Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
使用 Azure 备份,您可以使用专用终结点从恢复服务保管库备份和还原数据。 专用终结点使用Azure虚拟网络中的一个或多个专用 IP 地址来有效地将服务引入虚拟网络。
与 version 1 体验相比,Azure 备份现在提供了用于创建和使用专用终结点的版本 2 体验。
本文描述了 Azure 备份 专用终结点版本 2 功能的工作方式,并帮助您在保证资源安全的同时执行备份。
关键改进
- 创建不带托管标识的专用终结点。
- 不会为 blob 和队列服务创建任何专用终结点。
- 使用较少的专用 IP。
开始前的注意事项
尽管 Azure 备份 和 Azure Site Recovery 都使用恢复服务保管库,但本文仅讨论 Azure 备份 的专用终结点的使用。
启用了专用终结点的保管库不支持具有网络限制的密钥保管库的客户管理密钥(CMK)。
仅当未向恢复服务保管库注册任何项时,才能为新的恢复服务保管库创建专用终结点。 然而,备份保管库当前不支持专用终结点。
由于动态 IP 扩展,版本 2 体验不支持具有静态 IP 的专用终结点。 尽管创建过程成功,但对于已有受保护项的保管库,注册可能会失败。
不支持在恢复服务保管库下创建具有相同名称的多个专用终结点。
无法将通过版本 1 体验创建的保管库(其中包含专用终结点)升级到版本 2 体验。 可以删除所有现有的专用终结点,然后使用版本 2 体验创建新的专用终结点。
一个虚拟网络可以包含用于多个恢复服务保管库的专用终结点。 此外,一个恢复服务保险库可以在多个虚拟网络中拥有专用终端。 最多可以为保管库创建 12 个专用终结点。
保管库的私有端点使用 10 个私有 IP,数量可能会随时间增加。 如果尝试为 Azure 备份 创建专用终结点,建议确保你有足够的私有 IP(/25)。
Azure 备份的专用终结点不包括对Microsoft Entra ID的访问权限。 确保您启用访问权限,以便在执行以下操作时,Microsoft Entra ID 在某个区域需要的 IP 和完全限定域名 (FQDN) 在安全网络中处于允许的出站访问状态:
- Azure虚拟机(VM)中的数据库备份。
- 使用Microsoft Azure恢复服务(MARS)代理的备份。
还可以使用网络安全组(NSG)标记和Azure 防火墙标记来允许访问Microsoft Entra ID(如果适用)。
如果您是在 2020 年 5 月 1 日之前注册了恢复服务资源提供程序,则需要在订阅中重新注册该提供程序。 若要重新注册提供程序,请在Azure门户中转到订阅,转到左侧菜单上的 Resource provider,然后选择Microsoft。RecoveryServices>Re-register。
可以跨订阅创建 DNS。
可以在保管库中的受保护项之前或之后创建辅助专用终结点。 了解如何为启用了专用终结点的保管库执行跨区域还原。
推荐和支持的方案
为保管库启用专用终结点时,它们仅用于备份和还原Azure VM、MARS 代理备份和 System Center Data Protection Manager(DPM)中的SQL Server和SAP HANA工作负荷。 您可以使用保管库来备份其他工作负荷,不过这些工作负荷不需要专用终结点。 除了通过 MARS 代理进行的 SQL Server 和 SAP HANA 工作负载的备份之外,专用终结点还用于对 Azure VM 备份执行文件恢复。
下表列出了方案和建议:
| Scenario | 建议 |
|---|---|
| 备份Azure VM 中的工作负荷(SQL Server,SAP HANA),通过 MARS 代理、DPM 服务器进行备份 | 我们建议使用专用终结点以便进行备份和还原时,无需将来自您的虚拟网络的任何 Azure 备份 或 Azure 存储 的 IP 或 FQDN 添加到白名单。 在这种情况下,请确保托管 SQL 数据库的 VM 可以访问Microsoft Entra IP 或 FQDN。 |
| Azure VM 备份 | VM 备份不需要允许访问任何 IP 或 FQDN。 因此,它不需要专用终结点来备份和还原磁盘。 但是,从包含专用终结点的保管库中恢复文件仅限于包含保管库专用终结点的虚拟网络。 对于使用非托管磁盘的旧版 VM 的恢复点,请确保用于还原元数据和临时 VHD 文件的存储帐户(如果受访问控制列表(ACL)保护)允许受信任的 Microsoft 服务访问。 |
| Azure 文件存储备份 | Azure 文件存储备份存储在本地存储帐户中。 因此,它不需要专用终结点来进行备份和还原。 |
| 在保管库和虚拟机中更改了用于专用终结点的虚拟网络。 | 停止备份保护,并在一个已启用专用终结点的新保管库中配置备份保护。 |
注释
专用终结点仅支持 DPM 2022、Microsoft Azure 备份 Server (MABS) v4 及更高版本。
不支持的方案
对于备份和还原操作,启用了专用终结点的恢复服务保管库与启用了专用终结点的Azure密钥保管库不兼容,用于将 CMK 存储在恢复服务保管库中。
专用终结点的网络连接差异
如前所述,专用终结点对于Azure VM 和 MARS 代理备份中的工作负荷(SQL Server和SAP HANA)的备份特别有用。
在所有方案中(无论是否使用专用终结点),工作负载扩展和 MARS 代理都用于连接到 Microsoft Entra ID,以备份在 Azure VM 中运行的 SQL Server 和 SAP HANA 实例。 他们调用 Microsoft 365 Common and Office Online 中第 56 节和第 59 节所述的 FQDN。
除了这些连接之外,如果恢复服务保管库没有专用终结点,却安装了工作负荷扩展或 MARS 代理,则需要连接到以下域。
| 服务 | 域名 | 港口 |
|---|---|---|
| Azure 备份 | *.backup.windowsazure.cn |
443 |
| Azure 存储 | *.blob.core.chinacloudapi.cn *.queue.core.chinacloudapi.cn *.blob.storage.chinacloudapi.cn |
443 |
| Microsoft Entra ID | *.login.microsoft.com 根据本文,允许访问第 56 和 59 节下的 FQDN。 |
443 如果适用 |
为具有专用端点的恢复服务保管库安装工作负荷扩展或 MARS 代理时,涉及以下端点:
| 服务 | 域名 | 港口 |
|---|---|---|
| Azure 备份 | *.privatelink.<geo>.backup.windowsazure.cn |
443 |
| Azure 存储 | *.blob.core.chinacloudapi.cn *.queue.core.chinacloudapi.cn *.blob.storage.chinacloudapi.cn |
443 |
| Microsoft Entra ID | *.login.microsoft.com 根据本文,允许访问第 56 和 59 节下的 FQDN。 |
443 如果适用 |
若要自动更新 MARS 代理,请允许访问 download.microsoft.com/download/MARSagent/*。
对于具有专用终结点设置的恢复服务保管库,FQDN(privatelink.<geo>.backup.windowsazure.cn、*.blob.core.chinacloudapi.cn、*.queue.core.chinacloudapi.cn、*.blob.storage.chinacloudapi.cn)的名称解析应返回专用 IP 地址。 可以使用以下方法实现此目的:
- Azure 专用 DNS区域。
- 自定义 DNS。
- 主机文件中的 DNS 条目。
- 用于Azure DNS或Azure 专用 DNS区域的条件转发器。
存储帐户的专用 IP 映射在为恢复服务保管库创建的专用终结点中列出。 建议使用 Azure 专用 DNS 区域,因为随后 Azure 可以管理 Blob 和 Queue 的 DNS 记录。 为保管库分配新的存储帐户时,其专用 IP 的 DNS 记录会自动添加到用于 Blob 或 Queue 的 Azure 专用 DNS 区域中。
如果使用第三方代理服务器或防火墙配置了 DNS 代理服务器,则必须允许上述域名并重定向到以下选项之一:
- 自定义 DNS 包含上述 FQDN 的 DNS 记录
- Azure 虚拟网络上地址为 168.63.129.16 的设备,其对应的虚拟网络已链接了专用 DNS 区域
以下示例显示了 Azure 防火墙 作为 DNS 代理的用法,用于将恢复服务库、blob、队列和 Microsoft Entra ID 的域名查询重定向到 168.63.129.16。
有关详细信息,请参阅 创建和使用专用终结点。
具有私有终结点的保管库的网络连接配置
恢复服务的专用终结点与网络接口(NIC)相关联。 若要运行专用终结点连接,必须将Azure服务的所有流量重定向到网络接口。 可以通过针对服务、Blob 或队列 URL 添加与网络接口关联的专用 IP 的 DNS 映射来实现此重定向。
将工作负荷备份扩展安装在注册到具有专用终结点的恢复服务保管库的虚拟机上时,该扩展会尝试在Azure 备份服务的专用 URL 上建立连接:<vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.cn。
如果专用 URL 不起作用,扩展会尝试公共 URL: <azure_backup_svc>.<geo>.backup.windowsazure.cn。 如果恢复服务保管库的公共网络访问配置为 “允许从所有网络”,则恢复服务保管库允许通过公共 URL 接收从扩展发出的请求。 如果恢复服务保管库的公共网络访问配置为 “拒绝”,则恢复服务保管库会拒绝通过公共 URL 从扩展发出的请求。
这些专用 URL 特定于该保管库。 只有注册到保管库的扩展和代理才能通过这些终结点与Azure 备份通信。 如果将恢复服务保管库的公共网络访问配置为 “拒绝”,此设置将限制虚拟网络中未运行的客户端请求对保管库执行备份和还原作。
建议将公用网络访问以及专用终结点设置设置为“拒绝”。 当扩展和代理最初尝试使用专用 URL 时, *.privatelink.<geo>.backup.windowsazure.cn URL 的 DNS 解析应返回与专用终结点关联的相应专用 IP。
DNS 解析的解决方案包括:
- Azure 专用 DNS区域
- 自定义 DNS
- 主机文件中的 DNS 条目
- 用于Azure DNS或Azure 专用 DNS区域的条件转发器
使用 Integrate with private DNS zone 选项,通过 Azure 门户中为恢复服务创建专用终结点时,Azure 备份 服务(*.privatelink.<geo>backup.windowsazure.cn)所需的 DNS 条目会在分配资源时自动创建。 在其他解决方案中,需要在自定义 DNS 或主机文件中手动为这些 FQDN 创建 DNS 条目。
有关在 VM 发现通信通道后为 Blob 和队列手动管理 DNS 记录,请参阅 Blob 和队列的 DNS 记录(仅在首次注册后用于自定义 DNS 服务器/主机文件)。 有关备份存储帐户 blob 的第一次备份后 DNS 记录的手动管理,请参阅 第一次备份后 Blob 的 DNS 记录(仅适用于自定义 DNS 服务器/主机文件)。
FQDN 的专用 IP 地址可以在为恢复服务保管库创建的专用终结点的 DNS 配置 窗格中找到。
下图显示了使用专用 DNS 区域解析这些专用服务 FQDN 时解析的工作原理。
在 Azure VM 上运行的工作负荷扩展需要连接到至少两个存储帐户。 第一个通道通过队列消息传递用作通讯渠道。 第二个用于存储备份数据。 MARS 代理需要访问一个用于存储备份数据的存储帐户。
对于具有专用终结点的保管库,Azure 备份 服务会为这些存储帐户创建专用终结点。 此操作可防止任何与 Azure 备份 相关的网络流量(包括到服务的控制平面流量和到存储 Blob 服务的备份数据)离开虚拟网络。 除了Azure 备份云服务,工作负荷扩展和代理还需要连接到Azure 存储帐户和Microsoft Entra ID。
下图显示了名称解析如何适用于使用专用 DNS 区域的存储帐户。
下图显示了如何通过在次要区域复制专用终结点,进行跨区域恢复。 了解如何将数据恢复到已启用专用终结点的跨区域保管库。
相关内容
- 了解 如何为 Azure 备份 配置和管理专用终结点。