Privát végpontok létrehozása és használata (v2-felület) az Azure Backuphoz

Az Azure Backup lehetővé teszi az adatok biztonsági mentési és visszaállítási műveleteinek biztonságos végrehajtását a Recovery Services-tárolókból privát végpontok használatával. A privát végpontok egy vagy több privát IP-címet használnak az Azure-beli virtuális hálózatról (VNet), így a szolgáltatás ténylegesen bekerül a virtuális hálózatba.

Az Azure Backup mostantól továbbfejlesztett felhasználói élményt nyújt a privát végpontok létrehozásához és használatához a klasszikus (v1) felülethez képest.

Ez a cikk bemutatja, hogyan hozhat létre és kezelhet privát végpontokat az Azure Backuphoz a Recovery Services-tárolóban.

Helyreállítási tár létrehozása

Privát végpontokat csak olyan Recovery Services-tárolókhoz hozhat létre az Azure Backuphoz, amelyek nem rendelkeznek védett elemekkel (vagy korábban nem próbáltak meg védett elemeket védeni vagy regisztrálni hozzájuk). Ezért javasoljuk, hogy hozzon létre egy új tárolót a privát végpont konfigurálásához.

További információ az új tárolók létrehozásáról: Recovery Services-tároló létrehozása és konfigurálása. Ha azonban már vannak privát végpontokkal rendelkező tárolói, a továbbfejlesztett felülettel újra létrehozhatja a privát végpontokat.

Nyilvános hálózati hozzáférés megtagadása a tárolóhoz

Konfigurálhatja a tárolókat úgy, hogy megtagadják a nyilvános hálózatokhoz való hozzáférést.

Follow these steps:

1. Lépjen a tároló>hálózatkezelésére.

2. A Nyilvános hozzáférés lapon válassza a Megtagadás lehetőséget a nyilvános hálózatokról való hozzáférés megakadályozásához.

   

   Megjegyzés:

   • Miután megtagadta a hozzáférést, továbbra is hozzáférhet a tárolóhoz, de nem helyezhet át adatokat privát végpontokat nem tartalmazó hálózatokra vagy hálózatokról. További információ: Privát végpontok létrehozása az Azure Backuphoz.
   • A nyilvános hozzáférés megtagadása jelenleg nem támogatott azon tárolók esetében, amelyekben engedélyezve van a régiók közötti visszaállítás .

3. Kattintson az Alkalmaz gombra a módosítások mentéséhez.

Privát végpontok létrehozása az Azure Backuphoz

Az Azure Backuphoz tartozó privát végpontok létrehozásához kövesse az alábbi lépéseket:

1. Nyissa meg azt a *\tárolót, amelyhez privát végpontok hálózatkezelését> szeretné létrehozni.

2. Lépjen a Privát hozzáférés lapra, és válassza a +Privát végpont lehetőséget egy új privát végpont létrehozásához.

   

3. Magánvégpont létrehozásakor adja meg a szükséges adatokat:

   a. Alapismeretek: Adja meg a privát végpontok alapvető adatait. A régiónak meg kell egyeznie a tárolóval és a biztonsági másolatot készíteni kívánt erőforrásával.

   

   b. Erőforrás: Ezen a lapon válassza ki azt a PaaS-erőforrást, amelyhez létre szeretné hozni a kapcsolatot, majd válassza ki a Microsoft.RecoveryServices/tárolókat a szükséges előfizetés erőforrástípusából. Miután elkészült, válassza ki a Recovery Services-tároló nevét erőforrásként, az AzureBackupot pedig cél-alforrásként.

   c. Virtuális hálózat: Ezen a lapon adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez az a virtuális hálózat, ahol a virtuális gép jelen van.

   d. DNS: A privát csatlakozáshoz szükség van a szükséges DNS-rekordokra. A hálózat beállítása alapján az alábbiak közül választhat:

   • A privát végpont integrálása privát DNS-zónával: Ha integrálni szeretné, válassza az Igen lehetőséget.
   • Használja az egyéni DNS-kiszolgálót: Válassza a Nem lehetőséget, ha saját DNS-kiszolgálót szeretne használni. e. Címkék: Igény szerint hozzáadhat címkéket a privát végponthoz.

4. Select Review + create.

5. Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Privát végpontok jóváhagyása

Ha a privát végpontot a Recovery Services-tároló tulajdonosaként hozza létre, a létrehozott privát végpont automatikusan jóvá lesz hagyva. Ellenkező esetben a tároló tulajdonosának a használat előtt jóvá kell hagynia a privát végpontot.

A privát végpontok Azure Portalon keresztüli manuális jóváhagyásához kövesse az alábbi lépéseket:

1. A Recovery Services-tárolóban nyissa meg a privát végpontkapcsolatokat a bal oldali panelen.

2. Válassza ki a jóváhagyni kívánt privát végpontkapcsolatot .

3. Válassza a Jóváhagyás lehetőséget.

   

   Ha el szeretné utasítani vagy törölni szeretné a végpontkapcsolatot, az Elutasítás vagy az Eltávolítás lehetőséget is választhatja.

Megtudhatja, hogyan hagyhat jóvá manuálisan privát végpontokat az Azure Resource Manager-ügyféllel a privát végpontok jóváhagyásához az Azure Resource Manager-ügyfél használatával.

DNS-rekordok kezelése

A privát DNS-zónákban vagy -kiszolgálókon szükséges DNS-rekordokra van szükség a privát csatlakozáshoz. A privát végpontot integrálhatja közvetlenül az Azure privát DNS-zónáival, vagy az egyéni DNS-kiszolgálóival is elérheti ezt a hálózati beállítások alapján. Ezt mind a három szolgáltatás esetében el kell végezni – Azure Backup, Azure Blobs és Queues.

Privát végpontok azure-beli privát DNS-zónákkal való integrálása esetén

Ha úgy dönt, hogy privát végpontját privát DNS-zónákkal integrálja, az Azure Backup hozzáadja a szükséges DNS-rekordokat. Megtekintheti a privát végpont DNS-konfigurációja alatt használt privát DNS-zónákat. Ha ezek a DNS-zónák nincsenek jelen, azok automatikusan létrejönnek a privát végpont létrehozása során.

Azonban ellenőriznie kell, hogy a virtuális hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) megfelelően kapcsolódik-e mindhárom privát DNS-zónához az alábbiak szerint.

Megjegyzés:

Proxykiszolgálók használata esetén dönthet úgy, hogy megkerüli a proxykiszolgálót, vagy végrehajtja a biztonsági mentéseket a proxykiszolgálón keresztül. Proxykiszolgáló megkerüléséhez folytassa a következő szakaszokkal. Ha a proxykiszolgálót szeretné használni a biztonsági mentések végrehajtásához, tekintse meg a proxykiszolgáló beállításának részleteit a Recovery Services-tárolóhoz.

Virtuális hálózati kapcsolatok ellenőrzése privát DNS-zónákban

A felsorolt privát DNS-zónákhoz (az Azure Backuphoz, blobokhoz és üzenetsorokhoz) lépjen a megfelelő virtuális hálózati hivatkozásokra.

Megjelenik egy bejegyzés annak a virtuális hálózatnak, amelyhez létrehozta a privát végpontot. Ha nem lát bejegyzést, adjon hozzá egy virtuális hálózati hivatkozást azokhoz a DNS-zónákhoz, amelyek nem rendelkeznek velük.

Egyéni DNS-kiszolgáló vagy gazdagépfájlok használatakor

• Ha egyéni DNS-kiszolgálót használ, a feltételes továbbítóval biztonsági mentési szolgáltatás, blob és üzenetsor teljes tartományneveit használhatja a DNS-kérelmek Azure DNS-be való átirányításához (168.63.129.16). Az Azure DNS átirányítja az Azure saját DNS zónába. Ebben a beállításban győződjön meg arról, hogy az Azure saját DNS zóna virtuális hálózati kapcsolata létezik a cikkben említett módon.

  Az alábbi táblázat az Azure Backup által megkövetelt Azure saját DNS zónákat sorolja fel:

  Zóna	Szolgáltatás
  *.privatelink.<geo>.backup.windowsazure.com	Backup
  *.blob.core.windows.net	Blob
  *.queue.core.windows.net	Várakozási sor
  *.storage.azure.net	Blob

  Megjegyzés:

  A fenti szöveg <geo> a régiókódra hivatkozik (például az USA keleti régiója és Észak-Európa esetében). A régiók kódjaihoz tekintse meg a következő listákat:

  • Minden nyilvános felhő
  • China
  • Németország
  • US Gov
  • Geokódlista – XML-minta

• Ha egyéni DNS-kiszolgálókat vagy gazdagépfájlokat használ, és nem rendelkezik az Azure saját DNS zónabeállítással, hozzá kell adnia a privát végpontok által megkövetelt DNS-rekordokat a DNS-kiszolgálókhoz vagy a gazdagépfájlhoz.

  Lépjen a létrehozott privát végpontra, majd lépjen a DNS-konfigurációra. Ezután adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-ben.

  Ha egy gazdafájlt használ a névfeloldáshoz, végezze el a megfelelő bejegyzéseket a gazdagépfájlban az egyes IP-címekhez és teljes tartománynevekhez a formátumnak megfelelően – <private ip><space><FQDN>.

Megjegyzés:

Az Azure Backup új tárfiókot rendelhet a tárolóhoz a biztonsági mentési adatokhoz, és a bővítménynek vagy az ügynöknek hozzá kell férnie a megfelelő végpontokhoz. Ha többet szeretne tudni arról, hogyan adhat hozzá további DNS-rekordokat a regisztráció és a biztonsági mentés után, olvassa el , hogyan használhat privát végpontokat biztonsági mentéshez.

Privát végpontok használata biztonsági mentéshez

Miután jóváhagyták a virtuális hálózat tárolójához létrehozott privát végpontokat, megkezdheti a biztonsági mentések és visszaállítások végrehajtását.

Fontos

A folytatás előtt győződjön meg arról, hogy sikeresen végrehajtotta a dokumentumban említett összes lépést. Az összegzéshez a következő ellenőrzőlistán kell elvégeznie a lépéseket:

1. Létrehozott egy (új) Recovery Services-tárolót
2. Engedélyezte a tároló számára a rendszer által hozzárendelt felügyelt identitás használatát
3. Releváns engedélyek hozzárendelése a tároló felügyelt identitásához
4. Privát végpont létrehozása a tárolóhoz
5. Jóváhagyta a privát végpontot (ha nincs automatikusan jóváhagyva)
6. Győződjön meg arról, hogy az összes DNS-rekord megfelelő módon van hozzáadva (kivéve az egyéni kiszolgálók blob- és üzenetsorrekordjait, amelyeket a következő szakaszok tárgyalnak)

Virtuálisgép-kapcsolat ellenőrzése

A virtuális gépen, a zárolt hálózaton győződjön meg a következőkről:

1. A virtuális gépnek hozzáféréssel kell rendelkeznie a Microsoft Entra-azonosítóhoz.
2. Futtassa az nslookup parancsot a virtuális gép biztonsági mentési URL-címén (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) a kapcsolat biztosítása érdekében. Ennek a virtuális hálózaton hozzárendelt magánhálózati IP-címet kell visszaadnia.

Biztonsági mentés konfigurálása

Miután meggyőződött arról, hogy a fenti ellenőrzőlista és hozzáférés sikeresen befejeződött, továbbra is konfigurálhatja a számítási feladatok biztonsági mentését a tárolóba. Ha egyéni DNS-kiszolgálót használ, hozzá kell adnia az első biztonsági mentés konfigurálása után elérhető blobokhoz és üzenetsorokhoz tartozó DNS-bejegyzéseket.

Blobok és üzenetsorok DNS-rekordjai (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első regisztráció után

Miután konfigurálta legalább egy erőforrás biztonsági mentését egy privát végpontot engedélyező tárolón, adja hozzá a blobokhoz és üzenetsorokhoz szükséges DNS-rekordokat az alábbiak szerint.

1. Keresse meg a tárolóhoz létrehozott privát végpontokat, és lépjen a DNS-konfigurációhoz.

2. Adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-ben.

   Ha egy gazdafájlt használ a névfeloldáshoz, végezze el a megfelelő bejegyzéseket a gazdagépfájlban az egyes IP-címekhez és teljes tartománynevekhez a formátumnak megfelelően – <private ip><space><FQDN>.

   A fentieken kívül egy másik bejegyzésre is szükség van az első biztonsági mentés után, amelyet itt tárgyalunk.

Számítási feladatok biztonsági mentése és visszaállítása Azure-beli virtuális gépen (SQL és SAP HANA)

A privát végpont létrehozása és jóváhagyása után az ügyféloldalon nincs szükség további módosításokra a privát végpont használatához (kivéve, ha SQL rendelkezésre állási csoportokat használ, amelyeket a szakasz későbbi részében tárgyalunk). A biztonságos hálózatról a tárolóba történő összes kommunikáció és adatátvitel a privát végponton keresztül történik. Ha azonban egy kiszolgáló (SQL vagy SAP HANA) regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet.

Blobok DNS-rekordjai (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első biztonsági mentés után

Miután futtatta az első biztonsági mentést, és egyéni DNS-kiszolgálót használ (feltételes továbbítás nélkül), valószínű, hogy a biztonsági mentés sikertelen lesz. Ha ez történik:

1. Lépjen a tárolóhoz létrehozott privát végpontra, és lépjen a DNS-konfigurációhoz.

2. Adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-ben.

   Ha egy gazdafájlt használ a névfeloldáshoz, végezze el a megfelelő bejegyzéseket a gazdagépfájlban az egyes IP-címekhez és teljes tartománynevekhez a formátumnak megfelelően – <private ip><space><FQDN>.

Megjegyzés:

Ezen a ponton képesnek kell lennie nslookup futtatására a virtuális gépről, és feloldani a privát IP-címekre, ha a tároló biztonsági mentési és tárolási URL-címén végzett.

SQL rendelkezésre állási csoportok használata esetén

Az SQL Rendelkezésre állási csoportok (AG) használatakor feltételes továbbítást kell kiépítenie az egyéni AG DNS-ben az alábbiak szerint:

1. Jelentkezzen be a tartományvezérlőre.
2. A DNS-alkalmazás alatt adjon hozzá feltételes továbbítókat mindhárom DNS-zónához (biztonsági mentés, blobok és üzenetsorok) a 168.63.129.16-os gazdagép IP-címéhez vagy szükség esetén az egyéni DNS-kiszolgáló IP-címéhez. Az alábbi képernyőképek az Azure-gazdagép IP-címére való továbbításkor jelennek meg. Ha saját DNS-kiszolgálót használ, cserélje le a DNS-kiszolgáló IP-címét.

Biztonsági mentés és visszaállítás a MARS-ügynökön és a DPM-kiszolgálón keresztül

Ha a MARS-ügynökkel készít biztonsági másolatot a helyszíni erőforrásokról, győződjön meg arról, hogy a helyszíni hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) társviszonyban van a tárolóhoz tartozó privát végpontot tartalmazó Azure-beli virtuális hálózattal, így használhatja azt. Ezután tovább telepítheti a MARS-ügynököt, és konfigurálhatja a biztonsági mentést az itt leírtak szerint. Azonban gondoskodnia kell arról, hogy a biztonsági mentéshez szükséges összes kommunikáció csak a társhálózaton keresztül történjen.

Ha azonban egy MARS-ügynök regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet.

Megjegyzés:

• A privát végpontok csak a DPM-kiszolgáló 2022-ben és újabb verzióiban támogatottak.
• A privát végpontok még nem támogatottak a MABS-jal.

Privát végpontok törlése

A privát végpontok REST API-val történő törléséhez tekintse meg ezt a szakaszt.

Következő lépések

• Tudnivalók az Azure Backup privát végpontjáról.