Azure Backup için özel uç noktaları (v1 deneyimi) oluşturma ve kullanma
Bu makalede, Azure Backup için özel uç nokta oluşturma işlemi ve özel uç noktaların kaynaklarınızın güvenliğini sağlamaya yardımcı olduğu senaryolar hakkında bilgi sağlanır.
Not
Azure Backup artık özel uç noktalar oluşturmak için yeni bir deneyim sunuyor. Daha fazla bilgi edinin.
Başlamadan önce
Özel uç noktalar oluşturmaya devam etmeden önce önkoşulları ve desteklenen senaryoları okuduğunuzdan emin olun.
Bu ayrıntılar, kasalarınız için özel uç noktalar oluşturmadan önce yerine getirilmesi gereken sınırlamaları ve koşulları anlamanıza yardımcı olur.
Yedekleme için özel uç noktalar oluşturmaya başlama
Aşağıdaki bölümlerde, sanal ağlarınızda Azure Backup için özel uç noktaları oluşturma ve kullanma adımları açıklanmaktadır.
Önemli
Bu belgede belirtilen adımları aynı sırada izlemeniz kesinlikle önerilir. Bunun yapılmaması, kasanın özel uç noktaları kullanmak için uyumsuz olarak işlenmesine ve işlemi yeni bir kasayla yeniden başlatmanıza neden olabilir.
Kurtarma Hizmetleri kasası oluşturma
Yedekleme için özel uç noktalar yalnızca koruma altında öğe olmayan (veya daha önce korunmaya çalışılan veya kaydedilmemiş olan) Kurtarma Hizmetleri kasaları için oluşturulabilir. Bu nedenle başlangıç olarak yeni bir kasa oluşturmanızı öneririz. Yeni kasa oluşturma hakkında daha fazla bilgi için bkz . Kurtarma Hizmetleri kasası oluşturma ve yapılandırma.
Azure Resource Manager istemcisini kullanarak kasa oluşturmayı öğrenmek için bu bölüme bakın. Bu, yönetilen kimliği zaten etkinleştirilmiş bir kasa oluşturur.
Kasaya genel ağ erişimini reddetme
Kasalarınızı genel ağlardan erişimi reddedecek şekilde yapılandırabilirsiniz.
Şu adımları izleyin:
Kasa>ağ bağlantısına gidin.
Genel erişim sekmesinde, genel ağlardan erişimi engellemek için Reddet'i seçin.
Not
- Erişimi reddettikten sonra kasaya erişmeye devam edebilirsiniz, ancak özel uç nokta içermeyen ağlara/ağlardan veri taşıyamazsınız. Daha fazla bilgi için bkz . Azure Backup için özel uç noktalar oluşturma.
- Bölgeler arası geri yüklemenin etkinleştirildiği kasalarda genel erişimin reddedilmesi şu anda desteklenmemektedir.
Değişiklikleri kaydetmek için Uygula'yı seçin.
Kasanız için Yönetilen Kimliği etkinleştirme
Yönetilen kimlikler, kasanın özel uç noktalar oluşturmasına ve kullanmasına olanak sağlar. Bu bölüm, kasanız için yönetilen kimliği etkinleştirme hakkında bilgi verir.
Kurtarma Hizmetleri kasanıza gidin ->Identity.
Durumu Açık olarak değiştirin ve Kaydet'i seçin.
Kasanın yönetilen kimliği olan bir Nesne Kimliği oluşturulur.
Not
Etkinleştirildikten sonra Yönetilen Kimlik devre dışı bırakılmamalıdır (geçici olarak bile). Yönetilen kimliği devre dışı bırakmak tutarsız davranışlara neden olabilir.
Gerekli özel uç noktaları oluşturmak için kasaya izin verme
Azure Backup için gerekli özel uç noktaları oluşturmak için kasanın (kasanın Yönetilen Kimliği) aşağıdaki kaynak gruplarına yönelik izinlere sahip olması gerekir:
- Hedef sanal ağı içeren Kaynak Grubu
- Özel Uç Noktaların oluşturulacağı Kaynak Grubu
- Burada ayrıntılı olarak açıklandığı gibi Özel DNS bölgelerini içeren Kaynak Grubu
Kasaya (yönetilen kimlik) bu üç kaynak grubu için Katkıda Bulunan rolü vermenizi öneririz. Aşağıdaki adımlarda, bunun belirli bir kaynak grubu için nasıl gerçekleştirileceği açıklanmaktadır (bunun üç kaynak grubunun her biri için yapılması gerekir):
Kaynak Grubu'na gidin ve sol çubukta Erişim Denetimi 'ne (IAM) gidin.
Erişim Denetimi'ne girdikten sonra Rol ataması ekle'ye gidin.
Rol ataması ekle bölmesinde Rol olarak Katkıda Bulunan'ı seçin ve Kasanın Adını Sorumlu olarak kullanın. Kasanızı seçin ve bitirdiğinizde Kaydet'i seçin.
İzinleri daha ayrıntılı bir düzeyde yönetmek için bkz . Rolleri ve izinleri el ile oluşturma.
Azure Backup için Özel Uç Noktalar Oluşturma
Bu bölümde, kasanız için özel uç nokta oluşturma adımları açıklanmaktadır.
Yukarıda oluşturulan kasanıza gidin ve sol gezinti çubuğunda Özel uç nokta bağlantıları'na gidin. Bu kasa için yeni bir özel uç nokta oluşturmaya başlamak için üstteki +Özel uç nokta'ya tıklayın.
Özel Uç Nokta Oluştur işlemine girdikten sonra, özel uç nokta bağlantınızı oluşturmak için ayrıntıları belirtmeniz gerekir.
Temel bilgiler: Özel uç noktalarınız için temel ayrıntıları doldurun. Bölge, kasa ve yedeklenen kaynakla aynı olmalıdır.
Kaynak: Bu sekme, bağlantınızı oluşturmak istediğiniz PaaS kaynağını seçmenizi gerektirir. İstediğiniz aboneliğin kaynak türünden Microsoft.RecoveryServices/vaults öğesini seçin. İşiniz bittiğinde Kurtarma Hizmetleri kasanızın adını Kaynak olarak ve AzureBackup'ıHedef alt kaynağı olarak seçin.
Yapılandırma: Yapılandırmada, özel uç noktanın oluşturulmasını istediğiniz sanal ağı ve alt ağı belirtin. Bu, VM'nin bulunduğu sanal ağ olacaktır.
Özel olarak bağlanmak için gerekli DNS kayıtlarına ihtiyacınız vardır. Ağ kurulumunuza bağlı olarak aşağıdakilerden birini seçebilirsiniz:
- Özel uç noktanızı bir özel DNS bölgesiyle tümleştirme: Tümleştirmek istiyorsanız Evet'i seçin.
- Özel DNS sunucunuzu kullanın: Kendi DNS sunucunuzu kullanmak istiyorsanız Hayır'ı seçin.
Her ikisi için de DNS kayıtlarının yönetilmesi daha sonra açıklanacaktır.
İsteğe bağlı olarak, özel uç noktanız için Etiketler ekleyebilirsiniz.
Ayrıntıları girmeyi bitirdikten sonra Gözden geçir ve oluştur'a geçin. Doğrulama tamamlandığında Oluştur'u seçerek özel uç noktayı oluşturun.
Özel Uç Noktaları Onayla
Özel uç noktayı oluşturan kullanıcı kurtarma hizmetleri kasasının da sahibiyse, yukarıda oluşturulan özel uç nokta otomatik olarak onaylanır. Aksi takdirde, kasanın sahibinin özel uç noktayı kullanabilmesi için önce onaylaması gerekir. Bu bölümde, Azure portalı aracılığıyla özel uç noktaların el ile onaylanması ele alınmaktadır.
Özel uç noktaları onaylamak üzere Azure Resource Manager istemcisini kullanmak için bkz . Azure Resource Manager İstemcisi'ni kullanarak özel uç noktaların el ile onayı.
Kurtarma Hizmetleri kasanızda, sol çubukta Özel uç nokta bağlantıları'na gidin.
Onaylamak istediğiniz özel uç nokta bağlantısını seçin.
Üst çubukta Onayla'yı seçin. Uç nokta bağlantısını reddetmek veya silmek istiyorsanız Reddet veya Kaldır'ı da seçebilirsiniz.
DNS kayıtlarını yönetme
Daha önce açıklandığı gibi, özel DNS bölgelerinize veya sunucularınıza özel olarak bağlanmak için gerekli DNS kayıtlarına ihtiyacınız vardır. Ağ tercihlerinize göre özel uç noktanızı doğrudan Azure özel DNS bölgeleriyle tümleştirebilir veya özel DNS sunucularınızı kullanarak bunu gerçekleştirebilirsiniz. Bunun üç hizmet için de yapılması gerekir: Yedekleme, Bloblar ve Kuyruklar.
Ayrıca, DNS bölgeniz veya sunucunuz özel uç noktayı içerenden farklı bir abonelikte varsa, bkz . DNS sunucusu/DNS bölgesi başka bir abonelikte mevcut olduğunda DNS girişleri oluşturma.
Özel uç noktaları Azure özel DNS bölgeleriyle tümleştirirken
Özel uç noktanızı özel DNS bölgeleriyle tümleştirmeyi seçerseniz, Azure Backup gerekli DNS kayıtlarını ekler. Özel uç noktanın DNS yapılandırması altında kullanılan özel DNS bölgelerini görüntüleyebilirsiniz. Bu DNS bölgeleri yoksa, özel uç nokta oluşturulurken otomatik olarak oluşturulurlar.
Not
Kasaya atanan yönetilen kimliğin Azure Özel DNS bölgesine DNS kayıtları ekleme izinleri olmalıdır.
Ancak, aşağıda açıklandığı gibi sanal ağınızın (yedeklenecek kaynakları içeren) üç özel DNS bölgesiyle de düzgün bir şekilde bağlandığını doğrulamanız gerekir.
Not
Ara sunucu kullanıyorsanız, ara sunucuyu atlamayı veya yedeklerinizi proxy sunucusu üzerinden gerçekleştirmeyi seçebilirsiniz. Proxy sunucusunu atlamak için aşağıdaki bölümlere geçin. Yedeklemelerinizi gerçekleştirmek üzere ara sunucuyu kullanmak için bkz . Kurtarma Hizmetleri kasası için ara sunucu kurulum ayrıntıları.
Özel DNS bölgelerindeki sanal ağ bağlantılarını doğrulama
Yukarıda listelenen her özel DNS bölgesi için (Yedekleme, Bloblar ve Kuyruklar için) aşağıdakileri yapın:
Sol gezinti çubuğunda ilgili Sanal ağ bağlantıları seçeneğine gidin.
Aşağıda gösterilen gibi, özel uç noktayı oluşturduğunuz sanal ağ için bir giriş görebilmeniz gerekir:
Bir giriş görmüyorsanız, bu dns bölgelerine sahip olmayan tüm dns bölgelerine bir sanal ağ bağlantısı ekleyin.
Özel DNS sunucusu veya konak dosyaları kullanılırken
Özel bir DNS sunucusu kullanıyorsanız, DNS isteklerini Azure DNS'ye (168.63.129.16) yönlendirmek için yedekleme hizmeti, blob ve kuyruk FQDN'leri için koşullu iletici kullanabilirsiniz. Azure DNS, azure Özel DNS bölgesine yönlendirir. Bu kurulumda, azure Özel DNS bölgesi için bu bölümde belirtildiği gibi bir sanal ağ bağlantısının mevcut olduğundan emin olun.
Aşağıdaki tabloda Azure Backup için gereken Azure Özel DNS bölgeleri listelanmaktadır:
Bölge Hizmet privatelink.<geo>.backup.windowsazure.comYedekleme privatelink.blob.core.windows.netBlob privatelink.queue.core.windows.netSıra Not
Yukarıdaki metinde bölge
<geo>koduna (sırasıyla Doğu ABD ve Kuzey Avrupa için eus ve ne gibi) başvurur. Bölge kodları için aşağıdaki listelere bakın:Özel DNS sunucuları veya konak dosyaları kullanıyorsanız ve Azure Özel DNS bölgesi kurulumuna sahip değilseniz, özel uç noktaların gerektirdiği DNS kayıtlarını DNS sunucularınıza veya konak dosyasına eklemeniz gerekir.
Yedekleme Hizmeti için: Oluşturduğunuz özel uç noktaya gidin ve ardından DNS yapılandırması'na gidin. Ardından, Yedekleme için DNS bölgenizde Tür A kayıtları olarak görüntülenen her FQDN ve IP için bir girdi ekleyin.
Ad çözümlemesi için bir konak dosyası kullanıyorsanız, her IP ve FQDN için ana bilgisayar dosyasında - biçimine
<private ip><space><backup service privatelink FQDN>göre ilgili girdileri yapın.Blob ve kuyruk için: Azure backup, yönetilen kimlik izinlerini kullanarak bloblar ve kuyruklar için özel uç noktaları oluşturur. Bloblar ve kuyruklar için özel uç noktalar standart adlandırma desenini izler; bunlar veya
<the name of the private endpoint>_protile<the name of the private endpoint>_ecsbaşlar ve sırasıyla ve_queueile_blobsoneklenir.Yukarıdaki deseni izleyerek Azure Backup tarafından oluşturulan özel uç noktaya gidin ve ardından DNS yapılandırması'na gidin. Ardından, Yedekleme için DNS bölgenizde Tür A kayıtları olarak görüntülenen her FQDN ve IP için bir girdi ekleyin.
Ad çözümlemesi için bir konak dosyası kullanıyorsanız, her IP ve FQDN için ana bilgisayar dosyasında - biçimine
<private ip><space><blob/queue FQDN>göre ilgili girdileri yapın.
Not
Azure Backup, yedekleme verileri için kasanız için yeni depolama hesabı ayırabilir ve uzantının veya aracının ilgili uç noktalara erişmesi gerekir. Kayıt ve yedeklemeden sonra daha fazla DNS kaydı ekleme hakkında daha fazla bilgi için Yedekleme için Özel Uç Noktaları Kullanma bölümündeki kılavuza bakın.
Yedekleme için Özel Uç Noktaları Kullanma
Sanal ağınızdaki kasa için oluşturulan özel uç noktalar onaylandıktan sonra, yedeklemelerinizi ve geri yüklemelerinizi gerçekleştirmek için bunları kullanmaya başlayabilirsiniz.
Önemli
Devam etmeden önce belgede yukarıda belirtilen tüm adımları başarıyla tamamladığınızdan emin olun. Özetlemek için aşağıdaki denetim listesindeki adımları tamamlamış olmanız gerekir:
- (Yeni) Kurtarma Hizmetleri kasası oluşturuldu
- Sistem tarafından atanan Yönetilen Kimliği kullanmak için kasa etkinleştirildi
- Kasanın Yönetilen Kimliğine ilgili izinler atandı
- Kasanız için özel uç nokta oluşturma
- Özel Uç Nokta onaylandı (otomatik onaylanmamışsa)
- Tüm DNS kayıtlarının uygun şekilde eklendiğinden emin olundu (özel sunucular için blob ve kuyruk kayıtları dışında, aşağıdaki bölümlerde ele alınacaktır)
VM bağlantısını denetleme
Kilitli ağdaki VM'de aşağıdakilerden emin olun:
- VM'nin Microsoft Entra Kimliği'ne erişimi olmalıdır.
- Bağlantıyı sağlamak için sanal makinenizden yedekleme URL'sinde (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) nslookup yürütür. Bu, sanal ağınızda atanan özel IP'yi döndürmelidir.
Yedeklemeyi yapılandırma
Yukarıdaki denetim listesinin ve erişimin başarıyla tamamlandığından emin olduktan sonra, iş yüklerinin kasaya yedeklemesini yapılandırmaya devam edebilirsiniz. Özel bir DNS sunucusu kullanıyorsanız, ilk yedeklemeyi yapılandırdıktan sonra kullanılabilir olan bloblar ve kuyruklar için DNS girdileri eklemeniz gerekir.
İlk kayıt sonrasında bloblar ve kuyruklar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için)
Özel uç nokta özellikli kasada en az bir kaynak için yedeklemeyi yapılandırdıktan sonra, bloblar ve kuyruklar için gerekli DNS kayıtlarını aşağıda açıklandığı gibi ekleyin.
Kaynak Grubunuz'a gidin ve oluşturduğunuz özel uç noktayı arayın.
Sizin tarafınızdan verilen özel uç nokta adının yanı sıra, iki özel uç noktanın daha oluşturulduğunu görürsünüz. Bunlar ile
<the name of the private endpoint>_ecsbaşlar ve sırasıyla ve_queueile_blobson eklenmiştir.
Bu özel uç noktaların her birine gidin. İki özel uç noktanın her biri için DNS yapılandırma seçeneğinde FQDN ve IP adresi içeren bir kayıt görürsünüz. Bunların her ikisini de daha önce açıklananlara ek olarak özel DNS sunucunuza ekleyin. Bir konak dosyası kullanıyorsanız, her IP/FQDN için ana bilgisayar dosyasında aşağıdaki biçime göre ilgili girdileri yapın:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
Yukarıdakilere ek olarak, ilk yedeklemeden sonra gerekli olan ve daha sonra ele alınan başka bir giriş vardır.
Azure VM'de iş yüklerini yedekleme ve geri yükleme (SQL ve SAP HANA)
Özel uç nokta oluşturulduktan ve onaylandıktan sonra, özel uç noktayı kullanmak için istemci tarafından başka bir değişiklik yapılması gerekmez (bu bölümün ilerleyen bölümlerinde ele aldığımız SQL Kullanılabilirlik Grupları'nı kullanmadığınız sürece). Güvenli ağınızdan kasaya tüm iletişim ve veri aktarımı özel uç nokta üzerinden gerçekleştirilir. Ancak, bir sunucu (SQL veya SAP HANA) kaydedildikten sonra kasa için özel uç noktaları kaldırırsanız kapsayıcıyı kasaya yeniden kaydetmeniz gerekir. Onlar için korumayı durdurmana gerek yok.
İlk yedeklemeden sonra bloblar için DNS kayıtları (yalnızca özel DNS sunucuları/konak dosyaları için)
İlk yedeklemeyi çalıştırdıktan ve özel bir DNS sunucusu (koşullu iletme olmadan) kullandıktan sonra yedeklemeniz büyük olasılıkla başarısız olur. Böyle bir durumda:
Kaynak Grubunuz'a gidin ve oluşturduğunuz özel uç noktayı arayın.
Daha önce açıklanan üç özel uç noktanın yanı sıra, artık adı ile
<the name of the private endpoint>_protbaşlayan ve ile_blobson ekli dördüncü bir özel uç nokta göreceksiniz.
Bu yeni özel uç noktaya gidin. DNS yapılandırma seçeneğinde FQDN ve IP adresi olan bir kayıt görürsünüz. Bunları daha önce açıklananlara ek olarak özel DNS sunucunuza ekleyin.
Bir konak dosyası kullanıyorsanız, her IP ve FQDN için konak dosyasındaki ilgili girdileri aşağıdaki biçime göre yapın:
<private ip><space><blob service privatelink FQDN>
Not
Bu noktada, vm'den nslookup çalıştırabilmeniz ve kasanın Yedekleme ve Depolama URL'lerinde işiniz bittiğinde özel IP adreslerine çözümleyebilmeniz gerekir.
SQL Kullanılabilirlik Grupları kullanılırken
SQL Kullanılabilirlik Gruplarını (AG) kullanırken, aşağıda açıklandığı gibi özel AG DNS'sinde koşullu iletme sağlamanız gerekir:
Etki alanı denetleyicinizde oturum açın.
DNS uygulaması altında, üç DNS bölgesinin (Yedekleme, Bloblar ve Kuyruklar) tümü için koşullu ileticileri gerektiğinde ana bilgisayar IP 168.63.129.16'ya veya özel DNS sunucusu IP adresine ekleyin. Aşağıdaki ekran görüntüleri, Azure ana bilgisayar IP'sine ne zaman ilettiğinizi gösterir. Kendi DNS sunucunuzu kullanıyorsanız değerini DNS sunucunuzun IP'siyle değiştirin.
MARS aracısı ve DPM sunucusu aracılığıyla yedekleme ve geri yükleme
Şirket içi kaynaklarınızı yedeklemek için MARS Aracısı'nı kullanırken, şirket içi ağınızın (yedeklenecek kaynaklarınızı içeren) kasa için özel bir uç nokta içeren Azure sanal ağıyla eşlendiğinden emin olun, böylece bunu kullanabilirsiniz. Ardından MARS aracısını yüklemeye devam edebilir ve yedeklemeyi burada ayrıntılı olarak yapılandırabilirsiniz. Ancak, yedekleme için tüm iletişimin yalnızca eşlenmiş ağ üzerinden gerçekleştiğinden emin olmanız gerekir.
Ancak bir MARS aracısı kaydedildikten sonra kasa için özel uç noktaları kaldırırsanız kapsayıcıyı kasaya yeniden kaydetmeniz gerekir. Onlar için korumayı durdurmana gerek yok.
Not
- Özel uç noktalar yalnızca DPM sunucusu 2022 (10.22.123.0) ve sonraki sürümlerde desteklenir.
- Özel uç noktalar yalnızca MABS V4 (14.0.30.0) ve üzeri sürümlerde desteklenir.
Özel EndPoint'leri silme
Özel EndPoint'leri silmeyi öğrenmek için bu bölüme bakın.
Ek konu başlıkları
Azure Resource Manager istemcisini kullanarak Kurtarma Hizmetleri kasası oluşturma
Kurtarma Hizmetleri kasasını oluşturabilir ve Azure Resource Manager istemcisini kullanarak Yönetilen Kimliği etkinleştirebilirsiniz (Daha sonra göreceğimiz gibi Yönetilen Kimlik gereklidir). Bunu yapmaya yönelik bir örnek aşağıda paylaşılır:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
Yukarıdaki JSON dosyası aşağıdaki içeriğe sahip olmalıdır:
JSON isteği:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
Yanıt JSON::
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
Not
Azure Resource Manager istemcisi aracılığıyla bu örnekte oluşturulan kasa, sistem tarafından atanan yönetilen kimlikle zaten oluşturulmuştur.
Kaynak Gruplarında izinleri yönetme
Kasa için Yönetilen Kimliğin, özel uç noktaların oluşturulacağı kaynak grubunda ve sanal ağda aşağıdaki izinlere sahip olması gerekir:
-
Microsoft.Network/privateEndpoints/*Kaynak grubundaki özel uç noktalarda CRUD gerçekleştirmek için bu gereklidir. Kaynak grubunda atanmalıdır. -
Microsoft.Network/virtualNetworks/subnets/join/actionBu, özel IP'nin özel uç noktaya eklendiği sanal ağda gereklidir. -
Microsoft.Network/networkInterfaces/readBu, özel uç nokta için oluşturulan ağ arabirimini almak için kaynak grubunda gereklidir. - Özel DNS Bölge Katkıda Bulunanı Rolü Bu rol zaten var ve ve
Microsoft.Network/privateDnsZones/virtualNetworkLinks/readizinlerini sağlamakMicrosoft.Network/privateDnsZones/A/*için kullanılabilir.
Gerekli izinlere sahip roller oluşturmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:
Rolleri ve izinleri el ile oluşturma
Aşağıdaki JSON dosyalarını oluşturun ve rol oluşturmak için bölümün sonundaki PowerShell komutunu kullanın:
PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
Betik kullanma
Azure portalında Cloud Shell'i başlatın ve PowerShell penceresinde Dosyayı karşıya yükle'yi seçin.
Şu betiği karşıya yükleyin: VaultMsiPrereqScript
Giriş klasörünüze gidin (örneğin:
cd /home/user)Aşağıdaki komut dosyasını çalıştırın:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>Parametreler şunlardır:
subscription: **Kasanın özel uç noktasının oluşturulacağı kaynak grubuna ve kasanın özel uç noktasının eklendiği alt ağa sahip SubscriptionId
vaultPEResourceGroup: Kasanın özel uç noktasının oluşturulacağı kaynak grubu
vaultPESubnetResourceGroup: Özel uç noktanın birleştirileceği alt ağın kaynak grubu
vaultMsiName: VaultName ile aynı olan kasanın MSI'sinin adı
Kimlik doğrulamasını tamamladığınızda betik, yukarıda belirtilen aboneliğin bağlamını alır. Kiracıda eksikse uygun rolleri oluşturur ve kasanın MSI'sine roller atar.
Azure PowerShell kullanarak Özel Uç Noktalar oluşturma
Otomatik olarak onaylanan özel uç noktalar
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
Azure Resource Manager İstemcisi'ni kullanarak özel uç noktaların el ile onaylanması
Özel uç noktanızın Özel Uç Nokta Bağlantı Kimliğini almak için GetVault kullanın.
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-previewBu, Özel Uç Nokta Bağlantı Kimliğini döndürür. Bağlantının adı, bağlantı kimliğinin ilk bölümü aşağıdaki gibi kullanılarak alınabilir:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}Yanıttan Özel Uç Nokta Bağlantı Kimliğini (ve gerektiğinde Özel Uç Nokta Adı'nı) alın ve aşağıdaki JSON ve Azure Resource Manager URI'sinde değiştirin ve aşağıdaki örnekte gösterildiği gibi Durumu "Onaylandı/Reddedildi/Bağlantısı Kesildi" olarak değiştirmeyi deneyin:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.jsonJSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
Özel uç nokta ile Kurtarma Hizmetleri kasası için ara sunucu ayarlama
Azure VM veya şirket içi makine için ara sunucu yapılandırmak için şu adımları izleyin:
Ara sunucudan erişilmesi gereken aşağıdaki etki alanlarını ekleyin.
Hizmet Etki alanı adları Bağlantı noktası Azure Backup *.backup.windowsazure.com 443 Azure Depolama *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 Microsoft Entra ID
Microsoft 365 Common ve Office Online'da 56 ve 59. bölümler altında belirtilen etki alanı URL'leri güncelleştirildi.*.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.netUygun olduğu şekilde. Proxy sunucusunda bu etki alanlarına erişime izin verin ve özel DNS bölgesini (
*.privatelink.<geo>.backup.windowsazure.com,*.privatelink.blob.core.windows.net,*.privatelink.queue.core.windows.net) ara sunucunun oluşturulduğu veya ilgili DNS girdileriyle özel bir DNS sunucusu kullandığı sanal ağa bağlayın.
Ara sunucunun çalıştığı sanal ağ ve özel uç nokta NIC'sinin oluşturulduğu sanal ağ eşlenmelidir ve bu da ara sunucunun istekleri özel IP'ye yönlendirmesine olanak sağlar.Not
Yukarıdaki metinde bölge
<geo>koduna (sırasıyla Doğu ABD ve Kuzey Avrupa için eus ve ne gibi) başvurur. Bölge kodları için aşağıdaki listelere bakın:
Aşağıdaki diyagramda, sanal ağı gerekli DNS girişlerine sahip özel bir DNS bölgesine bağlı olan bir ara sunucu ile bir kurulum (Azure Özel DNS bölgeleri kullanılırken) gösterilmektedir. Proxy sunucusunun kendi özel DNS sunucusu da olabilir ve yukarıdaki etki alanları koşullu olarak 168.63.129.16'ya iletilebilir. DNS çözümlemesi için özel bir DNS sunucusu/ana bilgisayar dosyası kullanıyorsanız, DNS girişlerini yönetme ve korumayı yapılandırma bölümlerine bakın.
DNS sunucusu/DNS bölgesi başka bir abonelikte mevcut olduğunda DNS girişleri oluşturma
Bu bölümde, abonelikte bulunan bir DNS bölgesini veya merkez-uç topolojisi gibi Kurtarma Hizmetleri kasasının özel uç noktasını içerenden farklı bir Kaynak Grubu kullandığınız durumları ele alacağız. Özel uç noktaları (ve DNS girdilerini) oluşturmak için kullanılan yönetilen kimliğin yalnızca özel uç noktaların oluşturulduğu Kaynak Grubu üzerinde izinleri olduğundan, gerekli DNS girişleri de gereklidir. DNS girdileri oluşturmak için aşağıdaki PowerShell betiklerini kullanın.
Not
Gerekli sonuçları elde etmek için aşağıda açıklanan sürecin tamamına bakın. İşlemin, ilk bulma sırasında (iletişim depolama hesapları için gerekli DNS girdileri oluşturmak için) ve ardından ilk yedekleme sırasında (arka uç depolama hesapları için gereken DNS girdileri oluşturmak için) olmak üzere iki kez tekrarlanması gerekir.
1. Adım: Gerekli DNS girdilerini alma
Oluşturulması gereken tüm DNS girdilerini listelemek için PrivateIP.ps1 betiğini kullanın.
Not
subscription Aşağıdaki söz diziminde, kasanın özel uç noktasının oluşturulacağı abonelik ifade edilir.
Betiği kullanmak için söz dizimi
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
Örnek çıkış
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
2. Adım: DNS girdileri oluşturma
Yukarıdakilere karşılık gelen DNS girdileri oluşturun. Kullandığınız DNS türüne bağlı olarak, DNS girdileri oluşturmak için iki alternatif vardır.
1. Olay: Özel bir DNS sunucusu kullanıyorsanız, yukarıdaki betikten her kayıt için el ile girdiler oluşturmanız ve FQDN'nin (ResourceName.DNS) sanal ağ içindeki Özel IP'ye çözümlendiğini doğrulamanız gerekir.
2. Olay: Azure Özel DNS Bölgesi kullanıyorsanız, Özel DNS Bölgesinde dns girdilerini otomatik olarak oluşturmak için CreateDNSEntries.ps1 betiğini kullanabilirsiniz. Aşağıdaki söz diziminde, subscription Özel DNS Bölgesi'nin bulunduğu yerdir.
Betiği kullanmak için söz dizimi
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
İşlemin tamamının özeti
Bu geçici çözüm aracılığıyla Kurtarma Hizmetleri kasası için özel uç noktayı doğru ayarlamak için şunları yapmanız gerekir:
- Kasa için özel bir uç nokta oluşturun (makalenin önceki bölümlerinde açıklandığı gibi).
- Bulma tetikleme. İletişim depolama hesabı için DNS girişleri bulunmadığından SQL/HANA bulma işlemi UserErrorVMInternetConnectivityIssue ile başarısız olur.
- DNS girdilerini almak ve bu bölümün önceki bölümlerinde bahsedilen iletişim depolama hesabı için ilgili DNS girdilerini oluşturmak için betikleri çalıştırın.
- Bulmayı yeniden deneme. Bu kez bulma başarılı olmalıdır.
- Yedeklemeyi tetikleyin. Bu bölümde daha önce belirtildiği gibi arka uç depolama hesapları için DNS girişleri bulunmadığından SQL/HANA ve MARS yedeklemesi başarısız olabilir.
- Arka uç depolama hesabı için DNS girişleri oluşturmak için betikleri çalıştırın.
- Yedeklemeyi yeniden deneme. Bu kez yedeklemeler başarılı olmalıdır.
Sık sorulan sorular
Mevcut bir Kurtarma Hizmetleri kasası için özel uç nokta oluşturabilir miyim?
Hayır, yalnızca yeni Kurtarma Hizmetleri Kasaları için özel uç noktalar oluşturulabilir. Bu nedenle kasada hiçbir öğe korunmamış olmalıdır. Aslında, özel uç noktalar oluşturmadan önce kasada herhangi bir öğeyi koruma girişiminde bulunulmamalıdır.
Kasamda bir öğeyi korumaya çalıştım, ancak başarısız oldu ve kasada korunan öğe yok. Bu kasa için özel uç noktalar oluşturabilir miyim?
Hayır, kasanın geçmişte bu öğeyi koruma girişiminde bulunmamış olması gerekir.
Yedekleme ve geri yükleme için özel uç noktaları kullanan bir kasam var. Daha sonra korumalı yedekleme öğelerim olsa bile bu kasa için özel uç noktalar ekleyebilir veya kaldırabilir miyim?
Evet. Bir kasa ve korumalı yedekleme öğeleri için zaten özel uç noktalar oluşturduysanız, daha sonra gerektiğinde özel uç noktaları ekleyebilir veya kaldırabilirsiniz.
Azure Backup için özel uç nokta, Azure Site Recovery için de kullanılabilir mi?
Hayır, Yedekleme için özel uç nokta yalnızca Azure Backup için kullanılabilir. Hizmet tarafından destekleniyorsa Azure Site Recovery için yeni bir özel uç nokta oluşturmanız gerekir.
Bu makaledeki adımlardan birini kaçırdım ve veri kaynağımı korumaya devam ettim. Özel uç noktaları kullanmaya devam edebilir miyim?
Makaledeki adımları izlememek ve öğeleri korumaya devam etmek kasanın özel uç noktaları kullanamamasına neden olabilir. Bu nedenle, öğeleri korumaya devam etmeden önce bu denetim listesine başvurmanız önerilir.
Azure özel DNS bölgesini veya tümleşik bir özel DNS bölgesini kullanmak yerine kendi DNS sunucumu kullanabilir miyim?
Evet, kendi DNS sunucularınızı kullanabilirsiniz. Ancak, bu bölümde önerilen tüm gerekli DNS kayıtlarının eklendiğinden emin olun.
Bu makaledeki işlemi izledikten sonra sunucumda herhangi bir ek adım gerçekleştirmem gerekiyor mu?
Bu makalede ayrıntılarıyla belirtilen işlemi takip ettikten sonra, yedekleme ve geri yükleme için özel uç noktaları kullanmak için ek çalışma yapmanız gerekmez.