.63.129.16.
Para obtener más información, consulte Creación y uso de puntos de conexión privados.
Configuración de conectividad de red para una bóveda con puntos de conexión privados
El punto de conexión privado para los servicios de recuperación está asociado a una interfaz de red (NIC). Para que las conexiones de punto de conexión privado funcionen, todo el tráfico del servicio de Azure debe redirigirse a la interfaz de red. Para lograr este redireccionamiento, agregue la asignación de DNS para las IP privadas asociadas con la interfaz de red, vinculándolas a la URL del servicio, del blob o de la cola.
Cuando las extensiones de copia de seguridad de carga de trabajo se instalan en la máquina virtual registrada en un almacén de Recovery Services con un punto de conexión privado, la extensión intenta una conexión en la dirección URL privada de los servicios de Azure Backup: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Si la dirección URL privada no funciona, la extensión intenta la dirección URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Nota
En el texto anterior, <geo> hace referencia al código de región (por ejemplo, eus para Este de EE. UU. y ne Norte de Europa). Para obtener más información sobre los códigos de región, consulte la lista siguiente:
Estas direcciones URL privadas son específicas del almacén. Solo las extensiones y agentes registrados en la bóveda pueden comunicarse con Azure Backup a través de estos puntos de conexión. Si el acceso a la red pública para la bóveda de Servicios de Recuperación está configurado como Denegar, esta configuración restringe a los clientes que no se ejecutan en la red virtual de solicitar operaciones de copia de seguridad y restauración en la bóveda.
Se recomienda establecer el acceso a la red pública en Denegar, junto con la configuración del punto de conexión privado. Como la extensión y el agente intentan usar inicialmente la dirección URL privada, la *.privatelink.<geo>.backup.windowsazure.com resolución DNS de la dirección URL debe devolver la dirección IP privada correspondiente asociada al punto de conexión privado.
Las soluciones para la resolución DNS son:
- Zonas DNS privadas de Azure
- DNS personalizado
- Entradas DNS en archivos host
- Reenviadores condicionales a Azure DNS o zonas DNS privadas de Azure
Al crear el punto de conexión privado para Recovery Services a través de Azure Portal con la opción Integrar con zona DNS privada , las entradas DNS necesarias para las direcciones IP privadas para los servicios de Azure Backup (*.privatelink.<geo>backup.windowsazure.com) se crean automáticamente cada vez que se asigna el recurso. En otras soluciones, es necesario crear manualmente las entradas DNS para estos FQDN en el DNS personalizado o en los archivos host.
Para la administración manual de registros DNS para blobs y colas después de la detección de máquinas virtuales para el canal de comunicación, consulte Registros DNS para blobs y colas (solo para servidores DNS o archivos host personalizados) después del primer registro. Para la administración manual de registros DNS después de la primera copia de seguridad de los blobs de cuentas de almacenamiento de copia de seguridad, consulte Registros DNS para blobs (solo para servidores DNS o archivos host personalizados) después de la primera copia de seguridad.
Puede encontrar las direcciones IP privadas de los FQDN en el panel del punto de conexión privado que creó para la bóveda de servicios de recuperación.
En el diagrama siguiente se muestra cómo funciona la resolución cuando se usa una zona DNS privada para resolver estos FQDN de servicio privado.
La extensión de carga de trabajo que se ejecuta en una máquina virtual de Azure requiere una conexión con al menos dos cuentas de almacenamiento. La primera se usa como canal de comunicación, a través de mensajes de cola. La segunda consiste en almacenar datos de copia de seguridad. El agente de MARS requiere acceso a una cuenta de almacenamiento que se usa para almacenar los datos de copia de seguridad.
Para una bóveda habilitada para punto de conexión privado, el servicio Azure Backup crea un punto de conexión privado para estas cuentas de almacenamiento. Esta acción impide que cualquier tráfico de red relacionado con Azure Backup (tráfico del plano de control al servicio y los datos de copia de seguridad en el blob de almacenamiento) salga de la red virtual. Además de los servicios en la nube de Azure Backup, la extensión de carga de trabajo y el agente requieren conectividad con las cuentas de Azure Storage y Microsoft Entra ID.
Como requisito previo, la bóveda de Recovery Services requiere permisos para crear puntos de conexión privados adicionales en el mismo grupo de recursos. También se recomienda proporcionar al almacén de Recovery Services los permisos para crear entradas DNS en las zonas DNS privadas (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). La bóveda de Recovery Services busca zonas DNS privadas en los grupos de recursos donde se crean la red virtual y el punto de conexión privado. Si tiene los permisos para agregar entradas DNS en estas zonas, crea estas entradas. De lo contrario, debe crearlos manualmente.
Nota
La integración con zonas DNS privadas en distintas suscripciones no se admite en esta experiencia.
En el diagrama siguiente se muestra cómo funciona la resolución de nombres para las cuentas de almacenamiento que usan una zona DNS privada.
