تكامل Key Vault مع Azure Private Link
يمكنك Azure Private Link من الوصول إلى خدمات Azure (على سبيل المثال، Azure Key Vault و Azure Storage و Azure Cosmos DB) وخدمات العملاء/الشركاء التي تستضيفها Azure عبر نقطة نهاية خاصة في الشبكة الظاهرية.
تُعد نقطة النهاية الخاصة في Azure هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة مُشغّلة بواسطةAzure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصًّا من الشبكة الظاهرية الخاصة بك، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.
لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟
المتطلبات الأساسية
لدمج مخزن مفاتيح مع Azure Private Link، ستحتاج إلى:
- خزنة مفتاح.
- شبكة Azure الظاهرية.
- شبكة فرعية في الشبكة الظاهرية.
- أذونات المالك أو المساهم لكل من خزنة المفاتيح والشبكة الظاهرية.
يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. عندما تحدد منطقة لنقطة النهاية الخاصة باستخدام المدخل، ستقوم تلقائيًا بتصفية الشبكات الافتراضية الموجودة في تلك المنطقة فقط. يمكن أن يكون خزنة المفتاح الخاصة بك في منطقة مختلفة.
تستخدم نقطة النهاية الخاصة عنوان IP خاصًا في شبكتك الظاهرية.
أنشئ اتصال ارتباط خاص بـKey Vault باستخدام مدخل Microsoft Azure
أولا، أنشئ شبكة اتصال ظاهرية باتباع الخطوات الموجودة في إنشاء شبكة اتصال ظاهرية باستخدام مدخل Microsoft Azure
يمكنك بعد ذلك إما إنشاء خزنة مفتاح جديدة، أو إنشاء اتصال ارتباط خاص بخزنة مفاتيح موجودة.
إنشاء قبو مفتاح جديد وإنشاء اتصال ارتباط خاص
يمكنك إنشاء خزنة مفتاح جديدة باستخدام مدخل Microsoft Azure، أو Azure CLI أو Azure PowerShell.
بعد تكوين أساسيات خزنة المفتاح، حدد علامة التبويب Networking واتبع الخطوات التالية:
قم بتعطيل الوصول العام عن طريق تبديل الزر التبادلي.
حدد الزر "+ Create a private endpoint" لإضافة نقطة نهاية خاصة.
في حقل "الموقع" في "جزء إنشاء نقطة نهاية خاصة"، حدد المنطقة التي توجد بها الشبكة الظاهرية.
في حقل "الاسم"، قم بإنشاء اسم وصفي يسمح لك بتحديد نقطة النهاية الخاصة هذه.
حدد الشبكة الظاهرية والشبكة الفرعية التي تريد إنشاء نقطة النهاية الخاصة هذه فيها من القائمة المنسدلة.
اترك الخيار "التكامل مع DNS المنطقة الخاصة" من دون تغيير.
حدد "موافق".
ستتمكن الآن من رؤية نقطة النهاية الخاصة المكونة. يمكنك الآن حذف نقطة النهاية الخاصة هذه وتحريرها. حدد زر "مراجعة + إنشاء" وأنشئ خزنة المفتاح. يستغرق ذلك 5-10 دقائق تقريبًا لاكتمال النشر.
إنشاء ارتباط خاص بخزنة مفاتيح موجودة
إذا كان لديك خزنة مفاتيح بالفعل، يمكنك إنشاء اتصال ارتباط خاص باتباع الخطوات التالية:
قم بتسجيل الدخول إلى بوابة Azure.
في شريط البحث، اكتب "key vaults"
حدد خزنة المفتاح من القائمة التي تريد إضافة نقطة نهاية خاصة إليها.
حدد علامة التبويب "Networking" ضمن الإعدادات
حدد علامة التبويب "Private endpoint connections" الموجودة في أعلى الصفحة
حدد الزر "+ Create" الموجود في أعلى الصفحة.
ضمن "Project Details"، حدد "Resource Group" التي تحتوي على الشبكة الظاهرية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي. ضمن "Instance details"، أدخل "myPrivateEndpoint" كاسم، وحدد نفس الموقع كشبكة ظاهرية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي.
يمكنك اختيار إنشاء نقطة نهاية خاصة لأي مورد Azure باستخدام هذا الجزء. يمكنك إما استخدام القوائم المنسدلة لتحديد نوع مورد وتحديد مورد في الدليل، أو يمكنك الاتصال بأي مورد Azure باستخدام معرف المورد. اترك الخيار "التكامل مع DNS المنطقة الخاصة" من دون تغيير.
انتقل إلى شريط "Resources". بالنسبة إلى "Resource type"، حدد "Microsoft.KeyVault/vaults"؛ أما بالنسبة إلى "Resource"، حدد مخزن المفاتيح الذي أنشأته كشرط أساسي لهذا البرنامج التعليمي. سيتم ملء "Target sub-resource" تلقائيًا باستخدام "المخزن".
انتقل إلى "Virtual Network". حدد الشبكة الظاهرية والشبكة الفرعية التي قمت بإنشائها كشرط أساسي لهذا البرنامج التعليمي.
انتقل إلى شريطي "DNS" و"Tags"، واقبل الإعدادات الافتراضية.
في شفرة "Review + Create"، حدد "Create".
عند إنشاء نقطة نهاية خاصة، لا بد من الموافقة على الاتصال. إذا كان المورد الذي تقوم بإنشاء نقطة نهاية خاصة له في الدليل الخاص بك، فستتمكن من الموافقة على طلب الاتصال شريطة أن يكون لديك أذونات كافية؛ إذا كنت تتصل بمورد Azure في دليل آخر، يجب الانتظار حتى يوافق مالك هذا المورد على طلب الاتصال.
يوجد أربع حالات توفير:
عمل الخدمة | حالة نقطة النهاية الخاصة للمستهلك | الوصف |
---|---|---|
بلا | معلق | يُنشأ الاتصال يدويًا وهو في انتظار الموافقة من مالك مورد الارتباط الخاص. |
الموافقة | موافق عليها | تمت الموافقة على الاتصال تلقائياً أو يدوياً وهو جاهز للاستخدام. |
رفض | مرفوض | تم رفض الاتصال من ناحية مالك مورد الارتباط الخاص. |
إزالة | غير متصل | تمت إزالة الاتصال من قبل مالك مورد الارتباط الخاص، وتصبح نقطة النهاية الخاصة مفيدة ولابد من حذفها للتنظيف. |
كيفية إدارة اتصال نقطة نهاية خاصة بـKey Vault باستخدام مدخل Microsoft Azure
سجّل الدخول إلى مدخل Azure.
في شريط البحث، اكتب "خزانات المفاتيح"
حدد خزنة المفتاح التي تريد إدارتها.
حدد علامة التبويب "Networking".
إذا كانت هناك أي اتصالات معلقة، فسترى اتصالا مدرجا مع "معلق" في حالة التوفير.
حدد نقطة النهاية الخاصة التي ترغب في الموافقة عليها
حدد الزر موافق.
إذا كانت هناك أي اتصالات نقطة نهاية خاصة تريد رفضها، سواء كان طلبا معلقا أو اتصالا موجودا، فحدد الاتصال وحدد الزر "رفض".
تحقق من أن اتصال الارتباط الخاص يعمل
يجب عليك التحقق من أن الموارد الموجودة داخل الشبكة الفرعية لمورد نقطة النهاية الخاصة تتصل بخزنة المفتاح عبر عنوان IP خاص، وأن لديهم تكامل منطقة DNS الخاص الصحيح.
أولاً، أنشئ جهازًا افتراضيًا باتباع الخطوات الواردة في إنشاء جهاز ظاهري في Windows في مدخل Microsoft Azure
في علامة التبويب "Networking":
- حدد الشبكة الافتراضية والشبكة الفرعية. يمكنك إنشاء شبكة ظاهرية جديدة أو تحديد شبكة موجودة. إذا قمت بتحديد شبكة موجودة، فتأكد من تطابق المنطقة.
- حدد مورد عنوان IP عام.
- بالنسبة إلى "مجموعة أمان شبكة NIC"، حدد "لا يوجد".
- بالنسبة إلى "موازنة التحميل"، حدد "لا".
افتح سطر الأوامر، وقم بتشغيل الأمر التالي:
nslookup <your-key-vault-name>.vault.azure.net
إذا قمت بتشغيل أمر البحث ns لحل عنوان IP لمخزن مفاتيح عبر نقطة نهاية عامة، فسترى نتيجة تبدو كما يلي:
c:\ >nslookup <your-key-vault-name>.vault.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <your-key-vault-name>.vault.azure.net
إذا قمت بتشغيل أمر البحث ns لحل عنوان IP لمخزن مفاتيح عبر نقطة نهاية خاصة، فسترى نتيجة تبدو كما يلي:
c:\ >nslookup your_vault_name.vault.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <your-key-vault-name>.vault.azure.net
<your-key-vault-name>.privatelink.vaultcore.azure.net
دليل استكشاف الأخطاء وإصلاحها
تحقق للتأكد من أن نقطة النهاية الخاصة في الحالة المقبولة.
- يمكنك التحقق من هذا وإصلاحه في مدخل Microsoft Azure. افتح مورد Key Vault، وحدد خيار Networking.
- ثم حدد تبويب اتصالات نقطة النهاية الخاصة.
- تأكد من الموافقة على حالة الاتصال ومن نجاح حالة التوفير.
- يمكنك أيضا الانتقال إلى مورد نقطة النهاية الخاصة ومراجعة نفس الخصائص هناك، والتحقق مرة أخرى من تطابق الشبكة الظاهرية مع الشبكة التي تستخدمها.
تحقق للتأكد أن لديك مورد منطقة DNS خاص.
- يجب أن يكون لديك مورد منطقة DNS خاصة بالاسم الصحيح: privatelink.vaultcore.azure.net.
- لمعرفة كيفية إعداد هذا، يرجى الاطلاع على الرابط التالي. مناطق DNS الخاصة
تحقق للتأكد من ارتباط منطقة DNS الخاصة بالشبكة الظاهرية. قد تكون هذه هي المشكلة إذا كنت لا تزال تحصل على عنوان IP العام الذي تم إرجاعه.
- إذا لم يكن DNS للمنطقة الخاصة مرتبطا بالشبكة الظاهرية، فسيعيد استعلام DNS الذي ينشأ من الشبكة الظاهرية عنوان IP العام لمخزن المفاتيح.
- انتقل إلى مورد منطقة DNS الخاصة في مدخل Microsoft Azure وحدد خيار ارتباطات الشبكة الظاهرية.
- يجب سرد الشبكة الظاهرية التي ستقوم بإجراء الاستدعاءات إلى خزنة المفتاح.
- إذا لم يكن هناك، قم بإضافته.
- للحصول على خطوات مفصلة، راجع المستند التالي ارتباط الشبكة الظاهرية إلى منطقة DNS الخاصة
تحقق للتأكد من أن منطقة DNS الخاصة لا تفتقد إلى سجل A لمخزن المفاتيح.
- انتقل إلى صفحة منطقة DNS الخاصة.
- حدد نظرة عامة وتحقق مما إذا كان هناك سجل A بالاسم البسيط لمخزن المفاتيح (أي fabrikam). لا تحدد أي لاحقة.
- تأكد من التدقيق الإملائي، وأنشئ السجل A أو أصلحه. يمكنك استخدام TTL من 600 (10 دقائق).
- تأكد من تحديد عنوان IP الخاص الصحيح.
تحقق للتأكد من أن السجل A يحتوي على عنوان IP الصحيح.
- يمكنك تأكيد عنوان IP عن طريق فتح مورد نقطة النهاية الخاصة في مدخل Microsoft Azure.
- انتقل إلى مورد Microsoft.Network/privateEndpoints في مدخل Microsoft Azure (وليس مورد Key Vault)
- في صفحة النظرة العامة ابحث عن واجهة الشبكة وحدد هذا الارتباط.
- سيعرض الارتباط نظرة عامة على مورد NIC الذي يحتوي على عنوان IP الخاص بالخصائص.
- تحقق من أن هذا هو عنوان IP الصحيح المحدد في السجل A.
إذا كنت تتصل من مورد محلي ب Key Vault، فتأكد من تمكين جميع معادي التوجيه الشرطي المطلوبين في البيئة المحلية.
- راجع تكوين Azure Private Endpoint DNS للمناطق المطلوبة، وتأكد من أن لديك معدي توجيه شرطي لكل من
vault.azure.net
DNS المحلي وعلىvaultcore.azure.net
نظام أسماء النطاقات المحلي. - تأكد من أن لديك معاد توجيه شرطي لتلك المناطق التي توجه إلى Azure Private DNS Resolver أو بعض منصة DNS الأخرى مع الوصول إلى دقة Azure.
- راجع تكوين Azure Private Endpoint DNS للمناطق المطلوبة، وتأكد من أن لديك معدي توجيه شرطي لكل من
القيود واعتبارات التصميم
الحدود: راجع حدود الارتباط الخاص في Azure
الأسعار: راجع أسعار الارتباط الخاص في Azure.
القيود: راجع خدمة الارتباط الخاص في Azure: القيود
الخطوات التالية
- تعرف على المزيد حول Azure Private Link
- تعرف على المزيد حول Azure Key Vault