A Key Vault integrálása az Azure Private Linkkel

Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.

Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.

További információ: Mi az Azure Private Link?

Előfeltételek

A key vault és az Azure Private Link integrálásához a következőkre lesz szüksége:

• Egy kulcstartó.
• Egy Azure virtuális hálózat.
• A virtuális hálózat alhálózata.
• Tulajdonosi vagy közreműködői engedélyek a kulcstárhoz és a virtuális hálózathoz is.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor kiválaszt egy régiót a privát végponthoz a portál használatával, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A kulcstár különböző régióban is lehet.

A privát végpont egy privát IP-címet használ a virtuális hálózaton.

Azure Portál

Privát kapcsolat létesítése a Key Vaulttal az Azure Portal használatával

Először hozzon létre egy virtuális hálózatot a Virtuális hálózat létrehozása az Azure Portallal című cikk lépéseit követve

Ezután létrehozhat egy új kulcstartót, vagy létrehozhat egy privát kapcsolati kapcsolatot egy meglévő kulcstartóval.

Új kulcstartó létrehozása és privát kapcsolat létesítése

Létrehozhat egy új kulcstartót az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.

A Key Vault alapszintű konfigurálása után válassza a Hálózatkezelés lapot, és kövesse az alábbi lépéseket:

1. Kapcsolja ki a nyilvános hozzáférést a rádiogomb kikapcsolásával.

2. Válassza a "+ Privát végpont létrehozása" gombot egy privát végpont hozzáadásához.

   

3. A Privát végpont létrehozása panel "Hely" mezőjében válassza ki azt a régiót, amelyben a virtuális hálózat található.

4. A "Név" mezőben hozzon létre egy leíró nevet, amely lehetővé teszi a privát végpont azonosítását.

5. Válassza ki azt a virtuális hálózatot és alhálózatot, amelyben létre szeretné hozni ezt a privát végpontot a legördülő menüből.

6. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

7. Válassza az "OK" gombot.

   

Most már láthatja a konfigurált privát végpontot. Most már törölheti és szerkesztheti ezt a privát végpontot. Válassza az "Ellenőrzés + Létrehozás" gombot, és hozza létre a kulcstárolót. Az üzembe helyezés 5–10 percet vesz igénybe.

Privát kapcsolat létesítése meglévő kulcstárral

Ha már rendelkezik kulcstartóval, az alábbi lépésekkel hozhat létre privát kapcsolatkapcsolatot:

1. Jelentkezzen be az Azure Portalra.

2. A keresősávba írja be a "key vaults" kifejezést.

3. Válassza ki azt a kulcstartót a listából, amelyhez magánvégpontot szeretne hozzáadni.

4. Válassza a Beállítások területen a "Hálózatkezelés" fület.

5. Válassza a lap tetején található "Privát végpontkapcsolatok" lapot.

6. Válassza a lap tetején található "+ Létrehozás" gombot.

   

7. A "Projekt részletei" területen válassza ki azt az erőforráscsoportot, amely az oktatóanyag előfeltételeként létrehozott virtuális hálózatot tartalmazza. A "Példány részletei" alatt adja meg a "myPrivateEndpoint" nevet, és válassza ki ugyanazt a helyet, mint amelyet az oktatóanyag előfeltételeként létrehozott a virtuális hálózattal.

   A panel használatával bármely Azure-erőforráshoz létrehozhat privát végpontot. A legördülő menük segítségével kiválaszthat egy erőforrástípust, és kiválaszthat egy erőforrást a címtárban, vagy bármely Azure-erőforráshoz csatlakozhat egy erőforrás-azonosító használatával. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

8. Lépjen az "Erőforrások" panelre. Az "Erőforrás típusa" beállításnál válassza a "Microsoft.KeyVault/vaults" lehetőséget; Az "Erőforrás" beállításnál válassza ki az oktatóanyag előfeltételeként létrehozott kulcstartót. A "Cél alerőforrás" automatikusan feltöltődik a "tárolóval".

9. Lépjen tovább a "Virtuális hálózatra". Válassza ki az oktatóanyag előfeltételeként létrehozott virtuális hálózatot és alhálózatot.

10. Lépjen tovább a "DNS" és a "Címkék" panelen, és fogadja el az alapértelmezett beállításokat.

11. A "Véleményezés + Létrehozás" felületen válassza a "Létrehozás" lehetőséget.

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, akkor jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik megfelelő engedélyekkel; Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot van:

Szervizintézkedés	Szolgáltatásfelhasználó privát végpontjának állapota	Leírás
Egyik sem	Függőben lévő	A kapcsolat manuálisan jön létre, és függőben van a Private Link-erőforrás tulajdonosának jóváhagyásáig.
Jóváhagy	Jóváhagyott	A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasít	Elutasította	A kapcsolatot a privát link erőforrás tulajdonosa elutasította.
Eltávolítás	Szétkapcsolva	A kapcsolatot a privát hivatkozás erőforrás-tulajdonosa eltávolította, így a privát végpont csak tájékoztató jellegű lesz, és a tisztítás érdekében törölni kell.

Privát végpontkapcsolat kezelése a Key Vaulttal az Azure Portal használatával

1. Jelentkezzen be az Azure portálra.

2. A keresősávba írja be a "key vaults" kifejezést

3. Válassza ki a kezelni kívánt kulcstárat.

4. Válassza a "Hálózatkezelés" lapot.

5. Ha vannak függőben lévő kapcsolatok, akkor a kiépítési állapotnál megjelenik egy kapcsolat listázva "Függőben" állapottal.

6. Válassza ki a jóváhagyni kívánt privát végpontot

7. Válassza a jóváhagyás gombot.

8. Ha vannak olyan privát végpontkapcsolatok, amelyeket el szeretne utasítani, függetlenül attól, hogy függőben lévő vagy meglévő kapcsolatról van-e szó, válassza ki a kapcsolatot, és válassza az "Elutasítás" gombot.

   

Azure CLI

Privát kapcsolat létesítése a Key Vaulttal a parancssori felülettel (kezdeti beállítás)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Privát végpont létrehozása (automatikus jóváhagyás)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Privát végpont létrehozása (manuális jóváhagyás kérése)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Privát kapcsolat kapcsolatainak kezelése

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Privát DNS-rekordok hozzáadása

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Validate that the private link connection works

Ellenőriznie kell, hogy a privát végpont erőforrásának ugyanazon alhálózatán belüli erőforrások egy privát IP-címen keresztül csatlakoznak-e a kulcstartóhoz, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása az Azure Portalon című cikk lépéseit követve

A "Hálózatkezelés" lapon:

1. Adja meg a virtuális hálózatot és az alhálózatot. Létrehozhat egy új virtuális hálózatot, vagy kiválaszthat egy meglévőt. Ha egy meglévőt választ ki, győződjön meg arról, hogy a régió megegyezik.
2. Adjon meg egy nyilvános IP-erőforrást.
3. A Hálózati adapter hálózati biztonsági csoportjában válassza a "Nincs" lehetőséget.
4. A "Terheléselosztás" területen válassza a "Nem" lehetőséget.

Nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <your-key-vault-name>.vault.azure.net

Ha futtatja az ns lekérdezési parancsot egy kulcstár IP-címének nyilvános végponton keresztüli feloldásához, a következő eredményt fogja látni:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Ha az ns lookup parancsot futtatja egy kulcstár IP-címének feloldásához privát végponton keresztül, a következő eredményt fogja látni:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Hibaelhárítási útmutató

• Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.

  1. Ezt az Azure Portalon ellenőrizheti és javíthatja. Nyissa meg a Key Vault-erőforrást, és válassza a Hálózatkezelés lehetőséget.
  2. Ezután válassza a Privát végpont kapcsolatai lapot.
  3. Győződjön meg arról, hogy a kapcsolat állapota jóváhagyva van, és a kiépítési állapot sikeres.
  4. A privát végpont erőforrásához is navigálhat, és áttekintheti ott ugyanazokat a tulajdonságokat, és ellenőrizheti, hogy a virtuális hálózat megfelel-e a használtnak.

• Ellenőrizze, hogy rendelkezik-e privát DNS-zónaerőforrással.

  1. Kötelező, hogy rendelkezzen egy Private DNS zóna erőforrással, amelynek pontos neve: privatelink.vaultcore.azure.net.
  2. A beállításról az alábbi hivatkozáson tájékozódhat. Privát DNS-zónák

• Ellenőrizze, hogy a privát DNS-zóna kapcsolódik-e a virtuális hálózathoz. Ez lehet a probléma, ha továbbra is a nyilvános IP-címet kapja vissza.

  1. Ha a privát zóna DNS-je nem kapcsolódik a virtuális hálózathoz, a virtuális hálózatból származó DNS-lekérdezés visszaadja a kulcstartó nyilvános IP-címét.
  2. Keresse meg a Privát DNS-zóna erőforrást az Azure Portalon, és válassza ki a virtuális hálózati kapcsolatok lehetőséget.
  3. A kulcstartó felé hívásokat indító virtuális hálózatnak szerepelnie kell a listán.
  4. Ha nem szerepel, adja hozzá.
  5. A részletes lépésekért tekintse meg a következő dokumentumot, amely a virtuális hálózat privát DNS-zónához való csatolását ismerteti

• Ellenőrizze, hogy a privát DNS-zónában szerepel-e A rekord a kulcstárhoz.

  1. Lépjen a privát DNS-zóna lapra.
  2. Válassza az Áttekintés lehetőséget, és ellenőrizze, hogy van-e A rekord a kulcstároló egyszerű nevével (pl. fabrikam). Ne adjon meg utótagot.
  3. Ellenőrizze a helyesírást, és hozza létre vagy javítsa meg az A rekordot. 600(10 perc) TTL-t használhat.
  4. Ügyeljen arra, hogy a helyes magánhálózati IP-címet adja meg.

• Ellenőrizze, hogy az A rekord rendelkezik-e a megfelelő IP-címmel.

  1. Az IP-cím megerősítéséhez nyissa meg a Privát végpont erőforrást az Azure Portalon.
  2. Nyissa meg a Microsoft.Network/privateEndpoints erőforrást az Azure Portalon (ez nem a Key Vault-erőforrás)
  3. Az áttekintési lapon keresse meg a hálózati adaptert, és válassza ki ezt a hivatkozást.
  4. A hivatkozás megjeleníti a NIC-erőforrás áttekintését, amely tartalmazza a magánhálózati IP-cím tulajdonságot.
  5. Ellenőrizze, hogy ez az A rekordban meghatározott, megfelelő IP-cím-e.

• Ha helyszíni erőforrásból csatlakozik egy Key Vaulthoz, győződjön meg arról, hogy a helyszíni környezetben minden szükséges feltételes továbbító engedélyezve van.

  1. Tekintse át az Azure Private Endpoint DNS-konfigurációját a szükséges zónákhoz, és győződjön meg arról, hogy a helyszíni DNS-hez és vaultcore.azure.net a helyszíni DNS-hez is vault.azure.net rendelkezik feltételes továbbítókkal.
  2. Győződjön meg arról, hogy vannak feltételes továbbítói azokhoz a zónákhoz, amelyek azure-beli privát DNS-feloldóhoz vagy más, Az Azure-feloldáshoz való hozzáféréssel rendelkező DNS-platformra irányítják azokat.

Korlátozások és tervezési szempontok

Korlátok: Lásd az Azure Private Link korlátait

Díjszabás: Lásd az Azure Private Link díjszabását.

Korlátozások: Lásd: Azure Private Link szolgáltatás: Korlátozások

Következő lépések

• További információ az Azure Private Linkről
• További információ az Azure Key Vaultról