Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Azure Backup kunt u een back-up maken van uw gegevens uit uw Recovery Services-kluizen en deze herstellen met behulp van privé-eindpunten. Privé-eindpunten gebruiken een of meer privé-IP-adressen van uw virtuele Azure-netwerk om de service effectief in uw virtuele netwerk te plaatsen.
In dit artikel wordt uitgelegd hoe privé-eindpunten voor Azure Backup werken in de versie 1 van het maken van privé-eindpunten. Het biedt scenario's waarin het gebruik van privé-eindpunten helpt de beveiliging van uw resources te behouden.
Azure Backup biedt ook een versie 2-ervaring voor het maken en gebruiken van privé-eindpunten. Meer informatie.
Overwegingen voordat u begint
U kunt alleen privé-eindpunten maken voor nieuwe Recovery Services-kluizen, als er geen items zijn geregistreerd bij de kluis. U moet privé-eindpunten maken voordat u items in de kluis probeert te beveiligen. Privé-eindpunten worden momenteel echter niet ondersteund voor Backup-kluizen.
Klantenbeheerde sleutels (CMK's) met een netwerkbeperkte sleutelkluis worden niet ondersteund in combinatie met een kluis die is ingeschakeld voor privé-eindpunten.
Eén virtueel netwerk kan privé-eindpunten bevatten voor meerdere Recovery Services-kluizen. Bovendien kan één Recovery Services-kluis privé-eindpunten hebben in meerdere virtuele netwerken. U kunt maximaal 12 privé-eindpunten maken voor een kluis.
Als openbare netwerktoegang voor de kluis is ingesteld op Toestaan vanuit alle netwerken, staat de kluis back-ups en herstelbewerkingen toe vanaf elke computer die is geregistreerd bij de kluis. Als openbare netwerktoegang voor de kluis is ingesteld op Weigeren, staat de kluis alleen back-ups en herstelbewerkingen toe van de computers die zijn geregistreerd bij de kluis die back-ups/herstelbewerkingen aanvragen via privé-IP's die zijn toegewezen voor de kluis.
Een privé-eindpuntverbinding voor Azure Backup maakt gebruik van in totaal 11 privé-IP-adressen in uw subnet, inclusief de IP's die Door Azure Backup worden gebruikt voor opslag. Dit aantal kan hoger zijn voor bepaalde Azure-regio's. U wordt aangeraden voldoende privé-IP-adressen (/25) beschikbaar te maken wanneer u privé-eindpunten voor Azure Backup probeert te maken.
Hoewel zowel Azure Backup als Azure Site Recovery een Recovery Services-kluis gebruiken, wordt in dit artikel alleen het gebruik van privé-eindpunten voor Azure Backup besproken.
Privé-eindpunten voor Azure Backup bevatten geen toegang tot Microsoft Entra-id. U moet afzonderlijk toegang tot Microsoft Entra-id opgeven.
IP-adressen en FQDN's (Fully Qualified Domain Names) die vereist zijn om Microsoft Entra-id te laten werken in een regio, moeten uitgaande toegang vanaf het beveiligde netwerk worden toegestaan wanneer u het volgende uitvoert:
- Een back-up van databases in virtuele Azure-machines (VM's).
- Een back-up die gebruikmaakt van de MARS-agent (Microsoft Azure Recovery Services).
U kunt ook netwerkbeveiligingsgroeptags (NSG) en Azure Firewall-tags gebruiken voor toegang tot Microsoft Entra-id, indien van toepassing.
U moet de Recovery Services-resourceprovider opnieuw registreren bij het abonnement als u deze vóór 1 mei 2020 hebt geregistreerd. Als u de provider opnieuw wilt registreren, gaat u naar uw abonnement in Azure Portal, gaat u naar de resourceprovider in het linkermenu en selecteert u Vervolgens Microsoft.RecoveryServices>Opnieuw registreren.
Herstellen in een andere regio voor SQL Server- en SAP HANA-databaseback-ups wordt niet ondersteund als privé-eindpunten zijn ingeschakeld voor de backupkluis.
Wanneer u een Recovery Services-kluis verplaatst die al privé-eindpunten gebruikt naar een nieuwe tenant, moet u de Recovery Services-kluis bijwerken om de beheerde identiteit van de kluis opnieuw te maken en opnieuw te configureren. Maak indien nodig privé-eindpunten in de nieuwe tenant. Als u deze taken niet uitvoert, mislukken de back-up- en herstelbewerkingen. Bovendien moeten machtigingen voor op rollen gebaseerd toegangsbeheer (Azure RBAC) van Azure die zijn ingesteld binnen het abonnement, opnieuw worden geconfigureerd.
Aanbevolen en ondersteunde scenario's
Hoewel privé-eindpunten zijn ingeschakeld voor de kluis, worden ze uitsluitend gebruikt voor de back-up en het herstel van SQL Server- en SAP HANA-workloads in een Azure-VM, de back-up van de MARS-agent en het gebruik met System Center Data Protection Manager (DPM). U kunt de kluis ook gebruiken voor de backup van andere workloads, hoewel ze geen privé-eindpunten nodig hebben. Naast back-ups van SQL Server- en SAP HANA-workloads en back-ups via de MARS-agent worden privé-eindpunten gebruikt om bestandsherstel uit te voeren voor Azure VM-back-ups.
De volgende tabel geeft meer informatie:
| Scenario | Aanbevelingen |
|---|---|
| Back-up van workloads in een Azure-VM (SQL Server, SAP HANA), back-up via MARS-agent, DPM-server | U wordt aangeraden privé-eindpunten te gebruiken om back-ups en herstel toe te staan zonder dat u deze vanuit uw virtuele netwerken hoeft toe te voegen aan een acceptatielijst met IP's of FQDN's voor Azure Backup of Azure Storage. In dat scenario moet u ervoor zorgen dat VM's die SQL-databases hosten, Microsoft Entra-IP-adressen of FQDN's kunnen bereiken. |
| Back-up van Azure-VM | Voor een VM-back-up hoeft u geen toegang tot IP-adressen of FQDN's toe te staan. Er zijn dus geen privé-eindpunten vereist voor het maken van back-ups en het herstellen van schijven. Bestandsherstel vanuit een kluis die privé-eindpunten bevat, is echter beperkt tot virtuele netwerken die een privé-eindpunt voor de kluis bevatten. Wanneer u niet-beheerde schijven in een ACL (Access Control List) gebruikt, moet u ervoor zorgen dat het opslagaccount met de schijven toegang heeft tot vertrouwde Microsoft-services als deze zich in een ACL bevindt. |
| Back-up van Azure-bestanden | Een Back-up van Azure Files wordt opgeslagen in het lokale opslagaccount. Er zijn dus geen privé-eindpunten vereist voor back-up en herstel. |
| Het virtuele netwerk gewijzigd voor een privé-eindpunt in de kluis en de virtuele machine | Stop de back-upbeveiliging en configureer back-upbeveiliging in een nieuwe kluis waarvoor privé-eindpunten zijn ingeschakeld. |
Notitie
Privé-eindpunten worden alleen ondersteund met DPM 2022, Microsoft Azure Backup Server (MABS) v4 en hoger.
Niet-ondersteund scenario
Voor back-up- en herstelbewerkingen is een Recovery Services-kluis met een privé-eindpunt niet compatibel met een Azure-sleutelkluis met een privé-eindpunt om CMK's op te slaan in een Recovery Services-kluis.
Verschil in netwerkverbindingen voor privé-eindpunten
Zoals eerder vermeld, zijn privé-eindpunten met name handig voor back-ups van workloads (SQL Server en SAP HANA) in virtuele Azure-machines en back-ups van MARS-agents.
In alle scenario's (met of zonder privé-eindpunten) maken zowel de workloadextensies (voor back-ups van SQL Server- en SAP HANA-exemplaren die worden uitgevoerd binnen Azure-VM's) als de MARS-agent verbinding maakt met Microsoft Entra ID. Ze voeren de aanroepen uit naar FQDN's die worden vermeld in sectie 56 en 59 in Microsoft 365 Common en Office Online.
Naast deze verbindingen is connectiviteit met de volgende domeinen vereist wanneer de workloadextensie of MARS-agent is geïnstalleerd voor een Recovery Services-kluis zonder privé-eindpunten:
| Dienst | Domeinnamen | Porto |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure-opslag | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Toegang tot FQDN's toestaan onder de secties 56 en 59. |
443 Indien van toepassing |
Wanneer de workload-extensie of MARS-agent is geïnstalleerd voor een Recovery Services-kluis met een privé-eindpunt, worden de volgende eindpunten gebruikt:
| Dienst | Domeinnamen | Porto |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure-opslag | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Toegang tot FQDN's toestaan onder de secties 56 en 59. |
443 Indien van toepassing |
Notitie
In de voorgaande tekst <geo> verwijst u naar de regiocode (bijvoorbeeld eus voor VS - oost en ne Europa - noord). Zie de volgende lijst voor meer informatie over de regiocodes:
Als u de MARS-agent automatisch wilt bijwerken, geeft u toegang tot download.microsoft.com/download/MARSagent/*.
Voor een Recovery Services-kluis met een privé-eindpunt moet de naamresolutie voor de FQDN's (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) een privé-IP-adres retourneren. U kunt dit bereiken met behulp van:
- Privé-DNS-zones van Azure.
- Aangepaste DNS.
- DNS-vermeldingen in hostbestanden.
- Voorwaardelijke doorstuurservers naar Azure DNS- of Azure Privé-DNS-zones.
De privé-eindpunten voor blobs en wachtrijen volgen een standaardnaamgevingspatroon. Ze beginnen met <name of the private endpoint>_ecs of <name of the private endpoint>_prot, en ze worden gesuffixeerd met _blob en _queue (respectievelijk).
Notitie
U wordt aangeraden privé-DNS-zones van Azure te gebruiken. Hiermee kunt u de DNS-records voor blobs en wachtrijen beheren met behulp van Azure Backup. De beheerde identiteit die aan de kluis is toegewezen, wordt gebruikt om het toevoegen van DNS-records te automatiseren wanneer een nieuw opslagaccount wordt toegewezen voor back-upgegevens.
Als u een DNS-proxyserver hebt geconfigureerd met behulp van proxyservers of firewalls van derden, moeten de voorgaande domeinnamen worden toegestaan en omgeleid naar een van deze opties:
- Aangepaste DNS met DNS-records voor de voorgaande FQDN's
- 168.63.129.16 in het virtuele Azure-netwerk waaraan privé-DNS-zones zijn gekoppeld
In het volgende voorbeeld ziet u hoe Azure Firewall wordt gebruikt als een DNS-proxy om de domeinnaamquery's om te leiden voor een Recovery Services-kluis, blob, wachtrijen en Microsoft Entra-id naar 168.63.129.16.
Zie Privé-eindpunten maken en gebruiken voor meer informatie.
Installatie van netwerkconnectiviteit voor een kluis met privé-eindpunten
Het privé-eindpunt voor Recovery Services is gekoppeld aan een netwerkinterface (NIC). Privé-eindpuntverbindingen werken alleen als al het verkeer voor de Azure-service wordt omgeleid naar de netwerkinterface. U kunt deze omleiding bereiken door DNS-toewijzing toe te voegen voor private IP-adressen die zijn gekoppeld aan de netwerkinterface voor de service-, blob- of wachtrij-URL.
Wanneer back-upextensies voor workloads worden geïnstalleerd op de virtuele machine die is geregistreerd bij een Recovery Services-kluis met een privé-eindpunt, probeert de extensie een verbinding op de privé-URL van de Azure Backup-services: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com Als de privé-URL niet werkt, probeert de extensie de openbare URL: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Notitie
In de voorgaande tekst <geo> verwijst u naar de regiocode (bijvoorbeeld eus voor VS - oost en ne Europa - noord). Zie de volgende lijst voor meer informatie over de regiocodes:
Deze privé-URLs zijn specifiek voor de kluis. Alleen extensies en agents die zijn geregistreerd bij de Azure-kluis, kunnen via deze eindpunten communiceren met Azure Backup. Als de openbare netwerktoegang voor de Recovery Services-kluis is geconfigureerd als Weigeren, beperkt deze instelling clients die niet binnen het virtuele netwerk worden uitgevoerd in het aanvragen van back-up- en herstelbewerkingen op de kluis.
U wordt aangeraden de toegang tot het openbare netwerk in te stellen op Weigeren, samen met de instellingen voor privé-eindpunten. Als de extensie en agent de privé-URL in eerste instantie proberen te gebruiken, moet de *.privatelink.<geo>.backup.windowsazure.com DNS-omzetting van de URL het bijbehorende privé-IP-adres retourneren dat is gekoppeld aan het privé-eindpunt.
De oplossingen voor DNS-omzetting zijn:
- Privé-DNS-zones van Azure
- Aangepaste DNS
- DNS-vermeldingen in hostbestanden
- Voorwaardelijke doorstuurservers naar Azure DNS- of Privé-DNS-zones van Azure
Wanneer u het privé-eindpunt voor Recovery Services maakt via Azure Portal met de optie Integreren met privé-DNS-zone , worden de vereiste DNS-vermeldingen voor privé-IP-adressen voor Azure Backup-services (*.privatelink.<geo>backup.windowsazure.com) automatisch gemaakt wanneer de resource wordt toegewezen. In andere oplossingen moet u de DNS-vermeldingen handmatig maken voor deze FQDN's in de aangepaste DNS of in de hostbestanden.
Voor het handmatig beheer van DNS-records voor blobs en wachtrijen na de VM-detectie voor het communicatiekanaal, raadpleegt u DNS-records voor blobs en wachtrijen (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste registratie. Zie voor het handmatig beheer van DNS-records na de eerste back-up de sectie DNS-records voor blobs (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste back-up voor back-upopslagaccountblobs.
U kunt de privé-IP-adressen voor de FQDN's vinden in het deelvenster voor het door u gemaakte privé-eindpunt voor de Recovery Services-kluis.
In het volgende diagram ziet u hoe de resolutie werkt wanneer u een privé-DNS-zone gebruikt om deze private service-FQDN's op te lossen.
Voor de workloadextensie die wordt uitgevoerd op een Virtuele Azure-machine, is een verbinding met ten minste twee opslagaccounts vereist. De eerste wordt gebruikt als communicatiekanaal, via wachtrijberichten. De tweede is voor het opslaan van back-upgegevens. De MARS-agent vereist toegang tot één opslagaccount dat wordt gebruikt voor het opslaan van back-upgegevens.
Voor een privé-eindpuntkluis maakt de Azure Backup-service een privé-eindpunt voor deze opslagaccounts. Met deze actie voorkomt u dat netwerkverkeer met betrekking tot Azure Backup (besturingsvlakverkeer naar de service en back-upgegevens naar de opslagblob) het virtuele netwerk verlaat. Naast Azure Backup-cloudservices vereisen de workloadextensie en agent connectiviteit met Azure Storage-accounts en Microsoft Entra-id.
Als vereiste vereist de Recovery Services-kluis machtigingen voor het maken van extra privé-eindpunten in dezelfde resourcegroep. We raden ook aan om de Recovery Services vault de rechten te geven om DNS-records in de privé-DNS-zones (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net) te maken. De Recovery Services-kluis zoekt naar privé-DNS-zones in de resourcegroepen waarin het virtuele netwerk en het privé-eindpunt worden gemaakt. Als het de machtigingen heeft om DNS-vermeldingen toe te voegen in deze zones, maakt het deze vermeldingen aan. Anders moet u ze handmatig maken.
Notitie
Integratie met privé-DNS-zones in verschillende abonnementen wordt in deze ervaring niet ondersteund.
In het volgende diagram ziet u hoe de naamomzetting werkt voor opslagaccounts die gebruikmaken van een privé-DNS-zone.
