Mengintegrasikan Key Vault dengan Azure Private Link
Layanan Azure Private Link memungkinkan Anda mengakses Layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) serta layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Pribadi di jaringan virtual Anda.
Titik Akhir Privat Azure adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, membawa layanan ke VNet Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.
Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?
Prasyarat
Untuk mengintegrasikan brankas kunci dengan Azure Private Link, Anda memerlukan:
- Key vault.
- Jaringan virtual Azure.
- Subnet di jaringan virtual.
- Izin pemilik atau kontributor untuk brankas kunci dan jaringan virtual.
Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Saat Anda memilih wilayah untuk titik akhir privat menggunakan portal, wilayah tersebut akan secara otomatis hanya memfilter jaringan virtual yang ada di wilayah tersebut. Brankas kunci Anda dapat berada di wilayah yang berbeda.
Titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.
Membangun koneksi link privat ke Key Vault menggunakan portal Microsoft Azure
Pertama, buat jaringan virtual dengan mengikuti langkah-langkah dalam Buat jaringan virtual menggunakan portal Microsoft Azure
Anda kemudian dapat membuat brankas kunci baru, atau membuat koneksi tautan privat ke brankas kunci yang ada.
Buat brankas kunci baru dan membuat koneksi link privat
Anda dapat membuat brankas kunci baru dengan portal Microsoft Azure, Azure CLI,atau Azure PowerShell.
Setelah mengonfigurasi dasar-dasar brankas kunci, pilih tab Penjaringan dan ikuti langkah-langkah berikut:
Nonaktifkan akses publik dengan mematikan tombol radio.
Pilih Tombol "+ Buat titik akhir privat" untuk menambahkan titik akhir privat.
Di bidang "Lokasi" pada Buat Titik Akhir Privat, pilih wilayah tempat jaringan virtual Anda berada.
Di bidang "Nama", buat nama deskriptif yang akan memungkinkan Anda mengidentifikasi titik akhir privat ini.
Pilih jaringan virtual dan subnet yang Anda inginkan agar titik akhir privat ini dibuat dari menu turun bawah.
Biarkan opsi "integrasikan dengan DNS zona privat" tidak berubah.
Pilih “Ok”.
Anda sekarang dapat melihat titik akhir privat yang dikonfigurasi. Anda sekarang dapat menghapus dan mengedit titik akhir privat ini. Pilih tombol "Tinjau + Buat" dan buat brankas kunci. Dibutuhkan waktu 5-10 menit sampai penyebaran selesai.
Tempatkan koneksi tautan privat ke brankas kunci yang ada
Jika Anda sudah memiliki brankas kunci, Anda bisa membuat koneksi link privat dengan mengikuti langkah-langkah berikut:
Masuk ke portal Azure.
Di bilah pencarian, ketik "brankas kunci".
Pilih brankas kunci dari daftar yang ingin Anda tambahkan titik akhir privatnya.
Pilih tab "Jaringan" pada Pengaturan.
Pilih tab "Koneksi titik akhir privat" di bagian atas halaman.
Pilih tombol "+ Buat" di bagian atas halaman.
Pada "Detail Proyek", pilih Grup Sumber Daya yang berisi jaringan virtual yang Anda buat sebagai prasyarat untuk tutorial ini. Pada "Detail instans", masukkan "myPrivateEndpoint" sebagai Nama, lalu pilih lokasi yang sama dengan jaringan virtual yang Anda buat sebagai prasyarat untuk tutorial ini.
Anda dapat memilih untuk membuat titik akhir privat untuk sumber daya Azure apa pun dalam menggunakan bilah ini. Anda dapat menggunakan menu dropdown untuk memilih jenis sumber daya dan memilih sumber daya di direktori Anda, atau Anda bisa menyambungkan ke sumber daya Azure apa pun menggunakan ID sumber daya. Biarkan opsi "integrasikan dengan DNS zona privat" tidak berubah.
Lanjutkan ke bilah "Sumber Daya". Untuk "Jenis sumber daya", pilih "Microsoft.KeyVault/vaults"; untuk "Sumber Daya", pilih brankas kunci yang Anda buat sebagai prasyarat untuk tutorial ini. "Sub-sumber daya target" akan diisi secara otomatis dengan "vault".
Lanjutkan ke "Virtual Network". Pilih jaringan virtual dan subnet yang Anda buat sebagai prasyarat untuk tutorial ini.
Lanjutkan melalui bilah "DNS" dan "Tag", menerima default.
Pada bilah "Tinjau + Buat", pilih "Buat".
Saat Anda membuat titik akhir privat, koneksi harus disetujui. Jika sumber daya tempat Anda membuat titik akhir privat berada di direktori, Anda akan dapat menyetujui permintaan koneksi asalkan Anda memiliki izin yang memadai; jika Anda menyambungkan ke sumber daya Azure di direktori lain, Anda harus menunggu pemilik sumber daya tersebut menyetujui permintaan koneksi Anda.
Ada empat status penyediaan:
Tindakan layanan | Status layanan titik akhir pribadi konsumen | Deskripsi |
---|---|---|
Tidak | Tertunda | Koneksi dibuat secara manual dan menunggu persetujuan dari pemilik sumber daya Private Link. |
Setujui | Disetujui | Koneksi disetujui secara otomatis atau manual dan siap digunakan. |
Tolak | Ditolak | Koneksi ditolak oleh pemilik sumber daya tautan privat. |
Hapus | Terputus | Koneksi dihapus oleh pemilik sumber daya tautan privat, titik akhir privat menjadi informatif dan harus dihapus untuk dibersihkan. |
Cara mengelola koneksi titik akhir privat ke Key Vault menggunakan portal Microsoft Azure
Masuk ke portal Microsoft Azure.
Di bilah pencarian, ketik "brankas kunci"
Pilih brankas kunci yang ingin Anda kelola.
Pilih tab “Jaringan”.
Jika ada koneksi yang tertunda, Anda akan melihat koneksi yang tercantum dengan "Tertunda" dalam status provisi.
Pilih titik akhir privat yang ingin Anda setujui
Pilih tombol Setujui.
Jika ada koneksi titik akhir privat yang ingin Anda tolak, apakah itu permintaan tertunda atau koneksi yang sudah ada, pilih koneksi dan pilih tombol "Tolak".
Validasi bahwa koneksi tautan privat berfungsi
Anda harus memvalidasi bahwa sumber daya dalam subnet yang sama dari sumber daya titik akhir privat tersambung ke brankas kunci Anda melalui alamat IP privat, dan bahwa mereka memiliki integrasi zona DNS privat yang benar.
Pertama, buat komputer virtual dengan mengikuti langkah-langkah dalam Buat komputer virtual Windows di portal Microsoft Azure
Pada tab “Jaringan”:
- Tentukan Jaringan virtual dan Subnet. Anda bisa membuat jaringan virtual baru atau memilih jaringan yang sudah ada. Jika memilih yang sudah ada, pastikan wilayah tersebut cocok.
- Tentukan Sumber daya IP publik.
- Di "Grup keamanan jaringan NIC", pilih "Tidak Ada".
- Di "Menyeimbangkan muatan", pilih "Tidak".
Buka baris perintah dan jalankan perintah berikut ini:
nslookup <your-key-vault-name>.vault.azure.net
Jika Anda menjalankan perintah pencarian ns untuk menyelesaikan alamat IP brankas kunci melalui titik akhir publik, Anda akan melihat hasil yang terlihat seperti ini:
c:\ >nslookup <your-key-vault-name>.vault.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <your-key-vault-name>.vault.azure.net
Jika Anda menjalankan perintah pencarian ns untuk mengatasi alamat IP brankas kunci melalui titik akhir privat, Anda akan melihat hasil yang terlihat seperti ini:
c:\ >nslookup your_vault_name.vault.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <your-key-vault-name>.vault.azure.net
<your-key-vault-name>.privatelink.vaultcore.azure.net
Panduan Pemecahan Masalah
Periksa untuk memastikan titik akhir privat dalam status disetujui.
- Anda dapat memeriksa dan memperbaikinya di portal Azure. Buka sumber daya Key Vault, dan pilih opsi Jaringan.
- Pilih tab Koneksi titik akhir privat.
- Pastikan status koneksi Disetujui dan status penyediaan Berhasil.
- Anda juga dapat menavigasi ke sumber daya titik akhir privat dan meninjau properti yang sama di sana, dan memeriksa kembali apakah jaringan virtual cocok dengan yang Anda gunakan.
Periksa untuk memastikan bahwa Anda memiliki sumber daya Zona DNS Privat.
- Anda harus memiliki sumber daya Zona DNS Privat dengan nama yang sama persis: privatelink.vaultcore.azure.net.
- Untuk mempelajari cara menetapkan ini, silakan lihat tautan berikut. Zona DNS Privat
Periksa untuk memastikan bahwa Zona DNS Privat ditautkan ke Virtual Network. Ini mungkin masalahnya jika Anda masih mendapatkan alamat IP publik yang dikembalikan.
- Jika DNS Zona Privat tidak ditautkan ke jaringan virtual, kueri DNS yang berasal dari jaringan virtual akan mengembalikan alamat IP publik brankas kunci.
- Navigasi ke sumber daya Zona DNS Privat di portal Azure dan pilih opsi tautan jaringan virtual.
- Jaringan virtual yang akan melakukan panggilan ke brankas kunci harus dicantumkan.
- Jika tidak ada, tambahkan jaringan virtual.
- Untuk langkah-langkah mendetail, lihat dokumen berikut Ini Tautkan Virtual Network ke Zona DNS Privat
Periksa untuk memastikan Zona DNS Privat tidak kehilangan catatan A untuk brankas kunci.
- Arahkan ke halaman Zona DNS Privat.
- Pilih Gambaran Umum dan periksa apakah ada catatan A dengan nama sederhana brankas kunci Anda (yaitu fabrikam). Jangan tentukan akhiran apa pun.
- Pastikan Anda memeriksa ejaan, dan membuat atau memperbaiki catatan A. Anda dapat menggunakan TTL 600 (10 menit).
- Pastikan Anda menentukan alamat IP privat yang benar.
Periksa untuk memastikan bahwa rekaman A memiliki Alamat IP yang benar.
- Anda dapat mengonfirmasi alamat IP dengan membuka sumber daya Titik Akhir Privat di portal Microsoft Azure.
- Menavigasi ke sumber daya Microsoft.Network/privateEndpoints, di portal Azure (bukan sumber daya Key Vault)
- Di halaman gambaran umum, cari Antarmuka jaringan dan pilih tautan tersebut.
- Tautan akan menampilkan Gambaran umum tentang sumber daya NIC, yang berisi alamat IP Privat properti.
- Verifikasi bahwa ini adalah alamat IP yang benar yang ditentukan dalam rekaman A.
Jika Anda terhubung dari sumber daya lokal ke Key Vault, pastikan Anda mengaktifkan semua penerus bersyarat yang diperlukan di lingkungan lokal.
- Tinjau konfigurasi DNS Titik Akhir Privat Azure untuk zona yang diperlukan, dan pastikan Anda memiliki penerus kondisional untuk DNS
vaultcore.azure.net
vault.azure.net
lokal Anda. - Pastikan Anda memiliki penerus bersyarat untuk zona yang merutekan ke Azure Private DNS Resolver atau beberapa platform DNS lainnya dengan akses ke resolusi Azure.
- Tinjau konfigurasi DNS Titik Akhir Privat Azure untuk zona yang diperlukan, dan pastikan Anda memiliki penerus kondisional untuk DNS
Batasan dan Pertimbangan Desain
Batas: Lihat Batas Azure Private Link
Harga: Lihat Harga Azure Private Link.
Batasan: Lihat Layanan Azure Private Link: Batasan
Langkah berikutnya
- Pelajari selengkapnya tentang Azure Private Link
- Pelajari lebih lanjut tentang Azure Key Vault