A Key Vault és az Azure Private Link integrálása

A Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.

Az Azure-beli privát végpontok olyan hálózati adapterek, amelyek privát módon és biztonságosan csatlakoznak egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.

További információ: Mi az a Azure Private Link?

Előfeltételek

A kulcstartónak a Azure Private Link való integrálásához a következőkre lesz szüksége:

• Egy kulcstartó.
• Egy Azure-beli virtuális hálózat.
• Egy alhálózat a virtuális hálózaton.
• Tulajdonosi vagy közreműködői engedélyek a kulcstartóhoz és a virtuális hálózathoz is.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor a portál használatával kiválaszt egy régiót a privát végponthoz, az automatikusan szűri az adott régióban található virtuális hálózatokat. A kulcstartó más régióban is lehet.

A privát végpont privát IP-címet használ a virtuális hálózaton.

Azure Portal

Privát kapcsolat létesítése Key Vault a Azure Portal használatával

Először hozzon létre egy virtuális hálózatot a Virtuális hálózat létrehozása a Azure Portal

Ezután létrehozhat egy új kulcstartót, vagy létrehozhat egy privát kapcsolati kapcsolatot egy meglévő kulcstartóval.

Új kulcstartó létrehozása és privát kapcsolat létesítése

Létrehozhat egy új kulcstartót a Azure Portal, az Azure CLI vagy Azure PowerShell használatával.

A Key Vault alapszintű konfigurálását követően válassza a Hálózatkezelés lapot, és kövesse az alábbi lépéseket:

1. Tiltsa le a nyilvános hozzáférést a választógomb kikapcsolásával.

2. Privát végpont hozzáadásához válassza a "+ Privát végpont létrehozása" gombot.

   

3. A Privát végpont létrehozása panel "Hely" mezőjében válassza ki azt a régiót, amelyben a virtuális hálózat található.

4. A "Név" mezőben hozzon létre egy leíró nevet, amely lehetővé teszi a privát végpont azonosítását.

5. Válassza ki azt a virtuális hálózatot és alhálózatot, amelyben létre szeretné hozni ezt a privát végpontot a legördülő menüből.

6. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

7. Válassza az "Ok" lehetőséget.

   

Most már láthatja a konfigurált privát végpontot. Most már törölheti és szerkesztheti ezt a privát végpontot. Válassza a "Felülvizsgálat + Létrehozás" gombot, és hozza létre a kulcstartót. Az üzembe helyezés befejezése 5–10 percet vesz igénybe.

Privát kapcsolat létesítése meglévő kulcstartóval

Ha már rendelkezik kulcstartóval, az alábbi lépésekkel hozhat létre privát kapcsolati kapcsolatot:

1. Jelentkezzen be az Azure Portalra.

2. A keresősávba írja be a "key vaults" kifejezést.

3. Válassza ki azt a kulcstartót a listából, amelyhez privát végpontot szeretne hozzáadni.

4. Válassza a "Hálózatkezelés" lapot a Beállítások területen.

5. Válassza a lap tetején található "Privát végponti kapcsolatok" lapot.

6. Válassza a lap tetején található "+ Létrehozás" gombot.

   

7. A "Projekt részletei" területen válassza ki azt az erőforráscsoportot, amely az oktatóanyag előfeltételeként létrehozott virtuális hálózatot tartalmazza. A "Példány részletei" területen adja meg a "myPrivateEndpoint" nevet névként, és válassza ki azt a helyet, amelyet az oktatóanyag előfeltételeként létrehozott a virtuális hálózattal.

   Ezen a panelen bármilyen Azure-erőforráshoz létrehozhat privát végpontot. A legördülő menük segítségével kiválaszthat egy erőforrástípust, és kiválaszthat egy erőforrást a címtárban, vagy csatlakozhat bármely Azure-erőforráshoz egy erőforrás-azonosító használatával. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

8. Lépjen az "Erőforrások" panelre. Az "Erőforrás típusa" beállításnál válassza a "Microsoft.KeyVault/vaults" lehetőséget; az "Erőforrás" beállításnál válassza ki az oktatóanyag előfeltételeként létrehozott kulcstartót. A "Cél alerőforrás" automatikusan feltöltődik a "tárolóval".

9. Lépjen tovább a "Virtual Network"- ra. Válassza ki az oktatóanyag előfeltételeként létrehozott virtuális hálózatot és alhálózatot.

10. Haladjon végig a "DNS" és a "Címkék" panelen, és fogadja el az alapértelmezett beállításokat.

11. A "Felülvizsgálat + Létrehozás" panelen válassza a "Létrehozás" lehetőséget.

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, akkor jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik a megfelelő engedélyekkel; Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot létezik:

Szolgáltatásművelet	Szolgáltatásfelhasználó privát végpontjának állapota	Leírás
Nincs	Függőben	A kapcsolat manuálisan jön létre, és a Private Link erőforrás-tulajdonos jóváhagyására vár.
Jóváhagyás	Approved	A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasítás	Elutasítva	A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot.
Eltávolítás	Leválasztott	A privát kapcsolat erőforrás-tulajdonosa eltávolította a kapcsolatot, a privát végpont informatív lesz, és törölni kell a törléshez.

Privát végponti kapcsolat kezelése Key Vault a Azure Portal használatával

1. Jelentkezzen be az Azure Portalra.

2. A keresősávba írja be a "key vaults" kifejezést

3. Válassza ki a kezelni kívánt kulcstartót.

4. Válassza a "Hálózatkezelés" lapot.

5. Ha vannak függőben lévő kapcsolatok, egy "Függőben" állapotú kapcsolat jelenik meg a kiépítési állapotban.

6. Válassza ki a jóváhagyni kívánt privát végpontot

7. Válassza a jóváhagyás gombot.

8. Ha vannak olyan privát végponti kapcsolatok, amelyeket el szeretne utasítani, akár függőben lévő kérésről van szó, akár meglévő kapcsolatról van szó, válassza ki a kapcsolatot, és válassza az "Elutasítás" gombot.

   

Azure CLI

Privát kapcsolat létesítése Key Vault parancssori felülettel (kezdeti beállítás)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Privát végpont létrehozása (automatikus jóváhagyás)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Privát végpont létrehozása (manuális jóváhagyás kérése)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Private Link kapcsolatok kezelése

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Saját DNS rekordok hozzáadása

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Ellenőrizze, hogy működik-e a privát kapcsolat

Ellenőriznie kell, hogy a privát végponti erőforrás ugyanazon alhálózatán belüli erőforrások privát IP-címen keresztül csatlakoznak-e a kulcstartóhoz, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása a Azure Portal

A "Hálózatkezelés" lapon:

1. Adja meg a virtuális hálózatot és az alhálózatot. Létrehozhat egy új virtuális hálózatot, vagy kiválaszthat egy meglévőt. Ha egy meglévőt jelöl ki, győződjön meg arról, hogy a régió megegyezik.
2. Adjon meg egy nyilvános IP-erőforrást.
3. A hálózati adapter hálózati biztonsági csoportjában válassza a "Nincs" lehetőséget.
4. A "Terheléselosztás" területen válassza a "Nem" lehetőséget.

Nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <your-key-vault-name>.vault.azure.net

Ha az ns keresési parancs futtatásával feloldja egy kulcstartó IP-címét egy nyilvános végponton, a következő eredmény jelenik meg:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Ha az ns keresési parancs futtatásával feloldja egy kulcstartó IP-címét egy privát végponton keresztül, a következő eredmény jelenik meg:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Hibaelhárítási útmutató

• Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.

  1. Ezt az Azure Portalon ellenőrizheti és javíthatja. Nyissa meg a Key Vault erőforrást, és válassza a Hálózatkezelés lehetőséget.
  2. Ezután válassza a Privát végpontkapcsolatok lapot.
  3. Győződjön meg arról, hogy a kapcsolat állapota Jóváhagyva, a kiépítési állapot pedig Sikeres.
  4. A privát végpont erőforrásához is navigálhat, és itt is áttekintheti ugyanazokat a tulajdonságokat, és ellenőrizheti, hogy a virtuális hálózat megegyezik-e a használt erőforrással.

• Ellenőrizze, hogy rendelkezik-e saját DNS Zóna erőforrással.

  1. Pontos névvel rendelkező saját DNS Zóna erőforrással kell rendelkeznie: privatelink.vaultcore.azure.net.
  2. Ennek beállításáról az alábbi hivatkozáson tájékozódhat. saját DNS zónák

• Ellenőrizze, hogy a saját DNS zóna kapcsolódik-e a Virtual Network. Ez lehet a probléma, ha továbbra is a nyilvános IP-címet kapja vissza.

  1. Ha a privát zóna DNS-e nincs a virtuális hálózathoz csatolva, a virtuális hálózatból származó DNS-lekérdezés a kulcstartó nyilvános IP-címét adja vissza.
  2. Lépjen a saját DNS Zóna erőforrásra a Azure Portal, és válassza ki a virtuális hálózati kapcsolatok lehetőséget.
  3. A kulcstartó felé hívásokat indító virtuális hálózatnak szerepelnie kell a listán.
  4. Ha nem szerepel, adja hozzá.
  5. Részletes lépésekért lásd a következő dokumentumot: Virtual Network csatolása saját DNS zónához

• Ellenőrizze, hogy a saját DNS zóna nem hiányzik-e A rekord a kulcstartóhoz.

  1. Lépjen a saját DNS Zóna lapra.
  2. Válassza az Áttekintés lehetőséget, és ellenőrizze, hogy van-e A rekord a kulcstartó egyszerű nevével (pl. fabrikam). Ne adjon meg utótagot.
  3. Ne feledje el ellenőrizni a helyesírást, és hozza létre vagy javítsa az A rekordot. 600 (10 perc) TTL-t használhat.
  4. Ügyeljen arra, hogy a helyes magánhálózati IP-címet adja meg.

• Ellenőrizze, hogy az A rekord rendelkezik-e a megfelelő IP-címmel.

  1. Az IP-cím megerősítéséhez nyissa meg a Privát végpont erőforrást a Azure Portal.
  2. Nyissa meg a Microsoft.Network/privateEndpoints erőforrást az Azure Portalon (ez nem a Key Vault-erőforrás)
  3. Az áttekintési lapon keresse meg a Hálózati adaptert, és válassza ki ezt a hivatkozást.
  4. A hivatkozás megjeleníti a NIC-erőforrás áttekintését, amely tartalmazza a magánhálózati IP-cím tulajdonságot.
  5. Ellenőrizze, hogy ez az A rekordban meghatározott, megfelelő IP-cím-e.

• Ha helyszíni erőforrásból csatlakozik egy Key Vault, győződjön meg arról, hogy a helyszíni környezetben minden szükséges feltételes továbbító engedélyezve van.

  1. Tekintse át az Azure Private Endpoint DNS-konfigurációját a szükséges zónákhoz, és győződjön meg arról, hogy rendelkezik feltételes továbbítókkal mind a helyszíni DNS-hez, mind vault.azure.netvaultcore.azure.net pedig a helyszíni DNS-hez.
  2. Győződjön meg arról, hogy vannak feltételes továbbítói azokhoz a zónákhoz, amelyek azure-saját DNS-feloldóhoz vagy más, Azure-feloldáshoz hozzáféréssel rendelkező DNS-platformra irányítja őket.

Korlátozások és tervezési szempontok

Korlátok: Lásd: Azure Private Link korlátok

Díjszabás: Lásd Azure Private Link díjszabását.

Korlátozások: Lásd: Azure Private Link szolgáltatás: Korlátozások

Következő lépések

• További információ a Azure Private Link
• További információ az Azure Key Vault