通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

概述和概念: Azure 备份的专用终结点(v2 体验)

  • 项目

通过 Azure 备份,可以使用 专用终结点 从恢复服务保管库安全地执行数据备份和还原操作。 专用终结点使用 Azure 虚拟网络 (VNet) 中的一个或多个专用 IP 地址将服务有效接入 VNet。

经典体验 (v1)相比,Azure 备份现在在创建和使用专用终结点方面提供了增强的体验。

本文介绍了 Azure 备份 专用终结点增强后的功能 如何作业并帮助执行备份,同时维护资源的安全性。

关键增强功能

  • 创建不带托管标识的专用终结点。
  • 不会为 blob 和队列服务创建任何专用终结点。
  • 使用更少的专用 IP。

开始之前

  • 虽然恢复服务保管库用于 Azure 备份和 Azure Site Recovery,但本文仅介绍专用终结点用于 Azure 备份的情况。

  • 只能为新恢复服务保管库(没有注册/保护任何项)创建专用终结点。 但备份保管库当前不支持专用终结点。

    注意

    不能使用静态 IP 创建专用终结点。

  • 不能将使用经典体验创建的保管库(包含专用终结点)升级到新体验。 可以删除所有现有专用终结点,然后使用 v2 体验新建专用终结点。

  • 一个虚拟网络可以包含用于多个恢复服务保管库的专用终结点。 此外,一个恢复服务保管库可以在多个虚拟网络中包含要使用的专用终结点。 但是,最多可以为保管库创建 12 个专用终结点。

  • 保管库的专用终结点使用 10 个专用 IP,且计数可能会随着时间的推移而增加。 请确保在创建专用终结点时有足够的 IP 可用。

  • Azure 备份的专用终结点不包含对 Microsoft Entra ID 的访问权限。 请确保在 Azure VM 中执行数据库备份和使用 MARS 代理进行备份时,确保启用访问权限,以便 Microsoft Entra ID 在区域中工作所需的 IP 和 FQDN 在安全网络中具有允许状态下的出站访问权限。 如果适用,还可以使用 NSG 标记和 Azure 防火墙标记来允许访问 Microsoft Entra ID。

  • 如果在 2020 年 5 月 1 日 之前注册了恢复服务资源提供程序,则需在订阅中重新注册。 要重新注册提供程序,请转到 Azure 门户中的“你的订阅”“>资源提供程序”,然后选择“Microsoft.RecoveryServices”“>重新注册”。

  • 可以跨订阅创建 DNS。

  • 可以在保管库中受保护的项之前或之后创建辅助专用终结点。 了解如何对启用了专用终结点的保管库执行跨区域还原

虽然为保管库启用了专用终结点,但它们仅用于备份和还原 Azure VM 中的 SQL 和 SAP HANA 工作负载、MARS 代理备份和仅 DPM。 还可以使用保管库来备份其他工作负载(尽管它们不需要专用终结点)。 除了备份 SQL 和 SAP HANA 工作负载以及使用 MARS 代理进行备份,专用终结点还可用于在 Azure VM 备份时执行文件恢复。

下表列出了方案和建议:

方案 建议
在 Azure VM 中备份工作负载(SQL、SAP HANA),使用 MARS 代理和 DPM 服务器进行备份。 建议使用专用终结点来实现备份和还原,且无需将虚拟网络中 Azure 备份或 Azure 存储的任何 IP/FQDN 添加到允许列表。 在这种情况下,请确保托管 SQL 数据库的 VM 可以访问 Microsoft Entra 的 IP 或 FQDN。
Azure VM 备份 VM 备份不要求你允许访问任何 IP 或 FQDN。 因此,它不需要专用终结点来备份和还原磁盘。

但是,从包含专用终结点的保管库执行文件恢复将限制为包含该保管库的终结点的虚拟网络。

使用 ACL 非托管磁盘时,请确保包含磁盘的存储帐户允许访问受信任的 Microsoft 服务(如果为 ACL)。
Azure 文件存储备份 Azure 文件存储备份存储在本地存储帐户中。 因此,它不需要专用终结点来进行备份和还原。
在保管库和虚拟机中更改了专用终结点的 Vnet 停止备份保护并在启用了专用终结点的新保管库中配置备份保护。

注意

仅 DPM 服务器 2022、MABS v4 及更高版本支持专用终结点。

专用终结点的网络连接差异

如上所述,专用终结点对于备份 Azure VM 中的工作负载(SQL、SAP HANA)和 MARS 代理备份特别有用。

在所有方案中(无论是否具有专用终结点),工作负载扩展(用于备份 Azure VM 内运行的 SQL 和 SAP HANA 实例)和 MARS 代理都会对 Microsoft Entra ID(对 Microsoft 365 Common and Office Online 第 56 和 59 节中提到的 FQDN)进行连接调用。

在为无专用终结点的恢复服务保管库安装工作负载扩展或 MARS 代理时,除了这些连接,还需要连接到以下域:

服务 域名 端口
Azure 备份 *.backup.windowsazure.com 443
Azure 存储 *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

根据 本文,允许访问第 56 和 59 节下的 FQDN。		 443

如果适用

在为有专用终结点的恢复服务保管库安装工作负载扩展或 MARS 代理时,会与以下终结点通信:

服务 域名 端口
Azure 备份 *.privatelink.<geo>.backup.windowsazure.com 443
Azure 存储 *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

根据 本文,允许访问第 56 和 59 节下的 FQDN。		 443

如果适用

注意

在上面的文本中,<geo> 表示区域代码(例如,eus 表示美国东部,ne 表示欧洲北部)。 参考以下区域代码列表:

对于具有专用终结点设置的恢复服务保管库,FQDN(privatelink.<geo>.backup.windowsazure.com*.blob.core.windows.net*.queue.core.windows.net*.blob.storage.azure.net)的名称解析应返回专用 IP 地址。 可以使用以下内容来实现这一点:

  • Azure 专用 DNS 区域
  • 自定义 DNS
  • 主机文件中的 DNS 条目
  • 到 Azure DNS/Azure 专用 DNS 区域的条件转发器。

存储帐户的专用 IP 映射在为恢复服务保管库创建的专用终结点中列出。 由于 blob 和队列的 DNS 记录可由 Azure 管理。建议使用 Azure 专用 DNS 区域。 为保管库分配新存储帐户时,其专用 IP 的 DNS 记录会自动添加到 blob 或 Azure 专用 DNS 区域中。

如果已使用第三方代理服务器或防火墙配置 DNS 代理服务器,则必须允许上述域名并将其重定向到自定义 DNS (具有上述 FQDN 的 DNS 记录) 或 Azure 虚拟网络上的 168.63.129.16 (该网络已链接到专用 DNS 区域)。

以下示例显示了 Azure 防火墙用作 DNS 代理,将针对恢复服务保管库、blob、队列和 Microsoft Entra ID 的域名查询重定向到 168.63.129.16。

关系图显示了使用 MARS 设置的专用终结点。

有关详细信息,请参阅创建和使用专用终结点

使用专用终结点为保管库建立网络连接

恢复服务的专用终结点与网络接口(NIC)相关联。 要使专用终结点连接正常工作,必须将 Azure 服务的所有流量重定向到网络接口。 为此,可以针对服务/blob/队列 URL 添加与网络接口关联的专用 IP 的 DNS 映射。

在注册到有专用终结点的恢复服务保管库的虚拟机上安装工作负载备份扩展时,该扩展会尝试在 Azure 备份服务 <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com 的专用 URL 上进行连接。

如果专用 URL 未解析,它会尝试使用公共 URL <azure_backup_svc>.<geo>.backup.windowsazure.com。 如果恢复服务保管库的公用网络访问配置为“允许从所有网络”,则恢复服务保管库允许通过公共 URL 从扩展发出的请求。 如果恢复服务保管库的公用网络访问配置为“拒绝”,则恢复服务保管库会拒绝通过公共 URL 从扩展发出的请求。

注意

在上述域名中,<geo> 表示区域代码(例如,eus 表示美国东部,ne 表示欧洲北部)。 有关区域代码的详细信息,请参阅以下列表:

这些专用 URL 特定于该保管库。 只有注册到该保管库的扩展和代理才能通过这些终结点与 Azure 备份服务通信。 如果恢复服务保管库的公用网络访问配置为“拒绝”,则会限制未在 VNet 中运行的客户端在保管库上请求备份和还原操作。 建议将公用网络访问设置为“拒绝”,同时设置专用终结点。 当扩展和代理首先尝试使用专用 URL 时,URL 的 *.privatelink.<geo>.backup.windowsazure.com DNS 解析应返回与专用终结点关联的相应专用 IP。

DNS 解析有多种解决方案:

  • Azure 专用 DNS 区域
  • 自定义 DNS
  • 主机文件中的 DNS 条目
  • 到 Azure DNS/Azure 专用 DNS 区域的条件转发器。

使用“与专用 DNS 区域集成”选项通过 Azure 门户创建恢复服务保管库的专用终结点后,分配资源时会自动创建 Azure 备份服务(*.privatelink.<geo>backup.windowsazure.com)专用 IP 地址所需的 DNS 条目。 在其他解决方案中,需要在自定义 DNS 或主机文件中手动为这些 FQDN 创建 DNS 条目。

有关在 VM 发现信道 - blob/队列后手动管理 DNS 记录的信息,请参阅 首次注册后 blob 和队列(仅用于自定义 DNS 服务器/主机文件)的 DNS 记录。 有关在首次对备份存储帐户 blob 进行备份后手动管理 DNS 记录的信息,请参阅首次备份后 blob 的 DNS 记录(仅适用于自定义 DNS 服务器/主机文件)

在为恢复服务保管库创建的专用终结点的“DNS 配置”窗格中,可以找到 FQDN 的专用 IP 地址。

以下关系图显示了使用专用 DNS 区域解析这些专用服务 FQDN 时解析的工作原理。

此关系图显示了如何使用专用 DNS 区域解析已修改的服务 FQDN。

在 Azure VM 上运行的工作负载扩展需要连接到至少两个存储帐户终结点 - 第一个帐户用作信道(通过队列消息),第二个帐户用于存储备份数据。 MARS 代理需要访问至少一个用于存储备份数据的存储帐户终结点。

对于已启用专用终结点的保管库,Azure 备份服务会为这些存储帐户创建专用终结点。 这可以阻止与 Azure 备份相关的任何网络流量(到服务的控制平面流量和到存储 blob 的数据备份)离开虚拟网络。 除了 Azure 备份云服务,工作负载扩展和代理还需要连接到 Azure 存储帐户和 Microsoft Entra ID。

以下关系图显示了如何对使用专用 DNS 区域的存储帐户进行名称解析。

显示如何对使用专用 DNS 区域的存储帐户进行名称解析的关系图。

下图显示了如何通过在次要区域中复制专用终结点来执行通过专用终结点的跨区域还原。 了解如何对启用了专用终结点的保管库执行跨区域还原

关系图显示如何执行通过专用终结点的跨区域还原。

后续步骤