Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Com o Azure Backup, pode fazer backup e restaurar os seus dados a partir dos seus cofres de Serviços de Recuperação usando endpoints privados. Os endpoints privados utilizam um ou mais endereços IP privados da sua rede virtual Azure para trazer eficazmente o serviço para a sua rede virtual.
Este artigo ajuda-o a compreender como funcionam os endpoints privados para o Azure Backup na experiência da versão 1 de criar endpoints privados. Apresenta cenários em que a utilização de endpoints privados ajuda a manter a segurança dos seus recursos.
O Azure Backup também oferece uma experiência versão 2 para criar e usar endpoints privados. Mais informações.
Considerações antes de começar
Pode criar endpoints privados apenas para novos cofres de Serviços de Recuperação, desde que não existam itens registados no cofre. Tens de criar endpoints privados antes de tentares proteger quaisquer itens no cofre. Atualmente, os endpoints privados não são suportados para Cofres de Backup.
Chaves geridas pelo cliente (CMKs) com um cofre de chaves com restrição de acesso à rede não são suportadas num cofre ativado para endpoints privados.
Uma rede virtual pode conter endpoints privados para vários cofres dos Serviços de Recuperação do Microsoft Azure. Além disso, um cofre de Serviços de Recuperação pode ter endpoints privados em várias redes virtuais. Pode-se criar um máximo de 12 endpoints privados para um cofre.
Se o acesso de rede pública ao cofre estiver definido como Permitir de todas as redes, o cofre permite backups e restaurações de qualquer máquina registada no cofre. Se o acesso público à rede do cofre estiver definido para Negar, o cofre permite backups e restaurações apenas das máquinas registadas no cofre que solicitam backups/restauros através de IPs privados atribuídos ao cofre.
Uma ligação de endpoint privado para o Azure Backup utiliza um total de 11 IPs privados na sua subrede, incluindo os IPs que o Azure Backup utiliza para armazenamento. Este número pode ser maior para certas regiões do Azure. Recomendamos que tenha IPs privados suficientes (/25) disponíveis quando tentar criar endpoints privados para o Azure Backup.
Embora tanto o Azure Backup como o Azure Site Recovery utilizem um cofre de Serviços de Recuperação, este artigo discute o uso de endpoints privados apenas para o Azure Backup.
Os endpoints privados para o Azure Backup não incluem acesso ao Microsoft Entra ID. Precisa de fornecer acesso ao Microsoft Entra ID separadamente.
IPs e nomes de domínio totalmente qualificados (FQDNs) que são necessários para o Microsoft Entra ID funcionar numa região precisam de acesso de saída para ser autorizado a partir da rede segura quando está a executar:
- Um backup de bases de dados em máquinas virtuais Azure (VMs).
- Um backup que utiliza o agente Microsoft Azure Recovery Services (MARS).
Também pode usar etiquetas de grupo de segurança de rede (NSG) e etiquetas Azure Firewall para permitir o acesso ao Microsoft Entra ID, conforme aplicável.
Deve voltar a registar o fornecedor de recursos dos Serviços de Recuperação na subscrição se o registou antes de 1 de maio de 2020. Para voltar a registar o fornecedor, vá à sua subscrição no portal Azure, vá a Fornecedor de Recursos no menu esquerdo e depois selecione Microsoft.RecoveryServices>para re-registar.
A restauração entre regiões para backups de bases de dados SQL Server e SAP HANA não é suportada se o cofre tiver endpoints privados ativados.
Quando transferes um cofre de Serviços de Recuperação que já usa endpoints privados para um novo inquilino, precisas de atualizar o cofre de Serviços de Recuperação para recriar e reconfigurar a identidade gerida do cofre. Crie endpoints privados no novo tenant conforme necessário. Se não fizeres estas tarefas, as operações de backup e restauro começarão a falhar. Além disso, quaisquer permissões de controlo de acesso baseado em funções do Azure (Azure RBAC) configuradas dentro da subscrição precisam de ser reconfiguradas.
Cenários recomendados e suportados
Embora os endpoints privados estejam ativados para o vault, são usados apenas para backup e restauro de cargas de trabalho SQL Server e SAP HANA numa VM Azure, backup de agentes MARS e System Center Data Protection Manager (DPM). Também podes usar o vault para backup de outras cargas de trabalho, embora não exijam endpoints privados. Para além das cópias de segurança de cargas de trabalho do SQL Server e SAP HANA e backups via agente MARS, são usados endpoints privados para realizar a recuperação de ficheiros a partir dos backups de VMs do Azure.
A tabela seguinte fornece mais informações:
| Scenario | Recomendações |
|---|---|
| Backup de cargas de trabalho numa VM Azure (SQL Server, SAP HANA), backup via agente MARS, servidor DPM | Recomendamos a utilização de endpoints privados para permitir backup e restauro sem necessidade de adicionar à lista de autorizações IPs ou FQDNs para Azure Backup ou Azure Storage a partir das suas redes virtuais. Nesse cenário, certifique-se de que as VMs que hospedam bancos de dados SQL possam acessar IPs ou FQDNs do Microsoft Entra. |
| Cópias de segurança de VMs do Azure | Um backup de VM não exige que permitas o acesso a IPs ou FQDNs. Assim, não é necessário utilizar pontos de extremidade privados para o backup e a restauração de discos. No entanto, a recuperação de ficheiros a partir de um cofre que contenha pontos finais privados seria restrita a redes virtuais que contenham um ponto final privado para o cofre. Quando estiver a usar discos não geridos numa lista de controlo de acesso (ACL), certifique-se de que a conta de armazenamento que contém os discos permite o acesso a serviços Microsoft confiáveis se estiver numa ACL. |
| Backup de arquivos do Azure | Uma cópia de segurança Azure Files é armazenada na conta de armazenamento local. Portanto, não requer pontos de extremidade privados para backup e restauração. |
| Rede virtual alterada para um endpoint privado no vault e na máquina virtual | Pare a proteção de backup e configure a proteção de backup num novo cofre com endpoints privados ativados. |
Nota
Endpoints privados são suportados apenas com DPM 2022, Microsoft Azure Backup Server (MABS) v4 e versões posteriores.
Cenário sem suporte
Para operações de backup e restauro, um cofre de Serviços de Recuperação com endpoint privado não é compatível com um cofre de chaves do Azure com endpoint privado para armazenar CMKs num cofre de Serviços de Recuperação.
Diferença nas conexões de rede para pontos finais privados
Como mencionado anteriormente, os endpoints privados são especialmente úteis para backups de cargas de trabalho (SQL Server e SAP HANA) em VMs Azure e backups de agentes MARS.
Em todos os cenários (com ou sem endpoints privados), tanto as extensões de carga de trabalho (para backup de instâncias SQL Server e SAP HANA a correr dentro de VMs Azure) como o agente MARS efetuam chamadas de ligação ao Microsoft Entra ID. Fazem as chamadas para FQDNs referidas nas secções 56 e 59 do Microsoft 365 Common e Office Online.
Além destas ligações, quando a extensão de carga de trabalho ou o agente MARS é instalado num cofre de Serviços de Recuperação sem pontos finais privados, é necessária conectividade aos seguintes domínios:
| Serviço | Nomes de domínio | Porto |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir o acesso a FQDNs nos termos das secções 56 e 59. |
443 Conforme aplicável |
Quando a extensão de carga de trabalho ou agente MARS é instalada para um cofre de Serviços de Recuperação com um endpoint privado, os seguintes endpoints estão envolvidos:
| Serviço | Nomes de domínio | Porto |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Permitir o acesso a FQDNs nos termos das secções 56 e 59. |
443 Conforme aplicável |
Nota
No texto anterior, <geo> refere-se ao código regional (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, consulte a seguinte lista:
Para atualizar automaticamente o agente MARS, permita o acesso a download.microsoft.com/download/MARSagent/*.
Para um cofre dos Serviços de Recuperação com configuração de ponto final privado, a resolução de nomes para os FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve retornar um endereço IP privado. Pode conseguir isto utilizando:
- Azure Private DNS zones.
- DNS personalizado.
- Entradas DNS nos ficheiros do host.
- Encaminhadores condicionais para o Azure DNS ou zonas do Azure Private DNS.
Os endpoints privados para blobs e filas seguem um padrão de nomenclatura padrão. Começam por <name of the private endpoint>_ecs ou <name of the private endpoint>_prot, e são sufixados com _blob e _queue (respetivamente).
Nota
Recomendamos que utilize zonas DNS privadas do Azure. Eles permitem-te gerir os registos DNS de blobs e filas usando o Azure Backup. A identidade gerida atribuída ao cofre é usada para automatizar a adição de registos DNS sempre que uma nova conta de armazenamento é atribuída para dados de backup.
Se configurou um servidor proxy DNS usando servidores proxy ou firewalls de terceiros, os nomes de domínio anteriores devem ser permitidos e redirecionados para uma destas opções:
- DNS personalizado que tem registos DNS para os FQDNs anteriores
- 168.63.129.16 na rede virtual Azure que tem zonas DNS privadas ligadas a ela
O exemplo seguinte mostra o Azure Firewall usado como proxy DNS para redirecionar as consultas de nomes de domínio para um cofre de Serviços de Recuperação, blob, filas e Microsoft Entra ID para 168.63.129.16.
Para mais informações, consulte Criar e usar endpoints privados.
Configuração de conectividade de rede para uma "vault" com pontos finais privados
O ponto de extremidade privado dos Serviços de Recuperação está associado a uma interface de rede (NIC). Para que as ligações de endpoint privados funcionem, todo o tráfego do serviço Azure deve ser redirecionado para a interface de rede. Pode conseguir este redirecionamento adicionando mapeamento DNS para IPs privados associados à interface de rede contra o URL do serviço, blob ou fila.
Quando as extensões de backup da carga de trabalho estão instaladas na máquina virtual registada em um cofre dos Serviços de Recuperação com um endpoint privado, a extensão tenta estabelecer uma ligação na URL privada dos serviços do Azure Backup: <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Se a URL privada não funcionar, a extensão tenta a URL pública: <azure_backup_svc>.<geo>.backup.windowsazure.com.
Nota
No texto anterior, <geo> refere-se ao código regional (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, consulte a seguinte lista:
Estas URLs privadas são específicas para o cofre. Apenas extensões e agentes registados no vault podem comunicar com o Azure Backup através destes endpoints. Se o acesso público à rede para o cofre de Serviços de Recuperação estiver configurado como Negação, esta definição restringe os clientes que não estão a correr na rede virtual de solicitar operações de backup e restauro no cofre.
Recomendamos definir o acesso à rede pública para Negar, juntamente com a configuração de ponto final privado. À medida que a extensão e o agente tentam usar inicialmente a URL privada, a *.privatelink.<geo>.backup.windowsazure.com resolução DNS da URL deve devolver o IP privado correspondente associado ao endpoint privado.
As soluções para resolução de DNS são:
- Zonas de DNS Privado do Azure
- DNS Personalizado
- Entradas DNS em arquivos host
- Encaminhadores condicionais para Azure DNS ou zonas de Azure Private DNS
Quando cria o endpoint privado para os Serviços de Recuperação através do portal Azure com a opção Integrar com a zona DNS privada , as entradas DNS necessárias para endereços IP privados dos serviços de Backup Azure (*.privatelink.<geo>backup.windowsazure.com) são criadas automaticamente sempre que o recurso é alocado. Em outras soluções, você precisa criar as entradas DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos host.
Para a gestão manual dos registos DNS para blobs e filas após a descoberta da VM para o canal de comunicação, veja registos DNS para blobs e filas (apenas para servidores DNS personalizados/ficheiros host) após o primeiro registo. Para gerir os registos DNS manualmente após a primeira cópia de segurança dos blobs da conta de armazenamento de cópias de segurança, veja registos DNS para blobs (apenas para servidores DNS personalizados/ficheiros anfitriões) após a primeira cópia de segurança.
Pode encontrar os endereços IP privados dos FQDNs no painel do endpoint privado que criou para o cofre dos Serviços de Recuperação.
O diagrama seguinte mostra como funciona a resolução quando se usa uma zona DNS privada para resolver estes FQDNs de serviço privado.
A extensão da carga de trabalho a correr numa VM Azure requer uma ligação a pelo menos duas contas de armazenamento. O primeiro é usado como canal de comunicação, através de mensagens em fila. A segunda é para armazenar dados de backup. O agente MARS requer acesso a uma conta de armazenamento usada para armazenar dados de backup.
Para um cofre com endpoint privado, o serviço Azure Backup cria um endpoint privado para essas contas de armazenamento associadas. Esta ação impede que qualquer tráfego de rede relacionado com o Azure Backup (tráfego do plano de controlo para o serviço e dados de backup enviados para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão de carga de trabalho e o agente requerem conectividade com contas de Armazenamento do Azure e Microsoft Entra ID.
Como pré-requisito, o Cofre de Serviços de Recuperação requer permissões para criar endpoints privados adicionais no mesmo grupo de recursos. Também recomendamos conceder ao cofre dos Serviços de Recuperação as permissões para criar entradas DNS nas zonas DNS privadas (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). O cofre dos Serviços de Recuperação procura zonas DNS privadas nos grupos de recursos onde a rede virtual e o endpoint privado são criados. Se tiver permissões para adicionar entradas DNS nessas zonas, cria essas entradas. Caso contrário, tem de os criar manualmente.
Nota
A integração com zonas DNS privadas em diferentes subscrições não é suportada nesta experiência.
O diagrama seguinte mostra como funciona a resolução de nomes para contas de armazenamento que utilizam uma zona DNS privada.
