Azure Backup için özel uç noktalar oluşturma ve kullanma

Bu makalede, Azure Backup için özel uç noktalar oluşturma işlemi ve özel uç noktaların kaynaklarınızın güvenliğini sağlamaya yardımcı olan senaryolar hakkında bilgi sağlanır.

Başlamadan önce

Özel uç noktalar oluşturmaya geçmeden önce önkoşulları ve desteklenen senaryoları okuduğunuzdan emin olun.

Bu ayrıntılar, kasalarınız için özel uç noktalar oluşturmadan önce yerine getirilmesi gereken sınırlamaları ve koşulları anlamanıza yardımcı olur.

Yedekleme için özel uç noktalar oluşturmaya başlama

Aşağıdaki bölümlerde, sanal ağlarınızdaki Azure Backup için özel uç noktalar oluşturma ve kullanma ile ilgili adımlar ele alınmaktadır.

Önemli

Bu belgede belirtilen sırada bulunan adımları izlemeniz önemle tavsiye edilir. Bunun başarısız olması, Özel uç noktaları kullanmak ve işlemi yeni bir kasa ile yeniden başlatmanızı gerektiren kasalardan dolayı uyumsuz olarak işlenmesine yol açabilir.

Kurtarma Hizmetleri kasası oluşturma

Yedekleme için özel uç noktalar yalnızca, kendisiyle korunan herhangi bir öğe olmayan (ya da herhangi bir öğe korunmadan veya geçmişte kaydedilmemiş) kurtarma hizmetleri kasaları için oluşturulabilir. Bu nedenle, ile başlamak için yeni bir kasa oluşturmanızı öneririz. Yeni kasa oluşturma hakkında daha fazla bilgi için bkz. Kurtarma Hizmetleri Kasası oluşturma ve yapılandırma.

Azure Resource Manager istemcisini kullanarak kasa oluşturmayı öğrenmek için Bu bölüme bakın. Bu, yönetilen kimliği zaten etkinleştirilmiş bir kasa oluşturur.

Kasanız için yönetilen kimliği etkinleştirin

Yönetilen kimlikler, kasasının özel uç noktalar oluşturmasına ve kullanmasına izin verir. Bu bölümde, kasalarınız için yönetilen kimliğin etkinleştirilmesi hakkında bilgi yer aldığı bir konuşuyor.

  1. Kurtarma Hizmetleri kasanıza > kimliğiniz' ne gidin.

    Kimlik durumunu açık olarak değiştir

  2. Durumu Açık olarak değiştirin ve Kaydet' i seçin.

  3. Kasanın yönetilen kimliği olan bir nesne kimliği oluşturulur.

    Not

    Etkinleştirildikten sonra, yönetilen kimlik devre dışı bırakılmamalıdır ( geçici olarak bile). Yönetilen kimliğin devre dışı bırakılması tutarsız davranışa yol açabilir.

Gerekli özel uç noktaları oluşturmak için kasaya izin verin

Azure Backup için gerekli özel uç noktaları oluşturmak için kasasının (kasanın yönetilen kimliği) aşağıdaki kaynak grupları için izinlere sahip olması gerekir:

  • Hedef VNet 'i içeren kaynak grubu
  • Özel uç noktaların oluşturulacağı kaynak grubu
  • Burada ayrıntılı olarak anlatıldığı gibi özel DNS bölgelerini Içeren kaynak grubu

Bu üç kaynak grubu için katılımcı rolünü kasaya vermenizi öneririz (yönetilen kimlik). Aşağıdaki adımlarda, bunun belirli bir kaynak grubu için nasıl yapılacağı açıklanır (Bu, üç kaynak grubunun her biri için yapılması gerekir):

  1. Kaynak grubuna gidin ve sol çubukta Access Control (IAM) bölümüne gidin.

  2. Access Control' de, rol ataması Ekle' ye gidin.

    Rol ataması ekleyin

  3. Rol ataması Ekle bölmesinde, rol olarak katkıda bulunan ' ı seçin ve kasasının adını sorumlu olarak kullanın. Kasanızı seçin ve işiniz bittiğinde Kaydet ' i seçin.

    Rol ve asıl seçin

İzinleri daha ayrıntılı bir düzeyde yönetmek için bkz. rolleri ve izinleri el Ile oluşturma.

Azure Backup için özel uç noktalar oluşturma

Bu bölümde, kasalarınız için özel bir uç noktanın nasıl oluşturulacağı açıklanmaktadır.

  1. Yukarıda oluşturulan kasanıza gidin ve sol gezinti çubuğundaki Özel uç nokta bağlantılarına gidin. Bu kasa için yeni bir özel uç nokta oluşturmaya başlamak üzere üstteki + Özel uç nokta ' ı seçin.

    Yeni özel uç nokta oluştur

  2. Özel uç nokta oluşturma işleminde bir kez, Özel uç nokta bağlantınızın oluşturulması için ayrıntıları belirtmeniz gerekir.

    1. Temel bilgiler: özel uç noktalarınız için temel ayrıntıları girin. Bölge, kasala ve yedeklenmekte olan kaynakla aynı olmalıdır.

      Temel ayrıntıları doldur

    2. Kaynak: Bu sekme, bağlantınızı oluşturmak Istediğiniz PaaS kaynağını seçmenizi gerektirir. İstediğiniz abonelik için kaynak türünden Microsoft. RecoveryServices/kasaults ' ı seçin. İşiniz bittiğinde, kaynak olarak kurtarma hizmetleri kasasının adını seçin ve hedef alt kaynak olarak AzureBackup .

      Bağlantınızın kaynağını seçin

    3. Yapılandırma: yapılandırma bölümünde, Özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı belirtin. Bu, VM 'nin bulunduğu sanal ağ olacaktır.

      Özel olarak bağlanmak için gerekli DNS kayıtlarına ihtiyacınız vardır. Ağ kurulumunuzu temel alarak, aşağıdakilerden birini seçebilirsiniz:

      • Özel uç noktanızı özel bir DNS bölgesi ile tümleştirin: bütünleştirmek istiyorsanız Evet ' i seçin.
      • Özel DNS sunucunuzu kullanın: kendi DNS sunucunuzu kullanmak istiyorsanız Hayır ' ı seçin.

      DNS kayıtlarını her ikisi için de yönetmek daha sonra açıklanmaktadır.

      Sanal ağı ve alt ağı belirtin

    4. İsteğe bağlı olarak, Özel uç noktanız için Etiketler ekleyebilirsiniz.

    5. Ayrıntıları girerken ve bir kez oluşturma işlemi tamamlandıktan sonra devam edin. Doğrulama tamamlandığında, Özel uç noktayı oluşturmak için Oluştur ' u seçin.

Özel uç noktaları Onayla

Özel uç noktayı oluşturan kullanıcı aynı zamanda kurtarma hizmetleri kasasının sahibiyseniz, yukarıda oluşturulan özel uç nokta otomatik olarak onaylanır. Aksi takdirde, kasanın sahibi, kullanmadan önce özel uç noktasını onaylamalıdır. Bu bölümde Azure portal aracılığıyla özel uç noktaların el ile onaylanması ele alınmaktadır.

Özel uç noktaları onaylamak için Azure Resource Manager istemcisini kullanmak üzere Azure Resource Manager istemcisini kullanarak özel uç noktaların el ile onaylanmasını inceleyin.

  1. Kurtarma Hizmetleri kasanızda, sol taraftaki çubukta Özel uç nokta bağlantıları ' na gidin.

  2. Onaylamak istediğiniz özel uç nokta bağlantısını seçin.

  3. Üstteki çubukta Onayla ' yı seçin. Ayrıca, uç nokta bağlantısını reddetmek veya silmek istiyorsanız Reddet veya Kaldır ' ı seçebilirsiniz.

    Özel uç noktaları Onayla

DNS kayıtlarını yönetme

Daha önce açıklandığı gibi, özel DNS bölgelerinde veya sunucularınızda, özel olarak bağlanabilmek için gerekli DNS kayıtlarına ihtiyacınız vardır. Özel uç noktanızı doğrudan Azure özel DNS bölgeleriyle tümleştirebilir veya ağ tercihlerinize göre bunu gerçekleştirmek için özel DNS sunucularınızı kullanabilirsiniz. Bu, üç hizmetin de gerçekleştirilmesi gerekir: yedekleme, blob 'Lar ve kuyruklar.

Ayrıca, DNS bölgeniz veya sunucunuz özel uç nokta içeren bir abonelikte mevcutsa, ayrıca DNS sunucusu/DNS bölgesi başka bir abonelikte BULUNDUĞUNDA DNS girişleri oluşturmabölümüne bakın.

Özel uç noktaları Azure özel DNS bölgeleriyle tümleştirilirken

Özel uç noktanızı özel DNS bölgeleriyle tümleştirmeyi seçerseniz, yedekleme gerekli DNS kayıtlarını ekler. Özel uç noktanın DNS yapılandırması altında kullanılan özel DNS bölgelerini görüntüleyebilirsiniz. Bu DNS bölgeleri yoksa, Özel uç nokta oluşturulurken otomatik olarak oluşturulur. Ancak, sanal ağınızın (yedeklenecek kaynakları içeren), aşağıda açıklandığı gibi üç özel DNS bölgesi ile düzgün bir şekilde bağlandığını doğrulamanız gerekir.

Azure özel DNS bölgesinde DNS yapılandırması

Not

Proxy sunucuları kullanıyorsanız, proxy sunucusunu atlayıp veya yedeklemelerinizi proxy sunucu aracılığıyla gerçekleştirmeyi seçebilirsiniz. Bir proxy sunucusunu atlamak için aşağıdaki bölümlere devam edin. Yedeklemelerinizi gerçekleştirmek üzere proxy sunucusunu kullanmak için bkz. Kurtarma Hizmetleri Kasası için proxy sunucusu kurulum ayrıntıları.

Yukarıda listelenen her özel DNS bölgesi Için (yedekleme, Bloblar ve kuyruklar için) şunları yapın:

  1. Sol gezinti çubuğundaki ilgili sanal ağ bağlantıları seçeneğine gidin.

  2. Aşağıda gösterildiği gibi, Özel uç noktasını oluşturduğunuz sanal ağ için bir giriş görmeniz gerekir:

    Özel uç nokta için sanal ağ

  3. Giriş görmüyorsanız, bunlara sahip olmayan tüm DNS bölgelerine bir sanal ağ bağlantısı ekleyin.

    Sanal ağ bağlantısı ekle

Özel DNS sunucusu veya ana bilgisayar dosyaları kullanırken

Özel DNS sunucularınız kullanıyorsanız, gerekli DNS bölgelerini oluşturmanız ve özel uç noktaları için gereken DNS kayıtlarını DNS sunucularınıza eklemeniz gerekir. Blob 'lar ve kuyruklar için koşullu ileticiler de kullanabilirsiniz.

Yedekleme hizmeti için

  1. DNS sunucunuzda, aşağıdaki adlandırma kuralına göre yedekleme için bir DNS bölgesi oluşturun:

    Bölge Hizmet
    privatelink.<geo>.backup.windowsazure.com Backup

    Not

    Yukarıdaki metinde, <geo> bölge kodunu (örneğin, eus ve Doğu ABD için ne Kuzey Avrupa sırasıyla) ifade eder. Aşağıdaki bölge kodları listelerine başvurun:

  2. Ardından, gerekli DNS kayıtlarını eklememiz gerekiyor. Yedekleme DNS bölgesine eklenmesi gereken kayıtları görüntülemek için, yukarıda oluşturduğunuz özel uç noktaya gidin ve sol gezinti çubuğunun altındaki DNS yapılandırması seçeneğine gidin.

    Özel DNS sunucusu için DNS yapılandırması

  3. Yedekleme için DNS bölgenize bir tür kaydı olarak görünen her FQDN ve IP için bir giriş ekleyin. Ad çözümlemesi için bir ana bilgisayar dosyası kullanıyorsanız, her IP ve FQDN için konak dosyasında karşılık gelen girdileri aşağıdaki biçime göre yapın:

    <private ip><space><backup service privatelink FQDN>

Not

Yukarıdaki ekran görüntüsünde gösterildiği gibi, FQDN 'Ler, xxxxxxxx.<geo>.backup.windowsazure.com değildir ve içermez xxxxxxxx.privatelink.<geo>.backup. windowsazure.com . Böyle durumlarda, belirtilen biçime göre (ve gerekiyorsa, ekleyin) dahil edin .privatelink. .

Blob ve sıra Hizmetleri için

Blob 'lar ve kuyruklar için, koşullu ileticileri kullanabilir veya DNS sunucunuzda DNS bölgeleri oluşturabilirsiniz.

Koşullu ileticiler kullanılıyorsa

Koşullu ileticiler kullanıyorsanız, blob ve sıra FQDN 'leri için aşağıdaki gibi ileticiler ekleyin:

FQDN IP
privatelink.blob.core.windows.net 168.63.129.16
privatelink.queue.core.windows.net 168.63.129.16
Özel DNS bölgeleri kullanılıyorsa

Blob 'lar ve kuyruklar için DNS bölgeleri kullanıyorsanız, öncelikle bu DNS bölgelerini oluşturmanız ve ardından gerekli A kayıtlarını eklemeniz gerekir.

Bölge Hizmet
privatelink.blob.core.windows.net Blob
privatelink.queue.core.windows.net Kuyruk

Şu anda, özel DNS sunucuları kullanırken yalnızca blob ve kuyrukların bölgelerini oluşturacağız. DNS kayıtlarını ekleme işlemi daha sonra iki adımda yapılır:

  1. İlk yedekleme örneğini kaydettiğinizde, diğer bir deyişle, yedekleme 'yi ilk kez yapılandırdığınızda
  2. İlk yedeklemeyi çalıştırdığınızda

Aşağıdaki bölümlerde bu adımları gerçekleştiririz.

Yedekleme için özel uç noktaları kullan

VNet 'iniz için oluşturulan özel uç noktalar onaylandığında, yedeklemelerinizi gerçekleştirmek ve geri yüklemek için bunları kullanmaya başlayabilirsiniz.

Önemli

Devam etmeden önce belgede belirtilen tüm adımları başarıyla tamamladığınızdan emin olun. Bu durumda, aşağıdaki denetim listesindeki adımları tamamlamış olmanız gerekir:

  1. (Yeni) bir kurtarma hizmetleri Kasası oluşturuldu
  2. Sistem tarafından atanan yönetilen kimliği kullanmak için kasa etkinleştirildi
  3. Kasanın yönetilen kimliğine ilgili izinler atandı
  4. Kasanız için özel bir uç nokta oluşturuldu
  5. Özel uç nokta onaylandı (otomatik onaylanmamışsa)
  6. Tüm DNS kayıtları uygun şekilde eklendi (özel sunucular için blob ve kuyruk kayıtları dışında, aşağıdaki bölümlerde ele alınacaktır)

VM bağlantısını denetle

Kilitli ağdaki sanal makinede, aşağıdakilerden emin olun:

  1. VM 'nin AAD erişimi olmalıdır.
  2. Bağlantıyı sağlamak için sanal makinenizin yedekleme URL 'si () üzerinde nslookup xxxxxxxx.privatelink.<geo>.backup. windowsazure.com 'ı yürütün. Bu, sanal ağınıza atanan özel IP 'yi döndürmelidir.

Yedeklemeyi yapılandırma

Yukarıdaki denetim listesi ve erişiminin başarıyla tamamlandığından emin olduktan sonra, iş yüklerinin yedeklemesini kasaya yapılandırmaya devam edebilirsiniz. Özel bir DNS sunucusu kullanıyorsanız, ilk yedekleme yapılandırıldıktan sonra kullanılabilir blob 'lar ve kuyruklar için DNS girişleri eklemeniz gerekir.

Blob 'lar ve kuyruklar için DNS kayıtları (yalnızca özel DNS sunucuları/ana bilgisayar dosyaları için) ilk kayıttan sonra

Özel bir uç nokta etkin kasasında en az bir kaynak için yedeklemeyi yapılandırdıktan sonra, aşağıda açıklandığı gibi Bloblar ve kuyruklar için gereken DNS kayıtlarını ekleyin.

  1. Kaynak grubunuza gidin ve oluşturduğunuz özel uç noktayı arayın.

  2. Sizin tarafınızdan verilen özel uç nokta adından ayrı olarak, oluşturulmakta olan iki özel bitiş noktası görürsünüz. Bunlar ile başlar <the name of the private endpoint>_ecs ve, _blob ve sırasıyla sonlardır _queue .

    Özel uç nokta kaynakları

  3. Bu özel uç noktaların her birine gidin. İki özel bitiş noktası için DNS yapılandırma seçeneğinde, ve FQDN ve IP adresi olan bir kayıt görürsünüz. Daha önce açıklananlara ek olarak bunların her ikisini de özel DNS sunucunuza ekleyin. Bir konak dosyası kullanıyorsanız, her IP/FQDN için konak dosyasında karşılık gelen girdileri aşağıdaki biçime göre yapın:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Blob DNS yapılandırması

Yukarıdaki ' a ek olarak, daha sonraele alınan ilk yedeklemeden sonra başka bir giriş gerekir.

Azure VM 'de iş yüklerini yedekleme ve geri yükleme (SQL ve SAP HANA)

özel uç nokta oluşturulup onaylandıktan sonra, istemci tarafında özel uç noktayı kullanmak için başka bir değişiklik yapmanız gerekmez (bu bölümde daha sonra tartışıldığımız SQL kullanılabilirlik grupları kullanmadıkça). Güvenli ağınızdan kasaya tüm iletişim ve veri aktarımı özel uç nokta aracılığıyla gerçekleştirilir. ancak, bir sunucu (SQL veya SAP HANA) kaydedildikten sonra kasaya ait özel uç noktaları kaldırırsanız kapsayıcıyı kasayla yeniden kaydetmeniz gerekir. Bunların korumasını durdurmanız gerekmez.

İlk yedeklemeden sonra Bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/ana bilgisayar dosyaları için)

İlk yedeklemeyi çalıştırdıktan sonra özel bir DNS sunucusu kullanıyorsunuz (koşullu iletme olmadan), bu durum büyük olasılıkla yedeğinizin başarısız olmasına neden olur. Böyle bir durumla karşılaşırsanız:

  1. Kaynak grubunuza gidin ve oluşturduğunuz özel uç noktayı arayın.

  2. Daha önce ele alınan üç özel bitiş noktasından başlayarak, adıyla başlayan <the name of the private endpoint>_prot ve ile Sonekli bir dördüncü özel uç nokta görürsünüz _blob .

    "Prot" sonekiyle özel bir endpoing

  3. Bu yeni özel uç noktaya gidin. DNS yapılandırma seçeneğinde, FQDN ve IP adresi olan bir kayıt görürsünüz. Bunları, daha önce açıklananlara ek olarak özel DNS sunucunuza ekleyin.

    Bir konak dosyası kullanıyorsanız, her IP ve FQDN için konak dosyasında karşılık gelen girdileri aşağıdaki biçime göre yapın:

    <private ip><space><blob service privatelink FQDN>

Not

bu noktada, sanal makineden nslookup 'ı çalıştırabilmeniz ve kasasının yedeklenip Depolama url 'leri üzerinde işiniz bittiğinde özel ıp adreslerine çözebilmelisiniz.

SQL kullanılabilirlik grupları kullanırken

SQL kullanılabilirlik grupları (AG) kullanılırken, aşağıda açıklandığı gibi özel AG DNS 'de koşullu iletme sağlamanız gerekir:

  1. Etki alanı denetleyicinizde oturum açın.

  2. DNS uygulaması altında, üç DNS bölgesinin (yedekleme, blob 'Lar ve kuyruklar) ana bilgisayar IP 168.63.129.16 veya özel DNS sunucusu IP adresi için gerektiği şekilde koşullu ileticiler ekleyin. Aşağıdaki ekran görüntüleri, Azure ana bilgisayar IP 'ye ne zaman iletiyorsunuz gösterir. Kendi DNS sunucunuzu kullanıyorsanız, DNS sunucunuzun IP 'si ile değiştirin.

    DNS Yöneticisi 'nde koşullu ileticiler

    Yeni koşullu iletici

MARS Aracısı aracılığıyla yedekleme ve geri yükleme

Şirket içi kaynaklarınızı yedeklemek için MARS Aracısı kullanılırken, şirket içi ağınızın (yedeklenecek kaynakları içeren), kasa için özel bir uç nokta içeren Azure VNet ile eşlendiğinden emin olun. Daha sonra MARS aracısını yüklemeye devam edebilir ve yedeklemeyi burada açıklandığı gibi yapılandırabilirsiniz. Ancak, yedekleme için tüm iletişimin yalnızca eşlenmiş ağ aracılığıyla yapıldığından emin olmanız gerekir.

Ancak bir MARS Aracısı kaydedildikten sonra kasa için özel uç noktalar kaldırırsanız, kapsayıcıyı kasaya yeniden kaydetmeniz gerekir. Bunların korumasını durdurmanız gerekmez.

Özel uç noktaları silme

Özel uç noktaları silmeyi öğrenmek için Bu bölüme bakın.

Ek konu başlıkları

Azure Resource Manager istemcisini kullanarak bir kurtarma hizmetleri Kasası oluşturma

Kurtarma Hizmetleri kasasını oluşturabilir ve yönetilen istemcisini kullanarak Yönetilen Kimliği etkinleştirebilirsiniz (yönetilen kimliği etkinleştirmek için daha sonra göreceğiz) Azure Resource Manager. Bunu yapmak için bir örnek aşağıda paylaşılır:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Yukarıdaki JSON dosyası aşağıdaki içeriğe sahip olmalı:

JSON isteği:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Yanıt JSON'ı:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Not

Bu örnekte Azure Resource Manager istemci aracılığıyla oluşturulan kasa, sistem tarafından atanan yönetilen kimlikle oluşturulmuş durumdadır.

Kaynak Gruplarında izinleri yönetme

Kasa için Yönetilen Kimliğin, özel uç noktaların oluşturulacak kaynak grubunda ve sanal ağ üzerinde aşağıdaki izinlere sahip olması gerekir:

  • Microsoft.Network/privateEndpoints/* Bu, kaynak grubunda özel uç noktalar üzerinde CRUD gerçekleştirmek için gereklidir. Kaynak grubuna atanmalı.
  • Microsoft.Network/virtualNetworks/subnets/join/action Özel IP'nin özel uç noktayla ekli olduğu sanal ağ üzerinde bu gereklidir.
  • Microsoft.Network/networkInterfaces/read Bu, özel uç nokta için oluşturulan ağ arabirimini almak için kaynak grubunda gereklidir.
  • Özel DNS Katkıda Bulunanı Rolü Bu rol zaten mevcuttur ve ve izinlerini sağlamak Microsoft.Network/privateDnsZones/A/* için Microsoft.Network/privateDnsZones/virtualNetworkLinks/read kullanılabilir.

Gerekli izinlere sahip roller oluşturmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:

Rolleri ve izinleri el ile oluşturma

Aşağıdaki JSON dosyalarını oluşturun ve bölümün sonundaki PowerShell komutunu kullanarak roller oluşturun:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Betik kullanma

  1. PowerShell Cloud Shell Azure portal dosya Upload seçin.

    PowerShell Upload dosya seçme

  2. Upload betiği kullanın: VaultMsiPrereqScript

  3. Giriş klasörünüze gidin (örneğin: cd /home/user )

  4. Şu betiği çalıştırın:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Parametreler şu şekildedir:

    • **subscription:****Kasa için özel uç noktanın oluşturulacak kaynak grubunu ve kasanın özel uç noktasının ekli olduğu alt ağın bulunduğu SubscriptionId

    • vaultPEResourceGroup: Kasa için özel uç noktanın oluşturulacak kaynak grubu

    • vaultPESubnetResourceGroup: Özel uç noktanın bir araya gelecek olduğu alt ağın kaynak grubu

    • vaultMsiName: Kasanın MSI'sı adı; bu, VaultName ile aynı

  5. Kimlik doğrulamasını tamamlarsanız betik yukarıda belirtilen aboneliğin bağlamını alır. Kiracıda eksikse uygun rolleri oluşturacak ve kasanın MSI'sına roller atayacak.

Azure PowerShell kullanarak Özel Uç Noktalar oluşturma

Otomatik olarak onaylanan özel uç noktalar

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName
  
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Azure Resource Manager Client kullanılarak özel uç noktaların el ile onaylanması

  1. Özel uç noktanıza özel uç noktanın Özel Uç Nokta Bağlantı Kimliğini almak için GetVault kullanın.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Bu, Özel Uç Nokta Bağlantı Kimliği'ne döner. Bağlantının adı, bağlantı kimliğinin ilk bölümü kullanılarak aşağıdaki gibi alınabilirsiniz:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Yanıttan Özel Uç Nokta Bağlantı Kimliğini (ve Gerektiğinde Özel Uç Nokta Adını) alın ve aşağıdaki JSON ve Azure Resource Manager URI'sinde değiştirin ve aşağıdaki örnekte olduğu gibi Durum'u "Approved/Rejected/Disconnected" (Onaylandı/Reddedildi/Kesildi) olarak değiştirmeyi deneyin:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Kurtarma Hizmetleri kasası için özel uç nokta ile ara sunucu ayarlama

Azure VM veya şirket içi makine için bir ara sunucu yapılandırmak için şu adımları izleyin:

  1. Ara sunucudan erişilen aşağıdaki etki alanlarını ekleyin.

    Hizmet Etki alanı adları Bağlantı noktası
    Azure Backup *.backup.windowsazure.com 443
    Azure Storage *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Azure Active Directory

    Microsoft 365 Common ve Office Online'daki 56 ve 59. bölümlerde belirtilen etki alanı URL'Office güncelleştirildi.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Uygun olduğunda.
  2. Ara sunucuda bu etki alanlarına erişime izin ver ve özel DNS bölgesi ( , , ) ile ara sunucunun oluşturularak veya ilgili DNS girişleriyle özel bir DNS sunucusu kullandığı sanal ağ ile bağlantı *.privatelink.<geo>.backup.windowsazure.com *.privatelink.blob.core.windows.net *.privatelink.queue.core.windows.net sağlar.

    Proxy sunucusunun çalıştırılan sanal ağı ve özel uç nokta NIC'sini oluşturan sanal ağ eş olmalıdır. Bu eşleme, proxy sunucusunun istekleri özel IP'ye yönlendirmesine olanak sağlar.

    Not

    Yukarıdaki metinde bölge kodu (örneğin, sırasıyla Doğu ABD <geo> ve Kuzey Avrupa) ifade eder. Bölge kodları için aşağıdaki listelere bakın:

Aşağıdaki diyagramda, sanal ağı gerekli DNS girişlerine sahip özel bir DNS bölgesine bağlı bir proxy sunucusuyla (Azure Özel DNS bölgeleri kullanılırken) bir kurulum gösterir. Proxy sunucusunun kendi özel DNS sunucusu da olabilir ve yukarıdaki etki alanları koşullu olarak 168.63.129.16'ya iletebilirsiniz. DNS çözümlemesi için özel bir DNS sunucusu/konak dosyası kullanıyorsanız, DNS girişlerini yönetme ve korumayı yapılandırma bölümlerine bakın.

Proxy sunucusuyla kurulumu gösteren diyagram.

DNS sunucusu/DNS bölgesi başka bir abonelikte mevcut olduğunda DNS girişleri oluşturma

Bu bölümde, bir abonelikte var olan bir DNS bölgesi veya Merkez-uç topolojisi gibi Kurtarma Hizmetleri kasası için özel uç noktasını içerenden farklı bir Kaynak Grubu'nu nasıl kullanmakta olduğunu ele aacağız. Özel uç noktalar (ve DNS girişleri) oluşturmak için kullanılan yönetilen kimliğin yalnızca özel uç noktaların oluşturulacak Kaynak Grubu üzerinde izinleri olduğu için, gerekli DNS girişlerine ek olarak gereklidir. DNS girişleri oluşturmak için aşağıdaki PowerShell betiklerini kullanın.

Not

Gerekli sonuçları elde etmek için aşağıda açıklanan sürecin tamamına bakın. sürecin iki kez tekrarlanması gerekir: ilk bulma sırasında bir kez (iletişim depolama hesapları için gereken DNS girişlerini oluşturmak için) ve ardından ilk yedekleme sırasında (arka uç depolama hesapları için gereken DNS girişlerini oluşturmak için).

1. Adım: Gerekli DNS girişlerini al

Oluşturulacak PrivateIP.ps1 DNS girişlerini listeleyek içinPrivateIP.ps1betiği kullanın.

Not

Aşağıdaki subscription söz dizimsinde, kasanın özel uç noktasının oluşturulacak aboneliği ifade eder.

Betiği kullanmak için söz dizimi

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Örnek çıkış

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

2. Adım: DNS girişleri oluşturma

Yukarıdakilere karşılık gelen DNS girişleri oluşturun. Kullanmakta olduğunu DNS türüne bağlı olarak, DNS girişleri oluşturmak için iki alternatif vardır.

Durum 1: Özel bir DNS sunucusu kullanıyorsanız, yukarıdaki betikten her kayıt için el ile girişler oluşturmanız ve FQDN'nin (ResourceName.DNS) sanal ağ içindeki bir Özel IP'ye çözümleyici olduğunu doğrulamanız gerekir.

2. Durum: Azure Özel DNS Zone kullanıyorsanız, CreateDNSEntries.ps1 betiği kullanarak Özel DNS Bölgesinde otomatik olarak DNS girişleri oluşturabilirsiniz. Aşağıdaki söz dizimsinde, subscription Bölge'nin Özel DNS vardır.

Betiği kullanmak için söz dizimi

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Tüm sürecin özeti

Bu geçici çözüm aracılığıyla RSV için özel uç noktayı doğru ayarlamak için şunları gereklidir:

  1. Kasa için özel bir uç nokta oluşturun (makalenin önceki sürümlerinde açıklandığı gibi).
  2. Tetikleyici bulma. SQL/HANA için bulma, iletişim depolama hesabı için DNS girişleri olmadığı için UserErrorVMInternetConnectivityIssue ile başarısız olur.
  3. DNS girişlerini almak ve bu bölümün başlarında bahsedilen iletişim depolama hesabı için ilgili DNS girişlerini oluşturmak için betikleri çalıştırın.
  4. Bulmayı yeniden tetikle. Bu kez bulma başarılı olacaktır.
  5. Yedeklemeyi tetikle. SQL/HANA ve MARS için yedekleme, bu bölümün önceki kısımlarında belirtildiği gibi arka uç depolama hesapları için DNS girişleri olmadığı için başarısız olabilir.
  6. Arka uç depolama hesabı için DNS girişleri oluşturmak için betikleri çalıştırın.
  7. Yedeklemeyi yeniden tetikle. Bu kez yedeklemelerin başarılı olması gerekir.

Sık sorulan sorular

Mevcut bir Backup kasası için özel uç nokta oluşturabilir miyim?

Hayır, yalnızca yeni Backup kasaları için özel uç noktalar oluşturulabilir. Bu nedenle kasada hiçbir öğe korunmamış olması gerekir. Aslında, özel uç noktalar oluşturmadan önce kasada herhangi bir öğe korumaya yönelik girişimde bulun bulunabilirsiniz.

Kasamda bir öğeyi korumaya çalıştım ama başarısız oldu ve kasada korunan hiçbir öğe yok. Bu kasa için özel uç noktalar oluşturabilir miyim?

Hayır, kasada geçmişte herhangi bir öğenin korunmasına yönelik herhangi bir girişimde bulunmmamış olması gerekir.

Yedekleme ve geri yükleme için özel uç noktaları kullanan bir kasam var. Bu kasada korunan yedekleme öğelerim olsa bile daha sonra bu kasa için özel uç noktaları ekleyebilir veya kaldırabilir miyim?

Evet. Kasa için özel uç noktalar ve korumalı yedekleme öğeleri oluşturduysanız, daha sonra gerektiğinde özel uç noktaları ekleyebilir veya kaldırabilirsiniz.

Özel uç nokta Azure Backup için de kullanılabilir Azure Site Recovery?

Hayır, Backup için özel uç nokta yalnızca yedekleme Azure Backup. Hizmet tarafından desteklense, Azure Site Recovery için yeni bir özel uç nokta oluşturmanız gerekir.

Bu makaledeki adımlardan birini atladık ve veri kaynağımı korumak için devam etti. Özel uç noktaları kullanmaya devam miyim?

Makaledeki adımları takip etmek ve öğeleri korumaya devam etmek kasanın özel uç noktaları kullanamayabilecek. Bu nedenle öğeleri korumaya devam etmeden önce bu denetim listesine başvurabilirsiniz.

Azure özel DNS bölgesi veya tümleşik bir özel DNS bölgesi kullanmak yerine kendi DNS sunucum kullanabilir miyim?

Evet, kendi DNS sunucularınızı kullanabilirsiniz. Ancak, tüm gerekli DNS kayıtlarının bu bölümde önerildik şekilde eklendiklerine emin olun.

Bu makaledeki işlemi izledikten sonra sunucumda ek adımlar gerçekleştirmem gerekiyor mu?

Bu makalede ayrıntılı olarak yer alan işlemi takip ettikten sonra, yedekleme ve geri yükleme için özel uç noktaları kullanmak için ek çalışma yapmaya gerek yok.

Sonraki adımlar