Privát végpontok használata Azure Batch-fiókokkal

Alapértelmezés szerint az Azure Batch-fiókok nyilvános végpontokkal rendelkeznek, és nyilvánosan elérhetők. A Batch szolgáltatás lehetővé teszi privát végpont létrehozását a Batch-fiókokhoz, lehetővé téve a privát hálózati hozzáférést a Batch szolgáltatáshoz.

Az Azure Private Link használatával privát végponton keresztül csatlakozhat egy Azure Batch-fiókhoz. A privát végpont magánhálózati IP-címek készlete egy adott virtuális hálózaton belüli alhálózaton. Ezután korlátozhatja az Azure Batch-fiókhoz való hozzáférést privát IP-címeken.

A Private Link lehetővé teszi, hogy a felhasználók a virtuális hálózaton belülről vagy bármely társhálózatról hozzáférjenek egy Azure Batch-fiókhoz. A Private Linkre leképezett erőforrások a helyszínen is elérhetők privát társviszonyon keresztül VPN-en vagy Azure ExpressRoute-on keresztül. Az automatikus vagy manuális jóváhagyási módszer használatával csatlakozhat a Private Linkkel konfigurált Azure Batch-fiókhoz.

Ez a cikk a Batch-fiókvégpontok eléréséhez szükséges privát végpontok létrehozásának lépéseit ismerteti.

A Batch-fiókhoz támogatott privát végpont-alerőforrások

A Batch-fiók erőforrása két végpontot támogat a privát végpontokkal való hozzáféréshez:

• Fiókvégpont (alerőforrás: batchAccount): ez a végpont a Batch Service REST API (adatsík) elérésére szolgál, például készletek, számítási csomópontok, feladatok, feladatok stb. kezelésére.

• Csomópontkezelési végpont (alerőforrás: nodeManagement): a Batch-készlet csomópontjai használják a Batch csomópontkezelési szolgáltatás eléréséhez. Ez a végpont csak egyszerűsített számítási csomópont-kommunikáció esetén alkalmazható.

Jótanács

A Batch-fiók tényleges használatától függően létrehozhat privát végpontot az egyik vagy mindkettőhöz a virtuális hálózaton belül. Ha például a Batch-készletet a virtuális hálózaton belül futtatja, de máshonnan hívja meg a Batch szolgáltatás REST API-t, csak a nodeManagement privát végpontot kell létrehoznia a virtuális hálózaton.

Azure Portal

Az alábbi lépések végrehajtásával hozzon létre privát végpontot Batch-fiókjával az Azure Portal használatával:

1. Nyissa meg Batch-fiókját az Azure Portalon.
2. A Beállítások területen válassza a Hálózatkezelés lehetőséget, és lépjen a Privát hozzáférés lapra. Ezután válassza a + Privát végpont lehetőséget.
3. Az Alapszintű beállítások panelen adja meg vagy válassza ki az előfizetést, az erőforráscsoportot, a privát végpont erőforrásnevét és a régió adatait, majd válassza a Tovább: Erőforrás lehetőséget.
4. Az Erőforrás panelen állítsa az erőforrástípusta Microsoft.Batch/batchAccounts értékre. Válassza ki a elérni kívánt Batch-fiókot, válassza ki a cél alerőforrást, majd válassza a Tovább: Konfiguráció lehetőséget.
5. A Konfiguráció panelen adja meg vagy válassza ki az alábbi adatokat:
   • Virtuális hálózat esetén válassza ki a virtuális hálózatot.
   • Alhálózat esetén válassza ki az alhálózatot.
   • Privát IP-konfiguráció esetén válassza ki az alapértelmezett dinamikusan lefoglalt IP-címet.
   • A privát DNS-zónával való integrációhoz válassza az Igen lehetőséget. A privát végponthoz való privát kapcsolódáshoz DNS-rekordra van szükség. Javasoljuk, hogy integrálja a privát végpontot egy privát DNS-zónával. Használhatja saját DNS-kiszolgálóit is, vagy létrehozhat DNS-rekordokat a virtuális gépek gazdagépfájlok használatával.
   • Privát DNS-zóna esetén válassza a privatelink.batch.azure.com lehetőséget. A privát DNS-zóna automatikusan lesz meghatározva. Ezt a beállítást nem módosíthatja az Azure Portal használatával.

Fontos

• Ha meglévő privát végpontokat hozott létre a korábbi privát DNS-zónával privatelink.<region>.batch.azure.com, kövesse a Migrálást a meglévő Batch-fiók privát végpontjaival.
• Ha a privát DNS-zóna integrációját választotta, győződjön meg arról, hogy a privát DNS-zóna sikeresen kapcsolódik a virtuális hálózathoz. Lehetséges, hogy az Azure Portalon kiválaszthat egy meglévő privát DNS-zónát, amely esetleg nem kapcsolódik a virtuális hálózathoz, és manuálisan kell hozzáadnia a virtuális hálózati kapcsolatot.

6. Válassza a Véleményezés + létrehozás lehetőséget, majd várja meg, amíg az Azure ellenőrzi a konfigurációt.
7. Amikor megjelenik a Ellenőrzés sikeres üzenet, válassza a Létrehozás.

Jótanács

A privát végpontot az Azure Portal Private Link Centerből is létrehozhatja, vagy létrehozhat egy új erőforrást a privát végpontok keresésével.

A privát végpont használata

A privát végpont kiépítése után a Batch-fiókot a virtuális hálózaton belüli privát IP-cím használatával érheti el:

• A batchAccount privát végpontja: hozzáférhet a Batch-fiók adatsíkjához a készletek/munkák/feladatok kezeléséhez.

• A nodeManagement privát végpontja: A Batch-készlet számítási csomópontjai csatlakozhatnak a Batch csomópontkezelési szolgáltatásához, és kezelhetik azt.

Jótanács

Javasoljuk, hogy privát végpontok használata esetén is tiltsa le a nyilvános hálózati hozzáférést a Batch-fiókkal, ami csak a magánhálózathoz való hozzáférést korlátozza.

Fontos

Ha a nyilvános hálózati hozzáférés le van tiltva a Batch fiók esetében, akkor a fiókműveletek (például készletek, feladatok) végrehajtására a virtuális hálózaton kívül, ahol a privát végpont ki van építve, "AuthorizationFailure" üzenetet eredményez a Batch fiók az Azure portálon.

A privát végpont IP-címeinek megtekintése az Azure Portalról:

1. Válassza az összes erőforrást.
2. Keresse meg a korábban létrehozott privát végpontot.
3. A DNS-beállítások és AZ IP-címek megtekintéséhez válassza a DNS-konfiguráció lapot.

DNS-zónák konfigurálása

Használjon egy privát DNS-zónát az alhálózaton belül, ahol létrehozta a privát végpontot. Konfigurálja a végpontokat úgy, hogy minden privát IP-cím dns-bejegyzéshez legyen leképezve.

A privát végpont létrehozásakor integrálhatja azt egy privát DNS-zónával az Azure-ban. Ha úgy dönt, hogy inkább egyéni tartományt használ, konfigurálnia kell azt úgy, hogy dns-rekordokat adjon hozzá a privát végponthoz fenntartott összes privát IP-címhez.

Migrálás meglévő Batch-fiók privát végpontjaival

A Batch csomópontkezelési végpont új privát alerőforrása, a nodeManagement bevezetésével, a Batch-fiók alapértelmezett privát DNS-zónáját egyszerűsítették privatelink.<region>.batch.azure.com-ről privatelink.batch.azure.com-re. A korábban használt privát DNS-zónával való visszamenőleges kompatibilitás fenntartása érdekében a Batch-fiók és bármely jóváhagyott batchAccount privát végpont esetén a fiókvégpont DNS CNAME-megfeleltetései mindkét zónát tartalmazzák (az előző zóna az első), például:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Az előző privát DNS-zóna használatának folytatása

Ha már használta az előző DNS-zónát privatelink.<region>.batch.azure.com a virtuális hálózattal, akkor továbbra is a meglévő és az új BatchAccount privát végpontokhoz kell használnia, és nincs szükség műveletre.

Fontos

A meglévő privát DNS-zónát használja továbbra is még akkor is, ha új privát végpontokat hoz létre. Ne használja az új zónát a DNS-integrációs megoldással, amíg át nem migrálhat az új zónába.

Új batchAccount privát végpont létrehozása DNS-integrációval az Azure Portalon

Ha manuálisan hoz létre egy új batchAccount privát végpontot az Azure Portallal, és engedélyezve van az automatikus DNS-integráció, az új privát DNS-zónát privatelink.batch.azure.com fogja használni a DNS-integrációhoz: hozza létre a privát DNS-zónát, csatolja azt a virtuális hálózathoz, és konfigurálja a DNS A rekordot a privát végpont zónájában.

Ha azonban a virtuális hálózat már kapcsolódik az előző privát DNS-zónához privatelink.<region>.batch.azure.com, az megszakítja a kötegfiók DNS-feloldását a virtuális hálózaton, mivel az új privát végpont DNS A rekordja bekerül az új zónába, de a DNS-feloldás először az előző zónát ellenőrzi a visszamenőleges kompatibilitás támogatása érdekében.

A problémát a következő beállításokkal háríthatja el:

• Ha már nincs szüksége az előző privát DNS-zónára, törölje a kapcsolatot a virtuális hálózatról. Nincs szükség további műveletre.

• Ellenkező esetben az új privát végpont létrehozása után:

  1. győződjön meg arról, hogy az automatikus privát DNS-integráció rendelkezik egy DNS A rekorddal az új privát DNS-zónában privatelink.batch.azure.com. Például: myaccount.<region> A <IPv4 address>.

  2. Ugrás az előző privát DNS-zónára privatelink.<region>.batch.azure.com.

  3. Adjon hozzá manuálisan egy DNS CNAME rekordot. Például: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Fontos

Ez a manuális kockázatcsökkentés csak akkor szükséges, ha egy új batchAccount privát végpontot hoz létre privát DNS-integrációval ugyanabban a virtuális hálózatban, amely már kapcsolódik az előző privát DNS-zónához.

Korábbi privát DNS-zóna migrálása az új zónába

Bár a meglévő üzembe helyezési folyamattal továbbra is használhatja az előző privát DNS-zónát, javasoljuk, hogy a DNS-konfigurációkezelés egyszerűsége érdekében migrálja azt az új zónába:

• Az új privát DNS-zónával privatelink.batch.azure.comnem kell különböző zónákat konfigurálnia és kezelnie az egyes régiókhoz a Batch-fiókokkal.
• Amikor elkezdi használni az új nodeManagement privát végpontot , amely az új privát DNS-zónát is használja, csak egyetlen privát DNS-zónát kell kezelnie mindkét privát végponttípus esetében.

Az előző privát DNS-zónát az alábbi lépésekkel migrálhatja:

1. Hozza létre és kapcsolja össze az új privát DNS-zónát privatelink.batch.azure.com a virtuális hálózatával.
2. Másolja az összes DNS A rekordot az előző privát DNS-zónából az új zónába:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Válassza le az előző privát DNS-zónát a virtuális hálózatról.
4. Ellenőrizze a DNS feloldását a virtuális hálózaton belül, és ellenőrizze, hogy a Batch-fiók DNS-neve továbbra is a privát végpont IP-címére oldódik fel.

nslookup myaccount.<region>.batch.azure.com

5. Kezdje el használni az új privát DNS-zónát az üzembe helyezési folyamattal az új privát végpontokhoz.
6. A migrálás befejezése után törölje az előző privát DNS-zónát.

Árképzés

A privát végpontokkal kapcsolatos költségekkel kapcsolatos részletekért tekintse meg az Azure Private Link díjszabását.

A jelenlegi korlátozások és ajánlott eljárások

Amikor privát végpontot hoz létre a Batch-fiókkal, tartsa szem előtt a következőket:

• A privát végpont erőforrásai különböző előfizetésekben hozhatók létre Batch-fiókként, de az előfizetést regisztrálni kell a Microsoft.Batch erőforrás-szolgáltatónál.
• Az erőforrás-áthelyezés nem támogatott a Batch-fiókokkal rendelkező privát végpontok esetében.
• Ha egy Batch-fiók erőforrását egy másik erőforráscsoportba vagy előfizetésbe helyezi át, a privát végpontok továbbra is működhetnek, de a Batch-fiókhoz való társítás megszakad. Ha törli a privát végpont erőforrását, annak társított privát végpontkapcsolata továbbra is létezik a Batch-fiókban. Manuálisan is eltávolíthatja a kapcsolatot a Batch-fiókból.
• A privát kapcsolat törléséhez törölje a privát végpont erőforrását, vagy törölje a privát kapcsolatot a Batch-fiókban (ez a művelet leválasztja a kapcsolódó privát végponterőforrást).
• A privát DNS-zónában lévő DNS-rekordok nem törlődnek automatikusan, amikor töröl egy privát végpontkapcsolatot a Batch-fiókból. A privát DNS-zónához csatolt új privát végpont hozzáadása előtt manuálisan el kell távolítania a DNS-rekordokat. Ha nem törli a DNS-rekordokat, váratlan hozzáférési problémák léphetnek fel.
• Ha a Privát végpont engedélyezve van a Batch-fiókhoz, a Batch-tevékenység feladathitelesítési jogkivonata nem támogatott. Az alternatív megoldás a Batch-készlet felügyelt identitásokkal rendelkező használata.

Következő lépések

• Megtudhatja, hogyan hozhat létre Batch-készleteket virtuális hálózatokban.
• Megtudhatja, hogyan hozhat létre Batch-készleteket nyilvános IP-címek nélkül.
• Megtudhatja, hogyan konfigurálhatja a nyilvános hálózati hozzáférést a Batch-fiókokhoz.
• Megtudhatja, hogyan kezelheti a Batch-fiókok privát végpontkapcsolatait.
• További információ az Azure Private Linkről.