Utwórz i używaj prywatnych punktów końcowych (wersja 1) dla usługi Azure Backup

Ten artykuł dostarcza informacji na temat procesu tworzenia prywatnych punktów końcowych dla usługi Azure Backup oraz scenariuszy, w których prywatne punkty końcowe pomagają w utrzymaniu bezpieczeństwa Twoich zasobów.

Uwaga

Azure Backup teraz umożliwia nowe możliwości tworzenia prywatnych punktów końcowych. Dowiedz się więcej.

Zanim zaczniesz

Upewnij się, że zapoznałeś się z wymaganiami wstępnymi i obsługiwanymi scenariuszami przed przystąpieniem do tworzenia prywatnych punktów końcowych.

Szczegóły te pomogą Ci zrozumieć ograniczenia i warunki, które muszą zostać spełnione przed utworzeniem prywatnych punktów końcowych dla Twoich sejfów.

Rozpocznij tworzenie prywatnych punktów końcowych dla Backup.

Poniższe sekcje omawiają kroki związane z tworzeniem i używaniem prywatnych punktów końcowych dla Azure Backup wewnątrz twoich sieci wirtualnych.

Ważne

Zaleca się, aby postępować zgodnie z krokami w tej samej kolejności, jak wspomniano w tym dokumencie. Nieprzestrzeganie tego może spowodować, że skarbiec stanie się niekompatybilny z używaniem prywatnych punktów końcowych, co będzie wymagało ponownego rozpoczęcia procesu z nowym skarbcem.

Utwórz magazyn usług odzyskiwania danych

Prywatne punkty końcowe dla kopii zapasowej mogą być tworzone tylko dla skarbców usług odzyskiwania, które nie mają żadnych elementów chronionych (lub do których nie próbowano w przeszłości chronić ani rejestrować żadnych elementów). Sugerujemy, abyś na początek utworzył nowy sejf. Aby uzyskać więcej informacji na temat tworzenia nowego magazynu, zobacz Tworzenie i konfigurowanie magazynu usług odzyskiwania.

Zobacz tę sekcję, aby dowiedzieć się, jak utworzyć skarbiec za pomocą klienta Azure Resource Manager. Tworzy to skarbiec z już włączoną zarządzaną tożsamością.

Zabroń dostępu do skarbca z publicznej sieci

Możesz skonfigurować swoje skarbce, aby odmówić dostępu z sieci publicznych.

Postępuj zgodnie z tymi krokami:

1. Przejdź do vault>Networking.

2. Na karcie Publiczny dostęp wybierz Odmów, aby zapobiec dostępowi z sieci publicznych.

   

   Uwaga

   • Po odmowie dostępu nadal możesz uzyskać dostęp do skrytki, ale nie możesz przenosić danych do lub z sieci, które nie zawierają prywatnych punktów końcowych. Aby uzyskać więcej informacji, zobacz Tworzenie prywatnych punktów końcowych dla Azure Backup.
   • Jeśli dostęp publiczny zostanie odrzucony i prywatny punkt końcowy nie jest włączony, kopie zapasowe kończą się powodzeniem, ale operacje przywracania kończą się niepowodzeniem dla wszystkich obciążeń z wyjątkiem maszyn wirtualnych. Jednak odzyskiwanie na poziomie elementu maszyny wirtualnej również kończy się niepowodzeniem. Upewnij się, że ograniczenia sieci są dokładnie konfigurowane.
   • Obecnie odmawianie dostępu publicznego nie jest obsługiwane dla repozytoriów z włączonym odtwarzaniem między regionami.

3. Wybierz Zastosuj, aby zapisać zmiany.

Włącz zarządzaną tożsamość dla swojego skarbca

Zarządzane tożsamości pozwalają skarbcowi tworzyć i używać prywatnych punktów końcowych. Ta sekcja dotyczy włączenia zarządzanej tożsamości dla Twojego sejfu.

1. Przejdź do swojej skrytki Recovery Services ->Identity.

   

2. Zmień Status na Wł. i wybierz Zapisz.

3. Zostanie wygenerowany identyfikator obiektu, który stanowi tożsamość zarządzaną skrytki.

   Uwaga

   Po włączeniu tej opcji tożsamość zarządzana nie może być wyłączona (nawet tymczasowo). Wyłączenie zarządzanej tożsamości może prowadzić do niespójnego działania.

Przyznaj uprawnienia do skarbca na tworzenie wymaganych prywatnych punktów końcowych.

Aby utworzyć wymagane prywatne punkty końcowe dla Azure Backup, skarbiec (Zarządzana Tożsamość skarbca) musi mieć uprawnienia do następujących grup zasobów:

• Grupa zasobów, która zawiera docelową sieć VNet
• Grupa zasobów, w której mają zostać utworzone prywatne punkty końcowe
• Grupa zasobów, która zawiera prywatne strefy DNS, omówiona szczegółowo tutaj

Zalecamy nadanie roli Współtwórcy dla tych trzech grup zasobów w magazynie (zarządzana tożsamość). W poniższych krokach opisano, jak to zrobić dla określonej grupy zasobów (należy to zrobić dla każdej z trzech grup zasobów):

1. Przejdź do Grupy Zasobów i przejdź do Zarządzanie dostępem (IAM) na lewym pasku.

2. Po wejściu do Kontrola dostępu przejdź do Dodaj przypisanie roli.

   

3. W panelu Dodaj przypisanie roli wybierz Współpracownik jako Rola i użyj Nazwa sejfu jako Podmiot. Wybierz swój sejf i kliknij Zapisz po zakończeniu.

   

Aby zarządzać uprawnieniami na bardziej szczegółowym poziomie, zobacz Ręczne tworzenie ról i uprawnień.

Tworzenie prywatnych punktów końcowych dla usługi Azure Backup

Ta sekcja wyjaśnia, jak utworzyć prywatny punkt końcowy dla swojej skrytki.

1. Przejdź do swojego skarbca utworzonego powyżej i przejdź do Private endpoint connections w lewym pasku nawigacyjnym. Wybierz +Private endpoint na górze, aby rozpocząć tworzenie nowego prywatnego punktu końcowego dla tej skrytki.

   

2. Po utworzeniu prywatnego punktu końcowego należy określić szczegóły tworzenia połączenia prywatnego punktu końcowego.

   1. Podstawy: Wprowadź podstawowe informacje dla swoich prywatnych punktów końcowych. Region powinien być taki sam jak magazyn i kopię zapasową zasobu.

      

   2. Zasób: ta karta wymaga wybrania zasobu PaaS, dla którego chcesz utworzyć połączenie. Wybierz pozycję Microsoft.RecoveryServices/vaults z typu zasobu dla żądanej subskrypcji. Po zakończeniu wybierz nazwę swojego magazynu Recovery Services jako zasób i AzureBackup jako docelową podzasobę.

      

   3. Konfiguracja: W konfiguracji określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. To będzie Vnet, gdzie znajduje się VM.

      Aby połączyć się prywatnie, potrzebujesz niezbędnych rekordów DNS. Na podstawie konfiguracji sieci można wybrać jedną z następujących opcji:

      • Zintegruj swój prywatny punkt końcowy z prywatną strefą DNS: Wybierz Tak, jeśli chcesz zintegrować.
      • Użyj własnego serwera DNS: Wybierz Nie, jeśli chcesz korzystać z własnego serwera DNS.

      Zarządzanie rekordami DNS dla obu tych rekordów zostało opisane w dalszej części.

      

   4. Opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

   5. Przejdź do Recenzja + utwórz po wprowadzeniu szczegółów. Po zakończeniu walidacji wybierz Utwórz, aby utworzyć prywatny punkt końcowy.

Zatwierdź Prywatne Punkty Końcowe

Jeśli użytkownik tworzący prywatny punkt końcowy jest również właścicielem magazynu usługi Recovery Services, prywatny punkt końcowy utworzony powyżej zostanie automatycznie zatwierdzony. W przeciwnym razie właściciel skarbca musi zatwierdzić prywatny punkt końcowy, zanim będzie można go użyć. Ta sekcja omawia ręczną aprobatę prywatnych punktów końcowych za pośrednictwem portalu Azure.

Zobacz Ręczne zatwierdzanie prywatnych punktów końcowych za pomocą klienta Azure Resource Manager, aby użyć klienta Azure Resource Manager do zatwierdzania prywatnych punktów końcowych.

1. W skarbcu usług odzyskiwania przejdź do Połączenia prywatnego punktu końcowego na lewym pasku.

2. Wybierz połączenie z prywatnym punktem końcowym, które chcesz zatwierdzić.

3. Wybierz Approve na pasku górnym. Możesz również wybrać Odrzuć lub Usuń, jeśli chcesz odrzucić lub usunąć połączenie punktu końcowego.

   

Zarządzaj rekordami DNS

Jak opisano wcześniej, potrzebujesz odpowiednich rekordów DNS w swoich prywatnych strefach DNS lub serwerach, aby połączyć się prywatnie. Możesz albo zintegrować swój prywatny punkt końcowy bezpośrednio z prywatnymi strefami DNS Azure, albo użyć własnych serwerów DNS, aby to osiągnąć, w zależności od preferencji sieciowych. Trzeba to będzie zrobić dla wszystkich trzech usług: Backup, Blobs i Kolejki.

Ponadto jeśli strefa DNS lub serwer znajdują się w subskrypcji innej niż ta zawierająca prywatny punkt końcowy, zobacz również Tworzenie wpisów DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji.

Podczas integrowania prywatnych punktów końcowych z prywatnymi strefami DNS platformy Azure

Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatnymi strefami DNS, usługa Azure Backup doda wymagane rekordy DNS. Można wyświetlić prywatne strefy DNS używane w konfiguracji DNS prywatnego punktu końcowego. Jeśli te strefy DNS nie są obecne, zostaną one utworzone automatycznie podczas tworzenia prywatnego punktu końcowego.

Uwaga

Zarządzana tożsamość przypisana do magazynu powinna mieć uprawnienia do dodawania rekordów DNS w strefie Azure Private DNS.

Jednak należy zweryfikować, czy sieć wirtualna (zawierająca zasoby do kopiowania zapasowego) jest prawidłowo połączona ze wszystkimi trzema prywatnymi strefami DNS, jak opisano poniżej.

Uwaga

Jeśli korzystasz z serwerów proxy, możesz wybrać pominięcie serwera proxy lub wykonywanie kopii zapasowych przez serwer proxy. Aby obejść serwer proxy, przejdź do poniższych sekcji. Aby używać serwera proxy do wykonywania kopii zapasowych, zobacz szczegóły konfiguracji serwera proxy dla skarbca Usług Odzyskiwania.

Walidacja połączeń sieci wirtualnej w prywatnych strefach DNS

Dla każdej z wymienionych powyżej stref prywatnych DNS (dla kopii zapasowej, blobów i kolejek) wykonaj następujące czynności:

1. Przejdź do odpowiedniej opcji Virtual network links na lewym pasku nawigacyjnym.

2. Powinieneś być w stanie zobaczyć wpis dla sieci wirtualnej, dla której utworzyłeś prywatny punkt końcowy, podobny do tego pokazany poniżej:

   

3. Jeśli nie widzisz wpisu, dodaj link do sieci wirtualnej do wszystkich tych stref DNS, które ich nie mają.

   

Podczas korzystania z niestandardowego serwera DNS lub plików hostów

• Jeśli używasz niestandardowego serwera DNS, możesz użyć warunkowego przekierowania dla usługi kopii zapasowej, blobów i kolejki FQDN, aby przekierować żądania DNS do Azure DNS (168.63.129.16). Azure DNS przekierowuje go do strefy Azure Private DNS. W takim ustawieniu upewnij się, że istnieje wirtualne połączenie sieciowe dla strefy Azure Private DNS, jak wspomniano w this section.

  W poniższej tabeli wymieniono prywatne strefy DNS Azure wymagane przez Azure Backup.

  Strefa	Usługa
  privatelink.<geo>.backup.windowsazure.com	Kopia zapasowa
  privatelink.blob.core.windows.net	Blob
  privatelink.queue.core.windows.net	Kolejka

  Uwaga

  W powyższym tekście <geo> odnosi się do kodu regionu (na przykład eus i ne dla odpowiednio Wschodnich Stanów Zjednoczonych i Północnej Europy). Zobacz poniższe listy kodów regionów:

  • Wszystkie chmury publiczne
  • Chiny
  • Niemcy
  • US Gov
  • Lista kodu geograficznego — przykładowy kod XML

• Jeśli używasz niestandardowych serwerów DNS lub plików hostów i nie masz skonfigurowanej strefy prywatnej DNS w Azure, musisz dodać rekordy DNS wymagane przez prywatne punkty końcowe do swoich serwerów DNS lub do pliku hostów.

  • Usługa tworzenia kopii zapasowych: Przejdź do utworzonego przez siebie prywatnego punktu końcowego, a następnie przejdź do konfiguracji DNS. Następnie dodaj wpisy dla każdej FQDN i adresu IP wyświetlanego jako rekordy Typu A w Twojej strefie DNS dla kopii zapasowej.

    Jeśli używasz pliku hosta do rozwiązywania nazw, dokonaj odpowiednich wpisów w pliku hosta dla każdego IP i FQDN zgodnie z formatem - <private ip><space><backup service privatelink FQDN>.

  • For the blob and queue: Kopia zapasowa Azure tworzy prywatne punkty końcowe dla obiektów blob i kolejek, korzystając z uprawnień zarządzanej tożsamości. Prywatne punkty końcowe dla obiektów blob i kolejek stosują standardowy schemat nazewnictwa, zaczynają się od <the name of the private endpoint>_ecs lub <the name of the private endpoint>_prot, a kończą odpowiednio sufiksami _blob i _queue.

    Przejdź do prywatnego punktu końcowego utworzonego przez Azure Backup zgodnie z powyższym wzorcem, a następnie przejdź do konfiguracja DNS. Następnie dodaj wpisy dla każdej FQDN i adresu IP wyświetlanego jako rekordy Typu A w Twojej strefie DNS dla kopii zapasowej.

    Jeśli używasz pliku hosta do rozwiązywania nazw, dokonaj odpowiednich wpisów w pliku hosta dla każdego IP i FQDN zgodnie z formatem - <private ip><space><blob/queue FQDN>.

Uwaga

Usługa Azure Backup może przydzielić nowe konto magazynu dla danych kopii zapasowej, a rozszerzenie lub agent musi uzyskać dostęp do odpowiednich punktów końcowych. Aby dowiedzieć się więcej o tym, jak dodać więcej rekordów DNS po rejestracji i tworzeniu kopii zapasowej, zobacz poradnik w sekcji Użyj Prywatnych Punktów Końcowych dla Kopii Zapasowej.

Użyj prywatnych punktów końcowych do tworzenia kopii zapasowych

Po zatwierdzeniu prywatnych punktów końcowych dla magazynu w sieci wirtualnej możesz rozpocząć korzystanie z nich do wykonywania kopii zapasowych i przywracania.

Ważne

Upewnij się, że pomyślnie ukończyłeś wszystkie kroki wymienione powyżej w dokumencie, zanim przejdziesz dalej. Aby podsumować, musisz ukończyć kroki w poniższej liście kontrolnej:

1. Utworzono (nową) skrytkę usług odzyskiwania
2. Umożliwiono magazynowi korzystanie z zarządzanej tożsamości przypisanej przez system.
3. Nadano odpowiednie uprawnienia zarządzanej tożsamości skarbca
4. Utworzono prywatny punkt końcowy dla twojego sejfu
5. Zatwierdzono prywatny punkt końcowy (jeśli nie został automatycznie zatwierdzony)
6. Upewnij się, że wszystkie rekordy DNS są odpowiednio dodawane (z wyjątkiem rekordów obiektów blob i kolejek dla serwerów niestandardowych, które zostaną omówione w poniższych sekcjach)

Sprawdź łączność VM

Upewnij się, że w maszynie wirtualnej w zamkniętej sieci występują następujące kwestie:

1. Wirtualna Maszyna (VM) powinna mieć dostęp do Microsoft Entra ID.
2. Uruchom nslookup na zapasowym URL-u (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z Twojej maszyny wirtualnej, aby zapewnić łączność. Powinno to zwrócić przydzielony w twojej wirtualnej sieci prywatny adres IP.

Skonfiguruj kopię zapasową

Po upewnieniu się, że powyższa lista kontrolna została ukończona, a dostęp uzyskany, można kontynuować konfigurowanie kopii zapasowych obciążeń do sejfu. Jeśli używasz własnego serwera DNS, musisz dodać wpisy DNS dla obiektów blob i kolejek, które są dostępne po skonfigurowaniu pierwszej kopii zapasowej.

Rekordy DNS dla obiektów blob i kolejek (tylko dla niestandardowych serwerów DNS/plików hostów) po pierwszej rejestracji

Po skonfigurowaniu kopii zapasowej dla przynajmniej jednego zasobu w skarbcu z włączonym punktem końcowym prywatnym, dodaj wymagane rekordy DNS dla obiektów blob i kolejek, jak opisano poniżej.

1. Przejdź do swojej grupy zasobów i wyszukaj prywatny punkt końcowy, który utworzyłeś.

2. Poza nazwą prywatnego punktu końcowego nadaną przez Ciebie, zobaczysz, że zostaną utworzone dwa dodatkowe prywatne punkty końcowe. Zaczynają się od <the name of the private endpoint>_ecs i są zakończone odpowiednio _blob i _queue.

   

3. Nawiguj do każdego z tych prywatnych punktów końcowych. W opcji konfiguracji DNS dla każdego z dwóch prywatnych punktów końcowych zobaczysz rekord zawierający FQDN i adres IP. Dodaj oba te elementy do swojego niestandardowego serwera DNS, oprócz tych opisanych wcześniej. Jeśli używasz pliku hosts, wprowadź odpowiednie wpisy do pliku hosts dla każdego IP/FQDN zgodnie z poniższym formatem:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

Oprócz powyższego, potrzebny jest jeszcze jeden wpis po pierwszej kopii zapasowej, o którym mowa później.

Tworzenie kopii zapasowej i przywracanie obciążeń w maszynach wirtualnych Azure (SQL i SAP HANA)

Po utworzeniu i zatwierdzeniu prywatnego punktu końcowego, nie są wymagane żadne dalsze zmiany po stronie klienta do korzystania z prywatnego punktu końcowego (chyba że używasz Grup Dostępności SQL, o czym omówimy później w tej sekcji). Wszystkie komunikaty i transfery danych z Twojej zabezpieczonej sieci do skarbca będą realizowane przez prywatny punkt końcowy. Jednakże, jeśli usuniesz prywatne punkty końcowe dla skarbca po zarejestrowaniu serwera (SQL lub SAP HANA) z nim, będziesz musiał ponownie zarejestrować kontener w skarbcu. Nie musisz wstrzymywać ochrony dla nich.

Rekordy DNS dla obiektów binaryznych (tylko dla niestandardowych serwerów DNS/plików hostów) po pierwszej kopii zapasowej

Po uruchomieniu pierwszej kopii zapasowej i korzystaniu z niestandardowego serwera DNS (bez warunkowego przesyłania dalej), istnieje duże prawdopodobieństwo, że kopia zapasowa się nie powiedzie. Jeśli to się stanie:

1. Przejdź do swojej grupy zasobów i wyszukaj prywatny punkt końcowy, który utworzyłeś.

2. Oprócz trzech prywatnych punktów końcowych omówionych wcześniej, teraz zobaczysz czwarty prywatny punkt końcowy, którego nazwa zaczyna się od <the name of the private endpoint>_prot i kończy się na _blob.

   

3. Przejdź do tego nowego prywatnego punktu dostępu. W opcji konfiguracji DNS zobaczysz rekord z FQDN i adresem IP. Dodaj je do swojego prywatnego serwera DNS, oprócz tych, które zostały opisane wcześniej.

   Jeśli używasz pliku hosta, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i FQDN zgodnie z następującym formatem:

   <private ip><space><blob service privatelink FQDN>

Uwaga

W tym momencie powinieneś być w stanie uruchomić nslookup z maszyny wirtualnej (VM) i rozwiązać na prywatne adresy IP, gdy dotyczy to adresów URL kopii zapasowej i przechowywania w skarbcu.

Podczas używania grup dostępności SQL.

Kiedy używasz grup dostępności SQL (AG), musisz skonfigurować warunkowe przekazywanie w niestandardowym DNS AG, jak opisano poniżej:

1. Zaloguj się do swojego kontrolera domeny.

2. W aplikacji DNS dodaj przesyłaczy warunkowych dla wszystkich trzech stref DNS (Backup, Blobs i Queues) do hosta IP 168.63.129.16 lub niestandardowego adresu IP serwera DNS, w razie potrzeby. Poniższe zrzuty ekranu pokazują, kiedy przekazujesz na adres IP hosta Azure. Jeśli używasz własnego serwera DNS, zastąp jego adres IP adresem IP swojego serwera DNS.

   

   

Twórz kopie zapasowe i przywracaj dane za pomocą agenta MARS i serwera DPM

Podczas korzystania z agenta MARS do tworzenia kopii zapasowych zasobów lokalnych, upewnij się, że sieć lokalna (zawierająca zasoby do zarchiwizowania) jest połączona z siecią VNet Azure, która zawiera prywatny punkt końcowy dla magazynu, abyś mógł z niej korzystać. Następnie możesz kontynuować instalację agenta MARS i konfigurację kopii zapasowej, zgodnie ze szczegółowymi instrukcjami tutaj. Musisz jednak upewnić się, że wszelka komunikacja dotycząca kopii zapasowej odbywa się wyłącznie przez sieć partnerską.

Jeśli usuniesz prywatne punkty końcowe dla skarbca po zarejestrowaniu na nim agenta MARS, będziesz musiał ponownie zarejestrować kontener w skarbcu. Nie musisz wstrzymywać ochrony dla nich.

Uwaga

• Prywatne punkty końcowe są obsługiwane tylko przez serwer DPM 2022 (10.22.123.0) i nowsze wersje.
• Prywatne punkty końcowe są obsługiwane tylko przez MABS V4 (14.0.30.0) lub nowsze wersje.

Usuwanie Prywatnych Punktów Końcowych

Zobacz ten sekcja, aby dowiedzieć się, jak usunąć Prywatne Punkty Końcowe.

Dodatkowe tematy

Utwórz skarbiec usług odzyskiwania za pomocą klienta Azure Resource Manager

Możesz utworzyć skrytkę usługi odzyskiwania i włączyć jej Zarządzaną Tożsamość (włączenie Zarządzanej Tożsamości jest wymagane, jak później zobaczymy) za pomocą klienta Azure Resource Manager. Przykład, jak to zrobić, jest podany poniżej:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Plik JSON powyżej powinien zawierać następującą treść:

Żądanie JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Odpowiedź w formacie JSON

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Uwaga

W tym przykładzie, skarbiec utworzony za pomocą klienta Azure Resource Manager, jest już utworzony z przypisaną tożsamością zarządzaną przez system.

Zarządzanie uprawnieniami w grupach zasobów

Zarządzana tożsamość dla skrytki musi posiadać następujące uprawnienia w grupie zasobów oraz sieci wirtualnej, gdzie zostaną utworzone prywatne punkty końcowe.

• Microsoft.Network/privateEndpoints/* Jest to wymagane do wykonywania operacji CRUD na prywatnych punktach końcowych w grupie zasobów. Powinno być przypisane do grupy zasobów.
• Microsoft.Network/virtualNetworks/subnets/join/action Jest to wymagane w sieci wirtualnej, gdzie prywatny adres IP jest przypisywany do prywatnego punktu końcowego.
• Microsoft.Network/networkInterfaces/read Jest to wymagane w grupie zasobów, aby utworzyć interfejs sieciowy dla prywatnego punktu końcowego.
• Rola współtwórcy strefy DNS prywatnej już istnieje i może być używana do zapewniania uprawnień Microsoft.Network/privateDnsZones/A/* i Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Możesz użyć jednej z następujących metod, aby utworzyć role z wymaganymi uprawnieniami:

Twórz role i uprawnienia ręcznie

Utwórz następujące pliki JSON i użyj polecenia PowerShell na końcu sekcji, aby utworzyć role:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Użyj skryptu

1. Uruchom Cloud Shell w portalu Azure i wybierz Prześlij plik w oknie PowerShella.

   

2. Prześlij następujący skrypt: VaultMsiPrereqScript

3. Przejdź do swojego folderu domowego (na przykład: cd /home/user)

4. Uruchom następujący skrypt:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Oto parametry:

   • subscription: **IdentyfikatorSubskrypcji, który zawiera grupę zasobów, gdzie zostanie utworzony prywatny punkt końcowy dla skarbca, oraz podsieć, gdzie przyłączony będzie prywatny punkt końcowy skarbca.

   • vaultPEResourceGroup: Grupa zasobów, w której zostanie utworzony prywatny punkt końcowy dla skarbca

   • vaultPESubnetResourceGroup: Grupa zasobów podsieci, do której zostanie dołączony prywatny punkt końcowy

   • vaultMsiName: Nazwa MSI skarbca, która jest taka sama jak VaultName

5. Ukończ uwierzytelnianie, a skrypt przejmie kontekst podanej subskrypcji umieszczonej powyżej. Utworzy odpowiednie role, jeśli brakuje ich w dzierżawcy, i przypisze role do MSI skarbca.

Tworzenie prywatnych punktów końcowych przy użyciu Azure PowerShell

Automatycznie zatwierdzone prywatne punkty końcowe

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ręczna akceptacja prywatnych punktów końcowych za pomocą klienta Azure Resource Manager

1. Użyj GetVault, aby uzyskać identyfikator połączenia prywatnego punktu końcowego dla swojego prywatnego punktu końcowego.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   To zwróci identyfikator połączenia punktu końcowego Private Endpoint. Nazwę połączenia można uzyskać, używając pierwszej części identyfikatora połączenia w następujący sposób:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Pobierz ID połączenia prywatnego punktu końcowego (a także Nazwę prywatnego punktu końcowego, gdziekolwiek jest to wymagane) z odpowiedzi i zastąp je w poniższym JSON oraz w URI Azure Resource Manager, a następnie spróbuj zmienić Status na „Zatwierdzony/Odrzucony/Odłączony”, jak pokazano w poniższym przykładzie:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Skonfiguruj serwer proxy dla magazynu usług odzyskiwania z prywatnym punktem końcowym

Aby skonfigurować serwer proxy dla maszyny z Azure lub urządzenia lokalnego, wykonaj następujące kroki:

1. Dodaj następujące domeny, które muszą być dostępne z serwera proxy.

   Usługa	Nazwy domen	Port
   Azure Backup	*.backup.windowsazure.com	443
   Azure Storage	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra ID Zaktualizowane adresy URL domen wymienione w sekcjach 56 i 59 w Microsoft 365 Common and Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	W stosownych przypadkach.

2. Zezwól na dostęp do tych domen w serwerze proxy i połącz prywatną strefę DNS (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) z siecią VNET, gdzie utworzono serwer proxy, lub użyj niestandardowego serwera DNS z odpowiednimi wpisami DNS.
   
   Sieć VNET, w której działa serwer proxy oraz sieć VNET, w której został utworzony prywatny interfejs końcowy NIC, powinny być sparowane, co umożliwi serwerowi proxy przekierowanie żądań do prywatnego adresu IP.

   Uwaga

   W powyższym tekście <geo> odnosi się do kodu regionu (na przykład eus i ne dla odpowiednio Wschodnich Stanów Zjednoczonych i Północnej Europy). Zobacz poniższe listy kodów regionów:

   • Wszystkie chmury publiczne
   • Chiny
   • Niemcy
   • US Gov
   • Lista kodu geograficznego — przykładowy kod XML

Poniższy diagram przedstawia konfigurację z użyciem stref DNS prywatnych Azure, z serwerem proxy, którego VNet jest połączony z prywatną strefą DNS zawierającą wymagane wpisy DNS. Serwer proxy może także mieć swój własny niestandardowy serwer DNS, a powyższe domeny mogą być warunkowo przekazywane na 168.63.129.16. Jeśli używasz niestandardowego serwera DNS lub pliku hosta do rozwiązywania nazw DNS, zapoznaj się z sekcjami dotyczącymi zarządzania wpisami DNS oraz konfigurowania ochrony.

3. Aby automatycznie zaktualizować agenta MARS, zezwól na dostęp do download.microsoft.com/download/MARSagent/*.

Utwórz wpisy DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji

W tej sekcji omówimy przypadki, w których używasz strefy DNS obecnej w subskrypcji lub grupy zasobów różniącej się od tej zawierającej prywatny punkt końcowy dla skarbca usług odzyskiwania, na przykład w topologii gwiaździstej i promieniowej. Ponieważ zarządzana tożsamość używana do tworzenia prywatnych punktów końcowych (i wpisów DNS) ma uprawnienia tylko na grupie zasobów, w której tworzone są prywatne punkty końcowe, wymagane wpisy DNS są potrzebne dodatkowo. Użyj następujących skryptów PowerShell, aby utworzyć wpisy DNS.

Uwaga

Zapoznaj się z całym procesem opisanym poniżej, aby osiągnąć wymagane rezultaty. Proces należy powtórzyć dwa razy - raz podczas pierwszego odkrycia (aby utworzyć wpisy DNS wymagane dla kont przechowywania komunikacji), a następnie raz podczas pierwszej kopii zapasowej (aby utworzyć wpisy DNS wymagane dla kont przechowywania zaplecza).

Krok 1: Uzyskaj wymagane wpisy DNS

Użyj skryptu PrivateIP.ps1, aby wypisać wszystkie wpisy DNS, które muszą zostać utworzone.

Uwaga

W składni poniżej subscription odwołuje się do subskrypcji, w której ma zostać utworzony prywatny punkt końcowy sejfu.

Składnia stosowania skryptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Przykładowe dane wyjściowe

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2: Utwórz wpisy DNS

Utwórz wpisy DNS odpowiadające powyższym. Na podstawie rodzaju DNS, którego używasz, masz dwie możliwości tworzenia wpisów DNS.

Przypadek 1: Jeśli używasz niestandardowego serwera DNS, musisz ręcznie utworzyć wpisy dla każdego rekordu ze skryptu powyżej i zweryfikować, czy FQDN (ResourceName.DNS) rozwiązuje się do prywatnego IP w sieci VNET.

Przypadek 2: Jeśli używasz usługi Azure Private DNS Zone, możesz użyć skryptu CreateDNSEntries.ps1, aby automatycznie tworzyć wpisy DNS w Prywatnej Strefie DNS. W poniższej składni subscription jest tym, gdzie znajduje się Prywatna Strefa DNS.

Składnia używania skryptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Podsumowanie całego procesu

Aby poprawnie skonfigurować prywatny punkt końcowy dla magazynu usług odzyskiwania za pomocą tego obejścia, musisz:

1. Utwórz prywatny punkt końcowy dla skarbca (jak opisano wcześniej w artykule).
2. Wyzwalacz odkrycia. Odkrywanie SQL/HANA zakończy się niepowodzeniem z powodu UserErrorVMInternetConnectivityIssue, ponieważ brakuje wpisów DNS dla konta magazynu na potrzeby komunikacji.
3. Uruchom skrypty, aby uzyskać wpisy DNS i utworzyć odpowiednie wpisy DNS dla konta magazynu komunikacji wspomnianego wcześniej w tej sekcji.
4. Ponownie uruchom wyszukiwanie. Tym razem odkrycie powinno się udać.
5. Uruchom kopię zapasową. Kopie zapasowe dla SQL/HANA i MARS mogą się nie powieść, ponieważ brak wpisów DNS dla kont magazynu zaplecza, jak wspomniano wcześniej w tej sekcji.
6. Uruchom skrypty w celu utworzenia wpisów DNS dla konta magazynu zaplecza.
7. Ponownie uruchom kopię zapasową. Tym razem kopie zapasowe powinny się powieść.

Często zadawane pytania

Czy mogę utworzyć prywatny punkt końcowy dla istniejącej skrytki usług odzyskiwania danych?

Nie, prywatne punkty końcowe można tworzyć tylko dla nowych Skarbców Usług Odzyskiwania. Więc do skarbca nigdy nie trafiły żadne chronione przedmioty. W rzeczywistości nie można podjąć żadnych prób ochrony przedmiotów w skarbcu przed utworzeniem prywatnych punktów końcowych.

Próbowałem zabezpieczyć przedmiot w moim skarbcu, ale się nie udało i skarbiec nadal nie zawiera żadnych zabezpieczonych przedmiotów. Czy mogę utworzyć prywatne punkty końcowe dla tego zbioru?

Nie, skarbiec nie miał żadnych prób ochrony żadnych przedmiotów w przeszłości.

Mam sejf, który używa prywatnych punktów końcowych do tworzenia kopii zapasowych i odzyskiwania. Czy mogę później dodać lub usunąć prywatne punkty końcowe dla tej skrytki, nawet jeśli mam do niej przypisane elementy kopii zapasowej?

Tak. Jeśli już utworzyłeś prywatne końcówki dla skarbca i chroniłeś przedmioty kopii zapasowych, możesz później dodać lub usunąć prywatne końcówki zgodnie z wymaganiami.

Czy prywatny punkt końcowy dla Azure Backup może być również używany dla Azure Site Recovery?

Nie, prywatny punkt końcowy dla kopii zapasowej może być używany tylko do usługi Azure Backup. Aby skorzystać z Azure Site Recovery, będziesz musiał utworzyć nowy prywatny punkt końcowy, jeśli usługa to obsługuje.

Przegapiłem jeden z kroków w tym artykule i przeszedłem do ochrony mojego źródła danych. Czy nadal mogę używać prywatnych punktów końcowych?

Niezastosowanie się do kroków opisanych w artykule i kontynuowanie ochrony elementów może spowodować, że skarbiec nie będzie mógł korzystać z prywatnych punktów końcowych. Zaleca się zatem zapoznanie się z tą listą kontrolną przed przystąpieniem do zabezpieczania przedmiotów.

Czy mogę używać własnego serwera DNS zamiast korzystania z prywatnej strefy DNS Azure lub zintegrowanej prywatnej strefy DNS?

Tak, możesz używać własnych serwerów DNS. Upewnij się jednak, że wszystkie wymagane rekordy DNS zostały dodane zgodnie z zaleceniami w tej sekcji.

Czy muszę wykonać dodatkowe kroki na moim serwerze po zastosowaniu się do procesu opisanego w tym artykule?

Po zastosowaniu się do procesu opisanego w tym artykule, nie musisz podejmować dodatkowych działań, aby używać prywatnych punktów końcowych do tworzenia kopii zapasowych i przywracania danych.

Kolejne kroki

• Przeczytaj o wszystkich funkcjach zabezpieczeń w Azure Backup.