Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Backup ile özel uç noktaları kullanarak Kurtarma Hizmetleri kasalarınızdan verilerinizi yedekleyebilir ve geri yükleyebilirsiniz. Özel uç noktalar, hizmeti etkin bir şekilde sanal ağınıza getirmek için Azure sanal ağınızdan bir veya daha fazla özel IP adresi kullanır.
Bu makale, Azure Backup için özel uç noktaların özel uç noktaları oluşturma sürüm 1 deneyiminde nasıl çalıştığını anlamanıza yardımcı olur. Özel uç noktaları kullanmanın kaynaklarınızın güvenliğini korumaya yardımcı olduğu senaryolar sağlar.
Azure Backup ayrıca özel uç noktaları oluşturmak ve kullanmak için sürüm 2 deneyimi sağlar. Daha fazla bilgi edinin.
Başlamadan önce dikkat edilmesi gerekenler
Yeni Kurtarma Hizmetleri kasaları için yalnızca, kasaya hiçbir öğe kaydedilmediyse özel uç noktalar oluşturabilirsiniz. Özel erişim noktalarını oluşturmanız gerekmektedir, kasadaki öğeleri korumaya başlamadan önce. Ancak, özel uç noktalar şu anda Yedekleme kasaları için desteklenmemektedir.
Ağ kısıtlamalı bir anahtar kasasına sahip müşteri tarafından yönetilen anahtarlar (CMK'ler), özel uç noktalar için etkinleştirilmiş bir depoda desteklenmez.
Bir sanal ağ, birden fazla Kurtarma Hizmetleri kasası için özel uç noktalar içerebilir. Ayrıca, bir Kurtarma Hizmetleri kasasının birden çok sanal ağda özel uç noktaları olabilir. Bir depo için en fazla 12 özel uç nokta oluşturabilirsiniz.
Kasa için genel ağ erişimi Tüm ağlardan izin ver olarak ayarlandıysa, kasa kasaya kayıtlı herhangi bir makineden yedeklemelere ve geri yüklemelere izin verir. Kasa için genel ağ erişimi Reddet olarak ayarlandıysa, kasa yalnızca kasa için ayrılmış özel IP'ler aracılığıyla yedekleme/geri yükleme isteğinde bulunan kasaya kayıtlı makinelerden yedeklemelere ve geri yüklemelere izin verir.
Azure Backup için özel uç nokta bağlantısı, Azure Backup'ın depolama için kullandığı IP'ler de dahil olmak üzere alt ağınızda toplam 11 özel IP kullanır. Bu sayı belirli Azure bölgeleri için daha yüksek olabilir. Azure Backup için özel uç noktalar oluşturmaya çalıştığınızda yeterli özel IP'niz (/25) olmasını öneririz.
Hem Azure Backup hem de Azure Site Recovery bir Kurtarma Hizmetleri kasası kullansa da, bu makalede yalnızca Azure Backup için özel uç noktaların kullanımı ele alınmaktadır.
Azure Backup için özel uç noktalar Microsoft Entra Id erişimi içermez. Microsoft Entra Id'ye ayrı olarak erişim sağlamanız gerekir.
Microsoft Entra ID'nin bir bölgede çalışması için gereken IP'ler ve tam etki alanı adları (FQDN), aşağıdaki işlemleri gerçekleştirirken güvenli ağdan giden erişime izin verilmelidir:
- Azure sanal makinelerindeki (VM) veritabanlarının yedeği.
- Microsoft Azure Kurtarma Hizmetleri (MARS) aracısını kullanan bir yedekleme.
Ayrıca, uygun olduğu şekilde Microsoft Entra Id'ye erişime izin vermek için ağ güvenlik grubu (NSG) etiketlerini ve Azure Güvenlik Duvarı etiketlerini de kullanabilirsiniz.
1 Mayıs 2020'ye kadar kaydettiyseniz Kurtarma Hizmetleri kaynak sağlayıcısını aboneliğe yeniden kaydetmeniz gerekir. Sağlayıcıyı yeniden kaydetmek için Azure portalında aboneliğinize gidin, soldaki menüden Kaynak sağlayıcısı'na gidin ve ardından Microsoft.RecoveryServices>Yeniden Kaydet'i seçin.
Kasada özel uç noktalar etkinleştirilmişse SQL Server ve SAP HANA veritabanı yedeklemeleri için bölgeler arası geri yükleme desteklenmez.
Zaten özel uç noktaları kullanan bir Kurtarma Hizmetleri kasasını yeni bir kiracıya taşıdığınızda, kasanın yönetilen kimliğini yeniden oluşturmak ve yeniden yapılandırmak için Kurtarma Hizmetleri kasasını güncelleştirmeniz gerekir. Gerektiğinde yeni kiracıda özel uç noktalar oluşturun. Bu görevleri yapmazsanız yedekleme ve geri yükleme işlemleri başarısız olur. Ayrıca, abonelik içinde ayarlanan tüm Azure rol tabanlı erişim denetimi (Azure RBAC) izinlerinin yeniden yapılandırılması gerekir.
Önerilen ve desteklenen senaryolar
Kasa için özel uç noktalar etkinleştirildiğinde, bunlar yalnızca Azure VM'deki SQL Server ve SAP HANA iş yüklerinin yedekleme ve geri yüklemesi, MARS aracı yedeklemesi ve System Center Data Protection Manager (DPM) için kullanılır. Kasayı, özel uç noktalar gerektirmese de diğer iş yüklerinin yedeklemesi için de kullanabilirsiniz. SQL Server ve SAP HANA iş yüklerinin yedeklerine ve MARS aracısı aracılığıyla yapılan yedeklemelere ek olarak, Azure VM yedeklemeleri için dosya kurtarma gerçekleştirmek için özel uç noktalar kullanılır.
Aşağıdaki tablo daha fazla bilgi sağlar:
| Scenario | Öneriler |
|---|---|
| Azure VM'de iş yüklerini yedekleme (SQL Server, SAP HANA), MARS aracısı aracılığıyla yedekleme, DPM sunucusu | Sanal ağlarınızdan Azure Backup veya Azure Depolama için IP'leri veya FQDN'leri izin listesine eklemeye gerek kalmadan yedeklemeye ve geri yüklemeye izin vermek için özel uç noktaların kullanılmasını öneririz. Bu senaryoda, SQL veritabanlarını barındıran VM'lerin Microsoft Entra IP'lerine veya FQDN'lere ulaşadığından emin olun. |
| Azure VM yedeklemesi | VM yedeklemesi, IP'lere veya FQDN'lere erişime izin vermenizi gerektirmez. Bu nedenle, diskleri yedeklemek ve geri yüklemek için özel uç noktalar gerektirmez. Ancak, özel uç noktaları içeren bir kasadan dosya kurtarma, kasa için özel uç nokta içeren sanal ağlarla sınırlandırılabilir. Erişim denetimi listesinde (ACL) yönetilmeyen diskler kullanırken, diskleri içeren depolama hesabının ACL'deyse güvenilen Microsoft hizmetlerine erişime izin verdiğinden emin olun. |
| Azure Dosyalar yedeklemesi | Azure Dosyalar yedeklemesi yerel depolama hesabında depolanır. Bu nedenle yedekleme ve geri yükleme için özel uç noktalar gerektirmez. |
| Depoda ve sanal makinede özel uç nokta için sanal ağ değiştirildi | Özel uç noktaların etkinleştirildiği yeni bir kasada yedekleme korumasını durdurun ve yedekleme korumasını yapılandırın. |
Uyarı
Özel uç noktalar yalnızca DPM 2022, Microsoft Azure Backup Sunucusu (MABS) v4 ve sonraki sürümlerde desteklenir.
Desteklenmeyen senaryo
Yedekleme ve geri yükleme işlemleri için, özel uç nokta özellikli Kurtarma Hizmetleri kasası, CMK'leri kurtarma hizmetleri kasasında depolamak için özel uç nokta özellikli Azure anahtar kasasıyla uyumlu değildir.
Özel uç noktalar için ağ bağlantılarındaki fark
Daha önce belirtildiği gibi, özel uç noktalar özellikle Azure VM'lerindeki iş yüklerinin (SQL Server ve SAP HANA) yedekleri ve MARS aracılarının yedekleri için kullanışlıdır.
Tüm senaryolarda (özel uç noktaları olan veya olmayan) hem iş yükü uzantıları (Azure VM'lerinde çalışan SQL Server ve SAP HANA örneklerini yedeklemek için) hem de MARS aracısı Microsoft Entra Id'ye bağlantı çağrıları yapar. Microsoft 365 Common ve Office Online'da 56 ve 59. bölümlerde belirtilen FQDN'lere çağrı yapar.
Bu bağlantılara ek olarak; özel uç noktaları olmayan bir Kurtarma Hizmetleri kasasına, iş yükü uzantısı veya MARS aracısı yüklendiğinde, aşağıdaki etki alanlarına bağlantının sağlanması gerekir.
| Hizmet | Alan adları | Liman |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra Kimliği | *.login.microsoft.com 56 ve 59 bölümleri altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Özel uç nokta içeren bir Kurtarma Hizmetleri kasası için iş yükü uzantısı veya MARS aracısı yüklendiğinde aşağıdaki uç noktalar söz konusu olur:
| Hizmet | Alan adları | Liman |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra Kimliği | *.login.microsoft.com 56 ve 59 bölümleri altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Uyarı
Yukarıdaki metinde bölge <geo> koduna başvurur (örneğin, eus Doğu ABD ve ne Kuzey Avrupa için). Bölge kodları hakkında daha fazla bilgi için aşağıdaki listeye bakın:
MARS aracısını otomatik olarak güncelleştirmek için erişimine download.microsoft.com/download/MARSagent/*izin verin.
Özel uç nokta kurulumuna sahip bir Kurtarma Hizmetleri kasası için, FQDN'lerin (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) ad çözümlemesi özel bir IP adresi döndürmelidir. Bunu şu şekilde gerçekleştirebilirsiniz:
- Azure Özel DNS bölgeleri.
- Özel DNS.
- Host dosyalarındaki DNS girdileri.
- Azure DNS veya Azure Özel DNS bölgelerine koşullu ileticiler.
Bloblar ve kuyruklar için özel uç noktalar standart adlandırma desenini izler.
<name of the private endpoint>_ecs veya <name of the private endpoint>_prot ile başlarlar ve (sırasıyla) _blob ve _queue ile son eklenir.
Uyarı
Azure Özel DNS bölgelerini kullanmanızı öneririz. Azure Backup kullanarak bloblar ve kuyruklar için DNS kayıtlarını yönetmenizi sağlar. Kasaya atanan yönetilen kimlik, yedekleme verileri için yeni bir depolama hesabı ayrıldığında DNS kayıtlarının eklenmesini otomatikleştirmek için kullanılır.
Bir DNS proxy sunucusunu üçüncü taraf proxy sunucuları veya güvenlik duvarları kullanarak yapılandırdıysanız, önceki etki alanı adlarına izin verilmelidir ve şu seçeneklerden birine yönlendirilmelidir:
- Önceki FQDN'ler için DNS kayıtları olan özel DNS
- Bağlı özel DNS bölgeleri olan Azure sanal ağında 168.63.129.16
Aşağıdaki örnekte, Azure Güvenlik Duvarı’nın DNS ara sunucusu olarak kullanılarak Kurtarma Hizmetleri kasası, blob, kuyruklar ve Microsoft Entra ID için etki alanı adı sorgularını 168.63.129.16'ya yönlendirmek için kullanıldığı gösterilmektedir.
Daha fazla bilgi için bkz. Özel uç noktaları oluşturma ve kullanma.
Özel uç noktaları olan bir kasa için ağ bağlantısı kurulumu
Kurtarma Hizmetleri için özel uç nokta bir ağ arabirimi (NIC) ile ilişkilendirilir. Özel uç nokta bağlantılarının çalışması için Azure hizmetinin tüm trafiğinin ağ arabirimine yeniden yönlendirilmesi gerekir. Hizmet, blob veya kuyruk URL'sine karşı ağ arabirimiyle ilişkili özel IP'ler için DNS eşlemesi ekleyerek bu yeniden yönlendirmeyi gerçekleştirebilirsiniz.
İş yükü yedekleme uzantıları özel uç nokta içeren bir Kurtarma Hizmetleri kasasına kayıtlı sanal makineye yüklendiğinde, uzantı Azure Backup hizmetlerinin özel URL'sinde bir bağlantı kurmayı dener: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Özel URL çalışmazsa uzantı genel URL'yi dener: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Uyarı
Yukarıdaki metinde bölge <geo> koduna başvurur (örneğin, eus Doğu ABD ve ne Kuzey Avrupa için). Bölge kodları hakkında daha fazla bilgi için aşağıdaki listeye bakın:
Bu özel URL'ler kasaya özeldir. Azure Backup ile yalnızca kasaya kaydedilmiş uzantılar ve aracılar bu uç noktalar üzerinden iletişim kurabilir. Kurtarma Hizmetleri kasası için genel ağ erişimi Reddet olarak yapılandırılmışsa, bu ayar sanal ağda çalışmayan istemcilerin kasada yedekleme ve geri yükleme işlemleri istemesini kısıtlar.
Özel uç nokta kurulumuyla birlikte genel ağ erişimini Reddet olarak ayarlamanızı öneririz. Uzantı ve aracı başlangıçta özel URL'yi kullanmaya çalıştığından *.privatelink.<geo>.backup.windowsazure.com , URL'nin DNS çözümlemesi özel uç noktayla ilişkili ilgili özel IP'yi döndürmelidir.
DNS çözümleme çözümleri şunlardır:
- Azure Özel DNS bölgeleri
- Özel DNS
- Hosts dosyalarındaki DNS girişleri
- Azure DNS veya Azure Özel DNS bölgelerine koşullu ileticiler
Kurtarma Hizmetleri için özel uç noktayı Azure portalı üzerinden Özel DNS bölgesiyle tümleştir seçeneğiyle oluşturduğunuzda, kaynak her ayrıldığında Azure Backup hizmetleri (*.privatelink.<geo>backup.windowsazure.com) için özel IP adresleri için gerekli DNS girişleri otomatik olarak oluşturulur. Diğer çözümlerde, özel DNS'de veya konak dosyalarında bu FQDN'ler için DNS girdilerini el ile oluşturmanız gerekir.
İletişim kanalı için VM bulma işleminden sonra bloblar ve kuyruklar için DNS kayıtlarının el ile yönetilmesi için, ilk kayıt sonrasında bkz. Bloblar ve kuyruklar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için). Yedekleme depolama hesabı blobları için ilk yedeklemeden sonra DNS kayıtlarının el ile yönetilmesi için bkz. bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için) ilk yedeklemeden sonra.
Kurtarma Hizmetleri kasası için oluşturduğunuz özel uç noktanın bölmesinde FQDN'lerin özel IP adreslerini bulabilirsiniz.
Aşağıdaki diyagramda, bu özel hizmet FQDN'lerini çözümlemek için bir özel DNS bölgesi kullandığınızda çözümlemenin nasıl çalıştığı gösterilmektedir.
Azure VM'de çalışan iş yükü uzantısı için en az iki depolama hesabına bağlantı gerekir. İlki, kuyruk iletileri aracılığıyla iletişim kanalı olarak kullanılır. İkincisi yedekleme verilerini depolamak içindir. MARS aracısı, yedekleme verilerini depolamak için kullanılan bir depolama hesabına erişim gerektirir.
Özel uç nokta özellikli bir kasa için Azure Backup hizmeti bu depolama hesapları için özel bir uç nokta oluşturur. Bu eylem, Azure Backup ile ilgili ağ trafiğinin (hizmete giden denetim düzlemi trafiği ve depolama blobuna yedekleme verileri) sanal ağdan ayrılmasını engeller. Azure Backup bulut hizmetlerine ek olarak iş yükü uzantısı ve aracısı, Azure Depolama hesaplarına ve Microsoft Entra Kimliği'ne bağlantı gerektirir.
Önkoşul olarak, Kurtarma Hizmetleri kasası (Recovery Services vault) aynı kaynak grubu içinde başka özel uç noktalar oluşturabilmek için izinlere sahip olmalıdır. Ayrıca Kurtarma Hizmetleri kasasına, özel DNS bölgelerinde (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net) DNS girişleri oluşturma izinlerini sağlamanızı öneririz. Kurtarma Hizmetleri kasası, sanal ağın ve özel uç noktanın oluşturulduğu kaynak gruplarında özel DNS bölgelerini arar. Bu bölgelere DNS girdileri ekleme izinleri varsa, bu girdileri oluşturur. Aksi takdirde, bunları el ile oluşturmanız gerekir.
Uyarı
Bu deneyimde, farklı aboneliklerdeki özel DNS bölgeleriyle tümleştirme desteklenmez.
Aşağıdaki diyagramda, özel DNS bölgesi kullanan depolama hesapları için ad çözümlemesinin nasıl çalıştığı gösterilmektedir.
