Udostępnij za pośrednictwem


Tworzenie i używanie prywatnych punktów końcowych (środowisko w wersji 1) dla usługi Azure Backup

Ten artykuł zawiera informacje na temat procesu tworzenia prywatnych punktów końcowych dla usługi Azure Backup oraz scenariuszy, w których prywatne punkty końcowe pomagają zachować bezpieczeństwo zasobów.

Uwaga

Usługa Azure Backup udostępnia teraz nowe środowisko tworzenia prywatnych punktów końcowych. Dowiedz się więcej.

Przed rozpoczęciem

Przed przejściem do tworzenia prywatnych punktów końcowych upewnij się, że zostały spełnione wymagania wstępne i obsługiwane scenariusze.

Te szczegóły ułatwiają zrozumienie ograniczeń i warunków, które należy spełnić przed utworzeniem prywatnych punktów końcowych dla magazynów.

Wprowadzenie do tworzenia prywatnych punktów końcowych dla kopii zapasowej

W poniższych sekcjach omówiono kroki związane z tworzeniem i używaniem prywatnych punktów końcowych dla usługi Azure Backup w sieciach wirtualnych.

Ważne

Zdecydowanie zaleca się wykonanie kroków w tej samej sekwencji, jak wspomniano w tym dokumencie. Niepowodzenie tej czynności może prowadzić do renderowania magazynu niezgodnego z użyciem prywatnych punktów końcowych i konieczności ponownego uruchomienia procesu przy użyciu nowego magazynu.

Tworzenie magazynu usługi Recovery Services

Prywatne punkty końcowe kopii zapasowej można tworzyć tylko dla magazynów usługi Recovery Services, które nie mają żadnych elementów chronionych (lub nie miały żadnych elementów, które próbowały być chronione lub zarejestrowane w przeszłości). Zalecamy więc utworzenie nowego magazynu, od którego będzie można zacząć. Aby uzyskać więcej informacji na temat tworzenia nowego magazynu, zobacz Tworzenie i konfigurowanie magazynu usługi Recovery Services.

Zobacz tę sekcję , aby dowiedzieć się, jak utworzyć magazyn przy użyciu klienta usługi Azure Resource Manager. Spowoduje to utworzenie magazynu z już włączoną tożsamością zarządzaną.

Odmowa dostępu do sieci publicznej do magazynu

Magazyny można skonfigurować tak, aby odmawiały dostępu z sieci publicznych.

Wykonaj te kroki:

  1. Przejdź do obszaru Sieć magazynu>.

  2. Na karcie Dostęp publiczny wybierz pozycję Odmów, aby uniemożliwić dostęp z sieci publicznych.

    Zrzut ekranu przedstawiający sposób wybierania opcji Odmów.

    Uwaga

  3. Wybierz pozycję Zastosuj , aby zapisać zmiany.

Włączanie tożsamości zarządzanej dla magazynu

Tożsamości zarządzane umożliwiają magazynowi tworzenie prywatnych punktów końcowych i korzystanie z nich. W tej sekcji omówiono włączanie tożsamości zarządzanej dla magazynu.

  1. Przejdź do magazynu usługi Recovery Services —> Tożsamość.

    Zmień stan tożsamości na Wł.

  2. Zmień stan na Wł., a następnie wybierz pozycję Zapisz.

  3. Zostanie wygenerowany identyfikator obiektu, który jest tożsamością zarządzaną magazynu.

    Uwaga

    Po włączeniu tej opcji tożsamość zarządzana nie może być wyłączona (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Udzielanie uprawnień do magazynu w celu utworzenia wymaganych prywatnych punktów końcowych

Aby utworzyć wymagane prywatne punkty końcowe dla usługi Azure Backup, magazyn (tożsamość zarządzana magazynu) musi mieć uprawnienia do następujących grup zasobów:

  • Grupa zasobów zawierająca docelową sieć wirtualną
  • Grupa zasobów, w której mają zostać utworzone prywatne punkty końcowe
  • Grupa zasobów zawierająca strefy Prywatna strefa DNS, zgodnie z opisem w tym miejscu

Zalecamy przyznanie roli Współautor dla tych trzech grup zasobów do magazynu (tożsamości zarządzanej). W poniższych krokach opisano, jak to zrobić dla określonej grupy zasobów (należy to zrobić dla każdej z trzech grup zasobów):

  1. Przejdź do grupy zasobów i przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) na pasku po lewej stronie.

  2. W obszarze Kontrola dostępu przejdź do pozycji Dodaj przypisanie roli.

    Dodawanie przypisania roli

  3. W okienku Dodawanie przypisania roli wybierz pozycję Współautor jako rolę i użyj nazwy magazynu jako podmiotu zabezpieczeń. Wybierz magazyn i wybierz pozycję Zapisz po zakończeniu.

    Wybieranie roli i podmiotu zabezpieczeń

Aby zarządzać uprawnieniami na bardziej szczegółowym poziomie, zobacz Ręczne tworzenie ról i uprawnień.

Tworzenie prywatnych punktów końcowych dla usługi Azure Backup

W tej sekcji wyjaśniono, jak utworzyć prywatny punkt końcowy dla magazynu.

  1. Przejdź do utworzonego powyżej magazynu i przejdź do pozycji Połączenia prywatnego punktu końcowego na lewym pasku nawigacyjnym. Wybierz pozycję +Prywatny punkt końcowy u góry, aby rozpocząć tworzenie nowego prywatnego punktu końcowego dla tego magazynu.

    Tworzenie nowego prywatnego punktu końcowego

  2. Po utworzeniu prywatnego punktu końcowego należy określić szczegóły tworzenia połączenia prywatnego punktu końcowego.

    1. Podstawowe informacje: podaj podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak magazyn i kopię zapasową zasobu.

      Wypełnij podstawowe szczegóły

    2. Zasób: ta karta wymaga wybrania zasobu PaaS, dla którego chcesz utworzyć połączenie. Wybierz pozycję Microsoft.RecoveryServices/vaults z typu zasobu dla żądanej subskrypcji. Po zakończeniu wybierz nazwę magazynu usługi Recovery Services jako zasób i usługę AzureBackup jako docelowy zasób podrzędny.

      Wybierz zasób dla połączenia

    3. Konfiguracja: W konfiguracji określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Będzie to sieć wirtualna, w której znajduje się maszyna wirtualna.

      Aby połączyć się prywatnie, potrzebne są wymagane rekordy DNS. Na podstawie konfiguracji sieci można wybrać jedną z następujących opcji:

      • Zintegruj prywatny punkt końcowy z prywatną strefą DNS: wybierz pozycję Tak , jeśli chcesz zintegrować.
      • Użyj niestandardowego serwera DNS: wybierz pozycję Nie , jeśli chcesz użyć własnego serwera DNS.

      Zarządzanie rekordami DNS dla obu tych rekordów zostało opisane w dalszej części.

      Określanie sieci wirtualnej i podsieci

    4. Opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

    5. Przejdź do sekcji Przeglądanie + tworzenie po zakończeniu wprowadzania szczegółów. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Zatwierdzanie prywatnych punktów końcowych

Jeśli użytkownik tworzący prywatny punkt końcowy jest również właścicielem magazynu usługi Recovery Services, prywatny punkt końcowy utworzony powyżej zostanie automatycznie zatwierdzony. W przeciwnym razie właściciel magazynu musi zatwierdzić prywatny punkt końcowy, zanim będzie mógł go używać. W tej sekcji omówiono ręczne zatwierdzanie prywatnych punktów końcowych za pośrednictwem witryny Azure Portal.

Zobacz Ręczne zatwierdzanie prywatnych punktów końcowych przy użyciu klienta usługi Azure Resource Manager, aby użyć klienta usługi Azure Resource Manager do zatwierdzania prywatnych punktów końcowych.

  1. W magazynie usługi Recovery Services przejdź do pozycji Połączenia prywatnego punktu końcowego na pasku po lewej stronie.

  2. Wybierz połączenie prywatnego punktu końcowego, które chcesz zatwierdzić.

  3. Wybierz pozycję Zatwierdź na górnym pasku. Możesz również wybrać pozycję Odrzuć lub Usuń , jeśli chcesz odrzucić lub usunąć połączenie punktu końcowego.

    Zatwierdzanie prywatnych punktów końcowych

Zarządzanie rekordami DNS

Jak opisano wcześniej, potrzebne są wymagane rekordy DNS w prywatnych strefach DNS lub serwerach, aby połączyć się prywatnie. Możesz zintegrować prywatny punkt końcowy bezpośrednio z prywatnymi strefami DNS platformy Azure lub użyć niestandardowych serwerów DNS, aby to osiągnąć, na podstawie preferencji sieci. Należy to zrobić dla wszystkich trzech usług: Backup, Blobs i Queues.

Ponadto jeśli strefa DNS lub serwer znajdują się w subskrypcji innej niż ta zawierająca prywatny punkt końcowy, zobacz również Tworzenie wpisów DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji.

Podczas integrowania prywatnych punktów końcowych z prywatnymi strefami DNS platformy Azure

Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatnymi strefami DNS, usługa Azure Backup doda wymagane rekordy DNS. Można wyświetlić prywatne strefy DNS używane w konfiguracji DNS prywatnego punktu końcowego. Jeśli te strefy DNS nie są obecne, zostaną one utworzone automatycznie podczas tworzenia prywatnego punktu końcowego.

Uwaga

Tożsamość zarządzana przypisana do magazynu powinna mieć uprawnienia do dodawania rekordów DNS w strefie usługi Azure Prywatna strefa DNS.

Należy jednak sprawdzić, czy sieć wirtualna (która zawiera zasoby do utworzenia kopii zapasowej) jest prawidłowo połączona ze wszystkimi trzema prywatnymi strefami DNS, jak opisano poniżej.

Konfiguracja DNS w prywatnej strefie DNS platformy Azure

Uwaga

Jeśli używasz serwerów proxy, możesz pominąć serwer proxy lub wykonać kopie zapasowe za pośrednictwem serwera proxy. Aby pominąć serwer proxy, przejdź do poniższych sekcji. Aby użyć serwera proxy do wykonywania kopii zapasowych, zobacz szczegóły konfiguracji serwera proxy dla magazynu usługi Recovery Services.

Dla każdej prywatnej strefy DNS wymienionej powyżej (dla kopii zapasowych, obiektów blob i kolejek) wykonaj następujące czynności:

  1. Przejdź do odpowiedniej opcji Łącza sieci wirtualnej na pasku nawigacyjnym po lewej stronie.

  2. Powinien być widoczny wpis dla sieci wirtualnej, dla której utworzono prywatny punkt końcowy, taki jak pokazany poniżej:

    Sieć wirtualna dla prywatnego punktu końcowego

  3. Jeśli nie widzisz wpisu, dodaj link do sieci wirtualnej do wszystkich tych stref DNS, które ich nie mają.

    Dodaj łącze sieci wirtualnej

W przypadku korzystania z niestandardowego serwera DNS lub plików hosta

  • Jeśli używasz niestandardowego serwera DNS, możesz użyć warunkowego przesyłania dalej dla usługi kopii zapasowej, obiektów blob i nazw FQDN kolejki, aby przekierować żądania DNS do usługi Azure DNS (168.63.129.16). Usługa Azure DNS przekierowuje ją do strefy usługi Azure Prywatna strefa DNS. W takiej konfiguracji upewnij się, że istnieje link sieci wirtualnej dla strefy usługi Azure Prywatna strefa DNS, jak wspomniano w tej sekcji.

    W poniższej tabeli wymieniono strefy usługi Azure Prywatna strefa DNS wymagane przez usługę Azure Backup:

    Strefa Usługa
    privatelink.<geo>.backup.windowsazure.com Wykonywanie kopii zapasowej
    privatelink.blob.core.windows.net Obiekt blob
    privatelink.queue.core.windows.net Queue

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionów Wschodnie stany USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

  • Jeśli używasz niestandardowych serwerów DNS lub plików hostów i nie masz konfiguracji strefy usługi Azure Prywatna strefa DNS, musisz dodać rekordy DNS wymagane przez prywatne punkty końcowe do serwerów DNS lub w pliku hosta.

    • W przypadku usługi tworzenia kopii zapasowej: przejdź do utworzonego prywatnego punktu końcowego, a następnie przejdź do konfiguracji DNS. Następnie dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako typ A rekordów w strefie DNS dla kopii zapasowej.

      Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><backup service privatelink FQDN>.

    • W przypadku obiektu blob i kolejki: usługa Azure Backup tworzy prywatne punkty końcowe dla obiektów blob i kolejek przy użyciu uprawnień tożsamości zarządzanej. Prywatne punkty końcowe dla obiektów blob i kolejek są zgodne ze <the name of the private endpoint>_ecs standardowym wzorcem nazewnictwa, zaczynają się od lub <the name of the private endpoint>_prot, i są odpowiednio sufiksami _blob i _queue .

      Przejdź do prywatnego punktu końcowego utworzonego przez usługę Azure Backup zgodnie z powyższym wzorcem, a następnie przejdź do konfiguracji DNS. Następnie dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako typ A rekordów w strefie DNS dla kopii zapasowej.

      Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><blob/queue FQDN>.

Uwaga

Usługa Azure Backup może przydzielić nowe konto magazynu dla danych kopii zapasowej, a rozszerzenie lub agent musi uzyskać dostęp do odpowiednich punktów końcowych. Aby uzyskać więcej informacji na temat dodawania kolejnych rekordów DNS po rejestracji i kopii zapasowej, zobacz wskazówki w sekcji Use Private Endpoints for Backup (Używanie prywatnych punktów końcowych do tworzenia kopii zapasowych ).

Używanie prywatnych punktów końcowych do tworzenia kopii zapasowej

Po zatwierdzeniu prywatnych punktów końcowych dla magazynu w sieci wirtualnej możesz rozpocząć korzystanie z nich do wykonywania kopii zapasowych i przywracania.

Ważne

Przed kontynuowaniem upewnij się, że zostały wykonane wszystkie kroki wymienione powyżej w dokumencie. Aby podsumować, należy wykonać kroki opisane na poniższej liście kontrolnej:

  1. Utworzono (nowy) magazyn usługi Recovery Services
  2. Włączono magazyn do używania przypisanej przez system tożsamości zarządzanej
  3. Przypisano odpowiednie uprawnienia do tożsamości zarządzanej magazynu
  4. Utworzono prywatny punkt końcowy dla magazynu
  5. Zatwierdzono prywatny punkt końcowy (jeśli nie został automatycznie zatwierdzony)
  6. Upewnij się, że wszystkie rekordy DNS są odpowiednio dodawane (z wyjątkiem rekordów obiektów blob i kolejek dla serwerów niestandardowych, które zostaną omówione w poniższych sekcjach)

Sprawdzanie łączności z maszyną wirtualną

Na maszynie wirtualnej w zablokowanej sieci upewnij się, że:

  1. Maszyna wirtualna powinna mieć dostęp do identyfikatora Entra firmy Microsoft.
  2. Wykonaj polecenie nslookup na adresie URL kopii zapasowej (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z maszyny wirtualnej, aby zapewnić łączność. Powinno to zwrócić prywatny adres IP przypisany w sieci wirtualnej.

Konfigurowanie kopii zapasowych

Po upewnieniu się, że po pomyślnym ukończeniu powyższej listy kontrolnej i dostępu można nadal konfigurować kopie zapasowe obciążeń w magazynie. Jeśli używasz niestandardowego serwera DNS, musisz dodać wpisy DNS dla obiektów blob i kolejek, które są dostępne po skonfigurowaniu pierwszej kopii zapasowej.

Rekordy DNS dla obiektów blob i kolejek (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej rejestracji

Po skonfigurowaniu kopii zapasowej dla co najmniej jednego zasobu w magazynie z włączoną obsługą prywatnego punktu końcowego dodaj wymagane rekordy DNS dla obiektów blob i kolejek zgodnie z poniższym opisem.

  1. Przejdź do grupy zasobów i wyszukaj utworzony prywatny punkt końcowy.

  2. Oprócz nazwy prywatnego punktu końcowego podanej przez Ciebie zobaczysz jeszcze dwa tworzone prywatne punkty końcowe. Te wartości zaczynają się od <the name of the private endpoint>_ecs i są odpowiednio sufiksami _blob i _queue .

    Zasoby prywatnego punktu końcowego

  3. Przejdź do każdego z tych prywatnych punktów końcowych. W opcji konfiguracji DNS dla każdego z dwóch prywatnych punktów końcowych zobaczysz rekord z i nazwą FQDN i adresem IP. Dodaj oba te elementy do niestandardowego serwera DNS, oprócz opisanych wcześniej. Jeśli używasz pliku hosta, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP/nazwy FQDN zgodnie z następującym formatem:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Konfiguracja dns obiektów blob

Oprócz powyższych, istnieje kolejny wpis potrzebny po pierwszej kopii zapasowej, który zostanie omówiony później.

Tworzenie kopii zapasowych i przywracanie obciążeń na maszynie wirtualnej platformy Azure (SQL i SAP HANA)

Po utworzeniu i zatwierdzeniu prywatnego punktu końcowego po stronie klienta nie są wymagane żadne inne zmiany w celu korzystania z prywatnego punktu końcowego (chyba że używasz grup dostępności SQL, które omówimy w dalszej części tej sekcji). Cała komunikacja i transfer danych z zabezpieczonej sieci do magazynu będą wykonywane za pośrednictwem prywatnego punktu końcowego. Jeśli jednak usuniesz prywatne punkty końcowe magazynu po zarejestrowaniu w nim serwera (SQL lub SAP HANA), musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony dla nich.

Rekordy DNS dla obiektów blob (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej kopii zapasowej

Po uruchomieniu pierwszej kopii zapasowej i użyciu niestandardowego serwera DNS (bez przekazywania warunkowego) prawdopodobnie tworzenie kopii zapasowej zakończy się niepowodzeniem. W takim przypadku:

  1. Przejdź do grupy zasobów i wyszukaj utworzony prywatny punkt końcowy.

  2. Oprócz trzech omówionych wcześniej prywatnych punktów końcowych zobaczysz czwarty prywatny punkt końcowy o nazwie rozpoczynającej się od <the name of the private endpoint>_prot i ma sufiks ._blob

    Prywatne endpoing z sufiksem

  3. Przejdź do tego nowego prywatnego punktu końcowego. W opcji konfiguracji DNS zobaczysz rekord z nazwą FQDN i adresem IP. Dodaj je do prywatnego serwera DNS, oprócz opisanych wcześniej.

    Jeśli używasz pliku hosta, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z następującym formatem:

    <private ip><space><blob service privatelink FQDN>

Uwaga

Na tym etapie powinno być możliwe uruchomienie polecenia nslookup z maszyny wirtualnej i rozpoznawanie prywatnych adresów IP po zakończeniu wykonywania kopii zapasowych i adresów URL magazynu.

W przypadku korzystania z grup dostępności SQL

W przypadku korzystania z grup dostępności SQL należy aprowizować przekazywanie warunkowe w niestandardowym systemie DNS grupy dostępności, jak opisano poniżej:

  1. Zaloguj się do kontrolera domeny.

  2. W aplikacji DNS dodaj warunkowe usługi przesyłania dalej dla wszystkich trzech stref DNS (kopia zapasowa, obiekty blob i kolejki) do adresu IP hosta 168.63.129.16 lub niestandardowego adresu IP serwera DNS, w razie potrzeby. Poniższe zrzuty ekranu pokazują, kiedy przekazujesz dalej do adresu IP hosta platformy Azure. Jeśli używasz własnego serwera DNS, zastąp ciąg adresem IP serwera DNS.

    Warunkowe usługi przesyłania dalej w Menedżerze DNS

    Nowy warunkowy usług przesyłania dalej

Tworzenie kopii zapasowej i przywracanie za pośrednictwem agenta MARS i serwera DPM

W przypadku tworzenia kopii zapasowej zasobów lokalnych przy użyciu agenta MARS upewnij się, że sieć lokalna (zawierająca zasoby do utworzenia kopii zapasowej) jest równorzędna z siecią wirtualną platformy Azure, która zawiera prywatny punkt końcowy dla magazynu, aby można było z niego korzystać. Następnie możesz kontynuować instalowanie agenta MARS i konfigurować kopię zapasową zgodnie z opisem w tym miejscu. Należy jednak upewnić się, że cała komunikacja na potrzeby tworzenia kopii zapasowej odbywa się tylko za pośrednictwem sieci równorzędnej.

Jeśli jednak usuniesz prywatne punkty końcowe dla magazynu po zarejestrowaniu agenta MARS, musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony dla nich.

Uwaga

  • Prywatne punkty końcowe są obsługiwane tylko w programie DPM Server 2022 (10.22.123.0) i nowszych wersjach.
  • Prywatne punkty końcowe są obsługiwane tylko w wersji 4 usługi MABS (14.0.30.0) i nowszych.

Usuwanie prywatnych punktów końcowych

Zobacz tę sekcję , aby dowiedzieć się, jak usunąć prywatne punkty końcowe.

Tematy dodatkowe

Tworzenie magazynu usługi Recovery Services przy użyciu klienta usługi Azure Resource Manager

Możesz utworzyć magazyn usługi Recovery Services i włączyć jego tożsamość zarządzaną (włączenie tożsamości zarządzanej jest wymagane, jak zobaczymy później) przy użyciu klienta usługi Azure Resource Manager. Poniżej udostępniono przykład:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Powyższy plik JSON powinien mieć następującą zawartość:

Żądanie JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Kod JSON odpowiedzi:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Uwaga

Magazyn utworzony w tym przykładzie za pośrednictwem klienta usługi Azure Resource Manager został już utworzony przy użyciu tożsamości zarządzanej przypisanej przez system.

Zarządzanie uprawnieniami w grupach zasobów

Tożsamość zarządzana magazynu musi mieć następujące uprawnienia w grupie zasobów i sieci wirtualnej, w której zostaną utworzone prywatne punkty końcowe:

  • Microsoft.Network/privateEndpoints/* Jest to wymagane do wykonania operacji CRUD w prywatnych punktach końcowych w grupie zasobów. Należy przypisać ją do grupy zasobów.
  • Microsoft.Network/virtualNetworks/subnets/join/action Jest to wymagane w sieci wirtualnej, w której prywatny adres IP jest dołączany do prywatnego punktu końcowego.
  • Microsoft.Network/networkInterfaces/read Jest to wymagane w grupie zasobów, aby uzyskać interfejs sieciowy utworzony dla prywatnego punktu końcowego.
  • Prywatna strefa DNS Rola współautora strefy Ta rola już istnieje i może służyć do udostępniania Microsoft.Network/privateDnsZones/A/* i Microsoft.Network/privateDnsZones/virtualNetworkLinks/read uprawnień.

Aby utworzyć role z wymaganymi uprawnieniami, możesz użyć jednej z następujących metod:

Ręczne tworzenie ról i uprawnień

Utwórz następujące pliki JSON i użyj polecenia programu PowerShell na końcu sekcji, aby utworzyć role:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Używanie skryptu

  1. Uruchom usługę Cloud Shell w witrynie Azure Portal i wybierz pozycję Przekaż plik w oknie programu PowerShell.

    Wybieranie pozycji Przekaż plik w oknie programu PowerShell

  2. Przekaż następujący skrypt: VaultMsiPrereqScript

  3. Przejdź do folderu macierzystego (na przykład: cd /home/user)

  4. Uruchom następujący skrypt:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Są to parametry:

    • subskrypcja: **SubscriptionId zawierający grupę zasobów, w której ma zostać utworzony prywatny punkt końcowy magazynu, oraz podsieć, w której zostanie dołączony prywatny punkt końcowy magazynu

    • vaultPEResourceGroup: grupa zasobów, w której zostanie utworzony prywatny punkt końcowy magazynu

    • vaultPESubnetResourceGroup: grupa zasobów podsieci, do której zostanie przyłączony prywatny punkt końcowy

    • vaultMsiName: nazwa tożsamości usługi zarządzanej magazynu, która jest taka sama jak VaultName

  5. Ukończ uwierzytelnianie, a skrypt zajmie kontekst podanej powyżej subskrypcji. Spowoduje to utworzenie odpowiednich ról, jeśli ich brakuje w dzierżawie i przypisze role do tożsamości usługi zarządzanej magazynu.

Tworzenie prywatnych punktów końcowych przy użyciu programu Azure PowerShell

Automatycznie zatwierdzone prywatne punkty końcowe

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ręczne zatwierdzanie prywatnych punktów końcowych przy użyciu klienta usługi Azure Resource Manager

  1. Użyj polecenia GetVault, aby uzyskać identyfikator prywatnego punktu końcowego Połączenie ion dla prywatnego punktu końcowego.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Spowoduje to zwrócenie identyfikatora Połączenie ion prywatnego punktu końcowego. Nazwę połączenia można pobrać przy użyciu pierwszej części identyfikatora połączenia w następujący sposób:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Pobierz identyfikator Połączenie ion prywatnego punktu końcowego (i nazwę prywatnego punktu końcowego, gdzie jest to wymagane) z odpowiedzi i zastąp go następującym identyfikatorem JSON i identyfikatorem URI usługi Azure Resource Manager, a następnie spróbuj zmienić stan na "Zatwierdzone/Odrzucone/Odłączone", jak pokazano w poniższym przykładzie:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Konfigurowanie serwera proxy dla magazynu usługi Recovery Services z prywatnym punktem końcowym

Aby skonfigurować serwer proxy dla maszyny wirtualnej platformy Azure lub maszyny lokalnej, wykonaj następujące kroki:

  1. Dodaj następujące domeny, do których należy uzyskać dostęp z serwera proxy.

    Usługa Nazwy domen Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    Zaktualizowane adresy URL domeny wymienione w sekcjach 56 i 59 w usłudze Microsoft 365 Common and Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Zgodnie z obowiązującymi przepisami.
  2. Zezwól na dostęp do tych domen na serwerze proxy i połącz prywatną strefę DNS ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) z siecią wirtualną, w której jest tworzony serwer proxy lub używa niestandardowego serwera DNS z odpowiednimi wpisami DNS.

    Sieć wirtualna, w której jest uruchomiony serwer proxy, a sieć wirtualna, w której jest tworzona prywatna karta sieciowa punktu końcowego, powinna być równorzędna, co umożliwi serwerowi proxy przekierowywanie żądań do prywatnego adresu IP.

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionów Wschodnie stany USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

Na poniższym diagramie przedstawiono konfigurację (podczas korzystania ze stref usługi Azure Prywatna strefa DNS) z serwerem proxy, którego sieć wirtualna jest połączona z prywatną strefą DNS z wymaganymi wpisami DNS. Serwer proxy może również mieć własny niestandardowy serwer DNS, a powyższe domeny mogą być warunkowo przekazywane do 168.63.129.16. Jeśli używasz niestandardowego pliku serwera DNS/hosta do rozpoznawania nazw DNS, zobacz sekcje dotyczące zarządzania wpisami DNS i konfigurowania ochrony.

Diagram przedstawiający konfigurację z serwerem proxy.

Tworzenie wpisów DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji

W tej sekcji omówimy przypadki, w których używasz strefy DNS obecnej w subskrypcji lub grupy zasobów, która różni się od tego, który zawiera prywatny punkt końcowy magazynu usługi Recovery Services, na przykład topologię piasty i szprych. Ponieważ tożsamość zarządzana używana do tworzenia prywatnych punktów końcowych (i wpisów DNS) ma uprawnienia tylko w grupie zasobów, w której są tworzone prywatne punkty końcowe, wymagane są dodatkowo wymagane wpisy DNS. Użyj następujących skryptów programu PowerShell, aby utworzyć wpisy DNS.

Uwaga

Zapoznaj się z całym procesem opisanym poniżej, aby uzyskać wymagane wyniki. Proces należy powtórzyć dwa razy — raz podczas pierwszego odnajdywania (aby utworzyć wpisy DNS wymagane dla kont magazynu komunikacji), a następnie raz podczas pierwszej kopii zapasowej (aby utworzyć wpisy DNS wymagane dla kont magazynu zaplecza).

Krok 1. Pobieranie wymaganych wpisów DNS

Użyj skryptu PrivateIP.ps1 , aby wyświetlić listę wszystkich wpisów DNS, które należy utworzyć.

Uwaga

W subscription poniższej składni odwołuje się do subskrypcji, w której ma zostać utworzony prywatny punkt końcowy magazynu.

Składnia używania skryptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Przykładowe dane wyjściowe

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2. Tworzenie wpisów DNS

Utwórz wpisy DNS odpowiadające powyższym wpisom. Na podstawie typu używanego systemu DNS masz dwie alternatywy do tworzenia wpisów DNS.

Przypadek 1: Jeśli używasz niestandardowego serwera DNS, musisz ręcznie utworzyć wpisy dla każdego rekordu z powyższego skryptu i sprawdzić, czy nazwa FQDN (ResourceName.DNS) jest rozpoznawana jako prywatny adres IP w sieci wirtualnej.

Przypadek 2: Jeśli używasz strefy usługi Azure Prywatna strefa DNS, możesz użyć skryptu CreateDNSEntries.ps1, aby automatycznie utworzyć wpisy DNS w strefie Prywatna strefa DNS. W poniższej składni jest subscription to ten, w którym istnieje Prywatna strefa DNS Strefa.

Składnia używania skryptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Podsumowanie całego procesu

Aby poprawnie skonfigurować prywatny punkt końcowy dla magazynu usługi Recovery Services za pomocą tego obejścia, należy:

  1. Utwórz prywatny punkt końcowy dla magazynu (zgodnie z opisem we wcześniejszej sekcji artykułu).
  2. Wyzwalanie odnajdywania. Odnajdywanie dla programu SQL/HANA zakończy się niepowodzeniem z błędem UserErrorVMInternet Połączenie ivityIssue, ponieważ wpisy DNS są nieobecne w przypadku konta magazynu komunikacji.
  3. Uruchom skrypty, aby uzyskać wpisy DNS i utworzyć odpowiednie wpisy DNS dla konta magazynu komunikacji wymienionego wcześniej w tej sekcji.
  4. Ponowne pobieranie odnajdywania. Tym razem odnajdywanie powinno zakończyć się pomyślnie.
  5. Wyzwalanie kopii zapasowej. Tworzenie kopii zapasowej baz danych SQL/HANA i MARS może zakończyć się niepowodzeniem, ponieważ wpisy DNS są nieobecne dla kont magazynu zaplecza, jak wspomniano wcześniej w tej sekcji.
  6. Uruchom skrypty, aby utworzyć wpisy DNS dla konta magazynu zaplecza.
  7. Ponowne pobieranie kopii zapasowej. Tym razem tworzenie kopii zapasowych powinno zakończyć się pomyślnie.

Często zadawane pytania

Czy mogę utworzyć prywatny punkt końcowy dla istniejącego magazynu usługi Recovery Services?

Nie, prywatne punkty końcowe można tworzyć tylko dla nowych magazynów usługi Recovery Services. Dlatego magazyn nie może nigdy mieć żadnych chronionych elementów. W rzeczywistości przed utworzeniem prywatnych punktów końcowych nie można podjąć żadnych prób ochrony żadnych elementów w magazynie.

Próbowałem chronić element w magazynie, ale nie powiodło się, a magazyn nadal nie zawiera żadnych chronionych elementów. Czy mogę utworzyć prywatne punkty końcowe dla tego magazynu?

Nie, magazyn nie może mieć żadnych prób ochrony żadnych elementów w przeszłości.

Mam magazyn korzystający z prywatnych punktów końcowych na potrzeby tworzenia kopii zapasowych i przywracania. Czy mogę później dodać lub usunąć prywatne punkty końcowe dla tego magazynu, nawet jeśli mam do niego chronione elementy kopii zapasowej?

Tak. Jeśli utworzono już prywatne punkty końcowe dla magazynu i chronione elementy kopii zapasowej, możesz później dodawać lub usuwać prywatne punkty końcowe zgodnie z potrzebami.

Czy prywatny punkt końcowy dla usługi Azure Backup może być również używany dla usługi Azure Site Recovery?

Nie, prywatny punkt końcowy kopii zapasowej może być używany tylko dla usługi Azure Backup. Musisz utworzyć nowy prywatny punkt końcowy dla usługi Azure Site Recovery, jeśli jest obsługiwany przez usługę.

Pominięto jeden z kroków opisanych w tym artykule i włączono ochronę źródła danych. Czy nadal mogę używać prywatnych punktów końcowych?

Nie można wykonać kroków opisanych w artykule i kontynuowania ochrony elementów, co może prowadzić do braku możliwości korzystania z prywatnych punktów końcowych. Dlatego zaleca się odwoływanie się do tej listy kontrolnej przed przejściem do ochrony elementów.

Czy mogę użyć własnego serwera DNS zamiast używać prywatnej strefy DNS platformy Azure lub zintegrowanej prywatnej strefy DNS?

Tak, możesz użyć własnych serwerów DNS. Upewnij się jednak, że wszystkie wymagane rekordy DNS są dodawane zgodnie z sugestią w tej sekcji.

Czy muszę wykonać dodatkowe kroki na serwerze po wykonaniu procesu opisanego w tym artykule?

Po wykonaniu procedury opisanej w tym artykule nie trzeba wykonywać dodatkowej pracy, aby używać prywatnych punktów końcowych do tworzenia kopii zapasowych i przywracania.

Następne kroki

  • Przeczytaj o wszystkich funkcjach zabezpieczeń w usłudze Azure Backup.