Обзор и основные понятия частных конечных точек (версия 1) для Azure Backup
Azure Backup позволяет безопасно создавать резервные копии и восстанавливать данные из хранилищ служб восстановления с помощью частных конечных точек. Частные конечные точки используют один или несколько частных IP-адресов из виртуальной сети Azure (VNet), эффективно передавая службу в VNet.
Вы ознакомитесь с основными принципами работы частных конечных точек для Azure Backup и сценариев, в которых использование частных конечных точек помогает обеспечить безопасность ресурсов.
Примечание.
Azure Backup теперь предоставляет новый интерфейс для создания частных конечных точек. Подробнее.
Перед началом работы
- Частные конечные точки можно создавать только для новых хранилищ служб восстановления (у которых нет элементов, зарегистрированных в хранилище). Поэтому необходимо создать частные конечные точки, прежде чем пытаться защитить элементы в хранилище. Однако частные конечные точки в настоящее время не поддерживаются для хранилищ резервных копий.
- Одна виртуальная сеть может содержать частные конечные точки для нескольких хранилищ служб восстановления. Кроме того, одно хранилище служб восстановления может иметь частные конечные точки в нескольких виртуальных сетях. Тем не менее для одного хранилища можно создать не более 12 частных конечных точек.
- Если для хранилища установлено значение "Разрешить доступ к общедоступной сети", хранилище разрешает резервное копирование и восстановление с любого компьютера, зарегистрированного в хранилище. Если для хранилища установлено значение "Запретить доступ к общедоступной сети", хранилище разрешает резервное копирование и восстановление только с компьютеров, зарегистрированных в хранилище, запрашивающих резервное копирование и восстановление через частные IP-адреса, выделенные для хранилища.
- Для подключения к частной конечной точке для резервного копирования используется всего 11 частных IP-адресов в подсети, включая те, которые используются Azure Backup для хранения. Для некоторых регионов Azure это число может быть выше. Мы рекомендуем использовать достаточное количество частных IP-адресов (сеть /26) при создании частных конечных точек для Azure Backup.
- Хотя хранилище служб восстановления используется службами Azure Backup и Azure Site Recovery, в этой статье рассматривается использование частных конечных точек только для Azure Backup.
- Частные конечные точки для резервного копирования не включают доступ к идентификатору Microsoft Entra ID, и то же самое необходимо обеспечить отдельно. Таким образом, IP-адреса и полные доменные имена, необходимые для работы идентификатора Microsoft Entra в регионе, потребуют исходящего доступа из защищенной сети при резервном копировании баз данных на виртуальных машинах Azure и резервном копировании с помощью агента MARS. Вы также можете использовать теги NSG и теги Брандмауэр Azure для предоставления доступа к идентификатору Microsoft Entra, как применимо.
- Если вы зарегистрировали поставщика ресурсов для служб восстановления до 1 мая 2020 года, его необходимо повторно зарегистрировать в подписке. Чтобы повторно зарегистрировать этого поставщика, откройте подписку на портале Azure, перейдите к поставщику ресурсов на левой панели навигации, а затем выберите Microsoft.RecoveryServices и щелкните Повторная регистрация.
- Если в хранилище включены частные конечные точки, восстановление между регионами для резервных копий баз данных SQL и SAP HANA не поддерживается.
- Если хранилище служб восстановления уже использует частные конечные точки для нового клиента, при перемещении такое хранилище необходимо обновить, чтобы повторно создать и перенастроить управляемое удостоверение хранилища, а также создать новые частные конечные точки (которые должны находиться в новом клиенте). В противном случае операции резервного копирования и восстановления будут завершаться сбоем. Кроме того, придется перенастроить все разрешения на управление доступом на основе ролей в Azure (Azure RBAC), настроенные в данной подписке.
Рекомендуемые и поддерживаемые сценарии
После включения частные конечные точки хранилища используются только для резервного копирования и восстановления рабочих нагрузок SQL Server и SAP HANA в виртуальной машине Azure, а также для резервного копирования с помощью агента MARS и DPM. Кроме того, хранилище можно использовать для резервного копирования других рабочих нагрузок (но для них не требуются частные конечные точки). Помимо резервного копирования рабочих нагрузок SQL Server и SAP HANA и резервного копирования с помощью агента MARS, частные конечные точки используются также для восстановления файлов из резервных копий виртуальных машин Azure. Дополнительные сведения приведены в таблице ниже.
Сценарии | Рекомендации |
---|---|
Резервное копирование рабочих нагрузок на виртуальных машинах Azure (SQL, SAP HANA), резервное копирование с помощью агента MARS и сервера DPM. | Использование частных конечных точек рекомендуется для обеспечения резервного копирования и восстановления без добавления в список разрешений всех IP-адресов и полных доменных имен для Azure Backup или службы хранилища Azure из виртуальных сетей. В этом сценарии убедитесь, что виртуальные машины, на которых размещаются базы данных SQL, могут достигать IP-адресов Microsoft Entra или полных доменных имен. |
Резервное копирование виртуальных машин Azure | При резервном копировании виртуальной машины не требуется предоставлять доступ к IP-адресам и полному доменному имени. Поэтому частные конечные точки не требуются для резервного копирования и восстановления дисков. Однако восстановление файлов из хранилища, содержащего частные конечные точки, ограничено виртуальными сетями, содержащими частную конечную точку для хранилища. При использовании неуправляемых дисков с настроенным списком управления доступом следите за тем, чтобы учетная запись хранения, содержащая эти диски, не запрещала доступ к доверенным службам Майкрософт. |
Резервное копирование Файлов Azure | Резервные копии Файлов Azure хранятся в локальной учетной записи хранения. Поэтому для резервного копирования и восстановления не требуются частные конечные точки. |
Измененная виртуальная сеть для частной конечной точки в хранилище и виртуальной машине | Остановите защиту резервных копий и настройте защиту резервных копий в новом хранилище с включенными частными конечными точками. |
Примечание.
Частные конечные точки поддерживаются только с сервером DPM 2022, MABS версии 4 и более поздними версиями.
Различие в сетевых подключениях из-за частных конечных точек
Как упоминалось ранее, частные конечные точки особенно удобны для резервного копирования рабочих нагрузок (SQL, SAP HANA) на виртуальных машинах Azure и создания резервных копий агентов MARS.
Во всех сценариях (с частными конечными точками или без нее) расширения рабочей нагрузки (для резервного копирования экземпляров SQL и SAP HANA, работающих на виртуальных машинах Azure) и агента MARS выполняют вызовы подключения к идентификатору Microsoft Entra (к FQDN, упомянутым в разделах 56 и 59 в Microsoft 365 Common и Office Online).
Помимо этих подключений при установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления без частных конечных точек, также требуется подключение к следующим доменам:
Service | Доменные имена | Порт |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59. |
443 Если применимо |
При установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления с частной конечной точкой устанавливается подключение к следующим конечным точкам:
Service | Доменное имя | Порт |
---|---|---|
Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59. |
443 Если применимо |
Примечание.
В приведенном выше тексте <geo>
означает код региона (например, eus для восточной части США и ne для Северной Европы). Коды регионов см. в следующих списках:
Для хранилища служб восстановления с настройкой частной конечной точки разрешение имен для полных доменных имен (privatelink.<geo>.backup.windowsazure.com
, *.blob.core.windows.net
, , *.queue.core.windows.net
) *.blob.storage.azure.net
должно возвращать частный IP-адрес. Это можно сделать с помощью:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные пересылки в зоны Azure DNS или Azure Частная зона DNS.
Частные конечные точки для BLOB-объектов и очередей поддерживают стандартный шаблон именования, то есть их имя начинается со строки <имя закрытой конечной точки>_ecs или <имя закрытой конечной точки>_prot и завершается суффиксом _blob или _queue, соответственно.
Примечание.
Мы рекомендуем использовать зоны Azure Частная зона DNS, что позволяет управлять записями DNS для больших двоичных объектов и очередей с помощью Azure Backup. Управляемое удостоверение, назначенное хранилищу, используется для автоматизации добавления записи DNS при каждом выделении новой учетной записи хранения для данных резервного копирования.
Если вы настроили DNS-прокси-сервер, используя сторонние прокси-серверы или брандмауэры, указанные выше доменные имена должны быть разрешены и перенаправлены на пользовательский DNS (который содержит записи DNS для указанных выше полных доменных имен) или до 168.63.129.16 в виртуальной сети Azure, которая имеет частные зоны DNS, связанные с ним.
В следующем примере показан брандмауэр Azure, используемый в качестве DNS-прокси для перенаправления запросов доменных имен для хранилища служб восстановления, BLOB-объектов, очередей и идентификатора Microsoft Entra на 168.63.129.16.
Дополнительные сведения см. в статье Создание и использование частных конечных точек.
Настройка сетевого подключения для хранилища с частными конечными точками
Частная конечная точка для служб восстановления связана с сетевым интерфейсом (сетевым адаптером). Для работы подключений к частной конечной точке необходимо, чтобы весь трафик службы Azure перенаправлялся в сетевой интерфейс. Это достигается путем добавления сопоставления DNS для частного IP-адреса, связанного с сетевым интерфейсом, с URL-адресом службы, большого двоичного объекта или очереди .
Если расширения резервного копирования рабочей нагрузки устанавливаются на виртуальной машине, зарегистрированной в хранилище служб восстановления с частной конечной точкой, расширение пытается подключиться к частному URL-адресу служб <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
Azure Backup. Если частный URL-адрес не устраняет проблему, он пытается использовать общедоступный URL-адрес <azure_backup_svc>.<geo>.backup.windowsazure.com
.
Примечание.
В приведенном выше тексте <geo>
означает код региона (например, eus для восточной части США и ne для Северной Европы). Коды регионов см. в следующих списках:
Эти частные URL-адреса относятся к хранилищу. Только расширения и агенты, зарегистрированные в хранилище, могут взаимодействовать с Azure Backup по этим конечным точкам. Если для хранилища служб восстановления настроен доступ к общедоступной сети, это ограничивает клиенты, которые не работают в виртуальной сети, запрашивая резервное копирование и восстановление в хранилище. Рекомендуется задать для общедоступного сетевого доступа значение "Запретить" вместе с настройкой частной конечной точки. По мере того как расширение и агент изначально пытаются получить частный URL-адрес, разрешение DNS URL-адреса должно возвращать соответствующий частный IP-адрес, *.privatelink.<geo>.backup.windowsazure.com
связанный с частной конечной точкой.
Решения для разрешения DNS:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные перенаправления в зоны Azure DNS или Azure Частная зона DNS.
При создании частной конечной точки для хранилищ служб восстановления с помощью портала Azure с параметром Интеграция с частной зоной DNS, необходимые записи DNS для частных IP-адресов для служб Azure Backup (*.privatelink.<geo>backup.windowsazure.com
) создаются автоматически при каждом выделении ресурса. В других решениях необходимо вручную создать записи DNS для этих полных доменных имен в пользовательских DNS-файлах или в файлах узлов.
Сведения об управлении записями DNS вручную после обнаружения виртуальной машины для канала связи (BLOB-объектов и очередей) см. в разделе Записи DNS для больших двоичных объектов и очередей (только для пользовательских DNS-серверов и файлов узлов) после первой регистрации. Сведения об управлении записями DNS вручную после первого резервного копирования для большого двоичного объекта учетной записи хранения резервных копий см. в разделе Записи DNS для больших двоичных объектов (только для пользовательских DNS-серверов и файлов узлов) после первого резервного копирования.
Частные IP-адреса для полных доменных имен можно найти в колонке частной конечной точки, созданной для хранилища Служб восстановления.
На следующей схеме показано, как решение работает при использовании частной зоны DNS для разрешения этих полных доменных имен частной службы.
Расширение рабочей нагрузки, работающее на виртуальной машине Azure, требует подключения по крайней мере к двум учетным записям хранения. Первый используется в качестве канала связи (через сообщения очереди) и второго для хранения данных резервного копирования. Агенту MARS требуется доступ к одной учетной записи хранения, используемой для хранения данных резервных копий.
Для хранилища с поддержкой частной конечной точки служба Azure Backup создает частную конечную точку для этих учетных записей хранения. Это предотвращает доступ к сетевому трафику, связанному с Azure Backup (трафик плоскости управления в службу и резервные копии данных в хранилище BLOB-объектов). Помимо облачных служб Azure Backup расширение рабочей нагрузки и агент требуют подключения к служба хранилища Azure учетным записям и идентификатору Microsoft Entra.
В качестве предварительного требования хранилище Служб восстановления требует наличия разрешений на создание дополнительных частных конечных точек в той же группе ресурсов. Мы также рекомендуем предоставить хранилище служб восстановления разрешения на создание записей DNS в частных зонах DNS (privatelink.blob.core.windows.net
, privatelink.queue.core.windows.net
). Хранилище служб восстановления ищет частные зоны DNS в группах ресурсов, где создается виртуальная сеть и частная конечная точка. Если у него есть разрешения на добавление записей DNS в этих зонах, они будут созданы хранилищем; в противном случае их необходимо создать вручную.
Примечание.
Интеграция с частной зоной DNS, присутствующих в разных подписках, не поддерживается в этом интерфейсе.
На следующей схеме показано, как работает разрешение имен для учетных записей хранения при использовании частной зоны DNS.