Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Com o Azure Backup, pode fazer backup e restaurar os seus dados a partir dos seus cofres de Serviços de Recuperação usando endpoints privados. Os endpoints privados utilizam um ou mais endereços IP privados da sua rede virtual Azure para trazer eficazmente o serviço para a sua rede virtual.
O Azure Backup agora oferece uma experiência de versão 2 para a criação e utilização de endpoints privados, em comparação com a experiência da versão 1.
Este artigo descreve como funcionam as capacidades da versão 2 dos endpoints privados para o Azure Backup e o ajudam a realizar backups mantendo a segurança dos seus recursos.
Principais melhorias
- Crie pontos de extremidade privados sem identidades gerenciadas.
- Não são criados endpoints privados para os serviços de blobs e filas.
- Use menos IPs privados.
Considerações antes de começar
Embora tanto o Azure Backup como o Azure Site Recovery utilizem um cofre de Serviços de Recuperação, este artigo discute o uso de endpoints privados apenas para o Azure Backup.
Chaves geridas pelo cliente (CMKs) com um cofre de chaves com restrição de acesso à rede não são suportadas num cofre ativado para endpoints privados.
Pode criar endpoints privados apenas para novos cofres de Serviços de Recuperação, desde que não existam itens registados no cofre. No entanto, atualmente não há suporte para pontos de extremidade privados em repositórios de backup.
Endpoints privados com IPs estáticos não são suportados na experiência da versão 2 devido à expansão dinâmica do IP. Embora a criação seja bem-sucedida, o registo pode falhar em cofres que já contêm itens protegidos.
A criação de múltiplos endpoints privados com o mesmo nome em cofres de Serviços de Recuperação não é suportada.
Não é possível atualizar cofres (que contêm endpoints privados) criados através da experiência da versão 1 para a experiência da versão 2. Podes eliminar todos os endpoints privados existentes e depois criar novos endpoints privados com a experiência da versão 2.
Uma rede virtual pode conter endpoints privados para vários cofres dos Serviços de Recuperação do Microsoft Azure. Além disso, um cofre de Serviços de Recuperação pode ter endpoints privados em várias redes virtuais. Pode-se criar um máximo de 12 endpoints privados para um cofre.
Um endpoint privado para um vault usa 10 IPs privados, e a contagem pode aumentar com o tempo. Recomendamos que tenha IPs privados suficientes (/25) disponíveis quando tentar criar endpoints privados para o Azure Backup.
Os endpoints privados para o Azure Backup não incluem acesso ao Microsoft Entra ID. Certifique-se de que ativa o acesso para que IPs e nomes de domínio totalmente qualificados (FQDNs) necessários para o Microsoft Entra ID funcionar numa região tenham acesso de saída num estado permitido na rede segura quando estiver a executar:
- Um backup de bases de dados em máquinas virtuais Azure (VMs).
- Um backup que utiliza o agente Microsoft Azure Recovery Services (MARS).
Também pode usar etiquetas de grupo de segurança de rede (NSG) e etiquetas Azure Firewall para permitir o acesso ao Microsoft Entra ID, conforme aplicável.
Deve voltar a registar o fornecedor de recursos dos Serviços de Recuperação na subscrição se o registou antes de 1 de maio de 2020. Para voltar a registar o fornecedor, vá à sua subscrição no portal Azure, vá a Fornecedor de Recursos no menu esquerdo e depois selecione Microsoft.RecoveryServices>para re-registar.
Você pode criar DNS entre assinaturas.
Podes criar um endpoint privado secundário antes ou depois de teres os itens protegidos no cofre. Aprenda a fazer a restauração inter-regional de um cofre habilitado para endpoint privado.
Cenários recomendados e suportados
Embora os endpoints privados estejam ativados para o vault, são usados apenas para backup e restauro de cargas de trabalho SQL Server e SAP HANA numa VM Azure, backup de agentes MARS e System Center Data Protection Manager (DPM). Também podes usar o vault para backup de outras cargas de trabalho, embora não exijam endpoints privados. Para além das cópias de segurança de cargas de trabalho do SQL Server e SAP HANA e backups via agente MARS, são usados endpoints privados para realizar a recuperação de ficheiros a partir dos backups de VMs do Azure.
A tabela a seguir lista os cenários e recomendações:
| Cenário | Recomendação |
|---|---|
| Backup de cargas de trabalho numa VM Azure (SQL Server, SAP HANA), backup via agente MARS, servidor DPM | Recomendamos a utilização de endpoints privados para permitir backup e restauro sem necessidade de adicionar à lista de autorizações IPs ou FQDNs para Azure Backup ou Azure Storage a partir das suas redes virtuais. Nesse cenário, certifique-se de que as VMs que hospedam bancos de dados SQL possam acessar IPs ou FQDNs do Microsoft Entra. |
| Cópias de segurança de VMs do Azure | Um backup de VM não exige que permitas o acesso a IPs ou FQDNs. Assim, não é necessário utilizar pontos de extremidade privados para o backup e a restauração de discos. No entanto, a recuperação de ficheiros a partir de um cofre que contenha pontos finais privados seria restrita a redes virtuais que contenham um ponto final privado para o cofre. Quando estiver a usar discos não geridos numa lista de controlo de acesso (ACL), certifique-se de que a conta de armazenamento que contém os discos permite o acesso a serviços Microsoft confiáveis se estiver numa ACL. |
| Backup de arquivos do Azure | Uma cópia de segurança Azure Files é armazenada na conta de armazenamento local. Portanto, não requer pontos de extremidade privados para backup e restauração. |
| Rede virtual alterada para um endpoint privado no vault e na máquina virtual | Pare a proteção de backup e configure a proteção de backup num novo cofre com endpoints privados ativados. |
Nota
Endpoints privados são suportados apenas com DPM 2022, Microsoft Azure Backup Server (MABS) v4 e versões posteriores.
Cenário sem suporte
Para operações de backup e restauro, um cofre de Serviços de Recuperação com endpoint privado não é compatível com um cofre de chaves do Azure com endpoint privado para armazenar CMKs num cofre de Serviços de Recuperação.
Diferença nas conexões de rede para pontos finais privados
Como mencionado anteriormente, os endpoints privados são especialmente úteis para backups de cargas de trabalho (SQL Server e SAP HANA) em VMs Azure e backups de agentes MARS.
Em todos os cenários (com ou sem endpoints privados), tanto as extensões de carga de trabalho (para backup de instâncias SQL Server e SAP HANA a correr dentro de VMs Azure) como o agente MARS efetuam chamadas de ligação ao Microsoft Entra ID. Fazem as chamadas para FQDNs referidas nas secções 56 e 59 do Microsoft 365 Common e Office Online.
Além das ligações mencionadas, quando a extensão de carga de trabalho ou o agente MARS é instalado para um cofre de Serviços de Recuperação que não tenha endpoints privados, é necessária conectividade aos seguintes domínios:
| Serviço | Nome de domínio | Porto |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir acesso aos FQDNs nos termos das seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Quando a extensão de carga de trabalho ou agente MARS é instalada para um cofre de Serviços de Recuperação com um endpoint privado, os seguintes endpoints estão envolvidos:
| Serviço | Nome de domínio | Porto |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir acesso aos FQDNs nos termos das seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Nota
No texto anterior, <geo> refere-se ao código regional (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, consulte a seguinte lista:
Para atualizar automaticamente o agente MARS, permita o acesso a download.microsoft.com/download/MARSagent/*.
Para um cofre dos Serviços de Recuperação com configuração de endpoint privado, a resolução de nomes dos FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve retornar um endereço IP privado. Pode conseguir isto utilizando:
- Azure Private DNS zones.
- DNS personalizado.
- Entradas DNS nos ficheiros do host.
- Encaminhadores condicionais para o Azure DNS ou zonas do Azure Private DNS.
Os mapeamentos de IP privados para a conta de armazenamento estão listados no ponto de extremidade privado criado para o Cofre de Serviços de Recuperação. Recomendamos o uso de zonas DNS privadas do Azure, porque o Azure pode assim gerir os registos DNS de blobs e filas. Quando novas contas de armazenamento são atribuídas à bóveda, o registo DNS dos seus endereços IP privados é adicionado automaticamente nas zonas DNS privadas do Azure para o blob ou fila.
Se configurou um servidor proxy DNS usando servidores proxy ou firewalls de terceiros, os nomes de domínio anteriores devem ser permitidos e redirecionados para uma destas opções:
- DNS personalizado que tem registos DNS para os FQDNs anteriores
- 168.63.129.16 na rede virtual Azure que tem zonas DNS privadas ligadas a ela
O exemplo seguinte mostra o Azure Firewall usado como proxy DNS para redirecionar as consultas de nomes de domínio para um cofre de Serviços de Recuperação, blob, filas e Microsoft Entra ID para 168.63.129.16.
Para mais informações, consulte Criar e usar endpoints privados.
Configuração de conectividade de rede para uma "vault" com pontos finais privados
O ponto de extremidade privado dos Serviços de Recuperação está associado a uma interface de rede (NIC). Para que as ligações de endpoint privados funcionem, todo o tráfego do serviço Azure deve ser redirecionado para a interface de rede. Pode conseguir este redirecionamento adicionando mapeamento DNS para IPs privados associados à interface de rede contra o URL do serviço, blob ou fila.
Quando as extensões de backup da carga de trabalho estão instaladas na máquina virtual registada em um cofre dos Serviços de Recuperação com um endpoint privado, a extensão tenta estabelecer uma ligação na URL privada dos serviços do Azure Backup: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Se a URL privada não funcionar, a extensão tenta a URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com. Se o acesso público à rede para o cofre de Serviços de Recuperação estiver configurado como Permitir de todas as redes, o cofre de Serviços de Recuperação permite os pedidos provenientes da extensão sobre URLs públicas. Se o acesso público à rede para o cofre de Serviços de Recuperação estiver configurado como Negar, o cofre de Serviços de Recuperação nega os pedidos provenientes da extensão por URLs públicas.
Nota
Nos nomes de domínio anteriores, <geo> determina o código regional (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, consulte a seguinte lista:
Essas URLs privadas são específicas para o cofre. Apenas extensões e agentes registados no vault podem comunicar com o Azure Backup através destes endpoints. Se o acesso público à rede para o cofre de Serviços de Recuperação estiver configurado como Negação, esta definição restringe os clientes que não estão a correr na rede virtual de solicitar operações de backup e restauro no cofre.
Recomendamos definir o acesso à rede pública para Negar, juntamente com a configuração de ponto final privado. À medida que a extensão e o agente tentam usar inicialmente a URL privada, a *.privatelink.<geo>.backup.windowsazure.com resolução DNS da URL deve devolver o IP privado correspondente associado ao endpoint privado.
As soluções para resolução de DNS são:
- Zonas de DNS Privado do Azure
- DNS Personalizado
- Entradas DNS em arquivos host
- Encaminhadores condicionais para Azure DNS ou zonas de Azure Private DNS
Quando cria o endpoint privado para os Serviços de Recuperação através do portal Azure com a opção Integrar com a zona DNS privada , as entradas DNS necessárias para endereços IP privados dos serviços de Backup Azure (*.privatelink.<geo>backup.windowsazure.com) são criadas automaticamente sempre que o recurso é alocado. Em outras soluções, você precisa criar as entradas DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos host.
Para a gestão manual dos registos DNS para blobs e filas após a descoberta da VM para o canal de comunicação, veja registos DNS para blobs e filas (apenas para servidores DNS personalizados/ficheiros host) após o primeiro registo. Para gerir os registos DNS manualmente após a primeira cópia de segurança dos blobs da conta de armazenamento de cópias de segurança, veja registos DNS para blobs (apenas para servidores DNS personalizados/ficheiros anfitriões) após a primeira cópia de segurança.
Podes encontrar os endereços IP privados dos FQDNs no painel de configuração DNS do endpoint privado que criaste para o cofre dos Serviços de Recuperação.
O diagrama seguinte mostra como funciona a resolução quando se usa uma zona DNS privada para resolver estes FQDNs de serviço privado.
A extensão da carga de trabalho a correr numa VM Azure requer uma ligação a pelo menos duas contas de armazenamento. O primeiro é usado como canal de comunicação, através de mensagens em fila. A segunda é para armazenar dados de backup. O agente MARS requer acesso a uma conta de armazenamento usada para armazenar dados de backup.
Para um cofre com endpoint privado, o serviço Azure Backup cria um endpoint privado para essas contas de armazenamento associadas. Esta ação impede que qualquer tráfego de rede relacionado com o Azure Backup (tráfego do plano de controlo para o serviço e dados de backup enviados para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão de carga de trabalho e o agente requerem conectividade com contas de Armazenamento do Azure e Microsoft Entra ID.
O diagrama seguinte mostra como funciona a resolução de nomes para contas de armazenamento que utilizam uma zona DNS privada.
O diagrama seguinte mostra como pode fazer a restauração inter-regional através de um endpoint privado, replicando o endpoint privado numa região secundária. Aprenda a fazer restauração entre regiões para um cofre habilitado para endpoint privado.
