Créer et utiliser des points de terminaison privés (avec l’expérience v2) pour Sauvegarde Azure
Le service Sauvegarde Azure vous permet d’effectuer les opérations de sauvegarde et de restauration de vos données dans les coffres Recovery Services en toute sécurité grâce à des points de terminaison privés. Les points de terminaison privés utilisent une ou plusieurs adresses IP privées de votre réseau virtuel Azure (VNet), plaçant de fait le service dans votre VNet.
Sauvegarde Azure offre désormais une expérience améliorée avec la création et l’utilisation de points de terminaison privés par rapport à l’expérience classique (v1).
Cet article vous explique comment créer et gérer des points de terminaison privés pour Sauvegarde Azure dans le coffre Recovery Services.
Créer un coffre Recovery Services
Vous pouvez créer des points de terminaison privés pour Sauvegarde Azure uniquement pour les coffres Recovery Services qui n’ont pas d’éléments protégés (ou des éléments que vous n’avez pas tenté de protéger ou d’inscrire auparavant). Nous vous recommandons donc de créer un coffre pour la configuration du point de terminaison privé.
Pour plus d’informations sur la création d’un coffre, consultez Créer et configurer un coffre Recovery Services. Toutefois, si vous avez des coffres existants qui ont déjà des points de terminaison privés créés, vous pouvez recréer des points de terminaison privés pour ceux-ci à l’aide de l’expérience améliorée.
Refuser l’accès réseau public au coffre
Vous pouvez configurer vos coffres pour refuser l’accès à partir de réseaux publics.
Procédez comme suit :
Accédez au coffre>Réseau.
Sous l’onglet Accès public, sélectionnez Refuser pour empêcher l’accès à partir de réseaux publics.
Notes
- Une fois que vous refusez l’accès, vous pouvez toujours accéder au coffre, mais vous ne pouvez pas déplacer des données vers/depuis des réseaux qui ne contiennent pas de points de terminaison privés. Pour plus d’informations, consultez Créer des points de terminaison privés pour Sauvegarde Azure.
- Le refus de l’accès public n’est pas actuellement pris en charge pour les coffres dont la restauration interrégion est activée.
Sélectionnez Appliquer pour enregistrer les modifications.
Créer des points de terminaison privés pour Sauvegarde Azure
Pour créer des points de terminaison privés pour Sauvegarde Azure, procédez comme suit :
Accédez au *\coffre pour lequel vous souhaitez créer une >Mise en réseau de points de terminaison privés.
Accédez à l’onglet Accès privé et sélectionnez +Point de terminaison privé pour commencer à créer un point de terminaison privé.
Dans Créer un point de terminaison privé, fournissez les détails nécessaires :
a. De base : fournissez les informations de base de vos points de terminaison privés. La région doit être la même que celle du coffre et de la ressource sauvegardés.
b. Ressource : sous cet onglet, sélectionnez la ressource PaaS pour laquelle vous souhaitez créer votre connexion, puis sélectionnez Microsoft.RecoveryServices/vaults dans le type de ressource pour votre abonnement requis. Lorsque vous avez terminé, choisissez le nom de votre coffre Recovery Services dans la section Ressource et AzureBackup en tant que Sous-ressource cible.
c. Réseau virtuel : sous cet onglet, spécifiez le réseau virtuel et le sous-réseau où vous souhaitez que le point de terminaison privé soit créé. Il s’agit du réseau virtuel sur lequel se trouve la machine virtuelle.
d. DNS : pour vous connecter de manière privée, vous devez disposer des enregistrements DNS requis. En fonction de la configuration de votre réseau, vous pouvez choisir l’une des options suivantes :
- Intégrez votre point de terminaison privé à une zone DNS privée : sélectionnez Oui si vous voulez intégrer.
- Utiliser votre serveur DNS personnalisé : sélectionnez Non si vous voulez utiliser votre propre serveur DNS. e. Balises : Si vous le souhaitez, vous pouvez ajouter des Balises à votre point de terminaison privé.
Sélectionnez Revoir + créer.
Une fois la validation terminée, sélectionnez Créer pour créer le point de terminaison privé.
Capture d’écran montrant la procédure d’approbation d’un point de terminaison privé
Si vous créez le point de terminaison privé en tant que propriétaire du coffre Recovery Services, le point de terminaison privé créé est approuvé automatiquement. Dans le cas contraire, le propriétaire du coffre doit approuver le point de terminaison privé avant son utilisation.
Pour approuver manuellement des points de terminaison privés via le Portail Azure, procédez comme suit :
Dans votre Coffre Recovery Services, accédez à Connexions de point de terminaison privé dans le volet gauche.
Sélectionnez la connexion de point de terminaison privé que vous voulez approuver.
Sélectionnez Approuver.
Vous pouvez également sélectionner Rejeter ou Supprimer si vous voulez rejeter ou supprimer la connexion au point de terminaison.
Découvrez comment approuver manuellement des points de terminaison privés en utilisant le client Azure Resource Manager afin d’utiliser le client Azure Resource Manager pour l’approbation des points de terminaison privés.
Gestion des enregistrements DNS
Vous avez besoin des enregistrements DNS requis dans vos zones ou serveurs DNS privés afin de vous connecter de manière privée. Vous pouvez intégrer votre point de terminaison privé directement aux zones DNS privées Azure ou utiliser vos serveurs DNS personnalisés pour y parvenir, en fonction de vos préférences réseau. Cette opération doit être effectuée pour les trois services : Sauvegarde Azure, objets blob Azure et files d’attente.
Lors de votre intégration de points de terminaison privés à des zones DNS privées Azure
Si vous choisissez d’intégrer votre point de terminaison privé à des zones DNS privées, Sauvegarde Azure ajoutera les enregistrements DNS requis. Vous pouvez afficher les zones DNS privées utilisées sous la rubrique Configuration DNS du point de terminaison privé. Si ces zones DNS ne sont pas présentes, elles sont créées automatiquement pendant la création du point de terminaison privé.
Toutefois, vous devez vérifier que votre réseau virtuel (qui contient les ressources à sauvegarder) est correctement lié aux trois zones DNS privées, comme décrit ci-dessous.
Notes
Si vous utilisez des serveurs proxy, vous pouvez choisir d’ignorer le serveur proxy ou d’effectuer vos sauvegardes par le biais du serveur proxy. Pour contourner un serveur proxy, lisez les sections suivantes. Pour utiliser le serveur proxy dans le cadre de vos sauvegardes, consultez les détails de la configuration d’un serveur proxy pour un coffre Recovery Services.
Valider les liaisons de réseau virtuel dans les zones DNS privées
Pour chaque zone DNS privée répertoriée (pour Sauvegarde Azure, les objets blob et les files d’attente), accédez aux Liens de réseau virtuel respectifs.
Vous verrez une entrée relative au réseau virtuel pour lequel vous avez créé le point de terminaison privé. Si vous ne voyez pas d’entrée, ajoutez un lien de réseau virtuel à toutes les zones DNS qui n’en ont pas.
Lors de l’utilisation d’un serveur DNS personnalisé ou de fichiers d’hôtes
Si vous utilisez un serveur DNS personnalisé, vous pouvez utiliser un redirecteur conditionnel pour le service de sauvegarde, les objets blob et les noms de domaine complets de file d’attente afin de rediriger les requêtes DNS vers Azure DNS (168.63.129.16). Azure DNS le redirige vers la zone Azure DNS privé. Dans cette configuration, vérifiez qu’il existe un lien de réseau virtuel pour une zone Azure DNS privé, comme indiqué dans cet article.
Le tableau suivant répertorie les zones DNS privé Azure requises par Sauvegarde Azure :
Zone Service *.privatelink.<geo>.backup.windowsazure.comSauvegarde *.blob.core.windows.netObjet blob *.queue.core.windows.netFile d'attente *.storage.azure.netBlob Notes
Dans le texte ci-dessus,
<geo>fait référence au code de région (par exemple, eus et ne pour les régions USA Est et Europe Nord, respectivement). Consultez les listes suivantes pour connaître les codes de régions :Si vous utilisez des serveurs DNS ou des fichiers hôtes personnalisés et que vous n’avez pas configuré la zone Azure DNS privé, vous devez ajouter les enregistrements DNS requis par les points de terminaison privés à vos serveurs DNS ou dans le fichier hôte.
Accédez au point de terminaison privé que vous avez créé, puis accédez à Configuration DNS. Ajoutez ensuite une entrée pour chaque nom de domaine complet et chaque adresse IP affichée en tant qu’enregistrements de Type A dans votre DNS.
Si vous utilisez un fichier d’hôte pour la résolution de noms, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP et nom de domaine complet selon le format :
<private ip><space><FQDN>.
Notes
La Sauvegarde Azure peut allouer un nouveau compte de stockage pour votre coffre pour les données de sauvegarde, et l’extension ou l’agent doit accéder aux points de terminaison respectifs. Pour plus d’informations sur l’ajout d’enregistrements DNS après l’inscription et la sauvegarde, consultez la section utiliser des points de terminaison privés pour la sauvegarde.
Utiliser des points de terminaison privés pour la sauvegarde
Après l’approbation des points de terminaison privés créés pour le coffre de votre réseau virtuel, vous pouvez commencer à les utiliser pour effectuer vos sauvegardes et restaurations.
Important
Avant de continuer, vérifiez que vous avez suivi toutes les étapes précédentes de ce document. Voici une liste des de ces étapes :
- Créer un (nouveau) coffre Recovery Services
- Activer le coffre pour utiliser l’identité managée affectée par le système
- Attribuer les autorisations appropriées à l’identité managée du coffre
- Créer un point de terminaison privé pour votre coffre
- Approuver le point de terminaison privé (s’il n’a pas été approuvé automatiquement)
- Vérifier que tous les enregistrements DNS sont correctement ajoutés (à l’exception des enregistrements de blob et de file d’attente pour les serveurs personnalisés, qui seront abordés dans les sections suivantes)
Vérifier la connectivité des machines virtuelles
Dans la machine virtuelle du réseau verrouillé, vérifiez les points suivants :
- La machine virtuelle doit avoir accès à Microsoft Entra ID.
- Exécutez nslookup sur l’URL de sauvegarde (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) à partir de votre machine virtuelle pour garantir la connectivité. Cette opération doit renvoyer l’adresse IP privée attribuée dans votre réseau virtuel.
Configurer une sauvegarde
Une fois que vous vous êtes assuré que la liste de vérification ci-dessus et l’accès ont été correctement effectués, vous pouvez continuer à configurer la sauvegarde des charges de travail dans le coffre. Si vous utilisez un serveur DNS personnalisé, vous devez ajouter des entrées DNS pour les blobs et les files d’attente disponibles après la configuration de la première sauvegarde.
Enregistrements DNS pour les blobs et les files d’attente (uniquement pour les fichiers d’hôtes/serveurs DNS personnalisés) après la première inscription
Une fois que vous avez configuré la sauvegarde pour au moins une ressource d’un coffre pour lequel un point de terminaison privé est activé, ajoutez les enregistrements DNS requis pour les blobs et les files d’attente, comme décrit ci-dessous.
Accédez à chacun de ces points de terminaison privés créés pour le coffre et accédez à configuration DNS.
Ajoutez une entrée pour chaque nom de domaine complet et chaque adresse IP affichée en tant qu’enregistrements de Type A dans votre DNS.
Si vous utilisez un fichier d’hôte pour la résolution de noms, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP et nom de domaine complet selon le format :
<private ip><space><FQDN>.Outre les éléments ci-dessus, une autre entrée est nécessaire après la première sauvegarde, que nous abordons ici.
Sauvegarde et restauration de charges de travail dans une machine virtuelle Azure (SQL et SAP HANA)
Une fois le point de terminaison privé créé et approuvé, aucune autre modification n’est requise côté client pour utiliser le point de terminaison privé (à moins que vous n’utilisiez des groupes de disponibilité SQL, cas que nous aborderons plus loin dans cette section). Toutes les communications et tous les transferts de données de votre réseau sécurisé vers le coffre sont effectués via le point de terminaison privé. Toutefois, si vous supprimez des points de terminaison privés associés au coffre après l’inscription d’un serveur (SQL ou SAP HANA), vous devez réinscrire le conteneur auprès du coffre. Vous n’avez pas besoin d’arrêter leur protection.
Enregistrements DNS pour les blobs (uniquement pour les fichiers d’hôtes/serveurs DNS personnalisés) après la première sauvegarde
Une fois que vous avez exécuté la première sauvegarde et que vous utilisez un serveur DNS personnalisé (sans transfert conditionnel), il est probable que votre sauvegarde échoue. Si cela se produit :
Accédez au point de terminaison privés créé pour le coffre et accédez à configuration DNS.
Ajoutez une entrée pour chaque nom de domaine complet et chaque adresse IP affichée en tant qu’enregistrements de Type A dans votre DNS.
Si vous utilisez un fichier d’hôte pour la résolution de noms, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP et nom de domaine complet selon le format :
<private ip><space><FQDN>.
Notes
À ce stade, vous devriez être en mesure d’exécuter nslookup à partir de la machine virtuelle et de résoudre les adresses IP privées sur les URL de sauvegarde et de stockage du coffre.
Lors de l’utilisation de groupes de disponibilité SQL
Lorsque vous utilisez des groupes de disponibilité (AG) SQL, vous devez configurer le transfert conditionnel dans le DNS AG personnalisé comme décrit ci-dessous :
- Connectez-vous à votre contrôleur de domaine.
- Sous l’application DNS, ajoutez des redirecteurs conditionnels pour les trois zones DNS (Sauvegarde, Blobs et Files d’attente) vers l’adresse IP de l’hôte 168.63.129.16 ou l’adresse IP du serveur DNS personnalisé, le cas échéant. Les captures d’écran suivantes illustrent le moment où vous effectuez un transfert vers l’adresse IP de l’hôte Azure. Si vous utilisez votre propre serveur DNS, remplacez-la par l’adresse IP de votre serveur DNS.
Sauvegarde et restauration par le biais de l’agent MARS et du serveur DPM
Lorsque vous utilisez l’agent MARS pour sauvegarder vos ressources locales, assurez-vous que votre réseau local (contenant vos ressources à sauvegarder) est homologué avec le réseau virtuel Azure qui contient un point de terminaison privé pour le coffre, afin de pouvoir l’utiliser. Vous pouvez ensuite continuer à installer l’agent MARS et configurer la sauvegarde comme indiqué ici. Toutefois, vous devez vous assurer que toutes les communications pour la sauvegarde s’effectuent uniquement par le biais du réseau homologué.
Cependant, si vous supprimez des points de terminaison privés pour le coffre après l’inscription d’un agent MARS, vous devez réinscrire le conteneur auprès du coffre. Vous n’avez pas besoin d’arrêter leur protection.
Notes
- Les points de terminaison privés sont pris en charge uniquement avec le serveur DPM 2022 et versions ultérieures.
- Les points de terminaison privés ne sont pas encore pris en charge avec MABS.
Restauration entre abonnements sur un coffre avec point de terminaison privé activé
Pour effectuer une restauration entre abonnements sur un coffre avec point de terminaison privé activé :
- Dans le coffre Recovery Services source, accédez à l’onglet Mise en réseau.
- Accédez à la section Accès privé et créez des Points de terminaison privés.
- Sélectionnez l’abonnement du coffre cible dans lequel vous souhaitez effectuer la restauration.
- Dans la section Réseau virtuel, sélectionnez le réseau virtuel de la machine virtuelle cible que vous souhaitez restaurer entre les abonnements.
- Créez le Point de terminaison privé et déclenchez le processus de restauration.
Restauration inter-région vers un coffre avec un point de terminaison privé
Vous pouvez créer un Point de terminaison privé secondaire avant ou après l’ajout des éléments dans le coffre.
Pour restaurer des données dans des régions d’un coffre avec un point de terminaison privé, suivez ces étapes :
Accédez à la cible Coffre Recovery Services>Paramètres>Mise en réseau et vérifiez que ce point de terminaison privé est créé avec le Réseau virtuel de machine virtuelle cible avant de protéger tout élément.
Si le point de terminaison privé n’est pas activé, activez-le.
Sous onglet Accès privé, créez des Points de terminaison privés dans la région secondaire.
Dans le volet Créer un point de terminaison privé, sous l’onglet Informations de base, sélectionnez la Région comme région secondaire de la machine virtuelle cible dans laquelle vous souhaitez effectuer l’opération Restauration inter-région.
Sous l’onglet Ressources, sélectionnez la Sous-ressource cible comme AzureBackup_Secondary.
Dans le volet Réseau virtuel, sélectionnez le Réseau virtuel de la machine virtuelle cible dans laquelle vous souhaitez effectuer l’opération Restauration inter-région.
Remarque
Vous pouvez ajouter un maximum de 12 points de terminaison privés Sauvegarde Azure dans un coffre.
Créez le point de terminaison privé et commencez le processus de restauration à partir de la région secondaire.
Suppression de points de terminaison privés
Pour supprimer des points de terminaison privés à l’aide de l’API REST, consultez cette section.
Étapes suivantes
- En savoir plus sur le point de terminaison privé pour Sauvegarde Azure.
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour