Создание и использование частных конечных точек (версия 1) для Azure Backup

В этой статье приводятся основные сведения о процессе создания частных конечных точек для Azure Backup и сценариях, в которых использование частных конечных точек помогает обеспечить безопасность ресурсов.

Примечание.

Azure Backup теперь предоставляет новый интерфейс для создания частных конечных точек. Подробнее.

Перед началом работы

Убедитесь, что перед созданием частных конечных точек вы ознакомились с предварительными требованиями и поддерживаемыми сценариями.

Эти сведения помогут вам понять ограничения и условия, которые должны быть выполнены перед созданием частных конечных точек для хранилищ.

Создание частных конечных точек для резервного копирования

В следующих разделах описываются действия по созданию и использованию частных конечных точек для службы Azure Backup в виртуальных сетях.

Внимание

Настоятельно рекомендуется выполнять действия в последовательности, в какой они приведены в этом документе. В противном случае хранилище не сможет использовать частные конечные точки и вам придется начать процесс заново с новым хранилищем.

Создание хранилища Служб восстановления

Частные конечные точки для резервного копирования могут быть созданы только для хранилищ служб восстановления, которые не имеют защищенных элементов (или не предоставили какие-либо элементы для защиты или регистрации в прошлом). Поэтому мы рекомендуем создать новое хранилище для начала работы. Подробнее о создании нового хранилища см. в статье Создание и настройка хранилища Служб восстановления.

Сведения о создании хранилища с помощью клиента Azure Resource Manager см. в этом разделе. В нем даны инструкции по созданию хранилища с уже включенным управляемым удостоверением.

Запрет доступа к общедоступной сети в хранилище

Хранилища можно настроить для запрета доступа из общедоступных сетей.

Выполните следующие действия:

1. Перейдите в сеть хранилища>.

2. На вкладке "Общедоступный доступ" выберите "Запретить доступ" для предотвращения доступа к общедоступным сетям.

   

   Примечание.

   • После запрета доступа вы по-прежнему можете получить доступ к хранилищу, но нельзя перемещать данные в сети, не содержащие частные конечные точки. Дополнительные сведения см. в статье "Создание частных конечных точек для Azure Backup".
   • Запрет общедоступного доступа в настоящее время не поддерживается для хранилищ с включенным восстановлением между регионами.

3. Выберите Применить, чтобы сохранить изменения.

Включение управляемого удостоверения для хранилища

Управляемые удостоверения позволяют создавать и использовать частные конечные точки в хранилище. В этом разделе рассказывается о том, как включить управляемое удостоверение для хранилища.

1. Перейдите в хранилище Служб восстановления и откройте вкладку Удостоверение.

   

2. Измените Состояние на Вкл и нажмите кнопку Сохранить.

3. Будет создан идентификатор объекта, который является управляемым удостоверением хранилища.

   Примечание.

   После включения управляемое удостоверение нельзя отключать (даже временно). Отключение управляемого удостоверения может привести к несогласованному поведению.

Предоставление разрешений хранилищу для создания обязательных частных конечных точек

Чтобы создавать обязательные частные конечные точки для Azure Backup, хранилище (управляемое удостоверение хранилища) должно иметь разрешения для следующих групп ресурсов:

• группа ресурсов, в которой содержится целевая виртуальная сеть;
• группа ресурсов, в которой будут созданы частные конечные точки;
• группа ресурсов, в которой содержатся частные зоны DNS (подробное описание см. здесь).

Мы рекомендуем предоставить роль участника для этих трех групп ресурсов хранилищу (управляемое удостоверение). Ниже описано, как это сделать для определенной группы ресурсов (это необходимо сделать для каждой из трех групп ресурсов).

1. Перейдите к группе ресурсов и выберите Контроль доступа (IAM) на левой панели.

2. На вкладке Контроль доступа (IAM) перейдите к разделу Добавить назначение роли.

   

3. В области Добавить назначение роли выберите Участник в качестве роли и используйте имя хранилища в качестве субъекта. Выберите хранилище и нажмите кнопку Сохранить.

   

Дополнительные сведения о более точном управлении разрешениями см. в статье Создание ролей и разрешений вручную.

Создание частных конечных точек для Azure Backup

В этом разделе объясняется, как создать частную конечную точку для хранилища.

1. Выберите созданное ранее хранилище и перейдите к разделу Подключения к частным конечным точкам на левой панели навигации. Выберите + Частная конечная точка в верхней части, чтобы приступить к созданию новой частной конечной точки для этого хранилища.

   

2. На странице Создание частной конечной точки необходимо ввести сведения для создания подключения к частной конечной точке.

   1. Основныесведения. Укажите основные данные для частных конечных точек. Регион, указанный для хранилища и копируемого ресурса, должен совпадать.

      

   2. Ресурс. На этой вкладке необходимо выбрать ресурс PaaS, для которого нужно создать подключение. Выберите Microsoft.RecoveryServices/vaults в списке "Тип ресурса" для выбранной подписки. После этого выберите имя хранилища служб восстановления в качестве ресурса и AzureBackup в качестве целевого подресурса.

      

   3. Конфигурация. В разделе конфигурации укажите виртуальную сеть и подсеть, в которых необходимо создать частную конечную точку. Это будет виртуальная сеть, в которой находится виртуальная машина.

      Для создания частного подключения требуются указать записи DNS. В зависимости от конфигурации сети выберите один из следующих вариантов.

      • Интеграция частной конечной точки с частной зоной DNS: выберите Да, чтобы выполнить интеграцию.
      • Использование собственного DNS-сервера: выберите Нет, если хотите использовать собственный DNS-сервер.

      Управление записями DNS для обоих типов описано далее.

      

   4. При необходимости для частной конечной точки можно добавить теги.

   5. После ввода данных перейдите к пункту Просмотр и создание. По завершении проверки выберите Создать, чтобы создать частную конечную точку.

Утверждение частной конечной точки

Если пользователь, создающий частную конечную точку, также является владельцем хранилища Служб восстановления, созданная по описанной выше схеме частная конечная точка будет утверждена автоматически. В противном случае владелец хранилища должен утвердить частную конечную точку, прежде чем ею можно будет пользоваться. В этом разделе описано утверждение частных конечных точек вручную с помощью портала Azure.

См. раздел Утверждение частных конечных точек вручную с помощью клиента Azure Resource Manager, чтобы использовать клиент Azure Resource Manager для утверждения частных конечных точек.

1. Перейдите к хранилищу служб восстановления и выберите раздел Подключение частных конечных точек на левой панели.

2. Выберите подключение частной конечной точки, которое требуется утвердить.

3. Нажмите кнопку Сохранить на верхней панели. Если требуется отклонить или удалить подключение конечной точки, выберите Отклонить или Удалить.

   

Управление записями DNS

Как упоминалось ранее, для создания частного подключения требуется добавить записи DNS в частных зонах DNS или на серверах. В зависимости от настроек сети вы можете интегрировать частную конечную точку напрямую с частными DNS-зонами Azure или использовать для этого собственные DNS-серверы. Настройки необходимо выполнить для всех трех служб: резервного копирования, больших двоичных объектов и очередей.

Кроме того, если зона DNS или сервер находятся в подписке, отличной от той, которая содержит частную конечную точку, также см. раздел Создание записей DNS, когда DNS-сервер или зона DNS находится в другой подписке.

Интеграция частных конечных точек с частными зонами DNS Azure

Если вы решили интегрировать частную конечную точку с частными зонами DNS, Azure Backup добавит необходимые записи DNS. Вы можете просмотреть частные зоны DNS, используемые в конфигурации DNS частной конечной точки. Если эти зоны DNS отсутствуют, они будут созданы автоматически при создании частной конечной точки.

Примечание.

Управляемое удостоверение, назначенное хранилищу, должно иметь разрешения на добавление записей DNS в зону Частная зона DNS Azure.

Однако необходимо убедиться, что виртуальная сеть (которая содержит ресурсы для резервного копирования) правильно связана со всеми тремя частными зонами DNS, как описано ниже.

Примечание.

Если используется прокси-сервер, вы можете обойти его или выполнить резервное копирование с его помощью. О том, как обойти прокси-сервер, см. в следующих разделах. О том, как использовать прокси-сервер для резервного копирования см. в статье о настройке прокси-сервера для хранилища Служб восстановления.

Проверка ссылок на виртуальные сети в частных зонах DNS

Для каждой частной зоны DNS, указанной выше (для резервного копирования, больших двоичных объектов и очередей), выполните следующие действия.

1. Перейдите к соответствующему параметру ссылки на виртуальную сеть на панели навигации слева.

2. Для виртуальной сети, для которой создана данная частная конечная точка, будет присутствовать примерно такая запись:

   

3. Если вы не видите никакой записи, добавьте ссылку на виртуальную сеть для всех зон DNS, которые их не содержат.

   

Использование собственного DNS-сервера или файлов узлов

• Если вы используете пользовательский DNS-сервер, можно использовать условный сервер пересылки для службы резервного копирования, больших двоичных объектов и полных доменных имен очередей для перенаправления DNS-запросов в Azure DNS (168.63.129.16). Azure DNS перенаправляет его в зону Частная зона DNS Azure. В такой настройке убедитесь, что связь виртуальной сети для зоны Azure Частная зона DNS существует как упоминание в этом разделе.

  В следующей таблице перечислены зоны Azure Частная зона DNS, необходимые Для Azure Backup:

  Зона	Service
  privatelink.<geo>.backup.windowsazure.com	Резервное копирование
  privatelink.blob.core.windows.net	BLOB-объект
  privatelink.queue.core.windows.net	Queue

  Примечание.

  В приведенном выше тексте <geo> означает код региона (например, eus и ne для восточной части США и Северной Европы соответственно). Коды регионов см. в следующих списках:

  • Все общедоступные облака
  • Китай
  • Германия
  • US Gov
  • Список кодов географических расположений — пример в формате XML

• Если вы используете пользовательские DNS-серверы или файлы узлов и не используете настройку зоны azure Частная зона DNS, необходимо добавить записи DNS, необходимые для частных конечных точек на DNS-серверах или в файле узла.

  • Для службы резервного копирования перейдите к созданной частной конечной точке и перейдите к конфигурации DNS. Затем добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в зоне DNS для резервного копирования.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><backup service privatelink FQDN>.

  • Для большого двоичного объекта и очереди: резервное копирование Azure создает частные конечные точки для больших двоичных объектов и очередей с помощью разрешений управляемого удостоверения. Частные конечные точки для больших двоичных объектов и очередей соответствуют стандартному шаблону именования, начинаются с <the name of the private endpoint>_ecs или суффиксируются соответственно _blob_queue.<the name of the private endpoint>_prot

    Перейдите к частной конечной точке, созданной Azure Backup, следуя приведенному выше шаблону, и перейдите к конфигурации DNS. Затем добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в зоне DNS для резервного копирования.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><blob/queue FQDN>.

Примечание.

Azure Backup может выделить новую учетную запись хранения для хранилища для данных резервного копирования, а расширение или агент должны получить доступ к соответствующим конечным точкам. Дополнительные сведения о добавлении дополнительных записей DNS после регистрации и резервного копирования см . в разделе "Использование частных конечных точек для резервного копирования ".

Использование частных конечных точек для резервного копирования

После утверждения частных конечных точек, созданных для хранилища в виртуальной сети, можно приступить к их использованию для выполнения резервного копирования и восстановления.

Внимание

Прежде чем продолжать, убедитесь, что все описанные выше действия выполнены успешно. Итак, вы должны были выполнить действия по следующему контрольному списку:

1. создать хранилище служб восстановления;
2. включить для хранилища использование управляемого удостоверения, назначенного системой;
3. назначить соответствующие разрешения управляемому удостоверению хранилища;
4. создать частную конечную точку для хранилища;
5. утвердить частную конечную точку (если она не была утверждена автоматически);
6. убедиться, что все записи DNS добавлены надлежащим образом (за исключением записей BLOB-объектов и очередей для пользовательских серверов — описание этих действий будет дано в следующих разделах).

Проверка возможности подключения виртуальной машины

Если виртуальная машина находится в заблокированной сети, необходимо обеспечить следующее.

1. Виртуальная машина должна иметь доступ к идентификатору Microsoft Entra.
2. Чтобы обеспечить подключение, выполните команду nslookup на URL-адресе резервного копирования (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) на виртуальной машине. Запрос должен вернуть частный IP-адрес, назначенный в виртуальной сети.

Настроить резервное копирование

После того как вы убедитесь, что все действия из приведенного выше контрольного списка выполнены и доступ предоставлен, можно продолжить настройку резервного копирования рабочих нагрузок в хранилище. Если вы используете собственный DNS-сервер, требуется добавить записи DNS для больших двоичных объектов и очередей, которые стали доступны после настройки первой резервной копии.

Записи DNS для больших двоичных объектов и очередей (только для пользовательских DNS-серверов и файлов узлов) после первой регистрации

После настройки резервного копирования по крайней мере для одного ресурса в хранилище с подключенной частной конечной точкой добавьте необходимые записи DNS для больших двоичных объектов и очередей, как описано ниже.

1. Перейдите к группе ресурсов и найдите созданную вами частную конечную точку.

2. Помимо собственной вы увидите две дополнительные точки. Они начинаются с префикса с именем частной конечной точки <the name of the private endpoint>_ecs и имеют суффиксы _blob и _queue соответственно.

   

3. Перейдите к каждой из этих точек. В параметрах конфигурации DNS для каждой из них вы увидите запись с именем, а также полное доменное имя и IP-адрес. Добавьте оба этих параметра на собственный DNS-сервер в дополнение к параметрам, описанным выше. Если вы используете файл узла, сделайте в нем соответствующие записи для каждого IP-адреса и полного доменного имени в соответствии со следующим форматом:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

В дополнение к указанной выше записи после создания первой резервной копии требуется добавить еще одну запись, инструкции см. далее.

Резервное копирование и восстановление рабочих нагрузок на виртуальной машине Azure (SQL и SAP HANA)

После создания и утверждения частной конечной точки для ее использования с клиентской стороны не требуется совершать никаких дополнительных действий (если вы не используете группы доступности SQL, которые обсуждаются далее в этом разделе). Все подключения и передача данных из защищенной сети в хранилище выполняются через закрытую конечную точку. Если удалить частные конечные точки для хранилища после регистрации сервера (SQL или SAP HANA), то будет необходимо повторно зарегистрировать контейнер в хранилище. Для них не требуется отменять защиту.

Записи DNS для больших двоичных объектов (только для пользовательских DNS-серверов и файлов узлов) после первого резервного копирования

После выполнения первой операции резервного копирования с использованием собственного DNS-сервера (без условной пересылки), скорее всего, произойдет сбой резервного копирования. Если это произойдет, выполните следующие действия.

1. Перейдите к группе ресурсов и найдите созданную вами частную конечную точку.

2. Помимо трех частных конечных точек, перечисленных выше, теперь вы увидите четвертую точку с именем, начинающимся с <the name of the private endpoint>_prot, и с суффиксом _blob.

   

3. Перейдите к этой новой частной конечной точке. В параметрах конфигурации DNS вы увидите запись с полным доменным именем и IP-адресом. Добавьте оба этих параметра на собственный частный DNS-сервер в дополнение к параметрам, описанным выше.

   Если вы используете файл узла, сделайте в нем соответствующие записи для каждого IP-адреса и полного доменного имени в соответствии со следующим форматом:

   <private ip><space><blob service privatelink FQDN>

Примечание.

На этом этапе вы можете запустить команду nslookup с данной виртуальной машины и разрешить доступ к частным IP-адресам, как это делается с URL-адресами резервного копирования и хранилища.

При использовании групп доступности SQL

При использовании групп доступности SQL необходимо подготовить условное перенаправление с использованием настраиваемых DNS-параметров группы доступности, как описано ниже.

1. Войдите в систему на контроллере домена.

2. В приложении DNS добавьте серверы условной пересылки для всех трех зон DNS (резервное копирование, большие двоичные объекты и очереди) в IP-адрес узла 168.63.129.16 или при необходимости в IP-адрес пользовательского DNS-сервера. На следующих снимках экрана показаны настройки пересылки на IP-адрес узла Azure. Если вы используете собственный DNS-сервер, замените IP-адрес узла Azure на IP-адрес DNS-сервера.

   

   

Резервное копирование и восстановление с помощью агента MARS и сервера DPM

При использовании агента MARS для резервного копирования локальных ресурсов убедитесь, что локальная сеть (где размещены ресурсы для резервного копирования) подключена к виртуальной сети Azure, содержащей частную конечную точку для хранилища, чтобы ее можно было использовать. Затем можно продолжить установку агента MARS и настроить резервное копирование, как описано в этом разделе. Тем не менее необходимо убедиться, что все подключения для резервного копирования выполняются только через одноранговую сеть.

Если удалить частные конечные точки для хранилища после регистрации агента MARS, необходимо повторно зарегистрировать контейнер в хранилище. Для них не требуется отменять защиту.

Примечание.

• Частные конечные точки поддерживаются только с сервером DPM 2022 (10.22.123.0) и более поздними версиями.
• Частные конечные точки поддерживаются только с MABS версии 4 (14.0.30.0) и более поздних версий.

Удаление частных конечных точек

Сведения об удалении частных конечных точек см. в этом разделе.

Дополнительные темы

Создание хранилища Служб восстановления с помощью клиента Azure Resource Manager

Вы можете создать хранилище Служб восстановления и включить для него управляемое удостоверение (см. инструкции далее) с помощью клиента Azure Resource Manager. Ниже приведен пример выполнения этих действий:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Файл JSON, указанный выше, должен иметь следующее содержимое.

Запрос (JSON):

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Ответ (JSON):

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Примечание.

Хранилище, созданное в этом примере с помощью клиента Azure Resource Manager, уже имеет управляемое удостоверение, назначенное системой.

Управление разрешениями для групп ресурсов

Управляемое удостоверение для хранилища должно иметь следующие разрешения в группе ресурсов и виртуальной сети, где будут созданы частные конечные точки.

• Microsoft.Network/privateEndpoints/* Это разрешение необходимо для выполнения CRUD в частных конечных точках в группе ресурсов. Его следует назначить группе ресурсов.
• Microsoft.Network/virtualNetworks/subnets/join/action Это разрешение необходимо для виртуальной сети, в которой выполняется подключение частного IP-адреса к частной конечной точке.
• Microsoft.Network/networkInterfaces/read Это разрешение необходимо, чтобы присвоить группе ресурсов сетевой интерфейс, созданный для частной конечной точки.
• Роль участника частной зоны DNS. Эта роль уже существует и может быть использована для предоставления разрешений Microsoft.Network/privateDnsZones/A/* и Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Для создания ролей с необходимыми разрешениями можно использовать один из следующих методов.

Создание ролей и разрешений вручную

Чтобы создать роли, создайте следующие файлы JSON и используйте команду PowerShell, приведенную в конце раздела:

//PrivateEndpointContributorRoleDef.json;

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json;

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json.

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Использование скрипта

1. Запустите Cloud Shell на портале Azure и выберите Отправить файл в окне PowerShell.

   

2. Отправьте следующий скрипт: VaultMsiPrereqScript

3. Перейдите в корневую папку (например, cd /home/user).

4. Выполните следующий скрипт:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   В сценарии используются следующие параметры:

   • subscription: **SubscriptionId, включающий в себя группу ресурсов, в которой будет создана частная конечная точка хранилища, и подсеть, к которой будут присоединены частные конечные точки;

   • vaultPEResourceGroup: группа ресурсов, в которой будет создана частная конечная точка для хранилища;

   • vaultPESubnetResourceGroup: группа ресурсов подсети, к которой будет присоединена частная конечная точка;

   • vaultMsiName: имя MSI-файла хранилища, то же, что и VaultName.

5. Завершите проверку подлинности, и скрипт будет использовать контекст указанной подписки. Он создаст соответствующие роли, если они отсутствуют в клиенте, и присвоит роли элементам MSI-хранилища.

Создание частных конечных точек с помощью Azure PowerShell

Автоматические утвержденные частные конечные точки

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Утверждение частных конечных точек вручную с помощью клиента Azure Resource Manager

1. Чтобы получить идентификатор подключения для частной конечной точки, используйте параметр GetVault.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Будет возвращен идентификатор подключения частной конечной точки. Чтобы получить имя подключения, используйте первую часть идентификатора подключения.

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Возьмите идентификатор подключения частной конечной точки (и имя частной конечной точки, где необходимо) из ответа, вставьте его в следующий код JSON и в код ресурса Azure Resource Manager и попробуйте изменить состояние на "Утверждено/отклонено/отключено", как показано в примере ниже:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Настройка прокси-сервера для хранилища служб восстановления с использованием частной конечной точки

Чтобы настроить прокси-сервер для виртуальной машины Azure или локального компьютера, выполните следующие действия.

1. Добавьте следующие домены, которые должны быть доступны с прокси-сервера.

   Service	Имена доменов	Порт
   Azure Backup	*.backup.windowsazure.com	443
   Хранилище Azure	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Идентификатор Microsoft Entra Обновленные URL-адреса доменов, упомянутые в строках 56 и 59 раздела Общие для Microsoft 365 и Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net login.microsoft.com, login.microsoftonline.com login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Если применимо.

2. Разрешите доступ к этим доменам на прокси-сервере и свяжите частную зону DNS (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) с виртуальной сетью, где прокси-сервер создан или использует пользовательский DNS-сервер с соответствующими записями DNS.
   
   Виртуальная сеть, в которой работает прокси-сервер, и виртуальная сеть, в которой создан сетевой адаптер частной конечной точки, должны быть связаны пирингом, что позволит прокси-серверу перенаправлять запросы на частный IP-адрес.

   Примечание.

   В приведенном выше тексте <geo> означает код региона (например, eus и ne для восточной части США и Северной Европы соответственно). Коды регионов см. в следующих списках:

   • Все общедоступные облака
   • Китай
   • Германия
   • US Gov
   • Список кодов географических расположений — пример в формате XML

На следующей схеме показана конфигурация (при использовании частных зон DNS Azure) с прокси-сервером, виртуальная сеть которого связана с частной зоной DNS с необходимыми записями DNS. Прокси-сервер также может иметь собственный пользовательский DNS-сервер, а указанные выше домены могут условно перенаправляться на IP-адрес 168.63.129.16. Если вы используете настраиваемый файл DNS-сервера или узла для разрешения DNS, см. разделы об управлении записями DNS и настройке защиты.

Создание записей DNS, когда DNS-сервер или зона DNS находится в другой подписке

В этом разделе мы обсудим случаи, когда вы используете зону DNS, которая есть в подписке, или группу ресурсов, которая отличается от той, которая содержит частную конечную точку для хранилища Cлужб восстановления, например звездообразную топологию. Поскольку управляемое удостоверение, используемое для создания частных конечных точек (и записей DNS), имеет разрешения только для группы ресурсов, в которой создаются частные конечные точки, необходимо добавить требуемые записи DNS. Для создания записей DNS используйте следующие сценарии PowerShell.

Примечание.

Чтобы получить необходимые результаты, изучите весь процесс, описанный ниже. Этот процесс необходимо повторить дважды: во время первого обнаружения (для создания записей DNS, необходимых для учетных записей хранения для обмена данными), а затем во время первого резервного копирования (для создания записей DNS, необходимых для учетных записей хранения серверной части).

Шаг 1. Получение необходимых записей DNS

Используйте сценарий PrivateIP.ps1, чтобы получить список всех записей DNS, которые необходимо создать.

Примечание.

В приведенном ниже синтаксисе subscription — это подписка, в которой должна быть создана частная конечная точка хранилища.

Синтаксис для использования сценария

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Пример выходных данных

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Шаг 2. Создание записей DNS

Создайте записи DNS, соответствующие тем, которые указаны выше. В зависимости от типа DNS-сервера, который вы используете, возможны два варианта создания записей DNS.

Вариант 1. Если вы используете пользовательский DNS-сервер, необходимо вручную создать записи для каждой строки из приведенного выше сценария и убедиться, что полное доменное имя (ResourceName.DNS) разрешается в частный IP-адрес в виртуальной сети.

Вариант 2. Если вы используете Частную зону DNS в Azure, с помощью сценария CreateDNSEntries.ps1 можно автоматически создать записи DNS в Частной зоне DNS. В следующем синтаксисе subscription — это подписка, в которой существует Частная зона DNS.

Синтаксис для использования сценария

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Сводка всего процесса

Чтобы правильно настроить частную конечную точку для хранилища служб восстановления с помощью этого обходного решения, необходимо:

1. Создайте частную конечную точку для хранилища (как описано выше в этой статье).
2. Запустите обнаружение. Обнаружение для SQL/HANA завершится ошибкой UserErrorVMInternetConnectivityIssue, поскольку записи DNS для учетной записи хранения для обмена данными отсутствуют.
3. Выполните сценарии, чтобы получить записи DNS и создать соответствующие записи DNS для учетной записи хранения для обмена данными, упомянутой ранее в этом разделе.
4. Обнаружение извлечения. На этот раз обнаружение должно выполниться успешно.
5. Запустите резервное копирование. Резервное копирование для SQL/HANA и MARS может завершиться ошибкой, поскольку записи DNS для учетных записей хранения серверной части отсутствуют, как упоминалось ранее в этом разделе.
6. Запустите сценарии, чтобы создать записи DNS для учетной записи хранения серверной части.
7. Извлечение резервного копирования. На этот раз резервное копирование должно выполниться успешно.

Часто задаваемые вопросы

Можно ли создать частную конечную точку для существующего хранилища служб восстановления?

Нет, частные конечные точки можно создавать только для новых хранилищ служб восстановления. Хранилище не должно содержать никаких защищенных элементов. Более того, перед созданием частных конечных точек не следует пытаться защитить какие-либо элементы с использованием хранилища.

Мы пытались защитить элемент в нашем хранилище, но произошла ошибка, и хранилище по-прежнему не содержит защищенных элементов. Можно ли создать частные конечные точки для этого хранилища?

Нет, нельзя, чтобы в хранилище ранее предпринимались попытки защитить какие бы то ни было элементы.

У нас есть хранилище, которое использует частные конечные точки для резервного копирования и восстановления. Можно ли добавить или удалить частные конечные точки для этого хранилища, даже если у нас есть защищенные элементы резервного копирования?

Да. Если вы уже создали частные конечные точки для хранилища и добавили защищенные элементы резервного копирования, вы можете добавлять и удалять частные конечные точки в соответствии со своими потребностями.

Можно ли использовать частную конечную точку Azure Backup для Azure Site Recovery?

Нет, частные конечные точки для резервного копирования можно использовать только для Azure Backup. Для Azure Site Recovery следует создать новые частные конечные точки, если служба поддерживает их использование.

Мы пропустили один из шагов, описанных в этой статье, и перешли к защите источника данных. Можно ли использовать частные конечные точки?

Несоблюдение порядка действий, указанного в статье, и переход к настройке защиты могут привести к тому, что хранилище не сможет использовать частные конечные точки. Поэтому рекомендуется ознакомиться с контрольным списком перед тем, как перейти к защите элементов.

Можно ли использовать собственный DNS-сервер вместо частной зоны DNS Azure или интегрированной частной зоны DNS?

Да, можно использовать собственные DNS-серверы. Однако убедитесь, что все необходимые записи DNS были добавлены в соответствии с инструкциями в этом разделе.

Нужно ли выполнять дополнительные действия на сервере после выполнения процесса, описанного в этой статье?

После выполнения процесса, описанного в этой статье, вам не нужно выполнять дополнительные действия, чтобы использовать частные конечные точки для резервного копирования и восстановления.

Следующие шаги

• Ознакомьтесь со всеми функциями безопасности Azure Backup.