使用 Azure Backup,你可以透過 私人端點備份並還原復原服務保險庫中的資料。 私人端點會使用來自 Azure 虛擬網路的一個或多個私人 IP 位址,有效地將服務帶入虛擬網路。
Azure Backup 現在提供第二版的私有端點建立與使用體驗,相較於 第一版的體驗。
本文說明 Azure Backup 私有端點的第 2 版功能如何運作,並協助你在維護資源安全的同時執行備份。
主要增強功能
- 建立無需受控識別的私人端點。
- Blob 和佇列服務不會建立私人端點。
- 減少使用私人 IP。
開始前的考量
雖然 Azure Backup 和 Azure Site Recovery 都使用 Recovery Services Vault 系統,但本文僅討論 Azure Backup 使用私有端點的情況。
客戶管理的金鑰(CMK)若有網路限制金鑰庫,則不支援已啟用私有端點的金庫。
只有在沒有項目註冊到保管庫時,您才能為新的復原服務保管庫建立私有端點。 不過,Azure 備份保存庫目前不支援私人端點。
由於動態 IP 擴充,版本 2 體驗中不支援帶有靜態 IP 的私有端點。 雖然創建已成功,但對於已經有受保護項目的儲存庫,註冊可能會失敗。
在復原服務保管庫中建立多個具有相同名稱的私有端點不是被支援的功能。
你無法將透過版本 1 建立的 vault(包含私有端點)升級到 版本 2 的體驗。 你可以刪除所有現有的私有端點,然後用版本 2 的體驗建立新的私有端點。
一個虛擬網路可以包含多個復原服務保存庫的私人端點。 此外,一個 Recovery Services Vault 可以在多個虛擬網路中擁有私用端點。 你最多只能為一個保險庫建立 12 個私人端點。
一個保險庫的專用端點會使用 10 個專用 IP 位址,且數量可能會隨時間增加。 我們建議您在嘗試為 Azure Backup 建立私有端點時,擁有足夠的私有 IP(/25)。
Azure Backup 的私人端點不包含 Microsoft Entra ID 的存取權限。 確保你啟用存取權限,使得 Microsoft Entra ID 在區域內運作所需的 IP 和完全合格的網域名稱(FQDN)在安全網路中以允許狀態獲得出站存取權限:
- Azure 虛擬機(VM)中的資料庫備份。
- 一個使用 Microsoft Azure Recovery Services(MARS)代理程式的備份。
你也可以使用網路安全群組(NSG)標籤和 Azure 防火牆標籤來允許存取 Microsoft Entra ID(視情況而定)。
如果您是在 2020 年 5 月 1 日之前註冊的,則需要使用此訂閱來重新註冊 Recovery Services 資源提供者。 要重新註冊提供者,請前往 Azure 入口網站中的訂閱,選擇左側選單的 資源提供者,然後選擇 Microsoft.RecoveryServices> 並點選 重新註冊。
您可以跨訂閱建立 DNS。
你可以在保險庫中有受保護的項目之前或之後建立次要的私人端點。 學習如何在啟用私有端點的保險庫中,執行跨區域還原。
建議和支援的案例
雖然 vault 啟用了私有端點,但它們僅用於 Azure VM、MARS 代理備份及 System Center Data Protection Manager(DPM)中 SQL Server 與 SAP HANA 工作負載的備份與還原。 你也可以用 Vault 備份其他工作負載,雖然不需要私有端點。 除了 SQL Server 與 SAP HANA 工作負載的備份,以及透過 MARS 代理的備份外,私有端點也用於執行 Azure VM 備份的檔案復原。
下表列出案例和建議:
| 狀況 | 建議 |
|---|---|
| 備份 Azure 虛擬機(SQL Server、SAP HANA)工作負載,透過 MARS 代理備份,DPM 伺服器 | 我們建議使用私有端點來進行備份與還原,這樣就不需要將來自您的虛擬網路的任何 Azure Backup 或 Azure Storage 的 IP 或 FQDN 加入允許清單。 在該案例中,請確定裝載 SQL 資料庫的 VM 可以連線至 Microsoft Entra IP 或 FQDN。 |
| Azure VM 備份 | 虛擬機備份不需要你允許存取任何 IP 或 FQDN。 因此不需要使用私人端點來備份和還原磁碟。 然而,從包含私人端點的保險庫中進行檔案復原,則僅限於包含該保險庫私有端點的虛擬網路。 當你在存取控制清單(ACL)中使用非管理磁碟時,請確保包含磁碟的儲存帳號如果在 ACL 中,允許存取受信任的 Microsoft 服務。 |
| Azure 檔案儲存體備份 | Azure Files 備份會儲存在本地儲存帳號中。 因此不需要使用私人端點來進行備份和還原。 |
| 將虛擬網路改為保險庫和虛擬機中的私有端點 | 停止備份保護,並在啟用私人端點的新保險庫中設定備份保護。 |
附註
私有端點僅支援 DPM 2022、Microsoft Azure Backup Server (MABS) v4 及之後版本。
不支援的案例
在備份和還原作業中,啟用私有端點的復原服務保存庫無法與同樣啟用私有端點的 Azure 金鑰保存庫搭配使用,將 CMK 存放於復原服務保存庫中。
私人端點的網路連線差異
如前所述,私有端點對於備份 Azure VM 中的工作負載(SQL Server 和 SAP HANA)以及 MARS 代理程式的備份特別有用。
在所有情境中(無論有無私有端點),工作負載擴充(用於備份在 Azure VM 中運行的 SQL Server 和 SAP HANA 實例)以及 MARS 代理都會呼叫 Microsoft Entra ID。 他們撥打 Microsoft 365 Common 和 Office Online 中第 56 和第 59 條所提到的 FQDN。
除了這些連線外,當為無私有端點的復原服務保存庫安裝工作負載擴充或 MARS 代理時,還需連接以下網域:
| 服務 | 網域名稱 | 連接埠 |
|---|---|---|
| Azure 備份 | *.backup.windowsazure.com |
443 |
| Azure 儲存體 | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 依據這篇文章,允許存取 56 和 59 小節下的 FQDN。 |
443 依適用情況 |
當工作負載擴展或 MARS 代理程式安裝在擁有私人端點的復原服務保存庫時,以下端點將涉及:
| 服務 | 網域名稱 | 連接埠 |
|---|---|---|
| Azure 備份 | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure 儲存體 | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 依據這篇文章,允許存取 56 和 59 小節下的 FQDN。 |
443 依適用情況 |
要自動更新 MARS 代理,請允許存取 download.microsoft.com/download/MARSagent/*。
針對具有私人端點設定的復原服務保存庫,FQDN (privatelink.<geo>.backup.windowsazure.com、*.blob.core.windows.net、*.queue.core.windows.net、*.blob.storage.azure.net) 的名稱解析應該會傳回私人 IP 位址。 你可以透過以下方法達成:
- Azure Private DNS 區域。
- 自訂DNS。
- 主機檔案中的 DNS 條目。
- 以 Azure DNS 或 Azure 私人 DNS 區域為目的地的條件式轉送。
儲存體帳戶的私人 IP 對應會列在為復原服務保存庫建立的私人端點中。 我們建議使用 Azure Private DNS 區域,因為 Azure 可以管理 blob 和佇列的 DNS 紀錄。 當新的儲存帳戶被分配用於保險庫時,其私有 IP 位址的 DNS 記錄會自動新增至 Azure Private DNS 區域中的 blob 或佇列。
如果你是透過第三方代理伺服器或防火牆來設定 DNS 代理伺服器,必須允許前述網域名稱並導向以下選項之一:
- 自訂 DNS 包含前述 FQDN 的 DNS 紀錄
- 168.63.129.16 在 Azure 虛擬網路上,該網路有私有 DNS 區域連結
以下範例顯示使用 Azure 防火牆作為 DNS 代理,將 Recovery Services 保險庫、blob、佇列及 Microsoft Entra ID 的網域名稱查詢重新導向至 168.63.129.16。
欲了解更多資訊,請參閱 建立並使用私有端點。
擁有私有端點的保險庫網路連接設置
復原服務的私人端點會與網路介面 (NIC) 相關聯。 為了讓私有端點連線正常運作,所有 Azure 服務的流量都必須重新導向到網路介面。 你可以透過為與網路介面相關的私有 IP 加入 DNS 映射,針對服務、blob 或佇列 URL 來實現這個重定向。
當工作負載備份擴充功能安裝在註冊於 Recovery Services 保險庫並擁有私人端點的虛擬機器上時,該擴充功能會嘗試透過 Azure Backup 服務的私人 URL 連線。 <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
如果私有 URL 無法使用,擴充功能會嘗試使用公開 URL: <azure_backup_svc>.<geo>.backup.windowsazure.com。 如果恢復服務保險庫的公共網路存取設定為 「允許所有網路」,則恢復服務保險庫允許透過公開網址從擴充功能發出的請求。 如果恢復服務保險庫的公共網路存取設定為 拒絕,恢復服務保險庫會拒絕來自擴充套件的公開網址請求。
這些私人 URL 專屬於保存庫。 只有註冊在保險庫的擴充功能和代理程式,才能透過這些端點與 Azure Backup 通訊。 如果恢復服務保險庫的公共網路存取設定為 拒絕,這個設定會限制不在虛擬網路中執行的客戶端從保險庫請求備份與還原操作。
建議您將公用網路存取設定為 [拒絕] 並設定私人端點。 當擴充功能和代理程式最初嘗試使用私有 URL 時, *.privatelink.<geo>.backup.windowsazure.com 該 URL 的 DNS 解析應該會回傳與私有端點相關的對應私有 IP。
DNS 解析的解決方案如下:
- Azure 私人 DNS 區域
- 自訂 DNS
- 主機檔案中的 DNS 項目
- 條件轉發器到 Azure DNS 或 Azure Private DNS zones
當你透過 Azure 入口網站的「 整合私有 DNS 區域 」選項建立復原服務的私人端點時,Azure 備份服務所需的私人 IP 位址 DNS*.privatelink.<geo>backup.windowsazure.com 條目會在資源分配時自動建立。 在其他解決方案中,您需在自訂 DNS 或主機檔案中,手動為這些 FQDN 建立 DNS 項目。
關於在虛擬機發現通訊通道後,手動管理 blobs 與佇列的 DNS 紀錄,請參見 首次註冊後的 DNS 紀錄(僅限自訂 DNS 伺服器/主機檔案)。 關於第一次備份後手動管理備份儲存帳戶的 blob 的 DNS 記錄,請參見 第一次備份後的 DNS 紀錄(僅限自訂 DNS 伺服器/主機檔案)。
你可以在你為復原服務保險庫建立的私有端點的 DNS 設定 面板中找到 FQDN 的私有 IP 位址。
下圖展示了使用私有 DNS 區域來解析這些私有服務 FQDN 時,解析的運作方式。
在 Azure VM 上執行的工作負載擴充功能需要至少連接兩個儲存帳號。 第一種用於通訊通道,透過佇列訊息。 第二個是用來儲存備份資料。 MARS 代理程式需要存取用來儲存備份資料的一個儲存體帳戶。
對於啟用私有端點的保險庫,Azure Backup 服務會為相關儲存帳戶建立一個私有端點。 此動作防止任何與 Azure Backup 相關的網路流量(控制平面流量至服務,備份資料至儲存區資料)離開虛擬網路。 除了 Azure 備份雲端服務之外,工作負載延伸模組和代理程式還需要連線到 Azure 儲存體帳戶和 Microsoft Entra ID。
下圖顯示使用私有 DNS 區域的儲存帳號名稱解析的運作方式。
以下圖示展示了如何在次要區域複製私有端點來進行跨區還原。 學習如何跨區域還原至啟用私有端點的保險庫。
