Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Azure Backup können Sie Ihre Daten aus Ihren Wiederherstellungsdiensten sichern und wiederherstellen, indem Sie private Endpunkte verwenden. Private Endpunkte verwenden eine oder mehrere private IP-Adressen aus Ihrem virtuellen Azure-Netzwerk, um den Dienst effektiv in Ihr virtuelles Netzwerk zu integrieren.
Dieser Artikel hilft Ihnen zu verstehen, wie private Endpunkte für Azure Backup in der Version 1-Erfahrung beim Erstellen privater Endpunkte funktionieren. Es stellt Szenarien bereit, in denen die Verwendung privater Endpunkte die Sicherheit Ihrer Ressourcen gewährleistet.
Azure Backup bietet auch eine Version 2-Erfahrung zum Erstellen und Verwenden privater Endpunkte. Weitere Informationen
Überlegungen vor Beginn
Sie können private Endpunkte nur für neue Recovery Services-Tresore erstellen, wenn keine Elemente im Tresor registriert sind. Sie müssen private Endpunkte erstellen, bevor Sie versuchen, Elemente im Tresor zu schützen. Private Endpunkte werden für Sicherungstresore derzeit jedoch nicht unterstützt.
Vom Kunden verwaltete Schlüssel (CMKs) mit einem netzwerkbeschränkten Schlüsseltresor werden von einem Tresor, der für private Endpunkte aktiviert ist, nicht unterstützt.
Ein virtuelles Netzwerk kann private Endpunkte für mehrere Recovery Services-Tresore enthalten. Außerdem kann ein Recovery Services-Datenspeicher über private Endpunkte in mehreren virtuellen Netzwerken verfügen. Sie können maximal 12 private Endpunkte für einen Tresor erstellen.
Wenn der Zugriff auf das öffentliche Netzwerk für den Tresor auf "Aus allen Netzwerken zulassen" festgelegt ist, ermöglicht der Tresor Sicherungen und Wiederherstellungen von jedem Computer, der im Tresor registriert ist. Wenn der Öffentliche Netzwerkzugriff für den Tresor auf "Verweigern" festgelegt ist, ermöglicht der Tresor Sicherungen und Wiederherstellungen nur von den Computern, die für den Tresor registriert sind, die Sicherungen/Wiederherstellungen über private IPs anfordern, die für den Tresor zugewiesen sind.
Eine private Endpunktverbindung für Azure Backup verwendet insgesamt 11 private IPs in Ihrem Subnetz, einschließlich der IPs, die Azure Backup für den Speicher verwendet. Diese Zahl ist für bestimmte Azure-Regionen möglicherweise höher. Es wird empfohlen, genügend private IPs (/25) zur Verfügung zu haben, wenn Sie versuchen, private Endpunkte für Azure Backup zu erstellen.
Obwohl sowohl Azure Backup als auch Azure Site Recovery einen Recovery Services-Tresor verwenden, wird in diesem Artikel die Verwendung privater Endpunkte nur für Azure Backup erläutert.
Private Endpunkte für Azure Backup enthalten keinen Zugriff auf Die Microsoft Entra-ID. Sie müssen separat Zugriff auf die Microsoft Entra-ID bereitstellen.
IPs und vollqualifizierte Domänennamen (FQDNs), die erforderlich sind, damit Microsoft Entra-ID in einer Region funktioniert, benötigen ausgehenden Zugriff auf das gesicherte Netzwerk, wenn Sie folgendes ausführen:
- Eine Sicherung von Datenbanken auf virtuellen Azure-Computern (VMs).
- Eine Sicherung, die den Microsoft Azure Recovery Services (MARS)-Agent verwendet.
Sie können auch NSG-Tags (Network Security Group) und Azure Firewall-Tags verwenden, um den Zugriff auf Microsoft Entra ID zu erlauben, wo zutreffend.
Sie müssen den Wiederherstellungsdienste-Ressourcenanbieter bei dem Abonnement erneut registrieren, wenn Sie ihn vor dem 1. Mai 2020 registriert haben. Um den Anbieter erneut zu registrieren, wechseln Sie imAzure-Portal zu Ihrem Abonnement, wechseln Sie im linken Menü zu "Ressourcenanbieter", und wählen Sie dann > Erneut registrieren" aus.
Die regionsübergreifende Wiederherstellung für SQL Server- und SAP HANA-Datenbanksicherungen wird nicht unterstützt, wenn der Tresor private Endpunkte aktiviert hat.
Wenn Sie einen Recovery Services-Tresor, der bereits private Endpunkte verwendet, in einen neuen Mandanten verschieben, müssen Sie den Tresor aktualisieren, um die verwaltete Identität des Tresors neu zu erstellen und zu konfigurieren. Erstellen Sie bei Bedarf private Endpunkte in dem neuen Mandanten. Wenn Sie diese Aufgaben nicht ausführen, schlägt der Sicherungs- und Wiederherstellungsvorgang fehl. Außerdem müssen alle azure-rollenbasierten Zugriffssteuerungsberechtigungen (Azure RBAC) innerhalb des Abonnements neu konfiguriert werden.
Empfohlene und unterstützte Szenarien
Während private Endpunkte für den Tresor aktiviert sind, werden sie nur für die Sicherung und Wiederherstellung von SQL Server- und SAP HANA-Workloads in einer Azure-VM, MARS-Agent-Sicherung und System Center Data Protection Manager (DPM) verwendet. Sie können den Tresor auch für die Sicherung anderer Workloads verwenden, obwohl sie keine privaten Endpunkte erfordern. Neben Sicherungen von SQL Server- und SAP HANA-Workloads und -Sicherungen über den MARS-Agent werden private Endpunkte verwendet, um dateiwiederherstellung für Azure VM-Sicherungen durchzuführen.
Die folgende Tabelle enthält weitere Informationen:
| Scenario | Empfehlungen |
|---|---|
| Sicherung von Workloads in einer Azure-VM (SQL Server, SAP HANA), Sicherung über MARS-Agent, DPM-Server | Wir empfehlen die Verwendung privater Endpunkte, um die Sicherung und Wiederherstellung zuzulassen, ohne einer Zulassungsliste alle IPs oder FQDNs für Azure Backup oder Azure Storage aus Ihren virtuellen Netzwerken hinzufügen zu müssen. Stellen Sie in diesem Szenario sicher, dass die VMs, die SQL-Datenbanken hosten, Microsoft Entra IP-Adressen oder FQDNs erreichen können. |
| Azure VM-Sicherung | Für eine VM-Sicherung müssen Sie keinen Zugriff auf IPs oder FQDNs zulassen. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung von Datenträgern benötigt. Die Dateiwiederherstellung aus einem Tresor, der private Endpunkte enthält, wäre jedoch auf virtuelle Netzwerke beschränkt, die einen privaten Endpunkt für den Tresor enthalten. Wenn Sie nicht verwaltete Datenträger in einer Zugriffssteuerungsliste (Access Control List, ACL) verwenden, stellen Sie sicher, dass das Speicherkonto, das die Datenträger enthält, den Zugriff auf vertrauenswürdige Microsoft-Dienste zulässt, wenn es sich in einer ACL befindet. |
| Azure Files-Sicherung | Eine Azure Files-Sicherung wird im lokalen Speicherkonto gespeichert. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung benötigt. |
| Virtuelles Netzwerk für einen privaten Endpunkt im Vault und in der virtuellen Maschine geändert | Beenden Sie den Sicherungsschutz, und konfigurieren Sie den Sicherungsschutz in einem neuen Tresor mit aktivierten privaten Endpunkten. |
Hinweis
Private Endpunkte werden nur mit DPM 2022, Microsoft Azure Backup Server (MABS) v4 und höher unterstützt.
Nicht unterstütztes Szenario
Für Sicherungs- und Wiederherstellungsvorgänge ist ein privater Endpunkt-aktivierter Recovery Services-Datenspeicher nicht mit einem privaten Endpunkt-aktivierten Azure-Schlüssel-Datenspeicher kompatibel, um CMKs in einem Recovery Services-Datenspeicher zu speichern.
Unterschied bei Netzwerkverbindungen für private Endpunkte
Wie bereits erwähnt, sind private Endpunkte besonders nützlich für Sicherungen von Workloads (SQL Server und SAP HANA) in Azure-VMs und Sicherungen von MARS-Agents.
In allen Szenarien (mit oder ohne private Endpunkte) führen sowohl die Workloaderweiterungen (für die Sicherung von SQL Server- als auch SAP HANA-Instanzen, die in Azure-VMs ausgeführt werden) und der MARS-Agent Verbindungsaufrufe an Microsoft Entra ID aus. Sie führen die unter den Abschnitten 56 und 59 in Microsoft 365 Common und Office Online erwähnten Anrufe an FQDNs durch.
Zusätzlich zu diesen Verbindungen ist eine Verbindung mit den folgenden Domänen erforderlich, wenn die Workloaderweiterung oder der MARS-Agent für einen Recovery Services-Tresor ohne private Endpunkte installiert wird:
| Dienst | Domänennamen | Hafen |
|---|---|---|
| Azure Datensicherung | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Ermöglichung des Zugangs zu FQDNs gemäß Abschnitten 56 und 59. |
443 Wie anwendbar |
Wenn die Workloaderweiterung oder der MARS-Agent für einen Recovery Services Vault mit einem privaten Endpunkt installiert wird, spielen die folgenden Endpunkte eine Rolle:
| Dienst | Domänennamen | Hafen |
|---|---|---|
| Azure Datensicherung | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Ermöglichung des Zugangs zu FQDNs gemäß Abschnitten 56 und 59. |
443 Wie anwendbar |
Hinweis
Im vorherigen Text <geo> bezieht sich auf den Regionscode (z eus . B. für Ost-USA und ne für Nordeuropa). Weitere Informationen zu den Regionscodes finden Sie in der folgenden Liste:
Um den MARS-Agent automatisch zu aktualisieren, erlauben Sie den Zugriff auf download.microsoft.com/download/MARSagent/*.
Bei einem Recovery Services-Tresor mit Einrichtung eines privaten Endpunkts sollte die Namensauflösung für die FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) eine private IP-Adresse zurückgeben. Sie können dies erreichen, indem Sie Folgendes verwenden:
- Azure Private DNS-Zonen.
- Benutzerdefiniertes DNS.
- DNS-Einträge in Hostdateien.
- Bedingte Weiterleitungen an Azure DNS- oder private Azure DNS-Zonen.
Die privaten Endpunkte für Blobs und Warteschlangen folgen einem standardbenennungsmuster. Sie beginnen mit <name of the private endpoint>_ecs oder <name of the private endpoint>_prot, und sie sind mit _blob und _queue (bzw.) suffixiert.
Hinweis
Es wird empfohlen, Azure Private DNS-Zonen zu verwenden. Sie ermöglichen es Ihnen, die DNS-Einträge für Blobs und Warteschlangen mithilfe von Azure Backup zu verwalten. Die dem Tresor zugewiesene verwaltete Identität wird verwendet, um das Hinzufügen von DNS-Einträgen zu automatisieren, wenn ein neues Speicherkonto für Sicherungsdaten zugewiesen wird.
Wenn Sie einen DNS-Proxyserver mithilfe von Proxyservern oder Firewalls von Drittanbietern konfiguriert haben, müssen die vorangehenden Domänennamen zulässig und zu einer der folgenden Optionen umgeleitet werden:
- Benutzerdefiniertes DNS mit DNS-Einträgen für die vorherigen FQDNs
- 168.63.129.16 im virtuellen Azure-Netzwerk, das private DNS-Zonen mit ihr verknüpft hat
Das folgende Beispiel zeigt, wie Azure Firewall als DNS-Proxy verwendet wird, um die Abfragen des Domänennamens für einen Recovery Services-Datenspeicher, einen Blob, Warteschlangen und eine Microsoft Entra ID an 168.63.129.16 umzuleiten.
Weitere Informationen finden Sie unter Erstellen und Verwenden privater Endpunkte.
Einrichten der Netzwerkkonnektivität für einen Tresor mit privaten Endpunkten
Der private Endpunkt für Wiederherstellungsdienste ist einer Netzwerkschnittstelle (Network Interface, NIC) zugeordnet. Damit private Endpunktverbindungen funktionieren, muss der gesamte Datenverkehr für den Azure-Dienst an die Netzwerkschnittstelle umgeleitet werden. Sie erreichen diese Umleitung, indem Sie die DNS-Zuordnung für private IP-Adressen, die der Netzwerkschnittstelle zugeordnet ist, zur Dienst-, Blob- oder Warteschlangen-URL hinzufügen.
Wenn Workload-Sicherungserweiterungen auf dem virtuellen Computer installiert werden, der in einem Wiederherstellungsdienstetresor mit einem privaten Endpunkt registriert ist, versucht die Erweiterung eine Verbindung mit der privaten URL der Azure Backup-Dienste: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Wenn die private URL nicht funktioniert, versucht die Erweiterung die öffentliche URL: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Hinweis
Im vorherigen Text <geo> bezieht sich auf den Regionscode (z eus . B. für Ost-USA und ne für Nordeuropa). Weitere Informationen zu den Regionscodes finden Sie in der folgenden Liste:
Diese privaten URLs sind spezifisch für den Tresor. Nur Erweiterungen und Agents, die im Tresor registriert sind, können mit Azure Backup über diese Endpunkte kommunizieren. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Datenspeicher als Deny konfiguriert ist, schränkt diese Einstellung die Clients, die sich nicht im virtuellen Netzwerk befinden, bei der Anforderung von Sicherungs- und Wiederherstellungsvorgängen auf dem Datenspeicher ein.
Es wird empfohlen, den öffentlichen Netzwerkzugriff zusammen mit der Einrichtung eines privaten Endpunkts auf Verweigern festzulegen. Da die Erweiterung und der Agent zunächst versuchen, die private URL zu verwenden, sollte die *.privatelink.<geo>.backup.windowsazure.com DNS-Auflösung der URL die entsprechende private IP zurückgeben, die dem privaten Endpunkt zugeordnet ist.
Die Lösungen für die DNS-Auflösung sind:
- Azure Private-DNS-Zonen
- Benutzerdefinierter DNS
- DNS-Einträge in Hostdateien
- Bedingte Weiterleitungen an Azure DNS- oder Azure Private DNS-Zonen
Wenn Sie den privaten Endpunkt für Wiederherstellungsdienste über das Azure-Portal mit der Option "In private DNS-Zone integrieren " erstellen, werden die erforderlichen DNS-Einträge für private IP-Adressen für Azure Backup-Dienste (*.privatelink.<geo>backup.windowsazure.com) automatisch erstellt, wenn die Ressource zugewiesen wird. In anderen Lösungen müssen Sie die DNS-Einträge für diese FQDNs manuell im benutzerdefinierten DNS oder in den Hostdateien erstellen.
Die manuelle Verwaltung von DNS-Einträgen für Blobs und Warteschlangen nach der VM-Ermittlung für den Kommunikationskanal finden Sie unter DNS-Einträge für Blobs und Warteschlangen (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Registrierung. Die manuelle Verwaltung von DNS-Einträgen nach der ersten Sicherung für Speicherkonto-BLOBs finden Sie unter DNS-Einträge für Blobs (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Sicherung.
Die privaten IP-Adressen für die FQDNs finden Sie im Fenster für den privaten Endpunkt, den Sie für den Recovery Services-Datenspeicher erstellt haben.
Das folgende Diagramm zeigt, wie die Auflösung funktioniert, wenn Sie eine private DNS-Zone verwenden, um diese privaten Dienst-FQDNs aufzulösen.
Die Workloaderweiterung, die auf einer Azure-VM ausgeführt wird, erfordert eine Verbindung mit mindestens zwei Speicherkonten. Der erste wird als Kommunikationskanal über Warteschlangennachrichten verwendet. Der zweite dient zum Speichern von Sicherungsdaten. Der MARS-Agent benötigt Zugriff auf ein Speicherkonto, das zum Speichern von Sicherungsdaten verwendet wird.
Für einen privaten endpunktfähigen Tresor erstellt der Azure Backup-Dienst einen privaten Endpunkt für diese Speicherkonten. Diese Aktion verhindert, dass jeglicher Netzwerkverkehr im Zusammenhang mit Azure Backup (Datenverkehr auf der Steuerebene zum Dienst und Sicherungsdaten zum Storage Blob) das virtuelle Netzwerk verlässt. Zusätzlich zu Azure Backup-Clouddiensten erfordern die Workloaderweiterung und der Agent eine Verbindung mit Azure Storage-Konten und Microsoft Entra ID.
Als Voraussetzung benötigt der Recovery Services-Vault Berechtigungen zum Erstellen zusätzlicher privater Endpunkte in derselben Ressourcengruppe. Außerdem wird empfohlen, dem Recovery Services-Vault die Berechtigungen, um DNS-Einträge in den privaten DNS-Zonen (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net) zu erstellen, bereitzustellen. Der Recovery Services-Datenspeicher sucht nach privaten DNS-Zonen in den Ressourcengruppen, in denen das virtuelle Netzwerk und der private Endpunkt erstellt werden. Wenn sie über die Berechtigungen zum Hinzufügen von DNS-Einträgen in diesen Zonen verfügt, werden diese Einträge erstellt. Andernfalls müssen Sie sie manuell erstellen.
Hinweis
Die Integration in private DNS-Zonen in verschiedenen Abonnements wird in dieser Umgebung nicht unterstützt.
Das folgende Diagramm zeigt, wie die Namensauflösung für Speicherkonten funktioniert, die eine private DNS-Zone verwenden.
