Azure Backup için özel uç noktalara genel bakış ve kavramlar (v1 deneyimi)
Azure Backup, özel uç noktaları kullanarak Kurtarma Hizmetleri kasalarınızdan verilerinizi güvenli bir şekilde yedeklemenize ve geri yüklemenize olanak tanır. Özel uç noktalar, Azure Sanal Ağ 'nizden (VNet) bir veya daha fazla özel IP adresi kullanarak hizmeti etkin bir şekilde sanal ağınıza getirir.
Bu makale, Azure Backup için özel uç noktaların nasıl çalıştığını ve özel uç noktaları kullanmanın kaynaklarınızın güvenliğini korumaya yardımcı olduğu senaryoları anlamanıza yardımcı olur.
Dekont
Azure Backup artık özel uç noktalar oluşturmak için yeni bir deneyim sunuyor. Daha fazla bilgi edinin.
Başlamadan önce
- Özel uç noktalar yalnızca yeni Kurtarma Hizmetleri kasaları için oluşturulabilir (kasaya kayıtlı öğe yoktur). Bu nedenle, kasadaki öğeleri korumaya çalışmadan önce özel uç noktaların oluşturulması gerekir. Ancak, özel uç noktalar şu anda Backup kasaları için desteklenmemektedir.
- Bir sanal ağ, birden çok Kurtarma Hizmetleri kasası için özel uç noktalar içerebilir. Ayrıca, bir Kurtarma Hizmetleri kasasının birden çok sanal ağda özel uç noktaları olabilir. Ancak, bir kasa için oluşturulabilecek en fazla özel uç nokta sayısı 12'dir.
- Kasa için genel ağ erişimi Tüm ağlardan izin ver olarak ayarlanırsa, kasa kasaya kayıtlı herhangi bir makineden yedeklemelere ve geri yüklemelere izin verir. Kasa için genel ağ erişimi Reddet olarak ayarlandıysa, kasa yalnızca kasa için ayrılmış özel IP'ler aracılığıyla yedekleme/geri yükleme isteğinde bulunan kasaya kayıtlı makinelerden yedeklemelere ve geri yüklemelere izin verir.
- Yedekleme için özel uç nokta bağlantısı, depolama için Azure Backup tarafından kullanılanlar da dahil olmak üzere alt ağınızda toplam 11 özel IP kullanır. Bu sayı belirli Azure bölgeleri için daha yüksek olabilir. Bu nedenle, Yedekleme için özel uç noktalar oluşturmaya çalıştığınızda kullanılabilir yeterli özel IP'niz (/26) olmasını öneririz.
- Kurtarma Hizmetleri kasası (hem Azure Backup hem de Azure Site Recovery) tarafından kullanılırken, bu makalede yalnızca Azure Backup için özel uç noktaların kullanımı ele alınmaktadır.
- Yedekleme için özel uç noktalar Microsoft Entra Kimliği'ne erişimi içermez ve bunların ayrı olarak sağlanması gerekir. Bu nedenle, Microsoft Entra Id'nin bir bölgede çalışması için gereken IP'ler ve FQDN'ler, Azure VM'lerinde veritabanlarının yedeklenmesi ve MARS aracısını kullanarak yedekleme yapılırken güvenli ağdan giden erişime izin verilmelidir. Ayrıca, NSG etiketlerini ve Azure Güvenlik Duvarı etiketlerini, uygun olduğu şekilde Microsoft Entra Id'ye erişime izin vermek için de kullanabilirsiniz.
- 1 Mayıs 2020'ye kadar kaydettiyseniz Kurtarma Hizmetleri kaynak sağlayıcısını aboneliğe yeniden kaydetmeniz gerekir. Sağlayıcıyı yeniden kaydetmek için Azure portalında aboneliğinize gidin, sol gezinti çubuğunda Kaynak sağlayıcısı'na gidin, ardından Microsoft.RecoveryServices'i seçin ve Yeniden kaydet'i seçin.
- Kasada özel uç noktalar etkinleştirilmişse SQL ve SAP HANA veritabanı yedeklemeleri için bölgeler arası geri yükleme desteklenmez.
- Zaten özel uç noktaları kullanan bir Kurtarma Hizmetleri kasasını yeni bir kiracıya taşıdığınızda, kasanın yönetilen kimliğini yeniden oluşturup yeniden yapılandırmak ve gerektiğinde yeni özel uç noktalar oluşturmak için Kurtarma Hizmetleri kasasını güncelleştirmeniz gerekir (yeni kiracıda olmalıdır). Bu yapılmazsa yedekleme ve geri yükleme işlemleri başarısız olur. Ayrıca, abonelik içinde ayarlanan tüm Azure rol tabanlı erişim denetimi (Azure RBAC) izinlerinin yeniden yapılandırılması gerekir.
Önerilen ve desteklenen senaryolar
Kasa için özel uç noktalar etkinleştirildiğinden, bir Azure VM'de SQL ve SAP HANA iş yüklerini yedeklemek ve geri yüklemek için kullanılırlar, yalnızca MARS aracısı yedeklemesi ve DPM. Kasayı diğer iş yüklerinin yedeklemesi için de kullanabilirsiniz (özel uç noktalar gerektirmezler). SQL ve SAP HANA iş yüklerinin ve MARS aracısını kullanarak yedeklemenin yanı sıra, Azure VM yedeklemesi için dosya kurtarma gerçekleştirmek için özel uç noktalar da kullanılır. Daha fazla bilgi için aşağıdaki tabloya bakın:
| Senaryolar | Öneriler |
|---|---|
| Azure VM'de (SQL, SAP HANA), MARS Aracısı kullanarak yedekleme, DPM sunucusunda iş yüklerinin yedekleniyor. | Sanal ağlarınızdan Azure Backup veya Azure Depolama için ip/FQDN'leri izin verilenler listesine eklemeye gerek kalmadan yedeklemeye ve geri yüklemeye izin vermek için özel uç noktaların kullanılması önerilir. Bu senaryoda, SQL veritabanlarını barındıran VM'lerin Microsoft Entra IP'lerine veya FQDN'lere ulaşadığından emin olun. |
| Azure VM yedeklemesi | VM yedeklemesi, IP'lere veya FQDN'lere erişime izin vermenizi gerektirmez. Bu nedenle, diskleri yedeklemek ve geri yüklemek için özel uç noktalar gerektirmez. Ancak, özel uç noktaları içeren bir kasadan dosya kurtarma, kasa için özel uç nokta içeren sanal ağlarla sınırlandırılabilir. ACL'lere sahip yönetilmeyen diskleri kullanırken, diskleri içeren depolama hesabının ACL'liyse güvenilen Microsoft hizmetleri erişime izin verdiğinden emin olun. |
| yedeklemeyi Azure Dosyalar | Azure Dosyalar yedeklemeler yerel depolama hesabında depolanır. Bu nedenle yedekleme ve geri yükleme için özel uç noktalar gerektirmez. |
Dekont
Özel uç noktalar yalnızca DPM sunucusu 2022, MABS v4 ve sonraki sürümlerde desteklenir.
Özel uç noktalardan kaynaklanan ağ bağlantılarındaki fark
Yukarıda belirtildiği gibi, özel uç noktalar özellikle Azure VM'lerinde ve MARS aracı yedeklemelerinde iş yüklerinin (SQL, SAP HANA) yedekleneceği durumlarda kullanışlıdır.
Tüm senaryolarda (özel uç noktaları olan veya olmayan) hem iş yükü uzantıları (Azure VM'lerinde çalışan SQL ve SAP HANA örneklerini yedeklemek için) hem de MARS aracısı Microsoft Entra Id'ye (Microsoft 365 Common ve Office Online'da 56 ve 59. bölümlerde belirtilen FQDN'lere) bağlantı çağrıları yapar.
Özel uç noktalar olmadan kurtarma hizmetleri kasası için iş yükü uzantısı veya MARS aracısı yüklendiğinde bu bağlantılara ek olarak, aşağıdaki etki alanlarına bağlantı da gereklidir:
| Service | Etki alanı adları | Bağlantı noktası |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra Kimliği | *.login.microsoft.com 56 ve 59 bölümleri altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Özel uç nokta ile Kurtarma Hizmetleri kasası için iş yükü uzantısı veya MARS aracısı yüklendiğinde aşağıdaki uç noktalara isabet edilir:
| Service | Etki alanı adı | Bağlantı noktası |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Depolama | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra Kimliği | *.login.microsoft.com 56 ve 59 bölümleri altındaki FQDN'lere erişime izin verin. |
443 Uygun olduğunda |
Dekont
Yukarıdaki metinde bölge <geo> koduna başvurur (örneğin, Doğu ABD için eus ve Kuzey Avrupa için ne ). Bölge kodları için aşağıdaki listelere bakın:
Özel uç nokta kurulumuna sahip bir Kurtarma Hizmetleri kasası için, FQDN'lerin (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) ad çözümlemesi özel bir IP adresi döndürmelidir. Bu, aşağıdakiler kullanılarak elde edilebilir:
- Azure Özel DNS bölgeleri
- Özel DNS
- Konak dosyalarındaki DNS girişleri
- Azure DNS veya Azure Özel DNS bölgelerine koşullu ileticiler.
Bloblar ve kuyruklar için özel uç noktalar standart bir adlandırma desenini izler; bunlar özel uç noktanın adıyla_ecs özel< uç noktanın>> adıyla <başlar_prot ve sırasıyla _blob ve _queue ile son eklenmiştir.
Dekont
Azure Backup kullanarak bloblar ve kuyruklar için DNS kayıtlarını yönetmenizi sağlayan Azure Özel DNS bölgelerini kullanmanızı öneririz. Kasaya atanan yönetilen kimlik, yedekleme verileri için yeni depolama hesabı ayrıldığında DNS kaydının eklenmesini otomatikleştirmek için kullanılır.
Üçüncü taraf proxy sunucuları veya güvenlik duvarları kullanarak bir DNS proxy sunucusu yapılandırdıysanız, yukarıdaki etki alanı adlarına izin verilmelidir ve özel bir DNS'ye (yukarıdaki FQDN'ler için DNS kayıtlarına sahip olan) veya buna bağlı özel DNS bölgeleri olan Azure sanal ağında 168.63.129.16'ya yönlendirilmelidir.
Aşağıdaki örnekte Kurtarma Hizmetleri kasası, blob, kuyruklar ve Microsoft Entra Id için etki alanı adı sorgularını 168.63.129.16'ya yeniden yönlendirmek için DNS proxy'si olarak kullanılan Azure güvenlik duvarı gösterilmektedir.
Daha fazla bilgi için bkz . Özel uç noktaları oluşturma ve kullanma.
Özel uç noktalara sahip kasa için ağ bağlantısı kurulumu
Kurtarma hizmetleri için özel uç nokta bir ağ arabirimi (NIC) ile ilişkilendirilir. Özel uç nokta bağlantılarının çalışması için Azure hizmeti için tüm trafiğin ağ arabirimine yeniden yönlendirilmiş olması gerekir. Bu, hizmet/blob/kuyruk URL'sine ağ arabirimiyle ilişkili özel IP için DNS eşlemesi eklenerek gerçekleştirilir.
İş yükü yedekleme uzantıları özel uç nokta içeren bir Kurtarma Hizmetleri kasasına kayıtlı sanal makineye yüklendiğinde, uzantı Azure Backup hizmetlerinin <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comözel URL'sinde bağlantı kurmayı dener. Özel URL sorunu çözmezse genel URL'yi <azure_backup_svc>.<geo>.backup.windowsazure.comdener.
Dekont
Yukarıdaki metinde bölge <geo> koduna başvurur (örneğin, Doğu ABD için eus ve Kuzey Avrupa için ne ). Bölge kodları için aşağıdaki listelere bakın:
Bu özel URL'ler kasaya özeldir. Yalnızca kasaya kayıtlı uzantılar ve aracılar bu uç noktalar üzerinden Azure Backup ile iletişim kurabilir. Kurtarma Hizmetleri kasası için genel ağ erişimi Reddet olarak yapılandırılmışsa bu, sanal ağda çalışmayan istemcilerin kasada yedekleme ve geri yükleme istemesini kısıtlar. Özel uç nokta kurulumuyla birlikte genel ağ erişimini Reddet olarak ayarlamanızı öneririz. Uzantı ve aracı başlangıçta özel URL'yi denerken, URL'nin *.privatelink.<geo>.backup.windowsazure.com DNS çözümlemesi özel uç noktayla ilişkili ilgili özel IP'yi döndürmelidir.
DNS çözümleme çözümleri şunlardır:
- Azure Özel DNS bölgeleri
- Özel DNS
- Konak dosyalarındaki DNS girişleri
- Azure DNS / Azure Özel DNS bölgelerine koşullu ileticiler.
Kurtarma Hizmetleri kasaları için özel uç nokta Azure portalı üzerinden özel DNS bölgesiyle tümleştir seçeneğiyle oluşturulduğunda, kaynak her ayrıldığında Azure Backup hizmetleri (*.privatelink.<geo>backup.windowsazure.com) için özel IP adresleri için gerekli DNS girişleri otomatik olarak oluşturulur. Diğer çözümlerde, özel DNS'de veya konak dosyalarında bu FQDN'ler için DNS girdilerini el ile oluşturmanız gerekir.
İletişim kanalı - blob/kuyruk için VM bulma işleminden sonra DNS kayıtlarının el ile yönetilmesi için, ilk kayıt sonrasında bloblar ve kuyruklar için DNS kayıtlarına (yalnızca özel DNS sunucuları/konak dosyaları için) bakın. Yedekleme depolama hesabı blobu için ilk yedeklemeden sonra DNS kayıtlarının el ile yönetimi için bkz . bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için) ilk yedeklemeden sonra.
FQDN'lerin özel IP adresleri, Kurtarma Hizmetleri kasası için oluşturulan özel uç noktanın özel uç nokta dikey penceresinde bulunabilir.
Aşağıdaki diyagramda, bu özel hizmet FQDN'lerini çözümlemek için bir özel DNS bölgesi kullanılırken çözümlemenin nasıl çalıştığı gösterilmektedir.
Azure VM'de çalışan iş yükü uzantısı en az iki depolama hesabına bağlantı gerektirir. Birincisi iletişim kanalı (kuyruk iletileri aracılığıyla) ve ikincisi yedekleme verilerini depolamak için kullanılır. MARS aracısı, yedekleme verilerini depolamak için kullanılan bir depolama hesabına erişim gerektirir.
Özel uç nokta özellikli bir kasa için Azure Backup hizmeti bu depolama hesapları için özel uç nokta oluşturur. Bu, Azure Backup ile ilgili ağ trafiğinin (hizmete giden denetim düzlemi trafiği ve verileri depolama blob'una yedekleme) sanal ağdan ayrılmasını önler. Azure Backup bulut hizmetlerine ek olarak iş yükü uzantısı ve aracısı, Azure Depolama hesaplarına ve Microsoft Entra Id'ye bağlantı gerektirir.
Kurtarma Hizmetleri kasası, önkoşul olarak aynı Kaynak Grubunda ek özel uç noktalar oluşturmak için izinler gerektirir. Ayrıca Kurtarma Hizmetleri kasasına özel DNS bölgelerinde (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net) DNS girişleri oluşturma izinlerini sağlamanızı öneririz. Kurtarma Hizmetleri kasası, sanal ağ ve özel uç noktanın oluşturulduğu kaynak gruplarında özel DNS bölgelerini arar. Bu bölgelere DNS girdileri ekleme izinleri varsa, bunlar kasa tarafından oluşturulur; aksi takdirde, bunları el ile oluşturmanız gerekir.
Dekont
Bu deneyimde, farklı aboneliklerde bulunan özel DNS bölgesiyle tümleştirme desteklenmez.
Aşağıdaki diyagramda, özel DNS bölgesi kullanan depolama hesapları için ad çözümlemesinin nasıl çalıştığı gösterilmektedir.
Sonraki adımlar
- Özel uç noktalar oluşturun ve kullanın.