Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Backup segítségével privát végpontok használatával biztonsági másolatot készíthet és visszaállíthat az adatokról a Recovery Services-tárolókból. A privát végpontok az Azure-beli virtuális hálózat egy vagy több privát IP-címét használják a szolgáltatás hatékony üzembe helyezéséhez a virtuális hálózatba.
Ez a cikk segít megérteni, hogyan működnek az Azure Backup privát végpontjai a privát végpontok létrehozásának 1. verziójában. Olyan forgatókönyveket biztosít, amelyekben a privát végpontok használata segít fenntartani az erőforrások biztonságát.
Az Azure Backup a 2. verziójú felületet is biztosítja a privát végpontok létrehozásához és használatához. További információ.
Megfontolandó szempontok a kezdés előtt
Az új Recovery Services-tárolókhoz csak akkor hozhat létre privát végpontokat, ha nincsenek regisztrálva elemek a tárolóban. Mielőtt bármilyen elemet védenél a tárolóban, privát végpontokat kell létrehoznod. A biztonsági mentési tárolók esetében azonban jelenleg nem támogatottak a privát végpontok.
A hálózat által korlátozott kulcstárolóval rendelkező ügyfél által felügyelt kulcsok (CMK-k) nem támogatottak egy olyan tárolóval, amely privát végpontokra van engedélyezve.
Egy virtuális hálózat több Recovery Services-tároló privát végpontjait is tartalmazhatja. Egy Recovery Services-tároló privát végpontokkal is rendelkezhet több virtuális hálózatban. Egy adatbunkerhez legfeljebb 12 privát végpont hozható létre.
Ha a tároló nyilvános hálózati hozzáférése engedélyezve van az összes hálózatról, a tároló lehetővé teszi a tárolóban regisztrált bármely gép biztonsági mentését és visszaállítását. Ha a tároló nyilvános hálózati hozzáférése Megtagadás értékre van állítva, a tároló csak a tárolóhoz regisztrált gépekről engedélyezi a biztonsági mentéseket és visszaállításokat, amelyek biztonsági mentést/visszaállítást kérnek a tárolóhoz lefoglalt privát IP-címeken keresztül.
Az Azure Backup privát végpontkapcsolata összesen 11 privát IP-címet használ az alhálózatban, beleértve azOkat az IP-címeket is, amelyeket az Azure Backup a tároláshoz használ. Ez a szám bizonyos Azure-régiók esetében magasabb lehet. Javasoljuk, hogy elegendő privát IP-cím (/25) legyen elérhető, amikor privát végpontokat próbál létrehozni az Azure Backuphoz.
Bár mind az Azure Backup, mind az Azure Site Recovery egy Recovery Services-tárolót használ, ez a cikk csak az Azure Backup privát végpontjainak használatát ismerteti.
Az Azure Backup privát végpontjai nem tartalmazzák a Microsoft Entra-azonosítóhoz való hozzáférést. Külön kell megadnia a Microsoft Entra-azonosítóhoz való hozzáférést.
A Microsoft Entra ID régióban való működéséhez szükséges IP-címeknek és teljes tartományneveknek (FQDN-eknek) kimenő hozzáférésre van szükségük ahhoz, hogy a biztonságos hálózatról engedélyezve legyen a következő műveletek végrehajtásakor:
- Az Azure-beli virtuális gépek (VM-ek) adatbázisainak biztonsági mentése.
- A Microsoft Azure Recovery Services (MARS) ügynököt használó biztonsági mentés.
A hálózati biztonsági csoport (NSG) és az Azure Firewall-címkék használatával is engedélyezheti a Microsoft Entra-azonosítóhoz való hozzáférést.
Ha 2020. május 1-je előtt regisztrálta, akkor újra kell regisztrálnia az előfizetéshez a Recovery Services erőforrás-szolgáltatót. A szolgáltató újraregisztrálásához nyissa meg az előfizetését az Azure Portalon, nyissa meg a bal oldali menü erőforrás-szolgáltatóját , majd válassza a Microsoft.RecoveryServices>Újraregisztrálás lehetőséget.
Az SQL Server és az SAP HANA-adatbázis biztonsági mentéseinek régióközi visszaállítása nem támogatott, ha a tárolóban engedélyezve vannak a privát végpontok.
Ha egy már privát végpontokat használó Recovery Services-tárolót helyez át egy új bérlőbe, frissítenie kell a Recovery Services-tárolót a tároló felügyelt identitásának újbóli létrehozásához és újrakonfigurálásához. Szükség szerint hozzon létre privát végpontokat az új bérlőben. Ha nem hajtja végre ezeket a feladatokat, a biztonsági mentési és visszaállítási műveletek meghiúsulnak. Emellett az előfizetésen belül beállított Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) engedélyeket is újra kell konfigurálni.
Ajánlott és támogatott forgatókönyvek
Bár a privát végpontok engedélyezve vannak a tárolóhoz, az SQL Server és az SAP HANA számítási feladatainak biztonsági mentésére és visszaállítására csak Azure-beli virtuális gépeken, MARS-ügynökök biztonsági mentésében és a System Center Data Protection Managerben (DPM) használhatók. A trezort más számítási feladatok biztonsági mentéséhez is használhatja, amelyek nem igényelnek privát végpontokat. Az SQL Server és az SAP HANA számítási feladatok és a MARS-ügynökön keresztüli biztonsági mentések mellett privát végpontok is használhatók az Azure-beli virtuális gépek biztonsági mentéseinek fájlhelyreállítására.
Az alábbi táblázat további információkat nyújt:
| Scenario | Ajánlások |
|---|---|
| Azure-beli virtuális gépek számítási feladatainak biztonsági mentése (SQL Server, SAP HANA), MARS-ügynökkel történő biztonsági mentés, DPM-kiszolgáló | Javasoljuk, hogy magánvégpontok használatával engedélyezze a biztonsági mentést és a visszaállítást anélkül, hogy hozzá kellene adnia egy engedélyezési listához az Azure Backuphoz vagy az Azure Storage-hoz készült ip-címeket vagy teljes tartományneveket a virtuális hálózatokról. Ebben a forgatókönyvben győződjön meg arról, hogy az SQL-adatbázisokat üzemeltető virtuális gépek elérhetik a Microsoft Entra IP-címeit vagy teljes tartományneveit. |
| Azure-beli virtuális gép biztonsági mentése | A virtuális gépek biztonsági mentéséhez nincs szükség ip-címekhez vagy teljes tartománynevekhez való hozzáférés engedélyezésére. Ezért nem igényel privát végpontokat a lemezek biztonsági mentéséhez és visszaállításához. A privát végpontokat tartalmazó tárolóból származó fájlhelyreállítás azonban a tárolóhoz tartozó privát végpontot tartalmazó virtuális hálózatokra korlátozódna. A nem felügyelt lemezeket használó virtuális gépekről származó régi helyreállítási pontok esetében győződjön meg arról, hogy a metaadatok és az ideiglenes VHD-fájlok visszaállításához használt tárfiók lehetővé teszi a hozzáférést a megbízható Microsoft-szolgáltatásokhoz, ha hozzáférés-vezérlési lista (ACL) védi. |
| Azure Files biztonsági mentése | Az Azure Files biztonsági mentését a rendszer a helyi tárfiókban tárolja. Ezért nincs szükség privát végpontokra a biztonsági mentéshez és a visszaállításhoz. |
| Privát végpont virtuális hálózatának módosítása a tárolóban és a virtuális gépen | Állítsa le a biztonsági mentés elleni védelmet, és konfigurálja a biztonsági mentés védelmét egy új tárolóban, amelyen engedélyezve van a privát végpontok használata. |
Megjegyzés:
A privát végpontok csak a DPM 2022, a Microsoft Azure Backup Server (MABS) v4 és újabb verzióival támogatottak.
Nem támogatott forgatókönyv
Biztonsági mentési és visszaállítási műveletek esetén a privát végpont-kompatibilis Recovery Services-tárolók nem kompatibilisek a privát végpont-kompatibilis Azure-kulcstartókkal a CMK-k helyreállítási tárban való tárolásához.
A privát végpontok hálózati kapcsolatainak különbségei
Ahogy korábban említettük, a privát végpontok különösen hasznosak az Azure-beli virtuális gépek számítási feladatainak (SQL Server és SAP HANA) biztonsági mentéséhez és a MARS-ügynökök biztonsági mentéséhez.
Az összes forgatókönyvben (privát végpontokkal vagy anélkül) a számítási feladatok bővítményei (az SQL Server és az Azure-beli virtuális gépeken futó SAP HANA-példányok biztonsági mentéséhez) és a MARS-ügynök is kapcsolatot kezdeményez a Microsoft Entra-azonosítóval. Az 56. és 59. szakasz alatt említett FQDN-ekkel történő hívásokat a Microsoft 365 Common és az Office Online hajtja végre.
Ezen kapcsolatok mellett, ha a számítási feladatbővítmény vagy a MARS-ügynök privát végpontok nélküli Recovery Services-tárolóhoz van telepítve, a következő tartományokkal való kapcsolat szükséges:
| Szolgáltatás | Tartománynevek | Kikötő |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com A teljes tartománynevekhez való hozzáférés engedélyezése az 56. és az 59. szakaszban. |
443 Adott esetben |
Ha a számítási feladatbővítmény vagy a MARS-ügynök magánvégponttal rendelkező Recovery Services-tárolóhoz van telepítve, a következő végpontok vesznek részt:
| Szolgáltatás | Tartománynevek | Kikötő |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com A teljes tartománynevekhez való hozzáférés engedélyezése az 56. és az 59. szakaszban. |
443 Adott esetben |
Megjegyzés:
Az előző szövegben <geo> a régiókódra hivatkozik (például eus az USA keleti régiója és ne Észak-Európa esetében). A régiókódokkal kapcsolatos további információkért tekintse meg az alábbi listát:
A MARS-ügynök automatikus frissítéséhez engedélyezze a hozzáférést a következőhöz download.microsoft.com/download/MARSagent/*: .
Privát végpontbeállítású Recovery Services-tároló esetén a teljes tartománynevek (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) névfeloldása egy privát IP-címet ad vissza. Ezt a következő eszközökkel érheti el:
- Azure Privát DNS-zónák.
- Egyéni DNS.
- DNS-bejegyzések a gazdagépfájlokban.
- Feltételes továbbítók az Azure DNS-be vagy az Azure saját DNS zónákba.
A blobok és üzenetsorok privát végpontjai szabványos elnevezési mintát követnek. A kezdőelemek <name of the private endpoint>_ecs vagy <name of the private endpoint>_prot elemmel kezdődnek, és _blob illetve _queue utótaggal vannak ellátva.
Megjegyzés:
Javasoljuk, hogy azure-beli privát DNS-zónákat használjon. Lehetővé teszik a blobok és üzenetsorok DNS-rekordjainak kezelését az Azure Backup használatával. A tárolóhoz rendelt felügyelt identitással automatizálható a DNS-rekordok hozzáadása, amikor új tárfiók van lefoglalva a biztonsági mentési adatokhoz.
Ha külső proxykiszolgálók vagy tűzfalak használatával konfigurált DNS-proxykiszolgálót, a fenti tartományneveket engedélyezni kell, és át kell irányítani az alábbi lehetőségek egyikére:
- Az egyéni DNS, amely a korábban említett teljes tartománynevek DNS-rekordjait tartalmazza
- 168.63.129.16 azon Azure-beli virtuális hálózaton, amelyhez privát DNS-zónák kapcsolódnak
Az alábbi példa azt mutatja be, hogy az Azure Firewall DNS-proxyként használva átirányítja a Tartománynév-lekérdezéseket egy Recovery Services-tárolóhoz, blobhoz, üzenetsorhoz és Microsoft Entra-azonosítóhoz a 168.63.129.16-ra.
További információ: Privát végpontok létrehozása és használata.
Privát végpontokkal rendelkező trezor hálózati kapcsolatának beállítása
A Recovery Services privát végpontja hálózati adapterhez (NIC) van társítva. A privát végpontkapcsolatok működéséhez az Azure-szolgáltatás összes forgalmát át kell irányítani a hálózati adapterre. Ezt az átirányítást úgy érheti el, hogy DNS-megfeleltetést ad hozzá a hálózati interfészhez társított magán IP-címekhez a szolgáltatás, a blob vagy az üzenetsor URL-címénél.
Ha a számítási feladatok biztonsági mentési bővítményei egy privát végponttal rendelkező Recovery Services-tárolóban regisztrált virtuális gépre vannak telepítve, a bővítmény megpróbál kapcsolatot létesíteni az Azure Backup-szolgáltatások privát URL-címével: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Ha a privát URL-cím nem működik, a bővítmény megpróbálja a nyilvános URL-címet: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Megjegyzés:
Az előző szövegben <geo> a régiókódra hivatkozik (például eus az USA keleti régiója és ne Észak-Európa esetében). A régiókódokkal kapcsolatos további információkért tekintse meg az alábbi listát:
Ezek a privát URL-címek kifejezetten a trezorra vonatkoznak. Ezeken a végpontokon keresztül csak a tárolóban regisztrált bővítmények és ügynökök kommunikálhatnak az Azure Backuppal. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése Megtagadásként van konfigurálva, ez a beállítás korlátozza a virtuális hálózaton nem futó ügyfelek számára a biztonsági mentési és visszaállítási műveletek kérését a tárolón.
Javasoljuk, hogy a nyilvános hálózati hozzáférést a Megtagadás értékre állítsa, a privát végpont beállításával együtt. Mivel a bővítmény és az ügynök kezdetben a privát URL-címet próbálja használni, az *.privatelink.<geo>.backup.windowsazure.com URL DNS-feloldásának a privát végponthoz társított megfelelő privát IP-címet kell visszaadnia.
A DNS-feloldási megoldások a következők:
- Azure-beli saját DNS-zónák
- Egyéni DNS
- DNS-bejegyzések a gazdagép fájlokban
- Feltételes továbbítók az Azure DNS-be vagy az Azure Privát DNS-zónákba
Amikor az Azure Portalon hozza létre a Recovery Services privát végpontját az Integrálás a privát DNS-zónával beállítással , az Azure Backup-szolgáltatások (*.privatelink.<geo>backup.windowsazure.com) privát IP-címeinek szükséges DNS-bejegyzései automatikusan létrejönnek az erőforrás lefoglalásakor. Más megoldásokban manuálisan kell létrehoznia a DNS-bejegyzéseket ezekhez az FQDN-ekhez az egyéni DNS-ben vagy a hosts fájlokban.
A blobok és üzenetsorok DNS-rekordjainak manuális kezeléséhez a virtuális gép kommunikációs csatornához való felderítése után tekintse meg a blobok és üzenetsorok DNS-rekordjait (csak egyéni DNS-kiszolgálók/gazdagépfájlok esetében) az első regisztráció után. A DNS-rekordok manuális kezeléséhez a tárfiókblobok biztonsági mentésének első biztonsági mentése után tekintse meg a blobok DNS-rekordjait (csak egyéni DNS-kiszolgálók/gazdagépfájlok esetén) az első biztonsági mentés után.
A panelen, amelyet a Recovery Services-tárolóhoz létrehozott privát végponthoz hozott létre, megtalálhatja az FQDN-k magánhálózati IP-címeit.
Az alábbi ábra bemutatja, hogyan működik a megoldás, ha privát DNS-zónát használ a magánszolgáltatás teljes tartományneveinek feloldásához.
Az Azure-beli virtuális gépeken futó számítási feladatbővítményhez legalább két tárfiókhoz kell csatlakozni. Az elsőt kommunikációs csatornaként alkalmazzák üzenetsoron keresztül. A második a biztonsági mentési adatok tárolására használható. A MARS-ügynöknek hozzáférésre van szüksége a biztonsági mentési adatok tárolásához használt egyetlen tárfiókhoz.
Privát végpontbarát tároló esetén az Azure Backup szolgáltatás létrehoz egy privát végpontot ezekhez a tárfiókokhoz. Ez a művelet megakadályozza, hogy az Azure Backuphoz kapcsolódó hálózati forgalom (a szolgáltatás felé irányuló síkforgalom szabályozása és a tárolóblobba irányuló adatok biztonsági mentése) elhagyja a virtuális hálózatot. Az Azure Backup felhőszolgáltatásai mellett a számítási feladatbővítményhez és -ügynökhöz az Azure Storage-fiókokhoz és a Microsoft Entra-azonosítóhoz való kapcsolódás szükséges.
Előfeltételként a Recovery Services-tárolónak engedélyre van szüksége ahhoz, hogy további privát végpontokat hozzon létre ugyanabban az erőforráscsoportban. Azt is javasoljuk, hogy adja meg a Recovery Services páncélnak a jogosultságokat a DNS-bejegyzések létrehozására a privát DNS-zónákban (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). A Recovery Services-tároló privát DNS-zónákat keres azokban az erőforráscsoportokban, amelyekben a virtuális hálózat és a privát végpont létrejön. Ha rendelkezik a dns-bejegyzések hozzáadására vonatkozó engedélyekkel ezekben a zónákban, létrehozza ezeket a bejegyzéseket. Ellenkező esetben manuálisan kell létrehoznia őket.
Megjegyzés:
A privát DNS-zónákkal való integráció a különböző előfizetésekben nem támogatott ebben a környezetben.
Az alábbi ábra bemutatja, hogyan működik a névfeloldás a privát DNS-zónát használó tárfiókok esetében.
