Použití privátních koncových bodů s účty Azure Batch

Ve výchozím nastavení mají účty Azure Batch veřejné koncové body a jsou veřejně přístupné. Služba Batch nabízí možnost vytvářet privátní koncový bod pro účty Batch, což umožňuje privátní síťový přístup ke službě Batch.

Pomocí služby Azure Private Link se můžete připojit k účtu Azure Batch přes privátní koncový bod. Privátní koncový bod je sada privátních IP adres v podsíti v rámci vaší virtuální sítě. Pak můžete omezit přístup k účtu Azure Batch přes privátní IP adresy.

Private Link umožňuje uživatelům přístup k účtu Azure Batch z virtuální sítě nebo z jakékoli partnerské virtuální sítě. Prostředky mapované na Private Link jsou také dostupné na místním pracovišti prostřednictvím soukromého navázání spojení přes síť VPN nebo Azure ExpressRoute. Pomocí metody automatického nebo ručního schvalování se můžete připojit k účtu Azure Batch nakonfigurovaného pomocí služby Private Link.

Tento článek popisuje postup vytvoření privátního koncového bodu pro přístup ke koncovým bodům účtu Batch.

Dílčí prostředky privátního koncového bodu podporované pro účet Batch

Prostředek účtu Batch má dva koncové body podporované pro přístup k privátním koncovým bodům:

• Koncový bod účtu (dílčí prostředek: batchAccount): Tento koncový bod se používá pro přístup k rozhraní REST API služby Batch (rovina dat), například pro správu fondů, výpočetních uzlů, úloh, úkolů atd.

• Koncový bod správy uzlů (dílčí prostředek: nodeManagement): používaný uzly fondu Batch pro přístup ke službě správy uzlů Batch. Tento koncový bod se dá použít jenom při použití zjednodušené komunikace výpočetního uzlu.

Návod

Privátní koncový bod můžete vytvořit pro jeden z nich nebo obojí ve vaší virtuální síti v závislosti na skutečném využití vašeho účtu Batch. Pokud například spustíte fond Batch ve virtuální síti, ale zavoláte rozhraní REST API služby Batch někam jinam, budete muset ve virtuální síti vytvořit pouze privátní koncový bod nodeManagement .

Azure Portal

Pomocí následujících kroků vytvořte privátní koncový bod s účtem Batch pomocí webu Azure Portal:

1. Na webu Azure Portal přejděte ke svému účtu Batch.
2. V Nastavení vyberte Sítě a přejděte na kartu Soukromý přístup. Pak vyberte + privátní koncový bod.
3. V podokně Základy zadejte nebo vyberte předplatné, skupinu prostředků, název prostředku privátního koncového bodu a podrobnosti o oblasti a pak vyberte Další: Prostředek.
4. V podokně Prostředek nastavte typ prostředku na Microsoft.Batch/batchAccounts. Vyberte účet Batch, ke který chcete získat přístup, vyberte cílový dílčí prostředek a pak vyberte Další: Konfigurace.
5. V podokně Konfigurace zadejte nebo vyberte tyto informace:
   • V případě virtuální sítě vyberte svou virtuální síť.
   • Pro podsítě vyberte svou podsíť.
   • Pro konfiguraci privátní IP vyberte výchozí dynamicky přidělit IP adresu.
   • V případě integrace s privátní zónou DNS vyberte Ano. Pokud se chcete privátně připojit ke svému privátnímu koncovému bodu, potřebujete záznam DNS. Doporučujeme integrovat privátní koncový bod s privátní zónou DNS. Můžete také použít vlastní servery DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích.
   • Jako privátní zónu DNS vyberte privatelink.batch.azure.com. Privátní zóna DNS se určí automaticky. Toto nastavení nemůžete změnit pomocí webu Azure Portal.

Důležité

• Pokud máte existující privátní koncové body vytvořené s předchozí privátní zónou privatelink.<region>.batch.azure.comDNS, postupujte podle migrace se stávajícími privátními koncovými body účtu Batch.
• Pokud jste vybrali integraci privátní zóny DNS, ujistěte se, že je privátní zóna DNS propojená s vaší virtuální sítí. Je možné, že azure Portal umožňuje zvolit existující privátní zónu DNS, která nemusí být propojená s vaší virtuální sítí a budete muset přidat propojení virtuální sítě ručně.

6. Vyberte Zkontrolovat a vytvořit a počkejte, až Azure ověří vaši konfiguraci.
7. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

Návod

Privátní koncový bod můžete také vytvořit z centra Private Link na webu Azure Portal nebo vytvořit nový prostředek vyhledáním privátního koncového bodu.

Použití privátního koncového bodu

Po zřízení privátního koncového bodu můžete k účtu Batch přistupovat pomocí privátní IP adresy ve virtuální síti:

• Privátní koncový bod pro batchAccount: může přistupovat k datové rovině účtu Batch pro správu fondů, úloh a úkolů.

• Privátní koncový bod pro nodeManagement: Výpočetní uzly fondu Batch se můžou připojit ke službě pro správu uzlů Batch a spravovat je.

Návod

Doporučuje se také zakázat přístup k veřejné síti s účtem Batch, když používáte privátní koncové body, což omezí přístup jenom k privátní síti.

Důležité

Pokud je přístup k veřejné síti zakázaný pomocí účtu Batch, provedení operací účtů (například fondů, úloh) mimo virtuální síť, kde je zřízený privátní koncový bod, způsobí na webu Azure Portal zprávu "AuthorizationFailure".

Zobrazení IP adres privátního koncového bodu z webu Azure Portal:

1. Vyberte Všechny prostředky.
2. Vyhledejte privátní koncový bod, který jste vytvořili dříve.
3. Výběrem karty Konfigurace DNS zobrazíte nastavení a IP adresy DNS.

Konfigurace zón DNS

Použijte privátní zónu DNS v podsíti, ve které jste vytvořili privátní koncový bod. Nakonfigurujte koncové body tak, aby každá privátní IP adresa byla namapována na položku DNS.

Když vytváříte privátní koncový bod, můžete ho integrovat s privátní zónou DNS v Azure. Pokud se rozhodnete místo toho použít vlastní doménu, musíte ji nakonfigurovat tak, aby přidávala záznamy DNS pro všechny privátní IP adresy rezervované pro privátní koncový bod.

Migrace s existujícími koncovými body soukromého účtu služby Batch

Po zavedení nové dílčí prostředky privátního koncového bodu nodeManagement pro správu uzlů Batch se výchozí privátní zóna DNS pro účet Batch zjednodušuje z privatelink.<region>.batch.azure.com na privatelink.batch.azure.com. Pokud chcete zachovat zpětnou kompatibilitu s dříve použitou privátní zónou DNS, pro účet Batch se schváleným privátním koncovým bodem batchAccount obsahuje mapování DNS CNAME koncového bodu účtu obě zóny (s předchozí zónou přichází jako první), například:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Pokračovat v používání předchozí privátní zóny DNS

Pokud jste už s virtuální sítí použili předchozí zónu privatelink.<region>.batch.azure.com DNS, měli byste ji dál používat pro existující a nové privátní koncové body batchAccount a není potřeba žádná akce.

Důležité

Pokud už používáte předchozí privátní zónu DNS, pokračujte v jejím používání i s nově vytvořenými privátními koncovými body. Nepoužívejte novou zónu s řešením integrace DNS, dokud nebudete moct migrovat do nové zóny.

Vytvoření nového privátního koncového bodu batchAccount s integrací DNS na webu Azure Portal

Pokud ručně vytvoříte nový privátní koncový bod batchAccount pomocí webu Azure Portal s povolenou automatickou integrací DNS, použije novou privátní zónu privatelink.batch.azure.com DNS pro integraci DNS: vytvořte privátní zónu DNS, propojte ji s vaší virtuální sítí a nakonfigurujete záznam DNS A v zóně pro váš privátní koncový bod.

Pokud už je ale vaše virtuální síť propojená s předchozí privátní zónou privatelink.<region>.batch.azure.comDNS, přeruší se překlad DNS pro váš účet Batch ve vaší virtuální síti, protože záznam DNS A pro váš nový privátní koncový bod se přidá do nové zóny, ale překlad DNS nejprve zkontroluje podporu zpětné kompatibility předchozí zóny.

Tento problém můžete zmírnit následujícími možnostmi:

• Pokud už předchozí privátní zónu DNS nepotřebujete, odpojte ji od své virtuální sítě. Nevyžaduje se žádná další akce.

• Jinak po vytvoření nového privátního koncového bodu:

  1. Ujistěte se, že automatická integrace privátního DNS obsahuje záznam DNS A vytvořený v nové privátní zóně privatelink.batch.azure.comDNS . Například: myaccount.<region> A <IPv4 address>.

  2. Přejít na předchozí privátní zónu privatelink.<region>.batch.azure.comDNS .

  3. Ručně přidejte záznam DNS CNAME. Například: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Důležité

Toto ruční zmírnění rizik je potřeba jenom v případě, že vytvoříte nový privátní koncový bod batchAccount s integrací privátního DNS ve stejné virtuální síti, která už byla propojená s předchozí zónou privátního DNS.

Migrace předchozí privátní zóny DNS do nové zóny

I když se stávajícím procesem nasazení můžete dál používat předchozí privátní zónu DNS, doporučuje se ji migrovat do nové zóny kvůli zjednodušení správy konfigurace DNS:

• S novou privátní zónou privatelink.batch.azure.comDNS nemusíte konfigurovat a spravovat různé zóny pro každou oblast pomocí účtů Batch.
• Když začnete používat nový privátní koncový bod nodeManagement, který používá také novou privátní zónu DNS, budete muset spravovat jenom jednu privátní zónu DNS pro oba typy privátních koncových bodů.

Předchozí privátní zónu DNS můžete migrovat pomocí následujících kroků:

1. Vytvořte a propojte novou privátní zónu privatelink.batch.azure.com DNS s vaší virtuální sítí.
2. Zkopírujte všechny záznamy DNS A z předchozí privátní zóny DNS do nové zóny:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Zrušte propojení předchozí privátní zóny DNS s vaší virtuální sítí.
4. Ověřte rozlišení DNS ve vaší virtuální síti a název DNS účtu Batch by měl i nadále být rozlišen na IP adresu soukromého koncového bodu.

nslookup myaccount.<region>.batch.azure.com

5. Začněte používat novou privátní zónu DNS s procesem nasazení pro nové privátní koncové body.
6. Po dokončení migrace odstraňte předchozí privátní zónu DNS.

Pricing

Podrobnosti o nákladech souvisejících s privátními koncovými body najdete na stránce s cenami služby Azure Private Link.

Aktuální omezení a osvědčené postupy

Při vytváření privátního koncového bodu s účtem Batch mějte na paměti následující skutečnosti:

• Prostředky privátního koncového bodu je možné vytvořit v jiném předplatném jako je účet Batch, ale předplatné musí být zaregistrované u poskytovatele prostředků Microsoft.Batch.
• Přesun prostředků se u privátních koncových bodů s účty Batch nepodporuje.
• Pokud se prostředek účtu Batch přesune do jiné skupiny prostředků nebo předplatného, můžou privátní koncové body dál fungovat, ale přidružení k účtu Batch se přeruší. Pokud prostředek privátního koncového bodu odstraníte, jeho přidružené připojení k privátnímu koncovému bodu stále existuje ve vašem účtu Batch. Připojení můžete ze svého účtu Batch odebrat ručně.
• Pokud chcete privátní připojení odstranit, odstraňte prostředek privátního koncového bodu nebo odstraňte privátní připojení v účtu Batch (tato akce odpojí související prostředek privátního koncového bodu).
• Záznamy DNS v privátní zóně DNS se při odstranění připojení privátního koncového bodu z účtu Batch automaticky neodeberou. Před přidáním nového privátního koncového bodu propojeného s touto privátní zónou DNS je nutné ručně odebrat záznamy DNS. Pokud záznamy DNS nevyčistíte, může dojít k neočekávaným problémům s přístupem.
• Pokud je pro účet Batch povolený privátní koncový bod, ověřovací token úkolu pro úlohu Batch se nepodporuje. Alternativním řešením je použít fond Batch se spravovanými identitami.

Další kroky

• Naučte se vytvářet fondy Batch ve virtuálních sítích.
• Naučte se vytvářet fondy Batch bez veřejných IP adres.
• Zjistěte, jak nakonfigurovat přístup k veřejné síti pro účty Batch.
• Zjistěte, jak spravovat připojení privátních koncových bodů pro účty Batch.
• Další informace o službě Azure Private Link