Visão geral e conceitos sobre pontos de extremidade privados (experiência v1) para o Backup do Azure

O Backup do Azure permite que você faça backup e restaure os dados dos cofres dos Serviços de Recuperação com segurança usando os pontos de extremidade privados. Os pontos de extremidade privados usam um ou mais endereços IP privados da VNet (Rede Virtual do Azure), colocando de fato o serviço na sua VNet.

Este artigo ajuda a entender como criar pontos de extremidade privados para o trabalho do Backup do Azure e os cenários em que o uso de pontos de extremidade privados ajuda a manter a segurança de seus recursos.

Observação

O Backup do Azure agora fornece uma nova experiência para criar pontos de extremidade privados. Saiba mais.

Antes de começar

  • Os pontos de extremidade privados podem ser criados somente para novos cofres dos Serviços de Recuperação (que não têm nenhum item registrado no cofre). Portanto, os pontos de extremidade privados devem ser criados antes de tentar proteger os itens para o cofre. No entanto, pontos de extremidade privados atualmente não são suportados para cofres de backup.
  • Uma rede virtual pode conter pontos de extremidade privados para vários cofres dos Serviços de Recuperação. Além disso, um cofre dos Serviços de Recuperação pode ter pontos de extremidade privados para ele em várias redes virtuais. No entanto, o número máximo de pontos de extremidade privados que podem ser criados para um cofre é 12.
  • Se o acesso à rede pública para o cofre estiver definido como Permitir de todas as redes, o cofre permitirá backups e restaurações de qualquer computador registrado no cofre. Se o acesso à rede pública para o cofre estiver definido como Negar, o cofre só permitirá backups e restaurações dos computadores registrados no cofre que estão solicitando backups/restaurações por meio de IPs privados alocados para o cofre.
  • Uma conexão de ponto de extremidade privado para o Backup usa um total de 11 IPs privados em sua sub-rede, incluindo aqueles usados pelo Backup do Azure para armazenamento. Esse número pode ser maior para determinadas regiões do Azure. Portanto, sugerimos que você tenha IPs privados suficientes (/26) disponíveis ao tentar criar pontos de extremidade privados para Backup.
  • Embora um cofre dos Serviços de Recuperação seja usado pelo (ambos) Backup do Azure e pelo Azure Site Recovery, este artigo aborda o uso de pontos de extremidade privados somente para o Backup do Azure.
  • Os pontos de extremidade privados para o Backup não incluem acesso ao Microsoft Entra ID e este precisa ser assegurado separadamente. Portanto, os IPs e FQDNs necessários para que o Microsoft Entra ID funcione em uma região precisarão que o acesso de saída seja permitido a partir da rede protegida ao realizar o backup dos bancos de dados em VMs do Azure e o backup usando o agente MARS. Você também pode usar as marcas NSG e as marcas de Firewall do Azure para permitir o acesso ao Microsoft Entra ID, conforme aplicável.
  • Você precisa registrar novamente o provedor de recursos dos Serviços de Recuperação com a assinatura, se você tiver registrado o provedor antes de 1o de maio de 2020. Para registrar novamente o provedor, acesse sua assinatura no portal do Azure, navegue até Provedor de recursos na barra de navegação à esquerda, selecione Microsoft.RecoveryServices e selecione Registrar novamente.
  • A restauração entre regiões para backups de banco de dados do SQL e SAP HANA não é compatível, se o cofre tiver pontos de extremidade privados habilitados.
  • Quando você move um cofre dos Serviços de Recuperação que já usa pontos de extremidade privados para um novo locatário, você precisa atualizar o cofre dos Serviços de Recuperação para recriar e reconfigurar a identidade gerenciada do cofre e criar novos pontos de extremidade privados conforme necessário (que deve ser no novo locatário). Se isso não for feito, as operações de backup e restauração falharão. Além disso, qualquer permissão de RBAC do Azure (controle de acesso baseado em função do Azure) configurada na assinatura precisará ser reconfigurada.

Quando os pontos de extremidade privados são habilitados para o cofre, eles são usados para backup e restauração de cargas de trabalho do SQL e do SAP HANA somente em uma VM do Azure, no backup do agente do MARS e no DPM. Você também pode usar o cofre para o backup de outras cargas de trabalho (mas elas não precisarão de pontos de extremidade privados). Além do backup das cargas de trabalho do SQL e do SAP HANA e do backup que usa o agente MARS, os pontos de extremidade privados também são usados para executar a recuperação de arquivos em caso de backup de VM do Azure. Para obter mais informações, confira a tabela a seguir:

Cenários Recomendações
Fazer backup de cargas de trabalho na VM do Azure (SQL, SAP HANA), fazer backup usando o agente do MARS e o servidor do DPM. O uso de pontos de extremidade privados é recomendado para permitir backup e restauração sem a necessidade de adicionar a uma lista de permissões quaisquer IPs/FQDNs para o Backup do Azure ou o Armazenamento do Microsoft Azure a partir das redes virtuais. Nesse cenário, verifique se as VMs que hospedam bancos de dados SQL podem alcançar IPs ou FQDNs do Microsoft Entra.
Backup de VM do Azure O backup da VM não exige permissão de acesso a quaisquer IPs ou FQDNs. Portanto, ele não requer pontos de extremidade privados para backup e restauração de discos.

No entanto, a recuperação de arquivos a partir de um cofre que contém pontos de extremidade privados é restrita a redes virtuais que contêm um ponto de extremidade privado para o cofre.

Ao usar os discos não gerenciados que estão na ACL, verifique se a conta de armazenamento que contém os discos permite o acesso a serviços confiáveis da Microsoft, se eles estiverem na ACL.
Backup de Arquivos do Azure Os backups de Arquivos do Azure são armazenados na conta de armazenamento local. Portanto, o backup e restauração de discos não requer pontos de extremidade privados.
VNet alterada para ponto de extremidade privado no cofre e na máquina virtual Pare a proteção de backup e configure a proteção de backup em um novo cofre com os Pontos de Extremidade Privados habilitados.

Observação

Os pontos de extremidade privados são suportados somente com o servidor DPM 2022, MABS v4 e versões posteriores.

Diferença nas conexões de rede devido a pontos de extremidade privados

Como mencionado anteriormente, os pontos de extremidade privados são particularmente úteis para o backup de cargas de trabalho (SQL, SAP HANA) em backups de VMs do Azure e de agente MARS.

Em todos os cenários (com ou sem pontos de extremidade privados), as extensões de carga de trabalho (para backup de instâncias do SQL e do SAP HANA em execução dentro das VMs do Azure) e o agente MARS fazem chamadas de conexão para o Microsoft Entra ID (para FQDNs mencionadas nas seções 56 e 59 no Microsoft 365 Common e Office Online).

Além dessas conexões quando a extensão da carga de trabalho ou o agente MARS é instalado para o cofre dos Serviços de Recuperação sem pontos de extremidade privados, é obrigatória também a conectividade com os seguintes domínios:

Serviço Nomes de domínios Porta
Serviço de Backup do Azure *.backup.windowsazure.com 443
Armazenamento do Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net
443
ID do Microsoft Entra *.login.microsoft.com

Permitir acesso aos FQDNs nas seções 56 e 59.
443

Conforme aplicável

Quando a extensão de carga de trabalho ou o agente MARS é instalada no cofre dos Serviços de Recuperação com ponto de extremidade privado, os seguintes pontos de extremidade são alcançados:

Serviço Nome de domínio Porta
Serviço de Backup do Azure *.privatelink.<geo>.backup.windowsazure.com 443
Armazenamento do Azure *.blob.core.windows.net

*.queue.core.windows.net

*.blob.storage.azure.net

*.storage.azure.net
443
ID do Microsoft Entra *.login.microsoft.com

Permitir acesso aos FQDNs nas seções 56 e 59.
443

Conforme aplicável

Observação

No texto acima, <geo> refere-se ao código de região (por exemplo, eus para Leste dos EUA e ne para Norte da Europa). Consulte as seguintes listas para códigos de regiões:

No caso de um cofre dos Serviços de Recuperação com a configuração de ponto de extremidade privado, a resolução de nomes dos FQDNs (privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net) deve retornar um endereço IP privado. Isso pode ser feito usando:

  • Zonas DNS privadas do Azure
  • DNS Personalizado
  • Entradas DNS em arquivos de host
  • Encaminhadores condicionais para zonas DNS do Azure ou de DNS privado do Azure.

Os pontos de extremidade privados para blobs e filas seguem um padrão de nomenclatura, eles começam com <o nome do ponto de extremidade privado> _ecs ou o <nome do ponto de extremidade privado>_prot e possuem os sufixos _blob e _queue respectivamente.

Observação

É recomendável usar zonas de DNS privado do Azure, o que permite gerenciar os registros DNS para blobs e filas usando o Backup do Azure. A identidade gerenciada atribuída ao cofre é usada para automatizar a adição de registro DNS sempre que uma nova conta de armazenamento for alocada para dados de backup.

Se você configurou um servidor proxy DNS usando firewalls ou servidores proxy de terceiros, os nomes de domínio acima devem ser permitidos e redirecionados para um DNS personalizado (que tem registros DNS para os FQDNs acima) ou para 168.63.129.16 na rede virtual do Azure que tem zonas DNS privadas vinculadas a ela.

O seguinte exemplo mostra o firewall do Azure usado como proxy DNS para redirecionar as consultas do cofre dos Serviços de Recuperação, blob, filas e Microsoft Entra ID para 168.63.129.16.

Diagrama que mostra o uso do firewall do Azure como proxy de DNS para redirecionar as consultas do nome de domínio.

Para obter mais informações, confira Criando e usando pontos de extremidade privados.

Configuração de conectividade de rede para cofre com pontos de extremidade privados

O ponto de extremidade privado para Serviços de Recuperação está associado a um adaptador de rede (NIC). Para que as conexões de ponto de extremidade privado funcionem, é necessário que todo o tráfego para o serviço do Azure seja redirecionado para o adaptador de rede. Você pode fazer isso adicionando o mapeamento de DNS do IP privado associado ao adaptador de rede na URL de serviço/blob/fila.

Quando as extensões de backup de carga de trabalho são instaladas na máquina virtual registrada em um cofre dos Serviços de Recuperação com um ponto de extremidade privado, a extensão tenta conexão na URL privada dos serviços do Backup do Azure <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com. Se a URL privada não estiver resolvendo o problema, ela tentará a URL pública <azure_backup_svc>.<geo>.backup.windowsazure.com.

Observação

No texto acima, <geo> refere-se ao código de região (por exemplo, eus para Leste dos EUA e ne para Norte da Europa). Consulte as seguintes listas para códigos de regiões:

Essas URLs privadas são específicas do cofre. Somente extensões e agentes registrados no cofre podem se comunicar com o Azure Backup nesses pontos de extremidade. Se o acesso à rede pública do cofre dos Serviços de Recuperação estiver configurado como Negar, isso impedirá que os clientes que não estão em execução na VNet solicitem backup e restauração no cofre. Recomendamos que o acesso à rede pública seja definido como Negar junto com a configuração do ponto de extremidade privado. À medida que a extensão e o agente tentam acessar a URL privada inicialmente, a resolução de DNS *.privatelink.<geo>.backup.windowsazure.com da URL deve resolver o IP privado correspondente associado ao ponto de extremidade privado.

As soluções para resolução DNS são:

  • Zonas DNS privadas do Azure
  • DNS Personalizado
  • Entradas DNS em arquivos de host
  • Encaminhadores condicionais para zonas DNS do Azure/DNS privado do Azure

Quando o ponto de extremidade privado para cofres dos Serviços de Recuperação é criado no portal do Azure com a opção integrar à zona DNS privada, as entradas DNS obrigatórias para endereços IP privados de serviços do Backup do Azure (*.privatelink.<geo>backup.windowsazure.com) são criadas automaticamente onde quer que o recurso seja alocado. Em outras soluções, você precisa criar as entradas de DNS manualmente para esses FQDNs no DNS personalizado ou nos arquivos de host.

Para o gerenciamento manual de registros de DNS após a descoberta da VM como canal de comunicação - blob/fila, confira Registros de DNS para blobs e filas (somente para servidores DNS personalizados /arquivos de host) após o primeiro registro. Para o gerenciamento manual de registros de DNS após o primeiro backup em blob de conta de armazenamento de backup, confira Registros de DNS para blobs (somente para servidores DNS personalizados /arquivos de host) após o primeiro backup.

Os endereços IP privados dos FQDNs podem ser encontrados na folha de ponto de extremidade privado do ponto associado ao cofre dos Serviços de Recuperação.

O diagrama a seguir mostra como a resolução funciona quando uma zona DNS privada é usada para resolver esses FQDNs de serviço privado.

Diagrama que mostra como a resolução funciona usando uma zona DNS privada para resolver FQDNs de serviço modificados.

A extensão da carga de trabalho em execução na VM do Azure exige conexão com no mínimo dois pontos de extremidade de contas de armazenamento: a primeira é usada como canal de comunicação (por meio de mensagens de fila) e a segunda como armazenamento de dados de backup. O agente MARS exige acesso a uma conta de armazenamento usada para armazenar dados de backup.

Para um cofre habilitado para o ponto de extremidade privado, o serviço de Backup do Azure cria um ponto de extremidade privado para essas contas de armazenamento. Isso impede que qualquer tráfego de rede relacionado ao Backup do Azure (tráfego do painel de controle para dados de serviço e backup para o blob de armazenamento) saia da rede virtual. Além dos serviços de nuvem do Backup do Azure, a extensão e o agente de carga de trabalho exigem conectividade com as Contas de Armazenamento do Azure e o Microsoft Entra ID.

Como pré-requisito, o cofre dos Serviços de Recuperação exige permissões para criar pontos de extremidade privados adicionais no mesmo Grupo de Recursos. Também recomendamos conceder ao cofre dos Serviços de Recuperação permissões para criar entradas DNS nas zonas de DNS privado (privatelink.blob.core.windows.net, privatelink.queue.core.windows.net). O cofre dos Serviços de Recuperação pesquisa zonas de DNS privado nos grupos de recursos em que a VNet e o ponto de extremidade privado foram criados. Se ele tiver as permissões para adicionar entradas DNS a essas zonas, elas serão criadas pelo cofre; do contrário, você deverá criá-las manualmente.

Observação

Não há suporte para a integração com a zona de DNS privado presente em assinaturas diferentes nesta experiência.

O diagrama a seguir mostra como a resolução de nomes funciona para contas de armazenamento que usam uma zona DNS privada.

Diagrama que mostra como a resolução de nomes funciona para contas de armazenamento que usam uma zona DNS privada.

Próximas etapas