Udostępnij za pośrednictwem

Tworzenie i używanie prywatnych punktów końcowych (wersja 2) dla usługi Azure Backup

  • Artykuł

Usługa Azure Backup umożliwia bezpieczne wykonywanie operacji tworzenia i przywracania kopii zapasowych danych z magazynów usługi Recovery Services przy użyciu prywatnych punktów końcowych. Prywatne punkty końcowe używają co najmniej jednego prywatnego adresu IP z sieci wirtualnej platformy Azure, efektywnie przenosząc usługę do sieci wirtualnej.

Usługa Azure Backup zapewnia teraz ulepszone środowisko tworzenia i używania prywatnych punktów końcowych w porównaniu z środowiskiem klasycznym (wersja 1).

W tym artykule opisano sposób tworzenia prywatnych punktów końcowych dla usługi Azure Backup i zarządzania nimi w magazynie usługi Recovery Services.

Tworzenie magazynu usługi Recovery Services

Prywatne punkty końcowe dla usługi Azure Backup można tworzyć tylko dla magazynów usługi Recovery Services, które nie mają żadnych elementów chronionych (lub nie miały żadnych elementów, które próbowały być chronione lub zarejestrowane w przeszłości). Dlatego zalecamy utworzenie nowego magazynu dla konfiguracji prywatnego punktu końcowego.

Aby uzyskać więcej informacji na temat tworzenia nowego magazynu, zobacz Tworzenie i konfigurowanie magazynu usługi Recovery Services. Jeśli jednak masz istniejące magazyny, które mają już utworzone prywatne punkty końcowe, możesz utworzyć ponownie prywatne punkty końcowe, korzystając z ulepszonego środowiska.

Odmowa dostępu do sieci publicznej do magazynu

Magazyny można skonfigurować tak, aby odmawiały dostępu z sieci publicznych.

Wykonaj te kroki:

  1. Przejdź do obszaru Sieć magazynu>.

  2. Na karcie Dostęp publiczny wybierz pozycję Odmów, aby uniemożliwić dostęp z sieci publicznych.

    Zrzut ekranu przedstawiający sposób wybierania opcji Odmów.

    Uwaga

    • Po odmowie dostępu nadal możesz uzyskać dostęp do magazynu, ale nie możesz przenosić danych do/z sieci, które nie zawierają prywatnych punktów końcowych. Aby uzyskać więcej informacji, zobacz Tworzenie prywatnych punktów końcowych dla usługi Azure Backup.
    • Odmowa dostępu publicznego nie jest obecnie obsługiwana w przypadku magazynów z włączonym przywracaniem między regionami.

  3. Wybierz pozycję Zastosuj , aby zapisać zmiany.

Tworzenie prywatnych punktów końcowych dla usługi Azure Backup

Aby utworzyć prywatne punkty końcowe dla usługi Azure Backup, wykonaj następujące kroki:

  1. Przejdź do folderu *\vault , dla którego chcesz utworzyć prywatne punkty końcowe >Sieć.

  2. Przejdź do karty Dostęp prywatny i wybierz pozycję +Prywatny punkt końcowy , aby rozpocząć tworzenie nowego prywatnego punktu końcowego.

    Zrzut ekranu przedstawiający sposób rozpoczynania tworzenia nowego prywatnego punktu końcowego.

  3. W obszarze Tworzenie prywatnego punktu końcowego podaj wymagane szczegóły:

    a. Podstawowe informacje: podaj podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak magazyn i zasób do utworzenia kopii zapasowej.

    Zrzut ekranu przedstawiający stronę Tworzenie prywatnego punktu końcowego w celu wprowadzenia szczegółów dotyczących tworzenia punktu końcowego.

    b. Zasób: na tej karcie wybierz zasób PaaS, dla którego chcesz utworzyć połączenie, a następnie wybierz pozycję Microsoft.RecoveryServices/vaults z typu zasobu dla wymaganej subskrypcji. Po zakończeniu wybierz nazwę magazynu usługi Recovery Services jako zasób i usługę AzureBackup jako podźródło Target.

    c. Sieć wirtualna: na tej karcie określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Jest to sieć wirtualna, w której znajduje się maszyna wirtualna.

    d. DNS: Aby połączyć się prywatnie, potrzebne są wymagane rekordy DNS. Na podstawie konfiguracji sieci można wybrać jedną z następujących opcji:

    • Zintegruj prywatny punkt końcowy z prywatną strefą DNS: wybierz pozycję Tak, jeśli chcesz zintegrować.
    • Użyj niestandardowego serwera DNS: wybierz pozycję Nie, jeśli chcesz użyć własnego serwera DNS. e. Tagi: opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Zatwierdzanie prywatnych punktów końcowych

Jeśli tworzysz prywatny punkt końcowy jako właściciel magazynu usługi Recovery Services, utworzony prywatny punkt końcowy zostanie automatycznie zatwierdzony. W przeciwnym razie właściciel magazynu musi zatwierdzić prywatny punkt końcowy przed jego użyciem.

Aby ręcznie zatwierdzić prywatne punkty końcowe za pośrednictwem witryny Azure Portal, wykonaj następujące kroki:

  1. W magazynie usługi Recovery Services przejdź do pozycji Połączenia prywatnego punktu końcowego w okienku po lewej stronie.

  2. Wybierz połączenie prywatnego punktu końcowego, które chcesz zatwierdzić.

  3. Wybierz Zatwierdź.

    Zrzut ekranu przedstawiający sposób wybierania i zatwierdzania prywatnego punktu końcowego.

    Możesz również wybrać pozycję Odrzuć lub Usuń, jeśli chcesz odrzucić lub usunąć połączenie punktu końcowego.

Dowiedz się, jak ręcznie zatwierdzać prywatne punkty końcowe przy użyciu klienta usługi Azure Resource Manager do używania klienta usługi Azure Resource Manager do zatwierdzania prywatnych punktów końcowych.

Zarządzanie rekordami DNS

Wymagane rekordy DNS w prywatnych strefach DNS lub serwerach, aby połączyć się prywatnie. Możesz zintegrować prywatny punkt końcowy bezpośrednio z prywatnymi strefami DNS platformy Azure lub użyć niestandardowych serwerów DNS, aby to osiągnąć, na podstawie preferencji sieci. Należy to zrobić dla wszystkich trzech usług — Azure Backup, Azure Blobs i Queues.

Podczas integrowania prywatnych punktów końcowych z prywatnymi strefami DNS platformy Azure

Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatnymi strefami DNS, usługa Azure Backup doda wymagane rekordy DNS. Prywatne strefy DNS używane w konfiguracji DNS prywatnego punktu końcowego można wyświetlić. Jeśli te strefy DNS nie są obecne, zostaną utworzone automatycznie podczas tworzenia prywatnego punktu końcowego.

Należy jednak sprawdzić, czy sieć wirtualna (która zawiera zasoby do utworzenia kopii zapasowej) jest prawidłowo połączona ze wszystkimi trzema prywatnymi strefami DNS, jak opisano poniżej.

Uwaga

Jeśli używasz serwerów proxy, możesz pominąć serwer proxy lub wykonać kopie zapasowe za pośrednictwem serwera proxy. Aby pominąć serwer proxy, przejdź do poniższych sekcji. Aby użyć serwera proxy do wykonywania kopii zapasowych, zobacz szczegóły konfiguracji serwera proxy dla magazynu usługi Recovery Services.

Dla każdej prywatnej strefy DNS na liście (w przypadku usługi Azure Backup, obiektów blob i kolejek) przejdź do odpowiednich linków sieci wirtualnej.

Zostanie wyświetlony wpis dla sieci wirtualnej, dla której utworzono prywatny punkt końcowy. Jeśli nie widzisz wpisu, dodaj link do sieci wirtualnej do wszystkich tych stref DNS, które ich nie mają.

W przypadku korzystania z niestandardowego serwera DNS lub plików hosta

  • Jeśli używasz niestandardowego serwera DNS, możesz użyć warunkowego przesyłania dalej dla usługi kopii zapasowej, obiektów blob i nazw FQDN kolejki, aby przekierować żądania DNS do usługi Azure DNS (168.63.129.16). Usługa Azure DNS przekierowuje ją do strefy usługi Azure Prywatna strefa DNS. W takiej konfiguracji upewnij się, że istnieje link sieci wirtualnej dla strefy usługi Azure Prywatna strefa DNS, jak wspomniano w tym artykule.

    W poniższej tabeli wymieniono strefy usługi Azure Prywatna strefa DNS wymagane przez usługę Azure Backup:

    Strefa Usługa
    *.privatelink.<geo>.backup.windowsazure.com Wykonywanie kopii zapasowej
    *.blob.core.windows.net Obiekt blob
    *.queue.core.windows.net Queue
    *.storage.azure.net Obiekt blob

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionów Wschodnie stany USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

  • Jeśli używasz niestandardowych serwerów DNS lub plików hostów i nie masz konfiguracji strefy usługi Azure Prywatna strefa DNS, musisz dodać rekordy DNS wymagane przez prywatne punkty końcowe do serwerów DNS lub w pliku hosta.

    Przejdź do utworzonego prywatnego punktu końcowego, a następnie przejdź do konfiguracji DNS. Następnie dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako typ A rekordów w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

Uwaga

Usługa Azure Backup może przydzielić nowe konto magazynu dla danych kopii zapasowej, a rozszerzenie lub agent musi uzyskać dostęp do odpowiednich punktów końcowych. Aby uzyskać więcej informacji na temat dodawania kolejnych rekordów DNS po rejestracji i kopii zapasowej, zobacz jak używać prywatnych punktów końcowych do tworzenia kopii zapasowych.

Używanie prywatnych punktów końcowych do tworzenia kopii zapasowej

Po zatwierdzeniu prywatnych punktów końcowych dla magazynu w sieci wirtualnej możesz rozpocząć korzystanie z nich do wykonywania kopii zapasowych i przywracania.

Ważne

Przed kontynuowaniem upewnij się, że zostały wykonane wszystkie kroki wymienione powyżej w dokumencie. Aby podsumować, należy wykonać kroki opisane na poniższej liście kontrolnej:

  1. Utworzono (nowy) magazyn usługi Recovery Services
  2. Włączono magazyn do używania przypisanej przez system tożsamości zarządzanej
  3. Przypisano odpowiednie uprawnienia do tożsamości zarządzanej magazynu
  4. Utworzono prywatny punkt końcowy dla magazynu
  5. Zatwierdzono prywatny punkt końcowy (jeśli nie został automatycznie zatwierdzony)
  6. Upewnij się, że wszystkie rekordy DNS są odpowiednio dodawane (z wyjątkiem rekordów obiektów blob i kolejek dla serwerów niestandardowych, które zostaną omówione w poniższych sekcjach)

Sprawdzanie łączności z maszyną wirtualną

Na maszynie wirtualnej w zablokowanej sieci upewnij się, że:

  1. Maszyna wirtualna powinna mieć dostęp do identyfikatora Entra firmy Microsoft.
  2. Wykonaj polecenie nslookup na adresie URL kopii zapasowej (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z maszyny wirtualnej, aby zapewnić łączność. Powinno to zwrócić prywatny adres IP przypisany w sieci wirtualnej.

Konfigurowanie kopii zapasowych

Po upewnieniu się, że po pomyślnym ukończeniu powyższej listy kontrolnej i dostępu można nadal konfigurować kopie zapasowe obciążeń w magazynie. Jeśli używasz niestandardowego serwera DNS, musisz dodać wpisy DNS dla obiektów blob i kolejek, które są dostępne po skonfigurowaniu pierwszej kopii zapasowej.

Rekordy DNS dla obiektów blob i kolejek (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej rejestracji

Po skonfigurowaniu kopii zapasowej dla co najmniej jednego zasobu w magazynie z włączoną obsługą prywatnego punktu końcowego dodaj wymagane rekordy DNS dla obiektów blob i kolejek zgodnie z poniższym opisem.

  1. Przejdź do każdego z tych prywatnych punktów końcowych utworzonych dla magazynu i przejdź do konfiguracji DNS.

  2. Dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako rekordy typu A w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

    Oprócz powyższych, istnieje kolejny wpis potrzebny po pierwszej kopii zapasowej, który został omówiony tutaj.

Tworzenie kopii zapasowych i przywracanie obciążeń na maszynie wirtualnej platformy Azure (SQL i SAP HANA)

Po utworzeniu i zatwierdzeniu prywatnego punktu końcowego po stronie klienta nie są wymagane żadne inne zmiany w celu korzystania z prywatnego punktu końcowego (chyba że używasz grup dostępności SQL, które omówimy w dalszej części tej sekcji). Cała komunikacja i transfer danych z zabezpieczonej sieci do magazynu będą wykonywane za pośrednictwem prywatnego punktu końcowego. Jeśli jednak usuniesz prywatne punkty końcowe magazynu po zarejestrowaniu w nim serwera (SQL lub SAP HANA), musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony dla nich.

Rekordy DNS dla obiektów blob (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej kopii zapasowej

Po uruchomieniu pierwszej kopii zapasowej i użyciu niestandardowego serwera DNS (bez przekazywania warunkowego) prawdopodobnie tworzenie kopii zapasowej zakończy się niepowodzeniem. W takim przypadku:

  1. Przejdź do prywatnego punktu końcowego utworzonego dla magazynu i przejdź do konfiguracji DNS.

  2. Dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako rekordy typu A w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

Uwaga

Na tym etapie powinno być możliwe uruchomienie polecenia nslookup z maszyny wirtualnej i rozpoznawanie prywatnych adresów IP po zakończeniu wykonywania kopii zapasowych i adresów URL magazynu.

W przypadku korzystania z grup dostępności SQL

W przypadku korzystania z grup dostępności SQL należy aprowizować przekazywanie warunkowe w niestandardowym systemie DNS grupy dostępności, jak opisano poniżej:

  1. Zaloguj się do kontrolera domeny.
  2. W aplikacji DNS dodaj warunkowe usługi przesyłania dalej dla wszystkich trzech stref DNS (kopia zapasowa, obiekty blob i kolejki) do adresu IP hosta 168.63.129.16 lub niestandardowego adresu IP serwera DNS, w razie potrzeby. Poniższe zrzuty ekranu pokazują, kiedy przekazujesz dalej do adresu IP hosta platformy Azure. Jeśli używasz własnego serwera DNS, zastąp ciąg adresem IP serwera DNS.

Tworzenie kopii zapasowej i przywracanie za pośrednictwem agenta MARS i serwera DPM

W przypadku tworzenia kopii zapasowej zasobów lokalnych przy użyciu agenta MARS upewnij się, że sieć lokalna (zawierająca zasoby do utworzenia kopii zapasowej) jest równorzędna z siecią wirtualną platformy Azure, która zawiera prywatny punkt końcowy dla magazynu, aby można było z niego korzystać. Następnie możesz kontynuować instalowanie agenta MARS i konfigurować kopię zapasową zgodnie z opisem w tym miejscu. Należy jednak upewnić się, że cała komunikacja na potrzeby tworzenia kopii zapasowej odbywa się tylko za pośrednictwem sieci równorzędnej.

Jeśli jednak usuniesz prywatne punkty końcowe dla magazynu po zarejestrowaniu agenta MARS, musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony dla nich.

Uwaga

  • Prywatne punkty końcowe są obsługiwane tylko w programie DPM Server 2022 lub nowszym.
  • Prywatne punkty końcowe nie są jeszcze obsługiwane w usłudze MABS.

Przywracanie między subskrypcjami do magazynu z włączoną obsługą prywatnego punktu końcowego

Aby wykonać przywracanie między subskrypcjami do magazynu z włączoną obsługą prywatnego punktu końcowego:

  1. W źródłowym magazynie usługi Recovery Services przejdź do karty Sieć .
  2. Przejdź do sekcji Dostęp prywatny i utwórz prywatne punkty końcowe.
  3. Wybierz subskrypcję magazynu docelowego, w którym chcesz przywrócić.
  4. W sekcji Sieć wirtualna wybierz sieć wirtualną docelowej maszyny wirtualnej, którą chcesz przywrócić w ramach subskrypcji.
  5. Utwórz prywatny punkt końcowy i wyzwól proces przywracania.

Usuwanie prywatnych punktów końcowych

Aby usunąć prywatne punkty końcowe przy użyciu interfejsu API REST, zobacz tę sekcję.

Następne kroki