Hálózatok biztonságos csatlakoztatása az Azure Automationhöz az Azure Private Linkkel

  • Cikk

Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. A privát végpont egy privát IP-címet használ a virtuális hálózatról, így hatékonyan hozza be az Automation szolgáltatást a virtuális hálózatába. A virtuális hálózat és az Automation-fiók gépei közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán lévő privát kapcsolaton, így kiküszöböli a nyilvános internet jelentette kitettséget.

Van például egy virtuális hálózata, ahol letiltotta a kimenő internet-hozzáférést. Azonban privát módon szeretné elérni az Automation-fiókját, és olyan Automation-funkciókat szeretne használni, mint a webhookok, az állapotkonfiguráció és a runbook-feladatok hibrid runbook-feldolgozókon. Emellett azt is szeretné, hogy a felhasználók csak a virtuális hálózaton keresztül férhessenek hozzá az Automation-fiókhoz. A privát végpont üzembe helyezése eléri ezeket a célokat.

Ez a cikk bemutatja, hogy mikor érdemes használni, és hogyan állíthat be privát végpontot az Automation-fiókjával.

Conceptual overview of Private Link for Azure Automation

Megjegyzés:

Az Azure Automation Privát kapcsolat támogatása csak az Azure Commercial és az Azure US Government felhőkben érhető el.

Előnyök

A Privát hivatkozással a következőt teheti:

  • Csatlakozás privát módon az Azure Automationbe anélkül, hogy nyilvános hálózati hozzáférést nyitná meg.

  • Csatlakozás privát módon az Azure Monitor Log Analytics-munkaterületre anélkül, hogy nyilvános hálózati hozzáférést nyitana meg.

    Megjegyzés:

    A Log Analytics-munkaterülethez külön privát végpontra van szükség, ha az Automation-fiók egy Log Analytics-munkaterülethez van társítva a feladatadatok továbbításához, és ha olyan engedélyezett funkciókkal rendelkezik, mint az Update Management, a változáskövetés és leltározás, az állapotkonfiguráció vagy a virtuális gépek indítása/leállítása munkaidőn kívül. További információ az Azure Monitorhoz készült Private Linkről: Az Azure Private Link használata hálózatok biztonságos csatlakoztatásához az Azure Monitorhoz.

  • Gondoskodhat arról, hogy az Automation-adatok csak engedélyezett privát hálózatokon legyenek elérhetők.

  • A privát végponton keresztül csatlakozó Azure Automation-erőforrás definiálásával megakadályozhatja a magánhálózatok adatkiszivárgását.

  • Biztonságosan csatlakoztassa a helyszíni magánhálózatot az Azure Automationhez az ExpressRoute és a Private Link használatával.

  • Tartsa meg az összes forgalmat a Microsoft Azure gerinchálózatán belül.

További információ: A privát kapcsolat fő előnyei.

Korlátozások

  • A Private Link aktuális implementációjában az Automation-fiók felhőbeli feladatai nem férnek hozzá a privát végponttal biztonságossá tett Azure-erőforrásokhoz. Ilyen például az Azure Key Vault, az Azure SQL, az Azure Storage-fiók stb. Ennek megoldásához használjon inkább hibrid runbook-feldolgozót. Ezért a helyszíni virtuális gépek támogatják a hibrid Runbook-feldolgozók futtatását egy olyan Automation-fiókon, amelyen engedélyezve van a Private Link.
  • Windowshoz vagy Linuxhoz a Log Analytics-ügynök legújabb verzióját kell használnia.
  • A Log Analytics-átjáró nem támogatja a private linket.
  • Az Azure-riasztás (metrikák, naplók és tevékenységnaplók) nem használhatók Automation-webhookok aktiválására, ha az Automation-fiók nyilvános hozzáférés-beállítással van konfigurálva Letiltás értékre.

Hogyan működik?

Az Azure Automation Private Link egy vagy több privát végpontot (ezáltal az ezeket tartalmazó virtuális hálózatokat is) köt össze az Automation-fiókerőforrással. Ezek a végpontok olyan gépek, amelyek webhookokkal indítanak el egy runbookot, a hibrid runbook-feldolgozó szerepkört futtató gépek és a Kívánt állapotkonfiguráció (DSC) csomópontok.

Miután privát végpontokat hoz létre az Automation számára, a rendszer minden nyilvános automation URL-címet leképez egy privát végpontra a virtuális hálózaton. Ön vagy egy gép közvetlenül kapcsolatba léphet az Automation URL-címekkel.

Webhook-forgatókönyv

A runbookokat a webhook URL-címén található POST használatával indíthatja el. Az URL-cím például a következőképpen néz ki: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Hibrid runbook-feldolgozó forgatókönyve

Az Azure Automation felhasználói hibrid runbook-feldolgozó funkciója lehetővé teszi runbookok futtatását közvetlenül az Azure-on vagy nem Azure-beli gépen, beleértve az Azure Arc-kompatibilis kiszolgálókon regisztrált kiszolgálókat is. A szerepkört futtató gépen vagy kiszolgálón futtathat runbookokat közvetlenül rajta és a környezetben lévő erőforrásokon a helyi erőforrások kezeléséhez.

A hibrid feldolgozó egy JRDS-végpontot használ a runbookok elindításához/leállításához, a runbookok feldolgozóhoz való letöltéséhez, valamint a feladatnapló-streamnek az Automation szolgáltatásba való visszaküldéséhez. A JRDS-végpont engedélyezése után az URL-cím a következőképpen nézne ki: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Ez biztosítaná, hogy az Azure Virtual Networkhez csatlakoztatott hibrid feldolgozó runbook-végrehajtása anélkül hajtson végre feladatokat, hogy kimenő internetkapcsolatot kellene nyitnia.

Megjegyzés:

Az Azure Automation privát kapcsolatainak jelenlegi implementálásával csak az Azure-beli virtuális hálózathoz csatlakoztatott hibrid runbook-feldolgozón futó feladatokat támogatja, és nem támogatja a felhőbeli feladatokat.

Hibrid feldolgozói forgatókönyv az Update Managementhez

A rendszer hibrid runbook-feldolgozója támogatja az Update Management szolgáltatás által használt rejtett runbookokat, amelyek a felhasználó által megadott frissítések windowsos és Linux rendszerű gépekre való telepítéséhez lettek kialakítva. Ha az Azure Automation Update Management engedélyezve van, a Log Analytics-munkaterülethez csatlakoztatott összes gép automatikusan hibrid runbook-feldolgozóként van konfigurálva.

Az Update Management áttekintésének megismerése és konfigurálása az Update Managementről. Az Update Management szolgáltatás függőséggel rendelkezik egy Log Analytics-munkaterületen, ezért a munkaterületet egy Automation-fiókkal kell összekapcsolni. A Log Analytics-munkaterületek a megoldás által gyűjtött adatokat tárolják, és naplókereséseket és nézeteket üzemeltetnek.

Ha azt szeretné, hogy az Update Managementhez konfigurált gépek biztonságosan csatlakozzanak az Automation &Log Analytics-munkaterülethez a Private Link csatornán keresztül, engedélyeznie kell a Privát kapcsolattal konfigurált Automation-fiókhoz társított Log Analytics-munkaterület privát kapcsolatát.

A Log Analytics-munkaterületek privát kapcsolat hatókörön kívülről való elérésének szabályozásához kövesse a Log Analytics konfigurálásának lépéseit. Ha nem értékreállítja a nyilvános hálózati hozzáférés engedélyezése beállítást, akkor a csatlakoztatott hatókörön kívüli gépek nem tölthetnek fel adatokat erre a munkaterületre. Ha nem értékre állítja a lekérdezéseknyilvános hálózati hozzáférésének engedélyezése beállítást, akkor a hatókörön kívüli gépek nem férhetnek hozzá a munkaterület adataihoz.

A DSCAndHybridWorker cél-alerőforrás használatával engedélyezze a Private Linket a felhasználói & rendszer hibrid feldolgozói számára.

Megjegyzés:

Az Azure-on kívül üzemeltetett, az Update Management által felügyelt és az Azure-beli virtuális hálózathoz ExpressRoute-beli privát társviszony-létesítésen, VPN-alagutakon és privát végpontokat használó társhálózatokon keresztül csatlakozó gépek támogatják a Private Linket.

Állapotkonfigurációs (agentsvc) forgatókönyv

Az Állapotkonfiguráció az Azure konfigurációkezelési szolgáltatását biztosítja, amely lehetővé teszi a PowerShell Desired State Configuration (DSC) konfigurációinak írását, kezelését és fordítását bármely felhőbeli vagy helyszíni adatközpont csomópontjaihoz.

A gép ügynöke regisztrál a DSC szolgáltatásban, majd a szolgáltatásvégpont használatával lekéri a DSC-konfigurációt. Az ügynökszolgáltatás végpontja a következőképpen néz ki: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

A nyilvános és privát végpont URL-címe megegyezne, de a privát hivatkozás engedélyezésekor egy privát IP-címre lenne leképezve.

Tervezés a hálózat alapján

Az Automation-fiók erőforrásának beállítása előtt vegye figyelembe a hálózatelkülönítési követelményeket. Értékelje ki a virtuális hálózatok nyilvános internethez való hozzáférését, valamint az Automation-fiókra vonatkozó hozzáférési korlátozásokat (beleértve a Privát kapcsolatcsoport hatókörének beállítását az Azure Monitor-naplókhoz, ha integrálva van az Automation-fiókkal). A csomag részeként tekintse át az Automation szolgáltatás DNS-rekordjait is, hogy a támogatott funkciók problémamentesen működjenek.

Csatlakozás privát végpontra

Az alábbi lépéseket követve hozzon létre egy privát végpontot az Automation-fiókjához.

  1. Lépjen az Azure Portal Private Link központjába , és hozzon létre egy privát végpontot a hálózat csatlakoztatásához.

  2. A Private Link Centerben válassza a Privát végpont létrehozása lehetőséget.

    Screenshot of how to create a private endpoint.

  3. Az Alapszintű beállítások területen adja meg a következő adatokat:

    • Előfizetés
    • Erőforráscsoport
    • Név
    • Hálózati adapter neve
    • Régió , majd válassza a Tovább: Erőforrás lehetőséget.

    Screenshot of how to create a private endpoint in Basics tab.

  4. Az erőforráson adja meg a következő adatokat:

    • Csatlakozás ion metódus, válassza az alapértelmezett beállítást – Csatlakozás egy Azure-erőforráshoz a címtáramban.
    • Előfizetés
    • Resource type
    • Erőforrás.
    • A Cél alerőforrás lehet Webhook vagy DSCAndHybridWorker a forgatókönyv szerint, és válassza a Tovább: Virtuális hálózat lehetőséget.

    Screenshot of how to create a private endpoint in Resource tab.

  5. A virtuális hálózaton adja meg a következő adatokat:

    • Virtuális hálózat
    • Alhálózat
    • Engedélyezze a hálózati házirendek engedélyezése jelölőnégyzetet az alhálózat összes privát végpontja számára.
    • Válassza az IP-cím dinamikus lefoglalása lehetőséget, majd válassza a Tovább: DNS lehetőséget.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. A DNS-ben az adatok az Alapismeretek, erőforrás, virtuális hálózat lapon megadott információk szerint lesznek feltöltve, és létrehoznak egy saját DNS zónát. Adja meg a következő adatokat:

    • Integrálás privát DNS-zónával
    • Előfizetés
    • Erőforráscsoport , és válassza a Tovább : Címkék lehetőséget

    Screenshot of how to create a private endpoint in DNS tab.

  7. Címkéken kategorizálhatja az erőforrásokat. Válassza a Név és érték lehetőséget, majd a Véleményezés + létrehozás lehetőséget.

Ekkor megjelenik a Felülvizsgálat + létrehozás lap, ahol az Azure ellenőrzi a konfigurációt. A nyilvános hálózati hozzáférés és a privát kapcsolat módosításainak alkalmazása akár 35 percet is igénybe vehet.

A Private Link Centerben válassza a Privát végpontok lehetőséget a privát kapcsolati erőforrás megtekintéséhez.

Screenshot Automation resource private link.

Válassza ki az erőforrást az összes részlet megtekintéséhez. Ez létrehoz egy új privát végpontot az Automation-fiókhoz, és hozzárendel egy privát IP-címet a virtuális hálózatról. A Csatlakozás ion állapota jóváhagyottként jelenik meg.

Hasonlóképpen létrejön egy egyedi, teljes tartománynév (FQDN) az állapotkonfigurációhoz (agentsvc) és a hibrid runbook-feldolgozói feladat futtatókörnyezetéhez (jrds). Mindegyikhez külön IP-cím tartozik a virtuális hálózattól, és a Csatlakozás ion állapota jóváhagyottként jelenik meg.

Ha a szolgáltatásfelhasználó rendelkezik Azure RBAC-engedélyekkel az Automation-erőforráson, kiválaszthatja az automatikus jóváhagyási módszert. Ebben az esetben, amikor a kérés eléri az Automation-szolgáltató erőforrását, nincs szükség műveletre a szolgáltatótól, és a kapcsolat automatikusan jóvá lesz hagyva.

Nyilvános hálózati hozzáférési jelzők beállítása

Az Automation-fiók konfigurálásával megtagadhatja az összes nyilvános konfigurációt, és csak privát végpontokon keresztüli kapcsolatokat engedélyezhet a hálózati biztonság további növelése érdekében. Ha csak a virtuális hálózaton belülről szeretné korlátozni az Automation-fiókhoz való hozzáférést, és nem szeretné engedélyezni a nyilvános internetről való hozzáférést, a tulajdonságot a következőre $falseállíthatja bepublicNetworkAccess: .

Ha a nyilvános hálózati hozzáférés beállítása a következőre $falsevan állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek, és a nyilvános végpontokon keresztüli összes kapcsolatot a rendszer megtagadja egy jogosulatlan hibaüzenettel és a 401-hez tartozó HTTP-állapottal.

Az alábbi PowerShell-szkript bemutatja, hogyan kell és Set hogyan lehet Get a nyilvános hálózati hozzáférés tulajdonságot az Automation-fiók szintjén:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

A nyilvános hálózati hozzáférési tulajdonságot az Azure Portalról is vezérelheti. Az Automation-fiókban válassza a Hálózatelkülönítés lehetőséget a fiók Gépház szakasz bal oldali paneljén. Ha a Nyilvános hálózati hozzáférés beállítás értéke Nem, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek, és a nyilvános végpontokon keresztüli összes kapcsolat le lesz tiltva.

Public Network Access setting

DNS configuration

Ha a kapcsolati sztring részeként egy teljes tartománynévvel (FQDN) csatlakozik egy privát kapcsolati erőforráshoz, fontos, hogy helyesen konfigurálja a DNS-beállításokat a lefoglalt magánhálózati IP-címre való feloldás érdekében. Előfordulhat, hogy a meglévő Azure-szolgáltatások már rendelkeznek dns-konfigurációval a nyilvános végponton keresztüli csatlakozáskor. A DNS-konfigurációt felül kell vizsgálni és frissíteni kell a privát végponttal való csatlakozáshoz.

A privát végponthoz társított hálózati adapter tartalmazza a DNS konfigurálásához szükséges összes információt, beleértve az adott privát kapcsolati erőforráshoz lefoglalt teljes tartománynevet és magánhálózati IP-címeket.

You can use the following options to configure your DNS settings for private endpoints:

  • Use the host file (only recommended for testing). A virtuális gépen lévő gazdagépfájllal felülbírálhatja a DNS-t a névfeloldás érdekében. A DNS-bejegyzésnek a következő példához hasonlóan kell kinéznie: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Használjon privát DNS-zónát. A privát DNS-zónák használatával felülbírálhatja egy adott privát végpont DNS-felbontását. A private DNS zone can be linked to your virtual network to resolve specific domains. Ha engedélyezni szeretné, hogy a virtuális gépen lévő ügynök kommunikáljon a privát végponton keresztül, hozzon létre egy saját DNS rekordot.privatelink.azure-automation.net Adjon hozzá egy új DNS A rekordleképezést a privát végpont IP-címéhez.

  • Use your DNS forwarder (optional). A DNS-továbbítóval felülbírálhatja egy adott privát kapcsolati erőforrás DNS-felbontását. Ha a DNS-kiszolgálót egy virtuális hálózaton üzemelteti, létrehozhat egy DNS-továbbítási szabályt, amely egy privát DNS-zónát használva egyszerűsíti az összes privát kapcsolati erőforrás konfigurációját.

További információ: Azure-beli privát végpont DNS-konfigurálása.

További lépések

A privát végpontról további információt a Mi az Azure Privát végpont? című témakörben talál.