Privát végpontok (v1-élmény) létrehozása és használata az Azure Backuphoz
Ez a cikk tájékoztatást nyújt az Azure Backup privát végpontjainak létrehozásának folyamatáról, valamint azokról a forgatókönyvekről, amelyekben a privát végpontok segítenek fenntartani az erőforrások biztonságát.
Feljegyzés
Az Azure Backup mostantól új felületet biztosít a privát végpontok létrehozásához. További információ.
Előkészületek
A privát végpontok létrehozása előtt győződjön meg arról, hogy elolvasta az előfeltételeket és a támogatott forgatókönyveket.
Ezek a részletek segítenek megérteni azokat a korlátozásokat és feltételeket, amelyeket teljesíteni kell, mielőtt privát végpontokat hoz létre a tárolókhoz.
Privát végpontok biztonsági mentéshez való létrehozásának első lépései
Az alábbi szakaszok az Azure Backup privát végpontjai virtuális hálózatokon belüli létrehozásának és használatának lépéseit ismertetik.
Fontos
Erősen ajánlott, hogy a lépéseket ugyanabban a sorrendben hajtsa végre, mint a dokumentumban említettek. Ennek elmulasztása azt eredményezheti, hogy a tároló nem kompatibilis a privát végpontok használatához, és megköveteli a folyamat új tárolóval való újraindítását.
Helyreállítási tár létrehozása
A biztonsági mentés privát végpontjai csak olyan Recovery Services-tárolókhoz hozhatók létre, amelyekhez nem tartoznak védelem alatt álló elemek (vagy korábban nem kíséreltek meg védett vagy regisztrált elemeket). Ezért javasoljuk, hogy hozzon létre egy új tárolót. Az új tárolók létrehozásáról további információt a Recovery Services-tároló létrehozása és konfigurálása című témakörben talál.
Ebből a szakaszból megtudhatja, hogyan hozhat létre tárolót az Azure Resource Manager-ügyféllel. Ez létrehoz egy tárolót, amelynek felügyelt identitása már engedélyezve van.
Nyilvános hálózati hozzáférés megtagadása a tárolóhoz
Konfigurálhatja a tárolókat úgy, hogy megtagadják a nyilvános hálózatokhoz való hozzáférést.
Tegye a következők egyikét:
Lépjen a tároló>hálózatkezelésére.
A Nyilvános hozzáférés lapon válassza a Megtagadás lehetőséget a nyilvános hálózatokról való hozzáférés megakadályozásához.
Feljegyzés
- Miután megtagadta a hozzáférést, továbbra is hozzáférhet a tárolóhoz, de nem helyezhet át adatokat privát végpontokat nem tartalmazó hálózatokra vagy hálózatokról. További információ: Privát végpontok létrehozása az Azure Backuphoz.
- A nyilvános hozzáférés megtagadása jelenleg nem támogatott a régiók közötti visszaállítást engedélyező tárolók esetében.
Kattintson az Alkalmaz gombra a módosítások mentéséhez.
Felügyelt identitás engedélyezése a tárolóhoz
A felügyelt identitások lehetővé teszik a tároló számára a privát végpontok létrehozását és használatát. Ez a szakasz a felügyelt identitás tárolóhoz való engedélyezéséről szól.
Nyissa meg a Recovery Services-tároló identitását>.
Módosítsa az állapotot Be állásra, és válassza a Mentés lehetőséget.
Létre fog hozni egy objektumazonosítót , amely a tároló felügyelt identitása.
Feljegyzés
Ha engedélyezve van, a felügyelt identitás nem tiltható le (még ideiglenesen sem). A felügyelt identitás letiltása inkonzisztens viselkedéshez vezethet.
Engedélyek megadása a tárolónak a szükséges privát végpontok létrehozásához
Az Azure Backuphoz szükséges privát végpontok létrehozásához a tárolónak (a tároló felügyelt identitásának) engedélyekkel kell rendelkeznie a következő erőforráscsoportokhoz:
- A cél virtuális hálózatot tartalmazó erőforráscsoport
- Az az erőforráscsoport, amelyben a privát végpontok létre lesznek hozva
- A saját DNS zónákat tartalmazó erőforráscsoport, az itt részletesen tárgyaltak szerint
Javasoljuk, hogy adja meg a közreműködői szerepkört ennek a három erőforráscsoportnak a tárolónak (felügyelt identitás). Az alábbi lépések azt írják le, hogyan teheti ezt meg egy adott erőforráscsoport esetében (ezt a három erőforráscsoport mindegyikéhez el kell végezni):
Nyissa meg az erőforráscsoportot, és lépjen a bal oldali sávon található Hozzáférés-vezérlés (IAM) elemre.
A Hozzáférés-vezérlésben lépjen a Szerepkör-hozzárendelés hozzáadása elemre.
A Szerepkör-hozzárendelés hozzáadása panelen válassza a Közreműködőt szerepkörként, és használja a tároló nevét egyszerűként. Válassza ki a tárolót, és válassza a Mentés , ha elkészült.
Ha részletesebb szinten szeretné kezelni az engedélyeket, olvassa el a Szerepkörök és engedélyek manuális létrehozása című témakört.
Privát végpontok létrehozása az Azure Backuphoz
Ez a szakasz bemutatja, hogyan hozhat létre privát végpontot a tárolóhoz.
Lépjen a fent létrehozott tárolóra, és lépjen a bal oldali navigációs sáv privát végpontkapcsolataihoz . A felső +Privát végpont lehetőséget választva új privát végpontot hozhat létre ehhez a tárolóhoz.
A Privát végpont létrehozása folyamat során meg kell adnia a privát végpontkapcsolat létrehozásának részleteit.
Alapismeretek: Adja meg a privát végpontok alapadatait. A régiónak meg kell egyeznie a tárolóval és a biztonsági mentés alatt álló erőforrásával.
Erőforrás: Ehhez a laphoz ki kell választania azt a PaaS-erőforrást, amelyhez létre szeretné hozni a kapcsolatot. Válassza ki a Microsoft.RecoveryServices/vaultokat a kívánt előfizetés erőforrástípusából. Ha végzett, válassza ki a Recovery Services-tároló nevét erőforrásként, az AzureBackupot pedig cél-alerőforrásként.
Konfiguráció: Konfigurációban adja meg azt a virtuális hálózatot és alhálózatot, ahol létre szeretné hozni a privát végpontot. Ez lesz az a virtuális hálózat, ahol a virtuális gép jelen van.
A privát csatlakozáshoz szükséges DNS-rekordokra van szükség. A hálózat beállítása alapján az alábbiak közül választhat:
- Integrálja a privát végpontot egy privát DNS-zónával: Ha integrálni szeretné, válassza az Igen lehetőséget.
- Használja az egyéni DNS-kiszolgálót: Válassza a Nem lehetőséget, ha saját DNS-kiszolgálót szeretne használni.
Ezek DNS-rekordjainak kezelését később ismertetjük.
Ha szeretné, hozzáadhat címkéket a privát végponthoz.
A részletek megadása után folytassa a Véleményezés + létrehozás lépésekkel. Amikor az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
Privát végpontok jóváhagyása
Ha a privát végpontot létrehozó felhasználó a Recovery Services-tároló tulajdonosa is, a rendszer automatikusan jóváhagyja a fent létrehozott privát végpontot. Ellenkező esetben a tároló tulajdonosának jóvá kell hagynia a privát végpontot, mielőtt használni tudná. Ez a szakasz a privát végpontok Azure Portalon keresztüli manuális jóváhagyását ismerteti.
Tekintse meg a privát végpontok manuális jóváhagyását az Azure Resource Manager-ügyféllel a privát végpontok jóváhagyásához az Azure Resource Manager-ügyfél használatával.
A Recovery Services-tárolóban keresse meg a privát végpontkapcsolatokat a bal oldali sávon.
Válassza ki a jóváhagyni kívánt privát végpontkapcsolatot.
A felső sávon válassza a Jóváhagyás lehetőséget. Ha el szeretné utasítani vagy törölni szeretné a végpontkapcsolatot, az Elutasítás vagy az Eltávolítás lehetőséget is választhatja.
DNS-rekordok kezelése
A korábban leírtaknak megfelelően a privát DNS-zónákban vagy -kiszolgálókon szükséges DNS-rekordokra van szüksége a privát csatlakozáshoz. A privát végpontot integrálhatja közvetlenül az Azure privát DNS-zónáival, vagy az egyéni DNS-kiszolgálóival is elérheti ezt a hálózati beállítások alapján. Ezt mindhárom szolgáltatás esetében el kell végezni: biztonsági mentés, blobok és üzenetsorok.
Ha a DNS-zóna vagy a kiszolgáló nem a privát végpontot tartalmazó előfizetésben található, tekintse meg a DNS-bejegyzések létrehozását, ha a DNS-kiszolgáló/DNS-zóna egy másik előfizetésben található.
Privát végpontok azure-beli privát DNS-zónákkal való integrálása esetén
Ha úgy dönt, hogy privát végpontját privát DNS-zónákkal integrálja, az Azure Backup hozzáadja a szükséges DNS-rekordokat. A privát végpont DNS-konfigurációja alatt használt privát DNS-zónákat megtekintheti. Ha ezek a DNS-zónák nincsenek jelen, azok automatikusan létrejönnek a privát végpont létrehozásakor.
Feljegyzés
A tárolóhoz rendelt felügyelt identitásnak rendelkeznie kell a DNS-rekordok Azure saját DNS zónában való hozzáadásához szükséges engedélyekkel.
Azonban ellenőriznie kell, hogy a virtuális hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) megfelelően van-e összekapcsolva mindhárom privát DNS-zónával az alábbiak szerint.
Feljegyzés
Proxykiszolgálók használata esetén dönthet úgy, hogy megkerüli a proxykiszolgálót, vagy végrehajtja a biztonsági mentéseket a proxykiszolgálón keresztül. Proxykiszolgáló megkerüléséhez folytassa a következő szakaszokkal. Ha a proxykiszolgálót szeretné használni a biztonsági mentések végrehajtásához, tekintse meg a proxykiszolgáló beállításának részleteit a Recovery Services-tárolóhoz.
Virtuális hálózati kapcsolatok ellenőrzése privát DNS-zónákban
A fent felsorolt privát DNS-zónák esetében (biztonsági mentéshez, blobokhoz és üzenetsorokhoz) tegye a következőket:
A bal oldali navigációs sávon keresse meg a megfelelő virtuális hálózati kapcsolatok lehetőséget.
Látnia kell egy bejegyzést annak a virtuális hálózatnak, amelyhez létrehozta a privát végpontot, az alábbihoz hasonlóan:
Ha nem lát bejegyzést, adjon hozzá egy virtuális hálózati hivatkozást azokhoz a DNS-zónákhoz, amelyek nem rendelkeznek velük.
Egyéni DNS-kiszolgáló vagy gazdagépfájlok használatakor
Ha egyéni DNS-kiszolgálót használ, a feltételes továbbítóval biztonsági mentési szolgáltatás, blob és üzenetsor teljes tartományneveit használhatja a DNS-kérelmek Azure DNS-be való átirányításához (168.63.129.16). Az Azure DNS átirányítja az Azure saját DNS zónába. Ebben a beállításban győződjön meg arról, hogy az Azure saját DNS zóna virtuális hálózati kapcsolata létezik az ebben a szakaszban említett módon.
Az alábbi táblázat az Azure Backup által megkövetelt Azure saját DNS zónákat sorolja fel:
Zóna Szolgáltatás privatelink.<geo>.backup.windowsazure.com
Backup privatelink.blob.core.windows.net
Blob privatelink.queue.core.windows.net
Feldolgozási sor Feljegyzés
A fenti szöveg
<geo>
a régiókódra hivatkozik (például az USA keleti régiója és Észak-Európa esetében). A régiók kódjaihoz tekintse meg a következő listákat:Ha egyéni DNS-kiszolgálókat vagy gazdagépfájlokat használ, és nem rendelkezik az Azure saját DNS zónabeállítással, hozzá kell adnia a privát végpontok által megkövetelt DNS-rekordokat a DNS-kiszolgálókhoz vagy a gazdagépfájlhoz.
A biztonsági mentési szolgáltatáshoz keresse meg a létrehozott privát végpontot, majd lépjen a DNS-konfigurációhoz. Ezután adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-zónában a biztonsági mentéshez.
Ha egy gazdafájlt használ a névfeloldáshoz, végezze el a megfelelő bejegyzéseket a gazdagépfájlban az egyes IP-címekhez és teljes tartománynevekhez a formátumnak megfelelően –
<private ip><space><backup service privatelink FQDN>
.Blob és üzenetsor esetén: Az Azure Backup a felügyelt identitásengedélyek használatával hozza létre a blobok és üzenetsorok privát végpontjait. A blobok és üzenetsorok privát végpontjai egy szabványos elnevezési mintát követnek, amelyek a következővel
<the name of the private endpoint>_ecs
kezdődnek, vagy<the name of the private endpoint>_prot
, és utótaggal és utótaggal_blob
_queue
rendelkeznek.Keresse meg az Azure Backup által a fenti mintát követve létrehozott privát végpontot, majd lépjen a DNS-konfigurációhoz. Ezután adjon hozzá egy bejegyzést minden olyan teljes tartománynévhez és IP-címhez, amely A típusú rekordként jelenik meg a DNS-zónában a biztonsági mentéshez.
Ha egy gazdafájlt használ a névfeloldáshoz, végezze el a megfelelő bejegyzéseket a gazdagépfájlban az egyes IP-címekhez és teljes tartománynevekhez a formátumnak megfelelően –
<private ip><space><blob/queue FQDN>
.
Feljegyzés
Az Azure Backup új tárfiókot rendelhet a tárolóhoz a biztonsági mentési adatokhoz, és a bővítménynek vagy az ügynöknek hozzá kell férnie a megfelelő végpontokhoz. További információ arról, hogyan adhat hozzá további DNS-rekordokat a regisztráció és a biztonsági mentés után, olvassa el a Privát végpontok használata biztonsági mentéshez című szakasz útmutatását.
Privát végpontok használata biztonsági mentéshez
Miután jóváhagyták a virtuális hálózat tárolójához létrehozott privát végpontokat, megkezdheti a biztonsági mentések és visszaállítások végrehajtását.
Fontos
A folytatás előtt győződjön meg arról, hogy sikeresen végrehajtotta a dokumentumban említett összes lépést. Az összegzéshez a következő ellenőrzőlistán kell elvégeznie a lépéseket:
- Létrehozott egy (új) Recovery Services-tárolót
- Engedélyezte a tároló számára a rendszer által hozzárendelt felügyelt identitás használatát
- Releváns engedélyek hozzárendelése a tároló felügyelt identitásához
- Privát végpont létrehozása a tárolóhoz
- Jóváhagyta a privát végpontot (ha nincs automatikusan jóváhagyva)
- Győződjön meg arról, hogy az összes DNS-rekord megfelelő módon van hozzáadva (kivéve az egyéni kiszolgálók blob- és üzenetsorrekordjait, amelyeket a következő szakaszok tárgyalnak)
Virtuálisgép-kapcsolat ellenőrzése
A zárolt hálózat virtuális gépében győződjön meg a következőkről:
- A virtuális gépnek hozzáféréssel kell rendelkeznie a Microsoft Entra-azonosítóhoz.
- Futtassa az nslookup parancsot a virtuális gép biztonsági mentési URL-címén (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
) a kapcsolat biztosítása érdekében. Ennek a virtuális hálózaton hozzárendelt magánhálózati IP-címet kell visszaadnia.
Biztonsági mentés konfigurálása
Miután meggyőződött arról, hogy a fenti ellenőrzőlista és hozzáférés sikeresen befejeződött, továbbra is konfigurálhatja a számítási feladatok biztonsági mentését a tárolóba. Ha egyéni DNS-kiszolgálót használ, hozzá kell adnia az első biztonsági mentés konfigurálása után elérhető blobokhoz és üzenetsorokhoz tartozó DNS-bejegyzéseket.
Blobok és üzenetsorok DNS-rekordjai (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első regisztráció után
Miután konfigurálta legalább egy erőforrás biztonsági mentését egy privát végpontot engedélyező tárolón, adja hozzá a blobokhoz és üzenetsorokhoz szükséges DNS-rekordokat az alábbiak szerint.
Keresse meg az erőforráscsoportot, és keresse meg a létrehozott privát végpontot.
Az Ön által megadott privát végpontnéven kívül két további privát végpont jön létre. Ezek a
<the name of the private endpoint>_ecs
kezdő és utótaggal vannak elvégzve, illetve_queue
utótaggal_blob
.Navigáljon ezekre a privát végpontokra. A két privát végpont DNS-konfigurációs beállításában megjelenik egy rekord, valamint egy teljes tartománynév és egy IP-cím. Adja hozzá mindkettőt az egyéni DNS-kiszolgálóhoz a korábban ismertetettek mellett. Gazdagépfájl használata esetén az egyes IP-címek/teljes tartománynevek gazdafájljában a következő formátum szerint végezze el a megfelelő bejegyzéseket:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
A fentieken kívül egy másik bejegyzésre is szükség van az első biztonsági mentés után, amelyről később lesz szó.
Számítási feladatok biztonsági mentése és visszaállítása Azure-beli virtuális gépen (SQL és SAP HANA)
A privát végpont létrehozása és jóváhagyása után az ügyféloldalon nincs szükség további módosításokra a privát végpont használatához (kivéve, ha SQL rendelkezésre állási csoportokat használ, amelyeket a szakasz későbbi részében tárgyalunk). A biztonságos hálózatról a tárolóba történő összes kommunikáció és adatátvitel a privát végponton keresztül történik. Ha azonban egy kiszolgáló (SQL vagy SAP HANA) regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet.
Blobok DNS-rekordjai (csak egyéni DNS-kiszolgálókhoz/gazdagépfájlokhoz) az első biztonsági mentés után
Miután futtatta az első biztonsági mentést, és egyéni DNS-kiszolgálót használ (feltételes továbbítás nélkül), valószínű, hogy a biztonsági mentés sikertelen lesz. Ha ez történik:
Keresse meg az erőforráscsoportot, és keresse meg a létrehozott privát végpontot.
A korábban tárgyalt három privát végpont mellett most egy negyedik privát végpont jelenik meg, amelynek a neve a nevével
<the name of the private endpoint>_prot
kezdődik, és utótaggal_blob
van elnevezve.Lépjen erre az új privát végpontra. A DNS-konfigurációs beállításban megjelenik egy teljes tartománynévvel és IP-címmel rendelkező rekord. Vegye fel ezeket a privát DNS-kiszolgálóra a korábban ismertetettek mellett.
Gazdagépfájl használata esetén az egyes IP-címekhez és teljes tartománynevekhez tartozó bejegyzéseket a következő formátum szerint végezze el:
<private ip><space><blob service privatelink FQDN>
Feljegyzés
Ezen a ponton képesnek kell lennie nslookup futtatására a virtuális gépről, és feloldani a privát IP-címekre, ha a tároló biztonsági mentési és tárolási URL-címén végzett.
SQL rendelkezésre állási csoportok használata esetén
Az SQL Rendelkezésre állási csoportok (AG) használatakor feltételes továbbítást kell kiépítenie az egyéni AG DNS-ben az alábbiak szerint:
Jelentkezzen be a tartományvezérlőre.
A DNS-alkalmazás alatt adjon hozzá feltételes továbbítókat mindhárom DNS-zónához (biztonsági mentés, blobok és üzenetsorok) a 168.63.129.16-os gazdagép IP-címéhez vagy szükség esetén az egyéni DNS-kiszolgáló IP-címéhez. Az alábbi képernyőképek az Azure-gazdagép IP-címére való továbbításkor jelennek meg. Ha saját DNS-kiszolgálót használ, cserélje le a DNS-kiszolgáló IP-címét.
Biztonsági mentés és visszaállítás a MARS-ügynökön és a DPM-kiszolgálón keresztül
Ha a MARS-ügynökkel készít biztonsági másolatot a helyszíni erőforrásokról, győződjön meg arról, hogy a helyszíni hálózat (amely tartalmazza a biztonsági másolatot készítendő erőforrásokat) társviszonyban van a tárolóhoz tartozó privát végpontot tartalmazó Azure-beli virtuális hálózattal, így használhatja azt. Ezután tovább telepítheti a MARS-ügynököt, és konfigurálhatja a biztonsági mentést az itt leírtak szerint. Azonban gondoskodnia kell arról, hogy a biztonsági mentéshez szükséges összes kommunikáció csak a társhálózaton keresztül történjen.
Ha azonban egy MARS-ügynök regisztrálása után eltávolítja a tároló privát végpontjait, újra regisztrálnia kell a tárolót a tárolóval. Nem kell leállítania a védelmet.
Feljegyzés
- A privát végpontok csak a DPM Server 2022 (10.22.123.0) és újabb verzióival támogatottak.
- A privát végpontok csak MABS V4 (14.0.30.0) és újabb verziók esetén támogatottak.
Privát végpontok törlése
Ebből a szakaszból megtudhatja, hogyan törölheti a privát végpontokat.
További témakörök
Recovery Services-tároló létrehozása az Azure Resource Manager-ügyféllel
Létrehozhatja a Recovery Services-tárolót, és engedélyezheti annak felügyelt identitását (a felügyelt identitás engedélyezésére van szükség, ahogy később látni fogjuk) az Azure Resource Manager-ügyféllel. Ehhez az alábbiakban megosztunk egy mintát:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
A fenti JSON-fájlnak a következő tartalommal kell rendelkeznie:
JSON kérése:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
Válasz JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
Feljegyzés
A példában az Azure Resource Manager-ügyfélen keresztül létrehozott tároló már rendszer által hozzárendelt felügyelt identitással van létrehozva.
Erőforráscsoportok engedélyeinek kezelése
A tároló felügyelt identitásának a következő engedélyekkel kell rendelkeznie abban az erőforráscsoportban és virtuális hálózaton, ahol a privát végpontok létrejönnek:
Microsoft.Network/privateEndpoints/*
Ez szükséges a CRUD végrehajtásához az erőforráscsoport privát végpontjain. Az erőforráscsoporthoz kell hozzárendelni.Microsoft.Network/virtualNetworks/subnets/join/action
Erre azon a virtuális hálózaton van szükség, ahol a privát IP-cím a privát végponthoz csatlakozik.Microsoft.Network/networkInterfaces/read
Ez szükséges az erőforráscsoportban a privát végponthoz létrehozott hálózati adapter lekéréséhez.- saját DNS zóna közreműködői szerepköre Ez a szerepkör már létezik, és használható a szolgáltatáshoz és
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
az engedélyekhezMicrosoft.Network/privateDnsZones/A/*
.
A következő módszerek egyikével hozhat létre szerepköröket a szükséges engedélyekkel:
Szerepkörök és engedélyek manuális létrehozása
Hozza létre a következő JSON-fájlokat, és a szakasz végén található PowerShell-paranccsal hozzon létre szerepköröket:
PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
Szkript használata
Indítsa el a Cloud Shellt az Azure Portalon, és válassza a Fájl feltöltése lehetőséget a PowerShell ablakban.
Töltse fel a következő szkriptet: VaultMsiPrereqScript
Nyissa meg a kezdőlapot (például:
cd /home/user
)Futtassa a következő parancsfájlt:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
Ezek a paraméterek:
előfizetés: **SubscriptionId, amely rendelkezik azzal az erőforráscsoporttal, amelyben létre kell hozni a tároló privát végpontját, és annak az alhálózatnak a neve, amelyhez a tároló privát végpontja csatlakozik
vaultPEResourceGroup: Erőforráscsoport, ahol létrejön a tároló privát végpontja
vaultPESubnetResourceGroup: Annak az alhálózatnak az erőforráscsoportja, amelyhez a privát végpont csatlakozik
vaultMsiName: A tároló MSI-jének neve, amely megegyezik a VaultName névvel
Fejezze be a hitelesítést, és a szkript a fent megadott előfizetés kontextusát veszi át. Létrehozza a megfelelő szerepköröket, ha hiányoznak a bérlőből, és szerepköröket rendel a tároló MSI-éhez.
Privát végpontok létrehozása az Azure PowerShell használatával
Automatikusan jóváhagyott privát végpontok
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
Privát végpontok manuális jóváhagyása az Azure Resource Manager-ügyféllel
A GetVault használatával lekérheti a privát végpont privát végpontjának Csatlakozás ion-azonosítóját.
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
Ez a privát végpont Csatlakozás ion-azonosítót adja vissza. A kapcsolat neve a kapcsolatazonosító első részével kérhető le az alábbiak szerint:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}
Kérje le a privát végpont Csatlakozás ion-azonosítóját (és a privát végpont nevét, ahol szükséges) a válaszból, és cserélje le a következő JSON- és Azure Resource Manager-URI-ra, és módosítsa az állapotot "Jóváhagyva/Elutasítva/Leválasztva" értékre, ahogy az az alábbi példában is látható:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
JSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
Proxykiszolgáló beállítása Recovery Services-tárolóhoz privát végponttal
Az Azure-beli virtuális gépek vagy helyszíni gépek proxykiszolgálójának konfigurálásához kövesse az alábbi lépéseket:
Adja hozzá a következő tartományokat, amelyeket a proxykiszolgálóról kell elérni.
Szolgáltatás Tartománynevek Kikötő Azure Backup *.backup.windowsazure.com 443 Azure Storage *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 Microsoft Entra-azonosító
Frissítette a Microsoft 365 Common és az Office Online 56. és 59. szakaszában említett tartomány URL-címeit.*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.netAdott esetben. Engedélyezze a hozzáférést ezekhez a tartományokhoz a proxykiszolgálón, és kapcsolja össze a privát DNS-zónát (
*.privatelink.<geo>.backup.windowsazure.com
, ,*.privatelink.blob.core.windows.net
) azzal a virtuális hálózattal,*.privatelink.queue.core.windows.net
ahol a proxykiszolgáló létrejön, vagy egyéni DNS-kiszolgálót használ a megfelelő DNS-bejegyzésekkel.
A proxykiszolgálót futtató virtuális hálózatot és a privát végpont hálózati adapterét tároló virtuális hálózatot társviszonyban kell létesíteni, ami lehetővé teszi a proxykiszolgáló számára a kérések privát IP-címre való átirányítását.Feljegyzés
A fenti szöveg
<geo>
a régiókódra hivatkozik (például az USA keleti régiója és Észak-Európa esetében). A régiók kódjaihoz tekintse meg a következő listákat:
Az alábbi ábrán egy olyan beállítás látható (az Azure saját DNS-zónák használata közben) proxykiszolgálóval, amelynek virtuális hálózata egy privát DNS-zónához van csatolva a szükséges DNS-bejegyzésekkel. A proxykiszolgáló saját egyéni DNS-kiszolgálóval is rendelkezhet, és a fenti tartományok feltételesen továbbíthatók a 168.63.129.16-os verzióra. Ha egyéni DNS-kiszolgálót/gazdafájlt használ a DNS-feloldáshoz, tekintse meg a DNS-bejegyzések kezelésével és a védelem konfigurálásával kapcsolatos szakaszokat.
DNS-bejegyzések létrehozása, ha a DNS-kiszolgáló/DNS-zóna egy másik előfizetésben van jelen
Ebben a szakaszban azokat az eseteket ismertetjük, amikor egy előfizetésben található DNS-zónát vagy egy olyan erőforráscsoportot használ, amely eltér a Recovery Services-tároló privát végpontjától, például a küllős topológiától. Mivel a privát végpontok (és a DNS-bejegyzések) létrehozásához használt felügyelt identitás csak azon az erőforráscsoporton rendelkezik engedélyekkel, amelyben a privát végpontok létre lettek hozva, a szükséges DNS-bejegyzésekre is szükség van. DNS-bejegyzések létrehozásához használja az alábbi PowerShell-szkripteket.
Feljegyzés
A szükséges eredmények eléréséhez tekintse meg az alább leírt teljes folyamatot. A folyamatot kétszer kell megismételni – egyszer az első felderítés során (a kommunikációs tárfiókokhoz szükséges DNS-bejegyzések létrehozásához), majd egyszer az első biztonsági mentés során (a háttérbeli tárfiókokhoz szükséges DNS-bejegyzések létrehozásához).
1. lépés: A szükséges DNS-bejegyzések lekérése
A PrivateIP.ps1 szkripttel listázhatja az összes létrehozandó DNS-bejegyzést.
Feljegyzés
Az subscription
alábbi szintaxis arra az előfizetésre vonatkozik, amelyben létre kell hozni a tároló privát végpontját.
Szintaxis a szkript használatához
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
Mintakimenet
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
2. lépés: DNS-bejegyzések létrehozása
A fentieknek megfelelő DNS-bejegyzéseket hozhat létre. A használt DNS típusától függően két alternatíva áll rendelkezésére a DNS-bejegyzések létrehozására.
1. eset: Ha egyéni DNS-kiszolgálót használ, manuálisan kell létrehoznia az egyes rekordok bejegyzéseit a fenti szkriptből, és ellenőriznie kell, hogy a teljes tartománynév (ResourceName.DNS) feloldja-e a virtuális hálózaton belüli privát IP-címet.
2. eset: Ha az Azure saját DNS Zone-t használja, a CreateDN Standard kiadás ntries.ps1 szkripttel automatikusan létrehozhat DNS-bejegyzéseket a saját DNS zónában. Az alábbi szintaxisban az subscription
saját DNS Zóna létezik.
Szintaxis a szkript használatához
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
A teljes folyamat összegzése
A Recovery Services-tároló privát végpontjának helyes beállításához ehhez a kerülő megoldáshoz a következőket kell elvégeznie:
- Hozzon létre egy privát végpontot a tárolóhoz (a cikk korábbi részében leírtak szerint).
- Eseményindító felderítése. Az SQL/HANA felderítése a UserErrorVMInternet Csatlakozás ivityIssue művelettel meghiúsul, mert a kommunikációs tárfiók DNS-bejegyzései hiányoznak.
- Futtassa a szkripteket a DNS-bejegyzések lekéréséhez, és hozzon létre megfelelő DNS-bejegyzéseket a jelen szakaszban említett kommunikációs tárfiókhoz.
- Újrapróbálkozó felderítés. Ezúttal a felderítésnek sikeresnek kell lennie.
- Biztonsági mentés aktiválása. Az SQL/HANA és a MARS biztonsági mentése meghiúsulhat, mert a háttértárfiókok DNS-bejegyzései hiányoznak a jelen szakaszban korábban említettek szerint.
- Futtassa a szkripteket a háttérbeli tárfiók DNS-bejegyzéseinek létrehozásához.
- Újrapróbálkozó biztonsági mentés. Ezúttal a biztonsági mentéseknek sikeresnek kell lennie.
Gyakori kérdések
Létrehozhatok privát végpontot egy meglévő Recovery Services-tárolóhoz?
Nem, privát végpontok csak új Recovery Services-tárolókhoz hozhatók létre. Tehát a tárolónak soha nem kellett volna semmilyen tárgyat védenie. Valójában a privát végpontok létrehozása előtt nem lehet megkísérelni a tárolóban lévő elemek védelmét.
Megpróbáltam megvédeni egy elemet a tárolómhoz, de nem sikerült, és a tároló továbbra sem tartalmaz védett elemeket. Létrehozhatok privát végpontokat ehhez a tárolóhoz?
Nem, a tárolónak korábban nem volt olyan kísérlete, hogy megvédje az elemeket.
Van egy tárolóm, amely privát végpontokat használ a biztonsági mentéshez és a visszaállításhoz. Később hozzáadhatok vagy eltávolíthatok privát végpontokat ehhez a tárolóhoz, még akkor is, ha biztonsági mentési elemek vannak védve?
Igen. Ha már létrehozott privát végpontokat egy tárolóhoz és a védett biztonsági mentési elemekhez, később szükség szerint hozzáadhat vagy eltávolíthat privát végpontokat.
Az Azure Backup privát végpontja használható az Azure Site Recoveryhez is?
Nem, a biztonsági mentés privát végpontja csak az Azure Backuphoz használható. Ha a szolgáltatás támogatja, létre kell hoznia egy új privát végpontot az Azure Site Recovery számára.
Kihagytam a cikk egyik lépését, és tovább folytattam az adatforrásom védelmét. Továbbra is használhatok privát végpontokat?
Ha nem követi a cikkben leírt lépéseket, és nem folytatja az elemek védelmét, az azt eredményezheti, hogy a tároló nem tud privát végpontokat használni. Ezért javasoljuk, hogy az elemek védelme előtt tekintse meg ezt az ellenőrzőlistát.
Használhatom a saját DNS-kiszolgálómat az Azure privát DNS-zóna vagy egy integrált privát DNS-zóna helyett?
Igen, használhatja a saját DNS-kiszolgálóit. Győződjön meg azonban arról, hogy az összes szükséges DNS-rekord az ebben a szakaszban javasolt módon van hozzáadva.
Végre kell hajtania további lépéseket a kiszolgálón, miután követtem a jelen cikkben leírt folyamatot?
A cikkben részletezett folyamat követését követően nem kell további munkát végeznie a privát végpontok biztonsági mentéshez és visszaállításhoz való használatához.
Következő lépések
- Olvassa el az Azure Backup összes biztonsági funkcióját.