Verwenden privater Endpunkte mit Azure Batch-Konten

Standardmäßig haben Azure Batch-Konten öffentliche Endpunkte und sind öffentlich zugänglich. Der Batch-Dienst bietet die Möglichkeit, private Endpunkte für Batch-Konten zu erstellen, sodass der private Netzwerkzugriff auf den Batchdienst ermöglicht wird.

Durch Verwendung von Azure Private Link können Sie eine Verbindung mit einem Azure Batch-Konto über einen privaten Endpunkt herstellen. Bei einem privaten Endpunkt handelt es sich um eine Gruppe privater IP-Adressen in einem Subnetz innerhalb Ihres virtuellen Netzwerks. Sie können dann den Zugriff auf ein Azure Batch-Konto über private IP-Adressen einschränken.

Private Link ermöglicht Benutzern den Zugriff auf ein Azure Batch-Konto innerhalb des virtuellen Netzwerks oder über ein mittels Peering verbundenes Netzwerk. Auf Ressourcen, die Private Link zugeordnet sind, kann auch lokal über privates Peering über VPN oder Azure ExpressRoute zugegriffen werden. Mithilfe der automatischen oder manuellen Genehmigungsmethode können Sie eine Verbindung mit einem Azure Batch-Konto herstellen, das über Private Link konfiguriert wurde.

In diesem Artikel werden die Schritte zum Erstellen eines privaten Endpunkts für den Zugriff auf Endpunkte eines Batch-Kontos beschrieben.

Private Endpunkte für Unterressourcen für das Batch-Konto

Die Batch-Kontoressource verfügt über zwei Endpunkte, mit denen auf private Endpunkte zugegriffen werden kann:

• Kontoendpunkt (Unterressource: batchAccount): Dieser Endpunkt wird für die Batch-Dienste-REST-API (Datenebene), z. B. zum Verwalten von Pools, Computeknoten, Aufträgen, Aufgaben usw. verwendet.

• Der Knotenverwaltungsendpunkt (Unterressource: nodeManagement): Dieser wird von Batch-Poolknoten verwendet, um auf den Verwaltungsdienst für Batch-Knoten zuzugreifen. Dieser Endpunkt gilt nur bei Verwendung der vereinfachten Kommunikation von Computeknoten.

Tipp

Sie können einen privaten Endpunkt für einen der beiden oder für beide innerhalb Ihres virtuellen Netzwerks erstellen, je nach der tatsächlichen Nutzung für Ihr Batch-Konto. Wenn Sie beispielsweise einen Batch-Pool innerhalb des virtuellen Netzwerks ausführen, aber die Batch-Dienst-REST-API von einem anderen Ort aus aufrufen, müssen Sie nur den privaten Endpunkt nodeManagement im virtuellen Netzwerk erstellen.

Azure-Portal

Gehen Sie wie folgt vor, um einen privaten Endpunkt mit Ihrem Batch-Konto mithilfe des Azure-Portals zu erstellen:

1. Navigieren Sie im Azure-Portal zu Ihrem Batch-Konto.
2. Wählen Sie unter EinstellungenNetzwerk aus, und wechseln Sie zur Registerkarte Privater Zugriff. Wählen Sie dann + Private endpoint (Privaten Endpunkt hinzufügen) aus.
3. Geben Sie im Bereich Grundlagen das Abonnement, die Ressourcengruppe, den Ressourcennamen des privaten Endpunkts und die Regionsdetails ein, oder wählen Sie diese aus, und wählen Sie dann Weiter: Ressource aus.
4. Legen Sie im Bereich Ressource den Ressourcentyp auf Microsoft.Batch/batchAccounts fest. Wählen Sie das Batch-Konto aus, auf das Sie zugreifen möchten. Wählen Sie die Unterressource und dann Next: Configuration (Weiter: Konfiguration) aus.
5. Geben Sie diese Informationen im Bereich Konfiguration ein, oder wählen Sie sie aus:
   • Wählen Sie im Feld Virtuelles Netzwerk Ihr virtuelles Netzwerk aus.
   • Wählen Sie für Subnetz Ihr Subnetz aus.
   • Wählen Sie für Private IP configuration (Konfiguration der privaten IP-Adresse) die Option Dynamically allocate IP address (IP-Adresse dynamisch zuweisen) aus.
   • Wählen Sie für die Integration in einer privaten DNS-ZoneJa aus. Für die Herstellung einer privaten Verbindung mit Ihrem privaten Endpunkt benötigen Sie einen DNS-Eintrag. Es wird empfohlen, den privaten Endpunkt in eine private DNS-Zone zu integrieren. Sie können auch Ihre eigenen DNS-Server verwenden oder DNS-Einträge mithilfe der Hostdateien auf Ihren virtuellen Computern erstellen.
   • Wählen Sie für Private DNS-Zoneprivatelink.batch.azure.com aus. Die private DNS-Zone wird automatisch bestimmt. Sie können diese Einstellung nicht über das Azure-Portal ändern.

Wichtig

• Wenn Sie bereits über private Endpunkte verfügen, die mit der vorherigen privaten DNS-Zone privatelink.<region>.batch.azure.com erstellt wurden, befolgen Sie die Anweisungen unter Migration mit bereits vorhandenen privaten Endpunkten für das Batch-Konto.
• Wenn Sie die Integration privater DNS-Zonen ausgewählt haben, stellen Sie sicher, dass die private DNS-Zone erfolgreich mit Ihrem virtuellen Netzwerk verknüpft wurde. Es ist möglich, dass Azure-Portal Sie eine vorhandene private DNS-Zone auswählen lässt, die möglicherweise nicht mit Ihrem virtuellen Netzwerk verknüpft ist, sodass Sie den virtuellen Netzwerklink manuell hinzufügen müssen.

6. Wählen Sie Überprüfen + erstellen aus, und warten Sie, bis Azure Ihre Konfiguration überprüft hat.
7. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Tipp

Sie können auch den privaten Endpunkt aus Private Link Center im Azure-Portal erstellen oder eine neue Ressource erstellen, indem Sie nach private endpoint (Privater Endpunkt) suchen.

Verwenden des privaten Endpunkts

Nachdem der private Endpunkt bereitgestellt wurde, können Sie über die private IP-Adresse im virtuellen Netzwerk auf das Batch-Konto zugreifen:

• Privater Endpunkt für batchAccount: Kann auf die Ebene der Batch-Kontodaten zugreifen, um Pools bzw. Aufträge oder Aufgaben zu verwalten

• Privater Endpunkt für nodeManagement: Die Computeknoten das Batch-Pools können mit dem Batch-Knotenverwaltungsdienst verbunden und damit verwaltet werden.

Tipp

Es wird empfohlen, auch den öffentlichen Netzwerkzugriff mit Ihrem Batch-Konto zu deaktivieren, wenn Sie private Endpunkte verwenden, wodurch der Zugriff nur noch auf das private Netzwerke möglich ist.

Wichtig

Wenn der öffentliche Netzwerkzugriff mit dem Batch-Konto deaktiviert ist, führt die Durchführung von Kontovorgängen (z. B. Pools, Aufträge) außerhalb des virtuellen Netzwerks, in dem der private Endpunkt bereitstellt ist, zu einer „AuthorizationFailure“-Meldung für das Batch-Konto im Azure-Portal.

So zeigen Sie die IP-Adressen des privaten Endpunkts aus dem Azure-Portal an:

1. Wählen Sie Alle Ressourcen.
2. Suchen Sie nach dem privaten Endpunkt, den Sie zuvor erstellt haben.
3. Wählen Sie die Registerkarte DNS-Konfiguration aus, um die DNS-Einstellungen und IP-Adressen anzuzeigen.

Konfigurieren von DNS-Zonen

Verwenden Sie eine private DNS-Zone innerhalb des Subnetzes, in dem Sie den privaten Endpunkt erstellt haben. Konfigurieren Sie die Endpunkte so, dass jede private IP-Adresse einem DNS-Eintrag zugeordnet ist.

Wenn Sie den privaten Endpunkt erstellen, können Sie ihn in eine private DNS-Zone in Azure integrieren. Wenn Sie stattdessen eine benutzerdefinierte Domäne verwenden möchten, müssen Sie diese so konfigurieren, dass DNS-Einträge für alle privaten IP-Adressen hinzugefügt werden, die für den privaten Endpunkt reserviert sind.

Migration mit vorhandenen privaten Endpunkten für Batch-Konten

Mit der Einführung der neuen privaten Endpunktunterressource nodeManagement für den Batch-Knotenverwaltungsendpunkt wird die private Standard-DNS-Zone für das Batch-Konto von privatelink.<region>.batch.azure.com zu privatelink.batch.azure.com vereinfacht. Um die Abwärtskompatibilität mit der zuvor verwendeten privaten DNS-Zone für ein Batchkonto mit einem beliebigen genehmigten privaten batchAccount-Endpunkt beizubehalten, enthalten die DNS-CNAME-Zuordnungen des Kontos beide Zonen (wobei die vorherige Zone zuerst kommt), wie z. B.:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Fortfahren mit der Verwendung der vorherigen privaten DNS-Zone

Wenn Sie die vorherige DNS-Zone privatelink.<region>.batch.azure.com bereits mit Ihrem virtuellen Netzwerk verwendet haben, sollten Sie sie weiterhin für vorhandene und neue private batchAccount-Endpunkte verwenden, und es ist keine Aktion erforderlich.

Wichtig

Mit der vorhandenen Verwendung der vorherigen privaten DNS-Zone verwenden Sie sie auch bei neu erstellten privaten Endpunkten weiter. Verwenden Sie die neue Zone nicht mit Ihrer DNS-Integrationslösung, bis Sie zur neuen Zone migrieren können.

Erstellen eines neuen privaten BatchAccount-Endpunkts mit der DNS-Integration in Azure-Portal

Wenn Sie einen neuen privaten BatchAccount-Endpunkt manuell mit aktivierter automatischer DNS-Integration mithilfe des Azure-Portal erstellen, wird die neue private DNS-Zone privatelink.batch.azure.com für die DNS-Integration verwendet: Erstellen Sie die private DNS-Zone, verknüpfen Sie sie mit Ihrem virtuellen Netzwerk, und konfigurieren Sie den DNS A-Datensatz in der Zone für Ihren privaten Endpunkt.

Wenn Ihr virtuelles Netzwerk jedoch bereits mit der vorherigen privaten DNS-Zone privatelink.<region>.batch.azure.comverknüpft wurde, wird die DNS-Auflösung für Ihr Batchkonto in Ihrem virtuellen Netzwerk abgebrochen, da der DNS A-Datensatz für Ihren neuen privaten Endpunkt der neuen Zone hinzugefügt wird. Die DNS-Auflösung überprüft jedoch zuerst die vorherige Zone auf die Unterstützung der Abwärtskompatibilität.

Sie können dieses Problem mit folgenden Optionen verringern:

• Wenn Sie die vorherige private DNS-Zone nicht mehr benötigen, deaktivieren Sie die Verknüpfung mit Ihrem virtuellen Netzwerk. Weitere Schritte sind nicht erforderlich.

• Führen Sie andernfalls Folgendes durch, nachdem der neue private Endpunkt erstellt wurde:

  1. Stellen Sie sicher, dass die automatische private DNS-Integration über einen DNS-A-Eintrag verfügt, der in der neuen privaten DNS-Zone privatelink.batch.azure.com erstellt wurde. Beispiel: myaccount.<region> A <IPv4 address>.

  2. Wechseln Sie zur vorherigen privaten DNS-Zone privatelink.<region>.batch.azure.com.

  3. Fügen Sie manuell einen DNS-CNAME-Eintrag hinzu. Beispiel: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Wichtig

Die manuelle Entschärfung ist nur erforderlich, wenn Sie einen neuen privaten batchAccount-Endpunkt mit privater DNS-Integration im selben virtuellen Netzwerk erstellen, das bereits mit der vorherigen privaten DNS-Zone verknüpft ist.

Migrieren der vorherigen privaten DNS-Zone zur neuen Zone

Obwohl Sie die vorherige private DNS-Zone mit Ihrem vorhandenen Bereitstellungsprozess verwenden können, empfiehlt es sich, sie in die neue Zone zu migrieren, um die DNS-Konfigurationsverwaltung zu erleichtern:

• Mit der neuen privaten DNS-Zone privatelink.batch.azure.com müssen Sie keine unterschiedlichen Zonen für jede Region mit Ihren Batchkonten konfigurieren und verwalten.
• Wenn Sie mit der Verwendung des neuen privaten nodeManagement-Endpunkts beginnen, der auch die neue private DNS-Zone verwendet, müssen Sie nur eine einzelne private DNS-Zone für beide Arten von privaten Endpunkten verwalten.

Sie können die vorherige private DNS-Zone mit folgenden Schritten migrieren:

1. Erstellen Sie die neue private DNS-Zone privatelink.batch.azure.com und verknüpfen Sie sie mit Ihrem virtuellen Netzwerk.
2. Kopieren Sie alle DNS A-Datensätze aus der vorherigen privaten DNS-Zone in die neue Zone:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Heben Sie die Verknüpfung der vorherigen privaten DNS-Zone aus Ihrem virtuellen Netzwerk auf.
4. Überprüfen Sie die DNS-Auflösung in Ihrem virtuellen Netzwerk, und der DNS-Name des Batchkontos sollte weiterhin in die private Endpunkt-IP-Adresse aufgelöst werden:

nslookup myaccount.<region>.batch.azure.com

5. Beginnen Sie mit der Verwendung der neuen privaten DNS-Zone mit Ihrem Bereitstellungsprozess für neue private Endpunkte.
6. Löschen Sie die vorherige private DNS-Zone, nachdem die Migration abgeschlossen wurde.

Preise

Einzelheiten zu Kosten im Zusammenhang mit privaten Endpunkten finden Sie unter Azure Private Link_ Preise.

Aktuelle Einschränkungen und bewährte Methoden

Wenn Sie einen privaten Endpunkt mit Ihrem Batch-Konto erstellen, sollten Sie Folgendes beachten:

• Private Endpunktressourcen können in einem anderen Abonnement als dem des Batch-Kontos erstellt werden, aber das Abonnement muss beim Microsoft.Batch-Ressourcenanbieter registriert werden.
• Die Ressourcenverschiebung wird nicht für private Endpunkte mit Batch-Konten unterstützt.
• Wenn eine Batch-Kontoressource in eine andere Ressourcengruppe oder ein anderes Abonnement verschoben wird, können die privaten Endpunkte weiterhin funktionieren, aber die Zuordnung zum Batch-Konto wird aufgehoben. Wenn Sie die private Endpunktressource löschen, ist die zugehörige private Endpunktverbindung weiterhin in Ihrem Batch-Konto vorhanden. Sie können die Verbindung manuell aus Ihrem Batch-Konto entfernen.
• Wenn Sie die private Verbindung löschen möchten, löschen Sie entweder die private Endpunktressource oder die private Verbindung im Batch-Konto (durch diese Aktion wird die zugehörige private Endpunktressource getrennt).
• DNS-Einträge in der privaten DNS-Zone werden nicht automatisch entfernt, wenn Sie eine private Endpunktverbindung aus dem Batch-Konto entfernen. Sie müssen die DNS-Einträge manuell entfernen, bevor Sie einen neuen privaten Endpunkt hinzufügen, der mit dieser privaten DNS-Zone verknüpft ist. Wenn Sie die DNS-Einträge nicht bereinigen, können unerwartete Probleme beim Zugriff auftreten.
• Wenn der private Endpunkt für das Batch-Konto aktiviert ist, wird das Aufgabenauthentifizierungstoken für die Batch-Task nicht unterstützt. Die Problemumgehung besteht darin, einen Batchpool mit verwalteten Identitäten zu verwenden.

Nächste Schritte

• Lernen Sie, wie Sie Batch-Pools in virtuellen Netzwerken erstellen.
• Informationen zum Erstellen von Batchpools ohne öffentliche IP-Adressen
• Informationen zum Konfigurieren des öffentlichen Netzwerkzugriffs für Batch-Konten
• Informationen zum Verwalten von Verbindungen mit einem privaten Endpunkt für Batch-Konten
• Erfahren Sie mehr über Azure Private Link.