通过

在恢复服务保管库中配置专用端点,以便使用 MABS 服务器进行备份

本文介绍如何在使用 Microsoft Azure 备份服务器(MABS)安全地备份本地数据时为 Azure 备份配置专用终结点。

Azure 备份允许使用 专用终结点 从恢复服务保管库安全备份并还原数据。 专用终结点使用 Azure 虚拟网络中的一个或多个专用 IP 地址,从而有效地将服务引入虚拟网络。

此功能允许 Azure 备份的专用端点,以保持您资源的安全性。

经典体验 (v1)相比,Azure 备份现在提供了创建和使用专用终结点的增强体验。

详细了解专用终结点的增强功能 (v2 体验)。

注释

专用终结点仅适用于 MABS v4(14.0.30.0)或更高版本。

注意事项

在为 Azure 备份配置专用终结点之前,请确保查看以下注意事项:

  • 恢复服务保管库可以与 Azure 备份和 Azure 站点恢复配合使用。 本文重点介绍如何仅用于 Azure 备份的专用终结点。
  • 仅为没有已注册或受保护项的新恢复服务保管库创建专用终结点。
  • 您无法将包含经典体验中创建的专用终结点的保管库升级到新体验。 删除所有现有的专用终结点,然后使用 v2 体验创建新终结点。
  • 单个虚拟网络可以托管多个恢复服务保管库的专用终结点。 同样,一个恢复服务保管库可以在多个虚拟网络中具有专用终结点。
  • 保管库的专用终结点最多可以使用 10 个专用 IP,具体数量可能会因地理位置而有所不同。 对 Azure 备份使用专用终结点时,请确保具有 10 + n IP 可用(其中 n 等于 Azure 备份服务器上保护的数据源数)。
  • 配置有专用终结点的 MABS 可以在当前配置下的恢复服务保管库上保护多达 80 个数据源。
  • Azure 备份的专用终结点不包括对 Microsoft Entra ID 的访问权限。 在使用 MARS 代理进行备份时,启用对 Microsoft Entra ID 在安全网络中所需的 IP 地址和完全限定域名(FQDN)的出站访问权限。 还可以使用网络安全组 (NSG) 标记和 Azure 防火墙标记来允许访问 Microsoft Entra ID。
  • 如果恢复服务保管库使用专用终结点,则所有备份数据都会通过 Azure 虚拟网络中的专用 IP 传输。 在这种情况下,需使用 ExpressRoute 专用对等互连来传输本地与 Azure 之间的备份流量。
  • 可以跨订阅创建 DNS。

支持专用终结点的网络连接

使用 MARS 代理在 MABS 中备份工作负荷时,专用终结点至关重要。 无论专用终结点配置如何,MARS 代理都通过 Microsoft 365 Common and Office Online 第 56 节和第 59 节中列出的 FQDN 连接到 Microsoft Entra ID。

为具有专用终结点的恢复服务保管库安装 MARS 代理时,将传达以下终结点:

服务 域名 Ports
Azure 备份 *.privatelink.<geo>.backup.windowsazure.cn 443
Azure 存储 *.blob.core.chinacloudapi.cn

*.queue.core.chinacloudapi.cn

*.blob.storage.chinacloudapi.cn		 443
Microsoft Entra ID *.login.microsoft.com

根据本文第10节的规定,允许访问FQDN。		 443

如果适用

在域名中, \<geo\> 指区域代码(例如, bjb2 中国北部 2 和 sha2 表示中国东部 2)。 了解以下区域的受支持地理位置:

对于具有专用终结点设置的恢复服务保管库,FQDN 的名称解析(privatelink.<geo>.backup.windowsazure.cn、*.blob.core.chinacloudapi.cn、*.queue.core.chinacloudapi.cn、*.blob.storage.chinacloudapi.cn)应解析为专用 IP 地址。 可以使用以下参数提取 IP 地址:

  • Azure 专用 DNS 区域
  • 自定义 DNS
  • 主机文件中的 DNS 条目
  • 到 Azure DNS/Azure 专用 DNS 区域的条件转发器。

创建恢复服务保管库并禁用对保管库的公共访问

若要使用专用终结点创建恢复服务保管库并禁用公共访问,请执行以下步骤:

  1. 在资源组中创建与要备份的数据源相同的保管库

    屏幕截图显示了 Azure 门户中的恢复服务保管库创建界面。

  2. 保管库成功创建后,请转到 保管库>网络

  3. 若要防止从公用网络访问,请在“ 网络 ”窗格的“ 公共访问 ”选项卡上,选择“ 拒绝”。

    屏幕截图显示如何拒绝对保管库的公共访问。

创建 Azure 备份的专用终结点

要创建 Azure Backup 的专用端点,请执行以下步骤:

  1. 转到 恢复服务保管库 ,在其中禁用了公共访问 >网络>专用访问,然后选择“ + 专用终结点”。

  2. 在“ 创建专用终结点 ”窗格中,按照以下步骤指定创建专用终结点连接所需的详细信息。

    1. 在“ 基本信息 ”选项卡上,输入专用终结点的基本详细信息。 区域应与保管库和备份资源相同。

      屏幕截图显示了专用终结点基本信息配置页。

    2. 在“ 资源 ”选项卡上,选择要为其创建连接的 PaaS 资源,资源 类型Microsoft.RecoveryServices/vaults。 然后,选择恢复服务保管库的名称作为 资源 ,选择 AzureBackup 作为 目标子资源

      屏幕截图显示了专用终结点资源选择配置。

    3. 在“ 虚拟网络 ”选项卡上,指定要在其中创建专用终结点的虚拟网络和子网(虚拟机(VM)所在的虚拟网络。

      屏幕截图显示了虚拟网络和子网的专用终结点配置设置。

    4. “DNS ”选项卡上,配置 DNS 记录以通过专用终结点私下连接。 建议将专用终结点与专用 DNS 区域集成。 或者,可以使用自己的 DNS 服务器或在虚拟机上的主机文件中创建 DNS 记录。

      以下屏幕截图显示专用终结点与专用 DNS 区域集成。

      屏幕截图显示了专用终结点集成的 DNS 配置设置。

    5. (可选)在“ 标记 ”选项卡上,为专用终结点添加标记。

    6. 在“查看 + 创建”选项卡中,查看设置。 验证完成后,选择“ 创建 ”以创建专用终结点。

批准恢复服务保管库的专用终结点

当保管库所有者创建专用终结点时,这些终结点会自动获得批准。 如果你不是所有者,专用终结点需要在 Azure 门户中进行手动批准。

本部分介绍通过 Azure 门户手动审批专用终结点的过程。

以下屏幕截图显示了由所有者创建且已自动批准的专用终结点。

屏幕截图显示了 Azure 门户中的专用终结点审批状态。

要通过 Azure 门户手动批准专用终结点,请执行以下步骤:

  1. 在已创建专用终结点的恢复服务保管库中,转到设置>网络

  2. 在“网络”窗格中,从要批准的列表中选择专用访问>专用终结点连接

  3. 选择批准

管理专用终结点的 DNS 记录

专用连接需要专用 DNS 区域或服务器中的 DNS 记录。 可以根据网络设计将专用终结点集成到 Azure 专用 DNS 区域或配置自定义 DNS 服务器。 这三个服务都需要此配置 - Azure 备份、Azure Blob 和队列。

将私有终结点与 Azure 专用 DNS 区域集成

如果选择将专用终结点与专用 DNS 区域集成,Azure 备份会添加所需的 DNS 记录。 可以查看专用终结点的 DNS 配置 下使用的专用 DNS 区域。 如果这些 DNS 区域不存在,则会在创建专用终结点时自动创建它们。

但是,必须验证虚拟网络(其中包含要备份的资源)是否已与所有三个专用 DNS 区域正确链接。

屏幕截图显示了专用终结点区域的 DNS 配置详细信息。

如果使用代理服务器,则可以绕过代理服务器或通过代理服务器执行备份。 若要跳过代理服务器,请继续阅读以下各部分。 若要使用代理服务器执行备份,请参阅恢复服务保管库的代理服务器设置详细信息

若要验证并集成上述 专用 DNS 区域的虚拟网络链接(对于备份、Blob 和队列),请执行以下步骤:

  1. 在配置专用终结点的 恢复服务保管库 上,转到 “网络>专用访问”,然后从列表中选择专用终结点。

  2. 在所选 专用终结点 窗格中,选择 “设置>DNS 配置”。

  3. “DNS 配置 ”窗格中,选择 “专用 DNS 区域 ”链接。

  4. 在所选专用 DNS 区域窗格中,选择“虚拟网络链接

  5. 在所选 虚拟网络链接 窗格中,选择 “虚拟网络链接”

    您创建的专用终结点会显示一个虚拟网络链接条目。 以下屏幕截图显示了所有三个 DNS 区域的虚拟网络链接示例。

    屏幕截图显示了专用 DNS 区域中的虚拟网络链接配置。

  6. 如果未显示任何条目,请选择“ + 添加 ”并将虚拟网络链接到所需的 DNS 区域。

    以下屏幕截图显示了用于将虚拟网络链接到 DNS 区域的“ 添加虚拟网络”链接 窗格。

    屏幕截图显示如何将虚拟网络链接添加到 DNS 区域配置。

配置自定义 DNS 服务器或主机文件

  • 如果使用自定义 DNS 服务器,则可以使用备份服务、blob 和队列 FQDN 的条件转发器以将 DNS 请求重定向到 Azure DNS (168.63.129.16)。 Azure DNS 将其重定向到 Azure 专用 DNS 区域。 在此类设置中,请确保存在 Azure 专用 DNS 区域的虚拟网络链接,如 本文 所述。

下表列出了 Azure 备份所需的 Azure 专用 DNS 区域:

服务 区域名称
Azure 备份 privatelink.<geo>.backup.windowsazure.cn
Azure Blob privatelink.blob.core.chinacloudapi.cn
Azure 队列 privatelink.queue.core.chinacloudapi.cn

在区域名称中, \<geo\> 指区域代码(例如, bjb2 中国北部 2 和 sha2 中国东部 2)。 了解以下区域的受支持地理位置:

对于自定义 DNS 服务器,如果未配置 Azure 专用 DNS 区域, 请将专用终结点 DNS 记录添加到 DNS 服务器或主机文件 。 如果正在使用主机文件进行名称解析,请根据格式 - \<private ip\>\<space\>\<FQDN\> 在主机文件中为每个 IP 和 FQDN 创建相应条目。

Azure 备份为您使用专用终结点创建的保管库分配了一个新的存储帐户,以存储备份数据。 MARS 代理访问相应的终结点以执行备份和还原任务。 了解如何使用专用终结点进行备份,以便在注册和备份后添加更多 DNS 记录。

使用具有专用终结点的 MABS 备份本地资源

使用 MARS 代理进行备份时,请确保您的本地网络与托管保管库专用终结点的 Azure 虚拟网络已经配对。 然后,可以继续安装 MARS 代理并配置备份,该备份允许 MARS 代理通过专用终结点将备份数据存储在保管库中。 必须确保所有用于备份的通信仅通过对等网络进行。

  1. 将 MABS 服务器注册到保管库,该保管库是您使用专用终结点创建的。

  2. 在 MABS 服务器上为磁盘和联机启用备份

    屏幕截图显示了 MABS 服务器上用于磁盘和联机保护的备份配置。

    注册后,等待初始副本完成。 联机备份作按计划启动,也可以手动触发数据源的备份。

    屏幕截图显示了数据源的联机备份计划和手动备份选项。

    屏幕截图显示了联机备份完成状态和进度信息。

    存储帐户开始在 Azure 门户中为每个受保护的数据源创建 Blob 容器。 此容器允许 MABS 服务器通过专用终结点连接到保管库并执行备份。

    屏幕截图显示了在 Azure 门户中为受保护的数据源创建的存储帐户。

后续步骤

相关内容

  • Last updated on