Обзор и основные понятия частных конечных точек (версия 2) для Azure Backup
Azure Backup позволяет безопасно выполнять операции резервного копирования и восстановления данных из хранилищ служб восстановления с помощью частных конечных точек. Частные конечные точки используют один или несколько частных IP-адресов из виртуальной сети Azure (VNet), эффективно передавая службу в VNet.
Azure Backup теперь предоставляет расширенный интерфейс для создания и использования частных конечных точек по сравнению с классическим интерфейсом (версия 1).
В этой статье описывается, как расширенные возможности частных конечных точек для функции Azure Backup и помогают выполнять резервные копии при сохранении безопасности ресурсов.
Основные улучшения
- Создайте частные конечные точки без управляемых удостоверений.
- Для служб BLOB-объектов и очередей не создаются частные конечные точки.
- Использование меньше частных IP-адресов.
Перед началом работы
Хотя хранилище служб восстановления используется (как) Azure Backup, так и Azure Site Recovery, в этой статье рассматривается использование частных конечных точек только для Azure Backup.
Вы можете создать частные конечные точки для новых хранилищ служб восстановления, у которых нет элементов, зарегистрированных и защищенных только в хранилище. Однако частные конечные точки в настоящее время не поддерживаются для хранилищ резервных копий.
Примечание.
Не удается создать частные конечные точки с помощью статического IP-адреса.
Не удается обновить хранилища (содержащие частные конечные точки), созданные с помощью классического интерфейса для нового интерфейса. Вы можете удалить все существующие частные конечные точки, а затем создать новые частные конечные точки с интерфейсом версии 2.
Одна виртуальная сеть может содержать частные конечные точки для нескольких хранилищ служб восстановления. Кроме того, одно хранилище служб восстановления может иметь частные конечные точки в нескольких виртуальных сетях. Однако можно создать не более 12 частных конечных точек для хранилища.
Частная конечная точка для хранилища использует 10 частных IP-адресов, и число может увеличиваться с течением времени. Убедитесь, что при создании частных конечных точек достаточно доступных IP-адресов.
Частные конечные точки для Azure Backup не включают доступ к идентификатору Microsoft Entra. Убедитесь, что вы включите доступ, чтобы IP-адреса и полные доменные имена, необходимые для работы идентификатора Microsoft Entra в регионе, имели исходящий доступ в разрешенном состоянии в защищенной сети при выполнении резервного копирования баз данных на виртуальных машинах Azure и резервном копировании с помощью агента MARS. Вы также можете использовать теги NSG и теги Брандмауэр Azure для предоставления доступа к идентификатору Microsoft Entra, как применимо.
Необходимо повторно зарегистрировать поставщик ресурсов служб восстановления в подписке, если вы зарегистрировали его до 1 мая 2020 г. Чтобы повторно зарегистрировать поставщика, перейдите в подписку в поставщике ресурсов портал Azure>, а затем повторно зарегистрируйте Microsoft.RecoveryServices>.
Восстановление между регионами для резервных копий баз данных SQL и SAP HANA не поддерживается, если в хранилище включены частные конечные точки.
Вы можете создать DNS для разных подписок.
Рекомендуемые и поддерживаемые сценарии
После включения частные конечные точки хранилища используются только для резервного копирования и восстановления рабочих нагрузок SQL Server и SAP HANA в виртуальной машине Azure, а также для резервного копирования с помощью агента MARS и DPM. Кроме того, хранилище можно использовать для резервного копирования других рабочих нагрузок (но для них не требуются частные конечные точки). Помимо резервного копирования рабочих нагрузок SQL Server и SAP HANA и резервного копирования с помощью агента MARS, частные конечные точки используются также для восстановления файлов из резервных копий виртуальных машин Azure.
В следующей таблице перечислены сценарии и рекомендации.
| Сценарий | Рекомендация |
|---|---|
| Резервное копирование рабочих нагрузок на виртуальных машинах Azure (SQL, SAP HANA), резервное копирование с помощью агента MARS и сервера DPM. | Использование частных конечных точек рекомендуется для обеспечения резервного копирования и восстановления без добавления в список разрешений всех IP-адресов и полных доменных имен для Azure Backup или службы хранилища Azure из виртуальных сетей. В этом сценарии убедитесь, что виртуальные машины, на которых размещаются базы данных SQL, могут достигать IP-адресов Microsoft Entra или полных доменных имен. |
| Резервное копирование виртуальных машин Azure | При резервном копировании виртуальной машины не требуется предоставлять доступ к IP-адресам и полному доменному имени. Поэтому частные конечные точки не требуются для резервного копирования и восстановления дисков. Однако восстановление файлов из хранилища, содержащего частные конечные точки, ограничено виртуальными сетями, содержащими частную конечную точку для хранилища. При использовании неуправляемых дисков ACL убедитесь, что учетная запись хранения, содержащая диски, разрешает доступ к доверенным службы Майкрософт, если это ACL. |
| Резервное копирование Файлов Azure | Резервные копии Файлов Azure хранятся в локальной учетной записи хранения. Поэтому для резервного копирования и восстановления не требуются частные конечные точки. |
Примечание.
Частные конечные точки поддерживаются только с сервером DPM 2022, MABS версии 4 и более поздними версиями.
Разница в сетевых подключениях для частных конечных точек
Как упоминалось ранее, частные конечные точки особенно удобны для резервного копирования рабочих нагрузок (SQL, SAP HANA) на виртуальных машинах Azure и создания резервных копий агентов MARS.
Во всех сценариях (с частными конечными точками или без нее) расширения рабочей нагрузки (для резервного копирования экземпляров SQL и SAP HANA, работающих на виртуальных машинах Azure), а агент MARS выполняет вызовы подключения к идентификатору Microsoft Entra (к FQDN, упоминание упоминание в разделах 56 и 59 в Microsoft 365 Common и Office Online).
Помимо этих подключений, при установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления без частных конечных точек также требуется подключение к следующим доменам:
| Служба | Доменное имя | Порт |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| ИД Microsoft Entra | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59 в соответствии с этой статьей. |
443 Если применимо |
При установке расширения рабочей нагрузки или агента MARS для хранилища служб восстановления с частной конечной точкой передаются следующие конечные точки:
| Служба | Доменное имя | Порт |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Хранилище Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| ИД Microsoft Entra | *.login.microsoft.com Разрешить доступ к полным доменным именам в разделах 56 и 59 в соответствии с этой статьей. |
443 Если применимо |
Примечание.
В приведенном выше тексте <geo> означает код региона (например, eus для восточной части США и ne для Северной Европы). Коды регионов см. в следующих списках:
Для хранилища служб восстановления с настройкой частной конечной точки разрешение имен для полных доменных имен (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, , *.queue.core.windows.net) *.blob.storage.azure.netдолжно возвращать частный IP-адрес. Это можно сделать с помощью:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные перенаправления в зоны Azure DNS или Azure Частная зона DNS.
Сопоставления частных IP-адресов для учетной записи хранения перечислены в частной конечной точке, созданной для хранилища служб восстановления. Мы рекомендуем использовать зоны Azure Частная зона DNS, так как записи DNS для больших двоичных объектов и очередей затем можно управлять Azure. При выделении новых учетных записей хранения для хранилища запись DNS для частного IP-адреса добавляется автоматически в зоны azure Частная зона DNS BLOB-объектов или очередей.
Если вы настроили DNS-прокси-сервер, используя сторонние прокси-серверы или брандмауэры, указанные выше доменные имена должны быть разрешены и перенаправлены на пользовательский DNS (который содержит записи DNS для указанных выше полных доменных имен) или до 168.63.129.16 в виртуальной сети Azure, которая имеет частные зоны DNS, связанные с ним.
В следующем примере показан брандмауэр Azure, используемый в качестве DNS-прокси для перенаправления запросов доменных имен для хранилища служб восстановления, BLOB-объектов, очередей и идентификатора Microsoft Entra на 168.63.129.16.
Дополнительные сведения см. в статье Создание и использование частных конечных точек.
Сетевое подключение для хранилища с частными конечными точками
Частная конечная точка для служб восстановления связана с сетевым интерфейсом (сетевой картой). Для работы подключений к частной конечной точке необходимо перенаправить весь трафик службы Azure на сетевой интерфейс. Это можно сделать, добавив сопоставление DNS для частного IP-адреса, связанного с сетевым интерфейсом, с URL-адресом службы, BLOB-объекта или очереди.
Когда расширения резервной копии рабочей нагрузки устанавливаются на виртуальной машине, зарегистрированной в хранилище служб восстановления с частной конечной точкой, расширение пытается подключиться по частному URL-адресу служб <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup.
Если частный URL-адрес не разрешается, он пытается использовать общедоступный URL-адрес <azure_backup_svc>.<geo>.backup.windowsazure.com. Если для хранилища служб восстановления настроен доступ к общедоступной сети для разрешения из всех сетей, хранилище служб восстановления разрешает запросы, поступающие из расширения по общедоступным URL-адресам. Если для хранилища служб восстановления настроен запрет доступа к общедоступной сети, хранилище служб восстановления запрещает запросы, поступающие из расширения по общедоступным URL-адресам.
Примечание.
В приведенных выше доменных именах <geo> определяет код региона (например, eus for East US и ne for North Europe). Дополнительные сведения о кодах регионов см. в следующем списке:
Эти частные URL-адреса относятся к хранилищу. Только расширения и агенты, зарегистрированные в хранилище, могут взаимодействовать со службой Azure Backup по этим конечным точкам. Если для хранилища служб восстановления настроен доступ к общедоступной сети, это ограничивает клиенты, которые не работают в виртуальной сети, от запроса операций резервного копирования и восстановления в хранилище. Рекомендуется установить для общедоступного сетевого доступа значение "Запретить " вместе с настройкой частной конечной точки. По мере того как расширение и агент сначала пытаются получить частный URL-адрес, разрешение DNS URL-адреса должно возвращать соответствующий частный IP-адрес, *.privatelink.<geo>.backup.windowsazure.com связанный с частной конечной точкой.
Существует несколько решений для разрешения DNS:
- Частные зоны DNS Azure.
- Пользовательский DNS
- Записи DNS в файлах узлов
- Условные перенаправления в зоны Azure DNS или Azure Частная зона DNS.
Если частная конечная точка для хранилищ служб восстановления создается с помощью параметра портал Azure с параметром интеграции с частной зоной DNS, необходимые записи DNS для частных IP-адресов для служб Azure Backup (*.privatelink.<geo>backup.windowsazure.com) создаются автоматически при выделении ресурса. В других решениях необходимо вручную создать записи DNS для этих полных доменных имен в пользовательских DNS-файлах или в файлах узлов.
Для ручного управления записями DNS после обнаружения виртуальной машины для канала связи — БОЛЬШИХ двоичных объектов или очередей см . записи DNS для больших двоичных объектов и очередей (только для пользовательских DNS-серверов или узловых файлов) после первой регистрации. Сведения об управлении записями DNS вручную после первого резервного копирования для большого двоичного объекта учетной записи хранения резервных копий см. в разделе Записи DNS для больших двоичных объектов (только для пользовательских DNS-серверов и файлов узлов) после первого резервного копирования.
Частные IP-адреса для полных доменных имен можно найти в области конфигурации DNS для частной конечной точки, созданной для хранилища служб восстановления.
На следующей схеме показано, как решение работает при использовании частной зоны DNS для разрешения этих полных доменных имен частной службы.
Расширение рабочей нагрузки, работающее на виртуальной машине Azure, требует подключения по крайней мере к двум конечным точкам учетных записей хранения. Первый используется в качестве канала связи (через сообщения очереди) и второй для хранения данных резервного копирования. Агент MARS требует доступа по крайней мере к одной конечной точке учетной записи хранения, используемой для хранения данных резервного копирования.
Для хранилища с поддержкой частной конечной точки служба Azure Backup создает частную конечную точку для этих учетных записей хранения. Это предотвращает доступ к сетевому трафику, связанному с Azure Backup (трафик плоскости управления в службу и резервные копии данных в хранилище BLOB-объектов). Помимо облачных служб Azure Backup расширение рабочей нагрузки и агент требуют подключения к учетным записям служба хранилища Azure и идентификатору Microsoft Entra.
На следующей схеме показано, как работает разрешение имен для учетных записей хранения при использовании частной зоны DNS.
