Privát végpontok (v1-élmény) létrehozása és használata az Azure Backuphoz

Ez a cikk tájékoztatást nyújt az Azure Backup privát végpontjainak létrehozásának folyamatáról, valamint azokról a forgatókönyvekről, amelyekben a privát végpontok segítenek fenntartani az erőforrások biztonságát.

Feljegyzés

Az Azure Backup mostantól új felületet biztosít a privát végpontok létrehozásához. További információ.

Mielőtt elkezdené

A privát végpontok létrehozása előtt győződjön meg arról, hogy elolvasta az előfeltételeket és a támogatott forgatókönyveket.

Ezek a részletek segítenek megérteni azokat a korlátozásokat és feltételeket, amelyeket teljesíteni kell, mielőtt privát végpontokat állít be a tárolók számára.

Privát végpontok biztonsági mentéshez való létrehozásának első lépései

Az alábbi szakaszok az Azure Backup privát végpontjai virtuális hálózatokon belüli létrehozásának és használatának lépéseit ismertetik.

Fontos

Erősen ajánlott, hogy a lépéseket ugyanabban a sorrendben hajtsa végre, mint a dokumentumban említettek. Ennek elmulasztása azt eredményezheti, hogy a tároló nem kompatibilis a privát végpontok használatához, és megköveteli a folyamat új tárolóval való újraindítását.

Helyreállítási szolgáltatási tár létrehozása

A biztonsági mentéshez tartozó privát végpontok csak olyan Recovery Services-tárolókhoz hozhatók létre, amelyekhez nem tartoznak védelem alatt álló elemek, vagy amelyeknél korábban nem védtek meg vagy regisztráltak egyetlen elemet sem. Ezért javasoljuk, hogy kezdésként hozzon létre egy új tárolót. Az új tárolók létrehozásáról további információt a Recovery Services-tároló létrehozása és konfigurálása című témakörben talál.

Ebből a szakaszból megtudhatja, hogyan hozhat létre tárolót az Azure Resource Manager-ügyféllel. Ez létrehoz egy trezort, amelynek felügyelt identitása már automatikusan engedélyezve van.

Nyilvános hálózati hozzáférés megtagadása a tárolóhoz

Konfigurálhatja a tárolókat úgy, hogy megtagadják a nyilvános hálózatokhoz való hozzáférést.

Tegye a következők egyikét:

1. Menjen a tároló>hálózatkezeléshez.

2. A Nyilvános hozzáférés lapon válassza a Megtagadás lehetőséget a nyilvános hálózatokról való hozzáférés megakadályozásához.

   

   Feljegyzés

   • A hozzáférés megtagadása után továbbra is hozzáférhet a tárolóhoz, de nem helyezhet át adatokat olyan hálózatokra vagy hálózatokról, amelyek nem tartalmaznak privát végpontokat. További információ: Privát végpontok létrehozása az Azure Backuphoz.
   • Ha a nyilvános hozzáférés megtagadva, és a privát végpont nincs engedélyezve, a biztonsági mentések sikeresek, de a visszaállítási műveletek a virtuális gépek kivételével az összes számítási feladat esetében meghiúsulnak. A virtuális gép elemszintű helyreállítása azonban meghiúsul. Győződjön meg arról, hogy gondosan konfigurálja a hálózati korlátozásokat.
   • A nyilvános hozzáférés megtagadása jelenleg nem támogatott a régiók közötti visszaállítást lehetővé tevő tárolók esetében.

3. Kattintson az Alkalmaz gombra a módosítások mentéséhez.

Felügyelt identitás engedélyezése a tárolóhoz

A felügyelt identitások lehetővé teszik a tároló számára a privát végpontok létrehozását és használatát. Ez a szakasz arról szól, hogyan engedélyezheti a tárolóhoz tartozó felügyelt identitást.

1. Nyissa meg a Recovery Services-tároló identitását>.

   

2. Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.

3. Létre fog hozni egy objektumazonosítót , amely a tároló felügyelt identitása.

   Feljegyzés

   Ha engedélyezve van, a felügyelt identitás nem tiltható le (még ideiglenesen sem). A felügyelt identitás letiltása inkonzisztens viselkedéshez vezethet.

Az engedélyek megadása a trezornak a szükséges privát végpontok létrehozásához

Az Azure Backuphoz szükséges privát végpontok létrehozásához a tárolónak (a tároló felügyelt identitásának) engedélyekkel kell rendelkeznie a következő erőforráscsoportokhoz:

• Az a virtuális hálózat, amelyet a cél erőforráscsoport tartalmaz.
• Az az erőforráscsoport, amelyben a privát végpontok létre lesznek hozva
• A saját DNS zónákat tartalmazó erőforráscsoport, az itt részletesen tárgyaltak szerint

Javasoljuk, hogy adja meg a közreműködői szerepkört a három erőforráscsoportnak a tároló (felügyelt identitás) esetén. Az alábbi lépések azt írják le, hogyan teheti ezt meg egy adott erőforráscsoport esetében (ezt a három erőforráscsoport mindegyikéhez el kell végezni):

1. Nyissa meg az erőforráscsoportot, és lépjen a bal oldali sávon található Hozzáférés-vezérlés (IAM) elemre.

2. A Hozzáférés-vezérlés részben lépjen a Szerepkör-hozzárendelés hozzáadása elemre.

   

3. A Szerepkör-hozzárendelés hozzáadása panelen válassza a Közreműködő szerepkört, és használja a tároló nevét függvényében. Válassza ki a tárolót, és kattintson a Mentés-re, ha elkészült.

   

Ha részletesebb szinten szeretné kezelni az engedélyeket, olvassa el a Szerepkörök és engedélyek manuális létrehozása című témakört.

Privát végpontok létrehozása az Azure Backuphoz

Ez a szakasz bemutatja, hogyan hozhat létre privát végpontot a tárolóhoz.

1. Lépjen a fent létrehozott tárolóra, és a bal oldali navigációs sávon válassza a Privát végpontkapcsolatok lehetőséget. A +Privát végpont lehetőséget válassza a fent található menüben, hogy új privát végpontot hozzon létre ehhez a tárolóhoz.

   

2. A Privát végpont létrehozása folyamat során meg kell adnia a privát végpontkapcsolat létrehozásának részleteit.

   1. Alapismeretek: Adja meg a privát végpontok alapadatait. A régiónak meg kell egyeznie a tárolóval és a biztonsági mentés alatt álló erőforrásával.

      

   2. Erőforrás: Ehhez a laphoz ki kell választania azt a PaaS-erőforrást, amelyhez létre szeretné hozni a kapcsolatot. Válassza ki a Microsoft.RecoveryServices/vaultokat a kívánt előfizetés erőforrástípusából. Ha végzett, válassza ki a Recovery Services-tároló nevét erőforrásként, az AzureBackupot pedig cél-alerőforrásként.

      

   3. Konfiguráció: Konfigurációban adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez lesz az a virtuális hálózat, ahol a virtuális gép jelen van.

      A privát csatlakozáshoz szükséges DNS-rekordokra van szükség. A hálózat beállítása alapján az alábbiak közül választhat:

      • Integrálja a privát végpontot egy privát DNS-zónával: Ha integrálni szeretné, válassza az Igen lehetőséget.
      • Használja az egyéni DNS-kiszolgálót: Válassza a Nem lehetőséget, ha saját DNS-kiszolgálót szeretne használni.

      Ezek DNS-rekordjainak kezelését később ismertetjük.

      

   4. Ha szeretné, hozzáadhat címkéket a privát végponthoz.

   5. A részletek megadása után folytassa a Véleményezés + létrehozás lépésekkel. Amikor az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Privát végpontok jóváhagyása

Ha a privát végpontot létrehozó felhasználó a Recovery Services-tároló tulajdonosa is, a rendszer automatikusan jóváhagyja a fent létrehozott privát végpontot. Ellenkező esetben a bunker tulajdonosának jóvá kell hagynia a privát végpontot, mielőtt használni tudná. Ez a szakasz a privát végpontok Azure Portalon keresztüli manuális jóváhagyását ismerteti.

Tekintse meg a privát végpontok manuális jóváhagyását az Azure Resource Manager-ügyféllel a privát végpontok jóváhagyásához az Azure Resource Manager-ügyfél használatával.

1. A Recovery Services-tárolóban keresse meg a privát végpontkapcsolatokat a bal oldali sávon.

2. Válassza ki a jóváhagyni kívánt privát végpontkapcsolatot.

3. A felső sávon válassza a Jóváhagyás lehetőséget. Ha el szeretné utasítani vagy törölni szeretné a végpontkapcsolatot, az Elutasítás vagy az Eltávolítás lehetőséget is választhatja.

   

DNS-rekordok kezelése

A korábban leírtaknak megfelelően a privát DNS-zónákban vagy -kiszolgálókon szükséges DNS-rekordokra van szüksége a privát csatlakozáshoz. A privát végpontot integrálhatja közvetlenül az Azure privát DNS-zónáival, vagy az egyéni DNS-kiszolgálóival is elérheti ezt a hálózati beállítások alapján. Ezt mindhárom szolgáltatás esetében el kell végezni: biztonsági mentés, blobok és üzenetsorok.

Ha a DNS-zóna vagy a kiszolgáló nem a privát végpontot tartalmazó előfizetésben található, tekintse meg a DNS-bejegyzések létrehozását, ha a DNS-kiszolgáló/DNS-zóna egy másik előfizetésben található.

Privát végpontok azure-beli privát DNS-zónákkal való integrálása esetén

Ha úgy dönt, hogy privát végpontját privát DNS-zónákkal integrálja, az Azure Backup hozzáadja a szükséges DNS-rekordokat. A privát végpont DNS-konfigurációja alatt használt privát DNS-zónákat megtekintheti. Ha ezek a DNS-zónák nincsenek jelen, azok automatikusan létrejönnek a privát végpont létrehozásakor.

Feljegyzés

A tárolóhoz rendelt felügyelt identitásnak rendelkeznie kell a DNS-rekordok Azure saját DNS zónában való hozzáadásához szükséges engedélyekkel.

Azonban ellenőriznie kell, hogy a virtuális hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) megfelelően van-e összekapcsolva mindhárom privát DNS-zónával az alábbiak szerint.

Feljegyzés

Proxykiszolgálók használata esetén dönthet úgy, hogy megkerüli a proxykiszolgálót, vagy végrehajtja a biztonsági mentéseket a proxykiszolgálón keresztül. Proxykiszolgáló megkerüléséhez folytassa a következő szakaszokkal. Ha a proxykiszolgálót szeretné használni a biztonsági mentések végrehajtásához, tekintse meg a proxykiszolgáló beállításának részleteit a Recovery Services-tárolóhoz.

Virtuális hálózati kapcsolatok ellenőrzése privát DNS-zónákban

A fent felsorolt privát DNS-zónák esetében (biztonsági mentéshez, blobokhoz és üzenetsorokhoz) tegye a következőket:

1. A bal oldali navigációs sávon keresse meg a megfelelő virtuális hálózati kapcsolatok lehetőséget.

2. Láthat egy bejegyzést annak a virtuális hálózatnak, amelyhez létrehozta a privát végpontot, az alábbi példának megfelelően:

   

3. Ha nem lát bejegyzést, adjon hozzá egy virtuális hálózati hivatkozást azokhoz a DNS-zónákhoz, amelyek nem rendelkeznek velük.

   

Egyéni DNS-szerver vagy gazdagépfájlok használatakor

• Ha egyéni DNS-kiszolgálót használ, feltételes továbbítót állíthat be a mentési szolgáltatás, blob és üzenetsor FQDN-jeihez a DNS-kérelmek Azure DNS-re (168.63.129.16) való átirányításához. Az Azure DNS átirányítja az Azure saját DNS zónába. Ebben a beállításban győződjön meg arról, hogy az Azure saját DNS zóna virtuális hálózati kapcsolata létezik az ebben a szakaszban említett módon.

  Az alábbi táblázat az Azure Backup által megkövetelt Azure saját DNS zónákat sorolja fel:

  Zóna	Szolgáltatás
  privatelink.<geo>.backup.windowsazure.com	Biztonsági mentés
  privatelink.blob.core.windows.net	Nagy bináris objektum
  privatelink.queue.core.windows.net	Sor

  Feljegyzés

  A fenti szövegben a <geo> a régiókódra hivatkozik (például eus Kelet-USA-ra, és ne Észak-Európára vonatkozik). A régiók kódjaihoz tekintse meg a következő listákat:

  • Minden nyilvános felhő
  • Kína
  • Németország
  • US Gov
  • Geokódlista – XML-minta

• Ha egyéni DNS-kiszolgálókat vagy gazdagépfájlokat használ, és nem rendelkezik az Azure saját DNS zónabeállítással, hozzá kell adnia a privát végpontok által megkövetelt DNS-rekordokat a DNS-kiszolgálókhoz vagy a gazdagépfájlhoz.

  • A biztonsági mentési szolgáltatáshoz keresse meg a létrehozott privát végpontot, majd lépjen a DNS-konfigurációhoz. Ezután adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-zónában a biztonsági mentéshez.

    Ha hosts fájlt használ a névfeloldáshoz, írjon be megfelelő bejegyzéseket a hosts fájlba az egyes IP-címekhez és teljes tartománynevekhez a megadott formátumnak megfelelően – <private ip><space><backup service privatelink FQDN>.

  • Blob és üzenetsor esetén: Az Azure Backup a felügyelt identitásengedélyek használatával hozza létre a blobok és üzenetsorok privát végpontjait. A blobok és üzenetsorok privát végpontjai egy szabványos elnevezési mintát követnek, amelyek <the name of the private endpoint>_ecs vagy <the name of the private endpoint>_prot-vel kezdődnek, és _blob, valamint _queue-vel végződnek.

    Keresse meg az Azure Backup által a fenti mintát követve létrehozott privát végpontot, majd lépjen a DNS-konfigurációhoz. Ezután adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-zónában a biztonsági mentéshez.

    Ha hosts fájlt használ a névfeloldáshoz, írjon be megfelelő bejegyzéseket a hosts fájlba az egyes IP-címekhez és teljes tartománynevekhez a megadott formátumnak megfelelően – <private ip><space><blob/queue FQDN>.

Feljegyzés

Az Azure Backup új tárolófiókot rendelhet a tárhelyhez a biztonsági mentési adatokhoz, és a bővítménynek vagy az ügynöknek hozzá kell férnie a megfelelő végpontokhoz. További információ arról, hogyan adhat hozzá további DNS-rekordokat a regisztráció és a biztonsági mentés után, olvassa el a Privát végpontok használata biztonsági mentéshez című szakasz útmutatását.

Privát végpontok használata biztonsági mentéshez

Miután jóváhagyták a VNet-ben létrehozott privát végpontokat, megkezdheti ezek használatát a biztonsági mentések és visszaállítások végrehajtásához.

Fontos

A folytatás előtt győződjön meg arról, hogy sikeresen végrehajtotta a dokumentumban említett összes lépést. Az összegzéshez a következő ellenőrzőlistán kell elvégeznie a lépéseket:

1. Létrehozott egy (új) Recovery Services-tárolót
2. Engedélyezte a kulcstár számára a rendszer által hozzárendelt felügyelt identitás használatát
3. Releváns engedélyek hozzárendelése a tároló felügyelt identitásához
4. Privát végpont létrehozása a tárolóhoz
5. Jóváhagyta a privát végpontot (ha nincs automatikusan jóváhagyva)
6. Győződjön meg arról, hogy az összes DNS-rekord megfelelő módon van hozzáadva (kivéve az egyéni kiszolgálók blob- és üzenetsorrekordjait, amelyeket a következő szakaszok tárgyalnak)

Virtuálisgép-kapcsolat ellenőrzése

A zárolt hálózat virtuális gépében győződjön meg a következőkről:

1. A virtuális gépnek hozzáféréssel kell rendelkeznie a Microsoft Entra-azonosítóhoz.
2. Futtassa az nslookup parancsot a virtuális gép biztonsági mentési URL-címén (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) a kapcsolat biztosítása érdekében. Ennek a virtuális hálózaton hozzárendelt magánhálózati IP-címet kell visszaadnia.

Biztonsági mentés konfigurálása

Miután meggyőződött arról, hogy a fenti ellenőrzőlista és hozzáférés sikeresen befejeződött, továbbra is konfigurálhatja a számítási feladatok biztonsági mentését a tárolóba. Ha egyéni DNS-kiszolgálót használ, hozzá kell adnia az első biztonsági mentés konfigurálása után elérhető blobokhoz és üzenetsorokhoz tartozó DNS-bejegyzéseket.

Blobok és sorok DNS-rekordjai (csak egyéni DNS-kiszolgálókra/gazdagépfájlokra vonatkozik) az első regisztráció után

Miután konfigurálta legalább egy erőforrás biztonsági mentését egy privát végpontot engedélyező tárolón, adja hozzá a blobokhoz és üzenetsorokhoz szükséges DNS-rekordokat az alábbiak szerint.

1. Keresse meg az erőforráscsoportot, és keresse meg a létrehozott privát végpontot.

2. Az Ön által megadott privát végpontnéven kívül két további privát végpont jön létre. Ezek a <the name of the private endpoint>_ecs-val kezdődnek, és _blob illetve _queue utótaggal vannak ellátva.

   

3. Navigáljon ezekre a privát végpontokra. Minden egyes privát végpont DNS-konfigurációs beállításában megjelenik egy rekord, amely egy teljes tartománynévből (FQDN) és egy IP-címből áll. Adja hozzá mindkettőt az egyéni DNS-kiszolgálóhoz a korábban ismertetettek mellett. Amennyiben gazdafájlt használ, minden IP-címhez vagy teljes tartománynévhez a következő formátum szerint tegyen megfelelő bejegyzéseket a gazdafájlba:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

A fentieken kívül egy másik bejegyzésre is szükség van az első biztonsági mentés után, amelyről később lesz szó.

Számítási feladatok biztonsági mentése és visszaállítása Azure-beli virtuális gépen (SQL és SAP HANA)

A privát végpont létrehozása és jóváhagyása után az ügyféloldalon nincs szükség további módosításokra a privát végpont használatához (kivéve, ha SQL rendelkezésre állási csoportokat használ, amelyeket a szakasz későbbi részében tárgyalunk). A biztonságos hálózatról a tárolóba történő összes kommunikáció és adatátvitel a privát végponton keresztül történik. Ha azonban egy kiszolgáló (SQL vagy SAP HANA) regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet számukra.

DNS-rekordok blobokhoz (csak egyéni DNS-kiszolgálókhoz/host fájlokhoz) az első biztonsági mentés után

Miután futtatta az első biztonsági mentést, és egyéni DNS-kiszolgálót használ (feltételes továbbítás nélkül), valószínű, hogy a biztonsági mentés sikertelen lesz. Ha ez történik:

1. Keresse meg az erőforráscsoportot, és keresse meg a létrehozott privát végpontot.

2. A korábban tárgyalt három privát végpont mellett most egy negyedik privát végpont jelenik meg, amelynek a neve a nevével <the name of the private endpoint>_prot kezdődik, és utótaggal _blobvan elnevezve.

   

3. Lépjen erre az új privát végpontra. A DNS-konfigurációs beállításban megjelenik egy teljes tartománynévvel és IP-címmel rendelkező rekord. Vegye fel ezeket a privát DNS-kiszolgálóra a korábban ismertetettek mellett.

   Gazdagépfájl használata esetén az egyes IP-címekhez és teljes tartománynevekhez tartozó bejegyzéseket a következő formátum szerint végezze el:

   <private ip><space><blob service privatelink FQDN>

Feljegyzés

Ezen a ponton képesnek kell lennie a nslookup futtatására a virtuális gépen, és a privát IP-címekre történő feloldást elvégezni a tár védett mentési és tárolási URL-címein keresztül.

SQL rendelkezésre állási csoportok használata esetén

Az SQL Rendelkezésre állási csoportok (AG) használatakor feltételes továbbítást kell kiépítenie az egyéni AG DNS-ben az alábbiak szerint:

1. Jelentkezzen be a tartományvezérlőhöz.

2. A DNS-alkalmazás alatt adjon hozzá feltételes továbbítókat mindhárom DNS-zónához (biztonsági mentés, blobok és üzenetsorok) a 168.63.129.16-os gazdagép IP-címéhez vagy szükség esetén az egyéni DNS-kiszolgáló IP-címéhez. Az alábbi képernyőképek az Azure-gazdagép IP-címére való továbbításkor jelennek meg. Ha saját DNS-kiszolgálót használ, cserélje le a DNS-kiszolgáló IP-címét.

   

   

Biztonsági mentés és visszaállítás a MARS-ügynökön és a DPM-kiszolgálón keresztül

Ha a MARS-ügynökkel készít biztonsági másolatot a helyszíni erőforrásokról, győződjön meg arról, hogy a helyszíni hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) társviszonyban van a tárolóhoz tartozó privát végpontot tartalmazó Azure-beli virtuális hálózattal, így használhatja azt. Ezután tovább telepítheti a MARS-ügynököt, és konfigurálhatja a biztonsági mentést az itt leírtak szerint. Azonban gondoskodnia kell arról, hogy a biztonsági mentéshez szükséges összes kommunikáció csak a társhálózaton keresztül történjen.

Ha azonban egy MARS-ügynök regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet számukra.

Feljegyzés

• A privát végpontok csak a DPM Server 2022 (10.22.123.0) és újabb verzióival támogatottak.
• A privát végpontok csak MABS V4 (14.0.30.0) és újabb verziók esetén támogatottak.

Privát végpontok törlése

Ebből a szakaszból megtudhatja, hogyan törölheti a privát végpontokat.

További témakörök

Recovery Services-tároló létrehozása az Azure Resource Manager-ügyféllel

Létrehozhatja a Recovery Services-tárolót, és engedélyezheti annak felügyelt identitását (a felügyelt identitás engedélyezésére van szükség, ahogy később látni fogjuk) az Azure Resource Manager-ügyféllel. Ehhez az alábbiakban megosztunk egy mintát:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

A fenti JSON-fájlnak a következő tartalommal kell rendelkeznie:

JSON kérése:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Válasz JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Feljegyzés

A példában az Azure Resource Manager-ügyfélen keresztül létrehozott tároló már rendszer által hozzárendelt felügyelt identitással van létrehozva.

Erőforráscsoportok engedélyeinek kezelése

A tároló felügyelt identitásának a következő engedélyekkel kell rendelkeznie abban az erőforráscsoportban és virtuális hálózaton, ahol a privát végpontok létrejönnek:

• Microsoft.Network/privateEndpoints/* Ez szükséges a CRUD végrehajtásához az erőforráscsoport privát végpontjain. Az erőforráscsoporthoz kell hozzárendelni.
• Microsoft.Network/virtualNetworks/subnets/join/action Erre azon a virtuális hálózaton van szükség, ahol a privát IP-cím a privát végponthoz csatlakozik.
• Microsoft.Network/networkInterfaces/read Ez szükséges az erőforráscsoportban a privát végponthoz létrehozott hálózati adapter lekéréséhez.
• Privát DNS zóna közreműködői szerepkör Ez a szerepkör már létezik, és használható a Microsoft.Network/privateDnsZones/A/* és Microsoft.Network/privateDnsZones/virtualNetworkLinks/read engedélyek biztosítására.

A következő módszerek egyikével hozhat létre szerepköröket a szükséges engedélyekkel:

Szerepkörök és engedélyek manuális létrehozása

Hozza létre a következő JSON-fájlokat, és a szakasz végén található PowerShell-paranccsal hozzon létre szerepköröket:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Szkript használata

1. Indítsa el a Cloud Shellt az Azure Portalon, és válassza a Fájl feltöltése lehetőséget a PowerShell ablakban.

   

2. Töltse fel a következő szkriptet: VaultMsiPrereqScript

3. Nyissa meg a kezdőlapot (például: cd /home/user)

4. Futtassa a következő parancsfájlt:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Ezek a paraméterek:

   • előfizetés: **SubscriptionId, amely rendelkezik azzal az erőforráscsoporttal, amelyben létre kell hozni a tároló privát végpontját, és annak az alhálózatnak a neve, amelyhez a tároló privát végpontja csatlakozik

   • vaultPEResourceGroup: Erőforráscsoport, ahol létrejön a tároló privát végpontja

   • vaultPESubnetResourceGroup: Annak az alhálózatnak az erőforráscsoportja, amelyhez a privát végpont csatlakozik

   • vaultMsiName: A tároló MSI-jének neve, amely megegyezik a VaultName névvel

5. Fejezze be a hitelesítést, és a szkript a fent megadott előfizetés kontextusát veszi át. Létrehozza a megfelelő szerepköröket, ha hiányoznak a bérlőnél, és szerepköröket rendel a tárolóhoz tartozó MSI-hez.

Privát végpontok létrehozása az Azure PowerShell használatával

Automatikusan jóváhagyott privát végpontok

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Privát végpontok manuális jóváhagyása az Azure Resource Manager-ügyféllel

1. A GetVault használatával lekérheti a privát végpont privát végpontjának kapcsolatazonosítóját.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Ez a privát végpont kapcsolatazonosítóját adja vissza. A kapcsolat neve a kapcsolatazonosító első részével kérhető le az alábbiak szerint:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Kérje le a privát végpont kapcsolatazonosítóját (és szükség esetén a privát végpont nevét) a válaszból, és cserélje le a következő JSON- és Azure Resource Manager-URI-ra, és módosítsa az állapotot "Jóváhagyva/Elutasítva/Leválasztva" értékre, ahogy az az alábbi példában is látható:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Proxykiszolgáló beállítása Recovery Services-tárolóhoz privát végponttal

Az Azure-beli virtuális gépek vagy helyszíni gépek proxykiszolgálójának konfigurálásához kövesse az alábbi lépéseket:

1. Adja hozzá a következő tartományokat, amelyeket a proxykiszolgálóról kell elérni.

   Szolgáltatás	Tartománynevek	Kikötő
   Azure Backup	*.backup.windowsazure.com	443
   Azure Storage	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra-azonosító Frissítette a Microsoft 365 Common és az Office Online 56. és 59. szakaszában említett tartomány URL-címeit.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Adott esetben.

2. Engedélyezze a hozzáférést ezekhez a tartományokhoz a proxykiszolgálón, és kapcsolja össze a privát DNS-zónát ( *.privatelink.<geo>.backup.windowsazure.com, , *.privatelink.blob.core.windows.net) azzal a virtuális hálózattal, *.privatelink.queue.core.windows.netahol a proxykiszolgáló létrejön, vagy egyéni DNS-kiszolgálót használ a megfelelő DNS-bejegyzésekkel.
   
   A proxykiszolgálót futtató virtuális hálózatot és a privát végpont hálózati adapterét tároló virtuális hálózatot társviszonyban kell létesíteni, ami lehetővé teszi a proxykiszolgáló számára a kérések privát IP-címre való átirányítását.

   Feljegyzés

   A fenti szövegben a <geo> a régiókódra hivatkozik (például eus Kelet-USA-ra, és ne Észak-Európára vonatkozik). A régiók kódjaihoz tekintse meg a következő listákat:

   • Minden nyilvános felhő
   • Kína
   • Németország
   • US Gov
   • Geokódlista – XML-minta

Az alábbi ábrán egy olyan beállítás látható (az Azure saját DNS-zónák használata közben) proxykiszolgálóval, amelynek virtuális hálózata egy privát DNS-zónához van csatolva a szükséges DNS-bejegyzésekkel. A proxykiszolgáló saját egyéni DNS-kiszolgálóval is rendelkezhet, és a fenti tartományok feltételesen továbbíthatók a 168.63.129.16-os verzióra. Ha egyéni DNS-kiszolgálót/gazdafájlt használ a DNS-feloldáshoz, tekintse meg a DNS-bejegyzések kezelésével és a védelem konfigurálásával kapcsolatos szakaszokat.

3. A MARS-ügynök automatikus frissítéséhez engedélyezze a hozzáférést a következőhöz download.microsoft.com/download/MARSagent/*: .

DNS-bejegyzések létrehozása, ha a DNS-kiszolgáló/DNS-zóna egy másik előfizetésben van jelen

Ebben a szakaszban azokat az eseteket ismertetjük, amikor egy előfizetésben található DNS-zónát vagy egy olyan erőforráscsoportot használ, amely eltér a Recovery Services-tároló privát végpontjától, például a küllős topológiától. Mivel a privát végpontok (és a DNS-bejegyzések) létrehozásához használt felügyelt identitás csak azon az erőforráscsoporton rendelkezik engedélyekkel, amelyben a privát végpontok létre lettek hozva, a szükséges DNS-bejegyzésekre is szükség van. DNS-bejegyzések létrehozásához használja az alábbi PowerShell-szkripteket.

Feljegyzés

A szükséges eredmények eléréséhez tekintse meg az alább leírt teljes folyamatot. A folyamatot kétszer kell megismételni – egyszer az első felderítés során (a kommunikációs tárfiókokhoz szükséges DNS-bejegyzések létrehozásához), majd egyszer az első biztonsági mentés során (a háttérbeli tárfiókokhoz szükséges DNS-bejegyzések létrehozásához).

1. lépés: A szükséges DNS-bejegyzések lekérése

A PrivateIP.ps1 szkripttel listázhatja az összes létrehozandó DNS-bejegyzést.

Feljegyzés

Az subscription az alábbi szintaxisban arra az előfizetésre vonatkozik, amelyen a tárolóhely privát végpontját létre kell hozni.

Szintaxis a szkript használatához

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Mintakimenet

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

2. lépés: DNS-bejegyzések létrehozása

A fentieknek megfelelő DNS-bejegyzéseket hozhat létre. A használt DNS típusától függően két alternatíva áll rendelkezésére a DNS-bejegyzések létrehozására.

1. eset: Ha egyéni DNS-kiszolgálót használ, manuálisan kell létrehoznia az egyes rekordok bejegyzéseit a fenti szkriptből, és ellenőriznie kell, hogy a teljes tartománynév (ResourceName.DNS) feloldódik-e egy privát IP-címre a VNET-en belül.

2. eset: Ha Az Azure saját DNS Zone-t használja, a CreateDNSEntries.ps1 szkripttel automatikusan létrehozhat DNS-bejegyzéseket a saját DNS zónában. Az alábbi szintaxisban az subscription az, ahol a privát DNS zóna létezik.

Szintaxis a szkript használatához

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

A teljes folyamat összegzése

A Recovery Services-tároló privát végpontjának helyes konfigurációjához ezzel a kerülőúttal a következőket kell elvégeznie:

1. Hozzon létre egy privát végpontot a tárolóhoz (a cikk korábbi részében leírtak szerint).
2. Kiváltó ok feltárása. Az SQL/HANA felderítése a UserErrorVMInternetConnectivityIssue művelettel meghiúsul, mert a kommunikációs tárfiók DNS-bejegyzései hiányoznak.
3. Futtassa a szkripteket a DNS-bejegyzések lekéréséhez, és hozzon létre megfelelő DNS-bejegyzéseket a jelen szakaszban említett kommunikációs tárfiókhoz.
4. Felderítés újraindítása. Ezúttal a felderítésnek sikeresnek kell lennie.
5. Biztonsági mentés aktiválása. Az SQL/HANA és a MARS biztonsági mentése meghiúsulhat, mert a háttértárfiókok DNS-bejegyzései hiányoznak a jelen szakaszban korábban említettek szerint.
6. Futtassa a szkripteket a háttérbeli tárfiók DNS-bejegyzéseinek létrehozásához.
7. Újrapróbálkozó biztonsági mentés. Ezúttal a biztonsági mentéseknek sikeresnek kell lennie.

Gyakori kérdések

Létrehozhatok privát végpontot egy meglévő Recovery Services-tárolóhoz?

Nem, privát végpontok csak új Recovery Services-tárolókhoz hozhatók létre. Tehát a tárolónak soha nem kellett volna semmilyen tárgyat védenie. Valójában a privát végpontok létrehozása előtt nem lehet megkísérelni a tárolóba kerülő elemek védelmét.

Megpróbáltam egy elemet a tárolómba helyezni védelemmel, de nem sikerült, és a tároló továbbra sem tartalmaz védett elemeket. Létrehozhatok privát végpontokat ehhez a tárolóhoz?

Nem, a páncélteremben korábban nem próbáltak megvédeni semmilyen tárgyat.

Van egy tárolóm, amely privát végpontokat használ a biztonsági mentéshez és a visszaállításhoz. Hozzáadhatok-e vagy eltávolíthatok-e később privát végpontokat ehhez a tárolóhoz, akkor is, ha biztonsági mentési elemek vannak-e védve?

Igen. Ha már létrehozott privát végpontokat egy tárolóhoz, és védi a biztonsági mentési elemeket, később igény szerint hozzáadhat vagy eltávolíthat privát végpontokat.

Az Azure Backup privát végpontja használható az Azure Site Recoveryhez is?

Nem, a biztonsági mentés privát végpontja csak az Azure Backuphoz használható. Ha a szolgáltatás támogatja, létre kell hoznia egy új privát végpontot az Azure Site Recovery számára.

Kihagytam a cikk egyik lépését, és tovább folytattam az adatforrásom védelmét. Továbbra is használhatok privát végpontokat?

Ha nem követi a cikkben leírt lépéseket, és nem folytatja az elemek védelmét, az azt eredményezheti, hogy a tároló nem tud privát végpontokat használni. Ezért javasoljuk, hogy az elemek védelme előtt tekintse meg ezt az ellenőrzőlistát.

Használhatom a saját DNS-kiszolgálómat az Azure privát DNS-zóna vagy egy integrált privát DNS-zóna helyett?

Igen, használhatja a saját DNS-kiszolgálóit. Győződjön meg azonban arról, hogy az összes szükséges DNS-rekord az ebben a szakaszban javasolt módon van hozzáadva.

Végre kell hajtania további lépéseket a kiszolgálón, miután követtem a jelen cikkben leírt folyamatot?

A cikkben részletezett folyamat követését követően nem kell további munkát végeznie a privát végpontok biztonsági mentéshez és visszaállításhoz való használatához.

Következő lépések

• Olvassa el az Azure Backup összes biztonsági funkcióját.