تكامل Key Vault مع Azure Private Link

يمكنك Azure Private Link من الوصول إلى خدمات Azure (على سبيل المثال، Azure Key Vault و Azure Storage و Azure Cosmos DB) وخدمات العملاء/الشركاء التي تستضيفها Azure عبر نقطة نهاية خاصة في الشبكة الظاهرية.

تُعد نقطة النهاية الخاصة في Azure هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصًّا من الشبكة الظاهرية الخاصة بك، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.

لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟

المتطلبات الأساسية

لدمج مخزن مفاتيح مع Azure Private Link، ستحتاج إلى:

• خزنة مفتاح.
• شبكة Azure الظاهرية.
• شبكة فرعية في الشبكة الظاهرية.
• أذونات المالك أو المساهم لكل من خزنة المفاتيح والشبكة الظاهرية.

يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. عندما تحدد منطقة لنقطة النهاية الخاصة باستخدام المدخل، ستقوم تلقائيًا بتصفية الشبكات الافتراضية الموجودة في تلك المنطقة فقط. يمكن أن يكون خزنة المفتاح الخاصة بك في منطقة مختلفة.

تستخدم نقطة النهاية الخاصة عنوان IP خاصًا في شبكتك الظاهرية.

⁩مدخل Microsoft Azure⁧

أنشئ اتصال ارتباط خاص بـKey Vault باستخدام مدخل Microsoft Azure

أولا، أنشئ شبكة اتصال ظاهرية باتباع الخطوات الموجودة في إنشاء شبكة اتصال ظاهرية باستخدام مدخل Microsoft Azure

يمكنك بعد ذلك إما إنشاء خزنة مفتاح جديدة، أو إنشاء اتصال ارتباط خاص بخزنة مفاتيح موجودة.

إنشاء قبو مفتاح جديد وإنشاء اتصال ارتباط خاص

يمكنك إنشاء خزنة مفتاح جديدة باستخدام مدخل Microsoft Azure، أو Azure CLI أو Azure PowerShell.

بعد تكوين أساسيات خزنة المفتاح، حدد علامة التبويب Networking واتبع الخطوات التالية:

1. قم بتعطيل الوصول العام عن طريق تبديل زر التبادل.

2. حدد الزر "+ Create a private endpoint" لإضافة نقطة نهاية خاصة.

   

3. في حقل "الموقع" في "جزء إنشاء نقطة نهاية خاصة"، حدد المنطقة التي توجد بها الشبكة الظاهرية.

4. في حقل "الاسم"، قم بإنشاء اسم وصفي يسمح لك بتحديد نقطة النهاية الخاصة هذه.

5. حدد الشبكة الظاهرية والشبكة الفرعية التي تريد إنشاء نقطة النهاية الخاصة هذه فيها من القائمة المنسدلة.

6. اترك الخيار "التكامل مع DNS المنطقة الخاصة" من دون تغيير.

7. حدد "موافق".

   

ستتمكن الآن من رؤية نقطة النهاية الخاصة المكونة. يمكنك الآن حذف نقطة النهاية الخاصة هذه وتحريرها. حدد زر "مراجعة + إنشاء" وأنشئ خزنة المفتاح. يستغرق ذلك 5-10 دقائق تقريبًا لاكتمال النشر.

إنشاء ارتباط خاص بخزنة مفاتيح موجودة

إذا كان لديك خزنة مفاتيح بالفعل، يمكنك إنشاء اتصال ارتباط خاص باتباع الخطوات التالية:

1. سجّل الدخول إلى مدخل Azure.

2. في شريط البحث، اكتب "key vaults"

3. حدد خزنة المفتاح من القائمة التي تريد إضافة نقطة نهاية خاصة إليها.

4. حدد علامة التبويب "Networking" ضمن الإعدادات

5. حدد علامة التبويب "Private endpoint connections" الموجودة في أعلى الصفحة

6. حدد الزر "+ Create" الموجود في أعلى الصفحة.

   

7. ضمن "Project Details"، حدد "Resource Group" التي تحتوي على الشبكة الظاهرية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي. ضمن "Instance details"، أدخل "myPrivateEndpoint" كاسم، وحدد نفس الموقع كشبكة ظاهرية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي.

   يمكنك اختيار إنشاء نقطة نهاية خاصة لأي مورد Azure باستخدام هذا الجزء. يمكنك إما استخدام القوائم المنسدلة لتحديد نوع مورد وتحديد مورد في الدليل، أو يمكنك الاتصال بأي مورد Azure باستخدام معرف المورد. اترك الخيار "التكامل مع DNS المنطقة الخاصة" من دون تغيير.

8. انتقل إلى شريط "Resources". بالنسبة إلى "Resource type"، حدد "Microsoft.KeyVault/vaults"؛ أما بالنسبة إلى "Resource"، حدد مخزن المفاتيح الذي أنشأته كشرط أساسي لهذا البرنامج التعليمي. سيتم ملء "Target sub-resource" تلقائيًا باستخدام "المخزن".

9. انتقل إلى "Virtual Network". حدد الشبكة الظاهرية والشبكة الفرعية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي.

10. انتقل إلى شريطي "DNS" و"Tags"، واقبل الإعدادات الافتراضية.

11. في شفرة "Review + Create"، حدد "Create".

عند إنشاء نقطة نهاية خاصة، لا بد من الموافقة على الاتصال. إذا كان المورد الذي تقوم بإنشاء نقطة نهاية خاصة له في الدليل الخاص بك، فستتمكن من الموافقة على طلب الاتصال شريطة أن يكون لديك أذونات كافية؛ إذا كنت تتصل بمورد Azure في دليل آخر، يجب الانتظار حتى يوافق مالك هذا المورد على طلب الاتصال الخاص بك.

يوجد أربع حالات توفير:

عمل الخدمة	حالة نقطة النهاية الخاصة بالنسبة إلى مستهلك الخدمة	الوصف
بلا	معلق	يتم إنشاء الاتصال يدويًا وهو في انتظار الموافقة من مالك مورد الارتباط الخاص.
موافقة	مقبول	تمت الموافقة على الاتصال تلقائيًا أو يدويًا وهو جاهز للاستخدام.
نبذ ورفض	مرفوض وغير موافق عليه	تم رفض الاتصال من ناحية مالك مورد الارتباط الخاص.
إزالة	قطع اتصال	تمت إزالة الاتصال من قبل مالك مورد الارتباط الخاص، وتصبح نقطة النهاية الخاصة مفيدة ولابد من حذفها للتنظيف.

كيفية إدارة اتصال نقطة نهاية خاصة بـKey Vault باستخدام مدخل Microsoft Azure

1. سجِّل الدخول إلى مدخل Azure.

2. في شريط البحث، اكتب "خزانات المفاتيح"

3. حدد خزنة المفتاح التي تريد إدارتها.

4. حدد علامة التبويب "Networking".

5. إذا كانت هناك أي اتصالات معلقة، فسترى اتصالا مدرجا ب "معلق" في حالة التوفير.

6. حدد نقطة النهاية الخاصة التي ترغب في الموافقة عليها

7. حدد الزر موافق.

8. إذا كانت هناك أي اتصالات نقطة نهاية خاصة تريد رفضها، سواء كان طلبا معلقا أو اتصالا موجودا، فحدد الاتصال وحدد الزر "رفض".

   

Azure CLI

أنشئ اتصال ارتباط خاص بـKey Vault باستخدام مدخل CLI (التثبيت المبدئي)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

إنشاء نقطة نهاية خاصة (الموافقة تلقائيًا)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

إنشاء نقطة نهاية خاصة (طلب الموافقة يدويًا)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

إدارة اتصالات الارتباط الخاص

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

أضف سجلات DNS الخاصة

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

تحقق من أن اتصال الارتباط الخاص يعمل

يجب عليك التحقق من أن الموارد الموجودة داخل الشبكة الفرعية لمورد نقطة النهاية الخاصة تتصل بخزنة المفتاح عبر عنوان IP خاص، وأن لديهم تكامل منطقة DNS الخاص الصحيح.

أولاً، أنشئ جهازًا افتراضيًا باتباع الخطوات الواردة في إنشاء جهاز ظاهري في Windows في مدخل Microsoft Azure

في علامة التبويب "الشبكات":

1. حدد الشبكة الظاهرية والشبكة الفرعية. يمكنك إنشاء شبكة ظاهرية جديدة أو تحديد شبكة موجودة. في حالة تحديد واحدة موجودة، تأكد من تطابق المنطقة.
2. حدد مورد IP عام.
3. بالنسبة إلى "مجموعة أمان شبكة NIC"، حدد "لا يوجد".
4. بالنسبة إلى "موازنة التحميل"، حدد "لا".

افتح سطر الأوامر، وقم بتشغيل الأمر التالي:

nslookup <your-key-vault-name>.vault.azure.net

إذا قمت بتشغيل أمر البحث ns لحل عنوان IP لمخزن مفاتيح عبر نقطة نهاية عامة، فسترى نتيجة تبدو كما يلي:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

إذا قمت بتشغيل أمر البحث ns لحل عنوان IP لمخزن مفاتيح عبر نقطة نهاية خاصة، فسترى نتيجة تبدو كما يلي:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

دليل استكشاف الأخطاء وإصلاحها

• تحقق للتأكد من أن نقطة النهاية الخاصة في الحالة المقبولة.

  1. يمكنك التحقق من هذا وإصلاحه في مدخل Microsoft Azure. افتح مورد Key Vault، وحدد خيار Networking.
  2. ثم حدد تبويب اتصالات نقطة النهاية الخاصة.
  3. تأكد من الموافقة على حالة الاتصال ومن نجاح حالة التوفير.
  4. يمكنك أيضا الانتقال إلى مورد نقطة النهاية الخاصة ومراجعة نفس الخصائص هناك، والتحقق مرة أخرى من تطابق الشبكة الظاهرية مع الشبكة التي تستخدمها.

• تحقق للتأكد أن لديك مورد منطقة DNS خاص.

  1. يجب أن يكون لديك مورد منطقة DNS خاصة بالاسم الصحيح: privatelink.vaultcore.azure.net.
  2. لمعرفة كيفية إعداد هذا، يرجى الاطلاع على الرابط التالي. مناطق DNS الخاصة

• تحقق للتأكد من أن منطقة DNS الخاصة مرتبطة بالشبكة الظاهرية. قد تكون هذه هي المشكلة إذا كنت لا تزال تحصل على عنوان IP العام الذي تم إرجاعه.

  1. إذا لم يكن DNS للمنطقة الخاصة مرتبطا بالشبكة الظاهرية، فسيعيد استعلام DNS الذي ينشأ من الشبكة الظاهرية عنوان IP العام لمخزن المفاتيح.
  2. انتقل إلى مورد منطقة DNS الخاصة في مدخل Microsoft Azure وحدد خيار ارتباطات الشبكة الظاهرية.
  3. يجب سرد الشبكة الظاهرية التي ستقوم بإجراء الاستدعاءات إلى خزنة المفتاح.
  4. إذا لم يكن هناك، قم بإضافته.
  5. للحصول على خطوات مفصلة، راجع المستند التالي ارتباط الشبكة الظاهرية إلى منطقة DNS الخاصة

• تحقق للتأكد من أن منطقة DNS الخاصة لا تفتقد إلى سجل A لمخزن المفاتيح.

  1. انتقل إلى صفحة منطقة DNS الخاصة.
  2. حدد Overview وتحقق مما إذا كان هناك سجل A باسم بسيط لمخزن المفاتيح (أي fabrikam). لا تحدد أي لاحقة.
  3. تأكد من التدقيق الإملائي، وأنشئ السجل A أو أصلحه. يمكنك استخدام TTL من 600 (10 دقائق).
  4. تأكد من تحديد عنوان IP الخاص الصحيح.

• تحقق للتأكد من أن السجل A يحتوي على عنوان IP الصحيح.

  1. يمكنك تأكيد عنوان IP عن طريق فتح مورد نقطة النهاية الخاصة في مدخل Microsoft Azure.
  2. انتقل إلى مورد Microsoft.Network/privateEndpoints في مدخل Microsoft Azure (وليس مورد Key Vault)
  3. في صفحة النظرة العامة ابحث عن واجهة الشبكة وحدد هذا الارتباط.
  4. سيعرض الارتباط نظرة عامة على مورد NIC الذي يحتوي على عنوان IP الخاص بالخصائص.
  5. تحقق من أن هذا هو عنوان IP الصحيح المحدد في السجل A.

• إذا كنت تتصل من مورد محلي إلى Key Vault، فتأكد من تمكين جميع معيدات التوجيه الشرطية المطلوبة في البيئة المحلية.

  1. راجع تكوين Azure Private Endpoint DNS للمناطق المطلوبة، وتأكد من أن لديك معيدات توجيه شرطية لكل من vault.azure.net و vaultcore.azure.net على DNS المحلي الخاص بك.
  2. تأكد من أن لديك معيدات توجيه شرطية لتلك المناطق التي توجه إلى Azure Private DNS Resolver أو بعض منصة DNS الأخرى مع الوصول إلى دقة Azure.

القيود واعتبارات التصميم

الحدود: راجع حدود الارتباط الخاص في Azure

الأسعار: راجع أسعار الارتباط الخاص في Azure.

القيود: راجع خدمة الارتباط الخاص في Azure: القيود

الخطوات التالية

• تعرف على المزيد حول Azure Private Link
• تعرف على المزيد حول Azure Key Vault