Aracılığıyla paylaş

Azure Backup için özel uç noktaları (v1 deneyimi) oluşturma ve kullanma

Bu makalede, Azure Backup için özel uç nokta oluşturma işlemi ve özel uç noktaların kaynaklarınızın güvenliğini sağlamaya yardımcı olduğu senaryolar hakkında bilgi sağlanır.

Bir not

Azure Backup artık özel uç noktalar oluşturmak için yeni bir deneyim sunuyor. Daha fazla bilgi edinin.

Başlamadan önce

Özel uç noktalar oluşturmaya devam etmeden önce önkoşulları ve desteklenen senaryoları okuduğunuzdan emin olun.

Bu ayrıntılar, kasalarınız için özel erişim noktaları oluşturmadan önce yerine getirilmesi gereken sınırlamaları ve koşulları anlamanıza yardımcı olur.

Yedekleme için özel uç noktalar oluşturmaya başlama

Aşağıdaki bölümlerde, sanal ağlarınızda Azure Backup için özel uç noktaları oluşturma ve kullanma adımları açıklanmaktadır.

Önemli

Bu belgede belirtilen adımları aynı sırada izlemeniz kesinlikle önerilir. Bunun yapılmaması, kasanın özel uç noktaları kullanma açısından uyumsuz hale gelmesine ve işlemi yeni bir kasayla baştan başlatmanızı gerektirmesine neden olabilir.

Kurtarma Hizmetleri kasası oluştur.

Yedekleme için özel uç noktalar, hiçbir öğesi korunmayan (ya da geçmişte korunması veya kaydedilmesi denenmemiş olan) Kurtarma Hizmetleri kasaları için oluşturulabilir. Bu nedenle başlangıç olarak yeni bir kasa oluşturmanızı öneririz. Yeni bir kasa oluşturma ve yapılandırma hakkında daha fazla bilgi için bkz Kurtarma Hizmetleri kasası oluşturma ve yapılandırma.

Azure Resource Manager istemcisini kullanarak kasa oluşturmayı öğrenmek için bu bölüme bakın. Halihazırda etkinleştirilmiş yönetilen kimliği ile bir kasa oluşturur.

Kasaya genel ağ erişimini engelle

Kasalarınızı kamuya açık ağlardan erişimi engelleyecek şekilde yapılandırabilirsiniz.

Şu adımları izleyin:

  1. Kasa Networking> gidin.

  2. Genel erişim sekmesinde, genel ağlardan erişimi engellemek için Reddet'i seçin.

    Reddet seçeneğinin nasıl seçiliyor olduğunu gösteren ekran görüntüsü.

    Bir not

    • Erişimi reddettikten sonra da depoya erişebilirsiniz, ancak özel uç nokta içermeyen ağlara/ağlardan veri taşıyamazsınız. Daha fazla bilgi için bkz . Azure Backup için özel uç noktalar oluşturma.
    • Genel erişim reddedilirse ve özel uç nokta etkinleştirilmezse yedeklemeler başarılı olur, ancak Sanal Makineler dışındaki tüm iş yükleri için geri yükleme işlemleri başarısız olur. Ancak, Sanal Makine öğe düzeyinde kurtarma da başarısız olur. Ağ kısıtlamalarını dikkatle yapılandırdığınızdan emin olun.
    • Bölgeler arası geri yüklemenin etkinleştirildiği kasalara genel erişimin reddedilmesi şu anda desteklenmemektedir.

  3. Değişiklikleri kaydetmek için Uygula'yı seçin.

Kasanız için Yönetilen Kimliği Etkinleştir

Yönetilen kimlikler, güvenlik biriminin özgün uç noktalar oluşturup kullanmasına olanak sağlar. Bu bölüm, kasanız için yönetilen kimliği etkinleştirme hakkında bilgi verir.

  1. Kurtarma Services Vault'ınıza gidin ->Identity.

    Kimlik durumunu Açık olarak değiştirme

  2. DurumuAçık olarak değiştirin ve Kaydet'i seçin.

  3. Bir Nesne Kimliği oluşturulur, bu da kasanın yönetilen kimliğidir.

    Bir not

    Etkinleştirildikten sonra Yönetilen Kimlik devre dışı bırakılmamalıdır (geçici olarak bile). Yönetilen kimliği devre dışı bırakmak tutarsız davranışlara neden olabilir.

Gerekli özel uç noktaları oluşturmak için kasaya izin ver

Azure Backup için gerekli özel uç noktaları oluşturmak için kasanın (kasanın Yönetilen Kimliği) aşağıdaki kaynak gruplarına yönelik izinlere sahip olması gerekir:

Önermemiz, kasanın (yönetilen kimlik) bu üç kaynak grubu için Katkıda Bulunan rolüne atanmasıdır. Aşağıdaki adımlarda, bunun belirli bir kaynak grubu için nasıl gerçekleştirileceği açıklanmaktadır (bunun üç kaynak grubunun her biri için yapılması gerekir):

  1. Kaynak Grubu'na gidin ve sol çubukta Erişim Denetimi 'ne (IAM) gidin.

  2. Erişim Denetimi'ne girdikten sonra Rol ataması ekle'ye gidin.

    Rol ataması ekle

  3. Rol ataması ekle bölmesinde Rol olarak "Katkıda Bulunan"ı seçin ve Sorumlu olarak kasanın Adını kullanın. Kasayı seçin ve bitirdiğinizde Kaydet'i seçin.

    Rol ve yetkili seç

İzinleri daha ayrıntılı bir düzeyde yönetmek için Rolleri ve izinleri elle oluşturma bölümüne bakın.

Azure Backup için Özel Uç Noktalar Oluşturma

Bu bölümde, kasanız için özel bir uç nokta oluşturmanın açıklaması yapılmaktadır.

  1. Yukarıda oluşturulan kasanıza gidin ve sol gezinti çubuğunda Özel uç nokta bağlantıları'na gidin. Yeni bir özel uç nokta oluşturmaya başlamak için üstteki +Özel uç nokta'yı seçin.

    Yeni özel uç nokta oluşturma

  2. Özel Uç Nokta Oluştur işlemine girdikten sonra, özel uç nokta bağlantınızı oluşturmak için ayrıntıları belirtmeniz gerekir.

    1. Temel bilgiler: Özel uç noktalarınız için temel ayrıntıları doldurun. Bölge, kasa ve yedeklenen kaynakla aynı olmalıdır.

      Temel ayrıntıları doldurma

    2. Kaynak: Bu sekme, bağlantınızı oluşturmak istediğiniz PaaS kaynağını seçmenizi gerektirir. İstediğiniz aboneliğin kaynak türünden Microsoft.RecoveryServices/vaults öğesini seçin. İşiniz bittiğinde Kurtarma Hizmetleri kasanızın adını Kaynak olarak ve AzureBackup'ıHedef alt kaynağı olarak seçin.

      Bağlantınız için kaynağı seçin

    3. Yapılandırma: Yapılandırmada, özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı belirtin. Bu, VM'nin bulunduğu Vnet olacaktır.

      Özel olarak bağlanmak için gerekli DNS kayıtlarına ihtiyacınız vardır. Ağ kurulumunuza bağlı olarak aşağıdakilerden birini seçebilirsiniz:

      • Özel uç noktanızı bir özel DNS bölgesiyle tümleştirme: Tümleştirmek istiyorsanız Evet'i seçin.
      • Özel DNS sunucunuzu kullanın: Kendi DNS sunucunuzu kullanmak istiyorsanız Hayır'ı seçin.

      Her ikisi için de DNS kayıtlarının yönetilmesi daha sonra açıklanacaktır.

      Sanal ağı ve alt ağı belirtme

    4. İsteğe bağlı olarak, özel uç noktanız için Etiketler ekleyebilirsiniz.

    5. Ayrıntıları girmeyi bitirdikten sonra Gözden geçir ve oluştur'a geçin. Doğrulama tamamlandığında Oluştur'u seçerek özel uç noktayı oluşturun.

Özel Uç Noktaları Onayla

Özel uç noktayı oluşturan kullanıcı aynı zamanda kurtarma hizmetleri kasasına da sahipse, yukarıda oluşturulan özel uç nokta otomatik olarak onaylanır. Aksi takdirde, özel uç noktayı kullanabilmek için kasanın sahibi önce onayı vermelidir. Bu bölümde, Azure portalı aracılığıyla özel uç noktaların el ile onaylanması ele alınmaktadır.

Özel uç noktaları onaylamak için Azure Resource Manager istemcisini kullanmaya ilişkin ayrıntılar için Azure Resource Manager İstemcisi'ni kullanarak özel uç noktaların el ile onayı bölümüne bakın.

  1. Kurtarma Hizmetleri kasanızda, sol çubukta Özel Uç Nokta Bağlantıları bölümüne gidin.

  2. Onaylamak istediğiniz özel uç nokta bağlantısını seçin.

  3. Üst çubukta Onayla'yı seçin. Uç nokta bağlantısını reddetmek veya silmek istiyorsanız Reddet veya Kaldır'ı da seçebilirsiniz.

    Özel uç noktaları onaylama

DNS kayıtlarını yönetme

Daha önce açıklandığı gibi, özel DNS bölgelerinize veya sunucularınıza özel olarak bağlanmak için gerekli DNS kayıtlarına ihtiyacınız vardır. Ağ tercihlerinize göre özel uç noktanızı doğrudan Azure özel DNS bölgeleriyle tümleştirebilir veya özel DNS sunucularınızı kullanarak bunu gerçekleştirebilirsiniz. Bunun üç hizmet için de yapılması gerekir: Yedekleme, Bloblar ve Kuyruklar.

Ayrıca, DNS bölgeniz veya sunucunuz, özel uç noktayı içeren abonelikten farklı bir abonelikte mevcutsa DNS sunucusu/DNS bölgesi başka bir abonelikte mevcut olduğunda DNS girişleri oluşturma bölümüne de bakın.

Özel uç noktaları Azure özel DNS bölgeleriyle tümleştirirken

Özel uç noktanızı özel DNS bölgeleriyle tümleştirmeyi seçerseniz, Azure Backup gerekli DNS kayıtlarını ekler. Özel uç noktanın DNS yapılandırması altında kullanılan özel DNS bölgelerini görüntüleyebilirsiniz. Bu DNS bölgeleri yoksa, özel uç nokta oluşturulurken otomatik olarak oluşturulurlar.

Bir not

Kasaya atanan yönetilen kimlik, Azure Özel DNS bölgesine DNS kayıtları ekleme izinlerine sahip olmalıdır.

Ancak, aşağıda açıklandığı gibi sanal ağınızın (yedeklenecek kaynakları içeren) üç özel DNS bölgesiyle de düzgün bir şekilde bağlandığını doğrulamanız gerekir.

Azure özel DNS bölgesinde DNS yapılandırması

Bir not

Ara sunucu kullanıyorsanız, ara sunucuyu atlamayı veya yedeklerinizi proxy sunucusu üzerinden gerçekleştirmeyi seçebilirsiniz. Proxy sunucusunu atlamak için aşağıdaki bölümlere geçin. Yedeklemelerinizi gerçekleştirmek üzere ara sunucuyu kullanmak için bkz Kurtarma Hizmetleri Kasası için ara sunucu kurulum ayrıntıları.

Yukarıda listelenen her özel DNS bölgesi için (Yedekleme, Bloblar ve Kuyruklar için) aşağıdakileri yapın:

  1. Sol gezinti çubuğunda ilgili Sanal ağ bağlantıları seçeneğine gidin.

  2. Aşağıda gösterilen gibi, özel uç noktayı oluşturduğunuz sanal ağ için bir giriş görebilmeniz gerekir:

    Özel uç nokta için sanal ağ

  3. Bir kayıt görmüyorsanız, DNS bölgesine sahip olmayan tüm DNS bölgelerine sanal ağ bağlantısı ekleyin.

    Sanal ağ bağlantısı ekleme

Özel DNS sunucusu veya konak dosyaları kullanılırken

  • Özel bir DNS sunucusu kullanıyorsanız, DNS isteklerini Azure DNS'ye (168.63.129.16) yönlendirmek için yedekleme hizmeti, blob ve kuyruk FQDN'leri için koşullu iletici kullanabilirsiniz. Azure DNS, azure Özel DNS bölgesine yönlendirir. Bu kurulumda, azure Özel DNS bölgesi için bu bölümde belirtildiği gibi bir sanal ağ bağlantısının mevcut olduğundan emin olun.

    Aşağıdaki tabloda Azure Backup için gereken Azure Özel DNS bölgeleri listelanmaktadır:

    Bölge Hizmet
    privatelink.<geo>.backup.windowsazure.com Yedekleme
    privatelink.blob.core.windows.net Damlacık
    privatelink.queue.core.windows.net Sıra

    Bir not

    Yukarıdaki metinde bölge <geo> koduna (sırasıyla Doğu ABD ve Kuzey Avrupa için eus ve ne gibi) başvurur. Bölge kodları için aşağıdaki listelere bakın:

  • Özel DNS sunucuları veya konak dosyaları kullanıyorsanız ve Azure Özel DNS bölgesi kurulumuna sahip değilseniz, özel uç noktaların gerektirdiği DNS kayıtlarını DNS sunucularınıza veya konak dosyasına eklemeniz gerekir.

    • Yedekleme Hizmeti için: Oluşturduğunuz özel uç noktaya gidin ve ardından DNS yapılandırması'na gidin. Ardından, Yedekleme için DNS bölgenizde Tür A kayıtları olarak görüntülenen her FQDN ve IP için bir girdi ekleyin.

      Ad çözümlemesi için bir host dosyası kullanıyorsanız, her IP ve FQDN için host dosyasına, - <private ip><space><backup service privatelink FQDN> formatına uygun şekilde ilgili girdileri yapın.

    • Blob ve kuyruk için: Azure backup, yönetilen kimlik izinlerini kullanarak bloblar ve kuyruklar için özel uç noktaları oluşturur. Bloblar ve kuyruklar için özel uç noktalar standart bir adlandırma deseni izler; başlangıç olarak <the name of the private endpoint>_ecs veya <the name of the private endpoint>_prot ile başlar ve sırasıyla _blob ve _queue ile soneklenir.

      Yukarıdaki deseni izleyerek Azure Backup tarafından oluşturulan özel uç noktaya gidin ve ardından DNS yapılandırması'na gidin. Ardından, Yedekleme için DNS bölgenizde Tür A kayıtları olarak görüntülenen her FQDN ve IP için bir girdi ekleyin.

      Ad çözümlemesi için bir host dosyası kullanıyorsanız, her IP ve FQDN için host dosyasına, - <private ip><space><blob/queue FQDN> formatına uygun şekilde ilgili girdileri yapın.

Bir not

Azure Backup, kasanızdaki yedekleme verileri için yeni bir depolama hesabı tahsis edebilir ve uzantının ya da aracın ilgili uç noktalarına erişmesi gerekir. Kayıt ve yedeklemeden sonra daha fazla DNS kaydı ekleme hakkında daha fazla bilgi için Yedekleme için Özel Uç Noktaları Kullanma bölümündeki kılavuza bakın.

Yedekleme için Özel Uç Noktaları Kullanma

Sanal ağınızdaki kasa için oluşturulan özel uç noktalar onaylandıktan sonra, bu uç noktaları yedeklemelerinizi ve geri yüklemelerinizi gerçekleştirmek için kullanmaya başlayabilirsiniz.

Önemli

Devam etmeden önce belgede yukarıda belirtilen tüm adımları başarıyla tamamladığınızdan emin olun. Özetlemek için aşağıdaki denetim listesindeki adımları tamamlamış olmanız gerekir:

  1. Bir (yeni) Kurtarma Hizmetleri kasası oluşturuldu.
  2. Sistem tarafından atanan Yönetilen Kimliği kullanabilmesi için kasa etkinleştirildi.
  3. Kasaya ait Yönetilen Kimliğe ilgili izinler atandı
  4. Kasanız için özel bir uç nokta oluşturuldu
  5. Özel Uç Nokta onaylandı (eğer otomatik onaylanmadıysa)
  6. Tüm DNS kayıtlarının uygun şekilde eklendiğinden emin olundu (özel sunucular için blob ve kuyruk kayıtları dışında, aşağıdaki bölümlerde ele alınacaktır)

VM bağlantısını denetleme

Kilitli ağdaki VM'de aşağıdakilerden emin olun:

  1. VM'nin Microsoft Entra Kimliği'ne erişimi olmalıdır.
  2. Bağlantıyı sağlamak için sanal makinenizden yedek URL'si üzerinde nslookup çalıştırın. Bu, sanal ağınızda atanan özel IP'yi döndürmelidir.

Yedeklemeyi yapılandırma

Yukarıdaki denetim listesi ve erişim ayarlarının başarıyla tamamlandığından emin olduktan sonra, iş yüklerinin kasaya yedeklemelerini yapılandırmaya devam edebilirsiniz. Özel bir DNS sunucusu kullanıyorsanız, ilk yedeklemeyi yapılandırdıktan sonra kullanılabilir olan bloblar ve kuyruklar için DNS girdileri eklemeniz gerekir.

İlk kayıt sonrasında bloblar ve kuyruklar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için)

Özel uç nokta özellikli kasada en az bir kaynak için yedeklemeyi yapılandırdıktan sonra, bloblar ve kuyruklar için gerekli DNS kayıtlarını aşağıda açıklandığı gibi ekleyin.

  1. Kaynak Grubunuz'a gidin ve oluşturduğunuz özel uç noktayı arayın.

  2. Sizin tarafınızdan verilen özel uç nokta adının yanı sıra, iki özel uç noktanın daha oluşturulduğunu görürsünüz. Bunlar <the name of the private endpoint>_ecs ile başlar ve sırasıyla _blob ve _queue ile sonlanır.

    Özel uç nokta kaynakları

  3. Bu özel uç noktaların her birine gidin. İki özel uç noktanın her biri için DNS yapılandırma seçeneğinde FQDN ve IP adresi içeren bir kayıt görürsünüz. Bunların her ikisini de daha önce açıklananlara ek olarak özel DNS sunucunuza ekleyin. Bir konak dosyası kullanıyorsanız, her IP/FQDN için ana bilgisayar dosyasında aşağıdaki biçime göre ilgili girdileri yapın:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob DNS yapılandırması

Yukarıdakilere ek olarak, ilk yedeklemeden sonra gerekli bir başka giriş, daha sonra tartışılan bir konudur.

Azure VM'de iş yüklerini yedekleme ve geri yükleme (SQL ve SAP HANA)

Özel uç nokta oluşturulduktan ve onaylandıktan sonra, özel uç noktayı kullanmak için istemci tarafından başka bir değişiklik yapılması gerekmez (bu bölümün ilerleyen bölümlerinde ele aldığımız SQL Kullanılabilirlik Grupları'nı kullanmadığınız sürece). Güvenli ağınızdan kasaya olan tüm iletişim ve veri aktarımı özel uç nokta üzerinden gerçekleştirilecektir. Sunucu (SQL veya SAP HANA) kasaya kaydedildikten sonra özel uç noktalarını kaldırırsanız, kapsayıcıyı kasaya yeniden kaydetmeniz gerekir. Onlar için korumayı durdurmana gerek yok.

İlk yedeklemeden sonra bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için)

İlk yedeklemeyi çalıştırdıktan ve özel bir DNS sunucusu (koşullu iletme olmadan) kullandıktan sonra yedeklemeniz büyük olasılıkla başarısız olur. Böyle bir durumda:

  1. Kaynak Grubunuz'a gidin ve oluşturduğunuz özel uç noktayı arayın.

  2. Daha önce açıklanan üç özel uç noktanın yanı sıra, artık adı ile <the name of the private endpoint>_prot başlayan ve ile _blobson ekli dördüncü bir özel uç nokta göreceksiniz.

    Sonek

  3. Bu yeni özel uç noktasına ulaşın. DNS yapılandırma seçeneğinde FQDN ve IP adresi olan bir kayıt görürsünüz. Bunları daha önce açıklananlara ek olarak özel DNS sunucunuza ekleyin.

    Bir konak dosyası kullanıyorsanız, her IP ve FQDN için konak dosyasındaki ilgili girdileri aşağıdaki biçime göre yapın:

    <private ip><space><blob service privatelink FQDN>

Bir not

Bu noktada, VM'den nslookup çalıştırabilmeli ve kasanın Yedekleme ve Depolama URL'lerinde işlem tamamlandığında özel IP adreslerini çözümleyebilmelisiniz.

SQL Kullanılabilirlik Grupları kullanılırken

SQL Kullanılabilirlik Gruplarını (AG) kullanırken, aşağıda açıklandığı gibi özel AG DNS'sinde koşullu iletme sağlamanız gerekir:

  1. Etki alanı denetleyicinizde oturum açın.

  2. DNS uygulaması altında, üç DNS bölgesinin (Yedekleme, Bloblar ve Kuyruklar) tümü için koşullu ileticileri gerektiğinde ana bilgisayar IP 168.63.129.16'ya veya özel DNS sunucusu IP adresine ekleyin. Aşağıdaki ekran görüntüleri, Azure ana bilgisayar IP'sine ne zaman ilettiğinizi gösterir. Kendi DNS sunucunuzu kullanıyorsanız değerini DNS sunucunuzun IP'siyle değiştirin.

    DNS Yöneticisi'nde koşullu ileticiler

    Yeni koşullu iletici

MARS aracısı ve DPM sunucusu aracılığıyla yedekleme ve geri yükleme

Şirket içi kaynaklarınızı yedeklemek için MARS Aracısı'nı kullanırken, yedeklenecek kaynaklarınızı içeren şirket içi ağınızın, kasa için özel bir uç nokta içeren Azure sanal ağıyla eşlendiğinden emin olun, böylece bu özelliği kullanabilirsiniz. Ardından MARS aracısını yüklemeye devam edebilir ve yedeklemeyi burada ayrıntılı olarak yapılandırabilirsiniz. Ancak, yedekleme için tüm iletişimin yalnızca eşlenmiş ağ üzerinden gerçekleştiğinden emin olmanız gerekir.

MARS aracısı kasaya kaydedildikten sonra kasa için özel uç noktaları kaldırırsanız, kapsayıcıyı kasaya yeniden kaydetmeniz gerekir. Onlar için korumayı durdurmana gerek yok.

Bir not

  • Özel uç noktalar yalnızca DPM sunucusu 2022 (10.22.123.0) ve sonraki sürümlerde desteklenir.
  • Özel uç noktalar yalnızca MABS V4 (14.0.30.0) ve üzeri sürümlerde desteklenir.

Özel EndPoint'leri silme

Özel EndPoint'leri silmeyi öğrenmek için bu bölüme bakın.

Ek konu başlıkları

Azure Resource Manager istemcisini kullanarak Kurtarma Hizmetleri kasası oluşturma

Kurtarma Hizmetleri kasasını oluşturabilir ve Azure Resource Manager istemcisini kullanarak Yönetilen Kimliği etkinleştirebilirsiniz (Daha sonra göreceğimiz gibi Yönetilen Kimlik gereklidir). Bunu yapmaya yönelik bir örnek aşağıda paylaşılır:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Yukarıdaki JSON dosyası aşağıdaki içeriğe sahip olmalıdır:

JSON isteği:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Yanıt JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Bir not

Azure Resource Manager istemcisi aracılığıyla bu örnekte oluşturulan kasa, sistem tarafından atanan yönetilen kimlikle zaten oluşturulmuştur.

Kaynak Gruplarında izinleri yönetme

Kasaya ait Yönetilen Kimlik, özel uç noktaların oluşturulacağı yer olan kaynak grubunda ve sanal ağda aşağıdaki izinlere sahip olmalıdır:

  • Microsoft.Network/privateEndpoints/* Kaynak grubundaki özel uç noktalarda CRUD gerçekleştirmek için bu gereklidir. Kaynak grubuna atanmalıdır.
  • Microsoft.Network/virtualNetworks/subnets/join/action Bu, özel IP'nin özel uç noktaya eklendiği sanal ağda gereklidir.
  • Microsoft.Network/networkInterfaces/read Bu, özel uç nokta için oluşturulan ağ arabirimini almak için kaynak grubunda gereklidir.
  • Özel DNS Bölge Katkıda Bulunan Rolü Bu rol zaten var ve Microsoft.Network/privateDnsZones/A/* ve Microsoft.Network/privateDnsZones/virtualNetworkLinks/read izinlerini sağlamak için kullanılabilir.

Gerekli izinlere sahip roller oluşturmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:

Rolleri ve izinleri el ile oluşturma

Aşağıdaki JSON dosyalarını oluşturun ve rol oluşturmak için bölümün sonundaki PowerShell komutunu kullanın:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Betik kullan

  1. Azure portalında Cloud Shell'i başlatın ve PowerShell penceresinde Dosyayı karşıya yükle'yi seçin.

    PowerShell penceresinde Dosya yükle'yi seçin

  2. Şu betiği karşıya yükleyin: VaultMsiPrereqScript

  3. Giriş klasörünüze gidin (örneğin: cd /home/user)

  4. Aşağıdaki komut dosyasını çalıştırın:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>

    Parametreler şunlardır:

    • subscription: **Kasanın özel uç noktasının oluşturulacağı kaynak grubuna ve kasanın özel uç noktasının bağlanacağı alt ağa sahip SubscriptionId

    • vaultPEResourceGroup: Kasaya ait özel uç noktasının oluşturulacağı kaynak grubu

    • vaultPESubnetResourceGroup: Özel uç noktanın birleştirileceği alt ağın kaynak grubu

    • vaultMsiName: Kasanın MSI'sinin adı, VaultName ile aynıdır.

  5. Kimlik doğrulamayı tamamladığınızda, senaryo yukarıdaki verilen aboneliğin bağlamını alacaktır. Kiracıdan eksikse uygun rolleri oluşturur ve kasaya ait MSI'ye roller atar.

Azure PowerShell kullanarak Özel Uç Noktalar oluşturma

Otomatik olarak onaylanan özel uç noktalar

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Azure Resource Manager İstemcisi'ni kullanarak özel uç noktaların el ile onaylanması

  1. Özel uç noktanızın Özel Uç Nokta Bağlantı Kimliğini almak için GetVault kullanın.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview

    Bu, Özel Uç Nokta Bağlantı Kimliğini döndürür. Bağlantının adı, bağlantı kimliğinin ilk bölümü aşağıdaki gibi kullanılarak alınabilir:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Yanıttan Özel Uç Nokta Bağlantı Kimliğini (ve gerektiğinde Özel Uç Nokta Adı'nı) alın ve aşağıdaki JSON ve Azure Resource Manager URI'sinde değiştirin ve aşağıdaki örnekte gösterildiği gibi Durumu "Onaylandı/Reddedildi/Bağlantısı Kesildi" olarak değiştirmeyi deneyin:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json

    JSON:

    {
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
"properties": {
    "privateEndpoint": {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
    },
    "privateLinkServiceConnectionState": {
    "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
    "description": "Disconnected by <userid>"
    }
}
}

Recovery Services kasası için özel uç noktalı proxy sunucuyu ayarlama

Azure VM veya şirket içi makine için ara sunucu yapılandırmak için şu adımları izleyin:

  1. Proxy sunucusundan erişilmesi gereken aşağıdaki etki alanlarını ekleyin.

    Hizmet Alan adları Liman
    Azure Backup *.backup.windowsazure.com 443
    Azure Depolama *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net    		 443
    Microsoft Entra ID

    Microsoft 365 Common ve Office Online'da 56 ve 59. bölümler altında belirtilen etki alanı URL'leri güncelleştirildi.    		 *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net    		 Uygun olduğu şekilde.

  2. Proxy sunucusunda bu etki alanlarına erişime izin verin ve özel DNS bölgesini (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) proxy sunucusunun oluşturulduğu veya özel bir DNS sunucusunun ilgili DNS girdileriyle kullanıldığı VNET'e bağlayın.

    Ara sunucunun çalıştığı sanal ağ ve özel uç nokta NIC'sinin oluşturulduğu sanal ağ eşlenmelidir ve bu da ara sunucunun istekleri özel IP'ye yönlendirmesine olanak sağlar.

    Bir not

    Yukarıdaki metinde bölge <geo> koduna (sırasıyla Doğu ABD ve Kuzey Avrupa için eus ve ne gibi) başvurur. Bölge kodları için aşağıdaki listelere bakın:

Aşağıdaki diyagramda, sanal ağı gerekli DNS girişlerine sahip özel bir DNS bölgesine bağlı olan bir ara sunucu ile bir kurulum (Azure Özel DNS bölgeleri kullanılırken) gösterilmektedir. Proxy sunucusunun kendi özel DNS sunucusu da olabilir ve yukarıdaki etki alanları koşullu olarak 168.63.129.16'ya iletilebilir. DNS çözümlemesi için özel bir DNS sunucusu/ana bilgisayar dosyası kullanıyorsanız, DNS girişlerini yönetme ve korumayı yapılandırma bölümlerine bakın.

Proxy sunucu ile bir kurulum gösteren diyagram.

  1. MARS Aracısı'nı otomatik olarak güncellemek için download.microsoft.com/download/MARSagent/* öğeye erişime izin verin.

DNS sunucusu/DNS bölgesi başka bir abonelikte mevcut olduğunda DNS girişleri oluşturma

Bu bölümde, abonelikte bulunan bir DNS bölgesini veya merkez-uç topolojisi gibi Kurtarma Hizmetleri kasasının özel uç noktasını içerenden farklı bir Kaynak Grubu kullandığınız durumları ele alacağız. Özel uç noktaları (ve DNS girdilerini) oluşturmak için kullanılan yönetilen kimliğin yalnızca özel uç noktaların oluşturulduğu Kaynak Grubu üzerinde izinleri olduğundan, gerekli DNS girişleri de gereklidir. DNS girdileri oluşturmak için aşağıdaki PowerShell betiklerini kullanın.

Bir not

Gerekli sonuçları elde etmek için aşağıda açıklanan sürecin tamamına bakın. İşlemin, ilk bulma sırasında (iletişim depolama hesapları için gerekli DNS girdileri oluşturmak için) ve ardından ilk yedekleme sırasında (arka uç depolama hesapları için gereken DNS girdileri oluşturmak için) olmak üzere iki kez tekrarlanması gerekir.

1. Adım: Gerekli DNS girdilerini alma

Oluşturulması gereken tüm DNS girdilerini listelemek için PrivateIP.ps1 betiğini kullanın.

Bir not

Aşağıdaki söz dizimindeki subscription, kasanın özel uç noktasının oluşturulacağı aboneliğe atıfta bulunur.

Betiği kullanmak için söz dizimi

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Örnek çıkış

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

2. Adım: DNS girdileri oluşturma

Yukarıdakilere karşılık gelen DNS girdileri oluşturun. Kullandığınız DNS türüne bağlı olarak, DNS girdileri oluşturmak için iki alternatif vardır.

1. Olay: Özel bir DNS sunucusu kullanıyorsanız, yukarıdaki betikten her kayıt için el ile girdiler oluşturmanız ve FQDN'nin (ResourceName.DNS) sanal ağ içindeki Özel IP'ye çözümlendiğini doğrulamanız gerekir.

2. Olay: Azure Özel DNS Bölgesi kullanıyorsanız, Özel DNS Bölgesinde dns girdilerini otomatik olarak oluşturmak için CreateDNSEntries.ps1 betiğini kullanabilirsiniz. Aşağıdaki söz diziminde, subscription Özel DNS Bölgesi'nin bulunduğu yerdir.

Betiği kullanmak için söz dizimi

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

İşlemin tamamının özeti

Kurtarma Hizmetleri kasası için özel uç noktayı bu geçici çözümle doğru şekilde ayarlamak için şunları yapmanız gerekir:

  1. Kasa için özel bir uç nokta oluşturun (makalenin önceki kısımlarında açıklandığı gibi).
  2. Keşfi tetikle. İletişim depolama hesabı için DNS girişleri bulunmadığından SQL/HANA bulma işlemi UserErrorVMInternetConnectivityIssue ile başarısız olur.
  3. DNS girdilerini almak ve bu bölümün önceki bölümlerinde bahsedilen iletişim depolama hesabı için ilgili DNS girdilerini oluşturmak için betikleri çalıştırın.
  4. Keşfi yeniden tetikleme. Bu kez keşif başarılı olmalıdır.
  5. Yedeklemeyi tetikleyin. Bu bölümde daha önce belirtildiği gibi arka uç depolama hesapları için DNS girişleri bulunmadığından SQL/HANA ve MARS yedeklemesi başarısız olabilir.
  6. Arka plan depolama hesabına DNS girişleri oluşturmak için betikleri çalıştırın.
  7. Yedeklemeyi tekrar tetikle. Bu kez yedeklemeler başarılı olmalıdır.

Sık sorulan sorular

Mevcut bir Kurtarma Hizmetleri kasası için bir özel uç nokta oluşturabilir miyim?

Hayır, yeni Kurtarma Hizmetleri Kasaları için yalnızca özel uç noktalar oluşturulabilir. Bu nedenle kasada asla korunan herhangi bir öğe olmamış olmalıdır. Aslında, özel uç noktalar oluşturmadan önce kasada herhangi bir öğeyi koruma girişiminde bulunulamaz.

Kasamda bir öğeyi koruma altına almaya çalıştım, ancak başarısız oldu ve kasada hala korunan herhangi bir öğe yok. Bu depo için özel uç noktalar oluşturabilir miyim?

Hayır, kasaya geçmişte herhangi bir eşyayı korumaya yönelik hiçbir girişimde bulunulmamış olmalı.

Yedekleme ve geri yükleme için özel uç noktaları kullanan bir kasam var. Daha sonra korumalı yedekleme öğelerim olsa bile bu kasa için özel uç noktalar ekleyebilir veya kaldırabilir miyim?

Evet. Bir kasa için özel uç noktalar oluşturduysanız ve bu kasaya korumalı yedekleme öğeleri eklediyseniz, gerektiğinde özel uç noktaları ekleyebilir veya kaldırabilirsiniz.

Azure Backup için özel uç nokta, Azure Site Recovery için de kullanılabilir mi?

Hayır, Yedekleme için özel uç nokta yalnızca Azure Backup için kullanılabilir. Hizmet tarafından destekleniyorsa Azure Site Recovery için yeni bir özel uç nokta oluşturmanız gerekir.

Bu makaledeki adımlardan birini kaçırdım ve veri kaynağımı korumaya devam ettim. Özel uç noktaları kullanmaya devam edebilir miyim?

Makaledeki adımları izlememek ve öğeleri korumayı sürdürmek, kasanın özel uç noktaları kullanamamasına neden olabilir. Bu nedenle, öğeleri korumaya devam etmeden önce bu denetim listesine başvurmanız önerilir.

Azure özel DNS bölgesini veya tümleşik bir özel DNS bölgesini kullanmak yerine kendi DNS sunucumu kullanabilir miyim?

Evet, kendi DNS sunucularınızı kullanabilirsiniz. Ancak, bu bölümde önerilen tüm gerekli DNS kayıtlarının eklendiğinden emin olun.

Bu makaledeki işlemi izledikten sonra sunucumda herhangi bir ek adım gerçekleştirmem gerekiyor mu?

Bu makalede ayrıntılarıyla belirtilen işlemi takip ettikten sonra, yedekleme ve geri yükleme için özel uç noktaları kullanmak için ek çalışma yapmanız gerekmez.

Sonraki adımlar

  • Azure Backup'taki tüm güvenlik özellikleri hakkında bilgi edinin.