Creare e usare endpoint privati (esperienza v1) per Backup di Azure

Questo articolo fornisce informazioni sul processo di creazione di endpoint privati per Backup di Azure e sugli scenari in cui gli endpoint privati consentono di mantenere la sicurezza delle risorse.

Nota

Backup di Azure ora offre una nuova esperienza per la creazione di endpoint privati. Altre informazioni.

Prima di iniziare

Assicurarsi di aver letto i prerequisiti e gli scenari supportati prima di procedere alla creazione di endpoint privati.

Questi dettagli consentono di comprendere le limitazioni e le condizioni che devono essere soddisfatte prima di creare endpoint privati per gli insiemi di credenziali.

Introduzione alla creazione di endpoint privati per il backup

Le sezioni seguenti illustrano i passaggi necessari per la creazione e l'uso di endpoint privati per Backup di Azure all'interno delle reti virtuali.

Importante

È consigliabile seguire i passaggi nella stessa sequenza descritta in questo documento. In caso contrario, il rendering dell'insieme di credenziali potrebbe non essere compatibile con l'uso di endpoint privati e la necessità di riavviare il processo con un nuovo insieme di credenziali.

Creare un insieme di credenziali di Servizi di ripristino

Gli endpoint privati per il backup possono essere creati solo per gli insiemi di credenziali di Servizi di ripristino che non dispongono di elementi protetti o che non hanno tentato di proteggere o registrare elementi in passato. È quindi consigliabile creare un nuovo insieme di credenziali per iniziare. Per altre informazioni sulla creazione di un nuovo insieme di credenziali, vedere Creare e configurare un insieme di credenziali di Servizi di ripristino.

Vedere questa sezione per informazioni su come creare un insieme di credenziali usando il client di Azure Resource Manager. Verrà creato un insieme di credenziali con l'identità gestita già abilitata.

Negare l'accesso alla rete pubblica all'insieme di credenziali

È possibile configurare gli insiemi di credenziali per negare l'accesso dalle reti pubbliche.

Seguire questa procedura:

  1. Passare all'insieme di credenziali>Rete.

  2. Nella scheda Accesso pubblico selezionare Nega per impedire l'accesso dalle reti pubbliche.

    Screenshot che mostra come selezionare l'opzione Nega.

    Nota

  3. Seleziona Applica per salvare le modifiche.

Abilitare l'identità gestita per l'insieme di credenziali

Le identità gestite consentono all'insieme di credenziali di creare e usare endpoint privati. In questa sezione viene illustrata l'abilitazione dell'identità gestita per l'insieme di credenziali.

  1. Passare all'insieme di credenziali di Servizi di ripristino -> Identità.

    Modificare lo stato dell'identità su Sì

  2. Impostare Stato su Sì e selezionare Salva.

  3. Viene generato un ID oggetto, ovvero l'identità gestita dell'insieme di credenziali.

    Nota

    Una volta abilitata, l'identità gestita non deve essere disabilitata (anche temporaneamente). La disabilitazione dell'identità gestita può causare comportamenti incoerenti.

Concedere autorizzazioni all'insieme di credenziali per creare endpoint privati necessari

Per creare gli endpoint privati necessari per Backup di Azure, l'insieme di credenziali (identità gestita dell'insieme di credenziali) deve disporre delle autorizzazioni per i gruppi di risorse seguenti:

  • Gruppo di risorse che contiene la rete virtuale di destinazione
  • Gruppo di risorse in cui devono essere creati gli endpoint privati
  • Gruppo di risorse che contiene le zone DNS privato, come descritto in dettaglio qui

È consigliabile concedere il ruolo Collaboratore per questi tre gruppi di risorse all'insieme di credenziali (identità gestita). I passaggi seguenti descrivono come eseguire questa operazione per un gruppo di risorse specifico (questa operazione deve essere eseguita per ognuno dei tre gruppi di risorse):

  1. Passare al gruppo di risorse e passare a Controllo di accesso (IAM) sulla barra sinistra.

  2. Una volta in Controllo di accesso, passare a Aggiungi un'assegnazione di ruolo.

    Aggiungere un'assegnazione di ruolo

  3. Nel riquadro Aggiungi assegnazione di ruolo scegliere Collaboratore come ruolo e usare il nome dell'insieme di credenziali come entità. Selezionare l'insieme di credenziali e selezionare Salva al termine.

    Scegliere ruolo e entità

Per gestire le autorizzazioni a un livello più granulare, vedere Creare manualmente ruoli e autorizzazioni.

Creare endpoint privati per Backup di Azure

Questa sezione illustra come creare un endpoint privato per l'insieme di credenziali.

  1. Passare all'insieme di credenziali creato in precedenza e passare a Connessioni endpoint privato sulla barra di spostamento a sinistra. Selezionare +Endpoint privato nella parte superiore per iniziare a creare un nuovo endpoint privato per questo insieme di credenziali.

    Creare un nuovo endpoint privato

  2. Una volta nel processo Crea endpoint privato, sarà necessario specificare i dettagli per la creazione della connessione all'endpoint privato.

    1. Informazioni di base: immettere i dettagli di base per gli endpoint privati. L'area deve corrispondere all'insieme di credenziali e alla risorsa di cui viene eseguito il backup.

      Compilare i dettagli di base

    2. Risorsa: questa scheda richiede di selezionare la risorsa PaaS per cui si vuole creare la connessione. Selezionare Microsoft.RecoveryServices/vaults dal tipo di risorsa per la sottoscrizione desiderata. Al termine, scegliere il nome dell'insieme di credenziali di Servizi di ripristino come risorsa e AzureBackup come sotto-risorsa di destinazione.

      Selezionare la risorsa per la connessione

    3. Configurazione: nella configurazione specificare la rete virtuale e la subnet in cui si vuole creare l'endpoint privato. Si tratta della rete virtuale in cui è presente la macchina virtuale.

      Per connettersi privatamente, sono necessari record DNS necessari. In base alla configurazione di rete, è possibile scegliere una delle opzioni seguenti:

      • Integrare l'endpoint privato con una zona DNS privata: selezionare se si vuole integrare.
      • Usare il server DNS personalizzato: selezionare No se si vuole usare il proprio server DNS.

      La gestione dei record DNS per entrambi questi record è descritta più avanti.

      Specificare la rete virtuale e la subnet

    4. Facoltativamente, è possibile aggiungere tag per l'endpoint privato.

    5. Continuare a Rivedi e crea dopo aver immesso i dettagli. Al termine della convalida, selezionare Crea per creare l'endpoint privato.

Approvare gli endpoint privati

Se l'utente che crea l'endpoint privato è anche il proprietario dell'insieme di credenziali di Servizi di ripristino, l'endpoint privato creato in precedenza verrà approvato automaticamente. In caso contrario, il proprietario dell'insieme di credenziali deve approvare l'endpoint privato prima di poterlo usare. Questa sezione illustra l'approvazione manuale degli endpoint privati tramite il portale di Azure.

Vedere Approvazione manuale degli endpoint privati con il client di Azure Resource Manager per usare il client di Azure Resource Manager per l'approvazione di endpoint privati.

  1. Nell'insieme di credenziali di Servizi di ripristino passare a Connessioni endpoint privato sulla barra sinistra.

  2. Selezionare la connessione all'endpoint privato da approvare.

  3. Selezionare Approva sulla barra superiore. È anche possibile selezionare Rifiuta o Rimuovi se si desidera rifiutare o eliminare la connessione all'endpoint.

    Approvare gli endpoint privati

Gestire i record DNS

Come descritto in precedenza, sono necessari i record DNS necessari nelle zone DNS private o nei server per connettersi privatamente. È possibile integrare l'endpoint privato direttamente con le zone DNS private di Azure o usare i server DNS personalizzati per ottenere questo risultato, in base alle preferenze di rete. Questa operazione deve essere eseguita per tutti e tre i servizi: Backup, BLOB e code.

Inoltre, se la zona DNS o il server è presente in una sottoscrizione diversa da quella che contiene l'endpoint privato, vedere anche Creare voci DNS quando la zona DNS/server DNS è presente in un'altra sottoscrizione.

Quando si integrano endpoint privati con zone DNS private di Azure

Se si sceglie di integrare l'endpoint privato con zone DNS private, Backup di Azure aggiungerà i record DNS necessari. È possibile visualizzare le zone DNS private usate nella configurazione DNS dell'endpoint privato. Se queste zone DNS non sono presenti, verranno create automaticamente durante la creazione dell'endpoint privato.

Nota

L'identità gestita assegnata all'insieme di credenziali deve avere le autorizzazioni per aggiungere record DNS nella zona di DNS privato di Azure.

Tuttavia, è necessario verificare che la rete virtuale (che contiene le risorse di cui eseguire il backup) sia collegata correttamente a tutte e tre le zone DNS private, come descritto di seguito.

Configurazione DNS nella zona DNS privato di Azure

Nota

Se si usano server proxy, è possibile scegliere di ignorare il server proxy o eseguire i backup tramite il server proxy. Per ignorare un server proxy, continuare con le sezioni seguenti. Per usare il server proxy per eseguire i backup, vedere i dettagli di configurazione del server proxy per l'insieme di credenziali di Servizi di ripristino.

Per ogni zona DNS privata elencata in precedenza (per backup, BLOB e code), eseguire le operazioni seguenti:

  1. Passare all'opzione Collegamenti di rete virtuale corrispondente sulla barra di spostamento a sinistra.

  2. Dovrebbe essere possibile visualizzare una voce per la rete virtuale per cui è stato creato l'endpoint privato, come quello illustrato di seguito:

    Rete virtuale per endpoint privato

  3. Se non viene visualizzata una voce, aggiungere un collegamento di rete virtuale a tutte le zone DNS che non le hanno.

    Aggiungere un collegamento di rete virtuale

Quando si usano file host o server DNS personalizzati

  • Se si usa un server DNS personalizzato, è possibile usare il server d'inoltro condizionale per il servizio di backup, il BLOB e gli FQDN della coda per reindirizzare le richieste DNS a DNS di Azure (168.63.129.16). DNS di Azure lo reindirizza alla zona DNS privato di Azure. In questa configurazione assicurarsi che esista un collegamento di rete virtuale per la zona di DNS privato di Azure, come indicato in questa sezione.

    La tabella seguente elenca le zone DNS privato di Azure richieste da Backup di Azure:

    Zona Service
    privatelink.<geo>.backup.windowsazure.com Backup
    privatelink.blob.core.windows.net BLOB
    privatelink.queue.core.windows.net Queue

    Nota

    Nel testo precedente si <geo> riferisce al codice dell'area (ad esempio eus e ne rispettivamente per Stati Uniti orientali ed Europa settentrionale). Per i codici delle aree, vedere gli elenchi seguenti:

  • Se si usano server DNS personalizzati o file host e non si dispone della configurazione della zona di Azure DNS privato, è necessario aggiungere i record DNS richiesti dagli endpoint privati ai server DNS o nel file host.

    • Per il servizio di backup: passare all'endpoint privato creato e quindi passare alla configurazione DNS. Aggiungere quindi una voce per ogni FQDN e IP visualizzato come record Di tipo A nella zona DNS per il backup.

      Se si usa un file host per la risoluzione dei nomi, impostare le voci corrispondenti nel file host per ogni IP e FQDN in base al formato : <private ip><space><backup service privatelink FQDN>.

    • Per il BLOB e la coda: backup di Azure crea gli endpoint privati per BLOB e code usando le autorizzazioni di identità gestita. Gli endpoint privati per BLOB e code seguono un modello di denominazione standard, iniziano con <the name of the private endpoint>_ecs o <the name of the private endpoint>_prote sono rispettivamente con _blob _queue e .

      Passare all'endpoint privato creato da Backup di Azure seguendo il modello precedente e quindi passare alla configurazione DNS. Aggiungere quindi una voce per ogni FQDN e IP visualizzato come record Di tipo A nella zona DNS per il backup.

      Se si usa un file host per la risoluzione dei nomi, impostare le voci corrispondenti nel file host per ogni IP e FQDN in base al formato : <private ip><space><blob/queue FQDN>.

Nota

Backup di Azure può allocare un nuovo account di archiviazione per l'insieme di credenziali per i dati di backup e l'estensione o l'agente deve accedere ai rispettivi endpoint. Per altre informazioni su come aggiungere altri record DNS dopo la registrazione e il backup, vedere le indicazioni nella sezione Usare endpoint privati per il backup .

Usare endpoint privati per il backup

Dopo aver approvato gli endpoint privati creati per l'insieme di credenziali nella rete virtuale, è possibile iniziare a usarli per eseguire i backup e i ripristini.

Importante

Prima di procedere, assicurarsi di aver completato tutti i passaggi indicati in precedenza nel documento. Per riepilogare, è necessario aver completato i passaggi nell'elenco di controllo seguente:

  1. Creazione di un insieme di credenziali di Servizi di ripristino (nuovo)
  2. Abilitazione dell'insieme di credenziali per l'uso dell'identità gestita assegnata dal sistema
  3. Autorizzazioni rilevanti assegnate all'identità gestita dell'insieme di credenziali
  4. Creazione di un endpoint privato per l'insieme di credenziali
  5. Approvato l'endpoint privato (se non approvato automaticamente)
  6. Assicurarsi che tutti i record DNS vengano aggiunti in modo appropriato (ad eccezione dei record BLOB e della coda per i server personalizzati, che verranno illustrati nelle sezioni seguenti)

Controllare la connettività della macchina virtuale

Nella macchina virtuale nella rete bloccata verificare quanto segue:

  1. La macchina virtuale deve avere accesso a Microsoft Entra ID.
  2. Eseguire nslookup nell'URL di backup (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) dalla macchina virtuale per garantire la connettività. Verrà restituito l'indirizzo IP privato assegnato nella rete virtuale.

Configurare il backup

Dopo aver verificato che l'elenco di controllo precedente e l'accesso a siano stati completati correttamente, è possibile continuare a configurare il backup dei carichi di lavoro nell'insieme di credenziali. Se si usa un server DNS personalizzato, è necessario aggiungere voci DNS per BLOB e code disponibili dopo la configurazione del primo backup.

Record DNS per BLOB e code (solo per server DNS/file host personalizzati) dopo la prima registrazione

Dopo aver configurato il backup per almeno una risorsa in un insieme di credenziali abilitato per l'endpoint privato, aggiungere i record DNS necessari per BLOB e code, come descritto di seguito.

  1. Passare al gruppo di risorse e cercare l'endpoint privato creato.

  2. Oltre al nome dell'endpoint privato specificato dall'utente, verranno visualizzati altri due endpoint privati creati. Questi iniziano con <the name of the private endpoint>_ecs e sono rispettivamente con _blob e _queue .

    Risorse dell'endpoint privato

  3. Passare a ognuno di questi endpoint privati. Nell'opzione di configurazione DNS per ognuno dei due endpoint privati verrà visualizzato un record con e un FQDN e un indirizzo IP. Aggiungere entrambi al server DNS personalizzato, oltre a quelli descritti in precedenza. Se si usa un file host, creare voci corrispondenti nel file host per ogni IP/FQDN in base al formato seguente:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Configurazione DNS BLOB

Oltre a quanto sopra riportato, è necessaria un'altra voce dopo il primo backup, che verrà descritta più avanti.

Backup e ripristino dei carichi di lavoro nella macchina virtuale di Azure (SQL e SAP HANA)

Dopo aver creato e approvato l'endpoint privato, non sono necessarie altre modifiche dal lato client per usare l'endpoint privato (a meno che non si usino gruppi di disponibilità SQL, che verranno illustrati più avanti in questa sezione). Tutte le comunicazioni e il trasferimento dei dati dalla rete protetta all'insieme di credenziali verranno eseguiti tramite l'endpoint privato. Tuttavia, se si rimuovono gli endpoint privati per l'insieme di credenziali dopo la registrazione di un server (SQL o SAP HANA), sarà necessario registrare nuovamente il contenitore con l'insieme di credenziali. Non è necessario interrompere la protezione per loro.

Record DNS per i BLOB (solo per server DNS personalizzati/file host) dopo il primo backup

Dopo aver eseguito il primo backup e aver usato un server DNS personalizzato (senza inoltro condizionale), è probabile che il backup abbia esito negativo. In tal caso:

  1. Passare al gruppo di risorse e cercare l'endpoint privato creato.

  2. A parte i tre endpoint privati illustrati in precedenza, verrà ora visualizzato un quarto endpoint privato con il nome che inizia con <the name of the private endpoint>_prot e con il suffisso _blob.

    Endpoing privato con suffisso

  3. Passare a questo nuovo endpoint privato. Nell'opzione di configurazione DNS verrà visualizzato un record con un nome di dominio completo e un indirizzo IP. Aggiungerli al server DNS privato, oltre a quelli descritti in precedenza.

    Se si usa un file host, creare le voci corrispondenti nel file host per ogni IP e FQDN in base al formato seguente:

    <private ip><space><blob service privatelink FQDN>

Nota

A questo punto, è necessario essere in grado di eseguire nslookup dalla macchina virtuale e risolvere gli indirizzi IP privati al termine del backup dell'insieme di credenziali e Archiviazione URL.

Quando si usano gruppi di disponibilità SQL

Quando si usano gruppi di disponibilità SQL, è necessario effettuare il provisioning dell'inoltro condizionale nel DNS del gruppo di disponibilità personalizzato, come descritto di seguito:

  1. Accedere al controller di dominio.

  2. Nell'applicazione DNS aggiungere server d'inoltro condizionale per tutte e tre le zone DNS (Backup, BLOB e code) all'indirizzo IP host 168.63.129.16 o all'indirizzo IP del server DNS personalizzato, se necessario. Gli screenshot seguenti mostrano quando si esegue l'inoltro all'indirizzo IP dell'host di Azure. Se si usa il proprio server DNS, sostituire con l'INDIRIZZO IP del server DNS.

    Server d'inoltro condizionale in Gestione DNS

    Nuovo server d'inoltro condizionale

Eseguire il backup e il ripristino tramite l'agente MARS e il server DPM

Quando si usa l'agente MARS per eseguire il backup delle risorse locali, assicurarsi che la rete locale (contenente le risorse di cui eseguire il backup) sia sottoposta a peering con la rete virtuale di Azure che contiene un endpoint privato per l'insieme di credenziali, in modo da poterla usare. È quindi possibile continuare a installare l'agente MARS e configurare il backup come descritto qui. Tuttavia, è necessario assicurarsi che tutte le comunicazioni per il backup vengano eseguite solo tramite la rete con peering.

Tuttavia, se si rimuovono gli endpoint privati per l'insieme di credenziali dopo che è stato registrato un agente MARS, sarà necessario registrare nuovamente il contenitore con l'insieme di credenziali. Non è necessario interrompere la protezione per loro.

Nota

  • Gli endpoint privati sono supportati solo con il server DPM 2022 (10.22.123.0) e versioni successive.
  • Gli endpoint privati sono supportati solo con MABS V4 (14.0.30.0) e versioni successive.

Eliminazione di endpoint privati

Vedere questa sezione per informazioni su come eliminare endpoint privati.

Argomenti aggiuntivi

Creare un insieme di credenziali di Servizi di ripristino usando il client di Azure Resource Manager

È possibile creare l'insieme di credenziali di Servizi di ripristino e abilitarne l'identità gestita ,abilitando l'identità gestita, come illustrato più avanti, usando il client di Azure Resource Manager. Di seguito è riportato un esempio per eseguire questa operazione:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

Il file JSON precedente deve avere il contenuto seguente:

Richiedi JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Json della risposta:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Nota

L'insieme di credenziali creato in questo esempio tramite il client di Azure Resource Manager è già stato creato con un'identità gestita assegnata dal sistema.

Gestione delle autorizzazioni per i gruppi di risorse

L'identità gestita per l'insieme di credenziali deve avere le autorizzazioni seguenti nel gruppo di risorse e nella rete virtuale in cui verranno creati gli endpoint privati:

  • Microsoft.Network/privateEndpoints/* Questa operazione è necessaria per eseguire CRUD sugli endpoint privati nel gruppo di risorse. Deve essere assegnato nel gruppo di risorse.
  • Microsoft.Network/virtualNetworks/subnets/join/action Questa operazione è necessaria nella rete virtuale in cui l'indirizzo IP privato viene collegato all'endpoint privato.
  • Microsoft.Network/networkInterfaces/read Questa operazione è necessaria nel gruppo di risorse per ottenere l'interfaccia di rete creata per l'endpoint privato.
  • DNS privato ruolo Collaboratore zona Questo ruolo esiste già e può essere usato per fornire Microsoft.Network/privateDnsZones/A/* e Microsoft.Network/privateDnsZones/virtualNetworkLinks/read autorizzazioni.

Per creare ruoli con le autorizzazioni necessarie, è possibile usare uno dei metodi seguenti:

Creare ruoli e autorizzazioni manualmente

Creare i file JSON seguenti e usare il comando PowerShell alla fine della sezione per creare ruoli:

PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Usare uno script

  1. Avviare Cloud Shell nel portale di Azure e selezionare Carica file nella finestra di PowerShell.

    Selezionare Carica file nella finestra di PowerShell

  2. Caricare lo script seguente: VaultMsiPrereqScript

  3. Passare alla home folder (ad esempio: cd /home/user)

  4. Eseguire lo script seguente:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Questi sono i parametri:

    • sottoscrizione: **SubscriptionId con il gruppo di risorse in cui deve essere creato l'endpoint privato per l'insieme di credenziali e la subnet in cui verrà collegato l'endpoint privato dell'insieme di credenziali

    • vaultPEResourceGroup: gruppo di risorse in cui verrà creato l'endpoint privato per l'insieme di credenziali

    • vaultPESubnetResourceGroup: gruppo di risorse della subnet a cui verrà aggiunto l'endpoint privato

    • vaultMsiName: nome dell'identità del servizio gestito dell'insieme di credenziali, che corrisponde a VaultName

  5. Completare l'autenticazione e lo script prenderà il contesto della sottoscrizione specificata fornita in precedenza. Creerà i ruoli appropriati se non sono presenti nel tenant e assegnerà ruoli all'identità del servizio gestito dell'insieme di credenziali.

Creazione di endpoint privati con Azure PowerShell

Endpoint privati approvati automaticamente

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Approvazione manuale degli endpoint privati con il client di Azure Resource Manager

  1. Usare GetVault per ottenere l'ID dell'endpoint privato Connessione ion per l'endpoint privato.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Verrà restituito l'ID dell'endpoint privato Connessione ion. Il nome della connessione può essere recuperato usando la prima parte dell'ID connessione come indicato di seguito:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Ottenere l'ID dell'endpoint privato Connessione ion (e il nome dell'endpoint privato, ovunque necessario) dalla risposta e sostituirlo nell'URI JSON e di Azure Resource Manager seguente e provare a modificare lo stato in "Approvato/Rifiutato/Disconnesso", come illustrato nell'esempio seguente:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Configurare il server proxy per l'insieme di credenziali di Servizi di ripristino con endpoint privato

Per configurare un server proxy per una macchina virtuale di Azure o un computer locale, seguire questa procedura:

  1. Aggiungere i domini seguenti a cui è necessario accedere dal server proxy.

    Service Nomi di dominio Porta
    Backup di Azure *.backup.windowsazure.com 443
    Archiviazione di Azure *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    URL di dominio aggiornati indicati nelle sezioni 56 e 59 in Microsoft 365 Common e Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Come applicabile.
  2. Consentire l'accesso a questi domini nel server proxy e collegare la zona DNS privata ( *.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) alla rete virtuale in cui viene creato il server proxy o usa un server DNS personalizzato con le rispettive voci DNS.

    La rete virtuale in cui è in esecuzione il server proxy e la rete virtuale in cui viene creata la scheda di interfaccia di rete dell'endpoint privato devono essere sottoposte a peering, consentendo al server proxy di reindirizzare le richieste all'indirizzo IP privato.

    Nota

    Nel testo precedente si <geo> riferisce al codice dell'area (ad esempio eus e ne rispettivamente per Stati Uniti orientali ed Europa settentrionale). Per i codici delle aree, vedere gli elenchi seguenti:

Il diagramma seguente mostra una configurazione (mentre si usano le zone di Azure DNS privato) con un server proxy, la cui rete virtuale è collegata a una zona DNS privata con le voci DNS necessarie. Il server proxy può anche avere un proprio server DNS personalizzato e i domini precedenti possono essere inoltrati in modo condizionale a 168.63.129.16. Se si usa un file server/host DNS personalizzato per la risoluzione DNS, vedere le sezioni sulla gestione delle voci DNS e sulla configurazione della protezione.

Diagramma che mostra un'installazione con un server proxy.

Creare voci DNS quando la zona DNS/server DNS è presente in un'altra sottoscrizione

In questa sezione verranno illustrati i casi in cui si usa una zona DNS presente in una sottoscrizione o un gruppo di risorse diverso da quello che contiene l'endpoint privato per l'insieme di credenziali di Servizi di ripristino, ad esempio una topologia hub-spoke. Poiché l'identità gestita usata per la creazione di endpoint privati (e le voci DNS) dispone delle autorizzazioni solo per il gruppo di risorse in cui vengono creati gli endpoint privati, sono necessarie anche le voci DNS necessarie. Usare gli script di PowerShell seguenti per creare voci DNS.

Nota

Per ottenere i risultati necessari, vedere l'intero processo descritto di seguito. Il processo deve essere ripetuto due volte, una volta durante la prima individuazione (per creare voci DNS necessarie per gli account di archiviazione di comunicazione) e una volta durante il primo backup (per creare voci DNS necessarie per gli account di archiviazione back-end).

Passaggio 1: Ottenere le voci DNS necessarie

Usare lo script PrivateIP.ps1 per elencare tutte le voci DNS che devono essere create.

Nota

Nella subscription sintassi seguente si intende la sottoscrizione in cui deve essere creato l'endpoint privato dell'insieme di credenziali.

Sintassi per l'uso dello script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Output di esempio

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Passaggio 2: Creare voci DNS

Creare voci DNS corrispondenti a quelle precedenti. In base al tipo di DNS in uso, sono disponibili due alternative per la creazione di voci DNS.

Caso 1: se si usa un server DNS personalizzato, è necessario creare manualmente voci per ogni record dello script precedente e verificare che il nome di dominio completo (ResourceName.DNS) venga risolto in un indirizzo IP privato all'interno della rete virtuale.

Caso 2: se si usa Azure DNS privato Zona, è possibile usare lo script CreateDN edizione Standard ntries.ps1 per creare automaticamente voci DNS nella zona DNS privato. Nella sintassi seguente, subscription è quella in cui esiste DNS privato Zone.

Sintassi per l'uso dello script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Riepilogo dell'intero processo

Per configurare correttamente l'endpoint privato per l'insieme di credenziali di Servizi di ripristino tramite questa soluzione alternativa, è necessario:

  1. Creare un endpoint privato per l'insieme di credenziali (come descritto in precedenza nell'articolo).
  2. Attivare l'individuazione. L'individuazione per SQL/HANA avrà esito negativo con UserErrorVMInternet Connessione ivityIssue perché le voci DNS sono assenti per l'account di archiviazione delle comunicazioni.
  3. Eseguire gli script per ottenere le voci DNS e creare voci DNS corrispondenti per l'account di archiviazione delle comunicazioni menzionato in precedenza in questa sezione.
  4. Ripetere l'individuazione. Questa volta, l'individuazione dovrebbe avere esito positivo.
  5. Attivare il backup. Il backup per SQL/HANA e MARS potrebbe non riuscire perché le voci DNS sono assenti per gli account di archiviazione back-end, come indicato in precedenza in questa sezione.
  6. Eseguire gli script per creare voci DNS per l'account di archiviazione back-end.
  7. Ritentare il backup. Questa volta, i backup dovrebbero avere esito positivo.

Domande frequenti

È possibile creare un endpoint privato per un insieme di credenziali di Servizi di ripristino esistente?

No, gli endpoint privati possono essere creati solo per i nuovi insiemi di credenziali di Servizi di ripristino. Pertanto, l'insieme di credenziali non deve avere mai avuto elementi protetti. In effetti, non è possibile eseguire alcun tentativo di proteggere gli elementi nell'insieme di credenziali prima di creare endpoint privati.

Si è tentato di proteggere un elemento nell'insieme di credenziali, ma non è riuscito e l'insieme di credenziali non contiene ancora elementi protetti. È possibile creare endpoint privati per questo insieme di credenziali?

No, l'insieme di credenziali non deve aver avuto alcun tentativo di proteggere gli elementi in passato.

Si dispone di un insieme di credenziali che usa endpoint privati per il backup e il ripristino. È possibile aggiungere o rimuovere endpoint privati per questo insieme di credenziali anche se sono protetti gli elementi di backup?

Sì. Se sono già stati creati endpoint privati per un insieme di credenziali e gli elementi di backup protetti, è possibile aggiungere o rimuovere endpoint privati in un secondo momento in base alle esigenze.

È anche possibile usare l'endpoint privato per Backup di Azure per Azure Site Recovery?

No, l'endpoint privato per il backup può essere usato solo per Backup di Azure. Sarà necessario creare un nuovo endpoint privato per Azure Site Recovery, se supportato dal servizio.

Ho perso uno dei passaggi descritti in questo articolo e ho continuato a proteggere l'origine dati. È comunque possibile usare endpoint privati?

Non seguendo la procedura descritta nell'articolo e continuando a proteggere gli elementi, è possibile che l'insieme di credenziali non sia in grado di usare endpoint privati. È quindi consigliabile fare riferimento a questo elenco di controllo prima di procedere alla protezione degli elementi.

È possibile usare il proprio server DNS invece di usare la zona DNS privata di Azure o una zona DNS privata integrata?

Sì, è possibile usare i propri server DNS. Tuttavia, assicurarsi che tutti i record DNS necessari vengano aggiunti come suggerito in questa sezione.

È necessario eseguire altri passaggi sul server dopo aver seguito il processo in questo articolo?

Dopo aver seguito il processo dettagliato in questo articolo, non è necessario eseguire operazioni aggiuntive per usare endpoint privati per il backup e il ripristino.

Passaggi successivi