Privát végpontok használata Azure Batch-fiókokkal

Alapértelmezés szerint Azure Batch fiókok nyilvános végpontokkal rendelkeznek, és nyilvánosan elérhetők. A Batch szolgáltatás lehetővé teszi privát végpontok létrehozását a Batch-fiókokhoz, így privát hálózati hozzáférést tesz lehetővé a Batch szolgáltatáshoz.

A Azure Private Link használatával privát végponton keresztül csatlakozhat egy Azure Batch-fiókhoz. A privát végpont a virtuális hálózaton belüli alhálózat privát IP-címeinek halmaza. Ezután korlátozhatja a hozzáférést egy Azure Batch fiókhoz privát IP-címeken keresztül.

Private Link lehetővé teszi, hogy a felhasználók a virtuális hálózaton belülről vagy bármely társviszonyban lévő virtuális hálózatból hozzáférjenek egy Azure Batch fiókhoz. A Private Link leképezett erőforrások a helyszínen is elérhetők privát társviszony-létesítésen keresztül VPN-en vagy Azure ExpressRoute-on keresztül. Az automatikus vagy manuális jóváhagyási módszer használatával csatlakozhat egy Private Link konfigurált Azure Batch-fiókhoz.

Ez a cikk a Batch-fiókvégpontok eléréséhez szükséges privát végpontok létrehozásának lépéseit ismerteti.

A Batch-fiókhoz támogatott privát végponti alerőforrások

A Batch-fiók erőforrásának két végpontja támogatott a privát végpontokhoz való hozzáféréshez:

• Fiókvégpont (alerőforrás: batchAccount): ez a végpont a Batch Service REST API (adatsík) elérésére szolgál, például készletek, számítási csomópontok, feladatok, feladatok stb. kezelésére.

• Csomópontkezelési végpont (alerőforrás: nodeManagement): a Batch-készlet csomópontjai használják a Batch csomópontkezelési szolgáltatás eléréséhez. Ez a végpont csak egyszerűsített számítási csomópont-kommunikáció használatakor alkalmazható.

Tipp

A Batch-fiók tényleges használatától függően privát végpontot hozhat létre az egyikhez vagy mindkettőhöz a virtuális hálózaton belül. Ha például a Batch-készletet a virtuális hálózaton belül futtatja, de máshonnan hívja meg a Batch szolgáltatás REST API-jának hívását, akkor csak a nodeManagement privát végpontot kell létrehoznia a virtuális hálózaton.

Azure Portal

Az alábbi lépésekkel hozzon létre privát végpontot a Batch-fiókjával a Azure Portal használatával:

1. Nyissa meg Batch-fiókját a Azure Portal.
2. A Beállítások területen válassza a Hálózat lehetőséget , és lépjen a Privát hozzáférés lapra. Ezután válassza a + Privát végpont lehetőséget.
3. Az Alapok panelen adja meg vagy válassza ki az előfizetést, az erőforráscsoportot, a privát végpont erőforrásnevét és a régió részleteit, majd válassza a Tovább: Erőforrás lehetőséget.
4. Az Erőforrás panelen állítsa az Erőforrás típusátMicrosoft.Batch/batchAccounts értékre. Válassza ki a elérni kívánt Batch-fiókot, válassza ki a cél alerőforrást, majd válassza a Tovább: Konfiguráció lehetőséget.
5. A Konfiguráció panelen adja meg vagy válassza ki az alábbi adatokat:
   • A Virtuális hálózat beállításnál válassza ki a virtuális hálózatot.
   • Alhálózat esetén válassza ki az alhálózatot.
   • Privát IP-konfiguráció esetén válassza ki az alapértelmezett dinamikusan lefoglalt IP-címet.
   • A privát DNS-zónával való integráláshoz válassza az Igen lehetőséget. A privát végponttal való privát csatlakozáshoz DNS-rekordra van szükség. Javasoljuk, hogy integrálja a privát végpontot egy privát DNS-zónával. Saját DNS-kiszolgálókat is használhat, vagy létrehozhat DNS-rekordokat a virtuális gépek gazdagépfájljaival.
   • A saját DNS zóna esetében válassza a privatelink.batch.azure.com lehetőséget. A privát DNS-zóna automatikusan meg lesz határozva. Ezt a beállítást nem módosíthatja a Azure Portal használatával.

Fontos

• Ha meglévő privát végpontokat hozott létre a korábbi privát DNS-zónával privatelink.<region>.batch.azure.com, kövesse a Migrálás meglévő Batch-fiók privát végpontjaival című témakört.
• Ha a privát DNS-zóna integrációját választotta, győződjön meg arról, hogy a privát DNS-zóna sikeresen kapcsolódik a virtuális hálózathoz. Lehetséges, hogy Azure Portal lehetővé teszi egy meglévő privát DNS-zóna kiválasztását, amely esetleg nem kapcsolódik a virtuális hálózathoz, és manuálisan kell hozzáadnia a virtuális hálózati kapcsolatot.

6. Válassza a Felülvizsgálat + létrehozás lehetőséget, majd várja meg, amíg az Azure ellenőrzi a konfigurációt.
7. Amikor megjelenik a Megfelelt az ellenőrzésen üzenet, válassza a Létrehozás lehetőséget.

Tipp

A privát végpontot a Azure Portal Private Link Centerből is létrehozhatja, vagy létrehozhat egy új erőforrást a privát végpont keresésével.

A privát végpont használata

A privát végpont kiépítése után a Batch-fiókot a virtuális hálózaton belüli privát IP-cím használatával érheti el:

• A batchAccount privát végpontja: hozzáférhet a Batch-fiók adatsíkhoz a készletek/feladatok/feladatok kezeléséhez.

• Privát végpont a nodeManagementhez: A Batch-készlet számítási csomópontjai csatlakozhatnak a Batch csomópontkezelési szolgáltatásához, és kezelhetik azokat.

Tipp

Privát végpontok használata esetén javasoljuk, hogy tiltsa le a nyilvános hálózati hozzáférést a Batch-fiókjával, ami csak a magánhálózathoz való hozzáférést korlátozza.

Fontos

Ha a nyilvános hálózati hozzáférés le van tiltva a Batch-fiókkal, a fiókműveletek (például készletek, feladatok) azon a virtuális hálózaton kívül, ahol a privát végpont ki van építve, "AuthorizationFailure" üzenet jelenik meg a Batch-fiókhoz a Azure Portal.

A privát végpont IP-címeinek megtekintése a Azure Portal:

1. Válassza a Minden erőforrás elemet.
2. Keresse meg a korábban létrehozott privát végpontot.
3. A DNS-beállítások és IP-címek megtekintéséhez válassza a DNS-konfiguráció lapot.

DNS-zónák konfigurálása

Használjon egy privát DNS-zónát abban az alhálózatban, ahol létrehozta a privát végpontot. Konfigurálja a végpontokat úgy, hogy minden magánhálózati IP-cím egy DNS-bejegyzéshez legyen leképezve.

A privát végpont létrehozásakor integrálhatja azt egy privát DNS-zónával az Azure-ban. Ha inkább egyéni tartományt használ, konfigurálnia kell azt úgy, hogy a privát végpont számára fenntartott összes magánhálózati IP-címhez dns-rekordokat adjon hozzá.

Migrálás meglévő Batch-fiók privát végpontjaival

Az új privát végpont alerőforrás-csomópontjának bevezetésével a Batch-csomópont felügyeleti végpontjának kezelése, a Batch-fiók alapértelmezett privát DNS-zónája egyszerűbb lesz a-ról privatelink.<region>.batch.azure.com a-ra privatelink.batch.azure.com. A korábban használt privát DNS-zónával való visszamenőleges kompatibilitás megőrzése érdekében a Batch-fiók és bármely jóváhagyott batchAccount privát végpont esetén a fiókvégpont DNS CNAME-leképezései mindkét zónát tartalmazzák (az előző zóna az első), például:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

A korábbi privát DNS-zóna használatának folytatása

Ha már használta az előző DNS-zónát privatelink.<region>.batch.azure.com a virtuális hálózattal, a meglévő és az új BatchAccount privát végpontokhoz továbbra is használnia kell, és nincs szükség műveletre.

Fontos

A korábbi privát DNS-zóna meglévő használatával továbbra is használhatja az újonnan létrehozott privát végpontokkal is. Ne használja az új zónát a DNS-integrációs megoldással, amíg át nem migrálhat az új zónába.

Új batchAccount privát végpont létrehozása DNS-integrációval a Azure Portal

Ha manuálisan hoz létre egy új batchAccount privát végpontot Azure Portal használatával, és engedélyezve van az automatikus DNS-integráció, az új privát DNS-zónát privatelink.batch.azure.com fogja használni a DNS-integrációhoz: hozza létre a privát DNS-zónát, kapcsolja hozzá a virtuális hálózathoz, és konfigurálja a DNS A rekordot a privát végpont zónájában.

Ha azonban a virtuális hálózat már kapcsolódik az előző privát DNS-zónához privatelink.<region>.batch.azure.com, az megszakítja a kötegelt fiók DNS-feloldását a virtuális hálózatban, mivel az új privát végpont DNS A rekordja hozzá lesz adva az új zónához, de a DNS-feloldás először az előző zónát ellenőrzi a visszamenőleges kompatibilitás támogatása érdekében.

A problémát a következő beállításokkal háríthatja el:

• Ha már nincs szüksége az előző privát DNS-zónára, bontsa ki a virtuális hálózatról. Nincs szükség további beavatkozásra.

• Ellenkező esetben az új privát végpont létrehozása után:

  1. győződjön meg arról, hogy az automatikus privát DNS-integráció rendelkezik egy DNS A rekorddal az új privát DNS-zónában privatelink.batch.azure.com. Például: myaccount.<region> A <IPv4 address>.

  2. Lépjen az előző privát DNS-zónára privatelink.<region>.batch.azure.com.

  3. Adjon hozzá manuálisan egy DNS CNAME rekordot. Például: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Fontos

Ez a manuális kockázatcsökkentés csak akkor szükséges, ha egy új batchAccount privát végpontot hoz létre privát DNS-integrációval ugyanabban a virtuális hálózatban, amely már kapcsolódik az előző privát DNS-zónához.

Korábbi privát DNS-zóna migrálása az új zónába

Bár továbbra is használhatja az előző privát DNS-zónát a meglévő üzembehelyezési folyamattal, javasoljuk, hogy migrálja azt az új zónába a DNS-konfigurációkezelés egyszerűsége érdekében:

• Az új privát DNS-zónával privatelink.batch.azure.comnem kell minden régióhoz különböző zónákat konfigurálnia és kezelnie a Batch-fiókokkal.
• Amikor elkezdi használni az új csomópontotAz új privát DNS-zónát is használó privát végpont kezelésekor csak egyetlen privát DNS-zónát kell kezelnie mindkét privát végponttípushoz.

Az előző privát DNS-zónát a következő lépésekkel migrálhatja:

1. Hozza létre és csatlakoztassa az új privát DNS-zónát privatelink.batch.azure.com a virtuális hálózathoz.
2. Másolja az összes DNS A rekordot az előző privát DNS-zónából az új zónába:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Az előző privát DNS-zóna leválasztása a virtuális hálózatról.
4. Ellenőrizze a DNS-feloldásokat a virtuális hálózaton belül, és a Batch-fiók DNS-nevét továbbra is fel kell oldani a privát végpont IP-címére:

nslookup myaccount.<region>.batch.azure.com

5. Kezdje el használni az új privát DNS-zónát az új privát végpontok üzembehelyezési folyamatával.
6. A migrálás befejezése után törölje az előző privát DNS-zónát.

Díjszabás

A privát végpontokkal kapcsolatos költségekkel kapcsolatos részletekért lásd: Azure Private Link díjszabás.

Aktuális korlátozások és ajánlott eljárások

Amikor privát végpontot hoz létre a Batch-fiókkal, tartsa szem előtt a következőket:

• A privát végponti erőforrások különböző előfizetésekben hozhatók létre Batch-fiókként, de az előfizetést regisztrálni kell a Microsoft.Batch erőforrás-szolgáltatónál.
• Az erőforrás-áthelyezés nem támogatott a Batch-fiókokkal rendelkező privát végpontok esetében.
• Ha egy Batch-fiók erőforrását egy másik erőforráscsoportba vagy előfizetésbe helyezik át, a privát végpontok továbbra is működhetnek, de a Batch-fiókhoz való társítás megszakad. Ha törli a privát végponti erőforrást, a társított privát végponti kapcsolat továbbra is létezik a Batch-fiókban. Manuálisan is eltávolíthatja a kapcsolatot a Batch-fiókból.
• A privát kapcsolat törléséhez törölje a privát végpont erőforrását, vagy törölje a privát kapcsolatot a Batch-fiókban (ez a művelet leválasztja a kapcsolódó privát végponti erőforrást).
• A privát DNS-zónában lévő DNS-rekordok nem törlődnek automatikusan, amikor töröl egy privát végponti kapcsolatot a Batch-fiókból. A PRIVÁT DNS-zónához társított új privát végpont hozzáadása előtt manuálisan el kell távolítania a DNS-rekordokat. Ha nem törli a DNS-rekordokat, váratlan hozzáférési problémák fordulhatnak elő.
• Ha a privát végpont engedélyezve van a Batch-fiókban, a Batch-tevékenység feladathitelesítési jogkivonata nem támogatott. A megkerülő megoldás a Batch-készlet felügyelt identitásokkal való használata.

Következő lépések

• Ismerje meg, hogyan hozhat létre Batch-készleteket virtuális hálózatokban.
• Megtudhatja, hogyan hozhat létre Batch-készleteket nyilvános IP-címek nélkül.
• Megtudhatja, hogyan konfigurálhat nyilvános hálózati hozzáférést Batch-fiókokhoz.
• Megtudhatja, hogyan kezelheti a privát végponti kapcsolatokat a Batch-fiókokhoz.
• További információ a Azure Private Link.