Szerkesztés

Megosztás a következőn keresztül:

Egyrégiós forgatókönyv – Private Link és DNS az Azure Virtual WAN-ban

Azure Private Link
Azure DNS
Azure Firewall
Azure Virtual WAN

Ez a cikk bemutatja, hogyan teheti elérhetővé a PaaS-erőforrásokat egy privát végponton keresztül egy adott számítási feladat számára egyetlen régióban. A forgatókönyvben a hálózati topológia küllős, a központ pedig egy Azure Virtual WAN-központ.

Fontos

Ez a cikk az Azure Private Linkről és az Azure DNS-ről szóló sorozat része a Virtual WAN-ban, és a forgatókönyv-útmutatóban meghatározott hálózati topológiára épül. Elsőként olvassa el az áttekintési oldalt az alapszintű hálózati architektúra és a fő kihívások megismeréséhez.

Eset

Az egyrégiós architektúrát bemutató ábra.

1. ábra: Egyrégiós forgatókönyv a Virtual WAN-hoz a Private Link és az Azure DNS használatával – a kihívás

Töltse le az architektúra Visio-fájlját. Ez a szakasz határozza meg a forgatókönyvet, és újradefiniálja a forgatókönyv kihívását (a feladat ugyanaz, mint az áttekintési oldalon található nem működő példa). A kezdeti forgatókönyv architektúrája az áttekintési útmutatóban meghatározott kezdő hálózati topológiára épül. A következők a kiegészítések és a módosítások:

  • Csak egy régió van egy virtuális központtal.
  • A régióban van egy Azure Storage-fiók, amelynek nyilvános hálózati hozzáférése le van tiltva. Ebben a forgatókönyvben az a feltételezés, hogy csak egy számítási feladat fér hozzá a tárfiókhoz.
  • Kezdetben egyetlen virtuális hálózat csatlakozik a virtuális központhoz.
  • A virtuális hálózat rendelkezik egy számítási feladat alhálózatával, amely egy virtuálisgép-ügyfelet (VM-ügyfelet) tartalmaz.
  • A virtuális hálózat egy privát végpont alhálózatot tartalmaz, amely a tárfiókhoz tartozó privát végpontot tartalmazza.

Sikeres eredmény

Az Azure Virtual Machine-ügyfél a tárfiók privát végpontján keresztül csatlakozhat az Azure Storage-fiókhoz, amely ugyanabban a virtuális hálózaton található, és a tárfiókhoz való minden egyéb hozzáférés le van tiltva.

Akadálya

Szüksége van egy DNS-rekordra a DNS-folyamatban, amely képes feloldani a tárfiók teljes tartománynevét (FQDN) a privát végpont privát IP-címére. Az áttekintésben leírtak szerint a forgatókönyvkel kapcsolatos kihívás kettős:

  1. Nem lehet olyan privát DNS-zónát összekapcsolni, amely fenntartja a szükséges DNS-rekordokat egy virtuális központhoz.
  2. A privát DNS-zónát összekapcsolhatja a számítási feladat hálózatával, így azt gondolhatja, hogy ez működni fog. Sajnos az alaparchitektúra előírja, hogy minden csatlakoztatott virtuális hálózat rendelkezik az Azure Firewall DNS-proxy használatára konfigurált DNS-kiszolgálókkal.

Mivel a privát DNS-zónák nem csatolhatók virtuális központhoz, és a virtuális hálózat úgy van konfigurálva, hogy az Azure Firewall DNS-proxyját használja, az Azure DNS-kiszolgálók nem rendelkeznek semmilyen mechanizmussal a tárfiók (FQDN) feloldásához a privát végpont privát IP-címéhez. Az eredmény az, hogy az ügyfél hibás DNS-választ kap.

DNS- és HTTP-folyamatok

Tekintsük át a DNS-t és az ebből eredő HTTP-kérési folyamatokat ehhez a számítási feladathoz. A felülvizsgálat segít vizualizálni a korábban ismertetett akadályt.

Az egyrégiós kihívást bemutató diagram.

2. ábra: Egyrégiós forgatókönyv a Virtual WAN-hoz a Private Link és az Azure DNS használatával – a kihívás

Töltse le az architektúra Visio-fájlját.

DNS-folyamat

  1. Az ügyféltől érkező DNS-lekérdezést stgworkload00.blob.core.windows.net a rendszer elküldi a konfigurált DNS-kiszolgálónak, amely az Azure Firewall a társhálózati regionális központban.
  2. Az Azure Firewall az Azure DNS-hez küldi a kérést. Mivel nem lehet privát DNS-zónát virtuális központhoz kapcsolni, az Azure DNS nem tudja, hogyan oldhatja fel a teljes tartománynevet a privát végpont privát IP-címével. Tudja, hogyan oldhatja fel a teljes tartománynevet a tárfiók nyilvános IP-címére, így visszaadja a tárfiók nyilvános IP-címét.

HTTP-folyamat

  1. A DNS-eredmény, a tárfiók nyilvános IP-címe mellett az ügyfél HTTP-kérést küld a következőre stgworkload00.blob.core.windows.net: .
  2. A rendszer elküldi a kérést a tárfiók nyilvános IP-címére. Ez a kérés több okból is meghiúsul:
    • Előfordulhat, hogy a számítási feladat alhálózatán lévő NSG nem engedélyezi ezt az internethez kötött forgalmat.
    • Az internethez kötött kimenő forgalom szűrését végző Azure Firewall valószínűleg nem rendelkezik alkalmazásszabálysal a folyamat támogatásához.
    • Még akkor is, ha az NSG és az Azure Firewall is rendelkezik kibocsátási egységeket ehhez a kérési folyamathoz, a Storage-fiók úgy van konfigurálva, hogy blokkolja az összes nyilvános hálózati hozzáférést. A kísérlet végső soron megsérti azt a célt, hogy csak a privát végponton keresztül férhessen hozzá a tárfiókhoz.

Megoldás – Virtuális központ-bővítmény létrehozása a DNS-hez

A feladat megoldására a vállalati hálózati csapatnak kell implementálnia egy virtuális központ-bővítményt a DNS-hez. A DNS virtuális központ bővítményének egyetlen feladata, hogy engedélyezze azokat a számítási feladatokat végző csapatokat, amelyeknek privát DNS-zónákat kell használniuk az architektúrájukban ebben az indítási Virtual WAN-központ topológiájában.

A DNS-bővítmény a regionális virtuális központhoz társviszonyban lévő virtuális hálózat küllőjeként van implementálva. Privát DNS-zónákat is csatlakoztathat ehhez a virtuális hálózathoz. A virtuális hálózat egy Azure DNS Private Resolvert is tartalmaz, amely lehetővé teszi a virtuális hálózaton kívüli szolgáltatások, például az Azure Firewall számára az összes társított privát DNS-zóna értékeinek lekérdezését és fogadását. A dns-hez tartozó tipikus virtuális központ-bővítmény összetevői, valamint néhány szükséges konfigurációs módosítás:

  • Egy új küllős virtuális hálózat, amely a régió virtuális központjával van társviszonyban. Ez a küllő a többi küllőhöz hasonlóan van konfigurálva, ami azt jelenti, hogy az alapértelmezett DNS-kiszolgáló és útválasztási szabályok kényszerítik az Azure Firewall használatát a regionális központban.
  • A rendszer egy DNS Private Resolver-erőforrást helyez üzembe egy bejövő végponttal a küllős virtuális hálózaton.
  • Létrejön egy névvel ellátott privatelink.blob.core.windows.net privát DNS-zónaerőforrás.
    • Ez a zóna egy rekordot A tartalmaz, amely a tárfiók teljes tartománynevéről a tárfiók privát végpontjának privát IP-címére képez le.
    • A privát DNS-zóna a küllős virtuális hálózathoz van csatolva.
    • Ha a szerepköralapú hozzáférés-vezérlés (RBAC) lehetővé teszi, az automatikus regisztráció vagy a szolgáltatás által felügyelt bejegyzések használatával kezelheti ezeket a DNS-rekordokat. Ha nem, manuálisan is karbantarthatja őket.
  • A regionális központban az Azure Firewall DNS-kiszolgálója úgy módosul, hogy a DNS Private Resolver bejövő végpontjára mutasson.

Az alábbi ábra az architektúrát, valamint a DNS- és HTTP-folyamatokat mutatja be.

A DNS-hez készült Virtual Hub-bővítményt tartalmazó munkamegoldást bemutató ábra.

3. ábra: Egyrégiós megoldás a Virtual WAN privát kapcsolattal és DNS-sel történő egyrégiós forgatókönyvéhez

Töltse le az architektúra Visio-fájlját.

DNS-folyamat a DNS virtuális központ-bővítményének létrehozásához

  1. Az ügyféltől érkező DNS-lekérdezést a rendszer elküldi a konfigurált DNS-kiszolgálónak stgworkload00.blob.core.windows.net , amely az Azure Firewall a társhálózati regionális központban – ebben az esetben a 10.100.0.132.

    Képernyőkép a számítási feladat virtuális hálózatáról, amelyen látható, hogy a DNS-kiszolgálók egyénire vannak állítva, és az Azure Firewall magánhálózati IP-címe biztosítja a központot.4. ábra: DNS-kiszolgálók konfigurálása számítási feladat virtuális hálózatához

  2. Az Azure Firewall a központbővítményben – 10.200.1.4– proxyja a regionális Azure DNS Private Resolvernek, amely a DNS Private Resolver bejövő végpontjának privát IP-címe.

    Képernyőkép az Azure Firewall azon szabályzatáról, amelyben a DNS-proxy engedélyezve van, és a DNS-kiszolgálók be vannak állítva.

    5. ábra: DNS-konfiguráció az Azure Firewall-szabályzatban

  3. A DNS Private Resolver proxyja a kérést az Azure DNS-nek. Mivel egy privát DNS-zóna a bejövő végpontot tartalmazó virtuális hálózathoz van csatolva, az Azure DNS használhat rekordokat ezekben a csatolt privát DNS-zónákban.

    Képernyőkép a PRIVÁT DNS-zóna virtuális hálózati kapcsolatairól, amelyen a DNS-bővítmény virtuális hálózatára mutató hivatkozás látható.6. ábra: saját DNS zóna virtuális hálózati kapcsolatai

  4. Az Azure DNS konzultál a társított privát DNS-zónával, és feloldja a 10.1.2.4-es teljes tartománynevet stgworkload00.blob.core.windows.net , amely a tárfiók privát végpontjának IP-címe. Ezt a választ az Azure Firewall DNS-ének adja meg, amely ezután visszaadja a tárfiók privát IP-címét az ügyfélnek.

    Képernyőkép a privát DNS-zónáról, amelyen az A rekord neve stgworkload00 és 10.1.2.4.7. ábra: saját DNS zóna a privát tárfiók A rekordjával

HTTP-folyamat

  1. A DNS-eredmény, a tárfiók privát IP-címe mellett az ügyfél HTTP-kérést küld a következőre stgworkload00.blob.core.windows.net: .
  2. A rendszer elküldi a kérést a tárfiók privát IP-címére (10.1.2.4). Ez a kérés sikeresen útnak indul, feltéve, hogy az ügyfél alhálózatán vagy a privát végpont alhálózatán lévő helyi hálózati biztonsági csoportokra nem vonatkoznak ütköző korlátozások. Fontos tisztában lenni azzal, hogy annak ellenére, hogy az Azure Firewall privát forgalmat biztosít, a kérés nem lesz átirányítva az Azure Firewallon keresztül, mert a privát végpont ugyanabban a virtuális hálózaton van, mint az ügyfél. Ez azt jelenti, hogy ehhez a forgatókönyvhöz nem kell Azure Firewall-kibocsátási egységeket megadni.
  3. A privát kapcsolat a tárfiókhoz a Private Link szolgáltatáson keresztül jön létre. A tárfiók csak magánhálózati hozzáférést engedélyez, és elfogadja a HTTP-kérést.

Virtual Hub-bővítmény DNS-megfontolásokhoz

A vállalati bővítmény megvalósításakor vegye figyelembe az alábbi útmutatást.

  • A DNS-bővítmény üzembe helyezése nem feladat a számítási feladatokért felelős csapat számára. Ez a feladat egy nagyvállalati hálózatkezelési funkció, és implementációs döntésnek kell lennie ezekkel a személyekkel.
  • A DNS-bővítménynek és a privát DNS-zónáknak létezniük kell, mielőtt hozzáadnák a privát végpont DNS-rekordjait konfigurálni kívánt PaaS-szolgáltatásokat.
  • A virtuális központ kiterjesztése regionális erőforrás, elkerüli a régiók közötti forgalmat, és regionális központonként létrehoz egy központbővítményt, ahol a privát végpont DNS-feloldása várható.

Küllős virtuális hálózat

  • Az egységes felelősség elvét követve a DNS-bővítmény virtuális hálózatának csak a DNS-feloldáshoz szükséges erőforrásokat kell tartalmaznia, és nem szabad más erőforrásokkal megosztani.
  • A DNS-bővítmény virtuális hálózatának ugyanazokat a konfigurációs irányelveket kell követnie a küllős hálózatok hozzáadása területen.

Azure DNS Private Resolver

  • Minden régiónak egy virtuális központ DNS-bővítményével kell rendelkeznie egy DNS Private Resolverrel.

  • A PRIVÁT DNS-feloldó csak bejövő végpontot igényel, és nincs kimenő végpont ehhez a forgatókönyvhöz. A bejövő végpont privát IP-címe az Egyéni DNS-szolgáltatáshoz van beállítva az Azure Firewall-szabályzatban (lásd az 5. ábrát).

  • A nagyobb rugalmasság és a nagyobb terheléskezelés érdekében régiónként több DNS Private Resolver-példányt is üzembe helyezhet, és az Azure DNS-proxy több IP-címmel van konfigurálva a proxyalapú megoldáshoz.

    Képernyőkép a DNS Privát feloldó bejövő végpontjairól, amelyek egy végpontot mutatnak.8. ábra: A PRIVÁT DNS-feloldó bejövő végpontjai

  • Kövesse a DNS Private Resolver virtuális hálózati korlátozásait .

  • A DNS Private Resolver bejövő végpontjának alhálózatán lévő hálózati biztonsági csoportnak csak a regionális központból az 53-as portra irányuló UDP-forgalmat kell engedélyeznie. Minden más bejövő és kimenő forgalmat blokkolnia kell.

Privát DNS-zóna

Mivel az Azure DNS Private Resolver az Azure DNS-en keresztül oldja fel a DNS-t, az Azure DNS képes felvenni a bejövő alhálózat virtuális hálózatához társított privát DNS-zónákat.

  • Kapcsolja össze a privát DNS-zónát a DNS virtuális hálózat virtuális központ bővítményével.
  • Kövesse a privát végpontok privát DNS-zónáinak kezelésével kapcsolatos útmutatást.
  • Ha elvárja, hogy a PaaS-erőforrástulajdonosok kezeljenek saját bejegyzéseket, konfigurálja az RBAC-t ennek megfelelően, vagy implementáljon egy olyan megoldást, mint a Private Link és a DNS-integráció nagy léptékben.

Forgatókönyvekkel kapcsolatos megfontolások

Ha egy jól felügyelt virtuális központ DNS-bővítménye van érvényben, térjünk vissza a számítási feladathoz, és foglalkozzunk néhány további ponttal, amelyek segítenek elérni a forgatókönyv sikeres eredménycélját .

Tárfiók

  • Nyilvános hálózati hozzáférés beállítása: A hálózati kapcsolat alatt letiltva, hogy a tárfiók csak privát végpontokon keresztül legyen elérhető.
  • Adjon hozzá egy privát végpontot egy dedikált privát végpont alhálózatához a számítási feladat virtuális hálózatában.
  • Azure Diagnostics küldése a számítási feladat Log Analytics-munkaterületére. A hozzáférési naplók segítségével elháríthatja a konfigurációs problémákat.

Privát végpont biztonsága

A megoldás egyik követelménye a tárfiók kitettségének korlátozása. Miután eltávolította a Nyilvános internet-hozzáférést a PaaS-erőforráshoz, foglalkoznia kell a privát hálózatkezelés biztonságával.

Ha az Azure Firewall privát forgalmat biztosít egy virtuális WAN küllős topológiában, az Azure Firewall alapértelmezés szerint megtagadja a küllők közötti kapcsolatot. Ez az alapértelmezett beállítás megakadályozza, hogy más küllős hálózatok számítási feladatai hozzáférjenek a számítási feladat virtuális hálózatának privát végpontjaihoz (és egyéb erőforrásaihoz). A virtuális hálózaton belüli teljes forgalmat nem az Azure Firewall irányítja át. A virtuális hálózaton belüli hozzáférés szabályozásához és részletesebb védelem hozzáadásához vegye figyelembe a következő hálózati biztonsági csoportra (NSG) vonatkozó ajánlásokat.

  • Hozzon létre egy alkalmazásbiztonsági csoportot (ASG) a hasonló bejövő vagy kimenő hozzáférési igényű erőforrások csoportosításához. Ebben a forgatókönyvben használjon ASG-t azoknak az ügyfél virtuális gépeknek, amelyeknek hozzá kell férnie a tárterülethez, és egyet a hozzáféréssel rendelkező tárfiókokhoz. Lásd: Alkalmazásbiztonsági csoport (ASG) konfigurálása privát végponttal.
  • Győződjön meg arról, hogy a számítási feladatot tartalmazó virtuális gépet tartalmazó alhálózat rendelkezik NSG-vel.
  • Győződjön meg arról, hogy a privát végpontokat tartalmazó alhálózat rendelkezik NSG-vel.

Számítási feladatot tartalmazó virtuális gépet tartalmazó alhálózat NSG-szabályai

A számítási feladathoz szükséges egyéb hálózati szabályok mellett konfigurálja a következő szabályokat.

  • Kimenő szabályok:
    • A számítási ASG számára engedélyezi a tárfiók ASG-hez való hozzáférését.
    • Engedélyezze a számítási ASG-t a regionális központnak az Azure Firewall UDP-hez készült privát IP-címéhez az 53-as porton.

Képernyőkép a számítási feladatok alhálózatának NSG-szabályairól. *9. ábra: A számítási feladatok alhálózatának NSG-szabályai

Privát végpontokat tartalmazó alhálózat NSG-szabályai

Ajánlott eljárás a privát végpontok egy kis, dedikált alhálózaton való közzétételére a felhasználó virtuális hálózaton belül. Ennek egyik oka, hogy felhasználó által definiált útvonalakat és hálózati biztonsági csoport hálózati házirendeket alkalmazhat magánvégpontokra a hozzáadott forgalomvezérlés és biztonság érdekében.

Ez a forgatókönyv lehetővé teszi egy szigorúan korlátozó hálózati biztonsági csoport alkalmazását.

  • Bejövő szabályok:
    • A számítási ASG hozzáférésének engedélyezése a tárfiók ASG-hez
    • Az összes többi forgalom megtagadása
  • Kimenő szabályok:
    • Az összes forgalom megtagadása

Képernyőkép a privát végpont alhálózatának NSG-szabályairól. *10. ábra: A privát végpont alhálózatának NSG-szabályai

Privát végpont biztonsága működés közben

Az alábbi kép bemutatja, hogy a felvázolt szempontok követése hogyan biztosíthatja a mélységi védelmet. Az ábrán egy második küllős virtuális hálózat látható egy második virtuális géppel. Ez a számítási feladat nem tudja elérni a privát végpontot.

A második küllős virtuális hálózat számítási feladatait ábrázoló ábra, amely nem tud hozzáférni a privát végponthoz.

11. ábra: A Virtual WAN egyrégiós forgatókönyvének munkamegoldása privát kapcsolattal és DNS-sel

Töltse le az architektúra Visio-fájlját.

DNS-folyamat

A DNS-folyamat pontosan ugyanaz, mint a megoldási folyamatban.

Fontos kiemelni, hogy a teljes tartománynév a magánhálózati IP-címet oldja fel, nem pedig a nyilvános IP-címet. Ez az állásfoglalás azt jelenti, hogy minden küllő mindig megkapja a szolgáltatás magánhálózati IP-címét. Egy másik forgatókönyv bemutatja, hogyan használhatja ezt a megközelítést egy PaaS-szolgáltatás több felhasználót használó számítási feladat közötti megosztására. Ebben az egyfeladatos forgatókönyvben ez nem probléma.

HTTP-folyamat

  1. A DNS-eredmény, a tárfiók privát IP-címe mellett az ügyfél HTTP-kérést küld a következőre stgworkload00.blob.core.windows.net: .
  2. A rendszer elküldi a kérést a tárfiók privát IP-címére. Ez a kérés számos okból meghiúsul:
    • Az Azure Firewall a privát forgalom védelmére van konfigurálva, így kezeli a kérést. Hacsak az Azure Firewall nem rendelkezik hálózati vagy alkalmazásszabálysal a folyamat engedélyezéséhez, az Azure Firewall letiltja a kérést.
    • A magánforgalom védelméhez nem kell az Azure Firewallt használnia a központban. Ha például a hálózat támogatja a privát, régiók közötti forgalmat, a privát végpont alhálózatán lévő NSG továbbra is úgy van konfigurálva, hogy blokkolja a számítási feladatot futtató virtuális hálózaton belüli számítási ASG-forrásoktól eltérő összes forgalmat.

Összegzés

Ez a cikk egy olyan forgatókönyvet mutat be, amelyben egy virtuálisgép-ügyfél a tárfiók privát végpontján keresztül csatlakozik az Azure Storage-fiókhoz. A végpont ugyanabban a virtuális hálózatban található, mint az ügyfél. A tárfiókhoz való minden egyéb hozzáférés le van tiltva. Ebben a forgatókönyvben olyan DNS-rekordra van szükség a DNS-folyamatban, amely képes feloldani a tárfiók teljes tartománynevét (FQDN) a privát végpont privát IP-címére.

A forgatókönyv kezdő hálózati topológiája két kihívást jelent:

  • A privát DNS-zónák nem kapcsolhatóak össze a tárfiók szükséges DNS-rekordjaival a virtuális központtal.
  • A privát DNS-zóna és a számítási feladat alhálózatának összekapcsolása nem működik. A kezdő hálózati topológia megköveteli, hogy az alapértelmezett DNS-kiszolgáló és útválasztási szabályok kényszerítik az Azure Firewall használatát a regionális központban.

A javasolt megoldás az, hogy a vállalati hálózati csapat implementáljon egy virtuális központ-bővítményt a DNS-hez. Ez a bővítmény lehetővé teszi a vállalati hálózati csapat számára, hogy megosztott DNS-szolgáltatásokat tegyen elérhetővé az őket igénylő számítási feladatok küllői számára.