Översikt och begrepp för privata slutpunkter (v1-upplevelse) för Azure Backup

Med Azure Backup kan du säkerhetskopiera och återställa dina data på ett säkert sätt från dina Recovery Services-valv med hjälp av privata slutpunkter. Privata slutpunkter använder en eller flera privata IP-adresser från ditt virtuella Azure-nätverk (VNet), vilket effektivt för in tjänsten i ditt virtuella nätverk.

Den här artikeln hjälper dig att förstå hur privata slutpunkter för Azure Backup fungerar och de scenarier där användning av privata slutpunkter bidrar till att upprätthålla säkerheten för dina resurser.

Kommentar

Azure Backup ger nu en ny upplevelse för att skapa privata slutpunkter. Läs mer.

Innan du börjar

  • Privata slutpunkter kan endast skapas för nya Recovery Services-valv (som inte har några objekt registrerade i valvet). Privata slutpunkter måste därför skapas innan du försöker skydda objekt i valvet. Privata slutpunkter stöds dock för närvarande inte för säkerhetskopieringsvalv.
  • Ett virtuellt nätverk kan innehålla privata slutpunkter för flera Recovery Services-valv. Dessutom kan ett Recovery Services-valv ha privata slutpunkter för det i flera virtuella nätverk. Det maximala antalet privata slutpunkter som kan skapas för ett valv är dock 12.
  • Om den offentliga nätverksåtkomsten för valvet är inställd på Tillåt från alla nätverk tillåter valvet säkerhetskopieringar och återställningar från alla datorer som är registrerade i valvet. Om den offentliga nätverksåtkomsten för valvet är inställd på Neka tillåter valvet endast säkerhetskopior och återställningar från datorerna som är registrerade i valvet som begär säkerhetskopieringar/återställningar via privata IP-adresser som allokerats för valvet.
  • En privat slutpunktsanslutning för säkerhetskopiering använder totalt 11 privata IP-adresser i undernätet, inklusive de som används av Azure Backup för lagring. Det här antalet kan vara högre för vissa Azure-regioner. Därför föreslår vi att du har tillräckligt med privata IP-adresser (/26) tillgängliga när du försöker skapa privata slutpunkter för säkerhetskopiering.
  • Även om ett Recovery Services-valv används av (båda) Azure Backup och Azure Site Recovery, beskrivs användning av privata slutpunkter endast för Azure Backup i den här artikeln.
  • Privata slutpunkter för säkerhetskopiering innehåller inte åtkomst till Microsoft Entra-ID och samma måste säkerställas separat. Ip-adresser och FQDN:er som krävs för att Microsoft Entra-ID ska fungera i en region behöver därför utgående åtkomst för att tillåtas från det skyddade nätverket när du säkerhetskopierar databaser på virtuella Azure-datorer och säkerhetskopierar med MARS-agenten. Du kan också använda NSG-taggar och Azure Firewall-taggar för att tillåta åtkomst till Microsoft Entra-ID, i förekommande fall.
  • Du måste registrera om Recovery Services-resursprovidern med prenumerationen om du registrerade den före den 1 maj 2020. Om du vill registrera providern igen går du till din prenumeration i Azure-portalen, navigerar till Resursprovidern i det vänstra navigeringsfältet, väljer sedan Microsoft.RecoveryServices och väljer Registrera om.
  • Återställning mellan regioner för SQL- och SAP HANA-databassäkerhetskopior stöds inte om valvet har privata slutpunkter aktiverade.
  • När du flyttar ett Recovery Services-valv som redan använder privata slutpunkter till en ny klient måste du uppdatera Recovery Services-valvet för att återskapa och konfigurera om valvets hanterade identitet och skapa nya privata slutpunkter efter behov (som bör finnas i den nya klientorganisationen). Om detta inte är klart börjar säkerhetskopierings- och återställningsåtgärderna misslyckas. Dessutom måste eventuella azure-behörigheter för rollbaserad åtkomstkontroll (Azure RBAC) som konfigurerats i prenumerationen konfigureras om.

Även om privata slutpunkter är aktiverade för valvet används de för säkerhetskopiering och återställning av SQL- och SAP HANA-arbetsbelastningar på en virtuell Azure-dator, endast MARS-agentsäkerhetskopiering och DPM. Du kan också använda valvet för säkerhetskopiering av andra arbetsbelastningar (de kräver dock inte privata slutpunkter). Förutom säkerhetskopiering av SQL- och SAP HANA-arbetsbelastningar och säkerhetskopiering med MARS-agenten används även privata slutpunkter för att utföra filåterställning för säkerhetskopiering av virtuella Azure-datorer. Mer information finns i följande tabell:

Scenarier Rekommendationer
Säkerhetskopiering av arbetsbelastningar i virtuella Azure-datorer (SQL, SAP HANA), säkerhetskopiering med MARS-agent, DPM-server. Användning av privata slutpunkter rekommenderas för att tillåta säkerhetskopiering och återställning utan att behöva lägga till ip-adresser/FQDN:er för Azure Backup eller Azure Storage från dina virtuella nätverk. I det scenariot kontrollerar du att virtuella datorer som är värdar för SQL-databaser kan nå Microsoft Entra-IP-adresser eller FQDN:er.
Säkerhetskopiering av virtuell Azure-dator Säkerhetskopiering av virtuella datorer kräver inte att du tillåter åtkomst till ip-adresser eller FQDN. Därför krävs inte privata slutpunkter för säkerhetskopiering och återställning av diskar.

Filåterställning från ett valv som innehåller privata slutpunkter skulle dock begränsas till virtuella nätverk som innehåller en privat slutpunkt för valvet.

När du använder ohanterade ACL-diskar kontrollerar du att lagringskontot som innehåller diskarna ger åtkomst till betrodda Microsoft-tjänster om det är ACL'ed.
Säkerhetskopiering av Azure Files Azure Files-säkerhetskopior lagras i det lokala lagringskontot. Därför krävs inte privata slutpunkter för säkerhetskopiering och återställning.

Kommentar

Privata slutpunkter stöds endast med DPM-server 2022, MABS v4 och senare.

Skillnad i nätverksanslutningar på grund av privata slutpunkter

Som nämnts ovan är privata slutpunkter särskilt användbara för säkerhetskopiering av arbetsbelastningar (SQL, SAP HANA) på virtuella Azure-datorer och MARS-agentsäkerhetskopior.

I alla scenarier (med eller utan privata slutpunkter) gör både arbetsbelastningstilläggen (för säkerhetskopiering av SQL- och SAP HANA-instanser som körs i virtuella Azure-datorer) och MARS-agenten anslutningsanrop till Microsoft Entra-ID (till FQDN som nämns i avsnitten 56 och 59 i Microsoft 365 Common och Office Online).

Förutom dessa anslutningar när arbetsbelastningstillägget eller MARS-agenten installeras för Recovery Services-valv utan privata slutpunkter, krävs även anslutning till följande domäner:

Tjänst Domännamn Port
Azure Backup *.backup.windowsazure.com 443
Azure Storage *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net
443
Microsoft Entra ID *.login.microsoft.com

Tillåt åtkomst till fullständiga domännamn under avsnitten 56 och 59.
443

I förekommande fall

När arbetsbelastningstillägget eller MARS-agenten har installerats för Recovery Services-valv med en privat slutpunkt visas följande slutpunkter:

Tjänst Domännamn Port
Azure Backup *.privatelink.<geo>.backup.windowsazure.com 443
Azure Storage *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net
443
Microsoft Entra ID *.login.microsoft.com

Tillåt åtkomst till fullständiga domännamn under avsnitten 56 och 59.
443

I förekommande fall

Kommentar

I texten ovan <geo> refererar till regionkoden (till exempel eus för USA, östra och ne för Europa, norra). Se följande listor för regionskoder:

För ett Recovery Services-valv med en privat slutpunktskonfiguration bör namnmatchningen för FQDN :erna (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) returnera en privat IP-adress. Detta kan uppnås med hjälp av:

  • Azure DNS Private Zones
  • Anpassad DNS
  • DNS-poster i värdfiler
  • Villkorliga vidarebefordrare till Azure DNS- eller Azure Privat DNS-zoner.

De privata slutpunkterna för blobar och köer följer ett standardnamnmönster, de börjar med <namnet på den privata slutpunkten>_ecs eller <namnet på den privata slutpunkten>_prot och är suffix med _blobrespektive _queue .

Kommentar

Vi rekommenderar att du använder Azure Privat DNS-zoner, vilket gör att du kan hantera DNS-posterna för blobar och köer med hjälp av Azure Backup. Den hanterade identitet som tilldelats valvet används för att automatisera tillägget av DNS-posten när nytt lagringskonto allokeras för säkerhetskopieringsdata.

Om du har konfigurerat en DNS-proxyserver med hjälp av proxyservrar eller brandväggar från tredje part måste ovanstående domännamn tillåtas och omdirigeras till en anpassad DNS (som har DNS-poster för ovanstående FQDN) eller till 168.63.129.16 i det virtuella Azure-nätverket som har privata DNS-zoner länkade till den.

I följande exempel visas Azure-brandväggen som används som DNS-proxy för att omdirigera domännamnsfrågorna för Recovery Services-valv, blob, köer och Microsoft Entra-ID till 168.63.129.16.

Diagram showing the use of Azure firewall as DNS proxy to redirect the domain name queries.

Mer information finns i Skapa och använda privata slutpunkter.

Konfiguration av nätverksanslutning för valv med privata slutpunkter

Den privata slutpunkten för återställningstjänster är associerad med ett nätverksgränssnitt (NIC). För att privata slutpunktsanslutningar ska fungera måste all trafik för Azure-tjänsten omdirigeras till nätverksgränssnittet. Detta uppnås genom att lägga till DNS-mappning för privat IP som är associerad med nätverksgränssnittet mot url: en för tjänsten/blob/kön .

När tillägg för säkerhetskopiering av arbetsbelastningar installeras på den virtuella datorn som är registrerade i ett Recovery Services-valv med en privat slutpunkt, försöker tillägget ansluta till den privata URL:en för Azure Backup-tjänsterna <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Om den privata URL:en inte löser problemet försöker den offentliga URL:en <azure_backup_svc>.<geo>.backup.windowsazure.com.

Kommentar

I texten ovan <geo> refererar till regionkoden (till exempel eus för USA, östra och ne för Europa, norra). Se följande listor för regionskoder:

Dessa privata URL:er är specifika för valvet. Endast tillägg och agenter som är registrerade i valvet kan kommunicera med Azure Backup över dessa slutpunkter. Om den offentliga nätverksåtkomsten för Recovery Services-valvet har konfigurerats till Neka begränsar detta klienterna som inte körs i det virtuella nätverket från att begära säkerhetskopiering och återställning i valvet. Vi rekommenderar att du ställer in åtkomsten för det offentliga nätverket till Neka, tillsammans med konfiguration av privata slutpunkter. När tillägget och agenten försöker använda den privata URL:en från början *.privatelink.<geo>.backup.windowsazure.com ska DNS-matchningen för URL:en returnera motsvarande privata IP-adress som är associerad med den privata slutpunkten.

Lösningarna för DNS-matchning är:

  • Azure DNS Private Zones
  • Anpassad DNS
  • DNS-poster i värdfiler
  • Villkorliga vidarebefordrare till Azure DNS/Azure Privat DNS-zoner.

När den privata slutpunkten för Recovery Services-valv skapas via Azure-portalen med alternativet integrera med privat DNS-zon skapas de nödvändiga DNS-posterna för privata IP-adresser för Azure Backup-tjänster (*.privatelink.<geo>backup.windowsazure.com) automatiskt när resursen allokeras. I andra lösningar måste du skapa DNS-posterna manuellt för dessa FQDN:er i den anpassade DNS:en eller i värdfilerna.

För manuell hantering av DNS-poster efter identifieringen av den virtuella datorn för kommunikationskanal – blob/kö, se DNS-poster för blobar och köer (endast för anpassade DNS-servrar/värdfiler) efter den första registreringen. Manuell hantering av DNS-poster efter den första säkerhetskopieringen för lagringskontoblob för säkerhetskopiering finns i DNS-poster för blobar (endast för anpassade DNS-servrar/värdfiler) efter den första säkerhetskopieringen.

De privata IP-adresserna för FQDN finns på bladet privat slutpunkt för den privata slutpunkt som skapats för Recovery Services-valvet.

Följande diagram visar hur lösningen fungerar när du använder en privat DNS-zon för att lösa dessa privata tjänst-FQDN:er.

Diagram showing how the resolution works using a private DNS zone to resolve modified service FQDNs.

Arbetsbelastningstillägget som körs på en virtuell Azure-dator kräver anslutning till minst två lagringskonton – det första används som kommunikationskanal (via kömeddelanden) och det andra för lagring av säkerhetskopierade data. MARS-agenten kräver åtkomst till ett lagringskonto som används för att lagra säkerhetskopierade data.

För ett privat slutpunktsaktiverat valv skapar Azure Backup-tjänsten en privat slutpunkt för dessa lagringskonton. Detta förhindrar att nätverkstrafik som är relaterad till Azure Backup (kontrollplanstrafik till tjänst och säkerhetskopiering av data till lagringsblob) lämnar det virtuella nätverket. Förutom Azure Backup-molntjänster kräver arbetsbelastningstillägget och agenten anslutning till Azure Storage-konton och Microsoft Entra-ID.

Som en förutsättning kräver Recovery Services-valvet behörigheter för att skapa ytterligare privata slutpunkter i samma resursgrupp. Vi rekommenderar också att du ger Recovery Services-valvet behörighet att skapa DNS-poster i de privata DNS-zonerna (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Recovery Services-valvet söker efter privata DNS-zoner i resursgrupperna där VNet och den privata slutpunkten skapas. Om den har behörighet att lägga till DNS-poster i dessa zoner skapas de av valvet. Annars måste du skapa dem manuellt.

Kommentar

Integrering med privat DNS-zon som finns i olika prenumerationer stöds inte i den här upplevelsen.

Följande diagram visar hur namnmatchningen fungerar för lagringskonton med hjälp av en privat DNS-zon.

Diagram showing how the name resolution works for storage accounts using a private DNS zone.

Nästa steg