Mengintegrasikan Key Vault dengan Azure Private Link

Azure Private Link Service memungkinkan Anda mengakses Azure Services (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda.

Azure Private Endpoint adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, membawa layanan ke VNet Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.

Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?

Prasyarat

Untuk mengintegrasikan brankas kunci dengan Azure Private Link, Anda memerlukan:

• Brankas kunci.
• Jaringan virtual Azure.
• Subnet di jaringan virtual.
• Izin pemilik atau kontributor untuk brankas kunci dan jaringan virtual.

Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Saat Anda memilih wilayah untuk titik akhir privat menggunakan portal, wilayah tersebut akan secara otomatis hanya memfilter jaringan virtual yang ada di wilayah tersebut. Brankas kunci Anda dapat berada di wilayah yang berbeda.

Titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.

portal Microsoft Azure

Membangun koneksi link privat ke Key Vault menggunakan portal Microsoft Azure

Pertama, buat jaringan virtual dengan mengikuti langkah-langkah dalam Buat jaringan virtual menggunakan portal Microsoft Azure

Anda kemudian dapat membuat brankas kunci baru, atau membuat koneksi tautan privat ke brankas kunci yang ada.

Buat brankas kunci baru dan membuat koneksi link privat

Anda dapat membuat brankas kunci baru dengan portal Microsoft Azure, Azure CLI,atau Azure PowerShell.

Setelah mengonfigurasi dasar-dasar brankas kunci, pilih tab Penjaringan dan ikuti langkah-langkah berikut:

1. Nonaktifkan akses publik dengan mengaktifkan tombol radio.

2. Pilih Tombol "+ Buat titik akhir privat" untuk menambahkan titik akhir privat.

   

3. Di bidang "Lokasi" pada Buat Titik Akhir Privat, pilih wilayah tempat jaringan virtual Anda berada.

4. Di bidang "Nama", buat nama deskriptif yang akan memungkinkan Anda mengidentifikasi titik akhir privat ini.

5. Pilih jaringan virtual dan subnet yang Anda inginkan agar titik akhir privat ini dibuat dari menu turun bawah.

6. Biarkan opsi "integrasikan dengan DNS zona privat" tidak berubah.

7. Pilih “Ok”.

   

Sekarang Anda dapat melihat titik akhir privat yang dikonfigurasi. Sekarang Anda dapat menghapus dan mengedit titik akhir privat ini. Pilih tombol "Tinjau + Buat" dan buat brankas kunci. Dibutuhkan waktu 5-10 menit sampai penyebaran selesai.

Tempatkan koneksi tautan privat ke brankas kunci yang ada

Jika Anda sudah memiliki brankas kunci, Anda bisa membuat koneksi link privat dengan mengikuti langkah-langkah berikut:

1. Masuk ke portal Azure.

2. Di bilah pencarian, ketik "brankas kunci".

3. Pilih brankas kunci dari daftar yang ingin Anda tambahkan titik akhir privatnya.

4. Pilih tab "Jaringan" pada Pengaturan.

5. Pilih tab "Koneksi titik akhir privat" di bagian atas halaman.

6. Pilih tombol "+ Buat" di bagian atas halaman.

   

7. Pada "Detail Proyek", pilih Grup Sumber Daya yang berisi jaringan virtual yang Anda buat sebagai prasyarat untuk tutorial ini. Pada "Detail instans", masukkan "myPrivateEndpoint" sebagai Nama, lalu pilih lokasi yang sama dengan jaringan virtual yang Anda buat sebagai prasyarat untuk tutorial ini.

   Anda dapat memilih untuk membuat titik akhir privat untuk sumber daya Azure apa pun dalam menggunakan bilah ini. Anda dapat menggunakan menu dropdown untuk memilih jenis sumber daya dan memilih sumber daya di direktori Anda, atau Anda bisa menyambungkan ke sumber daya Azure apa pun menggunakan ID sumber daya. Biarkan opsi "integrasikan dengan DNS zona privat" tidak berubah.

8. Lanjutkan ke bilah "Sumber Daya". Untuk "Jenis sumber daya", pilih "Microsoft.KeyVault/vaults"; untuk "Sumber Daya", pilih brankas kunci yang Anda buat sebagai prasyarat untuk tutorial ini. "Sub-sumber daya target" akan diisi secara otomatis dengan "vault".

9. Lanjutkan ke "Virtual Network". Pilih jaringan virtual dan subnet yang Anda buat sebagai prasyarat untuk tutorial ini.

10. Lanjutkan melalui bilah "DNS" dan "Tag", menerima default.

11. Pada bilah "Tinjau + Buat", pilih "Buat".

Saat Anda membuat titik akhir privat, koneksi harus disetujui. Jika sumber daya tempat Anda membuat titik akhir privat berada di direktori, Anda akan dapat menyetujui permintaan koneksi asalkan Anda memiliki izin yang memadai; jika Anda menyambungkan ke sumber daya Azure di direktori lain, Anda harus menunggu pemilik sumber daya tersebut menyetujui permintaan koneksi Anda.

Ada empat status penyediaan:

Tindakan layanan	Status layanan titik akhir privat konsumen	Deskripsi
Tidak ada	Sedang diproses	Koneksi dibuat secara manual dan menunggu persetujuan dari pemilik sumber daya Private Link.
Setuju	Disetujui	Koneksi disetujui secara otomatis atau manual dan siap digunakan.
Tolak	Ditolak	Koneksi ditolak oleh pemilik sumber daya tautan privat.
Hapus	Terputus	Koneksi dihapus oleh pemilik sumber daya tautan pribadi, titik akhir privat menjadi informatif dan harus dihapus untuk dibersihkan.

Cara mengelola koneksi titik akhir privat ke Key Vault menggunakan portal Microsoft Azure

1. Masuk ke portal Microsoft Azure.

2. Di bilah pencarian, ketik "brankas kunci"

3. Pilih brankas kunci yang ingin Anda kelola.

4. Pilih tab “Jaringan”.

5. Jika ada koneksi yang tertunda, Anda akan melihat koneksi yang tercantum dengan "Tertunda" dalam status penyediaan.

6. Pilih titik akhir privat yang ingin Anda setujui

7. Pilih tombol Setujui.

8. Jika ada koneksi titik akhir privat yang ingin Anda tolak, apakah itu permintaan yang tertunda atau koneksi yang ada, pilih koneksi dan pilih tombol "Tolak".

   

Azure CLI

Tetapkan koneksi tautan privat ke Key Vault menggunakan CLI (Pengaturan Awal)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Buat Titik Akhir Privat (Menyetujui Secara Otomatis)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Buat Titik Akhir Privat (Persetujuan Permintaan Secara Manual)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Kelola Koneksi Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Tambahkan Catatan DNS Privat

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Validasi bahwa koneksi tautan privat berfungsi

Anda harus memvalidasi bahwa sumber daya dalam subnet yang sama dari sumber daya titik akhir privat tersambung ke brankas kunci Anda melalui alamat IP privat, dan bahwa mereka memiliki integrasi zona DNS privat yang benar.

Pertama, buat mesin virtual dengan mengikuti langkah-langkah dalam Buat mesin virtual Windows di portal Microsoft Azure

Pada tab “Jaringan”:

1. Tentukan Jaringan virtual dan Subnet. Anda bisa membuat jaringan virtual baru atau memilih jaringan yang sudah ada. Jika memilih yang sudah ada, pastikan wilayah tersebut cocok.
2. Tentukan Sumber daya IP publik.
3. Di "Grup keamanan jaringan NIC", pilih "Tidak Ada".
4. Di "Menyeimbangkan muatan", pilih "Tidak".

Buka baris perintah dan jalankan perintah berikut ini:

nslookup <your-key-vault-name>.vault.azure.net

Jika Anda menjalankan perintah pencarian ns untuk menyelesaikan alamat IP brankas kunci melalui titik akhir publik, Anda akan melihat hasil yang terlihat seperti ini:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Jika Anda menjalankan perintah pencarian ns untuk menyelesaikan alamat IP brankas kunci melalui titik akhir privat, Anda akan melihat hasil yang terlihat seperti ini:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Panduan Pemecahan Masalah

• Periksa untuk memastikan titik akhir privat dalam status disetujui.

  1. Anda dapat memeriksa dan memperbaikinya di portal Microsoft Azure. Buka sumber daya Key Vault, dan pilih opsi Jaringan.
  2. Pilih tab Koneksi titik akhir privat.
  3. Pastikan status koneksi Disetujui dan status penyediaan Berhasil.
  4. Anda juga dapat menavigasi ke sumber daya titik akhir privat dan meninjau properti yang sama di sana, dan memeriksa kembali apakah jaringan virtual cocok dengan yang Anda gunakan.

• Periksa untuk memastikan bahwa Anda memiliki sumber daya Zona DNS Privat.

  1. Anda harus memiliki sumber daya Zona DNS Privat dengan nama yang sama persis: privatelink.vaultcore.azure.net.
  2. Untuk mempelajari cara menetapkan ini, silakan lihat tautan berikut. Zona DNS Privat

• Periksa untuk memastikan bahwa Zona DNS Privat ditautkan ke Virtual Network. Ini mungkin masalahnya jika Anda masih mendapatkan alamat IP publik yang dikembalikan.

  1. Jika DNS Zona Privat tidak ditautkan ke jaringan virtual, kueri DNS yang berasal dari jaringan virtual akan mengembalikan alamat IP publik brankas kunci.
  2. Navigasikan ke sumber daya Zona DNS Privat di portal Azure dan pilih opsi tautan jaringan virtual.
  3. Jaringan virtual yang akan melakukan panggilan ke brankas kunci harus dicantumkan.
  4. Jika tidak ada, tambahkan.
  5. Untuk langkah-langkah mendetail, lihat dokumen berikut Ini Tautkan Virtual Network ke Zona DNS Privat

• Periksa untuk memastikan Zona DNS Privat tidak kehilangan catatan A untuk brankas kunci.

  1. Arahkan ke halaman Zona DNS Privat.
  2. Pilih Gambaran Umum dan periksa apakah ada catatan A dengan nama sederhana brankas kunci Anda (yaitu fabrikam). Jangan tentukan akhiran apa pun.
  3. Pastikan Anda memeriksa ejaan, dan membuat atau memperbaiki catatan A. Anda dapat menggunakan TTL 600 (10 menit).
  4. Pastikan Anda menentukan alamat IP privat yang benar.

• Periksa untuk memastikan bahwa rekaman A memiliki Alamat IP yang benar.

  1. Anda dapat mengonfirmasi alamat IP dengan membuka sumber daya Titik Akhir Privat di portal Microsoft Azure.
  2. Menavigasi ke sumber daya Microsoft.Network/privateEndpoints, di portal Azure (bukan sumber daya Key Vault)
  3. Di halaman gambaran umum, cari Antarmuka jaringan dan pilih tautan tersebut.
  4. Tautan akan menampilkan Gambaran umum tentang sumber daya NIC, yang berisi alamat IP Privat properti.
  5. Verifikasi bahwa ini adalah alamat IP yang benar yang ditentukan dalam rekaman A.

• Jika Anda menyambungkan dari sumber daya lokal ke Key Vault, pastikan Anda mengaktifkan semua penerus bersyarat yang diperlukan di lingkungan lokal.

  1. Tinjau konfigurasi DNS Titik Akhir Privat Azure untuk zona yang diperlukan, dan pastikan Anda memiliki penerus kondisional untuk vault.azure.net DNS vaultcore.azure.net lokal Anda.
  2. Pastikan Anda memiliki penerus bersyarat untuk zona yang merutekan ke Resolver DNS Privat Azure atau platform DNS lainnya dengan akses ke resolusi Azure.

Batasan dan Pertimbangan Desain

Batas: Lihat Batas Azure Private Link

Harga: Lihat Harga Azure Private Link.

Batasan: Lihat Layanan Azure Private Link: Batasan

Langkah berikutnya

• Pelajari lebih lanjut tentang Azure Private Link
• Pelajari lebih lanjut tentang Azure Key Vault