Panoramica e concetti degli endpoint privati (esperienza v1) per Backup di Azure
Backup di Azure consente di eseguire il backup e il ripristino dei dati in modo sicuro dagli insiemi di credenziali di Servizi di ripristino usando endpoint privati. Gli endpoint privati usano uno o più indirizzi IP privati dalla rete virtuale di Azure, portando effettivamente il servizio nella rete virtuale.
Questo articolo illustra il funzionamento degli endpoint privati per Backup di Azure e gli scenari in cui l'uso di endpoint privati consente di mantenere la sicurezza delle risorse.
Nota
Backup di Azure offre ora una nuova esperienza per la creazione di endpoint privati. Altre informazioni.
Prima di iniziare
- Gli endpoint privati possono essere creati solo per i nuovi insiemi di credenziali di Servizi di ripristino ( che non hanno elementi registrati nell'insieme di credenziali). È quindi necessario creare endpoint privati prima di tentare di proteggere gli elementi nell'insieme di credenziali. Tuttavia, gli endpoint privati non sono attualmente supportati per gli insiemi di credenziali di backup.
- Una rete virtuale può contenere endpoint privati per più insiemi di credenziali di Servizi di ripristino. Inoltre, un insieme di credenziali di Servizi di ripristino può avere endpoint privati per esso in più reti virtuali. Tuttavia, il numero massimo di endpoint privati che è possibile creare per un insieme di credenziali è 12.
- Se l'accesso alla rete pubblica per l'insieme di credenziali è impostato su Consenti da tutte le reti, l'insieme di credenziali consente backup e ripristini da qualsiasi computer registrato nell'insieme di credenziali. Se l'accesso alla rete pubblica per l'insieme di credenziali è impostato su Nega, l'insieme di credenziali consente solo backup e ripristini dai computer registrati nell'insieme di credenziali che richiedono backup/ripristini tramite indirizzi IP privati allocati per l'insieme di credenziali.
- Una connessione endpoint privato per Backup usa un totale di 11 IP privati nella subnet, inclusi quelli usati da Backup di Azure per l'archiviazione. Questo numero può essere superiore per determinate aree di Azure. È quindi consigliabile disporre di indirizzi IP privati (/26) sufficienti quando si tenta di creare endpoint privati per il backup.
- Anche se un insieme di credenziali di Servizi di ripristino viene usato sia da Backup di Azure che da Azure Site Recovery, questo articolo illustra l'uso solo di endpoint privati per Backup di Azure.
- Gli endpoint privati per il backup non includono l'accesso a Microsoft Entra ID e gli stessi devono essere assicurati separatamente. Pertanto, gli indirizzi IP e i nomi di dominio completi necessari per il funzionamento di Microsoft Entra ID in un'area dovranno avere accesso in uscita per essere consentiti dalla rete protetta durante l'esecuzione del backup dei database nelle macchine virtuali di Azure e il backup tramite l'agente MARS. È anche possibile usare i tag NSG e di Firewall di Azure per consentire l'accesso a Microsoft Entra ID, se applicabile.
- È necessario registrare nuovamente il provider di risorse di Servizi di ripristino con la sottoscrizione, se è stato registrato prima del 1 maggio 2020. Per registrare nuovamente il provider, passare alla sottoscrizione nel portale di Azure, passare al provider di risorse sulla barra di spostamento a sinistra, quindi selezionare Microsoft.RecoveryServices e selezionare Registra nuovamente.
- Il ripristino tra aree per i backup del database SQL e SAP HANA non è supportato se l'insieme di credenziali dispone di endpoint privati abilitati.
- Quando si sposta un insieme di credenziali di Servizi di ripristino già usando endpoint privati in un nuovo tenant, è necessario aggiornare l'insieme di credenziali di Servizi di ripristino per ricreare e riconfigurare l'identità’gestita dell'insieme di credenziali e creare nuovi endpoint privati in base alle esigenze (che devono trovarsi nel nuovo tenant). In caso contrario, le operazioni di backup e ripristino inizieranno a non riuscire. Inoltre, tutte le autorizzazioni di controllo degli accessi in base al ruolo di Azure configurate all'interno della sottoscrizione dovranno essere riconfigurate.
Scenari consigliati e supportati
Anche se gli endpoint privati sono abilitati per l'insieme di credenziali, vengono usati per il backup e il ripristino di carichi di lavoro SQL e SAP HANA in una macchina virtuale di Azure, solo il backup dell'agente MARS e DPM. È possibile usare l'insieme di credenziali per il backup di altri carichi di lavoro, ma non richiederà però endpoint privati. Oltre al backup di carichi di lavoro SQL e SAP HANA con l'agente MARS, vengono usati anche endpoint privati per eseguire il ripristino dei file per il backup di macchine virtuali di Azure. Per altre informazioni, vedere la tabella seguente:
Scenari | Consigli |
---|---|
Backup dei carichi di lavoro nella macchina virtuale di Azure (SQL, SAP HANA), Backup con MARS Agent, server DPM. | È consigliabile usare endpoint privati per consentire il backup e il ripristino senza dover aggiungere a un elenco indirizzi IP/FQDN consentiti per Backup di Azure o Archiviazione di Azure dalle reti virtuali. In questo scenario, assicurarsi che le macchine virtuali che ospitano database SQL possano raggiungere indirizzi IP o FQDN di Microsoft Entra. |
Backup di macchine virtuali di Azure | Il backup delle macchine virtuali non richiede l'accesso a indirizzi IP o FQDN. Pertanto, non richiede endpoint privati per il backup e il ripristino dei dischi. Tuttavia, il ripristino di file da un insieme di credenziali contenente endpoint privati sarebbe limitato alle reti virtuali che contengono un endpoint privato per l'insieme di credenziali. Quando si usano dischi non gestiti ACL, assicurarsi che l'account di archiviazione contenente i dischi consenta l'accesso ai servizi Microsoft attendibili, se si tratta dell'elenco di controllo di accesso. |
Backup di file di Azure | I backup di File di Azure vengono archiviati nell'account di archiviazione locale. Pertanto, non richiede endpoint privati per il backup e il ripristino. |
Rete virtuale modificata per endpoint privato nell'insieme di credenziali e nella macchina virtuale | Arrestare la protezione del backup e configurare la protezione dei backup in un nuovo insieme di credenziali con endpoint privati abilitati. |
Nota
Gli endpoint privati sono supportati solo con il server DPM 2022, MABS v4 e versioni successive.
Differenza nelle connessioni di rete a causa degli endpoint privati
Come accennato in precedenza, gli endpoint privati sono particolarmente utili per il backup dei carichi di lavoro (SQL, SAP HANA) nelle macchine virtuali di Azure e nei backup dell'agente MARS.
In tutti gli scenari (con o senza endpoint privati), entrambe le estensioni del carico di lavoro (per il backup delle istanze di SQL e SAP HANA in esecuzione all'interno di macchine virtuali di Azure) e l'agente MARS effettuano chiamate di connessione a Microsoft Entra ID (a FQDN indicate nelle sezioni 56 e 59 in Microsoft 365 Common e Office Online).
Oltre a queste connessioni, quando l'estensione del carico di lavoro o l'agente MARS è installato per l'insieme di credenziali di Servizi di ripristino senza endpoint privati, è necessaria anche la connettività ai domini seguenti:
Service | Nomi di dominio | Porta |
---|---|---|
Backup di Azure | *.backup.windowsazure.com |
443 |
Archiviazione di Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Consentire l'accesso ai nomi di dominio completi nelle sezioni 56 e 59. |
443 Come applicabile |
Quando l'estensione del carico di lavoro o l'agente MARS è installato per l'insieme di credenziali di Servizi di ripristino con endpoint privato, vengono raggiunti gli endpoint seguenti:
Service | Nome di dominio | Porta |
---|---|---|
Backup di Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
Archiviazione di Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Consentire l'accesso ai nomi di dominio completi nelle sezioni 56 e 59. |
443 Come applicabile |
Nota
Nel testo precedente, <geo>
fa riferimento al codice della regione (ad esempio, eus e ne rispettivamente per Stati Uniti orientali ed Europa settentrionale). Per i codici delle aree, vedere gli elenchi seguenti:
Per un insieme di credenziali di Servizi di ripristino con configurazione dell'endpoint privato, la risoluzione dei nomi per i nomi FQDN (privatelink.<geo>.backup.windowsazure.com
, *.blob.core.windows.net
, *.queue.core.windows.net
, *.blob.storage.azure.net
) deve restituire un indirizzo IP privato. A tale scopo, è possibile usare:
- Zone di DNS privato di Azure
- DNS personalizzato
- Voci DNS nei file host
- Server d'inoltro condizionale alle zone DNS di Azure o DNS privato di Azure.
Gli endpoint privati per BLOB e code seguono un modello di denominazione standard, iniziano con <il nome dell'endpoint privato>_ecs o <il nome dell'endpoint privato>_prot e vengono suffissi rispettivamente con _blob e _queue.
Nota
È consigliabile usare zone DNS private di Azure, che consente di gestire i record DNS per BLOB e code usando Backup di Azure. L'identità gestita assegnata all'insieme di credenziali viene usata per automatizzare l'aggiunta di record DNS ogni volta che viene allocato un nuovo account di archiviazione per i dati di backup.
Se è stato configurato un server proxy DNS, usando firewall o server proxy di terze parti, i nomi di dominio precedenti devono essere consentiti e reindirizzati a un DNS personalizzato (con record DNS per i nomi di dominio completi precedenti) o a 168.63.129.16 nella rete virtuale di Azure con zone DNS private collegate.
L'esempio seguente illustra il firewall di Azure usato come proxy DNS per reindirizzare le query sui nomi di dominio per l'insieme di credenziali, i BLOB, le code e l'ID di Microsoft Entra a 168.63.129.16.
Per altre informazioni, vedere Creazione e uso di endpoint privati.
Configurazione della connettività di rete per l'insieme di credenziali con endpoint privati
L'endpoint privato per servizi di ripristino è associato a un'interfaccia di rete. Per il funzionamento delle connessioni all'endpoint privato, è necessario che tutto il traffico per il servizio di Azure venga reindirizzato all'interfaccia di rete. A tale scopo, aggiungere il mapping DNS per l'IP privato associato all'interfaccia di rete rispetto all'URL servizio/BLOB/coda.
Quando le estensioni di backup del carico di lavoro vengono installate nella macchina virtuale registrata in un insieme di credenziali di Servizi di ripristino con un endpoint privato, l'estensione tenta di stabilire una connessione nell'URL privato dei servizi di Backup di Azure <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
. Se l'URL privato non risolve il problema, prova l'URL pubblico <azure_backup_svc>.<geo>.backup.windowsazure.com
.
Nota
Nel testo precedente, <geo>
fa riferimento al codice della regione (ad esempio, eus e ne rispettivamente per Stati Uniti orientali ed Europa settentrionale). Per i codici delle aree, vedere gli elenchi seguenti:
Questi URL privati sono specifici per l'insieme di credenziali. Solo le estensioni e gli agenti registrati nell'insieme di credenziali possono comunicare con Backup di Azure tramite questi endpoint. Se l'accesso alla rete pubblica per l'insieme di credenziali di Servizi di ripristino è configurato per Nega, questo impedisce ai client in esecuzione nella rete virtuale di richiedere il backup e il ripristino nell'insieme di credenziali. È consigliabile impostare l'accesso alla rete pubblica su Nega, insieme alla configurazione dell'endpoint privato. Quando l'estensione e l'agente tentano inizialmente l'URL privato, la risoluzione DNS *.privatelink.<geo>.backup.windowsazure.com
dell'URL deve restituire l'IP privato corrispondente associato all'endpoint privato.
Le soluzioni per la risoluzione DNS sono:
- Zone di DNS privato di Azure
- DNS personalizzato
- Voci DNS nei file host
- Server d'inoltro condizionale alle zone DNS di Azure/DNS privato di Azure.
Quando l'endpoint privato per gli insiemi di credenziali di Servizi di ripristino viene creato tramite il portale di Azure con l'opzione integrazione con la zona DNS privata, le voci DNS necessarie per gli indirizzi IP privati per i servizi di Backup di Azure (*.privatelink.<geo>backup.windowsazure.com
) vengono create automaticamente ogni volta che la risorsa viene allocata. In altre soluzioni è necessario creare manualmente le voci DNS per questi FQDN nel DNS personalizzato o nei file host.
Per la gestione manuale dei record DNS dopo l'individuazione della macchina virtuale per il canale di comunicazione - BLOB/coda, vedere record DNS per BLOB e code (solo per i server DNS/file host personalizzati) dopo la prima registrazione. Per la gestione manuale dei record DNS dopo il primo backup per il BLOB dell'account di archiviazione di backup, vedere record DNS per i BLOB (solo per i server DNS/file host personalizzati) dopo il primo backup.
Gli indirizzi IP privati per i nomi di dominio completi sono disponibili nel pannello endpoint privato per l'endpoint privato creato per l'insieme di credenziali di Servizi di ripristino.
Il diagramma seguente mostra come funziona la risoluzione quando si usa una zona DNS privata per risolvere questi FQDN del servizio privato.
L'estensione del carico di lavoro in esecuzione nella macchina virtuale di Azure richiede la connessione ad almeno due account di archiviazione: la prima viene usata come canale di comunicazione (tramite messaggi di coda) e la seconda per l'archiviazione dei dati di backup. L'agente MARS richiede l'accesso a un account di archiviazione usato per l'archiviazione dei dati di backup.
Per un insieme di credenziali abilitato per l'endpoint privato, il servizio Backup di Azure crea un endpoint privato per questi account di archiviazione. Ciò impedisce a qualsiasi traffico di rete correlato a Backup di Azure (il traffico del piano di controllo verso il servizio e il backup dei dati nel BLOB di archiviazione) di uscire dalla rete virtuale. Oltre ai servizi cloud di Backup di Azure, l'estensione del carico di lavoro e l'agente richiedono la connettività agli account di archiviazione di Azure e Microsoft Entra ID.
Come prerequisito, l'insieme di credenziali di Servizi di ripristino richiede autorizzazioni per la creazione di endpoint privati aggiuntivi nello stesso gruppo di risorse. È anche consigliabile fornire all'insieme di credenziali dei Servizi di ripristino le autorizzazioni per creare voci DNS nelle zone DNS private (privatelink.blob.core.windows.net
, privatelink.queue.core.windows.net
). L'insieme di credenziali dei Servizi di ripristino cerca le zone DNS private nei gruppi di risorse in cui vengono creati la rete virtuale e l'endpoint privato. Se dispone delle autorizzazioni per aggiungere voci DNS in queste zone, verranno create dall'insieme di credenziali. In caso contrario, è necessario crearle manualmente.
Nota
L'integrazione con la zona DNS privata presente in sottoscrizioni diverse non è supportata in questa esperienza.
Il diagramma seguente illustra come funziona la risoluzione dei nomi per gli account di archiviazione usando una zona DNS privata.