Crie e use os pontos de extremidade privados (experiência v1) do backup do Azure

Este artigo ajuda a entender o processo de criação de pontos de extremidade privados do Azure Backup e os cenários em que o uso de pontos de extremidade privados ajuda a manter a segurança de seus recursos.

Observação

O Backup do Azure agora fornece uma nova experiência para criar pontos de extremidade privados. Saiba mais.

Antes de começar

Verifique se você leu os pré-requisitos e os cenários com suporte antes de continuar a criar pontos de extremidade privados.

Esses detalhes ajudam você a entender as limitações e condições que precisam ser atendidas antes de criar pontos de extremidade privados para seus cofres.

Introdução à criação de pontos de extremidade privados para Backup

As seções a seguir discutem as etapas envolvidas na criação e no uso de pontos de extremidade privados para o Backup do Azure dentro das redes virtuais.

Importante

É altamente recomendável que você siga as etapas na mesma sequência mencionada neste documento. Não seguir as etapas pode fazer com que o cofre que está sendo renderizado se torne incompatível para usar os pontos de extremidade privados e exija que você reinicie o processo com um novo cofre.

Criar um cofre dos Serviços de Recuperação

Os pontos de extremidade privados para Backup podem ser criados somente para cofres de Serviços de Recuperação que não têm nenhum item protegido (ou nenhum item tentou ser protegido ou registrado nele no passado). Por isso sugerimos que você crie um novo cofre para começar. Para saber mais sobre como criar um novo cofre, consulte Criar e configurar um cofre dos Serviços de Recuperação.

Consulte esta seção para saber como criar um cofre usando o cliente do Azure Resource Manager. Isso cria um cofre com sua identidade gerenciada já habilitada.

Negar à rede pública acesso ao cofre

Você pode configurar seus cofres para negar o acesso de redes públicas.

Siga estas etapas:

  1. Vá para vault>Rede.

  2. Na guia Acesso público, selecione Negar para impedir o acesso de redes públicas.

    Captura de tela mostrando como selecionar a opção Negar.

    Observação

  3. Escolha Aplicar para salvar as alterações.

Habilitar a Identidade Gerenciada para o cofre

Identidades gerenciadas permitem que o cofre crie e use pontos de extremidade privados. Esta seção descreve como habilitar a identidade gerenciada para o cofre.

  1. Vá até o cofre dos Serviços de Recuperação ->Identidade.

    Altere o status da Identidade para Ativado

  2. Altere o Status para Ativado e selecione Salvar.

  3. Uma ID de objeto é gerada, que é a identidade gerenciada do cofre.

    Observação

    Uma vez habilitada, a Identidade Gerenciada não deve ser desabilitada (nem mesmo temporariamente). Desabilitar a identidade gerenciada pode levar a um comportamento inconsistente.

Conceder permissões ao cofre para criar os pontos de extremidade privados necessários

Para criar os pontos de extremidade privados necessários para o Backup do Azure, o cofre (a Identidade Gerenciada do cofre) deve ter permissões para os seguintes grupos de recursos:

  • O Grupo de Recursos que contém o destino VNet
  • O Grupo de Recursos em que os Pontos de Extremidade Privados devem ser criados
  • O Grupo de Recursos que contém as zonas de DNS privado, conforme discutido em detalhes aqui

Recomendamos que você conceda a função de Colaborador para esses três grupos de recursos do cofre (identidade gerenciada). As etapas a seguir descrevem como fazer isso para um grupo de recursos específico (isso precisa ser feito para cada um dos três grupos de recursos):

  1. Vá até o Grupo de Recursos e navegue até Controle de Acesso (IAM) na barra esquerda.

  2. Em Controle de Acesso, vá para Adicionar uma atribuição de função.

    Adicionar uma atribuição de função

  3. No painel Adicionar atribuição de função , escolha Colaborador como a Função e use o Nome do cofre como a Entidade de segurança. Selecione seu cofre e depois Salvar quando terminar.

    Escolher função e entidade de segurança

Para gerenciar as permissões em um nível mais granular, consulte Criar funções e permissões manualmente.

Criar Pontos de Extremidade Privados para o Backup do Azure

Esta seção explica como criar um ponto de extremidade privado para o cofre.

  1. Navegue até o cofre criado acima e vá para Conexões de ponto de extremidade privado na barra de navegação à esquerda. Selecione +Ponto de extremidade privado na parte superior para começar a criar um novo ponto de extremidade privado para este cofre.

    Criar um novo ponto de extremidade privado

  2. Dentro do processo Criar Ponto de Extremidade Privado, você precisará especificar os detalhes para criar sua conexão de ponto de extremidade privado.

    1. Básico: forneça os detalhes básicos para os pontos de extremidade privados. A região deve ser a mesma do cofre e o recurso que está sendo submetido a backup.

      Fornecer os detalhes básicos

    2. Recurso: essa guia exige que você selecione o recurso de PaaS para o qual você deseja criar a conexão. Em tipo de recurso para a assinatura desejada, selecione Microsoft.RecoveryServices/cofres. Depois de concluído, escolha o nome do seu cofre de Serviços de Recuperação como o Recurso e AzureBackup como o Sub-recurso de destino.

      Selecionar o recurso para a conexão

    3. Configuração: em configuração, especifique a rede virtual e a sub-rede em que você deseja que o ponto de extremidade privado seja criado. Essa será a Vnet em que a VM está presente.

      Para se conectar de forma privada, você precisa dos registros DNS necessários. Com base nas suas configurações de rede, escolha uma das seguintes opções:

      • Integrar o ponto de extremidade privado a uma zona DNS privada: selecione Sim se desejar integrar.
      • Usar o servidor DNS personalizado: selecione Não se desejar usar seu próprio servidor DNS.

      O gerenciamento de registros DNS para ambos estão descritos posteriormente.

      Especificar a rede virtual e a sub-rede

    4. Como alternativa, você pode adicionar Marcas para seu ponto de extremidade privado.

    5. Continue a Revisar + criar depois de inserir os detalhes. Depois que a validação for concluída, selecione Criar para criar o ponto de extremidade privado.

Aprovar os Pontos de Extremidade Privados

Se o usuário que cria o ponto de extremidade privado também for o proprietário do cofre dos Serviços de Recuperação, o ponto de extremidade privado criado acima será aprovado automaticamente. Caso contrário, o proprietário do cofre deve aprovar o ponto de extremidade privado antes que você possa usá-lo. Esta seção aborda a aprovação manual de pontos de extremidade privados por meio do portal do Azure.

Consulte Aprovação manual de pontos de extremidade privados usando o cliente do Azure Resource Manager para usar o cliente Azure Resource Manager para aprovar pontos de extremidade privados.

  1. No cofre dos Serviços de Recuperação, navegue até Conexões de Ponto de Extremidade Privado na barra esquerda.

  2. Selecione a conexão do ponto de extremidade privado que você deseja aprovar.

  3. Selecione Aprovar na barra superior. Você também pode selecionar Rejeitar ou Remover se quiser rejeitar ou excluir a conexão do ponto de extremidade privado.

    Aprovar os pontos de extremidade privados

Gerenciar registros DNS

Conforme descrito anteriormente, você precisa dos registros DNS necessários em suas zonas DNS privadas ou servidores para se conectar de forma privada. Integre o ponto de extremidade privado diretamente com as zonas DNS privadas do Azure ou use seus servidores DNS personalizados para fazer isso, com base nas suas preferências de rede. Isso deve ser feito para todos os três serviços: Backup, Blobs e Filas.

Além disso, se a zona DNS ou o servidor estiver presente em uma assinatura diferente da que contém o ponto de extremidade privado, confira também Criar entradas DNS quando a zona DNS/servidor DNS estiver presente em outra assinatura.

Ao integrar os pontos de extremidade privados com as zonas DNS privadas do Azure

Se você optar por integrar seu ponto de extremidade privado às zonas DNS privadas, o Backup do Azure adicionará os registros DNS necessários. Para exibir as zonas DNS privadas que estão sendo usadas, vá até a Configuração DNS do ponto de extremidade privado. Se essas zonas DNS não estiverem presentes, elas serão criadas automaticamente ao criar o ponto de extremidade privado.

Observação

A identidade gerenciada atribuída ao cofre deve ter as permissões para adicionar registros DNS na zona de DNS privado do Azure.

No entanto, você deve verificar se sua rede virtual (que contém os recursos de terão seu backup realizado) está corretamente vinculada a todas as três zonas DNS privadas, conforme descrito abaixo.

Configuração de DNS na zona DNS privada do Azure

Observação

Se estiver usando servidores proxy, você poderá optar por ignorar o servidor proxy ou executar os backups por meio do servidor proxy. Para ignorar um servidor proxy, prossiga para as seções a seguir. Para usar o servidor proxy para executar os backups, consulte detalhes de configuração do servidor proxy no cofre dos Serviços de Recuperação.

Para cada zona DNS privada listada acima (para Backup, Blobs e Filas), faça o seguinte:

  1. Navegue até a respectiva opção de Links de rede virtual na barra de navegação à esquerda.

  2. É exibida uma entrada para a rede virtual para a qual você criou o ponto de extremidade privado, como o mostrado abaixo:

    Rede virtual para o ponto de extremidade privado

  3. Se você não vir a entrada, adicione um link de rede virtual a todas as zonas DNS que não esse link.

    Adicionar link de rede virtual

Ao usar o servidor DNS personalizado ou arquivos de host

  • Se você estiver usando um servidor DNS personalizado, poderá usar o encaminhador condicional para FQDNs de serviço de backup, blob e fila para redirecionar as solicitações DNS para o DNS do Azure (168.63.129.16). O DNS do Azure o redireciona para a zona DNS Privada do Azure. Nessa configuração, verifique se existe um link de rede virtual para a zona DNS Privada do Azure, conforme mencionado nesta seção.

    A tabela a seguir lista as zonas DNS Privada do Azure exigidas pelo Backup do Azure:

    Zona Serviço
    privatelink.<geo>.backup.windowsazure.com Backup
    privatelink.blob.core.windows.net Blob
    privatelink.queue.core.windows.net Fila

    Observação

    No texto acima, <geo> refere-se ao código de região (por exemplo, eus e ne para Leste dos EUA e Norte da Europa respectivamente). Consulte as seguintes listas para códigos de regiões:

  • Se você estiver usando servidores DNS personalizados ou arquivos de host e não tiver a configuração da zona DNS Privada do Azure, precisará adicionar os registros DNS exigidos pelos pontos de extremidade privados aos servidores DNS ou no arquivo de host.

    • Para os serviço de backup: navegue até o ponto de extremidade privado que você criou e vá para a configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A em sua zona DNS para backup.

      Se você estiver usando um arquivo de host para resolução de nomes, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o formato - <private ip><space><backup service privatelink FQDN>.

    • Para o blob e a fila: o backup do Azure cria os pontos de extremidade privados para blobs e filas usando as permissões de identidade gerenciada. Os pontos de extremidade privados para blobs e filas seguem um padrão de nomenclatura; eles começam com <the name of the private endpoint>_ecs ou <the name of the private endpoint>_prot e terminam com _blob e _queue respectivamente.

      Navegue até o ponto de extremidade privado criado pelo Backup do Azure seguindo o padrão acima e vá para a configuração de DNS. Em seguida, adicione uma entrada para cada FQDN e IP exibidos como registros Tipo A em sua zona DNS para backup.

      Se você estiver usando um arquivo de host para resolução de nomes, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o formato - <private ip><space><blob/queue FQDN>.

Observação

O Backup do Azure pode alocar uma nova conta de armazenamento do seu cofre para os dados de backup e a extensão ou o agente precisa acessar os respectivos pontos de extremidade. Para obter mais informações sobre como adicionar mais registros DNS após o registro e o backup, confira a seção as diretrizes em Usar Pontos de Extremidade Privados para Backup.

Usar Pontos de Extremidade Privados para o Backup

Depois que os pontos de extremidade privados criados para o cofre em sua VNet forem aprovados, comece a usá-los para executar backups e restaurações.

Importante

Verifique se concluiu todas as etapas mencionadas acima no documento com êxito antes de continuar. Para recapitular, você deve concluir as etapas na seguinte lista de verificação:

  1. Um (novo) cofre dos Serviços de Recuperação foi criado
  2. O cofre para usar a Identidade Gerenciada atribuída pelo sistema foi habilitado
  3. As permissões relevantes foram atribuídas à Identidade Gerenciada do cofre
  4. O ponto de extremidade privado para o seu cofre foi criado
  5. O ponto de extremidade privado foi aprovado (se não foi aprovado automaticamente)
  6. Verificou que todos os registros DNS foram adicionados adequadamente (exceto registros de blob e fila para servidores personalizados, que serão discutidos nas seções a seguir)

Verificar conectividade da VM

Na VM da rede bloqueada, verifique o seguinte:

  1. A VM deve ter acesso ao Microsoft Entra ID.
  2. Execute o nslookup na URL de backup (xxxxxxxx.privatelink.<geo>.backup.windowsazure.com) de sua VM, para garantir a conectividade. Isso deve retornar o IP privado atribuído em sua rede virtual.

Configurar backup

Depois de garantir que a lista de verificação acima e o acesso a foram concluídos com êxito, continue a configurar o backup de cargas de trabalho para o cofre. Se você estiver usando um servidor DNS personalizado, precisará adicionar entradas DNS para blobs e filas que estão disponíveis após a configuração do primeiro backup.

Registros DNS para blobs e filas (somente para arquivos de host/servidores DNS personalizados) após o primeiro registro

Depois de configurar o backup para pelo menos um recurso em um cofre do ponto de extremidade privado habilitado, adicione os registros DNS necessários para blobs e filas, conforme descrito abaixo.

  1. Navegue até o Grupo de Recursos e procure o ponto de extremidade privado que você criou.

  2. Além do nome do ponto de extremidade privado fornecido por você, serão exibidos mais dois pontos de extremidades privados sendo criados. Eles começam com <the name of the private endpoint>_ecs e terão os sufixos _blob e _queue respectivamente.

    Recursos do ponto de extremidade privado

  3. Navegue até cada um desses pontos de extremidade privados. Na opção de configuração de DNS de cada um dos dois pontos de extremidade privados, você verá um registro com um FQDN e um endereço IP. Adicione ambos ao seu servidor DNS personalizado, além daqueles descritos anteriormente. Se estiver usando um arquivo de host, faça entradas correspondentes no arquivo de host para cada IP/FQDN de acordo com o seguinte formato:

    <private ip><space><blob service privatelink FQDN>
    <private ip><space><queue service privatelink FQDN>

    Configurar DNS de blob

Além do descrito acima, há uma outra entrada necessária após o primeiro backup, que é discutida posteriormente.

Backup e restauração de cargas de trabalho na VM do Azure (SQL e SAP HANA)

Depois que o ponto de extremidade privado é criado e aprovado, nenhuma outra alteração é necessária no cliente para usar o ponto de extremidade privado (a menos que você esteja usando Grupos de Disponibilidade do SQL, que discutiremos mais adiante nesta seção). Toda a comunicação e a transferência de dados de sua rede segura para o cofre serão executadas por meio do ponto de extremidade privado. No entanto, se você remover os pontos de extremidade privados do cofre depois que o servidor (SQL ou SAP HANA) for registrado nele, será preciso registrar novamente o contêiner com o cofre. Não é necessário interromper a proteção para eles.

Registros DNS para blobs e filas (somente para arquivos de host/servidores DNS personalizados) após o primeiro backup

Se você estiver usando um servidor DNS personalizado (sem o encaminhamento condicional), depois de executar o primeiro backup, é provável que o backup falhe. Se isso acontecer:

  1. Navegue até o Grupo de Recursos e procure o ponto de extremidade privado que você criou.

  2. Além dos três pontos de extremidade privados discutidos anteriormente, agora você verá um quarto ponto de extremidades privado com o nome começando com <the name of the private endpoint>_prot e com o sufixo _blob.

    Ponto de extremidade privado com sufixo

  3. Navegue até esse novo ponto de extremidade privado. Na opção de configuração de DNS, será exibido um registro com um FQDN e um endereço IP. Adicione ambos ao seu servidor DNS particular, além daqueles descritos anteriormente.

    Se estiver usando um arquivo de host, faça entradas correspondentes no arquivo de host para cada IP e FQDN de acordo com o seguinte formato:

    <private ip><space><blob service privatelink FQDN>

Observação

Neste ponto, você conseguirá executar o nslookup da VM e resolver os endereços IP privados quando terminar as URLs de Backup e Armazenamento do cofre.

Ao usar os Grupos de Disponibilidade do SQL

Ao usar os AG (Grupos de Disponibilidade) do SQL, você precisará provisionar o encaminhamento condicional no DNS do AG personalizado conforme descrito abaixo:

  1. Entre no seu controlador de domínio.

  2. No aplicativo DNS, adicione os encaminhadores condicionais para todas as três zonas DNS (Backup, Blobs e Filas) para o IP do host 168.63.129.16 ou o endereço IP do servidor DNS personalizado, conforme necessário. As capturas de tela a seguir mostram quando o encaminhando está sendo feito para o IP do host do Azure. Se estiver usando seu próprio servidor DNS, substitua pelo IP do seu servidor DNS.

    Encaminhadores condicionais no Gerenciador de DNS

    Novo encaminhador condicional

Backup e restauração por meio do agente MARS e do servidor DPM

Ao usar o agente MARS para fazer backup de seus recursos locais, verifique se a rede local (contendo os recursos que sofrerão backup) está emparelhada com a VNet do Azure que contém o ponto de extremidade privado para o cofre, para que você possa usá-lo. Em seguida continue a instalar o agente MARS e configure o backup conforme detalhado aqui. No entanto, verifique se toda a comunicação para o backup ocorre somente por meio da rede emparelhada.

Se você remover os pontos de extremidade privados do cofre depois que o agente MARS for registrado nele, será preciso registrar novamente o contêiner com o cofre. Não é necessário interromper a proteção para eles.

Observação

  • Os pontos de extremidade privados são compatíveis apenas com o servidor DPM 2022 (10.22.123.0) e posterior.
  • Os pontos de extremidade privados são compatíveis apenas com o servidor MABS V4 (14.0.30.0) e posterior.

Exclusão dos pontos de extremidade privados

Consulte esta seção para saber como excluir os pontos de extremidade privados.

Tópicos adicionais

Criar um cofre dos Serviços de Recuperação usando o cliente do Azure Resource Manager

Você pode criar o cofre dos Serviços de Recuperação e habilitar sua Identidade Gerenciada (a habilitação da Identidade Gerenciada é obrigatória, como veremos mais tarde) usando o cliente do Azure Resource Manager. Um exemplo de como fazer isso é mostrado abaixo:

armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json

O arquivo JSON acima deve ter o seguinte conteúdo:

Solicitação do JSON:

{
  "location": "eastus2",
  "name": "<vaultname>",
  "etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
  "tags": {
    "PutKey": "PutValue"
  },
  "properties": {},
  "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
  "type": "Microsoft.RecoveryServices/Vaults",
  "sku": {
    "name": "RS0",
    "tier": "Standard"
  },
  "identity": {
    "type": "systemassigned"
  }
}

Resposta do JSON:

{
   "location": "eastus2",
   "name": "<vaultname>",
   "etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
   "tags": {
     "PutKey": "PutValue"
   },
   "identity": {
     "tenantId": "<tenantid>",
     "principalId": "<principalid>",
     "type": "SystemAssigned"
   },
   "properties": {
     "provisioningState": "Succeeded",
     "privateEndpointStateForBackup": "None",
     "privateEndpointStateForSiteRecovery": "None"
   },
   "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
   "type": "Microsoft.RecoveryServices/Vaults",
   "sku": {
     "name": "RS0",
     "tier": "Standard"
   }
 }

Observação

O cofre criado neste exemplo por meio do cliente do Azure Resource Manager já foi criado com uma identidade gerenciada atribuída pelo sistema.

Gerenciamento de permissões nos Grupos de Recursos

A Identidade Gerenciada para o cofre precisa ter as seguintes permissões no grupo de recursos e na rede virtual em que os pontos de extremidade privados serão criados:

  • Microsoft.Network/privateEndpoints/* Isso é necessário para executar o CRUD em pontos de extremidade privados no grupo de recursos. Ele deve ser atribuído ao grupo de recursos.
  • Microsoft.Network/virtualNetworks/subnets/join/action Isso é necessário na rede virtual em que o IP privado está sendo anexado com o ponto de extremidade privado.
  • Microsoft.Network/networkInterfaces/read Isso é necessário no grupo de recursos para obter a interface de rede criada para o ponto de extremidade privado.
  • Função de Colaborador de Zona de DNS privado Esta função já existe e pode ser usada para fornecer as permissões Microsoft.Network/privateDnsZones/A/* e Microsoft.Network/privateDnsZones/virtualNetworkLinks/read.

Você pode usar um dos seguintes métodos para criar funções com as permissões necessárias:

Criar funções e permissões de forma manual

Crie os seguintes arquivos JSON e use o comando do PowerShell no final da seção para criar as funções:

//PrivateEndpointContributorRoleDef.json

{
  "Name": "PrivateEndpointContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows management of Private Endpoint",
  "Actions": [
    "Microsoft.Network/privateEndpoints/*",
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//NetworkInterfaceReaderRoleDef.json

{
  "Name": "NetworkInterfaceReader",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows read on networkInterfaces",
  "Actions": [
    "Microsoft.Network/networkInterfaces/read"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}

//PrivateEndpointSubnetContributorRoleDef.json

{
  "Name": "PrivateEndpointSubnetContributor",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows adding of Private Endpoint connection to Virtual Networks",
  "Actions": [
    "Microsoft.Network/virtualNetworks/subnets/join/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-0000-0000-0000-000000000000"
  ]
}
 New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
 New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
 New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"

Usar um script

  1. Inicie o Cloud Shell no portal do Azure e selecione Carregar arquivo na janela do PowerShell.

    Selecionar Carregar arquivo na janela do PowerShell

  2. Carregue o script a seguir: VaultMsiPrereqScript

  3. Vá até sua pasta raiz (por exemplo: cd /home/user)

  4. Execute o seguinte script:

    ./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
    

    Estes são os parâmetros:

    • assinatura: **SubscriptionId que tem o grupo de recursos em que o ponto de extremidade privado para o cofre deve ser criado e a sub-rede em que o ponto de extremidade privado do cofre será anexado

    • vaultPEResourceGroup: grupo de recursos em que o ponto de extremidade privado para o cofre será criado

    • vaultPESubnetResourceGroup: grupo de recursos da sub-rede à qual o ponto de extremidade privado será unido

    • vaultMsiName: nome do MSI do cofre, que é o mesmo que o VaultName

  5. Conclua a autenticação e o script obterá o contexto da assinatura fornecida acima. Ele criará as funções apropriadas se elas estiverem ausentes do locatário e atribuirá funções ao MSI do cofre.

Criação dos pontos de extremidade privados usando o Azure PowerShell

Pontos de extremidade privados aprovados automaticamente

$vault = Get-AzRecoveryServicesVault `
        -ResourceGroupName $vaultResourceGroupName `
        -Name $vaultName

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
        -Name $privateEndpointConnectionName `
        -PrivateLinkServiceId $vault.ID `
        -GroupId "AzureBackup"  

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}


$privateEndpoint = New-AzPrivateEndpoint `
        -ResourceGroupName $vmResourceGroupName `
        -Name $privateEndpointName `
        -Location $location `
        -Subnet $subnet `
        -PrivateLinkServiceConnection $privateEndpointConnection `
        -Force

Aprovação manual de pontos de extremidade privados usando o cliente do Azure Resource Manager

  1. Use getvault para obter a ID de conexão do seu ponto de extremidade privado.

    armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
    

    Isso retornará a ID de conexão do ponto de extremidade privado. O nome da conexão pode ser recuperado usando a primeira parte da ID de conexão, da seguinte maneira:

    privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}

  2. Obtenha a ID de Conexão do Ponto de Extremidade Privado (e o Nome do Ponto de Extremidade Privado, sempre que necessário) da resposta e a substitua no URI do JSON e do Azure Resource Manager a seguir, e tente alterar o status para "Aprovado/Rejeitado/Desconectado", conforme demonstrado no exemplo abaixo:

    armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
    

    JSON:

    {
    "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>",
    "properties": {
        "privateEndpoint": {
        "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename"
        },
        "privateLinkServiceConnectionState": {
        "status": "Disconnected",  //choose state from Approved/Rejected/Disconnected
        "description": "Disconnected by <userid>"
        }
    }
    }
    

Configurar o servidor proxy para o cofre dos Serviços de Recuperação com o ponto de extremidade privado

Para configurar um servidor proxy para a VM do Azure ou para o computador local, siga estas etapas:

  1. Adicione os domínios a seguir que precisam ser acessados a partir do servidor proxy.

    Serviço Nomes de domínios Porta
    Serviço de Backup do Azure *.backup.windowsazure.com 443
    Armazenamento do Azure *.blob.core.windows.net

    *.queue.core.windows.net

    *.blob.storage.azure.net
    443
    Microsoft Entra ID

    URLs de domínio atualizadas mencionadas nas seções 56 e 59 em Microsoft 365 comum e Office Online.
    *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.microsoftonline.com, login.microsoftonline-p.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, login-us.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com

    20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

    *.hip.live.com, *.microsoftonline.com, *.microsoftonline-p.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, management.azure.com, policykeyservice.dc.ad.msft.net
    Conforme aplicável.
  2. Permita o acesso a esses domínios no servidor proxy e vincule a zona DNS privada (*.privatelink.<geo>.backup.windowsazure.com, *.privatelink.blob.core.windows.net, *.privatelink.queue.core.windows.net) com a VNET em que o servidor proxy é criado ou usa um servidor DNS personalizado com as respectivas entradas DNS.

    A VNET em que o servidor proxy está sendo executado e a VNET em que a NIC do ponto de extremidade privado é criada deve ser emparelhada, o que permitiria que o servidor proxy redirecione as solicitações para o IP privado.

    Observação

    No texto acima, <geo> refere-se ao código de região (por exemplo, eus e ne para Leste dos EUA e Norte da Europa respectivamente). Consulte as seguintes listas para códigos de regiões:

O diagrama a seguir mostra uma configuração (durante o uso de zonas DNS privadas do Azure) com um servidor proxy cuja VNet está vinculada a uma zona DNS privada com entradas DNS necessárias. O servidor proxy também pode ter seu próprio servidor DNS personalizado, e os domínios acima podem ser encaminhados condicionalmente para 168.63.129.16. Se você estiver usando um arquivo de host/servidor DNS personalizado na resolução DNS, consulte as seções em gerenciando entradas DNS e configurando a proteção.

Diagrama mostrando uma configuração com um servidor proxy.

Criar entradas DNS quando a zona do servidor DNS/DNS estiver presente em outra assinatura

Nesta seção, discutiremos os casos em que você está usando uma zona DNS que está presente em uma assinatura ou um grupo de recursos diferente daquele que contém o ponto de extremidade privado para o cofre dos Serviços de Recuperação, como uma topologia hub e spoke. Como a identidade gerenciada usada para criar pontos de extremidade privados (e as entradas DNS) tem permissões somente no grupo de recursos no qual os pontos de extremidade privados são criados, as entradas DNS necessárias são necessárias também. Use os scripts do PowerShell a seguir para criar entradas DNS.

Observação

Confira todo o processo descrito abaixo para obter os resultados necessários. O processo precisa ser repetido duas vezes, uma vez durante a primeira descoberta (para criar entradas DNS necessárias para as contas de armazenamento de comunicação) e, em seguida, durante o primeiro backup (para criar entradas DNS necessárias para contas de armazenamento de back-end).

Etapa 1: obter entradas DNS necessárias

Use o script PrivateIP.ps1 para listar todas as entradas DNS que precisam ser criadas.

Observação

A subscription na sintaxe abaixo refere-se à assinatura na qual o ponto de extremidade privado do cofre deve ser criado.

Sintaxe para usar o script

./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt

Saída de exemplo

ResourceName                                                                 DNS                                                                       PrivateIP
<vaultId>-ab-pod01-fc1         privatelink.eus.backup.windowsazure.com         10.12.0.15
<vaultId>-ab-pod01-fab1        privatelink.eus.backup.windowsazure.com         10.12.0.16
<vaultId>-ab-pod01-prot1       privatelink.eus.backup.windowsazure.com         10.12.0.17
<vaultId>-ab-pod01-rec2        privatelink.eus.backup.windowsazure.com         10.12.0.18
<vaultId>-ab-pod01-ecs1        privatelink.eus.backup.windowsazure.com         10.12.0.19
<vaultId>-ab-pod01-id1         privatelink.eus.backup.windowsazure.com         10.12.0.20
<vaultId>-ab-pod01-tel1        privatelink.eus.backup.windowsazure.com         10.12.0.21
<vaultId>-ab-pod01-wbcm1       privatelink.eus.backup.windowsazure.com         10.12.0.22
abcdeypod01ecs114        privatelink.blob.core.windows.net       10.12.0.23
abcdeypod01ecs114        privatelink.queue.core.windows.net      10.12.0.24
abcdeypod01prot120       privatelink.blob.core.windows.net       10.12.0.28
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.32
abcdepod01prot110       privatelink.blob.core.windows.net       10.12.0.36
abcdeypod01prot121       privatelink.blob.core.windows.net       10.12.0.30
abcdeypod01prot122       privatelink.blob.core.windows.net       10.12.0.34
abcdepod01prot120       privatelink.blob.core.windows.net       10.12.0.26

Etapa 2: Criar entradas DNS

Crie entradas DNS correspondentes àquelas acima. Com base no tipo de DNS que você está usando, você tem duas alternativas para a criação de entradas DNS.

Case 1: se você estiver usando um servidor DNS personalizado, precisará criar manualmente entradas para cada registro do script acima e verificar se o FQDN (ResourceName.DNS) é resolvido para um IP privado na VNET.

Caso 2: se você estiver usando uma Zona de DNS privado do Azure, você pode usar o script CreateDNSEntries.ps1 para criar automaticamente as entradas DNS na Zona de DNS privado. Na sintaxe a seguir, o subscription é aquele em que a Zona de DNS privado existe.

Sintaxe para usar o script

/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt

Resumo de todo o processo

Para configurar o ponto de extremidade privado para o cofre dos Serviços de Recuperação corretamente por meio dessa solução alternativa, você precisa:

  1. Criar um ponto de extremidade privado para o cofre (conforme descrito anteriormente no artigo).
  2. Disparar a descoberta. A descoberta para SQL/HANA falhará com UserErrorVMInternetConnectivityIssue porque as entradas DNS estão ausentes para a conta de armazenamento de comunicação.
  3. Execute os scripts para obter entradas DNS e criar entradas DNS correspondentes para a conta de armazenamento de comunicação mencionada anteriormente nesta seção.
  4. Acionar de novo a descoberta. Dessa vez, a descoberta será bem-sucedida.
  5. Disparar o backup. O backup para SQL/HANA e MARS pode falhar porque as entradas DNS estão ausentes para contas de armazenamento de back-end, conforme mencionado anteriormente nesta seção.
  6. Execute os scripts para criar entradas DNS para a conta de armazenamento de back-end.
  7. Acionar de novo o backup. Dessa vez, os backups deverão ter êxito.

Perguntas frequentes

Posso criar um ponto de extremidade privado para um cofre dos Serviços de Recuperação existente?

Não, pontos de extremidade privados só podem ser criados para novos Cofres dos Serviços de Recuperação. Portanto, o cofre nunca deve ter tido um item protegido nele. Na verdade, nenhuma tentativa de proteger itens para o cofre pode ser feita antes da criação dos pontos de extremidade privados.

Tentei proteger um item no meu cofre, mas não deu certo e o cofre ainda não contém nenhum item protegido. Posso criar pontos de extremidade privados para este cofre?

Não, o cofre não deve ter tido nenhuma tentativa anterior de proteger itens nele.

Tenho um cofre que está usando pontos de extremidade privados para backup e restauração. Posso adicionar ou remover pontos de extremidade privados para este cofre, mesmo que eu tenha itens de backup protegidos nele?

Sim. Se você já criou os pontos de extremidade privados para um cofre e tem itens de backup protegidos nele, é possível adicionar ou remover pontos de extremidade privados, conforme necessário.

O ponto de extremidade privado do Backup do Azure também pode ser usado para o Azure Site Recovery?

Não, o ponto de extremidade privado para o Backup só pode ser usado para o Backup do Azure. Você precisará criar um novo ponto de extremidade privado para o Azure Site Recovery, se ele tiver suporte do serviço.

Pulei uma das etapas deste artigo e continuei na etapa de proteção da minha fonte de dados. Ainda posso usar os pontos de extremidade privados?

Se não seguir as etapas do artigo e continuar na etapa de proteger os itens pode fazer com que o cofre não consiga usar os pontos de extremidade privados. Portanto, recomendamos que você confira esta lista de verificação antes de continuar a proteger os itens.

Posso usar meu próprio servidor DNS em vez de usar a zona DNS privada do Azure ou uma zona DNS privada integrada?

Sim, você pode usar seus próprios servidores DNS. No entanto, verifique se todos os registros DNS necessários foram adicionados conforme sugerido nesta seção.

Preciso executar alguma etapa adicional no meu servidor depois de seguir o processo descrito neste artigo?

Depois de seguir o processo detalhado neste artigo, você não precisa fazer mais nada para usar os pontos de extremidade privados para backup e restauração.

Próximas etapas