Membuat dan menggunakan titik akhir privat (pengalaman v1) untuk Azure Backup
Artikel ini memberikan informasi tentang proses pembuatan titik akhir privat untuk Azure Backup dan skenario saat titik akhir privat membantu menjaga keamanan sumber daya Anda.
Catatan
Azure Backup sekarang memberikan pengalaman baru untuk membuat titik akhir privat. Pelajari selengkapnya.
Sebelum memulai
Pastikan Anda telah membaca prasyarat dan skenario yang didukung sebelum melanjutkan untuk membuat titik akhir privat.
Detail ini membantu Anda memahami keterbatasan dan kondisi yang perlu dipenuhi sebelum membuat titik akhir privat untuk vault Anda.
Mulailah dengan membuat titik akhir privat untuk Cadangan
Bagian berikut membahas langkah-langkah yang terlibat dalam pembuatan dan penggunaan titik akhir privat untuk Azure Backup di dalam jaringan virtual Anda.
Penting
Sangat disarankan agar Anda mengikuti langkah-langkah dalam urutan yang sama seperti yang disebutkan dalam dokumen ini. Kegagalan untuk melakukannya dapat menyebabkan vault yang dirender tidak kompatibel untuk menggunakan titik akhir privat dan mengharuskan Anda untuk memulai ulang proses dengan vault baru.
Buat brankas Recovery Services
Titik akhir privat untuk Cadangan hanya dapat dibuat untuk vault Layanan Pemulihan yang tidak memiliki item apa pun yang dilindungi padanya (atau belum memiliki item yang dicoba untuk dilindungi atau didaftarkan sebelumnya). Jadi, kami sarankan Anda membuat vault baru sebagai permulaan. Untuk informasi lebih lanjut tentang membuat vault baru, lihat Membuat dan mengonfigurasikan vault Layanan Pemulihan.
Lihat bagian ini untuk mempelajari cara membuat vault menggunakan klien Azure Resource Manager. Ini membuat vault dengan identitas terkelola sudah diaktifkan.
Menolak akses jaringan publik ke vault
Anda dapat mengonfigurasi vault untuk menolak akses dari jaringan publik.
Ikuti langkah-langkah ini:
Buka Jaringan vault>.
Pada tab Akses publik, pilih Tolak untuk mencegah akses dari jaringan publik.
Catatan
- Setelah menolak akses, Anda masih dapat mengakses vault, tetapi Anda tidak dapat memindahkan data ke/dari jaringan yang tidak berisi titik akhir privat. Untuk informasi selengkapnya, lihat Membuat titik akhir privat untuk Azure Backup.
- Menolak akses publik saat ini tidak didukung untuk vault yang mengaktifkan pemulihan lintas wilayah.
Lalu, pilih Terapkan untuk menyimpan perubahan.
Aktifkan Identitas Terkelola untuk vault Anda
Identitas terkelola memungkinkan vault untuk membuat dan menggunakan titik akhir privat. Bagian ini membahas tentang mengaktifkan identitas terkelola untuk vault Anda.
Buka vault di Layanan Pemulihan Anda ->Identitas.
Ubah Status menjadi Aktif dan pilih Simpan.
ID objek dihasilkan, yang merupakan identitas terkelola vault.
Catatan
Setelah diaktifkan, Identitas Terkelola tidak boleh dinonaktifkan (bahkan untuk sementara). Menonaktifkan identitas terkelola dapat menyebabkan perilaku yang tidak konsisten.
Memberikan izin ke vault untuk membuat titik akhir privat yang diperlukan
Untuk membuat titik akhir privat yang diperlukan untuk Azure Backup, vault (Identitas Terkelola dari vault ) harus memiliki izin ke grup sumber daya berikut:
- Grup Sumber Daya yang berisi target VNet
- Grup Sumber Daya tempat Titik Akhir Privat akan dibuat
- Grup Sumber Daya yang berisi zona DNS Privat, seperti yang dibahas secara mendetail di sini
Kami menyarankan agar Anda memberikan peran Kontributor untuk ketiga grup sumber daya tersebut ke vault (identitas terkelola). Langkah-langkah berikut menjelaskan cara melakukan ini untuk grup sumber daya tertentu (ini perlu dilakukan untuk masing-masing dari tiga grup sumber daya):
Buka Grup Sumber Daya dan navigasi ke Layanan Kontrol Akses (IAM) di bilah kiri.
Setelah berada di Layanan Kontrol Akses, buka Tambahkan penetapan peran.
Di panel Tambahkan penetapan peran, pilih Kontributor sebagai Peran, dan gunakan Nama vault sebagai Utama. Pilih vault Anda dan pilih Simpan setelah selesai.
Untuk mengelola izin pada tingkat yang lebih terperinci, lihat Buat peran dan izin secara manual.
Buat Titik Akhir Privat untuk Azure Backup
Bagian ini menjelaskan cara membuat titik akhir privat untuk vault Anda.
Navigasi ke vault Anda yang dibuat di atas dan buka Sambungan titik akhir privat di bilah navigasi kiri. Pilih +Titik akhir privat di bagian atas untuk mulai membuat titik akhir privat baru untuk vault ini.
Setelah berada dalam proses Buat Titik Akhir Privat, Anda akan diminta untuk menentukan detail untuk membuat sambungan titik akhir privat Anda.
Dasar: Isi detail dasar untuk titik akhir privat Anda. Wilayah harus sama dengan vault dan sumber daya yang dicadangkan.
Sumber Daya: Tab ini mengharuskan Anda untuk memilih sumber daya PaaS yang ingin Anda buat sambungannya. Pilih Microsoft.RecoveryServices/vault dari jenis sumber daya untuk langganan yang Anda inginkan. Setelah selesai, pilih nama vault Layanan Pemulihan Anda sebagai Sumber Daya dan AzureBackup sebagai sub-sumber daya Target.
Konfigurasi: Dalam konfigurasi, tentukan jaringan virtual dan subnet tempat Anda ingin membuat titik akhir privat. Ini akan menjadi Vnet di mana komputer virtual berada.
Untuk tersambung secara privat, Anda memerlukan rekaman DNS yang diperlukan. Berdasarkan penyiapan jaringan, Anda dapat memilih salah satu dari berikut ini:
- Integrasikan titik akhir privat Anda dengan zona DNS privat: Pilih Ya jika Anda ingin mengintegrasikan.
- Gunakan server DNS kustom Anda: PilihTidak jika Anda ingin menggunakan server DNS Anda sendiri.
Mengelola rekaman DNS untuk keduanya akan dijelaskan nanti.
Secara opsional, Anda dapat menambahkan Tag untuk titik akhir privat Anda.
Lanjutkan ke Ulasan + buat setelah selesai memasukkan detail. Saat validasi selesai, pilih Buat untuk membuat titik akhir privat.
Setujui Titik Akhir Privat
Jika pengguna yang membuat titik akhir privat juga merupakan pemilik vault Layanan Pemulihan, titik akhir privat yang dibuat di atas akan disetujui secara otomatis. Jika tidak, pemilik vault harus menyetujui titik akhir privat sebelum dapat menggunakannya. Bagian ini membahas persetujuan manual titik akhir privat melalui portal Microsoft Azure.
Lihat Persetujuan manual titik akhir privat menggunakan Klien Azure Resource Manager untuk menggunakan klien Azure Resource Manager untuk menyetujui titik akhir privat.
Di vault Layanan Pemulihan Anda, navigasikan ke Sambungan titik akhir privat di bilah kiri.
Pilih sambungan titik akhir privat yang ingin Anda setujui.
Pilih Setuju di bilah atas. Anda juga dapat memilihTolak atau Hapus jika Anda ingin menolak atau menghapus sambungan titik akhir.
Mengelola catatan DNS
Seperti yang dijelaskan sebelumnya, Anda memerlukan rekaman DNS yang diperlukan di zona atau server DNS privat Anda untuk tersambung secara privat. Anda dapat mengintegrasikan titik akhir privat Anda secara langsung dengan zona DNS privat Azure atau menggunakan server DNS kustom Anda untuk mencapainya, berdasarkan preferensi jaringan Anda. Ini perlu dilakukan untuk ketiga layanan: Cadangan, Blob, dan Antrean.
Selain itu, jika zona DNS atau server Anda ada dalam langganan yang berbeda dari yang berisi titik akhir privat, lihat juga Membuat entri DNS saat server DNS/zona DNS ada di langganan lain.
Saat mengintegrasikan titik akhir privat dengan zona DNS pribadi Azure
Jika Anda memilih untuk mengintegrasikan titik akhir privat Anda dengan zona DNS privat, Azure Backup akan menambahkan catatan DNS yang diperlukan. Anda dapat menampilkan zona DNS privat yang digunakan di bawah Konfigurasi DNS dari titik akhir privat. Jika zona DNS ini tidak ada, zona DNS tersebut akan dibuat secara otomatis saat membuat titik akhir privat.
Catatan
Identitas terkelola yang ditetapkan ke vault harus memiliki izin untuk menambahkan catatan DNS di zona DNS Privat Azure.
Namun, Anda harus memverifikasi bahwa jaringan virtual Anda (yang berisi sumber daya yang akan dicadangkan) ditautkan dengan benar dengan ketiga zona DNS privat, seperti yang dijelaskan di bawah ini.
Catatan
Jika Anda menggunakan server proksi, Anda dapat memilih untuk melewati server proksi atau melakukan cadangan Anda melalui server proksi. Untuk melewati server proksi, lanjutkan ke bagian berikut. Untuk menggunakan server proksi untuk melakukan pencadangan Anda, lihat detail penyiapan server proksi untuk vault Layanan Pemulihan.
Validasi tautan jaringan virtual di zona DNS privat
Untuk setiap zona DNS privat yang tercantum di atas (untuk Cadangan, Blob, dan Antrean), lakukan hal berikut:
Navigasi ke masing-masing opsi tautan jaringan Virtual di bilah navigasi kiri.
Anda seharusnya dapat melihat entri untuk jaringan virtual yang telah Anda buat titik akhir privatnya, seperti yang ditunjukkan di bawah ini:
Jika Anda tidak melihat entri, tambahkan tautan jaringan virtual ke semua zona DNS yang tidak memilikinya.
Saat menggunakan server DNS kustom atau file host
Jika Anda menggunakan server DNS kustom, Anda bisa menggunakan penerus bersyarat untuk layanan cadangan, blob, dan FQDN antrean untuk mengalihkan permintaan DNS ke Azure DNS (168.63.129.16). Azure DNS mengalihkannya ke zona DNS Privat Azure. Dalam penyiapan tersebut, pastikan bahwa tautan jaringan virtual untuk zona DNS Privat Azure ada seperti yang disebutkan di bagian ini.
Tabel berikut ini mencantumkan zona DNS Privat Azure yang diperlukan oleh Azure Backup:
Zone Layanan privatelink.<geo>.backup.windowsazure.com
Cadangan privatelink.blob.core.windows.net
Blob privatelink.queue.core.windows.net
Antrean Catatan
Dalam teks di atas,
<geo>
mengacu pada kode wilayah (misalnya eus dan ne untuk US Timur dan Eropa Utara). Lihat daftar berikut untuk kode wilayah:Jika Anda menggunakan server DNS kustom atau file host dan tidak memiliki penyiapan zona DNS Privat Azure, Anda perlu menambahkan catatan DNS yang diperlukan oleh titik akhir privat ke server DNS Anda atau di file host.
Untuk Layanan cadangan: Navigasikan ke titik akhir privat yang Anda buat, lalu buka konfigurasi DNS. Kemudian tambahkan entri untuk setiap FQDN dan IP yang ditampilkan sebagai catatan Tipe A di zona DNS Anda untuk Pencadangan.
Jika Anda menggunakan file host untuk resolusi nama, buat entri yang sesuai dalam file host untuk setiap IP dan FQDN sesuai dengan format -
<private ip><space><backup service privatelink FQDN>
.Untuk blob dan antrean: Pencadangan Azure membuat titik akhir privat untuk blob dan antrean menggunakan izin identitas terkelola. Titik akhir privat untuk blob dan antrean mengikuti pola penamaan standar, mereka mulai dengan
<the name of the private endpoint>_ecs
atau<the name of the private endpoint>_prot
, dan masing-masing diakhiri dengan_blob
dan_queue
masing-masing.Navigasi ke titik akhir privat yang dibuat oleh Azure Backup mengikuti pola di atas, lalu buka konfigurasi DNS. Kemudian tambahkan entri untuk setiap FQDN dan IP yang ditampilkan sebagai catatan Tipe A di zona DNS Anda untuk Pencadangan.
Jika Anda menggunakan file host untuk resolusi nama, buat entri yang sesuai dalam file host untuk setiap IP dan FQDN sesuai dengan format -
<private ip><space><blob/queue FQDN>
.
Catatan
Azure Backup dapat mengalokasikan akun penyimpanan baru untuk vault Anda untuk data cadangan, dan ekstensi atau agen perlu mengakses titik akhir masing-masing. Untuk informasi selengkapnya tentang cara menambahkan lebih banyak catatan DNS setelah pendaftaran dan pencadangan, lihat panduan di bagian Menggunakan Titik Akhir Privat untuk Cadangan .
Gunakan Titik Akhir Privat untuk Cadangan
Setelah titik akhir privat yang dibuat untuk vault di VNet Anda telah disetujui, Anda dapat mulai menggunakannya untuk melakukan pencadangan dan pemulihan.
Penting
Pastikan Anda telah menyelesaikan semua langkah yang disebutkan di atas dalam dokumen dengan sukses sebelum melanjutkan. Untuk rekap, Anda harus telah menyelesaikan langkah-langkah dalam daftar periksa berikut:
- Buat vault Layanan Pemulihan (baru)
- Aktifkan vault untuk menggunakan sistem yang ditetapkan Identitas Terkelola
- Tetapkan izin yang relevan ke Identitas Terkelola dari vault
- Buat Titik Akhir Privat untuk vault Anda
- Setujui Titik Akhir Privat (jika tidak disetujui secara otomatis)
- Pastikan semua rekaman DNS ditambahkan dengan tepat (kecuali catatan blob dan antrean untuk server kustom, yang akan dibahas di bagian berikut)
Periksa konektivitas komputer virtual
Di komputer virtual di jaringan yang terkunci, pastikan hal berikut:
- VM harus memiliki akses ke ID Microsoft Entra.
- Jalankan nslookup di URL cadangan (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
) dari komputer virtual Anda, untuk memastikan konektivitas. Ini harus mengembalikan IP privat yang ditetapkan di jaringan virtual Anda.
Konfigurasikan pencadangan
Setelah Anda memastikan daftar periksa di atas dan akses telah berhasil diselesaikan, Anda dapat terus mengonfigurasi cadangan beban kerja ke vault. Jika Anda menggunakan server DNS kustom, Anda perlu menambahkan entri DNS untuk blob dan antrean yang tersedia setelah mengonfigurasi cadangan pertama.
Rekaman DNS untuk blob dan antrean (hanya untuk server DNS kustom/file host) setelah pendaftaran pertama
Setelah Anda mengonfigurasi cadangan untuk setidaknya satu sumber daya di vault yang mengaktifkan titik akhir privat, tambahkan rekaman DNS yang diperlukan untuk blob dan antrean seperti yang dijelaskan di bawah ini.
Navigasi ke Grup Sumber Daya Anda, dan cari titik akhir privat yang Anda buat.
Selain nama titik akhir privat yang anda berikan, Anda akan melihat dua titik akhir privat lagi yang sedang dibuat. Ini berturutan dimulai dengan
<the name of the private endpoint>_ecs
dan diakhiri dengan_blob
dan_queue
.Navigasi ke masing-masing titik akhir privat ini. Dalam opsi konfigurasi DNS untuk masing-masing dari dua titik akhir privat, Anda akan melihat rekaman dengan dan FQDN dan alamat IP. Tambahkan kedua hal ini ke server DNS kustom Anda, selain yang dijelaskan sebelumnya. Jika Anda menggunakan file host, buat entri yang sesuai di file host untuk setiap IP/FQDN sesuai dengan format berikut:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
Selain hal di atas, ada entri lain yang diperlukan setelah cadangan pertama, yang akan dibahas nanti.
Pencadangan dan pemulihan beban kerja di komputer virtual Azure (SQL dan SAP Hana)
Setelah titik akhir privat dibuat dan disetujui, tidak ada perubahan lain yang diperlukan dari sisi klien untuk menggunakan titik akhir pribadi (kecuali Anda menggunakan Grup Ketersediaan SQL, yang akan kita bahas nanti di bagian ini). Semua komunikasi dan transfer data dari jaringan aman Anda ke vault akan dilakukan melalui titik akhir privat. Namun, jika Anda menghapus titik akhir privat untuk vault setelah server (SQL atau SAP Hana) telah didaftarkan, Anda harus mendaftarkan ulang kontainer dengan vault tersebut. Anda tidak perlu menghentikan perlindungan untuk mereka.
Rekaman DNS untuk blob (hanya untuk server DNS kustom/file host) setelah cadangan pertama
Setelah Anda menjalankan cadangan pertama dan Anda menggunakan server DNS kustom (tanpa penerus kondisional), kemungkinan cadangan Anda akan gagal. Jika itu terjadi:
Navigasi ke Grup Sumber Daya Anda, dan cari titik akhir privat yang Anda buat.
Selain dari tiga titik akhir privat yang dibahas sebelumnya, Anda sekarang akan melihat titik akhir privat keempat dengan namanya dimulai dengan
<the name of the private endpoint>_prot
dan diakhiri dengan_blob
.Navigasi ke titik akhir privat baru ini. Di opsi konfigurasi DNS, Anda akan melihat rekaman dengan FQDN dan alamat IP. Tambahkan ini ke server DNS privat Anda, selain yang dijelaskan sebelumnya.
Jika Anda menggunakan file host, buat entri yang sesuai di file host untuk setiap IP dan FQDN sesuai dengan format berikut:
<private ip><space><blob service privatelink FQDN>
Catatan
Pada titik ini, Anda harus dapat menjalankan nslookup dari komputer virtual dan menyelesaikan ke alamat IP privat saat dilakukan di URL Cadangan dan Penyimpanan vault.
Saat menggunakan Grup Ketersediaan SQL
Saat menggunakan Grup Ketersediaan SQL (AG), Anda harus menyediakan penerus kondisional di DNS AG kustom seperti yang dijelaskan di bawah ini:
Masuk ke pengendali domain Anda.
Di bawah aplikasi DNS, tambahkan penerus kondisional untuk ketiga zona DNS (Cadangan, Blob, dan Antrean) ke host IP 168.63.129.16 atau alamat IP server DNS kustom, jika perlu. Cuplikan layar berikut ini ditampilkan saat Anda meneruskan ke IP host Azure. Jika Anda menggunakan server DNS Anda sendiri, ganti dengan IP server DNS Anda.
Mencadangkan dan memulihkan melalui agen MARS dan server DPM
Saat menggunakan Agen MARS untuk mencadangkan sumber daya lokal Anda, pastikan jaringan lokal Anda (berisi sumber daya Anda untuk dicadangkan) di-peer dengan Azure VNet yang berisi titik akhir privat untuk vault, sehingga Anda dapat menggunakannya. Anda kemudian dapat melanjutkan menginstal agen MARS dan mengonfigurasi cadangan seperti yang dijelaskan di sini. Namun, Anda harus memastikan bahwa semua komunikasi untuk cadangan hanya terjadi melalui jaringan yang di-peer saja.
Tetapi jika Anda menghapus titik akhir privat untuk vault setelah agen MARS terdaftar, Anda harus mendaftarkan ulang kontainer dengan vault tersebut. Anda tidak perlu menghentikan perlindungan untuk mereka.
Catatan
- Titik akhir privat hanya didukung dengan server DPM 2022 (10.22.123.0) dan yang lebih baru.
- Titik akhir privat hanya didukung dengan MABS V4 (14.0.30.0) dan yang lebih baru.
Menghapus Titik Akhir Privat
Lihat bagian ini untuk mempelajari cara menghapus Titik Akhir Privat.
Topik tambahan
Buat vault Layanan Pemulihan menggunakan klien Azure Resource Manager
Anda dapat membuat vault Layanan Pemulihan dan mengaktifkan Identitas Terkelola (mengaktifkan Identitas Terkelola diperlukan, seperti yang akan kita lihat nanti) menggunakan klien Azure Resource Manager. Sampel untuk melakukan ini dibagikan di bawah ini:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
File JSON di atas harus memiliki konten berikut:
Permintaan JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
Tanggapan JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
Catatan
Vault yang dibuat dalam contoh ini melalui klien Azure Resource Manager sudah dibuat dengan identitas terkelola yang ditetapkan sistem.
Mengelola izin pada Grup Sumber Daya
Identitas Terkelola untuk vault harus memiliki izin berikut di grup sumber daya dan jaringan virtual tempat titik akhir privat akan dibuat:
-
Microsoft.Network/privateEndpoints/*
Ini diperlukan untuk melakukan CRUD pada titik akhir privat di grup sumber daya. Ini harus ditetapkan pada grup sumber daya. -
Microsoft.Network/virtualNetworks/subnets/join/action
Ini diperlukan di jaringan virtual tempat IP privat dilampirkan dengan titik akhir privat. -
Microsoft.Network/networkInterfaces/read
Ini diperlukan pada grup sumber daya untuk mendapatkan antarmuka jaringan yang dibuat untuk titik akhir privat. - Peran Kontributor Zona DNS Privat Peran ini sudah ada dan dapat digunakan untuk menyediakan izin
Microsoft.Network/privateDnsZones/A/*
danMicrosoft.Network/privateDnsZones/virtualNetworkLinks/read
.
Anda bisa menggunakan salah satu metode berikut untuk membuat peran dengan izin yang diperlukan:
Buat peran dan izin secara manual
Buat file JSON berikut dan gunakan perintah PowerShell di akhir bagian untuk membuat peran:
//PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
//NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
//PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
Gunakan skrip
Mulai Cloud Shell di portal Microsoft Azure dan pilih Unggah file di jendela PowerShell.
Unggah skrip berikut: VaultMsiPrereqScript
Buka folder utama Anda (misalnya:
cd /home/user
)Jalankan skrip berikut:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
Ini adalah parameternya:
langganan: **SubscriptionId yang memiliki grup sumber daya tempat titik akhir privat untuk vault akan dibuat dan subnet tempat titik akhir privat vault akan dilampirkan
vaultPEResourceGroup: Grup sumber daya tempat titik akhir privat untuk vault akan dibuat
vaultPESubnetResourceGroup: Grup sumber daya subnet tempat titik akhir privat akan digabungkan
vaultMsiName: Nama MSI vault, yang sama dengan VaultName
Selesaikan autentikasi dan skrip akan mengambil konteks dari langganan yang diberikan yang disediakan di atas. Ini akan membuat peran yang sesuai jika hilang dari penyewa dan akan menetapkan peran ke MSI vault.
Membuat Titik Akhir Privat menggunakan Azure PowerShell
Titik akhir privat yang disetujui secara otomatis
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
Persetujuan manual titik akhir privat menggunakan Klien Azure Resource Manager
Gunakan GetVault untuk mendapatkan ID Sambungan Titik Akhir Privat untuk titik akhir privat Anda.
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
Ini akan mengembalikan ID Sambungan Titik Akhir Privat. Nama sambungan dapat diambil dengan menggunakan bagian pertama dari ID sambungan sebagai berikut:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}
Dapatkan ID Sambungan Titik Akhir Privat (dan Nama Titik Akhir Privat, jika diperlukan) dari respons dan ganti di JSON dan URI Azure Resource Manager berikut dan coba ubah Status menjadi "Disetujui/Ditolak/Terputus", seperti yang ditunjukkan dalam sampel di bawah ini:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
JSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
Menyiapkan server proksi untuk vault Layanan Pemulihan dengan titik akhir privat
Untuk mengonfigurasi server proksi untuk Azure VM atau mesin lokal, ikuti langkah-langkah berikut:
Tambahkan domain berikut yang perlu diakses dari server proksi.
Layanan Nama domain Port Pencadangan Azure *.backup.windowsazure.com 443 Azure Storage *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 Microsoft Entra ID
URL domain yang diperbarui disebutkan di bawah bagian 56 dan 59 di Microsoft 365 Common dan Office Online.*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.netJika berlaku. Izinkan akses ke domain ini di server proksi dan tautkan zona DNS privat (
*.privatelink.<geo>.backup.windowsazure.com
,*.privatelink.blob.core.windows.net
,*.privatelink.queue.core.windows.net
) dengan VNET tempat server proksi dibuat atau menggunakan server DNS kustom dengan entri DNS masing-masing.
VNET tempat server proksi berjalan dan VNET tempat NIC titik akhir privat dibuat harus di-peering, yang akan memungkinkan server proksi mengalihkan permintaan ke IP privat.Catatan
Dalam teks di atas,
<geo>
mengacu pada kode wilayah (misalnya eus dan ne untuk US Timur dan Eropa Utara). Lihat daftar berikut untuk kode wilayah:
Diagram berikut menunjukkan pengaturan (saat menggunakan zona Azure Private DNS) dengan server proksi, yang VNet-nya ditautkan ke zona DNS privat dengan entri DNS yang diperlukan. Server proksi juga dapat memiliki server DNS kustom sendiri, dan domain di atas dapat diteruskan secara kondisional ke 168.63.129.16. Jika Anda menggunakan file server/host DNS kustom untuk resolusi DNS, lihat bagian tentang mengelola entri DNS dan mengonfigurasi perlindungan.
Membuat entri DNS saat server DNS/zona DNS ada di langganan lain
Di bagian ini, kita akan membahas kasus saat Anda menggunakan zona DNS yang ada dalam langganan, atau Grup Sumber Daya yang berbeda dari yang berisi titik akhir privat untuk vault Layanan Pemulihan, seperti hub dan topologi ucapan. Karena identitas terkelola yang digunakan untuk membuat titik akhir privat (dan entri DNS) hanya memiliki izin pada Grup Sumber Daya tempat titik akhir privat dibuat, entri DNS yang diperlukan akan diperlukan juga. Gunakan skrip PowerShell berikut untuk membuat entri DNS.
Catatan
Lihat seluruh proses yang dijelaskan di bawah ini untuk mencapai hasil yang diperlukan. Proses ini perlu diulang dua kali - sekali selama penemuan pertama (untuk membuat entri DNS yang diperlukan untuk akun penyimpanan komunikasi), dan kemudian sekali selama cadangan pertama (untuk membuat entri DNS yang diperlukan untuk akun penyimpanan back-end).
Langkah 1: Mendapatkan entri DNS yang diperlukan
Gunakan skrip PrivateIP.ps1 untuk mencantumkan semua entri DNS yang perlu dibuat.
Catatan
subscription
pada sintaksis di bawah mengacu pada langganan tempat titik akhir privat vault akan dibuat.
Sintaksis untuk menggunakan script
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
Output sampel
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
Langkah 2: Membuat entri DNS
Buat entri DNS yang sesuai dengan yang di atas. Berdasarkan jenis DNS yang Anda gunakan, Anda memiliki dua alternatif untuk membuat entri DNS.
Kasus 1: Jika Anda menggunakan server DNS kustom, Anda perlu membuat entri secara manual untuk setiap catatan dari skrip di atas dan memverifikasi bahwa FQDN (ResourceName.DNS) diselesaikan ke IP Privat dalam VNET.
Kasus 2: Jika Anda menggunakan Zona DNS Privat Azure, Anda dapat menggunakan skrip CreateDNSEntries.ps1 untuk secara otomatis membuat entri DNS di Zona DNS Privat. Dalam sintaksis berikut, subscription
adalah salah satu tempat Zona DNS Privat berada.
Sintaksis untuk menggunakan script
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
Ringkasan dari seluruh proses
Untuk menyiapkan titik akhir privat untuk vault Layanan Pemulihan dengan benar melalui solusi ini, Anda perlu:
- Membuat titik akhir privat untuk vault (seperti yang dijelaskan sebelumnya dalam artikel).
- Memicu penemuan. Penemuan untuk SQL/HANA akan gagal dengan UserErrorVMInternetConnectivityIssue karena entri DNS tidak ada untuk akun penyimpanan komunikasi.
- Jalankan skrip untuk mendapatkan entri DNS dan buat entri DNS yang sesuai untuk akun penyimpanan komunikasi yang disebutkan sebelumnya di bagian ini.
- Retrigger penemuan. Kali ini, penemuan akan berhasil.
- Memicu cadangan. Cadangan untuk SQL/HANA dan MARS bisa gagal karena entri DNS tidak ada untuk akun penyimpanan back-end seperti yang disebutkan sebelumnya di bagian ini.
- Jalankan skrip untuk membuat entri DNS untuk akun penyimpanan back-end.
- Pencadangan pengambilan. Kali ini, cadangan akan berhasil.
Tanya jawab umum
Bisakah saya membuat titik akhir privat untuk vault Layanan Pemulihan yang ada?
Tidak, titik akhir privat hanya dapat dibuat untuk Vault Layanan Pemulihan baru. Jadi vault tidak boleh pernah memiliki item yang dilindungi. Faktanya, tidak ada upaya untuk melindungi item apa pun ke vault yang dapat dilakukan sebelum membuat titik akhir privat.
Saya mencoba melindungi item ke vault saya, tapi gagal dan vault masih tidak berisi item apa pun yang dilindungi. Dapatkah saya membuat titik akhir privat untuk vault ini?
Tidak, vault tidak boleh pernah memiliki upaya untuk melindungi item apa pun di masa lalu.
Saya memiliki vault yang menggunakan titik akhir privat untuk pencadangan dan pemulihan. Dapatkah saya menambahkan atau menghapus titik akhir privat untuk vault ini meskipun saya memiliki item cadangan yang dilindungi?
Ya. Jika Anda sudah membuat titik akhir privat untuk vault dan item cadangan yang dilindungi, Anda nantinya dapat menambahkan atau menghapus titik akhir privat sebagaimana diperlukan.
Dapatkah titik akhir privat untuk Azure Backup juga digunakan untuk Azure Site Recovery?
Tidak, titik akhir privat untuk Cadangan hanya dapat digunakan untuk Azure Backup. Anda harus membuat titik akhir privat baru untuk Azure Site Recovery, jika didukung oleh layanan.
Saya melewatkan salah satu langkah dalam artikel ini dan melanjutkan untuk melindungi sumber data saya. Apakah saya masih dapat menggunakan titik akhir privat?
Tidak mengikuti langkah-langkah dalam artikel dan terus melindungi item dapat menyebabkan vault tidak dapat menggunakan titik akhir privat. Oleh karena itu, Anda disarankan untuk merujuk ke daftar periksa ini sebelum melanjutkan untuk melindungi item.
Dapatkah saya menggunakan server DNS saya sendiri daripada menggunakan zona DNS privat Azure atau zona DNS privat terintegrasi?
Ya, Anda dapat menggunakan server DNS Anda sendiri. Namun, pastikan semua rekaman DNS yang diperlukan ditambahkan seperti yang disarankan di bagian ini.
Apakah saya perlu melakukan langkah tambahan di server saya setelah saya mengikuti proses di artikel ini?
Setelah mengikuti proses yang mendetail dalam artikel ini, Anda tidak perlu melakukan pekerjaan tambahan untuk menggunakan titik akhir privat untuk pencadangan dan pemulihan.
Langkah berikutnya
- Baca tentang semua fitur keamanan di Azure Backup