Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Backup ile özel uç noktaları kullanarak Kurtarma Hizmetleri kasalarınızdan verilerinizi yedekleyebilir ve geri yükleyebilirsiniz. Özel uç noktalar, hizmeti etkin bir şekilde sanal ağınıza getirmek için Azure sanal ağınızdan bir veya daha fazla özel IP adresi kullanır.
Azure Backup artık sürüm 1 deneyimine kıyasla özel uç noktaların oluşturulması ve kullanılması için bir sürüm 2 deneyimi sağlar.
Bu makalede, Azure Backup için özel uç noktaların sürüm 2 özelliklerinin nasıl çalıştığı açıklanır ve kaynaklarınızın güvenliğini korurken yedekleme gerçekleştirmenize yardımcı olur.
Önemli geliştirmeler
- Yönetilen kimlikler olmadan özel uç noktalar oluşturun.
- Blob ve kuyruk hizmetleri için özel uç nokta oluşturulmaz.
- Daha az özel IP kullanın.
Başlamadan önce dikkat edilmesi gerekenler
Hem Azure Backup hem de Azure Site Recovery bir Kurtarma Hizmetleri kasası kullansa da, bu makalede yalnızca Azure Backup için özel uç noktaların kullanımı ele alınmaktadır.
Ağ kısıtlı anahtar kasasına sahip müşteri tarafından yönetilen anahtarlar (CMK'ler), özel uç noktalar için etkinleştirilmiş bir kasada desteklenmez.
Kasaya hiçbir öğe kaydedilmediyse, yalnızca yeni Kurtarma Hizmetleri kasaları için özel uç noktalar oluşturabilirsiniz. Ancak, özel uç noktalar şu anda Yedekleme kasaları için desteklenmemektedir.
Statik IP'leri olan özel uç noktalar, dinamik IP genişletmesi nedeniyle sürüm 2 deneyiminde desteklenmez. Oluşturma başarılı olsa da, mevcut korumalı öğeleri olan kasalar için kayıt başarısız olabilir.
Kurtarma Hizmetleri kasaları altında aynı ada sahip birden çok özel uç nokta oluşturulması desteklenmez.
Sürüm 1 deneyimiyle oluşturulan (özel uç noktalar içeren) kasalar, Sürüm 2 deneyimine yükseltilemez. Mevcut tüm özel uç noktaları silebilir ve ardından sürüm 2 deneyimiyle yeni özel uç noktalar oluşturabilirsiniz.
Bir sanal ağ, birden çok Kurtarma Hizmetleri kasası için özel uç noktalar içerebilir. Ayrıca, bir Kurtarma Hizmetleri kasasının birden çok sanal ağda özel uç noktaları olabilir. Depo için en fazla 12 özel uç nokta oluşturabilirsiniz.
Kasanın özel uç noktası 10 özel IP kullanır ve sayı zaman içinde artabilir. Azure Backup için özel uç noktalar oluşturmaya çalıştığınızda yeterli özel IP'niz (/25) olmasını öneririz.
Azure Backup için özel uç noktalar Microsoft Entra Id erişimi içermez. Microsoft Entra ID'nin bir bölgede çalışabilmesi için gereken IP'lerin ve tam etki alanı adlarının (FQDN'ler) güvenli ağda izinli durumda giden erişime sahip olmasını sağlamak amacıyla erişimi etkinleştirdiğinizden emin olun.
- Azure sanal makinelerindeki (VM) veritabanlarının yedeği.
- Microsoft Azure Kurtarma Hizmetleri (MARS) aracısını kullanan bir yedekleme.
Ayrıca, uygun olduğu şekilde Microsoft Entra Id'ye erişime izin vermek için ağ güvenlik grubu (NSG) etiketlerini ve Azure Güvenlik Duvarı etiketlerini de kullanabilirsiniz.
1 Mayıs 2020'ye kadar kaydettiyseniz Kurtarma Hizmetleri kaynak sağlayıcısını aboneliğe yeniden kaydetmeniz gerekir. Sağlayıcıyı yeniden kaydetmek için Azure portalında aboneliğinize gidin, soldaki menüden Kaynak sağlayıcısı'na gidin ve ardından Microsoft.RecoveryServices>Yeniden Kaydet'i seçin.
Abonelikler arasında DNS oluşturabilirsiniz.
Koruma altına alınmış öğeleriniz kasada bulunduktan önce veya sonra ikincil bir özel uç nokta oluşturabilirsiniz. Özel uç nokta etkinleştirilmiş kasa için bölgeler arası geri yüklemeyi nasıl yapacağınızı öğrenin.
Önerilen ve desteklenen senaryolar
Özel uç noktalar kasa için etkinleştirildiğinde, bunlar yalnızca Azure VM üzerinde SQL Server ve SAP HANA iş yüklerinin yedeklenmesi ve geri yüklenmesi, MARS aracı yedeklemesi ve System Center Data Protection Manager (DPM) için kullanılır. Kasayı, özel uç noktalar gerektirmese de diğer iş yüklerinin yedeklemesi için de kullanabilirsiniz. SQL Server ve SAP HANA iş yüklerinin yedeklerine ve MARS aracısı aracılığıyla yapılan yedeklemelere ek olarak, Azure VM yedeklemeleri için dosya kurtarma gerçekleştirmek için özel uç noktalar kullanılır.
Aşağıdaki tabloda senaryolar ve öneriler listelanmaktadır:
| Senaryo | Öneri |
|---|---|
| Azure VM'de iş yüklerini yedekleme (SQL Server, SAP HANA), MARS aracısı aracılığıyla yedekleme, DPM sunucusu | Sanal ağlarınızdan Azure Backup veya Azure Depolama için IP'leri veya FQDN'leri izin listesine eklemeye gerek kalmadan yedeklemeye ve geri yüklemeye izin vermek için özel uç noktaların kullanılmasını öneririz. Bu senaryoda, SQL veritabanlarını barındıran VM'lerin Microsoft Entra IP'lerine veya FQDN'lere ulaşadığından emin olun. |
| Azure VM yedeklemesi | VM yedeklemesi, IP'lere veya FQDN'lere erişime izin vermenizi gerektirmez. Bu nedenle, diskleri yedeklemek ve geri yüklemek için özel uç noktalar gerektirmez. Ancak, özel uç noktaları içeren bir kasadan dosya kurtarma, kasa için özel uç nokta içeren sanal ağlarla sınırlandırılabilir. Erişim denetimi listesinde (ACL) yönetilmeyen diskler kullanırken, diskleri içeren depolama hesabının ACL'deyse güvenilen Microsoft hizmetlerine erişime izin verdiğinden emin olun. |
| Azure Files yedekleme | Azure Dosyalar yedeklemesi yerel depolama hesabında depolanır. Bu nedenle yedekleme ve geri yükleme için özel uç noktalar gerektirmez. |
| Özel uç nokta için kasadaki ve sanal makinedeki sanal ağ değiştirildi. | Özel uç noktaların etkinleştirildiği yeni bir kasada yedekleme korumasını durdurun ve yedekleme korumasını yapılandırın. |
Not
Özel uç noktalar yalnızca DPM 2022, Microsoft Azure Backup Sunucusu (MABS) v4 ve sonraki sürümlerde desteklenir.
Desteklenmeyen senaryo
Yedekleme ve geri yükleme işlemleri için, özel uç nokta özellikli Kurtarma Hizmetleri kasası, CMK'leri kurtarma hizmetleri kasasında depolamak için özel uç nokta özellikli Azure anahtar kasasıyla uyumlu değildir.
Özel uç noktalar için ağ bağlantılarındaki fark
Daha önce belirtildiği gibi, özel uç noktalar özellikle Azure VM'lerindeki iş yüklerinin (SQL Server ve SAP HANA) yedekleri ve MARS aracılarının yedekleri için kullanışlıdır.
Tüm senaryolarda (özel uç noktaları olan veya olmayan) hem iş yükü uzantıları (Azure VM'lerinde çalışan SQL Server ve SAP HANA örneklerini yedeklemek için) hem de MARS aracısı Microsoft Entra Id'ye bağlantı çağrıları yapar. Microsoft 365 Common ve Office Online'da 56 ve 59. bölümlerde belirtilen FQDN'lere çağrı yapar.
Gereken bu bağlantılara ek olarak, iş yükü uzantısı veya MARS aracısı özel uç noktaları olmayan bir Kurtarma Hizmetleri kasasına yüklendiğinde, aşağıdaki etki alanlarına bağlantı gereklidir.
| Hizmet | Alan adı | Bağlantı noktası |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra Kimlik | *.login.microsoft.com Bu makaleye göre 56 ve 59. bölümler altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Özel uç nokta içeren bir Kurtarma Hizmetleri kasası için iş yükü uzantısı veya MARS aracısı yüklendiğinde aşağıdaki uç noktalar söz konusu olur:
| Hizmet | Alan adı | Bağlantı noktası |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra Kimlik | *.login.microsoft.com Bu makaleye göre 56 ve 59. bölümler altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Not
Yukarıdaki metinde bölge <geo> koduna başvurur (örneğin, eus Doğu ABD ve ne Kuzey Avrupa için). Bölge kodları hakkında daha fazla bilgi için aşağıdaki listeye bakın:
MARS aracısını otomatik olarak güncelleştirmek için erişimine download.microsoft.com/download/MARSagent/*izin verin.
Özel uç nokta kurulumuna sahip bir Kurtarma Hizmetleri kasası için, FQDN'lerin (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) ad çözümlemesi özel bir IP adresi döndürmelidir. Bunu şu şekilde gerçekleştirebilirsiniz:
- Azure Özel DNS bölgeleri.
- Özel DNS.
- Host dosyalarındaki DNS girdileri.
- Azure DNS veya Azure Özel DNS bölgelerine koşullu ileticiler.
Depolama hesabının özel IP eşlemeleri, Kurtarma Hizmetleri kasası için oluşturulan özel uç noktada listelenmiştir. Azure daha sonra bloblar ve kuyruklar için DNS kayıtlarını yönetebildiğinden Azure Özel DNS bölgelerini kullanmanızı öneririz. Kasa için yeni depolama hesapları tahsis edildiğinde, özel IP adreslerinin DNS kaydı blob veya kuyruk için Azure Özel DNS bölgelerine otomatik olarak eklenir.
Bir DNS proxy sunucusunu üçüncü taraf proxy sunucuları veya güvenlik duvarları kullanarak yapılandırdıysanız, önceki etki alanı adlarına izin verilmelidir ve şu seçeneklerden birine yönlendirilmelidir:
- Önceki FQDN'ler için DNS kayıtları olan özel DNS
- Bağlı özel DNS bölgeleri olan Azure sanal ağında 168.63.129.16
Aşağıdaki örnekte, Azure Güvenlik Duvarı’nın DNS ara sunucusu olarak kullanılarak Kurtarma Hizmetleri kasası, blob, kuyruklar ve Microsoft Entra ID için etki alanı adı sorgularını 168.63.129.16'ya yönlendirmek için kullanıldığı gösterilmektedir.
Daha fazla bilgi için bkz. Özel uç noktaları oluşturma ve kullanma.
Özel uç noktaları olan bir kasa için ağ bağlantısı kurulumu
Kurtarma Hizmetleri için özel uç nokta bir ağ arabirimi (NIC) ile ilişkilendirilir. Özel uç nokta bağlantılarının çalışması için Azure hizmetinin tüm trafiğinin ağ arabirimine yeniden yönlendirilmesi gerekir. Hizmet, blob veya kuyruk URL'sine karşı ağ arabirimiyle ilişkili özel IP'ler için DNS eşlemesi ekleyerek bu yeniden yönlendirmeyi gerçekleştirebilirsiniz.
İş yükü yedekleme uzantıları özel uç nokta içeren bir Kurtarma Hizmetleri kasasına kayıtlı sanal makineye yüklendiğinde, uzantı Azure Backup hizmetlerinin özel URL'sinde bir bağlantı kurmayı dener: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Özel URL çalışmazsa uzantı genel URL'yi dener: <azure_backup_svc>.<geo>.backup.windowsazure.com. Kurtarma Hizmetleri kasası için genel ağ erişimi Tüm ağlardan izin ver olarak yapılandırılmışsa, Kurtarma Hizmetleri kasası genel URL'ler üzerinden uzantıdan gelen isteklere izin verir. Kurtarma Hizmetleri kasası için genel ağ erişimi Reddet olarak yapılandırılmışsa, Kurtarma Hizmetleri kasası genel URL'ler üzerinden uzantıdan gelen istekleri reddeder.
Not
Yukarıdaki etki alanı adlarında bölge <geo> kodunu belirler (örneğin, eus Doğu ABD ve ne Kuzey Avrupa için). Bölge kodları hakkında daha fazla bilgi için aşağıdaki listeye bakın:
Bu özel URL'ler kasaya özgüdür. Azure Backup ile yalnızca kasaya kaydedilmiş uzantılar ve aracılar bu uç noktalar üzerinden iletişim kurabilir. Kurtarma Hizmetleri kasası için genel ağ erişimi Reddet olarak yapılandırılmışsa, bu ayar sanal ağda çalışmayan istemcilerin kasada yedekleme ve geri yükleme işlemleri istemesini kısıtlar.
Özel uç nokta kurulumuyla birlikte genel ağ erişimini Reddet olarak ayarlamanızı öneririz. Uzantı ve aracı başlangıçta özel URL'yi kullanmaya çalıştığından *.privatelink.<geo>.backup.windowsazure.com , URL'nin DNS çözümlemesi özel uç noktayla ilişkili ilgili özel IP'yi döndürmelidir.
DNS çözümleme çözümleri şunlardır:
- Azure Özel DNS bölgeleri
- Özel DNS
- Sunucu dosyalarındaki DNS girişleri
- Azure DNS veya Azure Özel DNS bölgelerine koşullu ileticiler
Kurtarma Hizmetleri için özel uç noktayı Azure portalı üzerinden Özel DNS bölgesiyle tümleştir seçeneğiyle oluşturduğunuzda, kaynak her ayrıldığında Azure Backup hizmetleri (*.privatelink.<geo>backup.windowsazure.com) için özel IP adresleri için gerekli DNS girişleri otomatik olarak oluşturulur. Diğer çözümlerde, özel DNS'de veya konak dosyalarında bu FQDN'ler için DNS girdilerini el ile oluşturmanız gerekir.
İletişim kanalı için VM bulma işleminden sonra bloblar ve kuyruklar için DNS kayıtlarının el ile yönetilmesi için, ilk kayıt sonrasında bkz. Bloblar ve kuyruklar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için). Yedekleme depolama hesabı blobları için ilk yedeklemeden sonra DNS kayıtlarının el ile yönetilmesi için bkz. bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için) ilk yedeklemeden sonra.
FQDN'lerin özel IP adreslerini Kurtarma Hizmetleri kasası için oluşturduğunuz özel uç noktanın DNS yapılandırma bölmesinde bulabilirsiniz.
Aşağıdaki diyagramda, bu özel hizmet FQDN'lerini çözümlemek için bir özel DNS bölgesi kullandığınızda çözümlemenin nasıl çalıştığı gösterilmektedir.
Azure VM'de çalışan iş yükü uzantısı için en az iki depolama hesabına bağlantı gerekir. İlki, kuyruk iletileri aracılığıyla iletişim kanalı olarak kullanılır. İkincisi yedekleme verilerini depolamak içindir. MARS aracısı, yedekleme verilerini depolamak için kullanılan bir depolama hesabına erişim gerektirir.
Özel uç nokta özellikli bir kasa için Azure Backup hizmeti bu depolama hesapları için özel bir uç nokta oluşturur. Bu eylem, Azure Backup ile ilgili ağ trafiğinin (hizmete giden denetim düzlemi trafiği ve depolama blobuna yedekleme verileri) sanal ağdan ayrılmasını engeller. Azure Backup bulut hizmetlerine ek olarak iş yükü uzantısı ve aracısı, Azure Depolama hesaplarına ve Microsoft Entra Kimliği'ne bağlantı gerektirir.
Aşağıdaki diyagramda, özel DNS bölgesi kullanan depolama hesapları için ad çözümlemesinin nasıl çalıştığı gösterilmektedir.
Aşağıdaki diyagramda, özel uç noktayı ikincil bir bölgede çoğaltarak özel uç nokta üzerinden bölgeler arası geri yüklemeyi nasıl yapabileceğiniz gösterilmektedir. Bölgeler arası geri yüklemeyi özel uç nokta etkinleştirilmiş bir kasaya nasıl yapacağınızı öğrenin.
