Sdílet prostřednictvím

Vytváření a používání privátních koncových bodů (prostředí v2) pro Azure Backup

  • Článek

Azure Backup umožňuje bezpečně provádět operace zálohování a obnovení dat z trezorů služby Recovery Services pomocí privátních koncových bodů. Privátní koncové body používají jednu nebo více privátních IP adres z vaší virtuální sítě Azure a efektivně přenesou službu do vaší virtuální sítě.

Azure Backup teď nabízí vylepšené prostředí při vytváření a používání privátních koncových bodů v porovnání s klasickým prostředím (v1).

Tento článek popisuje, jak vytvořit a spravovat privátní koncové body pro Azure Backup v trezoru služby Recovery Services.

Vytvoření trezoru služby Recovery Services

Privátní koncové body pro Službu Azure Backup můžete vytvářet jenom pro trezory služby Recovery Services, které nemají chráněné žádné položky (nebo jste se v minulosti nepokoušeli o ochranu ani registraci žádné položky). Proto doporučujeme vytvořit nový trezor pro konfiguraci privátního koncového bodu.

Další informace o vytvoření nového trezoru najdete v tématu Vytvoření a konfigurace trezoru služby Recovery Services. Pokud ale máte existující trezory, které už mají vytvořené privátní koncové body, můžete pro ně znovu vytvořit privátní koncové body pomocí vylepšeného prostředí.

Odepření přístupu k trezoru veřejné sítě

Trezory můžete nakonfigurovat tak, aby odepřely přístup z veřejných sítí.

Postupujte následovně:

  1. Přejděte do sítě trezoru>.

  2. Na kartě Veřejný přístup vyberte Odepřít, abyste zabránili přístupu z veřejných sítí.

    Snímek obrazovky znázorňující, jak vybrat možnost Odepřít

    Poznámka:

    Jakmile odepřete přístup, budete mít přístup k trezoru, ale nemůžete přesunout data do a ze sítí, které neobsahují privátní koncové body. Další informace najdete v tématu Vytvoření privátních koncových bodů pro Azure Backup.

  3. Chcete-li uložit změny, vyberte Použít .

Vytvoření privátních koncových bodů pro Azure Backup

Pokud chcete vytvořit privátní koncové body pro Azure Backup, postupujte takto:

  1. Přejděte na *\vault , pro který chcete vytvořit privátní koncové body >Sítě.

  2. Přejděte na kartu Privátní přístup a vyberte +Privátní koncový bod a začněte vytvářet nový privátní koncový bod.

    Snímek obrazovky znázorňující, jak začít vytvářet nový privátní koncový bod

  3. Při vytvoření privátního koncového bodu zadejte požadované podrobnosti:

    a. Základy: Zadejte základní podrobnosti o privátních koncových bodech. Oblast by měla být stejná jako trezor a prostředek, který se má zálohovat.

    Snímek obrazovky se stránkou Vytvořit privátní koncový bod pro zadání podrobností o vytvoření koncového bodu

    b. Prostředek: Na této kartě vyberte prostředek PaaS, pro který chcete vytvořit připojení, a pak vyberte Microsoft.RecoveryServices/vaulty z typu prostředku požadovaného předplatného. Po dokončení zvolte název trezoru služby Recovery Services jako prostředek a AzureBackup jako podsourc target.

    c. Virtuální síť: Na této kartě zadejte virtuální síť a podsíť, ve které chcete vytvořit privátní koncový bod. Jedná se o virtuální síť, ve které se nachází virtuální počítač.

    d. DNS: Pokud se chcete připojit soukromě, potřebujete požadované záznamy DNS. Na základě nastavení sítě můžete zvolit jednu z následujících možností:

    • Integrace privátního koncového bodu s privátní zónou DNS: Pokud chcete integrovat, vyberte ano.
    • Použijte vlastní server DNS: Pokud chcete použít vlastní server DNS, vyberte ne. e. Značky: Volitelně můžete přidat značky pro privátní koncový bod.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Po dokončení ověření vyberte Vytvořit a vytvořte privátní koncový bod.

Schválení privátních koncových bodů

Pokud vytváříte privátní koncový bod jako vlastník trezoru služby Recovery Services, privátní koncový bod, který jste vytvořili, se automaticky schválí. Jinak musí vlastník trezoru před použitím schválit privátní koncový bod.

Pokud chcete privátní koncové body ručně schválit přes Azure Portal, postupujte takto:

  1. V trezoru služby Recovery Services přejděte v levém podokně na připojení privátního koncového bodu.

  2. Vyberte připojení privátního koncového bodu, které chcete schválit.

  3. Vyberte možnost Schválit.

    Snímek obrazovky znázorňující, jak vybrat a schválit privátní koncový bod

    Pokud chcete připojení koncového bodu odmítnout nebo odstranit, můžete také vybrat možnost Odmítnout nebo odebrat.

Zjistěte, jak ručně schvalovat privátní koncové body pomocí klienta Azure Resource Manageru pro schvalování privátních koncových bodů pomocí klienta Azure Resource Manageru.

Správa záznamů DNS

K privátnímu připojení dns potřebujete požadované záznamy DNS v privátních zónách DNS nebo serverech. Privátní koncový bod můžete buď integrovat přímo se zónami Azure Private DNS, nebo použít vlastní servery DNS, abyste toho dosáhli na základě předvoleb sítě. To je potřeba provést pro všechny tři služby – Azure Backup, Objekty blob Azure a fronty.

Při integraci privátních koncových bodů se zónami Azure Private DNS

Pokud se rozhodnete integrovat privátní koncový bod s privátními zónami DNS, Azure Backup přidá požadované záznamy DNS. Můžete zobrazit privátní zóny DNS používané v konfiguraci DNS privátního koncového bodu. Pokud tyto zóny DNS nejsou k dispozici, vytvoří se automaticky během vytváření privátního koncového bodu.

Musíte ale ověřit, že vaše virtuální síť (která obsahuje prostředky, které se mají zálohovat) je správně propojená se všemi třemi privátními zónami DNS, jak je popsáno níže.

Poznámka:

Pokud používáte proxy servery, můžete se rozhodnout obejít proxy server nebo provést zálohy prostřednictvím proxy serveru. Pokud chcete obejít proxy server, pokračujte následujícími částmi. Pokud chcete proxy server použít k provádění záloh, přečtěte si podrobnosti o nastavení proxy serveru pro trezor služby Recovery Services.

Pro každou uvedenou privátní zónu DNS (pro Azure Backup, objekty blob a fronty) přejděte na odpovídající propojení virtuální sítě.

Zobrazí se položka pro virtuální síť, pro kterou jste vytvořili privátní koncový bod. Pokud položku nevidíte, přidejte odkaz na virtuální síť ke všem zónám DNS, které je nemají.

Při použití vlastního serveru DNS nebo souborů hostitelů

  • Pokud používáte vlastní server DNS, můžete k přesměrování požadavků DNS na Azure DNS (168.63.129.16) použít podmíněný předávací modul pro zálohování služby, objekty blob a plně kvalifikované názvy domén front. Azure DNS ho přesměruje do zóny Azure Privátní DNS. V takovém nastavení se ujistěte, že existuje propojení virtuální sítě pro zónu Azure Privátní DNS, jak je uvedeno v tomto článku.

    Následující tabulka uvádí zóny Azure Privátní DNS vyžadované službou Azure Backup:

    Zóna Služba
    *.privatelink.<geo>.backup.windowsazure.com Backup
    *.blob.core.windows.net Objekt blob
    *.queue.core.windows.net Fronta
    *.storage.azure.net Objekt blob

    Poznámka:

    Ve výše uvedeném textu <geo> odkazuje na kód oblasti (například eus a ne pro USA – východ a Severní Evropu). Kódy oblastí najdete v následujících seznamech:

  • Pokud používáte vlastní servery DNS nebo hostitelské soubory a nemáte nastavení zóny Azure Privátní DNS, musíte přidat záznamy DNS vyžadované privátními koncovými body na servery DNS nebo do souboru hostitele.

    Přejděte do privátního koncového bodu, který jste vytvořili, a pak přejděte do konfigurace DNS. Potom přidejte položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy Typu A ve vašem DNS.

    Pokud pro překlad názvů používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle formátu - <private ip><space><FQDN>.

Poznámka:

Azure Backup může přidělit nový účet úložiště pro váš trezor pro zálohovaná data a rozšíření nebo agent potřebuje přístup k příslušným koncovým bodům. Další informace o tom, jak přidat další záznamy DNS po registraci a zálohování, najdete v tématu použití privátních koncových bodů pro zálohování.

Použití privátních koncových bodů pro zálohování

Jakmile jsou privátní koncové body vytvořené pro trezor ve vaší virtuální síti schválené, můžete je začít používat k provádění záloh a obnovení.

Důležité

Než budete pokračovat, ujistěte se, že jste dokončili všechny kroky uvedené výše v dokumentu. K rekapitulace je nutné provést kroky v následujícím kontrolním seznamu:

  1. Vytvoření (nového) trezoru služby Recovery Services
  2. Povolení trezoru pro použití spravované identity přiřazené systémem
  3. Přiřazení relevantních oprávnění ke spravované identitě trezoru
  4. Vytvoření privátního koncového bodu pro váš trezor
  5. Schválení privátního koncového bodu (pokud není automaticky schváleno)
  6. Ujistili jste se, že jsou všechny záznamy DNS správně přidané (kromě záznamů objektů blob a front pro vlastní servery, které budou popsány v následujících částech).

Kontrola připojení virtuálního počítače

Ve virtuálním počítači v uzamčené síti zkontrolujte následující:

  1. Virtuální počítač by měl mít přístup k ID Microsoft Entra.
  2. Spusťte nástroj nslookup na adrese URL zálohování (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) z virtuálního počítače, abyste zajistili připojení. Tím by se měla vrátit privátní IP adresa přiřazená ve vaší virtuální síti.

Konfigurace zálohování

Jakmile zajistíte úspěšné dokončení výše uvedeného kontrolního seznamu a přístupu, můžete pokračovat v konfiguraci zálohování úloh do trezoru. Pokud používáte vlastní server DNS, budete muset přidat položky DNS pro objekty blob a fronty, které jsou k dispozici po konfiguraci první zálohy.

Záznamy DNS pro objekty blob a fronty (pouze pro vlastní servery DNS nebo hostitelské soubory) po první registraci

Po nakonfigurování zálohování alespoň jednoho prostředku v trezoru s povoleným privátním koncovým bodem přidejte požadované záznamy DNS pro objekty blob a fronty, jak je popsáno níže.

  1. Přejděte ke každému z těchto privátních koncových bodů vytvořených pro trezor a přejděte do konfigurace DNS.

  2. Přidejte položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy Typu A ve vašem DNS.

    Pokud pro překlad názvů používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle formátu - <private ip><space><FQDN>.

    Kromě výše uvedených informací je potřeba další položka po první záloze, která je zde popsána.

Zálohování a obnovení úloh na virtuálním počítači Azure (SQL a SAP HANA)

Po vytvoření a schválení privátního koncového bodu se na straně klienta nevyžadují žádné další změny pro použití privátního koncového bodu (pokud nepoužíváte skupiny dostupnosti SQL, které probereme dále v této části). Veškerá komunikace a přenos dat ze zabezpečené sítě do trezoru se provede prostřednictvím privátního koncového bodu. Pokud ale odeberete privátní koncové body trezoru po registraci serveru (SQL nebo SAP HANA), budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte zastavovat ochranu.

Záznamy DNS pro objekty blob (pouze pro vlastní servery DNS nebo hostitelské soubory) po prvním zálohování

Po spuštění první zálohy a použití vlastního serveru DNS (bez podmíněného předávání) je pravděpodobné, že vaše zálohování selže. Pokud k tomu dojde:

  1. Přejděte do privátního koncového bodu vytvořeného pro trezor a přejděte do konfigurace DNS.

  2. Přidejte položku pro každý plně kvalifikovaný název domény a IP adresu zobrazenou jako záznamy Typu A ve vašem DNS.

    Pokud pro překlad názvů používáte soubor hostitele, proveďte odpovídající položky v souboru hostitele pro každou IP adresu a plně kvalifikovaný název domény podle formátu - <private ip><space><FQDN>.

Poznámka:

V tomto okamžiku byste měli být schopni spustit nástroj nslookup z virtuálního počítače a po dokončení překladu na privátní IP adresy na adresy URL zálohování a úložiště trezoru.

Při používání skupin dostupnosti SQL

Při používání skupin dostupnosti SQL (AG) budete muset zřídit podmíněné předávání ve vlastním DNS skupiny dostupnosti, jak je popsáno níže:

  1. Přihlaste se ke svému řadiči domény.
  2. V rámci aplikace DNS přidejte podmíněné předávání pro všechny tři zóny DNS (zálohování, objekty blob a fronty) do IP adresy hostitele 168.63.129.16 nebo vlastní IP adresy serveru DNS podle potřeby. Následující snímky obrazovky ukazují, když předáváte IP adresu hostitele Azure. Pokud používáte vlastní server DNS, nahraďte IP adresou vašeho serveru DNS.

Zálohování a obnovení prostřednictvím agenta MARS a serveru DPM

Při použití agenta MARS k zálohování místních prostředků se ujistěte, že je vaše místní síť (obsahující vaše prostředky zálohované) v partnerském vztahu s virtuální sítí Azure, která obsahuje privátní koncový bod trezoru, abyste ho mohli použít. Pak můžete pokračovat v instalaci agenta MARS a nakonfigurovat zálohování podle podrobných informací. Musíte ale zajistit, aby veškerá komunikace pro zálohování probíhala pouze prostřednictvím partnerské sítě.

Pokud ale odeberete privátní koncové body trezoru po registraci agenta MARS, budete muset kontejner znovu zaregistrovat v trezoru. Nemusíte zastavovat ochranu.

Poznámka:

  • Privátní koncové body jsou podporovány pouze se serverem DPM 2022 (10.22.123.0) a novějším.
  • Privátní koncové body se podporují jenom s MABS V4 (14.0.30.0) a novějším.

Obnovení mezi předplatnými do trezoru s podporou privátního koncového bodu

Provedení obnovení mezi předplatnými do trezoru s povoleným privátním koncovým bodem:

  1. Ve zdrojovém trezoru služby Recovery Services přejděte na kartu Sítě.
  2. Přejděte do části Privátní přístup a vytvořte privátní koncové body.
  3. Vyberte předplatné cílového trezoru, ve kterém chcete provést obnovení.
  4. V části Virtuální síť vyberte virtuální síť cílového virtuálního počítače, který chcete obnovit v rámci předplatného.
  5. Vytvořte privátní koncový bod a aktivujte proces obnovení.

Obnovení mezi oblastmi do trezoru s povoleným privátním koncovým bodem

Sekundární privátní koncový bod můžete vytvořit před přidáním chráněných položek do trezoru nebo po ní.

Pokud chcete obnovit data napříč oblastmi do trezoru s povoleným privátním koncovým bodem, postupujte takto:

  1. Přejděte do cílové sítě nastavení>trezoru>služby Recovery Services a před ochranou všech položek se ujistěte, že je vytvořený privátní koncový bod s cílovou virtuální sítí virtuálního počítače.

    Pokud privátní koncový bod není povolený, povolte ho.

  2. Na kartě Privátní přístup vytvořte privátní koncové body v sekundární oblasti.

    Snímek obrazovky ukazuje, jak vytvořit privátní koncové body v sekundární oblasti.

  3. V okně Vytvořit privátní koncový bod na kartě Základy vyberte oblast jako sekundární oblast cílového virtuálního počítače, do které chcete provést operaci obnovení mezi oblastmi.

    Snímek obrazovky ukazuje, jak vybrat oblast pro obnovení do sekundární oblasti.

  4. Na kartě Prostředek vyberte cílový dílčí prostředek jako AzureBackup_Secondary.

    Snímek obrazovky ukazuje, jak vybrat dílčí prostředek jako sekundární azure Backup.

  5. V okně Virtuální síť vyberte virtuální síť cílového virtuálního počítače, do kterého chcete provést operaci obnovení mezi oblastmi.

    Snímek obrazovky ukazuje, jak vybrat virtuální síť cílového virtuálního počítače pro obnovení mezi oblastmi.

    Poznámka:

    Do trezoru můžete přidat maximálně 12 sekundárních privátních koncových bodů Služby Azure Backup.

  6. Vytvořte privátní koncový bod a spusťte proces obnovení ze sekundární oblasti.

Odstraňování privátních koncových bodů

Pokud chcete odstranit privátní koncové body pomocí rozhraní REST API, přečtěte si tuto část.

Další kroky