Skapa och använda privata slutpunkter (v1-upplevelse) för Azure Backup
Den här artikeln innehåller information om processen med att skapa privata slutpunkter för Azure Backup och scenarier där privata slutpunkter bidrar till att upprätthålla säkerheten för dina resurser.
Kommentar
Azure Backup ger nu en ny upplevelse för att skapa privata slutpunkter. Läs mer.
Innan du börjar
Kontrollera att du har läst förutsättningarna och scenarierna som stöds innan du fortsätter att skapa privata slutpunkter.
Den här informationen hjälper dig att förstå de begränsningar och villkor som måste uppfyllas innan du skapar privata slutpunkter för dina valv.
Kom igång med att skapa privata slutpunkter för säkerhetskopiering
I följande avsnitt beskrivs stegen för att skapa och använda privata slutpunkter för Azure Backup i dina virtuella nätverk.
Viktigt!
Vi rekommenderar starkt att du följer stegen i samma sekvens som i det här dokumentet. Om du inte gör det kan valvet återges som inkompatibelt för att använda privata slutpunkter och kräva att du startar om processen med ett nytt valv.
Skapa ett Recovery Services-valv
Privata slutpunkter för säkerhetskopiering kan bara skapas för Recovery Services-valv som inte har några objekt skyddade till det (eller som inte har haft några objekt som har försökt skyddas eller registrerats för det tidigare). Därför föreslår vi att du skapar ett nytt valv till att börja med. Mer information om hur du skapar ett nytt valv finns i Skapa och konfigurera ett Recovery Services-valv.
I det här avsnittet får du lära dig hur du skapar ett valv med Hjälp av Azure Resource Manager-klienten. Detta skapar ett valv med den hanterade identiteten redan aktiverad.
Neka åtkomst till det offentliga nätverket till valvet
Du kan konfigurera dina valv för att neka åtkomst från offentliga nätverk.
Följ de här stegen:
Gå till valvet >Nätverk.
På fliken Offentlig åtkomst väljer du Neka för att förhindra åtkomst från offentliga nätverk.
Kommentar
- När du nekar åtkomst kan du fortfarande komma åt valvet, men du kan inte flytta data till/från nätverk som inte innehåller privata slutpunkter. Mer information finns i Skapa privata slutpunkter för Azure Backup.
- Neka offentlig åtkomst stöds för närvarande inte för valv som har återställning mellan regioner aktiverad.
Spara ändringarna genom att välja Använd .
Aktivera hanterad identitet för ditt valv
Med hanterade identiteter kan valvet skapa och använda privata slutpunkter. I det här avsnittet beskrivs hur du aktiverar den hanterade identiteten för valvet.
Gå till Recovery Services-valvet ->Identity.
Ändra Status till På och välj Spara.
Ett objekt-ID genereras, vilket är valvets hanterade identitet.
Kommentar
När den hanterade identiteten har aktiverats får den inte inaktiveras (inte ens tillfälligt). Om du inaktiverar den hanterade identiteten kan det leda till inkonsekvent beteende.
Bevilja behörigheter till valvet för att skapa nödvändiga privata slutpunkter
Om du vill skapa nödvändiga privata slutpunkter för Azure Backup måste valvet (valvets hanterade identitet) ha behörighet till följande resursgrupper:
- Resursgruppen som innehåller det virtuella målnätverket
- Resursgruppen där de privata slutpunkterna ska skapas
- Resursgruppen som innehåller de Privat DNS zonerna enligt beskrivningen här
Vi rekommenderar att du beviljar rollen Deltagare för dessa tre resursgrupper till valvet (hanterad identitet). Följande steg beskriver hur du gör detta för en viss resursgrupp (detta måste göras för var och en av de tre resursgrupperna):
Gå till resursgruppen och gå till Åtkomstkontroll (IAM) i det vänstra fältet.
När du är i Åtkomstkontroll går du till Lägg till en rolltilldelning.
I fönstret Lägg till rolltilldelning väljer du Deltagare som Roll och använder valvets namn som huvudnamn. Välj valvet och välj Spara när du är klar.
Information om hur du hanterar behörigheter på en mer detaljerad nivå finns i Skapa roller och behörigheter manuellt.
Skapa privata slutpunkter för Azure Backup
I det här avsnittet beskrivs hur du skapar en privat slutpunkt för valvet.
Gå till valvet som skapades ovan och gå till Privata slutpunktsanslutningar i det vänstra navigeringsfältet. Välj +Privat slutpunkt längst upp för att börja skapa en ny privat slutpunkt för det här valvet.
När du är i processen Skapa privat slutpunkt måste du ange information för att skapa din privata slutpunktsanslutning.
Grunderna: Fyll i grundläggande information för dina privata slutpunkter. Regionen ska vara samma som valvet och resursen som säkerhetskopieras.
Resurs: På den här fliken måste du välja den PaaS-resurs som du vill skapa anslutningen för. Välj Microsoft.RecoveryServices/valv från resurstypen för din önskade prenumeration. När du är klar väljer du namnet på ditt Recovery Services-valv som Resurs och AzureBackup som underresurs för mål.
Konfiguration: Ange det virtuella nätverket och undernätet där du vill att den privata slutpunkten ska skapas i konfigurationen. Det här är det virtuella nätverk där den virtuella datorn finns.
För att ansluta privat behöver du nödvändiga DNS-poster. Baserat på nätverkskonfigurationen kan du välja något av följande:
- Integrera din privata slutpunkt med en privat DNS-zon: Välj Ja om du vill integrera.
- Använd din anpassade DNS-server: Välj Nej om du vill använda din egen DNS-server.
Hantering av DNS-poster för båda dessa beskrivs senare.
Du kan också lägga till taggar för din privata slutpunkt.
Fortsätt att granska + skapa när du är klar med att ange information. När verifieringen är klar väljer du Skapa för att skapa den privata slutpunkten.
Godkänna privata slutpunkter
Om användaren som skapar den privata slutpunkten också är ägare till Recovery Services-valvet godkänns den privata slutpunkten som skapades ovan automatiskt. Annars måste valvets ägare godkänna den privata slutpunkten innan den kan användas. I det här avsnittet beskrivs manuellt godkännande av privata slutpunkter via Azure-portalen.
Se Manuellt godkännande av privata slutpunkter med hjälp av Azure Resource Manager-klienten för att använda Azure Resource Manager-klienten för att godkänna privata slutpunkter.
I Recovery Services-valvet navigerar du till Privata slutpunktsanslutningar i det vänstra fältet.
Välj den privata slutpunktsanslutning som du vill godkänna.
Välj Godkänn i det övre fältet. Du kan också välja Avvisa eller Ta bort om du vill avvisa eller ta bort slutpunktsanslutningen.
Hantera DNS-poster
Som tidigare beskrivits behöver du nödvändiga DNS-poster i dina privata DNS-zoner eller servrar för att kunna ansluta privat. Du kan antingen integrera din privata slutpunkt direkt med privata DNS-zoner i Azure eller använda dina anpassade DNS-servrar för att uppnå detta, baserat på dina nätverksinställningar. Detta måste göras för alla tre tjänsterna: Säkerhetskopiering, blobar och köer.
Om dns-zonen eller servern finns i en annan prenumeration än den som innehåller den privata slutpunkten kan du också läsa Skapa DNS-poster när DNS-servern/DNS-zonen finns i en annan prenumeration.
När du integrerar privata slutpunkter med privata DNS-zoner i Azure
Om du väljer att integrera din privata slutpunkt med privata DNS-zoner lägger Azure Backup till de DNS-poster som krävs. Du kan visa de privata DNS-zoner som används under DNS-konfigurationen av den privata slutpunkten. Om dessa DNS-zoner inte finns skapas de automatiskt när du skapar den privata slutpunkten.
Kommentar
Den hanterade identitet som tilldelats valvet bör ha behörighet att lägga till DNS-poster i Azure Privat DNS-zonen.
Du måste dock kontrollera att ditt virtuella nätverk (som innehåller de resurser som ska säkerhetskopieras) är korrekt länkat till alla tre privata DNS-zoner enligt beskrivningen nedan.
Kommentar
Om du använder proxyservrar kan du välja att kringgå proxyservern eller utföra dina säkerhetskopior via proxyservern. Om du vill kringgå en proxyserver fortsätter du till följande avsnitt. Information om hur du använder proxyservern för att utföra dina säkerhetskopior finns i information om konfiguration av proxyserver för Recovery Services-valv.
Verifiera virtuella nätverkslänkar i privata DNS-zoner
För varje privat DNS-zon som anges ovan (för säkerhetskopiering, blobar och köer) gör du följande:
Gå till respektive alternativ för virtuella nätverkslänkar i det vänstra navigeringsfältet.
Du bör kunna se en post för det virtuella nätverk som du har skapat den privata slutpunkten för, som den som visas nedan:
Om du inte ser någon post lägger du till en länk för virtuellt nätverk till alla DNS-zoner som inte har dem.
När du använder anpassad DNS-server eller värdfiler
Om du använder en anpassad DNS-server kan du använda villkorlig vidarebefordrare för säkerhetskopieringstjänst, blob och kö-FQDN för att omdirigera DNS-begäranden till Azure DNS (168.63.129.16). Azure DNS omdirigerar den till Azure Privat DNS-zonen. I den här konfigurationen kontrollerar du att det finns en länk till ett virtuellt nätverk för Azure Privat DNS zon enligt beskrivningen i det här avsnittet.
I följande tabell visas de Azure Privat DNS-zoner som krävs av Azure Backup:
Zon Tjänst privatelink.<geo>.backup.windowsazure.com
Backup privatelink.blob.core.windows.net
Blob privatelink.queue.core.windows.net
Queue Kommentar
I texten ovan
<geo>
refererar till regionkoden (till exempel eus och ne för USA, östra respektive Europa, norra). Se följande listor för regionskoder:Om du använder anpassade DNS-servrar eller värdfiler och inte har zonen Azure Privat DNS måste du lägga till de DNS-poster som krävs av de privata slutpunkterna till dina DNS-servrar eller i värdfilen.
För säkerhetskopieringstjänsten: Navigera till den privata slutpunkt som du skapade och gå sedan till DNS-konfiguration. Lägg sedan till en post för varje FQDN och IP som visas som typ A-poster i DNS-zonen för säkerhetskopiering.
Om du använder en värdfil för namnmatchning gör du motsvarande poster i värdfilen för varje IP- och FQDN enligt formatet -
<private ip><space><backup service privatelink FQDN>
.För bloben och kön: Azure Backup skapar de privata slutpunkterna för blobar och köer med hjälp av de hanterade identitetsbehörigheterna. De privata slutpunkterna för blobar och köer följer ett standardnamnmönster, de börjar med
<the name of the private endpoint>_ecs
eller<the name of the private endpoint>_prot
, och är suffix med_blob
_queue
respektive.Gå till den privata slutpunkt som skapats av Azure Backup enligt ovanstående mönster och gå sedan till DNS-konfiguration. Lägg sedan till en post för varje FQDN och IP som visas som typ A-poster i DNS-zonen för säkerhetskopiering.
Om du använder en värdfil för namnmatchning gör du motsvarande poster i värdfilen för varje IP- och FQDN enligt formatet -
<private ip><space><blob/queue FQDN>
.
Kommentar
Azure Backup kan allokera ett nytt lagringskonto för valvet för säkerhetskopieringsdata och tillägget eller agenten måste komma åt respektive slutpunkter. Mer information om hur du lägger till fler DNS-poster efter registrering och säkerhetskopiering finns i vägledningen i avsnittet Använda privata slutpunkter för säkerhetskopiering .
Använda privata slutpunkter för säkerhetskopiering
När de privata slutpunkter som skapats för valvet i ditt virtuella nätverk har godkänts kan du börja använda dem för att utföra dina säkerhetskopior och återställningar.
Viktigt!
Kontrollera att du har slutfört alla steg som nämns ovan i dokumentet innan du fortsätter. För att sammanfatta måste du ha slutfört stegen i följande checklista:
- Skapade ett (nytt) Recovery Services-valv
- Aktiverade valvet för att använda systemtilldelad hanterad identitet
- Tilldelade relevanta behörigheter till valvets hanterade identitet
- Skapade en privat slutpunkt för valvet
- Godkänt den privata slutpunkten (om den inte godkänns automatiskt)
- Se till att alla DNS-poster läggs till på rätt sätt (förutom blob- och köposter för anpassade servrar, som beskrivs i följande avsnitt)
Kontrollera VM-anslutningen
I den virtuella datorn i det låsta nätverket kontrollerar du följande:
- Den virtuella datorn ska ha åtkomst till Microsoft Entra-ID.
- Kör nslookup på url:en för säkerhetskopiering (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
) från den virtuella datorn för att säkerställa anslutningen. Detta bör returnera den privata IP-adress som tilldelats i det virtuella nätverket.
Konfigurera säkerhetskopiering
När du har kontrollerat att checklistan ovan och åtkomsten har slutförts kan du fortsätta att konfigurera säkerhetskopiering av arbetsbelastningar till valvet. Om du använder en anpassad DNS-server måste du lägga till DNS-poster för blobar och köer som är tillgängliga när du har konfigurerat den första säkerhetskopieringen.
DNS-poster för blobar och köer (endast för anpassade DNS-servrar/värdfiler) efter den första registreringen
När du har konfigurerat säkerhetskopiering för minst en resurs i ett privat slutpunktsaktiverat valv lägger du till nödvändiga DNS-poster för blobar och köer enligt beskrivningen nedan.
Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.
Förutom det privata slutpunktsnamn som du har angett visas ytterligare två privata slutpunkter som skapas. Dessa börjar med
<the name of the private endpoint>_ecs
och är suffix med_blob
respektive_queue
.Navigera till var och en av dessa privata slutpunkter. I DNS-konfigurationsalternativet för var och en av de två privata slutpunkterna visas en post med och ett FQDN och en IP-adress. Lägg till båda dessa till din anpassade DNS-server, utöver de som beskrevs tidigare. Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP/FQDN enligt följande format:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
Utöver ovanstående finns det en annan post som behövs efter den första säkerhetskopieringen, som beskrivs senare.
Säkerhetskopiering och återställning av arbetsbelastningar i virtuella Azure-datorer (SQL och SAP HANA)
När den privata slutpunkten har skapats och godkänts krävs inga andra ändringar från klientsidan för att använda den privata slutpunkten (om du inte använder SQL-tillgänglighetsgrupper, som vi diskuterar senare i det här avsnittet). All kommunikation och dataöverföring från ditt skyddade nätverk till valvet utförs via den privata slutpunkten. Men om du tar bort privata slutpunkter för valvet när en server (SQL eller SAP HANA) har registrerats för det, måste du registrera containern med valvet igen. Du behöver inte stoppa skyddet för dem.
DNS-poster för blobar (endast för anpassade DNS-servrar/värdfiler) efter den första säkerhetskopieringen
När du har kört den första säkerhetskopieringen och använder en anpassad DNS-server (utan villkorsstyrd vidarebefordran) är det troligt att säkerhetskopieringen misslyckas. Om det händer:
Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.
Förutom de tre privata slutpunkter som beskrevs tidigare ser du nu en fjärde privat slutpunkt med namnet som börjar med
<the name of the private endpoint>_prot
och är suffix med_blob
.Gå till den nya privata slutpunkten. I dns-konfigurationsalternativet visas en post med ett FQDN och en IP-adress. Lägg till dessa i din privata DNS-server, utöver de som beskrevs tidigare.
Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP- och FQDN enligt följande format:
<private ip><space><blob service privatelink FQDN>
Kommentar
Nu bör du kunna köra nslookup från den virtuella datorn och matcha till privata IP-adresser när det görs på valvets URL:er för säkerhetskopiering och lagring.
När du använder SQL-tillgänglighetsgrupper
När du använder SQL-tillgänglighetsgrupper (AG) måste du etablera villkorsstyrd vidarebefordran i den anpassade tillgänglighetsgruppens DNS enligt beskrivningen nedan:
Logga in på domänkontrollanten.
Under DNS-programmet lägger du till villkorliga vidarebefordrare för alla tre DNS-zoner (säkerhetskopiering, blobar och köer) till värdens IP 168.63.129.16 eller den anpassade DNS-serverns IP-adress efter behov. Följande skärmbilder visar när du vidarebefordrar till Azure-värd-IP-adressen. Om du använder din egen DNS-server ersätter du med DNS-serverns IP-adress.
Säkerhetskopiera och återställa via MARS-agenten och DPM-servern
När du använder MARS-agenten för att säkerhetskopiera dina lokala resurser kontrollerar du att ditt lokala nätverk (som innehåller dina resurser som ska säkerhetskopieras) är peerkopplat med det virtuella Azure-nätverket som innehåller en privat slutpunkt för valvet, så att du kan använda det. Du kan sedan fortsätta att installera MARS-agenten och konfigurera säkerhetskopiering enligt beskrivningen här. Du måste dock se till att all kommunikation för säkerhetskopiering sker endast via det peerkopplade nätverket.
Men om du tar bort privata slutpunkter för valvet när en MARS-agent har registrerats för det måste du registrera containern med valvet igen. Du behöver inte stoppa skyddet för dem.
Kommentar
- Privata slutpunkter stöds endast med DPM-server 2022 (10.22.123.0) och senare.
- Privata slutpunkter stöds endast med MABS V4 (14.0.30.0) och senare.
Ta bort privata slutpunkter
Se det här avsnittet om du vill lära dig hur du tar bort privata slutpunkter.
Ytterligare information
Skapa ett Recovery Services-valv med Azure Resource Manager-klienten
Du kan skapa Recovery Services-valvet och aktivera dess hanterade identitet (aktivering av den hanterade identiteten krävs, som vi senare ser) med hjälp av Azure Resource Manager-klienten. Ett exempel för att göra detta delas nedan:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
JSON-filen ovan bör ha följande innehåll:
Begär JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
Svars-JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
Kommentar
Valvet som skapas i det här exemplet via Azure Resource Manager-klienten har redan skapats med en systemtilldelad hanterad identitet.
Hantera behörigheter för resursgrupper
Den hanterade identiteten för valvet måste ha följande behörigheter i resursgruppen och det virtuella nätverket där de privata slutpunkterna skapas:
Microsoft.Network/privateEndpoints/*
Detta krävs för att utföra CRUD på privata slutpunkter i resursgruppen. Den bör tilldelas i resursgruppen.Microsoft.Network/virtualNetworks/subnets/join/action
Detta krävs i det virtuella nätverket där den privata IP-adressen kopplas till den privata slutpunkten.Microsoft.Network/networkInterfaces/read
Detta krävs i resursgruppen för att få nätverksgränssnittet skapat för den privata slutpunkten.- Privat DNS zondeltagareroll Den här rollen finns redan och kan användas för att tillhandahålla
Microsoft.Network/privateDnsZones/A/*
ochMicrosoft.Network/privateDnsZones/virtualNetworkLinks/read
behörigheter.
Du kan använda någon av följande metoder för att skapa roller med nödvändiga behörigheter:
Skapa roller och behörigheter manuellt
Skapa följande JSON-filer och använd PowerShell-kommandot i slutet av avsnittet för att skapa roller:
PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
Använda ett skript
Starta Cloud Shell i Azure-portalen och välj Ladda upp fil i PowerShell-fönstret.
Ladda upp följande skript: VaultMsiPrereqScript
Gå till din hemmapp (till exempel:
cd /home/user
)Kör följande skript:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
Det här är parametrarna:
prenumeration: **SubscriptionId som har resursgruppen där den privata slutpunkten för valvet ska skapas och undernätet där valvets privata slutpunkt ska kopplas
vaultPEResourceGroup: Resursgrupp där den privata slutpunkten för valvet skapas
vaultPESubnetResourceGroup: Resursgrupp för det undernät som den privata slutpunkten ska kopplas till
vaultMsiName: Namnet på valvets MSI, som är samma som VaultName
Slutför autentiseringen så tar skriptet kontexten för den angivna prenumerationen som anges ovan. Den skapar lämpliga roller om de saknas i klientorganisationen och tilldelar roller till valvets MSI.
Skapa privata slutpunkter med Azure PowerShell
Automatiskt godkända privata slutpunkter
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
Manuellt godkännande av privata slutpunkter med Azure Resource Manager-klienten
Använd GetVault för att hämta privat slutpunkts-Anslut ion-ID för din privata slutpunkt.
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
Då returneras det privata slutpunktens Anslut ions-ID. Namnet på anslutningen kan hämtas med hjälp av den första delen av anslutnings-ID:t enligt följande:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}
Hämta det privata slutpunkts-Anslut ions-ID :t (och det privata slutpunktsnamnet, där det behövs) från svaret och ersätt det i följande JSON- och Azure Resource Manager-URI och försök ändra statusen till "Godkänd/avvisad/frånkopplad", vilket visas i exemplet nedan:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
JSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
Konfigurera proxyserver för Recovery Services-valv med privat slutpunkt
Följ dessa steg för att konfigurera en proxyserver för virtuella Azure-datorer eller lokala datorer:
Lägg till följande domäner som måste nås från proxyservern.
Tjänst Domännamn Port Azure Backup *.backup.windowsazure.com 443 Azure Storage *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 Microsoft Entra-ID
Uppdaterade domän-URL:er som nämns i avsnitten 56 och 59 i Microsoft 365 Common och Office Online.*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.netI förekommande fall. Tillåt åtkomst till dessa domäner i proxyservern och länka den privata DNS-zonen (
*.privatelink.<geo>.backup.windowsazure.com
,*.privatelink.blob.core.windows.net
,*.privatelink.queue.core.windows.net
) med det virtuella nätverket där proxyservern skapas eller använder en anpassad DNS-server med respektive DNS-poster.
Det virtuella nätverk där proxyservern körs och det virtuella nätverk där privat slutpunktskort skapas bör peer-kopplas, vilket gör att proxyservern kan omdirigera begäranden till privat IP.Kommentar
I texten ovan
<geo>
refererar till regionkoden (till exempel eus och ne för USA, östra respektive Europa, norra). Se följande listor för regionskoder:
Följande diagram visar en konfiguration (när du använder Azure Privat DNS-zoner) med en proxyserver, vars virtuella nätverk är länkat till en privat DNS-zon med nödvändiga DNS-poster. Proxyservern kan också ha en egen anpassad DNS-server och domänerna ovan kan vidarebefordras villkorligt till 168.63.129.16. Om du använder en anpassad DNS-server/värdfil för DNS-matchning kan du läsa avsnitten om hur du hanterar DNS-poster och konfigurerar skydd.
Skapa DNS-poster när DNS-servern/DNS-zonen finns i en annan prenumeration
I det här avsnittet går vi igenom de fall där du använder en DNS-zon som finns i en prenumeration eller en resursgrupp som skiljer sig från den som innehåller den privata slutpunkten för Recovery Services-valvet, till exempel en hubb- och ekertopologi. Eftersom den hanterade identitet som används för att skapa privata slutpunkter (och DNS-posterna) endast har behörigheter för resursgruppen där de privata slutpunkterna skapas, behövs dessutom de DNS-poster som krävs. Använd följande PowerShell-skript för att skapa DNS-poster.
Kommentar
Se hela processen som beskrivs nedan för att uppnå de resultat som krävs. Processen måste upprepas två gånger – en gång under den första identifieringen (för att skapa DNS-poster som krävs för kommunikationslagringskonton) och sedan en gång under den första säkerhetskopieringen (för att skapa DNS-poster som krävs för backend-lagringskonton).
Steg 1: Hämta nödvändiga DNS-poster
Använd PrivateIP.ps1-skriptet för att visa en lista över alla DNS-poster som behöver skapas.
Kommentar
I subscription
syntaxen nedan refererar till prenumerationen där valvets privata slutpunkt ska skapas.
Syntax för att använda skriptet
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
Exempelutdata
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
Steg 2: Skapa DNS-poster
Skapa DNS-poster som motsvarar dem ovan. Baserat på vilken typ av DNS du använder har du två alternativ för att skapa DNS-poster.
Fall 1: Om du använder en anpassad DNS-server måste du manuellt skapa poster för varje post från skriptet ovan och kontrollera att FQDN (ResourceName.DNS) matchar en privat IP-adress i det virtuella nätverket.
Fall 2: Om du använder Azure Privat DNS Zone kan du använda skriptet CreateDNSEntries.ps1 för att automatiskt skapa DNS-poster i Privat DNS-zonen. I följande syntax subscription
är det där Privat DNS zon finns.
Syntax för att använda skriptet
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
Sammanfattning av hela processen
Om du vill konfigurera en privat slutpunkt för Recovery Services-valvet på rätt sätt via den här lösningen måste du:
- Skapa en privat slutpunkt för valvet (enligt beskrivningen tidigare i artikeln).
- Utlösaridentifiering. Identifieringen för SQL/HANA misslyckas med UserErrorVMInternet Anslut ivityIssue eftersom DNS-poster saknas för kommunikationslagringskontot.
- Kör skripten för att hämta DNS-poster och skapa motsvarande DNS-poster för kommunikationslagringskontot som nämndes tidigare i det här avsnittet.
- Retrigger-identifiering. Den här gången bör identifieringen lyckas.
- Utlös säkerhetskopiering. Säkerhetskopiering för SQL/HANA och MARS kan misslyckas eftersom DNS-poster saknas för backend-lagringskonton som nämnts tidigare i det här avsnittet.
- Kör skripten för att skapa DNS-poster för serverdelslagringskonto.
- Retrigger-säkerhetskopiering. Den här gången bör säkerhetskopieringar lyckas.
Vanliga frågor och svar
Kan jag skapa en privat slutpunkt för ett befintligt Recovery Services-valv?
Nej, privata slutpunkter kan endast skapas för nya Recovery Services-valv. Så valvet får aldrig ha haft några objekt skyddade till det. Det går faktiskt inte att göra några försök att skydda objekt i valvet innan du skapar privata slutpunkter.
Jag försökte skydda ett objekt till mitt valv, men det misslyckades och valvet innehåller fortfarande inga objekt som skyddas av det. Kan jag skapa privata slutpunkter för det här valvet?
Nej, valvet får inte ha haft några försök att skydda objekt till det tidigare.
Jag har ett valv som använder privata slutpunkter för säkerhetskopiering och återställning. Kan jag senare lägga till eller ta bort privata slutpunkter för det här valvet även om jag har säkerhetskopieringsobjekt skyddade för det?
Ja. Om du redan har skapat privata slutpunkter för ett valv och skyddade säkerhetskopieringsobjekt till det kan du senare lägga till eller ta bort privata slutpunkter efter behov.
Kan den privata slutpunkten för Azure Backup också användas för Azure Site Recovery?
Nej, den privata slutpunkten för säkerhetskopiering kan bara användas för Azure Backup. Du måste skapa en ny privat slutpunkt för Azure Site Recovery om den stöds av tjänsten.
Jag missade något av stegen i den här artikeln och fortsatte med att skydda min datakälla. Kan jag fortfarande använda privata slutpunkter?
Om du inte följer stegen i artikeln och fortsätter att skydda objekt kan det leda till att valvet inte kan använda privata slutpunkter. Vi rekommenderar därför att du läser den här checklistan innan du fortsätter att skydda objekt.
Kan jag använda min egen DNS-server i stället för att använda den privata DNS-zonen i Azure eller en integrerad privat DNS-zon?
Ja, du kan använda dina egna DNS-servrar. Kontrollera dock att alla nödvändiga DNS-poster läggs till enligt förslaget i det här avsnittet.
Behöver jag utföra några ytterligare steg på servern när jag har följt processen i den här artikeln?
När du har följt processen som beskrivs i den här artikeln behöver du inte utföra ytterligare arbete för att använda privata slutpunkter för säkerhetskopiering och återställning.
Nästa steg
- Läs om alla säkerhetsfunktioner i Azure Backup.