Utiliser des points de terminaison privés avec des comptes Azure Batch

Par défaut, les comptes Azure Batch ont des points de terminaison publics et sont accessibles publiquement. Le service Batch offre la possibilité de créer un point de terminaison privé pour les comptes Batch, ce qui permet l’accès au réseau privé au service Batch.

En utilisant Azure Private Link, vous pouvez vous connecter à un compte Azure Batch via un point de terminaison privé. Le point de terminaison privé est un ensemble d’adresses IP privées dans un sous-réseau au sein de votre réseau virtuel. Vous pouvez ensuite limiter l’accès à un compte Azure Batch via des adresses IP privées.

Private Link permet aux utilisateurs d’accéder à un compte Azure Batch à partir du réseau virtuel ou de tout réseau virtuel appairé. Les ressources mappées à Private Link sont également accessibles localement via un peering privé via VPN ou Azure ExpressRoute. Vous pouvez vous connecter à un compte Azure Batch configuré avec Private Link à l’aide de la méthode d’approbation automatique ou manuelle.

Cet article décrit les étapes de création d’un point de terminaison privé pour accéder aux points de terminaison de compte Batch.

Sous-ressources de point de terminaison privé prises en charge pour le compte Batch

La ressource de compte Batch dispose de deux points de terminaison pris en charge pour l’accès avec des points de terminaison privés :

• Point de terminaison de compte (sous-ressource : batchAccount) : ce point de terminaison est utilisé pour accéder à l’API REST du service Batch (plan de données), par exemple la gestion des pools, des nœuds de calcul, des travaux, des tâches, etc.

• Point de terminaison de gestion des nœuds (sous-ressource : nodeManagement) : utilisé par les nœuds du pool Batch pour accéder au service de gestion des nœuds Batch. Ce point de terminaison s’applique uniquement lors de l’utilisation de la communication simplifiée des nœuds de calcul.

Conseil / Astuce

Vous pouvez créer un point de terminaison privé pour l’un d’eux ou les deux au sein de votre réseau virtuel, en fonction de l’utilisation réelle de votre compte Batch. Par exemple, si vous exécutez un pool Batch au sein du réseau virtuel, mais que vous appelez l’API REST du service Batch à partir d’un autre emplacement, vous devez uniquement créer le point de terminaison privé nodeManagement dans le réseau virtuel.

Portail Azure

Procédez comme suit pour créer un point de terminaison privé avec votre compte Batch à l’aide du portail Azure :

1. Accédez à votre compte Batch dans le portail Azure.
2. Dans Paramètres, sélectionnez Mise en réseau et accédez à l’onglet Accès privé. Sélectionnez ensuite + Point de terminaison privé.
3. Dans le volet Informations de base , entrez ou sélectionnez l’abonnement, le groupe de ressources, le nom de ressource de point de terminaison privé et les détails de la région, puis sélectionnez Suivant : Ressource.
4. Dans le volet Ressource , définissez le type de ressource sur Microsoft.Batch/batchAccounts. Sélectionnez le compte Batch auquel vous souhaitez accéder, sélectionnez la sous-ressource cible, puis sélectionnez Suivant : Configuration.
5. Dans le volet Configuration , entrez ou sélectionnez ces informations :
   • Pour Réseau virtuel, sélectionnez votre réseau virtuel.
   • Pour Sous-réseau, sélectionnez votre sous-réseau.
   • Pour la configuration d’adresses IP privées, sélectionnez l’adresse IP d’allocation dynamique par défaut.
   • Pour l’intégrer à une zone DNS privée, sélectionnez Oui. Pour vous connecter en privé à votre point de terminaison privé, vous avez besoin d’un enregistrement DNS. Nous vous recommandons d’intégrer votre point de terminaison privé à une zone DNS privée. Vous pouvez également utiliser vos propres serveurs DNS ou créer des enregistrements DNS à l’aide des fichiers hôtes sur vos machines virtuelles.
   • Pour la zone DNS privée, sélectionnez privatelink.batch.azure.com. La zone DNS privée est déterminée automatiquement. Vous ne pouvez pas modifier ce paramètre à l’aide du portail Azure.

Important

• Si vous avez des points de terminaison privés existants créés avec une zone privatelink.<region>.batch.azure.comDNS privée précédente, suivez la migration avec les points de terminaison privés de compte Batch existants.
• Si vous avez sélectionné l’intégration de zone DNS privée, vérifiez que la zone DNS privée est liée à votre réseau virtuel. Il est possible que le portail Azure vous permet de choisir une zone DNS privée existante, qui peut ne pas être liée à votre réseau virtuel et que vous devrez ajouter manuellement la liaison de réseau virtuel.

6. Sélectionnez Vérifier + créer, puis attendez qu’Azure valide votre configuration.
7. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Conseil / Astuce

Vous pouvez également créer le point de terminaison privé à partir du Centre Private Link dans le portail Azure ou créer une ressource en recherchant un point de terminaison privé.

Utiliser le point de terminaison privé

Une fois le point de terminaison privé approvisionné, vous pouvez accéder au compte Batch à l’aide de l’adresse IP privée au sein du réseau virtuel :

• Point de terminaison privé pour batchAccount : peut accéder au plan de données du compte Batch pour gérer les pools/travaux/tâches.

• Point de terminaison privé pour nodeManagement : les nœuds de calcul du pool Batch peuvent se connecter et être gérés par le service de gestion des nœuds Batch.

Conseil / Astuce

Il est également recommandé de désactiver l’accès au réseau public avec votre compte Batch lorsque vous utilisez des points de terminaison privés, ce qui limite l’accès au réseau privé uniquement.

Important

Si l’accès au réseau public est désactivé avec le compte Batch, l’exécution d’opérations de compte (par exemple des pools, des travaux) en dehors du réseau virtuel où le point de terminaison privé est approvisionné entraîne un message « AuthorizationFailure » pour le compte Batch dans le portail Azure.

Pour afficher les adresses IP du point de terminaison privé à partir du portail Azure :

1. Sélectionnez Toutes les ressources.
2. Recherchez le point de terminaison privé que vous avez créé précédemment.
3. Sélectionnez l’onglet Configuration DNS pour afficher les paramètres DNS et les adresses IP.

Configurer des zones DNS

Utilisez une zone DNS privée dans le sous-réseau où vous avez créé le point de terminaison privé. Configurez les points de terminaison de façon à ce que chaque adresse IP privée soit mappée à une entrée DNS.

Lorsque vous créez le point de terminaison privé, vous pouvez l’intégrer à une zone DNS privée dans Azure. Si vous choisissez d’utiliser plutôt un domaine personnalisé, vous devez le configurer pour ajouter des enregistrements DNS pour toutes les adresses IP privées réservées au point de terminaison privé.

Migration avec des points de terminaison privés de compte Batch existants

Avec l’introduction de la nouvelle sous-ressource de point de terminaison privé nodeManagement pour la gestion des nœuds Batch, la simplification de la zone DNS privée par défaut du compte Batch passe de privatelink.<region>.batch.azure.com à privatelink.batch.azure.com. Pour maintenir la compatibilité descendante avec la zone DNS privée précédemment utilisée, pour un compte Batch avec n’importe quel point de terminaison privé batchAccount approuvé, les mappages DNS CNAME de son point de terminaison de compte contiennent les deux zones (avec la zone précédente vient en premier), par exemple :

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Continuer à utiliser la zone DNS privée précédente

Si vous avez déjà utilisé la zone privatelink.<region>.batch.azure.com DNS précédente avec votre réseau virtuel, vous devez continuer à l’utiliser pour les points de terminaison privés batchAccount existants et nouveaux, et aucune action n’est nécessaire.

Important

Avec l’utilisation existante de la zone DNS privée précédente, continuez à l’utiliser même avec les points de terminaison privés nouvellement créés. N’utilisez pas la nouvelle zone avec votre solution d’intégration DNS tant que vous ne pouvez pas migrer vers la nouvelle zone.

Créer un point de terminaison privé batchAccount avec intégration DNS dans le portail Azure

Si vous créez manuellement un point de terminaison privé batchAccount à l’aide du portail Azure avec l’intégration DNS automatique activée, il utilise la nouvelle zone privatelink.batch.azure.com DNS privée pour l’intégration DNS : créez la zone DNS privée, liez-la à votre réseau virtuel et configurez l’enregistrement DNS A dans la zone de votre point de terminaison privé.

Toutefois, si votre réseau virtuel a déjà été lié à la zone privatelink.<region>.batch.azure.comDNS privée précédente, il interrompt la résolution DNS de votre compte batch dans votre réseau virtuel, car l’enregistrement DNS A de votre nouveau point de terminaison privé est ajouté dans la nouvelle zone, mais la résolution DNS vérifie d’abord la zone précédente pour la prise en charge de la compatibilité descendante.

Vous pouvez atténuer ce problème avec les options suivantes :

• Si vous n’avez plus besoin de la zone DNS privée précédente, dissociez-la de votre réseau virtuel. Aucune action supplémentaire n’est requise.

• Sinon, après la création du nouveau point de terminaison privé :

  1. vérifiez que l’intégration DNS privée automatique ait un enregistrement DNS A créé dans la nouvelle zone DNS privéeprivatelink.batch.azure.com. Par exemple : myaccount.<region> A <IPv4 address>.

  2. Accédez à la zone privatelink.<region>.batch.azure.comDNS privée précédente.

  3. Ajoutez manuellement un enregistrement CNAME DNS. Par exemple : myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Important

Cette atténuation manuelle est nécessaire uniquement lorsque vous créez un point de terminaison privé batchAccount avec l’intégration DNS privée dans le même réseau virtuel qui a déjà été lié à la zone DNS privée précédente.

Migration de la zone DNS privée précédente vers la nouvelle zone

Bien que vous puissiez continuer à utiliser la zone DNS privée précédente avec votre processus de déploiement existant, il est recommandé de le migrer vers la nouvelle zone pour simplifier la gestion de la configuration DNS :

• Avec la nouvelle zone privatelink.batch.azure.comDNS privée, vous n’aurez pas besoin de configurer et de gérer différentes zones pour chaque région avec vos comptes Batch.
• Lorsque vous commencez à utiliser le nouveau point de terminaison privé nodeManagement qui utilise également la nouvelle zone DNS privée, vous n’aurez besoin de gérer qu’une seule zone DNS privée pour les deux types de points de terminaison privés.

Vous pouvez migrer la zone DNS privée précédente en procédant comme suit :

1. Créez et liez la nouvelle zone privatelink.batch.azure.com DNS privée à votre réseau virtuel.
2. Copiez tous les enregistrements DNS A de la zone DNS privée précédente vers la nouvelle zone :

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Dissociez la zone DNS privée précédente de votre réseau virtuel.
4. Vérifiez la résolution DNS au sein de votre réseau virtuel. L’adresse IP du point de terminaison privé doit toujours être utilisée pour résoudre le nom DNS du compte Batch :

nslookup myaccount.<region>.batch.azure.com

5. Commencez à utiliser la nouvelle zone DNS privée avec votre processus de déploiement pour les nouveaux points de terminaison privés.
6. Supprimez la zone DNS privée précédente une fois la migration terminée.

Pricing

Pour plus d’informations sur les coûts liés aux points de terminaison privés, consultez la tarification d’Azure Private Link.

Limitations actuelles et meilleures pratiques

Lorsque vous créez un point de terminaison privé avec votre compte Batch, gardez à l’esprit les éléments suivants :

• Les ressources de point de terminaison privé peuvent être créées dans un autre abonnement que le compte Batch, mais l’abonnement doit être inscrit auprès du fournisseur de ressources Microsoft.Batch.
• Le déplacement des ressources n’est pas pris en charge pour les points de terminaison privés avec des comptes Batch.
• Si une ressource de compte Batch est déplacée vers un autre groupe de ressources ou un autre abonnement, les points de terminaison privés peuvent toujours fonctionner, mais l’association au compte Batch s’arrête. Si vous supprimez la ressource de point de terminaison privé, sa connexion de point de terminaison privé associée existe toujours dans votre compte Batch. Vous pouvez supprimer manuellement la connexion de votre compte Batch.
• Pour supprimer la connexion privée, supprimez la ressource de point de terminaison privé ou supprimez la connexion privée dans le compte Batch (cette action déconnecte la ressource de point de terminaison privé associée).
• Les enregistrements DNS dans la zone DNS privée ne sont pas supprimés automatiquement lorsque vous supprimez une connexion de point de terminaison privé du compte Batch. Vous devez supprimer manuellement les enregistrements DNS avant d’ajouter un nouveau point de terminaison privé lié à cette zone DNS privée. Si vous ne nettoyez pas les enregistrements DNS, des problèmes d’accès inattendus peuvent se produire.
• Lorsque le point de terminaison privé est activé pour le compte Batch, le jeton d’authentification de tâche pour la tâche Batch n’est pas pris en charge. La solution de contournement consiste à utiliser le pool Batch avec des identités managées.

Étapes suivantes

• Découvrez comment créer des pools Batch dans des réseaux virtuels.
• Découvrez comment créer des pools Batch sans adresses IP publiques.
• Découvrez comment configurer l’accès réseau public pour les comptes Batch.
• Découvrez comment gérer les connexions de point de terminaison privé pour les comptes Batch.
• Découvrez Azure Private Link.