Panoramica e concetti degli endpoint privati (esperienza v2) per Backup di Azure
Backup di Azure consente di eseguire in modo sicuro le operazioni di backup e ripristino dei dati dagli insiemi di credenziali di Servizi di ripristino usando endpoint privati. Gli endpoint privati usano uno o più indirizzi IP privati dalla rete virtuale di Azure, portando effettivamente il servizio nella rete virtuale.
Backup di Azure offre ora un'esperienza avanzata nella creazione e nell'uso di endpoint privati rispetto all'esperienza classica (v1).
Questo articolo descrive come le funzionalità avanzate degli endpoint privati per la funzione di Backup di Azure e consentono di eseguire backup mantenendo al tempo stesso la sicurezza delle risorse.
Miglioramenti principali
- Creare endpoint privati senza identità gestite.
- Non vengono creati endpoint privati per i servizi BLOB e di accodamento.
- Uso di meno indirizzi IP privati.
Prima di iniziare
Anche se un insieme di credenziali di Servizi di ripristino viene usato sia da Backup di Azure che da Azure Site Recovery, questo articolo illustra l'uso solo di endpoint privati per Backup di Azure.
È possibile creare endpoint privati per i nuovi insiemi di credenziali di Servizi di ripristino che non hanno elementi registrati/protetti solo nell'insieme di credenziali. Tuttavia, gli endpoint privati non sono attualmente supportati per gli insiemi di credenziali di backup.
Nota
Non è possibile creare endpoint privati usando l'indirizzo IP statico.
Non è possibile aggiornare gli insiemi di credenziali (che contengono endpoint privati) creati usando l'esperienza classica per la nuova esperienza. È possibile eliminare tutti gli endpoint privati esistenti e quindi creare nuovi endpoint privati con l'esperienza v2.
Una rete virtuale può contenere endpoint privati per più insiemi di credenziali di Servizi di ripristino. Inoltre, un insieme di credenziali di Servizi di ripristino può avere endpoint privati per esso in più reti virtuali. Tuttavia, è possibile creare un massimo di 12 endpoint privati per un insieme di credenziali.
Un endpoint privato per un insieme di credenziali usa 10 indirizzi IP privati e il conteggio può aumentare nel tempo. Assicurarsi di avere sufficienti indirizzi IP disponibili durante la creazione di endpoint privati.
Gli endpoint privati per Backup di Azure non includono l'accesso a Microsoft Entra ID. Assicurarsi di abilitare l'accesso in modo che gli IP e gli FQDN necessari per il funzionamento dell'ID Microsoft Entra in un'area abbiano accesso in uscita nello stato consentito nella rete protetta durante l'esecuzione del backup dei database nelle macchine virtuali di Azure e il backup tramite l'agente MARS. È anche possibile usare i tag NSG e di Firewall di Azure per consentire l'accesso a Microsoft Entra ID, se applicabile.
È necessario registrare nuovamente il provider di risorse di Servizi di ripristino con la sottoscrizione, se è stato registrato prima di 1 maggio 2020. Per registrare nuovamente il provider, passare alla propria sottoscrizione nel >provider di risorse del portale di Azure e quindi selezionare Microsoft.RecoveryServices>Registra nuovamente.
È possibile creare DNS tra sottoscrizioni.
È possibile creare un endpoint privato secondario prima o dopo aver creato elementi protetti nell'insieme di credenziali. Informazioni su come eseguire il ripristino tra aree in un insieme di credenziali abilitato per l'endpoint privato.
Scenari consigliati e supportati
Anche se gli endpoint privati sono abilitati per l'insieme di credenziali, vengono usati per il backup e il ripristino di carichi di lavoro SQL e SAP HANA in una macchina virtuale di Azure, solo il backup dell'agente MARS e DPM. È possibile usare l'insieme di credenziali per il backup di altri carichi di lavoro, ma non richiederà però endpoint privati. Oltre al backup di carichi di lavoro SQL e SAP HANA con l'agente MARS, vengono usati anche endpoint privati per eseguire il ripristino dei file per il backup di macchine virtuali di Azure.
La tabella seguente elenca gli scenari e le raccomandazioni:
| Scenario | Elemento consigliato |
|---|---|
| Backup dei carichi di lavoro nella macchina virtuale di Azure (SQL, SAP HANA), Backup con MARS Agent, server DPM. | È consigliabile usare endpoint privati per consentire il backup e il ripristino senza dover aggiungere a un elenco indirizzi IP/FQDN consentiti per Backup di Azure o Archiviazione di Azure dalle reti virtuali. In questo scenario, assicurarsi che le macchine virtuali che ospitano database SQL possano raggiungere indirizzi IP o FQDN di Microsoft Entra. |
| Backup di macchine virtuali di Azure | Il backup delle macchine virtuali non richiede l'accesso a indirizzi IP o FQDN. Pertanto, non richiede endpoint privati per il backup e il ripristino dei dischi. Tuttavia, il ripristino di file da un insieme di credenziali contenente endpoint privati sarebbe limitato alle reti virtuali che contengono un endpoint privato per l'insieme di credenziali. Quando si usano dischi non gestiti ACL, assicurarsi che l'account di archiviazione contenente i dischi consenta l'accesso ai servizi Microsoft attendibili, se si tratta dell'elenco di controllo di accesso. |
| Backup di File di Azure | I backup di File di Azure vengono archiviati nell'account di archiviazione locale. Pertanto, non richiede endpoint privati per il backup e il ripristino. |
| Rete virtuale modificata per endpoint privato nell'insieme di credenziali e nella macchina virtuale | Arrestare la protezione del backup e configurare la protezione dei backup in un nuovo insieme di credenziali con endpoint privati abilitati. |
Nota
Gli endpoint privati sono supportati solo con il server DPM 2022, MABS v4 e versioni successive.
Differenza nelle connessioni di rete per gli endpoint privati
Come accennato in precedenza, gli endpoint privati sono particolarmente utili per il backup dei carichi di lavoro (SQL, SAP HANA) nelle macchine virtuali di Azure e nei backup dell'agente MARS.
In tutti gli scenari (con o senza endpoint privati), entrambe le estensioni del carico di lavoro (per il backup delle istanze di SQL e SAP HANA in esecuzione all'interno di macchine virtuali di Azure) e l'agente MARS effettuano chiamate di connessione a Microsoft Entra ID (a FQDN indicate nelle sezioni 56 e 59 in Microsoft 365 Common e Office Online).
Oltre a queste connessioni, quando l'estensione del carico di lavoro o l'agente MARS è installato per l'insieme di credenziali di Servizi di ripristino senza endpoint privati, è necessaria anche la connettività ai domini seguenti:
| Service | Nome di dominio | Porta |
|---|---|---|
| Backup di Azure | *.backup.windowsazure.com |
443 |
| Archiviazione di Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Consentire l'accesso ai nomi di dominio completo (FQDN) nelle sezioni 56 e 59 come indicato in questo articolo. |
443 Come applicabile |
Quando l'estensione del carico di lavoro o l'agente MARS è installato per l'insieme di credenziali di Servizi di ripristino con endpoint privato, vengono comunicati gli endpoint seguenti:
| Service | Nome di dominio | Porta |
|---|---|---|
| Backup di Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Archiviazione di Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Consentire l'accesso ai nomi di dominio completo (FQDN) nelle sezioni 56 e 59 come indicato in questo articolo. |
443 Come applicabile |
Nota
Nel testo precedente, <geo> fa riferimento al codice della regione (ad esempio, eus e ne rispettivamente per Stati Uniti orientali ed Europa settentrionale). Per i codici delle aree, vedere gli elenchi seguenti:
Per un insieme di credenziali di Servizi di ripristino con configurazione dell'endpoint privato, la risoluzione dei nomi per i nomi FQDN (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve restituire un indirizzo IP privato. A tale scopo, è possibile usare:
- Zone di DNS privato di Azure
- DNS personalizzato
- Voci DNS nei file host
- Server d'inoltro condizionale alle zone DNS di Azure/DNS privato di Azure.
I mapping IP privati per l'account di archiviazione sono elencati nell'endpoint privato creato per l'insieme di credenziali dei Servizi di ripristino. È consigliabile usare zone DNS private di Azure, perché i record DNS per BLOB e code possono quindi essere gestiti da Azure. Quando vengono allocati nuovi account di archiviazione per l'insieme di credenziali, il record DNS per il relativo indirizzo IP privato viene aggiunto automaticamente nelle zone DNS private di Azure o BLOB o in coda.
Se è stato configurato un server proxy DNS, usando firewall o server proxy di terze parti, i nomi di dominio precedenti devono essere consentiti e reindirizzati a un DNS personalizzato (con record DNS per gli FQDN precedenti) o a 168.63.129.16 nella rete virtuale di Azure con zone DNS private collegate.
L'esempio seguente illustra il firewall di Azure usato come proxy DNS per reindirizzare le query sui nomi di dominio per l'insieme di credenziali, i BLOB, le code e l'ID di Microsoft Entra a 168.63.129.16.
Per altre informazioni, vedere Creazione e uso di endpoint privati.
Connettività di rete per l'insieme di credenziali con endpoint privati
L'endpoint privato per Servizi di ripristino è associato a un'interfaccia di rete. Per il funzionamento delle connessioni all'endpoint privato, tutto il traffico per il servizio di Azure deve essere reindirizzato all'interfaccia di rete. A tale scopo, è possibile aggiungere il mapping DNS per l'IP privato associato all'interfaccia di rete rispetto all'URL di servizio/BLOB/coda.
Quando le estensioni di backup del carico di lavoro vengono installate nella macchina virtuale registrata in un insieme di credenziali di Servizi di ripristino con un endpoint privato, l'estensione tenta di stabilire una connessione nell'URL privato dei servizi di Backup di Azure <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com.
Se l'URL privato non viene risolto, provare l'URL pubblico <azure_backup_svc>.<geo>.backup.windowsazure.com. Se l'accesso alla rete pubblica per l'insieme di credenziali di Servizi di ripristino è configurato per Consenti da tutte le reti, l'insieme di credenziali di Servizi di ripristino consente le richieste provenienti dall'estensione sugli URL pubblici. Se l'accesso alla rete pubblica per l'insieme di credenziali di Servizi di ripristino è configurato per Nega, l'insieme di credenziali dei servizi di ripristino nega le richieste provenienti dall'estensione sugli URL pubblici.
Nota
Nei nomi di dominio precedenti, <geo> determina il codice dell'area (ad esempio, eus per Stati Uniti orientali e ne per Europa settentrionale). Per altre informazioni sui codici di area, vedere l'elenco seguente:
Questi URL privati sono specifici per l'insieme di credenziali. Solo le estensioni e gli agenti registrati nell'insieme di credenziali possono comunicare con il servizio Backup di Azure tramite questi endpoint. Se l'accesso alla rete pubblica per l'insieme di credenziali di Servizi di ripristino è configurato su Nega, in questo modo i client non in esecuzione nella rete virtuale richiedono le operazioni di backup e ripristino nell'insieme di credenziali. È consigliabile impostare l'accesso alla rete pubblica su Nega insieme alla configurazione dell'endpoint privato. Quando l'estensione e l'agente tentano prima di tutto l'URL privato, la risoluzione DNS *.privatelink.<geo>.backup.windowsazure.com dell'URL deve restituire l'IP privato corrispondente associato all'endpoint privato.
Sono disponibili più soluzioni per la risoluzione DNS:
- Zone di DNS privato di Azure
- DNS personalizzato
- Voci DNS nei file host
- Server d'inoltro condizionale alle zone DNS di Azure/DNS privato di Azure.
Quando l'endpoint privato per gli insiemi di credenziali di Servizi di ripristino viene creato tramite il portale di Azure con l'opzione di Integrazione con zona DNS privata, le voci DNS necessarie per gli indirizzi IP privati per i servizi di Backup di Azure (*.privatelink.<geo>backup.windowsazure.com) vengono create automaticamente quando la risorsa viene allocata. In altre soluzioni è necessario creare manualmente le voci DNS per questi FQDN nel DNS personalizzato o nei file host.
Per la gestione manuale dei record DNS dopo l'individuazione della macchina virtuale per il canale di comunicazione - BLOB o coda, vedere record DNS per BLOB e code (solo per i server DNS/file host personalizzati) dopo la prima registrazione. Per la gestione manuale dei record DNS dopo il primo backup per il BLOB dell'account di archiviazione di backup, vedere record DNS per i BLOB (solo per i server DNS/file host personalizzati) dopo il primo backup.
Gli indirizzi IP privati per i nomi di dominio completi sono disponibili nel riquadro Configurazione DNS per l'endpoint privato creato per l'insieme di credenziali di Servizi di ripristino.
Il diagramma seguente mostra come funziona la risoluzione quando si usa una zona DNS privata per risolvere questi FQDN del servizio privato.
L'estensione del carico di lavoro in esecuzione nella macchina virtuale di Azure richiede la connessione ad almeno due endpoint degli account di archiviazione: la prima viene usata come canale di comunicazione (tramite messaggi di coda) e la seconda per l'archiviazione dei dati di backup. L'agente MARS richiede l'accesso ad almeno un endpoint dell'account di archiviazione usato per l'archiviazione dei dati di backup.
Per un insieme di credenziali abilitato per l'endpoint privato, il servizio Backup di Azure crea un endpoint privato per questi account di archiviazione. Ciò impedisce a qualsiasi traffico di rete correlato a Backup di Azure (il traffico del piano di controllo verso il servizio e il backup dei dati nel BLOB di archiviazione) di uscire dalla rete virtuale. Oltre ai servizi cloud di Backup di Azure, l'estensione del carico di lavoro e l'agente richiedono la connettività agli account di archiviazione di Azure e all'ID Microsoft Entra.
Il diagramma seguente illustra come funziona la risoluzione dei nomi per gli account di archiviazione usando una zona DNS privata.
Il diagramma seguente illustra come eseguire il ripristino tra aree su endpoint privato replicando l'endpoint privato in un'area secondaria. Informazioni su come eseguire il ripristino tra aree in un insieme di credenziali abilitato per l'endpoint privato.
Passaggi successivi
- Informazioni su come configurare e gestire gli endpoint privati per Backup di Azure.