Поделиться через

Создание и использование частных конечных точек (версия 2) для Azure Backup

  • Статья

Azure Backup позволяет безопасно выполнять операции резервного копирования и восстановления данных из хранилищ служб восстановления с помощью частных конечных точек. Частные конечные точки используют один или несколько частных IP-адресов из виртуальной сети Azure (VNet), эффективно передавая службу в VNet.

Azure Backup теперь предоставляет расширенный интерфейс для создания и использования частных конечных точек по сравнению с классическим интерфейсом (версия 1).

В этой статье описывается создание частных конечных точек и управление ими для Azure Backup в хранилище служб восстановления.

Создание хранилища Служб восстановления

Вы можете создавать частные конечные точки только для хранилищ служб восстановления Azure Backup, у которых нет элементов, защищенных им (или не было никаких элементов, которые в прошлом пытались защитить или зарегистрировать в них). Поэтому рекомендуется создать хранилище для конфигурации частной конечной точки.

Дополнительные сведения о создании хранилища см. в статье "Создание и настройка хранилища служб восстановления". Однако если у вас есть хранилища, которые уже создали частные конечные точки, можно повторно создать для них частные конечные точки с помощью расширенного интерфейса.

Запрет доступа к общедоступной сети в хранилище

Хранилища можно настроить для запрета доступа из общедоступных сетей.

Выполните следующие действия:

  1. Перейдите в сеть хранилища>.

  2. На вкладке "Общедоступный доступ" выберите "Запретить доступ" для предотвращения доступа к общедоступным сетям.

    Снимок экрана: выбор параметра

    Примечание.

    После запрета доступа вы по-прежнему можете получить доступ к хранилищу, но нельзя перемещать данные в сети, не содержащие частные конечные точки. Дополнительные сведения см. в статье "Создание частных конечных точек для Azure Backup".

  3. Выберите Применить, чтобы сохранить изменения.

Создание частных конечных точек для Azure Backup

Чтобы создать частные конечные точки для Azure Backup, выполните следующие действия.

  1. Перейдите в хранилище *\vault, для которого требуется создать частные конечные >точки Сети.

  2. Перейдите на вкладку "Частный доступ" и выберите +Частная конечная точка , чтобы начать создание новой частной конечной точки.

    Снимок экрана: начало создания частной конечной точки.

  3. При создании частной конечной точки укажите необходимые сведения:

    a. Основы. Укажите основные сведения о частных конечных точках. Регион должен совпадать с хранилищем и ресурсом для резервного копирования.

    Снимок экрана: страница создания частной конечной точки для ввода сведений о создании конечной точки.

    b. Ресурс. На этой вкладке выберите ресурс PaaS, для которого вы хотите создать подключение, а затем выберите Microsoft.RecoveryServices/vaults из типа ресурса для требуемой подписки. После этого выберите имя хранилища служб восстановления в качестве ресурса и AzureBackup в качестве целевого подресурса.

    c. Виртуальная сеть. На этой вкладке укажите виртуальную сеть и подсеть, в которой должна быть создана частная конечная точка. Это виртуальная сеть, в которой присутствует виртуальная машина.

    d. DNS: для частного подключения требуются необходимые записи DNS. В зависимости от конфигурации сети выберите один из следующих вариантов.

    • Интеграция частной конечной точки с частной зоной DNS: выберите "Да", если вы хотите интегрировать.
    • Используйте пользовательский DNS-сервер: выберите "Нет", если вы хотите использовать собственный DNS-сервер. д) Теги. При необходимости можно добавить теги для частной конечной точки.

  4. Выберите Review + create (Просмотреть и создать).

  5. После завершения проверки нажмите кнопку "Создать ", чтобы создать частную конечную точку.

Утверждение частных конечных точек

Если вы создаете частную конечную точку в качестве владельца хранилища служб восстановления, созданная частная конечная точка автоматически утверждена. В противном случае владелец хранилища должен утвердить частную конечную точку перед его использованием.

Чтобы вручную утвердить частные конечные точки с помощью портал Azure, выполните следующие действия.

  1. В хранилище служб восстановления перейдите к подключениям к частной конечной точке на левой панели.

  2. Выберите подключение к частной конечной точке, которое требуется утвердить.

  3. Выберите Утвердить.

    Снимок экрана: выбор и утверждение частной конечной точки.

    Вы также можете выбрать "Отклонить" или "Удалить", если вы хотите отклонить или удалить подключение конечной точки.

Узнайте, как вручную утвердить частные конечные точки с помощью клиента Azure Resource Manager для утверждения частных конечных точек с помощью клиента Azure Resource Manager.

Управление записями DNS

Необходимые записи DNS в частных зонах DNS или серверах требуются для частного подключения. Вы можете интегрировать частную конечную точку непосредственно с частными зонами DNS Azure или использовать пользовательские DNS-серверы для этого в зависимости от ваших параметров сети. Это необходимо сделать для всех трех служб — Azure Backup, БОЛЬШИХ двоичных объектов Azure и очередей.

Интеграция частных конечных точек с частными зонами DNS Azure

Если вы решили интегрировать частную конечную точку с частными зонами DNS, Azure Backup добавит необходимые записи DNS. Частные зоны DNS, используемые в конфигурации DNS частной конечной точки, можно просмотреть. Если эти зоны DNS отсутствуют, они будут созданы автоматически во время создания частной конечной точки.

Однако необходимо убедиться, что виртуальная сеть (которая содержит ресурсы для резервного копирования) правильно связана со всеми тремя частными зонами DNS, как описано ниже.

Примечание.

Если используется прокси-сервер, вы можете обойти его или выполнить резервное копирование с его помощью. О том, как обойти прокси-сервер, см. в следующих разделах. О том, как использовать прокси-сервер для резервного копирования см. в статье о настройке прокси-сервера для хранилища Служб восстановления.

Для каждой частной зоны DNS, указанной (для Azure Backup, BLOB-объектов и очередей), перейдите по соответствующим ссылкам виртуальной сети.

Вы увидите запись для виртуальной сети, для которой вы создали частную конечную точку. Если запись не отображается, добавьте ссылку виртуальной сети ко всем зонам DNS, у которых их нет.

Использование собственного DNS-сервера или файлов узлов

  • Если вы используете пользовательский DNS-сервер, можно использовать условный сервер пересылки для службы резервного копирования, больших двоичных объектов и полных доменных имен очередей для перенаправления DNS-запросов в Azure DNS (168.63.129.16). Azure DNS перенаправляет его в зону Частная зона DNS Azure. В такой настройке убедитесь, что связь виртуальной сети для зоны Azure Частная зона DNS существует, как упоминалось в этой статье.

    В следующей таблице перечислены зоны Azure Частная зона DNS, необходимые Для Azure Backup:

    Зона Service
    *.privatelink.<geo>.backup.windowsazure.com Резервное копирование
    *.blob.core.windows.net BLOB-объект
    *.queue.core.windows.net Queue
    *.storage.azure.net BLOB-объект

    Примечание.

    В приведенном выше тексте <geo> означает код региона (например, eus и ne для восточной части США и Северной Европы соответственно). Коды регионов см. в следующих списках:

  • Если вы используете пользовательские DNS-серверы или файлы узлов и не используете настройку зоны azure Частная зона DNS, необходимо добавить записи DNS, необходимые для частных конечных точек на DNS-серверах или в файле узла.

    Перейдите к созданной частной конечной точке и перейдите к конфигурации DNS. Затем добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в DNS.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><FQDN>.

Примечание.

Azure Backup может выделить новую учетную запись хранения для хранилища для данных резервного копирования, а расширение или агент должны получить доступ к соответствующим конечным точкам. Дополнительные сведения о добавлении дополнительных записей DNS после регистрации и резервного копирования см. в статье об использовании частных конечных точек для резервного копирования.

Использование частных конечных точек для резервного копирования

После утверждения частных конечных точек, созданных для хранилища в виртуальной сети, можно приступить к их использованию для выполнения резервного копирования и восстановления.

Внимание

Прежде чем продолжать, убедитесь, что все описанные выше действия выполнены успешно. Итак, вы должны были выполнить действия по следующему контрольному списку:

  1. создать хранилище служб восстановления;
  2. включить для хранилища использование управляемого удостоверения, назначенного системой;
  3. назначить соответствующие разрешения управляемому удостоверению хранилища;
  4. создать частную конечную точку для хранилища;
  5. утвердить частную конечную точку (если она не была утверждена автоматически);
  6. убедиться, что все записи DNS добавлены надлежащим образом (за исключением записей BLOB-объектов и очередей для пользовательских серверов — описание этих действий будет дано в следующих разделах).

Проверка возможности подключения виртуальной машины

На виртуальной машине в заблокированной сети убедитесь в следующем:

  1. Виртуальная машина должна иметь доступ к идентификатору Microsoft Entra.
  2. Чтобы обеспечить подключение, выполните команду nslookup на URL-адресе резервного копирования (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) на виртуальной машине. Запрос должен вернуть частный IP-адрес, назначенный в виртуальной сети.

Настроить резервное копирование

После того как вы убедитесь, что все действия из приведенного выше контрольного списка выполнены и доступ предоставлен, можно продолжить настройку резервного копирования рабочих нагрузок в хранилище. Если вы используете собственный DNS-сервер, требуется добавить записи DNS для больших двоичных объектов и очередей, которые стали доступны после настройки первой резервной копии.

Записи DNS для больших двоичных объектов и очередей (только для пользовательских DNS-серверов и файлов узлов) после первой регистрации

После настройки резервного копирования по крайней мере для одного ресурса в хранилище с подключенной частной конечной точкой добавьте необходимые записи DNS для больших двоичных объектов и очередей, как описано ниже.

  1. Перейдите к каждой из этих частных конечных точек, созданных для хранилища, и перейдите к конфигурации DNS.

  2. Добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в DNS.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><FQDN>.

    Помимо приведенного выше, есть еще одна запись, необходимая после первой резервной копии, которая рассматривается здесь.

Резервное копирование и восстановление рабочих нагрузок на виртуальной машине Azure (SQL и SAP HANA)

После создания и утверждения частной конечной точки для ее использования с клиентской стороны не требуется совершать никаких дополнительных действий (если вы не используете группы доступности SQL, которые обсуждаются далее в этом разделе). Все подключения и передача данных из защищенной сети в хранилище выполняются через закрытую конечную точку. Если удалить частные конечные точки для хранилища после регистрации сервера (SQL или SAP HANA), то будет необходимо повторно зарегистрировать контейнер в хранилище. Для них не требуется отменять защиту.

Записи DNS для больших двоичных объектов (только для пользовательских DNS-серверов и файлов узлов) после первого резервного копирования

После выполнения первой операции резервного копирования с использованием собственного DNS-сервера (без условной пересылки), скорее всего, произойдет сбой резервного копирования. Если это произойдет, выполните следующие действия.

  1. Перейдите к частной конечной точке, созданной для хранилища, и перейдите к конфигурации DNS.

  2. Добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в DNS.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><FQDN>.

Примечание.

На этом этапе вы можете запустить команду nslookup с данной виртуальной машины и разрешить доступ к частным IP-адресам, как это делается с URL-адресами резервного копирования и хранилища.

При использовании групп доступности SQL

При использовании групп доступности SQL необходимо подготовить условное перенаправление с использованием настраиваемых DNS-параметров группы доступности, как описано ниже.

  1. Войдите в систему на контроллере домена.
  2. В приложении DNS добавьте серверы условной пересылки для всех трех зон DNS (резервное копирование, большие двоичные объекты и очереди) в IP-адрес узла 168.63.129.16 или при необходимости в IP-адрес пользовательского DNS-сервера. На следующих снимках экрана показаны настройки пересылки на IP-адрес узла Azure. Если вы используете собственный DNS-сервер, замените IP-адрес узла Azure на IP-адрес DNS-сервера.

Резервное копирование и восстановление с помощью агента MARS и сервера DPM

При использовании агента MARS для резервного копирования локальных ресурсов убедитесь, что локальная сеть (где размещены ресурсы для резервного копирования) подключена к виртуальной сети Azure, содержащей частную конечную точку для хранилища, чтобы ее можно было использовать. Затем можно продолжить установку агента MARS и настроить резервное копирование, как описано в этом разделе. Тем не менее необходимо убедиться, что все подключения для резервного копирования выполняются только через одноранговую сеть.

Если удалить частные конечные точки для хранилища после регистрации агента MARS, необходимо повторно зарегистрировать контейнер в хранилище. Для них не требуется отменять защиту.

Примечание.

  • Частные конечные точки поддерживаются только с сервером DPM 2022 (10.22.123.0) и более поздними версиями.
  • Частные конечные точки поддерживаются только с MABS версии 4 (14.0.30.0) и более поздних версий.

Перекрестное восстановление подписки в хранилище с поддержкой частной конечной точки

Чтобы выполнить восстановление между подписками в хранилище с поддержкой частной конечной точки, выполните следующее:

  1. В хранилище служб восстановления источника перейдите на вкладку "Сеть".
  2. Перейдите в раздел "Частный доступ" и создайте частные конечные точки.
  3. Выберите подписку целевого хранилища, в которой требуется восстановить.
  4. В разделе виртуальная сеть выберите виртуальную сеть целевой виртуальной машины, которую требуется восстановить в подписке.
  5. Создайте частную конечную точку и активируйте процесс восстановления.

Восстановление между регионами в хранилище с поддержкой частной конечной точки

Вы можете создать вторичную частную конечную точку до или после добавления защищенных элементов в хранилище.

Чтобы восстановить данные между регионами в хранилище с поддержкой частной конечной точки, выполните следующие действия.

  1. Перейдите в сеть параметров хранилища параметров> хранилища служб>восстановления и убедитесь, что частная конечная точка создается с целевой виртуальной сетью виртуальной машины перед защитой всех элементов.

    Если частная конечная точка не включена, включите ее.

  2. На вкладке "Закрытый доступ" создайте частные конечные точки в дополнительном регионе.

    Снимок экрана: создание частных конечных точек в дополнительном регионе.

  3. В колонке "Создание частной конечной точки" на вкладке "Основные сведения" выберите регион в качестве дополнительного региона целевой виртуальной машины, к которой требуется выполнить операцию восстановления между регионами.

    Снимок экрана: выбор региона для восстановления в дополнительном регионе.

  4. На вкладке "Ресурс" выберите целевой вложенный ресурс как AzureBackup_Secondary.

    Снимок экрана, на котором показано, как выбрать вложенный ресурс в качестве дополнительного ресурса Azure Backup.

  5. В колонке виртуальная сеть выберите виртуальная сеть целевой виртуальной машины, для которой требуется выполнить операцию восстановления между регионами.

    Снимок экрана: выбор виртуальной сети целевой виртуальной машины для восстановления между регионами.

    Примечание.

    В хранилище можно добавить не более 12 вторичных частных конечных точек Azure Backup.

  6. Создайте частную конечную точку и запустите процесс восстановления из дополнительного региона.

Удаление частных конечных точек

Сведения об удалении частных конечных точек с помощью REST API см . в этом разделе.

Следующие шаги