Overzicht en concepten van privé-eindpunten (v2-ervaring) voor Azure Backup
Met Azure Backup kunt u de back-up- en herstelbewerkingen van uw gegevens veilig uitvoeren vanuit de Recovery Services-kluizen met behulp van privé-eindpunten. Privé-eindpunten maken gebruik van een of meer privé-IP-adressen uit uw Azure Virtual Network (VNet), waardoor de service effectief in uw VNet wordt geplaatst.
Azure Backup biedt nu een verbeterde ervaring bij het maken en gebruiken van privé-eindpunten in vergelijking met de klassieke ervaring (v1).
In dit artikel wordt beschreven hoe de verbeterde mogelijkheden van privé-eindpunten voor de Azure Backup-functie worden gebruikt en hoe u back-ups kunt uitvoeren met behoud van de beveiliging van uw resources.
Belangrijke verbeteringen
- Privé-eindpunten maken zonder beheerde identiteiten.
- Er worden geen privé-eindpunten gemaakt voor de blob- en wachtrijservices.
- Gebruik van minder privé-IP-adressen.
Voordat u begint
Hoewel een Recovery Services-kluis wordt gebruikt door (beide) Azure Backup en Azure Site Recovery, wordt in dit artikel alleen het gebruik van privé-eindpunten voor Azure Backup besproken.
U kunt privé-eindpunten maken voor nieuwe Recovery Services-kluizen waarvoor geen items zijn geregistreerd/beveiligd voor de kluis, alleen. Privé-eindpunten worden momenteel echter niet ondersteund voor Backup-kluizen.
Notitie
U kunt geen privé-eindpunten maken met behulp van een statisch IP-adres.
U kunt geen upgrade uitvoeren van kluizen (die privé-eindpunten bevatten) die zijn gemaakt met behulp van de klassieke ervaring naar de nieuwe ervaring. U kunt alle bestaande privé-eindpunten verwijderen en vervolgens nieuwe privé-eindpunten maken met de v2-ervaring.
Eén virtueel netwerk kan privé-eindpunten bevatten voor meerdere Recovery Services-kluizen. Bovendien kan één Recovery Services-kluis privé-eindpunten hebben voor deze kluis in meerdere virtuele netwerken. U kunt echter maximaal 12 privé-eindpunten maken voor een kluis.
Een privé-eindpunt voor een kluis maakt gebruik van 10 privé-IP-adressen en het aantal kan na verloop van tijd toenemen. Zorg ervoor dat er voldoende IP-adressen beschikbaar zijn tijdens het maken van privé-eindpunten.
Privé-eindpunten voor Azure Backup bevatten geen toegang tot Microsoft Entra-id. Zorg ervoor dat u de toegang inschakelt, zodat IP's en FQDN's die vereist zijn voor Microsoft Entra-id in een regio, uitgaande toegang hebben in het beveiligde netwerk bij het uitvoeren van back-ups van databases in Azure-VM's en back-ups met behulp van de MARS-agent. U kunt ook NSG-tags en Azure Firewall-tags gebruiken voor toegang tot Microsoft Entra-id, indien van toepassing.
Als u deze hebt geregistreerd vóór 1 mei 2020, moet u de Recovery Services-resourceprovider opnieuw registreren bij het abonnement. Als u de provider opnieuw wilt registreren, gaat u naar uw abonnement in de Resourceprovider van de Azure-portal >en selecteert u Vervolgens Microsoft.RecoveryServices>Opnieuw registreren.
Herstel tussen regio's voor back-ups van SQL- en SAP HANA-databases wordt niet ondersteund als privé-eindpunten zijn ingeschakeld voor de kluis.
U kunt DNS maken tussen abonnementen.
Aanbevolen en ondersteunde scenario's
Hoewel privé-eindpunten zijn ingeschakeld voor de kluis, worden ze alleen gebruikt voor back-up en herstel van SQL- en SAP HANA-workloads in een Azure-VM, back-up van MARS-agent en alleen DPM. U kunt de kluis ook gebruiken voor back-ups van andere workloads (ze vereisen echter geen privé-eindpunten). Naast back-ups van SQL- en SAP HANA-workloads en back-ups met behulp van de MARS-agent, worden privé-eindpunten ook gebruikt om bestandsherstel uit te voeren voor Azure VM-back-ups.
De volgende tabel bevat de scenario's en aanbevelingen:
| Scenario | Aanbeveling |
|---|---|
| Back-up van workloads in Azure VM (SQL, SAP HANA), back-up met marsagent, DPM-server. | Het gebruik van privé-eindpunten wordt aanbevolen om back-ups en herstel toe te staan zonder dat u deze vanuit uw virtuele netwerken hoeft toe te voegen aan een acceptatielijst met IP's/FQDN's voor Azure Backup of Azure Storage. In dat scenario moet u ervoor zorgen dat VM's die SQL-databases hosten, Microsoft Entra-IP-adressen of FQDN's kunnen bereiken. |
| Azure VM Backup | Voor vm-back-ups hoeft u geen toegang tot IP-adressen of FQDN's toe te staan. Er zijn dus geen privé-eindpunten vereist voor het maken van back-ups en het herstellen van schijven. Bestandsherstel vanuit een kluis met privé-eindpunten is echter beperkt tot virtuele netwerken die een privé-eindpunt voor de kluis bevatten. Wanneer u niet-beheerde ACL's gebruikt, moet u ervoor zorgen dat het opslagaccount met de schijven toegang heeft tot vertrouwde Microsoft-services als deze ACL is. |
| Back-up van Azure Files | Back-ups van Azure Files worden opgeslagen in het lokale opslagaccount. Er zijn dus geen privé-eindpunten vereist voor back-up en herstel. |
Notitie
Privé-eindpunten worden alleen ondersteund met DPM-server 2022, MABS v4 en hoger.
Verschil in netwerkverbindingen voor privé-eindpunten
Zoals hierboven vermeld, zijn privé-eindpunten vooral handig voor back-ups van workloads (SQL, SAP HANA) in Azure-VM's en MARS-agentback-ups.
In alle scenario's (met of zonder privé-eindpunten) maken zowel de workloadextensies (voor back-ups van SQL- en SAP HANA-exemplaren die worden uitgevoerd in Virtuele Azure-machines) als de MARS-agent verbinding maakt met Microsoft Entra-id (naar FQDN's die worden vermeld in secties 56 en 59 in Microsoft 365 Common en Office Online).
Naast deze verbindingen is ook connectiviteit met de volgende domeinen vereist wanneer de workloadextensie of MARS-agent is geïnstalleerd voor Recovery Services-kluis zonder privé-eindpunten:
| Onderhoud | Domeinnaam | Poort |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Sta toegang tot FQDN's toe onder sectie 56 en 59 volgens dit artikel. |
443 Indien van toepassing |
Wanneer de workloadextensie of MARS-agent is geïnstalleerd voor Recovery Services-kluis met een privé-eindpunt, worden de volgende eindpunten gecommuniceerd:
| Onderhoud | Domeinnaam | Poort |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Sta toegang tot FQDN's toe onder sectie 56 en 59 volgens dit artikel. |
443 Indien van toepassing |
Notitie
In de bovenstaande tekst <geo> verwijst u naar de regiocode (bijvoorbeeld eus voor VS - oost en ne voor Europa - noord). Raadpleeg de volgende lijsten voor regiocodes:
Voor een Recovery Services-kluis met de installatie van een privé-eindpunt moet de naamomzetting voor de FQDN's (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) een privé-IP-adres retourneren. Dit kan worden bereikt met behulp van:
- Privé-DNS-zones van Azure
- Aangepaste DNS
- DNS-vermeldingen in hostbestanden
- Voorwaardelijke doorstuurservers naar Azure DNS-/Azure Privé-DNS-zones.
De privé-IP-toewijzingen voor het opslagaccount worden vermeld in het privé-eindpunt dat is gemaakt voor de Recovery Services-kluis. We raden u aan Azure Privé-DNS-zones te gebruiken, omdat de DNS-records voor blobs en wachtrijen vervolgens kunnen worden beheerd door Azure. Wanneer nieuwe opslagaccounts worden toegewezen voor de kluis, wordt de DNS-record voor hun privé-IP-adres automatisch toegevoegd in de blob of wachtrij van Azure Privé-DNS zones.
Als u een DNS-proxyserver hebt geconfigureerd met proxyservers of firewalls van derden, moeten de bovenstaande domeinnamen worden toegestaan en omgeleid naar een aangepaste DNS (met DNS-records voor de bovenstaande FQDN's) of naar 168.63.129.16 op het virtuele Azure-netwerk waaraan privé-DNS-zones zijn gekoppeld.
In het volgende voorbeeld ziet u hoe de Azure-firewall wordt gebruikt als DNS-proxy om de domeinnaamquery's om te leiden voor recovery Services-kluis, blob, wachtrijen en Microsoft Entra-id naar 168.63.129.16.
Zie Privé-eindpunten maken en gebruiken voor meer informatie.
Netwerkconnectiviteit voor kluis met privé-eindpunten
Het privé-eindpunt voor Recovery Services is gekoppeld aan een netwerkinterface (NIC). Privé-eindpuntverbindingen werken alleen als al het verkeer voor de Azure-service wordt omgeleid naar de netwerkinterface. U kunt dit bereiken door DNS-toewijzing toe te voegen voor privé-IP die is gekoppeld aan de netwerkinterface op basis van de URL van de service/blob/wachtrij.
Wanneer de back-upextensies van de workload zijn geïnstalleerd op de virtuele machine die is geregistreerd bij een Recovery Services-kluis met een privé-eindpunt, probeert de extensie verbinding te maken met de privé-URL van de Azure Backup-services <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Als de persoonlijke URL niet wordt omgezet, wordt de openbare URL <azure_backup_svc>.<geo>.backup.windowsazure.comgeprobeerd. Als de openbare netwerktoegang voor Recovery Services-kluis is geconfigureerd voor Toestaan vanuit alle netwerken, staat de Recovery Services-kluis de aanvragen toe die afkomstig zijn van de extensie via openbare URL's. Als de openbare netwerktoegang voor de Recovery Services-kluis is geconfigureerd voor Weigeren, weigert de Recovery Services-kluis de aanvragen die afkomstig zijn van de extensie via openbare URL's.
Notitie
In de bovenstaande domeinnamen <geo> bepaalt u de regiocode (bijvoorbeeld eus voor VS - oost en ne voor Europa - noord). Zie de volgende lijst voor meer informatie over de regiocodes:
Deze privé-URL's zijn specifiek voor de kluis. Alleen extensies en agents die zijn geregistreerd bij de kluis kunnen communiceren met de Azure Backup-service via deze eindpunten. Als de openbare netwerktoegang voor de Recovery Services-kluis is geconfigureerd voor Weigeren, worden de clients die niet worden uitgevoerd in het VNet beperkt tot het aanvragen van de back-up- en herstelbewerkingen in de kluis. We raden u aan om openbare netwerktoegang in te stellen op Weigeren , samen met het instellen van privé-eindpunten. Als de extensie en agent eerst de privé-URL proberen, moet de *.privatelink.<geo>.backup.windowsazure.com DNS-omzetting van de URL het bijbehorende privé-IP-adres retourneren dat is gekoppeld aan het privé-eindpunt.
Er zijn meerdere oplossingen voor DNS-omzetting:
- Privé-DNS-zones van Azure
- Aangepaste DNS
- DNS-vermeldingen in hostbestanden
- Voorwaardelijke doorstuurservers naar Azure DNS-/Azure Privé-DNS-zones.
Wanneer het privé-eindpunt voor Recovery Services-kluizen wordt gemaakt via Azure Portal met de optie Integreren met privé-DNS-zone , worden de vereiste DNS-vermeldingen voor privé-IP-adressen voor de Azure Backup-services (*.privatelink.<geo>backup.windowsazure.com) automatisch gemaakt wanneer de resource wordt toegewezen. In andere oplossingen moet u de DNS-vermeldingen handmatig maken voor deze FQDN's in de aangepaste DNS of in de hostbestanden.
Zie DNS-records voor blobs en wachtrijen (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste registratie voor het handmatig beheer van DNS-records na de VM-detectie voor communicatiekanaal - blob of wachtrij. Zie DNS-records voor blobs (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste back-up voor de blob van het back-upaccount voor handmatig beheer van DNS-records.
De privé-IP-adressen voor de FQDN's vindt u in het deelvenster DNS-configuratie voor het privé-eindpunt dat is gemaakt voor de Recovery Services-kluis.
In het volgende diagram ziet u hoe de resolutie werkt wanneer u een privé-DNS-zone gebruikt om deze FQDN's voor privéservices om te zetten.
Voor de workloadextensie die wordt uitgevoerd op azure-VM, is verbinding met ten minste twee eindpunten voor opslagaccounts vereist. De eerste wordt gebruikt als communicatiekanaal (via wachtrijberichten) en een tweede voor het opslaan van back-upgegevens. De MARS-agent vereist toegang tot ten minste één eindpunt van het opslagaccount dat wordt gebruikt voor het opslaan van back-upgegevens.
Voor een kluis met een privé-eindpunt maakt de Azure Backup-service een privé-eindpunt voor deze opslagaccounts. Hiermee voorkomt u dat netwerkverkeer met betrekking tot Azure Backup (besturingsvlakverkeer naar service- en back-upgegevens naar opslagblob) het virtuele netwerk verlaat. Naast de Azure Backup-cloudservices moeten de workloadextensie en agent verbinding hebben met de Azure Storage-accounts en De Microsoft Entra-id.
In het volgende diagram ziet u hoe de naamomzetting werkt voor opslagaccounts met behulp van een privé-DNS-zone.
Volgende stappen
- Meer informatie over het configureren en beheren van privé-eindpunten voor Azure Backup.