Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o Backup do Azure, você pode realizar o backup e restaurar os seus dados dos cofres dos Serviços de Recuperação com segurança ao usar os pontos de extremidade privados. Os pontos de extremidade privados usam um ou mais endereços IP privados da sua rede virtual do Azure para integrar efetivamente o serviço à sua rede virtual.
O Backup do Azure agora oferece uma experiência de versão 2 para a criação e o uso de pontos de extremidade privados, em comparação com a experiência da versão 1.
Este artigo descreve como as capacidades da versão 2 dos pontos de extremidade privados do Backup do Azure funcionam e o ajudam a executar backups, mantendo a segurança de seus recursos.
Principais aprimoramentos
- Criação de pontos de extremidade privados sem identidades gerenciadas.
- Nenhum ponto de extremidade privado é criado para os serviços de blob e fila.
- Use menos IPs privados.
Considerações antes de começar
Embora o Backup do Azure e o Azure Site Recovery usem um cofre dos Serviços de Recuperação, este artigo aborda o uso de pontos de extremidade privados apenas para o Backup do Azure.
Não há suporte para chaves gerenciadas pelo cliente (CMKs) com um cofre de chaves restrito à rede com um cofre habilitado para pontos de extremidade privados.
Você poderá criar pontos de extremidade privados apenas para novos cofres dos Serviços de Recuperação, caso não haja nenhum item registrado no cofre. No entanto, os pontos de extremidade privados atualmente não tem suporte para os cofres de backup.
Os pontos de extremidade privados com IPs estáticos não têm suporte na experiência da versão 2 devido à expansão dinâmica do IP. Embora a criação seja bem-sucedida, o registro pode falhar para cofres que têm itens protegidos existentes.
A criação de vários pontos de extremidade privados com o mesmo nome em cofres dos Serviços de Recuperação não tem suporte.
Você não pode atualizar cofres (que contêm pontos de extremidade privados) criados por meio da experiência da versão 1 para a experiência da versão 2. Você pode excluir todos os pontos de extremidade privados existentes e criar novos pontos de extremidade privados com a experiência da versão 2.
Uma rede virtual pode conter pontos de extremidade privados para vários cofres dos Serviços de Recuperação. Além disso, um cofre dos Serviços de Recuperação pode ter pontos de extremidade privados em várias redes virtuais. Você pode criar no máximo 12 pontos de extremidade privados para um cofre.
Um ponto de extremidade privado de um cofre utiliza 10 IPs privados e a contagem pode aumentar ao longo do tempo. Nós sugerimos que você tenha IPs privados suficientes (/25) disponíveis ao tentar criar pontos de extremidade privados para Backup do Azure.
Os pontos de extremidade privados do Backup do Azure não incluem o acesso ao Microsoft Entra ID. Habilite o acesso para que os IPs e os FQDNs (nomes de domínio totalmente qualificados) necessários para que a Microsoft Entra ID funcione em uma região tenham acesso de saída em um estado permitido na rede protegida quando você estiver executando:
- Um backup de bancos de dados em VMs (máquinas virtuais) do Azure.
- Um backup que usa o agente dos Serviços de Recuperação do Microsoft Azure (MARS).
Você também pode usar tags NSG (grupo de segurança de rede) e tags do Firewall do Azure para permitir o acesso ao Microsoft Entra ID, conforme aplicável.
Você precisa registrar novamente o provedor de recursos dos Serviços de Recuperação com a assinatura, se tiver registrado o provedor antes de primeiro de maio de 2020. Para registrar novamente o provedor, acesse sua assinatura no portal do Azure, vá para o provedor de recursos no menu à esquerda e, em seguida, selecioneO Novo Registro>.
Você pode criar DNS entre assinaturas.
Você pode criar um ponto de extremidade privado secundário antes ou depois de ter protegido os itens no cofre. Saiba como realizar uma restauração cruzada entre regiões para um cofre com ponto de extremidade privado habilitado.
Cenários recomendados e compatíveis
Quando os pontos de extremidade privados são habilitados para o cofre, eles são usados para backup e restauração de workloads do SQL Server e do SAP HANA somente em uma VM do Azure, no backup do agente do MARS e System Center Data Protection Manager (DPM). Você também pode usar o cofre para o backup de outras workloads, mesmo que elas não precisem de pontos de extremidade privados. Além do backup das workloads do SQL e do SAP HANA e dos backups que usam o agente MARS, os pontos de extremidade privados também são usados para executar a recuperação de arquivos em caso de backup de VM do Azure.
A tabela a seguir lista os cenários e as recomendações:
| Cenário | Recomendação |
|---|---|
| Backup de cargas de trabalho em uma VM do Azure (SQL Server, SAP HANA), backup via agente MARS, servidor DPM | Nós recomendamos o uso de pontos de extremidade privados é recomendado para permitir backup e restauração sem a necessidade de adicionar a uma lista de permissões quaisquer IPs ou FQDNs para o Backup do Azure ou o Armazenamento do Microsoft Azure a partir das redes virtuais. Nesse cenário, verifique se as VMs que hospedam bancos de dados SQL podem alcançar IPs ou FQDNs do Microsoft Entra. |
| Backup da VM do Azure | Um backup de VM não exige que você permita o acesso a IPs ou FQDNs. Portanto, ele não requer pontos de extremidade privados para backup e restauração de discos. Porém, a recuperação de arquivos a partir de um cofre que contém pontos de extremidade privados é restrita a redes virtuais que contêm um ponto de extremidade privado para o cofre. Quando você estiver usando discos não gerenciados em uma ACL (lista de controle de acesso), verifique se a conta de armazenamento que contém os discos permite acesso a serviços confiáveis da Microsoft se estiver em uma ACL. |
| Backup dos Arquivos do Azure | Um backup dos Arquivos do Azure é armazenado na conta de armazenamento local. Portanto, o backup e restauração de discos não requer pontos de extremidade privados. |
| Rede virtual alterada para um ponto de extremidade privado no repositório e na máquina virtual. | Pare a proteção de backup e configure a proteção de backup em um novo cofre com os pontos de extremidade privados habilitados. |
Observação
Os pontos de extremidade privados têm suporte apenas com o DPM 2022, o Servidor do Backup do Microsoft Azure (MABS) v4 e posterior.
Cenário sem suporte
Para operações de backup e restauração, um cofre dos Serviços de Recuperação habilitado para ponto de extremidade privado não é compatível com um cofre de chaves do Azure habilitado para ponto de extremidade privado para armazenar CMKs em um cofre dos Serviços de Recuperação.
Diferença nas conexões de rede dos pontos de extremidade privados
Conforme mencionado anteriormente, os pontos de extremidade privados são especialmente úteis para backups de cargas de trabalho (SQL Server e SAP HANA) em VMs do Azure e backups de agentes MARS.
Em todos os cenários (com ou sem pontos de extremidade privados), as extensões de workload (para backup de instâncias do SQL Server e do SAP HANA em execução dentro de VMs do Azure) e o agente MARS fazem chamadas de conexão para a ID do Microsoft Entra. Eles fazem as chamadas para FQDNs mencionadas nas seções 56 e 59 no Microsoft 365 Common e no Office Online.
Além dessas conexões quando a extensão de workload ou o agente do MARS é instalado para o cofre dos Serviços de Recuperação sem pontos de extremidade privados, é obrigatória também a conectividade com os seguintes domínios:
| Serviço | Nome de domínio | Porta |
|---|---|---|
| Backup do Azure | *.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permita acesso ao FQDNs nas seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Quando a extensão de workload ou o agente do MARS é instalado no cofre dos Serviços de Recuperação com ponto de extremidade privado, os seguintes pontos de extremidade são envolvidos:
| Serviço | Nome de domínio | Porta |
|---|---|---|
| Backup do Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permita acesso ao FQDNs nas seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Observação
No texto anterior, <geo> refere-se ao código da região (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, confira a seguinte lista:
Para atualizar automaticamente o agente MARS, permita o acesso a download.microsoft.com/download/MARSagent/*.
No caso de um cofre dos Serviços de Recuperação com a configuração de ponto de extremidade privado, a resolução de nomes dos FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve retornar um endereço IP privado. Você pode fazer isso usando:
- Zonas DNS privadas do Azure.
- DNS personalizado.
- Entradas DNS em arquivos de host.
- Encaminhadores condicionais para zonas DNS do Azure ou de DNS privado do Azure.
Os mapeamentos de IP privados para a conta de armazenamento são listados no ponto de extremidade privado criado para o cofre dos Serviços de Recuperação. É recomendável usar zonas DNS privadas do Azure, pois o Azure pode gerenciar os registros DNS para blobs e filas. Quando novas contas de armazenamento são alocadas para o cofre, o registro DNS do seu IP privado é adicionado automaticamente no blob ou fila de zonas DNS Privadas do Azure.
Se você configurou um servidor proxy DNS usando servidores proxy de terceiros ou firewalls, os nomes de domínio anteriores devem ser permitidos e redirecionados para uma destas opções:
- DNS personalizado que tem registros DNS para os FQDNs anteriores
- 168.63.129.16 na rede virtual do Azure que tem zonas DNS privadas vinculadas a ela
O exemplo a seguir mostra o Firewall do Azure usado como um proxy DNS para redirecionar as consultas de nome de domínio para um cofre dos Serviços de Recuperação, de blob, de filas e do Microsoft Entra ID para 168.63.129.16.
Para mais informações, consulte Criar e usar endpoints privados.
Configuração de conectividade de rede para um cofre com pontos de extremidade privados
O ponto de extremidade privado para Serviços de Recuperação está associado a um adaptador de rede (NIC). Para que as conexões de ponto de extremidade privado funcionem, todo o tráfego para o serviço do Azure deve ser redirecionado para a interface de rede. Você pode realizar esse redirecionamento adicionando o mapeamento de DNS dos IPs privado associados ao adaptador de rede na URL de serviço, blob ou fila.
Quando as extensões de backup de workload são instaladas na máquina virtual registrada em um cofre dos Serviços de Recuperação com um ponto de extremidade privado, a extensão tenta uma conexão na URL privada dos serviços do Backup do Azure: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Se a URL privada não funcionar, a extensão tentará a URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com. Se o acesso à rede pública para o cofre dos Serviços de Recuperação estiver configurado como Permitir de todas as redes, o cofre dos Serviços de Recuperação permitirá as solicitações provenientes da extensão por meio de URLs públicas. Se o acesso à rede pública para o cofre dos Serviços de Recuperação estiver configurado como Negar, o cofre dos Serviços de Recuperação negará as solicitações provenientes da extensão por meio de URLs públicas.
Observação
Nos nomes de domínio anteriores, <geo> determina o código da região (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, confira a seguinte lista:
Essas URLs privadas são específicas do cofre. Somente extensões e agentes que estão registrados no cofre podem se comunicar com o Azure Backup nesses pontos de extremidade. Se o acesso à rede pública para o cofre dos Serviços de Recuperação estiver configurado como Negar, essa configuração restringirá os clientes que não estão em execução na rede virtual de solicitar operações de backup e restauração no cofre.
Recomendamos que o acesso à rede pública seja definido como Negar junto com a configuração do ponto de extremidade privado. À medida que a extensão e o agente tentam usar a URL privada inicialmente, a *.privatelink.<geo>.backup.windowsazure.com resolução DNS da URL deve retornar o IP privado correspondente associado ao ponto de extremidade privado.
As soluções para resolução DNS são:
- Zonas DNS privadas do Azure
- DNS Personalizado
- Entradas DNS em arquivos de host
- Encaminhadores condicionais para DNS do Azure ou zonas DNS Privadas do Azure
Quando você cria o ponto de extremidade privado para Serviços de Recuperação por meio do portal do Azure com a opção Integrar com zona DNS privada, as entradas DNS necessárias para endereços IP privados dos serviços de Backup do Azure (*.privatelink.<geo>backup.windowsazure.com) são criadas automaticamente sempre que o recurso é alocado. Em outras soluções, você precisa criar as entradas de DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos de host.
Para o gerenciamento manual de registros DNS após a descoberta da VM como o canal de comunicação para blob ou fila, confira Registros DNS para blobs e filas (somente para servidores DNS personalizados/arquivos de host) após o primeiro registro. Para o gerenciamento manual de registros DNS após o primeiro backup em blobs de conta de armazenamento de backup, confira Registros de DNS para blobs (somente para servidores DNS personalizados /arquivos de host) após o primeiro backup.
Você pode encontrar os endereços IP privados para os FQDNs no painel da Configuração de DNS para o ponto de extremidade privado que você criou para o cofre dos Serviços de Recuperação.
O diagrama a seguir mostra como a resolução funciona quando você usa uma zona DNS privada para resolver esses FQDNs de serviço privado.
A extensão de carga de trabalho em execução em uma VM do Azure requer uma conexão com pelo menos duas contas de armazenamento. O primeiro é usado como canal de comunicação, por meio de fila de mensagens. A segunda é para armazenar dados de backup. O agente MARS exige acesso a uma conta de armazenamento usada para armazenar dados de backup.
Para um cofre habilitado para ponto de extremidade privado, o serviço de Backup do Azure cria um ponto de extremidade privado para essas contas de armazenamento. Essa ação impede que qualquer tráfego de rede relacionado ao Backup do Azure (tráfego do plano de controle para o serviço e dados de backup para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão e o agente de carga de trabalho exigem conectividade com as Contas de Armazenamento do Azure e o Microsoft Entra ID.
O diagrama a seguir mostra como a resolução de nomes funciona para contas de armazenamento que usam uma zona DNS privada.
O diagrama a seguir mostra como você pode fazer a restauração entre regiões diferentes através de um ponto de extremidade privado, replicando o ponto de extremidade privado em uma região secundária. Saiba como fazer a restauração entre regiões em um cofre habilitado para ponto de extremidade privado.
