Privé-eindpunten maken en gebruiken voor Azure Backup

Dit artikel bevat informatie over het proces van het maken van privé-eindpunten voor Azure Backup en de scenario's waarin privé-eindpunten helpen de beveiliging van uw resources te behouden.

Voordat u begint

Zorg ervoor dat u de vereisten en de ondersteunde scenario's hebt gelezen voordat u doorgaat met het maken van privé-eindpunten.

Deze details helpen u inzicht te hebben in de beperkingen en voorwaarden die moeten worden vervuld voordat u privé-eindpunten voor uw kluizen maakt.

Aan de slag met het maken van privé-eindpunten voor back-up

In de volgende secties worden de stappen besproken die zijn betrokken bij het maken en gebruiken van privé-eindpunten voor Azure Backup binnen uw virtuele netwerken.

Belangrijk

Het wordt ten zeerste aanbevolen om de stappen in dezelfde volgorde te volgen als in dit document. Als u dit niet doet, kan dit ertoe leiden dat de kluis niet compatibel is met het gebruik van privé-eindpunten en dat u het proces opnieuw moet starten met een nieuwe kluis.

Een Recovery Services-kluis maken

Privé-eindpunten voor Back-up kunnen alleen worden gemaakt voor Recovery Services-kluizen waarvoor geen items zijn beveiligd (of waarvoor in het verleden geen items zijn geprobeerd te worden beveiligd of geregistreerd). We raden u dus aan om een nieuwe kluis te maken om mee te beginnen. Zie Een Recovery Services-kluis maken en configureren voor meer informatie over het maken van een nieuwe kluis.

Zie deze sectie voor meer informatie over het maken van een kluis met behulp van de Azure Resource Manager-client. Hiermee maakt u een kluis waarbij de beheerde identiteit al is ingeschakeld.

Beheerde identiteit inschakelen voor uw kluis

Met beheerde identiteiten kan de kluis privé-eindpunten maken en gebruiken. In deze sectie wordt beschreven hoe u de beheerde identiteit voor uw kluis inschakelt.

  1. Ga naar uw Recovery Services-kluis ->Identity.

    Change Identity status to On

  2. Wijzig de status in Aan en selecteer Opslaan.

  3. Er wordt een object-id gegenereerd. Dit is de beheerde identiteit van de kluis.

    Notitie

    Zodra dit is ingeschakeld, mag de beheerde identiteit niet worden uitgeschakeld (zelfs tijdelijk). Het uitschakelen van de beheerde identiteit kan leiden tot inconsistent gedrag.

Machtigingen verlenen aan de kluis om vereiste privé-eindpunten te maken

Als u de vereiste privé-eindpunten voor Azure Backup wilt maken, moet de kluis (de beheerde identiteit van de kluis) machtigingen hebben voor de volgende resourcegroepen:

  • De resourcegroep die het doel-VNet bevat
  • De resourcegroep waar de privé-eindpunten moeten worden gemaakt
  • De resourcegroep die de Privé-DNS zones bevat, zoals hier in detail wordt besproken

U wordt aangeraden de rol Inzender voor deze drie resourcegroepen toe te kennen aan de kluis (beheerde identiteit). In de volgende stappen wordt beschreven hoe u dit doet voor een bepaalde resourcegroep (dit moet worden gedaan voor elk van de drie resourcegroepen):

  1. Ga naar de resourcegroep en navigeer naar Access Control (IAM) in de linkerbalk.

  2. Ga in Access Control naar Een roltoewijzing toevoegen.

    Add a role assignment

  3. Kies in het deelvenster Roltoewijzing toevoegende optie Inzender als rol en gebruik de naam van de kluis als principal. Selecteer uw kluis en selecteer Opslaan wanneer u klaar bent.

    Choose role and principal

Zie Rollen en machtigingen handmatig maken om machtigingen op een gedetailleerder niveau te beheren.

Privé-eindpunten maken voor Azure Backup

In deze sectie wordt uitgelegd hoe u een privé-eindpunt maakt voor uw kluis.

  1. Navigeer naar uw kluis die hierboven is gemaakt en ga naar privé-eindpuntverbindingen op de linkernavigatiebalk. Selecteer +Privé-eindpunt bovenaan om een nieuw privé-eindpunt voor deze kluis te maken.

    Create new private endpoint

  2. In het proces Privé-eindpunt maken moet u details opgeven voor het maken van uw privé-eindpuntverbinding.

    1. Basisbeginselen: vul de basisgegevens voor uw privé-eindpunten in. De regio moet hetzelfde zijn als de kluis en de resource waarvan een back-up wordt gemaakt.

      Fill in basic details

    2. Resource: Op dit tabblad moet u de PaaS-resource selecteren waarvoor u de verbinding wilt maken. Selecteer Microsoft.RecoveryServices/kluizen uit het resourcetype voor uw gewenste abonnement. Als u klaar bent, kiest u de naam van uw Recovery Services-kluis als resource enAzureBackup als de doelsubresource.

      Select the resource for your connection

    3. Configuratie: Geef in de configuratie het virtuele netwerk en het subnet op waar u het privé-eindpunt wilt maken. Dit is het VNet waar de VIRTUELE machine aanwezig is.

      Als u privé verbinding wilt maken, hebt u vereiste DNS-records nodig. Op basis van de netwerkinstallatie kunt u een van de volgende opties kiezen:

      • Integreer uw privé-eindpunt met een privé-DNS-zone: selecteer Ja als u wilt integreren.
      • Gebruik uw aangepaste DNS-server: Selecteer Nee als u uw eigen DNS-server wilt gebruiken.

      Het beheren van DNS-records voor beide worden later beschreven.

      Specify the virtual network and subnet

    4. U kunt eventueel tags toevoegen voor uw privé-eindpunt.

    5. Ga door naar Beoordelen en maken nadat u de details hebt ingevoerd. Wanneer de validatie is voltooid, selecteert u Maken om het privé-eindpunt te maken.

Privé-eindpunten goedkeuren

Als de gebruiker die het privé-eindpunt maakt ook de eigenaar is van de Recovery Services-kluis, wordt het hierboven gemaakte privé-eindpunt automatisch goedgekeurd. Anders moet de eigenaar van de kluis het privé-eindpunt goedkeuren voordat deze kan worden gebruikt. In deze sectie wordt handmatige goedkeuring van privé-eindpunten besproken via de Azure Portal.

Zie Handmatige goedkeuring van privé-eindpunten met behulp van de Azure Resource Manager-client om de Azure Resource Manager-client te gebruiken voor het goedkeuren van privé-eindpunten.

  1. Navigeer in uw Recovery Services-kluis naar privé-eindpuntverbindingen op de linkerbalk.

  2. Selecteer de privé-eindpuntverbinding die u wilt goedkeuren.

  3. Selecteer Goedkeuren op de bovenste balk. U kunt ook Weigeren of Verwijderen selecteren als u de eindpuntverbinding wilt weigeren of verwijderen.

    Approve private endpoints

DNS-records beheren

Zoals eerder beschreven, hebt u de vereiste DNS-records in uw privé-DNS-zones of -servers nodig om privé verbinding te kunnen maken. U kunt uw privé-eindpunt rechtstreeks integreren met privé-DNS-zones van Azure of uw aangepaste DNS-servers gebruiken om dit te bereiken, op basis van uw netwerkvoorkeuren. Dit moet worden gedaan voor alle drie de services: Back-up, Blobs en Wachtrijen.

Als uw DNS-zone of -server aanwezig is in een ander abonnement dan het abonnement dat het privé-eindpunt bevat, ziet u ook DNS-vermeldingen maken wanneer de DNS-server/DNS-zone aanwezig is in een ander abonnement.

Bij het integreren van privé-eindpunten met privé-DNS-zones van Azure

Als u ervoor kiest om uw privé-eindpunt te integreren met privé-DNS-zones, voegt Backup de vereiste DNS-records toe. U kunt de privé-DNS-zones bekijken die worden gebruikt onder DE DNS-configuratie van het privé-eindpunt. Als deze DNS-zones niet aanwezig zijn, worden deze automatisch gemaakt bij het maken van het privé-eindpunt. U moet echter controleren of uw virtuele netwerk (dat de resources bevat waarvan een back-up moet worden gemaakt) correct is gekoppeld aan alle drie de privé-DNS-zones, zoals hieronder wordt beschreven.

DNS configuration in Azure private DNS zone

Notitie

Als u proxyservers gebruikt, kunt u ervoor kiezen om de proxyserver te omzeilen of uw back-ups uit te voeren via de proxyserver. Als u een proxyserver wilt omzeilen, gaat u verder met de volgende secties. Als u de proxyserver wilt gebruiken voor het uitvoeren van uw back-ups, raadpleegt u de configuratiegegevens van de proxyserver voor Recovery Services-kluis.

Ga als volgt te werk voor elke privé-DNS-zone die hierboven wordt vermeld (voor back-up, blobs en wachtrijen):

  1. Navigeer naar de betreffende optie voor virtuele netwerkkoppelingen op de linkernavigatiebalk.

  2. U moet een vermelding kunnen zien voor het virtuele netwerk waarvoor u het privé-eindpunt hebt gemaakt, zoals hieronder wordt weergegeven:

    Virtual network for private endpoint

  3. Als u geen vermelding ziet, voegt u een koppeling naar een virtueel netwerk toe aan al die DNS-zones die deze niet hebben.

    Add virtual network link

Wanneer u aangepaste DNS-server- of hostbestanden gebruikt

Als u uw aangepaste DNS-servers gebruikt, moet u de vereiste DNS-zones maken en de DNS-records toevoegen die nodig zijn voor de privé-eindpunten aan uw DNS-servers. Voor blobs en wachtrijen kunt u ook voorwaardelijke doorstuurservers gebruiken.

Voor de Backup-service

  1. Maak in uw DNS-server een DNS-zone voor back-up volgens de volgende naamconventie:

    Zone Service
    privatelink.<geo>.backup.windowsazure.com Backup

    Notitie

    In de bovenstaande tekst <geo> verwijst u naar de regiocode (bijvoorbeeld eus en ne voor RESPECTIEVELIJK VS - oost en Europa - noord). Raadpleeg de volgende lijsten voor regiocodes:

  2. Vervolgens moeten we de vereiste DNS-records toevoegen. Als u de records wilt weergeven die moeten worden toegevoegd aan de BACK-up-DNS-zone, gaat u naar het privé-eindpunt dat u hierboven hebt gemaakt en gaat u naar de optie DNS-configuratie onder de linkernavigatiebalk.

    DNS configuration for custom DNS server

  3. Voeg één vermelding toe voor elke FQDN- en IP-adres die worden weergegeven als A-typerecords in uw DNS-zone voor back-up. Als u een hostbestand gebruikt voor naamomzetting, maakt u overeenkomstige vermeldingen in het hostbestand voor elk IP- en FQDN-adres volgens de volgende indeling:

    <private ip><space><backup service privatelink FQDN>

Notitie

Zoals wordt weergegeven in de bovenstaande schermopname, worden de FQDN's weergegeven xxxxxxxx.<geo>.backup.windowsazure.com en niet xxxxxxxx.privatelink.<geo>.backup.windowsazure.com. In dergelijke gevallen moet u ervoor zorgen dat u de .privatelink. opgegeven indeling opneemt (en indien nodig toevoegt).

Voor Blob- en Queue-services

Voor blobs en wachtrijen kunt u voorwaardelijke doorstuurservers gebruiken of DNS-zones maken op uw DNS-server.

Als u voorwaardelijke doorstuurservers gebruikt

Als u voorwaardelijke doorstuurservers gebruikt, voegt u als volgt doorstuurservers toe voor blob- en wachtrij-FQDN's:

FQDN IP
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Als u privé-DNS-zones gebruikt

Als u DNS-zones gebruikt voor blobs en wachtrijen, moet u eerst deze DNS-zones maken en later de vereiste A-records toevoegen.

Zone Service
privatelink.blob.core.windows.net Blob
privatelink.queue.core.windows.net Wachtrij

Op dit moment maken we alleen de zones voor blobs en wachtrijen bij het gebruik van aangepaste DNS-servers. Het toevoegen van DNS-records wordt later in twee stappen uitgevoerd:

  1. Wanneer u het eerste back-upexemplaren registreert, is dat wanneer u de eerste keer een back-up configureert
  2. Wanneer u de eerste back-up uitvoert

Deze stappen worden uitgevoerd in de volgende secties.

Privé-eindpunten gebruiken voor back-up

Zodra de privé-eindpunten die zijn gemaakt voor de kluis in uw VNet zijn goedgekeurd, kunt u deze gaan gebruiken voor het uitvoeren van back-ups en herstelbewerkingen.

Belangrijk

Zorg ervoor dat u alle bovenstaande stappen in het document hebt voltooid voordat u doorgaat. Als u dit wilt samenvatten, moet u de stappen in de volgende controlelijst hebben voltooid:

  1. Een (nieuwe) Recovery Services-kluis gemaakt
  2. De kluis ingeschakeld voor het gebruik van door het systeem toegewezen beheerde identiteit
  3. Relevante machtigingen toegewezen aan de beheerde identiteit van de kluis
  4. Een privé-eindpunt voor uw kluis gemaakt
  5. Het privé-eindpunt goedgekeurd (indien niet automatisch goedgekeurd)
  6. Zorg ervoor dat alle DNS-records op de juiste wijze worden toegevoegd (behalve blob- en wachtrijrecords voor aangepaste servers, die in de volgende secties worden besproken)

VM-connectiviteit controleren

Controleer het volgende in de VM in het vergrendelde netwerk:

  1. De VM moet toegang hebben tot AAD.
  2. Voer nslookup uit op de back-up-URL (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) van uw VM om de connectiviteit te garanderen. Hiermee wordt het privé-IP-adres geretourneerd dat is toegewezen in uw virtuele netwerk.

Back-up configureren

Zodra u ervoor hebt gezorgd dat de bovenstaande controlelijst en toegang zijn voltooid, kunt u doorgaan met het configureren van back-ups van workloads naar de kluis. Als u een aangepaste DNS-server gebruikt, moet u DNS-vermeldingen toevoegen voor blobs en wachtrijen die beschikbaar zijn nadat u de eerste back-up hebt geconfigureerd.

DNS-records voor blobs en wachtrijen (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste registratie

Nadat u een back-up hebt geconfigureerd voor ten minste één resource in een kluis met een privé-eindpunt, voegt u de vereiste DNS-records voor blobs en wachtrijen toe, zoals hieronder wordt beschreven.

  1. Navigeer naar uw resourcegroep en zoek naar het privé-eindpunt dat u hebt gemaakt.

  2. Naast de naam van het privé-eindpunt dat u hebt opgegeven, ziet u dat er nog twee privé-eindpunten worden gemaakt. Deze beginnen met <the name of the private endpoint>_ecs en zijn respectievelijk voorzien _blob van een _queue achtervoegsel.

    Private endpoint resources

  3. Navigeer naar elk van deze privé-eindpunten. In de DNS-configuratieoptie voor elk van de twee privé-eindpunten ziet u een record met en een FQDN en een IP-adres. Voeg beide toe aan uw aangepaste DNS-server, naast de servers die eerder zijn beschreven. Als u een hostbestand gebruikt, maakt u overeenkomstige vermeldingen in het hostbestand voor elke IP/FQDN volgens de volgende indeling:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob DNS configuration

Bovendien is er nog een vermelding nodig na de eerste back-up, die later wordt besproken.

Back-up en herstel van workloads in Azure VM (SQL en SAP HANA)

Zodra het privé-eindpunt is gemaakt en goedgekeurd, zijn er geen andere wijzigingen vereist aan de clientzijde om het privé-eindpunt te gebruiken (tenzij u SQL beschikbaarheidsgroepen gebruikt, die verderop in deze sectie worden besproken). Alle communicatie en gegevensoverdracht van uw beveiligde netwerk naar de kluis worden uitgevoerd via het privé-eindpunt. Als u echter privé-eindpunten voor de kluis verwijdert nadat een server (SQL of SAP HANA) is geregistreerd, moet u de container opnieuw registreren bij de kluis. U hoeft de beveiliging niet voor hen te stoppen.

DNS-records voor blobs (alleen voor aangepaste DNS-servers/hostbestanden) na de eerste back-up

Nadat u de eerste back-up hebt uitgevoerd en u een aangepaste DNS-server gebruikt (zonder voorwaardelijke doorsturen), mislukt de back-up waarschijnlijk. Als dat gebeurt:

  1. Navigeer naar uw resourcegroep en zoek naar het privé-eindpunt dat u hebt gemaakt.

  2. Afgezien van de drie eerder besproken privé-eindpunten, ziet u nu een vierde privé-eindpunt met de naam die begint met <the name of the private endpoint>_prot en achtervoegsel _blobbevat.

    Private endpoing with suffix

  3. Navigeer naar dit nieuwe privé-eindpunt. In de optie DNS-configuratie ziet u een record met een FQDN en een IP-adres. Voeg deze toe aan uw privé-DNS-server, naast de servers die eerder zijn beschreven.

    Als u een hostbestand gebruikt, maakt u de bijbehorende vermeldingen in het hostbestand voor elk IP- en FQDN-adres volgens de volgende indeling:

    <private ip><space><blob service privatelink FQDN>

Notitie

Op dit moment moet u nslookup vanaf de VM kunnen uitvoeren en omzetten naar privé-IP-adressen wanneer u klaar bent met back-up en Storage URL's van de kluis.

Wanneer u SQL beschikbaarheidsgroepen gebruikt

Wanneer u SQL beschikbaarheidsgroepen (AG) gebruikt, moet u voorwaardelijke doorsturen inrichten in de aangepaste AG DNS, zoals hieronder wordt beschreven:

  1. Meld u aan bij uw domeincontroller.

  2. Voeg onder de DNS-toepassing voorwaardelijke doorstuurservers toe voor alle drie de DNS-zones (back-up, blobs en wachtrijen) aan het host-IP-adres 168.63.129.16 of het ip-adres van de aangepaste DNS-server, indien nodig. De volgende schermopnamen worden weergegeven wanneer u doorstuurt naar het IP-adres van de Azure-host. Als u uw eigen DNS-server gebruikt, vervangt u het IP-adres van uw DNS-server.

    Conditional forwarders in DNS Manager

    New conditional forwarder

Back-up maken en herstellen via MARS-agent en DPM-server

Notitie

  • Privé-eindpunten worden ondersteund met alleen DPM-server 2022 en hoger.
  • Privé-eindpunten worden nog niet ondersteund met MABS.

Wanneer u de MARS-agent gebruikt om een back-up te maken van uw on-premises resources, moet u ervoor zorgen dat uw on-premises netwerk (met uw resources waarvan een back-up moet worden gemaakt) is gekoppeld aan het Azure-VNet dat een privé-eindpunt voor de kluis bevat, zodat u het kunt gebruiken. Vervolgens kunt u de MARS-agent blijven installeren en back-up configureren zoals hier wordt beschreven. U moet er echter voor zorgen dat alle communicatie voor back-up alleen plaatsvindt via het gekoppelde netwerk.

Als u echter privé-eindpunten voor de kluis verwijdert nadat er een MARS-agent is geregistreerd, moet u de container opnieuw registreren bij de kluis. U hoeft de beveiliging niet voor hen te stoppen.

Privé-eindpunten verwijderen

Zie deze sectie voor meer informatie over het verwijderen van privé-eindpunten.

Extra onderwerpen

Een Recovery Services-kluis maken met behulp van de Azure Resource Manager-client

U kunt de Recovery Services-kluis maken en de beheerde identiteit inschakelen (de beheerde identiteit inschakelen is vereist, zoals later wordt weergegeven) met behulp van de Azure Resource Manager-client. Hieronder wordt een voorbeeld van dit voorbeeld gedeeld:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Het bovenstaande JSON-bestand moet de volgende inhoud hebben:

JSON aanvragen:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Antwoord-JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Notitie

De kluis die in dit voorbeeld is gemaakt via de Azure Resource Manager-client, wordt al gemaakt met een door het systeem toegewezen beheerde identiteit.

Machtigingen voor resourcegroepen beheren

De beheerde identiteit voor de kluis moet beschikken over de volgende machtigingen in de resourcegroep en het virtuele netwerk waar de privé-eindpunten worden gemaakt:

  • Microsoft.Network/privateEndpoints/* Dit is vereist om CRUD uit te voeren op privé-eindpunten in de resourcegroep. Deze moet worden toegewezen aan de resourcegroep.
  • Microsoft.Network/virtualNetworks/subnets/join/action Dit is vereist in het virtuele netwerk waar privé-IP wordt gekoppeld aan het privé-eindpunt.
  • Microsoft.Network/networkInterfaces/read Dit is vereist voor de resourcegroep om de netwerkinterface op te halen die is gemaakt voor het privé-eindpunt.
  • Privé-DNS rol Inzender zone bestaat deze rol al en kan worden gebruikt om machtigingen op te geven Microsoft.Network/privateDnsZones/A/* en Microsoft.Network/privateDnsZones/virtualNetworkLinks/read te verlenen.

U kunt een van de volgende methoden gebruiken om rollen te maken met de vereiste machtigingen:

Handmatig rollen en machtigingen maken

Maak de volgende JSON-bestanden en gebruik de PowerShell-opdracht aan het einde van de sectie om rollen te maken:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Een script gebruiken

  1. Start de Cloud Shell in de Azure Portal en selecteer Upload bestand in het PowerShell-venster.

    Select Upload file in PowerShell window

  2. Upload het volgende script: VaultMsiPrereqScript

  3. Ga naar uw basismap (bijvoorbeeld: cd /home/user)

  4. Voer het volgende script uit:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Dit zijn de parameters:

    • abonnement: **SubscriptionId met de resourcegroep waar het privé-eindpunt voor de kluis moet worden gemaakt en het subnet waarin het privé-eindpunt van de kluis wordt gekoppeld

    • vaultPEResourceGroup: Resourcegroep waarin het privé-eindpunt voor de kluis wordt gemaakt

    • vaultPESubnetResourceGroup: Resourcegroep van het subnet waaraan het privé-eindpunt wordt toegevoegd

    • vaultMsiName: naam van de MSI van de kluis, die hetzelfde is als VaultName

  5. Voltooi de verificatie en het script neemt de context van het bovenstaande abonnement. Hiermee worden de juiste rollen gemaakt als ze ontbreken in de tenant en rollen toewijzen aan de MSI van de kluis.

Privé-eindpunten maken met behulp van Azure PowerShell

Automatisch goedgekeurde privé-eindpunten

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Handmatige goedkeuring van privé-eindpunten met behulp van de Azure Resource Manager-client

  1. Gebruik GetVault om de privé-eindpuntverbindings-id voor uw privé-eindpunt op te halen.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Hiermee wordt de privé-eindpuntverbindings-id geretourneerd. De naam van de verbinding kan als volgt worden opgehaald met behulp van het eerste deel van de verbindings-id:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Haal de privé-eindpuntverbindings-id (en de naam van het privé-eindpunt, waar nodig) op uit het antwoord en vervang deze in de volgende JSON- en Azure Resource Manager-URI en wijzig de status in Goedgekeurd/Geweigerd/Verbroken, zoals wordt weergegeven in het onderstaande voorbeeld:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Proxyserver instellen voor Recovery Services-kluis met privé-eindpunt

Voer de volgende stappen uit om een proxyserver te configureren voor azure-VM of on-premises machine:

  1. Voeg de volgende domeinen toe die moeten worden geopend vanaf de proxyserver.

    Service Domeinnamen Poort
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Azure Active Directory

    Bijgewerkte domein-URL's die worden vermeld onder secties 56 en 59 in Microsoft 365 Common en Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Indien van toepassing.
  2. Toegang tot deze domeinen in de proxyserver toestaan en privé-DNS-zone ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) koppelen met het VNET waar de proxyserver wordt gemaakt of een aangepaste DNS-server met de respectieve DNS-vermeldingen gebruikt.

    Het VNET waarop de proxyserver wordt uitgevoerd en het VNET waar de NIC voor privé-eindpunten wordt gemaakt, moet worden gekoppeld, zodat de proxyserver de aanvragen omleidt naar een privé-IP.

    Notitie

    In de bovenstaande tekst <geo> wordt verwezen naar de regiocode (bijvoorbeeld eus en ne voor RESPECTIEVELIJK VS - oost en Europa - noord). Raadpleeg de volgende lijsten voor regiocodes:

In het volgende diagram ziet u een installatie (terwijl u azure Privé-DNS zones gebruikt) met een proxyserver waarvan het VNet is gekoppeld aan een privé-DNS-zone met de vereiste DNS-vermeldingen. De proxyserver kan ook een eigen aangepaste DNS-server hebben en de bovenstaande domeinen kunnen voorwaardelijk worden doorgestuurd naar 168.63.129.16. Als u een aangepast DNS-server-/hostbestand gebruikt voor DNS-omzetting, raadpleegt u de secties over het beheren van DNS-vermeldingen en het configureren van beveiliging.

Diagram showing a setup with a proxy server.

DNS-vermeldingen maken wanneer de DNS-server/DNS-zone aanwezig is in een ander abonnement

In deze sectie bespreken we de gevallen waarin u een DNS-zone gebruikt die aanwezig is in een abonnement, of een resourcegroep die verschilt van de resourcegroep die het privé-eindpunt voor de Recovery Services-kluis bevat, zoals een hub en spoke-topologie. Aangezien de beheerde identiteit die wordt gebruikt voor het maken van privé-eindpunten (en de DNS-vermeldingen) alleen machtigingen heeft voor de resourcegroep waarin de privé-eindpunten worden gemaakt, zijn de vereiste DNS-vermeldingen ook nodig. Gebruik de volgende PowerShell-scripts om DNS-vermeldingen te maken.

Notitie

Raadpleeg het volledige proces dat hieronder wordt beschreven om de vereiste resultaten te bereiken. Het proces moet tweemaal worden herhaald: eenmaal tijdens de eerste detectie (om DNS-vermeldingen te maken die vereist zijn voor communicatieopslagaccounts) en vervolgens eenmaal tijdens de eerste back-up (om DNS-vermeldingen te maken die vereist zijn voor back-endopslagaccounts).

Stap 1: Vereiste DNS-vermeldingen ophalen

Gebruik het scriptPrivateIP.ps1 om alle DNS-vermeldingen weer te geven die moeten worden gemaakt.

Notitie

De subscription onderstaande syntaxis verwijst naar het abonnement waar het privé-eindpunt van de kluis moet worden gemaakt.

Syntaxis voor het gebruik van het script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Voorbeelduitvoer

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Stap 2: DNS-vermeldingen maken

Maak DNS-vermeldingen die overeenkomen met de vermeldingen hierboven. Op basis van het type DNS dat u gebruikt, hebt u twee alternatieven voor het maken van DNS-vermeldingen.

Case 1: Als u een aangepaste DNS-server gebruikt, moet u handmatig vermeldingen maken voor elke record uit het bovenstaande script en controleren of de FQDN (ResourceName.DNS) wordt omgezet in een privé-IP in het VNET.

Case 2: Als u Azure Privé-DNS Zone gebruikt, kunt u het scriptCreateDNSEntries.ps1 gebruiken om automatisch DNS-vermeldingen te maken in de Privé-DNS Zone. In de volgende syntaxis bevindt zich de subscription syntaxis waar Privé-DNS Zone bestaat.

Syntaxis voor het gebruik van het script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Samenvatting van het hele proces

Als u het privé-eindpunt voor RSV correct wilt instellen via deze tijdelijke oplossing, moet u het volgende doen:

  1. Maak een privé-eindpunt voor kluis (zoals eerder in het artikel is beschreven).
  2. Detectie van triggers. De detectie voor SQL/HANA mislukt met UserErrorVMInternetConnectivityIssue omdat DNS-vermeldingen ontbreken voor het communicatieopslagaccount.
  3. Voer de scripts uit om DNS-vermeldingen op te halen en bijbehorende DNS-vermeldingen te maken voor het communicatieopslagaccount dat eerder in deze sectie is genoemd.
  4. Detectie opnieuw activeren. Deze keer moet de detectie lukken.
  5. Back-up activeren. Back-up voor SQL/HANA en MARS kan mislukken omdat DNS-vermeldingen ontbreken voor back-endopslagaccounts zoals eerder vermeld in deze sectie.
  6. Voer de scripts uit om DNS-vermeldingen te maken voor een back-endopslagaccount.
  7. Back-up opnieuw activeren. Deze keer moeten back-ups slagen.

Veelgestelde vragen

Kan ik een privé-eindpunt maken voor een bestaande Backup-kluis?

Nee, privé-eindpunten kunnen alleen worden gemaakt voor nieuwe Back-upkluizen. De kluis mag dus nooit items hebben beveiligd. Er kunnen zelfs geen pogingen worden gedaan om items in de kluis te beveiligen voordat u privé-eindpunten maakt.

Ik heb geprobeerd een item in mijn kluis te beveiligen, maar het is mislukt en de kluis bevat nog steeds geen items die erop zijn beveiligd. Kan ik privé-eindpunten maken voor deze kluis?

Nee, de kluis mag geen pogingen hebben gehad om items in het verleden te beveiligen.

Ik heb een kluis die privé-eindpunten gebruikt voor back-up en herstel. Kan ik later privé-eindpunten voor deze kluis toevoegen of verwijderen, zelfs als er back-upitems zijn beveiligd?

Ja. Als u al privé-eindpunten hebt gemaakt voor een kluis en beveiligde back-upitems, kunt u later privé-eindpunten toevoegen of verwijderen, indien nodig.

Kan het privé-eindpunt voor Azure Backup ook worden gebruikt voor Azure Site Recovery?

Nee, het privé-eindpunt voor Back-up kan alleen worden gebruikt voor Azure Backup. U moet een nieuw privé-eindpunt maken voor Azure Site Recovery, als dit wordt ondersteund door de service.

Ik heb een van de stappen in dit artikel gemist en mijn gegevensbron beveiligd. Kan ik nog steeds privé-eindpunten gebruiken?

Als u de stappen in het artikel niet volgt en items blijft beveiligen, kan dit ertoe leiden dat de kluis geen privé-eindpunten kan gebruiken. Daarom wordt u aangeraden deze controlelijst te raadplegen voordat u doorgaat met het beveiligen van items.

Kan ik mijn eigen DNS-server gebruiken in plaats van de privé-DNS-zone van Azure of een geïntegreerde privé-DNS-zone?

Ja, u kunt uw eigen DNS-servers gebruiken. Zorg er echter voor dat alle vereiste DNS-records worden toegevoegd zoals wordt voorgesteld in deze sectie.

Moet ik aanvullende stappen uitvoeren op mijn server nadat ik het proces in dit artikel heb gevolgd?

Na het volgen van het proces dat in dit artikel wordt beschreven, hoeft u geen extra werk te doen om privé-eindpunten te gebruiken voor back-up en herstel.

Volgende stappen