Создание и использование частных конечных точек (версия 1) для Azure Backup

В этой статье приводятся основные сведения о процессе создания частных конечных точек для Azure Backup и сценариях, в которых использование частных конечных точек помогает обеспечить безопасность ресурсов.

Перед началом работы

Убедитесь, что перед созданием частных конечных точек вы ознакомились с предварительными требованиями и поддерживаемыми сценариями.

Эти сведения помогут лучше понять ограничения и условия, которые необходимо выполнить перед созданием частных конечных точек для ваших хранилищ данных.

Создание частных конечных точек для резервного копирования

В следующих разделах описываются действия по созданию и использованию частных конечных точек для службы Azure Backup в виртуальных сетях.

Создать хранилище Служб восстановления

Частные конечные точки для резервного копирования могут быть созданы только для хранилищ служб восстановления, в которых нет защищаемых элементов и ранее не было попыток защиты или регистрации элементов. Поэтому мы рекомендуем создать новое хранилище для начала. Подробнее о создании нового хранилища см. в статье Создание и настройка хранилища Служб восстановления.

Сведения о создании хранилища с помощью клиента Azure Resource Manager см. в этом разделе. В нем даны инструкции по созданию хранилища с уже включенным управляемым удостоверением.

Запретить доступ к хранилищу из общедоступной сети

Хранилища можно настроить для запрета доступа из общедоступных сетей.

Выполните следующие действия:

1. Перейдите в хранилище>сеть.

2. На вкладке "Общедоступный доступ" выберите "Запретить доступ" для предотвращения доступа к общедоступным сетям.

   

   Примечание.

   • После того как вы откажете в доступе, вы всё равно сможете получить доступ к хранилищу, но не сможете перемещать данные в сети, не имеющие частных конечных точек. Дополнительные сведения см. в статье "Создание частных конечных точек для Azure Backup".
   • Если общедоступный доступ запрещен и частная конечная точка не включена, резервное копирование завершается успешно, но операции восстановления завершаются сбоем для всех рабочих нагрузок, кроме виртуальных машин. Однако восстановление на уровне элементов виртуальной машины также претерпевает ошибку. Убедитесь, что ограничения сети настроены тщательно.
   • Запрет публичного доступа в настоящее время не поддерживается для хранилищ с включенной функцией восстановления между регионами.

3. Выберите Применить, чтобы сохранить изменения.

Включите управляемое удостоверение для вашего хранилища

Управляемые удостоверения позволяют хранилищу создавать и использовать частные конечные точки. В этом разделе рассказывается об активации управляемой идентичности для вашего хранилища.

1. Перейдите в хранилище Служб восстановления ->Идентификация.

   

2. Измените Состояние на Вкл и нажмите кнопку Сохранить.

3. Будет создан идентификатор объекта, который является управляемой идентичностью хранилища.

   Примечание.

   После того как включено, управляемое удостоверение нельзя отключать (даже временно). Отключение управляемого удостоверения может привести к непредсказуемому поведению.

Предоставить разрешения хранилищу для создания обязательных частных конечных точек

Чтобы создавать обязательные частные конечные точки для Azure Backup, хранилище (управляемое удостоверение хранилища) должно иметь разрешения для следующих групп ресурсов:

• Группа ресурсов, в которой содержится целевая виртуальная сеть.
• Группа ресурсов, где будут создаваться частные конечные точки.
• группа ресурсов, в которой содержатся частные зоны DNS (подробное описание см. здесь).

Мы рекомендуем предоставить роль участника для этих трех групп ресурсов хранилищу (управляемое удостоверение). Ниже описано, как это сделать для определенной группы ресурсов (это необходимо сделать для каждой из трех групп ресурсов).

1. Перейдите к группе ресурсов и выберите Контроль доступа (IAM) на левой панели.

2. Перейдя в Контроль доступа (IAM), выберите Добавить назначение роли.

   

3. В области Добавить назначение роли выберите Участник в качестве роли и используйте имя хранилища в качестве главного объекта. Выберите своё хранилище и нажмите кнопку Сохранить.

   

Дополнительные сведения о более точном управлении разрешениями см. в статье Создание ролей и разрешений вручную.

Создание частных конечных точек для Azure Backup

В этом разделе объясняется, как создать приватную конечную точку для вашего хранилища.

1. Выберите созданное ранее хранилище и перейдите к разделу Подключения к частным конечным точкам на левой панели навигации. Выберите + Частная конечная точка подключения в верхней части экрана, чтобы начать создание новой частной конечной точки подключения для этого хранилища.

   

2. На странице Создание частной конечной точки необходимо ввести сведения для создания подключения к частной конечной точке.

   1. Основныесведения. Укажите основные данные для частных конечных точек. Регион должен совпадать с регионом хранилища и ресурса, который резервируется.

      

   2. Ресурс. На этой вкладке необходимо выбрать ресурс PaaS, для которого нужно создать подключение. Выберите Microsoft.RecoveryServices/vaults в списке "Тип ресурса" для выбранной подписки. После этого выберите имя хранилища служб восстановления в качестве ресурса и AzureBackup в качестве целевого подресурса.

      

   3. Конфигурация. В разделе конфигурации укажите виртуальную сеть и подсеть, в которых необходимо создать частную конечную точку. Это будет виртуальная сеть, в которой находится виртуальная машина.

      Для частного подключения необходимо указать записи DNS. В зависимости от конфигурации сети выберите один из следующих вариантов.

      • Интеграция частной конечной точки с частной зоной DNS: выберите Да, чтобы выполнить интеграцию.
      • Использование собственного DNS-сервера: выберите Нет, если хотите использовать собственный DNS-сервер.

      Управление записями DNS для обоих типов описано далее.

      

   4. При необходимости для частной конечной точки можно добавить теги.

   5. После ввода данных перейдите к пункту Просмотр и создание. По завершении проверки выберите Создать, чтобы создать частную конечную точку.

Утверждение частных конечных точек

Если пользователь, создающий частную конечную точку, также является владельцем хранилища Служб восстановления, созданная по описанной выше схеме частная конечная точка будет утверждена автоматически. В противном случае владелец хранилища должен утвердить частную конечную точку, прежде чем её можно будет использовать. В этом разделе описано утверждение частных конечных точек вручную с помощью портала Azure.

См. раздел Утверждение частных конечных точек вручную с помощью клиента Azure Resource Manager, чтобы использовать клиент Azure Resource Manager для утверждения частных конечных точек.

1. Перейдите к хранилищу служб восстановления и выберите раздел Подключение частных конечных точек на левой панели.

2. Выберите подключение частной конечной точки, которое требуется утвердить.

3. Нажмите кнопку Сохранить на верхней панели. Если требуется отклонить или удалить подключение конечной точки, выберите Отклонить или Удалить.

   

Управление записями DNS

Как упоминалось ранее, для частного подключения нужно добавить нужные DNS-записи в ваши частные зоны DNS или на сервера. В зависимости от настроек сети вы можете интегрировать частную конечную точку напрямую с частными DNS-зонами Azure или использовать для этого собственные DNS-серверы. Настройки необходимо выполнить для всех трех служб: резервного копирования, хранилища бинарных объектов и очередей.

Кроме того, если зона DNS или сервер находятся в подписке, отличной от той, которая содержит частную конечную точку, также см. раздел Создание записей DNS, когда DNS-сервер или зона DNS находится в другой подписке.

Интеграция частных конечных точек с частными зонами DNS в Azure

Если вы решили интегрировать частную конечную точку с частными зонами DNS, Azure Backup добавит необходимые записи DNS. Вы можете просмотреть частные зоны DNS, используемые в конфигурации DNS частной конечной точки. Если эти зоны DNS отсутствуют, они будут созданы автоматически при создании частной конечной точки.

Однако необходимо убедиться, что виртуальная сеть (которая содержит ресурсы для резервного копирования) правильно связана со всеми тремя частными зонами DNS, как описано ниже.

Проверка ссылок на виртуальные сети в частных зонах DNS

Для каждой частной зоны DNS, указанной выше (для резервных копий, объектов BLOB и очередей), выполните следующие действия.

1. Перейдите к соответствующему параметру ссылки на виртуальную сеть на панели навигации слева.

2. Вы должны увидеть запись для виртуальной сети, для которой вы создали частную конечную точку, подобную приведенной ниже:

   

3. Если вы не видите никакой записи, добавьте ссылку на виртуальную сеть для всех зон DNS, которые их не содержат.

   

При использовании собственного DNS-сервера или файлов узлов

• Если вы используете пользовательский DNS-сервер, можно использовать условную пересылку для адресов резервного копирования, BLOB и полного доменного имени очереди для перенаправления DNS-запросов в Azure DNS (168.63.129.16). Azure DNS перенаправляет его в зону Частная зона DNS Azure. В такой настройке убедитесь, что ссылка на виртуальную сеть для зоны Azure Частная зона DNS существует, как упоминалось в этом разделе.

  В следующей таблице перечислены необходимые для Azure Backup зоны Azure Private DNS.

  Зона	Сервис
  privatelink.<geo>.backup.windowsazure.com	Резервное копирование
  privatelink.blob.core.windows.net	BLOB-объект
  privatelink.queue.core.windows.net	Очередь

  Примечание.

  В приведенном выше тексте <geo> означает код региона (например, eus и ne для восточной части США и Северной Европы соответственно). Коды регионов см. в следующих списках:

  • Все общедоступные облака
  • Китай
  • Германия
  • US Gov
  • Список кодов географических расположений — пример в формате XML

• Если вы используете пользовательские DNS-серверы или файлы узлов и не настроена зона Azure Private DNS, необходимо добавить необходимые для частных конечных точек записи DNS на DNS-сервера или в файлы узлов.

  • Для службы резервного копирования перейдите к созданной частной конечной точке и перейдите к конфигурации DNS. Затем добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в вашей DNS-зоне, предназначенной для резервного копирования.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><backup service privatelink FQDN>.

  • Для BLOB и очереди: резервное копирование Azure создает частные конечные точки для BLOB и очередей, используя разрешения управляемого удостоверения. Частные конечные точки для больших двоичных объектов и очередей соответствуют стандартному шаблону именования: они начинаются с <the name of the private endpoint>_ecs или <the name of the private endpoint>_prot, и имеют соответственно суффиксы _blob и _queue.

    Перейдите к частной конечной точке, созданной Azure Backup, следуя приведенному выше шаблону, и перейдите к конфигурации DNS. Затем добавьте запись для каждого полного доменного имени и IP-адреса, отображаемого как записи типа A в вашей DNS-зоне, предназначенной для резервного копирования.

    Если вы используете файл узла для разрешения имен, сделайте соответствующие записи в файле узла для каждого IP-адреса и полного доменного имени в соответствии с форматом - <private ip><space><blob/queue FQDN>.

Использование частных конечных точек для резервного копирования

После утверждения частных конечных точек, созданных для хранилища в вашей виртуальной сети, вы можете начать их использовать для резервного копирования и восстановления данных.

Проверка возможности подключения виртуальной машины

Если виртуальная машина находится в заблокированной сети, необходимо обеспечить следующее.

1. Виртуальная машина должна иметь доступ к идентификатору Microsoft Entra.
2. Чтобы обеспечить подключение, выполните команду nslookup на URL-адресе резервного копирования (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) на виртуальной машине. Запрос должен вернуть частный IP-адрес, назначенный в виртуальной сети.

Настроить резервное копирование

После того как вы убедитесь, что все действия из приведенного выше контрольного списка выполнены и обеспечен доступ, можно продолжить настройку резервного копирования рабочих процессов в хранилище. Если вы используете собственный DNS-сервер, вам будет необходимо добавить записи DNS для BLOB-объектов и очередей, предоставленные после настройки первой резервной копии.

Записи DNS для блобов и очередей (только для пользовательских DNS-серверов и файлов hosts) после первой регистрации

После того как вы настроили резервное копирование по крайней мере для одного ресурса в хранилище, в котором включена частная конечная точка, добавьте необходимые записи DNS для блобов и очередей, как описано ниже.

1. Перейдите к группе ресурсов и найдите созданную вами частную конечную точку.

2. Помимо указанного вами названия приватной конечной точки, вы увидите, что создаются еще две приватные конечные точки. Они начинаются с <the name of the private endpoint>_ecs и имеют суффиксы _blob и _queue соответственно.

   

3. Перейдите к каждой из этих частных конечных точек. В параметрах конфигурации DNS для каждого из двух частных конечных точек вы увидите запись с полным доменным именем (FQDN) и IP-адресом. Добавьте оба этих параметра на собственный DNS-сервер в дополнение к параметрам, описанным выше. Если вы используете файл узла, сделайте в нем соответствующие записи для каждого IP-адреса и полного доменного имени в соответствии со следующим форматом:

   <private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>

   

В дополнение к указанной выше записи после создания первой резервной копии требуется добавить еще одну запись, инструкции см. далее.

Резервное копирование и восстановление рабочих нагрузок на виртуальной машине Azure (SQL и SAP HANA)

После создания и утверждения частной конечной точки для ее использования с клиентской стороны не требуется совершать никаких дополнительных действий (если вы не используете группы доступности SQL, которые обсуждаются далее в этом разделе). Все коммуникации и передача данных из защищенной сети в хранилище будут выполняться через приватную конечную точку. Если удалить частные конечные точки хранилища после того, как сервер (SQL или SAP HANA) был зарегистрирован в нём, необходимо будет повторно привязать контейнер к хранилищу. Вам не нужно прекращать их защиту.

Записи DNS для блобов (только для пользовательских DNS-серверов и файлов hosts) после первого резервного копирования

После выполнения первой операции резервного копирования с использованием собственного DNS-сервера (без условной пересылки), скорее всего, произойдет сбой резервного копирования. Если это произойдет, выполните следующие действия.

1. Перейдите к группе ресурсов и найдите созданную вами частную конечную точку.

2. Помимо трех частных конечных точек, перечисленных выше, теперь вы увидите четвертую точку с именем, начинающимся с <the name of the private endpoint>_prot, и с суффиксом _blob.

   

3. Перейдите к этой новой частной конечной точке. В параметрах конфигурации DNS вы увидите запись с полным доменным именем и IP-адресом. Добавьте оба этих параметра на собственный частный DNS-сервер в дополнение к параметрам, описанным выше.

   Если вы используете файл узла, сделайте в нем соответствующие записи для каждого IP-адреса и полного доменного имени в соответствии со следующим форматом:

   <private ip><space><blob service privatelink FQDN>

При использовании групп доступности SQL

При использовании групп доступности SQL (AG) необходимо настроить условное перенаправление в настраиваемой DNS конфигурации AG, как описано ниже.

1. Войдите на контроллер домена.

2. В приложении DNS добавьте условные перенаправители для всех трех зон DNS (Backup, Blobs и Queues) на IP-адрес узла 168.63.129.16 или при необходимости на IP-адрес пользовательского DNS-сервера. На следующих снимках экрана показано, как производится пересылка на IP-адрес узла Azure. Если вы используете собственный DNS-сервер, замените его IP-адрес на IP-адрес вашего DNS-сервера.

   

   

Резервное копирование и восстановление с помощью агента MARS и сервера DPM

При использовании агента MARS для резервного копирования локальных ресурсов убедитесь, что локальная вычислительная сеть (где размещены ресурсы для резервного копирования) подключена к виртуальной сети Azure, содержащей частную конечную точку для резервного хранилища, чтобы можно было использовать эти ресурсы. Затем можно продолжить установку агента MARS и настроить резервное копирование, как описано в этом разделе. Тем не менее необходимо убедиться, что все подключения для резервного копирования выполняются только через одноранговую сеть.

Если удалить частные конечные точки хранилища после регистрации в нём агента MARS, необходимо повторно зарегистрировать контейнер в этом хранилище. Вам не нужно прекращать их защиту.

Удаление частных конечных точек

Сведения об удалении частных конечных точек см. в этом разделе.

Дополнительные темы

Создание хранилища Служб восстановления с помощью клиента Azure Resource Manager

Вы можете создать Хранилище служб восстановления и включить для него управляемое удостоверение (что является обязательным, как мы увидим позже) с помощью клиента Azure Resource Manager. Ниже приведен пример выполнения этих действий:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Файл JSON, указанный выше, должен иметь следующее содержимое.

Запрос JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

JSON-ответ:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Управление разрешениями для групп ресурсов

Управляемая идентификация для хранилища должна иметь следующие разрешения в группе ресурсов и виртуальной сети, где будут созданы частные конечные точки.

• Microsoft.Network/privateEndpoints/* Это разрешение необходимо для выполнения операций CRUD на частных конечных точках в группе ресурсов. Его следует назначить группе ресурсов.
• Microsoft.Network/virtualNetworks/subnets/join/action Это разрешение необходимо для виртуальной сети, в которой выполняется подключение частного IP-адреса к частной конечной точке.
• Microsoft.Network/networkInterfaces/read Это требуется для группы ресурсов, чтобы создать сетевой интерфейс для частной конечной точки.
• Роль участника частной зоны DNS. Эта роль уже существует и может быть использована для предоставления разрешений Microsoft.Network/privateDnsZones/A/* и Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Для создания ролей с необходимыми разрешениями можно использовать один из следующих методов.

Создание ролей и разрешений вручную

Чтобы создать роли, создайте следующие файлы JSON и используйте команду PowerShell, приведенную в конце раздела:

//PrivateEndpointContributorRoleDef.json;

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json;

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json.

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Использование скрипта

1. Запустите Cloud Shell на портале Azure и выберите Отправить файл в окне PowerShell.

   

2. Отправьте следующий скрипт: VaultMsiPrereqScript

3. Перейдите в корневую папку (например, cd /home/user).

4. Запустите следующий сценарий:

   ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
   

   В сценарии используются следующие параметры:

   • subscription: **SubscriptionId, задействующий группу ресурсов, в которой будет создана частная конечная точка для хранилища, и подсеть, к которой будет присоединена частная конечная точка хранилища.

   • vaultPEResourceGroup: группа ресурсов, в которой будет создана частная конечная точка для хранилища.

   • vaultPESubnetResourceGroup: группа ресурсов подсети, к которой будет присоединена частная конечная точка;

   • vaultMsiName: имя MSI-файла хранилища, которое такое же, как VaultName.

5. Завершите проверку подлинности, и скрипт будет использовать контекст указанной выше подписки. Он создаст соответствующие роли, если они отсутствуют у арендатора, и назначит роли для MSI хранилища.

Создание частных конечных точек с помощью Azure PowerShell

Автоматически утвержденные частные конечные точки

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Утверждение частных конечных точек вручную с помощью клиента Azure Resource Manager

1. Чтобы получить идентификатор подключения для частной конечной точки, используйте параметр GetVault.

   armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
   

   Будет возвращен идентификатор подключения частной конечной точки. Чтобы получить имя подключения, используйте первую часть идентификатора подключения.

   privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

2. Возьмите идентификатор подключения частной конечной точки (и имя частной конечной точки, где необходимо) из ответа, вставьте его в следующий код JSON и в код ресурса Azure Resource Manager и попробуйте изменить состояние на "Утверждено/отклонено/отключено", как показано в примере ниже:

   armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
   

   JSON:

   {
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
   "properties": {
       "privateEndpoint": {
       "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
       },
       "privateLinkServiceConnectionState": {
       "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
       "description": "Disconnected by <userid>"
       }
   }
   }
   

Настройка прокси-сервера для хранилища служб восстановления с использованием частной конечной точки

Чтобы настроить прокси-сервер для виртуальной машины Azure или локального компьютера, выполните следующие действия.

1. Добавьте следующие домены, которые должны быть доступны с прокси-сервера.

   Сервис	Доменные имена	Порт
   Azure Backup	*.backup.windowsazure.com	443
   Хранилище Azure	*.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net	443
   Идентификатор Entra ID от Microsoft Обновленные URL-адреса доменов, упомянутые в строках 56 и 59 раздела Общие для Microsoft 365 и Office Online.	*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com 20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48 *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net	Если применимо.

2. Разрешите доступ к этим доменам на прокси-сервере и свяжите частную зону DNS (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) с виртуальной сетью, где прокси-сервер создан или использует пользовательский DNS-сервер с соответствующими записями DNS.
   
   Виртуальная сеть, в которой работает прокси-сервер, и виртуальная сеть, в которой создан сетевой адаптер частной конечной точки, должны быть связаны пирингом, что позволит прокси-серверу перенаправлять запросы на частный IP-адрес.

   Примечание.

   В приведенном выше тексте <geo> означает код региона (например, eus и ne для восточной части США и Северной Европы соответственно). Коды регионов см. в следующих списках:

   • Все общедоступные облака
   • Китай
   • Германия
   • US Gov
   • Список кодов географических расположений — пример в формате XML

На следующей схеме показана конфигурация (при использовании частных зон DNS Azure) с прокси-сервером, виртуальная сеть которого связана с частной зоной DNS с необходимыми записями DNS. Прокси-сервер также может иметь собственный пользовательский DNS-сервер, а указанные выше домены могут условно перенаправляться на IP-адрес 168.63.129.16. Если вы используете настраиваемый файл DNS-сервера или узла для разрешения DNS, см. разделы об управлении записями DNS и настройке защиты.

3. Чтобы агент MARS автоматически обновлялся, разрешите доступ к download.microsoft.com/download/MARSagent/*.

Создание записей DNS, когда DNS-сервер или зона DNS находится в другой подписке

В этом разделе мы обсудим случаи, когда вы используете зону DNS, присутствующую в подписке, или группу ресурсов, отличающуюся от той, которая содержит частную конечную точку для хранилища Служб восстановления, например топологию типа «звезда и спица». Поскольку управляемое удостоверение, используемое для создания частных конечных точек (и записей DNS), имеет разрешения только для группы ресурсов, в которой создаются частные конечные точки, необходимо добавить требуемые записи DNS. Для создания записей DNS используйте следующие сценарии PowerShell.

Шаг 1. Получение необходимых записей DNS

Используйте сценарий PrivateIP.ps1, чтобы получить список всех записей DNS, которые необходимо создать.

Синтаксис для использования сценария

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Пример выходных данных

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Шаг 2. Создание записей DNS

Создайте записи DNS, соответствующие тем, которые указаны выше. В зависимости от типа DNS-сервера, который вы используете, возможны два варианта создания записей DNS.

Вариант 1. Если вы используете пользовательский DNS-сервер, необходимо вручную создать записи для каждой записи из приведенного выше сценария и убедиться, что полное доменное имя (ResourceName.DNS) разрешается в частный IP-адрес внутри виртуальной сети.

Вариант 2. Если вы используете Частную зону DNS в Azure, с помощью сценария CreateDNSEntries.ps1 можно автоматически создать записи DNS в Частной зоне DNS. В следующем синтаксисе subscription — это место, где существует Частная зона DNS.

Синтаксис для использования сценария

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Сводка всего процесса

Чтобы правильно настроить частную конечную точку для хранилища служб восстановления с помощью этого обходного метода, необходимо:

1. Создайте частную конечную точку для хранилища данных (как описано ранее в этой статье).
2. Инициировать обнаружение. Обнаружение для SQL/HANA завершится сбоем UserErrorVMInternetConnectivityIssue, поскольку отсутствуют записи DNS для учетной записи хранилища для связи.
3. Выполните сценарии, чтобы получить записи DNS и создать соответствующие записи DNS для учетной записи хранения для обмена данными, упомянутой ранее в этом разделе.
4. Повторное обнаружение. На этот раз обнаружение должно выполниться успешно.
5. Запустите резервное копирование. Резервное копирование для SQL/HANA и MARS может завершиться ошибкой, так как отсутствуют DNS-записи для учетных записей задействованных хранилищ, как упоминалось ранее в этом разделе.
6. Запустите скрипты для создания записей DNS для аккаунта хранилища бэкенда.
7. Запустить резервное копирование заново. На этот раз резервное копирование должно выполниться успешно.

Часто задаваемые вопросы

Можно ли создать частную конечную точку для существующего хранилища служб восстановления?

Нет, частные конечные точки можно создавать только для новых хранилищ служб восстановления. Хранилище, похоже, никогда не содержало защищенных элементов. На самом деле, нельзя предпринимать попытки защитить какие-либо объекты в хранилище до создания частных конечных точек.

Я пытался защитить предмет в моем хранилище, но это не удалось, и хранилище по-прежнему не содержит защищенных предметов. Можно ли создать частные конечные точки для этого хранилища?

Нет, в хранилище в прошлом не должно было предприниматься попыток защитить какие-либо предметы.

У меня есть хранилище, которое использует частные конечные точки для резервного копирования и восстановления. Можно ли позже добавить или удалить частные конечные точки для этого хранилища, даже если у меня есть защищенные резервные копии?

Да. Если вы уже создали частные конечные точки для хранилища и добавили защищенные элементы резервного копирования, вы можете добавлять и удалять частные конечные точки в соответствии со своими потребностями.

Можно ли использовать частную конечную точку Azure Backup для Azure Site Recovery?

Нет, частные конечные точки для резервного копирования можно использовать только для Azure Backup. Необходимо создать новую частную конечную точку для Azure Site Recovery, если данная возможность поддерживается службой.

Мы пропустили один из шагов, описанных в этой статье, и перешли к защите источника данных. Можно ли использовать частные конечные точки?

Несоблюдение порядка действий, указанного в статье, и продолжение защиты элементов может привести к тому, что хранилище не сможет использовать частные конечные точки. Поэтому рекомендуется ознакомиться с контрольным списком перед тем, как перейти к защите элементов.

Можно ли использовать собственный DNS-сервер вместо частной зоны DNS Azure или интегрированной частной зоны DNS?

Да, можно использовать собственные DNS-серверы. Однако убедитесь, что все необходимые записи DNS были добавлены в соответствии с инструкциями в этом разделе.

Нужно ли выполнять дополнительные действия на сервере после выполнения процесса, описанного в этой статье?

После выполнения процесса, описанного в этой статье, вам не нужно выполнять дополнительные действия, чтобы использовать частные конечные точки для резервного копирования и восстановления.

Следующие шаги

• Ознакомьтесь со всеми функциями безопасности Azure Backup.