Přehled a koncepty privátních koncových bodů (prostředí v1) pro Azure Backup
Azure Backup umožňuje bezpečně zálohovat a obnovovat data z trezorů služby Recovery Services pomocí privátních koncových bodů. Privátní koncové body používají jednu nebo více privátních IP adres z vaší virtuální sítě Azure a efektivně přenesou službu do vaší virtuální sítě.
Tento článek vám pomůže pochopit, jak fungují privátní koncové body pro Službu Azure Backup, a scénáře, ve kterých používání privátních koncových bodů pomáhá udržovat zabezpečení vašich prostředků.
Poznámka:
Azure Backup teď poskytuje nové prostředí pro vytváření privátních koncových bodů. Další informace.
Než začnete
- Privátní koncové body je možné vytvořit jenom pro nové trezory služby Recovery Services (které nemají zaregistrované žádné položky v trezoru). Privátní koncové body proto musí být vytvořeny před pokusem o ochranu všech položek v trezoru. Privátní koncové body se ale v současné době nepodporují pro trezory služby Backup.
- Jedna virtuální síť může obsahovat privátní koncové body pro více trezorů služby Recovery Services. Jeden trezor služby Recovery Services může mít také privátní koncové body pro něj ve více virtuálních sítích. Maximální počet privátních koncových bodů, které je možné vytvořit pro trezor, je však 12.
- Pokud je přístup k veřejné síti pro trezor nastavený na Povolit ze všech sítí, umožňuje trezor zálohování a obnovení z libovolného počítače zaregistrovaného do trezoru. Pokud je přístup k veřejné síti trezoru nastavený na Odepřít, povolí trezor pouze zálohování a obnovení z počítačů zaregistrovaných do trezoru, který požaduje zálohování nebo obnovení prostřednictvím privátních IP adres přidělených trezoru.
- Připojení privátního koncového bodu pro Zálohování používá v podsíti celkem 11 privátních IP adres, včetně ip adres používaných službou Azure Backup pro úložiště. Toto číslo může být vyšší pro určité oblasti Azure. Proto doporučujeme, abyste při pokusu o vytvoření privátních koncových bodů pro zálohování měli k dispozici dostatek privátních IP adres (/26).
- Zatímco trezor služby Recovery Services používá (jak Azure Backup, tak Azure Site Recovery), tento článek popisuje použití privátních koncových bodů pouze pro službu Azure Backup.
- Privátní koncové body pro zálohování nezahrnují přístup k ID Microsoft Entra a totéž je potřeba zajistit samostatně. Ip adresy a plně kvalifikované názvy domén vyžadované k fungování ID Microsoft Entra v určité oblasti proto budou potřebovat odchozí přístup, který bude povolený ze zabezpečené sítě při zálohování databází na virtuálních počítačích Azure a zálohování pomocí agenta MARS. Můžete také použít značky NSG a značky služby Azure Firewall pro povolení přístupu k ID Microsoft Entra podle potřeby.
- Pokud jste ho zaregistrovali před 1. květnem 2020, musíte u něj znovu zaregistrovat poskytovatele prostředků služby Recovery Services. Pokud chcete poskytovatele znovu zaregistrovat, přejděte na webu Azure Portal do svého předplatného, přejděte na poskytovatele prostředků na levém navigačním panelu a pak vyberte Microsoft.RecoveryServices a vyberte Znovu zaregistrovat.
- Obnovení mezi oblastmi pro zálohy databází SQL a SAP HANA se nepodporuje, pokud má trezor povolené privátní koncové body.
- Když přesunete trezor služby Recovery Services, který už používá privátní koncové body do nového tenanta, budete muset trezor služby Recovery Services aktualizovat, aby se znovu vytvořila a znovu nakonfiguruje spravovaná identita trezoru a podle potřeby vytvořte nové privátní koncové body (které by měly být v novém tenantovi). Pokud to neuděláte, operace zálohování a obnovení se spustí selhávají. Všechna oprávnění řízení přístupu na základě role v Azure (Azure RBAC) nastavená v rámci předplatného bude potřeba překonfigurovat.
Doporučené a podporované scénáře
I když jsou pro trezor povolené privátní koncové body, používají se k zálohování a obnovení úloh SQL a SAP HANA na virtuálním počítači Azure, zálohování agenta MARS a jenom DPM. Trezor můžete použít i pro zálohování jiných úloh (nebudou ale vyžadovat privátní koncové body). Kromě zálohování úloh SQL a SAP HANA a zálohování pomocí agenta MARS se k obnovení souborů pro zálohování virtuálních počítačů Azure používají také privátní koncové body. Další informace najdete v následující tabulce:
| Scénáře | Doporučení |
|---|---|
| Zálohování úloh na virtuálním počítači Azure (SQL, SAP HANA), zálohování pomocí agenta MARS, serveru DPM. | Použití privátních koncových bodů se doporučuje povolit zálohování a obnovení, aniž byste museli přidávat do seznamu povolených IP adres nebo plně kvalifikovaných názvů domén pro Službu Azure Backup nebo Azure Storage z vašich virtuálních sítí. V tomto scénáři se ujistěte, že virtuální počítače, které hostují databáze SQL, mají přístup k IP adresám Nebo plně kvalifikovaným názvům domén Microsoftu. |
| Zálohování virtuálních počítačů Azure | Zálohování virtuálních počítačů nevyžaduje povolení přístupu k žádným IP adresám nebo plně kvalifikovaným názvům domén. Proto nevyžaduje privátní koncové body pro zálohování a obnovení disků. Obnovení souborů z trezoru obsahujícího privátní koncové body by však bylo omezeno na virtuální sítě, které obsahují privátní koncový bod trezoru. Pokud používáte nespravované disky seznamu ACL, ujistěte se, že účet úložiště obsahující disky umožňuje přístup k důvěryhodným služby Microsoft, pokud se jedná o seznam ACL. |
| Zálohování služby Soubory Azure | Zálohy služby Azure Files se ukládají do místního účtu úložiště. Proto nevyžaduje privátní koncové body pro zálohování a obnovení. |
Poznámka:
Privátní koncové body jsou podporovány pouze se serverem DPM 2022, MABS v4 a novějším.
Rozdíl v síťových připojeních kvůli privátním koncovým bodům
Jak už jsme zmínili výše, privátní koncové body jsou zvláště užitečné pro zálohování úloh (SQL, SAP HANA) na virtuálních počítačích Azure a zálohách agentů MARS.
Ve všechscénářch službám (včetně privátních koncových bodů) ve všech scénářích (s privátními koncovými body) se rozšíření úloh (pro zálohování instancí SQL a SAP HANA spuštěných uvnitř virtuálních
Kromě těchto připojení při instalaci rozšíření úloh nebo agenta MARS pro trezor služby Recovery Services bez privátních koncových bodů se vyžaduje také připojení k následujícím doménám:
| Service | Názvy domén | Port |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Povolte přístup k plně kvalifikovaným názvům domén v částech 56 a 59. |
443 Podle potřeby |
Při instalaci rozšíření úloh nebo agenta MARS pro trezor služby Recovery Services s privátním koncovým bodem se zobrazí následující koncové body:
| Service | Název domény | Port |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Povolte přístup k plně kvalifikovaným názvům domén v částech 56 a 59. |
443 Podle potřeby |
Poznámka:
Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus pro USA – východ a ne pro Severní Evropu). Kódy oblastí najdete v následujících seznamech:
V případě trezoru služby Recovery Services s nastavením privátního koncového bodu by překlad názvů plně kvalifikovaných názvů domén (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net*.blob.storage.azure.net) měl vrátit privátní IP adresu. Toho lze dosáhnout pomocí:
- Zóny Azure Private DNS
- Vlastní DNS
- Položky DNS v souborech hostitelů
- Podmíněné předávací služby do Azure DNS nebo azure Privátní DNS zón.
Privátní koncové body pro objekty blob a fronty se řídí standardním vzorem pojmenování, začínají názvem privátního koncového bodu>_ecs nebo< názvem privátního koncového bodu>_prot a mají příponu _blob a _queue.<
Poznámka:
Doporučujeme používat zóny Azure Privátní DNS, které umožňují spravovat záznamy DNS pro objekty blob a fronty pomocí služby Azure Backup. Spravovaná identita přiřazená k trezoru slouží k automatizaci přidání záznamu DNS při každém přidělení nového účtu úložiště pro zálohovaná data.
Pokud jste nakonfigurovali proxy server DNS pomocí proxy serverů nebo bran firewall třetích stran, musí být výše uvedené názvy domén povolené a přesměrované na vlastní DNS (který obsahuje záznamy DNS pro výše uvedené plně kvalifikované názvy domén) nebo 168.63.129.16 ve virtuální síti Azure, která má propojené privátní zóny DNS.
Následující příklad ukazuje bránu Azure Firewall, která se používá jako proxy DNS k přesměrování dotazů na název domény pro trezor služby Recovery Services, objekty blob, fronty a ID Microsoft Entra na 168.63.129.16.
Další informace najdete v tématu Vytváření a používání privátních koncových bodů.
Nastavení připojení k síti pro trezor s privátními koncovými body
Privátní koncový bod pro služby zotavení je přidružený k síťovému rozhraní (NIC). Aby připojení privátního koncového bodu fungovala, je nutné, aby veškerý provoz služby Azure byl přesměrován do síťového rozhraní. Toho dosáhnete přidáním mapování DNS pro privátní IP adresu přidruženou k síťovému rozhraní pro adresu URL služby, objektu blob nebo fronty .
Když se rozšíření zálohování úloh nainstalují na virtuální počítač zaregistrovaný v trezoru služby Recovery Services s privátním koncovým bodem, rozšíření se pokusí připojit k privátní adrese URL služeb <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup. Pokud privátní adresa URL problém nevyřeší, pokusí se o veřejnou adresu URL <azure_backup_svc>.<geo>.backup.windowsazure.com.
Poznámka:
Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus pro USA – východ a ne pro Severní Evropu). Kódy oblastí najdete v následujících seznamech:
Tyto privátní adresy URL jsou specifické pro trezor. Přes tyto koncové body můžou komunikovat pouze rozšíření a agenti zaregistrovaní v trezoru. Pokud je přístup k veřejné síti pro trezor služby Recovery Services nakonfigurovaný tak, aby odepřel, omezuje klienty, kteří ve virtuální síti nejsou spuštěni, aby požadovali zálohování a obnovení trezoru. Doporučujeme nastavit přístup k veřejné síti na Odepřít spolu s nastavením privátního koncového bodu. Při počátečním *.privatelink.<geo>.backup.windowsazure.com pokusu o privátní adresu URL rozšíření a agenta by překlad DNS adresy URL měl vrátit odpovídající privátní IP adresu přidruženou k privátnímu koncovému bodu.
Řešení překladu DNS jsou:
- Zóny Azure Private DNS
- Vlastní DNS
- Položky DNS v souborech hostitelů
- Podmíněné předávací služby do Azure DNS / Azure Privátní DNS zón.
Když se privátní koncový bod pro trezory služby Recovery Services vytvoří prostřednictvím webu Azure Portal s možností integrace s možností privátní zóny DNS, vytvoří se požadované položky DNS pro privátní IP adresy pro služby Azure Backup (*.privatelink.<geo>backup.windowsazure.com) automaticky při každém přidělení prostředku. V jiných řešeních je potřeba vytvořit záznamy DNS pro tyto plně kvalifikované názvy domén ručně ve vlastním DNS nebo v souborech hostitelů.
Ruční správu záznamů DNS po zjišťování virtuálního počítače pro komunikační kanál – objekt blob nebo fronta najdete v záznamech DNS pro objekty blob a fronty (pouze pro vlastní servery DNS nebo hostitelské soubory) po první registraci. Ruční správa záznamů DNS po prvním zálohování objektu blob účtu úložiště zálohování najdete v záznamech DNS pro objekty blob (pouze pro vlastní servery DNS nebo hostitelské soubory) po prvním zálohování.
Privátní IP adresy plně kvalifikovaných názvů domén najdete v okně privátního koncového bodu pro privátní koncový bod vytvořený pro trezor služby Recovery Services.
Následující diagram ukazuje, jak funguje překlad při použití privátní zóny DNS k překladu těchto plně kvalifikovaných názvů domén privátních služeb.
Rozšíření úloh spuštěné na virtuálním počítači Azure vyžaduje připojení k alespoň dvěma účtům úložiště – první z nich se používá jako komunikační kanál (přes zprávy fronty) a druhý pro ukládání zálohovaných dat. Agent MARS vyžaduje přístup k jednomu účtu úložiště používanému k ukládání zálohovach dat.
Pro trezor s povoleným privátním koncovým bodem vytvoří služba Azure Backup privátní koncový bod pro tyto účty úložiště. Tím se zabrání tomu, aby veškerý síťový provoz související se službou Azure Backup (provoz roviny řízení do služby a zálohovaná data do objektu blob úložiště) opustil virtuální síť. Kromě cloudových služeb Azure Backup vyžadují rozšíření úloh a agent připojení k účtům Azure Storage a ID Microsoft Entra.
Trezor služby Recovery Services vyžaduje jako předpoklad oprávnění k vytváření dalších privátních koncových bodů ve stejné skupině prostředků. Doporučujeme také poskytnout trezor služby Recovery Services oprávnění k vytváření záznamů DNS v privátních zónách DNS (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). Trezor služby Recovery Services vyhledá privátní zóny DNS ve skupinách prostředků, ve kterých se vytvoří virtuální síť a privátní koncový bod. Pokud má oprávnění k přidání záznamů DNS do těchto zón, vytvoří se trezor; jinak je musíte vytvořit ručně.
Poznámka:
Integrace s privátní zónou DNS, která se nacházejí v různých předplatných, není v tomto prostředí podporována.
Následující diagram ukazuje, jak funguje překlad názvů pro účty úložiště používající privátní zónu DNS.
Další kroky
- Vytváření a používání privátních koncových bodů