針對 Azure 備份建立及使用私人端點 (v2 體驗)
透過使用私人端點,Azure 備份可讓您從復原服務保存庫安全地執行資料備份和還原作業。 私人端點會使用 Azure 虛擬網路 (VNet) 中的一或多個私人 IP 位址,有效將服務引進您的 VNet 中。
相較於傳統體驗 (v1),Azure 備份現在提供建立和使用私人端點的增強體驗。
本文說明如何在復原服務保存庫中建立和管理 Azure 備份的私人端點。
建立復原服務保存庫
您只能為沒有任何項目受其保護 (或過去尚未有任何項目嘗試受其保護或向其註冊) 的復原服務保存庫建立 Azure 備份的私人端點。 因此,建議您為私人端點組態建立新的保存庫。
如需如何建立新保存庫的詳細資訊,請參閱建立和設定復原服務保存庫。 不過,如果您有已建立私人端點的現有保存庫,則可以使用增強式體驗為保存庫重新建立私人端點。
拒絕公用網路對保存庫的存取
您可以將保存庫設定為拒絕從公用網路存取。
執行下列步驟:
移至保存庫>[網路]。
在 [公用存取權] 索引標籤上,選取 [拒絕] 以防止公用網络存取。
注意
一旦拒絕存取,您仍可以存取保存庫,但無法將資料移至/移出不包含私人端點的網路。 如需詳細資訊,請參閱建立 Azure 備份的私人端點。
選取 [套用] 以儲存變更。
建立 Azure 備份的私人端點
若要建立 Azure 備份的私人端點,請遵循下列步驟:
移至您想要為其建立私人端點的 *\vault > [網路]。
移至 [私人存取] 索引標籤,然後選取 [+私人端點] 以開始建立新的私人端點。
在 [建立私人端點] 上,提供所需的詳細資料:
a. 基本:提供私人端點的基本詳細資料。 區域應與保存庫和所要備份的資源相同。
b. 資源:在此索引標籤上,選取要為其建立連線的 PaaS 資源,然後從所需訂用帳戶的資源類型中選取 [Microsoft.RecoveryServices/vaults]。 完成之後,請選擇您的復原服務保存庫名稱作為 [資源],並選擇 [AzureBackup] 作為 [目標子資源]。
c. 虛擬網路:在此索引標籤上,指定您要在其中建立私人端點的虛擬網路和子網路。 這是 VM 所在的 VNet。
d. DNS:若要進行私人連線,您需要必要的 DNS 記錄。 根據您的網路設定,您可以選擇下列其中一種方式進行:
- 將私人端點與私人 DNS 區域整合:如果您想要整合,請選取 [是]。
- 使用您的自訂 DNS 伺服器:如果您想要使用自己的 DNS 伺服器,請選取 [否]。 e. 標籤:您可以選擇性地新增私人端點的「標籤」。
選取 [檢閱 + 建立]。
驗證完成時,請選取 [建立] 以建立私人端點。
核准私人端點
如果您以復原服務保存庫擁有者的身分建立私人端點,系統會自動核准您建立的私人端點。 否則,私人端點就必須等到保存庫的擁有者核准後才可供使用。
若要透過 Azure 入口網站手動核准私人端點,請遵循下列步驟:
在您的 [復原服務保存庫] 中,移至左窗格上的 [私人端點連線]。
選取您要核准的「私人端點連線」。
選取核准。
如果您想要拒絕或刪除端點連線,也可以選取 [拒絕] 或 [移除]。
了解如何使用 Azure Resource Manager 用戶端手動核准私人端點,以使用 Azure Resource Manager 用戶端來核准私人端點。
管理 DNS 記錄
私人 DNS 區域或伺服器中需要有所需的 DNS 記錄才能進行私人連線。 您可以根據網路喜好設定,直接將私人端點與 Azure 私人 DNS 區域整合,或使用您的自訂 DNS 伺服器來達成此目標。 以下三種服務都必須執行此操作 - Azure 備份、Azure Blob 和佇列。
將私人端點與 Azure 私人 DNS 區域整合時
如果您選擇將私人端點與私人 DNS 區域整合,則 Azure 備份會新增所需的 DNS 記錄。 您可以在私人端點的 [DNS 組態] 下,檢視所使用的私人 DNS 區域。 如果這些 DNS 區域不存在,系統會在私人端點建立期間自動建立這些區域。
不過,您必須確認虛擬網路 (包含所要備份的資源) 已正確連結到這三個私人 DNS 區域,如下所述。
注意
如果您使用 proxy 伺服器,您可以選擇略過 proxy 伺服器,或透過 proxy 伺服器執行備份。 若要略過 proxy 伺服器,請繼續閱讀下列各節。 若要使用 proxy 伺服器來執行備份,請參閱復原服務保存庫的 proxy 伺服器設定詳細資料。
驗證私人 DNS 區域中的虛擬網路連結
針對 (為 Azure 備份、Blob 和佇列) 列出的每個私人 DNS 區域,移至個別的虛擬網路連結。
您會看到已為其建立私人端點的虛擬網路項目。 如果您沒有看到項目,請將虛擬網路連結新增至所有沒有項目的 DNS 區域。
使用自訂 DNS 伺服器或主機檔案時
如果您使用自訂 DNS 伺服器,可以使用條件式轉寄站進行備份服務、Blob 和佇列 FQDN,將 DNS 要求重新導向至 Azure DNS (168.63.129.16)。 Azure DNS 會將其重新導向至 Azure 私人 DNS 區域。 在這類設定中,請確定 Azure 私人 DNS 區域的虛擬網路連結存在,如本文所述。
下表列出 Azure 備份所需的 Azure 私人 DNS 區域:
區域 服務 *.privatelink.<geo>.backup.windowsazure.com
Backup *.blob.core.windows.net
Blob *.queue.core.windows.net
Queue *.storage.azure.net
Blob 如果您使用自訂 DNS 伺服器或主機檔案,且未設定 Azure 私人 DNS 區域,則必須將私人端點所需的 DNS 記錄新增至 DNS 伺服器或主機檔案。
瀏覽至所建立的私人端點,然後移至 [DNS 組態]。 然後,針對在 DNS 中顯示為類型 A 記錄的 FQDN 和 IP 各新增一個項目。
如果您要使用主機檔案進行名稱解析,請根據格式 -
<private ip><space><FQDN>
,針對每個 IP 和 FQDN 在主機檔案中建立對應的項目。
注意
Azure 備份可能會為您的保存庫配置新的儲存體帳戶來備份資料,而延伸模組或代理程序必須存取個別的端點。 如需如何在註冊和備份之後新增更多 DNS 記錄的詳細資訊,請參閱如何使用私人端點進行備份。
使用私人端點進行備份
一旦 Vnet 中保存庫建立的私人端點經核准後,您即可開始使用該端點執行備份和還原。
重要
在繼續之前,請確定您已成功完成上述文件中所述的所有步驟。 若要進行回顧,您必須完成下列檢查清單中的步驟:
- 已建立 (新的) 復原服務保存庫
- 已啟用保存庫來使用系統指派的受控識別
- 已將相關權限指派給保存庫的受控識別
- 針對保存庫建立私人端點
- 核准私人端點 (如果未自動核准)
- 確定所有 DNS 記錄已適當進行新增 (除自訂伺服器的 blob 和佇列,將在下列各節中進行討論)
檢查 VM 連線能力
在鎖定網路的 VM 中,確定下列各項目:
- VM 應該有 Microsoft Entra ID 的存取權。
- 在透過 VM 備份 URL 上 (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
) 執行 nslookup,來確定連線能力。 這應該會傳回虛擬網路中指派的私人 IP。
設定備份
確定上述檢查清單和存取權都已成功完成後,您即可繼續將工作負載備份設定至保存庫。 如果您使用自訂的 DNS 伺服器,則必須新增在設定第一次備份之後可用的 blob 和佇列 DNS 項目。
在首次註冊後 (僅在首次自訂 DNS 伺服器/主機檔案) Blob 和佇列的 DNS 記錄
至少針對已啟用私人端點保存庫的一個資源設定備份後,為 blob 和佇列新增必要的 DNS 記錄,如下所述。
瀏覽至為保存庫建立的每個私人端點,然後移至 [DNS 組態]。
針對在 DNS 中顯示為類型 A 記錄的 FQDN 和 IP 各新增一個項目。
如果您要使用主機檔案進行名稱解析,請根據格式 -
<private ip><space><FQDN>
,針對每個 IP 和 FQDN 在主機檔案中建立對應的項目。除了上述項目之外,第一次備份後還需要另一個項目,這裡會進行討論。
備份和還原 Azure VM 中的工作負載 (SQL 和 SAP HANA)
一旦建立並核准私人端點,除非您使用 SQL 可用性群組 (這我們會在本節稍後進行討論),否則用戶端無須任何其他變更即可使用私人端點。 所有從您的安全網路到保存庫的通訊和資料傳輸均會透過私人端點執行。 然而若是在註冊伺服器 (SQL 或 SAP HANA) 之後移除保存庫的私人端點,則您必須使用保存庫重新註冊容器。 您無須停止該端點的保護措施。
在首次備份後 (僅在首次自訂 DNS 伺服器/主機檔案) Blob 的 DNS 記錄
在您執行首次備份,且使用自訂 DNS 伺服器 (未使用條件式轉送) 時,您的備份可能會失敗。 如果發生下列情況:
瀏覽至為保存庫建立的私人端點,然後移至 [DNS 組態]。
針對在 DNS 中顯示為類型 A 記錄的 FQDN 和 IP 各新增一個項目。
如果您要使用主機檔案進行名稱解析,請根據格式 -
<private ip><space><FQDN>
,針對每個 IP 和 FQDN 在主機檔案中建立對應的項目。
注意
此時,您應可透過 VM 執行 nslookup,並在保存庫的備份和儲存體 URL 完成時,將其解析至私人 IP 位址。
使用 SQL 可用性群組時
使用 SQL 可用性群組 (AG) 時,您必須在自訂 AG DNS 中佈建條件式轉送,如下所述:
- 登入您的網域控制站。
- 在 DNS 應用程式下,視需要將三個 DNS 區域的條件轉寄站 (備份、Blob 和佇列) 新增至主機 IP 168.63.129.16 或自訂 DNS 伺服器 IP 位址中。 當您轉送至 Azure 主機 IP 時,會顯示下列螢幕擷取畫面。 如果您是使用自己的 DNS 伺服器,請以您的 DNS 伺服器 IP 進行取代。
透過 MARS 代理程式和 DPM 伺服器備份和還原
使用 MARS 代理程式備份內部部署資源時,請確定您的內部部署網路 (包含要備份的資源) 與包含保存庫私人端點的 Azure VNet 為對等互連狀態,讓您可以使用此項目。 接著您便能如此所述繼續安裝 MARS 代理程式,並設定備份。 然而,請務必確保所有進行備份的通訊只會透過對等互連網路執行。
但若是在註冊 MARS 代理程式之後移除保存庫的私人端點,將必須使用保存庫重新註冊容器。 您無須停止該端點的保護措施。
注意
- 只有 DPM 伺服器 2022 (10.22.123.0) 和更新版本才支援私人端點。
- 只有MABS V4(14.0.30.0)和更新版本才支援私人端點。
跨訂用帳戶還原至已啟用私人端點的保存庫
若要執行跨訂用帳戶還原至已啟用私人端點的保存庫:
- 在來源復原服務保存庫中,移至 [網络] 索引標籤。
- 移至 [私人存取] 區段,然後建立私人端點。
- 選取您要在其中還原的目標保存庫訂用帳戶。
- 在 [虛擬網络] 區段中,選取您想要跨訂用帳戶還原的目標 VM VNet。
- 建立私人端點並觸發還原流程。
跨訂用帳戶還原至已啟用私人端點的保存庫
您可以在保存庫中新增受保護的項目之前或之後,建立次要私人端點。
若要將跨區域的資料還原至已啟用私人端點的保存庫,請遵循下列步驟:
移至目標 [復原服務保存庫][設定]>>[網路功能],並確定私人端點是以目標 VM VNet 建立,再保護任何項目。
如果未啟用私人端點,請加以啟用。
在 [私人存取] 索引標籤上,在次要區域中建立私人端點。
在 [建立私人端點] 刀鋒視窗的 [基本] 索引標籤上,選取 [區域] 作為您要執行 [跨區域還原] 作業之目標 VM 的次要區域。
在 [資源] 索引標籤上,選取 [目標子資源] 作爲 AzureBackup_Secondary。
在 [虛擬網络] 刀鋒視窗中,選取您要執行 [跨區域還原] 作業的目標 VM 虛擬網络。
注意
您可以將最多 12 個 Azure 備份次要私人端點新增至保存庫。
刪除私人端點
若要使用 REST API 刪除私人端點,請參閱本節。
下一步
- 了解 Azure 備份的私人端點。