دمج HSM المُدار مع Azure Private Link

  • مقالة

تمكّنك Azure Private Link Service من الوصول إلى خدمات Azure (على سبيل المثال، HSM المُدار وموقع تخزين Azure و Azure Cosmos DB، وما إلى ذلك) وخدمات العملاء / الشركاء المستضافة في Azure عبر نقطة نهاية خاصة في شبكتك الظاهرية.

تُعد نقطة النهاية الخاصة في Azure هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة مُشغّلة بواسطةAzure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصًّا من الشبكة الظاهرية الخاصة بك، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.

لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟

إشعار

لا يدعم HSM المدار حاليا قواعد IP أو نقاط نهاية خدمة الشبكة الافتراضية

المتطلبات الأساسية

لدمج HSM مُدار مع Azure Private Link، ستحتاج إلى ما يلي:

  • HSM مُدار. راجع توفير وتفعيل HSM مُدار باستخدام Azure CLI للحصول على مزيد من التفاصيل.
  • شبكة Azure الظاهرية.
  • شبكة فرعية في الشبكة الظاهرية.
  • أذونات المالك أو المساهم لكل من HSM المدارة والشبكة الظاهرية.
  • الإصدار 2.25.0 من Azure CLI أو أحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.

يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. عندما تحدد منطقة لنقطة النهاية الخاصة باستخدام المدخل، ستقوم تلقائيًا بتصفية الشبكات الافتراضية الموجودة في تلك المنطقة فقط. يمكن أن يكون HSM الخاص بك في منطقة مختلفة.

تستخدم نقطة النهاية الخاصة عنوان IP خاصًا في شبكتك الظاهرية.

az login                                                                   # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                            # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                            # Create a new Resource Group
az provider register -n Microsoft.KeyVault                                 # Register KeyVault as a provider
az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny # Turn on firewall

az network vnet create -g {RG} -n {vNet NAME} --location {REGION}           # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.managedhsm.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.managedhsm.azure.net --name {dnsZoneLinkName} --registration-enabled true

اسمح للخدمات الموثوقة بالوصول إلى HSM المُدار

فعند تشغيل جدار الحماية، سيتم رفض الوصول إلى HSM من أي مكان لا يستخدم اتصال نقاط نهاية خاصة، بما في ذلك خدمات Azure والإنترنت العام. استخدم --bypass AzureServices الخيار إذا كنت تريد السماح لخدمات Microsoft بالوصول إلى المفاتيح في HSM المدارة. لا تزال الكيانات الفردية (مثل حساب Azure Storage أو Azure SQL Server) بحاجة إلى تعيينات أدوار معينة لتتمكن من الوصول إلى مفتاح.

إشعار

يتم دعم سيناريوهات استخدام خدمات موثوقة محددة فقط. راجع قائمة سيناريوهات استخدام الخدمات الموثوق بها للحصول على مزيد من التفاصيل.

az keyvault update-hsm --hsm-name {HSM NAME} -g {RG} --default-action deny --bypass AzureServices

إنشاء نقطة نهاية خاصة (الموافقة تلقائيًا)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION}

إشعار

إذا قمت بحذف HSM هذا، فستتوقف نقطة النهاية الخاصة عن العمل. إذا قمت باسترداد (إلغاء حذف) HSM هذا لاحقًا، فيجب عليك إعادة إنشاء نقطة نهاية خاصة جديدة.

إنشاء نقطة نهاية خاصة (طلب الموافقة يدويًا)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/managedHSMs/{HSM NAME}" --group-id managedhsm --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --hsm-name {HSM NAME} –-name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --hsm-name {HSM NAME} --name {PRIVATE LINK CONNECTION NAME}

إضافة سجلات DNS خاصة

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.managedhsm.azure.net" -n {HSM NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.managedhsm.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {HSM NAME}.managedhsm.azure.net
nslookup {HSM NAME}.privatelink.managedhsm.azure.net

يجب عليك التحقق من أن الموارد الموجودة في نفس الشبكة الفرعية لمورد نقطة النهاية الخاصة تتصل بـHSM الخاص بك عبر عنوان IP خاص، وأن لديهم تكامل منطقة DNS الخاص الصحيح.

أولاً، أنشئ جهازًا افتراضيًا باتباع الخطوات الواردة في إنشاء جهاز ظاهري في Windows في مدخل Microsoft Azure

في علامة التبويب "Networking":

  1. حدد الشبكة الافتراضية والشبكة الفرعية. يمكنك إنشاء شبكة ظاهرية جديدة أو تحديد شبكة موجودة. إذا قمت بتحديد شبكة موجودة، فتأكد من تطابق المنطقة.
  2. حدد مورد عنوان IP عام.
  3. بالنسبة إلى "مجموعة أمان شبكة NIC"، حدد "لا يوجد".
  4. بالنسبة إلى "موازنة التحميل"، حدد "لا".

افتح سطر الأوامر، وقم بتشغيل الأمر التالي:

nslookup <your-HSM-name>.managedhsm.azure.net

إذا قمت بتشغيل الأمر ns lookup لحل عنوان IP الخاص بـHSM المُدار عبر نقطة نهاية عامة، فسترى النتيجة تبدو كالتالي:

c:\ >nslookup <your-hsm-name>.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-hsm-name>.managedhsm.azure.net

إذا قمت بتشغيل الأمر ns lookup لحل عنوان IP الخاص بـHSM المُدار عبر نقطة نهاية عامة، فسترى نتيجة تبدو كالتالي:

c:\ >nslookup your_hsm_name.managedhsm.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-hsm-name>.managed.azure.net
          <your-hsm-name>.privatelink.managedhsm.azure.net

دليل استكشاف الأخطاء وإصلاحها

  • تحقق للتأكد من أن نقطة النهاية الخاصة في الحالة المقبولة.

    1. استخدم الأمر الفرعي az keyvault private-endpoint-connections show لمعرفة حالة اتصال نقطة النهاية الخاصة.
    2. تأكد من الموافقة على حالة الاتصال ومن نجاح حالة التوفير.
    3. تأكد من تطابق الشبكة الظاهرية مع الشبكة التي تستخدمها.

  • تحقق للتأكد أن لديك مورد منطقة DNS خاص.

    1. يجب أن يكون لديك مورد منطقة DNS خاص بالاسم الصحيح: privatelink.managedhsm.azure.net.
    2. لمعرفة كيفية إعداد هذا، يرجى الاطلاع على الرابط التالي. مناطق DNS الخاصة

  • تحقق للتأكد من ارتباط منطقة DNS الخاصة بالشبكة الظاهرية. قد تكون هذه هي المشكلة إذا كنت لا تزال تحصل على عنوان IP العام.

    1. إذا لم يكن DNS للمنطقة الخاصة مرتبطًا بالشبكة الظاهرية، فسيعيد استعلام DNS الناشئ من الشبكة الظاهرية عنوان IP العام لـ HSM.
    2. انتقل إلى مورد منطقة DNS الخاصة في مدخل Microsoft Azure وانقر فوق الخيار ارتباطات الشبكة الظاهرية.
    3. يجب أن يتم سرد الشبكة الظاهرية التي ستقوم بإجراء مكالمات إلى HSM.
    4. إذا لم يكن هناك، قم بإضافته.
    5. للحصول على خطوات مفصلة، راجع المستند التالي ارتباط الشبكة الظاهرية إلى منطقة DNS الخاصة

  • تحقق للتأكد من أن منطقة DNS الخاصة لا تفقد سجل A لـHSM.

    1. انتقل إلى صفحة منطقة DNS الخاصة.
    2. انقر فوق نظرة عامة وتحقق مما إذا كان هناك سجل A بالاسم البسيط لـHSM الخاص بك. لا تقم بتحديد أي لاحقة.
    3. تأكد من التدقيق الإملائي، وأنشئ السجل A أو أصلحه. يمكنك استخدام TTL بقيمة 3600 (ساعة واحدة).
    4. تأكد من تحديد عنوان IP الخاص الصحيح.

  • تحقق للتأكد من أن السجل A يحتوي على عنوان IP الصحيح.

    1. يمكنك تأكيد عنوان IP عن طريق فتح مورد نقطة النهاية الخاصة في مدخل Microsoft Azure.
    2. انتقل إلى مورد Microsoft.Network/privateEndpoints، في مدخل Azure
    3. في صفحة نظرة عامة ابحث عن واجهة الشبكة وانقر فوق هذا الارتباط.
    4. سيعرض الارتباط نظرة عامة على مورد NIC الذي يحتوي على عنوان IP الخاص بالخصائص.
    5. تحقق من أن هذا هو عنوان IP الصحيح المحدد في السجل A.

القيود واعتبارات التصميم

إشعار

عدد HSMs المدارة مع تمكين نقاط نهاية خاصة لكل اشتراك هو حد قابل للتعديل. الحد الموضح أدناه هو الحد الافتراضي. إذا كنت ترغب في طلب زيادة حد الاشتراك الخاص بك، فالرجاء إنشاء بطاقة دعم Azure. سنوافق على هذه الطلبات على أساس كل حالة على حدة.

الأسعار: للحصول على معلومات التسعير، راجع تسعير Azure Private Link.

الحد الأقصى لعدد نقاط النهاية الخاصة لكل HSM مُدار : 64.

العدد الافتراضي لـHSM المُدار بنقاط نهاية خاصة لكل اشتراك : 400.

لمزيد من المعلومات، راجع خدمة Azure Private Link: القيود

الخطوات التالية