Hálózatok biztonságos csatlakoztatása az Azure Automationhöz az Azure Private Linkkel
Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. A privát végpont egy privát IP-címet használ a virtuális hálózatról, így hatékonyan hozza be az Automation szolgáltatást a virtuális hálózatába. A virtuális hálózat és az Automation-fiók gépei közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán lévő privát kapcsolaton, így kiküszöböli a nyilvános internet jelentette kitettséget.
Van például egy virtuális hálózata, ahol letiltotta a kimenő internet-hozzáférést. Azonban privát módon szeretné elérni az Automation-fiókját, és olyan Automation-funkciókat szeretne használni, mint a webhookok, az állapotkonfiguráció és a runbook-feladatok hibrid runbook-feldolgozókon. Emellett azt is szeretné, hogy a felhasználók csak a virtuális hálózaton keresztül férhessenek hozzá az Automation-fiókhoz. A privát végpont üzembe helyezése eléri ezeket a célokat.
Ez a cikk bemutatja, hogy mikor érdemes használni, és hogyan állíthat be privát végpontot az Automation-fiókjával.
Megjegyzés:
Az Azure Automation Privát kapcsolat támogatása csak az Azure Commercial és az Azure US Government felhőkben érhető el.
Előnyök
A Privát hivatkozással a következőt teheti:
Csatlakozás privát módon az Azure Automationbe anélkül, hogy nyilvános hálózati hozzáférést nyitná meg.
Csatlakozás privát módon az Azure Monitor Log Analytics-munkaterületre anélkül, hogy nyilvános hálózati hozzáférést nyitana meg.
Megjegyzés:
A Log Analytics-munkaterülethez külön privát végpontra van szükség, ha az Automation-fiók egy Log Analytics-munkaterülethez van társítva a feladatadatok továbbításához, és ha olyan engedélyezett funkciókkal rendelkezik, mint az Update Management, a változáskövetés és leltározás, az állapotkonfiguráció vagy a virtuális gépek indítása/leállítása munkaidőn kívül. További információ az Azure Monitorhoz készült Private Linkről: Az Azure Private Link használata hálózatok biztonságos csatlakoztatásához az Azure Monitorhoz.
Gondoskodhat arról, hogy az Automation-adatok csak engedélyezett privát hálózatokon legyenek elérhetők.
A privát végponton keresztül csatlakozó Azure Automation-erőforrás definiálásával megakadályozhatja a magánhálózatok adatkiszivárgását.
Biztonságosan csatlakoztassa a helyszíni magánhálózatot az Azure Automationhez az ExpressRoute és a Private Link használatával.
Tartsa meg az összes forgalmat a Microsoft Azure gerinchálózatán belül.
További információ: A privát kapcsolat fő előnyei.
Korlátozások
- A Private Link aktuális implementációjában az Automation-fiók felhőbeli feladatai nem férnek hozzá a privát végponttal biztonságossá tett Azure-erőforrásokhoz. Ilyen például az Azure Key Vault, az Azure SQL, az Azure Storage-fiók stb. Ennek megoldásához használjon inkább hibrid runbook-feldolgozót. Ezért a helyszíni virtuális gépek támogatják a hibrid Runbook-feldolgozók futtatását egy olyan Automation-fiókon, amelyen engedélyezve van a Private Link.
- Windowshoz vagy Linuxhoz a Log Analytics-ügynök legújabb verzióját kell használnia.
- A Log Analytics-átjáró nem támogatja a private linket.
- Az Azure-riasztás (metrikák, naplók és tevékenységnaplók) nem használhatók Automation-webhookok aktiválására, ha az Automation-fiók nyilvános hozzáférés-beállítással van konfigurálva Letiltás értékre.
Hogyan működik?
Az Azure Automation Private Link egy vagy több privát végpontot (ezáltal az ezeket tartalmazó virtuális hálózatokat is) köt össze az Automation-fiókerőforrással. Ezek a végpontok olyan gépek, amelyek webhookokkal indítanak el egy runbookot, a hibrid runbook-feldolgozó szerepkört futtató gépek és a Kívánt állapotkonfiguráció (DSC) csomópontok.
Miután privát végpontokat hoz létre az Automation számára, a rendszer minden nyilvános automation URL-címet leképez egy privát végpontra a virtuális hálózaton. Ön vagy egy gép közvetlenül kapcsolatba léphet az Automation URL-címekkel.
Webhook-forgatókönyv
A runbookokat a webhook URL-címén található POST használatával indíthatja el. Az URL-cím például a következőképpen néz ki: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d
Hibrid runbook-feldolgozó forgatókönyve
Az Azure Automation felhasználói hibrid runbook-feldolgozó funkciója lehetővé teszi runbookok futtatását közvetlenül az Azure-on vagy nem Azure-beli gépen, beleértve az Azure Arc-kompatibilis kiszolgálókon regisztrált kiszolgálókat is. A szerepkört futtató gépen vagy kiszolgálón futtathat runbookokat közvetlenül rajta és a környezetben lévő erőforrásokon a helyi erőforrások kezeléséhez.
A hibrid feldolgozó egy JRDS-végpontot használ a runbookok elindításához/leállításához, a runbookok feldolgozóhoz való letöltéséhez, valamint a feladatnapló-streamnek az Automation szolgáltatásba való visszaküldéséhez. A JRDS-végpont engedélyezése után az URL-cím a következőképpen nézne ki: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net
. Ez biztosítaná, hogy az Azure Virtual Networkhez csatlakoztatott hibrid feldolgozó runbook-végrehajtása anélkül hajtson végre feladatokat, hogy kimenő internetkapcsolatot kellene nyitnia.
Megjegyzés:
Az Azure Automation privát kapcsolatainak jelenlegi implementálásával csak az Azure-beli virtuális hálózathoz csatlakoztatott hibrid runbook-feldolgozón futó feladatokat támogatja, és nem támogatja a felhőbeli feladatokat.
Hibrid feldolgozói forgatókönyv az Update Managementhez
A rendszer hibrid runbook-feldolgozója támogatja az Update Management szolgáltatás által használt rejtett runbookokat, amelyek a felhasználó által megadott frissítések windowsos és Linux rendszerű gépekre való telepítéséhez lettek kialakítva. Ha az Azure Automation Update Management engedélyezve van, a Log Analytics-munkaterülethez csatlakoztatott összes gép automatikusan hibrid runbook-feldolgozóként van konfigurálva.
Az Update Management áttekintésének megismerése és konfigurálása az Update Managementről. Az Update Management szolgáltatás függőséggel rendelkezik egy Log Analytics-munkaterületen, ezért a munkaterületet egy Automation-fiókkal kell összekapcsolni. A Log Analytics-munkaterületek a megoldás által gyűjtött adatokat tárolják, és naplókereséseket és nézeteket üzemeltetnek.
Ha azt szeretné, hogy az Update Managementhez konfigurált gépek biztonságosan csatlakozzanak az Automation &Log Analytics-munkaterülethez a Private Link csatornán keresztül, engedélyeznie kell a Privát kapcsolattal konfigurált Automation-fiókhoz társított Log Analytics-munkaterület privát kapcsolatát.
A Log Analytics-munkaterületek privát kapcsolat hatókörön kívülről való elérésének szabályozásához kövesse a Log Analytics konfigurálásának lépéseit. Ha nem értékreállítja a nyilvános hálózati hozzáférés engedélyezése beállítást, akkor a csatlakoztatott hatókörön kívüli gépek nem tölthetnek fel adatokat erre a munkaterületre. Ha nem értékre állítja a lekérdezéseknyilvános hálózati hozzáférésének engedélyezése beállítást, akkor a hatókörön kívüli gépek nem férhetnek hozzá a munkaterület adataihoz.
A DSCAndHybridWorker cél-alerőforrás használatával engedélyezze a Private Linket a felhasználói & rendszer hibrid feldolgozói számára.
Megjegyzés:
Az Azure-on kívül üzemeltetett, az Update Management által felügyelt és az Azure-beli virtuális hálózathoz ExpressRoute-beli privát társviszony-létesítésen, VPN-alagutakon és privát végpontokat használó társhálózatokon keresztül csatlakozó gépek támogatják a Private Linket.
Állapotkonfigurációs (agentsvc) forgatókönyv
Az Állapotkonfiguráció az Azure konfigurációkezelési szolgáltatását biztosítja, amely lehetővé teszi a PowerShell Desired State Configuration (DSC) konfigurációinak írását, kezelését és fordítását bármely felhőbeli vagy helyszíni adatközpont csomópontjaihoz.
A gép ügynöke regisztrál a DSC szolgáltatásban, majd a szolgáltatásvégpont használatával lekéri a DSC-konfigurációt. Az ügynökszolgáltatás végpontja a következőképpen néz ki: https://<automationAccountId>.agentsvc.<region>.azure-automation.net
.
A nyilvános és privát végpont URL-címe megegyezne, de a privát hivatkozás engedélyezésekor egy privát IP-címre lenne leképezve.
Tervezés a hálózat alapján
Az Automation-fiók erőforrásának beállítása előtt vegye figyelembe a hálózatelkülönítési követelményeket. Értékelje ki a virtuális hálózatok nyilvános internethez való hozzáférését, valamint az Automation-fiókra vonatkozó hozzáférési korlátozásokat (beleértve a Privát kapcsolatcsoport hatókörének beállítását az Azure Monitor-naplókhoz, ha integrálva van az Automation-fiókkal). A csomag részeként tekintse át az Automation szolgáltatás DNS-rekordjait is, hogy a támogatott funkciók problémamentesen működjenek.
Csatlakozás privát végpontra
Az alábbi lépéseket követve hozzon létre egy privát végpontot az Automation-fiókjához.
Lépjen az Azure Portal Private Link központjába , és hozzon létre egy privát végpontot a hálózat csatlakoztatásához.
A Private Link Centerben válassza a Privát végpont létrehozása lehetőséget.
Az Alapszintű beállítások területen adja meg a következő adatokat:
- Előfizetés
- Erőforráscsoport
- Név
- Hálózati adapter neve
- Régió , majd válassza a Tovább: Erőforrás lehetőséget.
Az erőforráson adja meg a következő adatokat:
- Csatlakozás ion metódus, válassza az alapértelmezett beállítást – Csatlakozás egy Azure-erőforráshoz a címtáramban.
- Előfizetés
- Resource type
- Erőforrás.
- A Cél alerőforrás lehet Webhook vagy DSCAndHybridWorker a forgatókönyv szerint, és válassza a Tovább: Virtuális hálózat lehetőséget.
A virtuális hálózaton adja meg a következő adatokat:
- Virtuális hálózat
- Alhálózat
- Engedélyezze a hálózati házirendek engedélyezése jelölőnégyzetet az alhálózat összes privát végpontja számára.
- Válassza az IP-cím dinamikus lefoglalása lehetőséget, majd válassza a Tovább: DNS lehetőséget.
A DNS-ben az adatok az Alapismeretek, erőforrás, virtuális hálózat lapon megadott információk szerint lesznek feltöltve, és létrehoznak egy saját DNS zónát. Adja meg a következő adatokat:
- Integrálás privát DNS-zónával
- Előfizetés
- Erőforráscsoport , és válassza a Tovább : Címkék lehetőséget
Címkéken kategorizálhatja az erőforrásokat. Válassza a Név és érték lehetőséget, majd a Véleményezés + létrehozás lehetőséget.
Ekkor megjelenik a Felülvizsgálat + létrehozás lap, ahol az Azure ellenőrzi a konfigurációt. A nyilvános hálózati hozzáférés és a privát kapcsolat módosításainak alkalmazása akár 35 percet is igénybe vehet.
A Private Link Centerben válassza a Privát végpontok lehetőséget a privát kapcsolati erőforrás megtekintéséhez.
Válassza ki az erőforrást az összes részlet megtekintéséhez. Ez létrehoz egy új privát végpontot az Automation-fiókhoz, és hozzárendel egy privát IP-címet a virtuális hálózatról. A Csatlakozás ion állapota jóváhagyottként jelenik meg.
Hasonlóképpen létrejön egy egyedi, teljes tartománynév (FQDN) az állapotkonfigurációhoz (agentsvc) és a hibrid runbook-feldolgozói feladat futtatókörnyezetéhez (jrds). Mindegyikhez külön IP-cím tartozik a virtuális hálózattól, és a Csatlakozás ion állapota jóváhagyottként jelenik meg.
Ha a szolgáltatásfelhasználó rendelkezik Azure RBAC-engedélyekkel az Automation-erőforráson, kiválaszthatja az automatikus jóváhagyási módszert. Ebben az esetben, amikor a kérés eléri az Automation-szolgáltató erőforrását, nincs szükség műveletre a szolgáltatótól, és a kapcsolat automatikusan jóvá lesz hagyva.
Nyilvános hálózati hozzáférési jelzők beállítása
Az Automation-fiók konfigurálásával megtagadhatja az összes nyilvános konfigurációt, és csak privát végpontokon keresztüli kapcsolatokat engedélyezhet a hálózati biztonság további növelése érdekében. Ha csak a virtuális hálózaton belülről szeretné korlátozni az Automation-fiókhoz való hozzáférést, és nem szeretné engedélyezni a nyilvános internetről való hozzáférést, a tulajdonságot a következőre $false
állíthatja bepublicNetworkAccess
: .
Ha a nyilvános hálózati hozzáférés beállítása a következőre $false
van állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek, és a nyilvános végpontokon keresztüli összes kapcsolatot a rendszer megtagadja egy jogosulatlan hibaüzenettel és a 401-hez tartozó HTTP-állapottal.
Az alábbi PowerShell-szkript bemutatja, hogyan kell és Set
hogyan lehet Get
a nyilvános hálózati hozzáférés tulajdonságot az Automation-fiók szintjén:
$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"
A nyilvános hálózati hozzáférési tulajdonságot az Azure Portalról is vezérelheti. Az Automation-fiókban válassza a Hálózatelkülönítés lehetőséget a fiók Gépház szakasz bal oldali paneljén. Ha a Nyilvános hálózati hozzáférés beállítás értéke Nem, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek, és a nyilvános végpontokon keresztüli összes kapcsolat le lesz tiltva.
DNS configuration
Ha a kapcsolati sztring részeként egy teljes tartománynévvel (FQDN) csatlakozik egy privát kapcsolati erőforráshoz, fontos, hogy helyesen konfigurálja a DNS-beállításokat a lefoglalt magánhálózati IP-címre való feloldás érdekében. Előfordulhat, hogy a meglévő Azure-szolgáltatások már rendelkeznek dns-konfigurációval a nyilvános végponton keresztüli csatlakozáskor. A DNS-konfigurációt felül kell vizsgálni és frissíteni kell a privát végponttal való csatlakozáshoz.
A privát végponthoz társított hálózati adapter tartalmazza a DNS konfigurálásához szükséges összes információt, beleértve az adott privát kapcsolati erőforráshoz lefoglalt teljes tartománynevet és magánhálózati IP-címeket.
You can use the following options to configure your DNS settings for private endpoints:
Use the host file (only recommended for testing). A virtuális gépen lévő gazdagépfájllal felülbírálhatja a DNS-t a névfeloldás érdekében. A DNS-bejegyzésnek a következő példához hasonlóan kell kinéznie:
privatelinkFQDN.jrds.sea.azure-automation.net
.Használjon privát DNS-zónát. A privát DNS-zónák használatával felülbírálhatja egy adott privát végpont DNS-felbontását. A private DNS zone can be linked to your virtual network to resolve specific domains. Ha engedélyezni szeretné, hogy a virtuális gépen lévő ügynök kommunikáljon a privát végponton keresztül, hozzon létre egy saját DNS rekordot.
privatelink.azure-automation.net
Adjon hozzá egy új DNS A rekordleképezést a privát végpont IP-címéhez.Use your DNS forwarder (optional). A DNS-továbbítóval felülbírálhatja egy adott privát kapcsolati erőforrás DNS-felbontását. Ha a DNS-kiszolgálót egy virtuális hálózaton üzemelteti, létrehozhat egy DNS-továbbítási szabályt, amely egy privát DNS-zónát használva egyszerűsíti az összes privát kapcsolati erőforrás konfigurációját.
További információ: Azure-beli privát végpont DNS-konfigurálása.
További lépések
A privát végpontról további információt a Mi az Azure Privát végpont? című témakörben talál.