A Key Vault és az Azure Private Link integrálása

Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.

Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.

További információ: Mi az Azure Private Link?

Előfeltételek

A key vault és az Azure Private Link integrálásához a következőkre lesz szüksége:

• Egy kulcstartó.
• Egy Azure-beli virtuális hálózat.
• A virtuális hálózat alhálózata.
• Tulajdonosi vagy közreműködői engedélyek a kulcstartóhoz és a virtuális hálózathoz is.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor kiválaszt egy régiót a privát végponthoz a portál használatával, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A kulcstartó más régióban is lehet.

A privát végpont egy privát IP-címet használ a virtuális hálózaton.

Azure Portal

Privát kapcsolat létesítése a Key Vaulttal az Azure Portal használatával

Először hozzon létre egy virtuális hálózatot a Virtuális hálózat létrehozása az Azure Portallal című cikk lépéseit követve

Ezután létrehozhat egy új kulcstartót, vagy létrehozhat egy privát kapcsolati kapcsolatot egy meglévő kulcstartóval.

Új kulcstartó létrehozása és privát kapcsolat létesítése

Létrehozhat egy új kulcstartót az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.

A Key Vault alapszintű konfigurálása után válassza a Hálózatkezelés lapot, és kövesse az alábbi lépéseket:

1. Tiltsa le a nyilvános hozzáférést a választógomb kikapcsolásával.

2. Válassza a "+ Privát végpont létrehozása" gombot egy privát végpont hozzáadásához.

   

3. A Privát végpont létrehozása panel "Hely" mezőjében válassza ki azt a régiót, amelyben a virtuális hálózat található.

4. A "Név" mezőben hozzon létre egy leíró nevet, amely lehetővé teszi a privát végpont azonosítását.

5. Válassza ki azt a virtuális hálózatot és alhálózatot, amelyben létre szeretné hozni ezt a privát végpontot a legördülő menüből.

6. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

7. Válassza az "OK" gombot.

   

Most már láthatja a konfigurált privát végpontot. Most már törölheti és szerkesztheti ezt a privát végpontot. Válassza a "Véleményezés + Létrehozás" gombot, és hozza létre a kulcstartót. Az üzembe helyezés 5–10 percet vesz igénybe.

Privát kapcsolat létesítése meglévő kulcstartóval

Ha már rendelkezik kulcstartóval, az alábbi lépésekkel hozhat létre privát kapcsolatkapcsolatot:

1. Jelentkezzen be az Azure Portalra.

2. A keresősávba írja be a "key vaults" kifejezést.

3. Válassza ki azt a kulcstartót a listából, amelyhez magánvégpontot szeretne hozzáadni.

4. Válassza a Beállítások területen a "Hálózatkezelés" fület.

5. Válassza a lap tetején található "Privát végpontkapcsolatok" lapot.

6. Válassza a lap tetején található "+ Létrehozás" gombot.

   

7. A "Projekt részletei" területen válassza ki azt az erőforráscsoportot, amely az oktatóanyag előfeltételeként létrehozott virtuális hálózatot tartalmazza. A "Példány részletei" területen adja meg a "myPrivateEndpoint" nevet, és válassza ki azt a helyet, amelyet az oktatóanyag előfeltételeként létrehozott a virtuális hálózattal.

   A panel használatával bármely Azure-erőforráshoz létrehozhat privát végpontot. A legördülő menük segítségével kiválaszthat egy erőforrástípust, és kiválaszthat egy erőforrást a címtárban, vagy bármely Azure-erőforráshoz csatlakozhat egy erőforrás-azonosító használatával. Hagyja változatlanul az "integrálás a privát zóna DNS-ével" beállítást.

8. Lépjen az "Erőforrások" panelre. Az "Erőforrás típusa" beállításnál válassza a "Microsoft.KeyVault/vaults" lehetőséget; Az "Erőforrás" beállításnál válassza ki az oktatóanyag előfeltételeként létrehozott kulcstartót. A "Cél alerőforrás" automatikusan feltöltődik a "tárolóval".

9. Lépjen tovább a "Virtuális hálózatra". Válassza ki az oktatóanyag előfeltételeként létrehozott virtuális hálózatot és alhálózatot.

10. Lépjen tovább a "DNS" és a "Címkék" panelen, és fogadja el az alapértelmezett beállításokat.

11. A "Véleményezés + Létrehozás" panelen válassza a "Létrehozás" lehetőséget.

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, akkor jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik megfelelő engedélyekkel; Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot létezik:

Szolgáltatásművelet	Szolgáltatásfelhasználó privát végpontjának állapota	Leírás
Egyik sem	Függőben	A kapcsolat manuálisan jön létre, és függőben van a Private Link-erőforrás tulajdonosának jóváhagyásáig.
Jóváhagyás	Engedélyezve	A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasítás	Elutasítva	A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot.
Eltávolítás	Leválasztva	A kapcsolatot a privát kapcsolat erőforrás-tulajdonosa eltávolította, a privát végpont informatív lesz, és törölni kell a törléshez.

Privát végpontkapcsolat kezelése a Key Vaulttal az Azure Portal használatával

1. Jelentkezzen be az Azure Portalra.

2. A keresősávba írja be a "key vaults" kifejezést

3. Válassza ki a kezelni kívánt kulcstartót.

4. Válassza a "Hálózatkezelés" lapot.

5. Ha vannak függőben lévő kapcsolatok, a kiépítési állapotban megjelenik a "Függőben" állapotú kapcsolat.

6. Válassza ki a jóváhagyni kívánt privát végpontot

7. Válassza a jóváhagyás gombot.

8. Ha vannak olyan privát végpontkapcsolatok, amelyeket el szeretne utasítani, függetlenül attól, hogy függőben lévő vagy meglévő kapcsolatról van-e szó, válassza ki a kapcsolatot, és válassza az "Elutasítás" gombot.

   

Azure CLI

Privát kapcsolat létesítése a Key Vaulttal a parancssori felülettel (kezdeti beállítás)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Privát végpont létrehozása (automatikus jóváhagyás)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Privát végpont létrehozása (manuális jóváhagyás kérése)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Privát kapcsolat kapcsolatainak kezelése

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Saját DNS rekordok hozzáadása

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Ellenőrizze, hogy működik-e a privát kapcsolat

Ellenőriznie kell, hogy a privát végpont erőforrásának ugyanazon alhálózatán belüli erőforrások egy privát IP-címen keresztül csatlakoznak-e a kulcstartóhoz, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása az Azure Portalon című cikk lépéseit követve

A "Hálózatkezelés" lapon:

1. Adja meg a virtuális hálózatot és az alhálózatot. Létrehozhat egy új virtuális hálózatot, vagy kiválaszthat egy meglévőt. Ha egy meglévőt választ ki, győződjön meg arról, hogy a régió megegyezik.
2. Adjon meg egy nyilvános IP-erőforrást.
3. A Hálózati adapter hálózati biztonsági csoportjában válassza a "Nincs" lehetőséget.
4. A "Terheléselosztás" területen válassza a "Nem" lehetőséget.

Nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <your-key-vault-name>.vault.azure.net

Ha futtatja az ns keresési parancsot egy kulcstartó IP-címének nyilvános végponton keresztüli feloldásához, az alábbi eredmény jelenik meg:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Ha az ns keresési parancs futtatásával feloldja egy kulcstartó IP-címét egy privát végponton keresztül, az alábbi eredmény jelenik meg:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Hibaelhárítási útmutató

• Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.

  1. Ezt az Azure Portalon ellenőrizheti és javíthatja. Nyissa meg a Key Vault-erőforrást, és válassza ki a Hálózat elemet.
  2. Ezután válassza a Privát végpont kapcsolatai lapot.
  3. Győződjön meg arról, hogy a kapcsolat állapota Jóváhagyva, a kiépítési állapot pedig Sikeres.
  4. A privát végpont erőforrásához is navigálhat, és áttekintheti ott ugyanazokat a tulajdonságokat, és ellenőrizheti, hogy a virtuális hálózat megfelel-e a használtnak.

• Ellenőrizze, hogy rendelkezik-e Privát DNS-zóna erőforrással.

  1. A saját DNS zónaerőforrásnak pontosan a következő névvel kell rendelkeznie: privatelink.vaultcore.azure.net.
  2. A beállításról az alábbi hivatkozáson tájékozódhat. saját DNS zónák

• Ellenőrizze, hogy a saját DNS zóna kapcsolódik-e a virtuális hálózathoz. Ez lehet a probléma, ha továbbra is a nyilvános IP-címet kapja vissza.

  1. Ha a privát zóna DNS-je nem kapcsolódik a virtuális hálózathoz, a virtuális hálózatból származó DNS-lekérdezés visszaadja a kulcstartó nyilvános IP-címét.
  2. Lépjen a saját DNS zónaerőforrásra az Azure Portalon, és válassza ki a virtuális hálózati kapcsolatok lehetőséget.
  3. A kulcstartó felé hívásokat indító virtuális hálózatnak szerepelnie kell a listán.
  4. Ha nem szerepel, adja hozzá.
  5. A részletes lépésekért lásd a következő dokumentumot, amely összekapcsolja a virtuális hálózatot saját DNS Zónával

• Ellenőrizze, hogy a saját DNS zóna nem hiányzik-e A rekord a kulcstartóhoz.

  1. Lépjen a saját DNS Zóna lapra.
  2. Válassza az Áttekintés lehetőséget, és ellenőrizze, hogy van-e A rekord a kulcstartó egyszerű nevével (pl. fabrikam). Ne adjon meg utótagot.
  3. Ne feledje el ellenőrizni a helyesírást, és hozza létre vagy javítsa az A rekordot. 600(10 perc) TTL-t használhat.
  4. Ügyeljen arra, hogy a helyes magánhálózati IP-címet adja meg.

• Ellenőrizze, hogy az A rekord rendelkezik-e a megfelelő IP-címmel.

  1. Az IP-cím megerősítéséhez nyissa meg a Privát végpont erőforrást az Azure Portalon.
  2. Nyissa meg a Microsoft.Network/privateEndpoints erőforrást az Azure Portalon (ez nem a Key Vault-erőforrás)
  3. Az áttekintési lapon keresse meg a hálózati adaptert, és válassza ki ezt a hivatkozást.
  4. A hivatkozás megjeleníti a NIC-erőforrás áttekintését, amely tartalmazza a magánhálózati IP-cím tulajdonságot.
  5. Ellenőrizze, hogy ez az A rekordban meghatározott, megfelelő IP-cím-e.

• Ha helyszíni erőforrásból csatlakozik egy Key Vaulthoz, győződjön meg arról, hogy a helyszíni környezetben minden szükséges feltételes továbbító engedélyezve van.

  1. Tekintse át az Azure Private Endpoint DNS-konfigurációját a szükséges zónákhoz, és győződjön meg arról, hogy a helyszíni DNS-hez és vaultcore.azure.net a helyszíni DNS-hez is vault.azure.net rendelkezik feltételes továbbítókkal.
  2. Győződjön meg arról, hogy vannak feltételes továbbítói azokhoz a zónákhoz, amelyek egy Azure-saját DNS Resolverbe vagy más, Azure-feloldáshoz hozzáféréssel rendelkező DNS-platformra irányítják azokat.

Korlátozások és tervezési szempontok

Korlátok: Lásd az Azure Private Link korlátait

Díjszabás: Lásd az Azure Private Link díjszabását.

Korlátozások: Lásd: Azure Private Link szolgáltatás: Korlátozások

Következő lépések

• További információ az Azure Private Linkről
• További információ az Azure Key Vaultról