Usare endpoint privati con account Azure Batch

Per impostazione predefinita, gli account Azure Batch hanno endpoint pubblici e sono accessibili pubblicamente. Il servizio Batch offre la possibilità di creare un endpoint privato per gli account Batch, consentendo l'accesso alla rete privata al servizio Batch.

Usando il collegamento privato di Azure, è possibile connettersi a un account Azure Batch tramite un endpoint privato. L'endpoint privato è un set di indirizzi IP privati in una subnet all'interno della rete virtuale. È quindi possibile limitare l'accesso a un account Azure Batch su indirizzi IP privati.

Collegamento privato consente agli utenti di accedere a un account Azure Batch dall'interno della rete virtuale o da qualsiasi rete virtuale con peering. Le risorse mappate al collegamento privato sono accessibili anche in locale tramite peering privato tramite VPN o Azure ExpressRoute. È possibile connettersi a un account Azure Batch configurato con collegamento privato usando il metodo di approvazione automatica o manuale.

Questo articolo descrive i passaggi per creare un endpoint privato per accedere agli endpoint dell'account Batch.

Risorse secondarie dell'endpoint privato supportate per l'account Batch

La risorsa dell'account Batch ha due endpoint supportati per l'accesso con endpoint privati:

• Endpoint dell'account (sotto-risorsa: batchAccount): questo endpoint viene usato per accedere all'API REST del servizio Batch (piano dati), ad esempio per la gestione di pool, nodi di calcolo, processi, attività e così via.

• Endpoint di gestione dei nodi (sotto-risorsa: nodeManagement): usato dai nodi del pool di Batch per accedere al servizio di gestione dei nodi batch. Questo endpoint è applicabile solo quando si usa la comunicazione semplificata dei nodi di calcolo.

Suggerimento

È possibile creare un endpoint privato per uno di essi o entrambi all'interno della rete virtuale, a seconda dell'utilizzo effettivo per l'account Batch. Ad esempio, se si esegue il pool di Batch all'interno della rete virtuale, ma chiamare l'API REST del servizio Batch da un'altra posizione, sarà sufficiente creare l'endpoint privato nodeManagement nella rete virtuale.

Portale di Azure

Usare la procedura seguente per creare un endpoint privato con l'account Batch usando il portale di Azure:

1. Vai all'account Batch nel portale di Azure.
2. In Impostazioni selezionare Rete e passare alla scheda Accesso privato. Quindi, selezionare + Endpoint privato.
3. Nel riquadro Informazioni di base immettere o selezionare la sottoscrizione, il gruppo di risorse, il nome della risorsa endpoint privato e i dettagli dell'area, quindi selezionare Avanti: Risorsa.
4. Nel riquadro Risorsa impostare Tipo di risorsa su Microsoft.Batch/batchAccounts. Selezionare l'account Batch a cui si vuole accedere, selezionare la sotto-risorsa di destinazione e quindi selezionare Avanti: Configurazione.
5. Nel riquadro Configurazione immettere o selezionare queste informazioni:
   • In Rete virtuale, selezionare la rete virtuale richiesta.
   • Per Subnet, selezionare la subnet.
   • Per Configurazione IP privato selezionare l'indirizzo IP allocato in modo dinamico predefinito.
   • Per Integrazione con la zona DNS privata, selezionare Sì. Per connettersi in privato con l'endpoint privato, è necessario un record DNS. È consigliabile integrare l'endpoint privato con una zona DNS privata. È anche possibile usare i propri server DNS o creare record DNS usando i file host nelle macchine virtuali.
   • In Zona DNS privato selezionare privatelink.batch.azure.com. La zona DNS privata viene determinata automaticamente. Non è possibile modificare questa impostazione usando il portale di Azure.

Importante

• Se hai endpoint privati esistenti creati con la zona DNS privata precedente privatelink.<region>.batch.azure.com, segui Migrazione degli endpoint privati esistenti dell'account Batch.
• Se è stata selezionata l'integrazione della zona DNS privata, assicurarsi che la zona DNS privata sia collegata correttamente alla rete virtuale. È possibile che il portale di Azure consente di scegliere una zona DNS privata esistente, che potrebbe non essere collegata alla rete virtuale e sarà necessario aggiungere manualmente il collegamento alla rete virtuale.

6. Selezionare Rivedi e crea, quindi attendere che Azure convaliderà la configurazione.
7. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Suggerimento

È anche possibile creare l'endpoint privato dal Centro collegamenti privati nel portale di Azure o creare una nuova risorsa eseguendo una ricerca nell'endpoint privato.

Usare l'endpoint privato

Dopo il provisioning dell'endpoint privato, è possibile accedere all'account Batch usando l'indirizzo IP privato nella rete virtuale.

• Endpoint privato per batchAccount: può accedere al piano dati dell'account Batch per gestire pool, processi e attività.

• Endpoint privato per nodeManagement: i nodi di calcolo del pool di Batch possono connettersi ed essere gestiti dal servizio di gestione dei nodi Batch.

Suggerimento

È consigliabile disabilitare anche l'accesso alla rete pubblica con l'account Batch quando si usano endpoint privati, che limitano l'accesso alla rete privata.

Importante

Se l'accesso alla rete pubblica è disabilitato con l'account Batch, l'esecuzione di operazioni dell'account (ad esempio pool, processi) all'esterno della rete virtuale in cui viene effettuato il provisioning dell'endpoint privato genererà un messaggio "AuthorizationFailure" per l'account Batch nel portale di Azure.

Per visualizzare gli indirizzi IP per l'endpoint privato dal portale di Azure:

1. Selezionare Tutte le risorse.
2. Cercare l'endpoint privato creato in precedenza.
3. Selezionare la scheda Configurazione DNS per visualizzare le impostazioni DNS e gli indirizzi IP.

Configurare le zone DNS

Usare una zona DNS privata all'interno della subnet in cui è stato creato l'endpoint privato. Configurare gli endpoint in modo che ogni indirizzo IP privato venga mappato a una voce DNS.

Quando si crea l'endpoint privato, è possibile integrarlo con una zona DNS privata in Azure. Se si sceglie di usare invece un dominio personalizzato, è necessario configurarlo per aggiungere record DNS per tutti gli indirizzi IP privati riservati per l'endpoint privato.

Migrazione con gli endpoint privati esistenti dell'account Batch

Con l'introduzione della nuova sotto-risorsa dell'endpoint privato nodeManagement per l'endpoint di gestione dei nodi Batch, la zona DNS privata predefinita per l'account Batch viene semplificata da privatelink.<region>.batch.azure.com a privatelink.batch.azure.com. Per mantenere la compatibilità con le versioni precedenti della zona DNS privata usata in precedenza, per un account Batch con qualsiasi endpoint privato batchAccount approvato, i mapping CNAME DNS dell'endpoint dell'account contengono entrambe le zone (con la zona precedente viene prima), ad esempio:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Continuare a usare la zona DNS privata precedente

Se è già stata usata la zona privatelink.<region>.batch.azure.com DNS precedente con la rete virtuale, è consigliabile continuare a usarla per gli endpoint privati batchAccount esistenti e nuovi e non è necessaria alcuna azione.

Importante

Dato l'utilizzo esistente della precedente zona DNS privata, continuare a usarla anche con i nuovi endpoint privati creati. Non usare la nuova zona con la soluzione di integrazione DNS fino a quando non è possibile eseguire la migrazione alla nuova zona.

Creare un nuovo endpoint privato batchAccount con l'integrazione DNS nel portale di Azure

Se si crea manualmente un nuovo endpoint privato batchAccount usando il portale di Azure con l'integrazione DNS automatica abilitata, verrà usata la nuova zona privatelink.batch.azure.com DNS privata per l'integrazione DNS: creare la zona DNS privata, collegarla alla rete virtuale e configurare il record DNS A nella zona per l'endpoint privato.

Tuttavia, se la rete virtuale è già stata collegata alla zona DNS privato precedente privatelink.<region>.batch.azure.com, si interrompe la risoluzione DNS per l'account Batch nella rete virtuale, perché il record A DNS per il nuovo endpoint privato viene aggiunto alla nuova zona, ma la risoluzione DNS controlla prima la zona precedente per il supporto della compatibilità con le versioni precedenti.

È possibile attenuare questo problema con le opzioni seguenti:

• Se non è più necessaria la zona DNS privata precedente, scollegarla dalla rete virtuale. Non sono necessarie ulteriori azioni.

• In caso contrario, dopo la creazione del nuovo endpoint privato:

  1. Assicurarsi che l'integrazione DNS privata automatica abbia un record DNS A creato nella nuova zona privatelink.batch.azure.comDNS privata. Ad esempio: myaccount.<region> A <IPv4 address>.

  2. Passare alla zona privatelink.<region>.batch.azure.comDNS privata precedente.

  3. Aggiungere manualmente un record CNAME DNS. Ad esempio: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Importante

Questa mitigazione manuale è necessaria solo quando si crea un nuovo endpoint privato batchAccount con integrazione DNS privata nella stessa rete virtuale che è già stata collegata alla zona DNS privata precedente.

Migrazione della zona DNS privata precedente alla nuova zona

Sebbene sia possibile continuare a usare la zona DNS privata precedente con il processo di distribuzione esistente, è consigliabile eseguirne la migrazione alla nuova zona per semplicità di gestione della configurazione DNS:

• Con la nuova zona privatelink.batch.azure.comDNS privata non è necessario configurare e gestire zone diverse per ogni area con gli account Batch.
• Quando si inizia a usare il nuovo endpoint privato nodeManagement che usa anche la nuova zona DNS privata, sarà sufficiente gestire una singola zona DNS privata per entrambi i tipi di endpoint privati.

È possibile eseguire la migrazione della zona DNS privata precedente seguendo questa procedura:

1. Creare e collegare la nuova zona privatelink.batch.azure.com DNS privata alla rete virtuale.
2. Copiare tutti i record DNS A dalla zona DNS privata precedente alla nuova zona:

From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>

3. Scollegare la zona DNS privata precedente dalla rete virtuale.
4. Verificare la risoluzione DNS all'interno della rete virtuale e il nome DNS dell'account Batch deve essere ancora risolto nell'indirizzo IP dell'endpoint privato:

nslookup myaccount.<region>.batch.azure.com

5. Iniziare a usare la nuova zona DNS privata con il processo di distribuzione per i nuovi endpoint privati.
6. Eliminare la zona DNS privata precedente dopo il completamento della migrazione.

Pricing

Per informazioni dettagliate sui costi correlati agli endpoint privati, vedere Prezzi di Collegamento privato di Azure.

Limitazioni correnti e procedure consigliate

Quando si crea un endpoint privato con l'account Batch, tenere presente quanto segue:

• Le risorse dell'endpoint privato possono essere create in una sottoscrizione diversa come account Batch, ma la sottoscrizione deve essere registrata con il provider di risorse Microsoft.Batch.
• Lo spostamento delle risorse non è supportato per gli endpoint privati con account Batch.
• Se una risorsa dell'account Batch viene spostata in un gruppo di risorse o una sottoscrizione diversa, gli endpoint privati possono comunque funzionare, ma l'associazione all'account Batch si interrompe. Se si elimina la risorsa dell'endpoint privato, la connessione all'endpoint privato associata esiste ancora nell'account Batch. È possibile rimuovere manualmente la connessione dall'account Batch.
• Per eliminare la connessione privata, eliminare la risorsa dell'endpoint privato o eliminare la connessione privata nell'account Batch (l'eliminazione disconnette la risorsa dell'endpoint privato correlata).
• I record DNS nella zona DNS privata non vengono rimossi automaticamente quando si elimina una connessione endpoint privato dall'account Batch. È necessario rimuovere manualmente i record DNS prima di aggiungere un nuovo endpoint privato collegato a questa zona DNS privata. Se non si puliscono i record DNS, potrebbero verificarsi problemi di accesso imprevisti.
• Quando si abilita l'endpoint privato per l'account Batch, il token di autenticazione attività per l'attività Batch non è supportato. La soluzione alternativa consiste nell'usare il pool di Batch con identità gestite.

Passaggi successivi

• Informazioni su come creare pool di Batch nelle reti virtuali.
• Informazioni su come creare pool di Batch senza indirizzi IP pubblici.
• Informazioni su come configurare l'accesso alla rete pubblica per gli account Batch.
• Informazioni su come gestire le connessioni di endpoint privato per gli account Batch.
• Informazioni sul collegamento privato di Azure.