Points de terminaison privés pour le service Sauvegarde AzurePrivate Endpoints for Azure Backup

Le service Sauvegarde Azure vous permet de sauvegarder vos données dans vos coffres Recovery Services pour les restaurer ultérieurement en toute sécurité en utilisant des points de terminaison privés.Azure Backup allows you to securely back up and restore your data from your Recovery Services vaults using private endpoints. Les points de terminaison privés utilisent une adresse IP privée de votre réseau virtuel (ou « VNet »), plaçant de fait le service dans votre réseau virtuel.Private endpoints use one or more private IP addresses from your VNet, effectively bringing the service into your VNet.

Cet article vous aidera à comprendre le processus de création de points de terminaison privés pour le service Sauvegarde Azure et les scénarios dans lesquels l’utilisation de points de terminaison privés contribue à maintenir la sécurité de vos ressources.This article will help you understand the process of creating private endpoints for Azure Backup and the scenarios where using private endpoints helps maintain the security of your resources.

Avant de commencerBefore you start

  • Les points de terminaison privés ne peuvent être créés que pour les nouveaux coffres Recovery Services (qui ne contiennent pas d’éléments).Private endpoints can be created for new Recovery Services vaults only (that don't have any items registered to the vault). Les points de terminaison privés doivent donc être créés avant que vous ne tentiez de protéger vos éléments en les plaçant dans un coffre.So private endpoints must be created before you attempt to protect any items to the vault.
  • Un réseau virtuel peut contenir des points de terminaison privés pour plusieurs coffres Recovery Services.One virtual network can contain private endpoints for multiple Recovery Services vaults. De son côté, un coffre Recovery Services peut être associé à plusieurs points de terminaison privés dans plusieurs réseaux virtuels.Also, one Recovery Services vault can have private endpoints for it in multiple virtual networks. Toutefois, vous ne pouvez pas associer 1 coffre à plus de 12 points de terminaison privés.However, the maximum number of private endpoints that can be created for a vault is 12.
  • Lorsque vous associez un point de terminaison privé à un coffre, ce dernier est verrouillé.Once a private endpoint is created for a vault, the vault will be locked down. Cela veut dire qu’un coffre sera uniquement accessible (pour les sauvegardes et restaurations) sur les réseaux qui contiennent un point de terminaison privé associé à ce coffre.It won't be accessible (for backups and restores) from networks apart from ones that contain a private endpoint for the vault. Si tous les points de terminaison privés associés au coffre sont supprimés, le coffre redevient accessible sur tous les réseaux.If all private endpoints for the vault are removed, the vault will be accessible from all networks.
  • Une connexion de point de terminaison privée pour la sauvegarde utilise un total de 11 adresses IP privées dans votre sous-réseau, y compris celles utilisées par Sauvegarde Azure pour le stockage.A private endpoint connection for Backup uses a total of 11 private IPs in your subnet, including those used by Azure Backup for storage. Ce nombre peut être plus élevé (jusqu’à 25) pour certaines régions Azure.This number may be higher (up to 25) for certain Azure regions. Nous vous suggérons donc d’avoir suffisamment d’adresses IP privées disponibles lorsque vous tentez de créer des points de terminaison privés pour la sauvegarde.So we suggest that you have enough private IPs available when you attempt to create private endpoints for Backup.
  • Les coffres Recovery Services sont compatibles avec les services Sauvegarde Azure et Azure Site Recovery. Cependant, cet article traite uniquement de l’utilisation des points de terminaison privés pour le service Sauvegarde Azure.While a Recovery Services vault is used by (both) Azure Backup and Azure Site Recovery, this article discusses use of private endpoints for Azure Backup only.
  • Azure Active Directory ne prend pas en charge les points de terminaison privés pour le moment.Azure Active Directory doesn't currently support private endpoints. Par conséquent, les adresses IP et les noms de domaine complets requis pour le bon fonctionnement du service Azure Active Directory dans une région doivent bénéficier d’une autorisation d’accès sortant sur le réseau sécurisé lors de la sauvegarde de bases de données dans des machines virtuelles Azure et de la sauvegarde à l’aide de l’agent MARS.So IPs and FQDNs required for Azure Active Directory to work in a region will need to be allowed outbound access from the secured network when performing backup of databases in Azure VMs and backup using the MARS agent. Vous pouvez aussi utiliser des balises de groupe de sécurité réseau (NSG) et des balises du service Pare-feu Azure pour autoriser l’accès à Azure AD, le cas échéant.You can also use NSG tags and Azure Firewall tags for allowing access to Azure AD, as applicable.
  • Les réseaux virtuels avec des stratégies réseau ne sont pas compatibles avec les points de terminaison privés.Virtual networks with Network Policies aren't supported for Private Endpoints. Vous devez donc désactiver les stratégies réseau avant de continuer.You'll need to disable Network Polices before continuing.
  • Vous devrez réinscrire le fournisseur de ressources Recovery Services auprès de l’abonnement si vous l’avez enregistré avant le 1er mai 2020.You need to re-register the Recovery Services resource provider with the subscription if you registered it before May 1 2020. Pour réinscrire le fournisseur, accédez à votre abonnement dans le portail Azure, accédez à Fournisseur de ressources dans la barre de navigation de gauche, sélectionnez Microsoft.RecoveryServices, puis sélectionnez Réinscrire.To re-register the provider, go to your subscription in the Azure portal, navigate to Resource provider on the left navigation bar, then select Microsoft.RecoveryServices and select Re-register.
  • Les restaurations inter-régions pour les sauvegardes de bases de données SQL et SAP HANA ne sont pas prises en charge si les points de terminaison privés sont activés dans le coffre.Cross-region restore for SQL and SAP HANA database backups aren't supported if the vault has private endpoints enabled.
  • Lorsque vous déplacez un coffre Recovery Services utilisant déjà des points de terminaison privés vers un nouveau locataire, vous devez le mettre à jour pour recréer et reconfigurer son identité managée et créer des points de terminaison privés si nécessaire (qui doivent se trouver dans le nouveau locataire).When you move a Recovery Services vault already using private endpoints to a new tenant, you'll need to update the Recovery Services vault to recreate and reconfigure the vault’s managed identity and create new private endpoints as needed (which should be in the new tenant). Si cela n’est pas fait, les opérations de sauvegarde et de restauration échoueront.If this isn't done, the backup and restore operations will start failing. En outre, toutes les autorisations de contrôle d’accès en fonction du rôle (RBAC) configurées dans l’abonnement devront être reconfigurées.Also, any role-based access control (RBAC) permissions set up within the subscription will need to be reconfigured.

Même si des points de terminaison privés sont activés dans un coffre, ils sont uniquement utilisés pour la sauvegarde et la restauration des charges de travail SQL et SAP HANA en cas de sauvegarde de machines virtuelles Azure et de sauvegarde à l’aide de l’agent MARS.While private endpoints are enabled for the vault, they're used for backup and restore of SQL and SAP HANA workloads in an Azure VM and MARS agent backup only. Vous pouvez également utiliser le coffre pour la sauvegarde d’autres charges de travail (cependant, cela ne nécessiterait pas de point de terminaison privé).You can use the vault for backup of other workloads as well (they won't require private endpoints though). En plus de la sauvegarde des charges de travail SQL et SAP HANA et de la sauvegarde à l’aide de l’agent MARS, les points de terminaison privés servent également à effectuer des récupérations de fichiers pour la sauvegarde de machines virtuelles Azure.In addition to backup of SQL and SAP HANA workloads and backup using the MARS agent, private endpoints are also used to perform file recovery for Azure VM backup. Pour plus d’informations, voir le tableau suivant :For more information, see the following table:

Sauvegarde de charges de travail dans une machine virtuelle Azure (SQL, SAP HANA) à l’aide de l’agent MARSBackup of workloads in Azure VM (SQL, SAP HANA), Backup using MARS Agent Nous vous recommandons d’utiliser des points de terminaison privés pour permettre la sauvegarde et la restauration sans avoir à ajouter à une liste d’autorisation les adresses IP ou les noms de domaine complets pour Sauvegarde Azure ou Stockage Azure depuis vos réseaux virtuels.Use of private endpoints is recommended to allow backup and restore without needing to add to an allow list any IPs/FQDNs for Azure Backup or Azure Storage from your virtual networks. Dans ce scénario, assurez-vous que les machines virtuelles hébergeant des bases de données SQL peuvent atteindre des adresses IP ou des noms de domaine complets Azure AD.In that scenario, ensure that VMs that host SQL databases can reach Azure AD IPs or FQDNs.
Sauvegarde des machines virtuelles AzureAzure VM backup La sauvegarde de machine virtuelle ne vous oblige pas à autoriser l’accès à des adresses IP ou des noms de domaine complets.VM backup doesn't require you to allow access to any IPs or FQDNs. Ainsi, les points de terminaison privés ne sont pas requis pour la sauvegarde et la restauration des disques.So it doesn't require private endpoints for backup and restore of disks.

Toutefois, la récupération de fichiers à partir d’un coffre contenant des points de terminaison privés est limitée aux réseaux virtuels qui contiennent un point de terminaison privé associé au coffre.However, file recovery from a vault containing private endpoints would be restricted to virtual networks that contain a private endpoint for the vault.

Lorsque vous utilisez des disques non managés ACL, assurez-vous que le compte de stockage contenant les disques autorise l’accès à des services Microsoft approuvés s’il est ACL.When using ACL’ed unmanaged disks, ensure the storage account containing the disks allows access to trusted Microsoft services if it's ACL’ed.
Sauvegarde Azure FilesAzure Files backup Les sauvegardes du service Azure Files sont stockées dans le compte de stockage local.Azure Files backups are stored in the local storage account. Ainsi, vous n’avez pas besoin de points de terminaison privés pour la sauvegarde et la restauration.So it doesn't require private endpoints for backup and restore.

Prise en main de la création de points de terminaison privés pour Sauvegarde AzureGet started with creating private endpoints for Backup

Les sections suivantes traitent des étapes de création et d’utilisation des points de terminaison privés pour Sauvegarde Azure au sein de vos réseaux virtuels.The following sections discuss the steps involved in creating and using private endpoints for Azure Backup inside your virtual networks.

Important

Nous vous recommandons vivement de suivre l’ordre des étapes établi dans ce document.It's highly recommended that you follow steps in the same sequence as mentioned in this document. Si vous ne le faites pas, le coffre rendu risque d’être incompatible avec l’utilisation des points de terminaison privés. Cela vous obligera à recommencer la procédure avec un nouveau coffre.Failure to do so may lead to the vault being rendered incompatible to use private endpoints and requiring you to restart the process with a new vault.

Créer un coffre Recovery ServicesCreate a Recovery Services vault

Les points de terminaison privés pour Sauvegarde Azure ne peuvent être créés que pour les coffres Recovery Services qui n’ont pas d’éléments protégés (ou qui n’ont pas été tentés d’être protégés ou inscrits auparavant).Private endpoints for Backup can be only created for Recovery Services vaults that don't have any items protected to it (or haven't had any items attempted to be protected or registered to it in the past). Nous vous suggérons donc de créer un coffre pour commencer.So we suggest you create a new vault to start with. Pour plus d’informations sur la création d’un coffre, consultez Créer et configurer un coffre Recovery Services.For more information about creating a new vault, see Create and configure a Recovery Services vault.

Consultez cette section pour savoir comment créer un coffre à l’aide du client Azure Resource Manager.See this section to learn how to create a vault using the Azure Resource Manager client. Cela crée un coffre dont l’identité managée est déjà activée.This creates a vault with its managed identity already enabled.

Activer une identité managée sur votre machine virtuelleEnable Managed Identity for your vault

Les identités managées permettent au coffre de créer et d’utiliser des points de terminaison privés.Managed identities allow the vault to create and use private endpoints. Cette section traite de l’activation de l’identité managée pour votre coffre.This section talks about enabling the managed identity for your vault.

  1. Accédez à votre coffre Recovery Services, puis au paramètre Identity (Identité).Go to your Recovery Services vault -> Identity.

    Capture d’écran montrant l’option d’activation de l’état de l’identité

  2. Cliquez sur le bouton bascule sous État pour le définir sur la valeur Activé, puis sélectionnez Enregistrer.Change the Status to On and select Save.

  3. Un ID d’objet est généré. Il correspond à l’identité managée du coffre.An Object ID is generated, which is the vault’s managed identity.

    Notes

    Une fois activée, l’identité managée ne doit pas être désactivée (même temporairement).Once enabled, the Managed Identity must not be disabled (even temporarily). La désactivation de l’identité managée peut entraîner un comportement incohérent.Disabling the managed identity may lead to inconsistent behavior.

Accorder des autorisations au coffre pour créer des points de terminaison privés requisGrant permissions to the vault to create required private endpoints

Pour créer les points de terminaison privés requis pour le service Sauvegarde Azure, le coffre (ou plus exactement, l’identité managée du coffre) doit disposer d’autorisations sur les groupes de ressources suivants :To create the required private endpoints for Azure Backup, the vault (the Managed Identity of the vault) must have permissions to the following resource groups:

  • Le groupe de ressources qui contient le réseau virtuel (VNet) cible.The Resource Group that contains the target VNet
  • Le groupe de ressources dans lequel les points de terminaison privés doivent être créés.The Resource Group where the Private Endpoints are to be created
  • Le groupe de ressources qui contient Private DNS Zones, comme discuté en détail iciThe Resource Group that contains the Private DNS zones, as discussed in detail here

Nous vous recommandons d’accorder le rôle Contributor (Contributeur) à ces trois groupes de ressources pour le coffre (identité managée).We recommend that you grant the Contributor role for those three resource groups to the vault (managed identity). Les étapes suivantes expliquent comment effectuer cette opération pour un groupe de ressources particulier (cette opération doit être effectuée pour chacun des trois groupes de ressources) :The following steps describe how to do this for a particular resource group (this needs to be done for each of the three resource groups):

  1. Accédez au groupe de ressources puis, dans la barre de gauche, accédez à Access Control (IAM) (Contrôle d'accès (Gestion des identités et des accès)).Go to the Resource Group and navigate to Access Control (IAM) on the left bar.

  2. Une fois dans Access Control (Contrôle d'accès), accédez à Add a role assignment (Ajouter une attribution de rôle).Once in Access Control, go to Add a role assignment.

    Ajouter une attribution de rôle

  3. Dans le volet Add role assignment (Ajouter une attribution de rôle), sélectionnez Contributor (Contributeur) en tant que Role (Rôle), puis utilisez le Name (Nom) du coffre en tant que Principal.In the Add role assignment pane, choose Contributor as the Role, and use the Name of the vault as the Principal. Lorsque vous avez terminé, sélectionnez votre coffre, puis Enregistrer.Select your vault and select Save when done.

    Choisir un rôle et un principal

Pour gérer les autorisations plus précisément, consultez la section Créer manuellement des rôles et des autorisations.To manage permissions at a more granular level, see Create roles and permissions manually.

Créer des points de terminaison privés pour Sauvegarde AzureCreate Private Endpoints for Azure Backup

Cette section explique comment créer un point de terminaison privé pour votre coffre.This section explains how to create a private endpoint for your vault.

  1. Accédez à votre coffre créé ci-dessus et rendez-vous dans Connexions de point de terminaison privé dans la barre de navigation de gauche.Navigate to your vault created above and go to Private endpoint connections on the left navigation bar. Sélectionnez +Point de terminaison privé en haut pour commencer à créer un nouveau point de terminaison privé pour ce coffre.Select +Private endpoint on the top to start creating a new private endpoint for this vault.

    Créer un point de terminaison privé

  2. Une fois dans le processus Create Private Endpoint (Créer un point de terminaison privé), vous devez entrer des informations requises pour créer la connexion de votre point de terminaison privé.Once in the Create Private Endpoint process, you'll be required to specify details for creating your private endpoint connection.

    1. Paramètres de base: Entrez les informations de base de vos points de terminaison privés.Basics: Fill in the basic details for your private endpoints. La région doit être la même que celle du coffre et de la ressource sauvegardés.The region should be the same as the vault and the resource being backed up.

      Capture d’écran montrant les champs d’informations de base à remplir

    2. Ressource : Dans cet onglet, vous devez sélectionner la ressource PaaS pour laquelle vous souhaitez créer votre connexion.Resource: This tab requires you to select the PaaS resource for which you want to create your connection. Sélectionnez Microsoft.RecoveryServices/vaults à partir du type de ressource pour l’abonnement souhaité.Select Microsoft.RecoveryServices/vaults from the resource type for your desired subscription. Lorsque vous avez terminé, choisissez le nom de votre coffre Recovery Services dans la section Resource (Ressource) et AzureBackup dans la section Target sub-resource (Sous-ressource cible).Once done, choose the name of your Recovery Services vault as the Resource and AzureBackup as the Target sub-resource.

      Sélectionner la ressource pour votre connexion

    3. Configuration : Dans Configuration, spécifiez le réseau virtuel et le sous-réseau où vous souhaitez que le point de terminaison privé soit créé.Configuration: In configuration, specify the virtual network and subnet where you want the private endpoint to be created. Il s’agit du réseau virtuel sur lequel se trouve la machine virtuelle.This will be the Vnet where the VM is present.

      Pour vous connecter de manière privée, vous devez disposer des enregistrements DNS requis.To connect privately, you need required DNS records. En fonction de la configuration de votre réseau, vous pouvez choisir l’une des options suivantes :Based on your network setup, you can choose one of the following:

      • Intégrer votre point de terminaison privé à une zone DNS privée : sélectionnez Oui si vous souhaitez l’intégrer.Integrate your private endpoint with a private DNS zone: Select Yes if you wish to integrate.
      • Utiliser votre serveur DNS personnalisé : sélectionnez Non si vous souhaitez utiliser votre propre serveur DNS.Use your custom DNS server: Select No if you wish to use your own DNS server.

      La gestion des enregistrements DNS pour ces deux options est décrite plus loin dans cet article.Managing DNS records for both these are described later.

      Spécifier le réseau virtuel et le sous-réseau

    4. Si vous le souhaitez, vous pouvez ajouter des balises à votre point de terminaison privé.Optionally, you can add Tags for your private endpoint.

    5. Passez à Vérifier + créer lorsque vous avez terminé la saisie des informations requises.Continue to Review + create once done entering details. Une fois la validation terminée, sélectionnez Créer pour créer le point de terminaison privé.When the validation completes, select Create to create the private endpoint.

Approuver des points de terminaison privésApprove Private Endpoints

Si l’utilisateur qui crée le point de terminaison privé est également le propriétaire du coffre Recovery Services, le point de terminaison privé créé précédemment est approuvé automatiquement.If the user creating the private endpoint is also the owner of the Recovery Services vault, the private endpoint created above will be auto-approved. Dans le cas contraire, le propriétaire du coffre doit approuver le point de terminaison privé avant de pouvoir l’utiliser.Otherwise, the owner of the vault must approve the private endpoint before being able to use it. Cette section présente l’approbation manuelle des points de terminaison privés via le portail Azure.This section discusses manual approval of private endpoints through the Azure portal.

Si vous souhaitez utiliser le client Azure Resource Manager pour approuver vos points de terminaison privés, consultez la section Approbation manuelle des points de terminaison privés à l’aide du client Azure Resource Manager client Azure Resource Manager pour utiliser le client Azure Resource Manager pour l’approbation des points de terminaison privés.See Manual approval of private endpoints using the Azure Resource Manager Client to use the Azure Resource Manager client for approving private endpoints.

  1. Accédez à votre coffre Recovery Services. Dans la barre de gauche, accédez à Private endpoint connections (Connexions de point de terminaison privé).In your Recovery Services vault, navigate to Private endpoint connections on the left bar.

  2. Sélectionnez la connexion de point de terminaison privé à approuverSelect the private endpoint connection you wish to approve.

  3. Dans la barre supérieure, sélectionnez Approve (Approuver).Select Approve on the top bar. Vous pouvez également sélectionner Reject (Rejeter) ou Remove (Supprimer) si vous souhaitez rejeter ou supprimer la connexion au point de terminaison.You can also select Reject or Remove if you wish to reject or delete the endpoint connection.

    Capture d’écran montrant la procédure d’approbation d’un point de terminaison privé

Gestion des enregistrements DNSManage DNS records

Comme décrit précédemment, vous avez besoin des enregistrements DNS requis dans vos zones ou serveurs DNS privés afin de vous connecter de manière privée.As described previously, you need the required DNS records in your private DNS zones or servers in order to connect privately. Vous pouvez intégrer votre point de terminaison privé directement aux zones DNS privées Azure ou utiliser vos serveurs DNS personnalisés pour y parvenir, en fonction de vos préférences réseau.You can either integrate your private endpoint directly with Azure private DNS zones or use your custom DNS servers to achieve this, based on your network preferences. Cela devra être fait pour les trois services : Sauvegarde, Blobs et Files d’attente.This will need to be done for all three services: Backup, Blobs, and Queues.

Lors de l’intégration de points de terminaison privés à des zones DNS privées AzureWhen integrating private endpoints with Azure private DNS zones

Si vous choisissez d’intégrer votre point de terminaison privé à des zones DNS privées, Sauvegarde Azure ajoutera les enregistrements DNS requis.If you choose to integrate your private endpoint with private DNS zones, Backup will add the required DNS records. Vous pouvez afficher les zones DNS privées utilisées sous la rubrique Configuration DNS du point de terminaison privé.You can view the private DNS zones being used under DNS configuration of the private endpoint. Si ces zones DNS ne sont pas présentes, elles sont créées automatiquement lors de la création du point de terminaison privé.If these DNS zones aren't present, they'll be created automatically when creating the private endpoint. Toutefois, vous devez vérifier que votre réseau virtuel (qui contient les ressources à sauvegarder) est correctement lié aux trois zones DNS privées, comme décrit ci-dessous.However, you must verify that your virtual network (which contains the resources to be backed up) is properly linked with all three private DNS zones, as described below.

Configuration DNS dans la zone DNS privée Azure

Pour chaque zone DNS privée indiquée ci-dessus (pour Sauvegarde, Blobs et Files d’attente), procédez comme suit :For each private DNS zone listed above (for Backup, Blobs and Queues), do the following:

  1. Accédez à l’option Liens de réseau virtuel respective dans la barre de navigation de gauche.Navigate to the respective Virtual network links option on the left navigation bar.

  2. Vous devriez pouvoir voir une entrée pour le réseau virtuel pour lequel vous avez créé le point de terminaison privé, comme celui illustré ci-dessous :You should be able to see an entry for the virtual network for which you've created the private endpoint, like the one shown below:

    Réseau virtuel pour le point de terminaison privé

  3. Si vous ne voyez pas d’entrée, ajoutez un lien de réseau virtuel à toutes les zones DNS qui n’en ont pas.If you don’t see an entry, add a virtual network link to all those DNS zones that don't have them.

    Ajouter un lien de réseau virtuel

Lors de l’utilisation d’un serveur DNS personnalisé ou de fichiers d’hôtesWhen using custom DNS server or host files

Si vous utilisez vos serveurs DNS personnalisés, vous devez créer les zones DNS nécessaires et ajouter les enregistrements DNS requis par les points de terminaison privés à vos serveurs DNS.If you're using your custom DNS servers, you'll need to create the required DNS zones and add the DNS records needed by the private endpoints to your DNS servers. Pour les blobs et les files d’attente, vous pouvez également utiliser des redirecteurs conditionnels.For blobs and queues, you can also use conditional forwarders.

Pour le service Sauvegarde AzureFor the Backup service

  1. Sur votre serveur DNS, créez une zone DNS pour Sauvegarde Azure en respectant la convention d’affectation de noms suivante :In your DNS server, create a DNS zone for Backup according to the following naming convention:

    ZoneZone ServiceService
    privatelink.<geo>.backup.windowsazure.com SauvegardeBackup

    Notes

    Dans le texte ci-dessus, <geo> fait référence au code de région (par exemple, eus et ne pour les régions USA Est et Europe Nord, respectivement).In the above text, <geo> refers to the region code (for example eus and ne for East US and North Europe respectively). Consultez les listes suivantes pour connaître les codes de régions :Refer to the following lists for regions codes:

  2. Ensuite, nous devons ajouter les enregistrements DNS requis.Next, we need to add the required DNS records. Pour afficher les enregistrements qui doivent être ajoutés à la zone DNS de Sauvegarde Azure, accédez au point de terminaison privé que vous avez créé ci-dessus, puis accédez à l’option Configuration DNS sous la barre de navigation de gauche.To view the records that need to be added to the Backup DNS zone, navigate to the private endpoint you created above, and go to the DNS configuration option under the left navigation bar.

    Configuration DNS pour le serveur DNS personnalisé

  3. Ajoutez une entrée pour chaque nom de domaine complet et adresse IP affichés sous la forme d’enregistrements de type A dans votre zone DNS pour Sauvegarde Azure.Add one entry for each FQDN and IP displayed as A type records in your DNS zone for Backup. Si vous utilisez un fichier d’hôte pour la résolution de noms, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP et nom de domaine complet selon le format suivant :If you're using a host file for name resolution, make corresponding entries in the host file for each IP and FQDN according to the following format:

    <private ip><space><backup service privatelink FQDN>

Notes

Comme indiqué dans la capture d’écran ci-dessus, les noms de domaine complets indiquent xxxxxxxx.<geo>.backup.windowsazure.com et non xxxxxxxx.privatelink.<geo>.backup. windowsazure.com.As shown in the screenshot above, the FQDNs depict xxxxxxxx.<geo>.backup.windowsazure.com and not xxxxxxxx.privatelink.<geo>.backup. windowsazure.com. Dans ce cas, veillez à inclure (et, le cas échéant, à ajouter) le .privatelink. conformément au format indiqué.In such cases, ensure you include (and if required, add) the .privatelink. according to the stated format.

Pour les services de Blob et de File d’attenteFor Blob and Queue services

Pour les blobs et les files d’attente, vous pouvez utiliser des redirecteurs conditionnels ou créer des zones DNS sur votre serveur DNS.For blobs and queues, you can either use conditional forwarders or create DNS zones in your DNS server.

En cas d’utilisation de redirecteurs conditionnelsIf using conditional forwarders

Si vous utilisez des redirecteurs conditionnels, ajoutez des redirecteurs pour les noms de domaine complets des blobs et des files d’attente comme suit :If you're using conditional forwarders, add forwarders for blob and queue FQDNs as follows:

FQDNFQDN IPIP
privatelink.blob.core.windows.net 168.63.129.16168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16168.63.129.16
En cas d’utilisation de zones DNS privéesIf using private DNS zones

Si vous utilisez des zones DNS pour les blobs et les files d’attente, vous devez d’abord créer ces zones DNS et ajouter ultérieurement les enregistrements A requis.If you're using DNS zones for blobs and queues, you'll need to first create these DNS zones and later add the required A records.

ZoneZone ServiceService
privatelink.blob.core.windows.net Objet blobBlob
privatelink.queue.core.windows.net File d'attenteQueue

Pour l’instant, nous ne créerons les zones pour les blobs et les files d’attente que lorsque nous utiliserons des serveurs DNS personnalisés.At this moment, we'll only create the zones for blobs and queues when using custom DNS servers. L’ajout d’enregistrements DNS sera effectué plus tard en deux étapes :Adding DNS records will be done later in two steps:

  1. Lorsque vous inscrivez la première instance de sauvegarde, c’est-à-dire lorsque vous configurez la sauvegarde pour la première fois.When you register the first backup instance, that is, when you configure backup for the first time
  2. Lorsque vous exécutez la première sauvegarde.When you run the first backup

Nous effectuerons ces étapes dans les sections suivantes.We'll perform these steps in the following sections.

Utiliser des points de terminaison privés pour Sauvegarde AzureUse Private Endpoints for Backup

Après l’approbation des points de terminaison privés créés pour le coffre de votre réseau virtuel, vous pouvez commencer à les utiliser pour effectuer vos sauvegardes et restaurations.Once the private endpoints created for the vault in your VNet have been approved, you can start using them for performing your backups and restores.

Important

Avant de continuer, vérifiez que vous avez suivi toutes les étapes précédentes de ce document.Ensure that you've completed all the steps mentioned above in the document successfully before proceeding. Voici une liste des de ces étapes :To recap, you must have completed the steps in the following checklist:

  1. Créer un (nouveau) coffre Recovery ServicesCreated a (new) Recovery Services vault
  2. Activer le coffre pour utiliser l’identité managée affectée par le systèmeEnabled the vault to use system assigned Managed Identity
  3. Attribuer les autorisations appropriées à l’identité managée du coffreAssigned relevant permissions to the Managed Identity of the vault
  4. Créer un point de terminaison privé pour votre coffreCreated a Private Endpoint for your vault
  5. Approuver le point de terminaison privé (s’il n’a pas été approuvé automatiquement)Approved the Private Endpoint (if not auto approved)
  6. Vérifier que tous les enregistrements DNS sont correctement ajoutés (à l’exception des enregistrements de blob et de file d’attente pour les serveurs personnalisés, qui seront abordés dans les sections suivantes)Ensured all DNS records are appropriately added (except blob and queue records for custom servers, which will be discussed in the following sections)

Vérifier la connectivité des machines virtuellesCheck VM connectivity

Dans la machine virtuelle du réseau verrouillé, vérifiez les points suivants :In the VM in the locked down network, ensure the following:

  1. La machine virtuelle doit avoir accès à AAD.The VM should have access to AAD.
  2. Exécutez nslookup sur l’URL de sauvegarde (xxxxxxxx.privatelink.<geo>.backup. windowsazure.com) à partir de votre machine virtuelle pour garantir la connectivité.Execute nslookup on the backup URL (xxxxxxxx.privatelink.<geo>.backup. windowsazure.com) from your VM, to ensure connectivity. Cette opération doit renvoyer l’adresse IP privée attribuée dans votre réseau virtuel.This should return the private IP assigned in your virtual network.

Configurer une sauvegardeConfigure backup

Une fois que vous vous êtes assuré que la liste de vérification ci-dessus et l’accès ont été correctement effectués, vous pouvez continuer à configurer la sauvegarde des charges de travail dans le coffre.Once you ensure the above checklist and access to have been successfully completed, you can continue to configure backup of workloads to the vault. Si vous utilisez un serveur DNS personnalisé, vous devez ajouter des entrées DNS pour les blobs et les files d’attente disponibles après la configuration de la première sauvegarde.If you're using a custom DNS server, you'll need to add DNS entries for blobs and queues that are available after configuring the first backup.

Enregistrements DNS pour les blobs et les files d’attente (uniquement pour les fichiers d’hôtes/serveurs DNS personnalisés) après la première inscriptionDNS records for blobs and queues (only for custom DNS servers/host files) after the first registration

Une fois que vous avez configuré la sauvegarde pour au moins une ressource d’un coffre pour lequel un point de terminaison privé est activé, ajoutez les enregistrements DNS requis pour les blobs et les files d’attente, comme décrit ci-dessous.After you have configured backup for at least one resource on a private endpoint enabled vault, add the required DNS records for blobs and queues as described below.

  1. Accédez à votre groupe de ressources, puis recherchez le point de terminaison privé que vous avez créé.Navigate to your Resource Group, and search for the private endpoint you created.

  2. Hormis le nom du point de terminaison privé que vous avez donné, vous verrez deux autres points de terminaison privés en cours de création.Aside from the private endpoint name given by you, you'll see two more private endpoints being created. Ces derniers commencent par <the name of the private endpoint>_ecs et sont suivis des suffixes _blob et _queue respectivement.These start with <the name of the private endpoint>_ecs and are suffixed with _blob and _queue respectively.

    Ressources de point de terminaison privé

  3. Accédez à chacun de ces points de terminaison privés.Navigate to each of these private endpoints. Dans l’option Configuration DNS pour chacun des deux points de terminaison privés, vous verrez un enregistrement avec un nom de domaine complet et une adresse IP.In the DNS configuration option for each of the two private endpoints, you'll see a record with and an FQDN and an IP address. Ajoutez ces deux éléments à votre serveur DNS personnalisé, en plus de ceux décrits précédemment.Add both of these to your custom DNS server, in addition to the ones described earlier. Si vous utilisez un fichier d’hôte, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP/nom de domaine complet selon le format suivant :If you're using a host file, make corresponding entries in the host file for each IP/FQDN according to the following format:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Configuration DNS de blobs

Outre les éléments ci-dessus, une autre entrée est nécessaire après la première sauvegarde, dont il est question plus loin.In addition to the above, there's another entry needed after the first backup, which is discussed later.

Sauvegarde et restauration de charges de travail dans une machine virtuelle Azure (SQL et SAP HANA)Backup and restore of workloads in Azure VM (SQL and SAP HANA)

Une fois le point de terminaison privé créé et approuvé, aucune autre modification n’est requise côté client pour utiliser le point de terminaison privé (à moins que vous n’utilisiez des groupes de disponibilité SQL, cas que nous aborderons plus loin dans cette section).Once the private endpoint is created and approved, no other changes are required from the client side to use the private endpoint (unless you're using SQL Availability Groups, which we discuss later in this section). Toutes les communications et tous les transferts de données de votre réseau sécurisé vers le coffre sont effectués via le point de terminaison privé.All communication and data transfer from your secured network to the vault will be performed through the private endpoint. Toutefois, si vous supprimez des points de terminaison privés associés au coffre après l’inscription d’un serveur (SQL ou SAP HANA), vous devez réinscrire le conteneur auprès du coffre.However, if you remove private endpoints for the vault after a server (SQL or SAP HANA) has been registered to it, you'll need to re-register the container with the vault. Vous n’avez pas besoin d’arrêter leur protection.You don't need to stop protection for them.

Enregistrements DNS pour les blobs (uniquement pour les fichiers d’hôtes/serveurs DNS personnalisés) après la première sauvegardeDNS records for blobs (only for custom DNS servers/host files) after the first backup

Une fois que vous avez exécuté la première sauvegarde et que vous utilisez un serveur DNS personnalisé (sans transfert conditionnel), il est probable que votre sauvegarde échoue.After you run the first backup and you're using a custom DNS server (without conditional forwarding), it's likely that your backup will fail. Si cela se produit :If that happens:

  1. Accédez à votre groupe de ressources, puis recherchez le point de terminaison privé que vous avez créé.Navigate to your Resource Group, and search for the private endpoint you created.

  2. En plus des trois points de terminaison privés abordés précédemment, vous allez maintenant voir un quatrième point de terminaison privé dont le nom commence par <the name of the private endpoint>_prot et est suivi du suffixe _blob.Aside from the three private endpoints discussed earlier, you'll now see a fourth private endpoint with its name starting with <the name of the private endpoint>_prot and are suffixed with _blob.

    Point de terminaison privé avec le suffixe « prot »

  3. Accédez à ce nouveau point de terminaison privé.Navigate to this new private endpoint. Dans l’option Configuration DNS, vous verrez un enregistrement avec un nom de domaine complet et une adresse IP.In the DNS configuration option, you'll see a record with an FQDN and an IP address. Ajoutez-les à votre serveur DNS privé, en plus de ceux décrits précédemment.Add these to your private DNS server, in addition to the ones described earlier.

    Si vous utilisez un fichier d’hôte, effectuez les entrées correspondantes dans le fichier d’hôte pour chaque adresse IP et nom de domaine complet selon le format suivant :If you're using a host file, make the corresponding entries in the host file for each IP and FQDN according to the following format:

    <private ip><space><blob service privatelink FQDN>

Notes

À ce stade, vous devriez être en mesure d’exécuter nslookup à partir de la machine virtuelle et de résoudre les adresses IP privées sur les URL de sauvegarde et de stockage du coffre.At this point, you should be able to run nslookup from the VM and resolve to private IP addresses when done on the vault’s Backup and Storage URLs.

Lors de l’utilisation de groupes de disponibilité SQLWhen using SQL Availability Groups

Lorsque vous utilisez des groupes de disponibilité (AG) SQL, vous devez configurer le transfert conditionnel dans le DNS AG personnalisé comme décrit ci-dessous :When using SQL Availability Groups (AG), you'll need to provision conditional forwarding in the custom AG DNS as described below:

  1. Connectez-vous à votre contrôleur de domaine.Sign in to your domain controller.

  2. Sous l’application DNS, ajoutez des redirecteurs conditionnels pour les trois zones DNS (Sauvegarde, Blobs et Files d’attente) vers l’adresse IP de l’hôte 168.63.129.16 ou l’adresse IP du serveur DNS personnalisé, le cas échéant.Under the DNS application, add conditional forwarders for all three DNS zones (Backup, Blobs, and Queues) to the host IP 168.63.129.16 or the custom DNS server IP address, as necessary. Les captures d’écran suivantes illustrent le moment où vous effectuez un transfert vers l’adresse IP de l’hôte Azure.The following screenshots show when you're forwarding to the Azure host IP. Si vous utilisez votre propre serveur DNS, remplacez-la par l’adresse IP de votre serveur DNS.If you're using your own DNS server, replace with the IP of your DNS server.

    Redirecteurs conditionnels dans Gestionnaire DNS

    Nouveau redirecteur conditionnel

Sauvegarde et restauration par le biais de l’agent MARSBackup and restore through MARS Agent

Lorsque vous utilisez l’agent MARS pour sauvegarder vos ressources locales, assurez-vous que votre réseau local (contenant vos ressources à sauvegarder) est homologué avec le réseau virtuel Azure qui contient un point de terminaison privé pour le coffre, afin de pouvoir l’utiliser.When using the MARS Agent to back up your on-premises resources, make sure your on-premises network (containing your resources to be backed up) is peered with the Azure VNet that contains a private endpoint for the vault, so you can use it. Vous pouvez ensuite continuer à installer l’agent MARS et configurer la sauvegarde comme indiqué ici.You can then continue to install the MARS agent and configure backup as detailed here. Toutefois, vous devez vous assurer que toutes les communications pour la sauvegarde s’effectuent uniquement par le biais du réseau homologué.However, you must ensure all communication for backup happens through the peered network only.

Cependant, si vous supprimez des points de terminaison privés pour le coffre après l’inscription d’un agent MARS, vous devez réinscrire le conteneur auprès du coffre.But if you remove private endpoints for the vault after a MARS agent has been registered to it, you'll need to re-register the container with the vault. Vous n’avez pas besoin d’arrêter leur protection.You don't need to stop protection for them.

Suppression de points de terminaison privésDeleting Private EndPoints

Consultez cette section pour savoir comment supprimer des points de terminaison privés.See this section to learn how to delete Private EndPoints.

Rubriques supplémentairesAdditional topics

Utiliser le client Azure Resource Manager pour créer un coffre Recovery ServicesCreate a Recovery Services vault using the Azure Resource Manager client

Vous pouvez créer un coffre Recovery Services et activer son identité managée (l’activation de l’identité managée est requise, comme nous le verrons plus tard) à l’aide du client Azure Resource Manager.You can create the Recovery Services vault and enable its Managed Identity (enabling the Managed Identity is required, as we'll later see) using the Azure Resource Manager client. Un exemple de cette procédure est partagé ci-dessous :A sample for doing this is shared below:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Le fichier JSON ci-dessus doit avoir le contenu suivant :The JSON file above should have the following content:

Requête JSON :Request JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Réponse JSON :Response JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Notes

Le coffre créé dans cet exemple via le client Azure Resource Manager est déjà créé avec une identité managée affectée par le système.The vault created in this example through the Azure Resource Manager client is already created with a system-assigned managed identity.

Gestion des autorisations dans les groupes de ressourcesManaging permissions on Resource Groups

L’identité managée pour le coffre doit disposer des autorisations suivantes dans le groupe de ressources et le réseau virtuel où les points de terminaison privés seront créés :The Managed Identity for the vault needs to have the following permissions in the resource group and virtual network where the private endpoints will be created:

  • Microsoft.Network/privateEndpoints/* : cette autorisation est nécessaire pour exécuter CRUD sur des points de terminaison privés dans le groupe de ressources.Microsoft.Network/privateEndpoints/* This is required to perform CRUD on private endpoints in the resource group. Elle doit être affectée au niveau du groupe de ressources.It should be assigned on the resource group.
  • Microsoft.Network/virtualNetworks/subnets/join/action : cette autorisation est nécessaire sur le réseau virtuel où l’adresse IP privée est attachée au point de terminaison privé.Microsoft.Network/virtualNetworks/subnets/join/action This is required on the virtual network where private IP is getting attached with the private endpoint.
  • Microsoft.Network/networkInterfaces/read : cette autorisation est nécessaire sur le groupe de ressources pour obtenir l’interface réseau créée pour le point de terminaison privé.Microsoft.Network/networkInterfaces/read This is required on the resource group to get the network interface created for the private endpoint.
  • Private DNS Zone Contributor Role (Rôle Contributeur de zone DNS privée) : ce rôle existe déjà et peut être utilisé pour fournir les autorisations Microsoft.Network/privateDnsZones/A/* et Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.Private DNS Zone Contributor Role This role already exists and can be used to provide Microsoft.Network/privateDnsZones/A/* and Microsoft.Network/privateDnsZones/virtualNetworkLinks/read permissions.

Vous pouvez utiliser l’une des méthodes suivantes pour créer des rôles avec les autorisations requises :You can use one of the following methods to create roles with required permissions:

Créer manuellement des rôles et des autorisationsCreate roles and permissions manually

Créez les fichiers JSON suivants et utilisez la commande PowerShell à la fin de la section pour créer des rôles :Create the following JSON files and use the PowerShell command at the end of the section to create roles:

//PrivateEndpointContributorRoleDef.json//PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json//NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json//PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Utiliser un scriptUse a script

  1. Dans le portail Azure, démarrez le Cloud Shell, puis sélectionnez Upload (Charger) dans la fenêtre PowerShell.Start the Cloud Shell in the Azure portal and select Upload file in the PowerShell window.

    Capture d’écran montrant l’option Upload (Charger) de la fenêtre PowerShell

  2. Chargez le script suivant : VaultMsiPrereqScriptUpload the following script: VaultMsiPrereqScript

  3. Accédez à votre dossier de démarrage (par exemple : cd /home/user)Go to your home folder (for example: cd /home/user)

  4. Exécutez le script suivant :Run the following script:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Les paramètres sont les suivants :These are the parameters:

    • subscription : **SubscriptionId contenant le groupe de ressources dans lequel le point de terminaison privé du coffre doit être créé et le sous-réseau auquel le point de terminaison privé de l’archivage sera attachésubscription: **SubscriptionId that has the resource group where the private endpoint for the vault is to be created and the subnet where the vault's private endpoint will be attached

    • vaultPEResourceGroup : groupe de ressources dans lequel le point de terminaison privé de l’archivage sera créévaultPEResourceGroup: Resource group where the private endpoint for the vault will be created

    • vaultPESubnetResourceGroup : groupe de ressources du sous-réseau auquel le point de terminaison privé sera jointvaultPESubnetResourceGroup: Resource group of the subnet to which the private endpoint will be joined

    • vaultMsiName : Nom du fichier MSI du coffre, qui est le même que VaultNamevaultMsiName: Name of the vault's MSI, which is the same as VaultName

  5. Terminez l’authentification et le script prendra le contexte de l’abonnement donné, fourni ci-dessus.Complete the authentication and the script will take the context of the given subscription provided above. Il créera les rôles appropriés si le locataire ne les contient pas, puis affectera des rôles au MSI du coffre.It will create the appropriate roles if they're missing from the tenant and will assign roles to the vault's MSI.

Création d’un point de terminaison privé à l’aide d’Azure PowerShellCreating Private Endpoints using Azure PowerShell

Points de terminaison privés approuvés automatiquementAuto-approved private endpoints

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName
  
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Approbation manuelle des points de terminaison privés à l’aide du client Azure Resource ManagerManual approval of private endpoints using the Azure Resource Manager Client

  1. Utilisez GetVault pour obtenir l’ID de connexion de point de terminaison privé de votre point de terminaison privé.Use GetVault to get the Private Endpoint Connection ID for your private endpoint.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Cela retourne l’ID de connexion du point de terminaison privé.This will return the Private Endpoint Connection ID. Vous pouvez récupérer le nom de la connexion à l’aide de la première partie de l’ID de connexion, comme suit :The name of the connection can be retrieved by using the first part of the connection ID as follows:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Dans la réponse, récupérez le paramètre Private Endpoint Connection ID (ID de connexion de point de terminaison) (et le paramètre Private Endpoint Name (Nom du point de terminaison privé), lorsque cela est nécessaire), remplacez-les par le code JSON et l’URI de Azure Resource Manager suivants, puis essayez de définir le paramètre Status (État) sur « Approved/Rejected/Disconnected » (« Approuvé/Rejeté/Déconnecté », comme illustré dans l’exemple ci-dessous :Get the Private Endpoint Connection ID (and the Private Endpoint Name, wherever required) from the response and replace it in the following JSON and Azure Resource Manager URI and try changing the Status to “Approved/Rejected/Disconnected”, as demonstrated in the sample below:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON :JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Forum aux questionsFrequently asked questions

Q.Q. Puis-je créer un point de terminaison privé pour un coffre de sauvegarde existant ?Can I create a private endpoint for an existing Backup vault?
R.A. Non, les points de terminaison privés ne peuvent être créés que pour les nouveaux coffres de sauvegarde.No, private endpoints can be created for new Backup vaults only. Le coffre ne doit donc pas contenir d’éléments protégés.So the vault must not have ever had any items protected to it. En fait, aucune tentative de protection des éléments dans le coffre ne peut être effectuée avant de créer des points de terminaison privés.In fact, no attempts to protect any items to the vault can be made before creating private endpoints.

Q.Q. J’ai essayé de protéger un élément dans mon coffre, mais l’opération a échoué et le coffre ne contient toujours aucun élément protégé.I tried to protect an item to my vault, but it failed and the vault still doesn't contain any items protected to it. Puis-je créer des points de terminaison privés pour ce coffre ?Can I create private endpoints for this vault?
R.A. Non, le coffre ne doit pas avoir subi de tentatives de protection.No, the vault must not have had any attempts to protect any items to it in the past.

Q.Q. J’ai un coffre qui utilise des points de terminaison privés pour la sauvegarde et la restauration.I have a vault that's using private endpoints for backup and restore. Puis-je ajouter ou supprimer ultérieurement des points de terminaison privés pour ce coffre, même si des éléments de sauvegarde y sont protégés ?Can I later add or remove private endpoints for this vault even if I have backup items protected to it?
R.A. Oui.Yes. Si vous avez déjà créé des points de terminaison privés pour un coffre et des éléments de sauvegarde protégés, vous pouvez ajouter ou supprimer ultérieurement des points de terminaison privés en fonction des besoins.If you already created private endpoints for a vault and protected backup items to it, you can later add or remove private endpoints as required.

Q.Q. Le point de terminaison privé du service Sauvegarde Azure peut-il également être utilisé pour le service Azure Site Recovery ?Can the private endpoint for Azure Backup also be used for Azure Site Recovery?
R.A. Non, le point de terminaison privé du service Sauvegarde ne peut être utilisé que pour le service Sauvegarde Azure.No, the private endpoint for Backup can only be used for Azure Backup. Vous devez créer un nouveau point de terminaison privé pour le service Azure Site Recovery, si cela est pris en charge par le service.You'll need to create a new private endpoint for Azure Site Recovery, if it's supported by the service.

Q.Q. Je n’ai pas suivi l’une des étapes de cet article, mais j’ai pu protéger ma source de données.I missed one of the steps in this article and went on to protect my data source. Puis-je continuer à utiliser des points de terminaison privés ?Can I still use private endpoints?
R.A. Si vous ne suivez pas chaque étape de cet article et que vous continuez à protéger des éléments, le coffre risque de ne pas pouvoir utiliser des points de terminaison privés.Not following the steps in the article and continuing to protect items may lead to the vault not being able to use private endpoints. C’est pourquoi nous vous recommandons de vous référer à cette liste de vérification avant de continuer à protéger les éléments.It's therefore recommended you refer to this checklist before proceeding to protect items.

Q.Q. Puis-je utiliser mon propre serveur DNS au lieu d’utiliser la zone DNS privée Azure ou une zone DNS privée intégrée ?Can I use my own DNS server instead of using the Azure private DNS zone or an integrated private DNS zone?
R.A. Oui, vous pouvez utiliser vos propres serveurs DNS.Yes, you can use your own DNS servers. Toutefois, assurez-vous que tous les enregistrements DNS requis sont ajoutés comme indiqué dans cette section.However, make sure all required DNS records are added as suggested in this section.

Q.Q. Dois-je suivre des étapes supplémentaires sur mon serveur après avoir suivi toutes les procédures de cet article ?Do I need to perform any additional steps on my server after I've followed the process in this article?
R.A. Après avoir suivi toutes les procédures de cet article, vous avez besoin de rien d’autre pour utiliser des points de terminaison privés pour la sauvegarde et la restauration.After following the process detailed in this article, you don't need to do additional work to use private endpoints for backup and restore.

Étapes suivantesNext steps