Skapa och använda privata slutpunkter för Azure Backup

Den här artikeln innehåller information om processen för att skapa privata slutpunkter för Azure Backup och scenarier där privata slutpunkter hjälper till att upprätthålla säkerheten för dina resurser.

Innan du börjar

Se till att du har läst kraven och de scenarier som stöds innan du fortsätter att skapa privata slutpunkter.

Den här informationen hjälper dig att förstå de begränsningar och villkor som måste uppfyllas innan du skapar privata slutpunkter för dina valv.

Kom igång med att skapa privata slutpunkter för säkerhetskopiering

I följande avsnitt beskrivs stegen för att skapa och använda privata slutpunkter för Azure Backup i dina virtuella nätverk.

Viktigt

Vi rekommenderar starkt att du följer stegen i samma ordning som anges i det här dokumentet. Om du inte gör det kan det leda till att valvet renderas inkompatibelt för att använda privata slutpunkter och kräva att du startar om processen med ett nytt valv.

skapar ett Recovery Services-valv

Privata slutpunkter för Säkerhetskopiering kan bara skapas för Recovery Services-valv som inte har några objekt skyddade (eller som inte har haft några objekt som har försökt skyddas eller registrerats för det tidigare). Därför rekommenderar vi att du skapar ett nytt valv att börja med. Mer information om hur du skapar ett nytt valv finns i Skapa och konfigurera ett Recovery Services-valv.

I det här avsnittet lär du dig hur du skapar ett valv med Azure Resource Manager klient. Detta skapar ett valv med dess hanterade identitet redan aktiverat.

Aktivera hanterad identitet för ditt valv

Med hanterade identiteter kan valvet skapa och använda privata slutpunkter. Det här avsnittet handlar om hur du aktiverar den hanterade identiteten för ditt valv.

  1. Gå till Recovery Services-valvet -> Identity.

    Ändra Identitetsstatus till På

  2. Ändra Status till På och välj Spara.

  3. Ett objekt-ID genereras, vilket är valvets hanterade identitet.

    Anteckning

    När den har aktiverats får den hanterade identiteten inte inaktiveras (inte ens tillfälligt). Inaktivering av den hanterade identiteten kan leda till inkonsekvent beteende.

Bevilja behörigheter till valvet för att skapa nödvändiga privata slutpunkter

Om du vill skapa de privata slutpunkter Azure Backup måste valvet (valvets hanterade identitet) ha behörighet till följande resursgrupper:

  • Resursgruppen som innehåller det virtuella målnätverket
  • Resursgruppen där de privata slutpunkterna ska skapas
  • Resursgruppen som innehåller de Privat DNS zonerna, vilket beskrivs i detalj här

Vi rekommenderar att du beviljar rollen Deltagare för dessa tre resursgrupper till valvet (hanterad identitet). Följande steg beskriver hur du gör detta för en viss resursgrupp (detta måste göras för var och en av de tre resursgrupperna):

  1. Gå till resursgruppen och gå till Access Control (IAM) i det vänstra fältet.

  2. När du Access Control går du till Lägg till en rolltilldelning.

    Lägg till en rolltilldelning

  3. I fönstret Lägg till rolltilldelning väljer du Deltagare som Roll och använder namnet valvet som huvudnamn. Välj ditt valv och välj Spara när du är klar.

    Välj roll och huvudnamn

Om du vill hantera behörigheter på en mer detaljerad nivå kan du läsa Skapa roller och behörigheter manuellt.

Skapa privata slutpunkter för Azure Backup

I det här avsnittet beskrivs hur du skapar en privat slutpunkt för valvet.

  1. Gå till valvet som skapades ovan och gå till Privata slutpunktsanslutningar i det vänstra navigeringsfältet. Välj +Privat slutpunkt längst upp för att börja skapa en ny privat slutpunkt för det här valvet.

    Skapa en ny privat slutpunkt

  2. När du är i processen Skapa privat slutpunkt måste du ange information för att skapa anslutningen till den privata slutpunkten.

    1. Grundläggande: Fyll i den grundläggande informationen för dina privata slutpunkter. Regionen ska vara samma som valvet och resursen som säkerhetskopieras.

      Fyll i grundläggande information

    2. Resurs: På den här fliken måste du välja den PaaS-resurs som du vill skapa anslutningen för. Välj Microsoft.RecoveryServices/vaults från resurstypen för din önskade prenumeration. När du är klar väljer du namnet på Recovery Services-valvet som Resurs och AzureBackup som målunderresurs.

      Välj resursen för anslutningen

    3. Konfiguration: I konfigurationen anger du det virtuella nätverket och undernätet där du vill att den privata slutpunkten ska skapas. Det här är det virtuella nätverk där den virtuella datorn finns.

      Om du vill ansluta privat behöver du nödvändiga DNS-poster. Beroende på din nätverkskonfiguration kan du välja något av följande:

      • Integrera din privata slutpunkt med en privat DNS-zon: Välj Ja om du vill integrera.
      • Använd din anpassade DNS-server: Välj Nej om du vill använda din egen DNS-server.

      Hantering av DNS-poster för båda dessa beskrivs senare.

      Ange det virtuella nätverket och undernätet

    4. Du kan också lägga till taggar för din privata slutpunkt.

    5. Fortsätt till Granska + skapa när du har angett informationen. När verifieringen är klar väljer du Skapa för att skapa den privata slutpunkten.

Godkänna privata slutpunkter

Om användaren som skapar den privata slutpunkten också är ägare till Recovery Services-valvet godkänns den privata slutpunkt som skapades ovan automatiskt. Annars måste valvets ägare godkänna den privata slutpunkten innan den kan använda den. I det här avsnittet beskrivs manuellt godkännande av privata slutpunkter via Azure Portal.

Se Manuellt godkännande av privata slutpunkter med hjälp Azure Resource Manager Client för att använda Azure Resource Manager för att godkänna privata slutpunkter.

  1. Gå till Privata slutpunktsanslutningar i det vänstra fältet i Recovery Services-valvet.

  2. Välj den privata slutpunktsanslutning som du vill godkänna.

  3. Välj Godkänn i det översta fältet. Du kan också välja Avvisa eller Ta bort om du vill avvisa eller ta bort slutpunktsanslutningen.

    Godkänna privata slutpunkter

Hantera DNS-poster

Som tidigare beskrivits behöver du nödvändiga DNS-poster i dina privata DNS-zoner eller servrar för att kunna ansluta privat. Du kan antingen integrera din privata slutpunkt direkt med privata Azure DNS-zoner eller använda dina anpassade DNS-servrar för att uppnå detta, baserat på dina nätverksinställningar. Detta måste göras för alla tre tjänsterna: Säkerhetskopiering, blobar och köer.

Om din DNS-zon eller -server finns i en prenumeration som skiljer sig från den som innehåller den privata slutpunkten kan du också läsa Skapa DNS-poster när DNS-servern/DNS-zonenfinns i en annan prenumeration.

När du integrerar privata slutpunkter med privata Azure DNS-zoner

Om du väljer att integrera din privata slutpunkt med privata DNS-zoner lägger Backup till nödvändiga DNS-poster. Du kan visa de privata DNS-zoner som används under DNS-konfigurationen för den privata slutpunkten. Om dessa DNS-zoner inte finns skapas de automatiskt när du skapar den privata slutpunkten. Du måste dock kontrollera att det virtuella nätverket (som innehåller de resurser som ska säkerhetskopieras) är korrekt länkat till alla tre privata DNS-zoner enligt beskrivningen nedan.

DNS-konfiguration i azure privat DNS-zon

Anteckning

Om du använder proxyservrar kan du välja att kringgå proxyservern eller utföra dina säkerhetskopieringar via proxyservern. Om du vill kringgå en proxyserver fortsätter du till följande avsnitt. Information om hur du använder proxyservern för att utföra dina säkerhetskopior finns i konfigurationsinformation för proxyserver för Recovery Services-valv.

För varje privat DNS-zon som anges ovan (för säkerhetskopiering, blobar och köer) gör du följande:

  1. Gå till respektive alternativ för virtuella nätverkslänkar i det vänstra navigeringsfältet.

  2. Du bör kunna se en post för det virtuella nätverket som du har skapat den privata slutpunkten för, som den som visas nedan:

    Virtuellt nätverk för privat slutpunkt

  3. Om du inte ser någon post lägger du till en virtuell nätverkslänk till alla de DNS-zoner som inte har dem.

    Länk för att lägga till virtuellt nätverk

När du använder anpassad DNS-server eller värdfiler

Om du använder dina anpassade DNS-servrar måste du skapa de DNS-zoner som krävs och lägga till de DNS-poster som behövs av de privata slutpunkterna på DNS-servrarna. För blobar och köer kan du också använda villkorsstyrda vidarebefordrare.

För Backup-tjänsten

  1. På DNS-servern skapar du en DNS-zon för säkerhetskopiering enligt följande namngivningskonvention:

    Zon Tjänst
    privatelink.<geo>.backup.windowsazure.com Backup

    Anteckning

    I ovanstående text <geo> refererar till regionskoden (till exempel eus och ne för USA, östra respektive Europa, norra). Se följande listor för regionskoder:

  2. Därefter måste vi lägga till nödvändiga DNS-poster. Om du vill visa de poster som behöver läggas till i DNS-zonen för säkerhetskopiering går du till den privata slutpunkt som du skapade ovan och går till alternativet DNS-konfiguration i det vänstra navigeringsfältet.

    DNS-konfiguration för anpassad DNS-server

  3. Lägg till en post för varje FQDN och IP som visas som A-typposter i dns-zonen för säkerhetskopiering. Om du använder en värdfil för namnmatchning, gör motsvarande poster i värdfilen för varje IP och FQDN enligt följande format:

    <private ip><space><backup service privatelink FQDN>

Anteckning

Som du ser i skärmbilden ovan visas FQDN:erna xxxxxxxx.<geo>.backup.windowsazure.com och inte xxxxxxxx.privatelink.<geo>.backup. windowsazure.com . I sådana fall måste du inkludera (och vid behov lägga till) .privatelink. enligt det angivna formatet.

För blob- och kötjänster

För blobar och köer kan du antingen använda villkorsstyrda vidarebefordrare eller skapa DNS-zoner i DNS-servern.

Om du använder villkorsstyrda vidarebefordrare

Om du använder villkorsstyrda vidarebefordrare lägger du till vidarebefordrare för blob- och kö-FQDN enligt följande:

FQDN IP-adress
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Om du använder privata DNS-zoner

Om du använder DNS-zoner för blobar och köer måste du först skapa dessa DNS-zoner och senare lägga till de nödvändiga A-posterna.

Zon Tjänst
privatelink.blob.core.windows.net Blob
privatelink.queue.core.windows.net

Just nu skapar vi bara zonerna för blobar och köer när vi använder anpassade DNS-servrar. Du lägger till DNS-poster senare i två steg:

  1. När du registrerar den första säkerhetskopieringsinstansen, det vill säga när du konfigurerar säkerhetskopiering för första gången
  2. När du kör den första säkerhetskopieringen

Vi utför de här stegen i följande avsnitt.

Använda privata slutpunkter för säkerhetskopiering

När de privata slutpunkterna som skapats för valvet i ditt VNet har godkänts kan du börja använda dem för att utföra dina säkerhetskopieringar och återställningar.

Viktigt

Se till att du har slutfört alla steg som nämns ovan i dokumentet innan du fortsätter. För att kunna sammanfatta måste du ha slutfört stegen i följande checklista:

  1. Skapat ett (nytt) Recovery Services-valv
  2. Valvet har aktiverats för att använda system tilldelad hanterad identitet
  3. Tilldelat relevanta behörigheter till valvets hanterade identitet
  4. Skapat en privat slutpunkt för ditt valv
  5. Godkänt den privata slutpunkten (om den inte godkänns automatiskt)
  6. Sett till att alla DNS-poster har lagts till korrekt (förutom blob- och köposter för anpassade servrar, vilket beskrivs i följande avsnitt)

Kontrollera VM-anslutningen

Kontrollera följande i den virtuella datorn i det låsta nätverket:

  1. Den virtuella datorn ska ha åtkomst till AAD.
  2. Kör nslookup på säkerhetskopierings-URL:en ( xxxxxxxx.privatelink.<geo>.backup. windowsazure.com ) från den virtuella datorn för att säkerställa anslutningen. Detta bör returnera den privata IP-adress som tilldelats i ditt virtuella nätverk.

Konfigurera säkerhetskopiering

När du har säkerställt att checklistan ovan och åtkomsten till har slutförts kan du fortsätta att konfigurera säkerhetskopiering av arbetsbelastningar till valvet. Om du använder en anpassad DNS-server måste du lägga till DNS-poster för blobar och köer som är tillgängliga när du har konfigurerat den första säkerhetskopieringen.

DNS-poster för blobar och köer (endast för anpassade DNS-servrar/värdfiler) efter den första registreringen

När du har konfigurerat säkerhetskopiering för minst en resurs i ett privat slutpunktsaktiverat valv lägger du till nödvändiga DNS-poster för blobar och köer enligt beskrivningen nedan.

  1. Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.

  2. Förutom namnet på den privata slutpunkten som du har gett ser du ytterligare två privata slutpunkter som skapas. Dessa börjar <the name of the private endpoint>_ecs med och har suffixet respektive _blob _queue .

    Privata slutpunktsresurser

  3. Gå till var och en av dessa privata slutpunkter. I DNS-konfigurationsalternativet för var och en av de två privata slutpunkterna visas en post med och ett FQDN och en IP-adress. Lägg till båda dessa till din anpassade DNS-server, utöver de som beskrivs ovan. Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP/FQDN enligt följande format:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    DNS-konfiguration för blob

Utöver ovanstående finns det ytterligare en post som behövs efter den första säkerhetskopieringen, vilket beskrivs senare.

Säkerhetskopiering och återställning av arbetsbelastningar i virtuella Azure-datorer (SQL och SAP HANA)

När den privata slutpunkten har skapats och godkänts krävs inga andra ändringar från klientsidan för att använda den privata slutpunkten (såvida du inte använder SQL-tillgänglighetsgrupper, som vi diskuterar senare i det här avsnittet). All kommunikation och dataöverföring från ditt skyddade nätverk till valvet utförs via den privata slutpunkten. Men om du tar bort privata slutpunkter för valvet när en server (SQL eller SAP HANA) har registrerats på det, måste du registrera containern på nytt med valvet. Du behöver inte sluta skydda dem.

DNS-poster för blobar (endast för anpassade DNS-servrar/värdfiler) efter den första säkerhetskopieringen

När du har kört den första säkerhetskopieringen och använder en anpassad DNS-server (utan villkorsstyrd vidarebefordran) är det troligt att säkerhetskopieringen misslyckas. Om det händer:

  1. Gå till resursgruppen och sök efter den privata slutpunkt som du skapade.

  2. Förutom de tre privata slutpunkter som beskrivs ovan ser du nu en fjärde privat slutpunkt med namnet som börjar med och <the name of the private endpoint>_prot har suffixet _blob .

    Privat endpoing med suffixet "prot"

  3. Gå till den här nya privata slutpunkten. I DNS-konfigurationsalternativet visas en post med ett FQDN och en IP-adress. Lägg till dem i din privata DNS-server, utöver de som beskrivs ovan.

    Om du använder en värdfil gör du motsvarande poster i värdfilen för varje IP och FQDN enligt följande format:

    <private ip><space><blob service privatelink FQDN>

Anteckning

Nu bör du kunna köra nslookup från den virtuella datorn och matcha till privata IP-adresser när du är klar på valvets säkerhetskopierings- och Storage-URL:er.

När du använder SQL tillgänglighetsgrupper

När du SQL tillgänglighetsgrupper (AG) måste du etablera villkorsstyrd vidarebefordran i den anpassade tillgänglighets tillgänglighetsgruppens DNS enligt beskrivningen nedan:

  1. Logga in på domänkontrollanten.

  2. Under DNS-programmet lägger du till villkorsstyrda vidarebefordrare för alla tre DNS-zoner (säkerhetskopiering, blobar och köer) till värd-IP-adressen 168.63.129.16 eller den anpassade IP-adressen för DNS-servern efter behov. Följande skärmbilder visas när du vidarebefordrar till Azure-värd-IP-adressen. Om du använder en egen DNS-server ersätter du med IP-adressen för din DNS-server.

    Villkorsstyrda vidarebefordrare i DNS-hanteraren

    Ny villkorlig vidarebefordrare

Säkerhetskopiera och återställa via MARS-agenten

När du använder MARS-agenten för att säkerhetskopiera dina lokala resurser ska du se till att ditt lokala nätverk (som innehåller dina resurser som ska säkerhetskopieras) är peer-peering med det virtuella Azure-nätverk som innehåller en privat slutpunkt för valvet, så att du kan använda det. Du kan sedan fortsätta att installera MARS-agenten och konfigurera säkerhetskopieringen enligt beskrivningen här. Du måste dock se till att all kommunikation för säkerhetskopiering endast sker via det peer-ade nätverket.

Men om du tar bort privata slutpunkter för valvet när en MARS-agent har registrerats på det måste du registrera containern på nytt med valvet. Du behöver inte sluta skydda dem.

Ta bort privata endpoints

I det här avsnittet lär du dig hur du tar bort privata EndPoints.

Ytterligare information

Skapa ett Recovery Services-valv med Azure Resource Manager klienten

Du kan skapa Recovery Services-valvet och aktivera dess hanterade identitet (aktivera den hanterade identiteten krävs, som vi ser senare) med hjälp av Azure Resource Manager klienten. Ett exempel på hur du gör detta delas nedan:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

JSON-filen ovan ska ha följande innehåll:

Begär JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Svars-JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Anteckning

Valvet som skapats i det här exemplet via Azure Resource Manager-klienten har redan skapats med en system tilldelad hanterad identitet.

Hantera behörigheter för resursgrupper

Den hanterade identiteten för valvet måste ha följande behörigheter i resursgruppen och det virtuella nätverket där de privata slutpunkterna ska skapas:

  • Microsoft.Network/privateEndpoints/* Detta krävs för att utföra CRUD på privata slutpunkter i resursgruppen. Den ska tilldelas i resursgruppen.
  • Microsoft.Network/virtualNetworks/subnets/join/action Detta krävs i det virtuella nätverket där den privata IP-adressen ansluts till den privata slutpunkten.
  • Microsoft.Network/networkInterfaces/read Detta krävs för resursgruppen för att få nätverksgränssnittet som skapats för den privata slutpunkten.
  • Privat DNS rollen Zondeltagare Den här rollen finns redan och kan användas för att tillhandahålla Microsoft.Network/privateDnsZones/A/* behörigheter och Microsoft.Network/privateDnsZones/virtualNetworkLinks/read .

Du kan använda någon av följande metoder för att skapa roller med nödvändiga behörigheter:

Skapa roller och behörigheter manuellt

Skapa följande JSON-filer och använd PowerShell-kommandot i slutet av avsnittet för att skapa roller:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Använda ett skript

  1. Starta Cloud Shell i Azure Portal och välj Upload fil i PowerShell-fönstret.

    Välj Upload i PowerShell-fönstret

  2. Upload följande skript: VaultMsiPrereqScript

  3. Gå till din hemmapp (till cd /home/user exempel: )

  4. Kör följande skript:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Det här är parametrarna:

    • **prenumeration:****SubscriptionId som har resursgruppen där den privata slutpunkten för valvet ska skapas och undernätet där valvets privata slutpunkt ska kopplas

    • vaultPEResourceGroup: Resursgrupp där den privata slutpunkten för valvet kommer att skapas

    • vaultPESubnetResourceGroup: Resursgrupp för undernätet som den privata slutpunkten ska vara ansluten till

    • vaultMsiName: Namnet på valvets MSI, vilket är samma som VaultName

  5. Slutför autentiseringen så tar skriptet kontexten för den angivna prenumerationen som anges ovan. Det skapar lämpliga roller om de saknas i klientorganisationen och tilldelar roller till valvets MSI.

Skapa privata slutpunkter med Azure PowerShell

Automatiskt godkända privata slutpunkter

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName
  
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Manuellt godkännande av privata slutpunkter med hjälp av Azure Resource Manager klienten

  1. Använd GetVault för att hämta anslutnings-ID:t för den privata slutpunkten för din privata slutpunkt.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Detta returnerar anslutnings-ID:t för den privata slutpunkten. Namnet på anslutningen kan hämtas med hjälp av den första delen av anslutnings-ID:t på följande sätt:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Hämta anslutnings-ID:t för den privata slutpunkten (och namnet på den privata slutpunkten, där det behövs) från svaret och ersätt det i följande JSON- och Azure Resource Manager-URI och försök att ändra Status till "Godkänd/Avvisad/Frånkopplad", enligt exemplet nedan:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Konfigurera proxyserver för Recovery Services-valv med privat slutpunkt

Följ dessa steg om du vill konfigurera en proxyserver för en virtuell Azure-dator eller en lokal dator:

  1. Lägg till följande domäner som behöver nås från proxyservern.

    Tjänst Domännamn Port
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Azure Active Directory

    Uppdaterade domän-URL:er som anges i avsnitten 56 och 59 i Microsoft 365 Common och Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Efter vad som är tillämpligt.
  2. Tillåt åtkomst till dessa domäner på proxyservern och länka privat DNS-zon ( , , ) med det virtuella nätverk där proxyservern skapas eller använder en anpassad DNS-server med respektive *.privatelink.<geo>.backup.windowsazure.com *.privatelink.blob.core.windows.net *.privatelink.queue.core.windows.net DNS-poster.

    Det virtuella nätverk där proxyservern körs och det virtuella nätverk där det privata slutpunktsnätverksnätverket skapas ska peer-peer-köras, vilket gör att proxyservern kan omdirigera begärandena till den privata IP-adressen.

    Anteckning

    I ovanstående text <geo> refererar till regionskoden (till exempel eus och ne för USA, östra respektive Europa, norra). Se följande listor för regionskoder:

Följande diagram visar en konfiguration (vid användning av Azure Privat DNS-zoner) med en proxyserver vars virtuella nätverk är länkat till en privat DNS-zon med nödvändiga DNS-poster. Proxyservern kan också ha en egen anpassad DNS-server och domänerna ovan kan vidarebefordras villkorligt till 168.63.129.16. Om du använder en anpassad DNS-server/värdfil för DNS-upplösning, se avsnitten om hur du hanterar DNS-poster och konfigurerar skydd.

Diagram som visar en konfiguration med en proxyserver.

Skapa DNS-poster när DNS-servern/DNS-zonen finns i en annan prenumeration

I det här avsnittet diskuterar vi de fall där du använder en DNS-zon som finns i en prenumeration eller en resursgrupp som skiljer sig från den som innehåller den privata slutpunkten för Recovery Services-valvet, till exempel en topologi med nav och ekrar. Eftersom den hanterade identiteten som används för att skapa privata slutpunkter (och DNS-posterna) bara har behörigheter för den resursgrupp där de privata slutpunkterna skapas, behövs de nödvändiga DNS-posterna dessutom. Använd följande PowerShell-skript för att skapa DNS-poster.

Anteckning

Se hela processen som beskrivs nedan för att uppnå de resultat som krävs. Processen måste upprepas två gånger – en gång under den första identifieringen (för att skapa DNS-poster som krävs för kommunikationslagringskonton) och sedan en gång under den första säkerhetskopieringen (för att skapa DNS-poster som krävs för backend-lagringskonton).

Steg 1: Hämta nödvändiga DNS-poster

Använd PrivateIP.ps1 för att visa en lista över alla DNS-poster som behöver skapas.

Anteckning

i subscription syntaxen nedan refererar till prenumerationen där valvets privata slutpunkt ska skapas.

Syntax för att använda skriptet

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Exempel på utdata

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Steg 2: Skapa DNS-poster

Skapa DNS-poster som motsvarar ovanstående. Baserat på vilken typ av DNS du använder har du två alternativ för att skapa DNS-poster.

Fall 1: Om du använder en anpassad DNS-server måste du manuellt skapa poster för varje post från skriptet ovan och kontrollera att FQDN (ResourceName.DNS) matchar en privat IP-adress i det virtuella nätverket.

Fall 2: Om du använder Azure Privat DNS Zone kan du använda CreateDNSEntries.ps1skriptet för att automatiskt skapa DNS-poster Privat DNS zonen. I följande syntax är subscription den där Privat DNS zon finns.

Syntax för att använda skriptet

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Sammanfattning av hela processen

För att korrekt konfigurera privat slutpunkt för RSV via den här lösningen måste du:

  1. Skapa en privat slutpunkt för valvet (enligt beskrivningen tidigare i artikeln).
  2. Utlösa identifiering. Identifieringen för SQL/HANA misslyckas med UserErrorVMInternetConnectivityIssue eftersom DNS-poster saknas för kommunikationslagringskontot.
  3. Kör skripten för att hämta DNS-poster och skapa motsvarande DNS-poster för kommunikationslagringskontot som nämndes tidigare i det här avsnittet.
  4. Utlösa identifieringen på en gång till. Den här gången bör identifieringen lyckas.
  5. Utlösningssäkerhetskopiering. Säkerhetskopiering för SQL/HANA och MARS kan misslyckas eftersom DNS-poster saknas för backend-lagringskonton som nämnts tidigare i det här avsnittet.
  6. Kör skripten för att skapa DNS-poster för backend-lagringskontot.
  7. Återutlösa säkerhetskopiering. Den här gången bör säkerhetskopieringarna lyckas.

Vanliga frågor och svar

Kan jag skapa en privat slutpunkt för ett befintligt Backup-valv?

Nej, privata slutpunkter kan bara skapas för nya Säkerhetskopieringsvalv. Valvet får därför aldrig ha några objekt som skyddas. I själva verket kan inga försök att skydda objekt till valvet göras innan du skapar privata slutpunkter.

Jag försökte skydda ett objekt i mitt valv, men det misslyckades och valvet innehåller fortfarande inga objekt som skyddas till det. Kan jag skapa privata slutpunkter för det här valvet?

Nej, valvet får inte ha haft några försök att skydda objekt i det tidigare.

Jag har ett valv som använder privata slutpunkter för säkerhetskopiering och återställning. Kan jag senare lägga till eller ta bort privata slutpunkter för det här valvet även om jag har säkerhetskopieringsobjekt som skyddas?

Ja. Om du redan har skapat privata slutpunkter för ett valv och skyddade säkerhetskopieringsobjekt i det kan du senare lägga till eller ta bort privata slutpunkter efter behov.

Kan den privata slutpunkten för Azure Backup också användas för Azure Site Recovery?

Nej, den privata slutpunkten för Backup kan bara användas för Azure Backup. Du måste skapa en ny privat slutpunkt för Azure Site Recovery, om det stöds av tjänsten.

Jag missade något av stegen i den här artikeln och gick vidare för att skydda min datakälla. Kan jag fortfarande använda privata slutpunkter?

Om du inte följer stegen i artikeln och fortsätter att skydda objekt kan det leda till att valvet inte kan använda privata slutpunkter. Vi rekommenderar därför att du refererar till den här checklistan innan du fortsätter för att skydda objekt.

Kan jag använda min egen DNS-server i stället för att använda azures privata DNS-zon eller en integrerad privat DNS-zon?

Ja, du kan använda dina egna DNS-servrar. Se dock till att alla nödvändiga DNS-poster läggs till enligt förslaget i det här avsnittet.

Behöver jag utföra ytterligare åtgärder på servern när jag har följt processen i den här artikeln?

När du har följt processen som beskrivs i den här artikeln behöver du inte utföra ytterligare arbete för att använda privata slutpunkter för säkerhetskopiering och återställning.

Nästa steg