Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con Azure Backup, puede realizar copias de seguridad y restaurar los datos desde los almacenes de Recovery Services mediante puntos de conexión privados. Los puntos de conexión privados usan una o varias direcciones IP privadas de la red virtual de Azure para incorporar eficazmente el servicio a la red virtual.
Azure Backup ahora proporciona una experiencia de versión 2 para la creación y el uso de puntos de conexión privados, en comparación con la experiencia de la versión 1.
En este artículo se describe cómo las funcionalidades de la versión 2 de los puntos de conexión privados para la función de Azure Backup y le ayudan a realizar copias de seguridad al tiempo que mantiene la seguridad de los recursos.
Mejoras clave
- Creación de puntos de conexión privados sin identidades administradas.
- No se crean puntos de conexión privados para los servicios de blob y cola.
- Use menos direcciones IP privadas.
Consideraciones antes de empezar
Aunque Tanto Azure Backup como Azure Site Recovery usan un almacén de Recovery Services, en este artículo se describe el uso de puntos de conexión privados solo para Azure Backup.
Las claves administradas por el cliente (CMK) con un almacén de claves con restricción de red no se admiten con un almacén de claves que esté habilitado para puntos de conexión privados.
Solo puede crear puntos de conexión privados para nuevos almacenes de Recovery Services si no hay ningún elemento registrado en el almacén. Sin embargo, actualmente no se admiten puntos de conexión privados para almacenes de Backup.
Los puntos de conexión privados con direcciones IP estáticas no se admiten en la experiencia de la versión 2 debido a la expansión dinámica de IP. Aunque la creación se realiza correctamente, el registro podría fallar en los almacenes que tienen elementos protegidos existentes.
No se admite la creación de varios puntos de conexión privados con el mismo nombre en los almacenes de Recovery Services.
No se pueden actualizar los almacenes (que incluyan puntos de conexión privados) creados en la interfaz de la versión 1 para la de la versión 2. Puede eliminar todos los puntos de conexión privados existentes y, a continuación, crear nuevos puntos de conexión privados con la experiencia de la versión 2.
Una red virtual puede contener puntos de conexión privados para varios almacenes de Recovery Services. Además, un Recovery Services vault puede tener puntos de conexión privados en varias redes virtuales. Puede crear un máximo de 12 puntos de conexión privados en un almacén.
Un punto de conexión privado para un almacén usa 10 direcciones IP privadas y el recuento puede aumentar con el tiempo. Se recomienda tener suficientes direcciones IP privadas (/25) disponibles al intentar crear puntos de conexión privados para Azure Backup.
Los puntos de conexión privados para Azure Backup no incluyen el acceso al identificador de Microsoft Entra. Asegúrese de habilitar el acceso para que las direcciones IP y los nombres de dominio completos (FQDN) necesarios para que el identificador de Microsoft Entra funcione en una región tengan acceso saliente en un estado permitido en la red protegida cuando realice lo siguiente:
- Copia de seguridad de bases de datos en máquinas virtuales (VM) de Azure.
- Copia de seguridad que utiliza el agente de Microsoft Azure Recovery Services (MARS).
También puede usar etiquetas de grupo de seguridad de red (NSG) y etiquetas de Azure Firewall para permitir el acceso a Microsoft Entra ID, según corresponda.
Debe volver a registrar el proveedor de recursos de Recovery Services con la suscripción si lo registró antes del 1 de mayo de 2020. Para volver a registrar el proveedor, vaya a su suscripción en el portal de Azure, acceda a Proveedor de recursos en el menú de la izquierda y luego seleccione Microsoft.RecoveryServices>Volver a registrar.
Puede crear DNS entre suscripciones.
Puede crear un punto de conexión privado secundario antes o después de haber protegido elementos en el almacén. Conozca cómo realizar la restauración en varias regiones de un almacén habilitado con puntos de conexión privados.
Escenarios recomendados y admitidos
Aunque los puntos de conexión privados están habilitados para el almacén, solo se usan para la copia de seguridad y restauración de las cargas de trabajo de SQL Server y SAP HANA en una máquina virtual de Azure, en las copias de seguridad del agente de MARS y en System Center Data Protection Manager (DPM). También puede usar el almacén para realizar copias de seguridad de otras cargas de trabajo, aunque no requerirán los puntos de conexión privados. Además de las copias de seguridad de cargas de trabajo y copias de seguridad de SQL Server y SAP HANA a través del agente de MARS, los puntos de conexión privados se usan para realizar la recuperación de archivos para las copias de seguridad de máquinas virtuales de Azure.
En la tabla siguiente se enumeran los escenarios y recomendaciones:
| Escenario | Recomendación |
|---|---|
| Copia de seguridad de cargas de trabajo en una máquina virtual de Azure (SQL Server, SAP HANA), copia de seguridad a través del agente de MARS, servidor DPM | Se recomienda utilizar puntos de conexión privados para permitir la copia de seguridad y la restauración sin necesidad de añadir direcciones IP o FQDN de Azure Backup o Azure Storage a una lista de permitidos desde sus redes virtuales. En ese escenario, asegúrese de que las máquinas virtuales que hospedan las bases de datos SQL pueden comunicarse con direcciones IP o FQDN de Microsoft Entra. |
| Copia de seguridad de máquina virtual de Azure | Una copia de seguridad de máquina virtual no requiere que permita el acceso a direcciones IP o FQDN. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración de discos. Sin embargo, el proceso de recuperación de archivos desde una bóveda que contiene puntos de conexión privados se restringiría a las redes virtuales que contienen un punto de conexión privado para la bóveda. Cuando use discos no administrados en una lista de control de acceso (ACL), asegúrese de que la cuenta de almacenamiento que contiene los discos permite el acceso a servicios de Microsoft de confianza si está en una ACL. |
| Copia de seguridad de Azure Files | Una copia de seguridad de Azure Files se almacena en la cuenta de almacenamiento local. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración. |
| Se ha cambiado la red virtual de un punto de conexión privado en el almacén y la máquina virtual | Detenga la protección de copia de seguridad y configure la copia de seguridad en un nuevo almacén con puntos de conexión privados habilitados. |
Nota:
Los puntos de conexión privados solo se admiten con DPM 2022, Microsoft Azure Backup Server (MABS) v4 y versiones posteriores.
Escenario no admitido
Para las operaciones de copia de seguridad y restauración, una bóveda de Recovery Services habilitada para un punto de conexión privado no es compatible con una bóveda de claves de Azure habilitada para un punto de conexión privado para almacenar las claves de cifrado (CMK) en una bóveda de Recovery Services.
Diferencia en las conexiones de red para puntos de conexión privados
Como se mencionó anteriormente, los puntos de conexión privados son especialmente útiles para las copias de seguridad de cargas de trabajo (SQL Server y SAP HANA) en máquinas virtuales de Azure y copias de seguridad de agentes de MARS.
En todos los escenarios (con o sin puntos de conexión privados), las extensiones de carga de trabajo (para la copia de seguridad de instancias de SQL Server y SAP HANA que se ejecutan dentro de máquinas virtuales de Azure) y el agente de MARS realizan llamadas de conexión al identificador de Microsoft Entra. Realizan las llamadas a FQDN mencionadas en las secciones 56 y 59 de Microsoft 365 Common y Office Online.
Además de estas conexiones, cuando se instala la extensión de carga de trabajo o el agente de MARS para una bóveda de Recovery Services sin puntos de conexión privados, se requiere conectividad con los siguientes dominios:
| Servicio | Nombre de dominio | Puerto |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59 según este artículo. |
443 Según corresponda |
Cuando se instala la extensión de carga de trabajo o el agente MARS para un almacén de Recovery Services con un punto de conexión privado, intervienen los siguientes puntos de conexión:
| Servicio | Nombre de dominio | Puerto |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59 según este artículo. |
443 Según corresponda |
Nota:
En el texto anterior, <geo> hace referencia al código de región (por ejemplo, eus para Este de EE. UU. y ne Norte de Europa). Para obtener más información sobre los códigos de región, consulte la lista siguiente:
Para actualizar automáticamente el agente de MARS, permita el acceso a download.microsoft.com/download/MARSagent/*.
Sin embargo, para un almacén de Recovery Services con la configuración de punto de conexión privado, la resolución de nombres para el FQDN (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) debe devolver una dirección IP privada. Puede lograrlo mediante:
- Zonas DNS privadas de Azure.
- DNS personalizado.
- Entradas DNS en archivos host.
- Reenviadores condicionales a Azure DNS o zonas de Azure DNS privado.
Las asignaciones de IP privadas para la cuenta de almacenamiento se enumeran en el punto de conexión privado creado para el almacén de Recovery Services. Se recomienda usar zonas DNS privadas de Azure, ya que Azure puede administrar los registros DNS para blobs y colas. Cuando se asignan nuevas cuentas de almacenamiento para el almacén, el registro DNS de su dirección IP privada se añade automáticamente a las zonas DNS privadas de Azure para el blob o la cola.
Si configuró un servidor proxy DNS mediante servidores proxy de terceros o firewalls, los nombres de dominio anteriores deben permitirse y redirigirse a una de estas opciones:
- DNS personalizado que tiene registros DNS para los FQDN anteriores
- 168.63.129.16 en la red virtual de Azure que tiene zonas DNS privadas vinculadas a ella
En el siguiente ejemplo se ve cómo se usa Azure Firewall como proxy DNS para redirigir las consultas de nombres de dominio para un almacén de Recovery Services, blob, colas y Microsoft Entra ID a 168.63.129.16.
Para obtener más información, consulte Creación y uso de puntos de conexión privados.
Configuración de conectividad de red para una bóveda con puntos de conexión privados
El punto de conexión privado para los servicios de recuperación está asociado a una interfaz de red (NIC). Para que las conexiones de punto de conexión privado funcionen, todo el tráfico del servicio de Azure debe redirigirse a la interfaz de red. Para realizar este redireccionamiento, añada la asignación de DNS para las direcciones IP privadas asociadas a la interfaz de red en la dirección URL de servicio, blob o cola.
Cuando las extensiones de copia de seguridad de cargas de trabajo se instalan en la máquina virtual registrada en un almacén de Recovery Services con un punto de conexión privado, la extensión realizará la conexión en la dirección URL privada de los servicios de Azure Backup: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Si la dirección URL privada no funciona, la extensión intenta la dirección URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com. Si el acceso a la red pública para el almacén de Recovery Services está configurado como Permitir desde todas las redes, el almacén de Recovery Services permite las solicitudes procedentes de la extensión a través de direcciones URL públicas. Si el acceso a la red pública para el almacén de Recovery Services está configurado como Denegar, el almacén de Recovery Services deniega las solicitudes procedentes de la extensión a través de direcciones URL públicas.
Nota:
En los nombres de dominio anteriores, <geo> determina el código de región (por ejemplo, eus para Este de EE. UU. y ne para Norte de Europa). Para obtener más información sobre los códigos de región, consulte la lista siguiente:
Estas direcciones URL privadas son específicas del almacén. Solo las extensiones y los agentes que estén registrados en el almacén pueden comunicarse con Azure Backup a través de estos puntos de conexión. Si el acceso a la red pública para la bóveda de Servicios de Recuperación está configurado como Denegar, esta configuración restringe a los clientes que no se ejecutan en la red virtual de solicitar operaciones de copia de seguridad y restauración en la bóveda.
Se recomienda establecer el acceso a la red pública en Denegar, junto con la configuración del punto de conexión privado. Como la extensión y el agente intentan usar inicialmente la dirección URL privada, la *.privatelink.<geo>.backup.windowsazure.com resolución DNS de la dirección URL debe devolver la dirección IP privada correspondiente asociada al punto de conexión privado.
Las soluciones para la resolución DNS son:
- Zonas DNS privadas de Azure
- DNS personalizado
- Entradas DNS en archivos host
- Reenviadores condicionales a Azure DNS o zonas DNS privadas de Azure
Al crear el punto de conexión privado para Recovery Services a través de Azure Portal con la opción Integrar con zona DNS privada , las entradas DNS necesarias para las direcciones IP privadas para los servicios de Azure Backup (*.privatelink.<geo>backup.windowsazure.com) se crean automáticamente cada vez que se asigna el recurso. En otras soluciones, es necesario crear manualmente las entradas DNS para estos FQDN en el DNS personalizado o en los archivos host.
Para la administración manual de registros DNS de blobs y colas tras la detección de la máquina virtual en el canal de comunicación, consulte Registros DNS de blobs y colas (solo para servidores DNS personalizados o archivos host) después del primer registro. Para la administración manual de registros DNS tras la primera copia de seguridad de blobs de la cuenta de almacenamiento de copia de seguridad, consulte Registros DNS de blobs (solo para servidores DNS personalizados o archivos host) después de la primera copia de seguridad.
Puede encontrar las direcciones IP privadas de los FQDN en el panel Configuración de DNS del punto de conexión privado que creó para el almacén de Recovery Services.
En el diagrama siguiente se muestra cómo funciona la resolución cuando se usa una zona DNS privada para resolver estos FQDN de servicio privado.
La extensión de carga de trabajo que se ejecuta en una máquina virtual de Azure requiere una conexión con al menos dos cuentas de almacenamiento. La primera se usa como canal de comunicación, a través de mensajes de cola. La segunda consiste en almacenar datos de copia de seguridad. El agente de MARS requiere acceso a una cuenta de almacenamiento que se usa para almacenar los datos de copia de seguridad.
En el caso de un almacén habilitado con puntos de conexión privados, el servicio de Azure Backup crea un punto de conexión privado para estas cuentas de almacenamiento. Esta acción impide que cualquier tráfico de red relacionado con Azure Backup (tráfico del plano de control al servicio y los datos de copia de seguridad en el blob de almacenamiento) salga de la red virtual. Además de los servicios en la nube de Azure Backup, la extensión de carga de trabajo y el agente requieren conectividad con las cuentas de Azure Storage y Microsoft Entra ID.
En el diagrama siguiente se muestra cómo funciona la resolución de nombres para las cuentas de almacenamiento que usan una zona DNS privada.
En el diagrama siguiente se muestra cómo puede realizar la restauración entre regiones a través de un punto de conexión privado mediante la replicación del punto de conexión privado en una región secundaria. Descubra cómo realizar una restauración en varias regiones en un almacén habilitado con punto de conexión privado.
