Visão geral e conceitos de pontos de extremidade privados (experiência v2) do Backup do Azure
O Backup do Azure permite que você execute com segurança as operações de backup e restauração de seus dados dos cofres dos Serviços de Recuperação usando os pontos de extremidade privados. Os pontos de extremidade privados usam um ou mais endereços IP privados da VNet (Rede Virtual do Azure), colocando de fato o serviço na sua VNet.
O Backup do Azure agora fornece uma experiência aprimorada na criação e no uso de pontos de extremidade privados em comparação com a experiência clássica (v1).
Este artigo descreve como as capacidades aprimoradas dos pontos de extremidade privados do Backup do Azure funcionam e ajudam a executar backups, mantendo a segurança de seus recursos.
Principais aprimoramentos
- Criação de pontos de extremidade privados sem identidades gerenciadas.
- Nenhum ponto de extremidade privado é criado para os serviços de blob e fila.
- Uso de menos IPs privados.
Antes de começar
Embora um cofre dos Serviços de Recuperação seja usado pelo (ambos) Backup do Azure e pelo Azure Site Recovery, este artigo aborda o uso de pontos de extremidade privados somente para o Backup do Azure.
Crie pontos de extremidade privados apenas para novos cofres dos Serviços de Recuperação que não tenham itens registrados/protegidos no cofre. No entanto, pontos de extremidade privados atualmente não são suportados para cofres de backup.
Observação
Não é possível criar pontos de extremidade privados usando IP estático.
Você não pode atualizar cofres (que contêm pontos de extremidade privados) criados usando a experiência clássica para a nova experiência. Você pode excluir todos os pontos de extremidade privados existentes e criar novos pontos de extremidade privados com a experiência v2.
Uma rede virtual pode conter pontos de extremidade privados para vários cofres dos Serviços de Recuperação. Além disso, um cofre dos Serviços de Recuperação pode ter pontos de extremidade privados para ele em várias redes virtuais. No entanto, é possível criar no máximo 12 pontos de extremidade privados para um cofre.
Um ponto de extremidade privado de um cofre usa 10 IPs privados e a contagem pode aumentar ao longo do tempo. Verifique se você tem IPs suficientes disponíveis ao criar os pontos de extremidade privados.
Os pontos de extremidade privados do Backup do Azure não incluem o acesso à ID do Microsoft Entra. Certifique-se de habilitar o acesso para que os IPs e FQDNs necessários para que a ID do Microsoft Entra funcione em uma região tenham acesso de saída no estado permitido na rede protegida ao executar o backup dos bancos de dados nas VMs do Azure e fazer backup usando o agente MARS. Você também pode usar marcas NSG e marcas de Firewall do Azure para permitir o acesso à ID do Microsoft Entra, conforme aplicável.
Você precisa registrar novamente o provedor de recursos dos Serviços de Recuperação com a assinatura, se tiver registrado o provedor antes de 1° de maio de 2020. Para registrar novamente o provedor, acesse sua assinatura no >Provedor de recursos do portal do Azure e selecione Microsoft.RecoveryServices>Re-register.
Você pode criar DNS entre assinaturas.
Você pode criar um ponto de extremidade privado secundário antes ou depois de ter itens protegidos no cofre. Saiba como fazer a restauração entre regiões em um cofre habilitado para ponto de extremidade privado.
Cenários recomendados e compatíveis
Quando os pontos de extremidade privados são habilitados para o cofre, eles são usados para backup e restauração de cargas de trabalho do SQL e do SAP HANA somente em uma VM do Azure, no backup do agente do MARS e no DPM. Você também pode usar o cofre para o backup de outras cargas de trabalho (mas elas não precisarão de pontos de extremidade privados). Além do backup das cargas de trabalho do SQL e do SAP HANA e do backup que usa o agente MARS, os pontos de extremidade privados também são usados para executar a recuperação de arquivos em caso de backup de VM do Azure.
A tabela a seguir lista os cenários e as recomendações:
Cenário | Recomendação |
---|---|
Fazer backup de cargas de trabalho na VM do Azure (SQL, SAP HANA), fazer backup usando o agente do MARS e o servidor do DPM. | O uso de pontos de extremidade privados é recomendado para permitir backup e restauração sem a necessidade de adicionar a uma lista de permissões quaisquer IPs/FQDNs para o Backup do Azure ou o Armazenamento do Microsoft Azure a partir das redes virtuais. Nesse cenário, verifique se as VMs que hospedam bancos de dados SQL podem alcançar IPs ou FQDNs do Microsoft Entra. |
Backup de VM do Azure | O backup da VM não exige permissão de acesso a quaisquer IPs ou FQDNs. Portanto, ele não requer pontos de extremidade privados para backup e restauração de discos. No entanto, a recuperação de arquivos a partir de um cofre que contém pontos de extremidade privados é restrita a redes virtuais que contêm um ponto de extremidade privado para o cofre. Ao usar os discos não gerenciados que estão na ACL, verifique se a conta de armazenamento que contém os discos permite o acesso a serviços confiáveis da Microsoft, se estiverem na ACL. |
Backup de Arquivos do Azure | Os backups de Arquivos do Azure são armazenados na conta de armazenamento local. Portanto, o backup e restauração de discos não requer pontos de extremidade privados. |
VNet alterada para ponto de extremidade privado no cofre e na máquina virtual | Pare a proteção de backup e configure a proteção de backup em um novo cofre com os Pontos de Extremidade Privados habilitados. |
Observação
Os pontos de extremidade privados têm suporte somente com o servidor DPM 2022, MABS v4 e versões posteriores.
Diferença nas conexões de rede dos pontos de extremidade privados
Como mencionado anteriormente, os pontos de extremidade privados são particularmente úteis para o backup de cargas de trabalho (SQL, SAP HANA) em backups de VMs do Azure e de agente MARS.
Em todos os cenários (com ou sem pontos de extremidade privados), as extensões de carga de trabalho (para backup de instâncias do SQL e do SAP HANA em execução dentro das VMs do Azure) e o agente MARS fazem chamadas de conexão para a ID do Microsoft Entra (para FQDNs mencionadas nas seções 56 e 59 no Microsoft 365 Common e Office Online).
Além dessas conexões quando a extensão de carga de trabalho ou o agente MARS é instalado para o cofre dos Serviços de Recuperação sem pontos de extremidade privados, é obrigatória também a conectividade com os seguintes domínios:
Serviço | Nome de domínio | Porta |
---|---|---|
Serviço de Backup do Azure | *.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
ID do Microsoft Entra | *.login.microsoft.com Permita acesso a FQDNs nas seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Quando a extensão de carga de trabalho ou o agente MARS é instalada no cofre dos Serviços de Recuperação com ponto de extremidade privado, os seguintes pontos de extremidade são comunicados:
Serviço | Nome de domínio | Porta |
---|---|---|
Serviço de Backup do Azure | *.privatelink.<geo>.backup.windowsazure.com |
443 |
Armazenamento do Azure | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
ID do Microsoft Entra | *.login.microsoft.com Permita acesso a FQDNs nas seções 56 e 59 de acordo com este artigo. |
443 Conforme aplicável |
Observação
No texto acima, <geo>
refere-se ao código de região (por exemplo, eus para Leste dos EUA e ne para Norte da Europa). Consulte as seguintes listas para códigos de regiões:
No caso de um cofre dos Serviços de Recuperação com a configuração de ponto de extremidade privado, a resolução de nomes dos FQDNs (privatelink.<geo>.backup.windowsazure.com
, *.blob.core.windows.net
, *.queue.core.windows.net
, *.blob.storage.azure.net
) deve retornar um endereço IP privado. Isso pode ser feito usando:
- Zonas DNS privadas do Azure
- DNS Personalizado
- Entradas DNS em arquivos de host
- Encaminhadores condicionais para zonas DNS do Azure/DNS privado do Azure
Os mapeamentos de IP privados para a conta de armazenamento são listados no ponto de extremidade privado criado para o cofre dos Serviços de Recuperação. É recomendável usar zonas DNS Privada do Azure, pois os registros DNS para blobs e filas podem ser gerenciados pelo Azure. Quando novas contas de armazenamento são alocadas para o cofre, o registro DNS do seu IP privado é adicionado automaticamente no blob ou na fila de zonas DNS Privadas do Azure.
Se você configurou um servidor proxy DNS usando firewalls ou servidores proxy de terceiros, os nomes de domínio acima devem ser permitidos e redirecionados para um DNS personalizado (que possui registros DNS para os FQDNs acima) ou para 168.63.129.16 na rede virtual do Azure que possui zonas DNS privadas vinculadas a ela.
O exemplo a seguir mostra o firewall do Azure usado como proxy DNS para redirecionar as consultas de nome de domínio para cofre, blob, filas e ID do Microsoft Entra para 168.63.129.16.
Para obter mais informações, confira Criando e usando pontos de extremidade privados.
Conectividade de rede para cofre com pontos de extremidade privados
O ponto de extremidade privado para Serviços de Recuperação está associado a um adaptador de rede (NIC). Para que as conexões dos ponto de extremidade privado funcionem, todo o tráfego para o serviço do Azure deve ser redirecionado para o adaptador de rede. Você pode fazer isso adicionando o mapeamento de DNS do IP privado associado ao adaptador de rede no URL de serviço/blob/fila.
Quando as extensões de backup de carga de trabalho são instaladas na máquina virtual registrada em um cofre dos Serviços de Recuperação com um ponto de extremidade privado, a extensão tenta a conexão no URL privada dos serviços de Backup do Azure <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com
.
Se a URL privada não estiver resolvendo, ele tentará a URL pública <azure_backup_svc>.<geo>.backup.windowsazure.com
. Se o acesso à rede pública do cofre dos Serviços de Recuperação estiver configurado como Permitir de todas as redes, o cofre dos Serviços de Recuperação permitirá as solicitações provenientes da extensão por meio de URLs públicos. Se o acesso à rede pública do cofre dos Serviços de Recuperação estiver configurado como Negar, o cofre dos serviços de recuperação negará as solicitações provenientes da extensão por meio de URLs públicos.
Observação
Nos nomes de domínio acima, <geo>
determina o código da região (por exemplo, eus para o Leste dos EUA e ne para o Norte da Europa). Para obter mais informações sobre os códigos de região, confira a seguinte lista:
Essas URLs privadas são específicas do cofre. Somente extensões e agentes registrados no cofre podem se comunicar com o serviço do Backup do Azure por meio desses pontos de extremidade. Se o acesso à rede pública do cofre dos Serviços de Recuperação estiver configurado como Negar, isso impedirá que os clientes que não estão em execução na VNet solicitem as operações de restauração e backup no cofre. Recomendamos que o acesso à rede pública seja definido como Negar junto com a configuração do ponto de extremidade privado. À medida que a extensão e o agente tentam primeiro acessar a URL privada, a resolução de DNS *.privatelink.<geo>.backup.windowsazure.com
da URL deve retornar o IP privado correspondente associado ao ponto de extremidade privado.
Existem várias soluções para a resolução de DNS:
- Zonas DNS privadas do Azure
- DNS Personalizado
- Entradas DNS em arquivos de host
- Encaminhadores condicionais para zonas DNS do Azure/DNS privado do Azure
Quando o ponto de extremidade privado dos cofres dos Serviços de Recuperação é criado no portal do Azure com a opção Integrar à zona DNS privada, as entradas DNS obrigatórias para os endereços IP privados de serviços de Backup do Azure (*.privatelink.<geo>backup.windowsazure.com
) são criadas automaticamente quando o recurso é alocado. Em outras soluções, você precisa criar as entradas de DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos de host.
Para o gerenciamento manual de registros de DNS após a descoberta da VM como canal de comunicação - blob ou fila, confira Registros DNS para blobs e filas (somente para servidores DNS personalizados/arquivos de host) após o primeiro registro. Para o gerenciamento manual de registros de DNS após o primeiro backup em blob de conta de armazenamento de backup, confira Registros de DNS para blobs (somente para servidores DNS personalizados /arquivos de host) após o primeiro backup.
Os endereços IP privados para os FQDNs podem ser encontrados no painel Configuração DNSpara o ponto de extremidade privado criado para o cofre dos Serviços de Recuperação.
O diagrama a seguir mostra como a resolução funciona quando uma zona DNS privada é usada para resolver esses FQDNs de serviço privado.
A extensão de carga de trabalho em execução na VM do Azure exige conexão com no mínimo dois pontos de extremidade de contas de armazenamento: a primeira é usada como canal de comunicação (por meio de mensagens de fila) e a segunda, como armazenamento de dados de backup. O agente MARS requer acesso a pelo menos um ponto de extremidade da conta de armazenamento usada para armazenar os dados de backup.
Para um cofre habilitado para o ponto de extremidade privado, o serviço de Backup do Azure cria um ponto de extremidade privado para essas contas de armazenamento. Isso impede que qualquer tráfego de rede relacionado ao Backup do Azure (tráfego do painel de controle para dados de serviço e backup para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão de carga de trabalho e o agente exigem conectividade com as contas do Armazenamento do Azure e a ID do Microsoft Entra.
O diagrama a seguir mostra como a resolução de nomes funciona para contas de armazenamento que usam uma zona DNS privada.
O diagrama a seguir mostra o que você pode fazer para Restaurar Entre Regiões por meio do Ponto de Extremidade Privado ao replicar o ponto de extremidade privado em uma região secundária. Saiba como fazer a restauração entre regiões em um cofre habilitado para ponto de extremidade privado.