A Key Vault és az Azure Private Link integrálása
A Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.
Az Azure-beli privát végpontok olyan hálózati adapterek, amelyek privát módon és biztonságosan csatlakoznak egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.
További információ: Mi az a Azure Private Link?
Előfeltételek
A kulcstartónak a Azure Private Link való integrálásához a következőkre lesz szüksége:
- Egy kulcstartó.
- Egy Azure-beli virtuális hálózat.
- Egy alhálózat a virtuális hálózaton.
- Tulajdonosi vagy közreműködői engedélyek a kulcstartóhoz és a virtuális hálózathoz is.
A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor a portál használatával kiválaszt egy régiót a privát végponthoz, az automatikusan szűri az adott régióban található virtuális hálózatokat. A kulcstartó más régióban is lehet.
A privát végpont privát IP-címet használ a virtuális hálózaton.
Privát kapcsolat létesítése Key Vault a Azure Portal használatával
Először hozzon létre egy virtuális hálózatot a Virtuális hálózat létrehozása a Azure Portal
Ezután létrehozhat egy új kulcstartót, vagy létrehozhat egy privát kapcsolati kapcsolatot egy meglévő kulcstartóval.
Új kulcstartó létrehozása és privát kapcsolat létesítése
Létrehozhat egy új kulcstartót a Azure Portal, az Azure CLI vagy Azure PowerShell használatával.
A Key Vault alapszintű konfigurálását követően válassza a Hálózatkezelés lapot, és kövesse az alábbi lépéseket:
Tiltsa le a nyilvános hozzáférést a választógomb kikapcsolásával.
Privát végpont hozzáadásához válassza a "+ Privát végpont létrehozása" gombot.
A Privát végpont létrehozása panel "Hely" mezőjében válassza ki azt a régiót, amelyben a virtuális hálózat található.
A "Név" mezőben hozzon létre egy leíró nevet, amely lehetővé teszi a privát végpont azonosítását.
Válassza ki azt a virtuális hálózatot és alhálózatot, amelyben létre szeretné hozni ezt a privát végpontot a legördülő menüből.
Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.
Válassza az "Ok" lehetőséget.
Most már láthatja a konfigurált privát végpontot. Most már törölheti és szerkesztheti ezt a privát végpontot. Válassza a "Felülvizsgálat + Létrehozás" gombot, és hozza létre a kulcstartót. Az üzembe helyezés befejezése 5–10 percet vesz igénybe.
Privát kapcsolat létesítése meglévő kulcstartóval
Ha már rendelkezik kulcstartóval, az alábbi lépésekkel hozhat létre privát kapcsolati kapcsolatot:
Jelentkezzen be az Azure Portalra.
A keresősávba írja be a "key vaults" kifejezést.
Válassza ki azt a kulcstartót a listából, amelyhez privát végpontot szeretne hozzáadni.
Válassza a "Hálózatkezelés" lapot a Beállítások területen.
Válassza a lap tetején található "Privát végponti kapcsolatok" lapot.
Válassza a lap tetején található "+ Létrehozás" gombot.
A "Projekt részletei" területen válassza ki azt az erőforráscsoportot, amely az oktatóanyag előfeltételeként létrehozott virtuális hálózatot tartalmazza. A "Példány részletei" területen adja meg a "myPrivateEndpoint" nevet névként, és válassza ki azt a helyet, amelyet az oktatóanyag előfeltételeként létrehozott a virtuális hálózattal.
Ezen a panelen bármilyen Azure-erőforráshoz létrehozhat privát végpontot. A legördülő menük segítségével kiválaszthat egy erőforrástípust, és kiválaszthat egy erőforrást a címtárban, vagy csatlakozhat bármely Azure-erőforráshoz egy erőforrás-azonosító használatával. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.
Lépjen az "Erőforrások" panelre. Az "Erőforrás típusa" beállításnál válassza a "Microsoft.KeyVault/vaults" lehetőséget; az "Erőforrás" beállításnál válassza ki az oktatóanyag előfeltételeként létrehozott kulcstartót. A "Cél alerőforrás" automatikusan feltöltődik a "tárolóval".
Lépjen tovább a "Virtual Network"- ra. Válassza ki az oktatóanyag előfeltételeként létrehozott virtuális hálózatot és alhálózatot.
Haladjon végig a "DNS" és a "Címkék" panelen, és fogadja el az alapértelmezett beállításokat.
A "Felülvizsgálat + Létrehozás" panelen válassza a "Létrehozás" lehetőséget.
Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, akkor jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik a megfelelő engedélyekkel; Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.
Négy kiépítési állapot létezik:
Szolgáltatásművelet | Szolgáltatásfelhasználó privát végpontjának állapota | Leírás |
---|---|---|
Nincs | Függőben | A kapcsolat manuálisan jön létre, és a Private Link erőforrás-tulajdonos jóváhagyására vár. |
Jóváhagyás | Approved | A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra. |
Elutasítás | Elutasítva | A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot. |
Eltávolítás | Leválasztott | A privát kapcsolat erőforrás-tulajdonosa eltávolította a kapcsolatot, a privát végpont informatív lesz, és törölni kell a törléshez. |
Privát végponti kapcsolat kezelése Key Vault a Azure Portal használatával
Jelentkezzen be az Azure Portalra.
A keresősávba írja be a "key vaults" kifejezést
Válassza ki a kezelni kívánt kulcstartót.
Válassza a "Hálózatkezelés" lapot.
Ha vannak függőben lévő kapcsolatok, egy "Függőben" állapotú kapcsolat jelenik meg a kiépítési állapotban.
Válassza ki a jóváhagyni kívánt privát végpontot
Válassza a jóváhagyás gombot.
Ha vannak olyan privát végponti kapcsolatok, amelyeket el szeretne utasítani, akár függőben lévő kérésről van szó, akár meglévő kapcsolatról van szó, válassza ki a kapcsolatot, és válassza az "Elutasítás" gombot.
Ellenőrizze, hogy működik-e a privát kapcsolat
Ellenőriznie kell, hogy a privát végponti erőforrás ugyanazon alhálózatán belüli erőforrások privát IP-címen keresztül csatlakoznak-e a kulcstartóhoz, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.
Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása a Azure Portal
A "Hálózatkezelés" lapon:
- Adja meg a virtuális hálózatot és az alhálózatot. Létrehozhat egy új virtuális hálózatot, vagy kiválaszthat egy meglévőt. Ha egy meglévőt jelöl ki, győződjön meg arról, hogy a régió megegyezik.
- Adjon meg egy nyilvános IP-erőforrást.
- A hálózati adapter hálózati biztonsági csoportjában válassza a "Nincs" lehetőséget.
- A "Terheléselosztás" területen válassza a "Nem" lehetőséget.
Nyissa meg a parancssort, és futtassa a következő parancsot:
nslookup <your-key-vault-name>.vault.azure.net
Ha az ns keresési parancs futtatásával feloldja egy kulcstartó IP-címét egy nyilvános végponton, a következő eredmény jelenik meg:
c:\ >nslookup <your-key-vault-name>.vault.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <your-key-vault-name>.vault.azure.net
Ha az ns keresési parancs futtatásával feloldja egy kulcstartó IP-címét egy privát végponton keresztül, a következő eredmény jelenik meg:
c:\ >nslookup your_vault_name.vault.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <your-key-vault-name>.vault.azure.net
<your-key-vault-name>.privatelink.vaultcore.azure.net
Hibaelhárítási útmutató
Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.
- Ezt az Azure Portalon ellenőrizheti és javíthatja. Nyissa meg a Key Vault erőforrást, és válassza a Hálózatkezelés lehetőséget.
- Ezután válassza a Privát végpontkapcsolatok lapot.
- Győződjön meg arról, hogy a kapcsolat állapota Jóváhagyva, a kiépítési állapot pedig Sikeres.
- A privát végpont erőforrásához is navigálhat, és itt is áttekintheti ugyanazokat a tulajdonságokat, és ellenőrizheti, hogy a virtuális hálózat megegyezik-e a használt erőforrással.
Ellenőrizze, hogy rendelkezik-e saját DNS Zóna erőforrással.
- Pontos névvel rendelkező saját DNS Zóna erőforrással kell rendelkeznie: privatelink.vaultcore.azure.net.
- Ennek beállításáról az alábbi hivatkozáson tájékozódhat. saját DNS zónák
Ellenőrizze, hogy a saját DNS zóna kapcsolódik-e a Virtual Network. Ez lehet a probléma, ha továbbra is a nyilvános IP-címet kapja vissza.
- Ha a privát zóna DNS-e nincs a virtuális hálózathoz csatolva, a virtuális hálózatból származó DNS-lekérdezés a kulcstartó nyilvános IP-címét adja vissza.
- Lépjen a saját DNS Zóna erőforrásra a Azure Portal, és válassza ki a virtuális hálózati kapcsolatok lehetőséget.
- A kulcstartó felé hívásokat indító virtuális hálózatnak szerepelnie kell a listán.
- Ha nem szerepel, adja hozzá.
- Részletes lépésekért lásd a következő dokumentumot: Virtual Network csatolása saját DNS zónához
Ellenőrizze, hogy a saját DNS zóna nem hiányzik-e A rekord a kulcstartóhoz.
- Lépjen a saját DNS Zóna lapra.
- Válassza az Áttekintés lehetőséget, és ellenőrizze, hogy van-e A rekord a kulcstartó egyszerű nevével (pl. fabrikam). Ne adjon meg utótagot.
- Ne feledje el ellenőrizni a helyesírást, és hozza létre vagy javítsa az A rekordot. 600 (10 perc) TTL-t használhat.
- Ügyeljen arra, hogy a helyes magánhálózati IP-címet adja meg.
Ellenőrizze, hogy az A rekord rendelkezik-e a megfelelő IP-címmel.
- Az IP-cím megerősítéséhez nyissa meg a Privát végpont erőforrást a Azure Portal.
- Nyissa meg a Microsoft.Network/privateEndpoints erőforrást az Azure Portalon (ez nem a Key Vault-erőforrás)
- Az áttekintési lapon keresse meg a Hálózati adaptert, és válassza ki ezt a hivatkozást.
- A hivatkozás megjeleníti a NIC-erőforrás áttekintését, amely tartalmazza a magánhálózati IP-cím tulajdonságot.
- Ellenőrizze, hogy ez az A rekordban meghatározott, megfelelő IP-cím-e.
Ha helyszíni erőforrásból csatlakozik egy Key Vault, győződjön meg arról, hogy a helyszíni környezetben minden szükséges feltételes továbbító engedélyezve van.
- Tekintse át az Azure Private Endpoint DNS-konfigurációját a szükséges zónákhoz, és győződjön meg arról, hogy rendelkezik feltételes továbbítókkal mind a helyszíni DNS-hez, mind
vault.azure.net
vaultcore.azure.net
pedig a helyszíni DNS-hez. - Győződjön meg arról, hogy vannak feltételes továbbítói azokhoz a zónákhoz, amelyek azure-saját DNS-feloldóhoz vagy más, Azure-feloldáshoz hozzáféréssel rendelkező DNS-platformra irányítja őket.
- Tekintse át az Azure Private Endpoint DNS-konfigurációját a szükséges zónákhoz, és győződjön meg arról, hogy rendelkezik feltételes továbbítókkal mind a helyszíni DNS-hez, mind
Korlátozások és tervezési szempontok
Korlátok: Lásd: Azure Private Link korlátok
Díjszabás: Lásd Azure Private Link díjszabását.
Korlátozások: Lásd: Azure Private Link szolgáltatás: Korlátozások
Következő lépések
- További információ a Azure Private Link
- További információ az Azure Key Vault
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: