Megosztás a következőn keresztül:


Az Azure Backup privát végpontjainak (v2-élmény) áttekintése és fogalmai

Az Azure Backup lehetővé teszi az adatok biztonsági mentési és visszaállítási műveleteinek biztonságos végrehajtását a Recovery Services-tárolókból privát végpontok használatával. A privát végpontok egy vagy több privát IP-címet használnak az Azure-beli virtuális hálózatról (VNet), így a szolgáltatás ténylegesen bekerül a virtuális hálózatba.

Az Azure Backup mostantól továbbfejlesztett felhasználói élményt nyújt a privát végpontok létrehozásához és használatához a klasszikus (v1) felülethez képest.

Ez a cikk bemutatja, hogyan működnek a privát végpontok továbbfejlesztett képességei az Azure Backup funkcióhoz, és hogyan segítik a biztonsági mentéseket az erőforrások biztonságának fenntartása mellett.

Főbb fejlesztések

  • Privát végpontok létrehozása felügyelt identitások nélkül.
  • A blob- és üzenetsor-szolgáltatásokhoz nem jön létre privát végpont.
  • Kevesebb privát IP-cím használata.

Előkészületek

  • Bár az Azure Backup és az Azure Site Recovery (mindkettő) egy Recovery Services-tárolót használ, ez a cikk csak az Azure Backup privát végpontjainak használatát ismerteti.

  • Létrehozhat privát végpontokat olyan új Recovery Services-tárolókhoz, amelyeken nincs regisztrálva/védett elem a tárolóban. A biztonsági mentési tárolók esetében azonban jelenleg nem támogatottak a privát végpontok.

    Feljegyzés

    Nem hozhat létre privát végpontokat statikus IP-cím használatával.

  • A klasszikus felülettel létrehozott (privát végpontokat tartalmazó) tárolók nem frissíthetők az új felületre. Törölheti az összes meglévő privát végpontot, majd új privát végpontokat hozhat létre a v2 felülettel.

  • Egy virtuális hálózat több Recovery Services-tároló privát végpontjait is tartalmazhatja. Emellett egy Recovery Services-tárolóhoz privát végpontok is tartozhatnak több virtuális hálózatban. Egy tárolóhoz azonban legfeljebb 12 privát végpont hozható létre.

  • Egy tároló privát végpontja 10 privát IP-címet használ, és a szám idővel növekedhet. Győződjön meg arról, hogy elegendő IP-cím áll rendelkezésre a privát végpontok létrehozásakor.

  • Az Azure Backup privát végpontjai nem tartalmazzák a Microsoft Entra-azonosítóhoz való hozzáférést. Győződjön meg arról, hogy engedélyezi a hozzáférést, hogy a Microsoft Entra ID régióban való működéséhez szükséges IP-címek és teljes tartománynevek kimenő hozzáféréssel rendelkezzenek engedélyezett állapotban a biztonságos hálózatban, amikor azure-beli virtuális gépeken készít biztonsági másolatot az adatbázisokról, és a MARS-ügynök használatával biztonsági másolatot készít. Az NSG-címkéket és az Azure Firewall-címkéket is használhatja a Microsoft Entra ID-hez való hozzáférés engedélyezéséhez, adott esetben.

  • Ha 2020. május 1-je előtt regisztrálta, újra regisztrálnia kell a Recovery Services-erőforrás-szolgáltatót az előfizetéshez. A szolgáltató újbóli regisztrálásához nyissa meg az előfizetését az Azure Portal >erőforrás-szolgáltatójában, majd válassza a Microsoft.RecoveryServices>Újraregisztrálás lehetőséget.

  • A DNS-t előfizetések között is létrehozhatja.

  • Létrehozhat másodlagos privát végpontot a tároló védett elemei előtt vagy után. Megtudhatja , hogyan állíthatja vissza a régiók közötti visszaállítást egy privát végpontot engedélyező tárolóba.

Bár a privát végpontok engedélyezve vannak a tárolóhoz, az SQL- és SAP HANA-számítási feladatok biztonsági mentéséhez és visszaállításához csak Azure-beli virtuális gépeken, MARS-ügynökök biztonsági mentéséhez és DPM-hez használhatók. A tárolót más számítási feladatok biztonsági mentéséhez is használhatja (ezek azonban nem igényelnek privát végpontokat). Az SQL- és SAP HANA-számítási feladatok biztonsági mentése és a MARS-ügynökkel végzett biztonsági mentés mellett privát végpontok is használhatók az Azure-beli virtuális gépek biztonsági mentésének fájlhelyreállításához.

Az alábbi táblázat a forgatókönyveket és javaslatokat sorolja fel:

Eset Ajánlás
Számítási feladatok biztonsági mentése azure-beli virtuális gépen (SQL, SAP HANA), biztonsági mentés MARS-ügynökkel, DPM-kiszolgálóval. A privát végpontok használata ajánlott a biztonsági mentés és a visszaállítás engedélyezéséhez anélkül, hogy hozzá kellene adni egy engedélyezési listához az Azure Backuphoz vagy az Azure Storage-hoz készült ip-címeket/teljes tartományneveket a virtuális hálózatokról. Ebben a forgatókönyvben győződjön meg arról, hogy az SQL-adatbázisokat üzemeltető virtuális gépek elérhetik a Microsoft Entra IP-címeit vagy teljes tartományneveit.
Azure-beli virtuális gép biztonsági mentése A virtuális gépek biztonsági mentéséhez nincs szükség ip-címekhez vagy teljes tartománynevekhez való hozzáférés engedélyezésére. Ezért nem igényel privát végpontokat a lemezek biztonsági mentéséhez és visszaállításához.

A privát végpontokat tartalmazó tárolóból származó fájlhelyreállítás azonban a tárolóhoz tartozó privát végpontot tartalmazó virtuális hálózatokra korlátozódna.

Ha nem felügyelt ACL-lemezeket használ, győződjön meg arról, hogy a lemezeket tartalmazó tárfiók lehetővé teszi a megbízható Microsoft-szolgáltatások, ha az ACL-ed.
Azure Files biztonsági mentése Az Azure Files biztonsági másolatai a helyi tárfiókban vannak tárolva. Ezért nincs szükség privát végpontokra a biztonsági mentéshez és a visszaállításhoz.
A privát végpont virtuális hálózatának módosítása a tárolóban és a virtuális gépen Állítsa le a biztonsági mentés elleni védelmet, és konfigurálja a biztonsági mentés védelmét egy új tárolóban, amelyen engedélyezve van a privát végpontok használata.

Feljegyzés

A privát végpontok csak a DPM server 2022, a MABS v4 és újabb verzióival támogatottak.

A privát végpontok hálózati kapcsolatainak különbségei

Ahogy fentebb említettük, a privát végpontok különösen hasznosak a számítási feladatok (SQL, SAP HANA) Azure-beli virtuális gépeken és MARS-ügynökök biztonsági mentésében.

Minden forgatókönyvben (privát végpontokkal vagy anélkül) a számítási feladatok bővítményei (az Azure-beli virtuális gépeken futó SQL- és SAP HANA-példányok biztonsági mentéséhez) és a MARS-ügynök is kapcsolatot kezdeményez a Microsoft Entra-azonosítóval (a Microsoft 365 Common és az Office Online 56. és 59. szakaszában említett teljes tartománynevek felé).

Ezen kapcsolatok mellett, ha a számítási feladatbővítmény vagy a MARS-ügynök magánvégpontok nélkül van telepítve a Recovery Services-tárolóhoz, a következő tartományokhoz való kapcsolódásra is szükség van:

Szolgáltatás Tartománynév Kikötő
Azure Backup *.backup.windowsazure.com 443
Azure Storage *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net
443
Microsoft Entra ID *.login.microsoft.com

A teljes tartománynevekhez való hozzáférés engedélyezése a cikk 56. és 59. szakaszában.
443

Adott esetben

Ha a számítási feladatbővítmény vagy a MARS-ügynök magánvégponttal rendelkező Recovery Services-tárolóhoz van telepítve, a rendszer a következő végpontokat közli:

Szolgáltatás Tartománynév Kikötő
Azure Backup *.privatelink.<geo>.backup.windowsazure.com 443
Azure Storage *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net
443
Microsoft Entra ID *.login.microsoft.com

A teljes tartománynevekhez való hozzáférés engedélyezése a cikk 56. és 59. szakaszában.
443

Adott esetben

Feljegyzés

A fenti szöveg <geo> a régiókódra hivatkozik (például az USA keleti régiója és észak-európai régió ). A régiók kódjaihoz tekintse meg a következő listákat:

Privát végpontbeállítással rendelkező Recovery Services-tároló esetén a teljes tartománynevek (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, , *.queue.core.windows.net*.blob.storage.azure.net) névfeloldása egy privát IP-címet ad vissza. Ez a következő eszközökkel érhető el:

  • Azure-beli saját DNS-zónák
  • Egyéni DNS
  • DNS-bejegyzések a gazdagépfájlokban
  • Feltételes továbbítók az Azure DNS/Azure saját DNS zónákba.

A tárfiók privát IP-leképezései a Recovery Services-tárolóhoz létrehozott privát végponton jelennek meg. Javasoljuk az Azure saját DNS zónák használatát, mivel a blobok és üzenetsorok DNS-rekordjait ezután az Azure felügyelheti. Amikor új tárfiókokat foglal le a tárolóhoz, a rendszer automatikusan hozzáadja a privát IP-cím DNS-rekordját a blobban vagy a várólistán az Azure saját DNS zónákban.

Ha olyan DNS-proxykiszolgálót konfigurált, amely külső proxykiszolgálókat vagy tűzfalakat használ, a fenti tartományneveket engedélyeznie kell, és át kell irányítania egy egyéni DNS-hez (amely a fenti teljes tartománynevek DNS-rekordjaival rendelkezik) vagy a 168.63.129.16-os értékre azon az Azure-beli virtuális hálózaton, amelyhez privát DNS-zónák kapcsolódnak.

Az alábbi példa a DNS-proxyként használt Azure-tűzfalat mutatja be a Recovery Services-tároló, a blob, az üzenetsorok és a Microsoft Entra ID tartománynév-lekérdezéseinek 168.63.129.16-ra való átirányításához.

Az ábrán a marsos privát végpont beállítása látható.

További információ: Privát végpontok létrehozása és használata.

Hálózati kapcsolat privát végpontokkal rendelkező tárolóhoz

A Recovery Services privát végpontja hálózati adapterhez (NIC) van társítva. A privát végpontkapcsolatok működéséhez az Azure-szolgáltatás összes forgalmát át kell irányítani a hálózati adapterre. Ezt úgy érheti el, hogy hozzáadja a hálózati adapterhez társított privát IP-cím DNS-leképezését a szolgáltatás/blob/üzenetsor URL-címéhez.

Ha a számítási feladatok biztonsági mentési bővítményei egy privát végponttal rendelkező Recovery Services-tárolóban regisztrált virtuális gépre vannak telepítve, a bővítmény megpróbál kapcsolatot létesíteni az Azure Backup-szolgáltatások <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comprivát URL-címével.

Ha a privát URL-cím nem oldható fel, megpróbálja a nyilvános URL-címet <azure_backup_svc>.<geo>.backup.windowsazure.com. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése úgy van konfigurálva, hogy engedélyezve legyen az összes hálózatból, a Recovery Services-tároló engedélyezi a bővítményből érkező kéréseket a nyilvános URL-címeken keresztül. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése Megtagadás értékre van konfigurálva, a helyreállítási tár megtagadja a bővítményből érkező kérelmeket a nyilvános URL-címeken keresztül.

Feljegyzés

A fenti tartománynevekben <geo> határozza meg a régiókódot (például az USA keleti régiója és észak-európai régió). A régiókódokkal kapcsolatos további információkért tekintse meg az alábbi listát:

Ezek a privát URL-címek a tárolóra vonatkoznak. Ezeken a végpontokon csak a tárolóban regisztrált bővítmények és ügynökök tudnak kommunikálni az Azure Backup szolgáltatással. Ha a Recovery Services-tároló nyilvános hálózati hozzáférése megtagadásra van konfigurálva, az korlátozza, hogy a virtuális hálózaton nem futó ügyfelek kérjenek biztonsági mentési és visszaállítási műveleteket a tárolón. Javasoljuk, hogy a nyilvános hálózati hozzáférés a privát végpont beállításával együtt a Megtagadás értékre legyen állítva. Amikor a bővítmény és az ügynök először megkísérli a privát URL-címet, az *.privatelink.<geo>.backup.windowsazure.com URL DNS-feloldásának a privát végponthoz társított megfelelő privát IP-címet kell visszaadnia.

A DNS-feloldáshoz több megoldás is létezik:

  • Azure-beli saját DNS-zónák
  • Egyéni DNS
  • DNS-bejegyzések a gazdagépfájlokban
  • Feltételes továbbítók az Azure DNS/Azure saját DNS zónákba.

Ha a Recovery Services-tárolók privát végpontja az Azure Portalon, az Integrálás a privát DNS-zónával beállítással jön létre, az Azure Backup-szolgáltatások (*.privatelink.<geo>backup.windowsazure.com) privát IP-címeinek szükséges DNS-bejegyzései automatikusan létrejönnek az erőforrás lefoglalásakor. Más megoldásokban manuálisan kell létrehoznia a DNS-bejegyzéseket ezekhez a teljes tartománynevekhez az egyéni DNS-ben vagy a gazdagépfájlokban.

A kommunikációs csatorna – blob vagy üzenetsor – virtuális gép felderítése után a DNS-rekordok manuális kezeléséhez tekintse meg a blobok és üzenetsorok DNS-rekordjait (csak egyéni DNS-kiszolgálók/gazdagépfájlok esetén) az első regisztráció után. A DNS-rekordok manuális kezeléséhez a tárfiók-blob biztonsági mentésének első biztonsági mentése után tekintse meg a blobok DNS-rekordjait (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első biztonsági mentés után.

Az FQDN-k privát IP-címei a Recovery Services-tárolóhoz létrehozott privát végpont DNS-konfigurációs paneljén találhatók.

Az alábbi ábra bemutatja, hogyan működik a megoldás, ha privát DNS-zónát használ a magánszolgáltatás teljes tartományneveinek feloldásához.

Diagram, amely bemutatja, hogyan működik a feloldás privát DNS-zónával a módosított szolgáltatás teljes tartományneveinek feloldásához.

Az Azure-beli virtuális gépen futó számítási feladatbővítményhez legalább két tárfiókvégponthoz kell csatlakoznia – az elsőt kommunikációs csatornaként használják (üzenetsor-üzeneteken keresztül), a másodikat pedig a biztonsági mentési adatok tárolására. A MARS-ügynöknek hozzáférésre van szüksége legalább egy tárfiókvégponthoz, amelyet biztonsági mentési adatok tárolására használnak.

Egy privát végpontot engedélyező tároló esetében az Azure Backup szolgáltatás privát végpontot hoz létre ezekhez a tárfiókokhoz. Ez megakadályozza, hogy az Azure Backuphoz kapcsolódó hálózati forgalom (a szolgáltatási sík forgalmának vezérlése és az adatok biztonsági mentése a tárolóblobba) elhagyja a virtuális hálózatot. Az Azure Backup felhőszolgáltatásai mellett a számítási feladatok bővítményének és ügynökének kapcsolatra van szüksége az Azure Storage-fiókokhoz és a Microsoft Entra-azonosítóhoz.

Az alábbi ábra bemutatja, hogyan működik a névfeloldás privát DNS-zónát használó tárfiókok esetében.

A névfeloldás privát DNS-zónát használó tárfiókok esetében történő működését bemutató ábra.

Az alábbi ábra bemutatja, hogyan hajthatja végre a régiók közötti visszaállítást a privát végponton keresztül a privát végpont replikálásával egy másodlagos régióban. Megtudhatja , hogyan állíthatja vissza a régiók közötti visszaállítást egy privát végpontot engedélyező tárolóba.

A diagram bemutatja, hogyan hajthat végre régiók közötti visszaállítást privát végponton keresztül.

Következő lépések