مشاركة عبر

نظرة عامة ومفاهيم نقاط النهاية الخاصة (تجربة الإصدار 2) ل Azure Backup

  • مقالة

يسمح لك Azure Backup بإجراء عمليات النسخ الاحتياطي والاستعادة لبياناتك بأمان من مخازن خدمات الاسترداد باستخدام نقاط النهاية الخاصة. تستخدم نقاط النهاية الخاصة عنوان IP خاصاً واحداً أو أكثر من شبكة Azure الظاهرية (VNet)، ما يؤدي إلى جلب الخدمة بشكل فعال إلى VNet الخاص بك.

يوفر Azure Backup الآن تجربة محسنة في إنشاء نقاط النهاية الخاصة واستخدامها مقارنة بالتجربة الكلاسيكية (v1).

توضح هذه المقالة كيفية تحسين قدرات نقاط النهاية الخاصة لوظيفة Azure Backup والمساعدة في إجراء النسخ الاحتياطي مع الحفاظ على أمان مواردك.

التحسينات الرئيسية

  • إنشاء نقاط نهاية خاصة بدون هويات مدارة.
  • لا يتم إنشاء نقاط نهاية خاصة لخدمات الكائنات الثنائية كبيرة الحجم وقائمة الانتظار.
  • استخدام عدد أقل من عناوين IP الخاصة.

قبل أن تبدأ

  • بينما يتم استخدام مخزن خدمات الاسترداد من قبل (كل من) Azure Backup وAzure Site Recovery، تناقش هذه المقالة استخدام نقاط النهاية الخاصة ل Azure Backup فقط.

  • يمكنك إنشاء نقاط نهاية خاصة لمخازن خدمات الاسترداد الجديدة التي لا تحتوي على أي عناصر مسجلة/محمية في المخزن، فقط. ومع ذلك، نقاط النهاية الخاصة غير مدعومة حاليا لخزائن النسخ الاحتياطي.

    إشعار

    لا يمكنك إنشاء نقاط نهاية خاصة باستخدام IP ثابت.

  • لا يمكنك ترقية الخزائن (التي تحتوي على نقاط نهاية خاصة) التي تم إنشاؤها باستخدام التجربة الكلاسيكية إلى التجربة الجديدة. يمكنك حذف جميع نقاط النهاية الخاصة الموجودة، ثم إنشاء نقاط نهاية خاصة جديدة باستخدام تجربة الإصدار 2.

  • يمكن أن تحتوي شبكة افتراضية واحدة على نقاط نهاية خاصة لمخازن خدمات الاسترداد المتعددة. أيضاً، يمكن أن يحتوي مخزن واحد لخدمات الاسترداد على نقاط نهاية خاصة له في شبكات افتراضية متعددة. ومع ذلك، يمكنك إنشاء 12 نقطة نهاية خاصة كحد أقصى للمخزن.

  • تستخدم نقطة النهاية الخاصة للمخزن 10 عناوين IP خاصة، وقد يزيد العدد بمرور الوقت. تأكد من توفر ما يكفي من عناوين IP أثناء إنشاء نقاط نهاية خاصة.

  • لا تتضمن نقاط النهاية الخاصة ل Azure Backup الوصول إلى معرف Microsoft Entra. تأكد من تمكين الوصول بحيث يكون ل IPs وFQDNs المطلوبة لمعرف Microsoft Entra للعمل في منطقة وصول صادر في حالة مسموح بها في الشبكة الآمنة عند إجراء نسخ احتياطي لقواعد البيانات في أجهزة Azure الظاهرية والنسخ الاحتياطي باستخدام عامل MARS. يمكنك أيضا استخدام علامات NSG وعلامات جدار حماية Azure للسماح بالوصول إلى معرف Microsoft Entra، حسب الاقتضاء.

  • تحتاج إلى إعادة تسجيل موفر موارد خدمات الاسترداد مع الاشتراك، إذا قمت بتسجيله قبل 1 مايو 2020. لإعادة تسجيل الموفر، انتقل إلى اشتراكك في موفر موارد مدخل >Microsoft Azure، ثم حدد Microsoft.RecoveryServices>Re-register.

  • يمكنك إنشاء DNS عبر الاشتراكات.

  • يمكنك إنشاء نقطة نهاية خاصة ثانوية قبل أو بعد وجود عناصر محمية في المخزن. تعرف على كيفية إجراء الاستعادة عبر المناطق إلى مخزن خاص ممكن لنقطة النهاية.

أثناء تمكين نقاط النهاية الخاصة للمخزن، يتم استخدامها للنسخ الاحتياطي واستعادة أحمال عمل SQL وSAP HANA في نسخة احتياطية من وكيل Azure VM وMARS فقط. يمكنك أيضاً استخدام الخزنة لإجراء نسخ احتياطي لأحمال العمل الأخرى (إلا إنها لن تتطلب نقاط نهاية خاصة). بالإضافة إلى النسخ الاحتياطي لأحمال عمل SQL وSAP HANA والنسخ الاحتياطي باستخدام وكيل MARS، تُستخدم نقاط النهاية الخاصة أيضاً لإجراء استرداد الملفات للنسخ الاحتياطي لـ Azure VM.

يسرد الجدول التالي السيناريوهات والتوصيات:

السيناريو التوصية
النسخ الاحتياطي لأحمال العمل في Azure VM (SQL، SAP HANA)، النسخ الاحتياطي باستخدام عامل MARS، خادم DPM. يوصى باستخدام نقاط النهاية الخاصة للسماح بالنسخ الاحتياطي والاستعادة دون الحاجة إلى إضافة أي عناوين IP / FQDNs إلى Azure Backup أو Azure Storage من شبكاتك الافتراضية إلى قائمة السماح. في هذا السيناريو، تأكد من أن الأجهزة الظاهرية التي تستضيف قواعد بيانات SQL يمكنها الوصول إلى عناوين IP ل Microsoft Entra أو FQDNs.
النسخ الاحتياطي لجهاز Azure الظاهري⁧⁩ لا يتطلب منك النسخ الاحتياطي لـ VM السماح بالوصول إلى أي IPs أو FQDNs. لذلك، لا يتطلب نقاط نهاية خاصة للنسخ الاحتياطي واستعادة الأقراص.

ومع ذلك، فإن استرداد الملفات من مخزن يحتوي على نقاط نهاية خاصة سيقتصر على الشبكات الافتراضية التي تحتوي على نقطة نهاية خاصة للمخزن.

عند استخدام الأقراص غير المدارة بواسطة ACL، تأكد من أن حساب التخزين الذي يحتوي على الأقراص يسمح بالوصول إلى خدمات Microsoft الموثوق بها إذا كان ACL'ed.
النسخ الاحتياطي لملفات Azure يتم تخزين النسخ الاحتياطية لملفات Azure في حساب التخزين المحلي. لذلك لا يتطلب نقاط نهاية خاصة للنسخ الاحتياطي والاستعادة.
Vnet الذي تم تغييره لنقطة النهاية الخاصة في المخزن والجهاز الظاهري إيقاف حماية النسخ الاحتياطي وتكوين حماية النسخ الاحتياطي في مخزن جديد مع تمكين نقاط النهاية الخاصة.

إشعار

يتم دعم نقاط النهاية الخاصة مع خادم DPM 2022 وMABS v4 والإحدث فقط.

الفرق في اتصالات الشبكة لنقاط النهاية الخاصة

كما هو مذكور أعلاه، تعد نقاط النهاية الخاصة مفيدة بشكل خاص للنسخ الاحتياطي لأحمال العمل (SQL, SAP HANA) في Azure VMs والنسخ الاحتياطية لوكيل MARS.

في جميع السيناريوهات (مع نقاط النهاية الخاصة أو بدونها)، يقوم كل من ملحقات حمل العمل (للنسخ الاحتياطي لمثيلات SQL وSAP HANA التي تعمل داخل أجهزة Azure الظاهرية) وعامل MARS بإجراء مكالمات اتصال بمعرف Microsoft Entra (إلى FQDNs المذكورة ضمن القسمين 56 و59 في Microsoft 365 Common وOffice Online).

بالإضافة إلى هذه الاتصالات، عند تثبيت ملحق حمل العمل أو عامل MARS لمخزن خدمات الاسترداد دون نقاط نهاية خاصة، يلزم أيضا الاتصال بالمجالات التالية:

الخدمة اسم المجال المنفذ
النسخ الاحتياطي في Azure *.backup.windowsazure.com 443
تخزين Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

السماح بالوصول إلى FQDNs ضمن القسمين 56 و59 وفقا لهذه المقالة.		 443

حسب الاقتضاء

عند تثبيت ملحق حمل العمل أو عامل MARS لمخزن خدمات الاسترداد مع نقطة نهاية خاصة، يتم توصيل نقاط النهاية التالية:

الخدمة اسم المجال المنفذ
النسخ الاحتياطي في Azure *.privatelink.<geo>.backup.windowsazure.com 443
تخزين Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

السماح بالوصول إلى FQDNs ضمن القسمين 56 و59 وفقا لهذه المقالة.		 443

حسب الاقتضاء

إشعار

في النص أعلاه، يشير <geo> إلى رمز المنطقة (على سبيل المثال، eus لشرق الولايات المتحدة الأمريكية و ne لشمال أوروبا). راجع القوائم التالية لمعرفة تعليمة برمجية المناطق:

بالنسبة إلى مخزن خدمات الاسترداد مع إعداد نقطة النهاية الخاصة، يجب أن يرجع تحليل الاسم ل FQDNs (privatelink.<geo>.backup.windowsazure.com، *.blob.core.windows.net، ، *.queue.core.windows.net، *.blob.storage.azure.net) عنوان IP خاص. يمكن تحقيق ذلك باستخدام:

  • مناطق Azure Private DNS
  • نظام أسماء مجالات مخصصة
  • إدخالات DNS في ملفات المضيف
  • معاد التوجيه الشرطي إلى مناطق Azure DNS / Azure Private DNS.

يتم سرد تعيينات IP الخاصة لحساب التخزين في نقطة النهاية الخاصة التي تم إنشاؤها لمخزن خدمات الاسترداد. نوصي باستخدام مناطق Azure Private DNS، حيث يمكن بعد ذلك إدارة سجلات DNS للكائنات الثنائية كبيرة الحجم وقوائم الانتظار بواسطة Azure. عند تخصيص حسابات تخزين جديدة للمخزن، تتم إضافة سجل DNS ل IP الخاص بها تلقائيا في مناطق Blob أو قائمة انتظار Azure Private DNS.

إذا قمت بتكوين خادم وكيل DNS، باستخدام خوادم وكيل أو جدران حماية تابعة لجهة خارجية، يجب السماح بأسماء المجالات أعلاه وإعادة توجيهها إلى DNS مخصص (يحتوي على سجلات DNS ل FQDNs أعلاه) أو إلى 168.63.129.16 على شبكة Azure الظاهرية التي تحتوي على مناطق DNS خاصة مرتبطة به.

يظهر المثال التالي جدار حماية Azure المستخدم كوكيل DNS لإعادة توجيه استعلامات اسم المجال لمخزن خدمات الاسترداد والكائن الثنائي كبير الحجم وقوائم الانتظار ومعرف Microsoft Entra إلى 168.63.129.16.

يوضح الرسم التخطيطي إعداد نقطة النهاية الخاصة باستخدام MARS.

لمزيد من المعلومات، راجع إنشاء نقاط النهاية الخاصة واستخدامها.

اتصال الشبكة للمخزن بنقاط نهاية خاصة

ترتبط نقطة النهاية الخاصة لخدمات الاسترداد بواجهة شبكة (NIC). لكي تعمل اتصالات نقطة النهاية الخاصة، يجب إعادة توجيه جميع نسبة استخدام الشبكة لخدمة Azure إلى واجهة الشبكة. يمكنك تحقيق ذلك عن طريق إضافة تعيين DNS ل IP الخاص المرتبط بواجهة الشبكة مقابل عنوان URL للخدمة/الكائن الثنائي كبير الحجم/قائمة الانتظار.

عند تثبيت ملحقات النسخ الاحتياطي لحمل العمل على الجهاز الظاهري المسجل في مخزن خدمات الاسترداد بنقطة نهاية خاصة، يحاول الملحق الاتصال على عنوان URL الخاص لخدمات <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup .

إذا لم يتم حل عنوان URL الخاص، فإنه يحاول عنوان URL <azure_backup_svc>.<geo>.backup.windowsazure.comالعام . إذا تم تكوين الوصول إلى الشبكة العامة لمخزن خدمات الاسترداد إلى السماح من جميع الشبكات، يسمح مخزن خدمات الاسترداد بالطلبات الواردة من الملحق عبر عناوين URL العامة. إذا تم تكوين الوصول إلى الشبكة العامة لمخزن خدمات الاسترداد إلى Deny، يرفض مخزن خدمات الاسترداد الطلبات الواردة من الملحق عبر عناوين URL العامة.

إشعار

في أسماء المجالات أعلاه، <geo> يحدد رمز المنطقة (على سبيل المثال، eus لشرق الولايات المتحدة وne لشمال أوروبا). لمزيد من المعلومات حول رموز المنطقة، راجع القائمة التالية:

عناوين URL الخاصة هذه خاصة بالمخزن. يمكن فقط للملحقات والوكلاء المسجلين في المخزن الاتصال بخدمة Azure Backup عبر نقاط النهاية هذه. إذا تم تكوين الوصول إلى الشبكة العامة لمخزن خدمات الاسترداد إلى Deny، فإن هذا يقيد العملاء الذين لا يعملون في VNet من طلب عمليات النسخ الاحتياطي والاستعادة على المخزن. نوصي بتعيين الوصول إلى الشبكة العامة إلى رفض مع إعداد نقطة النهاية الخاصة. نظرا لأن الملحق والعامل يحاولان عنوان URL الخاص أولا، *.privatelink.<geo>.backup.windowsazure.com يجب أن ترجع دقة DNS لعنوان URL عنوان IP الخاص المقابل المقترن بنقطة النهاية الخاصة.

هناك حلول متعددة لحل DNS:

  • مناطق Azure Private DNS
  • نظام أسماء مجالات مخصصة
  • إدخالات DNS في ملفات المضيف
  • معاد التوجيه الشرطي إلى مناطق Azure DNS / Azure Private DNS.

عند إنشاء نقطة النهاية الخاصة لمخازن خدمات الاسترداد عبر مدخل Microsoft Azure مع خيار التكامل مع منطقة DNS الخاصة، يتم إنشاء إدخالات DNS المطلوبة لعناوين IP الخاصة لخدمات Azure Backup (*.privatelink.<geo>backup.windowsazure.com) تلقائيا عند تخصيص المورد. في حلول أخرى، تحتاج إلى إنشاء إدخالات DNS يدويا ل FQDNs هذه في DNS المخصص أو في ملفات المضيف.

للإدارة اليدوية لسجلات DNS بعد اكتشاف الجهاز الظاهري لقناة الاتصال - كائن ثنائي كبير الحجم أو قائمة انتظار، راجع سجلات DNS للكائنات الثنائية كبيرة الحجم وقوائم الانتظار (فقط لخوادم DNS المخصصة/ملفات المضيف) بعد التسجيل الأول. للإدارة اليدوية لسجلات DNS بعد النسخ الاحتياطي الأول للكائن الثنائي كبير الحجم لحساب تخزين النسخ الاحتياطي، راجع سجلات DNS للكائنات الثنائية كبيرة الحجم (فقط لخوادم DNS المخصصة/ملفات المضيف) بعد النسخ الاحتياطي الأول.

يمكن العثور على عناوين IP الخاصة ل FQDNs في جزء تكوين DNS لنقطة النهاية الخاصة التي تم إنشاؤها لمخزن خدمات الاسترداد.

يوضح الرسم التخطيطي التالي كيفية عمل الدقة عند استخدام منطقة DNS خاصة لحل FQDNs للخدمة الخاصة هذه.

رسم تخطيطي يوضح كيفية عمل الدقة باستخدام منطقة DNS خاصة لحل FQDNs للخدمة المعدلة.

يتطلب ملحق حمل العمل الذي يعمل على Azure VM الاتصال بنقاط نهاية حسابي تخزين على الأقل - يتم استخدام الأولى كقناة اتصال (عبر رسائل قائمة الانتظار) والثانية لتخزين بيانات النسخ الاحتياطي. يتطلب عامل MARS الوصول إلى نقطة نهاية حساب تخزين واحدة على الأقل تستخدم لتخزين بيانات النسخ الاحتياطي.

بالنسبة إلى مخزن خاص ممكن لنقطة النهاية، تنشئ خدمة Azure Backup نقطة نهاية خاصة لحسابات التخزين هذه. يمنع هذا أي حركة مرور شبكة متعلقة ب Azure Backup (التحكم في نسبة استخدام الشبكة إلى الخدمة وبيانات النسخ الاحتياطي إلى كائن ثنائي كبير الحجم للتخزين) من مغادرة الشبكة الظاهرية. بالإضافة إلى خدمات سحابة Azure Backup، يتطلب ملحق حمل العمل والعامل الاتصال بحسابات Azure Storage ومعرف Microsoft Entra.

يوضح الرسم التخطيطي التالي كيف يعمل تحليل الاسم لحسابات التخزين باستخدام منطقة DNS خاصة.

رسم تخطيطي يوضح كيفية عمل تحليل الاسم لحسابات التخزين باستخدام منطقة DNS خاصة.

يوضح الرسم التخطيطي التالي كيف يمكنك إجراء استعادة عبر المناطق عبر نقطة النهاية الخاصة عن طريق نسخ نقطة النهاية الخاصة نسخا متماثلا في منطقة ثانوية. تعرف على كيفية إجراء الاستعادة عبر المناطق إلى مخزن خاص ممكن لنقطة النهاية.

يوضح الرسم التخطيطي كيفية إجراء استعادة عبر المنطقة عبر نقطة النهاية الخاصة.

الخطوات التالية