Udostępnij przez

Tworzenie i używanie prywatnych punktów końcowych (wersja 2) dla usługi Azure Backup

Usługa Azure Backup umożliwia bezpieczne wykonywanie operacji tworzenia i przywracania kopii zapasowych danych z magazynów usługi Recovery Services przy użyciu prywatnych punktów końcowych. Prywatne punkty końcowe używają co najmniej jednego prywatnego adresu IP z sieci wirtualnej platformy Azure (VNet), efektywnie włączając usługę do twojej sieci VNet.

Usługa Azure Backup zapewnia teraz ulepszone środowisko tworzenia i używania prywatnych punktów końcowych w porównaniu z środowiskiem klasycznym (wersja 1).

W tym artykule opisano sposób tworzenia prywatnych punktów końcowych dla usługi Azure Backup i zarządzania nimi w magazynie usługi Recovery Services.

Utwórz skarbiec dla Recovery Services

Tworzenie prywatnych punktów końcowych dla usługi Azure Backup jest możliwe tylko w przypadku magazynów usługi Recovery Services, które nie mają obecnie ani nie miały w przeszłości żadnych chronionych elementów, ani prób ich ochrony lub rejestracji. Dlatego zalecamy utworzenie nowego skarbca na potrzeby konfiguracji prywatnego punktu końcowego.

Aby uzyskać więcej informacji na temat tworzenia nowego skarbca, zobacz Tworzenie i konfigurowanie skarbca usługi Recovery Services. Jeśli jednak masz istniejące magazyny, które mają już utworzone prywatne punkty końcowe, możesz utworzyć ponownie prywatne punkty końcowe, korzystając z ulepszonego środowiska.

Zabroń dostępu do skarbca z publicznej sieci

Możesz skonfigurować swoje magazyny tak, aby odmawiały dostępu z sieci publicznych.

Wykonaj te kroki:

  1. Przejdź do vault>Networking.

  2. Na karcie Dostęp publiczny wybierz pozycję Odmów, aby uniemożliwić dostęp z sieci publicznych.

    Zrzut ekranu przedstawiający sposób wybierania opcji Odmów.

    Uwaga

    • Gdy odmawiasz dostępu, nadal możesz uzyskać dostęp do skarbca, ale nie możesz przenieść danych do/ze sieci, które nie zawierają prywatnych punktów końcowych. Aby uzyskać więcej informacji, zobacz Tworzenie prywatnych punktów końcowych dla usługi Azure Backup.
    • Jeśli dostęp publiczny zostanie odrzucony i prywatny punkt końcowy nie jest włączony, kopie zapasowe kończą się powodzeniem, ale operacje przywracania kończą się niepowodzeniem dla wszystkich obciążeń z wyjątkiem maszyn wirtualnych. Jednak odzyskiwanie na poziomie elementu maszyny wirtualnej również kończy się niepowodzeniem. Upewnij się, że ograniczenia sieci są dokładnie konfigurowane.

  3. Wybierz pozycję Zastosuj , aby zapisać zmiany.

Tworzenie prywatnych punktów końcowych dla usługi Azure Backup

Aby utworzyć prywatne punkty końcowe dla usługi Azure Backup, wykonaj następujące kroki:

  1. Przejdź do folderu *\vault , dla którego chcesz utworzyć prywatne punkty końcowe >Sieć.

  2. Przejdź do karty Dostęp prywatny i wybierz pozycję +Prywatny punkt końcowy , aby rozpocząć tworzenie nowego prywatnego punktu końcowego.

    Zrzut ekranu przedstawiający sposób rozpoczynania tworzenia nowego prywatnego punktu końcowego.

  3. Podczas tworzenia prywatnego punktu końcowego podaj wymagane szczegóły:

    a. Podstawowe informacje: podaj podstawowe informacje dotyczące prywatnych punktów końcowych. Region powinien być taki sam jak magazyn i zasób do utworzenia kopii zapasowej.

    Zrzut ekranu przedstawiający stronę Tworzenie prywatnego punktu końcowego w celu wprowadzenia szczegółów dotyczących tworzenia punktu końcowego.

    b. Zasób: na tej karcie wybierz zasób PaaS, dla którego chcesz utworzyć połączenie, a następnie wybierz pozycję Microsoft.RecoveryServices/vaults z typu zasobu dla wymaganej subskrypcji. Po zakończeniu wybierz nazwę magazynu usługi Recovery Services jako zasób i usługę AzureBackup jako podźródło Target.

    c. Sieć wirtualna: na tej karcie określ sieć wirtualną i podsieć, w której ma zostać utworzony prywatny punkt końcowy. Jest to sieć wirtualna, w której znajduje się maszyna wirtualna.

    d. DNS: Aby połączyć się prywatnie, potrzebne są wymagane rekordy DNS. Na podstawie konfiguracji sieci można wybrać jedną z następujących opcji:

    • Zintegruj prywatny punkt końcowy z prywatną strefą DNS: wybierz pozycję Tak, jeśli chcesz zintegrować.
    • Użyj niestandardowego serwera DNS: wybierz pozycję Nie, jeśli chcesz użyć własnego serwera DNS. e. Tagi: opcjonalnie możesz dodać tagi dla prywatnego punktu końcowego.

  4. Wybierz Przejrzyj i utwórz.

  5. Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Zatwierdź prywatne punkty końcowe

Jeśli tworzysz prywatny punkt końcowy jako właściciel magazynu usługi Recovery Services, ten, który utworzyłeś(aś), zostanie automatycznie zatwierdzony. W przeciwnym razie właściciel skarbca musi zatwierdzić prywatny punkt końcowy przed jego użyciem.

Aby ręcznie zatwierdzić prywatne punkty końcowe za pośrednictwem witryny Azure Portal, wykonaj następujące kroki:

  1. W swoim magazynie usługi Recovery Services przejdź do prywatnych połączeń punktu końcowego w okienku po lewej stronie.

  2. Wybierz połączenie prywatnego punktu końcowego, które chcesz zatwierdzić.

  3. Wybierz Zatwierdź.

    Zrzut ekranu przedstawiający sposób wybierania i zatwierdzania prywatnego punktu końcowego.

    Możesz również wybrać pozycję Odrzuć lub Usuń, jeśli chcesz odrzucić lub usunąć połączenie punktu końcowego.

Dowiedz się, jak ręcznie zatwierdzać prywatne punkty końcowe przy użyciu klienta usługi Azure Resource Manager do używania klienta usługi Azure Resource Manager do zatwierdzania prywatnych punktów końcowych.

Zarządzanie rekordami DNS

Rekordy DNS wymagane są w twoich prywatnych strefach DNS lub serwerach, aby połączyć się prywatnie. Możesz zintegrować prywatny punkt końcowy bezpośrednio z prywatnymi strefami DNS platformy Azure lub użyć niestandardowych serwerów DNS, aby to osiągnąć, na podstawie preferencji sieci. Należy to zrobić dla wszystkich trzech usług — Azure Backup, Azure Blobs i Queues.

Podczas integrowania prywatnych punktów końcowych z prywatnymi strefami DNS platformy Azure

Jeśli zdecydujesz się zintegrować prywatny punkt końcowy z prywatnymi strefami DNS, usługa Azure Backup doda wymagane rekordy DNS. Prywatne strefy DNS używane w konfiguracji DNS prywatnego punktu końcowego można wyświetlić. Jeśli te strefy DNS nie są obecne, zostaną utworzone automatycznie podczas tworzenia prywatnego punktu końcowego.

Należy jednak sprawdzić, czy sieć wirtualna (która zawiera zasoby do utworzenia kopii zapasowej) jest prawidłowo połączona ze wszystkimi trzema prywatnymi strefami DNS, jak opisano poniżej.

Uwaga

Jeśli używasz serwerów proxy, możesz pominąć serwer proxy lub wykonać kopie zapasowe za pośrednictwem serwera proxy. Aby pominąć serwer proxy, przejdź do poniższych sekcji. Aby używać serwera proxy do wykonywania kopii zapasowych, zobacz szczegóły konfiguracji serwera proxy dla skarbca Usług Odzyskiwania.

Dla każdej prywatnej strefy DNS na liście (dla usługi Azure Backup, obiektów blob i kolejek) przejdź do odpowiednich połączeń z siecią wirtualną.

Zostanie wyświetlony wpis dla sieci wirtualnej, dla której utworzono prywatny punkt końcowy. Jeśli nie widzisz wpisu, dodaj link do sieci wirtualnej do wszystkich tych stref DNS, które ich nie mają.

W przypadku korzystania z niestandardowego serwera DNS lub plików hosta

  • Jeśli używasz niestandardowego serwera DNS, możesz użyć warunkowego przekierowania dla usługi kopii zapasowej, blobów i kolejki FQDN, aby przekierować żądania DNS do Azure DNS (168.63.129.16). Usługa Azure DNS przekierowuje ją do strefy usługi Azure Prywatna strefa DNS. W takiej konfiguracji upewnij się, że istnieje łącze sieci wirtualnej dla strefy Azure Private DNS, jak wspomniano w tym artykule.

    W poniższej tabeli wymieniono prywatne strefy DNS Azure wymagane przez usługę Azure Backup:

    Strefa Usługa
    *.privatelink.<geo>.backup.windowsazure.com Backup
    *.blob.core.windows.net Blob
    *.queue.core.windows.net Kolejka
    *.storage.azure.net Blob

    Uwaga

    W powyższym tekście <geo> odwołuje się do kodu regionu (na przykład eus i ne dla regionu Wschodnie USA i Europa Północna). Zapoznaj się z następującymi listami kodów regionów:

  • Jeśli używasz niestandardowych serwerów DNS lub plików hostów i nie masz konfiguracji strefy usługi Azure Prywatna strefa DNS, musisz dodać rekordy DNS wymagane przez prywatne punkty końcowe do serwerów DNS lub w pliku hosta.

    Przejdź do utworzonego prywatnego punktu końcowego, a następnie przejdź do konfiguracji DNS. Następnie dodaj wpis dla każdej nazwy FQDN i adresu IP wyświetlanego jako typ A rekordów w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

Uwaga

Usługa Azure Backup może przydzielić nowe konto magazynu dla danych kopii zapasowej, a rozszerzenie lub agent musi uzyskać dostęp do odpowiednich punktów końcowych. Aby uzyskać więcej informacji na temat dodawania kolejnych rekordów DNS po rejestracji i kopii zapasowej, zobacz jak używać prywatnych punktów końcowych do tworzenia kopii zapasowych.

Używanie prywatnych punktów końcowych do tworzenia kopii zapasowej

Po zatwierdzeniu prywatnych punktów końcowych dla magazynu w sieci wirtualnej możesz rozpocząć korzystanie z nich do wykonywania kopii zapasowych i przywracania.

Ważne

Przed kontynuowaniem upewnij się, że zostały wykonane wszystkie kroki wymienione powyżej w dokumencie. Aby podsumować, należy wykonać kroki opisane na poniższej liście kontrolnej:

  1. Utworzono (nowy) sejf usługi Recovery Services.
  2. Włączono opcję użycia systemowej tożsamości zarządzanej dla magazynu.
  3. Utworzono prywatny punkt końcowy dla Twojego magazynu.
  4. Zatwierdzono prywatny punkt końcowy (jeśli nie został automatycznie zatwierdzony).
  5. Upewniono się, że wszystkie rekordy DNS zostały prawidłowo dodane (z wyjątkiem rekordów blob i kolejki dla serwerów niestandardowych, które zostaną omówione w poniższych sekcjach).

Sprawdzanie łączności z maszyną wirtualną

Na maszynie wirtualnej w zablokowanej sieci upewnij się, że:

  1. Maszyna wirtualna powinna mieć dostęp do identyfikatora Entra firmy Microsoft.
  2. Wykonaj polecenie nslookup na adresie URL kopii zapasowej (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z maszyny wirtualnej, aby zapewnić łączność. Powinno to zwrócić przydzielony w twojej wirtualnej sieci prywatny adres IP.

Konfigurowanie kopii zapasowych

Po upewnieniu się, że powyższa lista kontrolna została ukończona, a dostęp uzyskany, można kontynuować konfigurowanie kopii zapasowych obciążeń do sejfu. Jeśli używasz niestandardowego serwera DNS, musisz dodać wpisy DNS dla obiektów blobów i kolejek dostępnych po skonfigurowaniu pierwszej kopii zapasowej.

Rekordy DNS dla obiektów blob i kolejek (tylko dla niestandardowych serwerów DNS/plików hostów) po pierwszej rejestracji

Po skonfigurowaniu kopii zapasowej dla przynajmniej jednego zasobu w skarbcu z włączonym punktem końcowym prywatnym, dodaj wymagane rekordy DNS dla obiektów blob i kolejek, jak opisano poniżej.

  1. Przejdź do każdego z tych prywatnych punktów końcowych utworzonych dla magazynu i przejdź do konfiguracji DNS.

  2. Dodaj wpisy dla każdej nazwy FQDN i adresu IP, wyświetlanych jako rekordy typu A w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

    Oprócz powyższych, istnieje kolejny wpis potrzebny po pierwszej kopii zapasowej, który został omówiony tutaj.

Tworzenie kopii zapasowych i przywracanie obciążeń na maszynie wirtualnej platformy Azure (SQL i SAP HANA)

Po utworzeniu i zatwierdzeniu prywatnego punktu końcowego po stronie klienta nie są wymagane żadne inne zmiany w celu korzystania z prywatnego punktu końcowego (chyba że używasz grup dostępności SQL, które omówimy w dalszej części tej sekcji). Wszystkie komunikaty i transfery danych z Twojej zabezpieczonej sieci do skarbca będą realizowane przez prywatny punkt końcowy. Jeśli jednak usuniesz prywatne punkty końcowe sejfu po zarejestrowaniu w nim serwera (SQL lub SAP HANA), musisz ponownie zarejestrować kontener w sejfie. Nie musisz wstrzymywać ochrony dla nich.

Zapisy DNS dla danych typu blob (tylko dla niestandardowych serwerów DNS lub plików hosts) po wykonaniu pierwszej kopii zapasowej

Po uruchomieniu pierwszej kopii zapasowej i użyciu niestandardowego serwera DNS (bez przekazywania warunkowego) prawdopodobnie tworzenie kopii zapasowej zakończy się niepowodzeniem. W takim przypadku:

  1. Przejdź do prywatnego punktu końcowego utworzonego dla skarbca i następnie wejdź do konfiguracji DNS.

  2. Dodaj wpisy dla każdej nazwy FQDN i adresu IP, wyświetlanych jako rekordy typu A w systemie DNS.

    Jeśli używasz pliku hosta do rozpoznawania nazw, wprowadź odpowiednie wpisy w pliku hosta dla każdego adresu IP i nazwy FQDN zgodnie z formatem — <private ip><space><FQDN>.

Uwaga

W tym momencie powinieneś być w stanie uruchomić nslookup z maszyny wirtualnej (VM) i rozwiązać na prywatne adresy IP, gdy dotyczy to adresów URL kopii zapasowej i przechowywania w skarbcu.

W przypadku korzystania z grup dostępności SQL

Kiedy używasz grup dostępności SQL (AG), musisz skonfigurować warunkowe przekazywanie w niestandardowym DNS AG, jak opisano poniżej:

  1. Zaloguj się do kontrolera domeny.
  2. W aplikacji DNS dodaj przesyłaczy warunkowych dla wszystkich trzech stref DNS (Backup, Blobs i Queues) do hosta IP 168.63.129.16 lub niestandardowego adresu IP serwera DNS, w razie potrzeby. Poniższe zrzuty ekranu pokazują, kiedy przekazujesz na adres IP hosta Azure. Jeśli używasz własnego serwera DNS, zastąp ciąg adresem IP serwera DNS.

Tworzenie kopii zapasowej i przywracanie za pośrednictwem agenta MARS i serwera DPM

W przypadku tworzenia kopii zapasowej zasobów lokalnych przy użyciu agenta MARS upewnij się, że sieć lokalna (zawierająca zasoby do utworzenia kopii zapasowej) jest połączona z siecią wirtualną platformy Azure, która zawiera prywatny punkt końcowy dla skrytki, żeby móc z niej korzystać. Następnie możesz kontynuować instalowanie agenta MARS i konfigurować kopię zapasową zgodnie z opisem w tym miejscu. Należy jednak upewnić się, że cała komunikacja na potrzeby tworzenia kopii zapasowej odbywa się tylko za pośrednictwem sieci równorzędnej.

Jeśli usuniesz prywatne punkty końcowe dla skarbca po zarejestrowaniu na nim agenta MARS, będziesz musiał ponownie zarejestrować kontener w skarbcu. Nie musisz wstrzymywać ochrony dla nich.

Uwaga

  • Prywatne punkty końcowe są obsługiwane tylko w programie DPM Server 2022 (10.22.123.0) i nowszych wersjach.
  • Prywatne punkty końcowe są obsługiwane tylko w wersji 4 usługi MABS (14.0.30.0) i nowszych.

Aby automatycznie zaktualizować agenta MARS, zezwól na dostęp do download.microsoft.com/download/MARSagent/*.

Przywracanie subskrypcji do magazynu z włączonym prywatnym punktem końcowym

Aby wykonać przywracanie pomiędzy subskrypcjami do skarbca z włączonym prywatnym punktem końcowym:

  1. W źródłowym skarbcu usługi Recovery Services przejdź do karty Sieci.

  2. Przejdź do sekcji Dostęp prywatny i utwórz prywatne punkty końcowe.

  3. Wybierz subskrypcję docelowego magazynu, w którym chcesz odtworzyć dane.

  4. W sekcji Sieć wirtualna wybierz sieć wirtualną docelowej maszyny wirtualnej, którą chcesz przywrócić w ramach subskrypcji.

  5. Utwórz prywatny punkt końcowy i wyzwól proces przywracania.

    Uwaga

    W sekcji DNS upewnij się, że maszyna wirtualna w subskrypcji docelowej może rozpoznawać nazwy DNS skojarzone z nowym prywatnym punktem końcowym. Aby umożliwić dostęp do zasobu, utwórz prywatny punkt końcowy dla docelowej maszyny wirtualnej. Aby rozpoznawanie nazw DNS działało poprawnie, wybierz prywatną strefę DNS inną niż ta używana w oryginalnej subskrypcji skarbca. Ponowne użycie tej samej strefy DNS zastępuje istniejące wpisy.

Przywracanie między regionami do skarbca z włączonym prywatnym punktem końcowym

Można utworzyć pomocniczy prywatny punkt końcowy przed lub po dodaniu chronionych elementów w magazynie.

Aby przywrócić dane w różnych regionach do magazynu z włączonym prywatnym punktem końcowym, wykonaj następujące kroki:

  1. Przejdź do docelowego magazynu Recovery Services>ustawień>sieci i upewnij się, że prywatny punkt końcowy jest tworzony z docelową siecią wirtualną maszyny wirtualnej przed ochroną jakichkolwiek elementów.

    Jeśli prywatny punkt końcowy nie jest włączony, włącz go.

  2. Na karcie Dostęp prywatny utwórz prywatne punkty końcowe w regionie pomocniczym.

    Zrzut ekranu przedstawia sposób tworzenia prywatnych punktów końcowych w regionie pomocniczym.

  3. W bloku Tworzenie prywatnego punktu końcowego na karcie Podstawy wybierz region jako region zapasowy docelowej maszyny wirtualnej, do której chcesz wykonać operację przywracania między regionami.

    Zrzut ekranu przedstawiający sposób wybierania regionu przywracania do regionu pomocniczego.

  4. Na karcie zasób wybierz zasób podrzędny docelowy jako AzureBackup_Secondary.

    Zrzut ekranu przedstawiający sposób wybierania zasobu podrzędnego jako pomocniczego usługi Azure Backup.

  5. Na ostrzu Virtual Network wybierz Virtual Network docelowej maszyny wirtualnej, do której chcesz przeprowadzić operację Cross Region Restore.

    Zrzut ekranu pokazuje, jak wybrać sieć wirtualną docelowej maszyny wirtualnej na potrzeby przywracania między regionami.

    Uwaga

    Do skarbca można dodać maksymalnie 12 podrzędnych prywatnych punktów końcowych Azure Backup.

  6. Utwórz prywatny punkt końcowy i rozpocznij proces przywracania z pomocniczego regionu.

Usuwanie prywatnych punktów końcowych

Aby usunąć prywatne punkty końcowe przy użyciu interfejsu API REST, zobacz tę sekcję.

Następne kroki

  • Last updated on