Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Azure Backup können Sie Ihre Daten aus Ihren Wiederherstellungsdiensten sichern und wiederherstellen, indem Sie private Endpunkte verwenden. Private Endpunkte verwenden eine oder mehrere private IP-Adressen aus Ihrem virtuellen Azure-Netzwerk, um den Dienst effektiv in Ihr virtuelles Netzwerk zu integrieren.
Azure Backup bietet jetzt eine Version 2-Erfahrung für die Erstellung und Verwendung privater Endpunkte im Vergleich zur Version 1-Oberfläche.
In diesem Artikel wird beschrieben, wie die Version 2-Funktionen privater Endpunkte für Azure Backup funktionieren und Ihnen helfen, Sicherungen durchzuführen und gleichzeitig die Sicherheit Ihrer Ressourcen aufrechtzuerhalten.
Wichtige Erweiterungen
- Erstellen Sie private Endpunkte ohne verwaltete Identitäten.
- Für die Blob- und Warteschlangendienste werden keine privaten Endpunkte erstellt.
- Verwenden Sie weniger private IPs.
Überlegungen vor Beginn
Obwohl sowohl Azure Backup als auch Azure Site Recovery einen Recovery Services-Tresor verwenden, wird in diesem Artikel die Verwendung privater Endpunkte nur für Azure Backup erläutert.
Kundenseitig verwaltete Schlüssel (CMKs) mit einem netzwerkbeschränkten Schlüsseltresor werden nicht mit einem Tresor unterstützt, der für private Endpunkte aktiviert ist.
Sie können private Endpunkte nur für neue Recovery Services-Tresore erstellen, wenn keine Elemente im Tresor registriert sind. Private Endpunkte werden für Sicherungstresore derzeit jedoch nicht unterstützt.
Private Endpunkte mit statischen IPs werden aufgrund der dynamischen IP-Erweiterung in version 2 nicht unterstützt. Obwohl die Erstellung erfolgreich ist, schlägt die Registrierung für Tresore mit vorhandenen geschützten Elementen möglicherweise fehl.
Die Erstellung mehrerer privater Endpunkte mit demselben Namen unter Recovery Services Vaults wird nicht unterstützt.
Sie können Tresore (die private Endpunkte enthalten), die über die Version 1-Erfahrung erstellt wurden, nicht auf die Version 2-Erfahrung aktualisieren. Sie können alle vorhandenen privaten Endpunkte löschen und dann neue private Endpunkte mit der Version 2-Erfahrung erstellen.
Ein virtuelles Netzwerk kann private Endpunkte für mehrere Recovery Services-Tresore enthalten. Außerdem kann ein Recovery Services-Tresor private Endpunkte in mehreren virtuellen Netzwerken haben. Sie können maximal 12 private Endpunkte für einen Tresor erstellen.
Ein privater Endpunkt für einen Tresor verwendet 10 private IP-Adressen. Die Anzahl kann im Laufe der Zeit steigen. Es wird empfohlen, genügend private IPs (/25) zur Verfügung zu haben, wenn Sie versuchen, private Endpunkte für Azure Backup zu erstellen.
Private Endpunkte für Azure Backup enthalten keinen Zugriff auf Die Microsoft Entra-ID. Stellen Sie sicher, dass Sie den Zugriff aktivieren, damit die für Microsoft Entra ID in einer Region benötigten IPs und vollqualifizierten Domänennamen (FQDNs) ausgehenden Zugriff innerhalb eines zulässigen Zustands im gesicherten Netzwerk haben, wenn Sie Folgendes ausführen:
- Eine Sicherung von Datenbanken auf virtuellen Azure-Computern (VMs).
- Eine Sicherung, die den Microsoft Azure Recovery Services (MARS)-Agent verwendet.
Sie können auch NSG-Tags (Network Security Group) und Azure Firewall-Tags verwenden, um den Zugriff auf Microsoft Entra ID zu ermöglichen, sofern zutreffend.
Sie müssen den Wiederherstellungsdienste-Ressourcenanbieter bei dem Abonnement erneut registrieren, wenn Sie ihn vor dem 1. Mai 2020 registriert haben. Um den Anbieter erneut zu registrieren, wechseln Sie imAzure-Portal zu Ihrem Abonnement, wechseln Sie im linken Menü zu "Ressourcenanbieter", und wählen Sie dann > Erneut registrieren" aus.
Sie können DNS abonnementübergreifend erstellen.
Sie können einen sekundären privaten Endpunkt vor oder nach dem Schützen von Elementen im Tresor erstellen. Erfahren Sie, wie Sie eine regionsübergreifende Wiederherstellung für einen Tresor mit privatem Endpunkt durchführen.
Empfohlene und unterstützte Szenarien
Während private Endpunkte für den Tresor aktiviert sind, werden sie nur für die Sicherung und Wiederherstellung von SQL Server- und SAP HANA-Workloads in einer Azure-VM, MARS-Agent-Sicherung und System Center Data Protection Manager (DPM) verwendet. Sie können den Tresor auch für die Sicherung anderer Workloads verwenden, obwohl sie keine privaten Endpunkte erfordern. Neben Sicherungen von SQL Server- und SAP HANA-Workloads und -Sicherungen über den MARS-Agent werden private Endpunkte verwendet, um dateiwiederherstellung für Azure VM-Sicherungen durchzuführen.
In der folgenden Tabelle sind die Szenarien und Empfehlungen aufgeführt:
| Szenario | Empfehlung |
|---|---|
| Sicherung von Workloads in einer Azure-VM (SQL Server, SAP HANA), Sicherung über MARS-Agent, DPM-Server | Wir empfehlen die Verwendung privater Endpunkte, um die Sicherung und Wiederherstellung zuzulassen, ohne einer Zulassungsliste alle IPs oder FQDNs für Azure Backup oder Azure Storage aus Ihren virtuellen Netzwerken hinzufügen zu müssen. Stellen Sie in diesem Szenario sicher, dass VMs, die SQL-Datenbanken hosten, Microsoft Entra ID-IP-Adressen oder FQDNs erreichen können. |
| Azure VM Backup | Für eine VM-Sicherung müssen Sie keinen Zugriff auf IPs oder FQDNs zulassen. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung von Datenträgern benötigt. Die Dateiwiederherstellung aus einem Tresor, der private Endpunkte enthält, wäre jedoch auf virtuelle Netzwerke beschränkt, die einen privaten Endpunkt für den Tresor enthalten. Wenn Sie nicht verwaltete Datenträger in einer Zugriffssteuerungsliste (Access Control List, ACL) verwenden, stellen Sie sicher, dass das Speicherkonto, das die Datenträger enthält, den Zugriff auf vertrauenswürdige Microsoft-Dienste zulässt, wenn es sich in einer ACL befindet. |
| Azure Files-Sicherung | Eine Azure Files-Sicherung wird im lokalen Speicherkonto gespeichert. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung benötigt. |
| Geändertes virtuelles Netzwerk für einen privaten Endpunkt im Vault und in der virtuellen Maschine. | Beenden Sie den Sicherungsschutz, und konfigurieren Sie den Sicherungsschutz in einem neuen Tresor mit aktivierten privaten Endpunkten. |
Hinweis
Private Endpunkte werden nur mit DPM 2022, Microsoft Azure Backup Server (MABS) v4 und höher unterstützt.
Nicht unterstütztes Szenario
Bei Sicherungs- und Wiederherstellungsvorgängen ist ein für private Endpunkte aktivierter Recovery Services-Tresor nicht mit einem für private Endpunkte aktivierten Azure Key Vault für die Speicherung von CMKs in einem Recovery Services-Tresor kompatibel.
Unterschied bei Netzwerkverbindungen für private Endpunkte
Wie bereits erwähnt, sind private Endpunkte besonders nützlich für Sicherungen von Workloads (SQL Server und SAP HANA) in Azure-VMs und Sicherungen von MARS-Agents.
In allen Szenarien (mit oder ohne private Endpunkte) führen sowohl die Workloaderweiterungen (für die Sicherung von SQL Server- als auch SAP HANA-Instanzen, die in Azure-VMs ausgeführt werden) und der MARS-Agent Verbindungsaufrufe an Microsoft Entra ID aus. Sie führen die unter den Abschnitten 56 und 59 in Microsoft 365 Common und Office Online erwähnten Anrufe an FQDNs durch.
Zusätzlich zu diesen Verbindungen ist eine Verbindung mit den folgenden Domänen erforderlich, wenn die Workloaderweiterung oder der MARS-Agent für einen Recovery Services-Tresor ohne private Endpunkte installiert wird:
| Dienst | Domänenname | Hafen |
|---|---|---|
| Azure Datensicherung | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Gewähren Sie wie in diesem Artikel in den Abschnitten 56 und 59 beschrieben Zugriff auf FQDNs. |
443 Wie anwendbar |
Wenn die Workloaderweiterung oder der MARS-Agent für einen Recovery Services-Vault mit einem privaten Endpunkt installiert wird, sind die folgenden Endpunkte beteiligt:
| Dienst | Domänenname | Hafen |
|---|---|---|
| Azure Datensicherung | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Gewähren Sie wie in diesem Artikel in den Abschnitten 56 und 59 beschrieben Zugriff auf FQDNs. |
443 Wie anwendbar |
Hinweis
Im vorherigen Text <geo> bezieht sich auf den Regionscode (z eus . B. für Ost-USA und ne für Nordeuropa). Weitere Informationen zu den Regionscodes finden Sie in der folgenden Liste:
Um den MARS-Agent automatisch zu aktualisieren, erlauben Sie den Zugriff auf download.microsoft.com/download/MARSagent/*.
Bei einem Recovery Services-Tresor mit Einrichtung eines privaten Endpunkts sollte die Namensauflösung für die FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) eine private IP-Adresse zurückgeben. Sie können dies erreichen, indem Sie Folgendes verwenden:
- Azure Private DNS-Zonen.
- Benutzerdefiniertes DNS.
- DNS-Einträge in Hostdateien.
- Bedingte Weiterleitungen an Azure DNS- oder private Azure DNS-Zonen.
Die privaten IP-Zuordnungen für das Speicherkonto sind im privaten Endpunkt aufgeführt, der für den Recovery Services-Tresor erstellt wurde. Wir empfehlen die Verwendung von Azure Private DNS-Zonen, da Azure dann die DNS-Einträge für Blobs und Warteschlangen verwalten kann. Wenn dem Tresor neue Speicherkonten zugewiesen werden, wird der DNS-Eintrag für die private IP-Adresse automatisch zu den privaten Azure DNS-Zonen für den Blob oder die Warteschlange hinzugefügt.
Wenn Sie einen DNS-Proxyserver mithilfe von Proxyservern oder Firewalls von Drittanbietern konfiguriert haben, müssen die vorangehenden Domänennamen zulässig und zu einer der folgenden Optionen umgeleitet werden:
- Benutzerdefiniertes DNS mit DNS-Einträgen für die vorherigen FQDNs
- 168.63.129.16 im virtuellen Azure-Netzwerk, das private DNS-Zonen mit ihr verknüpft hat
Das folgende Beispiel zeigt, wie Azure Firewall als ein DNS-Proxy verwendet wird, um die Domänennamenabfragen für einen Recovery Services-Tresor, Blobs, Warteschlangen undMicrosoft Entra ID an die Adresse 168.63.129.16 umzuleiten.
Weitere Informationen finden Sie unter Erstellen und Verwenden privater Endpunkte.
Einrichten der Netzwerkkonnektivität für einen Tresor mit privaten Endpunkten
Der private Endpunkt für Wiederherstellungsdienste ist einer Netzwerkschnittstelle (Network Interface, NIC) zugeordnet. Damit private Endpunktverbindungen funktionieren, muss der gesamte Datenverkehr für den Azure-Dienst an die Netzwerkschnittstelle umgeleitet werden. Sie erreichen diese Umleitung, indem Sie die DNS-Zuordnung für private IP-Adressen, die der Netzwerkschnittstelle zugeordnet ist, zur Dienst-, Blob- oder Warteschlangen-URL hinzufügen.
Wenn Workload-Sicherungserweiterungen auf dem virtuellen Computer installiert werden, der in einem Wiederherstellungsdienstetresor mit einem privaten Endpunkt registriert ist, versucht die Erweiterung eine Verbindung mit der privaten URL der Azure Backup-Dienste: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Wenn die private URL nicht funktioniert, versucht die Erweiterung die öffentliche URL: <azure_backup_svc>.<geo>.backup.windowsazure.com. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Tresor als Aus allen Netzwerken zulassen konfiguriert ist, lässt der er die Anforderungen der Erweiterung über öffentliche URLs zu. Wenn der öffentliche Netzwerkzugriff für den Wiederherstellungsdiensttresor als Deny konfiguriert ist, weist der Wiederherstellungsdiensttresor die Anforderungen zurück, die von der Erweiterung über öffentliche URLs stammen.
Hinweis
In den vorangehenden Domänennamen bestimmt <geo> den Regionscode (z. B. eus für Ost-USA und ne für Nordeuropa). Weitere Informationen zu den Regionscodes finden Sie in der folgenden Liste:
Diese privaten URLs sind spezifisch für den Tresor. Nur Erweiterungen und Agents, die im Tresor registriert sind, können mit Azure Backup über diese Endpunkte kommunizieren. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Tresor als Verweigern konfiguriert ist, hindert diese Einstellung die nicht im virtuellen Netz ausgeführten Clients daran, die Sicherungs- und Wiederherstellungsvorgänge im Tresor anzufordern.
Es wird empfohlen, den öffentlichen Netzwerkzugriff zusammen mit der Einrichtung eines privaten Endpunkts auf Verweigern festzulegen. Da die Erweiterung und der Agent zunächst versuchen, die private URL zu verwenden, sollte die *.privatelink.<geo>.backup.windowsazure.com DNS-Auflösung der URL die entsprechende private IP zurückgeben, die dem privaten Endpunkt zugeordnet ist.
Die Lösungen für die DNS-Auflösung sind:
- Private Azure DNS-Zonen
- Benutzerdefinierter DNS
- DNS-Einträge in Hostdateien
- Bedingte Weiterleitungen an Azure DNS- oder Azure Private DNS-Zonen
Wenn Sie den privaten Endpunkt für Wiederherstellungsdienste über das Azure-Portal mit der Option "In private DNS-Zone integrieren " erstellen, werden die erforderlichen DNS-Einträge für private IP-Adressen für Azure Backup-Dienste (*.privatelink.<geo>backup.windowsazure.com) automatisch erstellt, wenn die Ressource zugewiesen wird. In anderen Lösungen müssen Sie die DNS-Einträge für diese FQDNs manuell im benutzerdefinierten DNS oder in den Hostdateien erstellen.
Die manuelle Verwaltung von DNS-Einträgen für Blobs und Warteschlangen nach der VM-Ermittlung für den Kommunikationskanal finden Sie unter DNS-Einträge für Blobs und Warteschlangen (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Registrierung. Die manuelle Verwaltung von DNS-Einträgen nach der ersten Sicherung für Speicherkonto-BLOBs finden Sie unter DNS-Einträge für Blobs (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Sicherung.
Sie finden die privaten IP-Adressen für die FQDNs im DNS-Konfigurationsbereich für den privaten Endpunkt, den Sie für den Recovery Services Vault erstellt haben.
Das folgende Diagramm zeigt, wie die Auflösung funktioniert, wenn Sie eine private DNS-Zone verwenden, um diese privaten Dienst-FQDNs aufzulösen.
Die Workloaderweiterung, die auf einer Azure-VM ausgeführt wird, erfordert eine Verbindung mit mindestens zwei Speicherkonten. Der erste wird als Kommunikationskanal über Warteschlangennachrichten verwendet. Der zweite dient zum Speichern von Sicherungsdaten. Der MARS-Agent benötigt Zugriff auf ein Speicherkonto, das zum Speichern von Sicherungsdaten verwendet wird.
Für einen privaten endpunktfähigen Tresor erstellt der Azure Backup-Dienst einen privaten Endpunkt für diese Speicherkonten. Diese Aktion verhindert, dass netzwerkbezogener Datenverkehr im Zusammenhang mit Azure Backup (Datenverkehr der Steuerungsebene zum Dienst und Sicherungsdaten zum Speicherblob) das virtuelle Netzwerk verlässt. Zusätzlich zu Azure Backup-Clouddiensten erfordern die Workloaderweiterung und der Agent eine Verbindung mit Azure Storage-Konten und Microsoft Entra ID.
Das folgende Diagramm zeigt, wie die Namensauflösung für Speicherkonten funktioniert, die eine private DNS-Zone verwenden.
Das folgende Diagramm zeigt, wie Sie eine regionsübergreifende Wiederherstellung über einen privaten Endpunkt durchführen können, indem Sie den privaten Endpunkt in einer sekundären Region replizieren. Erfahren Sie, wie Sie die regionsübergreifende Wiederherstellung in einem Tresor mit privatem Endpunkt ausführen.
