Skapa och använda privata slutpunkter för Azure Backup

Den här artikeln innehåller information om processen för att skapa privata slutpunkter för Azure Backup och scenarier där privata slutpunkter bidrar till att upprätthålla säkerheten för dina resurser.

Innan du börjar

Kontrollera att du har läst förutsättningarna och scenarierna som stöds innan du fortsätter att skapa privata slutpunkter.

Den här informationen hjälper dig att förstå de begränsningar och villkor som måste uppfyllas innan du skapar privata slutpunkter för dina valv.

Kom igång med att skapa privata slutpunkter för säkerhetskopiering

I följande avsnitt beskrivs stegen för att skapa och använda privata slutpunkter för Azure Backup i dina virtuella nätverk.

Viktigt

Vi rekommenderar starkt att du följer stegen i samma sekvens som i det här dokumentet. Om du inte gör det kan valvet göras inkompatibelt för att använda privata slutpunkter och kräva att du startar om processen med ett nytt valv.

skapar ett Recovery Services-valv

Privata slutpunkter för säkerhetskopiering kan bara skapas för Recovery Services-valv som inte har några objekt skyddade (eller som inte har haft några objekt som har försökt skyddas eller registrerats för det tidigare). Därför föreslår vi att du skapar ett nytt valv till att börja med. Mer information om hur du skapar ett nytt valv finns i Skapa och konfigurera ett Recovery Services-valv.

Se det här avsnittet om du vill lära dig hur du skapar ett valv med hjälp av Azure Resource Manager-klienten. Detta skapar ett valv med den hanterade identiteten redan aktiverad.

Neka åtkomst till det offentliga nätverket till valvet

Du kan konfigurera dina valv för att neka åtkomst från offentliga nätverk.

Följ de här stegen:

  1. Gå till valvet>Nätverk.

  2. På fliken Offentlig åtkomst väljer du Neka för att förhindra åtkomst från offentliga nätverk.

    Skärmbild som visar hur du väljer alternativet Neka.

    Anteckning

    När du nekar åtkomst kan du fortfarande komma åt valvet, men du kan inte flytta data till/från nätverk som inte innehåller privata slutpunkter. Mer information finns i Skapa privata slutpunkter för Azure Backup.

  3. Välj Använd för att spara ändringarna.

Aktivera hanterad identitet för ditt valv

Med hanterade identiteter kan valvet skapa och använda privata slutpunkter. I det här avsnittet beskrivs hur du aktiverar den hanterade identiteten för valvet.

  1. Gå till recovery services-valvet ->Identity.

    Ändra identitetsstatus till På

  2. Ändra Status till och välj Spara.

  3. Ett objekt-ID genereras, vilket är valvets hanterade identitet.

    Anteckning

    När den hanterade identiteten har aktiverats får den inte inaktiveras (även tillfälligt). Om du inaktiverar den hanterade identiteten kan det leda till inkonsekvent beteende.

Bevilja behörigheter till valvet för att skapa nödvändiga privata slutpunkter

Om du vill skapa nödvändiga privata slutpunkter för Azure Backup måste valvet (valvets hanterade identitet) ha behörighet till följande resursgrupper:

  • Den resursgrupp som innehåller det virtuella målnätverket
  • Resursgruppen där de privata slutpunkterna ska skapas
  • Resursgruppen som innehåller Privat DNS zonerna, enligt beskrivningen här

Vi rekommenderar att du beviljar deltagarrollen för dessa tre resursgrupper till valvet (hanterad identitet). Följande steg beskriver hur du gör detta för en viss resursgrupp (detta måste göras för var och en av de tre resursgrupperna):

  1. Gå till resursgruppen och gå till Access Control (IAM) i det vänstra fältet.

  2. I Access Control går du till Lägg till en rolltilldelning.

    Lägg till en rolltilldelning

  3. I fönstret Lägg till rolltilldelning väljer du Deltagare som roll och använder valvets namn som huvudnamn. Välj valvet och välj Spara när du är klar.

    Välj roll och huvudnamn

Mer detaljerad information om hur du hanterar behörigheter finns i Skapa roller och behörigheter manuellt.

Skapa privata slutpunkter för Azure Backup

I det här avsnittet beskrivs hur du skapar en privat slutpunkt för valvet.

  1. Gå till valvet som skapades ovan och gå till Privata slutpunktsanslutningar i det vänstra navigeringsfältet. Välj +Privat slutpunkt längst upp för att börja skapa en ny privat slutpunkt för det här valvet.

    Skapa en ny privat slutpunkt

  2. När du är i processen Skapa privat slutpunkt måste du ange information för att skapa din privata slutpunktsanslutning.

    1. Grunder: Fyll i grundläggande information för dina privata slutpunkter. Regionen ska vara samma som valvet och resursen som säkerhetskopieras.

      Fyll i grundläggande information

    2. Resurs: På den här fliken måste du välja den PaaS-resurs som du vill skapa anslutningen för. Välj Microsoft.RecoveryServices/valv från resurstypen för din önskade prenumeration. När du är klar väljer du namnet på ditt Recovery Services-valv som Resurs och AzureBackup som underresurs för mål.

      Välj resursen för anslutningen

    3. Konfiguration: I konfigurationen anger du det virtuella nätverket och undernätet där du vill att den privata slutpunkten ska skapas. Det här är det virtuella nätverk där den virtuella datorn finns.

      För att ansluta privat behöver du nödvändiga DNS-poster. Baserat på nätverkskonfigurationen kan du välja något av följande:

      • Integrera din privata slutpunkt med en privat DNS-zon: Välj Ja om du vill integrera.
      • Använd din anpassade DNS-server: Välj Nej om du vill använda din egen DNS-server.

      Hantering av DNS-poster för båda dessa beskrivs senare.

      Ange det virtuella nätverket och undernätet

    4. Du kan också lägga till taggar för din privata slutpunkt.

    5. Fortsätt till Granska + skapa när du är klar med att ange information. När valideringen är klar väljer du Skapa för att skapa den privata slutpunkten.

Godkänn privata slutpunkter

Om användaren som skapar den privata slutpunkten också är ägare till Recovery Services-valvet godkänns den privata slutpunkten ovan automatiskt. Annars måste valvets ägare godkänna den privata slutpunkten innan den kan användas. I det här avsnittet beskrivs manuellt godkännande av privata slutpunkter via Azure Portal.

Se Manuellt godkännande av privata slutpunkter med Azure Resource Manager Client för att använda Azure Resource Manager-klienten för att godkänna privata slutpunkter.

  1. I Recovery Services-valvet navigerar du till Privata slutpunktsanslutningar i det vänstra fältet.

  2. Välj den privata slutpunktsanslutning som du vill godkänna.

  3. Välj Godkänn i det övre fältet. Du kan också välja Avvisa eller Ta bort om du vill avvisa eller ta bort slutpunktsanslutningen.

    Godkänn privata slutpunkter

Hantera DNS-poster

Som tidigare beskrivits behöver du nödvändiga DNS-poster i dina privata DNS-zoner eller servrar för att kunna ansluta privat. Du kan antingen integrera din privata slutpunkt direkt med privata Dns-zoner i Azure eller använda dina anpassade DNS-servrar för att uppnå detta, baserat på dina nätverksinställningar. Detta måste göras för alla tre tjänster: säkerhetskopiering, blobar och köer.

Om din DNS-zon eller -server finns i en annan prenumeration än den som innehåller den privata slutpunkten kan du också läsa Skapa DNS-poster när DNS-servern/DNS-zonen finns i en annan prenumeration.

När du integrerar privata slutpunkter med privata DNS-zoner i Azure

Om du väljer att integrera din privata slutpunkt med privata DNS-zoner lägger Backup till de DNS-poster som krävs. Du kan visa de privata DNS-zoner som används under DNS-konfigurationen av den privata slutpunkten. Om dessa DNS-zoner inte finns skapas de automatiskt när den privata slutpunkten skapas. Du måste dock kontrollera att ditt virtuella nätverk (som innehåller de resurser som ska säkerhetskopieras) är korrekt länkat till alla tre privata DNS-zoner enligt beskrivningen nedan.

DNS-konfiguration i en privat DNS-zon i Azure

Anteckning

Om du använder proxyservrar kan du välja att kringgå proxyservern eller utföra dina säkerhetskopior via proxyservern. Om du vill kringgå en proxyserver fortsätter du till följande avsnitt. Om du vill använda proxyservern för att utföra dina säkerhetskopior läser du informationen om konfigurationen av proxyservern för Recovery Services-valvet.

För varje privat DNS-zon som anges ovan (för säkerhetskopiering, blobar och köer) gör du följande:

  1. Gå till respektive alternativ för virtuella nätverkslänkar i det vänstra navigeringsfältet.

  2. Du bör kunna se en post för det virtuella nätverk som du har skapat den privata slutpunkten för, som den som visas nedan:

    Virtuellt nätverk för privat slutpunkt

  3. Om du inte ser någon post lägger du till en virtuell nätverkslänk till alla DNS-zoner som inte har dem.

    Lägg till länk för virtuellt nätverk

När du använder anpassad DNS-server eller värdfiler

Om du använder dina anpassade DNS-servrar måste du skapa de DNS-zoner som krävs och lägga till de DNS-poster som krävs av de privata slutpunkterna till dina DNS-servrar. För blobar och köer kan du också använda villkorsstyrda vidarebefordrare.

För Backup-tjänsten

  1. På DNS-servern skapar du en DNS-zon för säkerhetskopiering enligt följande namngivningskonvention:

    Zon Tjänst
    privatelink.<geo>.backup.windowsazure.com Backup

    Anteckning

    I texten ovan refererar till regionkoden (till exempel eus och ne för USA, <geo> östra respektive Europa, norra). Se följande listor för regionskoder:

  2. Därefter måste vi lägga till de DNS-poster som krävs. Om du vill visa de poster som måste läggas till i DNS-zonen för säkerhetskopiering navigerar du till den privata slutpunkt som du skapade ovan och går till alternativet DNS-konfiguration under det vänstra navigeringsfältet.

    DNS-konfiguration för anpassad DNS-server

  3. Lägg till en post för varje FQDN och IP som visas som poster av typen A i DNS-zonen för säkerhetskopiering. Om du använder en värdfil för namnmatchning gör du motsvarande poster i värdfilen för varje IP- och FQDN enligt följande format:

    <private ip><space><backup service privatelink FQDN>

Anteckning

Som du ser i skärmbilden ovan visar xxxxxxxx.<geo>.backup.windowsazure.com FQDN:erna och inte xxxxxxxx.privatelink.<geo>.backup.windowsazure.com. I sådana fall ska du se till att du inkluderar (och om det behövs lägger du till) .privatelink. enligt det angivna formatet.

För blob- och kötjänster

För blobar och köer kan du antingen använda villkorsstyrda vidarebefordrare eller skapa DNS-zoner på DNS-servern.

Om du använder villkorsstyrda vidarebefordrare

Om du använder villkorsstyrda vidarebefordrare lägger du till vidarebefordrare för blob- och kö-FQDN enligt följande:

FQDN IP-adress
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Om du använder privata DNS-zoner

Om du använder DNS-zoner för blobar och köer måste du först skapa dessa DNS-zoner och senare lägga till nödvändiga A-poster.

Zon Tjänst
privatelink.blob.core.windows.net Blob
privatelink.queue.core.windows.net

För tillfället skapar vi bara zoner för blobar och köer när du använder anpassade DNS-servrar. Du lägger till DNS-poster senare i två steg:

  1. När du registrerar den första säkerhetskopieringsinstansen, d.ex. när du konfigurerar säkerhetskopiering för första gången
  2. När du kör den första säkerhetskopieringen

Vi utför de här stegen i följande avsnitt.

Använda privata slutpunkter för säkerhetskopiering

När de privata slutpunkter som skapats för valvet i ditt VNet har godkänts kan du börja använda dem för att utföra dina säkerhetskopior och återställningar.

Viktigt

Kontrollera att du har slutfört alla steg som nämns ovan i dokumentet innan du fortsätter. För att sammanfatta måste du ha slutfört stegen i följande checklista:

  1. Skapade ett (nytt) Recovery Services-valv
  2. Aktiverade valvet för att använda systemtilldelad hanterad identitet
  3. Tilldelade relevanta behörigheter till den hanterade identiteten för valvet
  4. Skapat en privat slutpunkt för ditt valv
  5. Godkänd den privata slutpunkten (om den inte godkänns automatiskt)
  6. Se till att alla DNS-poster läggs till på rätt sätt (förutom blob- och köposter för anpassade servrar, vilket beskrivs i följande avsnitt)

Kontrollera VM-anslutningen

Kontrollera följande på den virtuella datorn i det låsta nätverket:

  1. Den virtuella datorn ska ha åtkomst till Azure AD.
  2. Kör nslookup på säkerhetskopierings-URL:en (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) från den virtuella datorn för att säkerställa anslutningen. Detta bör returnera den privata IP-adress som tilldelats i det virtuella nätverket.

Konfigurera säkerhetskopiering

När du har kontrollerat att checklistan ovan och åtkomsten har slutförts kan du fortsätta att konfigurera säkerhetskopiering av arbetsbelastningar till valvet. Om du använder en anpassad DNS-server måste du lägga till DNS-poster för blobar och köer som är tillgängliga när du har konfigurerat den första säkerhetskopian.

DNS-poster för blobar och köer (endast för anpassade DNS-servrar/värdfiler) efter den första registreringen

När du har konfigurerat säkerhetskopiering för minst en resurs i ett privat slutpunktsaktiverat valv lägger du till nödvändiga DNS-poster för blobar och köer enligt beskrivningen nedan.

  1. Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.

  2. Förutom namnet på den privata slutpunkten som du anger ser du att ytterligare två privata slutpunkter skapas. Dessa börjar med <the name of the private endpoint>_ecs och är suffix med _blob respektive _queue .

    Privata slutpunktsresurser

  3. Gå till var och en av dessa privata slutpunkter. I DNS-konfigurationsalternativet för var och en av de två privata slutpunkterna visas en post med och ett FQDN och en IP-adress. Lägg till båda dessa till din anpassade DNS-server, förutom de som beskrevs tidigare. Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP-/FQDN enligt följande format:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob DNS-konfiguration

Förutom ovanstående finns det en annan post som behövs efter den första säkerhetskopieringen, som beskrivs senare.

Säkerhetskopiering och återställning av arbetsbelastningar i virtuella Azure-datorer (SQL och SAP HANA)

När den privata slutpunkten har skapats och godkänts krävs inga andra ändringar från klientsidan för att använda den privata slutpunkten (om du inte använder SQL-tillgänglighetsgrupper, som vi diskuterar senare i det här avsnittet). All kommunikation och dataöverföring från ditt skyddade nätverk till valvet utförs via den privata slutpunkten. Men om du tar bort privata slutpunkter för valvet när en server (SQL eller SAP HANA) har registrerats för den, måste du registrera containern med valvet igen. Du behöver inte stoppa skyddet för dem.

DNS-poster för blobar (endast för anpassade DNS-servrar/värdfiler) efter den första säkerhetskopieringen

När du har kört den första säkerhetskopieringen och använder en anpassad DNS-server (utan villkorsstyrd vidarebefordran) är det troligt att säkerhetskopieringen misslyckas. Om det händer:

  1. Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.

  2. Förutom de tre privata slutpunkter som beskrevs tidigare ser du nu en fjärde privat slutpunkt med dess namn som börjar med <the name of the private endpoint>_prot och är suffixet med _blob.

    Privat slutpunkt med suffixet

  3. Gå till den nya privata slutpunkten. I DNS-konfigurationsalternativet ser du en post med ett FQDN och en IP-adress. Lägg till dessa i din privata DNS-server, förutom de som beskrevs tidigare.

    Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP- och FQDN enligt följande format:

    <private ip><space><blob service privatelink FQDN>

Anteckning

Nu bör du kunna köra nslookup från den virtuella datorn och matcha till privata IP-adresser när du gör det på valvets URL:er för säkerhetskopiering och lagring.

När du använder SQL-tillgänglighetsgrupper

När du använder SQL-tillgänglighetsgrupper (AG) måste du etablera villkorlig vidarebefordran i den anpassade tillgänglighetsgruppens DNS enligt beskrivningen nedan:

  1. Logga in på domänkontrollanten.

  2. Under DNS-programmet lägger du till villkorsstyrda vidarebefordrare för alla tre DNS-zoner (säkerhetskopiering, blobar och köer) till värdens IP-adress 168.63.129.16 eller den anpassade IP-adressen för DNS-servern efter behov. Följande skärmbilder visar när du vidarebefordrar till Azure-värd-IP-adressen. Om du använder din egen DNS-server ersätter du med IP-adressen för din DNS-server.

    Villkorliga vidarebefordrare i DNS-hanteraren

    Ny villkorlig vidarebefordrare

Säkerhetskopiera och återställa via MARS-agenten och DPM-servern

Anteckning

  • Privata slutpunkter stöds endast med DPM-server 2022 och senare.
  • Privata slutpunkter stöds ännu inte med MABS.

När du använder MARS-agenten för att säkerhetskopiera dina lokala resurser kontrollerar du att ditt lokala nätverk (som innehåller dina resurser som ska säkerhetskopieras) är peerkopplat med det virtuella Azure-nätverket som innehåller en privat slutpunkt för valvet, så att du kan använda det. Du kan sedan fortsätta att installera MARS-agenten och konfigurera säkerhetskopiering enligt beskrivningen här. Du måste dock se till att all kommunikation för säkerhetskopiering endast sker via det peerkopplade nätverket.

Men om du tar bort privata slutpunkter för valvet när en MARS-agent har registrerats för det, måste du registrera containern med valvet igen. Du behöver inte stoppa skyddet för dem.

Ta bort privata slutpunkter

Se det här avsnittet om du vill lära dig hur du tar bort privata slutpunkter.

Ytterligare information

Skapa ett Recovery Services-valv med hjälp av Azure Resource Manager-klienten

Du kan skapa Recovery Services-valvet och aktivera dess hanterade identitet (aktivering av den hanterade identiteten krävs, som vi senare ser) med hjälp av Azure Resource Manager-klienten. Ett exempel för att göra detta delas nedan:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

JSON-filen ovan bör ha följande innehåll:

Begär JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Svars-JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Anteckning

Valvet som skapades i det här exemplet via Azure Resource Manager-klienten har redan skapats med en systemtilldelad hanterad identitet.

Hantera behörigheter för resursgrupper

Den hanterade identiteten för valvet måste ha följande behörigheter i resursgruppen och det virtuella nätverket där de privata slutpunkterna ska skapas:

  • Microsoft.Network/privateEndpoints/* Detta krävs för att utföra CRUD på privata slutpunkter i resursgruppen. Den bör tilldelas i resursgruppen.
  • Microsoft.Network/virtualNetworks/subnets/join/action Detta krävs i det virtuella nätverket där den privata IP-adressen kopplas till den privata slutpunkten.
  • Microsoft.Network/networkInterfaces/read Detta krävs i resursgruppen för att hämta nätverksgränssnittet som skapats för den privata slutpunkten.
  • Privat DNS zondeltagareRollen Den här rollen finns redan och kan användas för att tillhandahålla Microsoft.Network/privateDnsZones/A/* och Microsoft.Network/privateDnsZones/virtualNetworkLinks/read behörigheter.

Du kan använda någon av följande metoder för att skapa roller med nödvändiga behörigheter:

Skapa roller och behörigheter manuellt

Skapa följande JSON-filer och använd PowerShell-kommandot i slutet av avsnittet för att skapa roller:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Använda ett skript

  1. Starta Cloud Shell i Azure Portal och välj Ladda upp fil i PowerShell-fönstret.

    Välj Ladda upp fil i PowerShell-fönstret

  2. Ladda upp följande skript: VaultMsiPrereqScript

  3. Gå till din hemmapp (till exempel: cd /home/user)

  4. Kör följande skript:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Det här är parametrarna:

    • subscription: **SubscriptionId that has the resource group where the private endpoint for the vault is to be created and the subnet where the vault's private endpoint will be attached

    • vaultPEResourceGroup: Resursgrupp där den privata slutpunkten för valvet skapas

    • vaultPESubnetResourceGroup: Resursgrupp för det undernät som den privata slutpunkten ska kopplas till

    • vaultMsiName: Namnet på valvets MSI, som är samma som VaultName

  5. Slutför autentiseringen så tar skriptet kontexten för den angivna prenumerationen ovan. Den skapar lämpliga roller om de saknas i klientorganisationen och tilldelar roller till valvets MSI.

Skapa privata slutpunkter med hjälp av Azure PowerShell

Automatiskt godkända privata slutpunkter

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Manuellt godkännande av privata slutpunkter med hjälp av Azure Resource Manager Client

  1. Använd GetVault för att hämta anslutnings-ID för privat slutpunkt för din privata slutpunkt.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Då returneras anslutnings-ID:t för den privata slutpunkten. Namnet på anslutningen kan hämtas med hjälp av den första delen av anslutnings-ID:t på följande sätt:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Hämta anslutnings-ID för privat slutpunkt (och namnet på den privata slutpunkten där det behövs) från svaret och ersätt det i följande JSON- och Azure-Resource Manager-URI och försök att ändra Status till "Godkänd/avvisad/frånkopplad", enligt exemplet nedan:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Konfigurera proxyserver för Recovery Services-valv med privat slutpunkt

Så här konfigurerar du en proxyserver för virtuella Azure-datorer eller lokala datorer:

  1. Lägg till följande domäner som måste nås från proxyservern.

    Tjänst Domännamn Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Azure Active Directory

    Uppdaterade domän-URL:er som nämns i avsnitten 56 och 59 i Microsoft 365 Common och Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    I förekommande fall.
  2. Tillåt åtkomst till dessa domäner i proxyservern och länka den privata DNS-zonen ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) med det virtuella nätverk där proxyservern skapas eller använder en anpassad DNS-server med respektive DNS-poster.

    Det virtuella nätverk där proxyservern körs och det virtuella nätverk där nätverkskortet för privat slutpunkt skapas ska peer-kopplas, vilket gör att proxyservern kan omdirigera begäranden till privat IP.

    Anteckning

    I texten ovan refererar till regionkoden (till exempel eus och ne för USA, <geo> östra respektive Europa, norra). Se följande listor för regionskoder:

Följande diagram visar en konfiguration (när du använder Azure Privat DNS-zoner) med en proxyserver vars virtuella nätverk är länkat till en privat DNS-zon med nödvändiga DNS-poster. Proxyservern kan också ha en egen anpassad DNS-server och ovanstående domäner kan vidarebefordras villkorligt till 168.63.129.16. Om du använder en anpassad DNS-server/värdfil för DNS-matchning kan du läsa avsnitten om hur du hanterar DNS-poster och konfigurerar skydd.

Diagram som visar en konfiguration med en proxyserver.

Skapa DNS-poster när DNS-servern/DNS-zonen finns i en annan prenumeration

I det här avsnittet går vi igenom de fall där du använder en DNS-zon som finns i en prenumeration eller en resursgrupp som skiljer sig från den som innehåller den privata slutpunkten för Recovery Services-valvet, till exempel en nav- och ekertopologi. Eftersom den hanterade identiteten som används för att skapa privata slutpunkter (och DNS-posterna) endast har behörigheter för resursgruppen där de privata slutpunkterna skapas behövs dessutom de DNS-poster som krävs. Använd följande PowerShell-skript för att skapa DNS-poster.

Anteckning

Se hela processen som beskrivs nedan för att uppnå de resultat som krävs. Processen måste upprepas två gånger – en gång under den första identifieringen (för att skapa DNS-poster som krävs för kommunikationslagringskonton) och sedan en gång under den första säkerhetskopieringen (för att skapa DNS-poster som krävs för backend-lagringskonton).

Steg 1: Hämta nödvändiga DNS-poster

Använd skriptetPrivateIP.ps1 för att visa en lista över alla DNS-poster som behöver skapas.

Anteckning

subscription I syntaxen nedan refererar till prenumerationen där valvets privata slutpunkt ska skapas.

Syntax för att använda skriptet

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Exempelutdata

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Steg 2: Skapa DNS-poster

Skapa DNS-poster som motsvarar dem ovan. Baserat på vilken typ av DNS du använder har du två alternativ för att skapa DNS-poster.

Fall 1: Om du använder en anpassad DNS-server måste du manuellt skapa poster för varje post från skriptet ovan och kontrollera att FQDN (ResourceName.DNS) matchar en privat IP-adress i det virtuella nätverket.

Fall 2: Om du använder Azure Privat DNS Zone kan du använda skriptetCreateDNSEntries.ps1 för att automatiskt skapa DNS-poster i Privat DNS Zone. I följande syntax subscription är det där Privat DNS Zone finns.

Syntax för att använda skriptet

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Sammanfattning av hela processen

Om du vill konfigurera en privat slutpunkt för RSV på rätt sätt via den här lösningen måste du:

  1. Skapa en privat slutpunkt för valvet (enligt beskrivningen tidigare i artikeln).
  2. Utlösaridentifiering. Identifieringen för SQL/HANA misslyckas med UserErrorVMInternetConnectivityIssue eftersom DNS-poster saknas för kommunikationslagringskontot.
  3. Kör skripten för att hämta DNS-poster och skapa motsvarande DNS-poster för kommunikationslagringskontot som nämndes tidigare i det här avsnittet.
  4. Återutlösa identifiering. Den här gången bör identifieringen lyckas.
  5. Utlös säkerhetskopiering. Säkerhetskopieringen för SQL/HANA och MARS kan misslyckas eftersom DNS-poster saknas för serverdelslagringskonton som nämnts tidigare i det här avsnittet.
  6. Kör skripten för att skapa DNS-poster för serverdelslagringskonto.
  7. Återutlösa säkerhetskopiering. Den här gången bör säkerhetskopieringar lyckas.

Vanliga frågor och svar

Kan jag skapa en privat slutpunkt för ett befintligt Säkerhetskopieringsvalv?

Nej, privata slutpunkter kan endast skapas för nya Backup-valv. Så valvet får aldrig ha haft några objekt skyddade för det. Faktum är att inga försök att skydda objekt i valvet kan göras innan du skapar privata slutpunkter.

Jag försökte skydda ett objekt i mitt valv, men det misslyckades och valvet innehåller fortfarande inga objekt som skyddas av det. Kan jag skapa privata slutpunkter för det här valvet?

Nej, valvet får inte ha haft några försök att skydda objekt till det tidigare.

Jag har ett valv som använder privata slutpunkter för säkerhetskopiering och återställning. Kan jag senare lägga till eller ta bort privata slutpunkter för det här valvet även om jag har säkerhetskopieringsobjekt skyddade för det?

Ja. Om du redan har skapat privata slutpunkter för ett valv och skyddade säkerhetskopieringsobjekt kan du senare lägga till eller ta bort privata slutpunkter efter behov.

Kan den privata slutpunkten för Azure Backup också användas för Azure Site Recovery?

Nej, den privata slutpunkten för säkerhetskopiering kan bara användas för Azure Backup. Du måste skapa en ny privat slutpunkt för Azure Site Recovery, om den stöds av tjänsten.

Jag missade något av stegen i den här artikeln och fortsatte med att skydda min datakälla. Kan jag fortfarande använda privata slutpunkter?

Om du inte följer stegen i artikeln och fortsätter att skydda objekt kan det leda till att valvet inte kan använda privata slutpunkter. Vi rekommenderar därför att du läser den här checklistan innan du fortsätter att skydda objekt.

Kan jag använda min egen DNS-server i stället för att använda den privata DNS-zonen i Azure eller en integrerad privat DNS-zon?

Ja, du kan använda dina egna DNS-servrar. Kontrollera dock att alla nödvändiga DNS-poster läggs till som föreslås i det här avsnittet.

Behöver jag utföra några ytterligare steg på servern när jag har följt processen i den här artikeln?

När du har följt processen som beskrivs i den här artikeln behöver du inte utföra ytterligare arbete för att använda privata slutpunkter för säkerhetskopiering och återställning.

Nästa steg