Overzicht en concepten van privé-eindpunten (v1-ervaring) voor Azure Backup
met Azure Backup kunt u veilig back-ups maken van uw gegevens en deze herstellen vanuit uw Recovery Services-kluizen met behulp van privé-eindpunten. Privé-eindpunten maken gebruik van een of meer privé-IP-adressen van uw Azure Virtual Network (VNet), waardoor de service effectief in uw VNet wordt geplaatst.
Dit artikel helpt u inzicht te krijgen in hoe privé-eindpunten voor Azure Backup werken en de scenario's waarin het gebruik van privé-eindpunten helpt om de beveiliging van uw resources te behouden.
Notitie
Azure Backup biedt nu een nieuwe ervaring voor het maken van privé-eindpunten. Meer informatie.
Voordat u begint
- Privé-eindpunten kunnen alleen worden gemaakt voor nieuwe Recovery Services-kluizen (die geen items hebben die zijn geregistreerd bij de kluis). Privé-eindpunten moeten dus worden gemaakt voordat u items in de kluis probeert te beveiligen.
- Eén virtueel netwerk kan privé-eindpunten bevatten voor meerdere Recovery Services-kluizen. Bovendien kan één Recovery Services-kluis privé-eindpunten hebben in meerdere virtuele netwerken. Het maximum aantal privé-eindpunten dat voor een kluis kan worden gemaakt, is echter 12.
- Als de openbare netwerktoegang voor de kluis is ingesteld op Toestaan vanuit alle netwerken, staat de kluis back-ups en herstelbewerkingen toe vanaf elke computer die is geregistreerd in de kluis. Als de openbare netwerktoegang voor de kluis is ingesteld op Weigeren, staat de kluis alleen back-ups en herstelbewerkingen toe vanaf de computers die zijn geregistreerd in de kluis die back-ups/herstel aanvragen via privé-IP-adressen die zijn toegewezen voor de kluis.
- Een privé-eindpuntverbinding voor Back-up maakt gebruik van in totaal 11 privé-IP-adressen in uw subnet, inclusief de ip-adressen die door Azure Backup worden gebruikt voor opslag. Dit aantal kan hoger zijn voor bepaalde Azure-regio's. We raden u dus aan voldoende privé-IP-adressen (/26) beschikbaar te hebben wanneer u privé-eindpunten voor back-up probeert te maken.
- Hoewel een Recovery Services-kluis wordt gebruikt door (zowel) Azure Backup als Azure Site Recovery, wordt in dit artikel het gebruik van privé-eindpunten voor alleen Azure Backup besproken.
- Privé-eindpunten voor back-ups bevatten geen toegang tot Azure Active Directory (Azure AD) en hetzelfde moet afzonderlijk worden gegarandeerd. IP's en FQDN's die vereist zijn om Azure AD in een regio te laten werken, hebben dus uitgaande toegang nodig vanaf het beveiligde netwerk bij het maken van back-ups van databases in Azure-VM's en het maken van back-ups met behulp van de MARS-agent. U kunt ook NSG-tags en Azure Firewall-tags gebruiken om toegang tot Azure AD toe te staan, indien van toepassing.
- Virtuele netwerken met netwerkbeleid worden niet ondersteund voor privé-eindpunten. U moet netwerkbeleid uitschakelen voordat u doorgaat.
- U moet de Recovery Services-resourceprovider opnieuw registreren bij het abonnement als u het vóór 1 mei 2020 hebt geregistreerd. Als u de provider opnieuw wilt registreren, gaat u naar uw abonnement in de Azure Portal, gaat u naar Resourceprovider op de linkernavigatiebalk, selecteert u Microsoft.RecoveryServices en selecteert u Opnieuw registreren.
- Herstel tussen regio's voor BACK-ups van SQL- en SAP HANA-databases wordt niet ondersteund als privé-eindpunten zijn ingeschakeld voor de kluis.
- Wanneer u een Recovery Services-kluis die al privé-eindpunten gebruikt, naar een nieuwe tenant verplaatst, moet u de Recovery Services-kluis bijwerken om de beheerde identiteit van de kluis opnieuw te maken en opnieuw te configureren en zo nodig nieuwe privé-eindpunten te maken (die zich in de nieuwe tenant moeten bevinden). Als dit niet wordt gedaan, mislukken de back-up- en herstelbewerkingen. Ook moeten alle azure-machtigingen voor op rollen gebaseerd toegangsbeheer (Azure RBAC) die binnen het abonnement zijn ingesteld, opnieuw worden geconfigureerd.
Aanbevolen en ondersteunde scenario's
Hoewel privé-eindpunten zijn ingeschakeld voor de kluis, worden ze alleen gebruikt voor back-up en herstel van SQL- en SAP HANA-workloads in een Azure-VM, back-up van MARS-agent en DPM. U kunt de kluis ook gebruiken voor back-ups van andere workloads (hiervoor zijn echter geen privé-eindpunten vereist). Naast back-ups van SQL- en SAP HANA-workloads en back-ups met behulp van de MARS-agent, worden privé-eindpunten ook gebruikt om bestandsherstel uit te voeren voor back-ups van Azure-VM's. Zie de volgende tabel voor meer informatie:
| Scenario's | Aanbevelingen |
|---|---|
| Back-up van workloads in Azure VM (SQL, SAP HANA), back-up met MARS-agent, DPM-server. | Het gebruik van privé-eindpunten wordt aanbevolen om back-ups en herstel toe te staan zonder dat u eventuele IP's/FQDN's voor Azure Backup of Azure Storage vanuit uw virtuele netwerken hoeft toe te voegen aan een acceptatielijst. Zorg er in dat scenario voor dat VM's die SQL-databases hosten, Azure AD IP-adressen of FQDN's kunnen bereiken. |
| Azure VM Backup | Voor back-up van vm's hoeft u geen toegang tot IP's of FQDN's toe te staan. Er zijn dus geen privé-eindpunten nodig voor het maken van back-ups en het herstellen van schijven. Bestandsherstel vanuit een kluis met privé-eindpunten is echter beperkt tot virtuele netwerken die een privé-eindpunt voor de kluis bevatten. Wanneer u niet-beheerde ACL-schijven gebruikt, moet u ervoor zorgen dat het opslagaccount met de schijven toegang verleent tot vertrouwde Microsoft-services als deze ACL's heeft. |
| back-up van Azure Files | Azure Files back-ups worden opgeslagen in het lokale opslagaccount. Er zijn dus geen privé-eindpunten nodig voor back-up en herstel. |
Notitie
- Privé-eindpunten worden alleen ondersteund met DPM Server 2022 en hoger.
- Privé-eindpunten worden nog niet ondersteund met MABS.
Verschil in netwerkverbindingen vanwege privé-eindpunten
Zoals hierboven vermeld, zijn privé-eindpunten met name handig voor back-ups van workloads (SQL, SAP HANA) in Azure-VM's en mars-agentback-ups.
In alle scenario's (met of zonder privé-eindpunten) maken zowel de workloadextensies (voor back-up van SQL- en SAP HANA-exemplaren die worden uitgevoerd binnen Azure-VM's) als de MARS-agent verbindingsaanroepen naar Azure AD (naar FQDN's die worden vermeld in secties 56 en 59 in Microsoft 365 Common en Office Online).
Naast deze verbindingen wanneer de workloadextensie of MARS-agent wordt geïnstalleerd voor recovery services-kluis zonder privé-eindpunten, is ook connectiviteit met de volgende domeinen vereist:
| Service | Domeinnamen |
|---|---|
| Azure Backup | *.backup.windowsazure.com |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
| Azure Active Directory (Azure AD) | Toegang tot FQDN's toestaan onder sectie 56 en 59. |
Wanneer de workloadextensie of MARS-agent is geïnstalleerd voor de Recovery Services-kluis met een privé-eindpunt, worden de volgende eindpunten bereikt:
| Service | Domeinnaam |
|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
| Azure Active Directory (Azure AD) | Toegang tot FQDN's toestaan onder sectie 56 en 59. |
Notitie
In de bovenstaande tekst <geo> verwijst naar de regiocode (bijvoorbeeld eus voor VS - oost en ne voor Europa - noord). Raadpleeg de volgende lijsten voor regiocodes:
Voor een Recovery Services-kluis met een privé-eindpunt moet de naamomzetting voor de FQDN's (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) een privé-IP-adres retourneren. Dit kan worden bereikt met behulp van:
- Privé-DNS-zones van Azure
- Aangepaste DNS
- DNS-vermeldingen in hostbestanden
- Voorwaardelijke doorstuurservers naar Azure DNS- of Azure Privé-DNS-zones.
De privé-eindpunten voor blobs en wachtrijen volgen een standaardnaamgevingspatroon, beginnen met <de naam van het privé-eindpunt>_ecs of <de naam van het privé-eindpunt>_prot en hebben het achtervoegsel respectievelijk _blob en _queue .
Notitie
U wordt aangeraden Azure Privé-DNS zones te gebruiken, waarmee u de DNS-records voor blobs en wachtrijen kunt beheren met behulp van Azure Backup. De beheerde identiteit die is toegewezen aan de kluis, wordt gebruikt om het toevoegen van DNS-records te automatiseren wanneer er een nieuw opslagaccount wordt toegewezen voor back-upgegevens.
Als u een DNS-proxyserver hebt geconfigureerd met proxyservers of firewalls van derden, moeten de bovenstaande domeinnamen worden toegestaan en omgeleid naar een aangepaste DNS (met DNS-records voor de bovenstaande FQDN's) of naar 168.63.129.16 in een virtueel Azure-netwerk waaraan privé-DNS-zones zijn gekoppeld.
In het volgende voorbeeld ziet u een Azure-firewall die wordt gebruikt als DNS-proxy om de domeinnaamquery's voor Recovery Services-kluis, blob, wachtrijen en Azure AD om te leiden naar 168.63.129.16.
Zie Privé-eindpunten maken en gebruiken voor meer informatie.
Netwerkverbinding instellen voor kluis met privé-eindpunten
Het privé-eindpunt voor Recovery Services is gekoppeld aan een netwerkinterface (NIC). Privé-eindpuntverbindingen werken alleen als al het verkeer voor de Azure-service wordt omgeleid naar de netwerkinterface. Dit wordt bereikt door DNS-toewijzing toe te voegen voor privé-IP-adres dat is gekoppeld aan de netwerkinterface op basis van de service-/blob-/wachtrij-URL .
Wanneer extensies voor workloadback-ups worden geïnstalleerd op de virtuele machine die is geregistreerd bij een Recovery Services-kluis met een privé-eindpunt, probeert de extensie verbinding te maken via de privé-URL van de Azure Backup-services<vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Als de privé-URL het probleem niet oplost, wordt de openbare URL <azure_backup_svc>.<geo>.backup.windowsazure.comgeprobeerd.
Notitie
In de bovenstaande tekst <geo> verwijst naar de regiocode (bijvoorbeeld eus voor VS - oost en ne voor Europa - noord). Raadpleeg de volgende lijsten voor regiocodes:
Deze privé-URL's zijn specifiek voor de kluis. Alleen extensies en agents die zijn geregistreerd bij de kluis kunnen communiceren met Azure Backup via deze eindpunten. Als de openbare netwerktoegang voor de Recovery Services-kluis is geconfigureerd op Weigeren, kunnen de clients die niet in het VNet worden uitgevoerd, geen back-up en herstel aanvragen in de kluis. We raden u aan om de openbare netwerktoegang in te stellen op Weigeren, samen met het instellen van een privé-eindpunt. Als de extensie en agent de privé-URL in eerste instantie proberen, moet de *.privatelink.<geo>.backup.windowsazure.com DNS-resolutie van de URL het bijbehorende privé-IP-adres retourneren dat is gekoppeld aan het privé-eindpunt.
De oplossingen voor DNS-omzetting zijn:
- Privé-DNS-zones van Azure
- Aangepaste DNS
- DNS-vermeldingen in hostbestanden
- Voorwaardelijke doorstuurservers naar Azure DNS/Azure Privé-DNS zones.
Wanneer het privé-eindpunt voor Recovery Services-kluizen wordt gemaakt via Azure Portal met de optie integreren met privé-DNS-zone, worden de vereiste DNS-vermeldingen voor privé-IP-adressen voor Azure Backup-services (*.privatelink.<geo>backup.windowsazure.com) automatisch gemaakt wanneer de resource wordt toegewezen. In andere oplossingen moet u de DNS-vermeldingen handmatig maken voor deze FQDN's in de aangepaste DNS of in de hostbestanden.
Zie DNS-records voor blobs en wachtrijen (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste registratie voor het handmatig beheren van DNS-records na de VM-detectie voor communicatiekanaal - blob/wachtrij. Zie DNS-records voor blobs (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste back-up na de eerste back-up.
De privé-IP-adressen voor de FQDN's vindt u op de blade privé-eindpunt voor het privé-eindpunt dat is gemaakt voor de Recovery Services-kluis.
In het volgende diagram ziet u hoe de resolutie werkt wanneer u een privé-DNS-zone gebruikt om deze FQDN's van de privéservice om te zetten.
Voor de workloadextensie die wordt uitgevoerd op azure-VM is een verbinding met ten minste twee opslagaccounts vereist. De eerste wordt gebruikt als communicatiekanaal (via wachtrijberichten) en het tweede voor het opslaan van back-upgegevens. De MARS-agent vereist toegang tot één opslagaccount dat wordt gebruikt voor het opslaan van back-upgegevens.
Voor een kluis met privé-eindpunten maakt de Azure Backup-service een privé-eindpunt voor deze opslagaccounts. Dit voorkomt dat netwerkverkeer met betrekking tot Azure Backup (verkeer van het besturingsvlak naar service en back-upgegevens naar opslagblob) het virtuele netwerk verlaat. Naast Azure Backup cloudservices, vereisen de workloadextensie en agent connectiviteit met Azure Storage-accounts en Azure Active Directory (Azure AD).
Recovery Services-kluis vereist machtigingen voor het maken van extra privé-eindpunten in dezelfde resourcegroep. We raden u ook aan de Recovery Services-kluis de machtigingen te geven voor het maken van DNS-vermeldingen in de privé-DNS-zones (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Recovery Services-kluis zoekt naar privé-DNS-zones in de resourcegroepen waar VNet en privé-eindpunten worden gemaakt. Als het de machtigingen heeft om DNS-vermeldingen toe te voegen in deze zones, worden deze gemaakt door de kluis; Anders moet u ze handmatig maken.
Notitie
Integratie met privé-DNS-zone die aanwezig is in verschillende abonnementen wordt niet ondersteund in deze ervaring.
In het volgende diagram ziet u hoe de naamomzetting werkt voor opslagaccounts die een privé-DNS-zone gebruiken.
