Ескерім
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Azure Backup позволяет безопасно создавать резервные копии и восстанавливать данные из хранилищ служб восстановления с помощью частных конечных точек. Частные конечные точки используют один или несколько частных IP-адресов из виртуальной сети Azure (VNet), эффективно передавая службу в VNet.
Вы ознакомитесь с основными принципами работы частных конечных точек для Azure Backup и сценариев, в которых использование частных конечных точек помогает обеспечить безопасность ресурсов.
Примечание.
Azure Backup теперь предоставляет новый интерфейс для создания частных конечных точек. Подробнее.
Перед началом работы
- Частные конечные точки можно создавать только для новых хранилищ служб восстановления (у которых нет элементов, зарегистрированных в хранилище). Необходимо сначала создать частные конечные точки, прежде чем пытаться защитить какие-либо элементы в хранилище. Однако частные конечные точки в настоящее время не поддерживаются для хранилищ резервных копий.
- CMK с хранилищем ключей, доступ к которому ограничен сетью, не поддерживается в сочетании с хранилищем, в котором включена частная конечная точка.
- Одна виртуальная сеть может содержать частные конечные точки для нескольких хранилищ служб восстановления. Кроме того, одно хранилище служб восстановления может иметь частные конечные точки в нескольких виртуальных сетях. Однако, максимальное количество частных конечных точек, которые можно создать для одного хранилища, составляет 12.
- Если для хранилища установлено значение "Разрешить доступ к общедоступной сети", хранилище разрешает резервное копирование и восстановление с любого компьютера, зарегистрированного в хранилище. Если для хранилища установлено значение "Запретить доступ к общедоступной сети", хранилище разрешает резервное копирование и восстановление только с компьютеров, зарегистрированных в хранилище, запрашивающих резервное копирование и восстановление через частные IP-адреса, выделенные для хранилища.
- Для подключения к частной конечной точке для резервного копирования используется всего 11 частных IP-адресов в подсети, включая те, которые используются Azure Backup для хранения. Для некоторых регионов Azure это число может быть выше. Рекомендуется использовать достаточно частных IP-адресов (/25) при попытке создания частных конечных точек для резервного копирования.
- Хотя хранилище служб восстановления используется службами Azure Backup и Azure Site Recovery, в этой статье рассматривается использование частных конечных точек только для Azure Backup.
- Частные конечные точки для резервного копирования не включают доступ к идентификатору Microsoft Entra ID, и то же самое необходимо обеспечить отдельно. Таким образом, IP-адреса и полные доменные имена, необходимые для работы идентификатора Microsoft Entra в регионе, потребуют исходящего доступа из защищенной сети при резервном копировании баз данных на виртуальных машинах Azure и резервном копировании с помощью агента MARS. Вы также можете использовать теги NSG и теги Брандмауэр Azure для предоставления доступа к идентификатору Microsoft Entra, как применимо.
- Если вы зарегистрировали поставщика ресурсов для служб восстановления до 1 мая 2020 года, его необходимо повторно зарегистрировать в подписке. Чтобы повторно зарегистрировать этого поставщика, откройте подписку на портале Azure, перейдите к поставщику ресурсов на левой панели навигации, а затем выберите Microsoft.RecoveryServices и щелкните Повторная регистрация.
- Если в хранилище включены частные конечные точки, восстановление между различными регионами для резервных копий баз данных SQL и SAP HANA не поддерживается.
- При перемещении хранилища служб восстановления, которое уже использует частные конечные точки, к новому клиенту, хранилище необходимо обновить: заново создать и перенастроить управляемую идентификацию хранилища и, при необходимости, создать новые частные конечные точки (которые должны находиться в новом клиенте). В противном случае операции резервного копирования и восстановления будут завершаться сбоем. Кроме того, придется перенастроить все разрешения на управление доступом на основе ролей в Azure (Azure RBAC), настроенные в данной подписке.
Рекомендуемые и поддерживаемые сценарии
Когда для хранилища включены частные конечные точки, они используются только для резервного копирования и восстановления рабочих нагрузок SQL Server и SAP HANA в виртуальной машине Azure, а также для резервного копирования с помощью агента MARS и DPM. Кроме того, хранилище можно использовать для резервного копирования других рабочих нагрузок (но для них не требуются частные конечные точки). Помимо резервного копирования рабочих нагрузок SQL Server и SAP HANA и резервного копирования с помощью агента MARS, частные конечные точки используются также для восстановления файлов из резервных копий виртуальных машин Azure. Дополнительные сведения приведены в таблице ниже.
| Сценарии | Рекомендации |
|---|---|
| Резервное копирование рабочих нагрузок на виртуальных машинах Azure (SQL, SAP HANA), резервное копирование с помощью агента MARS и сервера DPM. | Использование частных конечных точек рекомендуется для обеспечения резервного копирования и восстановления без добавления в список разрешений всех IP-адресов и полных доменных имен для Azure Backup или службы хранилища Azure из виртуальных сетей. В этом сценарии убедитесь, что виртуальные машины, на которых размещаются базы данных SQL, имеют доступ к IP-адресам или полным доменным именам Microsoft Entra. |
| Резервное копирование виртуальных машин Azure | При резервном копировании виртуальной машины не требуется предоставлять доступ к IP-адресам и полному доменному имени. Поэтому частные конечные точки не требуются для резервного копирования и восстановления дисков. Однако восстановление файлов из хранилища, содержащего частные конечные точки, ограничено виртуальными сетями, содержащими частную конечную точку для хранилища. При использовании неуправляемых дисков с настроенным списком управления доступом убедитесь, что учетная запись хранения, содержащая эти диски, разрешает доступ к доверенным службам Microsoft, если для нее настроен список управления доступом. |
| Резервное копирование Файлов Azure | Резервные копии Файлов Azure хранятся в локальной учетной записи хранения. Поэтому для резервного копирования и восстановления не требуются частные конечные точки. |
| Изменен VNet для частной конечной точки в хранилище и виртуальной машине | Остановите защиту резервных копий и настройте защиту резервных копий в новом хранилище с включенными частными конечными точками. |
Примечание.
Частные конечные точки поддерживаются только с сервером DPM 2022, MABS версии 4 и более поздними версиями.
Различие в сетевых подключениях из-за частных конечных точек
Как упоминалось ранее, частные конечные точки особенно удобны для резервного копирования рабочих нагрузок (SQL, SAP HANA) на виртуальных машинах Azure и создания резервных копий агентов MARS.
Во всех сценариях (с частными конечными точками или без них) как расширения рабочей нагрузки (для резервного копирования экземпляров SQL и SAP HANA, работающих на виртуальных машинах Azure), так и агент MARS выполняют вызовы подключения к Microsoft Entra ID (к FQDN, упомянутым в разделах 56 и 59 в Microsoft 365 Common и Office Online).
Помимо этих подключений, при установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления без частных конечных точек также требуется подключение к следующим доменам:
| Услуга | Доменные имена | Порт |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59. |
443 Если применимо |
При установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления с частной конечной точкой обращаются к следующим конечным точкам:
| Услуга | Доменное имя | Порт |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59. |
443 Если применимо |
Примечание.
В приведенном выше тексте <geo> означает код региона (например, eus для восточной части США и ne для Северной Европы). Коды регионов см. в следующих списках:
Чтобы агент MARS автоматически обновлялся, разрешите доступ к download.microsoft.com/download/MARSagent/*.
Для хранилища служб восстановления с настройкой частной конечной точки разрешение имен для полных доменных имен (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) должно возвращать частный IP-адрес. Это можно сделать с помощью:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные пересылки в зоны Azure DNS или приватные зоны Azure DNS.
Частные конечные точки для BLOB-объектов и очередей поддерживают стандартный шаблон именования, то есть их имя начинается со строки <имя закрытой конечной точки>_ecs или <имя закрытой конечной точки>_prot и завершается суффиксом _blob или _queue, соответственно.
Примечание.
Мы рекомендуем использовать зоны Azure Private DNS, что позволяет управлять записями DNS для блобов и очередей с помощью Azure Backup. Управляемое удостоверение, назначенное хранилищу, используется для автоматизации добавления записи DNS при каждом выделении новой учетной записи хранения для данных резервного копирования.
Если вы настроили DNS-прокси-сервер, используя сторонние прокси-серверы или брандмауэры, указанные выше доменные имена должны быть разрешены и перенаправлены на пользовательский DNS (который содержит записи DNS для указанных выше полных доменных имен) или до 168.63.129.16 в виртуальной сети Azure, которая имеет частные зоны DNS, связанные с ним.
В следующем примере показан брандмауэр Azure, используемый в качестве DNS-прокси для перенаправления запросов доменных имен для хранилища служб восстановления, объектов Blob, очередей и идентификатора Microsoft Entra на 168.63.129.16.
Дополнительные сведения см. в статье Создание и использование частных конечных точек.
Настройка сетевого подключения для хранилища с частными конечными точками
Частная конечная точка для служб восстановления связана с сетевым интерфейсом (сетевым адаптером). Для работы подключений к частной конечной точке необходимо, чтобы весь трафик службы Azure перенаправлялся в сетевой интерфейс. Это достигается путем добавления сопоставления DNS для частного IP-адреса, связанного с сетевым интерфейсом, с URL-адресом service/blob/queue.
Если расширения резервного копирования рабочей нагрузки устанавливаются на виртуальной машине, зарегистрированной в хранилище служб восстановления с частной конечной точкой, расширение пытается подключиться к частному URL-адресу служб <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup. Если частный URL-адрес не устраняет проблему, он пытается использовать общедоступный URL-адрес <azure_backup_svc>.<geo>.backup.windowsazure.com.
Примечание.
В приведенном выше тексте <geo> означает код региона (например, eus для восточной части США и ne для Северной Европы). Коды регионов см. в следующих списках:
Эти приватные URL-адреса специфичны для хранилища. Только расширения и агенты, зарегистрированные в хранилище, могут взаимодействовать с Azure Backup по этим конечным точкам. Если для хранилища служб восстановления настроен запретить доступ к общедоступной сети, это ограничивает клиентов, которые не работают в виртуальной сети, от запроса резервного копирования и восстановления в хранилище. Рекомендуется задать для общедоступного сетевого доступа значение "Запретить" вместе с настройкой частной конечной точки. По мере того как расширение и агент впервые обращаются к частному URL-адресу, DNS-разрешение для URL-адреса должно вернуть соответствующий частный IP-адрес, связанный с частной конечной точкой *.privatelink.<geo>.backup.windowsazure.com.
Решения для разрешения DNS:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные перенаправления в зоны Azure DNS и Azure Private DNS.
При создании частной конечной точки для хранилищ служб восстановления с помощью портала Azure с параметром Интеграция с частной зоной DNS, необходимые записи DNS для частных IP-адресов для служб Azure Backup (*.privatelink.<geo>backup.windowsazure.com) создаются автоматически при каждом выделении ресурса. В других решениях необходимо вручную создать записи DNS для этих полных доменных имен в пользовательских DNS-файлах или в файлах узлов.
Смотрите раздел Записи DNS для объектов BLOB и очередей (только для пользовательских DNS-серверов и файлов узлов) после первой регистрации для вручного управления записями DNS после обнаружения виртуальной машины для канала связи. Сведения о ручном управлении записями DNS после первого резервного копирования учетной записи хранилища BLOB см. в разделе Записи DNS для BLOB-объектов (только для пользовательских DNS-серверов и файлов узлов) после первого резервного копирования.
Частные IP-адреса для полных доменных имен можно найти на вкладке частной конечной точки, созданной для хранилища Служб восстановления.
На следующей схеме показано, как решение работает при использовании частной зоны DNS для разрешения этих полных доменных имен частной службы.
Расширение рабочей нагрузки, работающее на виртуальной машине Azure, требует подключения по крайней мере к двум учетным записям хранения. Первый используется в качестве канала связи (через сообщения очереди) и второго для хранения данных резервного копирования. Агенту MARS требуется доступ к одной учетной записи хранения, используемой для хранения данных резервных копий.
Для хранилища с поддержкой частной конечной точки служба Azure Backup создает частную конечную точку для соответствующих учетных записей хранения. Это предотвращает выход любого сетевого трафика, связанного с Azure Backup (трафик плоскости управления к службе и резервные копии данных в хранилище блобов), за пределы виртуальной сети. Помимо облачных служб Azure Backup, расширение рабочей нагрузки и агент требуют подключения к учетным записям хранилища Azure и идентификатору Microsoft Entra ID.
В качестве предварительного требования хранилище Служб восстановления требует наличия разрешений на создание дополнительных частных конечных точек в той же группе ресурсов. Мы также рекомендуем предоставить разрешения хранилищу служб восстановления на создание записей DNS в частных зонах DNS (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Хранилище служб восстановления ищет частные зоны DNS в группах ресурсов, где создаются виртуальная сеть и частная конечная точка. Если у системы есть разрешения на добавление записей DNS в этих зонах, они будут созданы хранилищем; иначе их необходимо создать вручную.
Примечание.
Интеграция с частной DNS-зоной, находящейся в разных подписках, не поддерживается в данной системе.
На следующей схеме показано, как работает разрешение имен для учетных записей хранения при использовании частной зоны DNS.
