مشاركة عبر

نظرة عامة ومفاهيم نقاط النهاية الخاصة (تجربة v1) ل Azure Backup

  • مقالة

يسمح لك Azure Backup بنسخ بياناتك احتياطيا واستعادتها بأمان من خزائن خدمات الاسترداد باستخدام نقاط النهاية الخاصة. تستخدم نقاط النهاية الخاصة عنوان IP خاصاً واحداً أو أكثر من شبكة Azure الظاهرية (VNet)، ما يؤدي إلى جلب الخدمة بشكل فعال إلى VNet الخاص بك.

ستساعدك هذه المقالة في فهم كيفية عمل نقاط النهاية الخاصة لعمل Azure Backup والسيناريوهات التي يساعد فيها استخدام نقاط النهاية الخاصة في الحفاظ على أمان مواردك.

إشعار

يوفر Azure Backup الآن تجربة جديدة لإنشاء نقاط نهاية خاصة. اعرف المزيد.

قبل أن تبدأ

  • يمكن إنشاء نقاط النهاية الخاصة لمخازن خدمات الاسترداد الجديدة فقط (التي لا تحتوي على أي عناصر مسجلة في المخزن). لذلك يجب إنشاء نقاط النهاية الخاصة قبل محاولة حماية أي عناصر في المخزن. ومع ذلك، نقاط النهاية الخاصة غير مدعومة حاليا لخزائن النسخ الاحتياطي.
  • يمكن أن تحتوي شبكة افتراضية واحدة على نقاط نهاية خاصة لمخازن خدمات الاسترداد المتعددة. أيضاً، يمكن أن يحتوي مخزن واحد لخدمات الاسترداد على نقاط نهاية خاصة له في شبكات افتراضية متعددة. ومع ذلك، فإن الحد الأقصى لعدد نقاط النهاية الخاصة التي يمكن إنشاؤها لخزن هو 12.
  • إذا تم تعيين الوصول إلى الشبكة العامة للمخزن على السماح من جميع الشبكات، يسمح المخزن بالنسخ الاحتياطي والاستعادة من أي جهاز مسجل في المخزن. إذا تم تعيين الوصول إلى الشبكة العامة للمخزن إلى Deny، فإن المخزن يسمح فقط بالنسخ الاحتياطية والاستعادة من الأجهزة المسجلة في المخزن التي تطلب النسخ الاحتياطية / الاستعادة عبر عناوين IP الخاصة المخصصة للمخزن.
  • يستخدم اتصال نقطة النهاية الخاصة للنسخ الاحتياطي ما مجموعه 11 عنوان IP خاصاً في شبكتك الفرعية، بما في ذلك تلك المستخدمة بواسطة Azure Backup للتخزين. قد يكون هذا الرقم أعلى لمناطق Azure معينة. لذلك نقترح أن يكون لديك ما يكفي من عناوين IP الخاصة (/26) المتاحة عندما تحاول إنشاء نقاط نهاية خاصة للنسخ الاحتياطي.
  • بينما يتم استخدام مخزن خدمات الاسترداد بواسطة (كلاهما) Azure Backup وAzure Site Recovery، تناقش هذه المقالة استخدام نقاط النهاية الخاصة لـ Azure Backup فقط.
  • لا تتضمن نقاط النهاية الخاصة للنسخ الاحتياطي الوصول إلى معرف Microsoft Entra ويجب ضمان نفس الشيء بشكل منفصل. لذلك، سيحتاج IPs وFQDNs المطلوبة لمعرف Microsoft Entra للعمل في منطقة ما إلى الوصول الصادر ليتم السماح به من الشبكة الآمنة عند إجراء النسخ الاحتياطي لقواعد البيانات في أجهزة Azure الظاهرية والنسخ الاحتياطي باستخدام عامل MARS. يمكنك أيضا استخدام علامات NSG وعلامات جدار حماية Azure للسماح بالوصول إلى معرف Microsoft Entra، حسب الاقتضاء.
  • تحتاج إلى إعادة تسجيل مزود موارد خدمات الاسترداد مع الاشتراك إذا قمت بتسجيله قبل 1 مايو 2020. لإعادة تسجيل الموفر، انتقل إلى اشتراكك في مدخل Microsoft Azure وانتقل إلى "Resource provider" على شريط التنقل الأيسر، ثم حدد "Microsoft.RecoveryServices" وحدد "Re-register".
  • لا يتم دعم الاستعادة عبر المناطق للنسخ الاحتياطية لقاعدة بيانات SQL وSAP HANA إذا تم تمكين نقاط النهاية الخاصة في المخزن.
  • عند نقل مخزن خدمات الاسترداد باستخدام نقاط نهاية خاصة بالفعل إلى مستأجر جديد، ستحتاج إلى تحديث مخزن خدمات الاسترداد لإعادة إنشاء وإعادة تكوين الهوية المُدارة للمخزن وإنشاء نقاط نهاية خاصة جديدة حسب الحاجة (والتي يجب أن تكون في المستأجر الجديد) . إذا لم يتم ذلك، فستبدأ عمليات النسخ الاحتياطي والاستعادة بالفشل. أيضاً، ستحتاج إلى إعادة تكوين أي أذونات Azure للتحكم في الوصول المستند إلى الدور (Azure RBAC) التي تم إعدادها ضمن الاشتراك.

أثناء تمكين نقاط النهاية الخاصة للمخزن، يتم استخدامها للنسخ الاحتياطي واستعادة أحمال عمل SQL وSAP HANA في نسخة احتياطية من وكيل Azure VM وMARS فقط. يمكنك أيضاً استخدام الخزنة لإجراء نسخ احتياطي لأحمال العمل الأخرى (إلا إنها لن تتطلب نقاط نهاية خاصة). بالإضافة إلى النسخ الاحتياطي لأحمال عمل SQL وSAP HANA والنسخ الاحتياطي باستخدام وكيل MARS، تُستخدم نقاط النهاية الخاصة أيضاً لإجراء استرداد الملفات للنسخ الاحتياطي لـ Azure VM. لمزيد من المعلومات، راجع الجدول التالي:

السيناريوهات التوصيات
النسخ الاحتياطي لأحمال العمل في Azure VM (SQL، SAP HANA)، النسخ الاحتياطي باستخدام عامل MARS، خادم DPM. يوصى باستخدام نقاط النهاية الخاصة للسماح بالنسخ الاحتياطي والاستعادة دون الحاجة إلى إضافة أي عناوين IP / FQDNs إلى Azure Backup أو Azure Storage من شبكاتك الافتراضية إلى قائمة السماح. في هذا السيناريو، تأكد من أن الأجهزة الظاهرية التي تستضيف قواعد بيانات SQL يمكنها الوصول إلى عناوين IP ل Microsoft Entra أو FQDNs.
النسخ الاحتياطي لجهاز Azure الظاهري⁧⁩ لا يتطلب منك النسخ الاحتياطي لـ VM السماح بالوصول إلى أي IPs أو FQDNs. لذلك، لا يتطلب نقاط نهاية خاصة للنسخ الاحتياطي واستعادة الأقراص.

ومع ذلك، فإن استرداد الملفات من مخزن يحتوي على نقاط نهاية خاصة سيقتصر على الشبكات الافتراضية التي تحتوي على نقطة نهاية خاصة للمخزن.

عند استخدام الأقراص غير المُدارة بواسطة قائمة التحكم بالوصول (ACL)، تأكد من أن حساب التخزين الذي يحتوي على الأقراص يسمح بالوصول إلى خدمات Microsoft الموثوقة إذا كانت مدعومة من قائمة التحكم بالوصول (ACL).
النسخ الاحتياطي لملفات Azure يتم تخزين النسخ الاحتياطية لملفات Azure في حساب التخزين المحلي. لذلك لا يتطلب نقاط نهاية خاصة للنسخ الاحتياطي والاستعادة.
Vnet الذي تم تغييره لنقطة النهاية الخاصة في المخزن والجهاز الظاهري إيقاف حماية النسخ الاحتياطي وتكوين حماية النسخ الاحتياطي في مخزن جديد مع تمكين نقاط النهاية الخاصة.

إشعار

يتم دعم نقاط النهاية الخاصة مع خادم DPM 2022 وMABS v4 والإحدث فقط.

الاختلاف في اتصالات الشبكة بسبب نقاط النهاية الخاصة

كما هو مذكور أعلاه، تعد نقاط النهاية الخاصة مفيدة بشكل خاص للنسخ الاحتياطي لأحمال العمل (SQL, SAP HANA) في Azure VMs والنسخ الاحتياطية لوكيل MARS.

في جميع السيناريوهات (مع نقاط النهاية الخاصة أو بدونها)، يقوم كل من ملحقات حمل العمل (للنسخ الاحتياطي لمثيلات SQL وSAP HANA التي تعمل داخل أجهزة Azure الظاهرية) وعامل MARS بإجراء مكالمات اتصال بمعرف Microsoft Entra (إلى FQDNs المذكورة ضمن القسمين 56 و59 في Microsoft 365 Common وOffice Online).

بالإضافة إلى هذه الاتصالات عند تثبيت ملحق حمل العمل أو عامل MARS لمخزن خدمات الاسترداد دون نقاط نهاية خاصة، يلزم أيضا الاتصال بالمجالات التالية:

الخدمة أسماء المجال المنفذ
النسخ الاحتياطي في Azure *.backup.windowsazure.com 443
تخزين Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

السماح بالوصول إلى FQDNs ضمن القسمين 56 و59.		 443

حسب الاقتضاء

عند تثبيت ملحق حمل العمل أو وكيل MARS لمخزن خدمات الاسترداد بنقطة نهاية خاصة، يتم الوصول إلى نقاط النهاية التالية:

الخدمة اسم المجال المنفذ
النسخ الاحتياطي في Azure *.privatelink.<geo>.backup.windowsazure.com 443
تخزين Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net		 443
Microsoft Entra ID *.login.microsoft.com

السماح بالوصول إلى FQDNs ضمن القسمين 56 و59.		 443

حسب الاقتضاء

إشعار

في النص أعلاه، يشير <geo> إلى رمز المنطقة (على سبيل المثال، eus لشرق الولايات المتحدة الأمريكية و ne لشمال أوروبا). راجع القوائم التالية لمعرفة تعليمة برمجية المناطق:

بالنسبة إلى مخزن خدمات الاسترداد مع إعداد نقطة النهاية الخاصة، يجب أن يرجع تحليل الاسم ل FQDNs (privatelink.<geo>.backup.windowsazure.com، *.blob.core.windows.net، ، *.queue.core.windows.net، *.blob.storage.azure.net) عنوان IP خاص. يمكن تحقيق ذلك باستخدام:

  • مناطق Azure Private DNS
  • نظام أسماء مجالات مخصصة
  • إدخالات DNS في ملفات المضيف
  • معادو التوجيه الشرطي إلى مناطق Azure DNS أو Azure Private DNS.

تتبع نقاط النهاية الخاصة للكائنات الثنائية كبيرة الحجم ولقوائم الانتظار نمط تسمية قياسي، وتبدأ <باسم نقطة النهاية الخاصة>_ecs أو < اسم نقطة النهاية الخاصة>_prot، وتُلحق بـ _blob و_queue على التوالي.

إشعار

نوصي باستخدام مناطق Azure Private DNS، والتي تمكنك من إدارة سجلات DNS للكائنات الثنائية كبيرة الحجم وقوائم الانتظار باستخدام Azure Backup. يتم استخدام الهوية المدارة المعينة للمخزن لأتمتة إضافة سجل DNS كلما تم تخصيص حساب تخزين جديد لبيانات النسخ الاحتياطي.

إذا قمت بتكوين خادم وكيل DNS، باستخدام خوادم وكيل أو جدران حماية تابعة لجهة خارجية، فيجب السماح بأسماء المجالات أعلاه وإعادة توجيهها إلى DNS مخصص (يحتوي على سجلات DNS ل FQDNs أعلاه) أو إلى 168.63.129.16 على شبكة Azure الظاهرية التي تحتوي على مناطق DNS خاصة مرتبطة به.

يظهر المثال التالي جدار حماية Azure المستخدم كوكيل DNS لإعادة توجيه استعلامات اسم المجال لمخزن خدمات الاسترداد والكائن الثنائي كبير الحجم وقوائم الانتظار ومعرف Microsoft Entra إلى 168.63.129.16.

رسم تخطيطي يوضح استخدام جدار حماية Azure كوكيل DNS لإعادة توجيه استعلامات اسم المجال.

لمزيد من المعلومات، راجع إنشاء نقاط النهاية الخاصة واستخدامها.

إعداد اتصال الشبكة للمخزن بنقاط نهاية خاصة

ترتبط نقطة النهاية الخاصة لخدمات الاسترداد بواجهة شبكة (NIC). لكي تعمل اتصالات نقطة النهاية الخاصة، يلزم إعادة توجيه جميع نسبة استخدام الشبكة لخدمة Azure إلى واجهة الشبكة. يتم تحقيق ذلك عن طريق إضافة تعيين DNS ل IP الخاص المرتبط بواجهة الشبكة مقابل عنوان URL للخدمة /الكائن الثنائي كبير الحجم/قائمة الانتظار .

عند تثبيت ملحقات النسخ الاحتياطي لحمل العمل على الجهاز الظاهري المسجل في مخزن خدمات الاسترداد بنقطة نهاية خاصة، يحاول الملحق الاتصال على عنوان URL الخاص لخدمات <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.comAzure Backup . إذا لم يحل عنوان URL الخاص المشكلة، فإنه يحاول عنوان URL <azure_backup_svc>.<geo>.backup.windowsazure.comالعام .

إشعار

في النص أعلاه، يشير <geo> إلى رمز المنطقة (على سبيل المثال، eus لشرق الولايات المتحدة الأمريكية و ne لشمال أوروبا). راجع القوائم التالية لمعرفة تعليمة برمجية المناطق:

عناوين URL الخاصة هذه خاصة بالمخزن. يمكن فقط للملحقات والوكلاء المسجلين في المخزن الاتصال ب Azure Backup عبر نقاط النهاية هذه. إذا تم تكوين الوصول إلى الشبكة العامة لمخزن خدمات الاسترداد إلى Deny، فإن هذا يقيد العملاء الذين لا يعملون في VNet من طلب النسخ الاحتياطي والاستعادة على المخزن. نوصي بتعيين الوصول إلى الشبكة العامة إلى Deny، جنبا إلى جنب مع إعداد نقطة النهاية الخاصة. بينما يحاول الملحق والعامل عنوان URL الخاص في البداية، *.privatelink.<geo>.backup.windowsazure.com يجب أن يرجع تحليل DNS لعنوان URL عنوان IP الخاص المقابل المرتبط بنقطة النهاية الخاصة.

حلول دقة DNS هي:

  • مناطق Azure Private DNS
  • نظام أسماء مجالات مخصصة
  • إدخالات DNS في ملفات المضيف
  • معاد التوجيه الشرطي إلى مناطق Azure DNS / Azure Private DNS.

عندما تُنشأ نقطة النهاية الخاصة لمخازن خدمات الاسترداد عبر مدخل Microsoft Azure مع خيار التكامل مع منطقة DNS الخاصة، فإن إدخالات DNS المطلوبة لعناوين IP الخاصة لخدمات النسخ الاحتياطي من Azure (*.privatelink.<geo>backup.windowsazure.com) تُنشأ تلقائياً كلما خُصص المورد. في حلول أخرى، تحتاج إلى إنشاء إدخالات DNS يدويا ل FQDNs هذه في DNS المخصص أو في ملفات المضيف.

للإدارة اليدوية لسجلات DNS بعد اكتشاف الجهاز الظاهري لقناة الاتصال - blob/queue، راجع سجلات DNS للنقاط الكبيرة وقوائم الانتظار (فقط لخوادم DNS المخصصة/ملفات المضيف) بعد التسجيل الأول. للإدارة اليدوية لسجلات DNS بعد النسخ الاحتياطي الأول للكائن الثنائي كبير الحجم لحساب تخزين النسخ الاحتياطي، راجع سجلات DNS للكائنات الثنائية كبيرة الحجم (فقط لخوادم DNS المخصصة/ملفات المضيف) بعد النسخ الاحتياطي الأول.

يمكن العثور على عناوين IP الخاصة لـ FQDNs في شفرة نقطة النهاية الخاصة لنقطة النهاية الخاصة التي تم إنشاؤها لمخزن خدمات الاسترداد.

يوضح الرسم التخطيطي التالي كيفية عمل الدقة عند استخدام منطقة DNS خاصة لحل FQDNs للخدمة الخاصة هذه.

رسم تخطيطي يوضح كيفية عمل الدقة باستخدام منطقة DNS خاصة لحل FQDNs للخدمة المعدلة.

يتطلب ملحق حمل العمل الذي يعمل على Azure VM الاتصال بحسابي تخزين على الأقل - يتم استخدام الأول كقناة اتصال (عبر رسائل قائمة الانتظار) والثاني لتخزين بيانات النسخ الاحتياطي. يتطلب وكيل MARS الوصول إلى حساب تخزين واحد يستخدم لتخزين بيانات النسخ الاحتياطي.

بالنسبة إلى مخزن خاص ممكن لنقطة النهاية، تنشئ خدمة Azure Backup نقطة نهاية خاصة لحسابات التخزين هذه. يمنع هذا أي حركة مرور شبكة متعلقة ب Azure Backup (التحكم في نسبة استخدام الشبكة إلى الخدمة وبيانات النسخ الاحتياطي إلى كائن ثنائي كبير الحجم للتخزين) من مغادرة الشبكة الظاهرية. بالإضافة إلى خدمات سحابة Azure Backup، يتطلب ملحق حمل العمل والعامل الاتصال بحسابات Azure Storage ومعرف Microsoft Entra.

كشرط مسبق، يتطلب مخزن خدمات الاسترداد أذونات لإنشاء نقاط نهاية خاصة إضافية في نفس مجموعة الموارد. نوصي أيضا بتوفير خزنة خدمات الاسترداد الأذونات لإنشاء إدخالات DNS في مناطق DNS الخاصة (privatelink.blob.core.windows.net، privatelink.queue.core.windows.net). يبحث مخزن خدمات الاسترداد عن مناطق DNS الخاصة في مجموعات الموارد حيث يتم إنشاء VNet ونقطة النهاية الخاصة. إذا كان لديه أذونات لإضافة إدخالات DNS في هذه المناطق، إنشاؤها بواسطة المخزن؛ وإلا، يجب عليك إنشاؤها يدويا.

إشعار

التكامل مع منطقة DNS الخاصة الموجودة في اشتراكات مختلفة غير مدعوم في هذه التجربة.

يوضح الرسم التخطيطي التالي كيف يعمل تحليل الاسم لحسابات التخزين باستخدام منطقة DNS خاصة.

رسم تخطيطي يوضح كيفية عمل تحليل الاسم لحسابات التخزين باستخدام منطقة DNS خاصة.

الخطوات التالية