Crie e use os pontos de extremidade privados (experiência v2) do backup do Azure

O Backup do Azure permite que você execute com segurança as operações de backup e restauração de seus dados dos cofres dos Serviços de Recuperação usando os pontos de extremidade privados. Os pontos de extremidade privados usam um ou mais endereços IP privados da VNet (Rede Virtual do Azure), colocando de fato o serviço na sua VNet.

O Backup do Azure agora fornece uma experiência aprimorada na criação e no uso de pontos de extremidade privados em comparação com a experiência clássica (v1).

Este artigo descreve como criar e gerenciar os pontos de extremidade privados do Backup do Azure no cofre dos Serviços de Recuperação.

Criar um cofre dos Serviços de Recuperação

Você pode criar pontos de extremidade privados do Backup do Azure apenas para cofres dos Serviços de Recuperação que não tenham nenhum item protegido (ou que nenhum item tenha tentado ser protegido ou registrado anteriormente). Portanto, recomendamos que você crie um novo cofre para a configuração do ponto de extremidade privado.

Para saber mais sobre como criar um novo cofre, confira Criar e configurar um cofre dos Serviços de Recuperação. No entanto, se você tiver cofres existentes que já têm pontos de extremidade privados criados, poderá recriar pontos de extremidade privados para eles usando a experiência aprimorada.

Negar à rede pública acesso ao cofre

Você pode configurar seus cofres para negar o acesso de redes públicas.

Siga estas etapas:

1. Vá para vault>Rede.

2. Na guia Acesso público, selecione Negar para impedir o acesso de redes públicas.

   

   Observação

   Depois de negar o acesso, você ainda poderá acessar o cofre, mas não poderá mover dados de/para redes que não contenham pontos de extremidade privados. Para mais informações, confira Criar pontos de extremidade privados para o Backup do Azure.

3. Escolha Aplicar para salvar as alterações.

Criar pontos de extremidade privados do Backup do Azure

Para criar pontos de extremidade privados do Backup do Azure, siga estas etapas:

1. Vá para o *\cofre para o qual você deseja criar a >Rede dos pontos de extremidade privados.

2. Vá para a guia Acesso privado e selecione +Ponto de extremidade privado para começar a criar um novo ponto de extremidade privado.

   

3. Em Criar um ponto de extremidade privado, forneça os detalhes necessários:

   a. Noções básicas: forneça os detalhes básicos para seus pontos de extremidade privados. A região deve ser a mesma do cofre e o recurso a ser submetido a backup.

   

   b. Recurso: nesta guia, selecione o recurso de PaaS para o qual deseja criar sua conexão e, em seguida, selecione Microsoft.RecoveryServices/vaults no tipo de recurso da sua assinatura necessária. Depois de concluído, escolha o nome do seu cofre de Serviços de Recuperação como o Recurso e AzureBackup como o Sub-recurso de destino.

   c. Rede virtual: nessa guia, especifique a rede virtual e a sub-rede onde deseja que o ponto de extremidade privado seja criado. Essa é a VNet em que a VM estará presente.

   d. DNS: para se conectar de forma privada, você precisa dos registros DNS necessários. Com base nas suas configurações de rede, escolha uma das seguintes opções:

   • Integrar o ponto de extremidade privado a uma zona DNS privada: selecione Sim se desejar integrar.
   • Usar o servidor DNS personalizado: selecione Não se desejar usar seu próprio servidor DNS. e. Marcas: se quiser, você pode adicionar Marcas ao ponto de extremidade privado.

4. Selecione Examinar + criar.

5. Depois que a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Aprovar os pontos de extremidade privados

Se você criar o ponto de extremidade privado como proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado será aprovado automaticamente. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes que você o utilize.

Para aprovar manualmente os pontos de extremidade privados por meio do portal do Azure, siga estas etapas:

1. No cofre dos Serviços de Recuperação, navegue até Conexões do ponto de extremidade privado na barra esquerda.

2. Selecione a conexão do ponto de extremidade privado que você deseja aprovar.

3. Selecione Aprovar.

   

   Você também pode selecionar Rejeitar ou Remover se quiser rejeitar ou excluir a conexão do ponto de extremidade privado.

Saiba como aprovar manualmente os pontos de extremidade privados usando o Cliente do Azure Resource Manager para usar o cliente do Azure Resource Manager para aprovar os pontos de extremidade privados.

Gerenciar registros DNS

Você precisa dos registros DNS necessários em suas zonas ou servidores DNS privados para se conectar de forma privada. Integre o ponto de extremidade privado diretamente com as zonas DNS privadas do Azure ou use seus servidores DNS personalizados para fazer isso, com base nas suas preferências de rede. Isso precisa ser feito para todos os três serviços - Backup do Azure, Blobs do Azure e Filas.

Quando você integra os pontos de extremidade privados com as zonas DNS privadas do Azure

Se você optar por integrar seu ponto de extremidade privado às zonas DNS privadas, o Backup do Azure adicionará os registros DNS necessários. Para exibir as zonas DNS privadas usadas na configuração DNS do ponto de extremidade privado. Se essas zonas DNS não estiverem presentes, elas serão criadas automaticamente durante a criação do ponto de extremidade privado.

No entanto, você deve verificar se sua rede virtual (que contém os recursos para backup) está devidamente vinculada a todas as três zonas DNS privadas, conforme descrito abaixo.

Observação

Se estiver usando servidores proxy, você poderá optar por ignorar o servidor proxy ou executar os backups por meio do servidor proxy. Para ignorar um servidor proxy, prossiga para as seções a seguir. Para usar o servidor proxy para executar os backups, consulte detalhes de configuração do servidor proxy no cofre dos Serviços de Recuperação.

Validar links de rede virtual em zonas DNS privadas

Para cada zona DNS privada listada (para Backup do Azure, Blobs e Filas), acesse os respectivos Links de rede virtual.

Você verá uma entrada para a rede virtual para a qual criou o ponto de extremidade privado. Se você não vir a entrada, adicione um link de rede virtual a todas as zonas DNS que não as possuem.

Ao usar o servidor DNS personalizado ou arquivos de host

• Se você estiver usando um servidor DNS personalizado, poderá usar o encaminhador condicional para FQDNs de serviço de backup, blob e fila para redirecionar as solicitações DNS para o DNS do Azure (168.63.129.16). O DNS do Azure o redireciona para a zona DNS Privada do Azure. Nessa configuração, verifique se existe um link de rede virtual para a zona DNS Privada do Azure, conforme mencionado neste artigo.

  A tabela a seguir lista as zonas DNS Privada do Azure exigidas pelo Backup do Azure:

  Zona	Serviço
  *.privatelink.<geo>.backup.windowsazure.com	Backup
  *.blob.core.windows.net	Blob
  *.queue.core.windows.net	Fila
  *.storage.azure.net	Blob

  Observação

  No texto acima, <geo> refere-se ao código de região (por exemplo, eus e ne para Leste dos EUA e Norte da Europa respectivamente). Consulte as seguintes listas para códigos de regiões:

  • Todas as nuvens públicas
  • China
  • Alemanha
  • US Gov
  • Lista de código geográfico – amostra de XML

• Se você estiver usando servidores DNS personalizados ou arquivos de host e não tiver a configuração da zona DNS Privada do Azure, precisará adicionar os registros DNS exigidos pelos pontos de extremidade privados aos servidores DNS ou no arquivo de host.

  Navegue até o ponto de extremidade privado que você criou e vá para a configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A em seu DNS.

  Se você estiver usando um arquivo de host para resolução de nomes, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o formato - <private ip><space><FQDN>.

Observação

O Backup do Azure pode alocar uma nova conta de armazenamento do seu cofre para os dados de backup e a extensão ou o agente precisa acessar os respectivos pontos de extremidade. Para saber mais sobre como adicionar mais registros DNS após o registro e backup, consulte como usar pontos de extremidade privados para backup.

Usar pontos de extremidade privados para backup

Depois que os pontos de extremidade privados criados para o cofre em sua VNet forem aprovados, comece a usá-los para executar backups e restaurações.

Importante

Verifique se concluiu todas as etapas mencionadas acima no documento com êxito antes de continuar. Para recapitular, você deve concluir as etapas na seguinte lista de verificação:

1. Um (novo) cofre dos Serviços de Recuperação foi criado
2. O cofre para usar a Identidade Gerenciada atribuída pelo sistema foi habilitado
3. As permissões relevantes foram atribuídas à Identidade Gerenciada do cofre
4. O ponto de extremidade privado para o seu cofre foi criado
5. O ponto de extremidade privado foi aprovado (se não foi aprovado automaticamente)
6. Verificou que todos os registros DNS foram adicionados adequadamente (exceto registros de blob e fila para servidores personalizados, que serão discutidos nas seções a seguir)

Verificar conectividade da VM

Na VM da rede bloqueada, verifique o seguinte:

1. A VM deve ter acesso à ID do Microsoft Entra.
2. Execute o nslookup na URL de backup (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) de sua VM, para garantir a conectividade. Isso deve retornar o IP privado atribuído em sua rede virtual.

Configurar backup

Depois de garantir que a lista de verificação acima e o acesso a foram concluídos com êxito, continue a configurar o backup de cargas de trabalho para o cofre. Se você estiver usando um servidor DNS personalizado, precisará adicionar entradas DNS para blobs e filas que estão disponíveis após a configuração do primeiro backup.

Registros DNS para blobs e filas (somente para arquivos de host/servidores DNS personalizados) após o primeiro registro

Depois de configurar o backup para pelo menos um recurso em um cofre do ponto de extremidade privado habilitado, adicione os registros DNS necessários para blobs e filas, conforme descrito abaixo.

1. Navegue até cada um desses pontos de extremidade privados criados para o cofre e acesse a configuração de DNS.

2. Adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A em seu DNS.

   Se você estiver usando um arquivo de host para resolução de nomes, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o formato - <private ip><space><FQDN>.

   Além do descrito acima, há uma outra entrada necessária após o primeiro backup, que é discutida aqui.

Backup e restauração de cargas de trabalho na VM do Azure (SQL e SAP HANA)

Depois que o ponto de extremidade privado é criado e aprovado, nenhuma outra alteração é necessária no cliente para usar o ponto de extremidade privado (a menos que você esteja usando Grupos de Disponibilidade do SQL, que discutiremos mais adiante nesta seção). Toda a comunicação e a transferência de dados de sua rede segura para o cofre serão executadas por meio do ponto de extremidade privado. No entanto, se você remover os pontos de extremidade privados do cofre depois que o servidor (SQL ou SAP HANA) for registrado nele, será preciso registrar novamente o contêiner com o cofre. Não é necessário interromper a proteção para eles.

Registros DNS para blobs e filas (somente para arquivos de host/servidores DNS personalizados) após o primeiro backup

Se você estiver usando um servidor DNS personalizado (sem o encaminhamento condicional), depois de executar o primeiro backup, é provável que o backup falhe. Se isso acontecer:

1. Navegue até o ponto de extremidade privado criado para o cofre e vá para a configuração de DNS.

2. Adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A em seu DNS.

   Se você estiver usando um arquivo de host para resolução de nomes, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o formato - <private ip><space><FQDN>.

Observação

Neste ponto, você conseguirá executar o nslookup da VM e resolver os endereços IP privados quando terminar as URLs de Backup e Armazenamento do cofre.

Ao usar os Grupos de Disponibilidade do SQL

Ao usar os AG (Grupos de Disponibilidade) do SQL, você precisará provisionar o encaminhamento condicional no DNS do AG personalizado conforme descrito abaixo:

1. Entre no seu controlador de domínio.
2. No aplicativo DNS, adicione os encaminhadores condicionais para todas as três zonas DNS (Backup, Blobs e Filas) para o IP do host 168.63.129.16 ou o endereço IP do servidor DNS personalizado, conforme necessário. As capturas de tela a seguir mostram quando o encaminhando está sendo feito para o IP do host do Azure. Se estiver usando seu próprio servidor DNS, substitua pelo IP do seu servidor DNS.

Backup e restauração por meio do agente MARS e do servidor DPM

Ao usar o agente MARS para fazer backup de seus recursos locais, verifique se a rede local (contendo os recursos que sofrerão backup) está emparelhada com a VNet do Azure que contém o ponto de extremidade privado para o cofre, para que você possa usá-lo. Em seguida continue a instalar o agente MARS e configure o backup conforme detalhado aqui. No entanto, verifique se toda a comunicação para o backup ocorre somente por meio da rede emparelhada.

Se você remover os pontos de extremidade privados do cofre depois que o agente MARS for registrado nele, será preciso registrar novamente o contêiner com o cofre. Não é necessário interromper a proteção para eles.

Observação

• Os pontos de extremidade privados são compatíveis apenas com o servidor DPM 2022 (10.22.123.0) e posterior.
• Os pontos de extremidade privados são compatíveis apenas com o servidor MABS V4 (14.0.30.0) e posterior.

Restauração Entre Assinaturas para um cofre habilitado para Ponto de Extremidade Privado

Para executar a Restauração Entre Assinaturas em um cofre habilitado para Ponto de Extremidade Privado:

1. No cofre dos Serviços de Recuperação de origem, acesse a guia Rede.
2. Acesse a seção Acesso privado e crie Pontos de Extremidade Privados.
3. Selecione a assinatura do cofre de destino que você quer restaurar.
4. Na seção Rede Virtual, selecione a VNet da VM de destino que você quer restaurar na assinatura.
5. Crie o Ponto de Extremidade Privado e dispare o processo de restauração.

Restauração entre regiões para um cofre habilitado para ponto de extremidade privado

Você pode criar um ponto de extremidade privado secundário antes ou depois de adicionar itens protegidos ao cofre.

Para restaurar dados entre regiões para um cofre habilitado para Ponto de extremidade privado, siga essas etapas:

1. Vá para o Cofre de Serviços de Recuperação>Configurações>Rede de destino e certifique-se de que o Ponto de extremidade privado seja criado com o VM VNet de destino antes de proteger quaisquer itens.

   Se o ponto de extremidade privado não estiver habilitado, habilite-o.

2. Na aba Acesso privado, crie Pontos de extremidade privados na região secundária.

   

3. Na folha Criar um ponto de extremidade privado, na guia Básico, selecione a Região como a região secundária da VM de destino na qual você deseja fazer a operação Restauração entre regiões.

   

4. Na guia Recurso, selecione o Sub-recurso de destino como AzureBackup_Secondary.

   

5. Na folha Rede Virtual, selecione a Rede Virtual da VM de destino na qual você deseja fazer a operação Restauração entre regiões.

   

   Observação

   Você pode adicionar no máximo 12 pontos de extremidade privados secundários de Backup do Microsoft Azure a um cofre.

6. Crie o ponto de extremidade privado e inicie o processo de restauração da região secundária.

Exclusão dos pontos de extremidade privados

Para excluir pontos de extremidade privados usando a API REST, confira esta seção.

Próximas etapas

• Saiba mais sobre o ponto de extremidade privado do Backup do Azure.