通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建并使用 Azure 备份的专用终结点(v2 体验)

  • 项目

通过 Azure 备份,可以使用 专用终结点 从恢复服务保管库安全地执行数据备份和还原操作。 专用终结点使用 Azure 虚拟网络 (VNet) 中的一个或多个专用 IP 地址将服务有效接入 VNet。

经典体验 (v1)相比,Azure 备份现在在创建和使用专用终结点方面提供了增强的体验。

本文介绍了如何为恢复服务保管库中的 Azure 备份创建和管理专用终结点。

创建恢复服务保管库

只能为不包含任何受其保护的项(或者过去未尝试保护或注册任何项)的恢复服务保管库创建 Azure 备份的专用终结点。 因此,建议为专用终结点配置新建保管库。

有关新建保管库的详细信息,请参阅 创建和配置恢复服务保管库。 但是,如果现有保管库已创建专用终结点,可以使用增强后的体验为其重新创建专用终结点。

拒绝对保管库的公用网络访问

可以将保管库配置为拒绝来自公用网络的访问。

执行以下步骤:

  1. 转到“保管库”>“网络”。

  2. 在“公共访问”选项卡上,选择“拒绝”以阻止来自公用网络的访问。

    显示如何选择“拒绝”选项的屏幕截图。

    注意

    拒绝访问后,仍可以访问保管库,但无法将数据移入/移出不包含专用终结点的网络。 有关详细信息,请参阅创建用于 Azure 备份的专用终结点

  3. 选择“应用”保存更改。

创建 Azure 备份的专用终结点

要创建 Azure 备份的专用终结点,请执行以下步骤:

  1. 转到要为其创建专用终结点 > 网络 的 *\vault

  2. 转到“专用访问”选项卡,然后选择“+专用终结点”以开始新建专用终结点。

    显示如何开始新建专用终结点的屏幕截图。

  3. 在“创建专用终结点”中,提供所需的详细信息:

    a. 基本信息: 提供专用终结点的基本详细信息。 区域应与要备份的保管库和资源相同。

    显示“创建专用终结点”页面(用于输入终结点创建的详细信息)的屏幕截图。

    b. 资源: 在此选项卡上,选择要为其创建连接的 PaaS 资源,然后从所需订阅的资源类型中选择“Microsoft.RecoveryServices/vaults”。 完成后,选择恢复服务保管库的名称作为 资源,并选择 AzureBackup 作为“目标子资源”。

    c. 虚拟网络: 在此选项卡上,指定要在其中创建专用终结点的虚拟网络和子网。 这是 VM 所在的 Vnet。

    d. DNS: 要以私密方式进行连接,需要所需的 DNS 记录。 可以根据网络设置选择以下方案之一:

    • 将专用终结点与专用 DNS 区域集成: 要集成,请选择“是”。
    • 使用自定义 DNS 服务器: 要使用自己的 DNS 服务器,请选择“否”。 e. 标记: (可选)可以为专用终结点添加 标记

  4. 选择“查看 + 创建”。

  5. 完成验证后,选择“创建”以创建专用终结点。

批准专用终结点

如果正在将专用终结点创建为恢复服务保管库的所有者,则会自动批准创建的专用终结点。 否则,保管库所有者必须先批准专用终结点,然后才能使用。

要通过 Azure 门户手动批准专用终结点,请执行以下步骤:

  1. 在“恢复服务保管库”中,转到左侧窗格的“专用终结点连接”。

  2. 选择要批准的“专用终结点连接“。

  3. 选择“批准”。

    显示如何选择和批准专用终结点的屏幕截图。

    如果要拒绝或删除终结点连接,还可以选择“拒绝”或“删除”。

了解如何 使用 Azure 资源管理器客户端手动批准专用终结点,从而使用 Azure 资源管理器客户端批准专用终结点。

管理 DNS 记录

需要在专用 DNS 区域或服务器中创建所需的 DNS 记录才能以私密方式进行连接。 可以将专用终结点直接与 Azure 专用 DNS 区域集成,或者根据网络首选项使用自定义 DNS 服务器来实现此目的。 这需要针对所有三项服务 - Azure 备份、Azure Blob 和队列执行此操作。

将专用终结点与 Azure 专用 DNS 区域集成时

如果选择将专用终结点与专用 DNS 区域集成,Azure 备份服务将添加所需的 DNS 记录。 可以在专用终结点的 DNS 配置下查看所用的专用 DNS 区域。 如果这些 DNS 区域不存在,在创建专用终结点期间会自动创建这些区域。

但是,必须按照下面所述,验证虚拟网络(包含要备份的资源)已正确链接到所有三个专用 DNS 区域。

注意

如果使用代理服务器,则可以选择跳过代理服务器或通过代理服务器执行备份。 若要跳过代理服务器,请继续阅读以下各部分。 若要使用代理服务器执行备份,请参阅恢复服务保管库的代理服务器设置详细信息

对于列出的每个专用 DNS 区域(用于 Azure 备份、Blob 和队列),请转到相应的“虚拟网络链接”。

你将看到已为其创建专用终结点的虚拟网络的条目。 如果未看到条目,请将虚拟网络链接添加到没有该链接的所有 DNS 区域。

使用自定义 DNS 服务器或主机文件时

  • 如果使用自定义 DNS 服务器,则可以使用备份服务、blob 和队列 FQDN 的条件转发器以将 DNS 请求重定向到 Azure DNS (168.63.129.16)。 Azure DNS 将其重定向到 Azure 专用 DNS 区域。 在此类设置中,请确保存在 Azure 专用 DNS 区域的虚拟网络链接,如 本文 所述。

    下表列出了 Azure 备份所需的 Azure 专用 DNS 区域:

    区域 服务
    *.privatelink.<geo>.backup.windowsazure.com 备份
    *.blob.core.windows.net Blob
    *.queue.core.windows.net 队列
    *.storage.azure.net Blob

    备注

    在上面的文本中,<geo> 表示区域代码(例如,eusne 分别表示美国东部和北欧)。 参考以下区域代码列表:

  • 如果正在使用自定义 DNS 服务器或主机文件,且未设置 Azure 专用 DNS 区域,则需要将专用终结点所需的 DNS 记录添加到 DNS 服务器或主机文件中。

    导航到创建的专用终结点,然后转到“DNS 配置”。 然后,为 DNS 中显示为 类型 A 记录的每个 FQDN 和 IP 添加条目。

    如果正在使用主机文件进行名称解析,请根据格式 - <private ip><space><FQDN> 在主机文件中为每个 IP 和 FQDN 创建相应条目。

注意

Azure 备份可能会为备份数据的保管库分配新的存储帐户,并且扩展或代理需要访问相应的终结点。 有关如何在注册和备份后添加更多 DNS 记录的详细信息,请参阅《如何使用专用终结点进行备份》。

使用备份的专用终结点

当 VNet 中为保管库创建的专用终结点获得批准后,即可开始使用它们来执行备份和还原。

重要

在继续之前,请确保已成功完成文档中的上述所有步骤。 概括起来,必须完成以下清单中的步骤:

  1. 已创建(新的)恢复服务保管库
  2. 已启用保管库,以使用系统分配的托管标识
  3. 已向保管库的托管标识分配相关权限
  4. 已为保管库创建专用终结点
  5. 已批准专用终结点(如果未自动批准)
  6. 确保已正确添加所有 DNS 记录(自定义服务器的 Blob 和队列记录除外,后面的部分将对此予以介绍)

检查 VM 连接

在已锁定网络的 VM 上,确保以上内容:

  1. 该 VM 应可以访问 Microsoft Entra ID。
  2. 从 VM 对备份 URL (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) 执行 nslookup,确保已建立连接。 此命令应返回虚拟网络中分配的专用 IP。

配置备份

确保符合上述清单中的要求并可以成功进行网络访问后,可以继续配置将工作负载备份到保管库的设置。 如果使用自定义 DNS 服务器,则在配置第一个备份后,需要为可用的 Blob 和队列添加 DNS 条目。

首次注册后的 Blob 和队列的 DNS 记录(仅适用于自定义 DNS 服务器/主机文件)

在为启用了专用终结点的保管库中的至少一个资源配置备份后,请按如下所述为 Blob 和队列添加所需的 DNS 记录。

  1. 导航到为保管库创建的每个专用终结点,然后转到“DNS 配置”。

  2. 为 DNS 中显示为 类型 A 记录的每个 FQDN 和 IP 添加条目。

    如果正在使用主机文件进行名称解析,请根据格式 - <private ip><space><FQDN> 在主机文件中为每个 IP 和 FQDN 创建相应条目。

    除上述内容外,首次备份后还需要另一个条目(在此处讨论)。

在 Azure VM 中备份和还原工作负载(SQL 和 SAP HANA)

创建并批准专用终结点后,无需在客户端进行任何其他更改即可使用该专用终结点(除非使用了 SQL 可用性组,本部分稍后将对此予以介绍)。 从受保护的网络到保管库的所有通信和数据传输都将通过专用终结点执行。 但是,如果在将某个服务器(SQL 或 SAP HANA)注册到保管库之后删除了该保管库的专用终结点,则需要向该保管库重新注册容器。 不需要停止对它们的保护。

首次备份后的 Blob 的 DNS 记录(仅适用于自定义 DNS 服务器/主机文件)

运行首次备份后,如果你使用的是自定义 DNS 服务器(未启用条件转发),备份有可能会失败。 如果发生这种情况:

  1. 导航到为保管库创建的专用终结点,并转到“DNS 配置”。

  2. 为 DNS 中显示为 类型 A 记录的每个 FQDN 和 IP 添加条目。

    如果正在使用主机文件进行名称解析,请根据格式 - <private ip><space><FQDN> 在主机文件中为每个 IP 和 FQDN 创建相应条目。

注意

此时,应该可以从 VM 运行 nslookup,并在处理完保管库的备份和存储 URL 后对专用 IP 地址进行解析。

使用 SQL 可用性组时

使用 SQL 可用性组 (AG) 时,需要按如下所述在自定义 AG DNS 中预配条件转发:

  1. 登录到域控制器。
  2. 在 DNS 应用程序下,根据需要将所有三个 DNS 区域(备份、Blob 和队列)的条件转发器添加到主机 IP 168.63.129.16 或自定义的 DNS 服务器 IP 地址。 以下屏幕截图显示正在转发到 Azure 主机 IP。 如果你使用自己的 DNS 服务器,请替换为你的 DNS 服务器 IP。

通过 MARS 代理和 DPM 服务器进行备份和还原

使用 MARS 代理备份本地资源时,请确保已将本地网络(包含要备份的资源)与包含保管库的专用终结点的 Azure VNet 对等互连,以便可以使用它。 然后可以继续安装 MARS 代理并配置备份,如此处所述。 但必须确保仅通过对等互连网络进行所有备份通信。

但是,如果在将某个 MARS 代理注册到保管库后删除了该保管库的专用终结点,则需要向该保管库重新注册容器。 不需要停止对它们的保护。

注意

  • 仅 DPM 服务器 2022 (10.22.123.0) 及更高版本支持专用终结点。
  • 仅 MABS V4 (14.0.30.0) 及更高版本支持专用终结点。

跨订阅还原到已启用专用终结点的保管库

若要对已启用专用终结点的保管库执行跨订阅还原,请执行以下操作:

  1. 源恢复服务保管库中,转到“网络”选项卡。
  2. 转到“专用访问”部分并创建专用终结点
  3. 选择要在其中还原的目标保管库的订阅
  4. 在“虚拟网络”部分中,选择要跨订阅还原的目标 VM 的 VNet
  5. 创建专用终结点并触发还原过程。

对启用了专用终结点的保管库执行跨区域还原

可以在保管库中添加受保护的项之前或之后创建辅助专用终结点。

若要将数据跨区域还原到已启用专用终结点的保管库,请执行以下步骤:

  1. 转到目标“恢复服务保管库”>“设置”>“网络”,并确保在保护任何项之前使用目标 VM VNet 创建专用终结点。

    如果未启用专用终结点,请启用它

  2. 在“专用访问”选项卡上,在次要区域中创建专用终结点

    屏幕截图显示如何在次要区域中创建专用终结点。

  3. 在“创建专用终结点”边栏选项卡上的“基本信息”选项卡上,选择“区域”作为要在其中执行跨区域还原操作的目标 VM 的次要区域。

    屏幕截图显示了如何选择要还原到次要区域的区域。

  4. 在“资源”选项卡上,选择“目标子资源”作为 AzureBackup_Secondary。

    屏幕截图显示了如何选择子资源作为 Azure 备份辅助资源。

  5. 在“虚拟网络”边栏选项卡上,选择要执行跨区域还原操作的目标 VM 的虚拟网络。

    屏幕截图显示了如何为跨区域还原选择目标 VM 的虚拟网络。

    注意

    最多可以向保管库添加 12 个 Azure 备份辅助专用终结点。

  6. 创建专用终结点从次要区域启动还原过程

正在删除专用终结点

要使用 REST API 删除专用终结点,请参阅 此节

后续步骤