Az Azure Backup privát végpontjainak (v2-élmény) áttekintése és fogalmai
Az Azure Backup lehetővé teszi az adatok biztonsági mentési és visszaállítási műveleteinek biztonságos végrehajtását a Recovery Services-tárolókból privát végpontok használatával. A privát végpontok egy vagy több privát IP-címet használnak az Azure-beli virtuális hálózatról (VNet), így a szolgáltatás ténylegesen bekerül a virtuális hálózatba.
Az Azure Backup mostantól továbbfejlesztett felhasználói élményt nyújt a privát végpontok létrehozásához és használatához a klasszikus (v1) felülethez képest.
Ez a cikk bemutatja, hogyan működnek a privát végpontok továbbfejlesztett képességei az Azure Backup funkcióhoz, és hogyan segítik a biztonsági mentéseket az erőforrások biztonságának fenntartása mellett.
Főbb fejlesztések
- Privát végpontok létrehozása felügyelt identitások nélkül.
- A blob- és üzenetsor-szolgáltatásokhoz nem jön létre privát végpont.
- Kevesebb privát IP-cím használata.
Előkészületek
Bár az Azure Backup és az Azure Site Recovery (mindkettő) egy Recovery Services-tárolót használ, ez a cikk csak az Azure Backup privát végpontjainak használatát ismerteti.
Létrehozhat privát végpontokat olyan új Recovery Services-tárolókhoz, amelyeken nincs regisztrálva/védett elem a tárolóban. A biztonsági mentési tárolók esetében azonban jelenleg nem támogatottak a privát végpontok.
Megjegyzés:
Nem hozhat létre privát végpontokat statikus IP-cím használatával.
A klasszikus felülettel létrehozott (privát végpontokat tartalmazó) tárolók nem frissíthetők az új felületre. Törölheti az összes meglévő privát végpontot, majd új privát végpontokat hozhat létre a v2 felülettel.
Egy virtuális hálózat több Recovery Services-tároló privát végpontjait is tartalmazhatja. Emellett egy Recovery Services-tárolóhoz privát végpontok is tartozhatnak több virtuális hálózatban. Egy tárolóhoz azonban legfeljebb 12 privát végpont hozható létre.
Egy tároló privát végpontja 10 privát IP-címet használ, és a szám idővel növekedhet. Győződjön meg arról, hogy elegendő IP-cím áll rendelkezésre a privát végpontok létrehozásakor.
Az Azure Backup privát végpontjai nem tartalmazzák a Microsoft Entra-azonosítóhoz való hozzáférést. Győződjön meg arról, hogy engedélyezi a hozzáférést, hogy a Microsoft Entra ID régióban való működéséhez szükséges IP-címek és teljes tartománynevek kimenő hozzáféréssel rendelkezzenek engedélyezett állapotban a biztonságos hálózatban, amikor azure-beli virtuális gépeken készít biztonsági másolatot az adatbázisokról, és a MARS-ügynök használatával biztonsági másolatot készít. Az NSG-címkéket és az Azure Firewall-címkéket is használhatja a Microsoft Entra ID-hez való hozzáférés engedélyezéséhez, adott esetben.
Ha 2020. május 1-je előtt regisztrálta, újra regisztrálnia kell a Recovery Services-erőforrás-szolgáltatót az előfizetéshez. A szolgáltató újbóli regisztrálásához nyissa meg az előfizetését az Azure Portal >erőforrás-szolgáltatójában, majd válassza a Microsoft.RecoveryServices>Újraregisztrálás lehetőséget.
Az SQL- és SAP HANA-adatbázisok biztonsági mentéseinek régióközi visszaállítása nem támogatott, ha a tárolóban engedélyezve vannak a privát végpontok.
A DNS-t előfizetések között is létrehozhatja.
Ajánlott és támogatott forgatókönyvek
Bár a privát végpontok engedélyezve vannak a tárolóhoz, az SQL- és SAP HANA-számítási feladatok biztonsági mentéséhez és visszaállításához csak Azure-beli virtuális gépeken, MARS-ügynökök biztonsági mentéséhez és DPM-hez használhatók. A tárolót más számítási feladatok biztonsági mentéséhez is használhatja (ezek azonban nem igényelnek privát végpontokat). Az SQL- és SAP HANA-számítási feladatok biztonsági mentése és a MARS-ügynökkel végzett biztonsági mentés mellett privát végpontok is használhatók az Azure-beli virtuális gépek biztonsági mentésének fájlhelyreállításához.
Az alábbi táblázat a forgatókönyveket és javaslatokat sorolja fel:
| Eset | Recommendation |
|---|---|
| Számítási feladatok biztonsági mentése azure-beli virtuális gépen (SQL, SAP HANA), biztonsági mentés MARS-ügynökkel, DPM-kiszolgálóval. | A privát végpontok használata ajánlott a biztonsági mentés és a visszaállítás engedélyezéséhez anélkül, hogy hozzá kellene adni egy engedélyezési listához az Azure Backuphoz vagy az Azure Storage-hoz készült ip-címeket/teljes tartományneveket a virtuális hálózatokról. Ebben a forgatókönyvben győződjön meg arról, hogy az SQL-adatbázisokat üzemeltető virtuális gépek elérhetik a Microsoft Entra IP-címeit vagy teljes tartományneveit. |
| Azure-beli virtuális gép biztonsági mentése | A virtuális gépek biztonsági mentéséhez nincs szükség ip-címekhez vagy teljes tartománynevekhez való hozzáférés engedélyezésére. Ezért nem igényel privát végpontokat a lemezek biztonsági mentéséhez és visszaállításához. A privát végpontokat tartalmazó tárolóból származó fájlhelyreállítás azonban a tárolóhoz tartozó privát végpontot tartalmazó virtuális hálózatokra korlátozódna. Ha nem felügyelt ACL-lemezeket használ, győződjön meg arról, hogy a lemezeket tartalmazó tárfiók lehetővé teszi a megbízható Microsoft-szolgáltatások, ha az ACL-ed. |
| Azure Files biztonsági mentése | Az Azure Files biztonsági másolatai a helyi tárfiókban vannak tárolva. Ezért nincs szükség privát végpontokra a biztonsági mentéshez és a visszaállításhoz. |
Megjegyzés:
A privát végpontok csak a DPM server 2022, a MABS v4 és újabb verzióival támogatottak.
A privát végpontok hálózati kapcsolatainak különbségei
Ahogy fentebb említettük, a privát végpontok különösen hasznosak a számítási feladatok (SQL, SAP HANA) Azure-beli virtuális gépeken és MARS-ügynökök biztonsági mentésében.
Minden forgatókönyvben (privát végpontokkal vagy anélkül) a számítási feladatok bővítményei (az Azure-beli virtuális gépeken futó SQL- és SAP HANA-példányok biztonsági mentéséhez) és a MARS-ügynök is kapcsolatot kezdeményez a Microsoft Entra-azonosítóval (a Microsoft 365 Common és az Office Online 56. és 59. szakaszában említett teljes tartománynevek felé).
Ezen kapcsolatok mellett, ha a számítási feladatbővítmény vagy a MARS-ügynök magánvégpontok nélkül van telepítve a Recovery Services-tárolóhoz, a következő tartományokhoz való kapcsolódásra is szükség van:
| Szolgáltatás | Tartománynév | Port |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com A teljes tartománynevekhez való hozzáférés engedélyezése a cikk 56. és 59. szakaszában. |
443 Adott esetben |
Ha a számítási feladatbővítmény vagy a MARS-ügynök magánvégponttal rendelkező Recovery Services-tárolóhoz van telepítve, a rendszer a következő végpontokat közli:
| Szolgáltatás | Tartománynév | Port |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com A teljes tartománynevekhez való hozzáférés engedélyezése a cikk 56. és 59. szakaszában. |
443 Adott esetben |
Megjegyzés:
A fenti szöveg <geo> a régiókódra hivatkozik (például az USA keleti régiója és észak-európai régió ). A régiók kódjaihoz tekintse meg a következő listákat:
Privát végpontbeállítással rendelkező Recovery Services-tároló esetén a teljes tartománynevek (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, , *.queue.core.windows.net*.blob.storage.azure.net) névfeloldása egy privát IP-címet ad vissza. Ez a következő eszközökkel érhető el:
- Azure Private DNS zones
- Custom DNS
- DNS-bejegyzések a gazdagépfájlokban
- Feltételes továbbítók az Azure DNS/Azure saját DNS zónákba.
A tárfiók privát IP-leképezései a Recovery Services-tárolóhoz létrehozott privát végponton jelennek meg. Javasoljuk az Azure saját DNS zónák használatát, mivel a blobok és üzenetsorok DNS-rekordjait ezután az Azure felügyelheti. Amikor új tárfiókokat foglal le a tárolóhoz, a rendszer automatikusan hozzáadja a privát IP-cím DNS-rekordját a blobban vagy a várólistán az Azure saját DNS zónákban.
Ha olyan DNS-proxykiszolgálót konfigurált, amely külső proxykiszolgálókat vagy tűzfalakat használ, a fenti tartományneveket engedélyeznie kell, és át kell irányítania egy egyéni DNS-hez (amely a fenti teljes tartománynevek DNS-rekordjaival rendelkezik) vagy a 168.63.129.16-os értékre azon az Azure-beli virtuális hálózaton, amelyhez privát DNS-zónák kapcsolódnak.
Az alábbi példa a DNS-proxyként használt Azure-tűzfalat mutatja be a Recovery Services-tároló, a blob, az üzenetsorok és a Microsoft Entra ID tartománynév-lekérdezéseinek 168.63.129.16-ra való átirányításához.
További információ: Privát végpontok létrehozása és használata.
Hálózati kapcsolat privát végpontokkal rendelkező tárolóhoz
A Recovery Services privát végpontja hálózati adapterhez (NIC) van társítva. A privát végpontkapcsolatok működéséhez az Azure-szolgáltatás összes forgalmát át kell irányítani a hálózati adapterre. Ezt úgy érheti el, hogy hozzáadja a hálózati adapterhez társított privát IP-cím DNS-leképezését a szolgáltatás/blob/üzenetsor URL-címéhez.
Ha a számítási feladatok biztonsági mentési bővítményei egy privát végponttal rendelkező Recovery Services-tárolóban regisztrált virtuális gépre vannak telepítve, a bővítmény megpróbál kapcsolatot létesíteni az Azure Backup-szolgáltatások <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comprivát URL-címével.
Ha a privát URL-cím nem oldható fel, megpróbálja a nyilvános URL-címet <azure_backup_svc>.<geo>.backup.windowsazure.com. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése úgy van konfigurálva, hogy engedélyezve legyen az összes hálózatból, a Recovery Services-tároló engedélyezi a bővítményből érkező kéréseket a nyilvános URL-címeken keresztül. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése Megtagadás értékre van konfigurálva, a helyreállítási tár megtagadja a bővítményből érkező kérelmeket a nyilvános URL-címeken keresztül.
Megjegyzés:
A fenti tartománynevekben <geo> határozza meg a régiókódot (például az USA keleti régiója és észak-európai régió). A régiókódokkal kapcsolatos további információkért tekintse meg az alábbi listát:
Ezek a privát URL-címek a tárolóra vonatkoznak. Ezeken a végpontokon csak a tárolóban regisztrált bővítmények és ügynökök tudnak kommunikálni az Azure Backup szolgáltatással. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése megtagadásra van konfigurálva, az korlátozza, hogy a virtuális hálózaton nem futó ügyfelek kérjenek biztonsági mentési és visszaállítási műveleteket a tárolón. Javasoljuk, hogy a nyilvános hálózati hozzáférés a privát végpont beállításával együtt a Megtagadás értékre legyen állítva. Amikor a bővítmény és az ügynök először megkísérli a privát URL-címet, az *.privatelink.<geo>.backup.windowsazure.com URL DNS-feloldásának a privát végponthoz társított megfelelő privát IP-címet kell visszaadnia.
A DNS-feloldáshoz több megoldás is létezik:
- Azure Private DNS zones
- Custom DNS
- DNS-bejegyzések a gazdagépfájlokban
- Feltételes továbbítók az Azure DNS/Azure saját DNS zónákba.
Ha a Recovery Services-tárolók privát végpontja az Azure Portalon, az Integrálás a privát DNS-zónával beállítással jön létre, az Azure Backup-szolgáltatások (*.privatelink.<geo>backup.windowsazure.com) privát IP-címeinek szükséges DNS-bejegyzései automatikusan létrejönnek az erőforrás lefoglalásakor. Más megoldásokban manuálisan kell létrehoznia a DNS-bejegyzéseket ezekhez a teljes tartománynevekhez az egyéni DNS-ben vagy a gazdagépfájlokban.
A kommunikációs csatorna – blob vagy üzenetsor – virtuális gép felderítése után a DNS-rekordok manuális kezeléséhez tekintse meg a blobok és üzenetsorok DNS-rekordjait (csak egyéni DNS-kiszolgálók/gazdagépfájlok esetén) az első regisztráció után. A DNS-rekordok manuális kezeléséhez a tárfiók-blob biztonsági mentésének első biztonsági mentése után tekintse meg a blobok DNS-rekordjait (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első biztonsági mentés után.
Az FQDN-k privát IP-címei a Recovery Services-tárolóhoz létrehozott privát végpont DNS-konfigurációs paneljén találhatók.
Az alábbi ábra bemutatja, hogyan működik a megoldás, ha privát DNS-zónát használ a magánszolgáltatás teljes tartományneveinek feloldásához.
Az Azure-beli virtuális gépen futó számítási feladatbővítményhez legalább két tárfiókvégponthoz kell csatlakoznia – az elsőt kommunikációs csatornaként használják (üzenetsor-üzeneteken keresztül), a másodikat pedig a biztonsági mentési adatok tárolására. A MARS-ügynöknek hozzáférésre van szüksége legalább egy tárfiókvégponthoz, amelyet biztonsági mentési adatok tárolására használnak.
Egy privát végpontot engedélyező tároló esetében az Azure Backup szolgáltatás privát végpontot hoz létre ezekhez a tárfiókokhoz. Ez megakadályozza, hogy az Azure Backuphoz kapcsolódó hálózati forgalom (a szolgáltatási sík forgalmának vezérlése és az adatok biztonsági mentése a tárolóblobba) elhagyja a virtuális hálózatot. Az Azure Backup felhőszolgáltatásai mellett a számítási feladatok bővítményének és ügynökének kapcsolatra van szüksége az Azure Storage-fiókokhoz és a Microsoft Entra-azonosítóhoz.
Az alábbi ábra bemutatja, hogyan működik a névfeloldás privát DNS-zónát használó tárfiókok esetében.
