Partilhar via


Criar e usar pontos de extremidade privados (experiência v1) para o Backup do Azure

Este artigo fornece informações sobre o processo de criação de pontos de extremidade privados para o Backup do Azure e os cenários em que os pontos de extremidade privados ajudam a manter a segurança de seus recursos.

Nota

O Backup do Azure agora fornece uma nova experiência para a criação de pontos de extremidade privados. Mais informações.

Antes de começar

Certifique-se de ter lido os pré-requisitos e os cenários suportados antes de continuar a criar pontos de extremidade privados.

Esses detalhes ajudam você a entender as limitações e condições que precisam ser cumpridas antes de criar pontos de extremidade privados para seus cofres.

Introdução à criação de endpoints privados para backup

As seções a seguir discutem as etapas envolvidas na criação e no uso de pontos de extremidade privados para o Backup do Azure em suas redes virtuais.

Importante

É altamente recomendável que você siga as etapas na mesma sequência mencionada neste documento. Se isso não for feito, o cofre poderá se tornar incompatível para usar pontos de extremidade privados e exigir que você reinicie o processo com um novo cofre.

Criar um cofre dos Serviços de Recuperação

Os pontos de extremidade privados para Backup só podem ser criados para cofres dos Serviços de Recuperação que não tenham nenhum item protegido (ou que não tenham tido nenhum item tentado ser protegido ou registrado nele no passado). Por isso, sugerimos que crie um novo cofre para começar. Para obter mais informações sobre como criar um novo cofre, consulte Criar e configurar um cofre dos Serviços de Recuperação.

Consulte esta seção para saber como criar um cofre usando o cliente do Azure Resource Manager. Isso cria um cofre com sua identidade gerenciada já habilitada.

Negar acesso de rede pública ao cofre

Você pode configurar seus cofres para negar acesso de redes públicas.

Siga estes passos:

  1. Vá para o cofre>Rede.

  2. Na guia Acesso público, selecione Negar para impedir o acesso de redes públicas.

    Captura de tela mostrando como selecionar a opção Negar.

    Nota

    • Depois de negar o acesso, você ainda poderá acessar o cofre, mas não poderá mover dados de/para redes que não contenham pontos de extremidade privados. Para obter mais informações, consulte Criar pontos de extremidade privados para o Backup do Azure.
    • Atualmente, não há suporte para negar acesso público em cofres com restauração entre regiões habilitada.
  3. Selecione Aplicar para salvar as alterações.

Ativar a Identidade Gerida para o seu cofre

As identidades gerenciadas permitem que o cofre crie e use pontos de extremidade privados. Esta seção fala sobre como habilitar a identidade gerenciada para seu cofre.

  1. Vá para o cofre dos Serviços de Recuperação ->Identity.

    Alterar o status de Identidade para Ativado

  2. Altere o Status para Ativado e selecione Salvar.

  3. É gerado um ID de objeto, que é a identidade gerenciada do cofre.

    Nota

    Uma vez ativada, a Identidade Gerenciada não deve ser desabilitada (mesmo temporariamente). A desativação da identidade gerenciada pode levar a um comportamento inconsistente.

Conceder permissões ao cofre para criar os pontos de extremidade privados necessários

Para criar os pontos de extremidade privados necessários para o Backup do Azure, o cofre (a Identidade Gerenciada do cofre) deve ter permissões para os seguintes grupos de recursos:

  • O Grupo de Recursos que contém a VNet de destino
  • O Grupo de Recursos onde os Pontos de Extremidade Privados devem ser criados
  • O Grupo de Recursos que contém as zonas DNS privadas, conforme discutido em detalhes aqui

Recomendamos que você conceda a função de Colaborador para esses três grupos de recursos ao cofre (identidade gerenciada). As etapas a seguir descrevem como fazer isso para um grupo de recursos específico (isso precisa ser feito para cada um dos três grupos de recursos):

  1. Vá para o Grupo de Recursos e navegue até Controle de Acesso (IAM) na barra esquerda.

  2. Uma vez no Controle de Acesso, vá para Adicionar uma atribuição de função.

    Adicionar uma atribuição de função

  3. No painel Adicionar atribuição de função, escolha Colaborador como Função e use o Nome do cofre como Principal. Selecione seu cofre e selecione Salvar quando terminar.

    Escolha a função e o principal

Para gerenciar permissões em um nível mais granular, consulte Criar funções e permissões manualmente.

Criar pontos de extremidade privados para o Backup do Azure

Esta seção explica como criar um ponto de extremidade privado para seu cofre.

  1. Navegue até o cofre criado acima e vá para Conexões de ponto de extremidade privado na barra de navegação esquerda. Selecione +Ponto de extremidade privado na parte superior para começar a criar um novo ponto de extremidade privado para este cofre.

    Criar novo ponto de extremidade privado

  2. Uma vez no processo Criar Ponto Final Privado, você será solicitado a especificar detalhes para criar sua conexão de ponto de extremidade privado.

    1. Noções básicas: preencha os detalhes básicos dos seus endpoints privados. A região deve ser a mesma que o cofre e o recurso cujo backup está sendo feito.

      Preencha os dados básicos

    2. Recurso: esta guia requer que você selecione o recurso PaaS para o qual deseja criar sua conexão. Selecione Microsoft.RecoveryServices/vaults no tipo de recurso para a assinatura desejada. Uma vez feito, escolha o nome do seu cofre dos Serviços de Recuperação como o Recurso e o AzureBackup como o subrecurso de destino.

      Selecione o recurso para sua conexão

    3. Configuração: Na configuração, especifique a rede virtual e a sub-rede onde você deseja que o ponto de extremidade privado seja criado. Esta será a Vnet onde a VM está presente.

      Para se conectar de forma privada, você precisa dos registros DNS necessários. Com base na configuração da rede, você pode escolher uma das seguintes opções:

      • Integre seu ponto de extremidade privado com uma zona DNS privada: Selecione Sim se desejar integrar.
      • Use seu servidor DNS personalizado: Selecione Não se desejar usar seu próprio servidor DNS.

      O gerenciamento de registros DNS para ambos é descrito mais tarde.

      Especificar a rede virtual e a sub-rede

    4. Opcionalmente, você pode adicionar tags para seu ponto de extremidade privado.

    5. Continue a Rever + criar depois de concluir a introdução de detalhes. Quando a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Aprovar pontos de extremidade privados

Se o usuário que cria o ponto de extremidade privado também for o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado acima será aprovado automaticamente. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes de poder usá-lo. Esta seção discute a aprovação manual de pontos de extremidade privados por meio do portal do Azure.

Consulte Aprovação manual de pontos de extremidade privados usando o Cliente do Azure Resource Manager para usar o cliente do Azure Resource Manager para aprovar pontos de extremidade privados.

  1. No cofre dos Serviços de Recuperação, navegue até Conexões de ponto de extremidade privado na barra esquerda.

  2. Selecione a conexão de ponto de extremidade privada que deseja aprovar.

  3. Selecione Aprovar na barra superior. Você também pode selecionar Rejeitar ou Remover se desejar rejeitar ou excluir a conexão do ponto final.

    Aprovar pontos de extremidade privados

Gerir registos DNS

Conforme descrito anteriormente, você precisa dos registros DNS necessários em suas zonas ou servidores DNS privados para se conectar de forma privada. Você pode integrar seu ponto de extremidade privado diretamente com zonas DNS privadas do Azure ou usar seus servidores DNS personalizados para conseguir isso, com base em suas preferências de rede. Isso precisará ser feito para os três serviços: Backup, Blobs e Filas.

Além disso, se a zona DNS ou o servidor estiver presente em uma assinatura diferente daquela que contém o ponto de extremidade privado, consulte também Criar entradas DNS quando o servidor/zona DNS estiver presente em outra assinatura.

Ao integrar pontos de extremidade privados com zonas DNS privadas do Azure

Se você optar por integrar seu ponto de extremidade privado com zonas DNS privadas, o Backup do Azure adicionará os registros DNS necessários. Você pode exibir as zonas DNS privadas que estão sendo usadas na configuração DNS do ponto de extremidade privado. Se essas zonas DNS não estiverem presentes, elas serão criadas automaticamente ao criar o ponto de extremidade privado.

Nota

A identidade gerenciada atribuída ao cofre deve ter as permissões para adicionar registros DNS na zona DNS Privado do Azure.

No entanto, você deve verificar se sua rede virtual (que contém os recursos para backup) está corretamente vinculada a todas as três zonas DNS privadas, conforme descrito abaixo.

Configuração de DNS na zona DNS privada do Azure

Nota

Se estiver a utilizar servidores proxy, pode optar por ignorar o servidor proxy ou efetuar cópias de segurança através do servidor proxy. Para ignorar um servidor proxy, continue para as seções a seguir. Para usar o servidor proxy para executar seus backups, consulte Detalhes de configuração do servidor proxy para o cofre dos Serviços de Recuperação.

Para cada zona DNS privada listada acima (para Backup, Blobs e Filas), faça o seguinte:

  1. Navegue até a respetiva opção Links de rede virtual na barra de navegação esquerda.

  2. Você deve ser capaz de ver uma entrada para a rede virtual para a qual você criou o ponto de extremidade privado, como a mostrada abaixo:

    Rede virtual para ponto final privado

  3. Se você não vir uma entrada, adicione um link de rede virtual a todas as zonas DNS que não as têm.

    Adicionar ligação da rede virtual

Ao usar o servidor DNS personalizado ou arquivos host

  • Se você estiver usando um servidor DNS personalizado, poderá usar o encaminhador condicional para FQDNs de serviço de backup, blob e fila para redirecionar as solicitações DNS para o DNS do Azure (168.63.129.16). O DNS do Azure redireciona-o para a zona DNS Privada do Azure. Nessa configuração, verifique se existe um link de rede virtual para a zona DNS Privada do Azure, conforme mencionado nesta seção.

    A tabela a seguir lista as zonas de DNS Privado do Azure exigidas pelo Backup do Azure:

    Zona Serviço
    privatelink.<geo>.backup.windowsazure.com Backup
    privatelink.blob.core.windows.net Blob
    privatelink.queue.core.windows.net Queue

    Nota

    No texto acima, refere-se ao código de região (por exemplo, eus e ne para o Leste dos EUA e Norte da Europa, <geo> respectivamente). Consulte as seguintes listas para códigos de regiões:

  • Se estiver a utilizar servidores DNS personalizados ou ficheiros de anfitrião e não tiver a configuração da zona DNS Privada do Azure, terá de adicionar os registos DNS exigidos pelos pontos de extremidade privados aos seus servidores DNS ou no ficheiro anfitrião.

    • Para o serviço de backup: navegue até o ponto de extremidade privado que você criou e vá para Configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A na zona DNS para backup.

      Se você estiver usando um arquivo host para resolução de nomes, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o formato - <private ip><space><backup service privatelink FQDN>.

    • Para o blob e a fila: o backup do Azure cria os pontos de extremidade privados para blobs e filas usando as permissões de identidade gerenciadas. Os pontos de extremidade privados para blobs e filas seguem um padrão de nomenclatura padrão, eles começam com <the name of the private endpoint>_ecs ou <the name of the private endpoint>_prote são sufixados com _blob e _queue respectivamente.

      Navegue até o ponto de extremidade privado criado pelo Backup do Azure seguindo o padrão acima e vá para Configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A na zona DNS para backup.

      Se você estiver usando um arquivo host para resolução de nomes, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o formato - <private ip><space><blob/queue FQDN>.

Nota

O Backup do Azure pode alocar uma nova conta de armazenamento para seu cofre para os dados de backup, e a extensão ou agente precisa acessar os respetivos pontos de extremidade. Para obter mais informações sobre como adicionar mais registros DNS após o registro e o backup, consulte as orientações na seção Usar pontos de extremidade privados para backup .

Usar pontos de extremidade privados para backup

Depois que os pontos de extremidade privados criados para o cofre em sua rede virtual tiverem sido aprovados, você poderá começar a usá-los para executar backups e restaurações.

Importante

Certifique-se de ter concluído todas as etapas mencionadas acima no documento com sucesso antes de prosseguir. Para recapitular, você deve ter concluído as etapas na lista de verificação a seguir:

  1. Criado um (novo) cofre dos Serviços de Recuperação
  2. Habilitado o cofre para usar a Identidade Gerenciada atribuída ao sistema
  3. Permissões relevantes atribuídas à Identidade Gerenciada do cofre
  4. Criou um ponto de extremidade privado para o seu cofre
  5. Aprovado o ponto de extremidade privado (se não aprovado automaticamente)
  6. Garantido que todos os registros DNS sejam adicionados adequadamente (exceto registros de blob e fila para servidores personalizados, que serão discutidos nas seções a seguir)

Verificar a conectividade da VM

Na VM na rede bloqueada, verifique o seguinte:

  1. A VM deve ter acesso ao Microsoft Entra ID.
  2. Execute nslookup na URL de backup (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) da sua VM para garantir a conectividade. Isso deve retornar o IP privado atribuído em sua rede virtual.

Configurar a cópia de segurança

Depois de garantir que a lista de verificação e o acesso acima foram concluídos com êxito, você pode continuar a configurar o backup de cargas de trabalho para o cofre. Se você estiver usando um servidor DNS personalizado, precisará adicionar entradas DNS para blobs e filas que estão disponíveis após a configuração do primeiro backup.

Registros DNS para blobs e filas (somente para servidores/arquivos host DNS personalizados) após o primeiro registro

Depois de configurar o backup para pelo menos um recurso em um cofre habilitado para ponto de extremidade privado, adicione os registros DNS necessários para blobs e filas, conforme descrito abaixo.

  1. Navegue até o seu Grupo de Recursos e procure o ponto de extremidade privado que você criou.

  2. Além do nome de ponto de extremidade privado fornecido por você, você verá mais dois pontos de extremidade privados sendo criados. Estes começam com <the name of the private endpoint>_ecs e são sufixados com _blob e _queue respectivamente.

    Recursos de endpoint privados

  3. Navegue até cada um desses pontos de extremidade privados. Na opção de configuração de DNS para cada um dos dois pontos de extremidade privados, você verá um registro com um FQDN e um endereço IP. Adicione ambos ao seu servidor DNS personalizado, além dos descritos anteriormente. Se você estiver usando um arquivo host, faça as entradas correspondentes no arquivo host para cada IP/FQDN de acordo com o seguinte formato:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Configuração de DNS de Blob

Além do acima, há outra entrada necessária após o primeiro backup, que será discutida mais tarde.

Backup e restauração de cargas de trabalho na VM do Azure (SQL e SAP HANA)

Depois que o ponto de extremidade privado é criado e aprovado, nenhuma outra alteração é necessária do lado do cliente para usar o ponto de extremidade privado (a menos que você esteja usando Grupos de Disponibilidade SQL, que discutiremos mais adiante nesta seção). Toda a comunicação e transferência de dados da sua rede segura para o cofre será realizada através do ponto de extremidade privado. No entanto, se você remover pontos de extremidade privados para o cofre depois que um servidor (SQL ou SAP HANA) tiver sido registrado nele, será necessário registrar novamente o contêiner no cofre. Você não precisa parar a proteção para eles.

Registros DNS para blobs (somente para servidores DNS personalizados/arquivos host) após o primeiro backup

Depois de executar o primeiro backup e estiver usando um servidor DNS personalizado (sem encaminhamento condicional), é provável que o backup falhe. Se tal acontecer:

  1. Navegue até o seu Grupo de Recursos e procure o ponto de extremidade privado que você criou.

  2. Além dos três pontos de extremidade privados discutidos anteriormente, agora você verá um quarto ponto de extremidade privado com seu nome começando com <the name of the private endpoint>_prot e são sufixados com _blob.

    Ponto final privado com sufixo

  3. Navegue até este novo ponto de extremidade privado. Na opção de configuração de DNS, você verá um registro com um FQDN e um endereço IP. Adicione-os ao seu servidor DNS privado, além dos descritos anteriormente.

    Se você estiver usando um arquivo host, faça as entradas correspondentes no arquivo host para cada IP e FQDN de acordo com o seguinte formato:

    <private ip><space><blob service privatelink FQDN>

Nota

Neste ponto, você deve ser capaz de executar nslookup a partir da VM e resolver para endereços IP privados quando feito nas URLs de backup e armazenamento do cofre.

Ao usar grupos de disponibilidade SQL

Ao usar o SQL Availability Groups (AG), você precisará provisionar o encaminhamento condicional no DNS AG personalizado, conforme descrito abaixo:

  1. Inicie sessão no controlador de domínio.

  2. No aplicativo DNS, adicione encaminhadores condicionais para todas as três zonas DNS (Backup, Blobs e Filas) ao IP do host 168.63.129.16 ou ao endereço IP do servidor DNS personalizado, conforme necessário. As capturas de tela a seguir mostram quando você está encaminhando para o IP do host do Azure. Se estiver a utilizar o seu próprio servidor DNS, substitua pelo IP do seu servidor DNS.

    Encaminhadores condicionais no Gestor de DNS

    Novo encaminhador condicional

Faça backup e restaure por meio do agente MARS e do servidor DPM

Ao usar o Agente MARS para fazer backup de seus recursos locais, verifique se sua rede local (que contém seus recursos para backup) está emparelhada com a VNet do Azure que contém um ponto de extremidade privado para o cofre, para que você possa usá-lo. Em seguida, você pode continuar a instalar o agente MARS e configurar o backup conforme detalhado aqui. No entanto, você deve garantir que toda a comunicação para backup aconteça apenas através da rede emparelhada.

Mas se você remover pontos de extremidade privados para o cofre depois que um agente MARS tiver sido registrado nele, será necessário registrar novamente o contêiner no cofre. Você não precisa parar a proteção para eles.

Nota

  • Os pontos de extremidade privados são suportados apenas com o servidor DPM 2022 (10.22.123.0) e posterior.
  • Os pontos de extremidade privados são suportados apenas com o MABS V4 (14.0.30.0) e posterior.

Excluindo pontos de extremidade privados

Consulte esta seção para saber como excluir Pontos de Extremidade Privados.

Tópicos adicionais

Criar um cofre dos Serviços de Recuperação usando o cliente do Azure Resource Manager

Você pode criar o cofre dos Serviços de Recuperação e habilitar sua Identidade Gerenciada (habilitar a Identidade Gerenciada é necessário, como veremos mais adiante) usando o cliente do Azure Resource Manager. Um exemplo para fazer isso é compartilhado abaixo:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

O arquivo JSON acima deve ter o seguinte conteúdo:

Solicitar JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Resposta JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Nota

O cofre criado neste exemplo por meio do cliente do Azure Resource Manager já foi criado com uma identidade gerenciada atribuída ao sistema.

Gerenciando permissões em grupos de recursos

A Identidade Gerenciada para o cofre precisa ter as seguintes permissões no grupo de recursos e na rede virtual onde os pontos de extremidade privados serão criados:

  • Microsoft.Network/privateEndpoints/* Isso é necessário para executar CRUD em pontos de extremidade privados no grupo de recursos. Ele deve ser atribuído no grupo de recursos.
  • Microsoft.Network/virtualNetworks/subnets/join/action Isso é necessário na rede virtual onde o IP privado está sendo anexado ao ponto de extremidade privado.
  • Microsoft.Network/networkInterfaces/read Isso é necessário no grupo de recursos para obter a interface de rede criada para o ponto de extremidade privado.
  • Função de Colaborador da Zona DNS Privada Esta função já existe e pode ser usada para fornecer Microsoft.Network/privateDnsZones/A/* e Microsoft.Network/privateDnsZones/virtualNetworkLinks/read permissões.

Você pode usar um dos seguintes métodos para criar funções com as permissões necessárias:

Criar funções e permissões manualmente

Crie os seguintes arquivos JSON e use o comando PowerShell no final da seção para criar funções:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Usar um script

  1. Inicie o Cloud Shell no portal do Azure e selecione Carregar arquivo na janela do PowerShell.

    Selecione Carregar arquivo na janela do PowerShell

  2. Carregue o seguinte script: VaultMsiPrereqScript

  3. Vá para a sua pasta de início (por exemplo: cd /home/user)

  4. Execute o seguintes script:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Estes são os parâmetros:

    • assinatura: **SubscriptionId que tem o grupo de recursos onde o ponto de extremidade privado do cofre deve ser criado e a sub-rede onde o ponto de extremidade privado do cofre será anexado

    • vaultPEResourceGroup: Grupo de recursos onde o ponto de extremidade privado para o cofre será criado

    • vaultPESubnetResourceGroup: Grupo de recursos da sub-rede à qual o ponto de extremidade privado será associado

    • vaultMsiName: Nome do MSI do cofre, que é o mesmo que VaultName

  5. Conclua a autenticação e o script levará o contexto da assinatura fornecida acima. Ele criará as funções apropriadas se elas estiverem ausentes do locatário e atribuirá funções ao MSI do cofre.

Criando pontos de extremidade privados usando o Azure PowerShell

Pontos finais privados aprovados automaticamente

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Aprovação manual de pontos de extremidade privados usando o Cliente do Azure Resource Manager

  1. Use GetVault para obter o ID de Conexão de Ponto Final Privado para seu ponto de extremidade privado.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Isso retornará o ID de Conexão do Ponto Final Privado. O nome da conexão pode ser recuperado usando a primeira parte do ID de conexão da seguinte maneira:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Obtenha a ID de Conexão do Ponto de Extremidade Privado (e o Nome do Ponto de Extremidade Privado, sempre que necessário) da resposta e substitua-a no seguinte JSON e no URI do Azure Resource Manager e tente alterar o Status para "Aprovado/Rejeitado/Desconectado", conforme demonstrado no exemplo abaixo:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Configurar o servidor proxy para o cofre dos Serviços de Recuperação com ponto de extremidade privado

Para configurar um servidor proxy para VM do Azure ou máquina local, siga estas etapas:

  1. Adicione os seguintes domínios que precisam ser acessados a partir do servidor proxy.

    Serviço Nomes de domínio Porta
    Azure Backup *.backup.windowsazure.com 443
    Armazenamento do Azure *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    URLs de domínio atualizadas mencionadas nas seções 56 e 59 no Microsoft 365 Common e no Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com policykeyservice.dc.ad.msft.net
    Conforme aplicável.
  2. Permita o acesso a esses domínios no servidor proxy e vincule a zona DNS privada ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) com a VNET onde o servidor proxy é criado ou usa um servidor DNS personalizado com as respetivas entradas DNS.

    A VNET onde o servidor proxy está sendo executado e a VNET onde a NIC de ponto de extremidade privada é criada devem ser emparelhadas, o que permitiria que o servidor proxy redirecionasse as solicitações para IP privado.

    Nota

    No texto acima, refere-se ao código de região (por exemplo, eus e ne para o Leste dos EUA e Norte da Europa, <geo> respectivamente). Consulte as seguintes listas para códigos de regiões:

O diagrama a seguir mostra uma configuração (ao usar as zonas DNS Privadas do Azure) com um servidor proxy, cuja VNet está vinculada a uma zona DNS privada com entradas DNS necessárias. O servidor proxy também pode ter seu próprio servidor DNS personalizado, e os domínios acima podem ser encaminhados condicionalmente para 168.63.129.16. Se você estiver usando um servidor/arquivo host DNS personalizado para resolução de DNS, consulte as seções sobre gerenciamento de entradas DNS e configuração da proteção.

Diagrama mostrando uma configuração com um servidor proxy.

Criar entradas DNS quando o servidor DNS/zona DNS estiver presente noutra subscrição

Nesta seção, discutiremos os casos em que você está usando uma zona DNS presente em uma assinatura ou um Grupo de Recursos diferente daquele que contém o ponto de extremidade privado para o cofre dos Serviços de Recuperação, como uma topologia de hub e spoke. Como a identidade gerenciada usada para criar pontos de extremidade privados (e as entradas DNS) tem permissões somente no Grupo de Recursos no qual os pontos de extremidade privados são criados, as entradas DNS necessárias são necessárias adicionalmente. Use os seguintes scripts do PowerShell para criar entradas DNS.

Nota

Consulte todo o processo descrito abaixo para obter os resultados necessários. O processo precisa ser repetido duas vezes - uma vez durante a primeira descoberta (para criar entradas DNS necessárias para contas de armazenamento de comunicação) e, em seguida, uma vez durante o primeiro backup (para criar entradas DNS necessárias para contas de armazenamento back-end).

Etapa 1: Obter as entradas DNS necessárias

Use o script PrivateIP.ps1 para listar todas as entradas DNS que precisam ser criadas.

Nota

A subscription sintaxe abaixo refere-se à assinatura onde o ponto de extremidade privado do cofre deve ser criado.

Sintaxe para usar o script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Saída da amostra

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Etapa 2: Criar entradas DNS

Crie entradas DNS correspondentes às acima. Com base no tipo de DNS que está a utilizar, tem duas alternativas para criar entradas DNS.

Caso 1: Se você estiver usando um servidor DNS personalizado, precisará criar manualmente entradas para cada registro a partir do script acima e verificar se o FQDN (ResourceName.DNS) é resolvido para um IP privado dentro da VNET.

Caso 2: Se estiver a utilizar a Zona DNS Privada do Azure, pode utilizar o script CreateDNSEntries.ps1 para criar automaticamente entradas DNS na Zona DNS Privada. Na sintaxe a seguir, o é aquele onde existe a subscription Zona DNS Privada.

Sintaxe para usar o script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Resumo de todo o processo

Para configurar corretamente o ponto de extremidade privado para o cofre dos Serviços de Recuperação por meio desta solução alternativa, você precisa:

  1. Crie um ponto de extremidade privado para o vault (conforme descrito anteriormente no artigo).
  2. Descoberta de gatilho. A descoberta para SQL/HANA falhará com UserErrorVMInternetConnectivityIssue porque as entradas DNS estão ausentes para a conta de armazenamento de comunicação.
  3. Execute os scripts para obter entradas DNS e criar entradas DNS correspondentes para a conta de armazenamento de comunicação mencionada anteriormente nesta seção.
  4. Reacionar a descoberta. Desta vez, a descoberta deve ser bem-sucedida.
  5. Acione o backup. O backup para SQL/HANA e MARS pode falhar porque as entradas DNS estão ausentes para contas de armazenamento back-end, conforme mencionado anteriormente nesta seção.
  6. Execute os scripts para criar entradas DNS para a conta de armazenamento back-end.
  7. Reacionar o backup. Desta vez, os backups devem ser bem-sucedidos.

Perguntas mais frequentes

Posso criar um ponto de extremidade privado para um cofre existente dos Serviços de Recuperação?

Não, os pontos de extremidade privados podem ser criados apenas para novos Cofres dos Serviços de Recuperação. Portanto, o cofre nunca deve ter tido nenhum item protegido para ele. Na verdade, nenhuma tentativa de proteger quaisquer itens para o cofre pode ser feita antes de criar pontos de extremidade privados.

Tentei proteger um item para o meu cofre, mas ele falhou e o cofre ainda não contém nenhum item protegido para ele. Posso criar pontos de extremidade privados para este cofre?

Não, o cofre não deve ter tido nenhuma tentativa de proteger quaisquer itens no passado.

Tenho um cofre que está usando pontos de extremidade privados para backup e restauração. Mais tarde, posso adicionar ou remover pontos de extremidade privados para este cofre, mesmo que eu tenha itens de backup protegidos para ele?

Sim. Se você já criou pontos de extremidade privados para um cofre e itens de backup protegidos para ele, poderá adicionar ou remover pontos de extremidade privados posteriormente, conforme necessário.

O ponto de extremidade privado do Backup do Azure também pode ser usado para o Azure Site Recovery?

Não, o ponto de extremidade privado do Backup só pode ser usado para o Backup do Azure. Você precisará criar um novo ponto de extremidade privado para o Azure Site Recovery, se ele for suportado pelo serviço.

Perdi uma das etapas deste artigo e passei a proteger minha fonte de dados. Posso continuar a utilizar terminais privados?

Não seguir as etapas no artigo e continuar a proteger os itens pode levar o cofre a não poder usar pontos de extremidade privados. Portanto, é recomendável que você consulte esta lista de verificação antes de prosseguir para proteger os itens.

Posso usar meu próprio servidor DNS em vez de usar a zona DNS privada do Azure ou uma zona DNS privada integrada?

Sim, você pode usar seus próprios servidores DNS. No entanto, certifique-se de que todos os registos DNS necessários são adicionados conforme sugerido nesta secção.

Preciso executar alguma etapa adicional no meu servidor depois de seguir o processo neste artigo?

Depois de seguir o processo detalhado neste artigo, você não precisa fazer trabalho adicional para usar pontos de extremidade privados para backup e restauração.

Próximos passos