Buat dan gunakan titik akhir privat (pengalaman v1) untuk Azure Backup

Artikel ini memberikan informasi tentang proses pembuatan titik akhir privat untuk Azure Backup dan skenario saat titik akhir privat membantu menjaga keamanan sumber daya Anda.

Catatan

Azure Backup sekarang memberikan pengalaman baru untuk membuat titik akhir privat. Pelajari selengkapnya.

Sebelum memulai

Pastikan Anda telah membaca prasyarat dan skenario yang didukung sebelum melanjutkan untuk membuat titik akhir privat.

Detail ini membantu Anda memahami keterbatasan dan kondisi yang perlu dipenuhi sebelum membuat titik akhir privat untuk vault Anda.

Mulai dengan membuat endpoint privat untuk Cadangan

Bagian berikut membahas langkah-langkah yang terlibat dalam pembuatan dan penggunaan titik akhir privat untuk Azure Backup di dalam jaringan virtual Anda.

Penting

Sangat disarankan agar Anda mengikuti langkah-langkah dalam urutan yang sama seperti yang disebutkan dalam dokumen ini. Kegagalan untuk melakukannya dapat menyebabkan vault menjadi tidak kompatibel dengan penggunaan endpoint privat dan mengharuskan Anda untuk memulai ulang proses dengan vault baru.

Buat brankas layanan pemulihan

Endpoint privat untuk Cadangan hanya dapat dibuat untuk Layanan Pemulihan Vault yang tidak memiliki item apa pun yang dilindungi, atau yang belum pernah mencoba melindungi atau mendaftarkan item apa pun padanya. Jadi, kami sarankan Anda membuat vault baru sebagai permulaan. Untuk informasi lebih lanjut tentang membuat vault baru, lihat Membuat dan mengonfigurasikan vault Layanan Pemulihan.

Lihat bagian ini untuk mempelajari cara membuat vault menggunakan klien Azure Resource Manager. Ini membuat vault dengan identitas terkelola yang sudah diaktifkan.

Batasi akses jaringan publik ke brankas

Anda dapat mengonfigurasi vault untuk menolak akses dari jaringan publik.

Ikuti langkah-langkah ini:

1. Pergi ke vault>Jaringan.

2. Pada tab Akses publik, pilih Tolak untuk mencegah akses dari jaringan publik.

   

   Catatan

   • Setelah menolak akses, Anda masih dapat mengakses vault, tetapi Anda tidak dapat memindahkan data ke/dari jaringan yang tidak berisi titik akhir privat. Untuk informasi selengkapnya, lihat Membuat titik akhir privat untuk Azure Backup.
   • Jika akses publik ditolak dan titik akhir privat tidak diaktifkan, pencadangan berhasil, tetapi operasi pemulihan gagal untuk semua beban kerja kecuali Virtual Machines. Namun, pemulihan tingkat item Komputer Virtual juga gagal. Pastikan Anda mengonfigurasi pembatasan jaringan dengan hati-hati.

3. Lalu, pilih Terapkan untuk menyimpan perubahan.

Aktifkan Identitas Terkelola untuk vault Anda

Identitas yang dikelola memungkinkan vault untuk membuat dan menggunakan endpoint privat. Bagian ini membahas tentang mengaktifkan identitas terkelola untuk vault Anda.

1. Pergi ke Vault Layanan Pemulihan Anda ->Identitas.

   

2. Ubah Status menjadi Aktif dan pilih Simpan.

3. ID objek dihasilkan, yang merupakan identitas terkelola vault.

   Catatan

   Setelah diaktifkan, Identitas Terkelola tidak boleh dinonaktifkan (bahkan untuk sementara). Menonaktifkan identitas terkelola dapat menyebabkan perilaku yang tidak konsisten.

Mengizinkan akses ke vault untuk membuat titik akhir privat yang diperlukan

Untuk membuat endpoint privat yang diperlukan untuk Azure Backup, vault (Identitas Terkelola dari vault) harus memiliki izin ke grup sumber daya berikut:

• Grup Sumber Daya yang berisi target VNet
• Grup Sumber Daya di mana Titik Akhir Privat akan dibuat
• Grup Sumber Daya yang berisi zona DNS Privat, seperti yang dibahas secara mendetail di sini

Kami menyarankan agar Anda memberikan peran Kontributor kepada vault (identitas terkelola) untuk ketiga grup sumber daya tersebut. Langkah-langkah berikut menjelaskan cara melakukan ini untuk grup sumber daya tertentu (ini perlu dilakukan untuk masing-masing dari tiga grup sumber daya):

1. Buka Grup Sumber Daya dan navigasi ke Layanan Kontrol Akses (IAM) di bilah kiri.

2. Setelah berada di Layanan Kontrol Akses, buka Tambahkan penetapan peran.

   

3. Di panel Tambahkan penetapan peran, pilih Kontributor sebagai Peran, dan gunakan Nama vault sebagai Utama. Pilih vault Anda dan pilih Simpan setelah selesai.

   

Untuk mengelola izin pada tingkat yang lebih terperinci, lihat Buat peran dan izin secara manual.

Buat Titik Akhir Privat untuk Azure Backup

Bagian ini menjelaskan cara membuat titik akhir privat untuk vault Anda.

1. Navigasi ke vault Anda yang dibuat di atas dan buka Sambungan titik akhir privat di bilah navigasi kiri. Pilih +Titik akhir privat di bagian atas untuk mulai membuat titik akhir privat baru untuk vault ini.

   Catatan

   Titik akhir privat harus memiliki nama yang unik.

   

2. Setelah berada dalam proses Buat Titik Akhir Privat, Anda akan diminta untuk menentukan detail untuk membuat sambungan titik akhir privat Anda.

   1. Dasar: Lengkapi detail dasar untuk titik akhir privat Anda. Wilayah harus sama dengan vault dan sumber daya yang hendak dicadangkan.

      

   2. Sumber Daya: Tab ini mengharuskan Anda untuk memilih sumber daya PaaS yang ingin Anda buat sambungannya. Pilih Microsoft.RecoveryServices/vault dari jenis sumber daya untuk langganan yang Anda inginkan. Setelah selesai, pilih nama vault Layanan Pemulihan Anda sebagai Sumber Daya dan AzureBackup sebagai sub-sumber daya Target.

      

   3. Konfigurasi: Dalam konfigurasi, tentukan jaringan virtual dan subnet tempat Anda ingin membuat titik akhir privat. Ini akan menjadi Vnet di mana VM berada.

      Untuk tersambung secara privat, Anda memerlukan rekaman DNS yang diperlukan. Berdasarkan penyiapan jaringan, Anda dapat memilih salah satu dari berikut ini:

      • Integrasikan titik akhir privat Anda dengan zona DNS privat: Pilih Ya jika Anda ingin mengintegrasikan.
      • Gunakan server DNS kustom Anda: PilihTidak jika Anda ingin menggunakan server DNS Anda sendiri.

      Mengelola rekaman DNS untuk keduanya akan dijelaskan nanti.

      

   4. Secara opsional, Anda dapat menambahkan Tag untuk titik akhir privat Anda.

   5. Lanjutkan ke Ulasan + buat setelah selesai memasukkan detail. Saat validasi selesai, pilih Buat untuk membuat titik akhir privat.

Setujui Titik Akhir Pribadi

Jika pengguna yang membuat titik akhir privat juga merupakan pemilik vault Layanan Pemulihan, titik akhir privat yang dibuat di atas akan disetujui secara otomatis. Selain itu, pemilik vault harus menyetujui titik akhir privat sebelum dapat menggunakannya. Bagian ini membahas persetujuan manual titik akhir privat melalui portal Microsoft Azure.

Lihat Persetujuan manual untuk titik akhir privat dengan menggunakan Klien Azure Resource Manager agar dapat menyetujui titik akhir privat.

1. Di dalam Recovery Services vault Anda, buka Sambungan titik akhir privat di bilah kiri.

2. Pilih sambungan titik akhir privat yang ingin Anda setujui.

3. Pilih Setuju di bilah atas. Anda juga dapat memilihTolak atau Hapus jika Anda ingin menolak atau menghapus sambungan titik akhir.

   

Mengelola catatan DNS

Seperti yang dijelaskan sebelumnya, Anda memerlukan rekaman DNS yang diperlukan di zona atau server DNS privat Anda untuk tersambung secara privat. Anda dapat mengintegrasikan titik akhir privat Anda secara langsung dengan zona DNS privat Azure atau menggunakan server DNS kustom Anda untuk mencapainya, berdasarkan preferensi jaringan Anda. Ini perlu dilakukan untuk ketiga layanan: Cadangan, Blob, dan Antrean.

Selain itu, jika zona DNS atau server Anda ada dalam langganan yang berbeda dari yang berisi titik akhir privat, lihat juga Membuat entri DNS saat server DNS/zona DNS ada di langganan lain.

Saat mengintegrasikan titik akhir privat dengan zona DNS pribadi Azure

Jika Anda memilih untuk mengintegrasikan titik akhir privat Anda dengan zona DNS privat, Azure Backup akan menambahkan catatan DNS yang diperlukan. Anda dapat menampilkan zona DNS privat yang digunakan di bawah Konfigurasi DNS dari titik akhir privat. Jika zona DNS ini tidak ada, zona DNS tersebut akan dibuat secara otomatis saat membuat titik akhir privat.

Catatan

Identitas terkelola yang ditetapkan ke vault harus memiliki izin untuk menambahkan catatan DNS di zona DNS Privat Azure.

Namun, Anda harus memverifikasi bahwa jaringan virtual Anda (yang berisi sumber daya yang akan dicadangkan) ditautkan dengan benar dengan ketiga zona DNS privat, seperti yang dijelaskan di bawah ini.

Catatan

Jika Anda menggunakan server proksi, Anda dapat memilih untuk melewati server proksi atau melakukan cadangan Anda melalui server proksi. Untuk melewati server proksi, lanjutkan ke bagian berikut. Untuk menggunakan server proksi untuk melakukan pencadangan Anda, lihat rincian pengaturan server proksi untuk vault Layanan Pemulihan.

Validasi tautan jaringan virtual di zona DNS privat

Untuk setiap zona DNS privat yang tercantum di atas (untuk Cadangan, Blob, dan Antrean), lakukan hal berikut:

1. Navigasi ke masing-masing opsi tautan jaringan Virtual di bilah navigasi kiri.

2. Anda seharusnya dapat melihat entri untuk jaringan virtual yang telah Anda buat titik akhir privatnya, seperti yang ditunjukkan di bawah ini:

   

3. Jika Anda tidak melihat entri, tambahkan tautan jaringan virtual ke semua zona DNS yang tidak memilikinya.

   

Saat menggunakan sebuah server DNS kustom atau file host

• Jika Anda menggunakan server DNS kustom, Anda bisa menggunakan penerus bersyarat DNS untuk FQDN layanan cadangan, blob, dan antrean guna mengalihkan permintaan DNS ke Azure DNS (168.63.129.16). Azure DNS mengalihkannya ke zona DNS Privat Azure. Dalam penyiapan tersebut, pastikan bahwa tautan jaringan virtual untuk zona DNS Privat Azure ada seperti yang disebutkan di bagian ini.

  Tabel berikut ini mencantumkan zona DNS Privat Azure yang diperlukan oleh Azure Backup:

  Zona	Layanan
  privatelink.<geo>.backup.windowsazure.com	Backup
  privatelink.blob.core.windows.net	Gumpalan
  privatelink.queue.core.windows.net	Antre

  Catatan

  Dalam teks di atas, <geo> mengacu pada kode wilayah (misalnya eus dan ne untuk US Timur dan Eropa Utara). Lihat daftar berikut untuk kode wilayah:

  • Semua awan publik
  • Tiongkok
  • Jerman
  • US Gov
  • Daftar geo-kode - contoh XML

• Jika Anda menggunakan server DNS kustom atau file host dan tidak memiliki penyiapan zona DNS Privat Azure, Anda perlu menambahkan catatan DNS yang diperlukan oleh titik akhir privat ke server DNS Anda atau di file host.

  • Untuk Layanan cadangan: Navigasikan ke titik akhir privat yang Anda buat, lalu buka Konfigurasi DNS. Kemudian tambahkan entri untuk setiap FQDN dan IP yang ditampilkan sebagai catatan Tipe A di zona DNS Anda untuk Pencadangan.

    Jika Anda menggunakan file host untuk resolusi nama, buatlah entri yang sesuai dalam file tersebut untuk setiap IP dan FQDN sesuai format - <private ip><space><backup service privatelink FQDN>.

  • Untuk blob dan antrean: Azure Backup membuat titik akhir privat untuk blob dan antrean dengan menggunakan izin identitas terkelola. Titik akhir privat untuk blob dan antrean mengikuti pola penamaan standar, yang dimulai dengan <the name of the private endpoint>_ecs atau <the name of the private endpoint>_prot, dan diakhiri dengan _blob dan _queue masing-masing.

    Akses titik akhir privat yang dibuat oleh Azure Backup dengan mengikuti pola di atas, lalu buka konfigurasi DNS. Kemudian tambahkan entri untuk setiap FQDN dan IP yang ditampilkan sebagai catatan Tipe A di zona DNS Anda untuk Pencadangan.

    Jika Anda menggunakan file host untuk resolusi nama, buatlah entri yang sesuai dalam file tersebut untuk setiap IP dan FQDN sesuai format - <private ip><space><blob/queue FQDN>.

Catatan

Azure Backup dapat mengalokasikan akun penyimpanan baru untuk vault Anda untuk data cadangan, dan ekstensi atau agen perlu mengakses titik akhir masing-masing. Untuk informasi selengkapnya tentang cara menambahkan lebih banyak catatan DNS setelah pendaftaran dan pencadangan, lihat panduan di bagian Menggunakan Titik Akhir Privat untuk Cadangan .

Gunakan Titik Akhir Pribadi untuk Cadangan

Setelah endpoint privat yang dibuat untuk vault di VNet Anda telah disetujui, Anda dapat mulai menggunakannya untuk melakukan pencadangan dan pemulihan.

Penting

Pastikan Anda telah menyelesaikan semua langkah yang disebutkan di atas dalam dokumen dengan sukses sebelum melanjutkan. Untuk rekap, Anda harus telah menyelesaikan langkah-langkah dalam daftar periksa berikut:

1. Membuat sebuah vault layanan pemulihan (baru)
2. Mengaktifkan vault untuk menggunakan Managed Identity yang ditugaskan oleh sistem
3. Tetapkan izin yang relevan untuk Identitas Terkelola pada vault tersebut.
4. Buat Titik Akhir Privat untuk vault Anda
5. Setujui Titik Akhir Privat (jika tidak disetujui secara otomatis)
6. Pastikan bahwa semua catatan DNS ditambahkan dengan tepat (kecuali rekaman blob dan antrian untuk server kustom, yang akan dibahas di bagian berikut)

Periksa konektivitas mesin virtual

Di komputer virtual di jaringan yang terkunci, pastikan hal berikut:

1. VM harus memiliki akses ke ID Microsoft Entra.
2. Jalankan nslookup di URL cadangan (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) dari komputer virtual Anda, untuk memastikan konektivitas. Ini harus mengembalikan IP privat yang ditetapkan di jaringan virtual Anda.

Atur cadangan

Setelah Anda memastikan daftar periksa di atas dan akses telah berhasil diselesaikan, Anda dapat terus mengonfigurasi cadangan beban kerja ke vault. Jika Anda menggunakan server DNS kustom, Anda perlu menambahkan entri DNS untuk blob dan antrean yang tersedia setelah mengonfigurasi cadangan pertama.

Catatan DNS untuk blob dan antrean (hanya untuk server DNS kustom/file host) setelah pendaftaran pertama

Setelah Anda mengonfigurasi cadangan untuk setidaknya satu sumber daya di vault yang memiliki endpoint privat, tambahkan rekaman DNS yang diperlukan untuk blobs dan antrian seperti yang dijelaskan di bawah ini.

1. Navigasi ke Grup Sumber Daya Anda, dan cari titik akhir privat yang Anda buat.

2. Selain nama titik akhir privat yang anda berikan, Anda akan melihat dua titik akhir privat lagi yang sedang dibuat. Ini berturutan dimulai dengan <the name of the private endpoint>_ecs dan diakhiri dengan _blob dan _queue.

   

3. Akses masing-masing endpoint privat ini. Dalam opsi konfigurasi DNS untuk masing-masing dari dua titik akhir privat, Anda akan melihat rekaman dengan FQDN dan alamat IP. Tambahkan kedua hal ini ke server DNS kustom Anda, selain yang dijelaskan sebelumnya. Jika Anda menggunakan file host, buat entri yang sesuai di file host untuk setiap IP/FQDN sesuai dengan format berikut:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

Selain hal di atas, ada entri lain yang diperlukan setelah cadangan pertama, yang akan dibahas nanti.

Pencadangan dan pemulihan beban kerja di komputer virtual Azure (SQL dan SAP Hana)

Setelah titik akhir privat dibuat dan disetujui, tidak ada perubahan lain yang diperlukan dari sisi klien untuk menggunakan titik akhir pribadi (kecuali Anda menggunakan Grup Ketersediaan SQL, yang akan kita bahas nanti di bagian ini). Semua komunikasi dan transfer data dari jaringan aman Anda ke vault akan dilakukan melalui titik akhir privat. Namun, jika Anda menghapus endpoint privat dari vault setelah server (SQL atau SAP HANA) telah didaftarkan ke vault tersebut, Anda harus mendaftarkan ulang kontainer dengan vault tersebut. Anda tidak perlu menghentikan perlindungan untuk mereka.

Catatan DNS untuk blob (hanya untuk server DNS khusus atau berkas host) setelah cadangan pertama

Setelah Anda menjalankan cadangan pertama dan Anda menggunakan server DNS kustom (tanpa penerus kondisional), kemungkinan cadangan Anda akan gagal. Jika itu terjadi:

1. Navigasi ke Grup Sumber Daya Anda, dan cari titik akhir privat yang Anda buat.

2. Selain dari tiga titik akhir privat yang dibahas sebelumnya, Anda sekarang akan melihat titik akhir privat keempat dengan namanya dimulai dengan <the name of the private endpoint>_prot dan diakhiri dengan _blob.

   

3. Navigasi ke titik akhir privat baru ini. Di opsi konfigurasi DNS, Anda akan melihat rekaman dengan FQDN dan alamat IP. Tambahkan ini ke server DNS privat Anda, selain yang dijelaskan sebelumnya.

   Jika Anda menggunakan file host, buat entri yang sesuai di file host untuk setiap IP dan FQDN sesuai dengan format berikut:

   <private ip><space><blob service privatelink FQDN>

Catatan

Pada titik ini, Anda harus dapat menjalankan nslookup dari VM dan mengurai ke alamat IP privat ketika dilakukan pada URL Cadangan dan Penyimpanan milik vault.

Saat menggunakan Grup Ketersediaan SQL

Saat menggunakan Grup Ketersediaan SQL (AG), Anda harus menyediakan penerus kondisional di DNS AG kustom seperti yang dijelaskan di bawah ini:

1. Masuk ke pengendali domain Anda.

2. Di bawah aplikasi DNS, tambahkan penerus kondisional untuk ketiga zona DNS (Cadangan, Blob, dan Antrean) ke host IP 168.63.129.16 atau alamat IP server DNS kustom, jika perlu. Cuplikan layar berikut ini ditampilkan saat Anda meneruskan ke IP host Azure. Jika Anda menggunakan server DNS Anda sendiri, ganti dengan IP server DNS Anda.

   

   

Pencadangan dan pemulihan dengan agen MARS dan server DPM

Saat menggunakan Agen MARS untuk mencadangkan sumber daya lokal Anda, pastikan jaringan lokal Anda (yang berisi sumber daya untuk dicadangkan) terhubung dengan Azure VNet yang memiliki titik akhir privat untuk vault, sehingga dapat digunakan. Anda kemudian dapat melanjutkan menginstal agen MARS dan mengonfigurasi cadangan seperti yang dijelaskan di sini. Namun, Anda harus memastikan bahwa semua komunikasi untuk cadangan hanya terjadi melalui jaringan yang di-peer saja.

Tetapi jika Anda menghapus titik akhir privat untuk brankas setelah agen MARS terdaftar ke dalamnya, Anda perlu melakukan pendaftaran ulang kontainer dengan brankas tersebut. Anda tidak perlu menghentikan perlindungan untuk mereka.

Catatan

• Titik akhir privat hanya didukung dengan server DPM 2022 (10.22.123.0) dan yang lebih baru.
• Hanya titik akhir privat yang didukung dengan MABS V4 (14.0.30.0) dan yang lebih baru.

Menghapus Titik Akhir Pribadi

Lihat bagian ini untuk mempelajari cara menghapus Titik Akhir Privat.

Topik tambahan

Buat vault Layanan Pemulihan menggunakan klien Azure Resource Manager

Anda dapat membuat brankas Layanan Pemulihan dan mengaktifkan Identitas Terkelola (mengaktifkan Identitas Terkelola diperlukan, seperti yang akan kita lihat nanti) menggunakan klien Azure Resource Manager. Sampel untuk melakukan ini dibagikan di bawah ini:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

File JSON di atas harus memiliki konten berikut:

Permintaan JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Tanggapan JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Catatan

Vault yang dibuat dalam contoh ini melalui klien Azure Resource Manager sudah dibuat dengan identitas terkelola yang ditetapkan sistem.

Mengelola izin pada Grup Sumber Daya

Identitas Terkelola untuk Vault memerlukan izin-izin berikut di dalam grup sumber daya dan jaringan virtual tempat titik akhir privat ini akan dibuat:

• Microsoft.Network/privateEndpoints/* Ini diperlukan untuk melakukan CRUD pada titik akhir privat di grup sumber daya. Ini harus ditetapkan pada grup sumber daya.
• Microsoft.Network/virtualNetworks/subnets/join/action Ini diperlukan di jaringan virtual tempat IP privat diikatkan ke titik akhir privat.
• Microsoft.Network/networkInterfaces/read Ini diperlukan pada grup sumber daya agar antarmuka jaringan dapat dibuat untuk titik akhir privat.
• Peran Kontributor Zona DNS Privat Peran ini sudah ada dan dapat digunakan untuk menyediakan izin Microsoft.Network/privateDnsZones/A/* dan Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Anda bisa menggunakan salah satu metode berikut untuk membuat peran dengan izin yang diperlukan:

Buat peran dan izin secara manual

Buat file JSON berikut dan gunakan perintah PowerShell di akhir bagian untuk membuat peran:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Gunakan skrip

1. Mulai Cloud Shell di portal Microsoft Azure dan pilih Unggah file di jendela PowerShell.

   

2. Unggah skrip berikut: VaultMsiPrereqScript

3. Buka folder utama Anda (misalnya: cd /home/user)

4. Jalankan skrip berikut:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Ini adalah parameternya:

   • subscription: **SubscriptionId yang berisi grup sumber daya di mana titik akhir privat untuk vault akan dibuat dan subnet tempat titik akhir privat vault akan dilampirkan

   • vaultPEResourceGroup: Grup sumber daya yang digunakan untuk membuat titik akhir privat dari vault

   • vaultPESubnetResourceGroup: Grup sumber daya dari subnet tempat titik akhir privat akan dihubungkan

   • vaultMsiName: Nama MSI dari vault, yang sama dengan VaultName

5. Selesaikan autentikasi dan skrip akan mengambil konteks dari langganan yang disediakan di atas. Ini akan membuat peran yang sesuai jika hilang dari klien dan akan menetapkan peran tersebut ke MSI vault.

Membuat Endpoint Privat menggunakan Azure PowerShell

Titik akhir privat yang disetujui secara otomatis

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Persetujuan manual endpoint privat menggunakan Azure Resource Manager Client

1. Gunakan GetVault untuk mendapatkan ID Sambungan Titik Akhir Privat untuk titik akhir privat Anda.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Ini akan mengembalikan ID Sambungan Titik Akhir Pribadi. Nama sambungan dapat diambil dengan menggunakan bagian pertama dari ID sambungan sebagai berikut:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Dapatkan ID Sambungan Titik Akhir Privat (dan Nama Titik Akhir Privat, jika diperlukan) dari respons dan ganti di JSON dan URI Azure Resource Manager berikut dan coba ubah Status menjadi "Disetujui/Ditolak/Terputus", seperti yang ditunjukkan dalam sampel di bawah ini:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Menyiapkan server proksi untuk brankas Layanan Pemulihan yang memiliki titik akhir privat

Untuk mengonfigurasi server proksi untuk Azure VM atau mesin lokal, ikuti langkah-langkah berikut:

1. Tambahkan domain berikut yang perlu diakses dari server proksi.

   Layanan	Nama domain	Pelabuhan
   Azure Backup	*.backup.windowsazure.com	443
   Azure Storage	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra ID URL domain yang diperbarui disebutkan di bawah bagian 56 dan 59 di Microsoft 365 Common dan Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Jika berlaku.

2. Izinkan akses ke domain ini di server proksi dan tautkan zona DNS privat ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) dengan VNET tempat server proksi dibuat atau menggunakan server DNS kustom dengan entri DNS masing-masing.
   
   VNET tempat server proksi berjalan dan VNET tempat NIC titik akhir privat dibuat harus dihubungkan, yang akan memungkinkan server proksi mengarahkan ulang permintaan ke IP privat.

   Catatan

   Dalam teks di atas, <geo> mengacu pada kode wilayah (misalnya eus dan ne untuk US Timur dan Eropa Utara). Lihat daftar berikut untuk kode wilayah:

   • Semua awan publik
   • Tiongkok
   • Jerman
   • US Gov
   • Daftar geo-kode - contoh XML

Diagram berikut menunjukkan pengaturan (saat menggunakan zona Azure Private DNS) dengan server proksi, yang VNet-nya ditautkan ke zona DNS privat dengan entri DNS yang diperlukan. Server proksi juga dapat memiliki server DNS kustom sendiri, dan domain di atas dapat diteruskan secara kondisional ke 168.63.129.16. Jika Anda menggunakan file server/host DNS kustom untuk resolusi DNS, lihat bagian tentang mengelola entri DNS dan mengonfigurasi perlindungan.

3. Untuk memperbarui otomatis Agen MARS, izinkan akses ke download.microsoft.com/download/MARSagent/*.

Membuat entri DNS saat server DNS/zona DNS ada di langganan lain

Di bagian ini, kita akan membahas kasus saat Anda menggunakan zona DNS yang ada dalam langganan, atau Grup Sumber Daya yang berbeda dari yang berisi endpoint privat untuk Layanan Pemulihan vault, seperti topologi hub dan spoke. Karena identitas terkelola yang digunakan untuk membuat titik akhir privat (dan entri DNS) hanya memiliki izin pada Grup Sumber Daya tempat titik akhir privat dibuat, entri DNS yang diperlukan akan diperlukan juga. Gunakan skrip PowerShell berikut untuk membuat entri DNS.

Catatan

Lihat seluruh proses yang dijelaskan di bawah ini untuk mencapai hasil yang diperlukan. Proses ini perlu diulang dua kali - sekali selama penemuan pertama (untuk membuat entri DNS yang diperlukan untuk akun penyimpanan komunikasi), dan kemudian sekali selama cadangan pertama (untuk membuat entri DNS yang diperlukan untuk akun penyimpanan back-end).

Langkah 1: Mendapatkan entri DNS yang diperlukan

Gunakan skrip PrivateIP.ps1 untuk mencantumkan semua entri DNS yang perlu dibuat.

Catatan

subscription pada sintaksis di bawah ini mengacu pada langganan tempat titik akhir privat dari vault tersebut akan dibuat.

Sintaksis untuk menggunakan script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Output contoh

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Langkah 2: Membuat entri DNS

Buat entri DNS yang sesuai dengan yang di atas. Berdasarkan jenis DNS yang Anda gunakan, Anda memiliki dua alternatif untuk membuat entri DNS.

Kasus 1: Jika Anda menggunakan server DNS kustom, Anda perlu membuat entri secara manual untuk setiap catatan dari skrip di atas dan memverifikasi bahwa FQDN (ResourceName.DNS) diselesaikan ke IP Privat dalam VNET.

Kasus 2: Jika Anda menggunakan Zona DNS Privat Azure, Anda dapat menggunakan skrip CreateDNSEntries.ps1 untuk secara otomatis membuat entri DNS di Zona DNS Privat. Dalam sintaksis berikut, subscription adalah salah satu tempat Zona DNS Privat berada.

Sintaksis untuk menggunakan script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Ringkasan dari seluruh proses

Untuk menyiapkan titik akhir privat untuk vault Layanan Pemulihan dengan benar melalui solusi alternatif ini, Anda perlu:

1. Membuat titik akhir privat untuk vault (seperti yang dijelaskan sebelumnya dalam artikel).
2. Memicu proses penemuan. Penemuan untuk SQL/HANA akan gagal dengan UserErrorVMInternetConnectivityIssue karena entri DNS tidak ada untuk akun penyimpanan komunikasi.
3. Jalankan skrip untuk mendapatkan entri DNS dan buat entri DNS yang sesuai untuk akun penyimpanan komunikasi yang disebutkan sebelumnya di bagian ini.
4. Memicu ulang penemuan. Kali ini, penemuan akan berhasil.
5. Mulai pencadangan. Cadangan untuk SQL/HANA dan MARS bisa gagal karena entri DNS tidak ada untuk akun penyimpanan back-end seperti yang disebutkan sebelumnya di bagian ini.
6. Jalankan skrip untuk membuat entri DNS untuk akun penyimpanan back-end.
7. Mulai ulang pencadangan. Kali ini, cadangan seharusnya berhasil.

Tanya jawab umum

Bisakah saya membuat endpoint privat untuk vault Layanan Pemulihan yang ada?

Tidak, titik akhir privat hanya dapat dibuat untuk Layanan Pemulihan Vault baru. Jadi vault tidak pernah memiliki item yang dilindungi. Faktanya, tidak ada upaya untuk melindungi item apa pun di vault yang dapat dilakukan sebelum membuat endpoint privat.

Saya mencoba melindungi item ke vault saya, tapi gagal dan vault masih tidak berisi item apa pun yang dilindungi. Dapatkah saya membuat titik akhir privat untuk vault ini?

Tidak, brankas tidak pernah ada upaya untuk melindungi barang apa pun sebelumnya.

Saya memiliki vault yang menggunakan titik akhir privat untuk pencadangan dan pemulihan. Dapatkah saya menambahkan atau menghapus titik akhir privat untuk vault ini walaupun saya memiliki item cadangan yang dilindungi?

Ya. Jika Anda sudah membuat titik akhir privat untuk vault dan melindungi item cadangan ke dalamnya, Anda nantinya dapat menambahkan atau menghapus titik akhir privat sebagaimana diperlukan.

Dapatkah titik akhir privat untuk Azure Backup juga digunakan untuk Azure Site Recovery?

Tidak, titik akhir privat untuk Backup hanya dapat digunakan untuk Azure Backup. Anda harus membuat titik akhir privat baru untuk Azure Site Recovery, jika layanan mendukungnya.

Saya melewatkan salah satu langkah dalam artikel ini dan melanjutkan untuk melindungi sumber data saya. Apakah saya masih dapat menggunakan titik akhir privat?

Tidak mengikuti langkah-langkah dalam artikel dan tetap melindungi item dapat menyebabkan vault tidak dapat menggunakan endpoint pribadi. Oleh karena itu, Anda disarankan untuk merujuk ke daftar periksa ini sebelum melanjutkan untuk melindungi item.

Dapatkah saya menggunakan server DNS saya sendiri daripada menggunakan zona DNS privat Azure atau zona DNS privat terintegrasi?

Ya, Anda dapat menggunakan server DNS Anda sendiri. Namun, pastikan semua rekaman DNS yang diperlukan ditambahkan seperti yang disarankan di bagian ini.

Apakah saya perlu melakukan langkah tambahan di server saya setelah saya mengikuti proses di artikel ini?

Setelah mengikuti proses yang mendetail dalam artikel ini, Anda tidak perlu melakukan pekerjaan tambahan untuk menggunakan titik akhir privat untuk pencadangan dan pemulihan.

Langkah berikutnya

• Baca tentang semua fitur keamanan di Azure Backup