Azure 備份的私人端點 (v2 體驗) 概觀和概念
透過使用私人端點,Azure 備份可讓您從復原服務保存庫安全地執行資料備份和還原作業。 私人端點會使用 Azure 虛擬網路 (VNet) 中的一或多個私人 IP 位址,有效將服務引進您的 VNet 中。
相較於傳統體驗 (v1),Azure 備份現在提供建立和使用私人端點的增強體驗。
本文說明 Azure 備份的私人端點增強功能如何運作,以及如何在執行備份的同時維護資源的安全性。
主要增強功能
- 建立無需受控識別的私人端點。
- Blob 和佇列服務不會建立私人端點。
- 使用較少的私人 IP。
在您開始使用 Intune 之前
雖然 Azure 備份和 Azure Site Recovery (兩者) 都使用復原服務保存庫,但本文只討論 Azure 備份使用私人端點的情況。
您只能為新的復原服務保存庫 (尚未對該保存庫註冊/保護任何項目) 建立私人端點。 不過,備份保存庫目前不支援私人端點。
注意
您無法使用靜態 IP 建立私人端點。
您無法將使用傳統體驗所建立的保存庫 (包含私人端點) 升級至新體驗。 您可以刪除所有現有的私人端點,然後使用 v2 體驗建立新的私人端點。
一個虛擬網路可以包含多個復原服務保存庫的私人端點。 此外,一個復原服務保存庫可以在多個虛擬網路中有私人端點。 不過,您可以為保存庫建立最多 12 個私人端點。
保存庫的私人端點會使用 10 個私人IP,而且計數可能會隨著時間增加。 請確定您在建立私人端點時有足夠的 IP 可用。
Azure 備份的私人端點不包含 Microsoft Entra 識別碼的存取權。 請務必啟用存取權,這樣在 Azure VM 中執行資料庫備份,以及使用 MARS 代理程式進行備份時,才能讓區域中執行 Microsoft Entra ID 所需的 IP 和 FQDN 在安全的網路中有處於允許狀態的輸出存取權。 您也可以使用 NSG 標籤和 Azure 防火牆標籤來允許存取 Microsoft Entra ID (如適用)。
如果您是在 2020 年 5 月 1 日之前註冊復原服務資源提供者,需使用該訂閱重新註冊。 若要重新註冊提供者,請在 Azure 入口網站中,移至您的訂閱>[資源提供者],然後選取 [Microsoft.RecoveryServices]>[重新註冊]。
您可以跨訂閱建立 DNS。
您可以在保存庫中新增受保護的項目之前或之後,建立次要私人端點。 了解如何跨區域還原至已啟用私人端點的保存庫。
建議和支援的案例
若為保存庫啟用了私人端點,便只會使用這些端點來備份和還原 Azure VM 中的 SQL 和 SAP Hana 工作負載、MARS 代理程式備份和 DPM。 您也可以使用保存庫來備份其他工作負載 (不過這些工作負載不需要私人端點)。 除了使用 MARS 代理程式備份 SQL 和 SAP Hana 工作負載和備份之外,私人端點也會用來執行 Azure VM 備份的檔案復原作業。
下表列出案例和建議:
案例 | 建議 |
---|---|
使用 MARS 代理程式、DPM 伺服器備份 Azure VM (SQL、SAP Hana) 和 Azure 備份中的工作負載。 | 建議使用私人端點以允許備份和還原,這麼做不需要將虛擬網路中 Azure 備份或 Azure 儲存體的任何 IP/FQDN 新增至允許清單。 在該案例中,請確定裝載 SQL 資料庫的 VM 可以連線至 Microsoft Entra IP 或 FQDN。 |
Azure VM 備份 | VM 備份不會要求您允許存取任何 IP 或 FQDN。 因此不需要使用私人端點來備份和還原磁碟。 不過,從包含私人端點的保存庫進行檔案復原時,會受限於包含保存庫私人端點的虛擬網路。 使用列入 ACL 的非受控磁碟時,請確定包含磁碟的儲存體帳戶可存取受信任的 Microsoft 服務 (如果已列入 ACL)。 |
Azure 檔案儲存體備份 | Azure 檔案儲存體備份會儲存在本機儲存體帳戶中。 因此不需要使用私人端點來進行備份和還原。 |
已變更保存庫和虛擬機中私人端點的 Vnet | 停止備份保護,並在已啟用私人端點的新保存庫中設定備份保護。 |
注意
只有 DPM 伺服器 2022、MABS v4 和更新版本才支援私人端點。
私人端點的網路連線差異
如先前所述,私人端點特別適用於備份 Azure VM 中的工作負載 (SQL、SAP Hana) 和 MARS 代理程式備份。
在所有案例中 (無論是否有私人端點),工作負載延伸模組 (用於備份 Azure VM 中執行的 SQL 和 SAP Hana 執行個體) 和 MARS 代理程式都對 Microsoft Entra ID 發出連線呼叫 (目標對象是 Microsoft 365 Common 及 Office Online 的區段 56 和 59 中提到的 FQDN)。
除了這些連線,針對沒有私人端點的復原服務保存庫安裝工作負載延伸模組或 MARS 代理程式時,也需要連線到下列網域:
服務 | 網域名稱 | 連接埠 |
---|---|---|
Azure 備份 | *.backup.windowsazure.com |
443 |
Azure 儲存體 | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com 依據這篇文章,允許存取 56 和 59 小節下的 FQDN。 |
443 依適用情況 |
針對具有私人端點的復原服務保存庫安裝工作負載延伸模組或 MARS 代理程式時,會與下列端點通訊:
服務 | 網域名稱 | 連接埠 |
---|---|---|
Azure 備份 | *.privatelink.<geo>.backup.windowsazure.com |
443 |
Azure 儲存體 | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
Microsoft Entra ID | *.login.microsoft.com 依據這篇文章,允許存取 56 和 59 小節下的 FQDN。 |
443 依適用情況 |
針對具有私人端點設定的復原服務保存庫,FQDN (privatelink.<geo>.backup.windowsazure.com
、*.blob.core.windows.net
、*.queue.core.windows.net
、*.blob.storage.azure.net
) 的名稱解析應該會傳回私人 IP 位址。 達成方式為使用:
- Azure 私人 DNS 區域
- 自訂 DNS
- 主機檔案中的 DNS 項目
- 以 Azure DNS/Azure 私人 DNS 區域為目的地的條件式轉送。
儲存體帳戶的私人 IP 對應會列在為復原服務保存庫建立的私人端點中。 我們建議使用 Azure 私人 DNS 區域,因為 Blob 和佇列的 DNS 記錄可由 Azure 管理。 為保存庫配置新的記憶體帳戶時,Blob 或佇列 Azure 私人 DNS 區域中會自動新增其私人 IP 的 DNS 記錄。
如果您已使用第三方 Proxy 伺服器或防火牆設定 DNS Proxy 伺服器,則必須允許上述網域名稱並重新導向至自訂 DNS (其具有上述 FQDN 的 DNS 記錄),或重新導向至 Azure 虛擬網路 (其與私人 DNS 區域連結) 上的 168.63.129.16。
下列範例顯示作為 DNS Proxy 使用的 Azure 防火牆,可將復原服務保存庫、Blob、佇列和 Microsoft Entra ID 的網域名稱查詢重新導向至 168.63.129.16。
如需詳細資訊,請參閱建立和使用私人端點。
具有私人端點的保存庫網路連線
復原服務的私人端點會與網路介面 (NIC) 相關聯。 若要讓私人端點連線能夠運作,Azure 服務的所有流量都必須重新導向至網路介面。 為達成此目的,您可以針對服務/Blob/佇列 URL,為與網路介面相關聯的私人 IP 新增 DNS 對應。
當工作負載備份延伸模組安裝在向具有私人端點的復原服務保存庫註冊的虛擬機器上時,延伸模組會嘗試在 Azure 備份服務的私人 URL <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
上進行連線。
如果私人 URL 無法解析,則會嘗試使用公用 URL <azure_backup_svc>.<geo>.backup.windowsazure.com
。 如果復原服務保存庫的公用網路存取設定為 [允許來自所有網路],則復原服務保存庫會允許延伸模組透過公用 URL 傳入的要求。 如果復原服務保存庫的公用網路存取設定為 [拒絕],則復原服務保存庫會拒絕延伸模組透過公用 URL 傳入的要求。
這些私人 URL 專屬於保存庫。 只有向保存庫註冊的延伸模組和代理程式,才能透過這些端點與 Azure 備份服務通訊。 如果復原服務保存庫的公用網路存取設定為 [拒絕],則會阻止未在 VNet 中執行的用戶端要求在保存庫上進行備份和還原作業。 建議您將公用網路存取設定為 [拒絕] 並設定私人端點。 當延伸模組和代理程式先嘗試使用私人 URL 時,URL 的 *.privatelink.<geo>.backup.windowsazure.com
DNS 解析應該會傳回與私人端點相關聯的對應私人 IP。
DNS 解析有多個解決方案:
- Azure 私人 DNS 區域
- 自訂 DNS
- 主機檔案中的 DNS 項目
- 以 Azure DNS/Azure 私人 DNS 區域為目的地的條件式轉送。
如果復原服務保存庫的私人端點是透過 Azure 入口網站,使用與私人 DNS 區域整合選項建立,配置資源時,系統都會自動建立 Azure 備份服務 (*.privatelink.<geo>backup.windowsazure.com
) 的私人 IP 位址所需的 DNS 香木。 在其他解決方案中,您需在自訂 DNS 或主機檔案中,手動為這些 FQDN 建立 DNS 項目。
若要在針對 Blob 或佇列通道進行 VM 探索後手動管理 DNS 記錄,請參閱第一次註冊後 Blob 和佇列的 DNS 記錄 (僅適用於自訂 DNS 伺服器/主機檔案)。 若要在針對備份儲存體帳戶 Blob 進行第一次備份後手動管理 DNS 記錄,請參閱第一次備份後 Blob 的 DNS 記錄 (僅適用於自訂 DNS 伺服器/主機檔案)。
FQDN 的私人 IP 位址會顯示在私人端點 (為復原服務保存庫而建立) 的 [DNS 設定] 中。
下圖顯示使用私人 DNS 區域解析這些私人服務 FQDN 時,解析的運作方式。
在 Azure VM 上執行的工作負載延伸模組至少需要連線至兩個儲存體帳戶端點:一個做為通訊通道 (透過佇列) 使用,另一個用來儲存備份資料。 MARS 代理程式需要存取至少一個用於儲存備份資料的儲存體帳戶端點。
針對已啟用私人端點的保存庫,Azure 備份服務會為這些儲存體帳戶建立私人端點。 這可防止任何與 Azure 備份相關的網路流量 (流向服務的控制平面流量和流向儲存體 Blob 備份資料) 離開虛擬網路。 除了 Azure 備份雲端服務之外,工作負載延伸模組和代理程式還需要連線到 Azure 儲存體帳戶和 Microsoft Entra ID。
下圖顯示如何解析使用私人 DNS 區域的儲存體帳戶名稱。
下圖表顯示如何透過私人端點執行跨區域還原,方法是復寫次要區域中的私人端點。 了解如何跨區域還原至已啟用私人端點的保存庫。