Vytvoření a použití privátních koncových bodů pro Azure Backup

Tento článek poskytuje informace o procesu vytváření privátních koncových bodů pro Azure Backup a scénářů, kde soukromé koncové body pomůžou zajistit zabezpečení vašich prostředků.

Než začnete

Než budete pokračovat v vytváření privátních koncových bodů, ujistěte se, že jste si přečetli požadavky a podporované scénáře .

Tyto podrobnosti vám pomůžou pochopit omezení a podmínky, které je potřeba splnit před vytvořením privátních koncových bodů pro vaše trezory.

Začínáme s vytvářením privátních koncových bodů pro zálohování

Následující části popisují kroky týkající se vytváření a používání privátních koncových bodů pro Azure Backup v rámci virtuálních sítí.

Důležité

Důrazně doporučujeme postupovat podle kroků ve stejné posloupnosti, jak je uvedeno v tomto dokumentu. V takovém případě může dojít k tomu, že se vygenerování trezoru nekompatibilním s používáním privátních koncových bodů a vyžaduje restartování procesu v novém trezoru.

Vytvoření trezoru Služeb zotavení

Privátní koncové body pro zálohování je možné vytvořit jenom pro Recovery Services trezorů, které nemají chráněné žádné položky (nebo se v minulosti neudělaly žádné položky, které se do ní nepokusily chránit nebo zaregistrovat). Proto doporučujeme vytvořit nový trezor pro zahájení. Další informace o vytvoření nového trezoru najdete v tématu Vytvoření a konfigurace trezoru Recovery Services.

V této části se dozvíte, jak vytvořit trezor pomocí klienta Azure Resource Manager. Tím se vytvoří trezor s spravovanou identitou, který už je povolený.

Povolit spravovanou identitu pro svůj trezor

Spravované identity umožňují trezoru vytvářet a používat soukromé koncové body. Tato část pojednává o povolení spravované identity vašeho trezoru.

  1. Přejít na Recovery Services trezor – > identitu.

    Změnit stav identity na zapnuto

  2. Změňte stav na zapnuto a vyberte Uložit.

  3. Generuje se ID objektu , což je spravovaná identita trezoru.

    Poznámka

    Po povolení nesmí být spravovaná identita zakázaná (ještě dočasně ). Zakázání spravované identity může vést k nekonzistentnímu chování.

Udělení oprávnění k trezoru pro vytvoření požadovaných privátních koncových bodů

Pro vytvoření požadovaných privátních koncových bodů pro Azure Backup musí mít trezor (spravovaná identita trezoru) oprávnění pro následující skupiny prostředků:

  • Skupina prostředků, která obsahuje cílovou virtuální síť
  • Skupina prostředků, ve které se mají vytvořit privátní koncové body
  • Skupina prostředků, která obsahuje zóny Privátní DNS, jak je popsáno v podrobnostech

Doporučujeme, abyste roli přispěvatele nadělili pro tyto tři skupiny prostředků do trezoru (spravovaná identita). Následující postup popisuje, jak to provést pro konkrétní skupinu prostředků (je potřeba provést u každé ze tří skupin prostředků):

  1. Přejděte do skupiny prostředků a na levém panelu přejděte na Access Control (IAM) .

  2. V Access Control klikněte na Přidat přiřazení role.

    Přidat přiřazení role

  3. V podokně Přidat přiřazení role vyberte jako roli možnost Přispěvatel a jako objekt zabezpečení použijte název trezoru. Vyberte svůj trezor a po dokončení vyberte Uložit .

    Výběr role a objektu zabezpečení

Pokud chcete spravovat oprávnění na podrobnější úrovni, přečtěte si téma Vytvoření rolí a oprávnění ručně.

Vytvoření privátních koncových bodů pro Azure Backup

V této části se dozvíte, jak vytvořit privátní koncový bod pro svůj trezor.

  1. Přejděte do trezoru, který jste vytvořili výše, a v levém navigačním panelu přejděte na připojení privátního koncového bodu . V horní části vyberte + privátní koncový bod a začněte vytvářet nový privátní koncový bod pro tento trezor.

    Vytvořit nový privátní koncový bod

  2. Jednou v procesu Vytvoření privátního koncového bodu budete muset zadat podrobnosti pro vytvoření připojení privátního koncového bodu.

    1. Základy: Vyplňte základní podrobnosti vašich privátních koncových bodů. Oblast by měla být stejná jako trezor a prostředek, který se zálohuje.

      Vyplnit základní podrobnosti

    2. Prostředek: Tato karta vyžaduje, abyste vybrali prostředek PaaS, pro který chcete vytvořit připojení. Pro požadované předplatné vyberte Microsoft. RecoveryServices/trezory z typu prostředku. Po dokončení vyberte název vašeho trezoru Recovery Services jako prostředek a AzureBackup jako cílový dílčí prostředek.

      Vyberte prostředek pro vaše připojení.

    3. Konfigurace: v části Konfigurace zadejte virtuální síť a podsíť, ve které chcete vytvořit privátní koncový bod. Toto bude virtuální síť, ve které se virtuální počítač nachází.

      Chcete-li se připojit soukromě, potřebujete požadované záznamy DNS. V závislosti na nastavení sítě můžete vybrat jednu z následujících možností:

      • Integrace privátního koncového bodu s privátní zónou DNS: Pokud chcete integrovat, vyberte Ano .
      • Použijte vlastní server DNS: Pokud chcete použít vlastní server DNS, zvolte ne .

      Správa záznamů DNS pro obě jsou popsány později.

      Zadejte virtuální síť a podsíť.

    4. Volitelně můžete přidat značky pro privátní koncový bod.

    5. Až se dokončí zadání podrobností, pokračujte v kontrole a vytváření . Po dokončení ověření vyberte vytvořit a vytvořte tak privátní koncový bod.

Schválení privátních koncových bodů

Pokud uživatel vytvářející soukromý koncový bod je zároveň vlastníkem Recovery Services trezoru, pak se privátní koncový bod, který jste vytvořili výše, automaticky schválí. V opačném případě musí vlastník trezoru před jeho použitím schválit privátní koncový bod. Tato část popisuje ruční schválení privátních koncových bodů prostřednictvím Azure Portal.

V tématu ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manager použijte klienta Azure Resource Manager pro schvalování privátních koncových bodů.

  1. V úložišti Recovery Services přejděte na levý panel na připojení privátního koncového bodu .

  2. Vyberte připojení privátního koncového bodu, které chcete schválit.

  3. V horním panelu vyberte schválit . Můžete také vybrat možnost odmítnout nebo Odebrat , pokud chcete odmítat nebo odstranit připojení koncového bodu.

    Schválení privátních koncových bodů

Správa záznamů DNS

Jak už bylo popsáno, budete potřebovat záznamy DNS ve svých privátních zónách DNS nebo serverech, abyste se mohli připojit soukromě. Svůj privátní koncový bod můžete integrovat přímo s privátními zónami DNS Azure, případně můžete k tomu využít vlastní servery DNS, které jsou založené na vašich preferencích sítě. To se bude muset udělat pro všechny tři služby: zálohování, objekty BLOB a fronty.

Pokud se vaše zóna nebo server DNS nachází v předplatném, které se liší od toho, který obsahuje privátní koncový bod, přečtěte si také téma Vytvoření záznamů DNS, když se server DNS nebo zóna DNS nachází v jiném předplatném.

Při integraci privátních koncových bodů s privátními zónami DNS Azure

Pokud se rozhodnete integrovat privátní koncový bod s privátními zónami DNS, bude služba Backup přidávat požadované záznamy DNS. Privátní zóny DNS, které se používají, můžete zobrazit v části Konfigurace DNS privátního koncového bodu. Pokud tyto zóny DNS nejsou k dispozici, budou vytvořeny automaticky při vytváření privátního koncového bodu. Je však nutné ověřit, zda je vaše virtuální síť (obsahující prostředky, které mají být zálohovány) správně propojena se všemi třemi privátními zónami DNS, jak je popsáno níže.

Konfigurace DNS v privátní zóně DNS Azure

Poznámka

Pokud používáte proxy servery, můžete se rozhodnout pro obejít proxy server nebo provést zálohování prostřednictvím proxy server. Pokud chcete proxy server obejít, pokračujte v následujících částech. Pokud chcete použít proxy server pro zálohování, přečtěte si téma Podrobnosti o nastavení proxy server pro Recovery Services trezor.

Pro každou z výše uvedených privátních zón DNS (pro zálohování, objekty BLOB a fronty) udělejte toto:

  1. V levém navigačním panelu přejděte na příslušnou možnost odkazy virtuální sítě .

  2. Měli byste být schopni zobrazit položku pro virtuální síť, pro kterou jste vytvořili privátní koncový bod, jako je ten, který vidíte níže:

    Virtuální síť pro soukromý koncový bod

  3. Pokud nevidíte položku, přidejte odkaz virtuální sítě do všech zón DNS, které je nemají.

    Přidat odkaz virtuální sítě

Při použití vlastního serveru DNS nebo hostitelských souborů

Pokud používáte vlastní servery DNS, budete muset vytvořit požadované zóny DNS a přidat záznamy DNS vyžadované privátními koncovými body do vašich serverů DNS. U objektů BLOB a front můžete také použít podmíněné služby pro dodávání.

Pro službu zálohování

  1. Na serveru DNS vytvořte zónu DNS pro zálohování podle následujících zásad vytváření názvů:

    Zóna Služba
    privatelink.<geo>.backup.windowsazure.com Backup

    Poznámka

    Ve výše uvedeném textu odkazuje na kód oblasti <geo> (například eus a ne pro USA – východ a Severní Evropa). Kódy oblastí najdete v následujících seznamech:

  2. Dále musíme přidat požadované záznamy DNS. Pokud chcete zobrazit záznamy, které je potřeba přidat do zóny DNS zálohování, přejděte k privátnímu koncovému bodu, který jste vytvořili výše, a přejděte na možnost konfigurace DNS pod levým navigačním panelem.

    Konfigurace DNS pro vlastní server DNS

  3. Přidejte jednu položku pro každý plně kvalifikovaný název domény a IP adresu zobrazené jako záznamy typu A v zóně DNS pro zálohování. Pokud pro překlad ip adres používáte soubor hostitele, vytvořte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle následujícího formátu:

    <private ip><space><backup service privatelink FQDN>

Poznámka

Jak je znázorněno na snímku obrazovky výše, sítě FQDN xxxxxxxx.<geo>.backup.windowsazure.com znázorňují a nikoli xxxxxxxx.privatelink.<geo>.backup. windowsazure.com . V takových případech se ujistěte, že jste zahrnou (a v případě potřeby přidejte) podle .privatelink. uvedeného formátu.

Pro služby Blob a Queue

Pro objekty blob a fronty můžete buď použít podmíněné služby předávání, nebo vytvořit zóny DNS na serveru DNS.

Pokud používáte podmíněné služby předávání

Pokud používáte podmíněné služby předávání, přidejte služby předávání pro objekty blob a fronty FQDN následujícím způsobem:

FQDN IP adresa
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Pokud používáte privátní zóny DNS

Pokud používáte zóny DNS pro objekty blob a fronty, budete muset tyto zóny DNS nejprve vytvořit a později přidat požadované záznamy A.

Zóna Služba
privatelink.blob.core.windows.net Objekt blob
privatelink.queue.core.windows.net Fronta

V tuto chvíli vytvoříme zóny pro objekty blob a fronty pouze při použití vlastních serverů DNS. Přidání záznamů DNS se bude provést později ve dvou krocích:

  1. Když zaregistrujete první instanci zálohování, to znamená při první konfiguraci zálohování.
  2. Při spuštění prvního zálohování

Tyto kroky provedeme v následujících částech.

Použití privátních koncových bodů pro zálohování

Po schválení privátních koncových bodů vytvořených pro trezor ve virtuální síti je můžete začít používat k zálohování a obnovení.

Důležité

Než budete pokračovat, ujistěte se, že jste úspěšně dokončili všechny výše uvedené kroky v dokumentu. Abyste to zomenili, musíte mít dokončené kroky v následujícím kontrolním seznamu:

  1. Vytvoření (nového) trezoru služby Recovery Services
  2. Povolení použití spravované identity přiřazené systémem v trezoru
  3. Přiřazení relevantních oprávnění spravované identitě trezoru
  4. Vytvoření privátního koncového bodu pro váš trezor
  5. Schválení privátního koncového bodu (pokud se neschválí automaticky)
  6. Zajistili jste správné přidání všech záznamů DNS (kromě záznamů objektů blob a front pro vlastní servery, které probíráme v následujících částech).

Kontrola připojení virtuálního počítače

Na virtuálním počítače v uzamčené síti zajistěte následující:

  1. Virtuální počítač by měl mít přístup k AAD.
  2. Spuštěním příkazu nslookup na adrese URL zálohy ( ) z xxxxxxxx.privatelink.<geo>.backup. windowsazure.com virtuálního počítače zajistěte připojení. Tím by se měla vrátit privátní IP adresa přiřazená ve vaší virtuální síti.

Konfigurace zálohování

Jakmile zajistíte úspěšné dokončení výše uvedeného kontrolního seznamu a přístupu, můžete pokračovat v konfiguraci zálohování úloh do trezoru. Pokud používáte vlastní server DNS, budete muset přidat položky DNS pro objekty blob a fronty, které jsou k dispozici po konfiguraci prvního zálohování.

Záznamy DNS pro objekty blob a fronty (pouze pro vlastní servery DNS / soubory hostitele) po první registraci

Po nakonfigurování zálohování alespoň jednoho prostředku v trezoru s povoleným privátním koncovým bodem přidejte požadované záznamy DNS pro objekty blob a fronty, jak je popsáno níže.

  1. Přejděte do své skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

  2. Kromě názvu privátního koncového bodu, který jste dostali, uvidíte, že se vytvářejí další dva privátní koncové body. Ty začínají na a a mají příponu a ( v <the name of the private endpoint>_ecs uvedeném _blob _queue pořadí).

    Prostředky privátních koncových bodů

  3. Přejděte na každý z těchto privátních koncových bodů. V možnosti konfigurace DNS pro každý ze dvou privátních koncových bodů uvidíte záznam s plně kvalifikovaným název domény a IP adresou. Oba tyto položky přidejte k vlastnímu serveru DNS a přidejte je k výše popsaným. Pokud používáte soubor hostitele, vytvořte odpovídající položky v souboru hostitele pro každou IP adresu nebo plně kvalifikovaný název domény podle následujícího formátu:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Konfigurace DNS objektů blob

Kromě výše uvedeného je po první záloze potřeba další položka, která je popsána později.

Zálohování a obnovení úloh na virtuálních SQL Azure (SQL a SAP HANA)

Po vytvoření SQL schválení privátního koncového bodu nejsou na straně klienta potřeba žádné další změny pro použití privátního koncového bodu (pokud používáte skupiny dostupnosti SQL, které probereme později v této části). Veškerá komunikace a přenos dat ze zabezpečené sítě do trezoru se budou provádět prostřednictvím privátního koncového bodu. Pokud ale odeberete privátní koncové body trezoru po registraci serveru (SQL nebo SAP HANA), budete ho muset znovu zaregistrovat v trezoru. Nemusíte pro ně zastavovat ochranu.

Záznamy DNS pro objekty blob (pouze pro vlastní servery NEBO soubory hostitele DNS) po první záloze

Po spuštění prvního zálohování a použití vlastního serveru DNS (bez podmíněného předávání) je pravděpodobné, že vaše záloha selže. Pokud k tomu dojde:

  1. Přejděte do své skupiny prostředků a vyhledejte privátní koncový bod, který jste vytvořili.

  2. Kromě tří privátních koncových bodů probíraných výše teď uvidíte čtvrtý privátní koncový bod s názvem začínající na a má <the name of the private endpoint>_prot příponu _blob .

    Privátní koncový prostor s příponou "prot"

  3. Přejděte na tento nový privátní koncový bod. V možnosti konfigurace DNS uvidíte záznam s plně kvalifikovaným název domény a IP adresou. Přidejte je k privátnímu serveru DNS a přidejte je k dříve popsaným.

    Pokud používáte soubor hostitele, vytvořte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle následujícího formátu:

    <private ip><space><blob service privatelink FQDN>

Poznámka

V tuto chvíli byste měli být schopni spustit nástroj nslookup z virtuálního počítače a překládat je na privátní IP adresy, pokud jste to udělali v adresách URL služby Backup a Storage trezoru.

Při použití SQL dostupnosti

Pokud používáte SQL dostupnosti, budete muset zřídit podmíněné předávání ve vlastním DNS skupiny dostupnosti, jak je popsáno níže:

  1. Přihlaste se k řadiči domény.

  2. V rámci aplikace DNS přidejte podmíněné servery pro všechny tři zóny DNS (zálohování, objekty blob a fronty) k IP adrese hostitele 168.63.129.16 nebo vlastní IP adresu serveru DNS podle potřeby. Následující snímky obrazovky ukazují, kdy přeposíláte na IP adresu hostitele Azure. Pokud používáte vlastní server DNS, nahraďte IP adresou vašeho serveru DNS.

    Podmíněné služby předávání ve Správci DNS

    Nový podmíněný předávání

Zálohování a obnovení prostřednictvím agenta MARS

Pokud k zálohování místních prostředků používáte agenta MARS, ujistěte se, že je vaše místní síť (obsahující prostředky, které se mají zálohovat) v partnerském vztahu s virtuální sítí Azure, která obsahuje privátní koncový bod pro trezor, abyste ji mohli použít. Potom můžete pokračovat v instalaci agenta MARS a nakonfigurovat zálohování podle tohoto podrobného návodu. Musíte však zajistit, aby veškerá komunikace pro zálohování probíhá pouze přes partnerovou síť.

Pokud ale po registraci agenta MARS pro trezor odeberete privátní koncové body, budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte pro ně zastavovat ochranu.

Odstranění privátních koncových bodů

V této části se dozvíte, jak odstranit privátní koncové body.

Další témata

Vytvoření trezoru služby Recovery Services pomocí klienta Azure Resource Manager

Můžete vytvořit Recovery Services trezor a povolit jeho spravovanou identitu (vyžaduje se spravovaná identita, jak ho později ukážeme) pomocí klienta Azure Resource Manager. Ukázka pro tuto akci je sdílená níže:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Výše uvedený soubor JSON by měl mít následující obsah:

JSON žádosti:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Odpověď JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Poznámka

Trezor vytvořený v tomto příkladu prostřednictvím klienta Azure Resource Manager je již vytvořen pomocí spravované identity přiřazené systémem.

Správa oprávnění pro skupiny prostředků

Spravovaná identita úložiště musí mít ve skupině prostředků a ve virtuální síti, kde se vytvoří privátní koncové body, následující oprávnění:

  • Microsoft.Network/privateEndpoints/* Tato operace je nutná k provedení operace CRUD u privátních koncových bodů ve skupině prostředků. Měl by se přiřadit ke skupině prostředků.
  • Microsoft.Network/virtualNetworks/subnets/join/action To je vyžadováno ve virtuální síti, ve které se privátní IP adresa připojuje k privátnímu koncovému bodu.
  • Microsoft.Network/networkInterfaces/read To je vyžadováno ve skupině prostředků, aby bylo možné získat síťové rozhraní vytvořené pro soukromý koncový bod.
  • Role přispěvatele Privátní DNS zóny už tato role existuje a dá se použít k poskytnutí Microsoft.Network/privateDnsZones/A/* a Microsoft.Network/privateDnsZones/virtualNetworkLinks/read oprávnění.

K vytvoření rolí s požadovanými oprávněními můžete použít jednu z následujících metod:

Ruční vytvoření rolí a oprávnění

Vytvořte následující soubory JSON a pomocí příkazu PowerShellu na konci oddílu vytvořte role:

PrivateEndpointContributorRoleDef. JSON

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef. JSON

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef. JSON

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Použití skriptu

  1. spusťte Cloud Shell v Azure Portal a v okně powershellu vyberte Upload soubor .

    výběr souboru Upload v okně powershellu

  2. Upload následující skript: VaultMsiPrereqScript

  3. Přejít do domovské složky (například: cd /home/user )

  4. Spusťte tento skript:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Tyto parametry jsou:

    • předplatné: * * SubscriptionId, které má skupinu prostředků, ve které se vytvoří privátní koncový bod pro trezor, a podsíť, ve které se připojí privátní koncový bod trezoru.

    • vaultPEResourceGroup: Skupina prostředků, ve které se vytvoří privátní koncový bod úložiště.

    • vaultPESubnetResourceGroup: Skupina prostředků podsítě, ke které se připojí privátní koncový bod

    • vaultMsiName: název souboru MSI trezoru, který je stejný jako název trezoru .

  5. Dokončete ověřování a skript převezme kontext daného předplatného, které jste zadali výše. Vytvoří příslušné role, pokud v tenantovi chybí, a přiřadí role ke službě MSI tohoto trezoru.

Vytváření privátních koncových bodů pomocí Azure PowerShell

Automaticky schválené privátní koncové body

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName
  
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Ruční schválení privátních koncových bodů pomocí klienta Azure Resource Manager

  1. Pomocí Gettrezoru Získejte ID připojení privátního koncového bodu pro váš soukromý koncový bod.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Tím se vrátí ID připojení privátního koncového bodu. Název připojení se dá načíst pomocí první části ID připojení, a to následujícím způsobem:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Získejte ID připojení privátního koncového bodu (a název privátního koncového bodu bez ohledu na to, kde je potřeba), a nahraďte ho v následujících JSON a Azure Resource Manager URI a zkuste změnit stav na "schváleno/odmítnuto/odpojeno", jak je znázorněno v následující ukázce:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Nastavení proxy server pro trezor Recovery Services s privátním koncovým bodem

Pokud chcete nakonfigurovat proxy server pro virtuální počítač Azure nebo místní počítač, postupujte podle těchto kroků:

  1. Přidejte následující domény, které musí být k dispozici z proxy server.

    Služba Názvy domén Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *. queue.core.windows.net

    *. blob.storage.azure.net
    443
    Azure Active Directory

    aktualizované adresy url domény uvedené v částech 56 a 59 v Microsoft 365 Common a Office Online.
    *. msftidentity.com, *. msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, Login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *. hip.live.com, *. microsoftonline.com, *. microsoftonline-p.com, *. msauth.net, *. msauthimages.net, *. msecnd.NET, *. msftauth.NET, *. msftauthimages.NET, *. phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Dle potřeby.
  2. Povolte přístup k těmto doménám v proxy server a propojte privátní zónu DNS ( *.privatelink.<geo>.backup.windowsazure.com , *.privatelink.blob.core.windows.net , *.privatelink.queue.core.windows.net ) s virtuální sítí, ve které se vytvoří proxy server nebo pomocí vlastního serveru DNS s příslušnými položkami DNS.

    Virtuální síť, ve které je proxy server spuštěná, a virtuální síť, kde se vytvoří privátní koncová síťová karta, by mohla proxy server přesměrovat požadavky na privátní IP adresu.

    Poznámka

    Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například EUS a ne pro východní USA a Severní Evropa). Kódy oblastí najdete v následujících seznamech:

Následující diagram znázorňuje instalaci (při použití zón Azure Privátní DNS) s proxy server, jejíž virtuální síť je propojená s privátní zónou DNS s požadovanými položkami DNS. Proxy server může mít také vlastní server DNS a výše uvedené domény mohou být podmíněně předány do 168.63.129.16. Pokud k překladu názvů DNS používáte vlastní server DNS nebo soubor hostitele, přečtěte si část věnované správě položek DNS a konfiguraci ochrany.

Diagram znázorňující instalaci s proxy server.

Vytvoření záznamů DNS, pokud se server DNS nebo zóna DNS nachází v jiném předplatném

V této části se podíváme na případy, kdy používáte zónu DNS, která se nachází v předplatném, nebo na skupinu prostředků, která se liší od objektu, který obsahuje soukromý koncový bod pro Recovery Services trezor, jako je například topologie rozbočovače a paprsků. Vzhledem k tomu, že spravovaná Identita použitá pro vytváření privátních koncových bodů (a položek DNS) má oprávnění pouze pro skupinu prostředků, ve které jsou vytvořeny privátní koncové body, jsou nutné také požadované položky DNS. K vytvoření záznamů DNS použijte následující skripty PowerShellu.

Poznámka

Chcete-li dosáhnout požadovaných výsledků, Projděte si celý proces popsaný níže. Během prvního zjišťování (za účelem vytvoření položek DNS vyžadovaných pro komunikační účty úložiště) se tento proces musí při prvním zálohování opakovat dvakrát a potom jednou během první zálohy (pro vytvoření položek DNS vyžadovaných pro účty úložiště back-end).

Krok 1: získání požadovaných položek DNS

Pomocí PrivateIP.ps1ového skriptu můžete vypsat všechny položky DNS, které je třeba vytvořit.

Poznámka

subscriptionV následující syntaxi se odkazuje na předplatné, ve kterém se vytvoří privátní koncový bod trezoru.

Syntaxe pro použití skriptu

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Ukázkový výstup

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Krok 2: vytvoření záznamů DNS

Vytvořte položky DNS, které odpovídají těm uvedeným výše. Na základě typu DNS, který používáte, máte dvě alternativy pro vytváření položek DNS.

Případ 1: Pokud používáte vlastní server DNS, musíte ručně vytvořit položky pro každý záznam z výše uvedeného skriptu a ověřit, že plně kvalifikovaný název domény (RESOURCENAME. DNS) se přeloží na soukromou IP adresu v rámci virtuální sítě.

Případ 2: Pokud používáte zónu privátní DNS Azure, můžete pomocí CreateDNSEntries.ps1 skriptu automaticky vytvořit položky DNS v zóně privátní DNS. V následující syntaxi subscription je ta, kde privátní DNS zóna existuje.

Syntaxe pro použití skriptu

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Souhrn celého procesu

Pro správné nastavení privátního koncového bodu pro RSV prostřednictvím tohoto alternativní řešení je potřeba:

  1. Vytvořte privátní koncový bod pro trezor (jak je popsáno výše v článku).
  2. Zjišťování aktivačních událostí. zjišťování pro SQL/HANA se nezdaří s UserErrorVMInternetConnectivityIssue , protože pro účet úložiště komunikace chybí položky DNS.
  3. Spusťte skripty pro získání položek DNS a vytvořte odpovídající položky DNS pro účet úložiště komunikace zmíněný výše v této části.
  4. Opětovné spuštění zjišťování. Tentokrát by zjišťování mělo být úspěšné.
  5. Spusťte zálohování. zálohování pro SQL/HANA a MARS může selhat, protože pro účty back-end úložiště nejsou k dispozici položky DNS, jak je uvedeno výše v této části.
  6. Spusťte skripty pro vytvoření záznamů DNS pro back-end účet úložiště.
  7. Znovu spusťte zálohování. Tentokrát by zálohování mělo být úspěšné.

Nejčastější dotazy

Můžu vytvořit privátní koncový bod pro existující trezor služby Backup?

Ne, privátní koncové body lze vytvořit pouze pro nové trezory služby Backup. Takže trezor nesmí mít v minulosti žádné chráněné položky. Před vytvořením privátních koncových bodů se ale nedají provést žádné pokusy o ochranu položek do trezoru.

Pokusili jste se chránit položku do trezoru, ale nedošlo k jejímu uložení a trezor neobsahuje žádné chráněné položky. Můžu pro tento trezor vytvořit privátní koncové body?

Ne, trezor nesmí mít žádné pokusy o ochranu jakýchkoli položek v minulosti.

Mám trezor, který používá privátní koncové body pro zálohování a obnovení. Můžu později přidat nebo odebrat soukromé koncové body pro tento trezor i v případě, že jsou k němu chráněné zálohované položky?

Ano. Pokud jste již vytvořili privátní koncové body pro trezor a chráněné zálohované položky, můžete později přidat nebo odebrat soukromé koncové body podle potřeby.

Může být privátní koncový bod pro Azure Backup také použit pro Azure Site Recovery?

Ne, privátní koncový bod pro zálohování se dá použít jenom pro Azure Backup. Pro Azure Site Recovery budete muset vytvořit nový privátní koncový bod, pokud ho služba podporuje.

Vynechali jsme některý z kroků v tomto článku a zavedli jsme k ochraně zdroje dat. Můžu pořád používat privátní koncové body?

Není nutné postupovat podle kroků uvedených v článku a nadále chránit položky může způsobit, že trezor nebude moci používat privátní koncové body. Proto doporučujeme, abyste před pokračováním v ochraně položek přeodkazovali na tento kontrolní seznam.

Můžu použít vlastní server DNS místo používání privátní zóny DNS Azure nebo integrované privátní zóny DNS?

Ano, můžete použít vlastní servery DNS. Zajistěte však, aby byly do této části přidány všechny požadované záznamy DNS jako navržené.

Potřebuji na svém serveru provést další kroky, I když jsem použil postup v tomto článku?

Po provedení postupu popsaného v tomto článku není nutné provádět další práci, aby bylo možné použít privátní koncové body pro zálohování a obnovení.

Další kroky