Información general y conceptos de puntos de conexión privados (experiencia v1) para Azure Backup
Azure Backup le permite realizar copias de seguridad y restaurar sus datos de forma segura desde sus almacenes de Recovery Services utilizando puntos de conexión privados. Los puntos de conexión privados usan una o más direcciones IP privadas de la red virtual de Azure (VNet) para incorporar el servicio de manera eficaz a VNet.
Este artículo le ayudará a comprender cómo funcionan los puntos de conexión privados para Azure Backup y los escenarios en los que el uso de puntos de conexión privados ayuda a preservar la seguridad de los recursos.
Nota
Azure Backup ofrece ahora una nueva experiencia para crear puntos de conexión privados. Más información.
Antes de comenzar
- Los puntos de conexión privados solo se pueden crear para nuevos almacenes de Recovery Services (que no tengan ningún elemento registrado en el almacén). Por lo tanto, los puntos de conexión privados deben crearse antes de intentar proteger los elementos en el almacén. Sin embargo, actualmente no se admiten puntos de conexión privados para almacenes de Backup.
- Una red virtual puede contener puntos de conexión privados para varios almacenes de Recovery Services. Además, un almacén de Recovery Services puede tener puntos de conexión privados en varias redes virtuales. Sin embargo, el número máximo de puntos de conexión privados que se pueden crear para un almacén es 12.
- Si el acceso a la red pública del almacén se establece en Permitir desde todas las redes, el almacén permite copias de seguridad y restauraciones desde cualquier máquina registrada en el almacén. Si el acceso a la red pública del almacén está establecido en Denegar, el almacén solo permite copias de seguridad y restauraciones de las máquinas registradas en el almacén que solicitan copias de seguridad o restauraciones a través de direcciones IP privadas asignadas para el almacén.
- Una conexión de punto de conexión privado para la copia de seguridad usa un total de 11 direcciones IP privadas de la subred, incluidas las que usa Azure Backup para el almacenamiento. Este número puede ser superior para ciertas regiones de Azure. Por lo tanto, se recomienda disponer de suficientes direcciones IP (/26) privadas cuando intente crear puntos de conexión privados para la copia de seguridad.
- Aunque tanto Azure Backup como Azure Site Recovery usan un almacén de Recovery Services, en este artículo solo se describe el uso de puntos de conexión privados para Azure Backup.
- Los puntos de conexión privados de Backup no incluyen el acceso a Microsoft Entra ID y es necesario garantizar lo mismo por separado. Por lo tanto, las direcciones IP y los FQDN necesarios para que Microsoft Entra ID funcione en una región necesitará que se permita el acceso saliente desde la red protegida al realizar la copia de seguridad de bases de datos en máquinas virtuales de Azure y la copia de seguridad mediante el agente de MARS. También puede usar etiquetas NSG y etiquetas de Azure Firewall para permitir el acceso a Microsoft Entra ID, según corresponda.
- Debe volver a registrar el proveedor de recursos de Recovery Services con la suscripción si lo registró antes del 1 de mayo de 2020. Para volver a registrar el proveedor, vaya a la suscripción en Azure Portal, haga clic en el Proveedor de recursos en la barra de navegación izquierda, seleccione Microsoft.RecoveryServices y Volver a registrar.
- Si el almacén tiene habilitados los puntos de conexión privados, no se puede realizar la restauración entre regiones de las copias de seguridad de bases de datos SQL y SAP HANA.
- Al trasladar un almacén de Recovery Services que ya usa puntos de conexión privados a un nuevo inquilino, deberá actualizar el almacén de Recovery Services para volver a crear y configurar la identidad administrada del almacén y crear nuevos puntos de conexión privados según sea necesario (que deben estar en el nuevo inquilino). Si no lo hace, las operaciones de copia de seguridad y restauración comenzarán a generar errores. Además, los permisos del control de acceso basado en roles de Azure (Azure RBAC) que se hayan configurado en la suscripción deberán volver a configurarse.
Escenarios recomendados y admitidos
Aunque los puntos de conexión privados están habilitados para el almacén, solo se usan para la copia de seguridad y restauración de las cargas de trabajo de SQL y SAP HANA en una máquina virtual de Azure, en las copias de seguridad del agente de MARS y en DPM. También puede usar el almacén para realizar copias de seguridad de otras cargas de trabajo (si bien no requerirán los puntos de conexión privados). Además de la copia de seguridad de las cargas de trabajo de SQL y SAP HANA y de las copias de seguridad mediante el agente de MARS, los puntos de conexión privados también se usan para realizar la recuperación de archivos para la copia de seguridad de máquinas virtuales de Azure. Para más información, vea la tabla siguiente:
Escenarios | Recomendaciones |
---|---|
Copia de seguridad de cargas de trabajo en máquinas virtuales de Azure (SQL, SAP HANA), copia de seguridad mediante el agente de MARS, servidor de DPM. | Se recomienda el uso de puntos de conexión privados para permitir copias de seguridad y restauración sin necesidad de agregar las listas de direcciones IP o FQDN a una lista de permitidos para Azure Backup o Azure Storage desde las redes virtuales. En ese escenario, asegúrese de que las máquinas virtuales que hospedan las bases de datos SQL pueden comunicarse con direcciones IP o FQDN de Microsoft Entra. |
Copia de seguridad de una máquina virtual de Azure | La copia de seguridad de la máquina virtual no requiere que permita el acceso a direcciones IP o FQDN. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración de discos. Sin embargo, la recuperación de archivos desde un almacén que contiene puntos de conexión privados se restringe a redes virtuales que contienen un punto de conexión privado para el almacén. Al usar discos no administrados de la ACL, asegúrese de que la cuenta de almacenamiento que contiene los discos permite el acceso a servicios de Microsoft de confianza si forma parte de la ACL. |
Copia de seguridad de Azure Files | Las copias de seguridad de Azure Files se almacenan en la cuenta de almacenamiento local. Por lo tanto, no requiere puntos de conexión privados para la copia de seguridad y restauración. |
Se ha cambiado el conmutador virtual para el punto de conexión privado en el almacén y la máquina virtual | Detenga la protección de copia de seguridad y configure la protección de copia de seguridad en un nuevo almacén con puntos de conexión privados habilitados. |
Nota:
Los puntos de conexión privados solo se admiten con el servidor DPM 2022, MABS v4 y versiones posteriores.
Diferencia en las conexiones de red debido a puntos de conexión privados
Como se mencionó anteriormente, los puntos de conexión privados son especialmente útiles para la copia de seguridad de cargas de trabajo (SQL, SAP HANA) en máquinas virtuales de Azure y copias de seguridad del agente de MARS.
En todos los escenarios (con o sin puntos de conexión privados), las extensiones de carga de trabajo (para la copia de seguridad de instancias de SQL y SAP HANA que se ejecutan dentro de máquinas virtuales de Azure) y el agente de MARS realizan llamadas de conexión a Microsoft Entra ID (a FQDN mencionados en las secciones 56 y 59 en Microsoft 365 Common y Office Online).
Además de estas conexiones, cuando se instala la extensión de carga de trabajo o el agente MARS para el almacén de servicios de recuperación sin puntos de conexión privados, también se requiere conectividad con los siguientes dominios:
Servicio | Nombres de dominio | Port |
---|---|---|
Azure Backup | *.backup.windowsazure.com |
443 |
Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59. |
443 Según corresponda |
Cuando se instala la extensión de carga de trabajo o el agente de MARS para el almacén de Recovery Services con un punto de conexión privado, se alcanzarán los siguientes puntos de conexión:
Servicio | Nombre de dominio | Port |
---|---|---|
Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com Permitir el acceso a los FQDN conforme a las secciones 56 y 59. |
443 Según corresponda |
Nota
En el texto anterior, <geo>
hace referencia al código de región (por ejemplo, eus para Este de EE. UU. y ne para Norte de Europa). Consulte las siguientes listas para ver los códigos de región:
Pero para un almacén de Recovery Services con la configuración de punto de conexión privado, la resolución de nombres para el FQDN (privatelink.<geo>.backup.windowsazure.com
, *.blob.core.windows.net
, *.queue.core.windows.net
, *.blob.storage.azure.net
) debe devolver una dirección IP privada. Esto se puede lograr mediante:
- Zonas DNS privadas de Azure
- DNS personalizado
- Entradas DNS en archivos host
- Reenviadores condicionales a Azure DNS o zonas de Azure DNS privado.
Los puntos de conexión privados para blobs y colas siguen un patrón de nomenclatura estándar, comienzan con <el nombre del punto de conexión privado>_ecs o <el nombre del punto de conexión privado >_prot, con el sufijo _blob y _queue respectivamente.
Nota
Recomendamos utilizar las zonas DNS privadas de Azure, que permiten administrar los registros DNS para blobs y colas mediante Azure Backup. La identidad administrada asignada al almacén se usa para automatizar la adición de registros DNS cada vez que se asigna una nueva cuenta de almacenamiento para los datos de copia de seguridad.
Si ha configurado un servidor proxy DNS, mediante servidores proxy de terceros o firewalls, se deben permitir y redirigir los nombres de dominio anteriores a un DNS personalizado (que tiene registros DNS para los FQDN anteriores) o a 168.63.129.16 en la red virtual de Azure que tiene zonas DNS privadas vinculadas.
El ejemplo siguiente muestra el firewall Azure que se utiliza como proxy DNS para redirigir las consultas de nombres de dominio para el almacén de Recovery Services vault, blob, colas y Microsoft Entra ID a 168.63.129.16.
Para más información, consulte Creación de un punto de conexión privado.
Configuración de conectividad de red para el almacén con puntos de conexión privados
El punto de conexión privado para los servicios de recuperación está asociado a una interfaz de red (NIC). Para que las conexiones de punto de conexión privado funcionen, es necesario que todo el tráfico del servicio de Azure se redirija a la interfaz de red. Esto se consigue añadiendo una asignación DNS para la IP privada asociada a la interfaz de red en la URL del servicio/bloque/cola.
Cuando las extensiones de copia de seguridad de carga de trabajo se instalan en la máquina virtual registrada en un almacén de Recovery Services con un punto de conexión privado, la extensión intenta la conexión en la dirección URL privada de los servicios de Azure Backup <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
. Si la dirección URL privada no resuelve el problema, intenta la dirección URL pública <azure_backup_svc>.<geo>.backup.windowsazure.com
.
Nota
En el texto anterior, <geo>
hace referencia al código de región (por ejemplo, eus para Este de EE. UU. y ne para Norte de Europa). Consulte las siguientes listas para ver los códigos de región:
Estas direcciones URL privadas son específicas del almacén. Solo las extensiones y los agentes registrados en el almacén pueden comunicarse con Azure Backup a través de estos puntos de conexión. Si el acceso a la red pública para el almacén de Recovery Services está configurado para Denegar, esto restringe a los clientes que no se ejecutan en la red virtual para solicitar la copia de seguridad y la restauración en el almacén. Se recomienda establecer el acceso a la red pública en Denegar, junto con la configuración del punto de conexión privado. Como la extensión y el agente intentan primero la dirección URL privada, la resolución DNS *.privatelink.<geo>.backup.windowsazure.com
de la dirección URL debe devolver la IP privada correspondiente asociada al punto de conexión privado.
Las soluciones para la resolución DNS son:
- Zonas DNS privadas de Azure
- DNS personalizado
- Entradas DNS en archivos host
- Reenviadores condicionales a zonas Azure DNS / Azure DNS privado.
Cuando el punto de conexión privado para los almacenes de Recovery Services se crea a través de Azure Portal con la opción Integrar con zona DNS privada, las entradas DNS necesarias para las direcciones IP privadas de los servicios de Azure Backup (*.privatelink.<geo>backup.windowsazure.com
) se crean automáticamente cada vez que se asigna el recurso. En otras soluciones, es necesario crear manualmente las entradas DNS para estos FQDN en el DNS personalizado o en los archivos host.
Para la administración manual de registros DNS después de la detección de máquinas virtuales para el canal de comunicación: blob/cola, consulte Registros DNS para blobs y colas (solo para servidores DNS personalizados o archivos host) después del primer registro. Para la administración manual de registros DNS después de la primera copia de seguridad para el blob de la cuenta de almacenamiento de copia de seguridad, consulte Registros DNS para blobs (solo para servidores DNS personalizados o archivos host) después de la primera copia de seguridad.
Las direcciones IP privadas de los FQDN se pueden encontrar en la hoja del punto de conexión privado del punto de conexión privado creado para el almacén de Recovery Services.
El siguiente diagrama muestra cómo funciona la resolución cuando se utiliza una zona DNS privada para resolver estos FQDN de servicios privados.
La extensión de la carga de trabajo que se ejecuta en Azure VM requiere la conexión a al menos dos cuentas de almacenamiento: la primera se utiliza como canal de comunicación (a través de mensajes de cola) y la segunda para almacenar los datos de copia de seguridad. El agente de MARS requiere acceso a una cuenta de almacenamiento que se usa para almacenar los datos de copia de seguridad.
En el caso de un almacén habilitado para puntos de conexión privados, el servicio Azure Backup crea un punto de conexión privado para estas cuentas de almacenamiento. Esto evita que cualquier tráfico de red relacionado con Azure Backup (tráfico del plano de control al servicio y datos de copia de seguridad al blob de almacenamiento) salga de la red virtual. Además de los servicios en la nube de Azure Backup, la extensión de carga de trabajo y el agente requieren conectividad con las cuentas de Azure Storage y Microsoft Entra ID.
Como requisito previo, el almacén de Recovery Services requiere permisos para crear puntos de conexión privados adicionales en el mismo grupo de recursos. También se recomienda proporcionar al almacén de Recovery Services los permisos para crear entradas DNS en las zonas DNS privadas (privatelink.blob.core.windows.net
, privatelink.queue.core.windows.net
). El almacén de Recovery Services busca zonas DNS privadas en los grupos de recursos donde se crean la red virtual y el punto de conexión privado. Si tiene permisos para añadir entradas DNS en estas zonas, serán creadas por el almacén; de lo contrario, deberá crearlas manualmente.
Nota
La integración con la zona DNS privada presente en diferentes suscripciones no está admitida en esta experiencia.
En el diagrama siguiente se muestra cómo funciona la resolución de nombres para las cuentas de almacenamiento que usan una zona DNS privada.