Creación y uso de puntos de conexión privados (experiencia v1) para Azure Backup

En este artículo se ofrece información acerca del proceso de creación de puntos de conexión privados para Azure Backup y los escenarios en los que ayudan a preservar la seguridad de los recursos.

Nota

Azure Backup ofrece ahora una nueva experiencia para crear puntos de conexión privados. Más información.

Antes de comenzar

Asegúrese de haber leído los requisitos previos y los escenarios admitidos antes de continuar con la creación de puntos de conexión privados.

Estos detalles le ayudarán a comprender las limitaciones y condiciones que deben cumplirse antes de crear puntos de conexión privados para los almacenes.

Introducción a la creación de puntos de conexión privados para Backup

En las siguientes secciones se tratan los pasos necesarios para crear y usar puntos de conexión privados para Azure Backup dentro de las redes virtuales.

Importante

Se recomienda encarecidamente que siga los pasos en la misma secuencia que se mencionan en este documento. Si no lo hace, puede que el almacén sea incompatible con el uso de puntos de conexión privados y que tenga que reiniciar el proceso con un nuevo almacén.

Creación de un almacén de Recovery Services

Los puntos de conexión privados para Backup solo se pueden crear para almacenes de Recovery Services que no tengan ningún elemento protegido (o que no hayan intentado protegerse o registrarse en él en el pasado). Por lo tanto, se recomienda crear un nuevo almacén para comenzar. Para obtener más información sobre cómo crear un almacén, consulte Creación y configuración de un almacén de Recovery Services.

Consulte esta sección para aprender a crear un almacén mediante el cliente de Azure Resource Manager. Esto crea un almacén con su identidad administrada ya habilitada.

Denegación del acceso de red pública al almacén

Puede configurar los almacenes para que denieguen el acceso desde redes públicas.

Siga estos pasos:

  1. Vaya al almacén>Redes.

  2. En la pestaña Acceso público, seleccione Denegar para impedir el acceso desde redes públicas.

    Screenshot showing how to select the Deny option.

    Nota:

  3. Seleccione Aplicar para guardar los cambios.

Habilitar la identidad administrada del almacén

Las identidades administradas permiten al almacén crear y usar puntos de conexión privados. En esta sección se habla sobre cómo habilitar la identidad administrada del almacén.

  1. Vaya al almacén de Recovery Services ->Identidad.

    Change Identity status to On

  2. Cambie el Estado a Activado y seleccione Guardar.

  3. Se genera una Id. de objeto, que es la identidad administrada del almacén.

    Nota:

    Una vez habilitada, la identidad administrada NO debe deshabilitarse (ni siquiera temporalmente). Deshabilitar la identidad administrada puede provocar un comportamiento incoherente.

Concesión de permisos al almacén para crear los puntos de conexión privados necesarios

Para crear los puntos de conexión privados necesarios para Azure Backup, el almacén (la identidad administrada del almacén) debe tener permisos para los siguientes grupos de recursos:

  • El grupo de recursos que contiene la red virtual de destino
  • El grupo de recursos donde se crearán los puntos de conexión privados
  • El grupo de recursos que contiene las zonas DNS privadas, como se explica aquí de forma detallada.

Se recomienda conceder el rol Colaborador para estos tres grupos de recursos en el almacén (identidad administrada). En los pasos siguientes se describe cómo hacer esto para un determinado grupo de recursos (esto se debe hacer para cada uno de los tres grupos de recursos):

  1. Vaya al grupo de recursos y navegue a Control de acceso (IAM) en la barra de la izquierda.

  2. Una vez en Control de acceso, vaya a Agregar una asignación de roles.

    Add a role assignment

  3. En el panel de Agregar asignación de roles, seleccione Colaborador como Roly use el Nombre del almacén como Entidad de seguridad. Seleccione el almacén y, cuando haya terminado, seleccione Guardar.

    Choose role and principal

Para administrar los permisos de forma más detallada, consulte Crear roles y permisos manualmente.

Creación de puntos de conexión privados para Azure Backup

En esta sección se explica cómo crear un punto de conexión privado para el almacén.

  1. Navegue hasta el almacén creado anteriormente y vaya a Conexiones de punto de conexión privado en la barra de navegación izquierda. Seleccione + Punto de conexión privado en la parte superior para comenzar la creación de un nuevo punto de conexión privado para este almacén.

    Create new private endpoint

  2. Una vez que empiece el proceso para Crear un punto de conexión privado, se le pedirá que especifique los detalles para crear la conexión de punto de conexión privado.

    1. Aspectos básicos: Rellene los detalles básicos de los puntos de conexión privados. La región debe ser la misma que la del almacén y el recurso de los que se va a hacer una copia de seguridad.

      Fill in basic details

    2. Recursos: esta pestaña requiere que seleccione el recurso de PaaS para el que quiere crear la conexión. Seleccione Microsoft.RecoveryServices/vaults del tipo de recurso para la suscripción deseada. Una vez hecho esto, elija el nombre del almacén de Recovery Services como Recurso y AzureBackup como el Subrecurso de destino.

      Select the resource for your connection

    3. Configuración: En Configuración, especifique la red virtual y la subred en la que desea que se cree el punto de conexión privado. Esta será la red virtual donde está presente la máquina virtual.

      Para conectarse de manera privada, necesita los registros DNS necesarios. Según la configuración de la red, puede elegir una de las siguientes opciones:

      • Integrar el punto de conexión privado con una zona DNS privada: seleccione si quiere realizar la integración.
      • Usar el servidor DNS personalizado: seleccione No si quiere usar su propio servidor DNS.

      La administración de registros DNS para ambas opciones se describe más adelante.

      Specify the virtual network and subnet

    4. Opcionalmente, puede agregar Etiquetas para el punto de conexión privado.

    5. Continúe para Revisar y crear una vez que haya terminado de escribir los detalles. Una vez finalizada la validación, seleccione Crear para crear el punto de conexión privado.

Aprobación de puntos de conexión privados

Si el usuario que crea el punto de conexión privado también es el propietario del almacén de Recovery Services, el punto de conexión privado creado anteriormente se aprobará automáticamente. De lo contrario, el propietario del almacén debe aprobar el punto de conexión privado antes de poder usarlo. En esta sección se describe la aprobación manual de los puntos de conexión privados a través de Azure Portal.

Consulte la sección Aprobación manual de los puntos de conexión privados mediante el cliente de Azure Resource Manager para usar el cliente de Azure Resource Manager para la aprobación de puntos de conexión privados.

  1. En el almacén de Recovery Services, vaya a Conexiones de punto de conexión privado en la barra de la izquierda.

  2. Seleccione la conexión de punto de conexión privado que desea aprobar.

  3. Seleccione Aprobar en la barra superior. También puede seleccionar Rechazar o Quitar si desea rechazar o eliminar la conexión del punto de conexión.

    Approve private endpoints

Administración de registros DNS

Tal y como se ha descrito anteriormente, necesita los registros DNS necesarios en sus servidores o zonas DNS privados para conectarse de manera privada. Puede integrar su punto de conexión privado directamente con zonas DNS privadas de Azure, o usar los servidores DNS personalizados para ello, en función de las preferencias de red. Tendrá que realizar este procedimiento con los tres servicios: Backup, blobs y colas.

Además, si el servidor o la zona DNS están presentes en una suscripción diferente de la que contiene el punto de conexión privado, consulte también Creación de entradas DNS cuando la zona DNS o servidor DNS está presente en otra suscripción.

Durante la integración de puntos de conexión privados con las zonas DNS privadas de Azure

Si decide integrar el punto de conexión privado con zonas DNS privadas,Azure Backup agregará los registros DNS necesarios. Puede ver las zonas DNS privadas que se están usando en la Configuración DNS del punto de conexión privado. Si estas zonas DNS no están presentes, se crearán automáticamente al crear el punto de conexión privado.

Nota

La identidad administrada asignada al almacén debe tener los permisos para agregar registros DNS en la zona de DNS privado de Azure.

Sin embargo, debe comprobar que la red virtual (que contiene los recursos de los que se va a realizar la copia de seguridad) esté vinculada correctamente a las tres zonas DNS privadas, como se describe a continuación.

DNS configuration in Azure private DNS zone

Nota:

Si usa servidores proxy, puede optar por omitir el servidor proxy o realizar las copias de seguridad a través del servidor proxy. Para omitir un servidor proxy, continúe con las secciones siguientes. Para usar el servidor proxy para realizar las copias de seguridad, consulte detalles de configuración del servidor proxy para el almacén de Recovery Services.

Haga lo siguiente para cada zona DNS privada indicada anteriormente (para Backup, blobs y colas):

  1. Vaya a la opción Vínculos de red virtual correspondiente en la barra de navegación izquierda.

  2. Debe ver una entrada para la red virtual para la que ha creado el punto de conexión privado, como se muestra a continuación:

    Virtual network for private endpoint

  3. Si no ve ninguna entrada, agregue un vínculo de red virtual a todas las zonas DNS que no tengan una.

    Add virtual network link

Durante el uso de un servidor DNS personalizado o archivos de host

  • Si usa un servidor DNS personalizado, puede usar el reenviador condicional para el servicio de copia de seguridad, blob y FQDN de cola para redirigir las solicitudes DNS a Azure DNS (168.63.129.16). Azure DNS lo redirige a la zona de Azure DNS privado. En esa configuración, asegúrese de que existe un vínculo de red virtual para la zona de Azure DNS privada, como se menciona en esta sección.

    En la tabla siguiente se enumeran las zonas DNS privadas de Azure que necesita Azure Backup:

    Zona Servicio
    privatelink.<geo>.backup.windowsazure.com Copia de seguridad
    privatelink.blob.core.windows.net Blob
    privatelink.queue.core.windows.net Cola

    Nota:

    En el texto anterior, <geo> hace referencia al código de región (por ejemplo, eus y ne para Este de EE. UU. y Norte de Europa respectivamente). Consulte las siguientes listas para ver los códigos de región:

  • Si usa servidores DNS personalizados o archivos host, y no tiene configurada la zona DNS privado de Azure, tendrá que agregar los registros DNS necesarios para los puntos de conexión privados a los servidores DNS o en el archivo host.

    • Para el servicio Backup: vaya al punto de conexión privado que ha creado y, después, vaya a Configuración DNS. Luego, agregue una entrada para cada FQDN e IP mostrados como registros de Tipo A en la zona DNS para Backup.

      Si usa un archivo host para la resolución de nombres, cree las entradas correspondientes en el archivo host para cada IP y FQDN según el formato: <private ip><space><backup service privatelink FQDN>.

    • Para el blob y la cola: Azure Backup crea los puntos de conexión privados para blobs y colas mediante los permisos de identidad administrada. Los puntos de conexión privados para blobs y colas siguen un patrón de nomenclatura estándar, comienzan con <the name of the private endpoint>_ecs o <the name of the private endpoint>_prot, y tienen el sufijo _blob y _queue respectivamente.

      Vaya al punto de conexión privado creado por Azure Backup siguiendo el patrón anterior y, después, vaya a Configuración DNS. Luego, agregue una entrada para cada FQDN e IP mostrados como registros de Tipo A en la zona DNS para Backup.

      Si usa un archivo host para la resolución de nombres, cree las entradas correspondientes en el archivo host para cada IP y FQDN según el formato: <private ip><space><blob/queue FQDN>.

Nota

Azure Backup puede asignar una nueva cuenta de almacenamiento al almacén para los datos de copia de seguridad, y la extensión o el agente deben acceder a los puntos de conexión correspondientes. Para más información sobre cómo agregar más registros DNS después del registro y la copia de seguridad, vea la guía sobre Uso de puntos de conexión privados para Backup.

Uso de puntos de conexión privados para Backup

Una vez que los puntos de conexión privados creados para el almacén de la red virtual se han aprobado, puede empezar a usarlos para realizar las copias de seguridad y restauraciones.

Importante

Asegúrese de haber completado correctamente todos los pasos mencionados previamente en el documento antes de continuar. En resumen, debe haber completado los pasos de la siguiente lista:

  1. Se creó un (nuevo) almacén de Recovery Services
  2. Se habilitó el almacén para usar la identidad administrada asignada por el sistema
  3. Se asignaron los permisos relevantes a la identidad administrada del almacén
  4. Se creó un punto de conexión privado para el almacén
  5. Se aprobó el punto de conexión privado (si no se aprobó automáticamente)
  6. Se garantizó que todos los registros DNS se agregaron correctamente (excepto los registros de blobs y colas para los servidores personalizados, que se tratarán en las secciones siguientes).

Comprobación de la conectividad de VM

En la VM de la red bloqueada, asegúrese de cumplir con lo siguiente:

  1. La máquina virtual debe tener acceso a Microsoft Entra ID.
  2. Ejecute nslookup en la dirección URL de copia de seguridad (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) de la VM para confirmar la conectividad. Esto debe devolver la dirección IP privada asignada a la red virtual.

Configuración de la copia de seguridad

Una vez que confirme que se completó correctamente la lista de comprobación anterior y el acceso, puede seguir configurando la copia de seguridad de las cargas de trabajo en el almacén. Si usa un servidor DNS personalizado, deberá agregar entradas DNS para los blobs y las colas que están disponibles después de configurar la primera copia de seguridad.

Registros DNS para blobs y colas (solo para servidores DNS o archivos de host personalizados) después del primer registro

Después de configurar la copia de seguridad para al menos un recurso en un almacén habilitado para puntos de conexión privados, agregue los registros DNS necesarios para los blobs y las colas tal como se describe a continuación.

  1. Navegue hasta el grupo de recursos y busque el punto de conexión privado que creó.

  2. Aparte del nombre de punto de conexión privado que asignó, verá que se crearon otros dos puntos de conexión privados. Estos comienzan con <the name of the private endpoint>_ecs y tienen el sufijo _blob y _queue respectivamente.

    Private endpoint resources

  3. Navegue a cada uno de estos puntos de conexión privados. En la opción de configuración DNS de cada uno de los dos puntos de conexión privados, verá un registro con un FQDN y una dirección IP. Agregue ambos valores al servidor DNS personalizado, además de los descritos anteriormente. Si usa un archivo de host, realice las entradas correspondientes en el archivo de host para cada IP o FQDN según el formato siguiente:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob DNS configuration

Además de lo anterior, es necesaria otra entrada después de la primera copia de seguridad, que se describe más adelante.

Copia de seguridad y restauración de cargas de trabajo en VM de Azure (SQL y SAP HANA)

Una vez que se crea y se aprueba el punto de conexión privado, no se requiere ningún otro cambio del lado cliente para usar el punto de conexión privado (a menos que esté usando grupos de disponibilidad de SQL, que se describen más adelante en esta sección). Toda la comunicación y la transferencia de datos desde la red segura al almacén se realizará a través del punto de conexión privado. Sin embargo, si quita los puntos de conexión privados del almacén después de haber registrado un servidor (SQL o SAP HANA), deberá volver a registrar el contenedor con el almacén. No es necesario detener la protección de los mismos.

Registros DNS para blobs (solo para servidores DNS o archivos de host personalizados) después de la primera copia de seguridad

Después de ejecutar la primera copia de seguridad y de usar un servidor DNS personalizado (sin reenvío condicional), es probable que se produzca un error en la copia de seguridad. Si eso ocurre, haga lo siguiente:

  1. Navegue hasta el grupo de recursos y busque el punto de conexión privado que creó.

  2. Además de los tres puntos de conexión privados descritos anteriormente, ahora verá un cuarto punto de conexión privado cuyo nombre empieza por <the name of the private endpoint>_prot y contiene el sufijo _blob.

    Private endpoing with suffix

  3. Navegue hasta este nuevo punto de conexión privado. En la opción Configuración DNS, verá un registro con un FQDN y una dirección IP. Agregue los valores al servidor DNS privado, además de los descritos anteriormente.

    Si usa un archivo de host, realice las entradas correspondientes en el archivo de host para cada IP y FQDN según el formato siguiente:

    <private ip><space><blob service privatelink FQDN>

Nota:

En este momento, debe poder ejecutar nslookup desde la VM y resolver las direcciones IP privadas cuando se realice en las direcciones URL de almacenamiento y copia de seguridad del almacén.

Durante el uso de grupos de disponibilidad de SQL

Cuando use grupos de disponibilidad de SQL, deberá aprovisionar el reenvío condicional en el DNS de grupo de disponibilidad personalizado como se describe a continuación:

  1. Inicie sesión en su controlador de dominio.

  2. En la aplicación de DNS, agregue reenviadores condicionales para las tres zonas DNS (Backup, Blobs y Colas) a la dirección IP 168.63.129.16 o la dirección IP del servidor DNS personalizado, según sea necesario. Las siguientes capturas de pantallas se muestran cuando se reenvía a la dirección IP del host de Azure. Si usa su propio servidor DNS, reemplácelo por la dirección IP del servidor DNS.

    Conditional forwarders in DNS Manager

    New conditional forwarder

Copia de seguridad y restauración mediante el agente de MARS y el servidor DPM

Al usar el agente de MARS para realizar una copia de seguridad de los recursos locales, asegúrese de que la red local (que contiene los recursos de los que se va a realizar la copia de seguridad) está emparejada con la red virtual de Azure que contiene un punto de conexión privado para el almacén, para que pueda usarla. Después, puede continuar con la instalación del agente de MARS y configurar la copia de seguridad como se detalla aquí. Sin embargo, debe asegurarse de que toda la comunicación para la copia de seguridad se produzca solo a través de la red emparejada.

Pero si quita los puntos de conexión privados del almacén después de haber registrado un agente de MARS, deberá volver a registrar el contenedor con el almacén. No es necesario detener la protección de los mismos.

Nota

  • Los puntos de conexión privados solo se admiten con el servidor DPM 2022 y versiones posteriores.
  • Los puntos de conexión privados aún no se admiten con MABS.

Eliminación de puntos de conexión privados

Consulte esta sección para obtener información sobre cómo eliminar puntos de conexión privados.

Otros temas

Creación de un almacén de Recovery Services mediante el cliente de Azure Resource Manager

Puede crear el almacén de Recovery Services y habilitar su identidad administrada (se requiere la habilitación de la identidad administrada, como veremos más adelante) mediante el cliente de Azure Resource Manager. A continuación, se muestra un ejemplo de cómo hacerlo:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

El archivo JSON anterior debe tener el siguiente contenido:

Solicitud JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Respuesta JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Nota:

El almacén creado en este ejemplo mediante Azure Resource Manager ya se ha creado con una identidad administrada asignada por el sistema.

Administración de permisos en grupos de recursos

La identidad administrada del almacén debe tener los permisos siguientes en el grupo de recursos y la red virtual donde se crearán los puntos de conexión privados:

  • Microsoft.Network/privateEndpoints/* Esto es necesario para realizar operaciones CRUD en puntos de conexión privados en el grupo de recursos. Debe asignarse en el grupo de recursos.
  • Microsoft.Network/virtualNetworks/subnets/join/action Esto es necesario en la red virtual en la que la dirección IP privada se conecta con el punto de conexión privado.
  • Microsoft.Network/networkInterfaces/read Esto es necesario en el grupo de recursos para que se cree la interfaz de red para el punto de conexión privado.
  • Rol de colaborador de zona DNS privada: este rol ya existe y se puede usar para proporcionar los permisos Microsoft.Network/privateDnsZones/A/* y Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Puede usar uno de los métodos siguientes para crear roles con los permisos necesarios:

Crear roles y permisos manualmente

Cree los siguientes archivos JSON y use el comando de PowerShell que se encuentra al final de la sección para crear roles:

//PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Usar un script

  1. Inicie Cloud Shell en Azure Portal y seleccione Cargar archivo en la ventana de PowerShell.

    Select Upload file in PowerShell window

  2. Cargue el siguiente script: VaultMsiPrereqScript

  3. Vaya a la carpeta principal (por ejemplo: cd /home/user)

  4. Ejecute el siguiente script:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Estos son los parámetros:

    • subscription: **SubscriptionId que tiene el grupo de recursos en el que se va a crear el punto de conexión privado para el almacén y la subred en la que se adjuntará el punto de conexión privado del almacén

    • vaultPEResourceGroup: El grupo de recursos donde se creará el punto de conexión privado para el almacén

    • vaultPESubnetResourceGroup: El grupo de recursos de la subred a la que se unirá el punto de conexión privado

    • vaultMsiName: Nombre del archivo MSI del almacén, que es igual que VaultName

  5. Complete la autenticación y el script tomará el contexto de la suscripción especificada que se indicó anteriormente. Se crearán los roles adecuados si faltan en el inquilino y se asignarán roles al archivo MSI del almacén.

Creación de puntos de conexión privados mediante Azure PowerShell

Puntos de conexión privados aprobados automáticamente

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Aprobación manual de los puntos de conexión privados mediante el cliente de Azure Resource Manager

  1. Use GetVault para obtener el id. de conexión de punto de conexión privado para el punto de conexión privado.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Esto devolverá el identificador de conexión del punto de conexión privado. El nombre de la conexión se puede recuperar utilizando la primera parte del identificador de conexión como se indica a continuación:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Obtenga el identificador de conexión del punto de conexión privado (y el nombre del punto de conexión privado, donde sea necesario) de la respuesta y reemplácelo en el siguiente JSON y el URI de Azure Resource Manager e intente cambiar el estado a "Aprobado/Rechazado/Desconectado", como se muestra en el ejemplo siguiente:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Configuración del servidor proxy para el almacén de Recovery Services con un punto de conexión privado

Para configurar un servidor proxy para una máquina virtual de Azure o una máquina local, siga estos pasos:

  1. Agregue los siguientes dominios a los que se debe acceder desde el servidor proxy.

    Servicio Nombres de dominio Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    Direcciones URL de dominio actualizadas mencionadas en las secciones 56 y 59 de Microsoft 365 Common y Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Según corresponda.
  2. Permita el acceso a estos dominios en el servidor proxy y vincule la zona DNS privada (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) con la red virtual donde se crea el servidor proxy o use un servidor DNS personalizado con las entradas DNS correspondientes.

    La red virtual en la que se ejecuta el servidor proxy y la red virtual donde se crea la NIC del punto de conexión privado deben estar emparejadas, lo que permitiría al servidor proxy redirigir las solicitudes a la dirección IP privada.

    Nota:

    En el texto anterior, <geo> hace referencia al código de región (por ejemplo, eus y ne para Este de EE. UU. y Norte de Europa respectivamente). Consulte las siguientes listas para ver los códigos de región:

En el diagrama siguiente se muestra una configuración (mientras se utilizan las zonas de DNS privado de Azure) con un servidor proxy cuya red virtual está vinculada a una zona DNS privada con las entradas DNS necesarias. El servidor proxy también puede tener su propio servidor DNS personalizado y los dominios señalados anteriormente se pueden reenviar de forma condicional a 168.63.129.16. Si usa un archivo de host o servidor DNS personalizado para la resolución DNS, consulte las secciones sobre administración de entradas DNS y la configuración de la protección.

Diagram showing a setup with a proxy server.

Creación de entradas DNS cuando la zona DNS/servidor DNS está presente en otra suscripción

En esta sección, trataremos los casos en los que se usa una zona DNS que está presente en una suscripción o un grupo de recursos que es diferente del que contiene el punto de conexión privado para el almacén de Recovery Services, como una topología en estrella tipo hub-and-spoke. Como la identidad administrada que se usa para crear los puntos de conexión privados (y las entradas DNS) solo tiene permisos en el grupo de recursos en el que se crean los puntos de conexión privados, se requieren también las entradas DNS necesarias. Use los siguientes scripts de PowerShell para crear entradas DNS.

Nota:

Consulte todo el proceso que se describe a continuación para lograr los resultados necesarios. El proceso debe repetirse dos veces: una vez durante la primera detección (para crear entradas DNS necesarias para las cuentas de almacenamiento de comunicación) y, después, una vez durante la primera copia de seguridad (para crear entradas DNS necesarias para las cuentas de almacenamiento de back-end).

Paso 1: Obtención de las entradas DNS necesarias

Use el script PrivateIP.ps1 para enumerar todas las entradas DNS que deben crearse.

Nota:

En la sintaxis siguiente, el valor de subscription hace referencia a la suscripción donde se va a crear el punto de conexión privado del almacén.

Sintaxis para usar el script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Salida de ejemplo

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Paso 2: Creación de entradas de DNS

Cree las entradas DNS correspondientes a las anteriores. En función del tipo de DNS que use, tiene dos alternativas para crear entradas DNS.

Caso 1: si usa un servidor DNS personalizado, debe crear manualmente las entradas para cada registro del script anterior y comprobar que el FQDN (ResourceName.DNS) se resuelve en una dirección IP privada de la red virtual.

Caso 2: si usa una zona DNS privada de Azure, puede usar el script CreateDNSEntries.ps1 para crear automáticamente entradas DNS en la zona DNS privada. En la sintaxis siguiente, subscription es donde existe la zona DNS privada.

Sintaxis para usar el script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Resumen de todo el proceso

Para configurar correctamente el punto de conexión privado para el almacén de Recovery Services mediante esta solución alternativa, debe hacer lo siguiente:

  1. Cree un punto de conexión privado para el almacén (como se describió anteriormente en el artículo).
  2. Desencadene la detección. La detección de SQL/HANA producirá un error con UserErrorVMInternetConnectivityIssue, porque las entradas DNS no están presentes para la cuenta de almacenamiento de comunicación.
  3. Ejecute los scripts para obtener las entradas DNS y cree las entradas DNS correspondientes para la cuenta de almacenamiento de comunicación mencionada anteriormente en esta sección.
  4. Reactivar la detección. Esta vez, la detección debe realizarse correctamente.
  5. Desencadene la copia de seguridad. La copia de seguridad de SQL/HANA y MARS podría producir un error, porque las entradas DNS no están presentes para las cuentas de almacenamiento de back-end, como se mencionó anteriormente en esta sección.
  6. Ejecute los scripts para crear entradas DNS para la cuenta de almacenamiento de back-end.
  7. Reactivar la copia de seguridad. Esta vez, las copias de seguridad deben realizarse correctamente.

Preguntas más frecuentes

¿Puedo crear un punto de conexión privado para un almacén de Azure Backup existente?

No, los puntos de conexión privados solo se pueden crear para nuevos almacenes de Azure Backup. Por lo tanto, el almacén no debe haber tenido ningún elemento protegido. De hecho, no se puede realizar ningún intento de proteger ningún elemento en el almacén antes de crear puntos de conexión privados.

Intenté proteger un elemento en el almacén, pero se produjo un error y el almacén todavía no contiene elementos protegidos. ¿Se pueden crear puntos de conexión privados para este almacén?

No, el almacén no debe haber tenido ningún intento de proteger ningún elemento en el pasado.

Tengo un almacén que utiliza puntos de conexión privados con fines de copias de seguridad y restauración. ¿Puedo agregar o quitar puntos de conexión privados para este almacén más tarde, aunque tenga elementos de copia de seguridad protegidos?

Sí. Si ya creó puntos de conexión privados para un almacén y hay elementos de copia de seguridad protegidos en él, más adelante podrá agregar o quitar puntos de conexión privados según sea necesario.

¿Se puede usar también el punto de conexión privado de Azure Backup en Azure Site Recovery?

No, el punto de conexión privado para Azure Backup solo se puede usar en Azure Backup. Tendrá que crear un nuevo punto de conexión privado para Azure Site Recovery, si es compatible con el servicio.

Me faltó uno de los pasos de este artículo y procedí a proteger el origen de datos. ¿Puedo seguir usando puntos de conexión privados?

No seguir los pasos del artículo y proceder con la protección de elementos puede provocar que el almacén no pueda usar puntos de conexión privados. Por lo tanto, se recomienda que consulte esta lista de comprobación antes de continuar con la protección de los elementos.

¿Puedo usar mi propio servidor DNS en lugar de usar la zona DNS privada de Azure o una zona DNS privada integrada?

Sí, puede usar sus propios servidores DNS. Sin embargo, asegúrese de agregar todos los registros DNS necesarios como se sugiere en esta sección.

¿Es necesario realizar algún paso adicional en el servidor después de haber seguido el proceso detallado en este artículo?

Después de seguir el proceso detallado en este artículo, no es necesario realizar ningún trabajo adicional para usar puntos de conexión privados para copias de seguridad y restauración.

Pasos siguientes