建立和使用私人端點 (v1 體驗) 來 Azure 備份
本文提供建立 Azure 備份 私人端點程序的相關信息,以及私人端點可協助維護資源安全性的案例。
注意
Azure 備份 現在提供建立私人端點的新體驗。 深入了解。
在您開始使用 Intune 之前
這些詳細數據可協助您瞭解為保存庫建立私人端點之前必須滿足的限制和條件。
開始建立備份的私人端點
下列各節將討論建立和使用虛擬網路內 Azure 備份 私人端點所涉及的步驟。
重要
強烈建議您遵循與本檔所述相同順序中的步驟。 若未這麼做,可能會導致保存庫轉譯不相容,而無法使用私人端點,並要求您使用新的保存庫重新啟動程式。
建立復原服務保存庫
備份的私人端點只能針對復原服務保存庫建立,這些保存庫沒有受到任何保護的專案(或過去未嘗試保護或註冊任何專案)。 因此,建議您建立新的保存庫以開始使用。 如需建立新保存庫的詳細資訊,請參閱 建立和設定復原服務保存庫。
請參閱 本節 ,以瞭解如何使用 Azure Resource Manager 用戶端建立保存庫。 這會建立已啟用受控識別的保存庫。
拒絕對保存庫的公用網路存取
您可以將保存庫設定為拒絕從公用網路存取。
執行下列步驟:
移至保存庫>網路。
在 [ 公用存取] 索引卷標上,選取 [ 拒絕 ] 以防止來自公用網络的存取。
注意
- 一旦拒絕存取,您仍然可以存取保存庫,但無法將數據移至/移出不包含私人端點的網路。 如需詳細資訊,請參閱建立 Azure 備份 的私人端點。
- 目前不支援 啟用跨區域還原 的保存庫拒絕公用存取。
選取 [套用] 以儲存變更。
為您的保存庫啟用受控識別
受控識別可讓保存庫建立及使用私人端點。 本節將討論如何為您的保存庫啟用受控識別。
移至您的復原服務保存庫 ->身分識別。
將 [狀態] 變更為 [開啟],然後選取 [儲存]。
產生物件標識碼,這是保存庫的受控識別。
注意
啟用之後,不得停用受控識別(甚至是暫時停用)。 停用受控識別可能會導致行為不一致。
將許可權授與保存庫以建立必要的私人端點
若要建立 Azure 備份 所需的私人端點,保存庫(保存庫的受控識別)必須具有下列資源群組的許可權:
- 包含目標 VNet 的資源群組
- 要在其中建立私人端點的資源群組
- 包含 私用 DNS 區域的資源群組,如下所述
我們建議您將這三個資源群組的 參與者 角色授與保存庫 (受控識別)。 下列步驟說明如何針對特定資源群組執行這項操作(這需要針對這三個資源群組中每一個完成):
移至 [資源群組],然後瀏覽至左側列上的 存取控制 (IAM)。
存取控制 之後,請移至 [新增角色指派]。
在 [ 新增角色指派 ] 窗格中,選擇 [ 參與者 ] 作為 [角色],並使用 保存庫的名稱 作為 主體。 選取您的保存庫,然後在完成時選取 [ 儲存 ]。
若要在更細微的層級管理許可權,請參閱 手動建立角色和許可權。
建立 Azure 備份 的私人端點
本節說明如何為您的保存庫建立私人端點。
流覽至上方建立的保存庫,並移至 左側導覽列上的私人端點連線 。 選取 頂端的 [+私人端點 ],開始為此保存庫建立新的私人端點。
在 建立私人端點 程式中,您必須指定建立私人端點連線的詳細數據。
基本:填寫私人端點的基本詳細資料。 區域應該與保存庫和備份的資源相同。
資源:此索引標籤會要求您選取要為其建立連線的 PaaS 資源。 從所需訂用帳戶的資源類型選取 Microsoft.RecoveryServices/vaults。 完成後,請選擇復原服務保存庫的名稱作為 [資源],然後選擇 [AzureBackup] 作為 [目標] 子資源。
設定:在設定中指定要建立私人端點的虛擬網路和子網路。 這會是 VM 存在的 Vnet。
若要私下連線,您需要必要的 DNS 記錄。 根據您的網路設定,您可以選擇下列其中一項:
- 將私人端點與私人 DNS 區域整合:如果您想要整合,請選取 [是 ]。
- 使用您的自定義 DNS 伺服器:如果您想要使用自己的 DNS 伺服器,請選取 [否 ]。
稍後會說明管理這兩項的 DNS 記錄。
您可以選擇性地為私人端點新增 標籤 。
輸入詳細數據后,請繼續檢 閱 + 建立 。 驗證完成時,選取 [建立 ] 以建立私人端點。
核准私人端點
如果建立私人端點的使用者也是復原服務保存庫的擁有者,則會自動核准上述建立的私人端點。 否則,保存庫的擁有者必須先核准私人端點,才能使用它。 本節討論透過 Azure 入口網站 手動核准私人端點。
請參閱 使用 Azure Resource Manager 用戶端 手動核准私人端點,以使用 Azure Resource Manager 用戶端來核准私人端點。
在您的復原服務保存庫中,流覽至 左側列上的私人端點連線 。
選取您想要核准的私人端點連線。
選取頂端列上的 [ 核准 ]。 如果您想要拒絕或刪除端點連線,您也可以選取 [拒絕 ] 或 [移除 ]。
管理 DNS 記錄
如先前所述,您需要私人 DNS 區域或伺服器中所需的 DNS 記錄,才能私下連線。 您可以直接整合私人端點與 Azure 私人 DNS 區域,或使用自定義 DNS 伺服器,根據您的網路喜好設定達成此目的。 這需要針對這三個服務完成:備份、Blob 和佇列。
此外,如果您的 DNS 區域或伺服器存在於與包含私人端點的訂用帳戶不同的訂用帳戶中,另請參閱 在另一個訂用帳戶中出現 DNS 伺服器/DNS 區域時建立 DNS 專案。
整合私人端點與 Azure 私人 DNS 區域時
如果您選擇整合私人端點與私人 DNS 區域,Azure 備份 將會新增必要的 DNS 記錄。 您可以檢視私人端點的 DNS 組態下所使用的私人 DNS 區域。 如果這些 DNS 區域不存在,則會在建立私人端點時自動建立它們。
注意
指派給保存庫的受控識別應該具有在 Azure 私用 DNS 區域中新增 DNS 記錄的許可權。
不過,您必須確認您的虛擬網路(其中包含要備份的資源)已正確連結至這三個私人 DNS 區域,如下所述。
注意
如果您使用 Proxy 伺服器,您可以選擇略過 Proxy 伺服器,或透過 Proxy 伺服器執行備份。 若要略過 Proxy 伺服器,請繼續進行下列各節。 若要使用 Proxy 伺服器來執行備份,請參閱 復原服務保存庫的 Proxy 伺服器設定詳細數據。
驗證私人 DNS 區域中的虛擬網路連結
針對 上面所列的每個私人 DNS 區域(針對備份、Blob 和佇列),請執行下列動作:
流覽至左側導覽列上的個別 虛擬網路連結 選項。
您應該可以看到您已建立私人端點的虛擬網路專案,如下所示:
如果您沒有看到專案,請將虛擬網路連結新增至沒有這些專案的所有 DNS 區域。
使用自定義 DNS 伺服器或主機檔案時
如果您使用自定義 DNS 伺服器,您可以使用條件式轉寄站進行備份服務、Blob 和佇列 FQDN,將 DNS 要求重新導向至 Azure DNS(168.63.129.16)。 Azure DNS 會將它重新導向至 Azure 私用 DNS 區域。 在這類設定中,請確定 Azure 私用 DNS 區域的虛擬網路連結已存在,如本節所述。
下表列出 Azure 備份 所需的 Azure 私用 DNS 區域:
區域 服務 privatelink.<geo>.backup.windowsazure.com
Backup privatelink.blob.core.windows.net
Blob privatelink.queue.core.windows.net
佇列 注意
在上述文字中,
<geo>
分別參照區域代碼(例如 eus 和 ne 分別適用於美國東部和北歐)。 請參閱下列區域代碼清單:如果您使用自定義 DNS 伺服器或主機檔案,而且沒有 Azure 私用 DNS 區域設定,您必須將私人端點所需的 DNS 記錄新增至 DNS 伺服器或主機檔案中。
針對備份服務:流覽至您建立的私人端點,然後移至 DNS 組態。 然後,針對每個 FQDN 和 IP 新增一個專案,並顯示在 DNS 區域中的 [備份] 中顯示為 [類型 A ] 記錄。
如果您使用主機檔案進行名稱解析,請根據格式 -, 在每個IP和 FQDN 的主機檔案中建立對應的專案。
<private ip><space><backup service privatelink FQDN>
針對 Blob 和佇列:Azure 備份會使用受控識別許可權建立 Blob 和佇列的私人端點。 Blob 和佇列的私人端點會遵循標準命名模式,其開頭
<the name of the private endpoint>_ecs
為 或<the name of the private endpoint>_prot
,且會分別加上_blob
和_queue
。流覽至 Azure 備份 遵循上述模式所建立的私人端點,然後移至 DNS 組態。 然後,針對每個 FQDN 和 IP 新增一個專案,並顯示在 DNS 區域中的 [備份] 中顯示為 [類型 A ] 記錄。
如果您使用主機檔案進行名稱解析,請根據格式 -, 在每個IP和 FQDN 的主機檔案中建立對應的專案。
<private ip><space><blob/queue FQDN>
注意
Azure 備份 可能會為您的保存庫配置新的記憶體帳戶以供備份數據使用,而擴充功能或代理程序必須存取個別的端點。 如需如何在註冊和備份之後新增更多 DNS 記錄的詳細資訊,請參閱 使用私人端點進行備份 一節中的指引。
使用私人端點進行備份
在 VNet 中為保存庫建立的私人端點經過核准之後,您就可以開始使用它們來執行備份和還原。
重要
請確定您已順利完成檔中所述的所有步驟,再繼續進行。 若要回顧,您必須已完成下列檢查清單中的步驟:
- 已建立 (新增) 復原服務保存庫
- 已啟用保存庫以使用系統指派的受控識別
- 將相關許可權指派給保存庫的受控識別
- 為您的保存庫建立私人端點
- 已核准私人端點(如果未自動核准)
- 確定已適當新增所有 DNS 記錄(自訂伺服器的 Blob 和佇列記錄除外,以下各節將討論這些記錄)
檢查 VM 連線能力
在鎖定網路的 VM 中,確定下列事項:
- VM 應該可以存取 Microsoft Entra ID。
- 從您的 VM 在備份 URL 上
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
執行 nslookup,以確保連線能力。 這應該會傳回虛擬網路中指派的私人IP。
設定備份
一旦確定上述檢查清單和存取權已順利完成,您就可以繼續設定工作負載備份至保存庫。 如果您使用自定義 DNS 伺服器,您必須為設定第一個備份之後可用的 Blob 和佇列新增 DNS 專案。
Blob 和佇列的 DNS 記錄(僅適用於自定義 DNS 伺服器/主機檔案)在第一次註冊之後
在您為已啟用私人端點保存庫的至少一個資源設定備份之後,請新增 Blob 和佇列所需的 DNS 記錄,如下所述。
流覽至您的資源群組,並搜尋您所建立的私人端點。
除了您所提供的私人端點名稱之外,您會看到另外兩個私人端點正在建立。 這些開頭為
<the name of the private endpoint>_ecs
,且會分別加上_blob
和_queue
。流覽至每個私人端點。 在兩個私人端點的每一個 DNS 組態選項中,您會看到具有 和 FQDN 和 IP 位址的記錄。 除了稍早所述的 DNS 伺服器之外,請將這兩者新增至您的自定義 DNS 伺服器。 如果您使用主機檔案,請根據下列格式,在每個IP/FQDN的主機檔案中建立對應的專案:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
除了上述專案之外,第一次備份之後還需要另一個專案,稍後會加以討論。
在 Azure VM 中備份和還原工作負載 (SQL 和 SAP HANA)
建立並核准私人端點之後,用戶端不需要進行其他變更,才能使用私人端點(除非您使用 SQL 可用性群組,我們稍後會討論這一節)。 所有從安全網路到保存庫的通訊和數據傳輸都會透過私人端點執行。 不過,如果您在伺服器 (SQL 或 SAP HANA) 註冊至保存庫之後移除保存庫的私人端點,您必須向保存庫重新註冊容器。 您不需要停止保護它們。
Blob 的 DNS 記錄(僅適用於自定義 DNS 伺服器/主機檔案)在第一次備份之後
在您執行第一個備份並使用自定義 DNS 伺服器(不含條件式轉送)之後,備份可能會失敗。 如果發生這種情況:
流覽至您的資源群組,並搜尋您所建立的私人端點。
除了稍早討論的三個私人端點之外,您現在會看到名稱開頭
<the name of the private endpoint>_prot
為 的第四個私人端點,並以 後置詞_blob
。瀏覽至這個新的私人端點。 在 [DNS 組態] 選項中,您會看到具有 FQDN 和 IP 位址的記錄。 除了稍早所述的 DNS 伺服器之外,將這些內容新增至您的私人 DNS 伺服器。
如果您使用主機檔案,請根據下列格式,針對每個IP和 FQDN 在主機檔案中建立對應的專案:
<private ip><space><blob service privatelink FQDN>
注意
此時,您應該能夠從 VM 執行 nslookup,並在保存庫的備份和 儲存體 URL 上完成時解析為私人 IP 位址。
使用 SQL 可用性群組時
使用 SQL 可用性群組 (AG) 時,您必須在自訂 AG DNS 中布建條件式轉送,如下所述:
登入您的域控制器。
在 DNS 應用程式下,視需要將三個 DNS 區域的條件式轉寄站(備份、Blob 和佇列)新增至主機 IP 168.63.129.16 或自定義 DNS 伺服器 IP 位址。 下列螢幕快照顯示當您轉送至 Azure 主機 IP 時。 如果您使用自己的 DNS 伺服器,請將 取代為 DNS 伺服器的 IP。
透過MARS代理程式和 DPM 伺服器備份和還原
使用MARS代理程式備份內部部署資源時,請確定您的內部部署網路(包含要備份的資源)會與包含保存庫私人端點的Azure VNet 對等互連,讓您可以使用它。 然後,您可以繼續安裝 MARS 代理程式,並依照這裡的詳細資料設定備份。 不過,您必須確定備份的所有通訊只會透過對等互連網路進行。
但是,如果您在將MARS代理程式註冊到保存庫之後移除保存庫的私人端點,您必須向保存庫重新註冊容器。 您不需要停止保護它們。
注意
- 只有 DPM 伺服器 2022 (10.22.123.0) 和更新版本才支援私人端點。
- 只有 MABS V4(14.0.30.0) 和更新版本才支援私人端點。
刪除私人端點
請參閱 本節 ,以瞭解如何刪除 Private EndPoints。
其他主題
使用 Azure Resource Manager 用戶端建立復原服務保存庫
您可以使用 Azure Resource Manager 用戶端來建立復原服務保存庫並啟用其受控識別(需要啟用受控識別。 執行此動作的範例如下所述:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
上述 JSON 檔案應具有下列內容:
要求 JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
回應 JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
注意
透過 Azure Resource Manager 用戶端在此範例中建立的保存庫已使用系統指派的受控識別來建立。
管理資源群組的許可權
保存庫的受控識別必須在將建立私人端點的資源群組和虛擬網路中具有下列許可權:
Microsoft.Network/privateEndpoints/*
這需要在資源群組中的私人端點上執行 CRUD。 它應該在資源群組上指派。Microsoft.Network/virtualNetworks/subnets/join/action
這是在私人IP與私人端點連結的虛擬網路上的必要專案。Microsoft.Network/networkInterfaces/read
這在資源群組上是必要的,才能為私人端點建立網路介面。- 私用 DNS 區域參與者角色 此角色已經存在,而且可用來提供
Microsoft.Network/privateDnsZones/A/*
和Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
許可權。
您可以使用下列其中一種方法來建立具有必要許可權的角色:
手動建立角色和許可權
建立下列 JSON 檔案,並使用 區段結尾的 PowerShell 命令來建立角色:
PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
使用腳本
在 Azure 入口網站 中啟動 Cloud Shell,然後選取 PowerShell 視窗中的 [上傳檔案]。
上傳下列腳本: VaultMsiPrereqScript
移至主資料夾 (例如:
cd /home/user
)執行下列指令碼:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
以下是參數:
subscription: **SubscriptionId,其具有要建立保存庫私人端點的資源群組,以及將連結保存庫私人端點的子網
vaultPEResourceGroup:將建立保存庫私人端點的資源群組
vaultPESubnetResourceGroup:將加入私人端點之子網的資源群組
vaultMsiName:保存庫 MSI 的名稱,其與 VaultName 相同
完成驗證,腳本會採用上述所提供指定訂用帳戶的內容。 如果租用戶遺失這些角色,則會建立適當的角色,並將角色指派給保存庫的 MSI。
使用 Azure PowerShell 建立私人端點
自動核准的私人端點
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
使用 Azure Resource Manager 用戶端手動核准私人端點
使用 GetVault 取得私人端點的私人端點 連線 識別碼。
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
這會傳回私人端點 連線 標識符。 您可以使用連線識別碼的第一個部分來擷取連線名稱,如下所示:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}
從回應取得私人端點 連線 標識符(和私人端點名稱,無論需要的話),並在下列 JSON 和 Azure Resource Manager URI 中取代它,並嘗試將狀態變更為「已核准/拒絕/已中斷連線」,如下列範例所示:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
JSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
使用私人端點設定復原服務保存庫的 Proxy 伺服器
若要設定 Azure VM 或內部部署電腦的 Proxy 伺服器,請遵循下列步驟:
新增下列需要從 Proxy 伺服器存取的網域。
服務 網域名稱 連接埠 Azure 備份 *.backup.windowsazure.com 443 Azure 儲存體 *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 Microsoft Entra ID
Microsoft 365 Common and Office Online 第 56 節和 59 節下提及的已更新網域 URL。*.msftidentity.com、*.msidentity.com、account.activedirectory.windowsazure.com、accounts.accesscontrol.windows.net、adminwebservice.microsoftonline.com、api.passwordreset.microsoftonline.com、autologon.microsoftazuread-sso.com、becws.microsoftonline.com、clientconfig.microsoftonline-p.net、companymanager.microsoftonline.com、device.login.microsoftonline.com、graph.microsoft.com、graph.windows.net、login.microsoft.com、login.microsoftonline.com、login.microsoftonline-p.com、login.windows.net、logincert.microsoftonline.com、loginex.microsoftonline.com、login-us.microsoftonline.com、nexus.microsoftonline-p.com、passwordreset.microsoftonline.com、provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com、*.microsoftonline.com、*.microsoftonline-p.com、*.msauth.net、*.msauthimages.net、*.msecnd.net、*.msftauth.net、*.msftauthimages.net、*.phonefactor.net、enterpriseregistration.windows.net、management.azure.com、policykeyservice.dc.ad.msft.net適用。 允許存取 Proxy 伺服器中的這些網域,並連結私人 DNS 區域 (
*.privatelink.<geo>.backup.windowsazure.com
、*.privatelink.blob.core.windows.net
*.privatelink.queue.core.windows.net
、 ) 與建立 Proxy 伺服器的 VNET,或使用具有個別 DNS 專案的自定義 DNS 伺服器。
Proxy 伺服器執行所在的 VNET,以及建立私人端點 NIC 的 VNET 應該對等互連,這可讓 Proxy 伺服器將要求重新導向至私人 IP。注意
在上述文字中,
<geo>
分別參照區域代碼(例如 eus 和 ne 分別適用於美國東部和北歐)。 請參閱下列區域代碼清單:
下圖顯示設定(使用 Azure 私用 DNS 區域時)與 Proxy 伺服器,其 VNet 會連結至具有必要 DNS 專案的私人 DNS 區域。 Proxy 伺服器也可以有自己的自定義 DNS 伺服器,而且上述網域可以有條件地轉送至 168.63.129.16。 如果您使用自定義 DNS 伺服器/主機檔案進行 DNS 解析,請參閱管理 DNS 專案和設定保護的章節。
當 DNS 伺服器/DNS 區域存在於另一個訂用帳戶時,建立 DNS 專案
在本節中,我們將討論您使用訂用帳戶中存在的 DNS 區域,或與包含復原服務保存庫私人端點的資源群組不同的案例,例如中樞和輪輻拓撲。 由於用來建立私人端點的受控識別(和 DNS 專案)僅具有建立私人端點的資源群組許可權,因此需要額外的 DNS 專案。 使用下列 PowerShell 腳本來建立 DNS 專案。
注意
請參閱下面所述的整個程式,以達成所需的結果。 此程式需要重複兩次 - 第一次探索期間一次 (若要建立通訊記憶體帳戶所需的 DNS 專案),然後在第一次備份期間重複一次 (若要建立後端記憶體帳戶所需的 DNS 專案)。
步驟 1:取得必要的 DNS 專案
使用 PrivateIP.ps1 腳本來列出所有需要建立的 DNS 專案。
注意
subscription
下列語法中的 指的是要建立保存庫私人端點的訂用帳戶。
使用文稿的語法
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
範例輸出
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
步驟 2:建立 DNS 專案
建立對應至上述專案的 DNS 專案。 根據您使用的 DNS 類型,您有兩個建立 DNS 專案的替代方案。
案例 1:如果您使用自定義 DNS 伺服器,您必須從上述腳本手動建立每個記錄的專案,並確認 FQDN (ResourceName.DNS) 解析為 VNET 內的私人 IP。
案例 2:如果您使用 Azure 私用 DNS 區域,您可以使用 CreateDNSEntries.ps1 腳本,在 私用 DNS 區域中自動建立 DNS 專案。 在下列語法中,subscription
是 私用 DNS 區域存在的位置。
使用文稿的語法
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
整個程式的摘要
若要透過此因應措施正確設定復原服務保存庫的私人端點,您需要:
- 建立保存庫的私人端點(如本文稍早所述)。
- 觸發程式探索。 SQL/HANA 的探索會因為通訊記憶體帳戶缺少 DNS 專案,而 UserErrorVMInternet 連線 ivityIssue 會失敗。
- 執行文本以取得 DNS 專案,併為本節稍早所述的通訊記憶體帳戶建立對應的 DNS 專案。
- 重試探索。 這次,探索應該會成功。
- 觸發備份。 SQL/HANA 和 MARS 的備份可能會失敗,因為後端記憶體帳戶缺少 DNS 專案,如本節稍早所述。
- 執行腳本來建立後端記憶體帳戶的 DNS 專案。
- 重試備份。 這次,備份應該會成功。
常見問題集
我可以為現有的復原服務保存庫建立私人端點嗎?
否,只能為新的復原服務保存庫建立私人端點。 因此,保存庫絕不能有任何受保護的專案。 事實上,在建立私人端點之前,無法嘗試保護保存庫的任何專案。
我嘗試保護保存庫的專案,但它失敗,保存庫仍然不包含任何受保護的專案。 我可以為此保存庫建立私人端點嗎?
否,保存庫過去不得嘗試保護任何專案。
我有一個保存庫,其使用私人端點進行備份和還原。 我稍後是否可以新增或移除此保存庫的私人端點,即使我有受保護的備份專案嗎?
是。 如果您已為保存庫建立私人端點,並將受保護的備份專案新增至保存庫,您可以視需要新增或移除私人端點。
Azure 備份 的私人端點是否可以也用於 Azure Site Recovery?
否,備份的私人端點只能用於 Azure 備份。 如果服務支援 Azure Site Recovery,您將需要為 Azure Site Recovery 建立新的私人端點。
我錯過了本文中的其中一個步驟,然後繼續保護我的數據源。 我仍然可以使用私人端點嗎?
未遵循文章中的步驟並繼續保護專案,可能會導致保存庫無法使用私人端點。 因此,建議您先參考此檢查清單,再繼續保護專案。
我是否可以使用自己的 DNS 伺服器,而不是使用 Azure 私人 DNS 區域或整合式私人 DNS 區域?
是,您可以使用自己的 DNS 伺服器。 不過,請確定已如本節建議新增所有必要的 DNS 記錄。
在遵循本文中的程序之後,我需要在伺服器上執行任何其他步驟嗎?
遵循本文詳述的程序之後,您不需要執行其他工作,即可使用私人端點進行備份和還原。
下一步
- 閱讀 Azure 備份 中的所有安全性功能。