Gambaran umum dan konsep titik akhir privat (pengalaman v1) untuk Azure Backup
Azure Backup memungkinkan Anda mencadangkan dan memulihkan data anda dengan aman dari vault Layanan Pemulihan menggunakan titik akhir privat. Titik akhir privat menggunakan satu atau beberapa alamat IP privat dari Jaringan Virtual Azure (VNet) Anda, secara efektif membawa layanan ke VNet Anda.
Artikel ini akan membantu Anda memahami cara kerja titik akhir privat untuk Azure Backup dan skenario di mana penggunaan titik akhir privat akan membantu menjaga keamanan sumber daya Anda.
Catatan
Azure Backup sekarang memberikan pengalaman baru untuk membuat titik akhir privat. Pelajari lebih lanjut.
Sebelum memulai
- Titik akhir privat hanya dapat dibuat untuk vault Layanan Pemulihan baru (yang tidak memiliki item apa pun yang terdaftar ke vault). Jadi titik akhir privat harus dibuat sebelum Anda mencoba melindungi item apa pun ke vault. Namun, titik akhir privat saat ini tidak didukung untuk vault Backup.
- Satu jaringan virtual dapat berisi titik akhir privat untuk beberapa vault Layanan Pemulihan. Selain itu, satu vault Layanan Pemulihan dapat memiliki titik akhir privat untuknya di beberapa jaringan virtual. Namun, jumlah maksimum titik akhir privat yang dapat dibuat untuk vault adalah 12.
- Jika akses jaringan publik untuk vault diatur ke Izinkan dari semua jaringan, vault mengizinkan pencadangan dan pemulihan dari komputer apa pun yang terdaftar ke vault. Jika akses jaringan publik untuk vault diatur ke Tolak, vault hanya mengizinkan pencadangan dan pemulihan dari komputer yang terdaftar ke vault yang meminta cadangan/pemulihan melalui IP privat yang dialokasikan untuk vault.
- Sambungan titik akhir privat untuk Cadangan menggunakan total 11 IP privat di subnet Anda, termasuk yang digunakan oleh Azure Backup untuk penyimpanan. Jumlah ini mungkin lebih tinggi untuk wilayah Azure tertentu. Jadi kami sarankan Anda memiliki cukup IP privat (/26) yang tersedia saat Anda mencoba membuat titik akhir privat untuk Backup.
- Saat vault Layanan Pemulihan digunakan oleh (kedua) Azure Backup dan Azure Site Recovery, artikel ini membahas penggunaan titik akhir privat hanya untuk Azure Backup.
- Titik akhir privat untuk Cadangan tidak menyertakan akses ke ID Microsoft Entra dan hal yang sama perlu dipastikan secara terpisah. Jadi, IP dan FQDN yang diperlukan agar ID Microsoft Entra berfungsi di suatu wilayah akan memerlukan akses keluar untuk diizinkan dari jaringan aman saat melakukan pencadangan database di Azure VM dan pencadangan menggunakan agen MARS. Anda juga dapat menggunakan tag NSG dan tag Azure Firewall untuk mengizinkan akses ke ID Microsoft Entra, sebagaimana berlaku.
- Anda perlu mendaftarkan ulang penyedia sumber Layanan Pemulihan dengan langganan jika Anda mendaftarkannya sebelum 1 Mei 2020. Untuk mendaftarkan ulang penyedia layanan, buka langganan Anda di portal Microsoft Azure, navigasi ke Penyedia sumber di bilah navigasi kiri, lalu pilih Microsoft.RecoveryServices dan pilih Daftar ulang.
- Pemulihan lintas wilayah untuk cadangan database SQL dan SAP Hana tidak didukung jika vault memiliki titik akhir privat yang diaktifkan.
- Saat Anda memindahkan vault Layanan Pemulihan yang sudah menggunakan titik akhir privat ke penyewa baru, Anda harus memperbarui vault Layanan Pemulihan untuk membuat ulang dan mengonfigurasi ulang identitas yang dikelola vault dan membuat titik akhir privat baru sesuai kebutuhan (yang seharusnya ada di penyewa baru). Jika ini tidak dilakukan, operasi pencadangan dan pemulihan akan mulai gagal. Selain itu, setiap izin kontrol akses berbasis peran Azure (Azure RBAC) yang disiapkan dalam langganan harus dikonfigurasi ulang.
Skenario yang direkomendasikan dan didukung
Meskipun diaktifkan untuk brankas, titik akhir privat hanya digunakan untuk pencadangan dan pemulihan beban kerja SQL dan SAP Hana di Azure VM dan pencadangan agen MARS. Anda dapat menggunakan vault untuk pencadangan beban kerja lain (mereka tidak memerlukan titik akhir privat). Selain pencadangan beban kerja SQL dan SAP Hana dan pencadangan menggunakan agen MARS, titik akhir privat juga digunakan untuk melakukan pemulihan file untuk pencadangan komputer virtual Azure. Untuk informasi lebih lanjut, lihat tabel berikut ini:
| Skenario | Rekomendasi |
|---|---|
| Pencadangan beban kerja di Azure VM (SQL, SAP Hana), Pencadangan menggunakan Agen MARS, server DPM. | Penggunaan titik akhir privat disarankan untuk memungkinkan pencadangan dan pemulihan tanpa perlu menambahkan IP/FQDN apa pun ke daftar yang diizinkan untuk Azure Backup atau Azure Storage dari jaringan virtual Anda. Dalam skenario tersebut, pastikan bahwa VM yang menghosting database SQL dapat menjangkau IP Microsoft Entra atau FQDN. |
| Cadangan Azure VM | Cadangan komputer virtual tidak mengharuskan Anda untuk mengizinkan akses ke IP atau FQDN apa pun. Jadi, tidak diperlukan titik akhir privat untuk pencadangan dan pemulihan disk. Namun, pemulihan file dari vault yang berisi titik akhir privat akan dibatasi untuk jaringan virtual yang berisi titik akhir privat untuk vault tersebut. Saat menggunakan disk ACL yang tidak dikelola, pastikan akun penyimpanan yang berisi disk memungkinkan akses kelayanan Microsoft tepercaya jika menggunakan ACL. |
| Cadangan Azure Files | Cadangan Azure Files disimpan di akun penyimpanan lokal. Jadi, tidak memerlukan titik akhir privat untuk pencadangan dan pemulihan disk. |
Catatan
Titik akhir privat hanya didukung dengan server DPM 2022, MABS v4, dan yang lebih baru.
Perbedaan koneksi jaringan karena titik akhir privat
Seperti disebutkan di atas, titik akhir privat sangat berguna untuk cadangan beban kerja (SQL, SAP Hana) di Azure VM dan cadangan agen MARS.
Dalam semua skenario (dengan atau tanpa titik akhir privat), baik ekstensi beban kerja (untuk pencadangan instans SQL dan SAP Hana yang berjalan di dalam Azure VM) dan agen MARS melakukan panggilan koneksi ke ID Microsoft Entra (ke FQDN yang disebutkan di bawah bagian 56 dan 59 di Microsoft 365 Common dan Office Online).
Selain koneksi ini ketika ekstensi beban kerja atau agen MARS diinstal untuk vault layanan pemulihan tanpa titik akhir privat, konektivitas ke domain berikut juga diperlukan:
| Layanan | Nama domain | Port |
|---|---|---|
| Pencadangan Azure | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Izinkan akses ke FQDN di bawah bagian 56 dan 59. |
443 Jika berlaku |
Ketika ekstensi beban kerja atau agen MARS diinstal untuk vault Layanan Pemulihan dengan titik akhir privat, titik akhir berikut akan tercapai:
| Layanan | Nama domain | Port |
|---|---|---|
| Pencadangan Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Izinkan akses ke FQDN di bawah bagian 56 dan 59. |
443 Jika berlaku |
Catatan
Dalam teks di atas, <geo> mengacu pada kode wilayah (misalnya, eus untuk US Timur dan ne untuk Eropa Utara). Lihat daftar berikut untuk kode wilayah:
Untuk vault Layanan Pemulihan dengan penyiapan titik akhir privat, resolusi nama untuk FQDN (privatelink.<geo>.backup.windowsazure.com, , *.queue.core.windows.net*.blob.core.windows.net, *.blob.storage.azure.net) harus mengembalikan alamat IP privat. Ini dapat dicapai dengan menggunakan:
- Zona Azure Private DNS
- DNS Kustom
- Entri DNS dalam file host
- Penerus kondisi ke zona Azure DNS atau Azure Private DNS.
Titik akhir privat untuk blob dan antrean mengikuti pola penamaan standar, titik akhir dimulai dengan <nama titik akhir privat>_ecs atau <nama titik akhir privat>_prot, dan diakhiri dengan _blob dan _queue secara berurutan.
Catatan
Sebaiknya gunakan zona DNS Privat Azure, yang memungkinkan Anda mengelola catatan DNS untuk blob dan antrean menggunakan Azure Backup. Identitas terkelola yang ditetapkan ke vault digunakan untuk mengotomatiskan penambahan catatan DNS setiap kali akun penyimpanan baru dialokasikan untuk data cadangan.
Jika Anda telah mengonfigurasi server proksi DNS, menggunakan server proksi atau firewall pihak ketiga, nama domain di atas harus diizinkan dan dialihkan ke DNS kustom (yang memiliki catatan DNS untuk FQDN di atas) atau ke 168.63.129.16 di jaringan virtual Azure yang memiliki zona DNS privat yang terkait dengannya.
Contoh berikut menunjukkan firewall Azure yang digunakan sebagai proksi DNS untuk mengalihkan kueri nama domain untuk vault Layanan Pemulihan, blob, antrean, dan ID Microsoft Entra ke 168.63.129.16.
Untuk informasi selengkapnya, lihat Membuat dan menggunakan titik akhir privat.
Pengaturan konektivitas jaringan untuk vault dengan titik akhir privat
Titik akhir privat untuk layanan pemulihan dikaitkan dengan antarmuka jaringan (NIC). Agar koneksi titik akhir privat berfungsi, semua lalu lintas untuk layanan Azure dialihkan ke antarmuka jaringan. Hal ini dicapai dengan menambahkan pemetaan DNS untuk IP privat yang terkait dengan antarmuka jaringan terhadap URL layanan/blob/antrean .
Ketika ekstensi cadangan beban kerja diinstal pada komputer virtual yang terdaftar ke vault Layanan Pemulihan dengan titik akhir privat, ekstensi mencoba koneksi pada URL privat layanan <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup . Jika URL privat tidak menyelesaikan masalah, URL publik <azure_backup_svc>.<geo>.backup.windowsazure.comakan mencoba .
Catatan
Dalam teks di atas, <geo> mengacu pada kode wilayah (misalnya, eus untuk US Timur dan ne untuk Eropa Utara). Lihat daftar berikut untuk kode wilayah:
URL privat ini khusus untuk vault. Hanya ekstensi dan agen yang terdaftar ke vault yang dapat berkomunikasi dengan Azure Backup melalui titik akhir ini. Jika akses jaringan publik untuk vault Layanan Pemulihan dikonfigurasi ke Tolak, ini membatasi klien yang tidak berjalan di VNet agar tidak meminta pencadangan dan pemulihan pada vault. Sebaiknya atur akses jaringan publik ke Tolak, bersama dengan penyiapan titik akhir privat. Saat ekstensi dan agen mencoba URL privat pada awalnya, *.privatelink.<geo>.backup.windowsazure.com resolusi DNS URL harus mengembalikan IP privat terkait yang terkait dengan titik akhir privat.
Solusi untuk resolusi DNS adalah:
- Zona Azure Private DNS
- DNS Kustom
- Entri DNS dalam file host
- Penerus bersyarkat ke Zona DNS Privat Azure/Azure.
Saat titik akhir privat untuk vault Layanan Pemulihan dibuat melalui portal Microsoft Azure dengan opsi integrasi dengan zona DNS privat, entri DNS yang diperlukan untuk alamat IP privat untuk layanan Azure Backup (*.privatelink.<geo>backup.windowsazure.com) dibuat secara otomatis setiap kali sumber daya dialokasikan. Di solusi lain, Anda perlu membuat entri DNS secara manual untuk FQDN ini di DNS kustom atau di file host.
Untuk pengelolaan manual catatan DNS setelah penemuan VM untuk saluran komunikasi - blob/antrean, lihat Catatan DNS untuk blob dan antrean (hanya untuk server DNS khusus/file host) setelah pendaftaran pertama. Untuk pengelolaan manual catatan DNS setelah pencadangan pertama untuk blob akun penyimpanan cadangan, lihat Catatan DNS untuk blob (hanya untuk server DNS khusus/file host) setelah pencadangan pertama.
Alamat IP privat untuk FQDN dapat ditemukan di bilah titik akhir privat untuk titik akhir privat yang dibuat untuk vault Layanan Pemulihan.
Diagram berikut menunjukkan cara kerja resolusi saat menggunakan zona DNS privat untuk mengatasi FQDN layanan privat ini.
Ekstensi beban kerja yang berjalan di Azure VM memerlukan koneksi ke setidaknya dua akun penyimpanan - yang pertama digunakan sebagai saluran komunikasi (melalui pesan antrean) dan yang kedua untuk menyimpan data cadangan. Agen MARS memerlukan akses ke satu akun penyimpanan yang digunakan untuk menyimpan data cadangan.
Untuk vault yang diaktifkan titik akhir privat, layanan Azure Backup membuat titik akhir privat untuk akun penyimpanan ini. Ini mencegah lalu lintas jaringan apa pun yang terkait dengan Azure Backup (lalu lintas sarana kontrol ke layanan dan data cadangan ke blob penyimpanan) meninggalkan jaringan virtual. Selain layanan cloud Azure Backup, ekstensi beban kerja dan agen memerlukan konektivitas ke akun Azure Storage dan ID Microsoft Entra.
Sebagai prasyarat, vault Layanan Pemulihan memerlukan izin untuk membuat titik akhir privat tambahan di Grup Sumber Daya yang sama. Sebaiknya berikan izin vault Layanan Pemulihan untuk membuat entri DNS di zona DNS privat (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Vault Layanan Pemulihan mencari zona DNS privat di grup sumber daya tempat VNet dan titik akhir privat dibuat. Jika memiliki izin untuk menambahkan entri DNS di zona ini, entri tersebut akan dibuat oleh vault; jika tidak, Anda harus membuatnya secara manual.
Catatan
Integrasi dengan zona DNS privat yang ada dalam langganan yang berbeda tidak didukung dalam pengalaman ini.
Diagram berikut menunjukkan bagaimana resolusi nama berfungsi untuk akun penyimpanan menggunakan zona DNS privat.
