Übersicht und Konzepte privater Endpunkte (V2-Erfahrung) für Azure Backup
Azure Backup ermöglicht Ihnen die sichere Sicherung und Wiederherstellung Ihrer Daten aus Ihren Recovery Services-Tresoren mithilfe privater Endpunkte. Private Endpunkte verwenden eine oder mehrere private IP-Adressen Ihres Azure Virtual Network* (VNet), sodass der Dienst effektiv in Ihr VNet integriert wird.
Azure Backup bietet jetzt eine erweiterte Benutzeroberfläche bei der Erstellung und Verwendung privater Endpunkte im Vergleich zur klassischen Benutzeroberfläche (V1).
In diesem Artikel wird beschrieben, wie die erweiterten Funktionen privater Endpunkte für Azure Backup funktionieren und die Durchführung von Sicherungen bei gleichzeitiger Wahrung der Sicherheit Ihrer Ressourcen unterstützen.
Wichtige Erweiterungen
- Erstellen Sie private Endpunkte ohne verwaltete Identitäten.
- Für die Blob- und Warteschlangendienste werden keine privaten Endpunkte erstellt.
- Verwendung weniger privater IP-Adressen.
Vorbereitung
Wenngleich ein Recovery Services-Tresor sowohl von Azure Backup als auch von Azure Site Recovery verwendet wird, beschränken sich die Ausführungen in diesem Artikel auf die Verwendung privater Endpunkte für Azure Backup.
Private Endpunkte können nur für neue Recovery Services-Tresore erstellt werden, bei denen keine Elemente im Tresor registriert oder geschützt sind. Private Endpunkte werden für Sicherungstresore derzeit jedoch nicht unterstützt.
Hinweis
Sie können keine privaten Endpunkte mithilfe statischer IP-Adressen erstellen.
Sie können Tresore (mit privaten Endpunkten), die mit der klassischen Benutzeroberfläche erstellt wurden, nicht auf die neue Benutzeroberfläche aktualisieren. Sie können alle vorhandenen privaten Endpunkte löschen und dann mithilfe der V2-Benutzeroberfläche neue private Endpunkte erstellen.
Ein virtuelles Netzwerk kann private Endpunkte für mehrere Recovery Services-Tresore enthalten. Außerdem kann ein Recovery Services-Tresor über private Endpunkte in mehreren virtuellen Netzwerken verfügen. Sie können jedoch maximal 12 private Endpunkte für einen Tresor erstellen.
Ein privater Endpunkt für einen Tresor verwendet 10 private IP-Adressen. Die Anzahl kann im Laufe der Zeit steigen. Stellen Sie beim Erstellen privater Endpunkte sicher, dass genügend IP-Adressen verfügbar sind.
Private Endpunkte für Azure Backup enthalten keinen Zugriff auf Microsoft Entra ID. Stellen Sie daher den Zugriff derart sicher, dass für IP-Adressen und FQDNs, die für den Betrieb von Microsoft Entra ID in einer Region erforderlich sind, ein ausgehender Zugriff aus dem abgesicherten Netzwerk mit Status „Gestattet“ besteht, wenn Sie eine Sicherung von Datenbanken in Azure-VMs und eine Sicherung mit dem MARS-Agent durchführen möchten. Sie können ggf. auch NSG- und Azure Firewall-Tags verwenden, um Zugriff auf Microsoft Entra ID zu gewähren.
Sie müssen den Recovery Services-Ressourcenanbieter erneut mit dem Abonnement registrieren, wenn Sie ihn vor dem 1. Mai 2020 registriert haben. Um den Anbieter erneut zu registrieren, wechseln Sie im Azure-Portal zu Ihrem Abonnement>Ressourcenanbieter, und wählen Sie Microsoft.RecoveryServices>Erneut registrieren aus.
Sie können DNS abonnementübergreifend erstellen.
Sie können einen sekundären privaten Endpunkt vor oder nach dem Erhalt geschützter Elemente im Tresor erstellen. Erfahren Sie, wie Sie die regionsübergreifende Wiederherstellung in einem Tresor mit privatem Endpunkt ausführen.
Empfohlene und unterstützte Szenarien
Solange private Endpunkte für den Tresor aktiviert sind, werden sie nur für die Sicherung und Wiederherstellung von SQL- und SAP HANA-Workloads auf einer Azure-VM, in einer MARS-Agent-Sicherung und in DPM verwendet. Sie können den Tresor auch für die Sicherung anderer Workloads einsetzen (die allerdings keine privaten Endpunkte benötigen). Neben der Sicherung von SQL- und SAP HANA-Workloads und einer Sicherung mit dem MARS-Agent werden private Endpunkte bei einer Azure-VM-Sicherung auch für die Dateiwiederherstellung verwendet.
In der folgenden Tabelle sind die Szenarien und Empfehlungen aufgeführt:
| Szenario | Empfehlung |
|---|---|
| Sicherung von Workloads auf einer Azure-VM, in einer MARS-Agent-Sicherung und auf einem DPM-Server. | Die Verwendung von privaten Endpunkten wird empfohlen, um die Sicherung und Wiederherstellung zu ermöglichen, ohne dass Sie IPs/FQDNs für Azure Backup oder Azure Storage aus Ihren virtuellen Netzwerken zu einer Zulassungsliste hinzufügen müssen. Stellen Sie in diesem Szenario sicher, dass VMs, die SQL-Datenbanken hosten, Microsoft Entra ID-IP-Adressen oder FQDNs erreichen können. |
| Azure-VM-Sicherung | Für die VM-Sicherung ist es nicht erforderlich, Zugriff auf IP-Adressen oder FQDNs zu gewähren. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung von Datenträgern benötigt. Die Dateiwiederherstellung aus einem Tresor mit privaten Endpunkten wäre jedoch auf virtuelle Netzwerke beschränkt, die einen privaten Endpunkt für den Tresor enthalten. Wenn Sie nicht verwaltete Datenträger mit Zugriffssteuerungslisten (ACLs) verwenden, stellen Sie sicher, dass das Speicherkonto mit den Datenträgern den Zugriff auf vertrauenswürdige Microsoft-Dienste erlaubt, wenn eine ACL vorhanden ist. |
| Azure Files-Sicherung | Azure Files-Sicherungen werden im lokalen Speicherkonto gespeichert. Deshalb werden keine privaten Endpunkte für die Sicherung und Wiederherstellung benötigt. |
| VNet für privaten Endpunkt im Tresor und virtuellen Computer geändert | Beenden Sie den Sicherungsschutz, und konfigurieren Sie den Sicherungsschutz in einem neuen Tresor mit aktivierten privaten Endpunkten. |
Hinweis
Private Endpunkte werden nur mit DPM Server 2022, MABS v4 und höher unterstützt.
Unterschied bei Netzwerkverbindungen für private Endpunkte
Wie bereits erwähnt, sind private Endpunkte besonders nützlich für die Sicherung von Workloads (SQL, SAP HANA) in Azure-VMs und MARS-Agent-Sicherungen.
In allen Szenarien (mit oder ohne private Endpunkte) führen sowohl die Workloaderweiterungen (für die Sicherung von SQL- und SAP HANA-Instanzen, die auf Azure-VMs ausgeführt werden) und der MARS-Agent Verbindungsaufrufe an Microsoft Entra ID aus (zu FQDNs, die in den Abschnitten 56 und 59 in Microsoft 365 Common und Office Online erwähnt werden).
Wenn die Workloaderweiterung oder der MARS-Agent für den Recovery Services-Tresor ohne private Endpunkte installiert wird, ist zusätzlich zu diesen Verbindungen auch eine Verbindung mit den folgenden Domänen erforderlich:
| Dienst | Domänenname | Port |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Gewähren Sie wie in diesem Artikel in den Abschnitten 56 und 59 beschrieben Zugriff auf FQDNs. |
443 Wie anwendbar |
Wenn die Workloaderweiterung oder der MARS-Agent für den Recovery Services-Tresor mit privatem Endpunkt installiert ist, werden die folgenden Endpunkte angesprochen:
| Dienst | Domänenname | Port |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com Gewähren Sie wie in diesem Artikel in den Abschnitten 56 und 59 beschrieben Zugriff auf FQDNs. |
443 Wie anwendbar |
Hinweis
Im oben stehenden Text bezieht sich <geo> auf den Regionscode (z. B. eus für „USA, Osten“ und ne für „Europa, Norden“). In den folgenden Listen finden Sie die Regionscodes:
Bei einem Recovery Services-Tresor mit Einrichtung eines privaten Endpunkts sollte die Namensauflösung für die FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) eine private IP-Adresse zurückgeben. Dies kann erreicht werden mittels:
- Private Azure-DNS-Zonen
- Benutzerdefinierter DNS
- DNS-Einträge in Hostdateien
- Bedingte Weiterleitungen an Azure DNS-/Private Azure DNS-Zonen.
Die privaten IP-Zuordnungen für das Speicherkonto sind im privaten Endpunkt aufgeführt, der für den Recovery Services-Tresor erstellt wurde. Es wird empfohlen, Azure Privates DNS-Zonen zu verwenden, da die DNS-Einträge für Blobs und Warteschlangen dann von Azure verwaltet werden können. Wenn dem Tresor neue Speicherkonten zugewiesen werden, wird der DNS-Eintrag für die private IP-Adresse automatisch zu den privaten Azure DNS-Zonen des Blobs oder der Warteschlange hinzugefügt.
Wenn Sie einen DNS-Proxyserver mithilfe von Proxyservern oder Firewalls von Drittanbietern konfiguriert haben, müssen die oben genannten Domänennamen zugelassen und an ein benutzerdefiniertes DNS (mit DNS-Einträgen für die oben genannten FQDNs) oder an die Adresse 168.63.129.16 im virtuellen Azure-Netzwerk umgeleitet werden, das verknüpfte private DNS-Zonen aufweist.
Das folgende Beispiel zeigt, wie die Azure-Firewall als DNS-Proxy verwendet wird, um die Abfragen von Domänennamen für Recovery Services-Tresore, Blobs, Warteschlangen und Microsoft Entra ID an 168.63.129.16 umzuleiten.
Weitere Informationen finden Sie unter Erstellen und Verwenden privater Endpunkte.
Netzwerkkonnektivität für einen Tresor mit privaten Endpunkten
Der private Endpunkt für Wiederherstellungsdienste ist einer Netzwerkschnittstelle (Network Interface, NIC) zugeordnet. Damit private Endpunktverbindungen funktionieren, muss der gesamte Datenverkehr für den Azure-Dienst an die Netzwerkschnittstelle umgeleitet werden. Sie erreichen dies, indem Sie die DNS-Zuordnung für private IP-Adressen, die der Netzwerkschnittstelle zugeordnet ist, zur Dienst-/Blob-/Warteschlangen-URL hinzufügen.
Wenn die Erweiterungen für die Workloadsicherung auf dem virtuellen Computer installiert sind, der in einem Recovery Services-Tresor mit einem privaten Endpunkt registriert ist, versucht die Erweiterung, eine Verbindung über die private URL der Azure Backup-Dienste <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com herzustellen.
Wenn die private URL nicht aufgelöst werden kann, versucht es die Erweiterung mit der öffentlichen URL <azure_backup_svc>.<geo>.backup.windowsazure.com. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Tresor mit der Option Aus allen Netzwerken zulassen konfiguriert ist, lässt der er die Anforderungen der Erweiterung über öffentliche URLs zu. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Tresor mit der Option Verweigern konfiguriert ist, verweigert er die Anforderungen der Erweiterung über öffentliche URLs.
Hinweis
In den obigen Domänennamen legt „<geo>“ den Regionscode fest (z. B. „eus“ für „USA, Osten“ oder „ne“ für „Europa, Norden“). Weitere Informationen zu den Regionscodes finden Sie in der folgenden Liste:
Diese privaten URLs sind spezifisch für den Tresor. Nur beim Tresor registrierte Erweiterungen und Agents können über diese Endpunkte mit dem Azure Backup-Dienst kommunizieren. Wenn der öffentliche Netzwerkzugriff für den Recovery Services-Tresor mit der Option Verweigern konfiguriert ist, hindert dies die nicht im VNet ausgeführten Clients daran, die Sicherungs- und Wiederherstellungsoperationen im Tresor anzufordern. Es wird empfohlen, den öffentlichen Netzwerkzugriff bei der Einrichtung eines privaten Endpunkts auf Verweigern festzulegen. Wenn die Erweiterung und der Agent zuerst versuchen, die private URL zu verwenden, sollte die *.privatelink.<geo>.backup.windowsazure.com-DNS-Auflösung der URL die entsprechende private IP-Adresse zurückgegeben, die dem privaten Endpunkt zugeordnet ist.
Es gibt mehrere Lösungen für die DNS-Auflösung:
- Private Azure-DNS-Zonen
- Benutzerdefinierter DNS
- DNS-Einträge in Hostdateien
- Bedingte Weiterleitungen an Azure DNS-/Private Azure DNS-Zonen.
Wenn der private Endpunkt für Recovery Services-Tresore über das Azure-Portal mithilfe der Option In private DNS-Zone integrieren erstellt wird, werden die erforderlichen DNS-Einträge für private IP-Adressen für die Azure Backup-Dienste (*.privatelink.<geo>backup.windowsazure.com) automatisch erstellt, wenn die Ressource zugeordnet wird. In anderen Lösungen müssen Sie die DNS-Einträge für diese FQDNs manuell im benutzerdefinierten DNS oder in den Hostdateien erstellen.
Informationen zur manuellen Verwaltung von DNS-Einträgen nach der VM-Ermittlung für den Kommunikationskanal – Blob oder Warteschlange – finden Sie unter DNS-Einträge für Blobs und Warteschlangen (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Registrierung. Informationen zur manuellen Verwaltung von DNS-Einträgen nach der ersten Sicherung für das Sicherungsspeicherkontoblob finden Sie unter DNS-Einträge für Blobs (nur für benutzerdefinierte DNS-Server/Hostdateien) nach der ersten Sicherung.
Die privaten IP-Adressen für die FQDNs finden Sie im Bereich DNS-Konfiguration für den privaten Endpunkt, der für den Recovery Services-Tresor erstellt wurde.
Das folgende Diagramm zeigt, wie die Auflösung funktioniert, wenn eine private DNS-Zone zur Auflösung dieser privaten Dienst-FQDNs verwendet wird.
Die Workloaderweiterung, die auf einem virtuellen Azure-Computer ausgeführt wird, erfordert eine Verbindung mit mindestens zwei Speicherkontoendpunkten. Das erste wird als Kommunikationskanal (über Warteschlangennachrichten) und das zweite zum Speichern von Sicherungsdaten verwendet. Der MARS-Agent benötigt Zugriff auf mindestens einen Speicherkontoendpunkt, der zum Speichern von Sicherungsdaten verwendet wird.
Für einen Tresor mit aktiviertem privaten Endpunkt erstellt der Azure Backup-Dienst einen privaten Endpunkt für diese Speicherkonten. Dies verhindert, dass netzwerkbezogener Datenverkehr im Zusammenhang mit Azure Backup (Datenverkehr der Steuerungsebene zum Dienst und Sicherungsdaten zum Speicherblob) das virtuelle Netzwerk verlässt. Zusätzlich zu Azure Backup-Clouddiensten erfordern die Workloaderweiterung und der Agent eine Verbindung mit Azure Storage-Konten und Microsoft Entra ID.
Das folgende Diagramm zeigt, wie die Namensauflösung für Speicherkonten funktioniert, die eine private DNS-Zone verwenden.
Das folgende Diagramm zeigt, wie Sie die regionsübergreifende Wiederherstellung über private Endpunkte durchführen können, indem Sie den privaten Endpunkt in einer sekundären Region replizieren. Erfahren Sie, wie Sie die regionsübergreifende Wiederherstellung in einem Tresor mit privatem Endpunkt ausführen.
