Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o Backup do Azure, você pode fazer backup e restaurar seus dados de seus cofres dos Serviços de Recuperação usando pontos de extremidade privados. Os pontos de extremidade privados usam um ou mais endereços IP privados de sua rede virtual do Azure para integrar efetivamente o serviço em sua rede virtual.
Este artigo ajuda você a entender como os pontos de extremidade privados do Backup do Azure funcionam na experiência da versão 1 da criação de pontos de extremidade privados. Ele apresenta cenários em que o uso de endpoints privados ajuda a manter a segurança dos seus recursos.
O Azure Backup também oferece uma experiência de versão 2 para a criação e uso de endpoints privados. Saiba mais.
Considerações antes de começar
Você poderá criar pontos de extremidade privados apenas para novos cofres dos Serviços de Recuperação, caso não haja nenhum item registrado no cofre. Você deve criar pontos de extremidade privados antes de tentar proteger todos os itens no cofre. No entanto, pontos de extremidade privados atualmente não são suportados para cofres de backup.
Não há suporte para chaves gerenciadas pelo cliente (CMKs) com um cofre de chaves restrito à rede com um cofre habilitado para pontos de extremidade privados.
Uma rede virtual pode conter pontos de extremidade privados para vários cofres dos Serviços de Recuperação. Além disso, um cofre dos Serviços de Recuperação pode ter pontos de extremidade privados em várias redes virtuais. Você pode criar no máximo 12 pontos de extremidade privados para um cofre.
Se o acesso à rede pública para o cofre estiver definido como Permitir de todas as redes, o cofre permite backups e restaurações de qualquer computador registrado no cofre. Se o acesso à rede pública para o cofre estiver definido como Negar, o cofre permitirá backups e restaurações somente dos computadores registrados no cofre que estão solicitando backups/restaurações por meio de IPs privados alocados para o cofre.
Uma conexão de ponto de extremidade privado para o Backup do Azure usa um total de 11 IPs privados em sua sub-rede, incluindo os IPs que o Backup do Azure usa para armazenamento. Esse número pode ser maior para determinadas regiões do Azure. Recomendamos que você tenha endereços IP privados suficientes (/25) disponíveis ao tentar criar endpoints privados para o Backup do Azure.
Embora o Backup do Azure e o Azure Site Recovery usem um cofre dos Serviços de Recuperação, este artigo aborda o uso de pontos de extremidade privados apenas para o Backup do Azure.
Os pontos de extremidade privados do Backup do Azure não incluem o acesso ao Microsoft Entra ID. Você precisa fornecer acesso ao Microsoft Entra ID separadamente.
Os IPs e os nomes de domínio totalmente qualificados (FQDNs) necessários para o Microsoft Entra ID funcionar em uma região precisam que o acesso de saída seja permitido na rede protegida quando você estiver executando:
- Um backup de bancos de dados em VMs (máquinas virtuais) do Azure.
- Um backup que usa o agente dos Serviços de Recuperação do Microsoft Azure (MARS).
Você também pode usar tags NSG (grupo de segurança de rede) e tags de Firewall do Azure para permitir o acesso ao Microsoft Entra ID, quando aplicável.
Você precisa registrar novamente o provedor de recursos do Recovery Services na assinatura se o tiver registrado antes de 1º de maio de 2020. Para registrar novamente o provedor, acesse sua assinatura no portal do Azure, vá para o provedor de recursos no menu à esquerda e, em seguida, selecioneO Novo Registro>.
A restauração entre regiões para backups de banco de dados do SQL e SAP HANA não é compatível, se o cofre tiver pontos de extremidade privados habilitados.
Ao mover um cofre dos Serviços de Recuperação que já está usando pontos de extremidade privados para um novo tenant, você precisa atualizar o cofre dos Serviços de Recuperação para recriar e reconfigurar a identidade gerenciada do cofre. Crie endpoints privados no novo tenant quando necessário. Se você não realizar essas tarefas, as operações de backup e restauração começarão a falhar. Além disso, todas as permissões de RBAC do Azure (controle de acesso baseado em função) do Azure configuradas na assinatura precisam ser reconfiguradas.
Cenários recomendados e compatíveis
Quando os pontos de extremidade privados são habilitados para o cofre, eles são usados para backup e restauração de workloads do SQL Server e do SAP HANA somente em uma VM do Azure, no backup do agente do MARS e System Center Data Protection Manager (DPM). Você também pode usar o cofre para o backup de outras workloads, mesmo que elas não precisem de pontos de extremidade privados. Além do backup das workloads do SQL e do SAP HANA e dos backups que usam o agente MARS, os pontos de extremidade privados também são usados para executar a recuperação de arquivos em caso de backup de VM do Azure.
A tabela a seguir fornece mais informações:
| Scenario | Recomendações |
|---|---|
| Backup de cargas de trabalho em uma VM do Azure (SQL Server, SAP HANA), backup via agente MARS, servidor DPM | Nós recomendamos o uso de pontos de extremidade privados é recomendado para permitir backup e restauração sem a necessidade de adicionar a uma lista de permissões quaisquer IPs ou FQDNs para o Backup do Azure ou o Armazenamento do Microsoft Azure a partir das redes virtuais. Nesse cenário, verifique se as VMs que hospedam bancos de dados SQL podem alcançar IPs ou FQDNs do Microsoft Entra. |
| Backup da VM do Azure | Um backup de VM não exige que você permita o acesso a IPs ou FQDNs. Portanto, ele não requer pontos de extremidade privados para backup e restauração de discos. Porém, a recuperação de arquivos a partir de um cofre que contém pontos de extremidade privados é restrita a redes virtuais que contêm um ponto de extremidade privado para o cofre. Quando você estiver usando discos não gerenciados em uma ACL (lista de controle de acesso), verifique se a conta de armazenamento que contém os discos permite acesso a serviços confiáveis da Microsoft se estiver em uma ACL. |
| Backup de Arquivos do Azure | Um backup dos Arquivos do Azure é armazenado na conta de armazenamento local. Portanto, o backup e restauração de discos não requer pontos de extremidade privados. |
| Rede virtual alterada para um ponto de extremidade privado no repositório e na máquina virtual. | Pare a proteção de backup e configure a proteção de backup em um novo cofre com os pontos de extremidade privados habilitados. |
Observação
Os pontos de extremidade privados têm suporte apenas com o DPM 2022, o Servidor do Backup do Microsoft Azure (MABS) v4 e posterior.
Cenário sem suporte
Para operações de backup e restauração, um cofre dos Serviços de Recuperação habilitado para ponto de extremidade privado não é compatível com um cofre de chaves do Azure habilitado para ponto de extremidade privado para armazenar CMKs em um cofre dos Serviços de Recuperação.
Diferença nas conexões de rede dos pontos de extremidade privados
Conforme mencionado anteriormente, os pontos de extremidade privados são especialmente úteis para os backups de cargas de trabalho (como SQL Server e SAP HANA) em VMs do Azure e para os backups dos agentes MARS.
Em todos os cenários (com ou sem pontos de extremidade privados), as extensões de workload (para backup de instâncias do SQL Server e do SAP HANA em execução dentro de VMs do Azure) e o agente MARS fazem chamadas de conexão para a ID do Microsoft Entra. Eles fazem as chamadas para FQDNs mencionadas nas seções 56 e 59 no Microsoft 365 Common e no Office Online.
Além dessas conexões quando a extensão de carga de trabalho ou o agente do MARS é instalado para o cofre dos Serviços de Recuperação sem pontos de extremidade privados, é obrigatória também a conectividade com os seguintes domínios:
| Serviço | Nomes de domínios | Porto |
|---|---|---|
| Backup do Azure | *.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir acesso aos FQDNs nas seções 56 e 59. |
443 Conforme aplicável |
Quando a extensão de workload ou o agente do MARS é instalado no cofre dos Serviços de Recuperação com ponto de extremidade privado, os seguintes pontos de extremidade são envolvidos:
| Serviço | Nomes de domínios | Porto |
|---|---|---|
| Backup do Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir acesso aos FQDNs nas seções 56 e 59. |
443 Conforme aplicável |
Observação
No texto anterior, <geo> refere-se ao código da região (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, confira a seguinte lista:
Para atualizar automaticamente o agente MARS, permita o acesso a download.microsoft.com/download/MARSagent/*.
No caso de um cofre dos Serviços de Recuperação com a configuração de ponto de extremidade privado, a resolução de nomes dos FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve retornar um endereço IP privado. Você pode fazer isso usando:
- Zonas DNS privadas do Azure.
- DNS personalizado.
- Entradas DNS em arquivos de host.
- Encaminhadores condicionais para zonas DNS do Azure ou de DNS privado do Azure.
Os pontos de extremidade privados para blobs e filas seguem um padrão de nomenclatura padrão. Eles começam com <name of the private endpoint>_ecs ou <name of the private endpoint>_prot, e terminam com _blob e _queue (respectivamente).
Observação
Recomendamos que você use zonas DNS privadas do Azure. Eles permitem que você gerencie os registros DNS para blobs e queues usando o Backup do Azure. A identidade gerenciada atribuída ao cofre é usada para automatizar a adição de registros DNS sempre que uma nova conta de armazenamento for alocada para dados de backup.
Se você configurou um servidor proxy DNS usando servidores proxy de terceiros ou firewalls, os nomes de domínio anteriores devem ser permitidos e redirecionados para uma destas opções:
- DNS personalizado com registros DNS para os FQDNs mencionados anteriormente
- 168.63.129.16 na rede virtual do Azure que tem zonas DNS privadas vinculadas a ela
O exemplo a seguir mostra o Firewall do Azure usado como um proxy DNS para redirecionar as consultas de nome de domínio para um cofre dos Serviços de Recuperação, de blob, de filas e do Microsoft Entra ID para 168.63.129.16.
Para obter mais informações, consulte Criar e usar endpoints privados.
Configuração de conectividade de rede para um vault com pontos de extremidade privados
O ponto de extremidade privado para Serviços de Recuperação está associado a um adaptador de rede (NIC). Para que as conexões de ponto de extremidade privado funcionem, todo o tráfego para o serviço do Azure deve ser redirecionado para a interface de rede. Você pode realizar esse redirecionamento adicionando o mapeamento de DNS dos IPs privado associados ao adaptador de rede na URL de serviço, blob ou fila.
Quando as extensões de backup de workload são instaladas na máquina virtual registrada em um cofre dos Serviços de Recuperação com um ponto de extremidade privado, a extensão tenta uma conexão na URL privada dos serviços do Backup do Azure: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Se a URL privada não funcionar, a extensão tentará a URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Observação
No texto anterior, <geo> refere-se ao código da região (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, confira a seguinte lista:
Essas URLs privadas são específicas do cofre. Somente extensões e agentes que estão registrados no cofre podem se comunicar com o Azure Backup nesses pontos de extremidade. Se o acesso à rede pública para o cofre dos Serviços de Recuperação estiver configurado como Negar, essa configuração restringirá os clientes que não estão em execução na rede virtual de solicitar operações de backup e restauração no cofre.
Recomendamos que o acesso à rede pública seja definido como Negar junto com a configuração do ponto de extremidade privado. À medida que a extensão e o agente tentam usar a URL privada inicialmente, a *.privatelink.<geo>.backup.windowsazure.com resolução DNS da URL deve retornar o IP privado correspondente associado ao ponto de extremidade privado.
As soluções para resolução DNS são:
- Zonas DNS privadas do Azure
- DNS Personalizado
- Entradas DNS em arquivos de host
- Encaminhadores condicionais para Azure DNS ou zonas de Azure Private DNS
Quando você cria o ponto de extremidade privado para os Serviços de Recuperação por meio do portal do Azure com a opção Integrar com zona DNS privada, as entradas DNS necessárias para os endereços IP privados dos serviços de Backup do Azure (*.privatelink.<geo>backup.windowsazure.com) são criadas automaticamente no momento em que o recurso é alocado. Em outras soluções, você precisa criar as entradas de DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos de host.
Para o gerenciamento manual de registros DNS após a descoberta da VM como o canal de comunicação para blob ou fila, confira Registros DNS para blobs e filas (somente para servidores DNS personalizados/arquivos de host) após o primeiro registro. Para o gerenciamento manual de registros DNS após o primeiro backup em blobs de conta de armazenamento de backup, confira Registros de DNS para blobs (somente para servidores DNS personalizados /arquivos de host) após o primeiro backup.
Você pode encontrar os endereços IP privados para os FQDNs no painel do ponto de extremidade privado que você criou para o cofre dos Serviços de Recuperação.
O diagrama a seguir mostra como a resolução funciona quando você usa uma zona DNS privada para resolver esses FQDNs de serviço privado.
A extensão de carga de trabalho em execução em uma VM do Azure requer uma conexão com pelo menos duas contas de armazenamento. O primeiro é usado como canal de comunicação, por meio de mensagens em fila. A segunda é para armazenar dados de backup. O agente MARS exige acesso a uma conta de armazenamento usada para armazenar dados de backup.
Para um cofre habilitado para ponto de extremidade privado, o serviço de Backup do Azure cria um ponto de extremidade privado para essas contas de armazenamento. Essa ação impede que um tráfego de rede relacionado ao Backup do Azure (tráfego do painel de controle para os dados do serviço e backup para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão e o agente de carga de trabalho exigem conectividade com as Contas de Armazenamento do Azure e o Microsoft Entra ID.
Como pré-requisito, o cofre dos Serviços de Recuperação exige permissões para criar pontos de extremidade privados adicionais no mesmo grupo de recursos. Também recomendamos conceder ao cofre dos Serviços de Recuperação permissões para criar entradas DNS nas zonas de DNS privado (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). O cofre dos Serviços de Recuperação pesquisa zonas de DNS privado nos grupos de recursos em que a rede virtual e o ponto de extremidade privado foram criados. Se ele tiver permissões para adicionar entradas DNS nessas zonas, ele criará essas entradas. Caso contrário, você deve criá-los manualmente.
Observação
A integração com zonas DNS privadas em assinaturas diferentes não tem suporte nessa experiência.
O diagrama a seguir mostra como a resolução de nomes funciona para contas de armazenamento que usam uma zona DNS privada.
