Criar e utilizar endpoints privados (versão 1) para o Azure Backup

Este artigo fornece informações sobre o processo de criação de pontos de extremidade privados para o Backup do Azure e os cenários em que os pontos de extremidade privados ajudam a manter a segurança de seus recursos.

Nota

Azure Backup agora fornece uma nova experiência para criar pontos de extremidade privados. Mais informações.

Antes de começar

Certifique-se de ter lido os pré-requisitos e os cenários suportados antes de continuar a criar pontos de extremidade privados.

Esses detalhes ajudam-no a entender as limitações e condições que precisam ser cumpridas antes de criar endpoints privados para os seus cofres.

Introdução à criação de endpoints privados para backup

As seções a seguir discutem as etapas envolvidas na criação e no uso de pontos de extremidade privados para o Backup do Azure em suas redes virtuais.

Importante

É altamente recomendável que você siga as etapas na mesma sequência mencionada neste documento. Se isso não for feito, o cofre-forte poderá tornar-se incompatível para usar endpoints privados, o que pode exigir que reinicie o processo com um novo cofre-forte.

Criar um cofre dos Serviços de Recuperação

Os pontos de extremidade privados para Backup só podem ser criados para cofres dos Serviços de Recuperação que não tenham nenhum item protegido (ou que não tenham tido nenhum item tentado ser protegido ou registrado nele no passado). Por isso, sugerimos que você crie um novo cofre para começar. Para obter mais informações sobre como criar um novo cofre, consulte Criar e configurar um cofre dos Serviços de Recuperação.

Consulte esta seção para saber como criar um cofre usando a aplicação do Azure Resource Manager. Isso cria um cofre com a sua identidade de gestão já habilitada.

Bloquear acesso de rede pública ao cofre

Você pode configurar os cofres para negar o acesso a partir de redes públicas.

Siga estes passos:

1. Vá para o cofre>Redes.

2. Na guia Acesso público, selecione Negar para impedir o acesso de redes públicas.

   

   Nota

   • Depois de negar o acesso, ainda poderá aceder ao repositório seguro, mas não poderá transferir dados de ou para redes que não possuam endpoints privados. Para obter mais informações, consulte Criar pontos de extremidade privados para o Backup do Azure.
   • Se o acesso público for negado e um ponto de extremidade privado não estiver habilitado, os backups serão bem-sucedidos, mas as operações de restauração falharão para todas as cargas de trabalho, exceto Máquinas Virtuais. No entanto, a recuperação no nível de item da Máquina Virtual também falha. Certifique-se de configurar as restrições de rede com cuidado.

3. Selecione Aplicar para salvar as alterações.

Ativar a Identidade Gerenciada para o seu cofre

As identidades geridas permitem que o cofre crie e utilize pontos de extremidade privados. Esta seção fala sobre como habilitar a identidade gerenciada para seu cofre.

1. Vá para o Cofre de Serviços de Recuperação ->Identity.

   

2. Altere o Status para Ativado e selecione Salvar.

3. É gerado um ID de objeto, que é a identidade gerenciada do cofre.

   Nota

   Uma vez ativada, a Identidade Gerenciada não deve ser desabilitada (mesmo temporariamente). A desativação da identidade gerenciada pode levar a um comportamento inconsistente.

Conceder permissões ao cofre para criar os pontos finais privados necessários

Para criar os pontos de extremidade privados necessários para o Backup do Azure, o cofre (a Identidade Gerenciada do cofre) deve ter permissões para os seguintes grupos de recursos:

• O grupo de recursos que contém a VNet de destino
• O Grupo de Recursos no qual os Pontos de Extremidade Privados serão criados
• O Grupo de Recursos que contém as zonas DNS privadas, conforme discutido em detalhes aqui

Recomendamos que você conceda a função de Colaborador para esses três grupos de recursos ao cofre (identidade gerenciada). As etapas a seguir descrevem como fazer isso para um grupo de recursos específico (isso precisa ser feito para cada um dos três grupos de recursos):

1. Vá para o Grupo de Recursos e navegue até Controle de Acesso (IAM) na barra esquerda.

2. Uma vez no Controle de Acesso, vá para Adicionar uma atribuição de função.

   

3. No painel Adicionar atribuição de função, escolha Colaborador como Função, e use o Nome do cofre como Principal. Selecione seu cofre e selecione Salvar quando terminar.

   

Para gerenciar permissões em um nível mais granular, consulte Criar funções e permissões manualmente.

Criar Private Endpoints para o Backup do Azure

Esta secção explica como criar um ponto de extremidade privado para o seu depósito.

1. Navegue até ao cofre criado anteriormente e vá para Conexões de Ponto de Extremidade Privado na barra de navegação à esquerda. Selecione +Ponto de extremidade privado na parte superior para começar a criar um novo ponto de extremidade para este cofre.

   Nota

   O endpoint privado deve ter um nome único.

   

2. Uma vez no processo de criação de Ponto Final Privado, será pedido que especifique detalhes para criar a conexão do ponto final privado.

   1. Noções básicas: preencha os detalhes básicos dos seus endpoints privados. A região deve ser a mesma que o cofre e o recurso a ser copiado para backup.

      

   2. Recurso: esta guia requer que você selecione o recurso PaaS para o qual deseja criar sua conexão. Selecione Microsoft.RecoveryServices/vaults no tipo de recurso para a assinatura desejada. Uma vez feito, escolha o nome do seu cofre dos Serviços de Recuperação como o Recurso e o AzureBackup como o sub-recurso de destino.

      

   3. Configuração: Na configuração, especifique a rede virtual e a sub-rede onde você deseja que o ponto de extremidade privado seja criado. Esta será a Vnet em que a VM está presente.

      Para se conectar de forma privada, você precisa dos registros DNS necessários. Com base na configuração da rede, você pode escolher uma das seguintes opções:

      • Integre seu ponto de extremidade privado com uma zona DNS privada: Selecione Sim se desejar integrar.
      • Use seu servidor DNS personalizado: Selecione Não se desejar usar seu próprio servidor DNS.

      O gerenciamento de registros DNS para ambos é descrito mais tarde.

      

   4. Opcionalmente, pode adicionar tags ao seu endpoint privado.

   5. Prossiga para Rever + criar depois de concluir a introdução dos detalhes. Quando a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Aprovar endpoints privados

Se o utilizador que cria o ponto de extremidade privado for também o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado acima será aprovado automaticamente. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes de poder utilizá-lo. Esta secção discute a aprovação manual de endpoints privados através do portal do Azure.

Consulte Aprovação manual de pontos de extremidade privados com o cliente do Azure Resource Manager para aprovar pontos de extremidade privados.

1. No cofre do Serviço de Recuperação, navegue até Conexões de ponto de extremidade privado na barra esquerda.

2. Selecione a conexão de ponto de extremidade privada que deseja aprovar.

3. Selecione Aprovar na barra superior. Você também pode selecionar Rejeitar ou Remover se desejar rejeitar ou excluir a conexão do ponto final.

   

Gerir registos DNS

Conforme descrito anteriormente, você precisa dos registros DNS necessários em suas zonas ou servidores DNS privados para se conectar de forma privada. Você pode integrar seu ponto de extremidade privado diretamente com zonas DNS privadas do Azure ou usar seus servidores DNS personalizados para conseguir isso, com base em suas preferências de rede. Isso precisará ser feito para os três serviços: Backup, Blobs e Filas.

Além disso, se a zona DNS ou o servidor estiver presente numa subscrição diferente daquela que contém o endereço de rede privado, consulte também Criar entradas DNS quando o servidor/zona DNS estiver presente noutra subscrição.

Ao integrar endpoints privados com zonas DNS privadas do Azure

Se você optar por integrar seu ponto de extremidade privado com zonas DNS privadas, o Backup do Azure adicionará os registros DNS necessários. Você pode exibir as zonas privadas de DNS que estão sendo usadas na configuração de DNS do ponto de extremidade privado. Se essas zonas DNS não estiverem presentes, elas serão criadas automaticamente ao criar o ponto de extremidade privado.

Nota

A identidade gerida atribuída ao cofre deve ter as permissões para adicionar registos DNS na zona de DNS Privado do Azure.

No entanto, você deve verificar se sua rede virtual (que contém os recursos para backup) está corretamente vinculada a todas as três zonas DNS privadas, conforme descrito abaixo.

Nota

Se estiver a utilizar servidores proxy, pode optar por ignorar o servidor proxy ou efetuar cópias de segurança através do servidor proxy. Para ignorar um servidor proxy, continue para as seções a seguir. Para usar o servidor proxy para executar os seus backups, consulte os detalhes de configuração do servidor proxy para o cofre dos Serviços de Recuperação.

Validar links de rede virtual em zonas DNS privadas

Para cada zona DNS privada listada acima (para Backup, Blobs e Filas), faça o seguinte:

1. Navegue até a respetiva opção Links de rede virtual na barra de navegação esquerda.

2. Você deve ser capaz de ver uma entrada para a rede virtual para a qual você criou o ponto de extremidade privado, como a mostrada abaixo:

   

3. Se você não vir uma entrada, adicione um link de rede virtual a todas as zonas DNS que não as têm.

   

Quando estiver a usar um servidor DNS personalizado ou ficheiros 'host'

• Se estiveres a usar um servidor DNS personalizado, podes usar um reenviador condicional para os FQDNs de serviço de backup, blob e fila para redirecionar os pedidos DNS para o DNS do Azure (168.63.129.16). O DNS do Azure redireciona-o para a zona DNS Privada do Azure. Nessa configuração, verifique se existe um link de rede virtual para a zona DNS Privada do Azure, conforme mencionado nesta seção.

  A tabela a seguir lista as zonas de DNS Privado do Azure exigidas pelo Backup do Azure:

  Zona	Serviço
  privatelink.<geo>.backup.windowsazure.com	Backup
  privatelink.blob.core.windows.net	Blob
  privatelink.queue.core.windows.net	Fila

  Nota

  No texto acima, refere-se ao código de região (por exemplo<geo> e ne para o Leste dos EUA e Norte da Europa, respectivamente). Consulte as seguintes listas para códigos de regiões:

  • Todas as nuvens públicas
  • China
  • Alemanha
  • Governo dos EUA
  • Lista de códigos geográficos - XML de exemplo

• Se estiver a utilizar servidores DNS personalizados ou ficheiros de anfitrião e não tiver a configuração da zona DNS Privada do Azure, terá de adicionar os registos DNS exigidos pelos pontos de extremidade privados aos seus servidores DNS ou no ficheiro anfitrião.

  • Para o serviço de backup: navegue até ao ponto final privado que criou e vá para Configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A na zona DNS para backup.

    Se você estiver usando um arquivo host para resolução de nomes, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o formato - <private ip><space><backup service privatelink FQDN>.

  • Para o blob e a fila: o backup do Azure cria os pontos de extremidade privados para os blobs e as filas usando as permissões de identidade gerida. Os pontos de extremidade privados para blobs e filas seguem um padrão de nomenclatura; eles começam com <the name of the private endpoint>_ecs ou <the name of the private endpoint>_prot e são sufixados com _blob e _queue respectivamente.

    Navegue até o endpoint privado criado pelo Azure Backup depois de seguir o padrão acima e vá para Configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A na zona DNS para backup.

    Se você estiver usando um arquivo host para resolução de nomes, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o formato - <private ip><space><blob/queue FQDN>.

Nota

O Azure Backup pode alocar uma nova conta de armazenamento para o seu cofre de dados de backup, e a extensão ou agente precisa acessar os respetivos pontos de extremidade. Para obter mais informações sobre como adicionar mais registros DNS após o registro e o backup, consulte as orientações na seção Usar pontos de extremidade privados para backup .

Utilizar pontos de extremidade privados para backup

Depois que os pontos de extremidade privados criados para o cofre em sua rede virtual tiverem sido aprovados, você poderá começar a usá-los para executar backups e restaurações.

Importante

Certifique-se de ter concluído todas as etapas mencionadas acima no documento com sucesso antes de prosseguir. Para recapitular, você deve ter concluído as etapas na lista de verificação a seguir:

1. Criado um (novo) cofre de Serviços de Recuperação
2. Habilitado o cofre para usar a Identidade Gerenciada atribuída ao sistema
3. As permissões relevantes foram atribuídas à Identidade Gerenciada do cofre
4. Você criou um ponto de extremidade privado para o seu cofre
5. Aprovou o ponto de extremidade privado (caso não tenha sido aprovado automaticamente)
6. Garantido que todos os registos DNS sejam adicionados adequadamente (exceto registos de blob e fila para servidores específicos, que serão discutidos nas seções a seguir)

Verificar a conectividade da VM

Na VM na rede bloqueada, verifique o seguinte:

1. A VM deve ter acesso ao Microsoft Entra ID.
2. Execute nslookup na URL de backup (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) da sua VM para garantir a conectividade. Isso deve retornar o IP privado atribuído em sua rede virtual.

Configurar a cópia de segurança

Depois de garantir que a lista de verificação e o acesso acima foram concluídos com êxito, você pode continuar a configurar o backup de cargas de trabalho para o cofre. Se estiveres a usar um servidor DNS personalizado, precisarás de adicionar entradas DNS para blobs e queues que estão disponíveis após a configuração do primeiro backup.

Registos DNS para blobs e filas (apenas para servidores DNS personalizados/ficheiros de host) após o primeiro registo

Depois de configurar o backup para pelo menos um recurso num cofre ativado num ponto de extremidade privado, adicione os registos DNS necessários para blobs e filas, conforme descrito abaixo.

1. Navegue até ao seu Grupo de Recursos e procure o endpoint privado que criou.

2. Além do nome de ponto de extremidade privado fornecido por você, você verá mais dois pontos de extremidade privados sendo criados. Estes começam com <the name of the private endpoint>_ecs e são sufixados com _blob e _queue respectivamente.

   

3. Navegue até cada um destes pontos de extremidade privados. Na opção de configuração de DNS para cada um dos dois pontos de extremidade privados, você verá um registro com um FQDN e um endereço IP. Adicione ambos ao seu servidor DNS personalizado, além dos descritos anteriormente. Se você estiver usando um arquivo host, faça as entradas correspondentes no arquivo host para cada IP/FQDN de acordo com o seguinte formato:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

Além do acima, há outra entrada necessária após o primeiro backup, que será discutida mais tarde.

Backup e restauração de cargas de trabalho na VM do Azure (SQL e SAP HANA)

Depois que o ponto de extremidade privado é criado e aprovado, nenhuma outra alteração é necessária do lado do cliente para usar o ponto de extremidade privado (a menos que você esteja usando Grupos de Disponibilidade SQL, que discutiremos mais adiante nesta seção). Toda a comunicação e transferência de dados da sua rede segura para o cofre será realizada através do endpoint privado. No entanto, se forem removidos os pontos de extremidade privados do cofre após um servidor (SQL ou SAP HANA) ter sido registado nele, será necessário registar novamente o contentor no cofre. Você não precisa interromper a proteção deles.

Registos de DNS para blobs (apenas para servidores DNS personalizados/ficheiros de host) após o primeiro backup

Depois de executar o primeiro backup e estiver usando um servidor DNS personalizado (sem encaminhamento condicional), é provável que o backup falhe. Se tal acontecer:

1. Navegue até ao seu Grupo de Recursos e procure o endpoint privado que criou.

2. Além dos três pontos de extremidade privados discutidos anteriormente, agora verá um quarto ponto de extremidade privado com o seu nome começando com <the name of the private endpoint>_prot e sendo sufixado por _blob.

   

3. Navegue até este novo endpoint privado. Na opção de configuração de DNS, você verá um registro com um FQDN e um endereço IP. Adicione-os ao seu servidor DNS privado, além dos descritos anteriormente.

   Se você estiver usando um arquivo host, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o seguinte formato:

   <private ip><space><blob service privatelink FQDN>

Nota

Neste ponto, você deve ser capaz de executar nslookup a partir da VM e resolver para endereços IP privados quando feito nas URLs de backup e armazenamento do cofre.

Ao usar grupos de disponibilidade SQL

Ao usar o SQL Availability Groups (AG), você precisará provisionar o encaminhamento condicional no DNS AG personalizado, conforme descrito abaixo:

1. Inicie sessão no controlador de domínio.

2. No aplicativo DNS, adicione encaminhadores condicionais para todas as três zonas DNS (Backup, Blobs e Filas) ao IP do host 168.63.129.16 ou ao endereço IP do servidor DNS personalizado, conforme necessário. As capturas de tela a seguir mostram quando você está encaminhando para o IP do host do Azure. Se estiver a utilizar o seu próprio servidor DNS, substitua pelo IP do seu servidor DNS.

   

   

Faça backup e restaure por meio do agente MARS e do servidor DPM

Ao usar o Agente MARS para fazer backup dos seus recursos no local, verifique se a sua rede no local (que contém os recursos para backup) está conectada à VNet do Azure que contém um ponto de extremidade privado para o cofre, para que possa ser usada. Em seguida, você pode continuar a instalar o agente MARS e configurar o backup conforme detalhado aqui. No entanto, você deve garantir que toda a comunicação para backup aconteça apenas através da rede emparelhada.

Mas se removeres os pontos de extremidade privados para o armazém após um agente MARS ter sido registado nele, precisarás reconfigurar o contêiner no armazém. Você não precisa interromper a proteção deles.

Nota

• Os pontos de extremidade privados são suportados apenas com o servidor DPM 2022 (10.22.123.0) e versões posteriores.
• Os pontos de extremidade privados são suportados apenas com MABS V4 (14.0.30.0) e posterior.

Eliminar Endpoints Privados

Consulte esta seção para saber como eliminar Pontos de Extremidade Privados.

Tópicos adicionais

Criar um cofre dos Serviços de Recuperação usando o cliente do Azure Resource Manager

Você pode criar o cofre dos Serviços de Recuperação e habilitar a sua Identidade Gerenciada (é necessário habilitar a Identidade Gerenciada, como veremos posteriormente) usando o cliente do Azure Resource Manager. Um exemplo para fazer isso é compartilhado abaixo:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

O arquivo JSON acima deve ter o seguinte conteúdo:

Solicitar JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Resposta JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Nota

O cofre criado neste exemplo por meio do cliente do Azure Resource Manager já foi criado com uma identidade gerenciada atribuída ao sistema.

Gerenciando permissões em grupos de recursos

A identidade gerida para o cofre de chaves precisa ter as seguintes permissões no grupo de recursos e na rede virtual onde os pontos de extremidade privados serão criados:

• Microsoft.Network/privateEndpoints/* Isto é necessário para executar o CRUD em pontos de extremidade privados no grupo de recursos. Ele deverá ser atribuído no grupo de recursos.
• Microsoft.Network/virtualNetworks/subnets/join/action Isso é necessário na rede virtual onde o IP privado é anexado ao endpoint privado.
• Microsoft.Network/networkInterfaces/read Isso é necessário no grupo de recursos para permitir a criação da interface de rede para o ponto de extremidade privado.
• Função de Colaborador da Zona DNS Privada Esta função já existe e pode ser usada para fornecer Microsoft.Network/privateDnsZones/A/* e Microsoft.Network/privateDnsZones/virtualNetworkLinks/read permissões.

Você pode usar um dos seguintes métodos para criar funções com as permissões necessárias:

Criar funções e permissões manualmente

Crie os seguintes arquivos JSON e use o comando PowerShell no final da seção para criar funções:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Usar um script

1. Inicie o Cloud Shell no portal do Azure e selecione Carregar arquivo na janela do PowerShell.

   

2. Carregue o seguinte script: VaultMsiPrereqScript

3. Vá para a sua pasta de início (por exemplo: cd /home/user)

4. Execute o seguintes script:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   Estes são os parâmetros:

   • assinatura: **SubscriptionId que contém o grupo de recursos onde será criado o ponto de extremidade privado do cofre e a sub-rede onde será anexado o ponto de extremidade privado do cofre.

   • vaultPEResourceGroup: Grupo de recursos onde o ponto de extremidade privado para o cofre será criado

   • vaultPESubnetResourceGroup: Grupo de recursos da sub-rede à qual o ponto de extremidade privado será associado

   • vaultMsiName: Nome do MSI do cofre, que é o mesmo que VaultName

5. Conclua a autenticação e o script utilizará o contexto da assinatura fornecida acima. Isto criará as funções apropriadas se elas estiverem ausentes do inquilino e atribuirá funções ao MSI do cofre.

Criação de Pontos de Extremidade Privados Usando o Azure PowerShell

Pontos finais privados aprovados automaticamente

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Aprovação manual de endpoints privados com o Cliente do Azure Resource Manager

1. Use GetVault para obter o ID de Conexão de Ponto Final Privado para seu ponto de extremidade privado.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Isso retornará o ID de Conexão do Ponto Final Privado. O nome da conexão pode ser recuperado usando a primeira parte do ID de conexão da seguinte maneira:

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Obtenha a ID de Conexão do Ponto de Extremidade Privado (e o Nome do Ponto de Extremidade Privado, sempre que necessário) da resposta e substitua-a no seguinte JSON e no URI do Azure Resource Manager e tente alterar o Status para "Aprovado/Rejeitado/Desconectado", conforme demonstrado no exemplo abaixo:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Configurar um servidor proxy para o cofre dos Serviços de Recuperação com um ponto de extremidade privado

Para configurar um servidor proxy para VM do Azure ou máquina local, siga estas etapas:

1. Adicione os seguintes domínios que precisam ser acessados a partir do servidor proxy.

   Serviço	Nomes de domínio	Porto
   Azure Backup	*.backup.windowsazure.com	443
   Armazenamento do Azure	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Microsoft Entra ID URLs de domínio atualizadas mencionadas nas seções 56 e 59 no Microsoft 365 Common e no Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Conforme aplicável.

2. Permita o acesso a esses domínios no servidor proxy e vincule a zona DNS privada ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) com a VNET onde o servidor proxy é criado ou usa um servidor DNS personalizado com as respetivas entradas DNS.
   
   A VNET onde o servidor proxy está sendo executado e a VNET onde a NIC de ponto de extremidade privada é criada devem ser emparelhadas, o que permitiria que o servidor proxy redirecionasse as solicitações para IP privado.

   Nota

   No texto acima, refere-se ao código de região (por exemplo<geo> e ne para o Leste dos EUA e Norte da Europa, respectivamente). Consulte as seguintes listas para códigos de regiões:

   • Todas as nuvens públicas
   • China
   • Alemanha
   • Governo dos EUA
   • Lista de códigos geográficos - XML de exemplo

O diagrama a seguir mostra uma configuração (ao usar as zonas DNS Privadas do Azure) com um servidor proxy, cuja VNet está vinculada a uma zona DNS privada com entradas DNS necessárias. O servidor proxy também pode ter seu próprio servidor DNS personalizado, e os domínios acima podem ser encaminhados condicionalmente para 168.63.129.16. Se você estiver usando um servidor/arquivo host DNS personalizado para resolução de DNS, consulte as seções sobre gerenciamento de entradas DNS e configuração da proteção.

3. Para atualizar automaticamente o Agente MARS, permita o acesso ao download.microsoft.com/download/MARSagent/*.

Criar entradas DNS quando o servidor DNS/zona DNS estiver presente noutra subscrição

Nesta seção, discutiremos os casos em que está a utilizar uma zona DNS presente numa assinatura ou num Grupo de Recursos diferente daquele que contém o ponto de extremidade privado para o cofre dos Serviços de Recuperação, como uma topologia "hub and spoke". Como a identidade gerenciada usada para criar pontos de extremidade privados (e as entradas DNS) tem permissões somente no Grupo de Recursos no qual os pontos de extremidade privados são criados, as entradas DNS necessárias são necessárias adicionalmente. Use os seguintes scripts do PowerShell para criar entradas DNS.

Nota

Consulte todo o processo descrito abaixo para obter os resultados necessários. O processo precisa ser repetido duas vezes - uma vez durante a primeira descoberta (para criar entradas DNS necessárias para contas de armazenamento de comunicação) e, em seguida, uma vez durante o primeiro backup (para criar entradas DNS necessárias para contas de armazenamento back-end).

Etapa 1: Obter as entradas DNS necessárias

Use o script PrivateIP.ps1 para listar todas as entradas DNS que precisam ser criadas.

Nota

Na sintaxe abaixo, subscription refere-se à assinatura na qual se criará o ponto de extremidade privado do cofre.

Sintaxe para usar o script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Saída da amostra

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Etapa 2: Criar entradas DNS

Crie entradas DNS correspondentes às acima. Com base no tipo de DNS que está a utilizar, tem duas alternativas para criar entradas DNS.

Caso 1: Se você estiver usando um servidor DNS personalizado, precisará criar manualmente entradas para cada registro a partir do script acima e verificar se o FQDN (ResourceName.DNS) é resolvido para um IP privado dentro da VNET.

Caso 2: Se estiver a utilizar a Zona DNS Privada do Azure, pode utilizar o script CreateDNSEntries.ps1 para criar automaticamente entradas DNS na Zona DNS Privada. Na sintaxe a seguir, a Zona DNS Privada subscription é aquela onde existe.

Sintaxe para usar o script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Resumo de todo o processo

Para configurar corretamente o ponto de extremidade privado para o cofre de Serviços de Recuperação por meio desta solução alternativa, precisa de:

1. Crie um ponto de extremidade privado para o vault (conforme descrito anteriormente no artigo).
2. Descoberta de ativador. A descoberta para SQL/HANA falhará com UserErrorVMInternetConnectivityIssue porque não existem entradas DNS para a conta de armazenamento de comunicação.
3. Execute os scripts para obter entradas DNS e criar entradas DNS correspondentes para a conta de armazenamento de comunicação mencionada anteriormente nesta seção.
4. Reiniciar a descoberta. Desta vez, a descoberta deve ser bem-sucedida.
5. Acione a cópia de segurança. O backup para SQL/HANA e MARS pode falhar porque as entradas DNS estão ausentes para contas de armazenamento back-end, conforme mencionado anteriormente nesta seção.
6. Execute os scripts para criar entradas DNS para a conta de armazenamento back-end.
7. Reiniciar o backup. Desta vez, os backups deverão ser bem-sucedidos.

Perguntas mais frequentes

Posso criar um ponto de extremidade privado para um cofre dos Serviços de Recuperação existente?

Não, os pontos de extremidade privados podem ser criados apenas para novos Recovery Services Vaults. Portanto, o cofre nunca devia ter tido nenhum item protegido nele. Na verdade, antes da criação de pontos de extremidade privados, nenhuma tentativa de proteger quaisquer itens no cofre pode ser feita.

Tentei proteger um item no meu cofre, mas a tentativa falhou e o cofre ainda não contém nenhum item protegido. Posso criar pontos de extremidade privados para este cofre?

Não, o cofre não deve ter tido nenhuma tentativa de proteger quaisquer itens no passado.

Tenho um repositório que está a usar pontos de extremidade privados para backup e restauração. Mais tarde, posso adicionar ou remover pontos de extremidade privados para este cofre, mesmo que tenha itens de backup protegidos nele?

Sim. Se você já criou pontos de extremidade privados para um cofre e itens de backup protegidos para ele, poderá adicionar ou remover pontos de extremidade privados posteriormente, conforme necessário.

O ponto de extremidade privado do Backup do Azure também pode ser utilizado no Azure Site Recovery?

Não, o endpoint privado do Backup só pode ser usado para o Azure Backup. Caso seja suportado pelo serviço, você precisará criar um novo ponto de extremidade privado para o Azure Site Recovery.

Perdi uma das etapas deste artigo e passei a proteger minha fonte de dados. Posso continuar a utilizar terminais privados?

Não seguir as etapas no artigo e persistir em proteger os itens pode levar o cofre a não conseguir utilizar pontos de extremidade privados. Portanto, é recomendável que você consulte esta lista de verificação antes de prosseguir para proteger os itens.

Posso usar meu próprio servidor DNS em vez de usar a zona DNS privada do Azure ou uma zona DNS privada integrada?

Sim, você pode usar seus próprios servidores DNS. No entanto, certifique-se de que todos os registos DNS necessários são adicionados conforme sugerido nesta secção.

Preciso executar alguma etapa adicional no meu servidor depois de seguir o processo neste artigo?

Após seguir o processo detalhado neste artigo, não é necessário trabalho adicional para utilizar pontos de extremidade privados para fazer backup e restaurar.

Próximos passos

• Leia sobre todos os recursos de segurança do Azure Backup.