Tworzenie prywatnych punktów końcowych i korzystanie z nich dla Azure Backup

Ten artykuł zawiera informacje na temat procesu tworzenia prywatnych punktów końcowych dla Azure Backup oraz scenariuszy, w których prywatne punkty końcowe pomagają zachować bezpieczeństwo zasobów.

Przed rozpoczęciem

Przed przejściem do tworzenia prywatnych punktów końcowych upewnij się, że zostały spełnione wymagania wstępne i obsługiwane scenariusze.

Te szczegóły ułatwiają zrozumienie ograniczeń i warunków, które należy spełnić przed utworzeniem prywatnych punktów końcowych dla magazynów.

Wprowadzenie do tworzenia prywatnych punktów końcowych dla kopii zapasowej

W poniższych sekcjach omówiono kroki związane z tworzeniem i używaniem prywatnych punktów końcowych dla Azure Backup w sieciach wirtualnych.

Ważne

Zdecydowanie zaleca się wykonanie kroków w tej samej sekwencji, jak wspomniano w tym dokumencie. Nie można tego zrobić, może prowadzić do renderowania magazynu niezgodnego z użyciem prywatnych punktów końcowych i konieczności ponownego uruchomienia procesu przy użyciu nowego magazynu.

Tworzenie magazynu usługi Recovery Services

Prywatne punkty końcowe kopii zapasowej można tworzyć tylko dla magazynów usługi Recovery Services, które nie mają do niego żadnych elementów chronionych (lub nie miały żadnych elementów, które próbowały być chronione lub zarejestrowane w przeszłości). Dlatego zalecamy utworzenie nowego magazynu do rozpoczęcia od. Aby uzyskać więcej informacji na temat tworzenia nowego magazynu, zobacz Tworzenie i konfigurowanie magazynu usługi Recovery Services.

Zobacz tę sekcję, aby dowiedzieć się, jak utworzyć magazyn przy użyciu klienta usługi Azure Resource Manager. Spowoduje to utworzenie magazynu z włączoną tożsamością zarządzaną.

Odmowa dostępu do sieci publicznej do magazynu

Magazyny można skonfigurować tak, aby blokowały dostęp z sieci publicznych.

Wykonaj następujące kroki:

  1. Przejdź do obszaruSiećmagazynu>.

  2. Na karcie Dostęp publiczny wybierz pozycję Odmów , aby uniemożliwić dostęp z sieci publicznych.

    Zrzut ekranu przedstawiający sposób wybierania opcji Odmów.

    Uwaga

  3. Wybierz pozycję Zastosuj , aby zapisać zmiany.

Włączanie tożsamości zarządzanej dla magazynu

Tożsamości zarządzane umożliwiają magazynowi tworzenie prywatnych punktów końcowych i korzystanie z nich. W tej sekcji omówiono włączanie tożsamości zarządzanej dla magazynu.

  1. Przejdź do magazynu usługi Recovery Services —>Tożsamość.

    Zmień stan tożsamości na Wł.

  2. Zmień stan na Wł. , a następnie wybierz pozycję Zapisz.

  3. Generowany jest identyfikator obiektu , który jest tożsamością zarządzaną magazynu.

    Uwaga

    Po włączeniu tożsamości zarządzanej nie można jej wyłączyć (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Udzielanie uprawnień do magazynu w celu utworzenia wymaganych prywatnych punktów końcowych

Aby utworzyć wymagane prywatne punkty końcowe dla Azure Backup, magazyn (tożsamość zarządzana magazynu) musi mieć uprawnienia do następujących grup zasobów:

  • Grupa zasobów zawierająca docelową sieć wirtualną
  • Grupa zasobów, w której mają zostać utworzone prywatne punkty końcowe
  • Grupa zasobów zawierająca strefy Prywatna strefa DNS, jak opisano szczegółowo tutaj

Zalecamy przyznanie roli Współautor dla tych trzech grup zasobów do magazynu (tożsamości zarządzanej). W poniższych krokach opisano, jak to zrobić dla określonej grupy zasobów (należy to zrobić dla każdej z trzech grup zasobów):

  1. Przejdź do grupy zasobów i przejdź do pozycji Access Control (IAM) na pasku po lewej stronie.

  2. Po Access Control przejdź do pozycji Dodaj przypisanie roli.

    Dodaj przypisanie roli

  3. W okienku Dodawanie przypisania roli wybierz pozycję Współautor jako rolę i użyj nazwy magazynu jako podmiotu zabezpieczeń. Wybierz magazyn i wybierz pozycję Zapisz po zakończeniu.

    Wybieranie roli i podmiotu zabezpieczeń

Aby zarządzać uprawnieniami na bardziej szczegółowym poziomie, zobacz Ręczne tworzenie ról i uprawnień.

Tworzenie prywatnych punktów końcowych dla Azure Backup

W tej sekcji wyjaśniono, jak utworzyć prywatny punkt końcowy dla magazynu.

  1. Przejdź do utworzonego powyżej magazynu i przejdź do pozycji Połączenia prywatnego punktu końcowego na lewym pasku nawigacyjnym. Wybierz pozycję +Prywatny punkt końcowy u góry, aby rozpocząć tworzenie nowego prywatnego punktu końcowego dla tego magazynu.

    Tworzenie nowego prywatnego punktu końcowego

  2. Po utworzeniu prywatnego punktu końcowego musisz określić szczegóły tworzenia połączenia prywatnego punktu końcowego.

    1. Podstawy: wypełnij podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak magazyn i kopia zapasowa zasobu.

      Wypełnij podstawowe szczegóły

    2. Zasób: ta karta wymaga wybrania zasobu PaaS, dla którego chcesz utworzyć połączenie. Wybierz pozycję Microsoft. RecoveryServices/vaults z typu zasobu dla żądanej subskrypcji. Po zakończeniu wybierz nazwę magazynu usługi Recovery Services jako zasób i usługę AzureBackup jako zasób docelowy.

      Wybierz zasób dla połączenia

    3. Konfiguracja: W konfiguracji określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Będzie to sieć wirtualna, w której znajduje się maszyna wirtualna.

      Aby połączyć się prywatnie, potrzebne są wymagane rekordy DNS. Na podstawie konfiguracji sieci można wybrać jedną z następujących opcji:

      • Zintegruj prywatny punkt końcowy z prywatną strefą DNS: wybierz pozycję Tak , jeśli chcesz zintegrować.
      • Użyj niestandardowego serwera DNS: wybierz pozycję Nie , jeśli chcesz użyć własnego serwera DNS.

      Zarządzanie rekordami DNS dla obu tych rekordów zostało opisane w dalszej części.

      Określanie sieci wirtualnej i podsieci

    4. Opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

    5. Przejdź do sekcji Przeglądanie i tworzenie po zakończeniu wprowadzania szczegółów. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Zatwierdzanie prywatnych punktów końcowych

Jeśli użytkownik tworzący prywatny punkt końcowy jest również właścicielem magazynu usługi Recovery Services, prywatny punkt końcowy utworzony powyżej zostanie automatycznie zatwierdzony. W przeciwnym razie właściciel magazynu musi zatwierdzić prywatny punkt końcowy, zanim będzie mógł go używać. W tej sekcji omówiono ręczne zatwierdzanie prywatnych punktów końcowych za pośrednictwem Azure Portal.

Zobacz Ręczne zatwierdzanie prywatnych punktów końcowych przy użyciu klienta usługi Azure Resource Manager do używania klienta usługi Azure Resource Manager do zatwierdzania prywatnych punktów końcowych.

  1. W magazynie usługi Recovery Services przejdź do pozycji Prywatne połączenia punktu końcowego na pasku po lewej stronie.

  2. Wybierz połączenie prywatnego punktu końcowego, które chcesz zatwierdzić.

  3. Wybierz pozycję Zatwierdź na górnym pasku. Możesz również wybrać pozycję Odrzuć lub Usuń , jeśli chcesz odrzucić lub usunąć połączenie punktu końcowego.

    Zatwierdzanie prywatnych punktów końcowych

Zarządzanie rekordami DNS

Zgodnie z wcześniejszym opisem wymagane są wymagane rekordy DNS w prywatnych strefach DNS lub serwerach w celu nawiązania połączenia prywatnie. Prywatny punkt końcowy można zintegrować bezpośrednio z prywatnymi strefami DNS platformy Azure lub użyć niestandardowych serwerów DNS, aby to osiągnąć, na podstawie preferencji sieci. Należy to zrobić dla wszystkich trzech usług: Backup, Blobs i Queues.

Ponadto jeśli strefa DNS lub serwer znajdują się w subskrypcji innej niż ta, która zawiera prywatny punkt końcowy, zobacz również Tworzenie wpisów DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji.

Podczas integrowania prywatnych punktów końcowych z prywatnymi strefami DNS platformy Azure

Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatnymi strefami DNS, kopia zapasowa doda wymagane rekordy DNS. Prywatne strefy DNS używane w ramach konfiguracji DNS prywatnego punktu końcowego można wyświetlić. Jeśli te strefy DNS nie są obecne, zostaną one utworzone automatycznie podczas tworzenia prywatnego punktu końcowego. Należy jednak sprawdzić, czy sieć wirtualna (która zawiera zasoby do utworzenia kopii zapasowej) jest prawidłowo połączona ze wszystkimi trzema prywatnymi strefami DNS, zgodnie z poniższym opisem.

Konfiguracja DNS w prywatnej strefie DNS platformy Azure

Uwaga

Jeśli używasz serwerów proxy, możesz pominąć serwer proxy lub wykonać kopie zapasowe za pośrednictwem serwera proxy. Aby obejść serwer proxy, przejdź do poniższych sekcji. Aby użyć serwera proxy do wykonywania kopii zapasowych, zobacz szczegóły konfiguracji serwera proxy dla magazynu usługi Recovery Services.

Dla każdej prywatnej strefy DNS wymienionej powyżej (w przypadku kopii zapasowych, obiektów blob i kolejek) wykonaj następujące czynności:

  1. Przejdź do odpowiedniej opcji Łącza sieci wirtualnej na lewym pasku nawigacyjnym.

  2. Powinien być widoczny wpis dla sieci wirtualnej, dla której utworzono prywatny punkt końcowy, taki jak pokazany poniżej:

    Sieć wirtualna dla prywatnego punktu końcowego

  3. Jeśli nie widzisz wpisu, dodaj link do sieci wirtualnej do wszystkich tych stref DNS, które ich nie mają.

    Dodawanie linku sieci wirtualnej

W przypadku korzystania z niestandardowego serwera DNS lub plików hosta

Jeśli używasz niestandardowych serwerów DNS, musisz utworzyć wymagane strefy DNS i dodać rekordy DNS wymagane przez prywatne punkty końcowe do serwerów DNS. W przypadku obiektów blob i kolejek można również używać usług przesyłania dalej warunkowego.

W przypadku usługi Backup

  1. Na serwerze DNS utwórz strefę DNS dla kopii zapasowej zgodnie z następującą konwencją nazewnictwa:

    Strefa Usługa
    privatelink.<geo>.backup.windowsazure.com Backup

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionów Wschodnie stany USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

  2. Następnie musimy dodać wymagane rekordy DNS. Aby wyświetlić rekordy, które należy dodać do strefy Dns kopii zapasowej, przejdź do utworzonego powyżej prywatnego punktu końcowego i przejdź do opcji konfiguracji DNS na pasku nawigacyjnym po lewej stronie.

    Konfiguracja DNS dla niestandardowego serwera DNS

  3. Dodaj jeden wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako rekordy typu w strefie DNS dla kopii zapasowej. Jeśli używasz pliku hosta do rozpoznawania nazw, ustaw odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z następującym formatem:

    <private ip><space><backup service privatelink FQDN>

Uwaga

Jak pokazano na powyższym zrzucie ekranu, nazwy FQDN przedstawiają xxxxxxxx.<geo>.backup.windowsazure.com , a nie xxxxxxxx.privatelink.<geo>.backup.windowsazure.com. W takich przypadkach upewnij się, że uwzględnisz (i w razie potrzeby dodaj) .privatelink. zgodnie z podanym formatem.

W przypadku usług obiektów blob i kolejek

W przypadku obiektów blob i kolejek można użyć usług przesyłania dalej warunkowego lub utworzyć strefy DNS na serwerze DNS.

W przypadku korzystania z usług przesyłania dalej warunkowego

Jeśli używasz warunkowych usług przesyłania dalej, dodaj usługi przesyłania dalej dla obiektów blob i nazw FQDN kolejki w następujący sposób:

Nazwa FQDN Adres IP
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
W przypadku korzystania z prywatnych stref DNS

Jeśli używasz stref DNS dla obiektów blob i kolejek, musisz najpierw utworzyć te strefy DNS, a następnie dodać wymagane rekordy A.

Strefa Usługa
privatelink.blob.core.windows.net Obiekt blob
privatelink.queue.core.windows.net Kolejka

W tej chwili utworzymy tylko strefy dla obiektów blob i kolejek podczas korzystania z niestandardowych serwerów DNS. Dodanie rekordów DNS zostanie wykonane w dalszej części dwóch kroków:

  1. Podczas rejestrowania pierwszego wystąpienia kopii zapasowej podczas konfigurowania kopii zapasowej po raz pierwszy
  2. Po uruchomieniu pierwszej kopii zapasowej

Wykonamy te kroki w poniższych sekcjach.

Używanie prywatnych punktów końcowych do tworzenia kopii zapasowej

Po zatwierdzeniu prywatnych punktów końcowych utworzonych dla magazynu w sieci wirtualnej możesz zacząć ich używać do wykonywania kopii zapasowych i przywracania.

Ważne

Przed kontynuowaniem upewnij się, że wszystkie kroki wymienione powyżej zostały wykonane pomyślnie w dokumencie. Aby podsumować, musisz wykonać kroki opisane na poniższej liście kontrolnej:

  1. Utworzono (nowy) magazyn usługi Recovery Services
  2. Włączono magazyn do korzystania z przypisanej przez system tożsamości zarządzanej
  3. Przypisane odpowiednie uprawnienia do tożsamości zarządzanej magazynu
  4. Utworzono prywatny punkt końcowy dla magazynu
  5. Zatwierdzono prywatny punkt końcowy (jeśli nie został automatycznie zatwierdzony)
  6. Upewnij się, że wszystkie rekordy DNS są odpowiednio dodawane (z wyjątkiem rekordów obiektów blob i kolejek dla serwerów niestandardowych, które zostaną omówione w poniższych sekcjach)

Sprawdzanie łączności maszyny wirtualnej

Na maszynie wirtualnej w zablokowanej sieci upewnij się, że:

  1. Maszyna wirtualna powinna mieć dostęp do Azure AD.
  2. Wykonaj polecenie nslookup na adresie URL kopii zapasowej (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z maszyny wirtualnej, aby zapewnić łączność. Powinno to zwrócić prywatny adres IP przypisany do sieci wirtualnej.

Konfigurowanie kopii zapasowych

Po upewnieniu się, że powyższe listy kontrolnej i dostępu do zostały pomyślnie ukończone, możesz nadal konfigurować kopie zapasowe obciążeń w magazynie. Jeśli używasz niestandardowego serwera DNS, musisz dodać wpisy DNS dla obiektów blob i kolejek, które są dostępne po skonfigurowaniu pierwszej kopii zapasowej.

Rekordy DNS dla obiektów blob i kolejek (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej rejestracji

Po skonfigurowaniu kopii zapasowej dla co najmniej jednego zasobu w magazynie z włączonym prywatnym punktem końcowym dodaj wymagane rekordy DNS dla obiektów blob i kolejek zgodnie z poniższym opisem.

  1. Przejdź do grupy zasobów i wyszukaj utworzony prywatny punkt końcowy.

  2. Oprócz nazwy prywatnego punktu końcowego podanej przez Ciebie zobaczysz jeszcze dwa tworzone prywatne punkty końcowe. Te wartości zaczynają się <the name of the private endpoint>_ecs od i są sufiksami _blob i _queue odpowiednio.

    Zasoby prywatnego punktu końcowego

  3. Przejdź do każdego z tych prywatnych punktów końcowych. W opcji konfiguracji DNS dla każdego z dwóch prywatnych punktów końcowych zobaczysz rekord z nazwą FQDN i adresem IP. Dodaj oba te elementy do niestandardowego serwera DNS, oprócz opisanych wcześniej. Jeśli używasz pliku hosta, ustaw odpowiednie wpisy w pliku hosta dla każdego adresu IP/nazwy FQDN zgodnie z następującym formatem:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Konfiguracja dns obiektu blob

Oprócz powyższych, istnieje inny wpis potrzebny po pierwszej kopii zapasowej, która zostanie omówiona później.

Tworzenie kopii zapasowych i przywracanie obciążeń na maszynie wirtualnej platformy Azure (SQL i SAP HANA)

Po utworzeniu i zatwierdzeniu prywatnego punktu końcowego nie są wymagane żadne inne zmiany po stronie klienta w celu korzystania z prywatnego punktu końcowego (chyba że używasz grup dostępności SQL, które omówimy w dalszej części tej sekcji). Cała komunikacja i transfer danych z zabezpieczonej sieci do magazynu będą wykonywane za pośrednictwem prywatnego punktu końcowego. Jeśli jednak usuniesz prywatne punkty końcowe magazynu po zarejestrowaniu serwera (SQL lub SAP HANA), musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony.

Rekordy DNS dla obiektów blob (tylko dla niestandardowych serwerów DNS/plików hosta) po pierwszej kopii zapasowej

Po uruchomieniu pierwszej kopii zapasowej i użyciu niestandardowego serwera DNS (bez przekazywania warunkowego) prawdopodobnie tworzenie kopii zapasowej zakończy się niepowodzeniem. Jeśli tak się stanie:

  1. Przejdź do grupy zasobów i wyszukaj utworzony prywatny punkt końcowy.

  2. Oprócz trzech omówionych wcześniej prywatnych punktów końcowych zobaczysz czwarty prywatny punkt końcowy o nazwie rozpoczynającej się od <the name of the private endpoint>_prot i mają sufiks ._blob

    Prywatne zakończenie z sufiksem

  3. Przejdź do tego nowego prywatnego punktu końcowego. W opcji konfiguracji DNS zobaczysz rekord z nazwą FQDN i adresem IP. Dodaj je do prywatnego serwera DNS, oprócz opisanych wcześniej.

    Jeśli używasz pliku hosta, ustaw odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z następującym formatem:

    <private ip><space><blob service privatelink FQDN>

Uwaga

Na tym etapie powinno być możliwe uruchomienie polecenia nslookup z maszyny wirtualnej i rozpoznawanie prywatnych adresów IP po zakończeniu na adresach URL kopii zapasowej i magazynu magazynu.

W przypadku korzystania z grup dostępności SQL

W przypadku korzystania z grup dostępności SQL należy aprowizować przekazywanie warunkowe w niestandardowym systemie DNS grupy dostępności, jak opisano poniżej:

  1. Zaloguj się do kontrolera domeny.

  2. W aplikacji DNS dodaj warunkowe usługi przesyłania dalej dla wszystkich trzech stref DNS (kopia zapasowa, obiekty blob i kolejki) do adresu IP hosta 168.63.129.16 lub niestandardowego adresu IP serwera DNS, zgodnie z potrzebami. Poniższe zrzuty ekranu pokazują, kiedy przekazujesz dalej do adresu IP hosta platformy Azure. Jeśli używasz własnego serwera DNS, zastąp ciąg adresem IP serwera DNS.

    Warunkowe usługi przesyłania dalej w Menedżerze DNS

    Nowy usługę przesyłania dalej warunkowego

Tworzenie kopii zapasowej i przywracanie za pomocą agenta MARS i serwera DPM

Uwaga

  • Prywatne punkty końcowe są obsługiwane tylko z programem DPM Server 2022 lub nowszym.
  • Prywatne punkty końcowe nie są jeszcze obsługiwane w usłudze MABS.

Korzystając z agenta MARS do tworzenia kopii zapasowych zasobów lokalnych, upewnij się, że sieć lokalna (zawierająca zasoby do utworzenia kopii zapasowej) jest równorzędna z siecią wirtualną platformy Azure, która zawiera prywatny punkt końcowy magazynu, aby można było z niego korzystać. Następnie możesz zainstalować agenta MARS i skonfigurować kopię zapasową zgodnie z opisem w tym miejscu. Należy jednak upewnić się, że cała komunikacja na potrzeby tworzenia kopii zapasowej odbywa się tylko za pośrednictwem sieci równorzędnej.

Jeśli jednak usuniesz prywatne punkty końcowe magazynu po zarejestrowaniu agenta MARS, musisz ponownie zarejestrować kontener w magazynie. Nie musisz zatrzymywać ochrony.

Usuwanie prywatnych punktów końcowych

Zobacz tę sekcję , aby dowiedzieć się, jak usunąć prywatne punkty końcowe.

Tematy dodatkowe

Tworzenie magazynu usługi Recovery Services przy użyciu klienta usługi Azure Resource Manager

Możesz utworzyć magazyn usługi Recovery Services i włączyć jego tożsamość zarządzaną (włączenie tożsamości zarządzanej jest wymagane, jak zobaczymy później) przy użyciu klienta usługi Azure Resource Manager. Poniżej udostępniono przykład:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Powyższy plik JSON powinien mieć następującą zawartość:

Żądanie JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

JSON odpowiedzi:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Uwaga

Magazyn utworzony w tym przykładzie za pośrednictwem klienta usługi Azure Resource Manager został już utworzony przy użyciu tożsamości zarządzanej przypisanej przez system.

Zarządzanie uprawnieniami w grupach zasobów

Tożsamość zarządzana magazynu musi mieć następujące uprawnienia w grupie zasobów i sieci wirtualnej, w której zostaną utworzone prywatne punkty końcowe:

  • Microsoft.Network/privateEndpoints/* Jest to wymagane do wykonania operacji CRUD w prywatnych punktach końcowych w grupie zasobów. Należy przypisać ją do grupy zasobów.
  • Microsoft.Network/virtualNetworks/subnets/join/action Jest to wymagane w sieci wirtualnej, w której prywatny adres IP jest dołączany do prywatnego punktu końcowego.
  • Microsoft.Network/networkInterfaces/read Jest to wymagane w grupie zasobów, aby uzyskać interfejs sieciowy utworzony dla prywatnego punktu końcowego.
  • Prywatna strefa DNS rola współautora strefy Ta rola już istnieje i może służyć do udostępniania Microsoft.Network/privateDnsZones/A/* i Microsoft.Network/privateDnsZones/virtualNetworkLinks/read uprawnień.

Aby utworzyć role z wymaganymi uprawnieniami, możesz użyć jednej z następujących metod:

Ręczne tworzenie ról i uprawnień

Utwórz następujące pliki JSON i użyj polecenia programu PowerShell na końcu sekcji, aby utworzyć role:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Używanie skryptu

  1. Uruchom Cloud Shell w Azure Portal i wybierz pozycję Przekaż plik w oknie programu PowerShell.

    Wybieranie pozycji Przekaż plik w oknie programu PowerShell

  2. Przekaż następujący skrypt: VaultMsiPrereqScript

  3. Przejdź do folderu głównego (na przykład: cd /home/user)

  4. Uruchom poniższy skrypt:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Są to parametry:

    • subskrypcja: **SubscriptionId, która ma grupę zasobów, w której ma zostać utworzony prywatny punkt końcowy magazynu, oraz podsieć, w której zostanie dołączony prywatny punkt końcowy magazynu

    • vaultPEResourceGroup: grupa zasobów, w której zostanie utworzony prywatny punkt końcowy magazynu

    • vaultPESubnetResourceGroup: grupa zasobów podsieci, do której zostanie przyłączony prywatny punkt końcowy

    • vaultMsiName: nazwa tożsamości usługi zarządzanej magazynu, która jest taka sama jak VaultName

  5. Ukończ uwierzytelnianie, a skrypt zajmie kontekst podanej powyżej subskrypcji. Spowoduje to utworzenie odpowiednich ról, jeśli brakuje ich w dzierżawie i przypisze role do tożsamości usługi zarządzanej magazynu.

Tworzenie prywatnych punktów końcowych przy użyciu Azure PowerShell

Automatycznie zatwierdzone prywatne punkty końcowe

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ręczne zatwierdzanie prywatnych punktów końcowych przy użyciu klienta usługi Azure Resource Manager

  1. Użyj polecenia GetVault , aby uzyskać identyfikator połączenia prywatnego punktu końcowego dla prywatnego punktu końcowego.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Spowoduje to zwrócenie identyfikatora połączenia prywatnego punktu końcowego. Nazwę połączenia można pobrać przy użyciu pierwszej części identyfikatora połączenia w następujący sposób:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Pobierz identyfikator połączenia prywatnego punktu końcowego (i nazwę prywatnego punktu końcowego, gdzie jest to wymagane) z odpowiedzi i zastąp go następującym identyfikatorem JSON i identyfikatorem URI usługi Azure Resource Manager i spróbuj zmienić stan na "Zatwierdzone/Odrzucone/Rozłączone", jak pokazano w poniższym przykładzie:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Konfigurowanie serwera proxy dla magazynu usługi Recovery Services z prywatnym punktem końcowym

Aby skonfigurować serwer proxy dla maszyny wirtualnej platformy Azure lub maszyny lokalnej, wykonaj następujące kroki:

  1. Dodaj następujące domeny, do których należy uzyskać dostęp z serwera proxy.

    Usługa Nazwy domen Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Azure Active Directory

    Zaktualizowano adresy URL domeny wymienione w sekcjach 56 i 59 w usłudze Microsoft 365 Common and Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Zgodnie z przepisami.
  2. Zezwalaj na dostęp do tych domen na serwerze proxy i połącz prywatną strefę DNS ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) z siecią wirtualną, w której serwer proxy jest tworzony lub używa niestandardowego serwera DNS z odpowiednimi wpisami DNS.

    Sieć wirtualna, w której jest uruchomiony serwer proxy, a sieć wirtualna, w której jest tworzona prywatna karta sieciowa punktu końcowego, powinna być równorzędna, co umożliwi serwerowi proxy przekierowanie żądań do prywatnego adresu IP.

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionów Wschodnie stany USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

Na poniższym diagramie przedstawiono konfigurację (podczas korzystania ze stref usługi Azure Prywatna strefa DNS) z serwerem proxy, którego sieć wirtualna jest połączona z prywatną strefą DNS z wymaganymi wpisami DNS. Serwer proxy może również mieć własny niestandardowy serwer DNS, a powyższe domeny mogą być warunkowo przekazywane do wersji 168.63.129.16. Jeśli używasz niestandardowego pliku serwera DNS/hosta do rozpoznawania nazw DNS, zobacz sekcje dotyczące zarządzania wpisami DNS i konfigurowania ochrony.

Diagram przedstawiający konfigurację z serwerem proxy.

Tworzenie wpisów DNS, gdy serwer DNS/strefa DNS znajduje się w innej subskrypcji

W tej sekcji omówimy przypadki, w których używasz strefy DNS obecnej w subskrypcji lub grupy zasobów, która różni się od tego, który zawiera prywatny punkt końcowy magazynu usługi Recovery Services, na przykład topologię piasty i szprych. Ponieważ tożsamość zarządzana używana do tworzenia prywatnych punktów końcowych (i wpisów DNS) ma uprawnienia tylko w grupie zasobów, w której są tworzone prywatne punkty końcowe, wymagane są dodatkowo wymagane wpisy DNS. Użyj następujących skryptów programu PowerShell, aby utworzyć wpisy DNS.

Uwaga

Zapoznaj się z całym procesem opisanym poniżej, aby uzyskać wymagane wyniki. Proces należy powtórzyć dwa razy — raz podczas pierwszego odnajdywania (aby utworzyć wpisy DNS wymagane dla kont magazynu komunikacji), a następnie raz podczas pierwszej kopii zapasowej (aby utworzyć wpisy DNS wymagane dla kont magazynu zaplecza).

Krok 1. Uzyskiwanie wymaganych wpisów DNS

Użyj skryptu PrivateIP.ps1 , aby wyświetlić listę wszystkich wpisów DNS, które należy utworzyć.

Uwaga

W subscription poniższej składni odwołuje się do subskrypcji, w której ma zostać utworzony prywatny punkt końcowy magazynu.

Składnia używania skryptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Przykładowe dane wyjściowe

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2. Tworzenie wpisów DNS

Utwórz wpisy DNS odpowiadające powyższym wpisom. Na podstawie typu używanego systemu DNS masz dwie alternatywy do tworzenia wpisów DNS.

Przypadek 1: Jeśli używasz niestandardowego serwera DNS, musisz ręcznie utworzyć wpisy dla każdego rekordu z powyższego skryptu i sprawdzić, czy nazwa FQDN (ResourceName.DNS) jest rozpoznawana jako prywatny adres IP w sieci wirtualnej.

Przypadek 2: Jeśli używasz strefy usługi Azure Prywatna strefa DNS, możesz użyć skryptu CreateDNSEntries.ps1 do automatycznego tworzenia wpisów DNS w strefie Prywatna strefa DNS. W poniższej składni jest subscription to, w którym istnieje Prywatna strefa DNS Zone.

Składnia używania skryptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Podsumowanie całego procesu

Aby poprawnie skonfigurować prywatny punkt końcowy dla rsV za pomocą tego obejścia, należy:

  1. Utwórz prywatny punkt końcowy dla magazynu (zgodnie z opisem we wcześniejszej części artykułu).
  2. Wyzwalanie odnajdywania. Odnajdywanie dla programu SQL/HANA zakończy się niepowodzeniem z błędem UserErrorVMInternetConnectivityIssue , ponieważ wpisy DNS są nieobecne dla konta magazynu komunikacji.
  3. Uruchom skrypty, aby uzyskać wpisy DNS i utworzyć odpowiednie wpisy DNS dla konta magazynu komunikacji wymienione wcześniej w tej sekcji.
  4. Ponowne wyzwalanie odnajdywania. Tym razem odnajdywanie powinno zakończyć się pomyślnie.
  5. Wyzwalanie kopii zapasowej. Tworzenie kopii zapasowej bazy danych SQL/HANA i usługi MARS może zakończyć się niepowodzeniem, ponieważ wpisy DNS nie są nieobecne na kontach magazynu zaplecza, jak wspomniano wcześniej w tej sekcji.
  6. Uruchom skrypty, aby utworzyć wpisy DNS dla konta magazynu zaplecza.
  7. Ponownie wyzwól tworzenie kopii zapasowej. Tym razem tworzenie kopii zapasowych powinno zakończyć się powodzeniem.

Często zadawane pytania

Czy mogę utworzyć prywatny punkt końcowy dla istniejącego magazynu usługi Backup?

Nie, prywatne punkty końcowe można tworzyć tylko dla nowych magazynów kopii zapasowych. Dlatego magazyn nie może mieć żadnych chronionych elementów. W rzeczywistości przed utworzeniem prywatnych punktów końcowych nie można podjąć żadnych prób ochrony wszystkich elementów w magazynie.

Próbowałem chronić element w magazynie, ale nie powiodło się, a magazyn nadal nie zawiera żadnych elementów chronionych. Czy mogę utworzyć prywatne punkty końcowe dla tego magazynu?

Nie, magazyn nie może mieć żadnych prób ochrony żadnych elementów w przeszłości.

Mam magazyn korzystający z prywatnych punktów końcowych na potrzeby tworzenia kopii zapasowych i przywracania. Czy mogę później dodać lub usunąć prywatne punkty końcowe dla tego magazynu, nawet jeśli mam do niego chronione elementy kopii zapasowej?

Tak. Jeśli utworzono już prywatne punkty końcowe dla magazynu i chronione elementy kopii zapasowej, możesz później dodać lub usunąć prywatne punkty końcowe zgodnie z potrzebami.

Czy prywatny punkt końcowy dla Azure Backup może być również używany dla usługi Azure Site Recovery?

Nie, prywatny punkt końcowy kopii zapasowej może być używany tylko dla Azure Backup. Musisz utworzyć nowy prywatny punkt końcowy dla usługi Azure Site Recovery, jeśli jest obsługiwany przez usługę.

Brakowało mi jednego z kroków w tym artykule i włączono ochronę mojego źródła danych. Czy nadal mogę używać prywatnych punktów końcowych?

Nie wykonując kroków opisanych w artykule i kontynuując ochronę elementów, może prowadzić do tego, że magazyn nie może korzystać z prywatnych punktów końcowych. Dlatego zaleca się odwoływanie się do tej listy kontrolnej przed kontynuowaniem ochrony elementów.

Czy mogę używać własnego serwera DNS zamiast używać prywatnej strefy DNS platformy Azure lub zintegrowanej prywatnej strefy DNS?

Tak, można użyć własnych serwerów DNS. Upewnij się jednak, że wszystkie wymagane rekordy DNS są dodawane zgodnie z sugestią w tej sekcji.

Czy muszę wykonać dodatkowe kroki na moim serwerze po wykonaniu procesu opisanego w tym artykule?

Po wykonaniu procedury opisanej w tym artykule nie trzeba wykonywać dodatkowej pracy, aby używać prywatnych punktów końcowych do tworzenia kopii zapasowych i przywracania.

Następne kroki